ИТ-аудит на малых и средних предприятиях

Размещено на http://www.allbest.ru/

ИТ-аудит на малых и средних предприятиях

В настоящее время, ввиду повсеместной автоматизации, наблюдается постоянное увеличение зависимости хозяйствующих субъектов от информационных технологий. Большинство руководителей признает, что успешное функционирование компании на рынке и обеспечение надлежащего уровня конкурентоспособности напрямую зависит от состояния информационных технологий в организации. Поэтому любому предприятию необходимо средство контроля и управления не только за ключевыми бизнес-процессами, но и за информационными технологиями, их поддерживающими.

Подобным средством контроля и управления на предприятии может выступать аудит. Регулярное проведение процедуры аудита позволяет накопить информацию о состоянии организации, которая в дальнейшем может быть использована для оптимизации деятельности предприятия.

В целом, под аудитом понимают процесс, посредством которого компетентное независимое лицо накапливает и оценивает свидетельства об информации, поддающейся количественной оценке и относящейся к соответствующей системе, чтобы определить и выразить в своем заключении степень соответствия этой информации общепринятым или обозначенным критериям [6].

На данный момент сложились две основные концепции понимания того, что следует считать аудитом. Это, во-первых, аудит в узком смысле слова, под которым подразумевается только проверка достоверности и соответствия представленной финансовой отчетности предприятия бухгалтерским стандартам и правилам. И, во-вторых, аудит в широком смысле слова, под которым в эпоху информационного общества стали понимать не столько аудит отчетности, сколько аудит всего бизнеса. В данном случае аудиту подвергаются не только данные финансовой отчетности, но и информация, получаемая при исследовании хозяйственных, технологических, информационных и управленческих процессов. При этом ИТ-аудит является одной из составляющих аудита в широком смысле. ИТ-аудит нацелен на получение адекватной картины текущего состояния ИТ и идентификацию проблемных областей в части ИТ-поддержки основной деятельности организации [8].

Цель проведения ИТ-аудита состоит в оценке производительности используемых на предприятии информационных технологий, выявлении узких мест в их работе и прогнозировании возможных сбоев. И, в конечном итоге, улучшении текущего состояния информационных технологий в компании посредством оптимизации работы ИТ-подразделения и используемых информационных технологий.

Результаты ИТ-аудита позволяют:

• оценить соответствие ИТ-инфраструктуры требованиям бизнеса,

• выявить недостатки функционирования ИТ,

• выстроить ИТ-инфраструктуру, соответствующую протекающим в организации бизнес-процессам;

• повысить качество принимаемых решений, касающихся инвестиций в развитие ИТ в организации,

• сократить сроки внедрения новых средств ИТ.

Несмотря на актуальность ИТ-аудита, вопрос нормативного регулирования его проведения в Российской Федерации довольно неоднозначен. Существует Федеральный закон «Об аудиторской деятельности», который регулирует аудиторскую деятельность в финансовой сфере, но совершенно не затрагивает процедуру проведения ИТ-аудита.

Вопросу ИТ-аудита и внутреннего контроля за ИТ посвящены несколько зарубежных стандартов аудита и российский стандарт «Аудит в условиях компьютерной обработки данных (КОД)». Однако сложностью применения большинства стандартов при проведении ИТ-аудита является их направленность, в первую очередь, на проведение аудита финансовой деятельности, реализуемой с использованием информационных технологий. К таким стандартам можно отнести Положения по международной аудиторской практике (ПМАП) 1002 «Онлайновые компьютерные системы», ПМАП 1003 «Среда КИС - системы баз данных», ПМАП 1008 «Оценка рисков и система внутреннего контроля», стандарт «Аудит в условиях компьютерной обработки данных (КОД)», Международный стандарт аудита 401 «Аудит в среде компьютерных информационных сетей».

