Информационный аудит это – Информационный аудит | HelpIT.me

Информационный аудит | HelpIT.me

Информационные технологии в компаниях разной направленности имеют очевидные преимущества и приносят немалую пользу. Но если компании используют такие технологии неправильно, то появляется вероятность возникновения специфических рисков для деятельности таких организаций. При этом у компании не только снижается эффект от внедрений новейших информационных технологий, но и сводятся к нулю результаты работы, появляется угроза значительных убытков деятельности компании. Информационный аудит позволяет выявить все аспекты, которые касаются рисков, оценить уровень эффективности ИТ системы и подобрать направление для совершенствования данной сферы.

Обычно для рисков информационных технологий используют несколько понятий. В большинстве случаев подразумевается возникновение разнообразных негативных событий, которые угрожают безопасности всей системы. Это могут быть вирусы, хакерская атака, хищение данных, что создает угрозу для нормальной деятельности внутренней сети и всего бизнес процесса. Но в последнее время для такого определения существует развернутая трактовка. В соответствии с этой трактовкой появление рисков может повлечь за собой снижение эффективности деятельности всей организации.

Возникновение рисков может быть и на этапе внедрения информационных технологий в системы компании, и на этапе действующей работы технологий. При разработке, проектировании, эксплуатации информационных систем наличие рисков определяется такими факторами:

• выбор нерационального решения для оптимизации;
• ошибки в процессе проектирования;
• нарушение сроков расчета и бюджета, заложенного для проектирования;
• при несоответствии инфраструктуры и проектов автоматизации;
• ошибки в организации и технические проблемы при установке системы.

В процессе работы информационных систем факторами рисков недостижения целей можно назвать:

• отсутствие эффективности при взаимодействии таких сфер, как бизнес и ИТ направление;
• неиспользование потенциала установленных технологий;
• невозможность обеспечить развитие информационных технологий;
• ошибки при первоначальных расчетах, которые указали на нагрузки всей инфраструктуры организации и персонала.

Во избежание подобных рисков компании создают комплексные системы, внедряющие риск-менеджмент, контроль и аудит, как на основе всей деятельности, так и в том направлении, как поддержка информационных технологий. Зрелость структуры определяется тем, насколько она способна обеспечить применение информационных технологий для тех целей, которые входят в ключевую деятельность организации. В ходе формирования ИТ-системы необходимо ориентироваться на существующие международные стандарты.

IT-процессы как ключевой объект аудита

Общепризнанными мировыми стандартами управления и аудита, которые относятся к области информационных технологий, является оценка ИТ-системы как совокупности многоступенчатых ИТ процессов, подробных контролирующих целей и стандартных процедур деятельности, в соответствии с которыми определяется минимизация рисков. Оценка такого вида деятельности проводится по типичным элементам управления и специфичным для каждого отдельного процесса, в том числе:

1. Распределение ответственности по всей иерархии управления, а также обеспечения соответствующего взаимодействия.
2. Наличие и эффективность применения всех механизмов, которые поддерживают компетентность персонала на должном уровне.
3. Актуализация всей процессной документации.
4. Наличие и комплексность механизмов, позволяющих измерять производительность и формирование отчетности внутри компании для каждого отдельного процесса. В свою очередь, это дает возможность руководству ИТ службы дать оценку степени достижения целей. Соответственно, это дает возможность формировать наиболее эффективные решения в управлении.
5. Наличие процедур, которые позволяют активно мониторить текущую деятельность, и при этом дают возможность своевременно обнаружить операционные сбои. Например, при невыполнении сотрудниками организации штатных процедур.
6. Наличие процедур информационного обмена, которые проводятся между похожими ИТ процессами.
7. Методы и специальные инструменты, способствующие повышению эффективности деятельности. Например, если использовались средства автоматизации для учета, а также регистрации обращения пользователей;
8. Совершенствование направления, в основе которого лежит анализ имеющейся эффективности, а также планы развития информационных технологий.

Расчет уровня зрелости IT-процесса

Такой расчет может быть проведен, например, с помощью специальной методологии CobiT, в которой определяются основные свойства зрелости процесса. Аудитор группирует вопросы по всем свойствам процесса. Это компетенция, документирование, измерение, а также фактическая деятельность и совершенствование. При этом рассчитывается оценка для каждой отдельной группы. Лучше учитывать характеристики всех вопросов и внутри каждой из групп, и характеристики самих групп. Определение точных значений определяется путем экспертной оценки и формируется на основе пожеланий заказчика аудита.

При составлении отрицательного вектора обязательно учитывается уровень документирования. И чем ниже этот уровень, тем больше вероятность не достигнуть основных целей в ИТ системе при потере основного персонала или же при изменении вектора деятельности. Между проверками может пройти разное количество времени. Но в основном это 1-3 года, которые определяются нормами законодательства и целесообразностью частоты периодичности для определения целей развития на будущее.

Расчет уровня ИТ-рисков

Здесь важно понимать то, что рассчитывается уровень рисков после того, как была проведена обработка. Например, в случае применения контрмер, если они направлены на снижение рисков. В ходе такой процедуры аудитор формирует определенный перечень, в котором указываются все факты выявленных рисков, при этом составляется базовый уровень рисков с установленной степенью зрелости ИТ процесса, благодаря которому формируется метод управления такими параметрами. Допустимые степени рисков – до 6, умеренные – 7-11, высокие – 12-16, критические – 17-25.

Коммуникационный аудит: мода или необходимость?

В последнее время многие специалисты в сфере аудита активно используют такое понятие как информационный аудит, который еще называют коммерческим. В различных компаниях он выделяется в отдельную линейку со своим набором продуктов, а некоторые агентства целенаправленно специализируются на данном виде деятельности. Естественно, такое направление привлекает многих заказчиков.

Следует отметить, что задача коммуникационного аудита заключается в том, чтобы провести комплексную оценку информационной политики компании за определенный период времени. У коммуникационного аудита есть несколько основных функций.

Оценочная. С помощью этой функции оценивается публичный престиж компании и ее информационная активность.

Стратегическая. Такая функция дает возможность разработать стратегию для оценки качества конкурентоспособности предприятия. Корректируются все моменты для качественного управления деловой репутацией и для брендирования товаров.

Информационная. Руководство и топ-менеджеры получают информацию о ситуации в компании на текущий момент.

Прогнозная. Составляются краткосрочные и долгосрочные прогноз по развитию компании, а также принимаются меры для предупреждения кризисных явлений в области управления.

Основной целью такого аудита является оценка, которая позволяет понять коммуникационную активность компании для принятия дальнейших управленческих решений. В будущем такие решения формировали, сохраняли и оптимизировали позитивный имидж организации.

Задачи коммуникационного аудита

Оценка эффективности деятельности с каналами СМИ, PR-акциями, интернет, реклама и различные коммуникации внутри компании. Также выполняется оценка организации в индексе цитирования, в количественном упоминании, в том числе и в негативном свете. Кроме того, проводится анализ реального имиджа, включая известность, популярность и влияние. Дополнительно оценивается работа со СМИ и реальные достижения поставленных задач.

В большинстве случаев такая работа проводится по определенной схеме. Она включает в себя определение реального имиджа организации, разработку стратегического имиджа, определенный посыл целевой аудитории, разработка каналов коммуникации, средства информационного воздействия.

При информационном аудите обязательно используется комплексный подход. Он позволяет выявить реальный имидж организации еще на начальном этапе работы с заказчиком. Кроме того, он является замечательным инструментом, который обеспечивает «обратную связь» при эффективной организации коммуникационной политики компании.

