Service Desk Итилиум создан для ITIL
Передовой опыт и знания в управлении IT
Itilium включен в Единый реестр отечественного ПО, рекомендованного для госзакупок

Проводим Аудит ИТ?!

Введение: что такое Аудит ИТ?

Тема ИТ аудита становится популярной в широких кругах, хотелось бы внести ясность, что же такое «Аудит в ИТ».

Для начала определим ситуацию, когда кто-либо задумывается проводить ИТ аудит?
Обычно это:

  • Пришел на работу новый генеральный директор (проводится общий аудит), ИТ директор (нормальное начало в условиях «малой документации»).
  • Руководство не понимает, что происходит в ИТ и на что идут деньги?
  • Кто-то кому-то не доверяет, хочется взгляда со стороны (или кому-то не хватает авторитета).
  • Хочется проверить, все ли «правильно» делается в ИТ?
  • В некоторых случая закон обязывает проводить независимую оценку ИТ, например, на предмет безопасности ИТ систем.

Легко видеть, какие обычно цели преследуются при проведении ИТ аудита:

  • Получение независимой авторитетной информации, (как идут дела?)
  • Получение авторитетной оценки на соответствие каким-либо нормам и правилам.
  • Получение экспертного мнения.
  • Соблюдение требований законов.

Под каждую цель могут быть свои модели и способы проведения аудита. Таким образом, можно сказать, что на сегодняшний день требуется каждый раз уточнять, что же имеется ввиду, и какой смысл стоит за словами «Проведения ИТ аудита».

По отдельным направлениям уже есть стандарты, группы и ассоциации ИТ аудиторов, но по многим еще долго ждать «зрелости сообществ» и появления стандартов.

Так как при проведении ИТ аудита гораздо больше значит «кто проводит», чем «как» и по какой модели, то зачастую руководители обращаются именно к тем, кому доверяют, с просьбой – «посмотрите, как дела у меня с ИТ?». Заметим, что часто такая позиция оправдана:

  • Исполнитель знаком с Заказчиком, его бизнесом, основными целями и рисками бизнеса.
  • Его мнение авторитетно, следовательно результаты могут быть использованы.
  • Разговор с заказчиком будет на «одном языке», что сокращает в несколько раз сроки и бюджет проекта.

Что можно ждать от результатов аудита?

С какой бы целью не проводился аудит, он должен достигать результата. Отчет аудитора должен быть доказателен. Как правило, отчет содержит рекомендации, что тоже крайне важно, и часто именно рекомендации являются целью аудита.

В нашей стране, к сожалению, сформировалась точка зрения на аудит в ИТ, что идет поиск «момент истины», все ждут наказания по результатам. В то же время, целью должно являться именно фиксация текущих результатов и понимания движения вперед. Аудит – это не вотум недоверия ИТ службе, а признак управленческой зрелости команды.

Обзор моделей ИТ аудита

Как мы уже писали выше, выбор конкретной модели зависит от целей проведения ИТ аудита.

Аудит – «Все ли правильно?» или «как надо?»

В строгом смысле слова, аудит (или проверка чего-либо), возможен на соответствие чему-либо.

Например, аудит ИТ проекта проводится на предмет соответствия нормам, указанным в Уставе проекта, и регламентам организации Заказчика (например, у Заказчика есть СТП по ИТ проектам, стандартные профили и т.д.). Каких-либо единых для всех норм, как делать ИТ проекты – не существует, все носят рекомендательный характер.

Если утвержденных в проекте норм нет – то речь идет скорее об ЭКСПЕРТИЗЕ проекта.

Тоже самое относится и к сервису, и в целом к управлению ИТ в организации. Обязательных для всех норм – нет. Каждый раз, проводя аудит, вы должны задать «модель», которую считаете эталоном, и сравнивать с ней.

Примеры таких моделей: (но каждая из которых требует адаптации и имеет свои границы применимости) ГОСТ 34.хх, COBIT, ISO 12207, ISO 9001, ISO 20000 и т.д.

Аудит: можно ли лучше, и эффективней?

Как правило, модели аудита с такими целями основываются на оценке рисков или же на экспертизе аудитора в какой-либо области.

Если у заказчика есть сомнения в чем-либо, это можно представить в виде рисков. Следует заметить, что управление на основе рисков требует довольно продвинутого и специфического менеджмента, такая модель не сильно распространена не только у нас, но и на западе. В тоже время, часто проводят аудит с целью снижения какого-либо одного ключевого риска. Все помнят эпопею с ИТ аудитом «проблема 2000».

