Разработка методики проведения аудита ИТ-инфраструктуры образовательного учреждения
Организация информационной инфраструктуры. Анализ уровня информатизации образовательных учреждений. Проблемы, цели и методика проведения аудита ИТ-инфраструктуры. Проведение анализа уровня лицензирования программного обеспечения в учреждении образования.
Рубрика | Бухгалтерский учет и аудит |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 09.08.2012 |
Размер файла | 1,7 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
ОГЛАВЛЕНИЕ
ВВЕДЕНИЕ
ГЛАВА 1.ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ АУДИТА ИТ-ИНФРАСТРУКТУРЫ
1.1 Аудит как оценка деятельности организации
1.2 Организация информационной инфраструктуры, цели проведения аудита ИТ-инфраструктуры
1.3 Анализ уровня информатизации образовательных учреждений
ГЛАВА 2. МЕТОДИЧЕСКИЕ РАЗРАБОТКИ АНАЛИЗА ИТ-ИНФРАСТУРУКТУРЫ
2.1 Методика проведения аудита ИТ-инфраструктуры образовательного учреждения
2.2 Проведение аудита ИТ-инфраструктуры на примере ФГБОУ «МаГУ»
ЗАКЛЮЧЕНИЕ
СПИСОК ЛИТЕРАТУРЫ
ВВЕДЕНИЕ
В наше время, в эпоху цифровых технологий, следует уделять особое внимание проблеме интеграции it технологий в нашу жизнь. Любому предприятию для расширения масштабов своей деятельности необходима интеграция компьютерных средств. К ним можно отнести корпоративные сети, специализированное ПО для работы с конкретной областью данных и т.д.
Но далеко не достаточно лишь компьютеризации предприятия, необходим контроль ресурсов. Необходимо прогнозировать рост предприятия, уровень взаимодействия it средств и персонала, а также другие немаловажные факторы. Любое современное предприятие имеет в своем оснащении информационные системы и сложную ИТ-инфраструктуру. Информационные технологии развиваются слишком быстро, поэтому через 3-4 года могут не соответствовать современному уровню развития информационных систем. В этом случае требуется модернизация, апдейт программного обеспечения и замена оборудования (апгрейд). Однако, информационные системы и инфраструктура предприятия -- это дорогостоящий комплекс, который полностью менять раз в 3-4 года убыточно для любого предприятия. В этом случае следует провести исследование (аудит) состояния ИТ-структуры предприятия и разработать план модернизации.
Аудит ИТ-инфраструктуры и информационных систем требуется и в других случаях, например, при подключении в структуру нового комплекса оборудования или программного обеспечения. Кроме этого ИТ-аудит может проводиться в качестве независимой оценки качества систем, например, при сдаче работ подрядчиком.
Профессиональная аудиторская проверка значительно упростит деятельность любого предприятия. Она убережет от ошибок в учетной политике и поможет провести грамотное долгосрочное планирование. Аудит предотвратит экономические преступления внутри предприятия, избавит от конфликтов с налоговыми и другими службами государственного контроля. Особо важно проведение аудиторской проверки при смене руководящего звена компании, главного бухгалтера, при оформлении кредита, во время отчетного периода, а также при ключевых изменениях в законодательстве, затрагивающих порядок ведения учета на предприятии.
Цель исследования - разработать методику проведения аудита ИТ-инфраструктуры образовательного учреждения.
Задачи исследования:
1) выделить цели проведения аудита ИТ-инфраструктуры;
2) обосновать проблемы, которые возникают во время проведения аудита;
3) указать какие требования предъявляет договор на проведение аудиторской проверки;
4) обобщить, что представляет собой ИТ-инфраструктура;
5) выявить уровень информатизации российских учебных заведений;
6) оценить уровень лицензирования ПО, выявить уязвимости.
Объект исследования - аудит технического состояния образовательного учреждения.
Предмет исследования - оценочный аудит программного обеспечения ИТ-инфраструктуры образовательного учреждения.
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ АУДИТА ИТ-ИНФРАСТРУКТУРЫ
1.1 Аудит как оценка деятельности организации
В широком смысле аудит (аудиторская проверка) это процедура независимой оценки деятельности организации, системы, процесса, проекта или продукта. Чаще всего термин употребляется применительно к проверке бухгалтерской отчётности компаний.
В узком смысле аудит это независимая проверка отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности (в соответствии с Федеральным законом России "Об аудиторской деятельности").
Аудит делится на:
- внутренний;
- внешний;
- обязательный;
- инициативный.
Внутренний аудит технически осуществляется собственными силами компании и незаменим для осуществления оперативного, управленческого и стратегического контроля. Основная цель внутреннего аудита - это защита интересов учредителей, руководителей, инвесторов, и их клиентов путем контроля над соблюдением сотрудниками компании законодательства, нормативных актов и стандартов профессиональной деятельности, локальных нормативных актов, обеспечения надлежащего уровня надежности и минимизации рисков деятельности организации. В небольших организациях может не быть штатных аудиторов - в этом случае проведение внутреннего аудита возможно поручить ревизионной комиссии или аудиторской фирме на договорных началах.
Внешний аудит _ контроль с привлечением специалистов аудиторской фирмы в целях получения независимой оценки, которую может дать взгляд "со стороны".
Обязательный аудит - ежегодная обязательная аудиторская проверка ведения бухгалтерского учета и финансовой (бухгалтерской) отчетности организации. Обязательный аудит проводится только аудиторами и аудиторскими организациями. Целью такого аудита является официальное подтверждение достоверности бухгалтерской отчетности организации. Обязательная аудиторская проверка осуществляется в случаях, установленных актами законодательства.
Инициативный аудит (добровольный аудит) это аудит, который проводится по решению руководства организации или его учредителей. Основная цель инициативного аудита - выявить недостатки в ведении бухгалтерского учета, составлении отчетности, налогообложении, провести анализ финансового состояния хозяйствующего субъекта и помочь ему в организации учета и отчетности.