Стоит отметить, что коммуникационный аудит выделяет несколько отдельных сфер, и каждая из них включает в себя определенные методы и технологии исследования. В первую очередь это может быть информационный мониторинг. Во-вторых, обязательно проводятся качественные, а также количественные исследования в области социологии. Проводится работа с документацией, в ходе которой осуществляется анализ всех информационных материалов. Анализируются и прорабатываются инсайдерские источники, позволяющие получить максимум информации. На завершающем этапе предлагаются рекомендации, которые позволяют определить направление компании в имидже.

Можно сказать, что каждое из представленных направлений имеет достаточно высокую значимость, но при этом работа с документацией и инсайдерскими источниками информации может нести только факультативный характер, то есть она не является обязательной во всех случаях.

Коммуникационный аудит может быть представлен в двух вариантах. В первом случае это работа по проведению текущего информационного аудита, во втором – проведение итогового аудита по отдельным проектам и акциям компании. Стоит отметить, что при проведении информационного аудита важную роль играют качественные исследования, которые чаще всего базируются на интервью с сотрудниками компании. Такие интервью – доступные и распространенные для качественных исследований. С их помощью можно получить наиболее полный объем информации по заданной теме. Именно поэтому огромное значение имеет подготовка инструментов исследования. Создаются специальные блоки вопросы экспертных интервью, предназначенные для каждой отдельной темы.

Перед тем, как проводить такую работу, обязательно создается список всех лиц-интервьюеров. Они выбираются из тех персон, которые бы смогли дать по-настоящему реальную и правдивую оценку имиджа компании, определить наличие проблем и их перечень, которые связаны с организацией PR-работы и могут предоставить достаточно много другой информации. Такими лицами могут быть топ-менеджеры или руководители, на чье предприятие распространяется исследовательская деятельность. Но в большинстве случаев интервью дают руководители подразделений организации, которые отвечают за коммуникационную политику. Такие интервью можно считать первым шагом, который предшествует остальным работам, направленным на выполнение информационного аудита.

Коммуникационный аудит в PR

Стоит отметить, что оценивать эффективность PR – это одна из наиболее сложных задач. Сложность заключается в том, что PR деятельность является комплексной, а также она имеет совершенно разную специфику воздействия на аудиторию. Напрямую провести оценку эффективности, не используя детализированные цели контроля, невозможно. Также невозможно определить эффективность отдельно по объему продаж или же по количеству обращений клиентов. Такой механизм может действовать для рекламы, но для PR он совершенно не подходит. Некоторые маркетологи утверждают, что оценка эффективности PR совсем невозможна или может иметь противоречивые результаты. Но на самом деле инструменты для ее проведения все-таки есть. И такие инструменты включают в себя сравнительно новый вид деятельности – это PR-аудит.

PR можно считать долгосрочными инвестициями в репутацию и продвижение компании. Получить результат сразу невозможно. Это происходит через определенный период времени. Такой период может занять 3, 6 или 12 месяцев – все зависит от того, какой продукт представлен, деятельность организации, ее успешность на рынке до реализации PR-направления. Например, если человек прочитал о достижениях компании или продукте предприятия в журнале, увидел рекламу в интернете, то он вряд ли сразу же пойдет покупать такой продукт или пользоваться услугой. В большинстве случаев компании потребуется завоевать доверие потребителя, определить его вкусовые предпочтения и четко обозначить целевую аудиторию, для которой создается PR-кампания. И только после «прощупывания» почвы, получения более подробной информации и завоевание доверия PR начнет действовать.

Важно понимать, что 1-2 публикации в журнале, редкая реклама в интернете, внешняя реклама и продвижение в СМИ в качестве одноразовой акции – это не гарантия того, что бизнес станет успешным. Необходимо использовать комплексный подход, в котором будет участвовать несколько каналов информирования и несколько инструментов и методик продвижения. Только с помощью PR-аудита можно выявить уровень эффективности проведения коммуникационной политики, при этом это будут не аморфные изречения «специалистов», а вполне конкретные цифры, на которые сможет ориентироваться заказчик такой услуги.

Ценность информационного аудита заключается в том, что выявляются не только сильные, но и слабые стороны в деятельности компании в области PR-технологий. При этом на основе полученных данных вполне реально усовершенствовать данное направление, чтобы оно начало работать и приносить реальные плоды. Очень важным моментом является и то, что после проведения такой работы руководство организации, а также топ-менеджеры компании начитают понимать, насколько действенными и эффективными могут быть PR–методы для продвижения на рынке.

Также необходимо понимать, что информационный аудит – это не очередная разновидность маркетингового исследования. Это исследование является обособленным, ведь оно определяет и выявляет качество связи с общественностью. Именно поэтому поручать такую деятельность маркетинговому бюро – это большая ошибка, так как необходимого результата, которого ожидает клиент, получить не удастся.

Необходимо помнить, что, как и в любых других методах исследования, здесь проводятся совершенно разные варианты работ. Это могут быть количественные и качественные показатели, полевые и кабинетные исследования. Например, к полевым исследованиям можно отнести опросы и углубленные интервью.

Исследования могут проводиться в различных направлениях. Это могут быть такие статьи работы как: стратегия PR, антикризисные и внутренний PR, связи со СМИ, социальный облик компании. Но этот список не является окончательным – его направленность и разнообразие зависит от того, в какой именно сфере работает предприятие или организация.

Само исследование начинается с того, что устанавливаются цели, отражающие внутренние цели предприятия и те PR-программы, которые являются приоритетными для заказчика. Например, одной из целей может стать уровень развития взаимодействия со СМИ. Также это может быть выявление сильных и слабых сторон в пиар кампании, которая была проведена в прошлом году. После того как цели выявлены, консультанты готовы получить вторичную информацию. Это может быть архив публикаций, тексты пресс-релизов, список публикаций в СМИ, перечень сайтов, где была представлена реклама и многое другое. Анализ всей полученной информации затем будет предоставлен в отчете по результатам проделанной работы. Анализируется и проверяется очень большое количество направлений, и для каждого предприятия они могут быть совершенно разными. При этом по каждому направлению выявляются все плюсы и минусы, после чего составляется общая картина в графиках и списках, где видно, является ли PR компании эффективной деятельностью.

Очень важным этапом можно считать полевые исследования. С их помощью можно определить критерии и важность итогов проведенного информационного аудита. В критерии входит специфика рынка, на котором развернул свою деятельность заказчик, масштаб и структура предприятия, а также архивные данные, показывающие, насколько эффективными были связи со СМИ и уровень активности организации в области PR.

Именно на основе таких критериев разрабатывают список вопросов для дальнейшего анкетирования. И после этого проводится опрос персонала, в том числе и тех сотрудников, которые имеют непосредственное отношение к PR направлению. Кстати, анкетирование может проводиться не только внутри предприятия. В большинстве случаев такие работы осуществляются с бизнес-партнерами, дилерами, представителями СМИ и целевой аудиторией. Это дает возможность максимально точно сформировать оценку эффективности PR-направления.

Часто при проведении подобных работ применяется методика под названием «роза PR- аудит». Она дает возможность получить графическое изображение полученных данных. Графики строятся на оценках участников анкетирования. Также в таких графиках присутствуют оценки и самих аудиторов. Лепестковая диаграмма позволяет понять, насколько эффективна PR-деятельность. «Распущенные лепестки» показывают, что уровень такого направления деятельности находится на высокой ступени и может считаться показателем грамотно проводимой информационной политики. Если же «роза» имеет «растрепанные или неоднородные лепестки», то это может означать, что PR-кампании проводятся неправильно, без системы и не представляют собой единой сформированной сети, которая была бы направлена на получение тех целей, которые преследуются предприятием.

Также для такой работы применяется методика, которая представлена специальной формулой Шера. Здесь все показатели рассчитываются в процентном соотношении. Графики составляются по оценке исследования самих сотрудников (их анкетирования), также графики предоставляются самими консультантами. В результате происходит сравнение таких графиков. Но сами по себе такие графики не являются определяющим показателем эффективности исследования, ведь они могут показать, что уровень PR-направления развит на 80%, а на самом деле развитыми оказываются только 1 или 2 направления.

