ИТ-АУДИТ

Согласно современной теории корпоративного управления обеспечение эффективного и безопасного использования информационных технологий в условиях рыночной экономики является ключевой задачей как ИТ, так и бизнес-руководителей. Накопленный компанией Major-IT опыт внедрения сложных многоуровневых систем ИТ-управления позволяет утверждать, что результативное выполнение данной задачи невозможно без применения системного подхода, основанного на передовой методологии организации внутреннего контроля и управления рисками.

Компания Major-IT предлагает своим клиентам услугу по проведению аудита системы ИТ-управления. Основной ценностью данной услуги является рискоориентированное применение критериев аудита, позволяющее учесть конкретную специфику и масштабы деятельности организации и, как следствие, обеспечить формирование значимых для целей совершенствования системы ИТ-управления результатов – оценок и рекомендаций.

Базовые принципы ИТ-аудита:

• независимость и объективность
• профессиональная компетентность
• конфиденциальность

Критерии ценности аудиторского заключения:

• достоверность: выводы основаны на фактах, которые могут быть повторно проверены, а так же на изучении достаточного количества информации.
• актуальность: при изучении основной акцент делается на проблемах и рисках, которые уже реализуются или с высокой вероятностью могут быть реализованы в краткосрочной перспективе.
• ясность: информация излагается в структурированном виде — от общих выводов в бизнес-терминах для высшего руководства до частных рекомендаций, включающих специфические аспекты, для ИТ-руководства.
• полезность (применимость): информация максимально адаптирована для целей формирования программ совершенствования системы ИТ-управления.

Целевая аудитория:

• собственники организации: результаты ИТ-аудита используются для формирования комплексной оценки эффективности менеджмента организации по управлению как основной, так и вспомогательной деятельностью, а также принятия стратегических решений по развитию бизнеса.
• высший менеджмент: результаты ИТ-аудита используются для совершенствования системы корпоративного ИТ-управления, призванной обеспечить преобразование бизнес-целей организации в ИТ-цели, а также установления надлежащего внутреннего контроля за эффективностью использования инвестиций в информационные технологии и деятельностью по минимизации специфических ИТ-рисков.
• высшее ИТ-руководство: результаты аудита используются для проактивной идентификации проблемных областей ИТ-управления (зон повышенного риска) и формирования детальной программы совершенствования системы ИТ-управления.

Компетенция Major-IT в области ИТ аудита

Консультанты компании Major-IT – сертифицированные специалисты в области управления ИТ и аудита ИТ.
И имеют уникальный опыт внедрения современных подходов организации служб ИТ, практический опыт работы в службах ИТ и внутреннего аудита.

Результат для Заказчика:

Решаемые в рамках аудита системы ИТ-управления задачи:

• Комплаенс-аудит — оценка степени соответствия системы ИТ-управления требованиям корпоративных и/или внешних стандартов, а также готовность организации к прохождению сертификационного аудита.
• Аудит эффективности — оценка адекватности системы ИТ-управления целям обеспечения результативного и рационального использования инвестиций в информационные технологии
• Аудит системы внутреннего контроля — ситуационное моделирование, позволяющее оценить адекватность применяемых методов управления и контроля за информационными технологиями для различных условий деятельности, в том числе расширение или изменение масштабов бизнеса; модернизация или переход на новые информационные системы; изменение объемов финансирования; отсутствие ключевого ИТ-персонала и др.
• Формирование основы для совершенствования системы ИТ-управления – подготовка детального многоуровневого анализа степени адекватности ключевых элементов управления в разрезе всех идентифицированных ИТ-рисков.
• Формирование ключевых рекомендаций по программе совершенствования системы ИТ-управления, которые базируются на опыте успешных консалтинговых проектов компании Major-IT и учитывают идентифицированные в ходе аудита факторы успеха и проблемные области.
• Формирование корпоративной методологии оценки рисков, позволяющей организации самостоятельно осуществлять мониторинг системы ИТ-управления (в том числе программы совершенствования) в условиях динамично изменяющейся среды деятельности.

Категории оцениваемых ИТ-рисков

Рискоориентированный аудит системы управления информационными технологиями — деятельность, осуществляемая в интересах руководства, в рамках которой происходит сбор свидетельств аудита и оценка степени их соответствия согласованным критериям аудита с целью формирования независимой экспертной оценки фактического уровня ИТ-рисков и выработки рекомендаций, направленных на их минимизацию.
Процессный риск – неполный охват деятельности по обеспечению результативного, рационального и безопасного использования информационных технологий на различных стадиях их жизненного цикла. Например, в рамках оценки данной категории риска идентифицируются следующие проблемные области:

• Неготовность ИТ оказывать адекватную поддержку бизнес-инициативам
• Высокая длительность и стоимость проектов по созданию информационных систем
• Неудовлетворяющие бизнес решения по автоматизации
• Несоответствие фактического уровня ИТ-сервисов ожиданиям бизнеса
• Частые сбои и длительное время восстановления работоспособности систем
• Неполное использование пользователями возможностей ИТ
• Ошибки при обработке данных
• Риск внутреннего контроля – недостатки в обеспечении полноты контрольных и управленческих процедур, направленных на достижение целей ИТ-управления.
• Риск информационной безопасности – недостатки в системе управления информационной безопасности, повышающие вероятность нарушения конфиденциальности, целостности и доступности информации.
• Операционный бизнес-риск – совокупность недостатков системы ИТ-управления в отношении информационных технологий, задействованных в поддержке отдельного бизнес-процесса, которые могут привести к реализации риска не достижения целей основной деятельности.
• Риск персонала – неадекватное управление кадровыми ресурсами, что может привести к отсутствию высококвалифицированного персонала, необходимого для выполнения ключевых ИТ-операций.

Методологическая основа проведения аудита:

ГОСТ Р ИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента».
IS Standards, Guidelines and Procedures for Auditing and Control Professionals
CobiT 4.1 «Control Objectives for Information and related Technology».
Федеральное правило (стандарт) аудиторской деятельности №15. «Понимание деятельности аудируемого лица». Стандарты — источники критериев аудита:
CobiT 4.1 «Control Objectives for Information and related Technology». Принципы управления. Руководство по аудиту.
ISO 27001:2005 «Информационные технологии. Методы обеспечения безопасности — Системы управления информационной безопасностью. Требования»
ISO 20000 «Управление предоставлением ИТ-услуг»
ISO 9000 «Указания по менеджменту качества»
Board Briefing on IT Governance
Приведенный перечень включает только ключевые документы (стандарты) и не является исчерпывающим, то есть может быть при необходимости дополнен другими стандартами и практиками.

Порядок реализации:

• уточнение и приоритезация исследуемых областей;
• получение информации об объекте аудита, в том числе о масштабах, специфике и планах развития основной деятельности; уровне автоматизации бизнес-процессов; задействованных ИТ-ресурсах и т.п.;
• расчет по итогам анализа полученных первичных сведений целевого уровня зрелости ключевых ИТ-процессов, в рамках которых осуществляется управление связанными ИТ- рисками.

Проведение аудита на месте:

• формирование рискоориентированной программы аудита;
• проведение самооценки;
• проведение интервью;
• наблюдение за деятельность;
• изучение документальных свидетельств;
• оценка уровня зрелости ИТ-процессов и остаточного уровня связанных рисков;
• формирование выводов и рекомендаций;
• формирование аудиторского отчета;
• презентация материалов.