11 июня 2009 г.
КПМГ провела исследование состояния внутреннего ИТ-аудита в регионе EMA, включая Россию.Введение
Целью исследования являлся анализ роли и деятельности внутреннего ИТ-аудита как составной части внутреннего аудита и его видов деятельности. Данное исследование является частью глобального проекта, посвященного изучению роли внутреннего ИТ-аудита в регионе ЕМА (Европа, Ближний Восток и Африка). В отчете представлены результаты опроса руководителей более чем 25 крупных российских и международных компаний, функционирующих на территории РФ.
• Преимущественно участниками опроса были руководители непубличных компаний.
• Суммарно представители банковской сферы и промышленного сектора составили почти половину из общего числа респондентов.
• В сегмент «Другое» вошли представители отраслей рекламы, ИТ, строительства, консалтинга.
• 15% респондентов- директора по внутреннему ИТ-аудиту.
• Помимо этого, в опросе приняли участие директора по консалтингу эксперты по внутреннему контролю, ИТ-аудиторы, менеджеры проектов, менеджеры по ИТ-аудиту и т.д.
Организация ИТ-аудита
Как и в случае с отчетностью по внутреннему аудиту, результаты ИТ-аудита в основном предоставляются Совету директоров/Комитету по аудиту и президенту/управляющему директору.
Как правило, служба внутреннего ИТ-аудита формируется из сотрудников департамента внутреннего аудита и включает специалистов с опытом в ИТ.
Примерно в 80% случаев компании не отдают функцию ИТ-аудита на аутсорсинг, предпочитая обходиться собственными ресурсами. В случае если компании прибегают к помощи внешних организаций, то основной причиной этому является нехватка сотрудников, и в меньшей степени – недостаток знаний либо стратегия организации. При недостатке технических знаний для проведения ИТ аудита, в первую очередь производится поиск квалифицированных сотрудников внутри компании либо же обучение рабочей группы.
В каждой четвертой компании отсутствует Положение о внутреннем ИТ-аудите, а в половине компаний он лишь упомянут в Положении о внутреннем аудите. Только в трети компаний планы ИТ-аудита тесно взаимосвязаны с мероприятиями корпоративного управления, а в остальных случаях имеется, в основном, лишь некоторая координация.
• В 85% опрошенных компаний отчет по внутреннему аудиту предоставляется комитету по внутреннему аудиту и/или напрямую совету директоров компании.
• Примерно в половине случаев отчет получают президент и/или управляющий директор компании.
• В структуре компаний девяти из десяти респондентов существует функция внутреннего ИТ-аудита.
• В большинстве компаний в функции внутреннего ИТ-аудита задействовано менее пяти человек.
• В 25% компаний, в чьей структуре есть функция внутреннего аудита, ее выполняет лишь один сотрудник.
• В 72% опрошенных компаний отчет по внутреннему аудиту ИТ предоставляется комитету по внутреннему аудиту и/или напрямую совету директоров компании.
• В шести случаях из десяти отчет получают президент и/или управляющий директор компании.
• ИТ-директор получает отчет менее чем в половине случаев.
• При комплектовании службы внутреннего аудита компании отдают предпочтение собственным сотрудникам департамента внутреннего аудита.
• Лишь в каждом пятом случае при комплектовании службы внутреннего аудита компании предпочитают нанимать специалистов.
• В большинстве случаев рабочую группу составляют аудиторы с опытом в ИТ
• Большинством компаний не применяется контроль проведения ИТ-аудита
• В 12% случаев внешние аудиторы работают независимо.
• В 12% случаев управление проектом осуществляется совместно с внешней командой аудиторов.
• Среди причин, по которым компании обращались к услугам сторонних организациям для выполнения функции внутреннего ИТ-аудита, чаще других упоминалась нехватка сотрудников (8%).
• В качестве приоритетного пути решения проблемы недостатка технических знаний у сотрудников респонденты определили поиск квалифицированных сотрудников внутри компании (42%).
• 32% повышают квалификацию специалистов путем проведения обучающих тренингов.
• 68% скептически относятся к идее привлечения квалифицированных специалистов со стороны.
• В 36% компаний планы внутреннего ИТ-аудита тесно взаимосвязаны с прочими мероприятиями в области корпоративного управления.