После проведения информационного аудита составляются рекомендации. Например, могут быть представлены такие рекомендации, как усиление информационных поводов. Кроме того, может быть предложено расширение базы СМИ. Также могут быть и достаточно радикальные рекомендации, например, смена целевой аудитории. В каждом конкретном случае составляются индивидуальные рекомендации, которые позволят сделать PR-направление компании наиболее эффективным.

Проводя аудит примерно 1 раз в год (или реже), можно наблюдать, как изменяется динамика развития PR-направления. Это дает возможность вовремя отреагировать на критические моменты, подобрать правильные инструменты для выхода из сложных ситуаций, а в некоторых случаях такая работа поможет удержать фирме на плаву даже в кризисные моменты. Именно поэтому коммуникационный аудит ни в коем случае нельзя считать пустой тратой времени и денег.

Просмотрев актуальный каталог консалтинговых компаний, вы сможете определить, что именно необходимо именно для вашей компании. Каждая фирма или бюро предлагает либо широкий спектр услуг, либо узкую направленность своей деятельности. Мы рекомендуем учитывать опыт организации, отзывы клиентов о ее деятельности, реальные примеры, которые показывают, насколько эффективной является проводимая работа. Если по многим критериям организация устраивает клиента, то можно смело заказывать услуги коммуникационного аудита.

helpit.me

Аудит информационных систем — что это такое

Аудит информационных систем (ИС) — это исследование и анализ существующей информационной системы на предприятии, позволяющий оценить ее эффективность.

Аудит ИС проводится в ходе комплексного ИТ-аудита и ставит целью определить уровень соответствия аппаратно-программных комплексов и текущих потребностей бизнеса.

Аудит информационных систем необходим в таких случаях:

• Устарело оборудование и/или ПО;
• Планируется переход на другое (или новую версию старого) ПО с иными требованиями;
• Есть проблемы интеграции существующего оборудования с сервисами и приложениями;
• Действующая ИС не справляется с запросами растущего бизнеса;
• Необходимо оценить качество модернизации IT-инфраструктуры.

Аудит информационных систем дает ответы на такие вопросы:

• Насколько ИС поддерживает выбранную бизнес-стратегию?
• Как оптимально использовать аппаратные и программные ресурсы?
• Сколько ресурсов потребляет действующая ИС?
• Как уменьшить затраты на владение и модернизацию ИС?
• Как ускорить информационные процессы на предприятии?
• Как ИС защищена от киберугроз и других внешних факторов?
• Какие ошибки и «узкие» места в ИС мешают развитию бизнеса?

Своевременно проведенный внутренний аудит информационный систем позволит рационально использовать потенциал ИС, уменьшит расходы на ее содержание, поможет избежать серьезных технических проблем в будущем, снизит риски финансовых потерь и сделает компанию более конкурентоспособной за счет ускорения бизнес-процессов.

Как проводится аудит ИС

1. Разрабатывается и согласовывается с руководителем предприятия план анализа действующей ИС.
2. Проводится инвентаризация аппаратного и программного обеспечения.
3. Собирается информация о текущем состоянии информационной системы.
4. Анализируется содержимое бизнес-процессов и их взаимосвязь с ИС.
5. Собираются сведения об администрировании и сопровождении ИС.
6. Оцениваются достоинства и недостатки ИС, возможности для масштабирования и потенциальные риски.
7. Готовится отчет о проделанной работе с рекомендациями по повышению производительности ИС.

Результатом технического аудита информационных систем станут формализованные описания текущего состояния ИС, список найденных проблем с рекомендациями по их устранению и повышению эффективности функционирования ИС.

Частное «бизнес-облако»

У вас похожая задача? Оставьте заявку, и наши специалисты свяжутся с вами в ближайшее время и подробно проконсультируют.

www.stekspb.ru

Аудит информационных технологий — что это такое

Аудит информационных технологий — это независимая экспертиза ИТ-среды с целью получения достоверных сведений о ее текущем состоянии, представляющая собой мощный инструмент стратегического управления компанией.

Информационные технологии на современном предприятии объединяют большое количество оборудования, технологий и процессов, которые их объединяют. Сюда относятся не только компьютеры, серверы, сетевое оборудование и программное обеспечение, но и системы безопасности (например, пропускная система, видеонаблюдение), средства коммуникации и другое. Они потребляют денежные и временные ресурсы, но не всегда обеспечивают соответствующий ожиданиям эффект. Заказ ИТ-аудита помогает непредвзято взглянуть со стороны на то, в каких условиях протекают бизнес-процессы, и получить авторитетные рекомендации по устранению «узких» участков в ИТ-инфраструктуре.

Цели аудита информационных технологий

• Получить достоверные сведения о состоянии информационной инфраструктуры;
• Увеличить продуктивность работы ИТ-службы;
• Оценить риски утечки информации, несанкционированного доступа, кибератак;
• Оптимизировать финансовые и временные затраты на содержание и развитие ИТ-инфраструктуры;
• Оценить доступность и надежность систем и сервисов;
• Проконтролировать эффективность модернизации инфраструктуры;
• Запланировать масштабирование ИТ-инфраструктуры под усложнившиеся запросы бизнеса.

Содержание аудита информационных технологий

Аудит IT является мощным инструментом в планировании развития бизнеса. Это наиболее простой способ определить качество ИТ-услуг, которые получает предприятие. Для этого проводится полная проверка информационной инфраструктуры:

• Серверного оборудования и СХД;
• Локальной сети;
• Пользовательских рабочих мест;
• Программного обеспечения;
• Квоммуникационных систем и других технических средств.

Информационная система предприятия в ходе аудита может проверяться на соответствие как корпоративным, так и актуальным международным стандартам.

Аудит ИТ включает следующие мероприятия:

1. Анализ бизнес-процессов на предприятии;
2. Первичное и детальное обследование ИТ-инфраструктуры, выбор границ и объектов;
3. Определение пользователей и участников бизнес-процессов;
4. Изучение проектов, планов работы, регламентирующих документов;
5. Поиск возможных ИТ-рисков, «узких» мест в информационной системе.

По итогам ИТ-аудита специалисты подготовят развернутое заключение о текущем состоянии информационной системы на предприятии и дадут рекомендации по ее конфигурации, оптимизации затрат, масштабированию, соответствию корпоративной безопасности.

Частное «бизнес-облако»

У вас похожая задача? Оставьте заявку, и наши специалисты свяжутся с вами в ближайшее время и подробно проконсультируют.

www.stekspb.ru

Основные международные стандарты и лучшие практики проведения аудита информационных технологий

В 60-х годах прошлого века, начало внедрения информационных систем для бухгалтерского учета в коммерческом секторе, привело к появлению новой профессии в сфере ИТ — ИТ-аудитора. Вскоре была создана первая профессиональная ассоциация ИТ-аудиторов – «Electronic Data Processing Auditors Association», целью которой стала выработка стандартов и лучших практик проведения ИТ-аудита.

С тех пор, важность профессии ИТ-аудитора значительно возросла. Сегодня аудит ИТ-контролей является обязательной частью каждого независимого финансового аудита, услуги ИТ-аудита востребованы на рынке, а крупные корпорации имеют собственные подразделения ИТ-аудита, осуществляющие периодический контроль ИТ-процессов и помогающие их совершенствовать. При этом, следование сложившимся стандартам и лучшим практикам является необходимым условием для проведения аудита наиболее оптимальным образом и высоким качеством.

Целью данной статьи является представление основных актуальных стандартов и руководств в области ИТ-аудита, которые используются при проведении различных типов проверок информационных технологий. Статья в большей степени нацелена на специалистов, начинающих свою карьеру в области ИТ-аудита и информационной безопасности. Также статья может быть интересна и финансовым/внутренним аудиторам, желающим познакомиться с существующими стандартами ИТ-аудита.