Из рассмотренных существующих стандартов проведения ИТ-аудита международный стандарт CobiT (Control Objectives for Information and Related Technologies) является самым развернутым, и при этом ориентируется на проведение аудита ИТ-инфраструктуры. СоbiT является синтезом четырех десятков международных стандартов в области аудита, контроля, управления информационными технологиями и информационной безопасности. [12]

Акцент в CobiT делается не на детальном описании процессов, а на методах их организации, оценки, измерения и т. п. CobiT, благодаря единой терминологии, служит своеобразной платформой, обеспечивающей общение и понимание процессов организации между всеми участниками бизнеса: топ-менеджерами, руководителями среднего звена, непосредственными исполнителями (инженерами, программистами и т. д.) и аудиторами [5].

Объектами ИТ-аудита являются различные составляющие ИТ-инфраструктуры предприятия - оборудование, программное обеспечение, средства электронной коммуникации и информационной безопасности.

В процессе аудита программного обеспечения производится инвентаризация используемых прикладных, серверных и пользовательских программ, анализ полноты лицензирования, оценка оптимальности выбранной программы лицензирования с позиции финансовых затрат.

Не менее важной задачей при проведении аудита программного обеспечения является задача обнаружения в сетевой инфраструктуре компании неучтенного и нелицензионного программного обеспечения, поскольку данный софт - это потенциальная брешь в системе информационной безопасности, а использование пиратского программного обеспечения нарушает законодательство.

В процессе аудита средств электронной коммуникации производится анализ внешних каналов передачи данных и технология обмена информацией с внешними сетями и системами связи. Преимущественно, в рамках данного аудита обследуется организация телефонной связи и электронной почты.

Аудит информационной безопасности включает в себя анализ систем информационной безопасности, систем хранения и резервирования данных, средств защиты от вирусов, спама, несанкционированного проникновения и т. п. [3].

Как правило, в базовый перечень исходных данных для проведения ИТ-аудита включаются таким аспекты деятельности предприятия, как:

• организационная структура предприятия;

• описание основных бизнес-функций подразделений;

• состав действующих информационных систем, сроки их эксплуатации и функциональное назначение;

• бизнес-процессы, поддерживаемые системами; ? состав используемых программных продуктов;

• пользователи систем;

• функциональные задачи подразделений и конечных пользователей в рамках систем;

• состав организационно-технической документации на системы (технические задания, проектная документация);

• структура службы ИТ и ее подчиненность;

• перспективные планы работ по развитию ИТ;

• ИТ-бюджет‚ процедуры его формирования, использования и контроля исполнения [4].

Некоторые из представленных пунктов могут быть предоставлены заказчиком ИТаудита еще до запуска процедуры ИТ-аудита. Тогда в рамках ИТ-аудита стоит задача проверки актуальности предоставленной информации и степени ее соответствия реальному положению дел.

На этапе подготовки к процедуре ИТ-аудита изучается существующая документация по ИТ-инфраструктуре организации, планируется и согласовывается график аудита, согласовываются методы сбора данных.

На этапе обследования ИТ-инфраструктуры предприятия проводятся тестовые испытания функционирования ИТ-инфраструктуры в соответствии с методикой аудита информационных технологий, разработанной и согласованной на предыдущем этапе.

Этап 3. Анализ результатов обследования:

На данном этапе на основании исходных данных и тестовых испытаний проводится комплексный анализ собранной информации и определение степени соответствия ИТинфраструктуры требованиям заказчика. Аудиторами осуществляется:

• комплексный анализ собранной информации, выявления тенденций;

• определение степени соответствия ИТ-инфраструктуры требованиям Заказчика;

• выработка рекомендаций по созданию/ модернизации/ оптимизации ИТинфраструктуры;

• составление итогового отчета о результатах ИТ-аудита.

В итоговом отчете о состоянии ИТ-аудита должны быть отражены следующие аспекты:

1. Основания для проведения аудита. Приводится описание организационных решений по проведению аудита: график аудита, его объект и цели, заказчик проведения.

2. Направления аудита. Описываются методика проведения аудита, состав проверяемой документации, перечень проведенных интервью и краткое содержание выявленной по их результатам информации.

3. Сводка фактов по целям и задачам проекта ИТ-аудита с точки зрения заинтересованных лиц.

