Аудит ИТ-функции – от проекта к процессу

В компаниях с менее развитой управленческой культурой или в компаниях меньшего масштаба роль аудитора отводится либо руководителю самой функции, либо вышестоящему руководителю, либо финансовой службе, чью визу требует получить генеральный директор при подписании того или иного запроса на изменение в формате служебной записки, договора или проекта.

Проблема возникает тогда, когда оказывается, что обе эти «аудиторские» модели оказываются нерабочими, в результате чего у первого лица появляются сомнения в эффективности работы функции и возникает потребность в привлечении внешнего аудита.

ИТ, в силу своей сложности, до сих пор остающаяся одной из наименее понятных и прозрачных для руководителя компании функций, не является исключением, и все вышесказанное применимо к ней в полной мере. Часто это усиливается непрозрачностью ожиданий от результатов работы ИТ-службы, недостаточной грамотностью в этой области первых лиц и не оправдывающимися надеждами на рост бизнеса за счет цифровизации и ИТ в целом.

У крупного бизнеса подход к аудиту своих функций часто гораздо более основателен. Он, помимо штатных аудиторов, специализирующихся именно в профильных функциях, в большей степени, имея на это заложенные в бюджет, зачастую значительные, финансовые средства, использует внешний аудит на регулярной основе.

Для среднего бизнеса более характерно использование внешнего аудита от случая к случаю, часто уже тогда, когда исправление запущенного в функции положения чревато значительными финансовыми и временными затратами. При этом регулярности применения качественного и системного аудита часто мешают желание сэкономить, исключить на это кажущиеся ненужными затраты, якобы доверие действующему руководителю функции, нежелание посвящать во внутреннюю «кухню» своего бизнеса ­кого-то извне.

Информационные технологии

ИТ, пожалуй, одна из наиболее многогранных с точки зрения аудита функций. Как и в большинстве других функций компании, в ней существуют аудируемые направления, такие как стратегия, бюджет, проектный портфель, персонал и др.

Как и большинство других аудитов, ИТ-аудит носит конфиденциальный характер и соответствует оговоренным стандартам проведения аудита, основанным на таких практиках, как COBIT, ITAF, IPPF, ISAE, ISO, ITIL.

Аудит может быть как комплексным, так и точечным — отдельно взятого направления или даже отдельно взятого документа ввиду его важности или значительных последствий при ошибках, например, в регламенте или положении. Качественный аудит включает цели, задачи и рамки, а также имеет описательную, оценочную и рекомендательные составляющие. При грамотном исполнении при оценках аудитором дается их объяснение (например, ссылка на соответствующий стандарт или же как просто мнение аудирующего исполнителя). В аудиторском отчете указываются этапы, методы работ, используемый инструментарий, описание методик оценок. Это не является излишним формализмом, но минимизирует субъективность и дает основание для приводимых выводов.

Комплексный аудит в наиболее часто встречающемся исполнении — это классическая триада ИТ как сервисной функции:

• информационные системы;
• инфраструктура;
• техническая поддержка.

Дополнительно может быть проведен аудит еще по ряду существенных направлений.

Информационная безопасность. В крупных компаниях это предмет отдельной аудиторской оценки, так как может включать в себя множество направлений, не только чисто технический аудит (как аппаратной базы, так и информационных систем), но и аудит регламентирующих направление руководящих документов.

Персонал в ИТ. Одно из наиболее непростых для оценки направлений. Здесь существенное значение имеют уровень и структура мотивации, матрица ответственности, оценка KPI переменой части ФОТ. Хорошо, например, известно, что принятию на работу более сильного специалиста не позволяют в большинстве случаев ограничения бюджета, да и уровень задач может быть тормозом для того, чтобы удерживать сильных экспертов. Вряд ли эти оценки можно передать в службу персонала компании, т. к. специфика как предметной области, так и текущих приоритетов в ИТ в определенной степени далеки для отдела персонала компании.

ИТ-стратегия. В настоящее время ее имеет практически любая компания. Для крупного бизнеса создание ИТ-стратегии может быть предметом подряда специализирующихся на этом ИТ-компаний, а аудит ИТ-стратегии может быть предметом отдельно выделенного исследования. Специфика аудита ИТ-стратегии заключается в ее концептуальности и масштабности, необходимости значительного выхода в предмете аудита за рамки ИТ-функции в сторону бизнеса.

