№1(24)(2014)

Современные информационные технологии бросают много вызовов руководителям внутреннего аудита. При этом следует иметь в виду, что внутренними аудиторами становятся, в основном, люди с гуманитарными, а не техническими знаниями, и понимание предмета аудита для таких специалистов является закрытой областью, ключик от которой не каждому внутреннему аудитору удается найти.
Поэтому есть необходимость помочь таким коллегам найти правильный подход к предмету, ясное понимание, что же такое ИТ-аудит, и, главное, как его проверять, как анализировать его риски для организации, для бизнеса, как давать правильные ответы и рекомендации руководству и акционерам.

В статье, посвященной аудиту ИТ, хотелось бы ответить на следующие вопросы, интересующие руководителей внутреннего аудита:

• Что такое аудит информационных технологий (ИТ)?
• Какие основные задачи аудита ИТ и его руководителя?
• Каковы особенности управления технологической функцией внутреннего аудита?

Надеюсь, что мне удастся приоткрыть завесу коллегам из финансово-операционного цеха, и этот материал поможет им на новом и сложном пути освоения технологических аспектов и рисков в бизнесе.

Бизнес и Технологии – тесная связь

В современном технологическом мире информационные технологии играют важнейшую роль в развитии бизнеса и достижении его целей. Ключевая составляющая успеха мировых компаний-гигантов (Google, Apple, Vodafone, Barclays и HSBC, Mitsubishi Industries и Toyota) сейчас связана с технологиями обработки информации, которые направлены на выполнение задач по достижению целей акционеров – титанов своих отраслей.

Информационные технологии позволяют автоматизировать ручные процессы, освобождают квалифицированную рабочую силу от рутинного труда, значительно ускоряют все процедуры, в том числе делают эффективным процесс принятия решений, дают структурированную и важную информацию для успешного управления бизнесом. Значение ИТ в бизнесе переоценить сложно.

Так же важно влияние самого бизнеса на ИТ. Нельзя забывать, что именно бизнес ставит задачи перед технологиями, а не наоборот. Акционеры ставят цели своему бизнесу, а инструментом их достижения является технология: производственная, управленческая, информационная.

Без инструмента выполнить задачу весьма сложно, и если возможно, то вряд ли это будет быстро и эффективно. Информационные технологии – самый важный инструмент в руках менеджера организации, и насколько эффективно он работает, настолько же эффективно поставленная цель организации будет достигнута.

Такая тесная связь может быть описана следующей формулой взаимосвязи бизнеса и ИТ:
«Бизнес направляет информационные технологии, информационные технологии дают возможность бизнесу достичь своих целей».

Рисунок 1 наглядно это демонстрирует.

Последние технологические тренды

Как инструмент бизнеса, ИТ значительно развились и усложнились за последние несколько десятилетий, и сейчас без ИТ-решений немыслим ни один серьезный бизнес-проект. Взять, например, то, без чего не может жить ни одна организация, – учет. Если компания небольшая, она использует автоматизированную программу для ведения финансового учета, например QuickBooks или отечественный аналог – 1С. Крупные компании уже внедряют промышленные решения для своих задач учета: ERP-системы, такие, как Navision, Oracle Е-Business Suite, People Soft или SAP. В банках – это ключевые программные комплексы Операционного дня банка (ОДБ). И если раньше учет начинался с таблиц, регистров, журналов, расположенных на одном-двух компьютерах в бухгалтерии, то сейчас это обязательно мощный сервер, сетевой доступ и сложный функционал приложении для большого количества клиентов.

Дальше – больше. Крупный бизнес не может довольствоваться одним учетным сервером. Сейчас масса операционных задач автоматизирована и завязана на компьютерах и вычислениях. Все они испытывают потребность в серьезных вычислительных мощностях, которая удовлетворяется за счет новых технологий распределения, распределенных баз данных и виртуализации физических ресурсов.

С бурным развитием Интернета на первый план выходит интернет-маркетинг вместе с его коммуникациями в социальных сетях, электронными каналами продаж и аналитикой взаимоотношений с клиентами. Уже ни один торговец не обходится без онлайн-продаж своих продуктов и услуг.

Такой важный тренд в технологиях, как перевод своей ИТ-инфраструктуры в «облака» и доступ к ней с любого мобильного устройства, дает и гибкость, и свободу сотрудникам компании, а также возможность не быть привязанными к одному географичес­кому месту, участвуя в процессах компании в удобное для себя время. Кроме того, «облака» – это передача забот о сугубо технической составляющей своих инструментов на обслуживание специалистам-парт­нерам, и, таким образом, повышение эффективности бизнеса за счет концентрации управленческих усилий на своих конкурентных преимуществах.

Как видим, информационные технологии – это уже очень большая область человеческой деятельности, важная часть нашей жизни. И внутренний аудитор должен понимать, что, как и любая человеческая деятельность, он полон рисков и возможностей для развития. Но об этом немного позже.

