Говоря о состоянии российского рынка IT-аудита в банках, IT-компании с удовлетворением отмечают, что данный рынок сегодня достаточно обширен. Банки приходят к пониманию необходимости изменения банковской информационной системы либо отдельных ее компонент. Однако для того чтобы внедрить даже небольшие компоненты банковской системы, уверяют разработчики банковских IT-технологий, необходимо провести IT-аудит общего состояния всей системы в банке.

Более того, по мнению разработчиков и потенциальных аудиторов, IT-аудит и разработка IT-стратегии необходимы каждому банку и каждая кредитная организация должна периодически проводить такие работы для понимания и объективной оценки состояния информационных систем и процессов в банке.

Банкиры в целом согласны с высокой оценкой роли IT-аудита за одним исключением: они не считают необходимым проводить проверку и оценку состояния всех IT-систем при внедрении отдельных блоков или компонент. Старший вице-президент Связь-Банка Анатолий Мартынов поделился с «БО» своим мнением по этому поводу: «Заказывая аудиторскую оценку состояния IT-систем, надо четко понимать — с какой целью это делается? Комплексный аудит целесообразно проводить, если планируется резкое развитие всего банка или происходит последовательный рост бизнеса, увеличение персонала, и IT-системы не справляются с новыми задачами. В этом случае требуется развитие всей системы IT, что невозможно без предварительного аудита технологического комплекса банка».

С точки зрения банкиров, аудит IT-систем следует проводить в трех случаях. Первая причина аудиторской оценки возникает при внедрении какого-либо крупного IT-проекта внутри банка. В данном случае необходима экспертиза проектного решения со стороны независимой компании, имеющей опыт в данной области. Вторая причина для аудиторской оценки IT-систем появляется в связи с планируемым развитием бизнеса банка. И тогда при проведении аудита оценивается возможность масштабирования существующего программно-аппаратного комплекса и его соответствие перспективным бизнес-задачам. И, наконец, третья причина для приглашения аудиторов — возникновение проблем при функционировании программно-аппаратного комплекса. Целью аудита в данном варианте является оценка критичных мест и получение рекомендаций по устранению проблем.
Из практики IT-аудита

Анатолий Мартынов (Связь-Банк) прокомментировал для «БО», чем была вызвана необходимость IT-аудита в Связь-Банке и как он проводился. Опыт банка в этом вопросе согласуется с тремя перечисленными выше причинами.

«Первый сценарий (аудит при внедрении крупного IT-проекта) реализовался в период построения корпоративной сети передачи данных (КСПД) для обеспечения внедрения централизованной автоматизированной банковской системы. Разработка этого проекта была выполнена силами высококвалифицированных штатных специалистов. Сотрудники IT-службы банка разработали проектную документацию по организации КСПД. Но руководство сочло необходимым провести аудит решения, предлагаемого собственными специалистами. В качестве эксперта проекта была привлечена компания РТКОМM. С учетом ее замечаний проект был доработан и утвержден, и в соответствии с ним реализована корпоративная сеть передачи данных

Вторая причина для аудиторской оценки IT-систем (в связи с планируемым развитием бизнеса) в Связь-Банке появилась после того, как руководством банка было принято решение о развитии в качестве приоритетного направления банковского ритейла. «Аудит розничного направления силами компании «Делойт&Туш» уже можно считать комплексным аудитом с точки зрения приемов и методики, — комментирует А. Мартынов (Связь-Банк), — потому что эта же компания занималась разработкой бизнес-модели розницы для Связь-Банка. Специалисты «Делойт» оценивали соответствие существующего IT-комплекса поставленным бизнес-задачам, и на основании этой оценки в данный момент разрабатываются рекомендации, то есть, по сути, создается IT-стратегия, программа ее реализации, но не для всего банка в целом, а для одного бизнес-направления».

Опыт привлечения аудитора по третьему сценарию состоялся в Связь-Банке, когда при росте нагрузки на IT-систему появилась угроза возникновения проблем на стыке работы программного и аппаратного комплексов банка рассказывает А. Мартынов (Связь-Банк). Для аудита, изучения причин замедления работы программного комплекса в рамках используемой системной и аппаратной среды мы пригласили разработчика АБС компанию ЦФТ — сначала в разовом порядке, а потом решили сделать такие аудиторские проверки постоянными. Считаю в данном случае оправданным привлечение в качестве аудитора компании-разработчика программного комплекса, потому что у нее накоплен значительный опыт решения подобных проблем в других банках. Компания периодически проводит аудит аппаратно-программного комплекса заказчика, и банк уже в соответствии с рекомендациями аудитора выполняет необходимые изменения IT-комплекса.

Текст: Таисия Мартынова

"Банковское обозрение", №4, апрель 2007 г.