Не лучшие практики ИТ-аудита

Недавно ISACA и Protiviti выпустили 5-е совместное исследование практик ИТ-аудита под названием «Глобальный взгляд на лучшие практики ИТ-аудита».  Обе компании достаточно уважаемые и с огромным опытом в области как ИТ так и аудита.  И именно поэтому исследование вызвало у меня столько недоумения. Не буду теребить тему того, что слово «лучшие» в контексте «практик» совсем не уместно. Это «ведущие», причем в смысле «наиболее распространённые на текущий момент». Но это перфекционистические бантики. А вот что действительно вызывает непонимание, так это позиционирование ИТ-аудита, как какого-то отдельного направления, которое должно взаимодействовать с аудитом. Да и взгляд на оценку ИТ-рисков тоже вызывает вопросы. Но давайте все по порядку. Выжимки сквозь призму субъективного восприятия.

Резюме для руководителей

Обычно этот раздел документа пишется для не имеющих времени и не желающих вникать в технические детали руководителей. В него включаются основные мысли, которые мы хотим до этих самых руководителей донести.
В исследовании этот раздел состоит из вступления о быстроразвивающихся технологиях и рисках кибер-безопасности, мало отличающееся от вступлений предыдущих исследований. После чего идет 6 наиболее важных по мнению ISACA и Protiviti наблюдений:

1. Новые технологии, инфраструктурные изменения в ИТ, а также вопросы информационной безопасности – наиболее распространённые технические проблемы, с которыми сталкиваются ИТ-аудиторы. 
2. Поиск квалифицированных ресурсов (в сфере ИТ-аудита) – по-прежнему проблема. 
3. Во многих организациях ИТ-аудит подотчетен руководству мимо руководителя внутреннего аудита, что делает его работу неэффективной.
4. Оценка ИТ-рисков абсолютно необходима.
5. ИТ аудит нужно больше вовлекать в ИТ-проекты на ранних стадиях.
6. Большая часть лидеров ИТ-аудита не могут объяснить сложные технические проблемы не-технической аудитории.

На этом резюме для руководителей внезапно заканчивается. На какие мысли руководителей должен был натолкнуть этот неструктурированный поток сознания – остается загадкой. Лично меня это натолкнуло на следующие мысли:

1. Если задать вопрос про технические проблемы и предложить список ответов, логично, что выбирать будут те области, в которых их больше всего. Поэтому тренд такой стабильный.
2. Проблема в поиске квалифицированных ИТ аудиторов - это часть общей проблемы поиска квалифицированного персонала для внутреннего аудита вообще. К тому же ситуация усугубляется тем, что для эффективной работы ИТ аудитор должен обладать совокупностью навыков, крайне редко сочетаемой в одной личности.
3. Почему во многих компаниях ИТ аудит держится особняком – более-менее понятно. Не всегда понимание со стороны руководителя функции зачем же нужно это направление. Да и наблюдение номер 6 (неспособность к коммуникациям) говорит само за себя. Но вот почему сами исследователи позиционируют ИТ аудит как отдельный вид деятельности и пишут (в тексте исследования) о взаимоотношениях между внутренним аудитом и ИТ-аудитом – для меня большая загадка. Кто как не ISACA должна понимать, что ИТ – это функция поддерживающая бизнес, и которую нельзя рассматривать как что-то отдельное от бизнеса? И почему тогда ИТ-аудит – это не часть единого внутреннего аудита, рассматривающего работу бизнеса (и поддерживающие его технологии) как единое целое?
4. То же самое про риски. Какие такие ИТ-риски у компании? Если что-то случается в ИТ – каков конечный эффект? Пострадает ИТ или бизнес, который эти ИТ поддерживает? Почему они должны оцениваться отдельно, а не комплексно с остальными?
5. В сочетании дефицита квалифицированных кадров и неспособностью доносить ими технические проблемы до не-технического руководства, рекомендация побольше вовлекать ИТ-аудиторов в начальные фазы ИТ-проектов кажется несколько преждевременной.
6. Неспособность доносить до руководства свои мысли – это всегда к неэффективности функции. Сложные технические вопросы не при чем. Дело сугубо в понимании проблемы и способности общаться. Тут если не можешь объяснить вопрос на уровне, понятном твоей бабушке – значит ты вопросом не владеешь.

Само исследование разбито на 5 разделов. Пройдемся по ним.

Наиболее популярные сейчас технические проблемы

Первый раздел показывает динамику популярности технологических проблем за последние три года (согласно этому и предыдущим исследованиям). Затем идут две страницы текста рассуждений о важности технологий, разнообразии существующих проблем, и важности человеческого фактора, написанного в лучших традициях индусского кода. Заканчивается раздел неожиданной мыслью о том, что в современном мире аудитор должен стать мостом, соединяющим пропасть между бизнесом и ИТ.

ИТ-аудит по отношению к внутреннему аудиту

Раздел посвящен развернутому обсуждению наблюдения номер 3 из резюме для руководителей и его последствий. Повторятся не буду. В конце раздела приводятся рекомендации лидерам и специалистам ИТ-аудита, некоторые из которых вызывают откровенное недоумение. Например, рекомендация «работать с руководством и правлением для обеспечения того, чтобы ИТ-аудит работал как независимая и беспристрастная функция в организации». От кого независимым? От внутреннего аудита? Почему ИТ-аудит не должен быть неотъемлемой частью внутреннего? И почему в существенные наблюдения не попал тот факт, что только 65% опрошенных руководителей функции внутреннего аудита обладают достаточной компетенцией для того, чтобы обсуждать технические вопросы с аудиторским комитетом? Не в этом ли истинная причина положения ИТ-аудита? А абсурдная рекомендация «стараться, чтобы минимум 20% аудиторских проверок было направлено на ИТ». С какого потолка взята эта цифра? Куда делось риск-ориентированное планирование?

Оценка ИТ-рисков

Еще один раздел из серии «мысль размытая на страницу». Единственный полезный совет – интегрировать оценку ИТ-рисков (а правильнее бизнес-рисков технического характера) в ERM.

Аудиторский план

Дважды перечитал раздел, пытаясь уловить канву, но не смог. Длинный раздел с пересказом кто как отвечал на вопросы на тему кто сколько тратит времени и ресурсов, на какие задачи и кто куда вовлечен. С промежуточными обобщениями из серии «средняя температура по больнице». В конце раздела – рекомендации никак не связанные с наблюдениями - делать ИТ-аудит по стандартам и вовлекать специалистов. И повтор опуса про «независимый ИТ-аудит».

Навыки и возможности

Последний раздел также представляет собой длинное перечисление ответов у кого сколько ресурсов, планируется набор новых, есть ли сертификаты, сколько денег тратится на обучение и т.д. В конце набор «ценных» рекомендаций на тему того, что нужно покупать тренинги, всем по сертификату CISA и 40 часов профессионального обучения в год.

В сухом остатке

В целом исследование представляет собой длинный (почти 50 страниц) набор плохо структурированного текста. Много наблюдений без выводов и немного рекомендаций мало связанных с наблюдениями.  Концовка в стиле «кипи купи наши услуги!» только усугубляет негативное восприятие и невольно наводит на мысль, что навязывание покупки услуг – единственная цель исследования.