Основные цели и результаты проведения аудита ИТ

• Аудит ИТ проводится с целью проверки информационных систем предприятия и его систем безопасности, а также процессов управления этими системами.
  
• В процессе проведения ИТ-аудита информационная подсистема. предприятия может быть проверена на соответствие
  • Корпоративным стандартам и бизнес-процессам организации
  • Международным стандартам
  
  
• Проверка ИТ-инфраструктуры предприятия на соответствие международным стандартам может понадобиться как для получения сертификатов, обеспечивающих предприятию выход на новый, международный уровень, так и для того, чтобы убедится в правильности выбранного пути развития ИТ-инфраструктуры предприятия на основании опыта признанных мировых лидеров.

Если руководством предприятия уже предприняты какие-либо шаги в плане изменения ИТ-инфраструктуры, аудит ИТ позволит оценить правильность принятых решений.

Если же изменения только планируются, с помощью аудита ИТ можно определить не только подсистемы, в которых необходимы улучшения, но и приоритетные направления изменений, которые дадут максимальный эффект. Немаловажно, что после проведения аудита ИТ у руководства компании появятся документальные доказательства необходимости изменений.

• Заключение экспертов после проведения аудита ИТ может стать основой для разработки плана развития предприятия.
  
• Незаменима роль аудита ИТ и в оптимизации затрат на развитие ИТ-подсистемы предприятия.
  • В случае если предприятие планирует в ближайшее время внедрить новую информационную систему, ИТ-аудит поможет на основе анализа существующего положения и стоящих перед организацией задач выбрать оптимальный вариант внедрения данной системы.
    
  • Если же на предприятии уже внедрены одна или несколько информационных систем, с помощью ИТ-аудита можно определить, насколько эффективно функционирование этих систем, оценить их соответствие международным стандартам и найти пути оптимизации их использования.

Аудит ИТ помогает определиться не только с выбором информационной системы, но и дает однозначный ответ на вопрос о необходимости замены или модернизации существующих программных и аппаратных ресурсов предприятия. а также о необходимости инвестиций в обучение персонала.

Это – самый простой путь оценки качества ИТ-услуг, предоставляемых предприятию. Важной частью ИТ-аудита является проверка безопасности информационных систем предприятия.

При проведении ИТ-аудита проводится полная проверка информационной инфраструктуры предприятия:

• Локальной вычислительной сети
• Технических средств в том числе и средств связи
• Автоматизированных рабочих мест
• Программного обеспечения

Оценивается, насколько оптимально организован обмен данными на предприятии, как осуществляется работа с ключевой информацией.

В ходе проверки систем информационной безопасности предприятия анализируются риски утечки информации из корпоративной сети, антивирусная защита. лояльность персонала и его готовность к внештатным ситуациям. аудит ИТ включает в себя и анализ управления информационно-технической системой предприятия.

Кроме того, в ходе аудита ИТ проверяется документальное оформление деятельности предприятия в ИТ-сфере: правильность заключение договоров с провайдерами и дата-центрами, ремонтными и обслуживающими организациями.

При регулярных проверках появляется возможность оценить динамику развития ИТ-инфраструктуры предприятия.

Основные принципы, которые лежат в основе аудита ИТ и должны соблюдаться в обязательном порядке, это:

• Конфиденциальность всех полученных результатов
• Высокая профессиональная компетентность всех задействованных специалистов
• Объективность проводимого исследования

Результатом исследования ИТ-инфраструктуры компании становится аудиторское заключение.

Важность данного документа обуславливает ряд требований, которым аудиторское заключение должно соответствовать.

• Во-первых. аудиторское заключение должно быть актуальным.
  Значительное внимание при исследовании должно уделяться не долгосрочной перспективе, а текущему положению дел на предприятии. В то же время стоит учитывать, что ИТ-инфраструктура современного предприятия развивается очень динамично и вполне вероятна ситуация, когда результаты аудита ИТ к моменту передачи заключения заказчику могут частично устареть.
  
• Во-вторых. важнейшим критерием любого исследования является достоверность.
  Выводы должны основываться на достаточном количестве информации, при сомнении в достоверности того или иного факта необходима повторная проверка.
  
• В-третьих. аудиторское заключение должно иметь высокую практическую ценность.
  Ведь аудит ИТ предпринимается в целях оптимизации ИТ-инфраструктуры компании, и его результаты используются при реорганизации ИТ-службы, информационной системы предприятия или отдельных их подсистем.
  
