Аудит ИТ-персонала — это важный фактор в совокупности комплекса мер по формированию функциональной и стабильной системы информационной безопасности предприятия.
Введение
ИТ-аудит позволяет финансовым организациям, таким как, например, банки получать оценку состояния информационных технологий, рекомендации и предложения по оптимизации элементов ИТ -инфраструктуры и по уменьшению степени выявленных рисков, а также перечень рекомендаций по направлению развития информационных технологий.
Следует обратить внимание на тот факт, что имеют место определенные разночтения в понимании информационных технологий (ИТ) и их роли в банках. А отсутствие полного понимания между владельцами банков и их внутренними ИТ-службами является серьезным сигнал неблагополучия. Поэтому даже общее определение как самих информационных технологий, так и правильное толкование понятия ИТ-аудита способно реально сблизить их понимание владельцами банков и ИТ-специалистами.
Информационные технологии являются инструментом, который позволяет упростить и оптимизировать бизнес-процессы банка. Часто планы модернизации и развития информационных систем, подготавливаемые именно ИТ-службами, могут показаться владельцам через чур дорогими или очень сложными в осуществлении. И это вполне понятно, если после реализации автоматизированной банковской системы последующая автоматизация осуществлялась точечно, то есть, при наличии запросов различных подразделений или для разрешения каких-нибудь локальных задач, то в банке уже имеется много разнообразных информационных систем, обладающих системой сложных взаимных связей. Но по сути никто, даже из ИТ-службы, не может точно знать, насколько текущая совокупность информационных систем и связей среди них может способствовать развитию банка. Никто не обладает целостной документированной, что означает полностью контролируемой, картиной.
Исторически ИТ-инфраструктура, в наиболее общем ее толковании, практически во всех банках формировалась для решения частных проблем, спонтанно, без какой-либо ясной стратегии. Такой подход с большой долей вероятности, в конце концов, должен привести к тому, что все функционирует практически стабильно и достаточно правильно, но стало сложнее управлять дальнейшим развитием. Имеющееся состояние ИТ не всегда способно справиться с набором текущих, а тем более перспективных, задач, поставленных владельцем или акционерами. Кроме того, ИТ-инфраструктура непрерывно меняется, а документация на все ее компоненты остается фактически без изменений, или же значительно запаздывает с обновлением.
Аудит ИТ-персонала
Сущность каждого аудита состоит в независимой экспертизе, проводимой для осуществления проверки соответствия какого-нибудь объекта задаваемым критериям. Известны мировые практики и методологии, которые призваны регламентировать реализацию ИТ-аудита. Для выполнения аудита ИТ в банках обычно применяют методики, которые разработаны на базе требований международного ИТ-стандарта COBIT. Естественно, при учете отраслевой, как правило, финансовой специфики.
Аудит ИТ является комплексом организационно-технических мер, направленных на выявление текущего состояния ИТ-инфраструктуры, который включает изучение каждого участка информационной системы и ИТ-процессов, осуществляемый по согласованному с заказчиком аудита плану и согласно заданным критериями. Аудит ИТ предоставляет возможность оценки эффективности имеющейся ИТ-инфраструктуры, определения основных проблем и выдачи рекомендаций по их ликвидации, а также позволяет эффективно использовать в оптимальном режиме существующие ресурсы согласно принципам максимальной защиты ИТ-инвестиций.
Операция ИТ-аудита предусматривает сбор, анализ и выдачу руководящим работникам банка информации о текущем состоянии ИТ, о рисках, которые связаны с проблемными участками ИТ, а также формирование рекомендаций, способных снизить эти риски и повысить качество работы информационной системы.
Во взаимоотношениях «Владелец - Управляющий – ИТ-Менеджер» аудит всегда представлял собой инструмент, позволяющий владельцам осуществить проверку работы менеджеров. Главными целями ИТ-аудита обычно принято считать следующие аспекты:
- Анализ разногласий (gap-анализ), имеющихся среди стратегических целей развития банка и уровнем развития информационных систем и технологий.
- Выполнение оценки текущего уровня развития и эффективности применения информационных технологий и прикладных информационных систем.
- Реализация оценки качества ИТ-инфраструктуры, технологической интеграции, ИТ-процессов в организации.
- Определение «узких» мест в информационных технологиях и методов их вероятной оптимизации.
Анализу должны подлежать следующие существующие сущности и объекты ИТ-аудита:
- Бизнес-архитектура информационных технологий, способная сформировать ясное представление о том, в какой мере функциональный набор информационной системы способен покрыть потребности направлений бизнеса.
- Системная ИТ-архитектура, показывающая какие прикладные информационные системы применяются. Их список и взаимные связи, какие задачи они способны решить относительно процессов бизнеса.
- Совокупность прикладных информационных технологий, то есть, архитектура, являющаяся организационной структурой взаимодействия прикладных информационных систем, которая способна показать устройство архитектуры данных.
- Уровень соответствия ИТ-инфраструктуры, показывающий насколько ИТ-инфраструктура может соответствовать требованиям бизнеса в плане производительности и надежности.
- Качественный уровень управления информационными технологиями, организация функционирования ИТ-службы, как выполнена организация управления информационными технологиями и какие процессы осуществлены в управлении ИТ-проектами, то есть, их качественная и количественная оценка.
