11 июня 2009 г.

КПМГ провела исследование состояния внутреннего ИТ-аудита в регионе EMA, включая Россию.

Введение

Целью исследования являлся анализ роли и деятельности внутреннего ИТ-аудита как составной части внутреннего аудита и его видов деятельности. Данное исследование является частью глобального проекта, посвященного изучению роли внутреннего ИТ-аудита в регионе ЕМА (Европа, Ближний Восток и Африка). В отчете представлены результаты опроса руководителей более чем 25 крупных российских и международных компаний, функционирующих на территории РФ.

•    Преимущественно участниками опроса были руководители непубличных компаний.
•    Суммарно представители банковской сферы и промышленного сектора составили почти половину из общего числа респондентов.
•    В сегмент «Другое» вошли представители отраслей рекламы, ИТ, строительства, консалтинга.  
•    15% респондентов- директора по внутреннему ИТ-аудиту.
•    Помимо этого, в опросе приняли участие директора по консалтингу эксперты по внутреннему контролю, ИТ-аудиторы, менеджеры проектов, менеджеры по ИТ-аудиту и т.д.


Организация ИТ-аудита

Как и в случае с отчетностью по внутреннему аудиту, результаты ИТ-аудита в основном предоставляются Совету директоров/Комитету по аудиту и президенту/управляющему директору.
Как правило, служба внутреннего ИТ-аудита формируется из сотрудников департамента внутреннего аудита и включает специалистов с опытом в ИТ.

Примерно в 80% случаев компании не отдают функцию ИТ-аудита на аутсорсинг, предпочитая обходиться собственными ресурсами. В случае если компании прибегают к помощи внешних организаций, то основной причиной этому является нехватка сотрудников, и в меньшей степени – недостаток знаний либо стратегия организации. При недостатке технических знаний для проведения ИТ аудита, в первую очередь производится поиск квалифицированных сотрудников внутри компании либо же обучение рабочей группы.

В каждой четвертой компании отсутствует Положение о внутреннем ИТ-аудите, а в половине компаний он лишь упомянут в Положении о внутреннем аудите. Только в трети компаний планы ИТ-аудита тесно взаимосвязаны с мероприятиями корпоративного управления, а в остальных случаях имеется, в основном, лишь некоторая координация.

•    В 85% опрошенных компаний отчет по внутреннему аудиту предоставляется комитету по внутреннему аудиту и/или напрямую совету директоров компании.
•    Примерно в половине случаев отчет получают президент и/или управляющий директор компании.
•    В структуре компаний девяти из десяти респондентов существует функция внутреннего ИТ-аудита.
•    В большинстве компаний в функции внутреннего ИТ-аудита задействовано менее пяти человек.
•    В 25% компаний, в чьей структуре есть функция внутреннего аудита, ее выполняет лишь один сотрудник.
•    В 72% опрошенных компаний отчет по внутреннему аудиту ИТ предоставляется комитету по внутреннему аудиту и/или напрямую совету директоров компании.
•    В шести случаях из десяти отчет получают президент и/или управляющий директор компании.
•    ИТ-директор получает отчет менее чем в половине случаев.
•    При комплектовании службы внутреннего аудита компании отдают предпочтение собственным сотрудникам департамента внутреннего аудита.
•    Лишь в каждом пятом случае при комплектовании службы внутреннего аудита компании предпочитают нанимать специалистов.
•    В большинстве случаев рабочую группу составляют аудиторы с опытом в ИТ
•    Большинством компаний не применяется контроль проведения ИТ-аудита
•    В 12% случаев внешние аудиторы работают независимо.
•    В 12% случаев управление проектом осуществляется совместно с внешней командой аудиторов.
•    Среди причин, по которым компании обращались к услугам сторонних организациям для выполнения функции внутреннего ИТ-аудита, чаще других упоминалась нехватка сотрудников (8%).
•    В качестве приоритетного пути решения проблемы недостатка технических знаний у сотрудников респонденты определили поиск квалифицированных сотрудников внутри компании (42%).
•    32% повышают квалификацию специалистов путем проведения обучающих тренингов.
•    68% скептически относятся к идее привлечения квалифицированных специалистов со стороны.
•    В 36% компаний планы внутреннего ИТ-аудита тесно взаимосвязаны с прочими мероприятиями в области корпоративного управления.
•    В 32% компаний координация существует, но находится на недостаточно высоком уровне и планируется ее усиление.
•    Координация отсутствует в 12% случаев.
•    В каждой четвертой компании отсутствует какое-либо Положение о внутреннем аудите.
•    В половине компаний Положение о внутреннем ИТ-аудите является частью Положения о внутреннем аудите.


