IT-аудит: не надо бояться

Константин Маркелов, заместитель директора по развитию бизнеса компании ОТР, эксперт АРБ.:
Благодаря IT-аудиту банк получает оценку состояния информационных технологий, рекомендации и предложения по оптимизации компонент IT-инфраструктуры и по снижению уровня выявленных рисков, а также рекомендации по направлениям развития информационных технологий.

Являясь долгие годы экспертом АРБ и общаясь с представителями банков на разных уровнях, я стал замечать, что существует некоторые разрывы в понимании информационных технологий (ИТ) и их роли в банках. И если разрыв в понимании между банкирами с двадцатилетним стажем и банкирами «нового призыва» вполне объясним и возможен, то неполное понимание между владельцами банков и их внутренними ИТ-службами – это уже серьёзный сигнал неблагополучия. Не претендуя на абсолютное авторство или на истину в последней инстанции, попробуем в самых простых словах дать общее определение как самим информационным технологиям, так и важному понятию ИТ-аудита, который реально может сблизить в понимании владельцев банков и ИТ-специалистов.

Натолкнул меня на такую необходимость вопрос одного известного банкира, заданный при встрече: «Что такое аудит – я хорошо понимаю, а вот что такое ИТ-аудит, понять никак не могу. Константин, объясни по-простому. А лучше – напиши, чтобы не на слух воспринимать».

Информационные технологии - это инструмент, позволяющий упростить и ускорить бизнес-процессы банка. Нередко планы модернизации и развития информационных систем (ИС), которые готовят как раз ИТ-службы, представляются владельцам слишком затратными или сложными для реализации. И это объяснимо: если после внедрения автоматизированной банковской системы (АБС) дальнейшая автоматизация проводилась «точечно», по запросам отдельных подразделений или для решения каких-либо локальных задач, то в банке сосуществуют множество разнообразных ИС со сложными связями. Но в сущности никто, даже из ИТ-службы, точно не знает, насколько текущий набор ИС и связей между ними способствуют развитию банка, никто не имеет целостной документированной (а значит - контролируемой) картины.

Исторически ИТ-инфраструктура (в широком её понимании) в большинстве банков строилась для частных задач, спонтанно, без какой-либо чёткой стратегии. Это с вероятностью 90% рано или поздно приводит к тому, что «всё работает почти стабильно и почти правильно», но становится сложно управлять развитием. Текущее состояние ИТ не всегда справляется с (текущими и тем более - перспективными) задачами, поставленными Владельцами или акционерами. К тому же, ИТ-инфраструктура постоянно изменяется, а документация на каждый её элемент остаётся без изменений, либо серьёзно запаздывает с обновлением. Неотвратимо наступает момент, когда существующая документация совсем не соответствует действительности. Вся информация об ИС содержится в головах уникальных ИТ-специалистов в несистематизированном виде, что явно не способствует развитию - ни технологий, ни основного бизнеса.

Я ни в коем случае не утверждаю, что именно такая ситуация сейчас в каждом банке, но она типична, поэтому – не катастрофична. Аудит ИТ как раз позволяет исправить эту ситуацию: чтобы определить те компоненты ИТ-инфраструктуры, которые не отвечают целевым требованиям бизнеса, миссии и бизнес-стратегии банка и требуют модернизации. Это отправная точка для дальнейшего развития всех ИТ и ИС банка.

Определение ИТ-аудита

Суть любого аудита — это независимая экспертиза, проводимая с целью проверки соответствия какого-либо объекта заданным критериям. Существуют мировые практики и методологии, регламентирующие проведение ИТ-аудита. Для проведения аудита ИТ в банках, как правило, используют методики, разработанные на основании требований международного ИТ-стандарта COBIT. Разумеется, с учётом отраслевой – в данном случае – финансовой специфики.

Аудит ИТ - это комплекс организационно-технических мероприятий, направленный на определение текущего состояния ИТ-инфраструктуры, включающий исследование всех участков ИС и ИТ-процессов, проводимый по согласованному с заказчиком аудита плану и в соответствии с выбранными критериями. Аудит ИТ позволяет оценить эффективность существующей ИТ-инфраструктуры, определить основные проблемы и выдать рекомендации по их устранению, а также эффективно задействовать и оптимизировать имеющиеся ресурсы в соответствии с принципом максимальной защиты ИТ-инвестиций.