Аудитор - лицо, занимающееся аудитом (ревизией бухгалтерских книг, документов и отчетности) и консультационной деятельностью, связанной с наладкой бухгалтерского учёта. В России -- бухгалтер наивысшей квалификации. В других странах также -- юридическая фирма, занимающаяся такой деятельностью
Аудиторская деятельность (аудиторские услуги) - деятельность по проведению аудита и оказанию сопутствующих аудиту услуг, осуществляемая аудиторскими организациями, индивидуальными аудиторами. Аудиторская деятельность не подменяет контроля достоверности бухгалтерской (финансовой) отчетности, осуществляемого в соответствии с законодательством РФ уполномоченными государственными органами и органами местного самоуправления.
Федеральный закон «Об аудиторской деятельности» от 7 августа 2001 г. № 119-ФЗ (с изменениями и дополнениями от 30.12.2004 г.): «Аудиторская деятельность, аудит - предпринимательская деятельность по независимой проверке бухгалтерского учета и финансовой (бухгалтерской) отчетности.
На микроэкономическом уровне аудит является элементом рыночной инфраструктуры, необходимость функционирования которого определяется обязательствами:
- используется для принятия решений ее заинтересованными пользователями, в том числе руководством, участниками и собственниками имущества экономического субъекта, реальными и потенциальными инвесторами, работниками и заказчиками, органами власти и общественностью в целом;
- может быть подвержена искажениям в силу ряда факторов, в частности применения оценочных значений и возможности неоднозначной интерпретации фактов хозяйственной жизни, помимо этого, достоверность бухгалтерской отчетности не обеспечивается автоматически ввиду возможной пристрастности ее составителей;
- степень достоверности бухгалтерской отчетности, как правило, не может быть самостоятельно оценена большинством заинтересованных пользователей из-за информации, а также многочисленности и сложности хозяйственных операций, отражаемых в бухгалтерской отчетности экономических субъектов.
Аудит не подменяет государственного контроля достоверности финансовой (бухгалтерской) отчетности, осуществляемого в соответствии с законодательством РФ уполномоченными органами государственной власти. Согласно Закону № 119-ФЗ аудитором является физическое лицо, отвечающее квалификационным требованиям, установленным уполномоченным федеральным органом, и имеющее квалификационный аттестат аудитора.
Аудитор вправе осуществлять аудиторскую деятельность в качестве работника аудиторской организации или в качестве лица, привлекаемого аудиторской организацией к работе на основании гражданско-правового договора, либо в качестве индивидуального предпринимателя, осуществляющего свою деятельность без образования юридического лица. Индивидуальный аудитор вправе осуществлять аудиторскую деятельность, а также оказывать сопутствующие аудиту услуги. Индивидуальный аудитор не вправе осуществлять иные виды предпринимательской деятельности.
"Заключая договор с аудитором, - рекомендует Виталий Пилько, - не стоит забывать о том, что речь не идет о создании абсолютно неуязвимой системы, но лишь о поиске компромисса между стоимостью мероприятий по обеспечению ИБ и потенциальным ущербом от реализации рисков". Это важно иметь в виду при формировании задач аудита и оценке его результатов.
Формально внешний аудитор отвечает за все свои действия в соответствии с заключенным договором и действующими законами. "Хорошей практикой, - считает Илья Лившиц, - является заключение договора с внешней компанией, обладающей аудиторами-профессионалами в области ИБ, и включение в договор условий неразглашения конфиденциальной информации и мер финансовой ответственности за результаты работы с обязательным указанием периода, в течение которого компания-аудитор принимает на себя такую ответственность". Он также рекомендует предусматривать в договоре ответственность за риски невыполнения по тем или иным причинам рекомендаций аудиторов (высокая стоимость работ или специальных средств обеспечения ИБ, нехватка компетентного персонала и пр.) и заблаговременно продумывать варианты дальнейшего сотрудничества на основе аутсорсинга, лизинговых программ, страховании рисков и т.п.
Основной критерий качества выполненной аудитором работы, по мнению Виктора Сердюка, -- это полнота выявленных недостатков, уязвимостей и несоответствий в системе защиты заказчика, а также содержательность рекомендаций по их устранению. Только в этом случае результаты аудита могут использоваться заказчиком как реальный инструмент повышения уровня компании. Что же касается ответственности, то в первую очередь, считает он, за качество проведённой работы аудитор отвечает своей репутацией. Если так или иначе выяснится, что работа выполнена аудитором халтурно, то он рискует навсегда потерять для себя это направление бизнеса.
Качество работы независимого аудитора, проверяющего степень защищенности информационной инфраструктуры компании, по мнению Владимира Бычека, можно оценить по вполне осязаемым количественным показателям - таким, как уменьшение случаев обращения в службу технической поддержки по поводу инцидентов, связанных с заражением корпоративных ПК, или снижение затрат из-за нецелевого расходования сетевого трафика.
Очень строгий подход к оценке качества работы аудитора предложил Василий Носаков, определив мерилом качества исполнения работ "осознание и принятие заказчиком тех замечаний и рекомендаций, которые выдал аудитор, а также последующие планы и конкретные действия заказчика по устранению этих замечаний". Это подразумевает, что выданные рекомендации должны быть для данного конкретного заказчика выполнимы. "Если этого не происходит, значит налицо некомпетентность аудитора", -- заключает он.
Виктор Гудков напомнил, что качество проверки напрямую зависит от квалификации аудиторов, поэтому он рекомендует особое внимание обращать на уровень органов аккредитации, где те были сертифицированы.
Аудиторская организация - это коммерческая организация, осуществляющая аудиторские проверки и оказывающая сопутствующие аудиту услуги. Мнение аудитора о достоверности бухгалтерской отчетности может способствовать большему доверию к этой отчетности со стороны заинтересованных пользователей. Таким образом, аудит способствует снижению предпринимательского риска и может рассматриваться как процесс уменьшения до приемлемого уровня информационного риска для пользователей финансовых отчетов.
Основной целью аудита финансовой отчетности является выражение мнения аудиторской организации о достоверности отчетности экономического субъекта во всех существенных отношениях. Эта цель может быть достигнута, если в ходе проверки бухгалтерской отчетности получены достаточные аудиторские доказательства, позволяющие аудитору с определенной уверенностью сделать выводы относительно соответствия бухгалтерского учета проверяемой организации требованиям нормативных актов, регулирующих порядок ведения бухгалтерского учета и подготовки бухгалтерской отчетности.
