Большинство ИТ-аудитов, будь то внутреннее или внешнее обследование, либо самооценка, требуют от аудитора разрабатывать план аудита и использовать его для того, чтобы получить доказательства достижения поставленных целей.
В общем, можно сказать, что существует три метода сбора информации: интервью, анкетирование и анализ документации. Если рассматривать интервью и анкетирование, как возможность получить информацию напрямую от заинтересованных сторон, то в обоих можно найти исключительные преимущества и недостатки.
Интервью имеет несколько преимуществ по сравнению с анкетированием. Например, в интервью аудитор может зачастую визуально понять о правдивости в словах человека. Исследования показывают, что людей, которые находятся в состояние стресса, можно определить по их языку тела, речевой интонации и другим признакам в поведении человека. Поэтому, общаясь с человеком, вы можете сразу определить о его желании идти с вами на контакт и раскрывать имеющуюся у него информацию.
Следующим преимуществом интервью является возможность использовать открытые вопросы. Кроме того, между аудитором и респондентом возникает диалог, в ходе которого можно эффективно задавать «точечные» вопросы, тем самым получая от респондента более детальную и понятную информацию. При использовании анкет и чек-листов такой подход невозможен. Интервью – более эффективный способ, потому что респонденту понятна суть вопроса и не может возникнуть эффекта двусмысленности или неопределенности в понимании, поэтому он (респодент) сможет дать более детальный ответ, который можно использовать для оценки состояния аудируемого объекта.
Недостатки интервью заключаются в физической возможности респондентов присутствовать на встрече. Это зачастую связано с временными ограничениями респондента, и как обычно происходит, чем выше должность интервьюированного, тем меньше времени он может уделить аудитору. Также есть ряд отвлекающих факторов, которые могут произойти уже во время проведения интервью, такие как постоянные звонки, срочные задачи, вопросы коллег и т.д.
У анкетирования также есть ряд преимуществ, характеризующие его как эффективный метод. Процесс аудита с использованием анкет и чек-листов может быть проведен достаточно быстро, тем самым ограничивая и сокращая временные рамки, которые респонденты должны выделять для опроса. Анкеты можно использовать как стандарт с профессионально разработанными вопросами, которые прошли этап анализа и являются эффективными и достаточными для получения целостной картины аудируемого объекта.
Если мы говорим, к примеру, о финансовом аудите, то в этой области уже существует ряд разработанных инструментов, включая анкетные опросы для каждого аспекта аудита, позволяющие собирать только необходимую для анализа информацию. Таким образом, аудитор может сократить даже собственное время на составление опросников, не теряя при этом качество полученной информации по средством анкет. По факту, в ИТ аудите уже сейчас существует большое количество шаблонов, связанных с различными типами аудитов.
Одно главное преимущество анкетных опросов касается именно сути вопросов. Если аудитора ИТ интересует информация о системах, приложениях или технологиях, которая основана на фактических данных, то применять анкетный опрос в данном случае будет более целесообразным.
Недостатками анкетных опросов является потеря преимуществ интервью; например, информация, собранная в интервью более объемна и детальна. Есть много качеств, которые делают работу аудитора профессиональной и ценной, но ни одно из них не будет важнее и значимее, чем аналитическое аудитора. Считать анкеты бессмысленными и не заниматься их анализом перед применением означает утратить этот ценный актив. Поэтому аудиторы ИТ должны не поддаваться искушению скопировать анкетный опрос от поставщика методологии, ведь зачатую тот опрос, который предлагает нам автор методологии, может не подходить для текущих реалий в быстро развивающемся мире. Другой недостаток, когда аудитор не может завершить анкетный опрос из-за таких проблем, как непонимание у респондентов сути вопросов, что заставляет их предоставлять неполную или неправильную информацию. В интервью, вероятно, аудитор увидел бы сразу подобные ситуации и сразу бы их исправил. Таким образом, анкетный опрос менее информативный из-за возможных информационных ошибок.
В заключении скажу, что нет лучшего способа сбора информации. Внимание при выполнении аудитов должно быть уделено всем подходам, и если используется анкетированиечек-лист, то суть его вопросов должна быть понятна респонденту, чтобы ту информацию, которую нам даст интервьюированный, будет достаточно для выполнения анализа.
Автор: alekslynx
