3. Функции информационного аудита
Информационный аудит должен выполнять следующие функции: техническую, информационной эффективности, информационной безопасности, инновационную, стандартизации, контроля, структурную (рис. 3.1.).
Функции
информационного аудита предприятия
техническая
информацион-ной
эффективности
информацион-ной
безопасности
инновационная
стандартизации
структурная
контрольная
Рис 3.1. Функции информационного аудита.
Техническая функция, направлена на выявление потерь, вызванных системными сбоями, учитывая, что в ИС, в которых не налажены надлежащие процессы контроля и предупреждения возможных причин сбоев, последние возникают в наиболее ответственные, а значит, и наиболее напряженные моменты. Потери могут выливаться в огромные суммы. Сокращения их можно достичь путем комплексного исследования технического состояния всех компонентов ИС. Аудит, прежде всего, предназначен для предприятий, которым требуется оценить текущее состояние ИС с целью реконструкции и модернизации или подготовиться к расширению ИС и внедрению новых технологий.
Проведение аудита технического состояния ИС позволяет:
устранить системные сбои;
повысить эффективность работы предприятия;
получить перечень "узких мест";
произвести модернизацию и реконструкцию на основании полученных рекомендаций;
организовать и наладить поддержку ИС;
разработать определенные стандарты поддержки.
Аудит технического состояния затрагивает проведение таких мероприятий, как учет существующих на предприятии аппаратных средств, программного обеспечения, периферийных устройств и анализ построения структурированной кабельной системы (СКС), сетей передачи данных, технических параметров эффективности работы ИС, надежности и безопасности ИС. По результатам аудита предоставляется отчетность по следующим направлениям:
состояние кабельной системы;
реализация резервного копирования;
наличие избыточного трафика в сети, ошибки в трафике;
список пользователей с целью предоставления рекомендаций по внедрению политики безопасности;
наличие незащищенных дисковых ресурсов;
безопасность информационной системы для выявления существования потенциальных угроз несанкционированного доступа к ИС;
инвентаризация программных и аппаратных средств;
загруженность каналов связи для определения и локализации критических участков инфраструктуры сети;
перечень запущенных служб.
Функция информационной эффективности. Руководство часто сталкивается с задачей определения стоимости ИС. Происходит это при расчете эффективности капиталовложений, оценке затрат на переоборудование ИС или стоимости предприятия при подготовке его для продажи. Аудит эффективности дает возможность оценить совокупную стоимость владения ИС и сравнить показатели исследуемой системы с лидером в данной области. Оцениваются сроки возврата инвестиций при вложении средств в ИС, разрабатывается его оптимальная схема, осуществляется эффективное расходование средств на обслуживание и поддержку ИС, снижаются производственные затраты на ИС. Область действия данного вида аудита включает в себя такие части ИС предприятия, как аппаратные средства, программное обеспечение, периферийные устройства, а также документы, бизнес-процессы, информационные потоки, пользователи ИС. К методам проведения аудита можно отнести такие этапы, как:
комплексное исследование бизнес-процессов;
оценка стоимости оборудования;
оценка качества существующей кабельной системы;
оценка стоимости внедренных технологий;
оценка затрат на содержание ИС;
оценка качества технической поддержки пользователей;
оценка стоимости налаженных процессов управления;
оценка совокупной стоимости владения ИС.
В результате проведения аудита предоставляется перечень отчетности, включающий в себя суммирующий отчет с рекомендациями по оптимизации и отчет по результатам расчета совокупной стоимости владения ИС.
Функция информационной безопасности. Обеспечение информационной безопасности является ключевым моментом деятельности любого предприятия. Результаты аудита по информационной безопасности позволяют построить оптимальную по эффективности и затратам систему защиты информации, адекватную задачам и целям производства. Аудит информационной безопасности не ограничивается проверкой только физической безопасности ИС. Существующие методики позволяют проанализировать бизнес - процессы и определить основные информационные потоки предприятия, которые должны быть защищены.
Таким образом, данный вид аудита предназначен, прежде всего, для предприятий, желающих оценить соответствие существующих требований и системы информационной безопасности, сформированных на этапе проектирования ИС, а также для тех, кто стремится периодически проверять текущее состояние информационной безопасности ИС.
При проведении аудита информационной безопасности выявляется ее текущее состояние и определяются наиболее критичные участки, проверяется соответствие существующей системы защиты информации предъявляемым к ней требованиям, оценивается эффективность вложений в систему защиты. Аудит осуществляется на нормативно-методологическом, организационном, технологическом, техническом уровнях и включает в себя такие этапы:
комплексная проверка уровней обеспечения информационной безопасности;
анализ информационных рисков;
анализ системы защиты по внешним сетям;
анализ системы контроля информации, передаваемой по телефонным соединениям и электронной почте;
определение возможных каналов утечки конфиденциальной информации.
В перечень предоставляемых по результатам аудита материалов входят отчет о текущем состоянии системы информационной безопасности и эффективности вложений в нее, а также рекомендации по политике безопасности.
