Развитие Ит-Аудита
ИТ-аудит — услуга сопутствующая, призванная дополнять другие ИТ-услуги, такие, например, как ИТ-аутсорсинг, разработка стратегии ИТ, реализация проектов по внедрению различных элементов и модернизации ИТ-инфраструктуры, повышению эффективности и качества деятельности предприятия и т.п., — говорит Артем Козин, руководитель проектов компании Energy Consulting/Integration. — Сейчас происходит смещение интереса от ИТ-аудита как отдельной, самодостаточной услуги, предоставляющей результаты безотносительно к бизнес-деятельности, к ИТ-аудиту как услуге, дополняющей отдельные "конечные" ИТ-продукты и дающей результаты, осязаемые бизнесом-процессом.
Многие отечественные предприятия сталкиваются с тем, что происходит устаревание используемого технического и программного обеспечения и появляется необходимость его модернизировать. И тогда руководители предприятий стали понимать, что, прежде чем что-либо приобретать, необходимо провести анализ того, что есть, затем обратиться к аудиторам и получить их рекомендации. "Предприятия заменили программное и аппаратное обеспечение и внедрили современные информационные системы. Обычно такие работы выполняются однократно, — замечает заместитель генерального директора аудиторско-консалтинговой компании "Холд-Инвест-Аудит" Дмитрий Плаксин. — Те организации, которые действительно нуждались в регулярном ИТ-аудите (это крупные производственные и торговые предприятия и холдинги), выстроили у себя структуру ИТ-поддержки, обеспечивающую приемлемый уровень ее обслуживания.
Генеральный директор компании GSV Сергей Гузик считает, что изменился и фокус ИТ-аудита: "Если раньше заказчики услуг ИТ-аудита полагали, что у них в целом все хорошо и просили аудиторов подтвердить это, то сейчас такой уверенности нет практически ни у кого. К заказу таких услуг подходят все более осторожно и ответственно, воспринимая ИТ-аудит как серьезный инструмент управления ИТ-структурой, который выявляет недостатки не только в области ИТ, но и в бизнес-процессе компании".
Григорий Юркин, руководитель направления в компании "Консультационная фирма МРЦБ", утверждает, что интерес к ИТ-аудиту появляется именно сейчас, когда усложняется ИТ-инфраструктура и программное обеспечение, информационные технологии становятся одной из важных составных частей организма любого предприятия и растут расходы на поддержку этого организма. "Интерес к ИТ-аудиту не ослабнет никогда, он будет только расти с появлением новых технологий", — уверен Юркин.
Что и как часто аудировать?
Предметом ИТ-аудита являются информационные технологии и решения, применяемые в организации. В зависимости от цели проведения ИТ-аудита могут подлежать как вся инфраструктура предприятия, так и отдельные ее компоненты (вычислительная техника, локальная сеть, системное и прикладное программное обеспечение).
По наблюдениям Плаксина, "сейчас аудит ИТ представляет собой, помимо собственно аудита применяемых ИТ-решений на соответствие задачам предприятия и требованиям законодательства, также системный анализ рисков, связанных с использованием информационных технологий в бизнесе предприятия".
Сами по себе результаты аудита сейчас мало кого интересуют. Больший вес имеют рекомендации специалистов, касающиеся ИТ-инфраструктуры. По мнению Козина, в той или иной мере аудит осуществляется при проведении любых работ, выполняемых консультантами, будь то проектная деятельность или обычная консультация специалиста: "Сначала определяется цель, ставится задача, затем собирается информация, она обрабатывается, анализируется, принимается решение. По нашему мнению, современный ИТ-аудит представляет наибольшую ценность именно в своей последней фазе — принятия решения".
Александр Фролов, руководитель проектов компании IRP Technology, считает, что "процедура ИТ аудита в компании подразумевает сбор, анализ и предоставление руководству компании информации о текущем состоянии ИТ, о рисках, связанных с уязвимыми местами информационных систем, и выдачу рекомендаций по снижению этих рисков и повышению качества функционирования подсистем".
На периодичность проведения ИТ аудита влияют разнообразные факторы: скорость роста бизнеса, изменение структуры организации, изменение или возникновение новых бизнес-процессов, частота внедрения новых ИТ-решений, способ поддержки и частота изменений существующих информационных систем и др. И это далеко не полный список.
"Основными факторами, влияющими на периодичность и частоту проведения, следует отметить внешние требования (ЦБ РФ, ISO, закон Сарбейнса — Оксли и т.п.), смену руководства службы ИТ, актуализацию ИТ-стратегии компании, прохождение службой ИТ внутреннего и внешнего аудита, — добавляет Гузик. — Следует помнить, что при отсутствии регулярного аудита и проведении повторного аудита в течение года (максимум) после первого почти полностью обесценивает его результаты и рекомендации и не позволит обеспечить преемственность и последовательность в управлении ИТ предприятия".