В статье рассмотрены стандарты и руководства, разработанные международными организациями ISACA, Институтом Внутренних Аудиторов (IIA), ISO/IEC, IAASB (the International Auditing and Assurance Standards Board), PCAOB, и др. Для каждого из стандартов дается краткое описание структуры и особенностей их использования.

1. «IT Audit Framework 2nd Edition» (ITAF) — международный стандарт проведения ИТ-аудита от организации ISACA

Действующая редакция выпущена в июле 2013 года. Целевая аудитория стандарта – специалисты в области ИТ-аудита. Стандарт предназначен для использования при проведении формализованных аудиторских проверок информационных систем и ИТ-инфраструктуры.

Стандартом определяются:
• основные термины и концепции, специфичные для специалистов в области ИТ-аудита;
• минимальные требования к навыкам и знаниям специалистов, выполняющих аудиторские проверки информационных систем;
• основные этапы проведения аудиторских проверок информационных систем и подготовки аудиторского отчета;
• перечень поддерживающих стандарт руководств, рабочих программ и инструментальных средств проведения аудита информационных систем.

ITAF разрабатывался как стандарт, который может применяться, как для проведения отдельных аудитов информационных систем, так и для выполнения аудита информационных систем в рамках финансовых и операционных аудитов.

Стандарт ITAF состоит из трех частей:

1. Общие стандарты – включает руководящие принципы для профессионалов в области аудита информационных систем: соблюдение независимости, объективности и профессиональной этики, поддержание знаний, компетенций и навыков.
2. Стандарты проведения аудиторских проверок – включает практики планирования и контроля аудиторских проверок, определение объемов работ в рамках аудиторских проверок, управление рисками и границами материальности, мобилизации ресурсов, управления проектом, практики сбора и хранение свидетельств аудита, использования методов экспертной оценки.
3. Стандарты отчетности – включает описание типов отчетов, средств представления отчетов и типов презентуемой информации.
Для каждой из частей стандарта ассоциацией ISACA разработаны руководства, рабочие программы и инструкции, поддерживающие проведение описанных аудиторских процедур. Руководства, рабочие программы и инструкции доступны на официальном сайте ассоциации.

На момент написания статьи, стандарт ITAF является наиболее полным источником для специалистов в области ИТ-аудита, описывающим все этапы проведения проверки ИТ-систем и ИТ-процессов.

2. «Cobit 5 for Assurance» — руководство по проведению аудита в соответствии с COBIT v.5

Действующая редакция руководства выпущена организацией ISACA в июле 2013 года. Руководство предназначено для использования специалистами в области ИТ-аудита, ИТ-рисков и управления ИТ при проведении аудиторских проверок информационных систем в соответствии со сборником лучших практик COBIT 5. Предыдущая версия сборника лучших практик COBIT (v. 4.1) была выпущена в 2007 году и на данный момент продолжается широко использоваться в профессиональной среде¹.

«Cobit 5 for Assurance»:

• содержит детальное руководство по использованию COBIT 5 для организации и поддержания функции внутреннего ИТ-аудита в компаниях;
• содержит структурированный подход к проведению ИТ-аудита в соответствии с процессами и факторами (*enablers), описанными в COBIT 5;
• демонстрирует конкретные примеры использования «COBIT 5» при проведении ИТ-аудита.
В сравнении с ITAF, руководство «Cobit 5 for Assurance» обладает меньшей степенью формализации аудиторских процедур и более широким покрытием вопросов организации ИТ-процессов в соответствии с лучшими практиками.

3. «International Professional Practices Framework (IPPF) for Internal Auditing Standards»

Международный стандарт проведения внутреннего аудита от Института Внутренних Аудиторов (IIA). Действующая редакция выпущена в 2013 году. Целевая аудитория стандарта – сотрудники внутреннего аудита.

Целью стандарта является определение:

• базовых принципов проведения внутреннего аудита;
• стандартного набора практик проведения внутреннего аудита;
• базовых показателей оценки эффективности процедур внутреннего аудита.

Несмотря на то, что стандарт не разрабатывался как стандарт ИТ-аудита, он определяет универсальные принципы и подходы, которые могут быть использованы, как при проведении внутреннего финансового и операционного аудита, так и при проведении внутреннего аудита информационных технологий.

Для методологической поддержки стандарта в части проведения ИТ-аудита, ассоциацией IIA были разработаны детальные руководства по оценке ИТ-рисков (Guide to the Assessment of IT Risk) и аудиту информационных технологий (Global Technology Audit Guide).

Руководство «Guide to the Assessment of IT Risk» (GAIT) описывает взаимосвязь между бизнес-рисками, ключевыми контролями, встроенными в бизнес-процессы, автоматизированными контролями, критичными ИТ-функциями и Общими ИТ-контролями (IT General Controls)².

Руководство GAIT включает следующие публикации:
1) Методология GAIT (The GAIT Methodology) – описывает риск-ориентированный подход к определению и оценке Общих ИТ-контролей в рамках оценки управления системой внутреннего контроля необходимой для соответствия Статье 404 закона Сарбейнза-Оксли.
2) GAIT для оценки недостатков Общих ИТ-контролей (GAIT for IT General Control Deficiency Assessment) – описывает подход к определению критичности и материальности недостатков Общих ИТ-контролей, выявленных в рамках оценки соответствия Статье 404 закона Сарбейнза-Оксли.
3) GAIT для оценки бизнес и ИТ-рисков (GAIT for Business and IT Risk) — описывает шаги по определению ключевых ИТ-контролей, которые критичны для достижения бизнес целей и задач организации.

Руководство по аудиту информационных технологий «Global Technology Audit Guide» (GATG) состоит из 15 публикаций, описывающих процессы, процедуры и техники, используемые при проведении проверок информационных систем:
1. ИТ риски и контроли (Information Technology Risk and Controls)
2. Контроли в процессах внесения изменений и обновлений ИТ-систем (Change and Patch Management Controls)
3. Процесс непрерывного аудита (Continuous Auditing)
4. Управление процессами ИТ-аудита (Management of IT Auditing)
5. ИТ-аутсорсинг (Information Technology Outsourcing)
6. Аудит автоматизированных контролей (Auditing Application Controls)
7. Управление доступом (Identity and Access Management)
8. Управление непрерывностью бизнеса (Business Continuity Management)
9. Разработка плана аудиторской проверки ИТ (Developing the IT Audit Plan)
10. Аудит ИТ-проектов (Auditing IT Projects)
11. Обнаружение и предотвращение мошенничества, связанного с использованием ИТ-технологий (Fraud Prevention and Detection in an Automated World)
12. Аудит приложений, разработанных пользователями (Auditing User-developed Applications)
13. Управлние информационной безопасностью (Information Security Governance)
14. Технологии анализа информации (Data Analysis Technologies)
15. Аудит управления ИТ-функцией (Auditing IT Governance)

Детальность и бизнес-ориентированность данных стандартов, являются его сильными сторонами. Тем не менее, так как стандарт и поддерживающие руководства разрабатывались для использования специалистами не имеющими глубокого ИТ-бэкграунда, используемая терминология не всегда точно описывает технические аспекты проведения ИТ-аудита. Также некоторые руководства не обновлялись несколько лет.

4. Международные стандарты «ISAE No. 3402» и «SSAE No. 16»

«ISAE No. 3402» международный стандарт проведения аудиторских проверок сервисных организаций, разработанный международной организацией IAASB (the International Auditing and Assurance Standards Board), являющейся частью Международной Федерации Бухгалтеров (IFAC, International Federation of Accountants).

Стандарт «SSAE No. 16» (ранее известный как SAS 70), выпущен ассоциацией AICPA (American Institute of Certified Public Accountants) и является адаптированной американской версией международного стандарта «ISAE No.3402».