Пользователи бухгалтерской отчетности не должны трактовать мнение аудиторской организации как гарантию будущей жизнеспособности экономического субъекта или эффективности деятельности его руководства, гарантию отсутствия каких-либо иных обстоятельств, влияющих на бухгалтерскую отчетность экономического субъекта.
Договор на проведение аудиторской проверки - это официальный документ, регламентирующий взаимоотношения между аудиторской организацией и экономическим объектом. Как и другие договоры предпринимательской деятельности, договор на проведение аудита юридически отражает и фиксирует согласованные интересы сторон заказчика и исполнителя.
Перед подписанием договора аудитору необходимо не только уяснить желание клиента, но и (по возможности) постараться помочь ему правильно сформулировать свой заказ. Качество проведения аудиторской проверки, бесконфликтность взаимоотношений аудитора с клиентом во многом зависят от качества заключенного договора на проведение аудита.
В договоре необходимо учитывать некоторые особенности аудита РФ. Это обусловлено тем, что аудиторская деятельность специфична, и руководство экономического субъекта зачастую не в полной мере понимает суть и содержание его.
После предварительного ознакомления с деятельностью экономического субъекта и принятия решения о возможности оказания ему аудиторских услуг начинается подготовка договора: определение трудоемкости, стоимости и сроков проведения аудита, потребности в привлечении консультантов и экспертов. Договор может быть заключен на длительный срок. Предметом такого договора могут быть одновременно аудиторские услуги и сопутствующие аудиторские услуги, не запрещенные законодательством в области аудита. Если договор не сопровождается письмом-обязательством, то в тексте указывают условия будущего сотрудничества, права и обязанности сторон.
Договор оформляется в соответствии с требованиями ГК РФ.
Текст договора должен содержать пункты:
- предмет договора аудиторских услуг;
- права и обязанности аудиторской организации;
- права и обязанности экономического субъекта;
- ответственность сторон и порядок разрешения споров;
- стоимость аудиторских услуг и порядок оплаты.
Текст договора может содержать и другие важные для сторон пункты.
В пункте «Условия оказания аудиторских услуг» должны быть указаны:
- цель оказания услуг и объект (в частности, при проведении аудита - порядок аудита филиалов и подразделений экономического субъекта, а также его дочерних компаний в случае их наличия);
- сроки и этапы оказания аудиторских услуг;
- ссылки на законодательные акты и нормативные документы, на основании которых оказаны аудиторские услуги.
Пункт «Права и обязанности аудиторской организации» предусматривает:
- неукоснительное соблюдение при оказании аудиторских услуг требований законодательства РФ;
- самостоятельное определение форм и методов аудиторской проверки исходя из требований нормативных актов РФ;
- проверку любой документации экономического субъекта, необходимой для проведения аудита, а также получение разъяснений и дополнительных сведений по возникшим в ходе проверки вопросам;
- получение по письменному запросу необходимой для осуществления аудиторской проверки информации от третьих лиц, в том числе государственных органов;
- отказ от проведения аудиторской проверки в случае непредставления проверяемым экономическим субъектом необходимой документации;
- доступ в систему компьютерной обработки данных;
- обращение к консультанту или эксперту в случае выявления такой необходимости;
- распоряжение своей рабочей документацией;
- необходимость привлечения к участию в проверке дополнительных аудиторов в связи со значительным объемом работы или какими-либо иными обстоятельствами, возникшими после заключения договора;
- квалифицированное проведение аудиторской проверки, соблюдение конфиденциальности и коммерческой тайны;
- обеспечение сохранности документов, получаемых и составляемых в ходе аудиторской проверки и др.
Количественные характеристики рынка аудита
В настоящее время Минфином РФ зарегистрированы в реестре 6 аудиторских СРО СРО - саморегулируемые организации, объединяющие компании по отраслевому принципу. Они создаются для сокращения разрешительных процедур от проверяющих органов ( лицензирование отдельных видов деятельности) на уведомительные с обязательным страхованием ответственности, т.е. СРО сами будут отвечать за результаты работы входящих в нее компаний. Иными словами, СРО, объединяющие юридические лица и индивидуальных предпринимателей, либо субъектов профессиональной деятельности одного вида, сами устанавливают правила ведения хозяйственной деятельности в своей отрасли, контролируют их соблюдение и применение санкций к нарушителям, обеспечивают досудебное разрешение споров. (данные на конец 2009).
Число аттестованных аудиторов составляет 38.8 тыс. человек. Из них только 0.7 тыс. человек оказывают аудиторские услуги непосредственно, остальные являются сотрудниками аудиторских фирм, количество которых в свою очередь составляет 6.2 тыс. шт. (все данные на начало 2009).
По состоянию на 25.02.2010 количество аудиторских организаций и индивидуальных аудиторов, внесенных в контрольный экземпляр реестра Минфина, составило соответственно 4.2 тыс. фирм и 21.1 тыс. чел. (данные официального сайта Минфина)
Возникающие в ходе ИТ-аудита проблемы бывают двух видов:
1. проблемы, связанные с человеческим фактором ;
2. проблемы, связанные со сложностью обработки большого объема данных.
Ключевыми являются проблемы, приведенные в таблице 1.
Таблица 1.Виды проблем ИТ-аудита
Вид проблем |
Задача |
Суть проблемы |
|
Люди |
Получение нужной информации от сотрудников |
Неприятие проекта в целом |
|
Согласование итогового отчета |
Неприятие выводов, сделанных в ходе проекта |
||
Использование итогового отчета |
Неприятие результатов проекта |
||
Данные |
Формирование общего представления об ИТ |
Неполнота собранных данных |
|
Контроль правильности заполнения анкет |
Некорректное заполнение анкет |
||
Обработка собранных данных |
Большой объем плохо структурированных данных |
Эти проблемы должны решаться в ходе любого ИТ-аудита, выполняемого как самими сотрудниками компании, так и внешними подрядчиками.
Методы решения достаточно очевидны, но, пытаясь сэкономить время и средства, компании их нередко игнорируют, что увеличивает риск неудачного завершения проекта.
