Консалтинг и ИТ-решения
Повысить имидж вашей компании и расширить возможности международного сотрудничества
Консалтинг
и ИТ решения
Подробнее
Курсы в Москве

SCHEDULE Расписание курсов

ITSS Курс «Управление стратегией ИТ-услуг на основе ITIL®»

AJAB Курс «Настройка и администрирование jira Software, настройка функциональности для работы по Scrum и Kanban»

ITILF Курс «Основы ITIL®»

PRINCE2F Курс «Основы управления проектами в соответствии с PRINCE2®»

MLF Курс «Основы машинного обучения»

COBIT5F «Основы COBIT 5»

OSA Курс «Service Desk и процессы оперативного управления ИТ-услугами в соответствии с ITIL®»

ITPM Курс «Инструменты управления ИТ-проектами»

DMLF Курс «Основы глубокого машинного обучения»

RCV Курс «Проведение изменений в ИТ в соответствии с ITIL®»

MSA Курс «Микросервисная архитектура»

PPO Курс «Оптимальное проектирование ИТ-услуг в соответствии с ITIL®: информационная безопасность, мощность, доступность, непрерывность»

DevOps Курс «Основы DevOps»

ITHR Курс «Управление ИТ-персоналом»

COBIT-ICS Курс «Система внутреннего контроля ИТ по модели COBIT(COBIT Internal Control System)»

SOA Курс «Управленческие инструменты организации отношений ИТ с бизнесом на основе ITIL®»

BCH Курс «Технология блокчейн»

AWS Курс «Мастерская проектирования ИТ-решений»

MALC Курс «Управление жизненным циклом услуг»

ITAM Курс «Управление ИТ-активами. Основы и практики»

ITILP Курс «ITIL Practitioner. Практические подходы для успешной работы»

ITAMP Курс «Практики управления ИТ-активами»

BAF Курс «Основы бизнес-анализа»

BASRM Курс «Бизнес-анализ. Управление требованиями к ПО»

QA Курс «QA и тестирование программного обеспечения»

BPA Курс «Моделирование, анализ и оптимизация бизнес-процессов»

SYSA Курс «Системный анализ»

CMMP Курс «Модель CMMI Development V2.0 — руководство к действию»

AGILE: Гибкие методы управления

RISK Курс «Практические подходы управления ИТ-рисками»

ITSO Курс «Эксплуатация услуг по модели ITIL®»

MSA4ITSM Курс «Управление ИТ в условиях применения микросервисной архитектуры»

ITLM Мастер-класс «Разработка карты ИТ‑ландшафта»

ITSD Курс «Проектирование услуг по модели ITIL®»

ITST Курс «Преобразование услуг по модели ITIL®»

CSI Курс «Постоянное совершенствование услуг по модели ITIL® (ITIL Continual Service Improvement)»


Наш канал на youtube
Здесь вы найдёте записи вебинаров и других видео наших экспертов на тему ITIL и не только
Тренажер подготовки к экзамену ITIL Foundation
Страховой сертификат повторной сдачи экзамена
  • 31243

    Количество выданных сертификатов

  • 2754

    Количество проведенных игр и семинаров

Основные принципы аудита ИТ. Методы оценки ИТ рисков при проведении аудита.

 

Согласно современной теории корпоративного управления обеспечение эффективного и безопасного использования информационных технологий в условиях рыночной экономики является ключевой задачей как ИТ, так и бизнес-руководителей. Накопленный компанией IT Expert опыт внедрения сложных многоуровневых систем ИТ-управления позволяет утверждать, что результативное выполнение данной задачи невозможно без применения системного подхода, основанного на передовой методологии организации внутреннего контроля и управления рисками.

Компания IT Expert предлагает своим клиентам услугу по проведению аудита системы ИТ-управления. Основной ценностью данной услуги является рискоориентированное применение критериев аудита, позволяющее учесть конкретную специфику и масштабы деятельности организации и, как следствие, обеспечить формирование значимых для целей совершенствования системы ИТ-управления результатов – оценок и рекомендаций.

Базовые принципы ИТ-аудита:

  • независимость и объективность
  • профессиональная компетентность
  • конфиденциальность

    Критерии ценности аудиторского заключения:

  • достоверность: выводы основаны на фактах, которые могут быть повторно проверены, а так же на изучении достаточного количества информации.
  • актуальность: при изучении основной акцент делается на проблемах и рисках, которые уже реализуются или с высокой вероятностью могут быть реализованы в краткосрочной перспективе.
  • ясность: информация излагается в структурированном виде — от общих выводов в бизнес-терминах для высшего руководства до частных рекомендаций, включающих специфические аспекты, для ИТ-руководства.
  • полезность (применимость): информация максимально адаптирована для целей формирования программ совершенствования системы ИТ-управления.

Целевая аудитория

  • собственники организации : результаты ИТ-аудита используются для формирования комплексной оценки эффективности менеджмента организации по управлению как основной, так и вспомогательной деятельностью, а также принятия стратегических решений по развитию бизнеса.
  • высший менеджмент: результаты ИТ-аудита используются для совершенствования системы корпоративного ИТ-управления, призванной обеспечить преобразование бизнес-целей организации в ИТ-цели, а также установления надлежащего внутреннего контроля за эффективностью использования инвестиций в информационные технологии и деятельностью по минимизации специфических ИТ-рисков.
  • высшее ИТ-руководство:  результаты аудита используются для проактивной идентификации проблемных областей ИТ-управления (зон повышенного риска) и формирования детальной программы совершенствования системы ИТ-управления.

