Аудит ИТ-деятельности
Согласно современной теории корпоративного управления обеспечение эффективного и безопасного использования информационных технологий в условиях рыночной экономики является ключевой задачей как ИТ, так и бизнес-руководителей. Накопленный компанией IT Expert опыт внедрения сложных многоуровневых систем ИТ-управления позволяет утверждать, что результативное выполнение данной задачи невозможно без применения системного подхода, основанного на передовой методологии организации внутреннего контроля и управления рисками.
Компания IT Expert предлагает своим клиентам услугу по проведению аудита системы ИТ-управления. Основной ценностью данной услуги является рискоориентированное применение критериев аудита, позволяющее учесть конкретную специфику и масштабы деятельности организации и, как следствие, обеспечить формирование значимых для целей совершенствования системы ИТ-управления результатов – оценок и рекомендаций.
- независимость и объективность
- профессиональная компетентность
- конфиденциальность
Критерии ценности аудиторского заключения:
Что такое аудит программ и как делать?
- достоверность: выводы основаны на фактах, которые могут быть повторно проверены, а так же на изучении достаточного количества информации.
- актуальность: при изучении основной акцент делается на проблемах и рисках, которые уже реализуются или с высокой вероятностью могут быть реализованы в краткосрочной перспективе.
- ясность: информация излагается в структурированном виде — от общих выводов в бизнес-терминах для высшего руководства до частных рекомендаций, включающих специфические аспекты, для ИТ-руководства.
- полезность (применимость): информация максимально адаптирована для целей формирования программ совершенствования системы ИТ-управления.
Целевая аудитория
- собственники организации : результаты аудита используются для формирования комплексной оценки эффективности менеджмента организации по управлению как основной, так и вспомогательной деятельностью, а также принятия стратегических решений по развитию бизнеса.
- высший менеджмент: результаты аудита используются для совершенствования системы корпоративного ИТ-управления, призванной обеспечить преобразование бизнес-целей организации в ИТ-цели, а также установления надлежащего внутреннего контроля за эффективностью использования инвестиций в информационные технологии и деятельностью по минимизации специфических ИТ-рисков.
- высшее ИТ-руководство: результаты аудита используются для проактивной идентификации проблемных областей ИТ-управления (зон повышенного риска) и формирования детальной программы совершенствования системы ИТ-управления.
Компетенция IT Expert в области ИТ – аудита
Консультанты компании IT Expert – сертифицированные специалисты в области управления ИТ и аудита: И имеют уникальный опыт внедрения современных подходов организации служб ИТ, практический опыт работы в службах ИТ и внутреннего аудита.
Результат для Заказчика:
Решаемые в рамках аудита системы ИТ-управления задачи:
- Комплаенс-аудит — оценка степени соответствия системы ИТ-управления требованиям корпоративных и/или внешних стандартов, а также готовность организации к прохождению сертификационного аудита.
- Аудит эффективности — оценка адекватности системы ИТ-управления целям обеспечения результативного и рационального использования инвестиций в информационные технологии
- Аудит системы внутреннего контроля — ситуационное моделирование, позволяющее оценить адекватность применяемых методов управления и контроля за информационными технологиями для различных условий деятельности, в том числе расширение или изменение масштабов бизнеса; модернизация или переход на новые информационные системы; изменение объемов финансирования; отсутствие ключевого ИТ-персонала и др.
- Формирование основы для совершенствования системы ИТ-управления – подготовка детального многоуровневого анализа степени адекватности ключевых элементов управления в разрезе всех идентифицированных ИТ-рисков.
- Формирование ключевых рекомендаций по программе совершенствования системы ИТ-управления, которые базируются на опыте успешных консалтинговых проектов компании IT Expert и учитывают идентифицированные в ходе аудита факторы успеха и проблемные области.
- Формирование корпоративной методологии оценки рисков, позволяющей организации самостоятельно осуществлять мониторинг системы ИТ-управления (в том числе программы совершенствования) в условиях динамично изменяющейся среды деятельности.