Чтобы упростить получение нужных сведений от сотрудников, необходимо до начала массового сбора информации провести несколько презентаций, обозначив цели проекта в целом и осветив вопросы, которые будут заданы в ходе анкетирования и интервью. Также должна быть организована горячая линия для оперативной помощи при заполнении анкет. Необходимы и периодические презентации для руководителей, которые будут принимать участие в согласовании отчета. Желательно заранее, а не в последний день, направить отчет на согласование и использовать в нем максимально объективные формулировки, приводить факты, а не мнение. Процедура согласования итогового отчета, с четкими сроками и указанием ответственных, должна быть определена еще на этапе согласования методики аудита.
Для упрощения анализа большого объема данных (особенно в случае, когда они получены путем анкетирования сотрудников) необходима автоматизация процедуры сбора и обработки информации. Для повышения достоверности данных нужна выборочная проверка заполненных анкет.
Специфику восприятия аудита в России, помимо советского прошлого и небольшого возраста профессии, определяет также тот факт, что отделение собственников бизнеса от оперативного управления бизнесом произошло главным образом в крупных публичных компаниях. Во многих остальных предприятиях собственники продолжают руководить, поэтому отсутствует конфликт «наёмный менеджер - акционер», традиционно являющийся «двигателем» независимого аудита финансовой отчетности.
В результате собственникам-менеджерам аудит финансовой отчетности не требуется. В лучшем (для аудиторов) случае им требуются смежные услуги, в частности, налоговый аудит (который, тем не менее, зачастую заказывается и проводится в рамках договора об аудите отчетности). Учитывая такие потребности клиентов, аудиторы (главным образом, из третьей группы) соответствующим образом строят проверки, даже если те именуются аудитом: основная часть времени тратится на анализ налоговых обязательств и рисков клиентов, а незначительная -- для обеспечения формальных признаков аудита финансовой отчетности. Понимая такую специфику аудита, многие российские банки при рассмотрении кредитных заявок клиентов требуют представить им не аудированную финансовую отчетность, а управленческую отчетность по своим стандартам. Таким образом, спрос на аудит финансовой отчетности со стороны банков, который, казалось бы, должен стимулировать рынок, в явном виде не выражен.
В итоге по сей день наиболее заинтересованной в проведении аудита стороной являются сами аудиторы. Это во многом объясняет такие явления, как «всеядность» аудиторов, ценовой демпинг, характерные для третьей группы аудиторов. Это также отчасти объясняет тот путь (сверху вниз), которым финансовый аудит до настоящего времени прокладывал себе дорогу: государство (не без участия лоббистов от профессии) установило и несколько раз пересматривало случаи, когда аудиторская проверка является обязательной для компаний, создав, таким образом, нерыночный спрос на услуги профессии.
Итак, подведя итоги можно сказать что, аудит это комплекс мер направленных на оценку деятельности того или иного предприятия. Аудит является атрибутом, а также «санитаром» экономики, помогает поддерживать здоровую конкуренцию, избавляя рынок от неконкурентоспособных предприятий.
1.2 Организация информационной инфраструктуры, цели проведения аудита ИТ-инфраструктуры
ИТ-инфраструктура в широком смысле - Комплекс взаимосвязанных примененных технологий, технических, программных средств, систем связи и телекоммуникаций, схем организации работы квалифицированного персонала, систем жизнеобеспечения образуют систему функционирования автоматизированных информационных технологий современного предприятия -ИТ-инфраструктуру.
ИТ-инфраструктура в узком смысле система функционирования автоматизированных Информационных Технологий предприятия, включающая в себя комплекс взаимосвязанных систем передачи и обработки данных, как аппаратных, так и программных информационных систем, систем управления, персональными компьютерами (рабочие станции), серверами, сетевыми и/или периферийными устройствами, системами хранения и резервирования данных, программным обеспечением, систем связи и телекоммуникаций, систем безопасности и схем организации работы персонала предприятия.
Сегодня уже невозможно представить себе современный офис, успешно развивающийся бизнеса без применения Информационных Технологий (IT). Успешное развитие современного бизнеса невозможно без эффективного (стабильного и безопасного) функционирования IT-инфраструктуры, ее соответствия поставленным задачам и качественных IT-услуг.
Формирование ИТ-инфраструктуры - сложный процесс, протекающий под влиянием множества разнообразных факторов. В процессе жизненного цикла, по мере наращивания функционала, интеграции новых компонент и замораживания устаревших, она может далеко уйти от изначальной концепции. Но важно обеспечить, чтобы ИТ-инфраструктура действительно отражала существующие в компании бизнес-процессы и действующую бизнес-стратегию.
Аудит ИТ-инфраструктуры входит в обязательный спектр услуг как консалтинговых компаний, так и системных интеграторов. Поскольку количество используемых информационных систем быстро растет, а их качество постоянно улучшается, необходим периодический анализ состояния информационных систем, ИТ-оборудования, организации ИТ-отдела и обоснованности решений о развитии ИТ компании.
Аудит ИТ-инфраструктуры - ключевой процесс для реализации таких проектов, как пересмотр ИТ-стратегии, рефакторинг ИТ-процессов и даже бизнес-процессов. Упущения при описании текущего функционала могут вылиться в болезненные задержки и дорогостояще доработки на следующих этапах проекта.
Аудит ИТ-инфраструктуры требует от проводящих его специалистов особенных компетенций. Конечно, доскональное знание предметных областей - будь то архитектура баз данных или специфика отказоустойчивых решений - совершенно необходимы. Но этого недостаточно. Аудит - это исследовательский проект, в то время как большинство ИТ-сотрудников заказчика ориентированы на решение прикладных задач. Они склонны, зачастую бессознательно, подменять действительное положение вещей желательным, идеальным. Источником возможных затруднений при проведении внешнего аудита может стать восприятие ИТ-сотрудниками аудиторов как конкурентов, несущих угрозу их карьере. Для минимизации этих опасений и создания оптимальной рабочей атмосферы необходима предварительная разъяснительная работа и максимальная открытость и дипломатичность в процессе аудита.
ИТ-директор современной компании часто слышит о необходимости проводить обследования ИТ-подразделений, информационных систем, ИТ-инфраструктуры. (Под ИТ-инфраструктурой понимается совокупность программного и аппаратного обеспечения - включая бизнес-приложения, - используемого в компании.)
