От Ромула до наших дней

До недавнего времени, в русле общего роста рынка ИТ-услуг, проекты аудита ИТ-проектов обретали все большую популярность. Не исключено, что и сегодня, когда компании будут пересматривать роль информационных систем в оптимизации бизнес-процессов, аудит может стать действенным инструментом повышения эффективности проектов внедрения.

Слово «аудит» происходит от латинского audio – «слушать». Собственно, auditor – тот, кто слушает. В древнеримском государстве, в процессе разделения функций владения и управления собственностью между такими основными субъектами хозяйствования того периода, как государство, рабовладельческое имение и фермерское хозяйство, была впервые осознана необходимость в аудите. Источники того времени свидетельствуют, что учет в крупных государственных и частных субъектах хозяйствования вели одновременно и независимо друг от друга двое специально назначенных лиц, что было обусловлено стремлением предотвратить разворовывание государственной казны или имущества отдельного владельца. Вместе с тем такая практика служила для подтверждения точности отчетности. Для проверки правильности учетных записей использовали регулярную инвентаризацию. Со временем для дополнительного и независимого контроля была введена практика «прослушивания» лиц, выполняющих учетные функции. Собственники, для которых осуществлялся учет и которые использовали управленцев (это могли быть лица как лично свободные, так и лично зависимые), назначали контролеров, в обязанности которых входило «выслушивать» подотчетных лиц с целью проверки соответствия текущей практики принятым правилам учета. Так работали аудиторы на частном уровне. На государственном уровне создавались специальные аудиторские органы, которые контролировали правильность учета сбора налогов и государственные затраты. В дальнейшем практика аудиторских проверок была распространена и на другие сферы деятельности древнеримского государства.

Как правило, аудит ИТ-проектов проводится с целью:

• проверки соответствия целей и задач проекта бизнес-стратегии (или бизнес-требованиям, если по каким-то причинам бизнес-стратегия недоступна);
• оценки текущих параметров проекта (таких, как время, стоимость, качество получаемого результата), если аудит проводится во время прохождения проекта;
• оценки степени достижения декларированных целей и задач проекта и (или) получения документированного подтверждения их достижения из независимого источника.

Кроме того, аудит ИТ-проектов – обязательная составная часть стандартной программы регулярного ИТ- или комплексного аудита компании.

Qui bono?

Основные заказчики аудита ИТ-проектов – владельцы, акционеры, топ-менеджмент заказчика или менеджеры проектов со стороны заказчика. Заказчиком аудита может выступать и руководство компании-исполнителя, компания-вендор или поставщик решения. Очевидно, что мотивы у этих категорий специалистов отличаются.

На практике аудит подразделяется на два типа: внешний и внутренний. Цели внешнего и внутреннего аудита, применительно к проектам внедрения ИТ-решений, несколько отличаются, при наличии многих общих моментов.

Внутренний аудит направлен на достижение организацией поставленных путем внедрения систематизированного, дисциплинированного подхода к оценке и повышению эффективности процессов руководства, контроля и управления рисками. В данном случае аудит помогает ИТ-менеджерам самим удостовериться, что ИТ-решение можно запускат в промышленную эксплуатацию, убедить руководство, что потраченные деньги не «выброшены на ветер», и получить новые. При этом репутация внутреннего ИТ-менеджера в глазах руководства упрочивается. Кроме того, при возникновении проблем такая независимая экспертиза позволяет определить «кто виноват?» и сделать выводы на будущее: и по оформлению документации, и по выбору измеримых показателей успеха, и по взаимодействию с другими службами своей компании. Как правило, проведение внутреннего аудита входит в функции подразделения, формируемого в организации и находящегося в прямом подчинении совету директоров или собственнику компании (иногда эта функция отдается на аутсорсинг). Эксперты советуют: при проведении внутреннего аудита проекта во избежание конфликта интересов подразделение, выполняющее аудит, не должно быть задействовано в других работах по проекту.

Одним из обязательных условий аудита является независимость аудитора как от заказчика, так и от исполнителя проекта. В противном случае получить объективную картину практически невозможно.

«На мой взгляд, к аудиту необходимо привлекать компанию, не заинтересованную в конкретных финансовых результатах проекта, в противном случае добиться эффективной и, что немаловажно, объективной оценки проекта довольно сложно, – соглашается Олег Лысов, директор департамента решений Microsoft компании GMCS. – Понятно, что всегда возникает вопрос о затратах на аудит проекта. Однако аудитом проектов занимаются не только крупные аудиторские компании с международным именем. Если бюджет на проект ограничен, можно привлечь и российскую консалтинговую компанию, которая вполне способна справиться с аудитом проекта».

Диагноз или вскрытие?