Аналогично с эффективностью: как правило речь идет об одной или двух статьях в бюджете, и внимание аудитора привлекают именно к ним. В таких вопросах чаще обращаются к экспертизе.

Например, специалисты Итилиума проводили большое число аудитов внедрения процессов ITSM, так как мы располагаем большой практикой их внедрения. В таких проектах заказчик мог выбрать как формальный аудит на соответствие эталонным моделям, так и «экспертизу», дающую более быстрые оценки и делающую акцент именно на практических рекомендациях.

Основные этапы аудита

Фактически, проведение любого ИТ аудита состоит из следующих этапов:

  • Уточнение целей и согласование процедур проведения аудита.
  • Проведение обследования и документирования.
  • Проведения проверок (тестирования).
  • Составление рекомендаций и формирование отчета.

Как правило, для проведения таких работ используется интервьюирование, анализ имеющихся документов. Исполнитель имеет свою базу проверочных вопросов, чтобы выявить реальное положение дел в рамках выбранной модели.

На что надо обратить внимание?

Самое главное – это определить цели проведения аудита, записать их и обсудить с аудитором как цели, так и стратегию проведения аудита.

Организации надо заранее планировать саму возможность проведения аудита. На практике мы сталкивались с такими банальными проблемами, как соглашения о конфиденциальности. Для получения формального доступа к документации часто необходимо согласие разработчика, если не в 99% случаях. Очень редко организации предусматривают такую возможность в договорной документации, сокращая свои возможности в будущем.

Естественно, вопрос, «кто проводит» аудит является одним из основных. Не достаточно выбрать известный бренд, надо выбирать тех специалистов, которым вы доверяете. Основную ценность здесь представляют личные знания и опыт аудиторов.

Аудит процессов ITSM.

При проведении аудита процессов ITSM часто используют собственные методики, основанные на ITIL, или же модель CobiT, стандарт ISO 20 000, или модели вендоров.
Обычно, аудит ITSM процессов используется, чтобы обосновать и понять дальнейшие пути развития, исправить ошибки. Или же как плановое мероприятие.

В большей части случаев, нам приходилось проводить такие аудиты при смене руководства, управляющих компаний, кризиса в управлении.

Не зря проекты внедрения ITSM относят к сложной категории, зачастую, мы находили только с трудом работающую службу Service Desk на очень дорогом программном обеспечении, и сложные инструкции, написанные консультантами, не имеющими достаточного опыта.

Аудит процессов ITSM в организации с применением формальных моделей хорош как регулярное, изначально запланированное мероприятие. Когда проект планомерно развивается несколько лет.

Проекты внедрения ITSM относятся к сложным проектам. В проектах такого рода огромное значение имеет правильно отстроенное отношение с бизнесом, правильная мотивация ИТ персонала и всей команды. В ITIL приводится оценка, что «мягкие» (не связанные с техникой) факторы определяют успех проекта на 70%. И уж точно, применение формальных подходов аудита имеет мало смысла, где не распространена сама концепция ITSM. Результаты такого аудита можно написать еще до его проведения.

Не стандартные варианты проведения аудита

Часто ИТ аудит проводят не «широким фронтом», а для решения конкретных задач сегодняшнего дня.

При ведении большого проекта, иногда аудитора привлекают для работы в регулярном режиме. Это приводит к расчетному удорожанию проекта на 5-10%, но резко снижает риски проекта. Т.е. по факту, снижает стоимость проекта. Крайне редки случаи превышения бюджета, а если аудитор получает премиальные от экономии бюджета – то его усилия всегда оправдываются.

Бывает, не хватает информации для обоснования большого проекта, или проведения больших изменений в проекте. В некоторых случаях обосновать аудит проще, чем проект подготовки технико-экономического обоснования. Аудитор может предоставить реальную информацию и рекомендовать нужный для организации проект, даже не подозревая о такой цели аудита.

Проведение аудита возможно также для целей смены, дублирования подрядчика. Сложные проекты или услуги выполняются большими командами специалистов, и быстро заменить команду всегда является крайне серьезной проблемой. При смене команды всегда имеется большой риск резкого «спада производительности», если уже объявлено о смене состава. Проведение аудита дает возможность новым сотрудникам подготовится к работе, участвуя в аудите, и исключить фактор «демотивации» предыдущей команды в проекте.
Снижение недовольства пользователей ИТ услугами. Зачастую, ИТ директор не имеет достаточно авторитета в организации, по сравнению с ее ключевыми менеджерами. Если зреет конфликт, то имеет смысл привлечь «авторитет» со стороны.


Быстрый переход:
Нам есть чем гордиться Команда “Итилиум” Контакты