IT аудит

ИТ-аудит (аудит Информационных Технологий) — это комплекс мероприятий по оценке состояния ИТ-инфраструктуры, Информационных систем, бизнес-процессов работающих в организации.

Информационные технологии с каждым годом все более усложняются. Они поглощают огромные финансовые и временные ресурсы, при этом не всегда предоставляя адекватный эффект. Положительные аспекты оттеняются новыми рисками, что требует дополнительного контроля со стороны высшего менеджмента, внешнего и внутреннего аудита. В этой связи аудит информационных технологий проводят в компаниях для того, чтобы оперативно получать систематизированную и достоверную информацию для оценки ИТ, принятия решений по управлению ИТ.

Цели и задачи аудита ИТ

Целью ИТ-аудита является совершенствование системы контроля за ИТ. Для этого аудиторы:

• осуществляют оценку рисков ИТ;
• содействуют предотвращению и смягчению сбоев ИС;
• участвуют в управлении рисками ИТ;
• помогают подготавливать нормативные документы;
• помогают связать бизнес-риски и средства автоматизированного контроля;
• осуществляют проведение периодических проверок;
• содействуют ИТ-менеджерам в правильной организации управления ИТ;
• осуществляют «взгляд со стороны».

Внешние аудиторы акцентируют свое внимание на независимом подтверждении надежности и адекватности системы внешнего контроля за ИТ, а внутренние аудиторы — на обеспечении эффективности системы внутреннего контроля ИТ.

Виды услуг по аудиту ИТ на рынке

На рынке в настоящее время можно выделить следующие услуги по аудиту ИТ:

• Обследование ИТ.
• Экспертная оценка ИТ.
• Технический аудит ИТ.
• Аудит ИТ бизнес-процесса.
• Аудит критерия ИТ.
• Комплексный аудит ИТ.

Обследование ИТ — частный случай аудита ИТ. Это обычная инвентаризация — сбор информации, которая будет использоваться для проведения последующих работ, например, проектных работ по внедрению новой информационной системы, когда требуется грамотно собрать достоверную информацию о текущем состоянии ИТ. При обследовании ИТ анализ и оценка, как правило, не производится.

Экспертная оценка ИТ — это оценка адекватности финансирования проектных решений и/или инвестиций в закупку оборудования и ИТ-услуг. При этом возможны следующие виды оценок:

• оценка ИТ-проектов или проектных решений;
• оценка обоснованности инвестиций в ИТ;
• оценка стоимости ИТ-составляющей компании;
• оценка текущих ИТ-проектов;
• оценка возможности перепрофилирования ИТ-инфраструктуры;
• оценка организации эксплуатации ИТ;
• оценка подготовки пользователей.

Технический аудит ИТ — это сбор, анализ информации и выдача рекомендаций по улучшению работы отдельного технического элемента ИТ-инфраструктуры, к примеру аудит уровня автоматизации. Для этого вида аудита характерны малый масштаб работы и узкая техническая специализация исследования.

Аудит ИТ бизнес-процесса — это аудит информационных технологий и систем, критичных для выполнения конкретного бизнес-процесса компании с заданными критериями качества и эффективности. Одним из важнейших результатов этого вида аудита является формализованная модель исследуемого бизнес-процесса.

При проведении аудита ИТ бизнес-процесса, как правило, выполняется:

• определение ответственного за процесс;
• определение пользователей и участников бизнес-процесса;
• выявление применяемого оборудования и программ;
• оценка действий обслуживающего персонала и пользователей;
• анализ проектных и регламентирующих документов.

Аудит критерия ИТ — это сбор, анализ информации и выдача рекомендаций по какому-то выбранному критерию ИТ, например, безопасность, производительность, надежность, доступность и т. д. При проведении аудита по определенному критерию оценки принято исследовать не только отдельный элемент ИТ-инфраструктуры, но и всю совокупность программных, аппаратных средств, процессов их сопровождения и обслуживания во всей проверяемой компании.

Комплексный аудит ИТ — это аудит, при котором осуществляется определение и анализ взаимосвязей бизнес-процессов, их требований, информационных и смежных технологий, совокупности программно-аппаратных средств с целью сравнения адекватности ИТ потребностям бизнеса компании.

Основные этапы проведения аудита

В обобщенном виде ИТ-аудит проводится в два этапа:

1. этап «Планирование ИТ-аудита».
2. этап «Проведение ИТ-аудита».

На этапе «Планирования ИТ-аудита»:

• Анализируются:
  • структура бизнес-процессов;
  • платформы и структура информационных систем, поддерживающих бизнес-процессы;
  • структура ролей и распределения ответственности, включая аутсорсинг;
  • бизнес-риски и бизнес-стратегия.

• Определяются информационные критерии, наиболее значимые для существующих бизнес-процессов.
• Идентифицируются ИТ-риски.
• Оценивается общий уровень контроля рассматриваемых бизнес-процессов.
• На основе полученной информации осуществляется выбор границ и объектов исследования: ИТ-процессов и связанных с ними ИТ-ресурсов.

На этапе «Проведения ИТ-аудита» выполняются следующие виды работ:

• Идентификация существующих механизмов управления и документирование процедур (сбор и первичный анализ информации);
• Оценка эффективности существующих механизмов управления при выполнении задач управления, их целесообразность и пригодность;
• Тест соответствия (получение гарантий пригодности существующих механизмов управления для решения задач управления);
• Детальное тестирование с целью выполнения корректирующих действий для улучшения состояния системы управления ИТ.

Результаты проведения ИТ-аудита

Результаты ИТ-аудита компании классифицируются на три группы:

• Организационные — планирование, управление, документооборот функционирования ИС.
• Технические — сбои, неисправности, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т.д
• Методологические — подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.

Источник: http://cyclowiki.org/wiki/ИТ-аудит