А судьи кто?
Справедлив вопрос: каким критериям должна соответствовать ИТ-инфраструктура организации в ходе аудита?
"Руководство компании и персонал", — считает Юркин. "Следует проверять ИТ на соответствие стандартам COBIT, основная ценность которых в том, что они предлагают модель, обеспечивающую взаимосвязь между бизнес-целями и ИТ-процессами", — говорит Фролов. "Критерии определяются в каждом случае с учетом специфики работы конкретной организации и целей аудита, однако можно сказать, что ИТ-инфраструктура должна обеспечивать поддержку деятельности предприятия в соответствии с выбранной стратегией его развития. Важнейшими критериями являются информационная безопасность используемых решений, надежность систем и сервисов, оперативность и достоверность предоставляемой пользователям информации", — добавляет Плаксин.
Являясь целенаправленной деятельностью, ИТ-аудит должен иметь конкретную цель, на основе которой вырабатываются критерии ее достижения. "Критерии могут быть как качественными, так и количественными. Поскольку цель в каждом случае своя, то и набор критериев различается. Существуют определенные методики (например, COBIT), которые помогают определить критерии ИТ аудита на соответствие международным нормам. Но можно выделить один из самых универсальных критериев, которому должны соответствовать работы по ИТ-аудиту, как в принципе и любые работы, — это степень удовлетворенности заказчика результатами работ, которые могут выявить как сильные стороны, так и области для улучшения", — поясняет Козин.
Однако Гузик считает, что в вопросах аудита "судей" нет, и маловероятно, что в ближайшие годы они появятся: "Во всем мире и у нас применяется практика экспертных оценок — выражение консолидированного мнения экспертов, определяемого на основе собранной и подготовленной аудиторами информации".
Предметная детализация аудита
Предметом ИТ-аудита становятся различные аспекты ИТ-инфраструктуры предприятия. До недавнего времени их спектр мог включить в себя если не все, то почти все: аудит ИТ-инфраструктуры, бюджетирования ИТ, работу ИТ-отдела, аудит ИТ-услуг (если внедрен ITSM) и др.
Управление активами ПО тоже может быть предметом ИТ-аудита. Главная его особенность в том, что лицензию на ПО нельзя "потрогать", испытать на прочность, следовательно, нельзя подходить к аудиту ПО с традиционных позиций подсчета столов и персональных компьютеров. И в этом главная сложность.
Впервые упоминание о методиках управления активами ПО (software asset management) появилось в одной из ранних версий ITIL в конце 80-х годов. В России активно этими вопросами стали заниматься совсем недавно. Этому поспособствовало в первую очередь усиление контроля со стороны государства. Раньше мало кого могли наказать за использование нелицензионного ПО. Более того, не было такого количества иностранных инвесторов, которых этот вопрос тоже сильно интересует. Не последнюю роль играет менталитет людей, сформировавшийся под влиянием первых двух факторов.
Если в случае аудита ИТ его состояние с течением времени не очень влияет на штрафы, потерю имиджа и пр., то с аудитом ПО все сложнее, потому что ПО необходимо постоянно контролировать. Проверка на соответствие лицензии — это состояние фактического ПО и количество реально закупленных на него лицензий на конкретный срез времени. "Если для компании важно изучить, насколько велик риск штрафов от проверок, скажем, того же УБЭПа на предмет лицензионного ПО, то эту задачу можно выполнить, избавившись от одних программных продуктов и закупив другие. Но через месяц все начнется заново, а еще через два месяца придет УБЭП и найдет нелицензионное ПО", — рассказывает Голев.
"Придя в одну из организаций, мы спросили: какое программное обеспечение вы используете? — вспоминает Голев. — ИТ-директор выдал нам список из 150 наименований программ. В результате аудита с помощью инструментальных средств было обнаружено 3,5 тыс. наименований ПО. Это вполне объяснимо — в масштабах компании не всегда удается получить адекватную картину состояния дел. Когда мы запускаем агенты в течение, скажем, месяца и видим, что сотрудники из всего Microsoft Office используют только Word и Excel, мы предлагаем руководству компании задуматься, зачем у их сотрудников стоит версия Professional, которая обладает избыточными для данной компании функциями и стоит при этом дороже?"
На какой стадии развития бизнеса ИТ-директор перестает контролировать состояние ПО в компании? По мнению экспертов, это происходит, если парк компьютеров достигает примерно 50 и более устройств. При таком количестве рабочих мест администратор или ИТ-руководитель уже не может достоверно ответить на все вопросы, касающиеся ПО. По мнению Голева, задача аудита ПО возникает раньше, чем аудита всей ИТ-инфраструктуры в целом, "потому что в этом вопросе процент неясного растет по экспоненте".