Целью стандарта «ISAE No. 3402» является предоставление унифицированного подхода к оценке эффективности системы внутреннего контроля сервисных организаций, в части подготовки достоверной финансовой отчетности. Согласно стандарту, проверка эффективности ИТ-контролей является необходимой при проведении оценки.

В соответствии со стандартом «ISAE No. 3402», уполномоченные аудиторские организации могут выпускать формализованные аудиторские заключения об эффективности системы внутреннего контроля. Данные заключения могут быть предоставления третьим заинтересованным лицам без необходимости проведения повторного аудита.

Для получения достаточного уровня уверенности/доверия к системе внутреннего контроля сервисной организации:

1) Сервисная организация должна четко описать структуру собственной системы внутреннего контроля за аудируемый период, включая ИТ-аспект.
2) Контроли, относящиеся к контрольным целям в описании системы внутреннего контроля организации должны быть смоделированы (спланированы) достаточным образом, для адекватного покрытия рисков (финансовых, операционных, ИТ и др.).
3) Контроли включены в объем аудиторской проверки, должны выполняться эффективно, для обеспечения достаточного уровня уверенности в том, что контрольные цели, обозначенные в описании системы внутреннего контроля организации были достигнуты в аудируемый период.
Аудиторские проверки на соответствие данному стандарту достаточно распространены в США и Европе, тем не менее в России все еще не получили широкого распространения.

5. PCAOB Auditing Standard No. 5 “An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements”

Действующая редакция стандарта разработана и выпущена организацией «The Public Company Accounting Oversight Board» (PCAOB) в 2007 году.

Организация The Public Company Accounting Oversight Board (PCAOB) была создана законом Сарбейнза-Оксли в 2002 году как некоммерческая организация для контроля аудиторских проверок компаний, представленных на американских биржах, в целях защиты интересов инвесторов при подготовке независимого аудиторского заключения. Созданием PCAOB, акт Сарбейнза-Оксли впервые в истории обязал частные аудиторские компании проходить независимый надзор. До этого профессия аудиторов в США была саморегулируемой.

Стандартом аудита PCAOB No. 5 “An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements”определяются требования по включению проверок ИТ-процессов и ИТ-систем в объем обязательных аудиторских процедур при проведении внешнего финансового аудита.

Согласно стандарту, при проведении аудита контролей, связанных с подготовкой финансовой отчетности, аудитор должен получить понимание того, как используемые информационные системы и технологии оказывают влияние на процесс формирования финансовой отчетности. Аудитор также должен понимать какие контроли выполняются вручную, а какие реализованы на уровне информационных систем — автоматизированные контроли, в том числе как выполняются общие ИТ-контроли, которые важны для эффективной работы автоматизированных контролей. Эта информация должна быть учтена при оценке рисков искажения финансовой информации, обрабатываемой в информационных системах.

6. «ISO/IEC 27007: Guidelines for information security management systems auditing» и «ISO/IEC TR 27008: Guidelines for auditors on information security management systems controls»

Стандарты опубликованы международной организацией ISO/IEC в 2011 году.
Целевой аудиторией стандартов являются специалисты в области информационной безопасности и ИТ-аудита, планирующие проведение compliance-аудита на соответствие требованиям стандартов ISO27001 и ISO27002.
Цель стандартов – дать оценку соответствует ли аудируемая организация/подразделение требованиям, изложенным в ISO/IEC 27001 и ISO/IEC 27002.
Стандарты включают описание следующих аспектов аудита:
1. Управление аудиторской проверкой (определение объема аудиторской проверки, формирование команды аудиторов, управление аудиторскими рисками, хранение свидетельств аудита, совершенствование процесса аудита).
2. Непосредственное проведение аудита (планирование, проведение, ключевые активности, включая выборки и анализ, отчетность и последующий контроль исполнения).
3. Управление командой аудиторов (поддержание компетенций и навыков, оценка членов команды).
Недостатком данных стандартов является отсутствие оценки рисков и последующей приоритизации контролей при планировании и проведении проверки. Тем не менее, стандарты удобны при подготовки к compliance-аудиту на соответствие стандартам ISO/IEC 27001 и ISO/IEC 27002.

Другие стандарты и руководства, которые могут быть использованы при проведении ИТ-аудита

В ряде случаев при проведении ИТ-аудитов могут быть использованы международные стандарты и лучшие практики, которые не являются непосредственными стандартами аудита, тем не менее, удобны для оценки уровня зрелости и эффективности ИТ-процессов.
Пример таких стандартов:
1. ISO 20000 – международный стандарт по управлению и обслуживанию IT сервисов.
2. ITIL (IT Infrastructure Library) — библиотека, описывающая лучшие из применяемых на практике способов организации работы подразделений или компаний, занимающихся предоставлением услуг в области ИТ.
3. PCI DSS – стандарт безопасности данных индустрии платёжных карт, учреждённый международными платёжными системами Visa, MasterCard, American Express, JCB и Discover.
4. Публикации NIST серии 800-хх по информационной безопасности.
5. ISF Standards of Good Practice for Information Security — бизнес-ориентированное практическое руководство по управлению рисками информационной безопасностью от международной организации Information Security Forum (ISF).

---

_{(1) Статья не рассматривает Cobit 4.1, так как с точки зрения ISACA он является устаревшим.
(2) Общие ИТ-контроли – общие контрольные меры включённые в состав ИТ процессов и услуг, таких как разработка систем, внесение изменений, обеспечение безопасности и др. Целью общих ИТ-контролей является обеспечения надежной разработки и внедрения приложений, обеспечение целостности и защищенности приложений и информации, а также автоматизированных операций.}

habr.com

ИТ аудит / Habr

Добрый день!

Я хотел бы осветить вопрос соблюдения требований к управлению ИТ отдела в рамках внешнего финансового аудита компании. Цель статьи заключается не в описании сопутствующих законов, а в их конкретном влиянии на управление ИТ отдела.

Вероятно, многие из вас уже сталкивались с этими требованиями в виде либо каждодневной рутины, либо авралов в конце календарного года (больше склоняюсь ко-второму), но лично я, кроме упоминаний таких понятий как SOX, HIPAA, SAS 70 (заменен на SSAE 16) и ITGC, не встречал сколько-нибудь исчерпывающего описания этого вопроса.

Не так давно, в рамках своей работы я подготовил презентацию для новых сотрудников, которая дает минимальное представление об этом виде деятельности нашей фирмы. Собственно говоря, сама презентация и сподвигла меня на написание данной статьи. Здесь я хочу заметить, что мой опыт работы на территории стран СНГ весьма ограничен – я больше работаю с международными компаниями.

Если вас интересует данный вопрос, добро пожаловать.

Вступление

Проведу краткий экскурс в историю возникновения этих требований: вследствие финансовых махинаций в нескольких крупных компаниях в начале 2000-ых, президентом США был утвержден закон SOX, касающийся прямой ответственности высшего звена менеджеров за достоверность финансовой отчетности. Поскольку финансовая отчетность в наше время ведется не в амбарных книгах, а в специализированных информационных системах, возникла необходимость удостовериться в том, что на хранящиеся в этих системах финансовые данные можно положиться.

У каждого из вас может возникнуть вопрос, каким образом это касается компании, где вы работаете? В случае если компания котируется на фондовом рынке в США, либо является дочерней для одной из таких компаний, необходимо создать внутренний механизм контроля за работой ИТ отдела. Разумеется, что необходимо создание подобного механизма и в других отделах, но здесь я повторюсь, что целью данной статьи является ИТ отдел.

