Аудит інформаційних технологій

Аудит інформаційних технологій

Інформаційні технології щороку дедалі більше ускладнюються. Вони поглинають величезні фінансові та тимчасові ресурси, не завжди надаючи адекватний ефект. Позитивні аспекти відтінюються новими ризиками, що потребує додаткового контролю з боку вищого менеджменту, зовнішнього та внутрішнього аудиту. У зв'язку з цим аудит інформаційних технологій проводять у компаніях для того, щоб оперативно отримувати систематизовану та достовірну інформацію для оцінки ІТ, прийняття рішень щодо управління ІТ.

Цілі та завдання аудиту ІТ

Метою ІТ-аудиту є вдосконалення системи контролю над ІТ. Для цього аудитори:

  • здійснюють оцінку ризиків ІТ;
  • сприяють запобіганню та пом'якшенню збоїв ІВ;
  • беруть участь у управлінні ризиками ІТ;
  • допомагають готувати нормативні документи;
  • допомагають пов'язати бізнес-ризики та засоби автоматизованого контролю;
  • здійснюють проведення періодичних перевірок;
  • сприяють ІТ-менеджерам у правильній організації управління ІТ;
  • здійснюють «погляд із боку».

Зовнішні аудитори акцентують увагу на незалежному підтвердженні надійності та адекватності системи внутрішнього контролю за ІТ, а внутрішні аудитори – на забезпеченні ефективності системи внутрішнього контролю ІТ.

Види послуг з аудиту ІТ на українському ринку

На українському ринку в даний час можна виділити 6 видів послуг з аудиту ІТ:

  • Обстеження ІТ.
  • Експертна оцінка ІТ.
  • Технічний аудит ІТ.
  • Аудит ІТ бізнес-процесу.
  • Аудит критерію ІТ.
  • Комплексний аудит ІТ.

Обстеження ІТ - окремий випадок аудиту ІТ. Це звичайна інвентаризація.збір інформації, яка буде використовуватися для проведення наступних робіт, наприклад проектних робіт з впровадження нової інформаційної системи, коли потрібно грамотно зібрати достовірну інформацію про поточний стан ІТ. При обстеженні ІТ аналіз та оцінка, як правило, не проводиться.

Експертна оцінка ІТ – це оцінка адекватності фінансування проектних рішень та/або інвестицій у закупівлю обладнання та ІТ-послуг. При цьому можливі такі види оцінок:

  • оцінка ІТ-проектів чи проектних рішень;
  • оцінка обґрунтованості інвестицій у ІТ;
  • оцінка вартості ІТ-складової компанії;
  • оцінка поточних ІТ-проектів;
  • оцінка можливості перепрофілювання ІТ-інфраструктури;
  • оцінка організації експлуатації ІТ;
  • оцінка підготовки користувачів.

Технічний аудит ІТ - це збір, аналіз інформації та видача рекомендацій щодо покращення роботи окремого технічного елемента ІТ-інфраструктури. Для цього виду аудиту характерні малий масштаб роботи та вузька технічна спеціалізація дослідження.

Аудит ІТ бізнес-процесу - це аудит інформаційних технологій та систем, критичних для виконання конкретного бізнес-процесу компанії із заданими критеріями якості та ефективності. Одним із найважливіших результатів цього виду аудиту є формалізована модель досліджуваного бізнес-процесу.

Під час проведення аудиту ІТ бізнес-процесу, як правило, виконується:

  • визначення відповідального за процес;
  • визначення користувачів та учасників бізнес-процесу;
  • виявлення застосовуваного обладнання та програм;
  • оцінка дій обслуговуючого персоналу та користувачів;
  • аналіз проектних та регламентуючих документів.

Аудиткритерію ІТ - це збір, аналіз інформації та видача рекомендацій щодо якогось обраного критерію ІТ, наприклад, безпека, продуктивність, надійність, доступність і т.д. При проведенні аудиту за певним критерієм оцінки прийнято дослідити не лише окремий елемент ІТ-інфраструктури, але й усю сукупність програмних, апаратних засобів, процесів їх супроводу та обслуговування у всій компанії, що перевіряється.