• В-четвертых. важна четкая структурированность заключения и ясное изложение результатов.
  При составлении заключения обычно учитывается целевая аудитория, на которую ориентирован тот или иной раздел, исходя из чего подбирается терминология.

Как свидетельствует опыт использования результатов аудита ИТ. проведенного при помощи самых разнообразных подходов и методов, при реформировании ИТ-служб явно прослеживается тенденция внедрения концепций ITIL и передачи части функций, а нередко и всей ИТ-инфраструктуры на аутсорсинг. Кроме того, аудит ИТ позволяет снизить расходы на облуживание ИТ-подсистемы предприятия за счет их оптимизации.

Аудит ит, анализ ит, it аудит

ИТ аудит – это диагностика и оценка состояния информационных технологий в Вашей компании, насколько они отвечают требованиям Вашего бизнеса.

То есть это ответы на вопросы:

• Правильно ли Вы тратите деньги на IT?
• Это много или мало?
• Теряете ли сейчас на этом деньги?

• Вы не понимаете, зачем Вы тратите столько денег на IT и можно ли безболезненно сократить эти затраты;
• необходимо найти, где сейчас Вы теряете деньги из-за некачественной работы IT специалистов;
• необходимо оценить критичность IT сервисов для Вашего бизнеса;
• Вы хотите узнать ЧТО не так в Вашей информационной системе;
• Вы просто хотите оценить текущее состояние информационной системы.

• Четкую картину реального положения IT в Вашей компании;
• Понимание, где и сколько, если это возможно, Вы можете сократить на IT;
• Знание, где Вы теряете или можете потерять деньги;
• Представление о том, как Вы можете улучшить свой бизнес с помощью информационных технологий;
• Полный отчет с нашими рекомендациями по улучшению текущего положения.

Эффективность работы информационных систем оценивается в рамках оценки эффективности ИТ процессов и соответствие этих процессов стандартам и лучшим практикам:

Что может входить в ИТ аудит?

Что получит бизнес

«Аудит IT инфраструктуры»

Понимание состояния ИТ инфраструктуры с ее рисками, узкими местами

«Аудит IT персонала»

Понимание состояния текущего ИТ персонала. Понимание текущих рисков в существующем составе в штатном расписании

«Опрос ключевых бизнес пользователей»

Понимание текущей удовлетворенности бизнес пользователей.
Понимание возможных текущих потерь и потребностей (возможные выгоды) бизнеса из-за ИТ.

Аудит ИТ стратегии

Оценка соответствия стратегическим целям Бизнеса. В результате данного аудита ТОП менеджмент и акционеры получат объективную и независимую оценку ИТ процессов и рекомендации по их оптимизации для выравнивания тактических планов ИТ со стратегическими и приведения ИТ стратегии в соответствие со стратегией бизнеса.

«Анализ IT затрат»

Оценка прозрачности ИТ затрат и их эффективности. Рекомендации по процессам бюджетирования, обоснованности ИТ расходов и получения максимальной отдачи в интересах бизнеса.

Ответы на вопросы:

• Сколько компания тратит на IT?
• Насколько это адекватно?
• Сравнение с данными по отрасли (Benchmarking)

«Анализ работы с контрагентами»

Позволит получить представления по текущей работе с внешними поставщиками, провайдерами. Насколько эта работа выстроена оптимально и нет ли здесь текущих или возможных потерь денег

«Аудит корпоративной информационной системы»

Поможет оценить риски при управлении бизнесом, при дальнейшем развитии бизнеса, соответствие соверменным требованиям

«Краткий аудит IT процессов»

Существующие риски в организационной модели текущей IT службы. Какие потери могут возникнуть в будущем из-за этого

В результате данного аудита ТОП менеджмент и акционеры получат объективную и независимую оценку ИТ процессов, связанных с предоставлением ИТ услуг, анализ эффективности сорсинга (инсорсинг и аутсорсинг). В результате будут предложены пути повышения эффективности предоставления ИТ услуг

«Разработка каталога сервисов и SLA»

Каталог сервисов. Необходим для выстраивания работы службы, взаимоотношений между ИТ и бизнес подраздлениями

Оценка планов BCP и ITCP

В результате данного аудита будет предоставлена оценка жизнеспособности планов BCP/DRP и предоставлены рекомендации для повышения «отказоустойчивости» ключевых бизнес-процессов, зависимых от ИТ. Будут предложены пути повышения эффективности планов ITCP

Оценка эффективности процессов Информационной безопасности и/или их соответствия требованиям ISO 27001

Услуги ИТ аудита, Санкт-Петербург

Аудит IT инфраструктуры – процедура требующая повышенного внимания и ответственного подхода. Правильность, последовательность и полнота мероприятий при проведении ИТ аудита определяет не только его качество, но и будущее всего компьютерного парка.