• В 32% компаний координация существует, но находится на недостаточно высоком уровне и планируется ее усиление.
• Координация отсутствует в 12% случаев.
• В каждой четвертой компании отсутствует какое-либо Положение о внутреннем аудите.
• В половине компаний Положение о внутреннем ИТ-аудите является частью Положения о внутреннем аудите.
Деятельность внутреннего ИТ-аудита
Приоритетными целями ИТ-аудита согласно опросу является оценка мер контроля в области информационных систем, аудит информационной безопасности и проверка соответствия корпоративным и регуляторным требованиям и законодательству. Опрос также выявил, что формализованный план ИТ аудита есть почти во всех компаниях, и в основном он покрывает анализ рисков, аудит информационной безопасности и оценку эффективности и результативности мер контроля.
• Формализованный план ИТ-аудита имеется в четырех из пяти компаний.
• В случае наличия плана внутреннего аудита в компании в девяти случаях из десяти этот план покрывает анализ рисков, аудит информационной безопасности и оценку эффективности и результативности мер контроля.
• Почти все респонденты упомянули оценку мер контроля в области информационных систем в качестве основной цели ИТ-аудита.
• Для 85% респондентов приоритетной целью ИТ-аудита является аудит информационной безопасности.
Методология аудита
Временные затраты между предложенными областями деятельности ИТ-аудита распределились достаточно равномерно. Однако рабочая группа по большей части тратит время на обзор эффективности контрольных мер в области ИТ и на аудит информационной безопасности. В подавляющем большинстве случаев для проведения ИТ-аудита компании применяют стандартные методологии, самая популярная из которых – COBIT.
• В среднем 20% времени, отведенного на ИТ аудит, сотрудники тратят на обзор эффективности контрольных мер в области ИТ.
• В среднем 18% затраченного на ИТ-аудит времени отведено на аудит информационной безопасности.
• На анализ рисков, связанных с новыми технологиями и системами, в среднем уходит меньше всего времени, отведенного на ИТ-аудит (8%).
• В трети случаев рабочая группа внутреннего аудита не включает специалистов в области ИТ-аудита и внутренних аудиторов функциональных областей и финансов.
• Для проведения ИТ-аудита в четырех из пяти случаев используется стандартная методология.
• Среди респондентов, использующих стандартные методологии для проведения ИТ-аудита, 95% предпочитают использование COBIT.
• В числе других методологий респондентами были названы BS25999, 19011, NIST, CSIRT, HP ITSM.
Планирование аудита
Практически во всех компаниях цикл планирования ИТ-аудита формализован, и в большинстве случаев планирование осуществляется один раз в год. В процессе планирования во внимание чаще всего принимаются бизнес-риски компании, и в меньшей степени – результаты предыдущих аудитов и решение департамента внутреннего аудита.
Как правило, ИТ-аудит является неожиданностью для проверяемых подразделений: большинство компаний либо не предупреждаются о нем вовсе, либо получают информацию не более чем за 15 дней до начала проверки. В подавляющем большинстве случаев ИТ-аудиту предшествует взаимодействие c руководством подразделений, затрагиваемых проверкой, и взаимодействие с руководством ИТ.
• Практически во всех компаниях, участвовавших в опросе, существует формализованный цикл планирования для ИТ-аудита.
• Две трети респондентов, компании которых осуществляют планирование для ИТ-аудита, делают это на ежегодной основе.
• Наиболее значимым при планировании ИТ-аудита фактором респонденты называют анализ бизнес-рисков и требования высшего руководства.
• Наименее важным при планировании фактором являются решения департамента внутреннего аудита и результаты предыдущих аудитов.
• Три четверти компаний используют формализованную оценку рисков для определения рамок аудиторских проверок.
• В большинстве случаев аудиту ИТ предшествует взаимодействие c руководством подразделений, затрагиваемых проверкой, и взаимодействие с руководством ИТ.
• В компаниях респондентов в 38% случаев затрагиваемые проверкой подразделения узнают об аудите за 1 15 дней до его начала, в каждой пятой компании - за 15-30 дней.
• 15% затрагиваемых подразделений не узнают о проверке вовсе.
