ИТ-аудит на малых и средних предприятиях
В настоящее время, ввиду повсеместной автоматизации, наблюдается постоянное увеличение зависимости хозяйствующих субъектов от информационных технологий. Большинство руководителей признает, что успешное функционирование компании на рынке и обеспечение надлежащего уровня конкурентоспособности напрямую зависит от состояния информационных технологий в организации. Поэтому любому предприятию необходимо средство контроля и управления не только за ключевыми бизнес-процессами, но и за информационными технологиями, их поддерживающими.
Подобным средством контроля и управления на предприятии может выступать аудит. Регулярное проведение процедуры аудита позволяет накопить информацию о состоянии организации, которая в дальнейшем может быть использована для оптимизации деятельности предприятия.
В целом, под аудитом понимают процесс, посредством которого компетентное независимое лицо накапливает и оценивает свидетельства об информации, поддающейся количественной оценке и относящейся к соответствующей системе, чтобы определить и выразить в своем заключении степень соответствия этой информации общепринятым или обозначенным критериям [6].
На данный момент сложились две основные концепции понимания того, что следует считать аудитом. Это, во-первых, аудит в узком смысле слова, под которым подразумевается только проверка достоверности и соответствия представленной финансовой отчетности предприятия бухгалтерским стандартам и правилам. И, во-вторых, аудит в широком смысле слова, под которым в эпоху информационного общества стали понимать не столько аудит отчетности, сколько аудит всего бизнеса. В данном случае аудиту подвергаются не только данные финансовой отчетности, но и информация, получаемая при исследовании хозяйственных, технологических, информационных и управленческих процессов. При этом ИТ-аудит является одной из составляющих аудита в широком смысле. ИТ-аудит нацелен на получение адекватной картины текущего состояния ИТ и идентификацию проблемных областей в части ИТ-поддержки основной деятельности организации [8].
Цель проведения ИТ-аудита состоит в оценке производительности используемых на предприятии информационных технологий, выявлении узких мест в их работе и прогнозировании возможных сбоев. И, в конечном итоге, улучшении текущего состояния информационных технологий в компании посредством оптимизации работы ИТ-подразделения и используемых информационных технологий.
Результаты ИТ-аудита позволяют:
• оценить соответствие ИТ-инфраструктуры требованиям бизнеса,
• выявить недостатки функционирования ИТ,
• выстроить ИТ-инфраструктуру, соответствующую протекающим в организации бизнес-процессам;
• повысить качество принимаемых решений, касающихся инвестиций в развитие ИТ в организации,
• сократить сроки внедрения новых средств ИТ.
Несмотря на актуальность ИТ-аудита, вопрос нормативного регулирования его проведения в Российской Федерации довольно неоднозначен. Существует Федеральный закон «Об аудиторской деятельности», который регулирует аудиторскую деятельность в финансовой сфере, но совершенно не затрагивает процедуру проведения ИТ-аудита.
Вопросу ИТ-аудита и внутреннего контроля за ИТ посвящены несколько зарубежных стандартов аудита и российский стандарт «Аудит в условиях компьютерной обработки данных (КОД)». Однако сложностью применения большинства стандартов при проведении ИТ-аудита является их направленность, в первую очередь, на проведение аудита финансовой деятельности, реализуемой с использованием информационных технологий. К таким стандартам можно отнести Положения по международной аудиторской практике (ПМАП) 1002 «Онлайновые компьютерные системы», ПМАП 1003 «Среда КИС - системы баз данных», ПМАП 1008 «Оценка рисков и система внутреннего контроля», стандарт «Аудит в условиях компьютерной обработки данных (КОД)», Международный стандарт аудита 401 «Аудит в среде компьютерных информационных сетей».
Из рассмотренных существующих стандартов проведения ИТ-аудита международный стандарт CobiT (Control Objectives for Information and Related Technologies) является самым развернутым, и при этом ориентируется на проведение аудита ИТ-инфраструктуры. СоbiT является синтезом четырех десятков международных стандартов в области аудита, контроля, управления информационными технологиями и информационной безопасности. [12]
Акцент в CobiT делается не на детальном описании процессов, а на методах их организации, оценки, измерения и т. п. CobiT, благодаря единой терминологии, служит своеобразной платформой, обеспечивающей общение и понимание процессов организации между всеми участниками бизнеса: топ-менеджерами, руководителями среднего звена, непосредственными исполнителями (инженерами, программистами и т. д.) и аудиторами [5].
