Постановка задачи

Согласно современной теории корпоративного управления обеспечение эффективного и безопасного использования информационных технологий в условиях рыночной экономики является ключевой задачей как ИТ, так и бизнес-руководителей. Накопленный компанией IT Expert опыт внедрения сложных многоуровневых систем ИТ-управления позволяет утверждать, что результативное выполнение данной задачи невозможно без применения системного подхода, основанного на передовой методологии организации внутреннего контроля и управления рисками.

Компания IT Expert предлагает своим клиентам услугу по проведению аудита системы ИТ-управления. Основной ценностью данной услуги является рискоориентированное применение критериев аудита, позволяющее учесть конкретную специфику и масштабы деятельности организации и, как следствие, обеспечить формирование значимых для целей совершенствования системы ИТ-управления результатов – оценок и рекомендаций.

Базовые принципы:

• независимость и объективность

• профессиональная компетентность

• конфиденциальность

Критерии ценности аудиторского заключения:

• достоверность: выводы основаны на фактах, которые могут быть повторно проверены, а так же на изучении достаточного количества информации.

• актуальность: при изучении основной акцент делается на проблемах и рисках, которые уже реализуются или с высокой вероятностью могут быть реализованы в краткосрочной перспективе.

• ясность: информация излагается в структурированном виде — от общих выводов в бизнес-терминах для высшего руководства до частных рекомендаций, включающих специфические аспекты, для ИТ-руководства.

• полезность (применимость): информация максимально адаптирована для целей формирования программ совершенствования системы ИТ-управления.

Целевая аудитория

• собственники организации : результаты аудита используются для формирования комплексной оценки эффективности менеджмента организации по управлению как основной, так и вспомогательной деятельностью, а также принятия стратегических решений по развитию бизнеса.

• высший менеджмент: результаты аудита используются для совершенствования системы корпоративного ИТ-управления, призванной обеспечить преобразование бизнес-целей организации в ИТ-цели, а также установления надлежащего внутреннего контроля за эффективностью использования инвестиций в информационные технологии и деятельностью по минимизации специфических ИТ-рисков.

• высшее ИТ-руководство:  результаты аудита используются для проактивной идентификации проблемных областей ИТ-управления (зон повышенного риска) и формирования детальной программы совершенствования системы ИТ-управления.

Компетенция IT Expert в области ИТ – аудита

Консультанты компании IT Expert – сертифицированные специалисты в области управления ИТ и аудита: И имеют уникальный опыт внедрения современных подходов организации служб ИТ, практический опыт работы в службах ИТ и внутреннего аудита.

Certified Information Systems Auditor

Результат для Заказчика:

Решаемые в рамках аудита системы ИТ-управления задачи:

• Комплаенс-аудит — оценка степени соответствия системы ИТ-управления требованиям корпоративных и/или внешних стандартов, а также готовность организации к прохождению сертификационного аудита.

• Аудит эффективности — оценка адекватности системы ИТ-управления целям обеспечения результативного и рационального использования инвестиций в информационные технологии

• Аудит системы внутреннего контроля —  ситуационное моделирование, позволяющее оценить адекватность применяемых методов управления и контроля за информационными технологиями для различных условий деятельности, в том числе расширение или изменение масштабов бизнеса; модернизация или переход на новые информационные системы; изменение объемов финансирования; отсутствие ключевого ИТ-персонала и др.

• Формирование основы для совершенствования системы ИТ-управления – подготовка детального многоуровневого анализа степени адекватности ключевых элементов управления в разрезе всех идентифицированных ИТ-рисков.

• Формирование ключевых рекомендаций по программе совершенствования системы ИТ-управления, которые базируются на опыте успешных консалтинговых проектов компании IT Expert и учитывают идентифицированные в ходе аудита факторы успеха и проблемные области.

• Формирование корпоративной методологии оценки рисков, позволяющей организации самостоятельно осуществлять мониторинг системы ИТ-управления (в том числе программы совершенствования) в условиях динамично изменяющейся среды деятельности.

Категории оцениваемых ИТ-рисков

Рискоориентированный аудит системы управления информационными технологиями — деятельность, осуществляемая в интересах руководства, в рамках которой происходит сбор свидетельств аудита и оценка степени их соответствия согласованным критериям аудита с целью формирования независимой экспертной оценки фактического уровня ИТ-рисков и выработки рекомендаций, направленных на их минимизацию.