Деятельность внутреннего ИТ-аудита

Приоритетными целями ИТ-аудита согласно опросу является оценка мер контроля в области информационных систем, аудит информационной безопасности и проверка соответствия корпоративным и регуляторным требованиям и законодательству. Опрос также выявил, что формализованный план ИТ аудита есть почти во всех компаниях, и в основном он покрывает анализ рисков, аудит информационной безопасности и оценку эффективности и результативности мер контроля.

•    Формализованный план ИТ-аудита имеется в четырех из пяти компаний.
•    В случае наличия плана внутреннего аудита в компании в девяти случаях из десяти этот план покрывает анализ рисков, аудит информационной безопасности и оценку эффективности и результативности мер контроля.
•    Почти все респонденты упомянули оценку мер контроля в области информационных систем в качестве основной цели ИТ-аудита.
•    Для 85% респондентов приоритетной целью ИТ-аудита является аудит информационной безопасности.


Методология аудита

Временные затраты между предложенными областями деятельности ИТ-аудита распределились достаточно равномерно. Однако рабочая группа по большей части тратит время на обзор эффективности контрольных мер в области ИТ и на аудит информационной безопасности. В подавляющем большинстве случаев для проведения ИТ-аудита компании применяют стандартные методологии, самая популярная из которых – COBIT.

•    В среднем 20% времени, отведенного на ИТ аудит, сотрудники тратят на обзор эффективности контрольных мер в области ИТ.
•    В среднем 18% затраченного на ИТ-аудит времени отведено на аудит информационной безопасности.
•    На анализ рисков, связанных с новыми технологиями и системами, в среднем уходит меньше всего времени, отведенного на ИТ-аудит (8%).
•    В трети случаев рабочая группа внутреннего аудита не включает специалистов в области ИТ-аудита и внутренних аудиторов функциональных областей и финансов.
•    Для проведения ИТ-аудита в четырех из пяти случаев используется стандартная методология.
•    Среди респондентов, использующих стандартные методологии для проведения ИТ-аудита, 95% предпочитают использование COBIT.
•    В числе других методологий респондентами были названы BS25999, 19011, NIST, CSIRT, HP ITSM.

Планирование аудита

Практически во всех компаниях цикл планирования ИТ-аудита формализован, и в большинстве случаев планирование осуществляется один раз в год. В процессе планирования во внимание чаще всего принимаются бизнес-риски компании, и в меньшей степени – результаты предыдущих аудитов и решение департамента внутреннего аудита.

Как правило, ИТ-аудит является неожиданностью для проверяемых подразделений: большинство компаний либо не предупреждаются о нем вовсе, либо получают информацию не более чем за 15 дней до начала проверки. В подавляющем большинстве случаев ИТ-аудиту предшествует взаимодействие c руководством подразделений, затрагиваемых проверкой, и взаимодействие с руководством ИТ.

•    Практически во всех компаниях, участвовавших в опросе, существует формализованный цикл планирования для ИТ-аудита.
•    Две трети респондентов, компании которых осуществляют планирование для ИТ-аудита, делают это на ежегодной основе.
•    Наиболее значимым при планировании ИТ-аудита фактором респонденты называют анализ бизнес-рисков и требования высшего руководства.
•    Наименее важным при планировании фактором являются решения департамента внутреннего аудита и результаты предыдущих аудитов.
•    Три четверти компаний используют формализованную оценку рисков для определения рамок аудиторских проверок.
•    В большинстве случаев аудиту ИТ предшествует взаимодействие c руководством подразделений, затрагиваемых проверкой, и взаимодействие с руководством ИТ.
•    В компаниях респондентов в 38% случаев затрагиваемые проверкой подразделения узнают об аудите за 1 15 дней до его начала, в каждой пятой компании - за 15-30 дней.
•    15% затрагиваемых подразделений не узнают о проверке вовсе.