ИТ-бюджет. Также непростое направление для аудита хотя бы в силу того, что его трудно оценивать в отрыве от ИТ-стратегии, истории развития ИТ в компании, дорожной карты, проектного управления и даже бизнес-­стратегии.

Предметом аудита также могут быть уровень управления ИТ-функцией, руководящая база ВРД в функции, процессное и проектное управление, архитектура информационного ландшафта, использование виртуализации и облачных технологий и многое другое.

Это только небольшая часть из направлений в ИТ-функции, наиболее часто подвергаемых оценкам независимого аудита. В свою очередь, даже в триаде — информационные системы, инфраструктура и техническая поддержка — есть большое количество поднаправлений, требующих анализа и оценки при проведении аудита.

В итоге

Даже если бизнес нельзя назвать крупным, не следует экономить на аудите функций, закладывая на это на регулярной основе необходимый бюджет. Запущенность положения обойдется дороже, иногда может быть чревата потерей существующих или возможных в будущем конкурентных преимуществ и даже стать фатальной для всего бизнеса.

Не следует противопоставлять доверие к руководителю функции и аудит этой функции. Аудит — это в том числе помощь руководителю функции, а не только средство для выяснения ситуации и оценки состояния дел для первого лица. Руководитель функции должен не только не бояться, но и разделять взгляды руководителя бизнеса на регулярный и качественный аудит своей функции.

Скорее всего, руководители функций будут реже меняться, если соответствующая функция компании регулярно аудируется извне, что в конечном счете положительно отразится на всем бизнесе.

Вряд ли очередной руководитель функции сможет «увести» эту функцию по неверному пути, завязать ее работу таким образом, что без него функция перестанет быть работоспособной, если она регулярно проходит аудит.

Аудит функции — это не обязательно настолько дорого, что будет «неподъемным» для бюджета расходом. Если аудит проводится ежегодно, затраты не будут значительными в моменте.

Если выводы аудитора кардинальны, их стоит верифицировать повторным проведением аудита не менее авторитетным аудитором.

Запрос на аудит не может быть неконкретным. Если запрос будет сформулирован «в общем», выводы аудитора также могут оказаться обтекаемыми, вряд ли в них будут содержаться необходимые первому лицу фокус и конкретика. Это наиболее часто встречающаяся причина неудовлетворенности результатом работы аудитора.

Нужно понимать, что если в запросе на аудит будет желание дать оценку всей аудируемой функции максимально глубоко, то это будет либо дорого, долго, в конечном счете бессмысленно, либо поверхностно и вряд ли качественно. Оба эти варианта эффекта не дадут.

Часто в аудиторском отчете присутствуют элементы не только оценки, но и консалтинга. Вместе с тем аудит и консалтинг — два разных направления. Не следует замещать роль аудитора, который должен дать оценку, ролью консультанта, которую должен выполнять прежде всего руководитель соответствующей функции, который по большей части именно для этого и нанят. Во избежание того, что аудитор не указал ожидаемый «истинный путь», дорожную карту, бюджет, проектный портфель и т. д., рамки и уровень консалтинговой составляющей в аудиторском заключении следует оговорить заранее.

В практике встречаются ИТ-аудиты от, как правило, небольших компаний-­интеграторов, в заключениях которых указываются рекомендуемые для реализации технологии, либо основанные на определенных производителях, либо дающие те или иные конкурентные преимущества определенным поставщикам. В большинстве случаев такие заключения нельзя назвать независимыми, но стоимость проведения такого рода аудитов может быть весьма привлекательна. Крупные интеграторы более независимы в выборе рекомендаций, однако стоимость аудита такими компаниями существенна.

Если целью аудита не является точечная оценка по отдельно взятому направлению, то наиболее правильной стратегией аудита ИТ-функции видится ежегодное аудирование отдельных направлений функции и получение ответов на четко поставленные аудитору вопросы в рамках происходящих или планируемых в течение года изменений по этим направлениям.