Прошлое, настоящее и будущее аудита ИТ. Стандарт CobiT редакции 4.0

Прошлое, настоящее и будущее аудита ИТ.

Стандарт CobiT редакции 4.0

Аудит информационных систем и технологий 2000 – 2010 г. От условно бесплатной морковки при продаже программно-аппаратного обеспечения к востребованной, зрелой и регулярной услуге

,

генеральный директор компании ООО "GSV", Москва

руководитель рабочей группы *****

E-mail: *****@***ru

Содержание

Ø  Введение

Ø  Определение аудита информационных систем и технологий

Ø  Прошлое, настоящее, будущее аудита ИТ

Ø  Накопление истории российских компаний. Требование знать о себе больше. Регулярный аудит ИТ

Ø  Новое в открытом стандарте CobiT редакции 4.0

Ø  Заключение

Введение

Пять лет назад аудит информационных систем и технологий являлся «услугой не для всех», «черным ящиком» исследующим другие черные ящики: информационные системы и технологии российских компаний.

За прошедшие пять лет участники рынка сформировали понимание необходимости аудита информационных систем и технологий, но оправданность выполнения аудита ИТ, непрозрачность проектов, отсутствие опыта и квалифицированных специалистов, а также погоня за сиюминутной выгодой при подготовке выводов и заключений зачастую не давало получать максимальную выгоду от оказания этой услуги.

Основной методикой продвижения услуги на российском рынке являлось дополнение к продаже общего аудита для консалтинговых компаний или как дополнение к установке и настройке сложного оборудования, внедрения информационных систем или программного обеспечения. Вначале термин аудит вызывал отторжение как у заказчиков так и у исполнителей, синонимами аудита ИТ могли быть: экспертиза, оценка, обследование, исследование, подготовка рекомендаций. Как бы не называлась участниками рынка эта деятельность (аудит ИТ) она, в сравнении с общим аудитом, не являлась обязательной к исполнению контрольной деятельностью регламентированной государством.

Несмотря на эти аспекты аудит информационных систем и технологий, пройдя через этапы зрелости, занял свое место в пакете услуг декларируемых российскими консалтинговыми компаниями и компаниями системными интграторами.

Прошлое, настоящее, будущее аудита ИТ 010 годы

Отрывки по материалам статьи участников рабочей группы *****.

Некоторые характеристики прошлого 2000 год:

Ø  Услуга, продаваемая только в комплексе с другими услугами: продажа оборудования и программного обеспечения, разработка и внедрение ПО, реинжениринг, менеджмент качеством и управление проектами.

Ø  Неведомый зверь для Заказчиков и Исполнителей (страшный, непонятный, неясный). Деятельность, которая также опасна и утомительна, как финансовый аудит, только необязательна для ИТ.

Ø  Одной из причин развития направления стал аудит информационной безопасности, разрабатываемый и заказываемый для решения «Проблемы 2000 года».

Ø  Это Вы нам должны платить за Это. Вы не знаете нас! Где Ваша лицензия? Не лезьте в наш бизнес – там все очень сложно. Бизнес для бизнесменов, Деньги для финансистов, ИТ для ИТшников.

Ø  Редкое своевременное практическое применение результатов аудита. По разным причинам: нет стратегии, нет тактического и операционного планирования в ИТ.

Некоторые характеристики настоящего 2005 год:

Ø  Растет число проектов по аудиту информационных систем и технологий не только с точки зрения информационной безопасности. Дополнение аудита другими критериями оценки, комплексное исследование ИТ. Первые шаги в аудите моделей процессного управления услугами ИТ;

Ø  Основные причины развития направления: бизнес основанный на ИТ, требования акта SOX и деятельность ЦБ РФ. Это основные «паровозы» рынка аудита ИТ, при этом необходимо отметить что заказчиками услуги все чаще становятся не только крупнейшие компании (лидеры отраслей) и финансовые институты;

Ø  До сих пор остается открытым вопрос самодостаточности аудита ИТ, как отдельной услуги. При этом опыт выполнения и оценки проектов по аудиту ИТ показывает, что смешение аудита и проектной деятельности по реализации рекомендаций приводит к курьезным ситуациям;

Ø  Далеко не всегда региональные компании-исполнители готовы оказывать аудит ИТ по описаниям и ТКП заимствованным у западных и московских компаний.

