IT аудит
Аудит основных ИТ контролей или другими словами IT general controls (ITGC) – это диагностика и оценка текущего состояния информационной системы компании в соответствии с требованиями бизнеса и регулятивной среды. Аудит позволяет выявить ошибки и неточности в построении или использовании существующей ИТ инфраструктуры и организации ИТ отдела, а также предотвратить возможные негативные последствия этих нарушений.
Данный вид аудита особенно востребован кредитными организациями (Банками), а также теми компаниями, которые в своей деятельности постоянно используют информационные технологии. Сегодня техническая ошибка может быть стратегически важна для бизнеса в целом и поэтому данная услуга становится более востребованной.
В своей деятельности мы часто сталкиваемся с тем, что стратегии развития в области IT и в области бизнеса не соответствуют друг другу, в результате чего информационные технологии либо тормозят успешное развитие бизнеса или наоборот внедрение новых ИТ систем не позволяет персоналу быстро перестроиться на новые процессы, что ведет к сбоям в работе.
Зачем нужен ИТ аудит?
-
Анализ эффективности и оптимизация IT затрат
-
Анализ работы IT отдела
-
Анализ рисков – определение критичности ИТ сервисов
-
Анализ соответствия состояния информационной системы Законодательству
-
Получение независимой оценки третьей стороны
Какими бы ни были Ваши потребности, опыт и знания наших специалистов помогут Вам справиться с этим. Наша команда обладает достаточными знаниями и ресурсами для реализации различных проектов в ИТ области.
Обычно такой вид аудита заказывают на регулярной основе (ежегодно или раз в три года). Итоговый отчет предоставляется руководству для принятия ключевых решений. Поэтому выбор надёжного и независимого подрядчика имеет решающую роль.
Наш подход
Основная цель состоит в том, чтобы создать внутренний механизм контроля за работой ИТ отдела. Убедиться в том, что ИТ отдел компании и бизнес-процессы работают корректно и эффективно. Проверить эффективность работы всей системы. Проверить и протестировать стандартные ИТ контроли по матрице мировых стандартов. (COBIT, ITIL, COSO,ISO)
Стандарты и практики, применяемые в ходе проведения IT аудита
Эффективность работы информационных систем оценивается в рамках оценки эффективности ИТ процессов и соответствие этих процессов стандартам и лучшим практикам:
- CobiT
- IT Governance
- Val IT
- ITIL
- ITSM
- PMBok
- Prince2
Процесс аудита ИТ отдела можно разделить на два основных этапа:
- Первый включает в себя описание ИТ процессов и контролей (заполнение матриц) и требует предоставить минимум один документированный пример для каждого ключевого контроля. Из нашего опыта этот этап чрезвычайно важен для самого ИТ отдела – при отсутствии тщательной проверки описанных ИТ процессов и контролей, возможные неточности могут дорого обойтись в будущем.
- Вторая часть аудита включает в себя тестирование всех ключевых контролей посредством сбора документации по этим контролям.
В частности, мы
- Определяем области проведения аудита;
- Изучаем системы клиента;
- Формулируем запросы;
- Интервьюируем ключевых сотрудников и анкетируем;
- Собираем и анализируем документацию, регламентирующую ИТ-процессы;
- Тестируем приложения;
- Тестируем основные ИТ-контроли;
-
Документируем и составляем отчет.
Результат: Оформление независимого заключения по работе ИТ отдела и ИТ-систем.
Помимо Аудита основных ИТ контролей мы оказываем следующие услуги:
- Аудит персональных данных
- Составление и аудит ИТ-политик компании
- ИТ due diligence
- Определение уровня зрелости ИТ подразделений
- Анализ рисков. Оценка управления ИТ рисками и/или бизнес-рисков, зависимых от ИТ.
- Анализ ИТ затрат
- Оценка эффективности процессов Информационной безопасности и/или их соответствия требованиям ISO 27001
- Аудит SLA Определение факт наличия сервисных соглашений в компании и соответствия их реальным потребностям бизнес Заказчика.
- Оценка ИТ персонала
- Тестирование прикладных контролей.
Также в последнее время руководству не всегда нужен комплексный ИТ аудит, а например , проверку отдельных процессов. Заметен спрос на услуги по аудиту отдельных приложений – например, аудит сайта. Сегодня для многих бизнесов в особенности интернет-магазинов, сайт является одним из основных активов компании, поскольку при хорошей маркетинговой активности стабильно увеличивает узнаваемость бренда и дает приток клиентов. Существует много требований поисковых систем как технических, так и маркетинговых, которые помогают бизнесу развиваться посредством сайта. При проведении аудита сайта можно например выявить технические недочеты сайта (скорость, работоспособность, наличия дублей и др.), оценить эффективность затрат на интернет-маркетинг, оценить уязвимости используемой CRM, отследить источники и качество трафика, а также определить реального владельца актива, того кто имеет доступ и управляет данным процессом.
Среди запросов от кредитных организаций можно отметить так называемый запрос на ИТ Аудит по 382-П. Это аудит системы управления информационной безопасностью в соответствии со стандартом СТО БР ИББС 1.0 Банка России. Наша компания на протяжении долгого времени работает с Банками и занимают лидирующие позиции по аудиту Банков согласно рейтингу РА Эксперт