Аудит проектов автоматизации может иметь несколько форм. Это может быть регулярный аудит проекта, начиная с первых стадий его развития и заканчивая запуском системы в промышленную эксплуатацию. В данном случае контролю подлежат, как правило, все ключевые процессы проекта. Кроме того, регулярно подвергаются оценке риски проекта, соблюдение стандартов ведения проектной деятельности, соответствие проектируемой системы целям и задачам проекта автоматизации. «Аудит, осуществляемый по такой схеме, позволяет своевременно предупреждать возможные риски серьезных отклонений от намеченных проектом целей, – считает Олег Лысов. – Однако в силу относительно высокой стоимости такой подход обычно применим только на комплексных ИТ-проектах, где задействовано обычно сразу несколько проектных команд. В данном случае можно говорить об эффективности внешнего контроля, который позволяет синхронизировать деятельность всех участников проекта». При проведении регулярного аудита заказчиком выступает руководство компании или корпорации.

По всем пунктам

В ходе проверки аудитор анализирует документарные доказательства работы над проектом: техническое задание на проект, акты приемки работ, протоколы рабочих встреч клиента и консультанта и т.д. Проверяется и соответствие проекта типовым методикам внедрения, которые есть практически у всех вендоров и часто поставляются вместе с лицензиями. Аудитор также может присутствовать на рабочих встречах проектной команды. Представителю заказчика заранее предоставляются документы, составленные за время, прошедшее с предыдущей встречи, он знакомится с ними и высказывает свои замечания. Кроме того, аудиторы могут проводить интервью с представителями заказчика и исполнителя компании, участвующими в проекте.

Существуют типовые программы аудита отдельных аспектов проектной деятельности, однако каждый аудит по-своему индивидуален, поэтому перечень этапов и состав работ в значительной степени зависит от характера и сути аудита.

В соответствии с методологией ISACA (Международной ассоциации аудиторов информационных систем), в процессе аудита ИТ-проекта оценивается десять направлений, покрывающих весь жизненный цикл ИТ-решения:

• соответствие целей проекта бизнес-целям организации;
• соответствие методологии управления проектом наиболее эффективному достижению бизнес-целей организации;
• текущий статус проекта, его соответствие плану и бюджету проекта, наличие документации проекта;
• наличие механизмов контроля, обеспечивающих выполнение стадий проекта в соответствии с требованиями законодательства и корпоративной политикой;
• качество процессов разработки, тестирования и внедрения с позиций соответствия конечных результатов проекта целям организации;
• готовность системы и инфраструктуры к переходу в промышленную эксплуатацию;
• проверка непосредственно после внедрения в промышленную эксплуатацию на соответствие внедренной системы целям организации, требованиям внутреннего корпоративного контроля и регулирующих органов;
• регулярная периодическая проверка на предмет сохранения соответствия системы целям организации, требованиям внутреннего контроля и регулирующих органов;
• качество и эффективность процессов поддержки внедренного решения;
• процессы вывода системы или элемента инфраструктуры из эксплуатации, их соответствие целям организации, требованиям внутреннего контроля и регулирующих органов.

«При выполнении комплексных проектов, которые проводятся с момента старта проекта внедрения, осуществляется аудит каждой стадии проекта. Поскольку аудиторы чаще всего работают с уже готовыми проектными документами (или, по крайней мере, с документами, близкими к завершению), аудит проводится ближе к моменту завершения каждого этапа проекта. Следует отметить, что аудит целесообразно начинать еще до момента заключения договора с подрядчиком. В этом случае заказчик получает отличную возможность внести в договор с подрядчиком важные, с точки зрения рисков проекта, положения», – советует Олег Лысов.

Можно ли сэкономить?

Продолжительность работ, проводимых в рамках аудита проекта, может варьироваться от нескольких дней до нескольких лет, в зависимости от комплексности и сложности проекта. Стоимость аудита также обуславливается его сложностью, квалификацией привлекаемых аудиторов, сутью проекта и может достигать 10% общих затрат на внедрение. Общую сумму назвать затруднительно, в качестве ценового ориентира для разового аудита проекта внедрения можно определить показатель в 2-3% стоимости контракта.

Оптимизация затрат, по мнению Олега Лысова, во многом зависит от менеджмента проекта: «Успешность любого проекта определяют его участники. Есть целый ряд нюансов, которые следует учитывать: эффективное взаимодействие на проекте, заинтересованность руководства компании в результатах проекта, вовлеченность в процесс проектной команды заказчика, соответствие опыта специалистов, поставленных на конкретные участки проекта, поставленным задачам, психологически комфорт членов проектной команды. Многое зависит от опыта руководителей проекта, как со стороны заказчика, так и исполнителя. По нашему опыту проведения крупных проектов аудита, не менее важным фактором становится и взаимодействие нескольких проектных команд (от разных подрядчиков). Регулярный аудит хода проекта в этом случае способствует оптимальному движению к поставленным целям».