ИТ-аудит

Lectures 1-2

Что такое ИТ-аудит?

Это процесс сбора и анализа свидетельств для оценки того, насколько информационные системы и ее компоненты:

• Адекватно обеспечивают сохранность активов;
• Поддерживают целостность данных и систем;
• Предоставляют соответствующую и надежную информацию;
• Достигают целей компании;
• Экономно используют ресурсы компании;
• Имеют эффективные внутренние контроли, которые обеспечивают разумную уверенность в том, что цели достигнуты и нежелательные события будут предотвращены или замечены и исправлены своевременно.

Когда необходим ИТ-аудит?

• Получение структурированной информации и построение объективной картины о текущем состоянии ИТ-инфраструктуры компании
• Определение проблемных мест и ключевых направлений развития ИТ
• Получение рекомендаций, направленных на снижение потенциальных рисков
• Увеличение конкурентоспособности компании

Уровень зрелости управления ИТ-инфраструктурой

0.  Отсутствует

1. Начальный
2. Повторяемый

1. Минимальная необходимая зрелость

1. Определенный

1. Требования стандартов

1. Управляемый

1. Рекомендуемый уровень отрасли

1. Оптимизируемый

1. Лидер

Что получаем после ИТ-аудита?

• Понимание текущего состояния ИТ-системы компании
• Выявление узких мест в работе ИТ-системы
• Подготовка компании к внедрению CRM, ERP и т.д.
• Оценка стоимости владения ИТ-инфраструктуры
• Снижение рисков от возникновения внештатных ситуаций в работе ИТ-системы

• Результатом будет полная картина работы существующей ИТ инфраструктуры, что позволит увидеть текущий статус организации с разработкой оптимального бюджета для модернизации ИТ-системы компании, а главное выявив ее недостатки –оценить конкурентоспособность среди организаций схожего рода деятельности

Основные виды ИТ-Аудита:

1. Комлпаенс – оценка степени соответствия системы ИТ-управления требованиям корпоративных и/или внешних стандартов, а также готовность организации к прохождению сертификационного аудита;
2. Комплексный – проводится, когда руководителям предприятия необходимо точно оценить все стороны функционирования информационной системы, чтобы решить, в какой степени она отвечает потребностям их бизнеса;
3. В рамках финансового аудита – вспомогательный процесс. Проверка эффективности мер на уровне ИТ, минимизирующих риски искажения финансовой отчетности компаний;
4. Аудит информационной безопасности – процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности автоматизированной системы в соответствии с определенными критериями и показателями безопасности;
5. Специализированный аудит – проводится, когда необходимо проанализировать выбранную часть из всего предприятия.

Процесс ИТ-аудита. 5 этапов ИТ-аудита:

1. Инициализация и планирование - Формирование целей проверки в зависимости от идентифицированных рисков, диагностика общего состояния проверяемого объекта. Формирование методик и правил проведения аудита. Определение бюджета.
2. Сбор информации и документир-е - Сбор информации о персонале, тестирование оборудование при помощи специализированного ПО и оборудования.
3. Анализ полученных данных - Обработка полученных результатов на соответствия требованиям аудита и ИТ-стандартов.
4. Выработка рекомендаций - Подготовка рекомендаций по устранению выявленных проблем и улучшению составляющих инфраструктуры.
5. Подготовка отчетной документации - Оформление полученных данных в формальном виде и подготовка предложений по внедрению рекомендаций из аудита на практике.
6. Отслеживание - Выполнение планов корректирующих мероприятий.

Основные задачи аудитора:

1. Разработка стратегии;

1. Объем
2. Сроки
3. Направленность

1. Оформление объема и сроков работ в стратегии. Определение направленности ИТ-аудита

1. План аудита;

1. Общий план
2. Программа
3. Аудиторские процедуры

1. Определение процедур при ИТ-аудите. Подготовка общего плана и программы предстоящих работ

1. Выбор стандартов;

1. Обзор стандартов
2. Оценка стандартов

1. Определение требований к ИТ-аудиту. Выбор стандарта из перечня изученных

1. Проведение аудита;

1. Сбор и анализ необходимой информации
2. Проведение тестов на соответствие
3. Оценка процессов
4. Подготовка рекомендаций

1. Выполнение работ по ИТ-аудиту. Тестирование и анализ информации. Оценка и подготовка конечных рекомендаций

1. Презентация отчетов.

1. Подготовка отчета по результатам
2. Rank options
3. Prepare board presentation

1. Проведение финальной презентации по выполненным работам

Основные понятия

Стандарты аудита и обеспечения уверенности в области ИТ:

• ITAF – IT Audit Framework 3rd Edition - Международный стандарт проведения ИТ-аудита от организации ISACA
• Cobit 5 for Assurance - Руководство по проведению аудита в соответствии с COBIT v.5
• International Professional Practices Framework (IPPF) for Internal Auditing Standards - Международный стандарт проведения внутреннего аудита от Института Внутренних Аудиторов (IIA)
• Международные стандарты «ISAE No. 3402» и «SSAE No. 16» - Международный стандарт проведения аудиторских проверок сервисных организаций, разработанный международной организацией IAASB (the International Auditing and Assurance Standards Board).
• PCAOB Auditing Standard No. 5 “An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements” - Действующая редакция стандарта разработана и выпущена организацией «The Public Company Accounting Oversight Board» (PCAOB) в 2007 году.
• «ISO/IEC 27007: Guidelines for information security management systems auditing» и «ISO/IEC TR 27008: Guidelines for auditors on information security management systems controls» - Стандарты опубликованы международной организацией ISO/IEC в 2011 году.

Стандарт ITAF состоит из трёх частей, представленных в разрезах:

• «Стандарты»
• «Руководства»
• «Техники и инструменты»

Стандартом определяются: