ИТ-аудит
Автор: Aruzhan Karazhanova • Ноябрь 30, 2021 • Контрольная работа • 4,201 Слов (17 Страниц) • 250 Просмотры
Страница 1 из 17
Lectures 1-2
Что такое ИТ-аудит?
Это процесс сбора и анализа свидетельств для оценки того, насколько информационные системы и ее компоненты:
- Адекватно обеспечивают сохранность активов;
- Поддерживают целостность данных и систем;
- Предоставляют соответствующую и надежную информацию;
- Достигают целей компании;
- Экономно используют ресурсы компании;
- Имеют эффективные внутренние контроли, которые обеспечивают разумную уверенность в том, что цели достигнуты и нежелательные события будут предотвращены или замечены и исправлены своевременно.
Когда необходим ИТ-аудит?
- Получение структурированной информации и построение объективной картины о текущем состоянии ИТ-инфраструктуры компании
- Определение проблемных мест и ключевых направлений развития ИТ
- Получение рекомендаций, направленных на снижение потенциальных рисков
- Увеличение конкурентоспособности компании
Уровень зрелости управления ИТ-инфраструктурой
0. Отсутствует
- Начальный
- Повторяемый
- Минимальная необходимая зрелость
- Определенный
- Требования стандартов
- Управляемый
- Рекомендуемый уровень отрасли
- Оптимизируемый
- Лидер
Что получаем после ИТ-аудита?
- Понимание текущего состояния ИТ-системы компании
- Выявление узких мест в работе ИТ-системы
- Подготовка компании к внедрению CRM, ERP и т.д.
- Оценка стоимости владения ИТ-инфраструктуры
- Снижение рисков от возникновения внештатных ситуаций в работе ИТ-системы
- Результатом будет полная картина работы существующей ИТ инфраструктуры, что позволит увидеть текущий статус организации с разработкой оптимального бюджета для модернизации ИТ-системы компании, а главное выявив ее недостатки –оценить конкурентоспособность среди организаций схожего рода деятельности
Основные виды ИТ-Аудита:
- Комлпаенс – оценка степени соответствия системы ИТ-управления требованиям корпоративных и/или внешних стандартов, а также готовность организации к прохождению сертификационного аудита;
- Комплексный – проводится, когда руководителям предприятия необходимо точно оценить все стороны функционирования информационной системы, чтобы решить, в какой степени она отвечает потребностям их бизнеса;
- В рамках финансового аудита – вспомогательный процесс. Проверка эффективности мер на уровне ИТ, минимизирующих риски искажения финансовой отчетности компаний;
- Аудит информационной безопасности – процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности автоматизированной системы в соответствии с определенными критериями и показателями безопасности;
- Специализированный аудит – проводится, когда необходимо проанализировать выбранную часть из всего предприятия.
Процесс ИТ-аудита. 5 этапов ИТ-аудита:
- Инициализация и планирование - Формирование целей проверки в зависимости от идентифицированных рисков, диагностика общего состояния проверяемого объекта. Формирование методик и правил проведения аудита. Определение бюджета.
- Сбор информации и документир-е - Сбор информации о персонале, тестирование оборудование при помощи специализированного ПО и оборудования.
- Анализ полученных данных - Обработка полученных результатов на соответствия требованиям аудита и ИТ-стандартов.
- Выработка рекомендаций - Подготовка рекомендаций по устранению выявленных проблем и улучшению составляющих инфраструктуры.
- Подготовка отчетной документации - Оформление полученных данных в формальном виде и подготовка предложений по внедрению рекомендаций из аудита на практике.
- Отслеживание - Выполнение планов корректирующих мероприятий.
Основные задачи аудитора:
- Разработка стратегии;
- Объем
- Сроки
- Направленность
- Оформление объема и сроков работ в стратегии. Определение направленности ИТ-аудита
- План аудита;
- Общий план
- Программа
- Аудиторские процедуры
- Определение процедур при ИТ-аудите. Подготовка общего плана и программы предстоящих работ
- Выбор стандартов;
- Обзор стандартов
- Оценка стандартов
- Определение требований к ИТ-аудиту. Выбор стандарта из перечня изученных
- Проведение аудита;
- Сбор и анализ необходимой информации
- Проведение тестов на соответствие
- Оценка процессов
- Подготовка рекомендаций
- Выполнение работ по ИТ-аудиту. Тестирование и анализ информации. Оценка и подготовка конечных рекомендаций
- Презентация отчетов.
- Подготовка отчета по результатам
- Rank options
- Prepare board presentation
- Проведение финальной презентации по выполненным работам
Основные понятия
Стандарты аудита и обеспечения уверенности в области ИТ:
- ITAF – IT Audit Framework 3rd Edition - Международный стандарт проведения ИТ-аудита от организации ISACA
- Cobit 5 for Assurance - Руководство по проведению аудита в соответствии с COBIT v.5
- International Professional Practices Framework (IPPF) for Internal Auditing Standards - Международный стандарт проведения внутреннего аудита от Института Внутренних Аудиторов (IIA)
- Международные стандарты «ISAE No. 3402» и «SSAE No. 16» - Международный стандарт проведения аудиторских проверок сервисных организаций, разработанный международной организацией IAASB (the International Auditing and Assurance Standards Board).
- PCAOB Auditing Standard No. 5 “An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements” - Действующая редакция стандарта разработана и выпущена организацией «The Public Company Accounting Oversight Board» (PCAOB) в 2007 году.
- «ISO/IEC 27007: Guidelines for information security management systems auditing» и «ISO/IEC TR 27008: Guidelines for auditors on information security management systems controls» - Стандарты опубликованы международной организацией ISO/IEC в 2011 году.
Стандарт ITAF состоит из трёх частей, представленных в разрезах:
- «Стандарты»
- «Руководства»
- «Техники и инструменты»
Стандартом определяются:
...
Доступно только на Essays.club