Как владелец бизнеса может определить, что его ИТ-руководитель не владеет ситуацией с ПО в компании? Это важно, поскольку за все риски, связанные с использованием нелегального ПО, придется по закону отвечать ему. К тому же владельца бизнеса наверняка интересует, почему затраты на ИТ быстро растут.
Наверное, владелец бизнеса может озадачить ИТ-директора простыми вопросами и в зависимости от содержания ответов сделать вывод о том, владеет ли его сотрудник ситуацией с корпоративным ПО. "Например, можно спросить, сколько нам нужно денег, чтобы все ПО было лицензионно чистым? Если ответ на это вопрос будет готов за один день, то это означает, что ИТ-руководитель понимает, что у него происходит. Если же на это у него уйдет больше времени или он не сможет обосновать цифры, то, скорее всего, ИТ-руководитель не владеет ситуацией", — считает Голев.
Для ответа на вопрос о количестве и стоимости лицензий на ПО ИТ-директору придется выяснить, сколько компьютеров находится на балансе предприятия, все ли документы на лицензии в наличии, все ли требования правообладателя, указанные в лицензионном соглашении, соблюдаются и пр. Сегодня владельцу бизнеса нужно все это знать, чтобы у него не было неприятностей с проверяющими органами. Но как быть бизнес-руководителю, который не обладает достаточной квалификацией в вопросах ИТ?
В этом случае Голев советует поставить задачу по-другому: "В следующем году наш бизнес расширяется и мы планируем принять на работу еще 50 сотрудников. Сколько нам нужно будет денег на расширение ИТ, чтобы обеспечить рабочие места для этих людей? Сводную информацию о компьютерах подготовить несложно, на ПО — труднее. Но когда она будет готова, достаточность или избыточность списка необходимого ПО можно проверить у начальников отделов. Важно понять, правильно ли ИТ-менеджеры и бизнес-руководители видят ситуацию с требуемыми для работы программными продуктами? Другими словами, соответствуют ли представления ИТ-директора видению сотрудников, которые используют ПО? Если менеджер управляет ПО, то он должен поддерживать контакт с пользователями и отслеживать ситуацию".
Обсудить статью
Тема ИТ аудита становится все более популярной в широких кругах, давайте внесем ясность, что же такое «Аудит в ИТ». В какой ситуации кто-либо задумывается проводить ИТ аудит?
ИТ-аудит — понятие в Украине относительно новое, поэтому и трактуют его по-разному. В ведущих мировых странах под аудитом подразумевают ежегодный процесс, подтверждающий соответствие компании заявленным бизнес-показателям и регулирующим стандартам.
Скажите, как бы вы оценили состояние своего компьютерного парка? Наверняка вы думаете, что все у вас хорошо. Хотя бы потому, что так говорит ваш сисадмин. Вы серьезный человек и не привыкли принимать слова на веру. И если задуматься, вы признаете, что слова вашего сисадмина о том, что «все работает отлично, без сбоев» - не истина в последней инстанции.
В современных условиях стремительного развития бизнеса, ИТ-инфраструктура фирмы представляет собой сложный и разветвленный организм. Грамотное построение структуры управления организацией в большой степени зависит от возможности ИТ-отдела организовать управление фирмы с помощью информационных технологий.
Специфика украинских фирм такова, что большая часть из них не готовы к построению информационной системы (ИС). И начиная рискованный проект, основываясь лишь на заверениях поставщиков, они не имеют гарантий успешного завершения проекта. Ситуацию осложняет еще и тот факт, что большинство таких «проектов» сложно считать полноценными, так как они не удовлетворяют требованиям методологии управления проектами.
Большинство украинских фирм только начинает осознавать актуальность планирования и снижения расходов, связанных с использованием ИТ (информационных технологий). Закономерно появляется вопрос: какие организационные и технологические решения необходимо применять для контроля за этими расходами? Начальные расходы, которые связаны с покупкой вычислительной техники, - это всего лишь вершина айсберга. Каким же образом выяснить реальные размеры расходов на содержание информационной системы?
Продуманная политика корпоративного управления, анализ собственных информационных систем и эффективности сервисных ИТ-служб помогут современной компании не только понять, на что тратится его ИТ-бюджет, но и существенно оптимизировать свои расходы. В том числе и при помощи перевода сервисных ИТ-процессов на аутсорсинг.
