Методики и подходы
- ГОСТ Р ИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента».
- IS Standards, Guidelines and Procedures for Auditing and Control Professionals
- COBIT 4.1 «Control Objectives for Information and related Technology».
- Федеральное правило (стандарт) аудиторской деятельности №15. «Понимание деятельности аудируемого лица».
Стандарты — источники критериев аудита
- CobiT 4.1 «Control Objectives for Information and related Technology». Принципы управления. Руководство по аудиту.
- ISO 27001:2005 «Информационные технологии. Методы обеспечения безопасности — Системы управления информационной безопасностью. Требования»
- ISO 20000 «Управление предоставлением ИТ-услуг»
- ISO 9000 «Указания по менеджменту качества»
- Board Briefing on IT Governance
Приведенный перечень включает только ключевые документы (стандарты) и не является исчерпывающим, то есть может быть при необходимости дополнен другими стандартами и практиками.
Порядок реализации
- Уточнение и приоритезация исследуемых областей
- Получение информации об объекте аудита, в том числе о масштабах, специфике и планах развития основной деятельности; уровне автоматизации бизнес-процессов; задействованных ИТ-ресурсах и т.п.
- Расчет по итогам анализа полученных первичных сведений целевого уровня зрелости ключевых ИТ-процессов, в рамках которых осуществляется управление связанными ИТ- рисками
Проведение аудита на месте
- Формирование рискоориентированной программы аудита
- Проведение самооценки
- Проведение интервью
- Наблюдение за деятельность
- Изучение документальных свидетельств
- Оценка уровня зрелости ИТ-процессов и остаточного уровня связанных рисков
- Формирование выводов и рекомендаций
- Формирование аудиторского отчета
- Презентация материалов