Итак, каким образом создается такой механизм контроля? Как правило, компания обращается к консалтинговой фирме, которая выступает представителем этой компании в переговорах с аудиторской фирмой, причем в роли консультанта может выступить и другая аудиторская фирма. Консалтинговая компания использует свои наработки, подгоняя их в той или иной степени под каждую конкретную компанию.

Что же это за наработки? По сути, это обычная таблица в Excel, содержащая риски и контроли, скомпонованные по темам, которые я опишу в дальнейшем. Откуда взялись эти риски и контроли? В зависимости от степени самоотверженности сотрудников консалтинговых фирм, начиная с тщательного изучения различных стандартов (COBIT, ITIL, COSO), их последующего анализа и построения своей собственной «библиотеки» рисков и контролей, и заканчивая простым плагиатом, как правило, бывшими сотрудниками крупных фирм, отправившимися в свободное плавание.

Процесс аудита ИТ отдела можно разделить на два отрезка времени. Первый, как правило, протекает поздней весной либо в начале лета, он включает в себя описание ИТ процессов и контролей (заполнение матриц) и требует предоставить минимум один документированный пример для каждого ключевого контроля. По своему опыту могу заявить, что этот этап чрезвычайно важен для самого ИТ отдела – при отсутствии тщательной проверки описанных ИТ процессов и контролей, возможные неточности могут дорого обойтись в будущем. Вторая часть аудита выпадает на осень, и включает в себя тестирование всех ключевых контролей посредством сбора документации по этим контролям.

Здесь требуется небольшое объяснение разницы между обычным и ключевым контролем: обычный контроль вносится в матрицу в виде описания, ключевой же, помимо описания, необходимо протестировать. Как узнать, где необходимо предоставить документацию по контролю, а где можно ограничиться всего лишь упоминанием? Никак. Это обговаривается между посредником и аудитором, на основании размера компании, результатов первой части аудита и т.д. Вместе с тем, по большинству из приведенных ниже контролей, необходимо предоставить документацию.

Перед началом описания процесса аудита я хотел бы упомянуть тему приказов и процедур – необходимо задокументировать все ключевые рабочие процессы ИТ отдела. Эти документы должны быть утверждены руководством компании, периодически пересматриваться и обновляться в случае существенных изменений в процессах либо технологиях.
И еще одно замечание: по возможности предоставляйте списки в формате Excel – этим вы облегчите жизнь и аудиторам, и себе (повторные требования с просьбами предоставить то же самое, но в другом виде могут заставить вас понервничать).

Перейдем к описанию контролей. Таблица рисков и контролей подразделяется на три части:
1. Логический и физический доступ
2. Эксплуатация информационных систем
3. Управление изменениями в информационных системах
Четвертая часть, «Разработка информационных систем», как правило, проверяется в рамках управления изменениями, поскольку фокусируется на документировании изменений.

Логический и физический доступ

Первый раздел — Логический и физический доступ ко всем информационным системам, на которых фокусируется аудит.

1. Администраторы систем – здесь требуется предоставить список администраторов в каждой системе, включая сеть компании (Administrators, Domain, Enterprise и Scheme Admins) и базы данных. Список должен быть либо экспортирован из системы, либо предоставлен в виде скриншотов, причем первое предпочтительнее.
Для каждого сотрудника с правами администратора системы должен существовать приказ по утверждению. Также необходимо знать каждую сервисную учетную запись с аналогичными правами.

2. Права доступа сотрудников – проводится тестирование нескольких подпунктов:
a. Сотрудники, начавшие работу в тестируемом году – требуется предоставить список таких сотрудников, проще всего из бухгалтерской программы (исходя из факта, что нет сотрудника, который не получает зарплату).
b. Сотрудники, закончившие работу в тестируемом году – аналогично, список таких сотрудников.
c. Сотрудники, сменившие должность – список сотрудников.
d. Дополнительно следует предоставить полные списки пользователей во всех системах, включая сеть компании и базы данных
По запросу аудиторов (полный список либо выборка), следует предоставить заполненные и заверенные бланки найма и увольнения сотрудников.
Будет проведена перекрестная проверка данных: есть ли сотрудники, получившие права доступа к каким-либо системам без соответствующего разрешения, есть ли уволенные/уволившиеся сотрудники с открытыми правами доступа, есть ли неиспользуемые открытые учетные записи (вход в систему больше 90-180 дней назад).
Так же проверяется выполнение ежегодной процедуры ревизии прав пользователей – необходимо предоставить заверенный список пользователей и их прав в каждой системе. Кстати, с помощью этой проверки можно обнаружить не закрытые вовремя учетные записи уволенных/уволившихся сотрудников.

3. Права удаленного доступа – необходимо предоставить список всех сотрудников имеющих право на удалённый доступ. Так же может проверяться выполнение процедуры ревизии списка сотрудников в рамках ежегодной процедуры ревизии прав пользователей. В случае если в AD существует отдельная группа с данными правами – готовьтесь к дополнительной перекрестной проверке.

4. Права для локальной установки программ – желательно, чтобы ни один сотрудник не был локальным администратором на своем компьютере.

5. Внешние подключения – желательно заблокировать CD-ROM, USB-порты, LAN-розетки и Wi-Fi-точки. Плюс использовать систему слежения и оповещения за подключениями.

6. Политика паролей – необходимо предоставить скриншот экрана настроек пароля для всех систем, а также AD. Минимальные требования к паролю:
a. длина минимум 8 символов
b. использование различных символов
c. смена пароля максимум через 90 дней, минимум через день
d. сохранение истории паролей минимум 5 поколений, либо год
e. отсутствие возможности восстановить пароль
f. блокирование учетной записи максимум после 5 неправильных попыток
g. разблокирование учетной записи администратором сети (желательно не использовать автоматический сброс блокировки)
Также будет проведена проверка даты последней смены пароля в AD у всех учетных записей.

7. Межсетевой экран – скриншот версии FW, списка администраторов FW, списка рассылки предупреждений. Также могут потребовать заверенную периодическую проверку правил в FW. В особо тяжелых случаях просмотрят лог или потребуют документ, удостоверяющий (!), что такая проверка выполняется.

8. Антивирус – скриншот версии AV, списка рассылки предупреждений, экрана настроек обновлений сервера AV и клиентов.

9. Безопасность ноутбуков – довольно редко (пока еще) требуют предоставить список сотрудников с ноутбуками. Шифруются ли жесткие диски, если да, то каким образом.

10. Управление чрезвычайными происшествиями – каждая компания должна вести список таких происшествий (попытки взлома сети и т.д.). Желательно передавать ежеквартальные отчеты вышестоящему руководству.

Эксплуатация информационных систем

Ну что же, с безопасностью информационных систем вроде разобрались. Перейдем непосредственно к их эксплуатации.

1. Резервное копирование данных – одна из основных проверок в этом разделе.
Следует предоставить скриншот версии программы бэкапа, списка рассылки статуса выполнения заданий, а также экрана настроек бэкапа. Поскольку, как правило, каждая финансовая система устанавливается на свой виртуальный сервер, да и требования к бэкапу могут быть разными (полный, дифференциальный, инкрементальный), потребуется соответствующее количество скриншотов. Непрерывность процесса резервного копирования проверяется просмотром логов, поэтому необходимо хранить логи бэкапа за три предыдущих месяца, а еще лучше — за весь тестируемый год. Здесь ищутся проблемы с бэкапом систем, длящиеся больше 2-3 дней. В таких случаях следует сохранять отчеты вышестоящему руководству, хотя бы в виде сообщений по электронной почте.

2. Проверка восстановления данных – необходимо предоставить логи восстановления данных с кассет. Опытный аудитор не ограничится несколькими документами с файлового сервера, поэтому желательно выполнять восстановления баз данных и финансовых систем.

