От Ромула до наших дней
До недавнего времени, в русле общего роста рынка ИТ-услуг, проекты аудита ИТ-проектов обретали все большую популярность. Не исключено, что и сегодня, когда компании будут пересматривать роль информационных систем в оптимизации бизнес-процессов, аудит может стать действенным инструментом повышения эффективности проектов внедрения.
Слово «аудит» происходит от латинского audio – «слушать». Собственно, auditor – тот, кто слушает. В древнеримском государстве, в процессе разделения функций владения и управления собственностью между такими основными субъектами хозяйствования того периода, как государство, рабовладельческое имение и фермерское хозяйство, была впервые осознана необходимость в аудите. Источники того времени свидетельствуют, что учет в крупных государственных и частных субъектах хозяйствования вели одновременно и независимо друг от друга двое специально назначенных лиц, что было обусловлено стремлением предотвратить разворовывание государственной казны или имущества отдельного владельца. Вместе с тем такая практика служила для подтверждения точности отчетности. Для проверки правильности учетных записей использовали регулярную инвентаризацию. Со временем для дополнительного и независимого контроля была введена практика «прослушивания» лиц, выполняющих учетные функции. Собственники, для которых осуществлялся учет и которые использовали управленцев (это могли быть лица как лично свободные, так и лично зависимые), назначали контролеров, в обязанности которых входило «выслушивать» подотчетных лиц с целью проверки соответствия текущей практики принятым правилам учета. Так работали аудиторы на частном уровне. На государственном уровне создавались специальные аудиторские органы, которые контролировали правильность учета сбора налогов и государственные затраты. В дальнейшем практика аудиторских проверок была распространена и на другие сферы деятельности древнеримского государства.
Как правило, аудит ИТ-проектов проводится с целью:
- проверки соответствия целей и задач проекта бизнес-стратегии (или бизнес-требованиям, если по каким-то причинам бизнес-стратегия недоступна);
- оценки текущих параметров проекта (таких, как время, стоимость, качество получаемого результата), если аудит проводится во время прохождения проекта;
- оценки степени достижения декларированных целей и задач проекта и (или) получения документированного подтверждения их достижения из независимого источника.
Кроме того, аудит ИТ-проектов – обязательная составная часть стандартной программы регулярного ИТ- или комплексного аудита компании.
Qui bono?
Основные заказчики аудита ИТ-проектов – владельцы, акционеры, топ-менеджмент заказчика или менеджеры проектов со стороны заказчика. Заказчиком аудита может выступать и руководство компании-исполнителя, компания-вендор или поставщик решения. Очевидно, что мотивы у этих категорий специалистов отличаются.
На практике аудит подразделяется на два типа: внешний и внутренний. Цели внешнего и внутреннего аудита, применительно к проектам внедрения ИТ-решений, несколько отличаются, при наличии многих общих моментов.
Внутренний аудит направлен на достижение организацией поставленных путем внедрения систематизированного, дисциплинированного подхода к оценке и повышению эффективности процессов руководства, контроля и управления рисками. В данном случае аудит помогает ИТ-менеджерам самим удостовериться, что ИТ-решение можно запускат в промышленную эксплуатацию, убедить руководство, что потраченные деньги не «выброшены на ветер», и получить новые. При этом репутация внутреннего ИТ-менеджера в глазах руководства упрочивается. Кроме того, при возникновении проблем такая независимая экспертиза позволяет определить «кто виноват?» и сделать выводы на будущее: и по оформлению документации, и по выбору измеримых показателей успеха, и по взаимодействию с другими службами своей компании. Как правило, проведение внутреннего аудита входит в функции подразделения, формируемого в организации и находящегося в прямом подчинении совету директоров или собственнику компании (иногда эта функция отдается на аутсорсинг). Эксперты советуют: при проведении внутреннего аудита проекта во избежание конфликта интересов подразделение, выполняющее аудит, не должно быть задействовано в других работах по проекту.
Одним из обязательных условий аудита является независимость аудитора как от заказчика, так и от исполнителя проекта. В противном случае получить объективную картину практически невозможно.
«На мой взгляд, к аудиту необходимо привлекать компанию, не заинтересованную в конкретных финансовых результатах проекта, в противном случае добиться эффективной и, что немаловажно, объективной оценки проекта довольно сложно, – соглашается Олег Лысов, директор департамента решений Microsoft компании GMCS. – Понятно, что всегда возникает вопрос о затратах на аудит проекта. Однако аудитом проектов занимаются не только крупные аудиторские компании с международным именем. Если бюджет на проект ограничен, можно привлечь и российскую консалтинговую компанию, которая вполне способна справиться с аудитом проекта».
Диагноз или вскрытие?
