главная > услуги > консалтинг в области информационных технологий > аудит информационных технологий

Аудит информационных технологий

Модель и основные этапы проведения аудита

Результаты проведения ИТ-аудита

Информационные технологии с каждым годом все более усложняются. Они поглощают огромные финансовые и временные ресурсы, при этом не всегда предоставляя адекватный эффект. Положительные аспекты оттеняются новыми рисками, что требует дополнительного контроля со стороны высшего менеджмента, внешнего и внутреннего аудита. В этой связи аудит информационных технологий проводят в компаниях для того, чтобы оперативно получать систематизированную и достоверную информацию для оценки ИТ, принятия решений по управлению ИТ.

Цели и задачи аудита ИТ

Целью ИТ-аудита является совершенствование системы контроля за ИТ. Для этого аудиторы:

осуществляют оценку рисков ИТ;

содействуют предотвращению и смягчению сбоев ИС;

участвуют в управлении рисками ИТ;

помогают подготавливать нормативные документы;

помогают связать бизнес-риски и средства автоматизированного контроля;

осуществляют проведение периодических проверок;

содействуют ИТ-менеджерам в правильной организации управления ИТ;

осуществляют «взгляд со стороны».

Внешние аудиторы акцентируют свое внимание на независимом подтверждении надежности и адекватности системы внутреннего контроля за ИТ, а внутренние аудиторы – на обеспечении эффективности системы внутреннего контроля ИТ.

↑ в начало страницы

Услуги по аудиту ИТ

Мы выделяем 6 видов услуг по аудиту ИТ:

Обследование ИТ

Экспертная оценка ИТ

Технический аудит ИТ

Аудит ИТ бизнес-процессов

Аудит критерия ИТ

Комплексный аудит ИТ

Обследование ИТ - частный случай аудита ИТ. Это обычная инвентаризация — сбор информации, которая будет использоваться для проведения последующих работ, например, проектных работ по внедрению новой информационной системы, когда требуется грамотно собрать достоверную информацию о текущем состоянии ИТ. При обследовании ИТ анализ и оценка, как правило, не производится.

Экспертная оценка ИТ – это оценка адекватности финансирования проектных решений и/или инвестиций в закупку оборудования и ИТ-услуг. При этом возможны следующие виды оценок:

оценка ИТ-проектов или проектных решений;

оценка обоснованности инвестиций в ИТ;

оценка стоимости ИТ-составляющей компании;

оценка текущих ИТ-проектов;

оценка возможности перепрофилирования ИТ-инфраструктуры;

оценка организации эксплуатации ИТ;

оценка подготовки пользователей.

Технический аудит ИТ – это сбор, анализ информации и выдача рекомендаций по улучшению работы отдельного технического элемента ИТ-инфраструктуры. Для этого вида аудита характерны малый масштаб работы и узкая техническая специализация исследования.

Аудит ИТ бизнес-процессов – это аудит информационных технологий и систем, критичных для выполнения конкретного бизнес-процесса компании с заданными критериями качества и эффективности. Одним из важнейших результатов этого вида аудита является формализованная модель исследуемого бизнес-процесса.

При проведении аудита ИТ бизнес-процессов, как правило, выполняется:

определение ответственного за процесс;

определение пользователей и участников бизнес-процесса;

выявление применяемого оборудования и программ;

оценка действий обслуживающего персонала и пользователей;

анализ проектных и регламентирующих документов.

Аудит критерия ИТ – это сбор, анализ информации и выдача рекомендаций по какому-то выбранному критерию ИТ, например, безопасность, производительность, надежность, доступность и т.д. При проведении аудита по определенному критерию оценки принято исследовать не только отдельный элемент ИТ-инфраструктуры, но и всю совокупность программных, аппаратных средств, процессов их сопровождения и обслуживания во всей проверяемой компании.

Комплексный аудит ИТ – это аудит, при котором осуществляется определение и анализ взаимосвязей бизнес-процессов, их требований, информационных и смежных технологий, совокупности программно-аппаратных средств с целью сравнения адекватности ИТ потребностям бизнеса компании.