Категории оцениваемых ИТ-рисков
Рискоориентированный аудит системы управления информационными технологиями — деятельность, осуществляемая в интересах руководства, в рамках которой происходит сбор свидетельств аудита и оценка степени их соответствия согласованным критериям аудита с целью формирования независимой экспертной оценки фактического уровня ИТ-рисков и выработки рекомендаций, направленных на их минимизацию.
Процессный риск – неполный охват деятельности по обеспечению результативного, рационального и безопасного использования информационных технологий на различных стадиях их жизненного цикла. Например, в рамках оценки данной категории риска идентифицируются следующие проблемные области:
- Неготовность ИТ оказывать адекватную поддержку бизнес-инициативам
- Высокая длительность и стоимость проектов по созданию информационных систем
- Неудовлетворяющие бизнес решения по автоматизации
- Несоответствие фактического уровня ИТ-сервисов ожиданиям бизнеса
- Частые сбои и длительное время восстановления работоспособности систем
- Неполное использование пользователями возможностей ИТ
- Ошибки при обработке данных
Риск внутреннего контроля – недостатки в обеспечении полноты контрольных и управленческих процедур, направленных на достижение целей ИТ-управления.
Риск информационной безопасности – недостатки в системе управления информационной безопасности, повышающие вероятность нарушения конфиденциальности, целостности и доступности информации.
Операционный бизнес-риск – совокупность недостатков системы ИТ-управления в отношении информационных технологий, задействованных в поддержке отдельного бизнес-процесса, которые могут привести к реализации риска не достижения целей основной деятельности.
Риск персонала – неадекватное управление кадровыми ресурсами, что может привести к отсутствию высококвалифицированного персонала, необходимого для выполнения ключевых ИТ-операций.
Методики и подходы
Методологическая основа проведения аудита:
- ГОСТ Р ИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента»
- IS Standards, Guidelines and Procedures for Auditing and Control Professionals
- CobiT 4.1 «Control Objectives for Information and related Technology»
- Федеральное правило (стандарт) аудиторской деятельности №15. «Понимание деятельности аудируемого лица»
Стандарты — источники критериев аудита:
- COBIT 4.1 «Control Objectives for Information and related Technology». Принципы управления. Руководство по аудиту
- ISO 27001:2005 «Информационные технологии. Методы обеспечения безопасности — Системы управления информационной безопасностью. Требования»
- ISO 20000 «Управление предоставлением ИТ-услуг»
- ISO 9000 «Указания по менеджменту качества»
- Board Briefing on IT Governance
Приведенный перечень включает только ключевые документы (стандарты) и не является исчерпывающим, то есть может быть при необходимости дополнен другими стандартами и практиками.
Порядок реализации:
- уточнение и приоритезация исследуемых областей;
- получение информации об объекте аудита, в том числе о масштабах, специфике и планах развития основной деятельности; уровне автоматизации бизнес-процессов; задействованных ИТ-ресурсах и т.п.;
- расчет по итогам анализа полученных первичных сведений целевого уровня зрелости ключевых ИТ-процессов, в рамках которых осуществляется управление связанными ИТ- рисками
Проведение аудита на месте:
- формирование рискоориентированной программы аудита;
- проведение самооценки;
- проведение интервью;
- наблюдение за деятельность;
- изучение документальных свидетельств;
- оценка уровня зрелости ИТ-процессов и остаточного уровня связанных рисков;
- формирование выводов и рекомендаций;
- формирование аудиторского отчета;
- презентация материалов
Инструменты контроля и оценки
Компания IT Expert обладает многолетним опытом проведения экспертизы ИТ-управления и построения систем внутреннего контроля ИТ с использованием риск-ориентированного подхода. Приглашаем Вас познакомиться с демо-версией нашего решения – программного средства для контроля информационных технологий.