Ежедневные задачи руководителя внутреннего аудита

Сделаем небольшое отступление в сторону общей практики внутреннего аудита и вернемся к главным задачам, которые обычно нужно решать руководителю внутреннего аудита в своей ежедневной работе:

1.   Ему необходимо определить основные риски, с которыми сталкивается организация. Это ключевая задача для успешной работы функции внутреннего аудита в компании. Правильное определение рисков напрямую зависит от правильного понимания бизнеса, внутренних процессов и технологий, особенностей функционирования объекта проверки.
2.   Определение типов и направлений аудиторских проверок, «вселенной аудита», то есть того, что нужно проверять команде аудиторов, какие именно проверки дадут ответы об уровне рисков и дальнейших шагах по их устранению. Проверять можно все, или брать большие важные темы, или «дробить» их до бесконечности, углубляясь в детали. Как оптимально определить проверяемую область для каждой проверки?
3.   Как расставить приоритеты во «вселенной аудита»? Ответ на данный вопрос крайне важен, поскольку есть другая «головная боль» – достаточное наличие квалифицированных ресурсов для покрытия всей «вселенной аудита». То есть необходимо проводить приоритезацию проверок по уровню риска проверяемой области деятельности организации.
4.   И, наконец, самое важное, то, для чего работает внутренний аудит, результат его работы – это задача раскрытия глубинных проблем организации, которые мешают достижению ее целей, и предоставление эффективного плана действий для их решения.

Эти общие и основные задачи руководителя внутреннего аудита практически один в один транслируются в задачи функции аудита информационных технологий и управления ею – необходимо понять ИТ-риски, определить «вселенную ИТ-аудита», расставить в ней приоритеты, обеспечить необходимые ресурсы и дать важные рекомендации по устранению рисков и улучшению процессов.

Технологические вызовы внутреннему аудиту

Кроме стандартных задач для руководителя аудита, укрощение технологических рисков бросает свои технологические вызовы. Все большее количество ключевых внутренних контролей полагается на ИТ, поэтому появляются новые требования к профилю знаний внутреннего аудитора. Любой внутренний аудитор уже не может игнорировать технологическую составляющую контроля и должен иметь хотя бы принципиальное понимание этой составляющей, а лучше – специальные знания в ИТ. Также важно понимать новые стратегические риски для бизнеса, которые привносят информационные технологии. Их невероятно много: это быстрота вывода нового продукта на рынок, точность, аккуратность и своевременность получения информации для принятия решения, удобство и удовлетворенность клиента в мире Интернета и цифры, защита своего ноу-хау, своих секретов, клиентской базы и даже денежных средств на счетах от кражи злоумышленниками, соблюдение норм законодательства и требований регуляторов. Для покрытия данных рисков также важно понимание самих ИТ-контролей, при этом необходимо иметь в виду как общие ИТ-контроли (права доступа и разделение обязанностей, ведение проектов и контроль изменений, операционные процессы в ИТ, и логическая безопасность систем и сетей), так и контроли прикладного программного обеспечения, которые привязаны к бизнес-процессу и гарантируют его работу в заданных рамках и для заданных целей.

Понимание бизнеса – ключ к эффективному аудиту ИТ

Вернемся к первоначальному тезису статьи – бизнес и ИТ тесно взаимосвязаны, а бизнес является руководящим элементом в этом «инь-янь». Как же эту взаимосвязь выявить руководителю внутреннего аудита?

Начинать надо со стратегии бизнеса, с его целей и планов развития (см. рис. 2). Понимание бизнес-стратегии обуславливает определение «вселенной аудита» и оценку рисков.

Будем развивать розницу или займемся крупными клиентами, либо же главная задача – оптимизация какого-то ключевого внутреннего процесса, а может, необходимо улучшать клиентский опыт? От понимания этих задач зависит, на что будет направлено внимание внутреннего аудита, в том числе и аудита информационных технологий. Ведь стратегия реализуется с помощью проектов, и именно ИТ-составляющая проекта является предметом для аудита ИТ.

И, наконец, любой проект превращается в операционную деятельность, в бизнес-процесс. Этот процесс будет обслуживаться вычислительными мощностями, то есть ИТ-инфраструктурой и ИТ-приложениями, которые также необходимо анализировать и контролировать, причем в привязке к бизнес-процессу.

Резюмируя, можно сказать, что информационные технологии и их аудит являются сейчас серьезным вызовом для внутреннего аудитора, существенной составляющей всех рисков организации, требующей адекватного и эффективного ответа руководителя функции для выполнения миссии приносить пользу своей компании и ее собственникам.
В дальнейших материалах я постараюсь раскрыть глубже понятие информационных технологий, рассказать о шагах по определению «вселенной аудита ИТ», возможностях для руководителя в решении вопроса обеспечения «вселенной» необходимыми ресурсами и важности проведения интегрированного аудита бизнес-процессов.