Объектами ИТ-аудита являются различные составляющие ИТ-инфраструктуры предприятия - оборудование, программное обеспечение, средства электронной коммуникации и информационной безопасности.
В процессе аудита программного обеспечения производится инвентаризация используемых прикладных, серверных и пользовательских программ, анализ полноты лицензирования, оценка оптимальности выбранной программы лицензирования с позиции финансовых затрат.
Не менее важной задачей при проведении аудита программного обеспечения является задача обнаружения в сетевой инфраструктуре компании неучтенного и нелицензионного программного обеспечения, поскольку данный софт - это потенциальная брешь в системе информационной безопасности, а использование пиратского программного обеспечения нарушает законодательство.
В процессе аудита средств электронной коммуникации производится анализ внешних каналов передачи данных и технология обмена информацией с внешними сетями и системами связи. Преимущественно, в рамках данного аудита обследуется организация телефонной связи и электронной почты.
Аудит информационной безопасности включает в себя анализ систем информационной безопасности, систем хранения и резервирования данных, средств защиты от вирусов, спама, несанкционированного проникновения и т. п. [3].
Как правило, в базовый перечень исходных данных для проведения ИТ-аудита включаются таким аспекты деятельности предприятия, как:
• организационная структура предприятия;
• описание основных бизнес-функций подразделений;
• состав действующих информационных систем, сроки их эксплуатации и функциональное назначение;
• бизнес-процессы, поддерживаемые системами; ? состав используемых программных продуктов;
• пользователи систем;
• функциональные задачи подразделений и конечных пользователей в рамках систем;
• состав организационно-технической документации на системы (технические задания, проектная документация);
• структура службы ИТ и ее подчиненность;
• перспективные планы работ по развитию ИТ;
• ИТ-бюджет‚ процедуры его формирования, использования и контроля исполнения [4].
Некоторые из представленных пунктов могут быть предоставлены заказчиком ИТаудита еще до запуска процедуры ИТ-аудита. Тогда в рамках ИТ-аудита стоит задача проверки актуальности предоставленной информации и степени ее соответствия реальному положению дел.
На этапе подготовки к процедуре ИТ-аудита изучается существующая документация по ИТ-инфраструктуре организации, планируется и согласовывается график аудита, согласовываются методы сбора данных.
На этапе обследования ИТ-инфраструктуры предприятия проводятся тестовые испытания функционирования ИТ-инфраструктуры в соответствии с методикой аудита информационных технологий, разработанной и согласованной на предыдущем этапе.
Этап 3. Анализ результатов обследования:
На данном этапе на основании исходных данных и тестовых испытаний проводится комплексный анализ собранной информации и определение степени соответствия ИТинфраструктуры требованиям заказчика. Аудиторами осуществляется:
• комплексный анализ собранной информации, выявления тенденций;
• определение степени соответствия ИТ-инфраструктуры требованиям Заказчика;
• выработка рекомендаций по созданию/ модернизации/ оптимизации ИТинфраструктуры;
• составление итогового отчета о результатах ИТ-аудита.
В итоговом отчете о состоянии ИТ-аудита должны быть отражены следующие аспекты:
1. Основания для проведения аудита. Приводится описание организационных решений по проведению аудита: график аудита, его объект и цели, заказчик проведения.
2. Направления аудита. Описываются методика проведения аудита, состав проверяемой документации, перечень проведенных интервью и краткое содержание выявленной по их результатам информации.
3. Сводка фактов по целям и задачам проекта ИТ-аудита с точки зрения заинтересованных лиц.
4. Сводка фактов по идентифицированным и подтвержденным результатам проекта ИТ-аудита. В рамках данного аспекта должны быть описаны фактически полученные содержательные результаты, направленные на удовлетворение информационных потребностей конечных пользователей и информационную поддержку основных и вспомогательных бизнес-процессов.