Процедура ИТ-аудита предполагает сбор, анализ и предоставление руководству банка информации о текущем состоянии ИТ, о рисках, связанных с проблемными зонами ИТ, а также выдачу рекомендаций по снижению этих рисков и по повышению качества функционирования ИТ и ИС.

Цели ИТ-аудита в Банке

В отношениях «Владелец - Управляющий - ИТ-Менеджер» аудит всегда был инструментом, который позволяет владельцам проверить деятельность менеджеров. Главные цели ИТ-аудита, как правило, таковы:

• Анализ расхождений (gap-анализ) между стратегическими целями развития банка и уровнем развития ИТ;
• Оценка текущего уровня развития и эффективности использования ИТ и прикладных ИС;
• Оценка качества ИТ-инфраструктуры, технологической интеграции, ИТ-процессов в банке;
• Выявление «узких» мест в ИТ и способов/принципов их возможной оптимизации.

Объекты анализа

Анализу подлежат следующие обязательные сущности и объекты ИТ-аудита:

• Бизнес-архитектура ИТ, которая дает наглядное представление, насколько функциональность информационных систем покрывает потребности бизнес-направлений;
• Системная ИТ – архитектура, которая показывает какие прикладные ИС используются - их перечень и взаимосвязь, какие задачи решаются – в привязке к бизнес-процессам;
• Прикладная ИТ – архитектура, которая является организационной схемой взаимодействия прикладных ИС, показывает устройство архитектуры данных;
• Уровень соответствия ИТ – инфраструктуры, который показывает насколько ИТ-инфраструктура соответствует требованиям бизнеса по производительности и надежности;
• Качество управления ИТ, организация работы ИТ-службы, каким образом организовано управление ИТ и какие процессы реализованы в управлении ИТ и в управлении ИТ-проектами – качественные и количественные оценки;
• Риски ИТ: какие существуют риски и факторы успеха в развитии ИТ, какие выявлены проблемы и каковы причины их возникновения, каковы положительные тенденции;
• Уровень зрелости ИТ в банке, который дает количественные значения результатов интегрального анализа совокупности оценок по бизнес-архитектуре, системной и прикладной архитектурам, ИТ-инфраструктуре и ИТ-процессам, рискам ИТ.

Аудит ИТ происходит на бизнесовом, на процессном и на техническом уровнях, затрагивает весь банк (именно «затрагивает», а не «отвлекает от работы») и позволяет оценить степень соответствия исследуемых объектов заданным критериям; выявить потенциальные риски, зависящие от ИТ; получить рекомендации по устранению этих рисков.

Опционально, если на то есть желание и воля заказчика, в рамках ИТ-аудита может быть проведён анализ следующих ИТ-объектов и сущностей:

• Безопасность ИТ-инфраструктуры;
• Прикладные интерфейсы между информационными системами;
• Сервисы, предоставляемые пользователям ИТ-инфраструктурой;
• Управление лицензиями на аппаратное и программное обеспечение (ПО);
• Финансовая дисциплина аудит в области ИТ (анализ правомерности финансовых затрат на ИТ);
• Инвентаризация аппаратного обеспечения.

Прямые результаты ИТ-аудита

Во-первых, банк получает итоговую оценку в виде независимого аудиторского отчета о состоянии ИТ в банке, включая верификацию и качественную оценку данных, собранных в процессе ИТ-аудита (в т.ч. оценку текущего управления ИТ, оценку портфеля ИТ-проектов). Впрочем, формально итоговый документ ИТ-аудита правильно называть «Экспертным заключением», а не «Аудиторским отчетом», хотя услуги по проведению ИТ-аудита не подлежат обязательному лицензированию (в отличие от финансового аудита).

Во-вторых, банк получает рекомендации и предложения по оптимизации компонент ИТ-архитектуры, аппаратного и программного обеспечения, по повышению вклада ИТ в достижение бизнес-целей, в т.ч.:

• предлагаемый состав наследуемого прикладного, специализированного и системного ПО, включая ПО третьих фирм и собственных разработок банка;
• предлагаемый состав элементов наследуемой и подлежащей модернизации технической инфраструктуры (на верхнем уровне детальности, либо с необходимым уровнем детальности).

