Сейчас складывается впечатление, что интерес к аудиту ИТ ослаб. Как выяснилось, это не совсем так, просто вопросы, касающиеся ИТ-аудита, перешли в другую плоскость.
Как правило, «продвижение» модной или популярной темы зачастую зависит от стремления ИТ-компаний предлагать клиентам новые услуги. Подобной предыстории не миновал и ИТ-аудит, представляющий собой, по сути, комплексную ИТ-услугу. Интересу к этой услуге способствовал определенный уровень зрелости ИТ-служб предприятий и организаций, популяризация таких методик, как ITIL/ITSM и COBIT, а также новые требования регулирующих органов — закон Сарбейнса — Оксли и пр.
«Успех ИТ-аудита как самодостаточной услуги несостоятелен. ИТ-аудит — услуга сопутствующая, дополняющая целеориентированные ИТ-услуги, такие, например, как сорсинг ИТ-услуг, разработка концепции или стратегии ИТ, реализация проектов по внедрению отдельных элементов и модернизации ИТ-инфраструктуры, повышению эффективности и качества деятельности предприятия на базе системы сбалансированных показателей и т.п., — высказывает свое мнение Артем Козин, руководитель проектов компании Energy Consulting/Integration, входящей в группу Energy Consulting. — В настоящее время происходит смещение интереса от ИТ-аудита как самодостаточной услуги, предоставляющей результаты безотносительно к бизнес-деятельности, к ИТ-аудиту как услуге, дополняющей отдельные «конечные» ИТ-продукты и дающей результаты, осязаемые бизнесом».
Несколько лет назад многие отечественные предприятия столкнулись с тем, что происходит устаревание используемого технического и программного обеспечения и необходимо его модернизировать. Иногда эти моменты были обусловлены сменой собственника предприятия. Примерно тогда руководители предприятий стали понимать, что, прежде чем что-либо покупать, надо провести анализ того, что есть, затем обратиться к аудиторам и получить их рекомендации. «Предприятия осуществили замену программного и аппаратного обеспечения и внедрили современные информационные системы. Как правило, такие работы выполнялись однократно, — убежден заместитель генерального директора аудиторско-консалтинговой компании “Холд-Инвест-Аудит” Дмитрий Плаксин. — Те предприятия, которые действительно нуждались в регулярном ИТ-аудите (это крупные производственные и торговые предприятия и холдинги), выстроили у себя такую структуру ИТ-поддержки, которая обеспечивает приемлемый уровень ее обслуживания. Тем не менее именно на таких предприятиях зачастую происходит перекос в информационных технологиях, выражающийся в стремлении решать оперативные (управленческие) задачи, тогда как вопросам, скажем, снижения налоговых рисков и рисков, связанных с использованием нелегального ПО, обеспечению достоверности бухгалтерской отчетности уделяется недостаточно внимания».
Генеральный директор компании GSV Сергей Гузик полагает, что изменился и фокус ИТ-аудита: «Если раньше приходящие к нам заказчики услуг аудита полагали, что у них в целом все хорошо и просили аудиторов подтвердить это, то сейчас такой уверенности нет почти ни у кого. К заказу подобных услуг подходят все более осторожно и ответственно, воспринимая ИТ-аудит как серьезный инструмент управления ИТ, который вскрывает недостатки не только в области ИТ, но и в бизнесе компании. Многие предприятия не готовы к принятию таких оценок или сами видят болевые точки, требующие внимания, поэтому считают преждевременным обращение за помощью к внешним специалистам и обходятся собственными силами».
Григорий Юркин, руководитель направления в компании «Консультационная фирма МРЦБ», считает, что интерес к ИТ-аудиту появляется именно сейчас, когда усложняется инфраструктура и программное обеспечение, информационные технологии становятся одной из составных частей организма любого предприятия и растут расходы на поддержку этого организма. «Интерес к ИТ-аудиту не ослабнет никогда, он будет только расти с появлением новых технологий», — уверен Юркин.
Его оптимистическую точку зрения разделяют далеко не все. «У меня есть ощущение, что рынок не готов к ИТ-аудиту. Внутренний аудит сами для себя ИТ-руководители проводят, например, когда приходят на новое место работы. Иногда, чтобы разобраться в своем собственном хозяйстве, им требуется несколько месяцев. Но они перестают заказывать проверку у внешних аудиторов, следовательно, шума вокруг этого вида услуг нет и никто не публикует “громких” историй», — делится своей точкой зрения генеральный директор компании Quarta Consulting Александр Голев.
Существует еще одна несколько неожиданная особенность, которая носит скорее семантический характер. В русском языке слово «аудит» ассоциируется с негативом по отношению к аудируемым, поэтому ИТ-аудит — деятельность по выяснению текущей ситуации в сравнении с мировыми стандартами и «лучшими практиками» — у нас все чаще предпочитают называть исследованием, обследованием и т.п. Как бы там ни было, число подобных самостоятельных проектов и работ в рамках комплексных проектов растет из года в год.
Что и как часто аудировать?
