Аудит информационных технологий

Аудит информационных технологий
Цели и задачи аудита ИТ
Виды услуг по аудиту ИТ на российском рынке
Стандарты ИТ-аудита
Модель и основные этапы проведения аудита
Результаты проведения ИТ-аудита

Аудит информационных технологий

Информационные технологии с каждым годом все более усложняются. Они поглощают огромные финансовые и временные ресурсы, при этом не всегда предоставляя адекватный эффект. Положительные аспекты оттеняются новыми рисками, что требует дополнительного контроля со стороны высшего менеджмента, внешнего и внутреннего аудита. В этой связи аудит информационных технологий проводят в компаниях для того, чтобы оперативно получать систематизированную и достоверную информацию для оценки ИТ, принятия решений по управлению ИТ.

Цели и задачи аудита ИТ

Целью ИТ-аудита является совершенствование системы контроля за ИТ. Для этого аудиторы:

  • осуществляют оценку рисков ИТ;
  • содействуют предотвращению и смягчению сбоев ИС;
  • участвуют в управлении рисками ИТ;
  • помогают подготавливать нормативные документы;
  • помогают связать бизнес-риски и средства автоматизированного контроля;
  • осуществляют проведение периодических проверок;
  • содействуют ИТ-менеджерам в правильной организации управления ИТ;
  • осуществляют «взгляд со стороны».

Внешние аудиторы акцентируют свое внимание на независимом подтверждении надежности и адекватности системы внутреннего контроля за ИТ, а внутренние аудиторы – на обеспечении эффективности системы внутреннего контроля ИТ.

Виды услуг по аудиту ИТ на российском рынке

На Российском рынке в настоящее время можно выделить 6 видов услуг по аудиту ИТ:

  • Обследование ИТ.
  • Экспертная оценка ИТ.
  • Технический аудит ИТ.
  • Аудит ИТ бизнес-процесса.
  • Аудит критерия ИТ.
  • Комплексный аудит ИТ.

Обследование ИТ - частный случай аудита ИТ. Это обычная инвентаризация — сбор информации, которая будет использоваться для проведения последующих работ, например, проектных работ по внедрению новой информационной системы, когда требуется грамотно собрать достоверную информацию о текущем состоянии ИТ. При обследовании ИТ анализ и оценка, как правило, не производится.

Экспертная оценка ИТ – это оценка адекватности финансирования проектных решений и/или инвестиций в закупку оборудования и ИТ-услуг. При этом возможны следующие виды оценок:

  • оценка ИТ-проектов или проектных решений;
  • оценка обоснованности инвестиций в ИТ;
  • оценка стоимости ИТ-составляющей компании;
  • оценка текущих ИТ-проектов;
  • оценка возможности перепрофилирования ИТ-инфраструктуры;
  • оценка организации эксплуатации ИТ;
  • оценка подготовки пользователей.

Технический аудит ИТ – это сбор, анализ информации и  выдача рекомендаций по улучшению работы отдельного технического элемента ИТ-инфраструктуры. Для этого вида аудита характерны малый масштаб работы и узкая техническая специализация исследования.

Аудит ИТ бизнес-процесса – это аудит информационных технологий и систем, критичных для выполнения конкретного бизнес-процесса компании с заданными критериями качества и эффективности. Одним из важнейших результатов этого вида аудита является формализованная модель исследуемого бизнес-процесса.

При проведении аудита ИТ бизнес-процесса, как правило, выполняется:

  • определение ответственного за процесс;
  • определение пользователей и участников бизнес-процесса;
  • выявление применяемого оборудования и программ;
  • оценка действий обслуживающего персонала и пользователей;
  • анализ проектных и регламентирующих документов.

Аудит критерия ИТ – это сбор, анализ информации и выдача рекомендаций по какому-то выбранному критерию ИТ, например, безопасность, производительность, надежность, доступность и т.д. При проведении аудита по определенному критерию оценки принято исследовать не только отдельный элемент ИТ-инфраструктуры, но и всю совокупность программных, аппаратных средств, процессов их сопровождения и обслуживания во всей проверяемой компании.

