Проведение ИТ-аудита

Это интересно
Удаленный системный администратор В последние годы всю большую популярность на отечественных предприятиях малого и среднего бизнеса получает удаленное администрирование компьютеров и серверов.
Мониторинг сети предприятия Руководители компаний разных масштабов задумываются о том, чтобы воспользоваться услугами внешнего HelpDesk для работы с инцидентами ИТ-инфраструктуры.
Монтаж оптического кросса Руководители компаний разных масштабов задумываются о том, чтобы воспользоваться услугами внешнего HelpDesk для работы с инцидентами ИТ-инфраструктуры.
Безопасны ли услуги ИТ аутсорсинга? Часть 1 Передача определенных функций по облуживанию информационной инфраструктуры предприятия становится все более распространенной и в нашей стране, и на Западе. Заметные преимущества данного подхода и все выгоды, которые потенциально может получить компания, привлекают многих.

Аудит в сфере ИТ проводится с целью тщательной проверки информационной системы предприятия и получения общей оценки ее состояния. Главной задачей аудита является определение того, в какой степени функционирование ИТ инфраструктуры соответствует направлениям бизнес-деятельности организации, а также ее основным потребностям. Второй и особенно в настоящее время важной причиной проведения ИТ аудита назовем представляющуюся в результате возможность понять то, рационально ли расходуются выделяемые на функционирование информационных сервисов средства: возможно ли их как-то сократить или же, напротив, объем инвестиций нужно сделать еще больше. При этом ключевой целью мероприятия должно стать стремление увеличить эффективность работы ИТ структуры в частности и всего предприятия в целом.

Проведение ИТ аудита

Когда ИТ аудит обязателен

Если предприятие тратит на обслуживание компьютерного оборудования и систем слишком много, проведение ИТ аудита по мировым стандартам становится обязательным. Особенно, если по мнению руководства и рядовых сотрудников, работа ИТ сервисов не отвечает их потребностям, несмотря на внушительные вложения средств.

Часто проверка проводится из-за того, что топ-менеджмент компании недоволен работой персонала внутреннего ИТ подразделения – по причине, описанной выше.

Также поводом для проведения диагностики функционирования информационной системы является оценка критичности работы того или иного ИТ сервиса для основной деятельности компании.

Целесообразность аудита

Специалисты считают, что периодическое проведение ИТ аудита необходимо для эффективного развития ИТ инфраструктуры предприятия.

Получить реальное представление о ситуации в области ИТ – такая конечная цель ставится перед осуществляющими проверку специалистами. Качественно проведенная диагностика информационной системы поможет определить, насколько можно будет снизить объем затрат без ущерба для бесперебойной работы ИТ сервисов (если это вообще реально). Может оказаться, что неудовлетворительное функционирование системы как раз и обусловлено недостаточным уровнем вложения в нее средств. И в этом случае руководителям предприятия придется выбирать, что для них важнее: повысить качество работы ИТ сервисов или сохранить прежний объем инвестиций.

Важным преимуществом диагностики является и то, что она позволит выявить проблемные места, из-за которых система работает недостаточно эффективно, и происходит потеря финансовых средств.

Итак, проведение конкретных действий при проверке должно определяться их целесообразностью, а с формальной стороны - заключением специального соглашения между клиентской организацией и компанией-аудитором, которая предоставит после проведения проверки подробный отчет ИТ аудит позволит топ-менеджерам получить реальное представление о том, в каком состоянии находится информационная структура предприятия.

Целесообразность аудита

Обычно проводящие аудит специалисты дают подробные рекомендации, что следует изменить в ИТ инфраструктуре. При необходимости они также составляют план функционирования сервисов на ближайший период (как правило, от года и до трех лет).

Виды ИТ аудита:

обследование – в него входит сбор информации, нужной для последующего проведения полного анализа и будущей модернизации ИТ инфраструктуры;в рамках обследования необходимо постараться получить максимально достоверные данные о состоянии ИТ; основной задачей данного вида аудита являются сбор и структуризация информации, при этом анализ и оценка ситуации не проводятся;

аудит критерия – сюда включаются получение и анализ данных с дальнейшим созданием рекомендаций по выбранному критерию: это может быть безопасность работы информационной системы компании, ее производительность, уровень доступности, общая надежность и другие критерии; задачей является получение общего представления об аппаратных и программных средствах, задействованных в работе ИТ сервисов, качестве осуществляемого обслуживания и сопровождения систем;

технический аудит – включает сбор с последующим анализом информации; данный вид проверки предусматривает также формирование первоначальных рекомендаций, направленных на оптимизацию работы каждого элемента информационной инфраструктуры предприятия;

аудит бизнес-процессов – при котором проводится анализ ИТ средств, используемых для какого-либо определенного бизнес-процесса, на степень их соответствия выбранным для оценки критериям; при этом виде проверки определяется конкретный специалист проверяемой компании,который отвечает за тот или иной процесс, остальные его участники, а такжевыявляется задействованное компьютерное оборудование и программы; определяется уровень качества их обслуживания; при данном виде диагностики производится составление не только отчета ИТ аудита, но и проектной и регламентирующей документации;

комплексный аудит - необходим, когда топ-менеджмент компании заинтересован в получении точной оценки всех аспектов функционирования ИТ инфраструктуры с целью определения того, насколько она соответствует потребностям их бизнес-деятельности; проведение разностороннего анализа и объективная оценка нужны для прогнозирования развития предприятияи сопоставления полученных перспектив с сегодняшним положением дел.

Стандарты ИТ аудита

Существуют как международные, так и российский стандарт аудита в сфере ИТ, называющийся «Аудит в условиях компьютерной обработки данных (КОД)». При проведении проверки эксперты опираются на положения стандарта CobiT, ISA 401, а также некоторые другие нормы мировой практики, описывающие различные стороны проведения аудита в сфере информационных компьютерных систем, оценку рисков, уровня надежности функционирования систем внутреннего контроля,нормы осуществления диагностики ИТ в рамках использования современных технологий.

Стандарты ИТ аудита

Основные стадии аудита:

  1. предварительное планирование;
  2. непосредственное проведение

Стадия планирования включает анализ:

  • общей структуры действующих бизнес-процессов;
  • рисков и используемой бизнес-стратегии;
  • распределения ответственности среди сотрудников;
  • платформы и структуры поддерживающей бизнес-процессы системы.

Стадия проведения включает следующие виды работ:

  • сбор и анализ необходимой информации;
  • определение задействованных инструментов управления;
  • проведение теста на соответствие, целью которого является возможность убедиться в том, что действующие инструменты управления работают;
  • оценка действия существующих механизмов управления при решении поставленных задач, целесообразность их использования;
  • осуществление детального тестирования с целью оптимизации системы управления ИТ.

Сколько это будет стоить?

Цена ИТ аудита зависит от глубины предстоящей проверки и анализа, количества участков, которые предстоит обследовать, и числа опрошенных в рамках определения качества работы ИТ сервисов пользователей – сотрудников аудируемого предприятия. После того, как будет определена стоимость проверки (обычно после первичной диагностики), между сторонами подписывается соглашение, и специалисты аудиторской компании приступают непосредственно к самой процедуре ИТ аудита.

Свежие новости и статьи