Использование этого инструмента позволит Вам:
- Сократить время на контроль исполнения распоряжений, планов, инструкций, регламентированных процедур, показателей эффективности
- Упростить деятельность по оценке зрелости ИТ-процессов и систем внутреннего контроля, соответствия установленным требованиям, достижения поставленных целей, уровня ИТ-рисков
- Надлежащим образом контролировать качество выполнения процедур контроля и оценки и избежать случайных ошибок при их планировании и выполнении
- Реализовать политику конфиденциальности и сохранности в отношении рабочих документов и отчетов проверки, принятую в Вашей организации
Система может удовлетворить потребности не только в контроле и оценке ИТ-процессов и ИТ-рисков, но и в любой другой структурированной деятельности. Ее применение возможно в любых отраслях и масштабах бизнеса.
Что Вы увидите?
- Результаты экспресс-оценки части процесса управления изменениями (на основе реальных проектов IT Expert), а именно промежуточные отчеты по каждому этапу оценки и итоговые заключения по результатам аудита
Как это можно использовать?
- Результаты проверки позволяют выявить отклонения и необходимость в корректирующих или предупреждающих действиях, и могут использоваться для дальнейшего совершенствования и достижения целевого уровня зрелости процесса
Методологическая основа
- Опросник построен на базе стандартов ISO 20000 и COBIT
- Процесс проверки разработан на основе руководства по аудиту: стандарта COBIT, серии стандартов ISO/IEC 15 504, ГОСТ Р ИСО 19011-2003
Источник: www.itexpert.ru
IT-аудит: какие задачи решает и как понять, что он нужен
«Мы хотим масштабировать систему. Но если это сделаем, затраты на оборудование вырастут в разы» — пример запроса, с которого может начаться аудит в айти-сфере. Рассказываем, зачем нужен аудит и на что обратить внимание, если будете заказывать.
251 просмотров
Что такое IT-аудит
ИТ аудит — инструмент, который помогает найти слабые места в системе и понять, что и как изменить для лучшей работы. На практике это значит, что эксперты анализируют состояние программ, продуктов приложений — все, что нужно, и по итогам готовят отчет со своими рекомендациями. Это такой чекап, как делают врачи.
Что именно исследовать и для каких целей, решает заказчик. Например, может поручить проанализировать работу все системы или только одного решения. На что именно проверять, тоже решает заказчик. Строгих правил нет.
Пример запроса, с которым к Orbitsoft обратился клиент. Если нужен аудит, необязательно так подробно расписывать, можно просто уточнить — что именно смущает и вызывает вопросы
Когда стоит обратиться за аудитом
Универсального совета, когда компании стоит проводить, аудит — нет. Этот как со здоровьем — каждый решает сам. По нашему опыту, чаще за экспертизой обращаются в таких случаях:
- есть явная проблема;
- неясно стоит ли вкладывать деньги;
- хочется проверить — точно ли бизнес использует лучшие решения;
- планируется миграция или другое изменение.
Есть явная проблема, но непонятно, где именно и как лучше исправить. Например, развитие системы и запуск новых функций занимает слишком много времени или требует больше ресурсов, чем потенциальный экономический эффект.
Неясно стоит ли вкладывать деньги или можно как-то переиспользовать готовые ресурсы. Допустим, компания использует шесть серверов, но не на полную мощность, а так, чтобы оставался запас на случай пиковой нагрузки.
Объем задач, которые должна обрабатывать система, увеличивается и нужны дополнительные мощности. Встает вопрос: стоит ли увеличить нагрузку на серверы и рискнуть возможным пиком или безопаснее доплатить за новые сервисы.
Аудит помогает найти решение. Вполне возможно, получится высвободить мощности у работающих сервисом за счет других технологий. Например, перейти на язык Go.
Есть задача — проверить, точно ли бизнес использует лучшие решения и получает максимум благодаря им. Допустим, есть задача работать с определенными устройствами, а пока не получается. И нужно понять, в чем может быть проблема.
Планируется миграция или другое изменение, например, обновление, масштабирование. Чтобы не потерять деньги не застопорить процесс, хорошо заранее понять, что как менять, что учесть и так далее.
