Главная страница 
 
О Фонде ФОСТАС 
События 
Семинары 
Конференции 
Программы и Проекты 
Библиотека 
Тезисы 
Доклады 
Материалы проектов 
Презентации 
Об участии 
Работа участников 
Вопросы-ответы 
Контакты 
Форум 
 

Критерии поиска:

в разделе библиотеки:

 


АУДИТ ПРОЦЕССОВ ИТ И АСПЕКТЫ ИСПОЛЬЗОВАНИЯ ЕГО РЕЗУЛЬТАТОВ ПРИ РАЗВИТИИ ИТ-ИНФРАСТРУКТУРЫ

ИГНАТЬЕВ АЛЕКСАНДР ВАЛЕРЬЕВИЧ

IBS, Москва, aignatiev@IBS.RU

В докладе рассматриваются три аспекта использования результатов аудита ИТ в практической деятельности, направленной на построение или модернизацию ИТ в организации:

  • избыточность;
  • реализуемость;
  • применимость.

В настоящее время в нашей стране наблюдается бум, связанный с востребованностью аудита ИТ, призванного оценить реальное состояние ИТ. Несмотря на то что аудит ИТ чаще всего проводится высококвалифицированными специалистами и с использованием общепризнанных методик, результаты далеко не всегда удовлетворяют заказчика.

Данная проблема связана как с конъюнктурными моментами, так и с недостатком опыта или времени при подготовке работ по аудиту. В докладе рассматриваются способы повышения удовлетворенности заказчика результатами аудита ИТ.

На данный момент достаточно широкое распространение получили методики проведения аудита ИТ, разработанные ISACA. Данные методики достаточно хорошо регламентируют процессную часть аудита и позволяют полностью охватить все вопросы проведения аудита. Зачастую это приводит к тому, что в процессе проведения аудита ошибочно расширяются рамки работ. В результате часть выводов, заключений или рекомендаций никогда не реализуется, при этом причиной становится не отсутствие необходимости в том или ином элементе ИТ, а невозможность его построения при текущем уровне готовности организации.

Но даже правильное определение рамок аудита ИТ не гарантирует возможности исправления найденных проблем. Зачастую, аудитор формирует отчет о проведенной работе, слепо ориентируясь на положения методики. В итоге формируется документ, который не учитывает конъюнктурных особенностей как организации в целом, так и персоналий, которые будут использовать результаты аудита.

В дополнение возникает проблема неадекватного восприятия заказчиком назначения аудита ИТ. Это связано с отсутствием четко определенного различия понятий обследования и аудита у заказчика.

Аудит ИТ согласно рекомендациям ISACA состоит из следующих основных этапов.

  • Предварительное обследование, цель которого:
    • ознакомление;
    • формирование рамок и целей аудита.
  • Разработка программ и процедур аудита.
  • Реализация программы аудита с использованием разработанных процедур.
  • Разработка отчета об аудите.
  • Мониторинг и последующие контрольные проверки.

Таким образом, можно выделить два типа работ, выполняемых при проведении аудита ИТ: организационные и технические. К организационным относятся процессы подготовки аудита и адаптации методик его проведения, к техническим - работы по проведению аудита. К сожалению, в настоящий момент очень часто возникают ситуации, когда при проведении аудита большее внимание уделяется именно технической стороне аудита, в то время как организационная сторона оказывается на вторых ролях, что и вызывает рассогласование ожиданий заказчика от аудита и его реальных результатов.

Для решения указанных проблем необходимо большее внимание уделять процессам подготовки и организации аудита, что явно прописывается в любой методике аудита, однако практически никогда не раскрывается в силу невозможности предопределить и унифицировать все возможные подходы.

При рассмотрении организационных аспектов подготовки аудита основной фокус сосредотачивается на следующих работах:

  • формирование точного представления о реальных целях и ожиданиях заказчика;
  • предварительный аудит;
  • разработка структуры отчета, соответствующей специфике конкретной организации.

В процессе формирования представления о действительных целях и ожиданиях заказчика необходимо разделить позиции, относящиеся к аудиту, т. е. процессу, обеспечивающему сравнение текущего состояния чего-либо с неким эталоном, и позиции, относящиеся к обследованию. Путаница в этих вопросах практически всегда приводит конфликтам на завершающих стадиях работ. Детальное описание рамок и целей выполнения работ позволяет устранить эти риски.

На этапе предварительного обследования у консультанта должно формироваться четкое представление об уровне готовности организации. Уровень готовности ограничивает цели и диапазон аудита, в рамках которого и должна вестись основная деятельность аудитора. Выход за эти рамки вызывает явную неудовлетворенность заказчика в силу того, что найденные недостатки будут относиться к части эталонной модели, которая не может быть реализована на текущем или ближайшем этапах развития ИТ в организации. Иначе говоря, уже на начальных этапах необходимо заботиться о реальности формируемых замечаний и рекомендаций.

Даже в случае правильной организации аудита ИТ необходимо значительное внимание уделять порядку и правилам подготовки отчетных материалов. Необходимо учитывать, что отчет, сформированный по процессному или элементному принципам, не учитывает такие особенности российских организаций, как персонифицированность или даже клановость отдельных областей деятельности организации или процессов, существующих в организации. Учет этих факторов может быть реализован за счет некоторого изменения подхода к реализации структуры отчетного материала. При этом достигается две основные цели: формирование срезов, отвечающих требованиям отдельных персон или кланов, и деление всех проблемных замечаний отчета на краткосрочные (в части возможности их устранения) и долгосрочные. Такой подход, с одной стороны, дает гарантию того, что озвученные проблемы и задачи будут восприняты правильно, а с другой - будут иметь поддержку в процессе реализации.

Назад

 


© 2002 FOSTAS Foundation
Главная страница > Библиотека Карта сайта
Дизайн — Лаборатория НТР