Во-первых, аудит ИТ инфраструктуры проводится для оптимизации работы имеющейся техники. Во-вторых, для планирования бюджета на поддержание и модернизацию техники.

Комплексный аудит также включает в себя ещё и аудит ИТ безопасности, который не просто дает наглядную картину происходящего, но и позволяет определить какими средствами и методами можно изменить эту картину к лучшему.

Что входит в услугу

• Аудит аппаратной части компьютерной техники
• Аудит используемого программного обеспечения на серверах и компьютерах

• Аудит информационной безопасности компьютеров, сети и серверов
• Аудит системы резервного копирования информации

Стоимость услуги «ИТ аудит»

Аудит ИТ инфраструктуры

от 400 руб. за рабочее место
Бесплатно в рамках заключенного договора на комплексное ИТ обслуживание .

Рассчитать стоимость
IT аутсорсинга

• Готовые решения
  • Удаленный доступ для сотрудников
  • Резервное копирование информации
  • Установка Wi-Fi в офисе
  • Расширение зоны приема Wi-Fi
  • IP-телефония в офис
  • Резервный интернет-канал
  • Удаление вирусов и профилактика
  • Установка и настройка банк-клиентов
  • Организация файлового хранилища
  • Удаленный доступ к 1C
  • Объединение филиалов в локальную сеть

Скидка 50% на первый месяц при заключении договора на обслуживание

Скидка 20% при оплате 3-х месяцев при заключении договора на обслуживание

Скидка 15% при оплате 6-и месяцев при заключении договора на обслуживание

Грамотно составленная стратегия развития ИТ инфраструктуры при начале сотрудничества позволяет существенно сократить финансовые затраты в будущем.

Наша система поддержки пользователей оптимизирована современными программными средствами, что позволяет нам решать любые поступающие заявки без замедления.

Проектирование локальных сетей нашими инженерами и регулярное резервное копирование ключевой для клиента информации позволяет добиться практической неуязвимости для внешних атак.

В нашей команде состоят специалисты с опытом работы в сфере IT не менее 7 лет. Среди наших условий по приему на работу важно стремление развиваться в профессиональной сфере, не останавливаясь на достигнутом.