Например, база данных, которую использует компания, больше не поддерживается и не развивается, поэтому придется использовать другое решение. Или перейти на другую кодовую базу: написано на одном языке, а тот устарел.
Аудит поможет объективно оценить состоя ние системы
Какие задачи может решить аудит
Аудит может закрыть два направления. Одно связано с решением проблем, второе — оценка предложений, планов, в общем все, что связано с будущим.
Компании могут обращаться за аудитом по разным причинам
Что можно проверить в рамках аудита
Объекты проверки для аудита зависят от заказчика. Например, если он готов дать доступ к системам хранения, эксперты смогут ее проверить. Если нет, то поверхностно или совсем не смогут.
Эксперты могут проверить любую систему, если заказчик даст к ней доступ
Как проходит аудит
Аудит может быть в двух форматах — удаленный или очный. Если задача проверить системы, эксперты обычно подключается онлайн. В этом случае нет необходимости выделять место, оформлять пропуск, если он нужен — понадобится только доступ к системам. Очный аудит проводят редко.
Вне зависимости от формата аудит проходит через одни и те же этапы. Вот, как его делает команда OrbitSoft.
Схема аудита может измениться в зависимости от пожеланий заказчика
Что компания получает по итогам аудита
По итогам аудита у компании будет подробный отчет и рекомендации, что делать, как и когда. Вид и формат отчета может быть стандартным для всех компаний или создаваться под конкретный бизнес и задачи
Отрывок из отчета Orbitsoft по итогам анализа рекламных решений
Кроме итого аудитов эксперты готовят рекомендации и помогают запустить изменения. Например, команда Orbitsoft может составить план устранения уязвимостей, помочь с программной реализацией или разработать нужные алгоритмы.
Источник: vc.ru
Аудит it что это за программа
У компании X постоянно «слетает» сервер, из-за чего возникают проблемы с поиском новых клиентов, а старые просто уходят от такого уровня «сервиса». А их конкурент Y таких проблем не испытывает — вроде и оборудование похожее, и IT-инфраструктура примерно такая же…
А все потому, что руководство компании Y не пренебрегло IT-аудитом, и это принесло свои результаты.
Так что же такое IT-аудит, зачем он нужен бизнесу, и когда следует задуматься о его проведении? Давайте разбираться.
Что такое IT-аудит, и кому он будет полезен?
IT-аудит — это исследование сегментов IT-инфраструктуры компании. Исследование может быть комплексным (вся инфраструктура) или частичным (определенный сегмент или направление).
Часто этот термин описывают как возможность получить «свежий взгляд» на IT-инфраструктуру и процессы, происходящие в компании.
ВАЖНО. Специалисты сходятся во мнении, что «правильный» и полный аудит IT-инфраструктуры — это тот, что проводится сторонними экспертами. Только в этом случае можно говорить о непредвзятом подходе и гарантированном выявлении слабых мест.
Кому следует обратить внимание на эту услугу?
Заказать IT-аудит есть смысл в следующих случаях:
- Регулярные проблемы с элементами IT-инфраструктуры. Если постоянно сбоят серверы, виснут программы, теряется информация из баз данных и возникают какие-то иные неприятные нештатные ситуации. В таком случае медлить не стоит — чем быстрее вы выявите источники проблем, тем лучше.
- Высокие затраты на IT-инфраструктуру. Существует масса эффективных решений и методик оптимизации затрат на эту сферу. Благодаря аудиту вы сможете найти подходящий для себя вариант и получить рекомендации по его внедрению.
- Необходимость прохождения сертификации. Допустим, вы хотите выйти на международный рынок IT-услуг и получить ISO/IEC 27001. Нанять специалистов, которые проведут аудит, и укажут на требующие внимания моменты, как правило, обходится компаниям дешевле (и быстрее), чем «шерстить» и приводить в соответствие все с нуля.