Информирование заинтересованных сторон и принятие мер по результатам аудита
Практически во всех компаниях информирование о результатах ИТ-аудита формализовано и имеет форму детализированного отчета. Чаще всего подобный отчет содержит: а) цели и рамки проверки б) недостатки и области для улучшения в) выводы и рекомендации для проверяемого подразделения. 85% респондентов отметили, что проверяемые подразделения информируются о результатах каждой проверки.
Мониторинг того, какие меры предпринимают подразделения по доведенным до них по результатам ИТ аудита рекомендациям, осуществляется в основном службой внутреннего аудита и проводится на ежеквартальной основе.
• 88% респондентов отметили, что в их компаниях информирование о результатах ИТ-аудита формализовано.
• В 72% случаев информирование о результатах ИТ проверки имеет форму детализированного отчета о проверке.
• В остальных случаях это либо справка для руководства, либо презентация.
• Структура отчета по ИТ-аудиту в опрошенных компаниях чаще всего содержит цели и рамки проверки, недостатки и области улучшения, а также выводы и рекомендации.
• О результатах проверки чаще других информируются проверяемые подразделения, руководство департамента внутреннего аудита и Комитет по аудиту.
• В 65% случаев внутренним аудитом осуществляется мониторинг принятия мер по выработанным по результатам аудита рекомендациям.
• В 15% случаев мониторинг осуществляет служба внутреннего контроля.
• В 8% случаев мониторинг не применяется вовсе.
• Половина опрашиваемых компаний проверяют статус принятия мер по результатам ИТ-аудита на ежеквартальной основе.
• 17% осуществляют проверку с периодичностью в полгода.
• О текущем статусе принятия мер по результатам аудита чаще прочих информируется руководство департамента внутреннего аудита, комитет по аудиту и высшее руководство.
• В основном компании предпочитают стандартизировать формат отчетов и рабочих бумаг ИТ-аудита для облегчения восприятия получаемой информации.
Контроль и оценка качества
Преимущественно в компаниях производится анализ качества ИТ-аудита, причем в большинстве случаев это делается ответственным руководителем ИТ-аудита. Однако в основном оценка проводится неформально, и в 6 из 10 компаний нет надлежащим образом определенных и измеримых критериев оценки его эффективности.
В качестве мониторинга эффективности работы ИТ-аудиторов в подавляющем большинстве случаев оценивается выполнение сроков всего аудита и его промежуточных этапов.
• В шести из десяти компаний проводится анализ качества ИТ-аудита.
• В 64% компаний качество ИТ-аудита оценивает ответственный руководитель ИТ подразделения.
• В шести компаниях из десяти отсутствуют надлежащим образом определимые и измеримые критерии деятельности ИТ-аудита, которые помогли бы оценить его эффективность.
• В большинстве случаев эффективность работы ИТ аудиторов оценивается путем мониторинга сроков выполнения всего аудита и промежуточных этапов.
• В более чем половине компаний оценка результатов завершенных ИТ-аудитов проводится неформально.
• Около трети компаний предпочитают оценивать качество методом проведения интервью с руководством компании.
• В 12% компаний оценка результатов не проводится вовсе.
Использование инструментальных (программных) средств
Согласно опросу, автоматизированные инструментальные средства в основном применяются компаниями для подготовки отчета, подготовки рабочих бумаг аудита, анализа данных. Windows 2000 – наиболее популярная система для анализа уровня логической безопасности, а для анализа данных чаще всего применяется MS Excel.
• Автоматизированные инструментальные (программные) средства чаще прочего используются компаниями на этапе подготовки отчета, рабочих бумаг аудита и анализа данных.
• В случае использования автоматизированных инструментальных средств в подавляющем большинстве компаний они применяются для запросов к файлам данных и в целях информационной безопасности.
• В случае если автоматизированные инструментальные средства используются для анализа уровня логической безопасности, то в основном применяется Windows 2000, в меньшей степени – Unix.
• 64% опрашиваемых компаний используют Excel для анализа данных.
• В каждой пятой компании используется Access.
Профессиональные навыки и умения
Среди требований к ИТ-аудиторам со стороны работодателей наиболее весомым является наличие сертификатов CISA (Certified Information Systems Auditor). В среднем группа ИТ-аудиторов на 65% состоит из специалистов в области ИТ.