В-третьих, рекомендации по снижению уровня выявленных рисков, зависящих от ИТ; по повышению уровня зрелости управления ИТ.

В-четвертых, подходы к реорганизации (если это необходимо) службы поддержки и развития ИТ.

В-пятых, в отчёте описываются принципы развития ИТ в соответствии со стратегией развития банка, рекомендации по направлениям развития (при максимальном сохранении и защите инвестиций в ИТ), в т.ч. возможно определение плановых бюджетов и сроков. Это – основные результаты. Уже их достаточно. При этом аудит ИТ является первым шагом к разработке ИТ-стратегии и призван показать Руководству банка – как сделать инвестиции в технологическое развитие эффективными, защищёнными с точки зрения их целесообразности, перспективности и соответствия стратегии развития банка. При разработке стратегии необходимо ориентироваться не столько на создание «глобальных космических планов», сколько на набор проектов – «серебряных пуль», когда каждый проект имеет приемлемую стоимость, но позволяет решить достаточно серьёзную задачу/проблему – «избавиться от демона, мешающего движению вперёд».

«Отложенные» результаты ИТ-аудита

Помимо прямых результатов, есть результаты, которые проявятся позже, в том случае, если банк будет следовать полученным рекомендациям. По опыту, проведение специализированного ИТ-аудита и последующая разработка стратегии развития ИТ, отвечающей миссии и стратегии развития банка, позволит в среднесрочном будущем достигнуть многих важных результатов, например:

В части бизнес – результатов это могут быть:

• Технологическая поддержка развития бизнеса банка в соответствии с планируемыми показателями роста банка и расширяющейся номенклатурой услуг и продуктов (на два-три-четыре года вперёд, т.е. на горизонте стратегического планирования),
• Обеспечение планомерного и прогнозируемого технологического развития банка в соответствии с его бизнес-целями, использование ИТ, отвечающих стратегии развития банка и требованиям его акционеров;
• Внедрение современных технологий бизнес-процессов, использующих наилучшие российские и зарубежные банковские практики,
• Высокое качество обслуживания, сквозное обслуживание клиентов (независимо от места и технологии открытия счета, от точки обращения клиента / активации услуги),
• Централизация, целостность и единство информационных систем банка,
• Оптимизация бизнес-процессов и использование различных каналов дистрибуции и доставки банковских продуктов,
• Обеспечение производительности и масштабируемости информационных систем при росте объемов бизнеса,
• Создание и внедрение унифицированных технологий работы допофисов и точек присутствия банка,
• Централизованное управление лимитами и рисками (при внедрении соответствующих прикладных ИС).

В части организационных результатов и результатов в сфере информационных технологий это могут быть:

• Планируемость и прогнозируемость затрат банка на ИТ,
• Эффективное управление стоимостью владения ИС и ИТ, стоимостью развития ИС и ИТ,
• Технологическое разделение банка на бэк- и фронт- офис,
• Высокая эффективность работы сотрудников бизнес-подразделений (фронт-офис) и бухгалтерии (бэк-офис), исключение рассогласованного двойного (тройного) ввода и хранения информации,
• Создание оптимальной организационной структуры банка в соответствии с передовыми информационными и бизнес – технологиями,
• Использование на практике принципа сквозной обработки информации (STP - straight through processing), бесшовная интеграция используемых ИС с on-line передачей информации между модулями и подсистемами,
• Реорганизация системы управления ИТ в банке (эксплуатация, сопровождение, развитие),
• Регулярный мониторинг, анализ и контроль ИТ-рисков и сопряжённых операционных рисков, контроль ИТ-изменений,
• Стандартизация в области используемого ПО и технологий,
• Быстрое развертывание новых допофисов / точек присутствия банка,
• Документированность ИС, создание документации по эксплуатации и по системно-техническому обеспечению,
• Регламентация взаимодействия бизнес-подразделений банка со службами ИТ, служб сопровождения и развития ИТ с поставщиками ИТ-решений.

Аудита ИТ не надо бояться – его необходимо проводить – эффективно и с максимальной выгодой для банковского бизнеса.