Информирование заинтересованных сторон и принятие мер по результатам аудита

Практически во всех компаниях информирование о результатах ИТ-аудита формализовано и имеет форму детализированного отчета. Чаще всего подобный отчет содержит: а) цели и рамки проверки б) недостатки и области для улучшения в) выводы и рекомендации для проверяемого подразделения. 85% респондентов отметили, что проверяемые подразделения информируются о результатах каждой проверки.

Мониторинг того, какие меры предпринимают подразделения по доведенным до них по результатам ИТ аудита рекомендациям, осуществляется в основном службой внутреннего аудита и проводится на ежеквартальной основе.

•    88% респондентов отметили, что в их компаниях информирование о результатах ИТ-аудита формализовано.
•    В 72% случаев информирование о результатах ИТ проверки имеет форму детализированного отчета о проверке.
•    В остальных случаях это либо справка для руководства, либо презентация.
•    Структура отчета по ИТ-аудиту в опрошенных компаниях чаще всего содержит цели и рамки проверки, недостатки и области улучшения, а также выводы и рекомендации.  
•    О результатах проверки чаще других информируются проверяемые подразделения, руководство департамента внутреннего аудита и Комитет по аудиту.
•    В 65% случаев внутренним аудитом осуществляется мониторинг принятия мер по выработанным по результатам аудита рекомендациям.
•    В 15% случаев мониторинг осуществляет служба внутреннего контроля.
•    В 8% случаев мониторинг не применяется вовсе.
•    Половина опрашиваемых компаний проверяют статус принятия мер по результатам ИТ-аудита на ежеквартальной основе.
•    17% осуществляют проверку с периодичностью в полгода.
•    О текущем статусе принятия мер по результатам аудита чаще прочих информируется руководство департамента внутреннего аудита, комитет по аудиту и высшее руководство.
•    В основном компании предпочитают стандартизировать формат отчетов и рабочих бумаг ИТ-аудита для облегчения восприятия получаемой информации.

Контроль и оценка качества

Преимущественно в компаниях производится анализ качества ИТ-аудита, причем в большинстве случаев это делается ответственным руководителем ИТ-аудита. Однако в основном оценка проводится неформально, и в 6 из 10 компаний нет надлежащим образом определенных и измеримых критериев оценки его эффективности.

В качестве мониторинга эффективности работы ИТ-аудиторов в подавляющем большинстве случаев оценивается выполнение сроков всего аудита и его промежуточных этапов.

•    В шести из десяти компаний проводится анализ качества ИТ-аудита.
•    В 64% компаний качество ИТ-аудита оценивает ответственный руководитель ИТ подразделения.
•    В шести компаниях из десяти отсутствуют надлежащим образом определимые и измеримые критерии деятельности ИТ-аудита, которые помогли бы оценить его эффективность.
•    В большинстве случаев эффективность работы ИТ аудиторов оценивается путем мониторинга сроков выполнения всего аудита и промежуточных этапов.
•    В более чем половине компаний оценка результатов завершенных ИТ-аудитов проводится неформально.
•    Около трети компаний предпочитают оценивать качество методом проведения интервью с руководством компании.
•    В 12% компаний оценка результатов не проводится вовсе.


Использование инструментальных (программных) средств

Согласно опросу, автоматизированные инструментальные средства в основном применяются компаниями для подготовки отчета, подготовки рабочих бумаг аудита, анализа данных. Windows 2000 – наиболее популярная система для анализа уровня логической безопасности, а для анализа данных чаще всего применяется MS Excel.

•    Автоматизированные инструментальные (программные) средства чаще прочего используются компаниями на этапе подготовки отчета, рабочих бумаг аудита и анализа данных.
•    В случае использования автоматизированных инструментальных средств в подавляющем большинстве компаний они применяются для запросов к файлам данных и в целях информационной безопасности.
•    В случае если автоматизированные инструментальные средства используются для анализа уровня логической безопасности, то в основном применяется Windows 2000, в меньшей степени – Unix.
•    64% опрашиваемых компаний используют Excel для анализа данных.
•    В каждой пятой компании используется Access.

Профессиональные навыки и умения

Среди требований к ИТ-аудиторам со стороны работодателей наиболее весомым является наличие сертификатов CISA (Certified Information Systems Auditor). В среднем группа ИТ-аудиторов на 65% состоит из специалистов в области ИТ.