Бланк договора на ит аудит

• Фильмы
• Игры
• Музыка
• Софт
• Книги

Introduction Audit Engagement Letters Agreement on Written. * It is in the interest of both client and auditor that the auditor sends an. The auditor should obtain the acknowledgement and agreement of management and. How it Works * So you know precisely when it#39;s opened, signed, and returned. Audit trails are, too. And it#39;s simple to specify the order you want them to sign in. Use of this website signifies your agreement to the Terms of Use and Online Privacy Policy.Договор подряда на выполнение проектных и изыскательских. * Audit-IT.ru — бухгалтерский учет, налогообложение, аудит. Указанный договор, как и договор строительного подряда, непосредственно связан со. IT Software Audits Gone Bad: Beware the BSA -- Redmondmag.com * Sep 1, 2010. In the software industry, audits can be just as difficult for IT. The BSA conducts all of its audits based on tip-offs from individuals, Blank says, and the. A Microsoft customers with an Enterprise Agreement (EA) or other. Закажи IT Аудит * Начните экономить с нами прямо сейчас, закажите бесплатный IT Аудит и узнайте. с помощью данного бланка заказа, и наш менеджер свяжется с Вами. Наш. Индивидуальные условия обсуждаются при подписании договора.Зачем нужен аудит информационных систем? - № 05, 2005. * В настоящее время информационные технологии оказывают. С этой точки зрения аудит информационных систем — очень хороший пример. в составлении договора с ним должны участвовать как ИТ-специалист, так и юрист. Individual Income Tax Audits * Jun 13, 2014. After processing your return, we still may audit it at a later date. Sign an agreement with the IRS to extend the time to adjust your federal. Local Engagements * It is the joint responsibility of the CPA and management to obtain engagement approval. To submit, click here and fill in all the blanks, including. is not necessary to send the legislative auditor a copy of the written engagement agreement.Аутсорсинг — Википедия * Эту страницу предлагается объединить с Договор подряда. прокладка локальных сетей, IP-телефония и настройка АТС, ИТ-аудит и консалтинг.External Confirmations * ating the Audit Evidence Obtained, and section 500, Audit Evidence. It does. agreement with the given information or asking the confirming party to provide. of "blank" confirmation request may result in lower response rates because ad-.Обслуживание компьютеров Набережные Челны, "Компания. * ИТ-Аутсорсинг. ИТ Аутсорсинг. Преимущества АУТСОРСИНГА · ЦЕНЫ и Тарифные Планы · Скачать образец Договора · Часто. Что такое ИТ АУДИТ. После проведения ИТ-Аудита, взяли на обслуживание торговую. Consaltex - Компьютерный IT (ИТ) аутсорсинг it (ит) услуг - это. * Мы предлагаем также другие виды компьютерных ит услуг и можем помочь. Комплексный IT аудит организаций. Договор аутсорсинга в сфере ИТ.Общий порядок заключения трудового договора. Документооборот * 23 май 2007. При заключении трудового договора лицо, поступающее на работу. Audit- IT.ru — бухгалтерский учет, налогообложение, аудит. а также порядок изготовления бланков трудовых книжек и обеспечения ими. Договор на оказание услуг по проведению аудиторской проверки. * Типовые формы договоров. Скачать бланк договора / Договор на оказание услуг по проведению аудиторской проверки (аудита).Образец, типовая. "укрзализныци". Усі новини, помічені "укрзализныци" на Мета. * В Укрзализныци, одной из крупнейших государственных монополий, будет проведен аудит, результаты которого станут известны 10 октября.The Confirmation Process * idence, states that, in general, it is presumed that "Audit evidence is more. forms, referred to as blank forms, do not state the amount (or other information).Broker Supervision and Control Audit Declaration Form * The Designated Broker shall complete this Audit Declaration and return it to the. absent an agreement between the brokerages, do not represent another. Business Associate Agreement (2014) * You can literally open our MS Word version of the Business Associate Agreement Template, fill in the blanks as indicated, print it out and you#39;re ready to go.AU Section 330 - The Confirmation Process * It describes the concept of assessing inherent and control risks, determining the. Other positive forms, referred to as blank forms, do not state the amount (or. it may be appropriate for an auditor to include negative confirmation requests with. This page intentionally left blank. * auditing tool, because it provides a description of the property, identifies the. Accounting Procedure accompanying a Joint Operating Agreement.) The venture.

Скорость: 7426 Kb/s

ИТ-Аудит информационных систем на соответствие лучшим практикам и требованиям регуляторов

ИТ-Аудит (it audit) или, другими словами, аудит информационных систем предприятия - это комплексное исследование всех сегментов ИТ-инфраструктуры, проводимое специалистами независимой организации в целях оценки её текущего состояния, уровня соответствия бизнес процессам компании, лучшим практикам, стандартам и требованиям регуляторов.

ИТ-Аудит - важная составная часть процесса управления ИТ-сервисами в организации. Периодическое проведение ИТ-Аудита позволяет достичь целей бизнеса с минимальными затратами и рисками.

В качестве руководящих документов при анализе состояния ИТ-инфраструктуры при проведении ИТ-Аудита используется:

• техническая документация и рекомендации производителей оборудования и программного обеспечения, используемых в ИТ-инфраструктуре Заказчика;
• опыт сотрудников Исполнителя, полученный в своей практике в процессе создания аналогичных подсистем ИТ-инфраструктуры и реализации проектов;
• отраслевые стандарты и методологии проведения аудита и управления информационно-технологическими системами и ИТ-сервисами, такие как:
  • COBIT (Common Objectives for Information and related Technology – Ключевые цели для Информационных и смежных Технологий), разработанного ISACA (Information Systems Audit and Control Associations – Ассоциация Аудита и Контроля Информационных Систем);
  • ITIL (Information Technologies Infrastructure Library) – библиотека передового мирового опыта организации служб ИТ, являющимся стандартом де-факто в этой области;
  • MOF (Microsoft Operation Framework) - библиотека решений корпорации Microsoft по управлению жизненным циклом ИТ-сервиса (услуги);

При проведении ИТ-Аудита используется методология – ITAF (Information Technologies Assessment Framework), разработанная ISACA как руководство к проведению ИТ-Аудитов .