↑ в начало страницы

Стандарты ИТ-аудита

Вопросу аудита и внутреннего контроля за информационными системами посвящены несколько зарубежных стандартов аудита и специальный российский стандарт «Аудит в условиях компьютерной обработки данных (КОД)». Из зарубежных источников можно отметить международный стандарт аудита CobiT, ISA 401, положения по международной практике аудита 1002, 1003,1004, 1008, 1009. В них отражены вопросы практики аудита в среде компьютерных информационных систем, оценки рисков и надежности системы внутреннего контроля в условиях КОД, техника проведения аудита с учетом использования современных информационных технологий.

↑ в начало страницы

Основные этапы проведения аудита

В обобщенном виде ИТ-аудит проводится в два этапа:

Планирование ИТ-аудита

Проведение ИТ-аудита

На этапе планирования ИТ-аудита:

Анализируются:

структура бизнес-процессов;

платформы и структура информационных систем, поддерживающих бизнес-процессы;

структура ролей и распределения ответственности, включая аутсорсинг;

бизнес-риски и бизнес-стратегия.

Определяются информационные критерии, наиболее значимые для существующих бизнес-процессов.

Идентифицируются ИТ-риски.

Оценивается общий уровень контроля рассматриваемых бизнес-процессов.

На основе полученной информации осуществляется выбор границ и объектов исследования: ИТ-процессов и связанных с ними ИТ-ресурсов.

На этапе проведения ИТ-аудита выполняются следующие виды работ:

Идентификация существующих механизмов управления и документирование процедур (сбор и первичный анализ информации);

Оценка эффективности существующих механизмов управления при выполнении задач управления, их целесообразность и пригодность;

Тест соответствия (получение гарантий пригодности существующих механизмов управления для решения задач управления);

Детальное тестирование с целью выполнения корректирующих действий для улучшения состояния системы управления ИТ.

↑ в начало страницы

Результаты проведения ИТ-аудита

Результаты ИТ-аудита классифицируются на три группы:

Организационные – планирование, управление, документооборот функционирования ИС.

Технические – сбои, неисправности, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т.д

Методологические – подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.

Проведенный ИТ-аудит позволит обоснованно создать следующие документы:

основные:

Отчет о результатах ИТ-аудита компании

Отчет о результатах аудита информационной безопасности компании

дополнительные (документы, которые могут быть разработаны по согласованию сторон в дополнение к основным):

Долгосрочный план развития ИТ/ИС

Краткосрочный план развития ИТ/ИС

Отчет о текущем состоянии ИТ/ИС

Техническое задание на изменение ИТ/ИС

Методология работы и настройки (доводки) ИТ/ИС

Концепция построения политики безопасности ИТ/ИС

Политика безопасности ИТ/ИС

План восстановления ИТ/ИС в чрезвычайной ситуации

Порядок действий в случае нарушения защиты информации

План-график проведения последующих ИТ-аудитов

Результирующие документы могут иметь сокращенную и полную редакции. Документ в сокращенной редакции – это документ, содержащий основные итоги и рекомедации по тематике ИТ-аудита и предназначенный для топ-менеджеров компании. Документ в полной редакции – это документ с подробным изложением материала, предназначенный для менеджеров среднего звена и ИТ-спецалистов.

↑ в начало страницы

Отправьте нам запрос

через страницу обратной связи или

по электронному адресу consult(at)pbaconsult.com,

и мы оперативно свяжемся с Вами для уточнения именно Вашей задачи и подготовки именно для Вас уникального предложения по ИТ-аудиту.

В фокусе

Экспертная поддержка антикризисной трансформации бизнеса

Унификация и централизация функций и процессов, создание Общих Центров Обслуживания

Бесплатная консультация или online-заявка

предложения, позволяющие компании Pba Consult
быть универсальным источником удовлетворения
Ваших информационных потребностей.

Информационные технологии успеха