Аудит Информационных Систем
Аудит управления информационных систем - системный процесс получения и оценки объективных данных о текущем состоянии управления информационной системой, устанавливающий уровень ее соответствия целям и задачам компании и предоставляющий результаты заказчику.
Аудит управления ИС дает ответы на ряд вопросов:
- Соответствует ли существующая ИС и методы управления ею целям и задачам Вашего бизнеса?
- Согласуются ли проекты развития ИС со стратегическими планами организации?
- Какие сопутствующие риски имеются и возникают в процессе развития ИС€
- Соответствует ли квалификация ИТ-персонала существующим и будущим задачам?
- Как оценить и оптимизировать стоимость владения ИС€
- Каковы первопричины позитивных и негативных результатов функционирования существующей ИС€
- Что делать для улучшения ситуации в первую очередь?
Наибольший международный авторитет в области методологий аудита ИС имеет Ассоциация Аудита и Контроля Информационных Систем - ISACA, разработавшая и продвигающая открытые стандарты CoBiT, рекомендующие оптимальные технологии управления информационными системами и действий аудиторов. Они. объединяют и согласовывают множество международных, национальных и отраслевых стандартов управления (ISO, BS, NIST, ITIL, COSO, PMBOK и др.) в единый ресурс и позволяющие авторитетно, на современном уровне управлять целями и задачами, решаемыми информационными системами любого масштаба и сложности.
Применение стандарта CoBiT возможно как для проведения аудита управления информационными системами, так и для их проектирования.
Применение стандартов CoBiT подразумевает сбалансированный анализ и управление следующими ресурсами организации:
- Персонал - руководство, штатный и контрактный персонал организации. Рассматриваются навыки , понимание задач, мотивация и производительность работы.
- Приложения - прикладное программное обеспечение, используемое в работе организации.
- Технологии - Процедуры, правила, регламенты, системное программное обеспечение и т.д.
- Оборудование - все аппаратные средства ИС организации, с учетом их обслуживания.
- Информация - в самом широком смысле - документооборот, внешняя и внутренняя, структурированная и неструктурированная, мультимедиа и др.
Все эти ресурсы оцениваются CoBiT на каждом из этапов создания, эксплуатации или аудита ИС по ряду критериев, а результаты представляются в виде отчета.
Основное требование к результатам аудита — полезность информации.
Чтобы информация была полезной, она должна обладать определенными характеристиками, среди которых:
- Понятность. Информация должна быть понятной для заказчика, который обладает определенным уровнем знаний и квалификацией.
- Уместность. Информация является уместной, если она влияет на решения пользователей и помогает им оценивать прошлые, настоящие, будущие события или подтверждать и исправлять прошлые оценки. На уместность информации влияет ее содержание и существенность. Информация является существенной, если ее отсутствие или неправильная оценка могут повлиять на принимаемые решения.
- Своевременность, которая означает, что вся значимая информация учтена и представлена вовремя.
- Достоверность, надежность. Информация является достоверной, если она не содержит существенных ошибок или пристрастных оценок и правдиво отражает текущую деятельность. Чтобы быть достоверной, информация должна удовлетворять критериям правдивости и нейтральности, т.е. она не должна содержать однобоких оценок, или предоставляться выборочно, с целью достижения определенного результата;
- Осмотрительность - готовность к учету потенциальных убытков, а не только потенциальных прибылей и как следствие — создание резервов. Такой подход уместен в состоянии неопределенности и не означает создание скрытых резервов или искажения информации;
- Достаточность - требование полноты информации, как с точки зрения ее существенности, так и затрат на ее подготовку.
Результаты аудита управления ИС организации можно разделить на три основных группы:
- Организационные — Оценка процессов стратегического планирования ИС, выбора архитектуры, направлений технологического развития, проверка соответствия ИС задачам бизнеса, оценка инвестиций и снижение стоимости владения ИС, повышение конкурентоспособности организации.
- Технические — Понимание проблем, причин сбоев, узких мест информационной системы организации, комплексное решение вопросов безопасности, профессиональный прогноз функционирования и необходимости модернизации ИС, реализация всего потенциала новых технологий, оценка работы сторонних организаций и т.д.
- Методологические — Применение лучших мировых практик и стандартов управления ИС, использование апробированных подходов к стратегическому планированию и управлению проектами создания ИС любых масштабов