За последние 2 года компании значительно чаще стали проводить оценку эффективности использования информационных технологий. Такой результат показало исследование состояния и тенденций развития внутреннего аудита в России, проведенного Некоммерческим партнерством «Институт внутренних аудиторов» совместно с компанией «КПМГ». Так, ИТ-аудиты стоят в планах на ближайшие 12 месяцев у 53% опрошенных, 47% заняты ими в настоящий момент. Согласно аналогичному исследованию 2015 года, ИТ-аудиты были актуальны лишь для 34% компаний. Оценка эффективности использования информационных технологий в планах у 42% респондентов, 45% проводят ее в настоящий момент против 26% в 2015 году. По мнению Максима Козлова, начальника отдела ИТ-аудитов Блока внутреннего контроля и аудита, ПАО «МТС», рост заинтересованности компаний в проведении ИТ-аудитов, равно как и с заинтересованности в оценке эффективности использования ИТ, связан с несколькими факторами:

Во-первых, в настоящее время ИТ – это одна из «горячих» тем для бизнеса. Бизнес все чаще осознает, что для получения новых точек роста в традиционных отраслях требуется привлечение ИТ и систем продвинутой аналитики, которые позволяют получать наиболее полную информацию о поведенческой модели своих клиентов, чтобы получить конкурентное преимущество на рынке. Традиционными инструментами достичь таких целей все сложнее, поэтому компании, даже далекие от ИТ начинают задействовать и развивать внутри своих структур новые направления с привлечением соответствующих специалистов в области продвинутой аналитики данных (Big Data). Трансформация традиционного подхода к ведению бизнеса в сторону ИТ– мировая тенденция: сейчас эпоха информационной революции и перехода в digital-среду. Компании осознают, что главное в данном процессе не упустить момент и вовремя начать цифровую трансформацию, которая позволит в ближайшей перспективе получать дополнительный драйвер развития.

Во-вторых, развитие новых цифровых направлений внутри компаний подразумевает значительные инвестиции в оборудование, программное обеспечение (ПО), высококвалифицированных специалистов. Соответственно, интеграция бизнес-процессов компании с ИТ требует проведение комплекса мероприятий, направленных на получение менеджментом компании независимого мнения о том, как компания может успешно трансформироваться и развиваться в условиях цифровизации бизнеса. Для контроля соответствия целей компании и ее ИТ-стратегии, а также целесообразность инвестиций в ИТ требуется привлечение функции ИТ-аудита.

В-третьих, отдельная специфика с точки зрения ИТ-рисков – увеличение санкционного давления со стороны западных производителей оборудования и ПО как на отдельные российские компании, так и на целые отрасли российской экономики. Адекватное и своевременное реагирование на новый тип рисков требует вовлечения функции ИТ-аудита для оценки возможных мер реагирования со стороны менеджмента ИТ.

С учетом экономической ситуации в стране компании уделяют пристальное внимание затратам на ИТ.

ИТ-решения для автоматизации работы служб внутреннего аудита все больше входят в практику работы СВА. В настоящее время специализированное ПО установлено у половины служб внутреннего аудита, принявших участие в исследовании (в 2015 году эта цифра составляла 23%). Среди тех, кто не использует специализированное ПО для внутреннего аудита, 39% респондентов планируют его установить в течение ближайших двух лет. Леонид Душатин, директор департамента внутреннего аудита, ПАО «Аэрофлот», говорит, что это свидетельствует о том, что с активным развитием цифровых технологий в основном бизнесе компаний-респондентов у руководителей служб внутреннего аудита также растет понимание необходимости внедрения систем автоматизации процессов внутреннего аудита и мониторинга рекомендаций СВА; а организация СВА должна быть адекватной уровню развития основного бизнеса компании.

Как показали результаты исследования Института внутренних аудиторов, абсолютное большинство компаний (92%) привлекают внешних специалистов в области информационных систем и технологий при проведении ИТ-аудитов (против 67% в 2015 году, 37% в 2013 году). При этом, в 40% компаний-респондентов имеются штатные аудиторы информационных технологий (ИТ-аудиторы).

Как показывает практика, для проведения ИТ-аудитов и аудитов с ИТ составляющей необходимо, чтобы в штате компании были специалисты, обладающие необходимым уровнем ИТ-компетенций. По словам Максима Козлова, ПАО «МТС», в идеале, такими людьми должны быть ИТ-аудиторы с опытом работы в сфере ИТ и/или информационной безопасности (особенно в сфере практической информационной безопасности). Без наличия соответствующих специалистов проведения качественных проектов ИТ-аудита силами только лишь сотрудников подразделения аудита, не обладающих (или имеющих только поверхностные представления о специфике ИТ) требуемым уровнем знаний и опыта работы, невозможно. Хорошо, когда в функцию приходит сотрудник, уже работающий ИТ-аудитором, при этом обладающий опытом работы в ИТ / ИБ. При этом хорошим соискателем может быть человек, имеющий достаточный уровень экспертизы в определенной технической области, но при этом обладающий также широким кругозором в ИТ и ИБ областях, живо интересующийся современными направлениями развития технологий.

Международная сертификация по ИТ-аудиту – одно из свидетельств того, что ИТ-аудитор имеет необходимый уровень компетенций и опыта в различных технических областях (управление ИТ, процессы операционного сопровождения ИТ, разработка ПО, информационная безопасность, процессы аудита информационных систем).

Максим Козлов отмечает, что для ИТ-аудитора необходимо знать основы архитектуры построения информационных систем и механизмов их развертывания, механизмы обеспечения отказоустойчивости, ключевые процессы операционной деятельности ИТ-подразделений и их метрики (например, анализ инцидентов, связанных с работой информационной системы, может предоставить информацию, на что нужно обратить внимание в ходе аудита или анализ журналов систем информационной безопасности / вирусной активности может выявить потенциального злоумышленника среди сотрудников компании), лучшие практики построения ИТ (ITIL, Cobit), которые могут быть использованы в качестве методологии оценки зрелости ключевых функций ИТ и использоваться для дальнейшего совершенствования и оптимизации ИТ. Основы информационной безопасности а также основные техники атаки и методы защиты от них также крайне важны в работе. Для ИТ-аудитора крайне важно желание саморазвиваться и узнавать что-то новое в технологиях.

Привлечение сторонних специалистов к проведению ИТ-аудитов обусловлено ростом количества используемых новых технологий и сложностью эксплуатируемых и внедряемых информационных систем в компаниях. Также для проведения узкоспециализированных проектов внутреннего аудита (например, аудит процессов разработки ПО, который может включать в себя в том числе анализ исходного кода разрабатываемой информационной системы на наличие проблем с точки зрения информационной безопасности (злонамеренное включение разработчиками ПО различных «закладок»), так и анализ качества написания кода (анализ использования неоптимальных конструкций, устаревших библиотек и т.д.) или проект по аудиту кибербезопасности компании, который может включать в себя тестирование информационных систем и сервисов компании на устойчивость к внешним атакам - «тестирование на проникновение») требуется наличие в подразделении ИТ-аудита узкоспециализированных специалистов, обладающих необходимым набором технических навыков и практического опыта. Также стоит отметить, что существуют требования различных регуляторов по проведению аудитов с ИТ-составляющей (тестирование ITGC) с участием внешних аудиторов.

Институт внутренних аудиторов благодарит Максима Козлова, начальника отдела ИТ-аудитов Блока внутреннего контроля и аудита, МТС, за помощь в подготовке материала.

Материал был опубликован на портале Tadviser.ru.