IT аудит

Аудит основных ИТ контролей или другими словами IT general controls (ITGC) – это диагностика и оценка текущего состояния информационной системы компании в соответствии с требованиями бизнеса и регулятивной среды. Аудит позволяет выявить ошибки и неточности в построении или использовании существующей ИТ инфраструктуры и организации ИТ отдела, а также предотвратить возможные негативные последствия этих нарушений.

Данный вид аудита особенно востребован кредитными организациями (Банками), а также теми компаниями, которые в своей деятельности постоянно используют информационные технологии.  Сегодня техническая ошибка может быть стратегически важна для бизнеса в целом и поэтому данная услуга становится более востребованной. 

В своей деятельности мы часто сталкиваемся с тем, что стратегии развития в области IT и в области бизнеса не соответствуют друг другу, в результате чего информационные технологии либо тормозят успешное развитие бизнеса или наоборот внедрение новых ИТ систем не позволяет персоналу быстро перестроиться на новые процессы, что ведет к сбоям в работе. 

Зачем нужен ИТ аудит? 

  • Анализ эффективности и оптимизация IT затрат 

  • Анализ работы IT отдела

  • Анализ рисков – определение критичности ИТ сервисов

  • Анализ соответствия состояния информационной системы Законодательству

  • Получение независимой оценки третьей стороны

Какими бы ни были Ваши потребности, опыт и знания наших специалистов помогут Вам справиться с этим.  Наша команда обладает достаточными знаниями и ресурсами для реализации различных проектов в ИТ области. 

Обычно такой вид аудита заказывают на регулярной основе (ежегодно или раз в три года). Итоговый отчет предоставляется руководству для принятия ключевых решений. Поэтому выбор надёжного и независимого подрядчика имеет решающую роль.

Наш  подход 

Основная цель состоит в том, чтобы создать внутренний механизм контроля за работой ИТ отдела.  Убедиться в том, что ИТ отдел компании и бизнес-процессы работают корректно и эффективно.  Проверить эффективность работы всей системы. Проверить и протестировать стандартные ИТ контроли по матрице мировых стандартов. (COBIT, ITIL, COSO,ISO) 

Стандарты и практики, применяемые в ходе проведения IT аудита

Эффективность работы информационных систем оценивается в рамках оценки эффективности ИТ процессов и соответствие этих процессов стандартам и лучшим практикам:

  • CobiT
  • IT Governance
  • Val IT
  • ITIL
  • ITSM
  • PMBok
  • Prince2 

Процесс аудита ИТ отдела можно разделить на два основных этапа:

  1. Первый включает в себя описание ИТ процессов и контролей (заполнение матриц) и требует предоставить минимум один документированный пример для каждого ключевого контроля. Из нашего опыта этот этап чрезвычайно важен для самого ИТ отдела – при отсутствии тщательной проверки описанных ИТ процессов и контролей, возможные неточности могут дорого обойтись в будущем. 
  2. Вторая часть аудита включает в себя тестирование всех ключевых контролей посредством сбора документации по этим контролям.

В частности, мы  

  • Определяем области проведения аудита;
  • Изучаем системы клиента;
  • Формулируем запросы;
  • Интервьюируем ключевых сотрудников и анкетируем;
  • Собираем и анализируем документацию, регламентирующую  ИТ-процессы;
  • Тестируем приложения;
  • Тестируем основные ИТ-контроли; 
  • Документируем и составляем отчет.

Результат:  Оформление независимого заключения по работе ИТ отдела и ИТ-систем.

Помимо Аудита основных ИТ контролей мы оказываем следующие услуги:

  1. Аудит персональных данных 
  2. Составление и аудит ИТ-политик компании
  3. ИТ due diligence 
  4. Определение уровня зрелости ИТ подразделений 
  5. Анализ рисков.  Оценка управления ИТ рисками и/или бизнес-рисков, зависимых от ИТ.
  6. Анализ ИТ затрат
  7. Оценка эффективности процессов Информационной безопасности и/или их соответствия требованиям ISO 27001
  8. Аудит SLA Определение факт наличия сервисных соглашений в компании и соответствия их реальным потребностям бизнес Заказчика.
  9. Оценка ИТ персонала
  10.  Тестирование прикладных контролей.

Также в последнее время руководству не всегда нужен комплексный ИТ аудит, а например , проверку отдельных процессов. Заметен спрос на услуги по аудиту отдельных приложений – например, аудит сайта. Сегодня для многих бизнесов в особенности интернет-магазинов,  сайт является одним из основных активов компании, поскольку при хорошей маркетинговой активности стабильно увеличивает узнаваемость бренда и дает приток клиентов. Существует много требований поисковых систем как технических, так и маркетинговых, которые помогают бизнесу развиваться посредством сайта. При проведении аудита сайта можно например выявить технические недочеты сайта (скорость, работоспособность, наличия дублей и др.),  оценить эффективность затрат на интернет-маркетинг, оценить уязвимости используемой CRM, отследить источники и качество трафика, а также определить реального владельца актива, того кто имеет доступ и управляет данным процессом. 

Среди запросов от кредитных организаций  можно отметить так называемый запрос на ИТ Аудит по 382-П. Это аудит  системы управления информационной безопасностью в соответствии со стандартом СТО БР ИББС 1.0 Банка России. Наша компания на протяжении долгого времени работает с Банками и занимают лидирующие позиции по аудиту Банков согласно рейтингу РА Эксперт