- Приемка ИТ-инфраструктуры или отдельного компонента от заказчика. Аудит позволит оценить соответствие ТЗ и стандартам отрасли.
- Переезд офиса (производства) на новое место. В ходе IT-аудита специалисты оценят соответствие IT-инфраструктуры новым условиям эксплуатации после переноса, дадут рекомендации, как адаптировать ее к изменениям.
- Оценка соответствия требованиям 152-ФЗ, GDPR, нормативных актов ФСТЭК и других руководящих документов (с учетом специфики деятельности компании).
Конечно, это далеко не все случаи, когда есть смысл в IT-аудите. Если вы чувствуете, что инфраструктуре вашей компании это не помешает, обратитесь к специалистам. Они помогут понять, нужно ли проводить исследование, и в каких объемах делать это.
Виды аудита IT-инфраструктуры: платные и бесплатные.
Мы в Afforto выделяем 3 вида IT-аудита: по выделенному направлению, аудит по критерию и комплексный.
Проведение аудита по выделенному направлению.
Подразумевает обследование какой-то составляющей (или нескольких) инфраструктуры или направления работы компании. Такому аудиту могут подвергаться:
- Пользовательские компьютеры (рабочие станции). Проверяется соответствие оснащения рабочего места потребностям работника и должностным инструкциям, состояние техники, информационная безопасность и ряд других моментов.
- Сети (локальные, подключение к интернету и пр.). Анализируется топология и ее соответствие потребностям компании, состояние сетевого оборудования, распределение потоков информации и прочие моменты.
- Программное обеспечение. Сюда входит проверка операционных систем и ПО, используемого в работе. В ходе аудита оценивается эффективность ПО и при необходимости подбираются его альтернативы, либо организуется обучение сотрудников эффективному использованию программ.
- Серверы. Специалисты анализируют надежность серверного оборудования, рациональность использования его вычислительных мощностей и дискового пространства, устойчивость к различным угрозам, соответствие характеристик требованиям ПО, установленного на сервере, и иные параметры.
- Системы видеонаблюдения, СКУД и другие составляющие IT-инфраструктуры.
IT-аудит по критерию.
Инфраструктура исследуется по определенному критерию. Это может быть:
- безопасность IT-инфраструктуры и ее устойчивость к различным типам угроз;
- показатели производительности систем;
- доступность (uptime) элементов и инфраструктуры в целом;
- удобство для пользователей.
Вы можете самостоятельно определить критерии, по которым будет проводиться аудит, или доверить это специалистам, которые выберут нужные исходя из опыта проведения исследований различных систем.
Комплексный IT-аудит.
Включает в себя черты, присущие всем другим видам аудита. Это — полная проверка инфраструктуры по множеству направлений. Подходит для вновь созданных информационных систем, инфраструктур после реорганизации, для оценки соответствия требованиям определенных стандартов и пр.
Бесплатный IT-аудит. Да бывает и такой.
Некоторые компании, и Afforto, в частности, предлагают услуги бесплатного экспресс-аудита IT-инфраструктуры и информационных систем. Как правило, он проводится при заключении договора на IT-обслуживание (IT-аутсорсинг). Обследование проводится в комплексе, в объемах, позволяющих аутсорсеру понять состояние дел в компании и выработать план работ по качественному и эффективному обслуживанию.
Что касается методик аудита, их существует немало. Чаще всего для этого используются такие стандарты и методики, как ITAF, COBIT, IPPF, ISAE No. 3402, SSAE No. 16, PCAOB, ISO27001, ISO27002. Подходящий вариант выбирается исходя из специфики компании, чья инфраструктура инспектируется, целей аудита и ряда других факторов.
Процессы оценки у профессионалов отлажены и продуманы до мелочей. Будьте уверены, что деньги на IT-аудит — это не бесполезные траты, а вложение в развитие и успешность вашего бизнеса.
Источник: afforto.ru
Основные возможности IT Audit
По аудируемому лицу создается проект по финансовому аудиту. Может быть создано несколько проектов (например, аудит за 2021 и 2022 г.).