1. Встреча с руководством заказчика, определение целей ИТ-Аудита
2. Определение областей для ИТ-Аудита
3. Подготовка к проведению ИТ-Аудита
4. Проведение ИТ-Аудита
5. Подготовка отчетности по результатам ИТ-Аудита

Финальный отчет ИТ-Аудита состит из разделов:

1. Оценка текущего состояния, аналитический отчет по результатам наблюдений
2. Рекомендации по переходу на новый уровень развития информационной системы

Результаты ИТ-Аудита можно разделить на три основные группы:

1. Организационные:
   • анализ существующей информационной системы Заказчика в контексте стратегических планов развития бизнеса;
   • анализ текущей деятельности ИТ-службы в контексте лучших мировых практик;
   • оценка управления качеством выполнения функций ИТ и реализации процессов управления ИТ.
2. Технические:
   • понимание проблем и узких мест в существующей ИТ-системе Заказчика;
   • общая оценка ИТ, включая оценку рисков, реализованных технологических решений и оценку актуальности используемых технологий;
   • независимый профессиональный прогноз функционирования и необходимости модернизации ИТ в соответствии со стратегическими планами развития Заказчика;
   • оценка потенциала расширения возможностей ИТ при появлении новых задач со стороны бизнес-подразделений Заказчика.
3. Методологические:
   • Способы решения существующих технических проблем;
   • Возможные варианты оптимизации затрат на ИТ;
   • Возможные варианты повышения эффективности функционирования ИТ-инфраструктуры и ИТ-подразделения Заказчика.
     

На первый взгляд может показаться, что перечисленные в стандартах (например, COBIT ) области для проведения ИТ-Аудита и связанные с ними процессы - удел крупных компаний. Однако, на практике оказвывается, что процессы, описанные в стандартах существуют не зависимо от масштаба организации. Только в отличие от крупных компаний они часто не формализованы. Причины отсутствия формализации процессов самые разные: нет необходимости, нет желания и/или понимания руководства.

Что такое малый-средний бизнес? Под малым-средним бизнесом мы будем подразумевать компании с количеством компьютеризированных рабочих мест примерно от 25 до 250. Именно о компаниях такого масштаба пойдет речь далее.

Как правило, руководитель организации малого-среднего бизнеса начинает проявлять интерес к проведению ИТ-Аудита сторонней компанией, когда:

• имеются сомнения в квалификации специалистов собственной ИТ-службы или подрядной ИТ-Аутсорсинговой компании;
• предлагаются решения, конечный результат которых вызывает много вопросов в целесообразности их внедрения;
• много нареканий на специалистов ИТ-службы и нет четкого понимания, кто виновник сложившейся ситуации;
• после ЧП - взлом с последующей кражей информации, потеря данных в результате программного или аппаратного сбоя, и другие неприятности.

Можно также выделить следующие особенности:

• почти всегда нет требований регуляторов к обязательному проведению ИТ-Аудита;
• потребность в ИТ-Аудите возникает всегда "задним числом", т.е. после очередного ЧП.

Наибольший интерес для компаний малого-среднего бизнеса, как правило, представяют следующие области для проведения ИТ-Аудита :

• информационная безопасность;
• надежность ИТ-системы;
• способы экономии на ИТ.

Организационный ИТ-Аудит осуществляется путем опроса руководителей компании и бизнес-подразделений, анализа бизнес-процессов. Для проведения организационного ИТ-Аудита разрабатываются специальные опросные листы.

Технический ИТ-Аудит проводится с применением специализированных программно-аппаратных средств, а также путем опроса сотрудников ИТ-отдела с заполнением соответствующих чек-листов.

1. Стоимость проведения ИТ-Аудита для компаний малого-среднего бизнеса при заключении Договора на ИТ-Аутсорсинг сроком не менее, чем на 6 месяцев - БЕСПЛАТНО. Работы выполняются в рамках перехода Заказчика на ИТ-Аутсорсинг.
2. В иных случаях - стоимость услуг по проведению ИТ-Аудита рассчитывается индивидуально и зависит от объема работ.

IT-аудит - Презентация 28749

Практика проведения ИТ-аудита.