Предметом ИТ-аудита являются информационные технологии и решения, применяемые на предприятии. В зависимости от цели проведения ИТ-аудиту могут подлежать как вся инфраструктура предприятия, так и отдельные ее компоненты (вычислительная техника, локальная сеть, системное и прикладное программное обеспечение).
По наблюдениям Плаксина, «сейчас аудит ИТ представляет собой, помимо собственно аудита применяемых ИТ-решений на соответствие задачам предприятия и требованиям законодательства, также системный анализ рисков, связанных с использованием информационных технологий в бизнесе предприятия».
Сами по себе результаты аудиты сейчас мало кого интересуют. Гораздо больший вес имеют рекомендации специалистов, касающиеся ИТ-инфраструктуры. По мнению Козина, в той или иной мере аудит осуществляется при проведении любых работ, выполняемых консультантами, будь то проектная деятельность или обычная консультация специалиста: «Сначала определяется цель, ставится задача, затем собирается информация, она обрабатывается, анализируется, принимается решение. По нашему мнению, современный ИТ-аудит представляет наибольшую ценность именно в своей последней фазе — принятия решения».
Александр Фролов, руководитель проектов компании IRP Technology, отмечает, что «процедура аудита сферы информационных технологий в компании предполагает сбор, анализ и предоставление руководству компании информации о текущем состоянии сферы ИТ, о рисках, связанных с уязвимыми местами информационных подсистем, и выдачу рекомендаций по снижению этих рисков и повышению качества функционирования подсистем».
Точка зрения консультантов на частоту проведения аудита чем-то напоминает отношения между пациентом и врачом, которому выгодно не вылечивать, а лечить, поэтому говорить о том, что ИТ-инфраструктура должна находиться в состоянии вечного аудита, наверное, было бы опрометчиво. На периодичность аудита ИТ влияет множество факторов: скорость роста бизнеса, изменение структуры предприятия, изменение или возникновение новых бизнес-процессов, частота внедрения новых ИТ-решений, способ поддержки и частота изменений существующих информационных систем, смена собственника предприятия, изменения в учетной политике, повлекшие корректировки в работе учетной системы, и др. И это далеко не полный список.
«Из основных факторов, влияющих на периодичность и частоту проведения, следует отметить внешние требования (ЦБ РФ, ISO, закон Сарбейнса — Оксли и т.п.), смену руководства службы ИТ, актуализацию ИТ-стратегии компании, прохождение службой ИТ внутреннего и внешнего аудита, — добавляет Гузик. — Следует помнить, что отсутствие регулярного аудита и проведение повторного аудита в течение года (максимум) после первого почти полностью обесценивает его результаты и рекомендации и не позволит обеспечить преемственность и последовательность в управлении ИТ».
А судьи кто?
Справедлив вопрос: каким критериям должна соответствовать ИТ-инфраструктура в ходе аудита? И, как сказал поэт, «а судьи кто»?
«Руководство компании и персонал», — считает Юркин. «Следует проверять ИТ на соответствие стандартам COBIT, основная ценность которых в том, что они предлагают модель, обеспечивающую взаимосвязь между бизнес-целями и ИТ-процессами», — убежден Фролов. «Критерии определяются в каждом случае с учетом специфики конкретного предприятия и целей аудита, однако можно сказать, что ИТ-инфраструктура должна обеспечивать поддержку деятельности предприятия в соответствии с выбранной стратегией его развития. Важнейшими критериями являются информационная безопасность используемых решений, надежность систем и сервисов, оперативность и достоверность предоставляемой пользователям информации», — добавляет Плаксин.
Будучи целенаправленной деятельностью, ИТ-аудит должен иметь определенную цель, на основе которой вырабатываются критерии ее достижения. «Критерии могут быть как качественными, так и количественными. Поскольку цель в каждом случае своя, то и набор критериев различается. Существуют определенные методики (например, COBIT), помогающие определить критерии аудита на соответствие международным нормам. Но можно, наверное, выделить один универсальный критерий, которому должны соответствовать работы по ИТ-аудиту, да и в принципе любые работы, — это степень удовлетворенности заказчика результатами работ, которые могут выявить как сильные стороны, так и области для улучшения», — поясняет Козин.
Однако Гузик считает, что в вопросах аудита «судей» нет, и маловероятно, что в ближайшие годы они появятся: «Во всем мире и у нас применяется практика экспертных оценок — выражение консолидированного мнения экспертов, определяемого на основе собранной и подготовленной аудиторами информации».
Предметная детализация аудита
Предметом ИТ-аудита могут быть различные аспекты ИТ-инфраструктуры предприятия. До недавнего времени их спектр мог включать в себя если не все, то почти все: аудит ИТ-инфраструктуры, бюджетирования ИТ, работу ИТ-отдела, аудит ИТ-услуг (если внедрен ITSM) и пр.
Управление активами программного обеспечения также может стать предметом ИТ-аудита. Главная его особенность в том, что лицензию на ПО нельзя «потрогать», испытать на прочность, следовательно, нельзя подходить к аудиту ПО с традиционных позиций подсчета столов и персональных компьютеров. И в этом главная трудность.