Съезды и Осенние заседания ИТ-директоров уже традиционно стали одними из главных ежегодных событий ИТ-рынка Украины и ведут свои истоки с 2004 года, когда состоялся Первый Съезд. Не стал исключением и нынешний год – уже Восьмой Съезд ИТ-директоров Украины прошел 14 - 15 апреля в живописном уголке Киевщины – отельном комплексе «Зазимье».
В результате аудита компания DataLine подтвердила свой статус соответствия PCI DSS в рамках услуги colocation.
Мало кто знает когда был придуман первый компьютер. По сути компьютер это воплощение лени человека, ведь если бы мы не ленились считать в уме, работать не используя различных механизмов, то у нас ни когда не появился бы компьютер. Но если люди не старались бы облегчить свою жизнь, то мы до сих пор жили бы в каменном веке, без всяких технологий!
У некоторых пользователей размытое представлении о истории компьютеров, эта статья позволяет открыть новые горизонты для пользователя. Кто то узнает больше об истории и возможностях компьютеров в прошлом, кто то услышит мысли аналитиков, которые позволят взглянуть в недалекое будущее и увидеть как может измениться привычный облик персонального компьютера
"ВКонтакте" или "Одноклассники" просят пройти валидацию? Не подвергайтесь мошенникам, узнайте в этой статье как избавиться от этого вируса.
Компьютерные игры - довольно обсуждаемая тема в СМИ. Эксперты в разных областях человеческой деятельности выдвигают позитивные и отрицательные доводы о компьютерных играх.
Покупка б/у компьютера 4 ядра. Раньше приходилось уже писать, насколько невыгодно приобретение новой компьютерной техники. Ведь покупаете вы ее за приличные деньги, а если захотите продать, то вам за нее дадут немного. Потому что за то время, что вы ей будете пользоваться, она устареет. Вот, например, компьютеры с четырех ядерным процессором. Они появились совсем недавно, а уже сейчас мощный компьютер с процессором 4 ядра 2,97 ГГц, 4 гигабайтами оперативной памяти и другими наворотами можно куп
Если спросите, как подключить компьютер к ноутбуку, здесь способен помочь тематический блог, и вы узнаете всё, даже как настроить систему, отыскать и скачать что угодно в всемирной сети.
Доброго времени суток! Данную статью именно для вас подготовил Ответник . Плоский экран мониторов и телевизоров, большинство из которых являются LCD (в том числе c светодиодной подсветкой ЖК) дисплеев, требуют особого внимания при чистке.
В случае если надо организовать приток дохода с сайта, следует обратиться к профессионалам, которые занимаются продвижением в сети.
ИТ Business week провел исследование, проанализировав, как мировой экономический кризис повлияет на украинские ИТ-компании, как они будут оптимизировать затраты в условиях кризиса и кого из ИТ-специалистов будут увольнять в первую очередь.
Тема ИТ аудита становится все более популярной в широких кругах, давайте внесем ясность, что же такое «Аудит в ИТ». В какой ситуации кто-либо задумывается проводить ИТ аудит?
«Кухню консалтинга» для вас раскроют руководитель группы консалтинга компании «Инфосистемы Джет» Борис АЛЬТЕРМАН, директор по маркетингу Елена ШЕДОВА и руководитель группы системной архитектуры Андрей ШАПОШНИКОВ.
Продуманная политика корпоративного управления, анализ собственных информационных систем и эффективности сервисных ИТ-служб помогут современной компании не только понять, на что тратится его ИТ-бюджет, но и существенно оптимизировать свои расходы. В том числе и при помощи перевода сервисных ИТ-процессов на аутсорсинг.
Большинство украинских фирм только начинает осознавать актуальность планирования и снижения расходов, связанных с использованием ИТ (информационных технологий). Закономерно появляется вопрос: какие организационные и технологические решения необходимо применять для контроля за этими расходами? Начальные расходы, которые связаны с покупкой вычислительной техники, - это всего лишь вершина айсберга. Каким же образом выяснить реальные размеры расходов на содержание информационной системы?
Внедрение методов управления ИТ-рисками – проект, требующий как грамотного планирования, так и продуманного бюджета. Вполне очевидно, что еще до запуска такого проекта необходимо оценить его целесообразность с экономической точки зрения.
В XXI веке начался новый этап развития современных бизнес-технологий. Одной из таких технологий является отказ от непрофильной для организации деятельности посредством привлечения сторонних компаний и концентрация усилий на том, что данная компания может делать лучше всех.
В условиях сложной экономической ситуации в стране второстепенные ИТ-сервисы, обычно передаваемые компаниями на ИТ-аутсорсинг, будут мало востребованы. Поэтому для многих ИТ компаний, предоставляющих услуги аутсорсинга, пришло время перестроиться под новые условия рынка и предложить нечто новое или более необходимое.