Содержание инновационной функции сводится к аудиту проектов внедрения и реинженеринга. В настоящее время применение ИТ в сфере управления бизнесом имеет огромное значение. Аудит проектов внедрения и реинженеринга позволит эффективно инвестировать средства в информационную инфраструктуру предприятия за счет лучшего понимания потребностей и контроля решений и работ, предлагаемых исполнителями.
Таким образом, если предприятие собирается начинать крупные проекты модернизации своей ИС, используя услуги системных интеграторов с целью определения реальных сроков и стоимости проектов перед началом работ, или ставит перед собой цели контроля проектов внедрения в своих филиалах, то данный вид аудита для него незаменим. Он позволяет четко оценить риски внедрения и реинженеринга ИС, сроки и планируемые ресурсы на разработку и внедрение решений, правильность выбора методов и технологий, а также заблаговременно выявить возможные ошибки и получить рекомендации, направленные на повышение эффективности проекта.
В проведение аудита проектов внедрения и реинженеринга входит проверка проекта и составленного технического задания (ТЗ) на соответствие реальным требованиям предприятия и стандартам, проверка выполненных работ на соответствие ТЗ, а также осуществляется оценка эффективности выполненных работ.
По результатам проведения аудита инноваций руководству предоставляется полный отчет о выполнении этапов работ, результаты сертификационных изменений, а также сводный отчет о проекте.
Функция стандартизации. Государственные органы и зарубежные партнеры могут потребовать наличие сертификата ИС предприятия с целью соответствия оказываемых услуг необходимому уровню качества. В рамках данной функции аудита ИС, как правило, выявляются отклонения от существующих стандартов и формируются рекомендации, позволяющие устранить обнаруженные несоответствия.
Аудит аналитической функции ИС может производиться в случае, если предприятие:
планирует создание ИС на основе существующих стандартов;
планирует проведение сертификации предприятия;
желает удостовериться в том, что процесс создания ИС соответствует существующим стандартам (ГОСТы, ISO, IEEE, ANSI и пр.);
желает проверить ИС дочерних предприятий или филиалов на соответствие существующим корпоративным стандартам холдинговых компаний.
Для получения готового решения при проведении данного аудита ИС необходимо определить существующие стандарты в данной предметной области, выявить основные отклонения, зафиксировать результаты и выдать рекомендации по устранению несоответствий.
Функция контроля. В данном случае речь идет о контроле ПО, которое занимает важное место в ИС любого предприятия. Аудит ПО позволяет определить экономическую эффективность от внедрения и эксплуатации как определенного вида ПО, так и комплекса программных продуктов. Главным образом, аудит направлен на легализацию ПО, возможность осуществить переход к новым версиям программных продуктов, провести модернизацию бизнес-процессов путем внедрения новых программных средств, а также оценить текущее состояние программного комплекса.
Результаты, полученные после аудита в данном направлении, помогут повысить экономическую эффективность использования ПО, определить функциональность его использования, оптимальную схему внедрения, осуществить выбор наиболее дешевого варианта перехода к лицензионному ПО, получить рекомендации по оптимизации программной инфраструктуры.
При проведении аудита ПО рассматривается программная инфраструктура предприятия:
анализ соответствия ПО решаемым задачам;
инвентаризация установленных программных средств, анализ программной инфраструктуры;
определение функциональности ПО;
определение целей и рациональности использования установленного ПО;
проверка актуальности установленных версий ПО;
проверка корректности настроек ПО;
анализ совместимости ПО с платформами;
анализ сетевой совместимости ПО;
определение требуемых программными продуктами системных ресурсов.
В перечень предоставляемой отчетности входят описание результатов
анализа программной инфраструктуры, рекомендации по совместимости и корректности настроек ПО, повышению эффективности и функциональности использования ПО.
Структурная функция, или веб-аудит, занимает особое место среди услуг по внутреннему аудиту ИС. В рамках веб-аудита производится комплексная оценка веб-представительства предприятия по таким основным критериям: структура, удобство использования, дизайн, маркетинг, электронная коммерция, безопасность. Следует отметить, что оцениваться могут не только уже функционирующие веб-представительства, но и находящиеся в процессе разработки, что позволяет уменьшить риск совершения ошибок, а также внести необходимые исправления перед публикацией веб-представительства в сети. Данный вид аудита предназначен для более активно используемых возможностей Интернета в бизнесе, проведения маркетинговых интернет-кампаний, создания или реконструкции своего веб-ресурса.
Таким образом, проведение веб-аудита позволяет достичь следующих целей:
оценить инвестиционную привлекательность веб-ресурса;
повысить эффективность использования веб-ресурса для продвижения товаров и услуг;
оценить эффективность проводимых рекламных и маркетинговых кампаний;
определить необходимые условия и направления развития веб-ресурса;
улучшить качественные показатели веб-ресурса;
повысить эффективность представления информации на веб-ресурсе.
Для достижения результатов при проведении веб-аудита необходимо провести анализ статистики посещаемости веб-ресурса (анализ трафика), проставление балловых оценок по основным оценочным критериям, сравнительный анализ исследуемого веб-ресурса и лидера в исследуемом сегменте рынка, анализ "узких мест" в организации и работе веб-ресурса. Как правило, после проведения веб-аудита представляется материал в виде отчетов по анализу трафика, сравнительному анализу и выдаются рекомендации по модернизации веб-ресурса.