Заказчик Дочернее общество ОАО «Газпром» - ООО «Газпром трансгаз Казань», в составе которого 25 структурных подразделений. В дочернем обществе эксплуатируется Информационно-управляющая система (ИУС), архитектура которой построена по принципу распределенных баз данных. Автоматизация проводилась поэтапно. Часть процессов не автоматизирована.

Практика проведения ИТ-аудита.

Бизнес-цели проекта Дать качественную оценку степени регламентации и автоматизации бизнес-процессов, выявить направления повышения эффективности процессов, определить направления развития ИУС общества, повысить «интеграцию» бизнес-процессов общества. IT-цели проекта Сформировать требования к ИУС с учетом требований сквозных бизнес-процессов, сформировать требования к интеграции компонентов ИУС.

Этап 1. Проведение организационного совещания.

Практика проведения ИТ-аудита

На совещании при поддержке топ-менеджмента сформирована сеть бизнес-процессов, определены направления развития бизнес-процессов

Практика проведения ИТ-аудита

Текущее состояние «как есть»

Желаемое состояние «как должно быть»

Рабочие группы совместно с консультантами

Определение ресурсов – состава работ для достижения поставленных целей

Формулирование перечня задач – эффектов, для достижения поставленных целей

Формулируются существующие проблемы – симптомы

Определяются причины, породившие указанные проблемы

Формулирование целей - результатов, которое Общество хочет достичь

Основные принципы аудита ИТ

Согласно современной теории корпоративного управления обеспечение эффективного и безопасного использования информационных технологий в условиях рыночной экономики является ключевой задачей как ИТ, так и бизнес-руководителей. Накопленный компанией IT Expert опыт внедрения сложных многоуровневых систем ИТ-управления позволяет утверждать, что результативное выполнение данной задачи невозможно без применения системного подхода, основанного на передовой методологии организации внутреннего контроля и управления рисками.

Компания IT Expert предлагает своим клиентам услугу по проведению аудита системы ИТ-управления. Основной ценностью данной услуги является рискоориентированное применение критериев аудита, позволяющее учесть конкретную специфику и масштабы деятельности организации и, как следствие, обеспечить формирование значимых для целей совершенствования системы ИТ-управления результатов – оценок и рекомендаций.

Базовые принципы ИТ-аудита:

• независимость и объективность
• профессиональная компетентность
• конфиденциальность

Критерии ценности аудиторского заключения:

• достоверность: выводы основаны на фактах, которые могут быть повторно проверены, а так же на изучении достаточного количества информации.
• актуальность: при изучении основной акцент делается на проблемах и рисках, которые уже реализуются или с высокой вероятностью могут быть реализованы в краткосрочной перспективе.
• ясность: информация излагается в структурированном виде — от общих выводов в бизнес-терминах для высшего руководства до частных рекомендаций, включающих специфические аспекты, для ИТ-руководства.
• полезность (применимость): информация максимально адаптирована для целей формирования программ совершенствования системы ИТ-управления.

• собственники организации. результаты ИТ-аудита используются для формирования комплексной оценки эффективности менеджмента организации по управлению как основной, так и вспомогательной деятельностью, а также принятия стратегических решений по развитию бизнеса.
• высший менеджмент: результаты ИТ-аудита используются для совершенствования системы корпоративного ИТ-управления, призванной обеспечить преобразование бизнес-целей организации в ИТ-цели, а также установления надлежащего внутреннего контроля за эффективностью использования инвестиций в информационные технологии и деятельностью по минимизации специфических ИТ-рисков.
• высшее ИТ-руководство: результаты аудита используются для проактивной идентификации проблемных областей ИТ-управления (зон повышенного риска) и формирования детальной программы совершенствования системы ИТ-управления.

Консультанты компании IT Expert – сертифицированные специалисты в области управления ИТ и аудита ИТ. И имеют уникальный опыт внедрения современных подходов организации служб ИТ, практический опыт работы в службах ИТ и внутреннего аудита.