При проведении аудита в несколько этапов доступна возможность организовать документирование аудита в одном проекте или же создать на каждый этап проверки отдельный проект.
Список проектов по аудиту
Новый проект может быть предварительно заполнен данными по предыдущему проекту (процедуры, рабочие документы, риски, средства контроля, операции)
Программа позволяет одновременно открывать несколько проектов как по одному, так и по разным аудируемым лицам. Например, проверяя текущий период можно открыть результаты проверки за предыдущие годы.
Функционал программы IT Audit доступен после открытия проекта на аудит и выбора соответствующего пункта меню.
Пункты меню по проекту на аудит
2. Формирование состава аудиторской группы
По созданному проекту формируется состав аудиторской группы. При проведении проверки качества вносится информация о составе группы по контролю качества.
Состав аудиторской группы
3. Автоматическое заполнение форм отчетности или ручное заполнение
Формы бухгалтерской отчетности (Бухгалтерский баланс, Отчет о финансовых результатах и т.д.) заполняются на основании xml-файла. Бухгалтерская отчетность также может быть заполнена в ручном режиме.
Список форм отчетности по клиенту
4. Расчет уровня существенности. Взаимоувязка показателей отчетности
На основании внесенных форм бухгалтерской отчетности производится расчет:
- Уровня существенности по отчетности
- Коэффициентов финансового анализа
- Взаимоувязки показателей отчетности по годовой отчетности
Расчет уровня существенности
Предусмотрено создание собственной методики расчета существенности
Настройка производится по аналогии с Excel
5. Проведение процедур по планированию аудита. Подготовка Плана аудита
Из методики аудита программы IT Audit выбираются необходимые процедуры, запросы аудируемому лицу и т.д. Процедуры по существу целесообразно выбрать позже, после ознакомления с операциями аудируемого лица (виды операций по МСА) и выявления рисков.
Аудиторские процедуры по планированию
На основании выявленных рисков и внесенных аудиторских процедур формируется План аудита. Перечень аудиторских процедур выгружается в печатную форму «План аудита». При необходимости можно сформировать отчет только по определенному разделу (например, по разделу «Аудит основных средств»).
Отчет План аудита (выдержка)
6. Создание рабочих документов без использования данных бухгалтерского учета
По имеющимся в программе шаблонам производится заполнение рабочих документов, в том числе по следующим разделам:
- Принятие задания
- Планирование аудита
- Запросы аудируемому лицу
- Внешние подтверждения
- Специальные процедуры в аудите
- Аудит системы внутреннего контроля аудируемого лица
 |
Подготовка рабочих документов по МСА без данных бухучета в IT Audit | Видео |
Предусмотрено групповое заполнение документов. Аудитор выделяет необходимые процедуры (например, запросы аудируемому лицу) и через несколько секунд будут подготовлены порядка 15-20 запросов.
|
Групповое создание запросов и других документов в IT Audit | Видео |
Рабочие документы в IT Audit подписываются электронной подписью
7. Загрузка ОСВ. Проверка правильности формирования отчетности
На основании файла Excel или данных ОСВ с использованием модуля Шлюз 1С производится загрузка ОСВ.
Данные ОСВ используются для заполнения рабочих документов «Сверка данных ФБО с данными бухгалтерского учета» по разным разделам аудита и проверки правильности формирования отчетности (процедура «Проверка точности формирования бухгалтерской отчетности»).
Данные из ОСВ могут быть вставлены в собственные рабочие документы с использованием формулы ОСВЗНАЧ (например, =ОСВЗНАЧ(2020;12;»01.01″;»СальдоКонецДебет»;»БУ»).
8. Идентификация и документирование рисков
МСА требуют от аудитора выявлять и оценивать риски существенного искажения:
- на уровне отчетности
- на уровне предпосылок в отношении видов операций, остатков по счетам и раскрытия информации
Источник: audit-soft.ru