Поиск кадров на позиции ИТ-аудиторов осуществляется в основном за пределами компании путем сотрудничества с рекрутинговыми агентствами, а также по рекомендации персонала компании.
• Критериями качества ИТ-аудиторов, как правило, являются знание международных стандартов, информационной безопасности и понимание бизнес-среды организации.
• Семь из десяти респондентов отмечали, что ИТ аудиторы должны обладать квалификацией CISA. В качестве других вариантов респонденты упоминали CISSP и наличие технического образования.
• В среднем 65% состава рабочей группы ИТ-аудита - специалисты в области ИТ.
• 13% ИТ-аудиторов компаний – экономисты.
• В зависимости от позиции специалиста в группе ИТ-аудита в среднем требования к опыту работы выглядят так: Ассистент – 1,2 года; старший аудитор – 2,9 года, руководитель рабочей группы – 3,8 года, менеджер – 4,1 года.
• Девять из десяти компаний требуют от членов рабочей группы ИТ-аудита наличие сертификаций в области ИТ-аудита.
• В 42% случаев требуется наличие сертификатов в области внутреннего аудита.
• В 60% случае поиск сотрудников на позицию ИТ аудиторов происходит вне организации.
• В каждой четвертой компании поиск осуществляется как внутри компании, так и за ее пределами
• При закрытии позиций ИТ-аудитором путем найма внешних специалистов наиболее приоритетный для компаний способ - это сотрудничество с рекрутинговыми агентствами.
• Также достаточно широко распространен наем сотрудников по рекомендации персонала компании.
• Наиболее востребованными навыками ИТ-аудиторов в настоящее время является знание международных стандартов (например, COBIT), информационная безопасность и знание бизнес-среды.
Обучение и профессиональная аттестация ИТ-аудиторов
Компании предпочитают принимать на работу уже опытных кандидатов и не тратить много времени на обучение сотрудников. Почти в половине организаций на повышение квалификации тратится менее 40 часов в год. Приоритетом при обучении ИТ-аудиторов является подготовка к международным сертификациям: CIA, CISA, CISM, CISSP. Аттестация ИТ-аудиторов, как правило, проходит на ежегодной основе и в меньшей степени – по завершению каждого проекта.
• Почти половина компаний тратит на обучение своих сотрудников ИТ аудита не более 40 часов в год.
• При обучении основным вопросом является подготовка к международным сертификациям: CIA, CISA, CISM, CISSP.
• В четверти случаев аттестация сотрудников группы ИТ аудита происходит по окончании каждого проекта.
• Большинство компаний ежегодно оценивают работу ИТ аудиторов.
Профессиональный рост
В трети компаний не регламентирован план профессионального роста сотрудников ИТ-аудита, а более чем в половине компаний план профессионального роста сотрудников ИТ-аудита согласовывается с планом профессионального роста сотрудников ИТ-департамента. Достижение поставленных целей - ключевой критерий при принятии решения о продвижении сотрудников ИТ-аудита. Почти в половине опрошенных компаний наблюдается невысокая текучка ИТ-аудиторов.
• В трети компаний не регламентирован план профессионального роста сотрудников ИТ-аудита.
• В 56% компаний план профессионального роста сотрудников ИТ-аудита согласовывается с планом профессионального роста сотрудников ИТ-департамента.
• Ключевой критерий для работодателей для карьерного продвижения ИТ-аудиторов - достижение поставленных целей.
• 64% отметили наличие опыта как фактор продвижения ИТ-аудиторов.
• 44% также выделяют профессиональные сертификаты CIA или/и CISA как один из главных критериев.
• Почти в половине компаний текучка кадров среди ИТ-аудиторов находится на незначительном уровне.
• Лишь в 8% компаний наблюдается высокая текучка кадров.
• В основном, уволившиеся ИТ-аудиторы уходят в другие компании смежных отраслей.
• В четверти случаев ИТ-аудиторы уходят в консалтинговые компании.
Более подробно см. здесь http://www.kpmg.ru/russian/supl/publications/surveys/IT_audit_survey_2009_RUS.pdf
Источник: КПМГ