Главный Каталог Статей РФ
87238 авторов, размещено 47366 статей, сейчас на сайте пользователей: 385 Статистика
Аватар acomit

Проводим ИТ аудит?

Категория:  Компьютеры и Интернет  | Автор:  acomit | Опубликовано: 20.04.2009
Введение: что такое ИТ аудит?
Тема ИТ аудита становится все более популярной в широких кругах, давайте внесем ясность, что же такое «Аудит в ИТ».
В какой ситуации кто-либо задумывается проводить ИТ аудит?
Обычно это:
• На работу пришел новый генеральный директор (проводится общий аудит), ИТ директор,
• Руководство не совсем понимает, что происходит в ИТ отделе и на что идут деньги?
• Кто-то кому-то не доверяет, хочется взгляда на проуесс со стороны,
• Хочется проверить, все ли «правильно» делается в ИТ?
• В некоторых случаях закон обязывает проводить независимую оценку ИТ, к примеру, на предмет безопасности ИТ систем.
Какие обычно цели преследуются при проведении ИТ аудита:
• Получение независимой авторитетной информации о работе ИТ,
• Получение авторитетной оценки на соответствие каким-либо нормам и правилам,
• Получение экспертного мнения,
• Соблюдение требований законов.
Для каждой цели могут быть свои модели и способы проведения ИТ аудита. Таким образом необходимо каждый раз уточнять, что же имеется ввиду, и какой смысл стоит за словами «Проведение ИТ аудита».
По отдельным направлениям уже существуют стандарты, группы и ассоциации ИТ аудиторов, но по многим еще нужно подождать «зрелости сообществ» и появления стандартов.
Так как при проведении ИТ аудита намного больше значит «кто проводит», чем «как» и по какой схеме, то частую руководители предприятий обращаются именно к тем, кому доверяют, с просьбой – «посмотрите, как дела у меня с ИТ?». Отметим, что часто такая позиция оправдана:
• Исполнитель знаком с Заказчиком, его бизнесом, основными целями и рисками бизнеса,
• Его мнение авторитетно, следовательно результаты могут быть использованы,
• Разговор с заказчиком будет на «одном языке», что сокращает в несколько раз сроки и бюджет проекта.
Чего ждать от результатов аудита?
Для какой бы цели не проводился ИТ аудит, он должен достичь результата. Отчет аудитора должен быть прежде всего доказателен. Как правило, в отчете содержатся рекомендации, что тоже важно, и часто именно рекомендации являются целью ИТ аудита.
Ведь целью должна являться фиксация текущих результатов и понимание направления движения вперед. Аудит – это не вотум недоверия ИТ службе предприятия, а признак управленческой зрелости команды.
Краткий обзор моделей ИТ аудита
Как уже говорилось ранее, выбор конкретной модели зависит от целей проведения ИТ аудита.
Аудит - «Все ли правильно?» («как надо?»)
В строгом понимании слова, аудит возможен лишь на соответствие чему-либо.
К примеру, аудит ИТ проекта проводится на предмет соответствия нормам, указанным в Уставе проекта, и регламентам организации Заказчика. Каких-либо единых для всех норм по поводу того, как внедрять ИТ проекты – не существует, все носят рекомендательный характер.
Если утвержденных в проекте норм нет – то необходимо говорить скорее об ЭКСПЕРТИЗЕ проекта.
Тоже самое относится и в целом к управлению ИТ в организации. Обязательных для всех норм – не существует. Каждый раз, проводя ИТ аудит, вы должны выбрать «модель», которую считаете эталоном, и сравнивать с ней.
Примеры таких моделей: (но каждая из которых требует адаптации и имеет свои границы применимости) ГОСТ 34.хх, COBIT, ISO 12207, ISO 9001, ISO 20000 и т.д.
Аудит: можно ли эффективней?
Как правило, модели ИТ аудита с такой целью основываются на оценке рисков или же на экспертизе аудитора в какой-либо конкретной области.
Если у заказчика есть сомнения в чем-либо, это можно представить в виде рисков. Следует заметить, что управление на основе рисков требует довольно продвинутого и специфического менеджмента, такая модель не сильно распространена не только у нас, но и на западе. В тоже время, часто проводят аудит с целью снижения какого-либо одного ключевого риска. Все помнят эпопею с ИТ аудитом «проблема 2000».
Аналогично с эффективностью: как правило, речь идет об одной или двух статьях в бюджете, и внимание аудитора привлекают конкретно к ним. В таких вопросах чаще обращаются к экспертизе.

