ИТ-АУДИТ

Рекомендации по модернизации и обслуживанию!

ИТ-АУДИТ

Согласно современной теории корпоративного управления обеспечение эффективного и безопасного использования информационных технологий в условиях рыночной экономики является ключевой задачей как ИТ, так и бизнес-руководителей. Накопленный компанией Major-IT опыт внедрения сложных многоуровневых систем ИТ-управления позволяет утверждать, что результативное выполнение данной задачи невозможно без применения системного подхода, основанного на передовой методологии организации внутреннего контроля и управления рисками.

Компания Major-IT предлагает своим клиентам услугу по проведению аудита системы ИТ-управления. Основной ценностью данной услуги является рискоориентированное применение критериев аудита, позволяющее учесть конкретную специфику и масштабы деятельности организации и, как следствие, обеспечить формирование значимых для целей совершенствования системы ИТ-управления результатов – оценок и рекомендаций.

Базовые принципы ИТ-аудита:

  • независимость и объективность
  • профессиональная компетентность
  • конфиденциальность

Критерии ценности аудиторского заключения:

  • достоверность: выводы основаны на фактах, которые могут быть повторно проверены, а так же на изучении достаточного количества информации.
  • актуальность: при изучении основной акцент делается на проблемах и рисках, которые уже реализуются или с высокой вероятностью могут быть реализованы в краткосрочной перспективе.
  • ясность: информация излагается в структурированном виде — от общих выводов в бизнес-терминах для высшего руководства до частных рекомендаций, включающих специфические аспекты, для ИТ-руководства.
  • полезность (применимость): информация максимально адаптирована для целей формирования программ совершенствования системы ИТ-управления.

Целевая аудитория:

  • собственники организации: результаты ИТ-аудита используются для формирования комплексной оценки эффективности менеджмента организации по управлению как основной, так и вспомогательной деятельностью, а также принятия стратегических решений по развитию бизнеса.
  • высший менеджмент: результаты ИТ-аудита используются для совершенствования системы корпоративного ИТ-управления, призванной обеспечить преобразование бизнес-целей организации в ИТ-цели, а также установления надлежащего внутреннего контроля за эффективностью использования инвестиций в информационные технологии и деятельностью по минимизации специфических ИТ-рисков.
  • высшее ИТ-руководство: результаты аудита используются для проактивной идентификации проблемных областей ИТ-управления (зон повышенного риска) и формирования детальной программы совершенствования системы ИТ-управления.

Компетенция Major-IT в области ИТ аудита

Консультанты компании Major-IT – сертифицированные специалисты в области управления ИТ и аудита ИТ.
И имеют уникальный опыт внедрения современных подходов организации служб ИТ, практический опыт работы в службах ИТ и внутреннего аудита.

Результат для Заказчика:

Решаемые в рамках аудита системы ИТ-управления задачи:

  • Комплаенс-аудит — оценка степени соответствия системы ИТ-управления требованиям корпоративных и/или внешних стандартов, а также готовность организации к прохождению сертификационного аудита.
  • Аудит эффективности — оценка адекватности системы ИТ-управления целям обеспечения результативного и рационального использования инвестиций в информационные технологии
  • Аудит системы внутреннего контроля — ситуационное моделирование, позволяющее оценить адекватность применяемых методов управления и контроля за информационными технологиями для различных условий деятельности, в том числе расширение или изменение масштабов бизнеса; модернизация или переход на новые информационные системы; изменение объемов финансирования; отсутствие ключевого ИТ-персонала и др.
  • Формирование основы для совершенствования системы ИТ-управления – подготовка детального многоуровневого анализа степени адекватности ключевых элементов управления в разрезе всех идентифицированных ИТ-рисков.
  • Формирование ключевых рекомендаций по программе совершенствования системы ИТ-управления, которые базируются на опыте успешных консалтинговых проектов компании Major-IT и учитывают идентифицированные в ходе аудита факторы успеха и проблемные области.
  • Формирование корпоративной методологии оценки рисков, позволяющей организации самостоятельно осуществлять мониторинг системы ИТ-управления (в том числе программы совершенствования) в условиях динамично изменяющейся среды деятельности.