3. Кассеты для резервного копирования – политика круговорота и перезаписи кассет должна отвечать следующим правилам:
a. ежедневные кассеты должны храниться минимум две недели
b. недельные кассеты – минимум месяц
c. месячные кассеты – минимум год
d. годичные кассеты – минимум семь лет
Кассеты необходимо хранить в огнеупорном сейфе, как минимум не в серверной комнате, а лучше в другом здании. Соответственно, необходимо иметь список всех сотрудников с доступом к сейфу.

4. Доступ в серверную комнату – следует предоставить заверенный список сотрудников с доступом в серверную комнату. Необходимо вести журнал посещений, а сделать это посредством установки специализированной системы контроля доступа. На мой взгляд, достаточно обычной системы доступа по личным удостоверениям (ID tag). Я бы посоветовал периодически просматривать журнал посещений – в некоторых случаях, вам может открыться интересная картина.

5. Контроль окружающей среды в серверной комнате – наличие датчиков дыма, огня, затопления, независимая система кондиционирования (от близлежащих помещений), наличие UPS и генератора, список сотрудников, получающих уведомления в экстренных случаях.

6. Резервный ДЦ – расстояние от головного офиса, способ передачи данных, наличие плана BCM/DRP (ИТ отделу следует обратить внимание на вторую часть плана), осуществление ежегодных (как минимум) учений по плану.

7. Пакетная обработка данных – здесь подразумевается автоматическая обработка данных (как правило, выполняющаяся в ночное время), не требующая вмешательства операторов. Необходим список всех сотрудников с правами изменения настроек, список рассылки статуса выполнения обработки данных. Также могут потребовать предоставить лог и исследовать его на предмет ошибок, как в случае с бэкапами.

8. Интерфейсы – в принципе взаимосвязано с предыдущим пунктом, но все же упомяну этот контроль. Желательно иметь схему интерфейсов всех финансовых систем (не только между ними, а к ним и от них).

9. Решение проблем инфраструктуры – здесь подразумевается внутренний колл-центр для регистрации и последующего решения всех возникающих в компании проблем, в той или иной степени связанных с информационными системами и инфраструктурой (упал сервер, отключили электричество, не работает мышь, две кнопки «Пуск» и т.д.). Управление чрезвычайными происшествиями из предыдущего раздела может осуществляться в рамках этого контроля.

Управление изменениями в информационных системах

Два раздела позади, остался один, требующий пристального внимания, поскольку для успешного прохождения аудита, как правило, необходимы изменения в самих рабочих процессах. Итак, управление изменениями в информационных системах.
Начну с нескольких замечаний. Первое – необходимо иметь задокументированные и утвержденные процедуры разработки. Второе – очень и очень желательно иметь специализированную систему для управления разработкой, в которой будет задокументировано каждое изменение. Третье – при условии ведения разработки в аутсорсинге, либо использования коробочных версии продуктов, аудит будет несколько отличаться.

1. Рабочие среды – очень просто: для каждой финансовой системы предоставить скриншоты как минимум трех рабочих сред – разработки, тестирования и боевой. Для вышеупомянутых случаев, достаточно двух последних скриншотов (да-да, даже для коробочной версии должна быть среда тестирования).

2. Доступ к рабочим средам – списки учетных записей для каждой среды, список имен разработчиков и тестировщиков. Выполняется уже известная нам перекрестная проверка, смысл которой заключается в следующем: разработчикам и тестировщикам запрещен доступ в боевую среду, обычным пользователям запрещен доступ ко всему, кроме боевой среды. Если версия коробочная, достаточно списков к тестируемой и боевой средам. Это весьма проблематично сделать в компаниях малых и средних размеров, поэтому аудиторы идут на некоторые компромиссы.

3. Процесс переноса изменений – в идеале, сотрудник, отвечающий за перенос изменений из тестируемой среды в боевую, не имеет отношения ни к разработке, ни к бизнес-процессам. Опять-таки, в этом случае аудиторы тоже могут пойти на компромисс.

4. Изменения – необходимо предоставить список всех изменений в финансовых системах, внедренных в тестируемом году. Не было таких? Значит скриншот папки с установленной системой, с файлами, упорядоченными по дате изменений. Ну, а если были, то будет вам выборка с просьбой предоставить следующую документацию:
a. Запрос на изменения от пользователя – специальные бланки, либо письмо по электронной почте.
b. Техническое задание для изменения – в зависимости от типа изменения (добавить поле в бланке либо разработать модуль с нуля) будет требоваться документация — от обычного письма с описанием изменения до полноценного многостраничного документа, заверенного подписями всевозможных начальников и руководителей.
c. Тестирование изменения – тест-кейсы с чек-листами и разрешение пользователя, что данное изменение удовлетворяет его запросу.
d. Разрешение на перенос изменения в боевую среду – за подписью руководителя, ответственного за разработку в данном направлении.

5. Управление критическими изменениями – по большому счету не отличается от предыдущего пункта. Единственное отличие – критические изменения обычно происходят без документации, поэтому важно получить все документы ретроактивно, и сохранить на будущее.

Вот вы и закончили сбор всей необходимой документации, что же делать дальше? Аудитор запросит у вас собранные документы и проведет их анализ. По некоторым контролям будут запрошены дополнительные документы, поскольку аудитору необходимо сохранять независимость от внутренних проверок (вдруг у вас есть только 10 запросов на открытие учетных записей для новых сотрудников, хотя самих сотрудников больше 50-ти; или вы стерли со скриншота группы администраторов домена учетную запись генерального директора). А дальше таблица рисков и контролей будет заполнена результатами тестов и представлена на обсуждение руководителю ИТ отдела и финансовому директору компании (поскольку он несет ответственность за финансовую отчетность).

Заключение

Работа аудитора заключается в том, чтобы находить дефекты и недостатки в процессах и контролях. Даже если все работает идеально, аудитор может зацепиться за незначительную мелочь и раскрутить ее до серьезного недостатка. Небольшое отступление: недостатки делятся на три категории – недостаток (дефект), серьезный недостаток и существенный недостаток, причем последний вносится в годовую финансовую отчетность и может повлиять на стоимость компании. Опытный руководитель ИТ отдела может использовать этот нюанс в целях запроса на выделение дополнительного бюджета под нужды отдела. Факт отсутствия огнеупорного сейфа или системы контроля доступа в серверную комнату второй год подряд, поднимается до уровня комитета по аудиту, состоящего из членов совета директоров, что при правильном подходе позволяет получить необходимый бюджет для устранения недостатка.

На мой взгляд, это описание в достаточной мере дает представление о процессе внешнего аудита ИТ отдела, но я думаю, что главный вопрос заключается в следующем: можно ли самостоятельно подготовиться к внешнему аудиту ИТ отдела, не прибегая к помощи посредников? На основании своего опыта, я заявляю, что можно, хотя это и требует приложить определенные усилия, но в конечном итоге позволит ежегодно сэкономить приличную сумму. Вместе с тем, если вы готовитесь к аудиту впервые и не уверены в своих силах и знаниях, я все же порекомендовал бы нанять хорошую консалтинговую фирму. Правда, желательно выделить одного сотрудника для помощи в подготовке к аудиту, чтобы в дальнейшем он взял на себя эту обязанность.

Надеюсь, представленная информация будет полезна как непосредственно принимающим участие в аудите, так и более широкой публике.
С радостью отвечу на все возникшие вопросы.

habr.com

Аудит информационной безопасности ИТ (IT) систем предприятия

Аудит информационной безопасности — это независимая экспертиза актуального состояния локальной или корпоративной информационной сети, определяющая степень ее согласованности с установленными нормами, требованиями и задачами компании.

Квалифицированный аудит IT безопасности дает детальную картину защищенности информационной сети предприятия, помогает локализовать существующие проблемы и, как итог, является основой в построении надежной структуры защиты от сетевых рисков.

Опционально, в некоторых случаях компания, проводящая аудит информационной безопасности предприятия может провести тестовую попытку взлома защиты корпоративной сети с целью выявления в ней слабых мест.