5. Сводка идентифицированных пробелов. В этом разделе раскрывается перечень отсутствующих, но запланированных результатов, дается их характеристика с точки зрения влияния их отсутствия на ожидаемый возврат от инвестиций в реализацию ИТ-проектов.
6. Краткая характеристика текущего состояния ИТ в организации. Этот раздел состоит из нескольких подразделов, которые отражают состояние ИТ в организации. В подразделах может быть описано состояние в области применения ИТ, области организации управления и планирования ИТ, в области ИТ-обслуживания, персонала службы ИТ и информационной безопасности.
Исходя из полученных результатов ИТ-аудита организации предоставляются рекомендации по совершенствованию процессов управления эксплуатацией и развитием информационных технологий [6].
Для автоматизации проведения комплексного ИТ-аудита могут быть использованы следующие системы: «ЭкспрессАудит ПРОФ», «AuditXP «Комплекс Аудит», «HITpsa», «AuditNET 2.0» [1].
Если же говорить об особенностях проведения ИТ-аудита на предприятиях малого бизнеса (МБ), то, в первую очередь, они связаны со спецификой данных предприятий, которая частично отражена в виде критериев отнесения организации к сегменту СМБ в Федеральном Законе № 209 «О развитии малого и среднего предпринимательства в Российской Федерации» от 06.07.2007 г. Эти критерии касаются состава учредителей, средней численности работников и размера годовой выручки.
Относительно годовой выручки в законе указано, что максимально допустимая сумма годовой выручки без НДС за предыдущий год для малых предприятий составляет до 800 млн рублей, для средних предприятий - до 2 млрд рублей. Допустимая среднесписочная численность работников: не более 100 человек для малых и не более 250 человек для средних предприятий.
К СМБ также могут быть отнесены ИП, в отношении которых действуют такие же критерии разделения на категории бизнеса: по годовой выручке и численности работников. Если у ИП нет работников, то его категория МСБ определяется только по размеру выручки.
При этом значения критериев, закреплённых в законе № 209-ФЗ, должны определяться для каждого предприятия ежегодно, по данным предшествующего календарного года. [9]
Например, в совместном исследовании Microsoft и Международной школы бизнеса Хальта, направленного на изучение рынка СМБ в Центральной и Восточной Европе, выявлено, что большинство современных компаний СМБ в процессе реализации своей деятельности сталкиваются с определенными сложностями, в числе которых и конкуренция с крупными компаниями.
При этом 18 % опрошенных называют камнем преткновения в борьбе за долю рынка недостаток современных технологий и инвестиций в них, которыми располагают крупные компании. Более 70 % компаний СМБ уверены, что ИТ обеспечивает гибкость, 85 % согласны, что технологии позволяют экономить время на рутинных операциях и использовать его для решения стратегических задач [7].
В другом исследовании, проведенном исследовательской компанией Wakefield Research по заказу HP выявлено, что:
• 89 % компаний СМБ имеют проблемы, связанные с ИТ.
• 54 % опрошенных руководителей малого бизнеса летом работают удаленно, при этом не всегда проблемы ИТ могут решаться адекватно и своевременно.
Согласно же статистике разработчика технологий аудита Netwrix, опубликовавшего результаты исследования, посвященного анализу используемых технологий изменения ИТинфраструктуры, установлены следующие факты:
• 65 % ИТ-специалистов вносят изменения в ИТ-инфраструктуру предприятия, которые приводят к остановке работы; 52 % вносят в ИТ-системы изменения, которые сопровождаются простоями каждый день или раз в неделю, а 39 % вносят изменения, которые приводят к появлению брешей в системе безопасности компаний [2].
Исходя из результатов приведенных исследований, можно сделать вывод, что большинство представителей СМБ осознают влияние ИТ на эффективность работы компании и ее положение на рынке. Большинство из них при этом сталкиваются с проблемами, связанными с нарушением или неэффективной работой ИТ-инфраструктуры предприятия, и осознают необходимость изменений для улучшения работы ИТ.