Комплексный аудит ИТ – это аудит, при котором осуществляется определение и анализ взаимосвязей бизнес-процессов, их требований, информационных и смежных технологий, совокупности программно-аппаратных средств с целью сравнения адекватности ИТ потребностям бизнеса компании.

Стандарты ИТ-аудита

Вопросу аудита и внутреннего контроля за информационными системами посвящены несколько зарубежных стандартов аудита и специальный российский стандарт «Аудит в условиях компьютерной обработки данных (КОД)». Из зарубежных источников можно отметить международный стандарт аудита CobiT, ISA 401, положения по международной практике аудита 1002, 1003,1004, 1008, 1009. В них отражены вопросы практики аудита в среде компьютерных информационных систем, оценки рисков и надежности системы внутреннего контроля в условиях КОД, техника проведения аудита с учетом использования современных информационных технологий.

Основные этапы проведения аудита

В обобщенном виде ИТ-аудит проводится в два этапа:

  • этап "Планирование ИТ-аудита".
  • этап "Проведение ИТ-аудита".

На этапе "Планирования ИТ-аудита":

  • Анализируются:
    • структура бизнес-процессов;
    • платформы и структура информационных систем, поддерживающих бизнес-процессы;
    • структура ролей и распределения ответственности, включая аутсорсинг;
    • бизнес-риски и бизнес-стратегия.
  • Определяются информационные критерии, наиболее значимые для существующих бизнес-процессов.
  • Идентифицируются ИТ-риски.
  • Оценивается общий уровень контроля рассматриваемых бизнес-процессов.
  • На основе полученной информации осуществляется выбор границ и объектов исследования: ИТ-процессов и связанных с ними ИТ-ресурсов.

На этапе "Проведения ИТ-аудита" выполняются следующие виды работ:

  • Идентификация существующих механизмов управления и документирование процедур (сбор и первичный анализ информации);
  • Оценка эффективности существующих механизмов управления при выполнении задач управления, их целесообразность и пригодность;
  • Тест соответствия (получение гарантий пригодности существующих механизмов управления для решения задач управления);
  • Детальное тестирование с целью выполнения корректирующих действий для улучшения состояния системы управления ИТ.

Результаты проведения ИТ-аудита

Результаты ИТ-аудита компании классифицируются на три группы:

  • Организационные – планирование, управление, документооборот функционирования ИС.
  • Технические – сбои, неисправности, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т.д
  • Методологические – подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.

Проведенный ИТ-аудит позволит обоснованно создать следующие документы:

  • Основные документы:
  • Отчет о результатах ИТ-аудита компании.
  • Отчет о результатах аудита информационной безопасности компании.
  • Дополнительные документы (документы, которые могут быть разработаны по согласованию сторон в дополнение к основным):
  • Долгосрочный план развития ИТ/ИС;
  • Краткосрочный план развития ИТ/ИС;
  • Отчет о текущем состоянии ИТ/ИС.
  • Техническое задание на изменение ИТ/ИС
  • Методология работы и настройки (доводки) ИТ/ИС компании.
  • Концепция построения политики безопасности ИТ/ИС компании.
  • Политика безопасности ИТ/ИС компании.
  • План восстановления ИТ/ИС в чрезвычайной ситуации.
  • Порядок действий в случае нарушения защиты информации.
  • План-график проведения последующих ИТ-аудитов.

Результатные документы могут иметь сокращенную и полную редакции. Документ в сокращенной редакции – это документ, содержащий основные итоги и рекомедации по тематике ИТ-аудита и предназначенный для топ-менеджеров компании. Документ в полной редакции – это документ с подробным изложением материала, предназначенный для менеджеров среднего звена и ИТ-спецалистов.

Информационные технологии успеха