Руководитель ИТ-подразделения должен четко представлять состояние всей ИТ-инфраструктуры компании как с точки зрения аппаратной, так и программной составляющей. Поэтому при подготовке к выполнению любого крупного ИТ-проекта первый этап в большинстве случаев заключается в обследовании текущего состояния ИТ.В России применительно к обследованию ИТ-инфраструктуры часто используется именно термин «аудит», хотя при этом далеко не всегда используются общепризнанные стандарты. В области ИТ-инфраструктуры укоренилась практика применения стандартов, выработанных внутри компаний. И дополнительной задачей проектов по ИТ-аудиту часто становится формирование корпоративного стандарта ИТ-инфраструктуры, определяющего типовое программное обеспечение и оборудование компании. То есть формирование стандарта ИТ-инфраструктуры происходит по результатам обследования и оценка соответствия этому стандарту все-таки выполняется. В этом случае использование термина «аудит» вполне обоснованно. Рисунок 1 отражает модель архитектуры предприятия.
Рис.1. Модель архитектуры предприятия
Состав работ:
1. Разъяснение ИТ-сотрудникам заказчика целей и методов аудита и их роли в этом проекте.
2. Создание первой очереди анкет, базирующихся на имеющейся документации и референтной отраслевой модели.
3. Составление карты ИТ-процессов, как реализованных, так и только продекларированных, с указанием их взаимосвязей:
- Границы процесса («вход» и «выход»);
- Цель процесса с точки зрения бизнеса;
- Владелец и менеджеры процесса;
- Этапы выполнения процесса;
- Поэтапная матрица ответственности;
- Метрики процесса и пр.
Особое внимание в ходе проведения аудита следует уделять нестыковкам в описаниях интерфейсов архитектурных компонент, архитектурным «причудам» и «излишествам» с недостаточным либо невнятным обоснованием. Наш опыт показывает, что эти неочевидные моменты - скрытый источник ресурсов для заказчика.
1.3 Анализ уровня информатизации российских образовательных учреждений
Одним из приоритетов ФЦП "Электронная Россия" является развитие инфраструктуры информатизации. С возникновением спроса на новые информационные технологии в начале 1990-х гг. в России возник небольшой, но динамично развивающийся сектор экономики, предоставляющий потребителям услуги в этой сфере.
Деятельность компаний, работающих на российском рынке информационных технологий, строится на продвижении современных западных технологий и интеграции нового оборудования с установленным ранее, как импортного, так и отечественного производства.
За исключением нескольких российских компаний, выпускающих небольшие объемы изделий, не влияющие на общую ситуацию в отрасли, подавляющая доля оборудования для информационных технологий импортируется.
Российские компании в основном осуществляют установку и интеграцию импортного оборудования в существующих и вновь создающихся информационных системах. Например, благодаря коммерческой деятельности российских компаний число телефонных линий существенно увеличилось. Возникло несколько крупных компаний мобильной связи, имеющих свою сеть в большинстве крупных российских городов. Число пользователей мобильной связи составляло уже десятки миллионов, и эта цифра в последние годы регулярно удваивалась ежегодно.
В 2001 г. в российских школах на 500 учащихся приходился один компьютер, а из 50 школ лишь одна имела доступ в Интернет. Для сравнения: почти все начальные и средние школы США к 2001 г. имели доступ в Интернет. При этом также необходимо учитывать характерную для российских школ низкую скорость доступа в Интернет, который, например, в США осуществляется по высокоскоростным каналам передачи данных. Только минимальные задержки при обращении к сайтам Интернета повышают интерес пользователей к использованию современных информационных технологий.
Вопрос финансирования реализации программы "Электронная Россия" также является очень важным. Региональным администрациям предлагается принять участие в финансировании строительства высокоскоростных интернет-магистралей и периферийных линий связи совместно с федеральным правительством и содействовать организации доступа к высокоскоростным интернет-магистралям через учебные и научно-исследовательские учреждения.
Новым направлением развития информационных технологий в России являются технопарки - уникальные инфраструктурные комплексы, предназначенные для наукоемких и сервисных компаний.
Федеральной программой предусмотрено создание компьютерных парков и обеспечение доступа в Интернет для всех вузов к 2005 г., а для средних школ к 2010 г. Естественно, существенная часть работы по созданию инфраструктуры, особенно по обеспечению средств доступа в Интернет в сельских школах, ложится на региональные администрации.
В качестве основных компонентов, определяющих уровень информатизации вузов, были выбраны:
ИТ-стратегия; электронный портал;
электронные библиотеки; системы дистанционного обучения (СДО);
системы электронного документооборота (СЭДО);
системы управления кадрами;
системы управления финансами и бухучета;
аналитические системы управления деятельностью вуза.
На рис. 2 представлена диаграмма оценки текущего состояния информатизации вузов по этим основным направлениям (поскольку мы оперируем соотношением элементов графика, то не стали приводить абсолютных цифр, тем более что выборка не является вполне репрезентативной и носит качественный, а не количественный характер).
Рис. 2. Уровень информатизации вузов по основным направлениям
Отрадным представляется факт наличия у большинства вузов ИТ-стратегии, что говорит о закате эры «лоскутной» автоматизации вузов по отдельным направлениям и факультетам и о растущей популярности комплексного подхода к информатизации.
Отсутствие у многих вузов систем электронного документооборота на первый взгляд кажется удивительным. Но на самом деле это следствие «лоскутной» автоматизации вузов. Та же причина, по-видимому, повлияла и на незначительное количество аналитических систем в вузах - ведь для построения аналитической системы поддержки принятия решений необходимо получать обобщенную информацию о различных аспектах деятельности вуза. Зачастую образовательное учреждение владеет значительным числом информационных систем и баз данных, созданных в разное время различными разработчиками на разнородных технологических платформах. Уровень интеграции этих систем невысок, информация, хранящаяся по частям в различных системах, в них частично дублируется или, наоборот, бывает неполной. Для выполнения своих задач вузу уже недостаточно лишь получать какие-либо сведения из различных ИС -- требуется обобщенное представление информации, позволяющее по одному запросу получать консолидированные данные из нескольких источников и выполнять их комплексный анализ.
