ISSN 1991-3087

Свидетельство о регистрации СМИ: ПИ № ФС77-24978 от 05.07.2006 г.

ISSN 1991-3087

Подписной индекс №42457

Периодичность - 1 раз в месяц.

Вид обложки

Адрес редакции: 305008, г.Курск, Бурцевский проезд, д.7.

Тел.: 8-910-740-44-28

E-mail: jurnal@jurnal.org

Рейтинг@Mail.ru Rambler's Top100
Яндекс.Метрика

ИТ-аудит.

 

Домась Андрей Игоревич,

аспирант Брянского Государственного Университета имени академика И.Г. Петровского,

системный администратор ЗАО «е-порт».

 

Последние несколько лет отечественный рынок консалтинговых услуг захлестнуло новое веяние – ИТ-аудит. Что это такое? Существует ли в нем реальная необходимость?

Основной целью ИТ-аудита является оценка и выявление рисков связанных с использованием информационных технологий и выработка мер по их снижению. Т.е., ИТ-аудит похож на финансовый, только объектом исследования являются информационные системы (ИС) предприятия, а предметом – ИТ-процессы.

Как и его финансовый собрат, ИТ-аудит может проводиться в результате необходимости соблюдения нормативно-правовых норм, например, оценка соответствия инфраструктуры ИТ требованиям по формированию отчетности, согласно закону Sarbanes-Oxley или HIPAA, так и по внутренней инициативе.

Необходимость проведения внутреннего аудита вызвана, как правило, желанием руководства или инвесторов иметь объективную картину состоянии ИТ на предприятии или в отдельном подразделении. Все дело в том, что предприятие, использующее современные управленческие технологии, всецело зависит от своих ИС. Слишком большую роль стали играть информационные системы в жизни предприятия.

Разумеется, для проведения аудита необходимо наличие отлаженной методики и стандартов. Такая методика была создана в 1996 году Организацией аудита и контроля информационных систем (Information Systems Audit and Control Foundation, ISACF) и получила название  Control Objectives for Information and Related Technology(COBIT). В настоящий момент функциональна четвертая редакция этой методологии (версия 4.1) и состоит из открытых документов - около 40 международных стандартов по управлению, аудиту в безопасности в сфере ИТ. Рассмотрим основные принципы ИТ-аудита на примере этого стандарта.

COBIT основан на процессном подходе с использованием т.н. моделей зрелости. Модели зрелости представляют собой «эталонные» модели с процессной архитектуры, позволяющие руководству понять примерное состояние ИТ на предприятии. Всего существует шесть уровней зрелости системы:

Стоимость разработки сту

Система расчета стоимости перевозок

firecenter.ru

На нулевом уровне не существует никакой системы управления ИТ. Все процессы не регламентированы и выполняются «незаменимыми» сотрудниками. Сами процессы не четко различимы на общем фоне. Эффективность инвестиций в ИТ определить не возможно.

Первый уровень охарактеризован по-прежнему отсутствующими связями между ИТ-процессами и бизнес-процессами. Но руководство уже понимает всю необходимость комплексного подхода к управлению ИТ и начинает задумываться о таком понятии, как «возврат инвестиций в ИТ».

На втором уровне уже присутствуют четкие ИТ-процессы. Видны попытки руководства участвовать в планировании деятельности ИТ, но из-за отсутствия опыта и осведомленности о готовых решениях в этой области приходится довольствоваться опытом отдельных специалистов предприятия. Уже функционируют показатели эффективности ИТ.

На третьем уровне доминирует комплексная система управления, выполняются четкие и регламентированные процессы. Один специалист уже не решает ничего.

Четвертый уровень. Все процессы регламентированы. Осуществляется полный мониторинг. Предпринимаются непрерывные попытки оптимизации процессов. Только начиная с этого уровня, существуют управляемые системы.

На пятом уровне система управления является частью системы управления всем предприятием. Процессы непрерывно оптимизируются.

Разумеется, на 4 и 5 уровнях модели зрелости ИТ-аудит должен проводится на регулярной основе.

Для мониторинга процессов в COBIT существует два инструмента:

Ключевые индикаторы целей (Key Goal Indicator) - KGI, дающие возможность определить критерии оценки достижения бизнес-цели с помощью ИТ-процессов. Например, снижение себестоимости ИТ-процессов, повышение надежности хранилищ данных, эффективность служб поддержки и т.д.

Ключевые индикаторы производительности (Key Performance Indicator) - KPI, которые определяют критерии оценки производительности ИТ-процессов при достижении бизнес-целей. Например, среднестатистическое время устранение проблем, достоверность информации, вычислительная мощность и т.д.

KGI и KPI являются т.н. метриками, с их помощью осуществляется мониторинг и последующая оптимизация процессов, которые, в свою очередь подразделяются на 4 домена:

Планирование и организация. Это стратегия и тактика применения ИТ для достижения бизнес целей.

Комплектование и внедрение. Для реализации ИТ-стратегии необходимо применение ИТ-решений, что влечет за собой достаточно сложную задачу выбора , интеграции и т.д.

Предоставление и поддержка. ИТ-решения требуют отдельной поддержки, обеспечения безопасности и обработки данных.

Мониторинг. Для бесперебойной работы всех ИТ-процессов необходим регулярный аудит и надзор со стороны руководства.

ИТ-аудит является сложной задачей, требующей наличия соответствующих квалифицированных кадров, по этому данным видом аудита занимаются в основном специализированные консалтинговые агентства. Но, надо заметить, нередки случаи проведения внутреннего аудита и сформированной группой сотрудников самого предприятия.

 

Поступила в редакцию 1 февраля 2008 г.

2006-2018 © Журнал научных публикаций аспирантов и докторантов.
Все материалы, размещенные на данном сайте, охраняются авторским правом. При использовании материалов сайта активная ссылка на первоисточник обязательна.