Основные принципы аудита ИТ. Методы оценки ИТ рисков при проведении аудита.
Согласно современной теории корпоративного управления обеспечение эффективного и безопасного использования
информационных технологий в условиях рыночной экономики является ключевой задачей как ИТ, так и
бизнес-руководителей. Накопленный компанией IT Expert опыт внедрения сложных многоуровневых систем ИТ-управления
позволяет утверждать, что результативное выполнение данной задачи невозможно без применения системного подхода,
основанного на передовой методологии организации внутреннего контроля и управления рисками.
Компания IT Expert предлагает своим клиентам услугу по проведению аудита системы ИТ-управления. Основной ценностью
данной услуги является рискоориентированное применение критериев аудита, позволяющее учесть конкретную специфику и
масштабы деятельности организации и, как следствие, обеспечить формирование значимых для целей совершенствования
системы ИТ-управления результатов – оценок и рекомендаций.
Базовые принципы ИТ-аудита:
Целевая аудитория
- собственники организации : результаты ИТ-аудита используются для формирования комплексной оценки
эффективности менеджмента организации по управлению как основной, так и вспомогательной деятельностью, а также
принятия стратегических решений по развитию бизнеса.
- высший менеджмент: результаты ИТ-аудита используются для совершенствования системы корпоративного
ИТ-управления, призванной обеспечить преобразование бизнес-целей организации в ИТ-цели, а также установления
надлежащего внутреннего контроля за эффективностью использования инвестиций в информационные технологии и
деятельностью по минимизации специфических ИТ-рисков.
- высшее ИТ-руководство: результаты аудита используются для проактивной идентификации проблемных областей
ИТ-управления (зон повышенного риска) и формирования детальной программы совершенствования системы
ИТ-управления.
Компетенция IT Expert в области аудита ИТ
Консультанты компании IT Expert – сертифицированные специалисты в области управления ИТ и аудита ИТ: И имеют
уникальный опыт внедрения современных подходов организации служб ИТ, практический опыт работы в службах ИТ и
внутреннего аудита.
Certified Information Systems Auditor
Результат для Заказчика:
Решаемые в рамках аудита системы ИТ-управления задачи:
- Комплаенс-аудит — оценка степени соответствия системы ИТ-управления требованиям корпоративных и/или внешних
стандартов, а также готовность организации к прохождению сертификационного аудита.
- Аудит эффективности — оценка адекватности системы ИТ-управления целям обеспечения результативного и
рационального использования инвестиций в информационные технологии
- Аудит системы внутреннего контроля — ситуационное моделирование, позволяющее оценить адекватность
применяемых методов управления и контроля за информационными технологиями для различных условий деятельности,
в том числе расширение или изменение масштабов бизнеса; модернизация или переход на новые информационные
системы; изменение объемов финансирования; отсутствие ключевого ИТ-персонала и др.
- Формирование основы для совершенствования системы ИТ-управления – подготовка детального многоуровневого
анализа степени адекватности ключевых элементов управления в разрезе всех идентифицированных ИТ-рисков.
- Формирование ключевых рекомендаций по программе совершенствования системы ИТ-управления, которые базируются
на опыте успешных консалтинговых проектов компании IT Expert и учитывают идентифицированные в ходе аудита
факторы успеха и проблемные области.
- Формирование корпоративной методологии оценки рисков, позволяющей организации самостоятельно осуществлять
мониторинг системы ИТ-управления (в том числе программы совершенствования) в условиях динамично изменяющейся
среды деятельности.
Категории оцениваемых ИТ-рисков
Рискоориентированный аудит системы управления информационными технологиями — деятельность, осуществляемая в
интересах руководства, в рамках которой происходит сбор свидетельств аудита и оценка степени их соответствия
согласованным критериям аудита с целью формирования независимой экспертной оценки фактического уровня ИТ-рисков и
выработки рекомендаций, направленных на их минимизацию.
Процессный риск – неполный охват деятельности по обеспечению результативного, рационального и безопасного
использования информационных технологий на различных стадиях их жизненного цикла. Например, в рамках оценки данной
категории риска идентифицируются следующие проблемные области:
- Неготовность ИТ оказывать адекватную поддержку бизнес-инициативам
- Высокая длительность и стоимость проектов по созданию информационных систем
- Неудовлетворяющие бизнес решения по автоматизации
- Несоответствие фактического уровня ИТ-сервисов ожиданиям бизнеса
- Частые сбои и длительное время восстановления работоспособности систем
- Неполное использование пользователями возможностей ИТ
- Ошибки при обработке данных
Риск внутреннего контроля – недостатки в обеспечении полноты контрольных и управленческих процедур, направленных на
достижение целей ИТ-управления.
Риск информационной безопасности – недостатки в системе управления информационной безопасности, повышающие
вероятность нарушения конфиденциальности, целостности и доступности информации.
Операционный бизнес-риск – совокупность недостатков системы ИТ-управления в отношении информационных технологий,
задействованных в поддержке отдельного бизнес-процесса, которые могут привести к реализации риска не достижения
целей основной деятельности.
Риск персонала – неадекватное управление кадровыми ресурсами, что может привести к отсутствию
высококвалифицированного персонала, необходимого для выполнения ключевых ИТ-операций.
Методики и подходы
Методологическая основа проведения аудита:
- ГОСТ Р ИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем
экологического менеджмента».
- IS Standards, Guidelines and Procedures for Auditing and Control Professionals
- COBIT 4.1 «Control Objectives for Information and related Technology».
- Федеральное правило (стандарт) аудиторской деятельности №15. «Понимание деятельности аудируемого лица».
Стандарты — источники критериев аудита:
- COBIT 4.1 «Control Objectives for Information and related Technology». Принципы управления. Руководство по
аудиту.
- ISO 27001:2005 «Информационные технологии. Методы обеспечения безопасности — Системы управления
информационной безопасностью. Требования»
- ISO 20000 «Управление предоставлением ИТ-услуг»
- ISO 9000 «Указания по менеджменту качества»
- Board Briefing on IT Governance
Приведенный перечень включает только ключевые документы (стандарты) и не является исчерпывающим, то есть может быть
при необходимости дополнен другими стандартами и практиками.
Порядок реализации:
- уточнение и приоритезация исследуемых областей;
- получение информации об объекте аудита, в том числе о масштабах, специфике и планах развития основной
деятельности; уровне автоматизации бизнес-процессов; задействованных ИТ-ресурсах и т.п.;
- расчет по итогам анализа полученных первичных сведений целевого уровня зрелости ключевых ИТ-процессов, в
рамках которых осуществляется управление связанными ИТ- рисками.
Проведение аудита на месте:
- формирование рискоориентированной программы аудита;
- проведение самооценки;
- проведение интервью;
- наблюдение за деятельность;
- изучение документальных свидетельств;
- оценка уровня зрелости ИТ-процессов и остаточного уровня связанных рисков;
- формирование выводов и рекомендаций;
- формирование аудиторского отчета;
- презентация материалов.