Certified Information Systems Auditor

Результат для Заказчика:

Решаемые в рамках аудита системы ИТ-управления задачи:

• Комплаенс-аудит — оценка степени соответствия системы ИТ-управления требованиям корпоративных и/или внешних стандартов, а также готовность организации к прохождению сертификационного аудита.
• Аудит эффективности — оценка адекватности системы ИТ-управления целям обеспечения результативного и рационального использования инвестиций в информационные технологии
• Аудит системы внутреннего контроля — ситуационное моделирование, позволяющее оценить адекватность применяемых методов управления и контроля за информационными технологиями для различных условий деятельности, в том числе расширение или изменение масштабов бизнеса; модернизация или переход на новые информационные системы; изменение объемов финансирования; отсутствие ключевого ИТ-персонала и др.
• Формирование основы для совершенствования системы ИТ-управления – подготовка детального многоуровневого анализа степени адекватности ключевых элементов управления в разрезе всех идентифицированных ИТ-рисков.
• Формирование ключевых рекомендаций по программе совершенствования системы ИТ-управления, которые базируются на опыте успешных консалтинговых проектов компании IT Expert и учитывают идентифицированные в ходе аудита факторы успеха и проблемные области.
• Формирование корпоративной методологии оценки рисков, позволяющей организации самостоятельно осуществлять мониторинг системы ИТ-управления (в том числе программы совершенствования) в условиях динамично изменяющейся среды деятельности.

Категории оцениваемых ИТ-рисков

Рискоориентированный аудит системы управления информационными технологиями — деятельность, осуществляемая в интересах руководства, в рамках которой происходит сбор свидетельств аудита и оценка степени их соответствия согласованным критериям аудита с целью формирования независимой экспертной оценки фактического уровня ИТ-рисков и выработки рекомендаций, направленных на их минимизацию.

Процессный риск – неполный охват деятельности по обеспечению результативного, рационального и безопасного использования информационных технологий на различных стадиях их жизненного цикла. Например, в рамках оценки данной категории риска идентифицируются следующие проблемные области:

• Неготовность ИТ оказывать адекватную поддержку бизнес-инициативам
• Высокая длительность и стоимость проектов по созданию информационных систем
• Неудовлетворяющие бизнес решения по автоматизации
• Несоответствие фактического уровня ИТ-сервисов ожиданиям бизнеса
• Частые сбои и длительное время восстановления работоспособности систем
• Неполное использование пользователями возможностей ИТ
• Ошибки при обработке данных

Риск внутреннего контроля – недостатки в обеспечении полноты контрольных и управленческих процедур, направленных на достижение целей ИТ-управления.

Риск информационной безопасности – недостатки в системе управления информационной безопасности, повышающие вероятность нарушения конфиденциальности, целостности и доступности информации.

Операционный бизнес-риск – совокупность недостатков системы ИТ-управления в отношении информационных технологий, задействованных в поддержке отдельного бизнес-процесса, которые могут привести к реализации риска не достижения целей основной деятельности.

Риск персонала – неадекватное управление кадровыми ресурсами, что может привести к отсутствию высококвалифицированного персонала, необходимого для выполнения ключевых ИТ-операций.

Методики и подходы

Методологическая основа проведения аудита:

• ГОСТ Р ИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента».
• IS Standards, Guidelines and Procedures for Auditing and Control Professionals
• COBIT 4.1 «Control Objectives for Information and related Technology».
• Федеральное правило (стандарт) аудиторской деятельности №15. «Понимание деятельности аудируемого лица». Стандарты — источники критериев аудита:
• COBIT 4.1 «Control Objectives for Information and related Technology». Принципы управления. Руководство по аудиту.
• ISO 27001:2005 «Информационные технологии. Методы обеспечения безопасности — Системы управления информационной безопасностью. Требования»
• ISO 20000 «Управление предоставлением ИТ-услуг»
• ISO 9000 «Указания по менеджменту качества»
• Board Briefing on IT Governance

Приведенный перечень включает только ключевые документы (стандарты) и не является исчерпывающим, то есть может быть при необходимости дополнен другими стандартами и практиками.

• уточнение и приоритезация исследуемых областей;
• получение информации об объекте аудита, в том числе о масштабах, специфике и планах развития основной деятельности; уровне автоматизации бизнес-процессов; задействованных ИТ-ресурсах и т.п.;
• расчет по итогам анализа полученных первичных сведений целевого уровня зрелости ключевых ИТ-процессов, в рамках которых осуществляется управление связанными ИТ- рисками.

Проведение аудита на месте:

• формирование рискоориентированной программы аудита;
• проведение самооценки;
• проведение интервью;
• наблюдение за деятельность;
• изучение документальных свидетельств;
• оценка уровня зрелости ИТ-процессов и остаточного уровня связанных рисков;
• формирование выводов и рекомендаций;
• формирование аудиторского отчета;
• презентация материалов.