4. Сводка фактов по идентифицированным и подтвержденным результатам проекта ИТ-аудита. В рамках данного аспекта должны быть описаны фактически полученные содержательные результаты, направленные на удовлетворение информационных потребностей конечных пользователей и информационную поддержку основных и вспомогательных бизнес-процессов.

5. Сводка идентифицированных пробелов. В этом разделе раскрывается перечень отсутствующих, но запланированных результатов, дается их характеристика с точки зрения влияния их отсутствия на ожидаемый возврат от инвестиций в реализацию ИТ-проектов.

6. Краткая характеристика текущего состояния ИТ в организации. Этот раздел состоит из нескольких подразделов, которые отражают состояние ИТ в организации. В подразделах может быть описано состояние в области применения ИТ, области организации управления и планирования ИТ, в области ИТ-обслуживания, персонала службы ИТ и информационной безопасности.

Исходя из полученных результатов ИТ-аудита организации предоставляются рекомендации по совершенствованию процессов управления эксплуатацией и развитием информационных технологий [6].

Для автоматизации проведения комплексного ИТ-аудита могут быть использованы следующие системы: «ЭкспрессАудит ПРОФ», «AuditXP «Комплекс Аудит», «HITpsa», «AuditNET 2.0» [1].

Если же говорить об особенностях проведения ИТ-аудита на предприятиях малого бизнеса (МБ), то, в первую очередь, они связаны со спецификой данных предприятий, которая частично отражена в виде критериев отнесения организации к сегменту СМБ в Федеральном Законе № 209 «О развитии малого и среднего предпринимательства в Российской Федерации» от 06.07.2007 г. Эти критерии касаются состава учредителей, средней численности работников и размера годовой выручки.

Относительно годовой выручки в законе указано, что максимально допустимая сумма годовой выручки без НДС за предыдущий год для малых предприятий составляет до 800 млн рублей, для средних предприятий - до 2 млрд рублей. Допустимая среднесписочная численность работников: не более 100 человек для малых и не более 250 человек для средних предприятий.

К СМБ также могут быть отнесены ИП, в отношении которых действуют такие же критерии разделения на категории бизнеса: по годовой выручке и численности работников. Если у ИП нет работников, то его категория МСБ определяется только по размеру выручки.

При этом значения критериев, закреплённых в законе № 209-ФЗ, должны определяться для каждого предприятия ежегодно, по данным предшествующего календарного года. [9]

Например, в совместном исследовании Microsoft и Международной школы бизнеса Хальта, направленного на изучение рынка СМБ в Центральной и Восточной Европе, выявлено, что большинство современных компаний СМБ в процессе реализации своей деятельности сталкиваются с определенными сложностями, в числе которых и конкуренция с крупными компаниями.

При этом 18 % опрошенных называют камнем преткновения в борьбе за долю рынка недостаток современных технологий и инвестиций в них, которыми располагают крупные компании. Более 70 % компаний СМБ уверены, что ИТ обеспечивает гибкость, 85 % согласны, что технологии позволяют экономить время на рутинных операциях и использовать его для решения стратегических задач [7].

В другом исследовании, проведенном исследовательской компанией Wakefield Research по заказу HP выявлено, что:

• 89 % компаний СМБ имеют проблемы, связанные с ИТ.

• 54 % опрошенных руководителей малого бизнеса летом работают удаленно, при этом не всегда проблемы ИТ могут решаться адекватно и своевременно.

Согласно же статистике разработчика технологий аудита Netwrix, опубликовавшего результаты исследования, посвященного анализу используемых технологий изменения ИТинфраструктуры, установлены следующие факты:

• 65 % ИТ-специалистов вносят изменения в ИТ-инфраструктуру предприятия, которые приводят к остановке работы; 52 % вносят в ИТ-системы изменения, которые сопровождаются простоями каждый день или раз в неделю, а 39 % вносят изменения, которые приводят к появлению брешей в системе безопасности компаний [2].

Исходя из результатов приведенных исследований, можно сделать вывод, что большинство представителей СМБ осознают влияние ИТ на эффективность работы компании и ее положение на рынке. Большинство из них при этом сталкиваются с проблемами, связанными с нарушением или неэффективной работой ИТ-инфраструктуры предприятия, и осознают необходимость изменений для улучшения работы ИТ.

