Согласно современной теории корпоративного управления обеспечение эффективного и безопасного использования информационных технологий в условиях рыночной экономики является ключевой задачей как ИТ, так и бизнес-руководителей. Накопленный компанией IT Expert опыт внедрения сложных многоуровневых систем ИТ-управления позволяет утверждать, что результативное выполнение данной задачи невозможно без применения системного подхода, основанного на передовой методологии организации внутреннего контроля и управления рисками.
Компания IT Expert предлагает своим клиентам услугу по проведению аудита системы ИТ-управления. Основной ценностью данной услуги является рискоориентированное применение критериев аудита, позволяющее учесть конкретную специфику и масштабы деятельности организации и, как следствие, обеспечить формирование значимых для целей совершенствования системы ИТ-управления результатов – оценок и рекомендаций.
Базовые принципы:
независимость и объективность
профессиональная компетентность
конфиденциальность
Критерии ценности аудиторского заключения:
достоверность: выводы основаны на фактах, которые могут быть повторно проверены, а так же на изучении достаточного количества информации.
актуальность: при изучении основной акцент делается на проблемах и рисках, которые уже реализуются или с высокой вероятностью могут быть реализованы в краткосрочной перспективе.
ясность: информация излагается в структурированном виде — от общих выводов в бизнес-терминах для высшего руководства до частных рекомендаций, включающих специфические аспекты, для ИТ-руководства.
полезность (применимость): информация максимально адаптирована для целей формирования программ совершенствования системы ИТ-управления.
собственники организации : результаты аудита используются для формирования комплексной оценки эффективности менеджмента организации по управлению как основной, так и вспомогательной деятельностью, а также принятия стратегических решений по развитию бизнеса.
высший менеджмент: результаты аудита используются для совершенствования системы корпоративного ИТ-управления, призванной обеспечить преобразование бизнес-целей организации в ИТ-цели, а также установления надлежащего внутреннего контроля за эффективностью использования инвестиций в информационные технологии и деятельностью по минимизации специфических ИТ-рисков.
высшее ИТ-руководство: результаты аудита используются для проактивной идентификации проблемных областей ИТ-управления (зон повышенного риска) и формирования детальной программы совершенствования системы ИТ-управления.
Консультанты компании IT Expert – сертифицированные специалисты в области управления ИТ и аудита: И имеют уникальный опыт внедрения современных подходов организации служб ИТ, практический опыт работы в службах ИТ и внутреннего аудита.
Решаемые в рамках аудита системы ИТ-управления задачи:
Комплаенс-аудит — оценка степени соответствия системы ИТ-управления требованиям корпоративных и/или внешних стандартов, а также готовность организации к прохождению сертификационного аудита.
Аудит эффективности — оценка адекватности системы ИТ-управления целям обеспечения результативного и рационального использования инвестиций в информационные технологии
Аудит системы внутреннего контроля — ситуационное моделирование, позволяющее оценить адекватность применяемых методов управления и контроля за информационными технологиями для различных условий деятельности, в том числе расширение или изменение масштабов бизнеса; модернизация или переход на новые информационные системы; изменение объемов финансирования; отсутствие ключевого ИТ-персонала и др.
Формирование основы для совершенствования системы ИТ-управления – подготовка детального многоуровневого анализа степени адекватности ключевых элементов управления в разрезе всех идентифицированных ИТ-рисков.
Формирование ключевых рекомендаций по программе совершенствования системы ИТ-управления, которые базируются на опыте успешных консалтинговых проектов компании IT Expert и учитывают идентифицированные в ходе аудита факторы успеха и проблемные области.
Формирование корпоративной методологии оценки рисков, позволяющей организации самостоятельно осуществлять мониторинг системы ИТ-управления (в том числе программы совершенствования) в условиях динамично изменяющейся среды деятельности.
Рискоориентированный аудит системы управления информационными технологиями — деятельность, осуществляемая в интересах руководства, в рамках которой происходит сбор свидетельств аудита и оценка степени их соответствия согласованным критериям аудита с целью формирования независимой экспертной оценки фактического уровня ИТ-рисков и выработки рекомендаций, направленных на их минимизацию.