Анализируя планы вузов, связанные с информатизацией (рис. 3), можно увидеть еще одно подтверждение актуальности проблемы внутривузовской интеграции -- очень малая доля вузов эту задачу считает решенной.
Рис. 3. Планирующиеся в вузах проекты
Еще один интересный факт -- низкая степень автоматизации в вузах собственно учебного процесса. Получается, что информатизация в первую очередь затронула обеспечивающие подразделения вуза (бухгалтерия, кадры и т.д.), а основная деятельность до сих пор не поддерживается (или поддерживается недостаточно). Причины этого явления вполне понятны -- ИТ-бизнес старался создавать решения, которые применимы к различным отраслям, сосредоточивая основное внимание на универсальных программных компонентах. И уже потом такие решения подстраивались под конкретную отрасль. Так, например, произошло с ERP-системами, которые создавались для автоматизации деятельности коммерческих предприятий, а затем были адаптированы и предложены вузам. Если вуз приобретал такой продукт, то внедрение начиналось, как правило, с обеспечивающих подразделений (обычно с бухгалтерии). Зачастую этим внедрение и ограничивалось, и причина не только в высокой стоимости таких решений, которые «съедали» весь бюджет вуза на информатизацию, но и в изначальной ориентированности решений на управленческий учет, а не на поддержку образовательной деятельности.
Вторая серьезная проблема, связанная с ERP-системами, -- их жесткость. Получалось, что не система адаптируется под деятельность вуза, а вуз вынужден перестраивать устоявшиеся процессы под новую систему.
Третий, очень болезненный для вуза момент -- вытеснение тех решений, которые уже применяются в вузе, новой ERP-системой, поскольку она является комплексной. Таким образом, вложенные ранее в разработки интеллектуальные и финансовые ресурсы вуза оказывались выброшенными.
Очевидно, что такую информатизацию трудно назвать эффективной, и приведенные результаты обобщения материалов конференции вряд ли можно назвать большим успехом ИТ в образовательной сфере. А это означает, что пришло время отраслевых решений, не просто адаптированных для образовательной среды, а специально созданных для нее с учетом всех особенностей отрасли.
Говоря об особенностях образовательной сферы, можно выделить следующие основные факторы, определяющие ее специфику:
- реформирование образовательной отрасли -- изменение подходов к организации процесса обучения, оценке его результатов, вхождение России в Болонский процесс, формирование системы непрерывного образования и т.д.;
- становление в вузах системы управления, включая менеджмент качества, повышение эффективности деятельности (и не только финансовой), формирование механизмов для повышения рейтинга вуза за счет предложения более качественных и нетрадиционных образовательных услуг, освоения новых направлений и форм обучения;
- развитие межвузовского взаимодействия: обмен студентами, преподавателями, курсами, создание межвузовского информационного пространства.
Таким образом, изменения в образовательной сфере происходят и на федеральном, и на межвузовском, и на внутривузовском уровне, поэтому, говоря об информатизации в образовании, можно выдвинуть главное требование -- в течение всего жизненного цикла информационная система для вузов должна быть изменяемой, приспосабливаемой ко все новым и новым условиям деятельности. Кроме того, она должна органично вписываться в имеющуюся ИТ-инфраструктуру вуза, чтобы успешно эксплуатирующиеся в вузе программные средства не вытеснялись новым продуктом, а дополнялись им. Подобный подход позволит создать единое информационное пространство вуза, в котором гармонично сосуществуют и эффективно взаимодействуют ранее внедренные и новые программные системы. В результате руководство образовательного учреждения наконец-то сможет получать для принятия решений целостную информационную картину деятельности вуза.
В первой главе «Теоретические аспекты аудита инфраструктуры» были рассмотрены основные понятия, термины, а также решены следующие задачи:
1) выделить цели проведения аудита ИТ-инфраструктуры;
2) обосновать проблемы, которые возникают во время проведения аудита;
3) указать какие требования предъявляет договор на проведение аудиторской проверки;
4) обобщить, что представляет собой ИТ-инфраструктура;
5) выявить уровень информатизации российских учебных заведений.
Также к рассмотрению были представлен анализ уровня информатизации вузов. Итак, перейдем к методике проведения аудита ИТ-инфраструктуры, и ее применению на примере ФГБОУ «МаГУ».
ГЛАВА 2. МЕТОДИЧЕСКИЕ РАЗРАБОТКИ АНАЛИЗА ИТ-ИНФРАСТУРУКТУРЫ
2.1 Методика проведения аудита ИТ-инфраструктуры образовательного учреждения
Комплексный аудит ИТ инфраструктуры - это один из инструментов, позволяющих найти общий язык между руководством образовательного учреждения, рядовыми сотрудниками, и ИТ подразделением в вопросах текущего сопровождения и развития информационных систем компании.
Комплексный аудит ИТ-инфраструктуры является составной частью любого договора на обслуживание компьютеров организаций и одним из залогов взаимопонимания и долгосрочности отношений компании с клиентом.
Если в организации назревает конфликт в отношениях с ИТ службой, то комплексный аудит ИТ инфраструктуры - это то, что поможет выявить существующие проблемы в кратчайшие сроки и позволит определить экономически эффективные пути их решения.
Мы возьмем за основу за комплексный аудит ИТ инфраструктуры предприятий и модифицируем его. Ведь образовательное учреждение имеет весьма много общего с компанией желающей продвинуть свою продукцию.
Целью проведения аудита является:
- получение объективной информации об актуальном состоянии оборудования и программного обеспечения в компьютерной сети университета;
- получение объективной информации о работе информационного портала университета. Разработка рекомендаций по повышению надежности, производительности и эффективности функционирования информационного портала;
- разработка рекомендаций по развитию информационных систем;
В рамках комплексного ИТ аудита выполняются следующие работы:
- Инвентаризация компьютерной техники и компьютерных комплектующих;
- Инвентаризация сети, сетевого оборудования и сетевых комплектующих;
- Инвентаризация установленного на рабочие станции программного обеспечения. Изучение использования установленного программного обеспечения пользователями сети;
- Экспертная оценка состояния компьютерного парка и сетевого оборудования на соответствие предъявляемым к нему требованиям на ближайший календарный год и формирование бюджета на закупку компьютерных и сетевых комплектующих на календарный год;
- Оценка удовлетворенности сотрудников университета качеством и удобством работы с информационными системами;
- Формирование функциональной схемы сети. Изучение функций информационных систем и поиск существующих проблем в работе последних;
- Анализ работы телефонной связи и схемы обработки телефонных вызовов;
- Анализ печатающих устройств и использования расходных материалов;
- Анализ выполнения лицензионных соглашений с производителями программного обеспечения;
- Анализ существующих эксплуатационных рисков и мер по их предотвращению;
- Разработка рекомендаций по изменению существующих информационных систем с целью повышения качества и удобства работы с ними сотрудников университета;
- Разработка предложения по развитию сети университета на ближайший календарный год.
