В 60-х годах прошлого века, начало внедрения информационных систем для бухгалтерского учета в коммерческом секторе, привело к появлению новой профессии в сфере ИТ — ИТ-аудитора. Вскоре была создана первая профессиональная ассоциация ИТ-аудиторов – «Electronic Data Processing Auditors Association», целью которой стала выработка стандартов и лучших практик проведения ИТ-аудита.

С тех пор, важность профессии ИТ-аудитора значительно возросла. Сегодня аудит ИТ-контролей является обязательной частью каждого независимого финансового аудита, услуги ИТ-аудита востребованы на рынке, а крупные корпорации имеют собственные подразделения ИТ-аудита, осуществляющие периодический контроль ИТ-процессов и помогающие их совершенствовать. При этом, следование сложившимся стандартам и лучшим практикам является необходимым условием для проведения аудита наиболее оптимальным образом и высоким качеством.

Целью данной статьи является представление основных актуальных стандартов и руководств в области ИТ-аудита, которые используются при проведении различных типов проверок информационных технологий. Статья в большей степени нацелена на специалистов, начинающих свою карьеру в области ИТ-аудита и информационной безопасности. Также статья может быть интересна и финансовым/внутренним аудиторам, желающим познакомиться с существующими стандартами ИТ-аудита.

В статье рассмотрены стандарты и руководства, разработанные международными организациями ISACA, Институтом Внутренних Аудиторов (IIA), ISO/IEC, IAASB (the International Auditing and Assurance Standards Board), PCAOB, и др. Для каждого из стандартов дается краткое описание структуры и особенностей их использования.

До сих пор среди руководителей организаций часто бытует мнение, что система управления проектами (далее – СУП или Система) – это программное обеспечение, автоматизирующее процессы управления проектами, которыми как правило, являются процессы календарно-ресурсного планирования.
На самом же деле, в обновленной трактовке, указанной в своде знаний PMI PMBoK (4-th edition) [1], СУП – это совокупность процессов, инструментов, методов, методологий, ресурсов и процедур для управления проектом.

Вместе с этим, стоит обратить внимание на то, что проектная методология представляет собой трехуровневую структуру “ПРОДУКТ – БИЗНЕС — СТРАТЕГИЯ”:
1-й уровень (ПРОДУКТ) – управление проектами;
2-й уровень (БИЗНЕС) – управление программами;
3- й уровень (СТРАТЕГИЯ) – управление портфелем проектов.

Причем, уровень ПРОДУКТ (Управление проектами) является базовым уровнем, отправной точкой, для построения остальных уровней – БИЗНЕС и СТРАТЕГИЯ (см. Рисунок 1).



Рисунок 1 – Трехуровневая структура проектной методологии

Зачем организации СУП и проектная деятельность?

По статистике средний ИТ-проект за месяц прирастает изменениям на 5%. Несложно посчитать, что за полгода проект изменяется практически на треть, а за год проект становится больше чем на половину. Более того, одной из основных причин неудачных ИТ-проектов является неуправляемый поток изменений, приводящий к провалу проекта. Предлагаю использовать системный подход к управлению изменениям.

Процедура управления изменениями

Вначале будет рассказано об общей схеме управления изменениями. В последующих частях будут более детально описаны аспекты управления изменениями и как адаптировать эту процедуру к различным изменениям.(см. содержание внизу статьи).

Все компании, которые так или иначе основывают свой бизнес на предоставлении услуг в секторе ИТ (а я говорю о ИТ-аутсорсерах, интеграторах, хостерах, компаниях-разработчиках и т.д.), стремятся к оказанию качественных услуг.
Однако очень часто, когда от компании уходят клиенты, никто, начиная от простых эникеев, заканчивая топ-менеджерами, до конца не может понять почему это произошло.

В компаниях, где я работал/кому предоставлял свои услуги, часто происходили аналогичные ситуации. И хотя зачастую тяжело точно определить причину, можно следовать основным правилам, соблюдение которых поможет сделать клиента счастливее. Когда я спрашивал у топ-менеджеров, менеджеров проектов, программистов, системных администраторов, что нужно сделать того, чтобы обрадовать клиента, я слышал: «чаще выпускать новые версии», «нанимать квалифицированный персонал», «соблюдать сроки», «грамотнее управлять проектами» и т.д.

При этом выяснялось, что проблемы, из-за которых был потерян очередной клиент, заключаются в другом. В мелочах, которые часто лежат на поверхности. Чаще всего все проблемы кроются не в технической части проекта, а именно в коммуникации, в том, каким правилам сотрудники не следуют, когда общаются с клиентом.
Именно о таких, казалось бы базовых правилах общения, я хочу поговорить под катом.

Друзья, не знаю как вы, но мы не верим в быстродействующие таблетки. Мы не верим в «похудение за 2 недели на 40 кг». Черт побери, верить-то хочется, но реальность обычно против…

А тут целый PMBoK… Здоровенная такая штуковина, для больших и умных корпораций, а также неповоротливых гос.заказчиков… Как оказалось все не совсем. Для того, чтобы рассказать о чем-то сложном в понятной и доступной форме нужен практик, который разобрал вопрос до деталей, выделил главное, расставил акценты и прошелся по материалы с большим ярким маркером – читать тут, смотреть тут, применять вот так.

4 года назад менеджер по управлению проектами (PMI PMP), автор книги «Управление ИТ-проектом с нуля в любой организации» Иван Селиховкин выпустил бесплатный курс «Практический PMBoK за 5 дней», который на сегодня уже скачало более 7.000 человек. Однако, не так давно Иван пошел дальше и выпустил курс «Практический PMBoK за 2.5 часа» (доступен бесплатно после регистрации).

5 дней — я еще понимаю, но 2.5 часа — как-то того… отдает похуданием за 40 минут. :) Поскольку мы с Иваном давно сотрудничаем, то решили выяснить, как так получилось, что курс ужался с 5 дней до 2.5 часов. И начав говорить, поняли, что надо делать отдельное интервью. В итоге, обсудили массу тем:

• Как из медицины попасть в управление IT-проектами
• Почему последние годы процент успешных проектов не меняется
• Три шага на пути создания проектного офиса
• Что такое гос.заказчики геройские, бизнесовые и заурядные
• Есть ли противоречие между PMI и гибкими методологиями
• …

Нам понадобится всего лишь несколько минут для того что бы поднять распределенную файловую систему Ceph FS

Я разработал около сотни проектов, в том числе — стартапов. Многие из них достигали пика и умирали, некоторые работают до сих пор. Делал как B2C, так и B2B.

В последнее время наблюдается поток вопросов от знакомых и друзей, которые делают одни и те же ошибки. Я хотел бы рассказать о своем опыте в посте тезисов. И если он будет успешен — продолжить серию.

Если лень читать — ролик, выражающий основной дух и главный смысл, находится внизу. Ролик вызовет восхищение — отлично, идите делать очередной релиз. Ролик вызовет отторжение — читайте пост до другой реакции сколько угодно :)

1. Важнее всего — желание

Один из первых стартапов в моей жизни не состоялся потому, что из четверых друзей, кто решил делать, желания сделать проект по-настоящему не было ни у кого. Если вы не способны в течение каждого дня месяца думать о проекте и предпринимать реальные шаги, возможно, не стоит делать проект.