Процессный риск – неполный охват деятельности по обеспечению результативного, рационального и безопасного использования информационных технологий на различных стадиях их жизненного цикла. Например, в рамках оценки данной категории риска идентифицируются следующие проблемные области:
Неготовность ИТ оказывать адекватную поддержку бизнес-инициативам
Высокая длительность и стоимость проектов по созданию информационных систем
Неудовлетворяющие бизнес решения по автоматизации
Несоответствие фактического уровня ИТ-сервисов ожиданиям бизнеса
Частые сбои и длительное время восстановления работоспособности систем
Неполное использование пользователями возможностей ИТ
Ошибки при обработке данных
Риск внутреннего контроля – недостатки в обеспечении полноты контрольных и управленческих процедур, направленных на достижение целей ИТ-управления.
Риск информационной безопасности – недостатки в системе управления информационной безопасности, повышающие вероятность нарушения конфиденциальности, целостности и доступности информации.
Операционный бизнес-риск – совокупность недостатков системы ИТ-управления в отношении информационных технологий, задействованных в поддержке отдельного бизнес-процесса, которые могут привести к реализации риска не достижения целей основной деятельности.
Риск персонала – неадекватное управление кадровыми ресурсами, что может привести к отсутствию высококвалифицированного персонала, необходимого для выполнения ключевых ИТ-операций.
Методологическая основа проведения аудита:
ГОСТ Р ИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента»
IS Standards, Guidelines and Procedures for Auditing and Control Professionals
CobiT 4.1 «Control Objectives for Information and related Technology»
Федеральное правило (стандарт) аудиторской деятельности №15. «Понимание деятельности аудируемого лица»
Стандарты — источники критериев аудита:
COBIT 4.1 «Control Objectives for Information and related Technology». Принципы управления. Руководство по аудиту
ISO 27001:2005 «Информационные технологии. Методы обеспечения безопасности — Системы управления информационной безопасностью. Требования»
ISO 20000 «Управление предоставлением ИТ-услуг»
ISO 9000 «Указания по менеджменту качества»
Board Briefing on IT Governance
Приведенный перечень включает только ключевые документы (стандарты) и не является исчерпывающим, то есть может быть при необходимости дополнен другими стандартами и практиками.
Порядок реализации:
уточнение и приоритезация исследуемых областей;
получение информации об объекте аудита, в том числе о масштабах, специфике и планах развития основной деятельности; уровне автоматизации бизнес-процессов; задействованных ИТ-ресурсах и т.п.;
расчет по итогам анализа полученных первичных сведений целевого уровня зрелости ключевых ИТ-процессов, в рамках которых осуществляется управление связанными ИТ- рисками
Проведение аудита на месте:
формирование рискоориентированной программы аудита;
проведение самооценки;
проведение интервью;
наблюдение за деятельность;
изучение документальных свидетельств;
оценка уровня зрелости ИТ-процессов и остаточного уровня связанных рисков;
формирование выводов и рекомендаций;
формирование аудиторского отчета;
презентация материалов
Компания IT Expert обладает многолетним опытом проведения экспертизы ИТ-управления и построения систем внутреннего контроля ИТ с использованием риск-ориентированного подхода. Приглашаем Вас познакомиться с демо-версией нашего решения – программного средства для контроля информационных технологий.
Использование этого инструмента позволит Вам:
Сократить время на контроль исполнения распоряжений, планов, инструкций, регламентированных процедур, показателей эффективности
Упростить деятельность по оценке зрелости ИТ-процессов и систем внутреннего контроля, соответствия установленным требованиям, достижения поставленных целей, уровня ИТ-рисков
Надлежащим образом контролировать качество выполнения процедур контроля и оценки и избежать случайных ошибок при их планировании и выполнении
Реализовать политику конфиденциальности и сохранности в отношении рабочих документов и отчетов проверки, принятую в Вашей организации
Система может удовлетворить потребности не только в контроле и оценке ИТ-процессов и ИТ-рисков, но и в любой другой структурированной деятельности. Ее применение возможно в любых отраслях и масштабах бизнеса.
Что Вы увидите?
Результаты экспресс-оценки части процесса управления изменениями (на основе реальных проектов IT Expert), а именно промежуточные отчеты по каждому этапу оценки и итоговые заключения по результатам аудита
Как это можно использовать?
Результаты проверки позволяют выявить отклонения и необходимость в корректирующих или предупреждающих действиях, и могут использоваться для дальнейшего совершенствования и достижения целевого уровня зрелости процесса
Методологическая основа
Опросник построен на базе стандартов ISO 20000 и COBIT
Процесс проверки разработан на основе руководства по аудиту: стандарта COBIT, серии стандартов ISO/IEC 15 504, ГОСТ Р ИСО 19011-2003