Основные этапы аудита
Фактически, проведение любого ИТ аудита состоит примерно из следующих этапов:
• Уточнение целей и согласование процедур проведения ИТ аудита,
• Проведение обследования и документирования
• Проведения проверок
• Составление рекомендаций и формирование отчета.
Как правило, для проведения таких работ используют интервьюирование, анализ имеющихся документов. У Исполнителя имеется своя база проверочных вопросов для определения реального положения дел в рамках выбранной модели.
На что надо обратить внимание?
Самое главное – это четко определить цели проведения ИТ аудита, записать их и обсудить с аудитором как цели, так и стратегию проведения аудита.
Организации необходимо заранее спланировать саму возможность проведения аудита. На практике часто сталкиваются с такими банальными проблемами, как соглашение о конфиденциальности. Для получения формального доступа к документации часто необходимо согласие разработчика, если не в 99% случаях. Очень редко предприятия предусматривают такую возможность в договорной документации, сокращая свои возможности в будущем.
Таким образом, вопрос, «кто проводит» ИТ аудит является одним из основных. Не достаточно выбрать известный бренд, нужно выбирать тех специалистов, которым вы доверяете. Основную ценность здесь представляют личные знания и опыт аудиторов.
Аудит процессов ITSM.
При проведении аудита процессов ITSM часто используют собственные методики, основанные на ITIL, или же модель CobiT, стандарт ISO 20 000, или модели вендоров.
Обычно, аудит ITSM процессов используется для обоснования и понимания дальнейших путей развития, исправления ошибок. Или же как плановое мероприятие.
В большей части случаев, такие аудиты проводятся при смене руководства, управляющих компаний, кризиса в управлении.
Не зря проекты внедрения ITSM относятся к сложной категории, зачастую, находится только с трудом работающая служба Service Desk на очень дорогом программном обеспечении, и сложные инструкции, написанные консультантами, не имеющими достаточного опыта.
Аудит процессов ITSM в организации с применением формальных моделей хорош как регулярное, изначально запланированное мероприятие. Когда проект планомерно развивается несколько лет.
В проектах такого рода огромное значение имеет правильно отстроенное отношение с бизнесом, правильная мотивация ИТ персонала и всей команды. В ITIL приводится оценка, что «мягкие» (не связанные с техникой) факторы определяют успех проекта на 70%. И уж точно, применение формальных подходов аудита имеет мало смысла, где не распространена сама концепция ITSM. Результаты такого аудита можно написать еще до его проведения.
Не стандартные варианты проведения аудита
Часто ИТ аудит проводят не «широким фронтом», а для решения конкретных задач сегодняшнего дня.
При ведении большого проекта, иногда фирму аудитора привлекают для работы в регулярном режиме. Это приводит к расчетному удорожанию проекта на 5-10%, но резко снижает риски проекта. Т.е. по факту, снижает совокупную стоимость проекта. Крайне редки случаи превышения бюджета, а если аудитор получает премиальные от экономии бюджета – то его усилия всегда оправдываются.
Бывает, не хватает информации для обоснования большого проекта, или проведения больших изменений в проекте. В некоторых случаях обосновать аудит проще, чем проект подготовки технико-экономического обоснования. Аудитор может предоставить реальную информацию и рекомендовать нужный для организации проект, даже не подозревая о такой цели аудита.
Проведение аудита возможно также для целей смены, дублирования подрядчика. Сложные проекты или услуги выполняются большими командами специалистов, и быстро заменить команду всегда является крайне серьезной проблемой. При смене команды всегда имеется большой риск резкого «спада производительности», если уже объявлено о смене состава. Проведение аудита дает возможность новым сотрудникам подготовится к работе, участвуя в аудите, и исключить фактор «демотивации» предыдущей команды в проекте.
Снижение недовольства пользователей ИТ услугами. Зачастую, ИТ директор не имеет достаточно авторитета в организации, по сравнению с ее ключевыми менеджерами. Если зреет конфликт, то имеет смысл привлечь «авторитет» со стороны.


Источник: ИТ компания acomIT – услуги ИТ аудита

Комментарии
К этой статье пока нет комментариев. Станьте первым! У нас гости не могут комментировать статьи. Пожалуйста авторизуйтесь или зарегистрируйтесь, чтобы прокомментировать.
Интересные статьи по теме
Аватар shuraarh
"Чистая комната" или ламинарный бокс? Что больше подойдет для органиации ремонта жестких дисков? Когда жесткий диск получает физическое повреждение, процесс восстановления данных и ремонт диска требует высокую степень внимательности и опыта. Процесс восстановления включает в себя удаление диска и...
Категория: Компьютеры и Интернет | Автор: shuraarh | Добавлено: 20.08.2013
Аватар Евченко Тарас
Плюсы и минусы виртуального общения Статья посвящена проблеме виртуального общения, ставшей столь актуальной в последние годы....
Категория: Компьютеры и Интернет | Автор: Евченко Тарас | Добавлено: 14.12.2009
Аватар itsfedorov
Обзор рабочих пространств в AutoCAD В статье рассматриваются все рабочие пространства в AutoCAD....
Категория: Компьютеры и Интернет | Автор: itsfedorov | Добавлено: 06.10.2010
Аватар illureal
Как выбрать б.у. ноутбук Если рассматривать рынок б.у. ноутбуков, то экономия выходит вполне значительная. Ноутбук – изначально не дешевая вещь. Бывший в употреблении ноутбук стоит не более 60% от стоимости аналогичного новог...
Категория: Компьютеры и Интернет | Автор: illureal | Добавлено: 20.04.2010
Аватар 448
Редактирование WordPress шаблонов. В этой статье не будет написано как из бесплатной убогой темы сделать супер крутую, да и написать такую статью не возможно. Здесь я опишу как можно легко сделать небольшой «косметический» ремонт шабло...
Категория: Компьютеры и Интернет | Автор: 448 | Добавлено: 08.07.2009
Свежие комментарии
Ну, вот это я понимаю, настоящая инструкция для тех, кто хочет не просто «привет, как дела», а чтобы дамы сами в личку ломились! Как говорится, техник...

Читать >>

Куклы-обереги действительно имеют глубокий символизм и интересную историю, которая часто теряется в современных интерпретациях. Например, многие не зн...

Читать >>

Полностью поддерживаю подход, описанный в статье! Рисование — не просто творческое занятие, а ключевой инструмент для развития ребёнка. Как детский пс...

Читать >>

Интересная подборка ошибок, но не могу не высказать скепсис по поводу части рекомендаций. Например, о зарядке только до 80% — это логично с техническо...

Читать >>

Работал соцработником пару лет, и вот что не написали: это не только помощь людям, но и куча бумажек, отчётов и согласований. Бывает, половина времени...

Читать >>

Лучшие авторы
Аватар tanir23
создать сайт самому
Posting в форуме позволит В...

Читать

Аватар step-ler.ru
Каталог вакансий в России и странах СНГ
Каталог...

Читать

Напишите нам