Главный Каталог Статей РФ
87238 авторов, размещено 47366 статей, сейчас на сайте пользователей: 601 Статистика
Аватар ITM

Пять преимуществ ит-аудита

Категория:  Деловые услуги  | Автор:  ITM | Опубликовано: 16.07.2014

ИТ аудиторы частенько ловят себя на том, что занимаются просветительской деятельностью, объясняя бизнес-сообществу, как их работа повышает ценность компании. Отделы внутреннего аудита обычно также отвечают и за аудит ИТ-системы с точки зрения ее значения для организации в целом. Однако, по нашему опыту, как ИТ-аудиторов, деловые круги должны понимать в чем заключаются задачи ИТ аудита, чтобы извлечь из него максимальную выгоду. Именно поэтому мы публикуем этот краткий обзор конкретных преимуществ ИТ-аудита.

А именно, ИТ аудит может охватывать широкий спектр компонентов ИТ инфраструктуры, таких как клиент-серверные системы и сети, операционные системы, системы безопасности, программные приложения, веб-сервисы, базы данных, телекоммуникационная инфраструктура, процедуры управления изменениями и планирование аварийного восстановления .

Последовательность стандартного аудита начинается с определения рисков, затем происходит оценка проектирования элементов управления и, наконец, проверка эффективности управления. Умелые аудиторы могут увеличить стоимость компании на каждом этапе аудита.

Обычно крупные компании постоянно поддерживают выполнение функции ИТ аудита для того, чтобы обеспечить себе уверенность в контроле рисков и обеспечить соблюдение нормативных требований. По мере того как возрастает объем инвестиций в ИТ, аудит может обеспечить гарантию контроля рисков и отсутствие серьезных потерь. С помощью этого инструмента компания может также определить наличие высокого риска простоя, угроз безопасности и точек уязвимости.

Ниже мы обсудим пять основных областей, в которых ИТ-аудиторы могут добавить ценность для организации. При этом важно не упускать из вида, что качество и глубина технической проверки – это необходимые условия для добавления стоимости.

1. Снижение риска. Планирование и выполнение ИТ-аудита состоит из выявления и оценки ИТ-рисков в организации.

Аудит ИТ обычно отслеживает риски, связанные с конфиденциальностью, целостностью и доступностью ИТ инфраструктуры и процессов. Дополнительные оценки рисков включают оценку результативности, эффективности и надежности ИТ.

После того, как все риски были исследованы и проанализированы, появляется ясное представление о том, как дальше действовать: снижать или смягчать риски путем постоянного контроля состояния, нивелировать потери через страхование или просто принять эти риски как должное, как часть операционной среды.

Критический момент заключается в том, что ИТ-риски – это бизнес-риски. Любая угроза или уязвимость критически важных ИТ-операций может иметь прямое влияние на всю организацию. Короче говоря, фирма должна знать, где риски, а затем решить что с ним делать.

Лучшие практики по ИТ рискам, используемые аудиторами, являются ISACA COBIT и RiskIT frameworks, ISO / IEC 27002 стандарт "Свод практических правил для управления информационной безопасностью».

2. Укрепление управления (и повышение уровня безопасности). После оценки риска, как описано выше, элементы управления могут быть определены и оценены. Плохо разработанные или неэффективные элементы управления могут быть переработаны и/или укреплены.

Особенно здесь полезно концептуальное ядро COBIT. Она состоит из четырех доменов высокого уровня, которые охватывают 32 процесса управления, используемых в снижении риска. Рамки COBIT охватывают все аспекты информационной безопасности, включая цели управления, ключевые показатели эффективности, основные показатели достижения цели и критические факторы успеха.

Аудитор может использовать COBIT для оценки управления в организации и предложить рекомендации, которые добавляют реальную ценность для ИТ-среды и организации в целом.

Другой системой контроля является Committee of Sponsoring Organizations of the Treadway Commission (COSO) модель внутреннего контроля. ИТ аудиторы могут использовать эту основу, чтобы получить уверенность в (1) эффективности и результативности операций, (2) достоверности финансовой отчетности и (3) в соответствии с действующими законами и правилами. Указанные рамки содержат два элемента из пяти, которые непосредственно относятся к элементам управления - контроль среды и контроль деятельности.

3. Соблюдение правил. Законодательно периодически создаются новые требования к информационной безопасности. ИТ аудитор играет решающую роль в обеспечении того, как эти особые требования будут выполнены, риски оценены, а меры реализованы.

Для примера приведем хотя бы последний закон о хранении данных пользователей только на российских серверах.

И во всех областях регулирования ИТ-аудитор играет центральную роль. Организация должна получить гарантию того, что все требования выполнены.