Описание каждой из услуг приведено ниже:
1. Инвентаризация Инвентаризация -- это проверка наличия имущества организации и состояния её финансовых обязательств на определённую дату путём сличения фактических данных с данными бухгалтерского учёта. Это основной способ фактического контроля за сохранностью имущественных ценностей и средств.компьютерной техники и компьютерных комплектующих
В рамках данной услуги предполагается произвести инвентаризацию аппаратного обеспечения, установленного в офисах компании. В рамки инвентаризации входит следующее оборудование:
- Компьютерная техника и периферийные устройства;
- Сервера;
- Сетевое оборудование;
- Принтеры и сканеры.
Инвентарная база формируется в формате Microsoft Excel и при проведении инвентаризации в ней заполняются следующие поля:
I. Инвентарный номер оборудования - обозначает условно неделимый элемент инфраструктуры. Под неделимостью подразумевается неделимость элемента без вмешательства системного администратора: рабочее место, сервер и т.д.
II. Тип оборудования - может принимать значения:
- Комплектующее ПК;
- Настольный компьютер;
- Ноутбук;
- Оргтехника;
- Периферийные устройства;
- Сервер;
- Сетевое оборудование;
- Прочее.
III. Ответственный пользователь - сотрудник компании, использующий данное оборудование. Если оборудование использует несколько сотрудников компании, то в качестве ответственного пользователя будет обозначаться «Техподдержка».
IV. Описание - содержит детальную классификацию системного элемента:
- Блок питания;
- Видеокарта;
- Внешний диск;
- Жесткий диск;
- Маршрутизатор;
- Материнская плата;
- Монитор CRT;
- Оперативная память;
- и т.д.
V. Модель - содержит конкретную модель данного системного элемента:
VI. Расположение - отражает расположение элемента;
VII. Количество - количество системных элементов;
VIII. Статус - статус оборудования.
«Статус» может принимать следующие значения:
- Исправный;
- Неисправный;
- Неизвестно (в случае отсутствия технической возможности для определения состояния оборудования).
IX. К списанию - поле, означающее, что данное оборудование рекомендуется списать с баланса компании. Принимает значение «+» если списание необходимо и «-» если оно не требуется.
Пример заполненной инвентарной базы приведен на рисунке 4.
Рис. 4: Пример заполнения инвентарной базы оборудования
2. Инвентаризация сети, сетевого оборудования и сетевых комплектующих
В рамки инвентаризации сети входит инвентаризация активного сетевого оборудования по методике, приведенной в пункте 1 и формирование схемы сети и кабельного журнала.
При формировании схемы сети анализируется схема помещений и на ней отмечается расположение сетевых розеток, активного и пассивного сетевого оборудования. В случае, если розетки в помещениях не размечены, в процессе инвентаризации будет произведена дополнительная разметка сетевых розеток при помощи самоклеющихся маркеров. В кабельном журнале обозначается соответствие между номерами розеток и номерами портов на патч-панеле Коммутационная панель (патч-панемль) -- одна из составных частей структурированной кабельной системы (СКС). Представляет собой панель со множеством соединительных разъёмов, расположенных на лицевой стороне панели. На тыльной стороне панели находятся контакты, предназначенные для фиксированного соединения с кабелями, и соединённые с разъёмами электрически. Коммутационная панель относится к пассивному сетевому оборудованию. и свитче Сетевой коммутатор (свич, свитч от англ. switch -- переключатель) -- устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного или нескольких сегментов сети. В отличие от концентратора, который распространяет трафик от одного подключенного устройства ко всем остальным, коммутатор передаёт данные только непосредственно получателю, исключение составляет широковещательный трафик (на MAC адрес FF:FF:FF:FF:FF:FF) всем узлам сети. Это повышает производительность и безопасность сети, избавляя остальные сегменты сети от необходимости (и возможности) обрабатывать данные, которые им не предназначались..
Рис. 5: Пример схемы сети
3. Инвентаризация установленного на рабочие станции программного обеспечения. Изучение использования установленного программного обеспечения пользователями сети,
В рамках данной услуги будет произведен сбор информации о программном обеспечении, установленном на рабочие станции сотрудников университета, и выделены 10 наиболее часто встречающихся программ. Оценка использования программного обеспечения будет произведена на основе опроса пользователей по 10 данным программам.
4. Экспертная оценка состояния компьютерного парка и сетевого оборудования на соответствие предъявляемым к нему требованиям на ближайший календарный год и формирование бюджета на закупку компьютерных и сетевых комплектующих на календарный год,
В рамках данной услуги будет произведен анализ состояния компьютерного парка в целом и на основе экспертной оценки произведена оценка вероятности отказа оборудования в ближайший календарный год. Оборудование с наивысшей вероятностью отказа будет рекомендовано к замене.
5. Оценка удовлетворенности сотрудников компании качеством и удобством работы с информационными системами,
Оценка будет произведена на основе опроса пользователей. Форма опросного листа будет предварительно согласована с администратором
6. Формирование функциональной схемы сети. Изучение функций информационных систем и поиск существующих проблем в работе последних
В рамках данной услугу будет произведен экспертный анализ взаимодействия информационных систем в компании-клиента и составлена функциональная схема сети компании (пример функциональной схемы на Рис. 6) с описанием функций отдельных элементов. В случае если в процессе анализа информационных систем выявятся замечания к их работе, они будут отображены в отчете по результатам аудита ИТ инфраструктуры.