Поиск кадров на позиции ИТ-аудиторов осуществляется в основном за пределами компании путем сотрудничества  с рекрутинговыми агентствами, а также по рекомендации персонала компании.

•    Критериями качества ИТ-аудиторов, как правило, являются знание международных стандартов, информационной безопасности и понимание бизнес-среды организации.
•    Семь из десяти респондентов отмечали, что ИТ аудиторы должны обладать квалификацией CISA. В качестве других вариантов респонденты упоминали CISSP и наличие технического образования.
•    В среднем 65% состава рабочей группы ИТ-аудита - специалисты в области ИТ.
•    13% ИТ-аудиторов компаний – экономисты.
•    В зависимости от позиции специалиста в группе ИТ-аудита в среднем требования к опыту работы выглядят так: Ассистент – 1,2 года; старший аудитор – 2,9 года, руководитель рабочей группы – 3,8 года, менеджер – 4,1 года.
•    Девять из десяти компаний требуют от членов рабочей группы ИТ-аудита наличие сертификаций в области ИТ-аудита.
•    В 42% случаев требуется наличие сертификатов в области внутреннего аудита.
•    В 60% случае поиск сотрудников на позицию ИТ аудиторов происходит вне организации.
•    В каждой четвертой компании поиск осуществляется как внутри компании, так и за ее пределами
•    При закрытии позиций ИТ-аудитором путем найма внешних специалистов наиболее приоритетный для компаний способ - это сотрудничество с рекрутинговыми агентствами.
•    Также достаточно широко распространен наем сотрудников по рекомендации персонала компании.
•    Наиболее востребованными навыками ИТ-аудиторов в настоящее время является знание международных стандартов (например, COBIT), информационная безопасность и знание бизнес-среды.

Обучение и профессиональная аттестация ИТ-аудиторов

Компании предпочитают принимать на работу уже опытных кандидатов и не тратить много времени на обучение сотрудников. Почти в половине организаций на повышение квалификации тратится менее 40 часов в год. Приоритетом при обучении ИТ-аудиторов является подготовка к международным сертификациям: CIA, CISA, CISM, CISSP. Аттестация ИТ-аудиторов, как правило, проходит на ежегодной основе и в меньшей степени – по завершению каждого проекта.

•    Почти половина компаний тратит на обучение своих сотрудников ИТ аудита не более 40 часов в год.
•    При обучении основным вопросом является подготовка к международным сертификациям: CIA, CISA, CISM, CISSP.
•    В четверти случаев аттестация сотрудников группы ИТ аудита происходит по окончании каждого проекта.
•    Большинство компаний ежегодно оценивают работу ИТ аудиторов.

Профессиональный рост

В трети компаний не регламентирован план профессионального роста сотрудников ИТ-аудита, а более чем в половине компаний план профессионального роста сотрудников ИТ-аудита согласовывается с планом профессионального роста сотрудников ИТ-департамента. Достижение поставленных целей - ключевой критерий при принятии решения о продвижении сотрудников ИТ-аудита. Почти в половине опрошенных компаний наблюдается невысокая текучка ИТ-аудиторов.

•    В трети компаний не регламентирован план профессионального роста сотрудников ИТ-аудита.
•    В 56% компаний план профессионального роста сотрудников ИТ-аудита согласовывается с планом профессионального роста сотрудников ИТ-департамента.
•    Ключевой критерий для работодателей для карьерного продвижения ИТ-аудиторов - достижение поставленных целей.
•    64% отметили наличие опыта как фактор продвижения ИТ-аудиторов.
•    44% также выделяют профессиональные сертификаты CIA или/и CISA как один из главных критериев.
•    Почти в половине компаний текучка кадров среди ИТ-аудиторов находится на незначительном уровне.
•    Лишь в 8% компаний наблюдается высокая текучка кадров.
•    В основном, уволившиеся ИТ-аудиторы уходят в другие компании смежных отраслей.
•    В четверти случаев ИТ-аудиторы уходят в консалтинговые компании.

Более подробно см. здесь http://www.kpmg.ru/russian/supl/publications/surveys/IT_audit_survey_2009_RUS.pdf

Источник: КПМГ