Аудит информационной системы.
В 21 веке не осталось компании, которая в своем бизнесе не использует информационные технологии для улучшения качества предоставляемых услуг, не использует глобальную сеть (Internet) для связи с партнёрами по всему миру и не обрабатывает данные на компьютерах. Компьютеризация огромными шагами идет по стране. Президент России Д. Медведев поддерживает использование в школах электронных книг, разные ведомства внедряют у себя системы электронного документооборота. Каждый день компьютеров и устройств, основанных на микропроцессорах, становится в сотни раз больше, чем было вчера.
Все эти iPad-ы и e-book-и, ноутбуки и нетбуки и многие другие устройства надо обслуживать. В компаниях создаются целые взвода ИТ специалистов для обслуживания этих устройств. Но как оценить качество такого обслуживания? Как разобраться, что надо сделать, чтобы информационные технологии максимально удовлетворяли потребностям бизнеса? Как выявить и локализовать все проблемы в работе компьютерного оборудования? Для получения ответов на эти и другие вопросы проводится проверка на соответствие различным стандартам и критериям, проводится аудит информационных технологий. Именно аудит позволяет нам ответить на ранее заданные вопросы.
Что же понимается под аудитом информационных технологий? Аудит информационных технологий в моём представлении, это комплекс мероприятий, целью которого является анализ существующих процессов на предмет соответствия определенным стандартам, методикам и критериям.
В процессе аудита информационных системы как правило выделяется 6 этапов:
В процессе аудита информационных системы как правило выделяется 6 этапов:
1. Инициирование аудита
2. Проведение анализа документов
3. Подготовка к проведению аудита «на месте»
4. Аудит «на месте»
5. Подготовка, утверждение и рассылка отчета по аудиту
6. Завершение аудита
Так как аудит информационных систем направлен на выявление несоответствия используемым в компании критериев и является одним из процессов менеджмента, следовательно, управление им должно осуществляться в соответствии с циклом PDCA (Планирование-Выполнение-Контроль-Корректировка).
Планирование | Что нужно сделать, когда это нужно сделать, кто должен это сделать, как это следует сделать и с помощью чего |
Выполнение | Выполнение запланированных работ |
Контроль | Определяется, дало ли выполнение работ ожидаемый результат |
Корректировка | Производиться корректировка планов с учётом информации, полученной на этапе проверки, и проводятся необходимые изменения |
В настоящее время, существует множество различных стандартов и методик проверки информационных систем. Большинство из них основываются на зарубежных стандартах, таких как Cobit, ITIL, MOF, некоторые компании используют комплексный подход, анализируя разные процессы из разных стандартов. Все они имеют разные цели и задачи.
Компаниям надо предложить максимальное количество процессов или параметров для проведения аудита. Опыт показывает, что провести аудит по Cobit или ITIL не всегда получается. Заказчик просит оценить структурированную кабельную систему, выявить недочёты в технической документации компании, проверить режим работы коммерческой тайны, проверить легитимность программного обеспечения и другие параметры не входящие в международные стандарты. Поэтому необходимо максимально полно и эффективно охватить интересы компании. Примерно это могло бы выглядеть так:
- Раздел Cobit - содержит в себе 4 домена и 34 процесса для аудита информационных технологий;
- Раздел документация - содержит различные виды документов, которые необходимо иметь в каждой организации;
- Раздел инвентаризация - содержит набор параметров от учета компьютеров в организации до анализа систем управления информационными технологиями.
- Раздел Cobit - содержит в себе 4 домена и 34 процесса для аудита информационных технологий;
- Раздел документация - содержит различные виды документов, которые необходимо иметь в каждой организации;
- Раздел инвентаризация - содержит набор параметров от учета компьютеров в организации до анализа систем управления информационными технологиями.
При выборе процессов и параметров аудита, клиент имеет возможность выбрать как целые разделы, так и отдельные процессы и параметры. Это способствует комфортному принятию решения.
Многие задают вопросы: Какие мероприятия должны включаются в аудит информационных систем? Что и как надо учитывать при проведении аудита? Как правильно провести аудит? Ответы на эти, на первый взгляд простые вопросы, можно получить в различных стандартах и методиках.
Давайте попробуем вместе ответить на эти вопросы, и начнём с описания этапов проведения аудита. Поехали.
1. Инициирование аудита.
На данном этапе, устанавливается первый контакт между организациями, происходит согласование лиц, ответственных за проведение аудита, согласовываются каналы связи и сроки проведения аудита.
Перед началом аудита заключается двустороннее соглашение с клиентом о неразглашении конфиденциальной информации, ставшей известной в ходе проведения мероприятий. Таким образом, происходит защита клиента от рисков утечки информации о состоянии его информационных ресурсов, их особенностях и применении в корпоративной информационной системе.
После заключения соглашения о конфиденциальности клиент получает анкету, содержащую перечень вопросов по развитию, состоянию своих информационных технологий.
2. Проведение анализа документов.
Анализ документов, важный этап к подготовке проведения аудита. На этом этапе производиться скрупулёзный анализ всех существующих документов соответствующих критериям аудита. Документация может содержать результаты проведения предыдущего аудита, инструкции и положения, а также документы системы менеджмента. При анализе, необходимо учитывать размер, характер и сложность проверяемой организации, а также цели и объем аудита. В некоторых ситуациях анализ документации может быть отложен до начала работ "на месте", если это не наносит ущерба результативности проведения аудита.