Категории оцениваемых ИТ-рисков

Рискоориентированный аудит системы управления информационными технологиями — деятельность, осуществляемая в интересах руководства, в рамках которой происходит сбор свидетельств аудита и оценка степени их соответствия согласованным критериям аудита с целью формирования независимой экспертной оценки фактического уровня ИТ-рисков и выработки рекомендаций, направленных на их минимизацию.
Процессный риск – неполный охват деятельности по обеспечению результативного, рационального и безопасного использования информационных технологий на различных стадиях их жизненного цикла. Например, в рамках оценки данной категории риска идентифицируются следующие проблемные области:

  • Неготовность ИТ оказывать адекватную поддержку бизнес-инициативам
  • Высокая длительность и стоимость проектов по созданию информационных систем
  • Неудовлетворяющие бизнес решения по автоматизации
  • Несоответствие фактического уровня ИТ-сервисов ожиданиям бизнеса
  • Частые сбои и длительное время восстановления работоспособности систем
  • Неполное использование пользователями возможностей ИТ
  • Ошибки при обработке данных
  • Риск внутреннего контроля – недостатки в обеспечении полноты контрольных и управленческих процедур, направленных на достижение целей ИТ-управления.
  • Риск информационной безопасности – недостатки в системе управления информационной безопасности, повышающие вероятность нарушения конфиденциальности, целостности и доступности информации.
  • Операционный бизнес-риск – совокупность недостатков системы ИТ-управления в отношении информационных технологий, задействованных в поддержке отдельного бизнес-процесса, которые могут привести к реализации риска не достижения целей основной деятельности.
  • Риск персонала – неадекватное управление кадровыми ресурсами, что может привести к отсутствию высококвалифицированного персонала, необходимого для выполнения ключевых ИТ-операций.

Методологическая основа проведения аудита:

ГОСТ Р ИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента».
IS Standards, Guidelines and Procedures for Auditing and Control Professionals
CobiT 4.1 «Control Objectives for Information and related Technology».
Федеральное правило (стандарт) аудиторской деятельности №15. «Понимание деятельности аудируемого лица». Стандарты — источники критериев аудита:
CobiT 4.1 «Control Objectives for Information and related Technology». Принципы управления. Руководство по аудиту.
ISO 27001:2005 «Информационные технологии. Методы обеспечения безопасности — Системы управления информационной безопасностью. Требования»
ISO 20000 «Управление предоставлением ИТ-услуг»
ISO 9000 «Указания по менеджменту качества»
Board Briefing on IT Governance
Приведенный перечень включает только ключевые документы (стандарты) и не является исчерпывающим, то есть может быть при необходимости дополнен другими стандартами и практиками.

Порядок реализации:

  • уточнение и приоритезация исследуемых областей;
  • получение информации об объекте аудита, в том числе о масштабах, специфике и планах развития основной деятельности; уровне автоматизации бизнес-процессов; задействованных ИТ-ресурсах и т.п.;
  • расчет по итогам анализа полученных первичных сведений целевого уровня зрелости ключевых ИТ-процессов, в рамках которых осуществляется управление связанными ИТ- рисками.

Проведение аудита на месте:

  • формирование рискоориентированной программы аудита;
  • проведение самооценки;
  • проведение интервью;
  • наблюдение за деятельность;
  • изучение документальных свидетельств;
  • оценка уровня зрелости ИТ-процессов и остаточного уровня связанных рисков;
  • формирование выводов и рекомендаций;
  • формирование аудиторского отчета;
  • презентация материалов.

Компания

  • О нас
  • Достижения
  • Наши клиенты
  • Чем мы лучше?
  • Рекомендательные письма

Услуги

ИТ-АУТСОРСИНГ
ИТ-КОНСАЛТИНГ
ИТ-АУДИТ
ИТ-РЕШЕНИЯ
РАЗРАБОТКА WEB

Наши партнеры

  • Cisco Systems
  • American Power Conversion
  • Avaya Inc.
  • Oracle
  • IBM
  • NOD
  • Microsoft