«Тема эта актуальна и связана с ужесточением контроля Microsoft в части использования количества лицензий, но эта тема выбивается из ряда других вопросов и имеет в первую очередь отношение к лицензионной политике Microsoft (точнее, соблюдению так называемого корпоративного соглашения)», — выражает свое мнение Гузик.
Впервые упоминание о методиках управления активами ПО (software asset management) появилось в одной из ранних версий ITIL в конце 80-х годов. В России активно этими вопросами стали заниматься совсем недавно. Этому способствовало в первую очередь усиление контроля со стороны государства. Раньше мало кого наказывали за использование нелицензионных программных продуктов. Кроме того, не было такого количества иностранных инвесторов, которых этот вопрос тоже сильно интересует. Не последнюю роль играет менталитет людей, сформировавшийся под влиянием первых двух факторов.
Если в случае аудита ИТ его состояние с течением времени не очень влияет на штрафы, потерю имиджа и пр., то с аудитом ПО все сложнее, потому что ПО необходимо постоянно контролировать. Проверка на соответствие лицензии — это состояние фактического ПО и количество реально закупленных на него лицензий на конкретный срез времени. «Если для компании важно изучить, насколько велик риск штрафов от проверок, скажем, того же УБЭПа на предмет лицензионного ПО, то эту задачу можно выполнить, избавившись от одних программных продуктов и закупив другие. Но через месяц все начнется заново, а еще через два месяца придет УБЭП и найдет нелицензионное ПО», — рассказывает Голев.
Несмотря на то, что аудит ПО позволяет бороться не с причинами, а только с последствиями, он дает возможность ответить на вопрос, что мы сейчас используем, помогает подготовиться к модернизации, продемонстрировать владельцу бизнеса всю информацию, касающуюся расходов на ПО, и определить, сколько денег нужно потратить на приобретение нового ПО, узнать, установлено ли неразрешенное ПО на компьютерах, есть ли в компании приложения, функции которых дублируют друг друга или вовсе не используемые.
«Придя в одну из организаций, мы спросили: какое программное обеспечение вы используете? — вспоминает Голев. — ИТ-директор выдал нам список из 150 наименований программ. В результате аудита с помощью инструментальных средств было обнаружено 3,5 тыс. наименований ПО. Это вполне объяснимо — в масштабах компании не всегда удается получить адекватную картину состояния дел. Когда мы запускаем агенты в течение, скажем, месяца и видим, что сотрудники из всего Microsoft Office используют только Word и Excel, мы предлагаем руководству компании задуматься, зачем у их сотрудников стоит версия Professional, которая обладает избыточными для данной компании функциями и стоит при этом дороже?»
На какой стадии развития бизнеса ИТ-директор перестает контролировать состояние ПО в компании? По мнению экспертов, это происходит, если парк компьютеров достигает примерно 50 и более устройств. При таком количестве рабочих мест администратор или ИТ-руководитель уже не может достоверно ответить на все вопросы, касающиеся ПО. По мнению Голева, задача аудита ПО возникает раньше, чем аудита всей ИТ-инфраструктуры в целом, «потому что в этом вопросе процент неясного растет по экспоненте».
Как владелец бизнеса может определить, что его ИТ-руководитель не владеет ситуацией с ПО в компании? Это важно, поскольку за все риски, связанные с использованием нелегального ПО, придется по закону отвечать ему. К тому же владельца бизнеса наверняка интересует, почему затраты на ИТ быстро растут.
Наверное, владелец бизнеса может озадачить ИТ-директора простыми вопросами и в зависимости от содержания ответов сделать вывод о том, владеет ли его сотрудник ситуацией с корпоративным ПО. «Например, можно спросить, сколько нам нужно денег, чтобы все ПО было лицензионно чистым? Если ответ на это вопрос будет готов за один день, то это означает, что ИТ-руководитель понимает, что у него происходит. Если же на это у него уйдет больше времени или он не сможет обосновать цифры, то, скорее всего, ИТ-руководитель не владеет ситуацией», — считает Голев.
Для ответа на вопрос о количестве и стоимости лицензий на ПО ИТ-директору придется выяснить, сколько компьютеров находится на балансе предприятия, все ли документы на лицензии в наличии, все ли требования правообладателя, указанные в лицензионном соглашении, соблюдаются и пр. Сегодня владельцу бизнеса нужно все это знать, чтобы у него не было неприятностей с проверяющими органами. Но как быть бизнес-руководителю, который не обладает достаточной квалификацией в вопросах ИТ?
В этом случае Голев советует поставить задачу по-другому: «В следующем году наш бизнес расширяется и мы планируем принять на работу еще 50 сотрудников. Сколько нам нужно будет денег на расширение ИТ, чтобы обеспечить рабочие места для этих людей? Сводную информацию о компьютерах подготовить несложно, на ПО — труднее. Но когда она будет готова, достаточность или избыточность списка необходимого ПО можно проверить у начальников отделов. Важно понять, правильно ли ИТ-менеджеры и бизнес-руководители видят ситуацию с требуемыми для работы программными продуктами? Другими словами, соответствуют ли представления ИТ-директора видению сотрудников, которые используют ПО? Если менеджер управляет ПО, то он должен поддерживать контакт с пользователями и отслеживать ситуацию».