Проведение же ИТ-аудита в данном случае помогло бы установлению причин нарушения нормальной работы ИТ и дальнейшему избеганию проблемных ситуаций. Этот факт подтверждает, что и для представителей СМБ вопрос проведении ИТ-аудита является актуальным.

Особенности проведения ИТ-аудита в СМБ можно условно разбить на несколько групп, связанных с различными аспектами:

1. С персоналом ИТ-службы.

В организациях СМБ ИТ-специалистов гораздо меньше, и обычно они обеспечивают работу технологической составляющей предприятия, в то время как в крупных фирмах ИТспециалисты занимаются реализацией бизнес-стратегий.

2. Требования к ИТ.

В отличие от крупного бизнеса, требования небольших и средних предприятий к ИТ просты и в большинстве случаев одинаковы. Поэтому предприятия малого бизнеса являются потребителями универсальной технологической продукции. Небольшая цена информационно-технологического оборудования и простота доступа к сервисному обслуживанию являются важнейшими критериями при его выборе.

Отсюда вытекает особенность - однотипность и стандартность используемых различными организациями СМБ технологий, а это облегчает проведение аудита программного обеспечения в рамках ИТ-аудита.

3. Стоимость ИТ-решений.

При выборе той или иной информационной технологии предприятия малого бизнеса в большинстве случаев ограничены в своем капитале, следовательно, они в большей степени зависимы в отношении цены и качества в сравнении с крупными предприятиями.

Отсюда следует, что и при выборе компании, проводящей ИТ-аудит, руководство будет ориентироваться, в первую очередь, на стоимость проекта и качество услуг.

4. Направленность на решение текущих задач

Для предприятия малого бизнеса первостепенной задачей является выбор такого решения, которое позволит справиться с текущими проблемами [7].

Поэтому организации СМБ в большинстве случае проводят ИТ-аудит только при возникновении проблем в работе ИТ-инфраструктуры, нарушающих деятельность всей организации.

Литература

аудит управление бизнес

1. Аудит, анализ // [Электронный ресурс] / Audit-it.ru. URL: https://www.auditit.ru/software/auditing/ (дата обращения: 12.01.2018).

2. Две трети компаний сами ломают свои ИТ-системы // [Электронный ресурс] / CNews.

URL: http://archive.li/eTEMJ#selection-1131.0-1131.46 (дата обращения: 10.01.2018).

3. Комплексный ИТ-аудит // [Электронный ресурс] / Progress. URL: http://itprogress.ru/solutions/consulting/it-audit/ (дата обращения: 20.12.2017).

4. Левочкина Г.А., Калянов Г.Н., Васильев Р.Б. Управление развитием информационных систем. - Интуит, 2009.

5. Обзор стандарта COBIT (Control Objectives for Information and related Technology) v. 4.1. Методология, процессы, критерии, внедрение Cobit. // [Электронный ресурс] / ITExpert. URL: http://www.itexpert.ru/rus/biblio/cobit/ (дата обращения: 19.12.17).

6. Понятие, классификации и концепции аудита // [Электронный ресурс] / Финансовый университет при правительстве РФ. URL: http://www.old.fa.ru/science/iscience/Pages/Ponyatie,klassifikatsii-i-kontseptsii-audita.aspx (дата обращения: 21.12.2017).

7. Российский средний и малый бизнес готов к цифровой трансформации // [Электронный ресурс] / Microsoft. URL: https://news.microsoft.com/ru-ru/rossijskij-srednij-imalyj-biznes-gotov-k-tsifrovoj-transformatsii/#_ftnref1 (дата обращения: 10.01.2018).

8. Ситнов А.А. Комплексный аудит информационной системы: учебное пособие. - М.: Изд. центр ЕАОИ, 2012.

9. Федеральный закон "О развитии малого и среднего предпринимательства в Российской Федерации" // [Электронный ресурс] / КонсультантПлюс. URL: http://www.consultant.ru/document/cons_doc_LAW_52144/ (дата обращения: 12.01.2018).

Размещено на Allbest.ru