4. Облегчение взаимодействия между бизнес- и ИТ-менеджментом. Аудит может иметь положительный эффект открытия каналов связи между бизнес-менеджментом и управлением ИТ в организации. Аудиторы интервьюируют, наблюдают и проверяют, выясняя, что происходит на самом деле, на практике. Окончательные результаты аудита представляют собой крайне ценную информацию в виде письменных докладов и устных выступлений. Для высшего руководства компании это прекрасная возможность получить информацию о том, как функционирует фирма.

Профессионалы аудита в ИТ должны изначально знать ожидания и цели высшего руководства, чтобы помочь настроить информационные потоки путем проведения встреч с руководством, анализа текущей реализуемой политики, стандартов и руководящих принципов.

Важно понимать, что выравнивание бизнеса и поддерживающей его ИТ-функции имеет решающее значение. ИТ аудит поддерживает это выравнивание.

5. Улучшение ИТ менеджмента. Институт управления ИТ (ITGI) опубликовал следующее определение:

«Управление ИТ является обязанностью руководителей и совета директоров, и состоит из лидерских, организационных структур и процессов, которые обеспечивают поддержку предприятия и расширяют стратегии и цели организации.»

Лидерские, организационные структуры и процессы, упомянутые в определении – все это указывает на ИТ аудиторов как на ключевых игроков. Центральное место в ИТ-аудите и общем управлении ИТ является понимание ценностей, рисков и системы управления во объеме всей технологической среды организации.

Другой взгляд на управление ИТ состоит из четырех основных задач, которые также обсуждались в документации Института управления ИТ:

  • ИТ выравнивается с бизнесом
  • ИТ поддерживает бизнес и максимизирует выгоды
  • ИТ-ресурсы используются ответственно
  • ИТ-риски управляются надлежащим образом

 

ИТ аудитор должен обеспечить гарантию того, что каждая из этих целей будет считается выполненной. Каждая из этих целей имеет решающее значение для организации и поэтому является критически важной функцией ИТ аудита.

Подводя итог можно сказать, что ИТ аудит повышает качество работы, снижает риски, усиливает безопасность, повышает соблюдение правил и содействует взаимодействию между ИТ и бизнес-менеджментом. Наконец, ИТ аудит улучшает и укрепляет общее управление информационными технологиями в компании.


Статья написана при участии специалистов компании "Айтиматика", реализовывавшим ит-аудит на предприятиях различного масштаба.

Комментарии
К этой статье пока нет комментариев. Станьте первым! У нас гости не могут комментировать статьи. Пожалуйста авторизуйтесь или зарегистрируйтесь, чтобы прокомментировать.
Интересные статьи по теме
Аватар kuzinatra
Зачем нужен бухгалтерский учет? Что нужно знать руководителю о бухгалтерском учете....
Категория: Деловые услуги | Автор: kuzinatra | Добавлено: 14.07.2010
Аватар mpolozova
Стандарты API от Американского института нефти и газа На сегодня Россия – второй производитель нефти в мире и крупнейший владелец и разработчик запасов газа. ...
Категория: Деловые услуги | Автор: mpolozova | Добавлено: 29.10.2007
Аватар greedybidder
Обратный онлайн-аукцион (аукцион на понижение) – наиболее эффективный способ организации оптовых закупок Обратный аукцион – аукцион, в котором, по сравнению с обычным аукционом, покупатель и продавец меняются ролями. ...
Категория: Деловые услуги | Автор: greedybidder | Добавлено: 19.07.2013
Аватар mpolozova
Стандарты ASTM от Американского общества по испытанию материалов В условиях современной экономики для поддержания конкурентоспособности на международном рынке отечественным компаниям необходимо соответствовать общепризнанным в мире стандартам. ...
Категория: Деловые услуги | Автор: mpolozova | Добавлено: 29.10.2007
Аватар regent
Выписка из Госреестра Статья о выписке из Единого Государственного Реестра....
Категория: Деловые услуги | Автор: regent | Добавлено: 12.06.2007
Свежие комментарии
Ну, вот это я понимаю, настоящая инструкция для тех, кто хочет не просто «привет, как дела», а чтобы дамы сами в личку ломились! Как говорится, техник...

Читать >>

Куклы-обереги действительно имеют глубокий символизм и интересную историю, которая часто теряется в современных интерпретациях. Например, многие не зн...

Читать >>

Полностью поддерживаю подход, описанный в статье! Рисование — не просто творческое занятие, а ключевой инструмент для развития ребёнка. Как детский пс...

Читать >>

Интересная подборка ошибок, но не могу не высказать скепсис по поводу части рекомендаций. Например, о зарядке только до 80% — это логично с техническо...

Читать >>

Работал соцработником пару лет, и вот что не написали: это не только помощь людям, но и куча бумажек, отчётов и согласований. Бывает, половина времени...

Читать >>

Лучшие авторы
Аватар doorsapril321
Пытаемся продать двери

Читать

Аватар arik
Добрый день. Хочу вам подсказать вот этот интернет...

Читать

Аватар slawa100
Мастер строитель, мой блог о стройке и ремонте bui...

Читать

Напишите нам