Аудит проектов автоматизации может иметь несколько форм. Это может быть регулярный аудит проекта, начиная с первых стадий его развития и заканчивая запуском системы в промышленную эксплуатацию. В данном случае контролю подлежат, как правило, все ключевые процессы проекта. Кроме того, регулярно подвергаются оценке риски проекта, соблюдение стандартов ведения проектной деятельности, соответствие проектируемой системы целям и задачам проекта автоматизации. «Аудит, осуществляемый по такой схеме, позволяет своевременно предупреждать возможные риски серьезных отклонений от намеченных проектом целей, – считает Олег Лысов. – Однако в силу относительно высокой стоимости такой подход обычно применим только на комплексных ИТ-проектах, где задействовано обычно сразу несколько проектных команд. В данном случае можно говорить об эффективности внешнего контроля, который позволяет синхронизировать деятельность всех участников проекта». При проведении регулярного аудита заказчиком выступает руководство компании или корпорации.
По всем пунктам
В ходе проверки аудитор анализирует документарные доказательства работы над проектом: техническое задание на проект, акты приемки работ, протоколы рабочих встреч клиента и консультанта и т.д. Проверяется и соответствие проекта типовым методикам внедрения, которые есть практически у всех вендоров и часто поставляются вместе с лицензиями. Аудитор также может присутствовать на рабочих встречах проектной команды. Представителю заказчика заранее предоставляются документы, составленные за время, прошедшее с предыдущей встречи, он знакомится с ними и высказывает свои замечания. Кроме того, аудиторы могут проводить интервью с представителями заказчика и исполнителя компании, участвующими в проекте.
Существуют типовые программы аудита отдельных аспектов проектной деятельности, однако каждый аудит по-своему индивидуален, поэтому перечень этапов и состав работ в значительной степени зависит от характера и сути аудита.
В соответствии с методологией ISACA (Международной ассоциации аудиторов информационных систем), в процессе аудита ИТ-проекта оценивается десять направлений, покрывающих весь жизненный цикл ИТ-решения:
- соответствие целей проекта бизнес-целям организации;
- соответствие методологии управления проектом наиболее эффективному достижению бизнес-целей организации;
- текущий статус проекта, его соответствие плану и бюджету проекта, наличие документации проекта;
- наличие механизмов контроля, обеспечивающих выполнение стадий проекта в соответствии с требованиями законодательства и корпоративной политикой;
- качество процессов разработки, тестирования и внедрения с позиций соответствия конечных результатов проекта целям организации;
- готовность системы и инфраструктуры к переходу в промышленную эксплуатацию;
- проверка непосредственно после внедрения в промышленную эксплуатацию на соответствие внедренной системы целям организации, требованиям внутреннего корпоративного контроля и регулирующих органов;
- регулярная периодическая проверка на предмет сохранения соответствия системы целям организации, требованиям внутреннего контроля и регулирующих органов;
- качество и эффективность процессов поддержки внедренного решения;
- процессы вывода системы или элемента инфраструктуры из эксплуатации, их соответствие целям организации, требованиям внутреннего контроля и регулирующих органов.
«При выполнении комплексных проектов, которые проводятся с момента старта проекта внедрения, осуществляется аудит каждой стадии проекта. Поскольку аудиторы чаще всего работают с уже готовыми проектными документами (или, по крайней мере, с документами, близкими к завершению), аудит проводится ближе к моменту завершения каждого этапа проекта. Следует отметить, что аудит целесообразно начинать еще до момента заключения договора с подрядчиком. В этом случае заказчик получает отличную возможность внести в договор с подрядчиком важные, с точки зрения рисков проекта, положения», – советует Олег Лысов.
Можно ли сэкономить?
Продолжительность работ, проводимых в рамках аудита проекта, может варьироваться от нескольких дней до нескольких лет, в зависимости от комплексности и сложности проекта. Стоимость аудита также обуславливается его сложностью, квалификацией привлекаемых аудиторов, сутью проекта и может достигать 10% общих затрат на внедрение. Общую сумму назвать затруднительно, в качестве ценового ориентира для разового аудита проекта внедрения можно определить показатель в 2-3% стоимости контракта.
Оптимизация затрат, по мнению Олега Лысова, во многом зависит от менеджмента проекта: «Успешность любого проекта определяют его участники. Есть целый ряд нюансов, которые следует учитывать: эффективное взаимодействие на проекте, заинтересованность руководства компании в результатах проекта, вовлеченность в процесс проектной команды заказчика, соответствие опыта специалистов, поставленных на конкретные участки проекта, поставленным задачам, психологически комфорт членов проектной команды. Многое зависит от опыта руководителей проекта, как со стороны заказчика, так и исполнителя. По нашему опыту проведения крупных проектов аудита, не менее важным фактором становится и взаимодействие нескольких проектных команд (от разных подрядчиков). Регулярный аудит хода проекта в этом случае способствует оптимальному движению к поставленным целям».
Назад