Аудиторская деятельность в сфере информационных технологий

Эффективная система управления и контроля над информационными технологиями решает не только внутренние проблемы, но и позволяет повысить инвестиционную привлекательность организации, позиционируя ее для инвестора как "открытую" финансовую систему. В то же время, с другой стороны достаточно трудно подобрать комплексное решение для таких задач.

Информационные технологии постоянно совершенствуются и усложняются. Положительные аспекты от использования информационных технологий в бизнесе затеняются новыми рисками. Например, столь популярная сегодня электронная коммерция связана с обработкой конфиденциальной информации различного рода: финансовые транзакции, персональные данные, сведения о торгах.1

Это, в свою очередь, требует дополнительного контроля со стороны высшего менеджмента, внешнего и внутреннего аудита. Именно поэтому аудит информационных технологий проводят в компаниях для того, чтобы оперативно получать систематизированную и достоверную информацию для оценки состояния ИТ, принятие решений по управлению ИТ.

Основной целью направления, касающегося нормативного регулирования, является формирование новой регуляторной среды, обеспечивающей благоприятный правовой режим для возникновения и развития современных технологий, а также для осуществления экономической деятельности, связанной с их использованием. 2

Обследование ИТ - сбор информации, которая будет использоваться для проведения дальнейших работ, например, работ, связанных с внедрением новой информационной системы или оптимизации и модернизации уже существующий.3 В этом случае данный вид аудита используется с целью грамотно собрать достоверную информацию о текущем состоянии ИТ. Стоит отметить, что в данном случае речь об анализе и оценке собранной информационной не идет.

Экспертная оценка ИТ - это оценка адекватности финансирование проектных решений и/или инвестиции в закупку оборудования и ИТ-услуг.

Технический аудит ИТ - это сбор, анализ информации с последующим формированием и выдачей рекомендации по оптимизации работы конкретного технологического элемента ИТ-инфраструктуры. Как правило, данный вид аудита имеет малый масштаб работы и направлен на узкую техническую специализацию исследования.

Аудит ИТ бизнес-процесса - это аудит информационных технологий и систем, критичных для выполнения конкретного бизнес-процесса компании с заданным критериями качества и эффективности. Одним из важнейших результатов этого вида аудита является формализованная модель исследуемого бизнес-процесса.4

Во время проведения оценки эффективности методов функционирования информационной системы степень уверенности достигается в отношении административных решений в части исполнения законов, директив, приказов и аналогичных регламентов, направленных на использование информационной системы в бизнес-процессах экономического субъекта. Дополнительно, оценка производится в отношении социальных и экономических решений в части мотивации сотрудников, направленной на эксплуатацию и улучшение характеристик информационной системы. В случае оценки эффективности способов функционирования информационной системы степень уверенности достигается в соответствии описательной модели, содержащейся в технической документации, фактическими показателями её функционирования, а также в эффективности работы аппаратного обеспечения.5

Средства контроля в системах, использующих ИТ, состоят из сочетания средств ручного и автоматизированного контроля (например, средства контроля, встроенные в компьютерные программы). Ручной контроль может не зависеть от ИТ, в нем может использоваться информация, составленная с помощью ИТ, или он может быть ограничен мониторингом эффективного функционирования ИТ или автоматизированным контролем. Одновременное использование организацией ручного и автоматизированного контроля зависит от характера и сложности использования оборудования.

Целесообразно понять подход организации к управлению информационными технологиями. Например, необходимо понять, как организованы центры хранения данных, как и где осуществляется управление и контроль процессов внесения изменений в программы, архитектура безопасности организации и подход к безопасности, использование сторонних сервисных организаций или общекорпоративных служб. И только после сбора необходимой информации аудитор может сделать вывод об эффективности функционирования.6

Аудит информационных систем - это сложный процесс, требующий от аудитора хорошей технической подготовки, четкого понимания того, что он должен сделать и для чего это делается. Также необходимо учитывать специфику отрасли компании, в которой проводится ИТ-аудит, т.к. для компаний, например, телекоммуникационной и нефтедобывающей отраслей подход к проведению аудита может различаться.

В современном мире ИТ-аудит необходим, т.к. результаты могут быть полезны для руководства компании. Основываясь на результатах ИТ-аудита, можно понять, правильно ли функционирует построенная ИТ- инфраструктура и какое влияние она оказывает на развитие бизнеса. С другой стороны, в положительных результатах такого аудита может быть заинтересован ИТ-департамент, т.к. от этого может зависеть дальнейшее развитие отдела и его сотрудников в рамках компании: чем лучше результаты, тем с большей охотой руководство компании будет инвестировать в ИТ.

ИТ-аудит позволяет оценить соответствие информационных систем требованиям бизнеса и различным стандартам, призванным повысить эффективность ИТ, а также построить долгосрочную стратегию развития информационных технологий. В результате ИТ-аудита может быть получена оценка себестоимости ИТ-услуг, на основании которой в дальнейшем можно принять решение о выводе некоторых функций на аутсорсинг или же концентрации всех функций внутри фирмы, а также выявить потенциальные риски и «узкие» места в ИТ-инфраструктуре, чтобы разработать соответствующие процедуры по их минимизации.