Комплексний аудит ІТ - це аудит, при якому здійснюється визначення та аналіз взаємозв'язків бізнес-процесів, їх вимог, інформаційних та суміжних технологій, сукупності програмно-апаратних засобів з метою порівняння адекватності ІТ потребам бізнесу компанії.

Стандарти ІТ-аудиту

Питання аудиту та внутрішнього контролю за інформаційними системами присвячено декілька зарубіжних стандартів аудиту та спеціальний український стандарт «Аудит в умовах комп'ютерної обробки даних (КОД)». Із зарубіжних джерел можна відзначити міжнародний стандарт аудиту CobiT, ISA 401, положення з міжнародної практики аудиту 1002, 1003,1004, 1008, 1009. У них відображені питання практики аудиту в середовищі комп'ютерних інформаційних систем, оцінки ризиків та надійності , техніка проведення аудиту з урахуванням використання сучасних інформаційних технологій

Основні етапи проведення аудиту

В узагальненому вигляді ІТ-аудит проводиться у два етапи:

  • етап "Планування ІТ-аудиту".
  • етап "Проведення ІТ-аудиту".

На етапі "Планування ІТ-аудиту":

  • Аналізуються:
  • структура бізнес-процесів;
  • платформи та структура інформаційних систем, що підтримують бізнес-процеси;
  • структура ролей та розподілувідповідальності, включаючи аутсорсинг;
  • бізнес-ризики та бізнес-стратегія.
  • Визначаються інформаційні критерії, найбільш значущі існуючих бізнес-процесів.
  • Ідентифікуються ІТ-ризики.
  • Оцінюється загальний рівень контролю аналізованих бізнес-процесів.
  • На основі отриманої інформації здійснюється вибір кордонів та об'єктів дослідження: ІТ-процесів та пов'язаних з ними ІТ-ресурсів.

    • На етапі "Проведення ІТ-аудиту" виконуються такі види робіт:

    • Ідентифікація існуючих механізмів управління та документування процедур (збір та первинний аналіз інформації);
    • Оцінка ефективності існуючих механізмів управління під час виконання завдань управління, їх доцільність та придатність;
    • Тест відповідності (отримання гарантій придатності існуючих механізмів управління на вирішення завдань управління);
    • Детальне тестування з метою виконання дій для поліпшення стану системи управління ІТ.

    Результати проведення ІТ-аудиту

    Результати ІТ-аудиту компанії класифікуються на три групи:

    • Організаційні – планування, управління, документообіг функціонування ІВ.
    • Технічні – збої, несправності, оптимізація роботи елементів ІВ, безперервне обслуговування, створення інфраструктури тощо
    • Методологічні – підходи до вирішення проблемних ситуацій, управління та контролю, загальна впорядкованість та структуризація.

    Проведений ІТ-аудит дозволить обґрунтовано створити такі документи:

    • Основні документи:
    • Звіт про результати ІТ-аудиту компанії.
    • Звіт про результати аудиту інформаційної безпеки компанії.
    • Додаткові документи (документи,які можуть бути розроблені за погодженням сторін на додаток до основних):
    • Довгостроковий план розвитку ІТ/ІВ;
    • Короткостроковий план розвитку ІТ/ІВ;
    • Звіт про поточний стан ІТ/ІВ.
    • Технічне завдання зміни ІТ/ІС
    • Методологія роботи та налаштування (доведення) ІТ/ІВ компанії.
    • Концепція побудови політики безпеки ІТ/ІВ компанії.
    • Політика безпеки ІТ/ІВ компанії.
    • План відновлення ІТ/ІВ у надзвичайній ситуації.
    • Порядок дій у разі порушення захисту інформації.
    • План-графік проведення наступних ІТ-аудитів.

    пропозиції, що дозволяють компанії Pba Consult бути універсальним джерелом задоволення Ваших інформаційних потреб.