Процессный риск – неполный охват деятельности по обеспечению результативного, рационального и безопасного использования информационных технологий на различных стадиях их жизненного цикла. Например, в рамках оценки данной категории риска идентифицируются следующие проблемные области:

• Неготовность ИТ оказывать адекватную поддержку бизнес-инициативам

• Высокая длительность и стоимость проектов по созданию информационных систем

• Неудовлетворяющие бизнес решения по автоматизации

• Несоответствие фактического уровня ИТ-сервисов ожиданиям бизнеса

• Частые сбои и длительное время восстановления работоспособности систем

• Неполное использование пользователями возможностей ИТ

• Ошибки при обработке данных

Риск внутреннего контроля – недостатки в обеспечении полноты контрольных и управленческих процедур, направленных на достижение целей ИТ-управления.

Риск информационной безопасности – недостатки в системе управления информационной безопасности, повышающие вероятность нарушения конфиденциальности, целостности и доступности информации.

Операционный бизнес-риск – совокупность недостатков системы ИТ-управления в отношении информационных технологий, задействованных в поддержке отдельного бизнес-процесса, которые могут привести к реализации риска не достижения целей основной деятельности.

Риск персонала – неадекватное управление кадровыми ресурсами, что может привести к отсутствию высококвалифицированного персонала, необходимого для выполнения ключевых ИТ-операций.

Методики и подходы

Методологическая основа проведения аудита:

• ГОСТ Р ИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента»

• IS Standards, Guidelines and Procedures for Auditing and Control Professionals

• CobiT 4.1 «Control Objectives for Information and related Technology»

• Федеральное правило (стандарт) аудиторской деятельности №15. «Понимание деятельности аудируемого лица»

Стандарты — источники критериев аудита:

• CobiT 4.1 «Control Objectives for Information and related Technology». Принципы управления. Руководство по аудиту

• ISO 27001:2005 «Информационные технологии. Методы обеспечения безопасности — Системы управления информационной безопасностью. Требования»

• ISO 20000 «Управление предоставлением ИТ-услуг»

• ISO 9000 «Указания по менеджменту качества»

• Board Briefing on IT Governance

Приведенный перечень включает только ключевые документы (стандарты) и не является исчерпывающим, то есть может быть при необходимости дополнен другими стандартами и практиками.

Порядок реализации:

• уточнение и приоритезация исследуемых областей;

• получение информации об объекте аудита, в том числе о масштабах, специфике и планах развития основной деятельности; уровне автоматизации бизнес-процессов; задействованных ИТ-ресурсах и т.п.;

• расчет по итогам анализа полученных первичных сведений целевого уровня зрелости ключевых ИТ-процессов, в рамках которых осуществляется управление связанными ИТ- рисками

Проведение аудита на месте:

• формирование рискоориентированной программы аудита;

• проведение самооценки;

• проведение интервью;

• наблюдение за деятельность;

• изучение документальных свидетельств;

• оценка уровня зрелости ИТ-процессов и остаточного уровня связанных рисков;

• формирование выводов и рекомендаций;

• формирование аудиторского отчета;

• презентация материалов

Инструменты контроля и оценки

Компания IT Expert обладает многолетним опытом проведения экспертизы ИТ-управления и построения систем внутреннего контроля ИТ с использованием риск-ориентированного подхода. Приглашаем Вас познакомиться с демо-версией нашего решения – программного средства для контроля информационных технологий.

Использование этого инструмента позволит Вам:

• Сократить время на контроль исполнения распоряжений, планов, инструкций, регламентированных процедур, показателей эффективности

• Упростить деятельность по оценке зрелости ИТ-процессов и систем внутреннего контроля, соответствия установленным требованиям, достижения поставленных целей, уровня ИТ-рисков

• Надлежащим образом контролировать качество выполнения процедур контроля и оценки и избежать случайных ошибок при их планировании и выполнении

• Реализовать политику конфиденциальности и сохранности в отношении рабочих документов и отчетов проверки, принятую в Вашей организации

Система может удовлетворить потребности не только в контроле и оценке ИТ-процессов и ИТ-рисков, но и в любой другой структурированной деятельности. Ее применение возможно в любых отраслях и масштабах бизнеса.

Что Вы увидите?

• Результаты экспресс-оценки части процесса управления изменениями (на основе реальных проектов IT Expert), а именно промежуточные отчеты по каждому этапу оценки и итоговые заключения по результатам аудита

Как это можно использовать?

• Результаты проверки позволяют выявить отклонения и необходимость в корректирующих или предупреждающих действиях, и могут использоваться для дальнейшего совершенствования и достижения целевого уровня зрелости процесса

Методологическая основа

• Опросник построен на базе стандартов ISO 20000 и CobiT

• Процесс проверки разработан на основе руководства по аудиту: стандарта CobiT, серии стандартов ISO/IEC 15 504, ГОСТ Р ИСО 19011-2003

Чтобы приступить к работе:

• перейдите по ссылке

• пройдите регистрацию на нашем сервере

• следуйте интерактивному Help’у, предлагаемому программой

Смотри также

• Другие услуги раздела «Обследования и аудиты»

• Полный каталог услуг