Основные цели аудита информационных систем

В настоящее время информационные технологии оказывают существенное влияние на производственные процессы предприятий. Это очевидно. Почему же в одних компаниях информационные системы обеспечивают оптимальную организацию процессов производства, повышают эффективность управления, осуществляют планирование и прогнозирование, анализ рисков и т. д., а в других компьютер все еще остается усложненным калькулятором и инструментом подготовки документов?

Проблемы анализа эффективности использования ИТ группы предприятий представляют определенный интерес, поэтому есть повод исследовать их. К этой группе относятся крупные государственные учреждения, министерства, ведомства — все те организации, ошибки в развитии информационных систем которых не имеют на первый взгляд критических последствий, в отличие, скажем, от коммерческих учреждений, чьи позиции на рынке напрямую связаны с эффективным управлением.

Почему вся активность в области ИТ в данной группе носит не регулярный, а периодический характер, в значительной степени зависящий от волевых решений руководства («срочно внедряем новую систему!»), а ИТ-подразделение оторвано от производственных потребностей («мы сами лучше знаем, что надо нашим пользователям»)? Собственно, ответ содержится в вопросе. Потому что ИТ построены таким образом, что не подразумевают соответствия бизнес-потребностям предприятия, скорее всего наследуя схему вычислительных центров советского периода. Все новые процессы в данной области сводятся к приобретению следующего поколения рабочих станций, а корпоративная сеть всего лишь изменила способ доставки информации: вместо дискет используются каталоги совместного доступа, в лучшем случае электронная почта.

По поводу аудита информационных систем (далее аудит) в мире накоплен колоссальный опыт. Он обобщен известной организаций ISACA (InformationSystemsandControlAssociations, www.isaca.org) и сформирован в виде соответствующих нормативов и методик под общим названием COBIT (ControlObjectivesforInformationandrelatedTechnologies — Задачи управления для информационных и связанных с ними технологий). Собственно же аудит заключается в:

1) изучении текущего состояния и планов развития информационных технологий на конкретном предприятии;

2) сравнении результатов с тем, как должны работать информационные системы в идеальном (оптимальном) состоянии (то есть с соответствующими стандартами в данной области);

3) выработке рекомендаций для данного предприятия — что необходимо сделать, чтобы максимально приблизиться к указанным стандартам.[8]

Первая и самая главная — стоимость работ. Действительно, трудно предположить, что будет дешевой работа группы высокопрофессиональных ИТ-специалистов, которые проведут:

· анкетирование специалистов по отдельным направлениям;

· интервью с ключевыми работниками;

· изучение имеющейся нормативной документации, организационной структуры, принципов управления ИТ;

· выборочное или массовое тестирование аппаратного обеспечения, производительности сети;

· анализ накопленной информации;

· выработку соответствующих экспертных оценок и рекомендаций;

· подготовку развернутого отчета по результатам работ;

Соответственно, когда руководство предприятия-заказчика плохо представляет себе конкретные результаты работ, платить значительные суммы никто не захочет. Дополнительный негатив вносят специалисты по аудиту, которые формируют отчет в виде типового рапорта, слепо следуя имеющимся методикам. Приведем пример.

Нет классификации данных — необходимо произвести классификацию данных;

· отсутствует политика NN — следует разработать политику NN;

· не произведена оценка рисков — провести оценку рисков.

В рассматриваемой группе предприятий с высокой степенью вероятности будет отсутствовать большинство из требуемых стандартами пунктов. При получении отчета с простой констатацией отсутствия и рекомендациями о том, что необходима дальнейшая работа (без детальной приоритизации, развернутого плана действий, проектов требуемых нормативов, выписок из используемых стандартов и методик), у руководителя организации сложится весьма негативное мнение об аудите. Если окажется, что итоговый отчет представлен в виде двух-трех томов по 500 страниц, основную часть которых занимают рассуждения о преимуществе трехзвенной архитектуры перед файл-сервером и о перспективах развития беспроводных технологий, то, скорее всего, отчет окажется в пыльном шкафу, изученным и использованным процентов на десять.[5]