- При анализе документов стоит обратить внимание на:
- Полноту описаний используемых процессов;
- Применение общих фраз при описании параметров, процессов используемых в компании;
- Возможные противоречия между несколькими документами;
- Возможные противоречия между привилегиями разных сотрудников компании;
- Возможные противоречия между внутренними документами и нормативно-правовой информацией существующей в нашей стране;
В случае, если аудиторская группа находит эти противоречия, и эти противоречия сильно отличаются от критериев аудита, об этом факте немедленно сообщается клиенту для принятия им решения относительно того, будет аудит продолжен или приостановлен до разрешения вопросов, связанных с документацией.
3. Подготовка к проведению аудита «на месте»
Руководитель аудита предоставляет на согласование ответственному лицу со стороны клиента план проведения аудита. Уровень детализации плана аудита зависит от области и сложности аудита. План аудита должен быть достаточно гибким, чтобы допускать изменения, например изменения области аудита, что может оказаться необходимым в процессе проведения аудита "на месте". На этом этапе подготавливаются анкеты с контрольными вопросами в рамках проводимого аудита.
4. Проведение аудита «на месте».
Проведение аудита «на месте» начинается с водного совещания на котором присутствуют члены аудиторской группы с руководством компании. Целью данного совещания является:
a) Представить всех заинтересованных лиц друг другу;
b) Подтвердить план аудита;
c) Рассказать о мероприятиях проводимых при аудите, а также о затрагиваемых при этом ресурсах компании;
d) Подтвердить способы и каналы обмена информацией;
e) Убедиться что для аудиторов предоставлено свободное помещения, что для аудиторов назначены сопровождающие лица;
f) Ответить на вопросы руководства проверяемой компании;
При проведении аудита «на месте», вся информация, относящаяся к целям, области и критериям аудита должна быть собрана и задокументирована. В результате, такая информация в дальнейшем становиться свидетельством аудита.
При проведении сбора информации можно использовать следующие методы:
· Интервью;
· Наблюдение деятельности;
· Анализ документов;
· Контрольные измерения различных параметров;
Как правило, большинство аудиторов в своей проверке используют диктофоны. Предупреждать об использовании данного устройства при разговоре, двух и более лиц, согласно российским законам аудитор не обязан. Однако считаю хорошим тоном, в начале разговора, предупредить сотрудника, с которым проводиться интервью, что мой с ним разговор записывается.
5. Подготовка, утверждение и рассылка отчета по аудиту.
Организация заключительного совещания служит для подведения итогов аудиторской проверки. В различных ситуациях, заключительное совещание может быть формальным, где рассказывается о наблюдениях аудита и заключениях по результатам аудита.
На совещании могут возникнуть разногласия в отношении наблюдений аудита, выданного заключения и других аспектов деятельности аудиторов, поэтому мы считаем, что заключительное совещание должно носить официальный характер с ведением протокола.
Отчет по результатам аудита составляется сразу, после проведения аудита. Как правило, результат отчета должен быть читаемым и понятен тому, кому он адресован, содержать ссылки на конкретные документы, основан на фактах, а не на субъективном мнении. Отчет, должен содержать:
· цели аудита;
· область аудита, организационных и функциональных единиц, где проходил аудит, с указанием сроков его проведения;
· указание заказчика аудита;
· указание руководителя группы по аудиту и членов группы по аудиту;
· даты и участки проведения аудита "на месте";
· критерии аудита;
· наблюдения по аудиту;
· заключения по результатам аудита.
6. Завершение аудита.
Аудит считается завершенным тогда, когда работа, предусмотренная планом, закончена, а утвержденный отчет по аудиту разослан.
Документы, имеющие отношение к аудиту, должны храниться или уничтожаться в соответствии с соглашением между сторонами, процедурами программы аудита и приемлемыми законодательными, нормативными и контрактными требованиями.
Если это не предусмотрено законом, группа по аудиту и ответственные за управление программой аудита не должны раскрывать содержание документов и другой информации, полученной во время аудита, так же как и отчетов по аудиту любой другой стороне без явного согласия заказчика аудита и, если приемлемо, проверяемой организации. Если же требуется раскрыть содержание какого-либо документа аудита, заказчик аудита и проверяемая организация должны быть проинформированы об этом как можно быстрее.
7. Этап «Проведение последующих действий аудита», содержит указание на выполнение корректирующих, предупреждающих действий и (при необходимости) действий по улучшению исследуемых процессов и параметров. Эти действия обычно назначаются и выполняются проверяемой организацией в согласованные сроки. Международный стандарт ISO 19011 не рассматривает данный этап как часть аудита.
Вот такие этапы и действия выполняются при проведении аудита. В конце этот статьи, хочу отметить, что регулярные проверки своей информационной среды помогут избежать потерь, связанных с риском вовремя не заметить надвигающуюся бурю. Включать процесс аудита в свой годовой план или не включать, дело каждого ИТ менеджера, однако следует помнить, цель аудита предотвращать бурю, а не бороться с ее последствиями.