Будущее 2010 год:

Ø  Комплексный аудит информационных систем и технологий - зрелая, самостоятельная услуга. Инструмент, применяемый при решении реальных задач;

Ø  Одна из основных решаемых задач - повышение эффективности инвестиций в информационные системы и технологии. Аудит ИТ отвечает на вопросы интеграции парка разнообразного оборудования и ПО приобретенного за прошедшие годы;

Ø  Ориентация на профессиональные команды при проведении аудита информационных систем и технологий. Расцвет бутиковых компаний – компании одной или нескольких основных услуг (в том числе аудит ИТ);

Ø  Объективная и прозрачная структура стоимости проекта по аудиту информационных систем и технологий;

Ø  Повышения уровня регламентирования и стандартизации аудита ИТ. Возможно, обязательное лицензирование. Накопление истории аудита ИТ российских компаний. Повышение требовательности к себе, желание знать о себе больше. Проведение регулярного аудита.

Новое в открытом стандарте CobiT редакции 4.0

Пять лет практического применения стандарта CobiT во всем мире не прошли даром, многие из этих настоящих и будущих тенденций в аудите ИТ нашли свое отражение в новой, четвертой редакции открытого стандарта CobiT. Разные источники информации (принципы управления, объекты контроля, структура стандарта) объединены в одну удобную книгу. Значительно изменено оформление стандарта, что повлияло на удобство его прочтения и использования.

Первое что бросается в глаза при изучении документа:

Ø  базовые принципы CobiT не изменились

Ø  претерпели значительные изменения структура и содержательное наполнение:

o  стало гораздо меньше общих слов

o  переработана аннотация, которая дает полное представление о содержании и тематике документа

Ø  процессная структура стандарта стала четче, те незначительные изменения в процессной модели, сделанные в структуре стандарта по сравнению с третьей редакцией позволяют в новом свете увидеть все грани кристалла, в который превращается стандарт.

Отдельного внимания достойно такое новшество стандарта как «Медитативная звезда» - схема, отражающая области концентрации управления ИТ. Медитативная звезда – приведена для каждого процесса управления ИТ.

Фокусы звезды в части управления ИТ:

Ø  Выравнивание стратегий бизнеса и ИТ

Ø  Добавление выгод от ИТ

Ø  Управление ресурсами

Ø  Управление рисками

Ø  Управление производительностью

Значительное изменение произошло в описании ресурсов ИТ. Теперь ИТ ресурсы «звучат» следующим образом:

Ø  Приложения

Ø  Информация

Ø  Инфраструктура

Ø  Люди

В целом – стандарт стал на порядок более зрелым. Поиск информации стал удобен. При этом базовый комплексный процессный подход к управлению ИТ сохранен.

В первой книге четвертой редакции нет ни одного слова об аудите ИТ. Можно надеяться, что принципы аудита для четвертой редакции стандарта появятся в ближайшее время.

Заключение

Заглядывать в будущее неблагодарная, но необходимая деятельность. В идеале этим необходимо заниматься экспертам, но на российском рынке их мало. Компания РБК с ресурсом CNEWS и исследований некоторых ведущих аналитических агентств за прошедшие годы явно недостаточно для формирования объективного, независимого и значимого мнения об аудите информационных систем и технологий. Только в годах консалтинговые компании и системные интеграторы начали расширять портфель своих услуг аудитом ИТ, а Заказчики реально потреблять эту услугу. Возникли потребности в методиках и стандартах, квалифицированных специалистах и работах по анализу и оценке рынка.

Планы Лондонской биржи в ближайшие годы, вслед за NYSE ужесточить свои требования к участникам, позволяет говорить о повышении интереса к аудиту ИТ со стороны многих российских компаний. Не все смогут остаться «над процессом», как происходит это сейчас, когда множество компаний с интересом следит за подготовкой пяти-восьми компаний, акции которых размещены на NYSE, к прохождению аудита на соответствие требованиям Акта SOX.

На порядок повышенные требования к руководителям и специалистам, принимавшим участие в подобных проектах и достигнувших результатов, нарабатываемый кругозор и высокие профессиональные знания – позволяет предположить их востребованность на рынке -> переходы -> и цепную реакцию в распространении методологий и знаний.

Накопление статистической информации о выполняемых проектах, успехах и неудачах команд и компаний – это первые инструменты для прогнозирования будущего консалтинга в сфере ИТ для российского рынка и для аудита информационных систем и технологий.

Одними из интереснейших проектов по аудиту информационных систем и технологий должны стать проекты по аудиту программ электронного правительства и аудит внедрения Oracle E-Business Suite, в компаниях Связьинвест. Интересует не только и не сколько с точки зрения финансовых инвестиций, что важно а с точки зрения достижения заявленных целей. Аудит таких проектов создадут серьезный прецедент на рынке ИТ, повысит значимость и результативность аудита информационных систем и технологий.