Существует понятие внешнего и внутреннего аудита. В первом случае, речь идет о единичной экспертизе, инициатором которой могут выступать держатели акций предприятия, высшее руководство или покупатели бизнеса. Многие специалисты в области информационной безопасности рекомендуют проводить внешний аудит ИТ безопасности на регулярной основе!

В свою очередь, внутренний аудит — это непрерывный процесс, регламентированный нормами и правилами, установленными в интересах компании, согласно ее коммерческим задачам и требованиям к безопасности корпоративных сетей.

Схема, по которой происходит внешний аудит безопасности информационных систем, за небольшими исключениями, у большинства аутсорсинговых компаний одинакова:

1. Инициирование аудиторской проверки.
2. Сбор данных в рамках договора аудита.
3. Анализ полученной информации.
4. Разработка рекомендательных предложений.
5. Составление детального отчета обо всех этапах аудита.

Инициаторы проверки безопасности ИТ системы предприятия должны полностью доверять и оказывать всяческое содействие аудиторам. От этого во многом зависит достоверность результата исследований.

Не стоит ждать от аудиторской проверки безопасности ИТ инфраструктуры компании решения всех проблем или готового плана модернизации вкупе с оптимизацией. Аудит дает общую картину состояния системы, показывает слабые места или направления требующие внимания. Технические детали и конкретные шаги – это работа внутренних аудиторов.

Аудит информационной безопасности компании необходим. Невозможно создать надежную защиту корпоративных сетей без полноценного анализа их состояния.

Частное «бизнес-облако»

www.stekspb.ru

Аудит IT — назначение ИТ аудита и его направления

Аудит IT

 

Аудит информационных технологий

 

С помощью IT-аудита можно определить, эффективно ли работает IT-система предприятия.

 

Зачем нужен ит аудит? Он нужен, если:

 

• Нужно оценить состояние информационных систем.
• У бизнеса сменился собственник, директор или руководящий состав.
• Произошло объединение компаний.
• Планируется изменение статуса бизнеса, сертификация ISO.
• Изменяется структура компании.
• Готовится внедрение новых информационных технологий.
• Разработан новый IT-проект.
• Сделано предварительное заключение о плохом качестве работы IT-системы.

 

Что вы получите?

 

1. Подробную  оценку рисков управленческого состава и проблем в руководстве предприятием.

2. Выводы по поводу профпригодности IT-специалистов компании, рекомендации по изменению кадрового состава.

3. Оценку работы компьютерного оборудования и рекомендации по его  усовершенствованию.

4. Пути возможной экономии информационных ресурсов.

5. Заключение о состоянии системы информационных технологий.

6. Рекомендации по оптимизации IT-процессов.

7. Направления развития IT-инфаструктуры.

Направления ИТ-аудита

 

В процессе аудита будет оценены несколько важных направлений. Это состояние:

• Инфраструктуры,
• Персонала,
• Оборудования,
• Уровень удовлетворенности конечных пользователей,
• Соответствие IT-системы стратегии и тактике бизнеса,
• Адекватность затрат на ИТ,
• Уровни эффективности предоставления ИТ-услуг.
• Кроме того, мы можем провести мониторинг ключевых бизнес-процессов, зависимых от IT-системы.
• Может быть проведен анализ компьютерной безопасности.
• Немаловажным направлением является оценка рисков, зависимых от информационной системы предприятия.

 

Примеры отчетности по IT-аудиту

 

• Заключение по квалификации персонала IT-системы компании.
• Отчеты по затратам на обеспечение работы ИТ.
• Схема работы информационных систем предприятия.
• Перечень рисков и пути их устранения.
• Подробный анализ IT-процессов.

 

Стандарты и практики, применяемые в ходе проведения IT-аудита

 

Наша компания использует общепринятые международные подходы при оценке информационных технологий компании. Самый известный из них – CobiT (Control Objectives for Information and Related Technologies, «Задачи управления для информационных и смежных технологий»). Данный пакет содержит в себе порядка 40 международных и национальных стандартов управления, аудита и безопасности информационных систем.

 

Как мы работаем

1. Перед началом работы мы:

• Обсуждаем с заказчиком цели и задачи аудита информационной системы,
• Выделяем области для анализа, определяем вид аудита.
• Договариваемся о порядке проведения работ, предоставлении необходимых доступов.

2. Во время аудита:

Проводим исследование на нужном уровне.

2. По окончании аудита:

• Предоставляем результаты аудита, рекомендации по оптимизации.
• Разрабатываем планы по реализации усовершенствований.
• Проводим их в жизнь (при необходимости)

 

Для более полного представления о видах IT-аудита рассмотрим каждый из них более подробно.

 

Экспресс ИТ-аудит

 

Наиболее часто проводится в мелких российских компаниях. Инициируется топ-менеджером фирмы. В ходе тендера определяется исполнитель, исходя из соотношения предложенной им цены и имеющихся навыков. Отличие экспресс-аудита – в быстроте (1-3 дня), отсутствии предоставляемой документации. Часто экспресс-аудит проводится бесплатно при договоре на сервисное обслуживание. В результате его проведения предоставляются общие выводы о состоянии оборудования, программного обеспечения, компьютерной безопасности, отказоустойчивости, квалификации персонала, намечаются направления оптимизации.

 

Экспресс аудит ИТ. Типовой план

 

Содержание плана экспресс-аудита зависит от поставленных задач. Он может включать в себя такие пункты:

• Оценка компьютерного оборудования, состояния серверной части, рабочих мест
• Проверка технической документации
• Опрос пользователей по работе с основными программами и архивами, сетью, телефонией
• Проверка лицензий ПО
• Мониторинг удаленного доступа к сети
• Средства повышения отказоустойчивости сервисов
• Анализ рисков
• Контроль над архивными системами, защитой безопасности информации
• Опрос руководства IT-отдела
• Выводы по результатам аудита

 

Целевой ИТ аудит

 

Приглашенная для аудита компания изучает определенную проблему или задачу, которую не может решить руководство либо IT-отдел фирмы-заказчика. Может касаться любого из перечисленных выше направлений аудита либо конкретной узкой области (оборудования, работы специалистов, компьютерной безопасности и т.д).

 

Полный ИТ аудит

Это комплексный аудит ит: 

• Подробный системный анализ работы информационной системы предприятия, включающий все IT-процессы,
• Используемое оборудование,
• Кадровую структуру IT-системы,
• Эффективность работы персонала,
• Компьютерную безопасность компании.

По итогам полного аудита представляются подробные отчеты о состоянии системы и даются рекомендации по ее оптимизации. Стоимость аудита в данном случае самая высокая по сравнению с другими его видами.

 

Комплексный аудит ИТ. Типовой план

 

План комплексного аудита включает в себя расширенное исследование состояния IT-системы в компании по пунктам, утвержденным с заказчиком.

 

Основные задачи информационного аудита можно разделить на две основные группы:

• Оценка состояния оборудования и программного обеспечения в компании;
• Заключение по бизнес-процессам, связанным с используемыми информационными технологиями. В процессе работы применяются общепринятые этапы и стандарты IT-аудита.

 

Аудит от компании HelpIT – это анализ состояния информационной безопасности компании, оценка работоспособности оборудования и проверка всей IT-инфраструктуры. В комплекс проводимых мероприятий входит проверка кадрового вопроса, организации рабочих мест, осмотр серверной,  контроль технической части вплоть до каждого узла.

 

ИТ-аудит для самых маленьких компаний может быть произведен, исходя из конкретных задач. Возможно, более экономичным в данном случае будет целевой аудит по названной проблеме. Аудиторская компания составит экспресс-план проверки, и в краткие сроки, от нескольких часов до 1-3 дней, руководство фирмы получит необходимые заключения.

helpit.me