Рис. 6: Пример функциональной схемы сети
7. Анализ работы телефонной связи и схемы обработки телефонных вызовов,
Проводиться анализ схемы обработки входящих и исходящих вызовов (рис. 7), выявляются слабые места, выдаются рекомендации по модернизации телефонной связи в случае необходимости.
Рис. 7: Пример схемы обработки вызовов
8. Анализ печатающих устройств и использования расходных материалов,
Анализируются существующие печатающие устройства, их ежемесячная загрузка, стоимость отпечатка и адекватность запасов расходных материалов. Выдаются рекомендации по снижению стоимости отпечатка и созданию неубывающего резерва расходных материалов для реализации функций непрерывной печати документов.
9. Анализ выполнения лицензионных соглашений с производителями программного обеспечения
На данном этапе производиться сбор информации о количестве приобретенных университетом лицензий на программное обеспечение и проводиться их сравнение с данными о количестве установленного и используемого программного обеспечения, полученными в пункте 3. Производиться также проверка выполнения всех пунктов лицензионных соглашений для уже купленного программного обеспечения. При необходимости приобретения дополнительных лицензий производиться оценка стоимости лицензий на основе данных, полученных от ведущих дистрибьюторов программного обеспечения.
10. Анализ существующих эксплуатационных рисков и мер по их предотвращению.
На основе данных, полученных в рамках аудита, о текущем состоянии ИТ инфраструктуры проводится анализ эксплуатационных рисков, их последствий и возможных действий по снижению негативных последствий. В рамки анализа входят как штатные ситуацию отказа оборудования, так и форс-мажорные ситуации.
11. Выработка рекомендации по изменению существующих информационных систем с целью повышения качества и удобства работы с ними сотрудников компании
На основе данных, полученных в пунктах 1 - 10 разрабатывается общий список рекомендаций по изменению существующих информационных систем с целью повышения стабильности и скорости их работы, а также с целью повышения удобства работы с ними сотрудников компании.
12. Разработка предложения по развитию сети университета на ближайший календарный год
Заключительным пунктом аудита ИТ инфраструктуры является предложение по развитию информационных систем на ближайший календарный год с описанием функциональных возможностей информационных систем, предлагающихся к внедрению и необходимых затрат на приобретение программно-аппаратного обеспечения для реализации данных изменений.
Работы в рамках аудита ИТ-инфраструктуры зависят от размеров сети и количества информационных сервисов и занимают от 10 до 25 рабочих дней. Результатом обследования является инвентарная база оборудования и развернутый отчет о результатах аудита информационных систем.
2.2 Проведение аудита ИТ-инфраструктуры на примере ФГБОУ «МаГУ»
аудит информационный инфраструктура образование
Проведем анализ уровня лицензирования ФГБОУ «МаГУ» по методике, представленной в главе 2.1(пункт 9). Рассмотрим таблицу 2.
Таблица 2. Лицензионное программное обеспечение ФГБОУ «МаГУ»
Наименование продукта |
Дата выдачи настоящей лицензии |
Число лицензированных или сопровождаемых копий |
|
Microsoft Win Starter XP Russian |
13.08.2007 |
100 |
|
08.07.2009 |
200 |
||
Итого: |
300 |
||
Microsoft Windows Vista Bisiness Russian Upgrade |
Подобные документы
Основные подходы к управлению образовательным учреждением. Специфика образовательного аудита. Нормативно-правовое сопровождение образовательного аудита. Анализ материалов внутреннего мониторинга оценки качества дополнительного образования детей.
дипломная работа [1017,5 K], добавлен 24.01.2018Разработка плана аудита процесса аттестации по схемам "прослеживаемость вперед и назад". Экспертиза процедуры процесса аттестации. Разработка контрольного вопросника для проведения аудита. Методика квалиметрической оценки процесса по результатам аудита.
курсовая работа [527,8 K], добавлен 22.08.2013Сущность, виды, формы и цели аудита. Методика проведения аудита продажи готовой продукции, его проведение на примере Ижевского филиала ООО "Птицефабрика "Вараксино". Расчет уровня существенности и аудиторского риска. Составление плана и программы аудита.
курсовая работа [2,2 M], добавлен 15.05.2014Методологические основы аудиторской деятельности. Методы организации проведения аудиторских проверок. Класификация методов аудита. Виды и источники их получения. Методологические подходы к технике проведения аудита. Нормативно-правовые методы аудита.
курсовая работа [275,4 K], добавлен 17.06.2008Понятие и цели проведения аудита информационной безопасности. Анализ информационных рисков предприятия и методы их оценивания. Критерии оценки надежности компьютерных систем. Виды и содержание стандартов ИБ. Программные средства для проведения аудита ИБ.
дипломная работа [1,7 M], добавлен 24.06.2015Цели аудита качества. Стадии внутреннего аудита. Обеспечение полноты проведения аудита. Технология проведения аудита системы качества. Классификация несоответствий по их значимости. Совещания по взаимодействию группы. Последующие действия после аудита.
реферат [26,0 K], добавлен 26.03.2014Методика проведения аудита государственных и муниципальных предприятий, нормативная база и источники информации при аудите. Факторы, влияющие на порядок формирования данных бухгалтерского учета унитарных предприятий. План и программы проведения аудита.
курсовая работа [299,5 K], добавлен 16.12.2014Сущность аудита и аудиторской деятельности. Цели и задачи аудита. Достоверность бухгалтерской отчетности. Достижение основной цели проверки. Принципы проведения аудита. Независимость и конфиденциальность аудиторской проверки. Скептицизм аудита.
курсовая работа [27,6 K], добавлен 29.09.2006Источники информации для проведения аудита затрат на капитальный ремонт ОАО "Жилищник". Составление плана и программы аудиторской проверки затрат на капитальный ремонт. Методика проведения аудита. Ошибки, выявленные при проведении аудита затрат.
реферат [120,0 K], добавлен 23.08.2013Задачи, которые решаются в ходе аудита защищенности информационной системы. Этапы экспертного аудита. Тест на проникновение (пентест) в информационную систему: объекты, этапы. Цели проведения аудита web–приложений. Аудит на соответствие стандартам.
отчет по практике [26,0 K], добавлен 22.09.2011