Аудит информационных технологий
Информационные технологии с каждым годом все более усложняются. Они поглощают огромные финансовые и временные ресурсы, при этом не всегда предоставляя адекватный эффект. Положительные аспекты оттеняются новыми рисками, что требует дополнительного контроля со стороны высшего менеджмента, внешнего и внутреннего аудита. В этой связи аудит информационных технологий проводят в компаниях для того, чтобы оперативно получать систематизированную и достоверную информацию для оценки ИТ, принятия решений по управлению ИТ.
Целью ИТ-аудита является совершенствование системы контроля за ИТ. Для этого аудиторы:
Внешние аудиторы акцентируют свое внимание на независимом подтверждении надежности и адекватности системы внутреннего контроля за ИТ, а внутренние аудиторы – на обеспечении эффективности системы внутреннего контроля ИТ.
Мы выделяем 6 видов услуг по аудиту ИТ:
Обследование ИТ - частный случай аудита ИТ. Это обычная инвентаризация — сбор информации, которая будет использоваться для проведения последующих работ, например, проектных работ по внедрению новой информационной системы, когда требуется грамотно собрать достоверную информацию о текущем состоянии ИТ. При обследовании ИТ анализ и оценка, как правило, не производится.
Экспертная оценка ИТ – это оценка адекватности финансирования проектных решений и/или инвестиций в закупку оборудования и ИТ-услуг. При этом возможны следующие виды оценок:
Технический аудит ИТ – это сбор, анализ информации и выдача рекомендаций по улучшению работы отдельного технического элемента ИТ-инфраструктуры. Для этого вида аудита характерны малый масштаб работы и узкая техническая специализация исследования.
Аудит ИТ бизнес-процессов – это аудит информационных технологий и систем, критичных для выполнения конкретного бизнес-процесса компании с заданными критериями качества и эффективности. Одним из важнейших результатов этого вида аудита является формализованная модель исследуемого бизнес-процесса.
При проведении аудита ИТ бизнес-процессов, как правило, выполняется:
Аудит критерия ИТ – это сбор, анализ информации и выдача рекомендаций по какому-то выбранному критерию ИТ, например, безопасность, производительность, надежность, доступность и т.д. При проведении аудита по определенному критерию оценки принято исследовать не только отдельный элемент ИТ-инфраструктуры, но и всю совокупность программных, аппаратных средств, процессов их сопровождения и обслуживания во всей проверяемой компании.
Комплексный аудит ИТ – это аудит, при котором осуществляется определение и анализ взаимосвязей бизнес-процессов, их требований, информационных и смежных технологий, совокупности программно-аппаратных средств с целью сравнения адекватности ИТ потребностям бизнеса компании.
Вопросу аудита и внутреннего контроля за информационными системами посвящены несколько зарубежных стандартов аудита и специальный российский стандарт «Аудит в условиях компьютерной обработки данных (КОД)». Из зарубежных источников можно отметить международный стандарт аудита CobiT, ISA 401, положения по международной практике аудита 1002, 1003,1004, 1008, 1009. В них отражены вопросы практики аудита в среде компьютерных информационных систем, оценки рисков и надежности системы внутреннего контроля в условиях КОД, техника проведения аудита с учетом использования современных информационных технологий.
Основные этапы проведения аудита
В обобщенном виде ИТ-аудит проводится в два этапа:
На этапе планирования ИТ-аудита:
На этапе проведения ИТ-аудита выполняются следующие виды работ:
Результаты проведения ИТ-аудита
Результаты ИТ-аудита классифицируются на три группы:
Проведенный ИТ-аудит позволит обоснованно создать следующие документы:
основные:
дополнительные (документы, которые могут быть разработаны по согласованию сторон в дополнение к основным):
Результирующие документы могут иметь сокращенную и полную редакции. Документ в сокращенной редакции – это документ, содержащий основные итоги и рекомедации по тематике ИТ-аудита и предназначенный для топ-менеджеров компании. Документ в полной редакции – это документ с подробным изложением материала, предназначенный для менеджеров среднего звена и ИТ-спецалистов.
Отправьте нам запрос
по электронному адресу consult(at)pbaconsult.com,
и мы оперативно свяжемся с Вами для уточнения именно Вашей задачи и подготовки именно для Вас уникального предложения по ИТ-аудиту.
предложения, позволяющие компании Pba Consult
быть универсальным источником удовлетворения
Ваших информационных потребностей.