Цель
Цель любого ИТ-аудита - оценка эффективности и результативности ИТ-поддержки бизнеса и рисков, связанных с ИТ.
Методологическая основа ИТ-аудита
В настоящее время на российском рынке под термином ИТ-аудит понимается довольно широкий спектр услуг, связанный с ИТ, включая, в частности, аудит производительности ИТ-инфраструктуры, аудит проектов внедрения информационных систем и даже аудит ИТ на предмет «соответствует ли ИТ бизнесу или нет». Безусловно, любой из подходов имеет право на жизнь, если на него есть спрос на рынке.
Мы в своей работе исповедуем принципы корпоративного Руководства ИТ (IT Governance) и один из основных этих принципов гласит:
«Качество ИТ в организации обеспечивается наличием и высоким уровнем зрелости стандартных процессов управления ИТ», где «Качество ИТ» – обеспечение ценности для Бизнеса со стороны ИТ и минимизация ИТ-рисков, а под «стандартными процессами» подразумеваются процессы управления ИТ по CobiT.
Таким образом, ИТ-аудит состоит в анализе уровня зрелости процессов управления ИТ в организации и выработке на этой основе заключения по уровню рисков для бизнеса.
Предпосылки, Инициатор и решаемые задачи
Формальная постановка задачи, объем и границы проекта, а также расстановка акцентов в результатах могут существенным образом варьироваться в зависимости от бизнес-приоритетов, политических предпосылок проекта, и даже от позиции в компании Инициатора проекта.
Как показывает практика, в основе любого запроса на ИТ-аудит со стороны бизнеса лежат неудовлетворенность бизнеса своим ИТ, недоверие к тому что и как делает ИТ, непонимание грядущих выгод от немалых инвестиций в ИТ или неудовлетворенность эффективностью использования этих инвестиций.
Запрос на ИТ-аудит со стороны ИТ-руководителя, как правило, поступает гораздо реже и ограничивается следующими сценариями:
- Новый ИТ-руководитель хочет разобраться с доставшимся ему наследством;
- ИТ-руководитель при помощи внешнего независимого заключения хочет доказать бизнес-руководству правильность своих действий.
Учитывая описанные предпосылки/сценарии мы сформировании следующие услуги, в основе которых аудит процессов управления ИТ:
- Оценка результативности и эффективности ИТ компании;
- Анализ эффективности ИТ-инвестиций для бизнеса;
- Анализ бизнес-рисков, связанных с ИТ;
- Анализ состояния ИТ для целей Due Diligence (оценка перед покупкой компании)
Отличие каждой из этих услуг – в наборе процессов для аудита. Причем, в любом случае, выбор и обоснование границ проекта - процессов управления ИТ - проводятся по согласованию с заказчиком и этот этап является обязательным для любого из проектов по ИТ-аудиту.
Необходимая исходная информация
- Предпосылки и бизнес-приоритеты Заказчика - спонсора проекта
- Корпоративная документация, имеющая отношение к ИТ и бизнес-руководству ИТ.
- Информация, дающая представление об организационной структуре, зонах ответственности менеджмента и персонала ИТ-департамента (положение об отделе, организационная структура, должностные инструкции и т.д.)
- Имеющаяся актуальная регламентирующая документация в части ИТ-процессов, выбранных для ИТ-аудита и согласованных с Заказчиком.
Содержание работ
- Анализ текущей ситуации в компании, бизнес-приоритетов и политических предпосылок. Проведение интервью с Бизнес-спонсором и заинтересованными лицами.
- Формирование предварительного перечня процессов для аудита.
- Проведение презентации и совещания с бизнес-спонсором и заинтересованными лицами по представлению перечня процессов и обсуждению ожидаемых результатов и формы их представления
- Уточнение перечня процессов по результатам совещания.
- Формирование списка носителей информации для интервью.
- Проведение интервью и анализ документации.
- Обработка и оформление результатов.
- Проведение заключительной презентации для заинтересованных лиц.
Получаемые результаты
- Отчет по результатам ИТ-аудита, включающий:
- Обоснование перечня процессов, исходя из постановки задачи и исходной информации от Заказчика.
- Общая оценка уровня зрелости процессов.
- Детальное описание характеристик процесса, их текущего состояния и связанных с этим бизнес-рисков.
- Перечень общих рекомендаций по совершенствования проверенных процессов и доведения уровня их зрелости до значений, необходимых для удовлетворения бизнес-потребностей.
- Вводная и заключительные презентации.
Возможное продолжение работ
Логическим продолжение ИТ-аудита являются мероприятия по совершенствованию различных процессов управления ИТ. На решение этой задачи направления следующие услуги:
- Совершенствования процессов управления ИТ
- Разработка процедур обеспечения непрерывности ИТ-сервисов и восстановления после аварии в части ИТ
- Содействие в разработке ИТ-стратегии