Компетенция IT Expert в области аудита ИТ

Консультанты компании IT Expert – сертифицированные специалисты в области управления ИТ и аудита ИТ: И имеют уникальный опыт внедрения современных подходов организации служб ИТ, практический опыт работы в службах ИТ и внутреннего аудита.

Certified Information Systems Auditor

Certified Information Systems Auditor

Результат для Заказчика:

Решаемые в рамках аудита системы ИТ-управления задачи:

  • Комплаенс-аудит — оценка степени соответствия системы ИТ-управления требованиям корпоративных и/или внешних стандартов, а также готовность организации к прохождению сертификационного аудита.
  • Аудит эффективности — оценка адекватности системы ИТ-управления целям обеспечения результативного и рационального использования инвестиций в информационные технологии
  • Аудит системы внутреннего контроля — ситуационное моделирование, позволяющее оценить адекватность применяемых методов управления и контроля за информационными технологиями для различных условий деятельности, в том числе расширение или изменение масштабов бизнеса; модернизация или переход на новые информационные системы; изменение объемов финансирования; отсутствие ключевого ИТ-персонала и др.
  • Формирование основы для совершенствования системы ИТ-управления – подготовка детального многоуровневого анализа степени адекватности ключевых элементов управления в разрезе всех идентифицированных ИТ-рисков.
  • Формирование ключевых рекомендаций по программе совершенствования системы ИТ-управления, которые базируются на опыте успешных консалтинговых проектов компании IT Expert и учитывают идентифицированные в ходе аудита факторы успеха и проблемные области.
  • Формирование корпоративной методологии оценки рисков, позволяющей организации самостоятельно осуществлять мониторинг системы ИТ-управления (в том числе программы совершенствования) в условиях динамично изменяющейся среды деятельности.

Категории оцениваемых ИТ-рисков

Рискоориентированный аудит системы управления информационными технологиями — деятельность, осуществляемая в интересах руководства, в рамках которой происходит сбор свидетельств аудита и оценка степени их соответствия согласованным критериям аудита с целью формирования независимой экспертной оценки фактического уровня ИТ-рисков и выработки рекомендаций, направленных на их минимизацию.

Процессный риск – неполный охват деятельности по обеспечению результативного, рационального и безопасного использования информационных технологий на различных стадиях их жизненного цикла. Например, в рамках оценки данной категории риска идентифицируются следующие проблемные области:

  • Неготовность ИТ оказывать адекватную поддержку бизнес-инициативам
  • Высокая длительность и стоимость проектов по созданию информационных систем
  • Неудовлетворяющие бизнес решения по автоматизации
  • Несоответствие фактического уровня ИТ-сервисов ожиданиям бизнеса
  • Частые сбои и длительное время восстановления работоспособности систем
  • Неполное использование пользователями возможностей ИТ
  • Ошибки при обработке данных

Риск внутреннего контроля – недостатки в обеспечении полноты контрольных и управленческих процедур, направленных на достижение целей ИТ-управления.

Риск информационной безопасности – недостатки в системе управления информационной безопасности, повышающие вероятность нарушения конфиденциальности, целостности и доступности информации.

Операционный бизнес-риск – совокупность недостатков системы ИТ-управления в отношении информационных технологий, задействованных в поддержке отдельного бизнес-процесса, которые могут привести к реализации риска не достижения целей основной деятельности.

Риск персонала – неадекватное управление кадровыми ресурсами, что может привести к отсутствию высококвалифицированного персонала, необходимого для выполнения ключевых ИТ-операций.

Методики и подходы

Методологическая основа проведения аудита:

  • ГОСТ Р ИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента».
  • IS Standards, Guidelines and Procedures for Auditing and Control Professionals
  • COBIT 4.1 «Control Objectives for Information and related Technology».
  • Федеральное правило (стандарт) аудиторской деятельности №15. «Понимание деятельности аудируемого лица». Стандарты — источники критериев аудита:
  • COBIT 4.1 «Control Objectives for Information and related Technology». Принципы управления. Руководство по аудиту.
  • ISO 27001:2005 «Информационные технологии. Методы обеспечения безопасности — Системы управления информационной безопасностью. Требования»
  • ISO 20000 «Управление предоставлением ИТ-услуг»
  • ISO 9000 «Указания по менеджменту качества»
  • Board Briefing on IT Governance

Приведенный перечень включает только ключевые документы (стандарты) и не является исчерпывающим, то есть может быть при необходимости дополнен другими стандартами и практиками.

Порядок реализации:

  • уточнение и приоритезация исследуемых областей;
  • получение информации об объекте аудита, в том числе о масштабах, специфике и планах развития основной деятельности; уровне автоматизации бизнес-процессов; задействованных ИТ-ресурсах и т.п.;
  • расчет по итогам анализа полученных первичных сведений целевого уровня зрелости ключевых ИТ-процессов, в рамках которых осуществляется управление связанными ИТ- рисками.

Проведение аудита на месте:

Популярные курсы:

Вверх