Этапы проведения аудита ИТ.
Планирование. Цель этапа — планирование аудиторской проверки, определение приоритетных направлений проверки ИТ-подразделения.
На данном этапе обобщается следующая информация:
- возложенные функции;
- объемы выполняемых работ;
- нарушения, выявленные в ходе предыдущих проверок данного объекта;
- типовые нарушения на других объектах, схожие по своим функциональным характеристикам;
- сопоставление полученных сведений с моделью рисков, основанной на выявлении факторов рисков, присущих различным типам объектов аудита;
- уровень требований, предъявляемых к информации: требования к качеству (информация должна быть актуальной, точной, полной и соответствующей бизнес-процессу, а также поставляемой своевременным, непротиворечивым и пригодным для использования способом), требования к экономичности (снабжение информацией должно производиться на основе оптимального — наиболее производительного и экономичного — использования ресурсов), требования к безопасности (информация должна быть доступна по требованию бизнес-процессов, информация и необходимые ресурсы должны быть защищены, в том числе от неавторизованного раскрытия и использования).
По завершении этапа определяются:
- основные вопросы аудиторской проверки (ИТ-процессы, основные автоматизированные системы);
- руководитель проверки и состав аудиторской группы;
- относительная доля времени, отведенная на проверку отдельных объектов контроля, от общего времени;
- общая продолжительность проверки.
Идентификация используемых объектом аудита правил, регламентирующих управление ИТ-процессами. Цель этапа - сбор информации о функциях и персонале ИТ-подразделения, включая информацию о распределении ролей и ответственности. В этих целях запрашивается документация, регламентирующая деятельность ИТ-подразделения.
По завершении этапа необходимо:
- выявить функции, обеспечивающие выполнение ИТ-процессов;
- определить персонал, задействованный в производственном процессе;
- выявить заявленные процедуры (механизмы) управления ИТ-процессами;
- оценить документы, регламентирующие деятельность персонала для каждого проверяемого ИТ-процесса.
Оценка достоверности сведений. Цель этапа — аудитор должен путем выборки из предоставленных на этапе идентификации сведений проверить достоверность предоставленной информации. Аудитор определяет объем выборки, проводит в соответствии с определенной выборкой проверку предоставленных сведений путем непосредственного контакта с персоналом и выявления фактически действующих правил, регламентирующих управление ИТ-процессами.
По завершении этапа необходимо сделать вывод о достоверности предоставленных сведений, а в случае обнаружения недостоверности сведений задокументировать факт предоставления недостоверных или неточных сведений.
Оценка уровня зрелости механизмов управления ИТ-процессов. Цель этапа — оценить полноту и эффективность управляющих механизмов проверяемого подразделения. Оцениваются полнота и эффективность существующих механизмов управления, их целесообразность и пригодность путем сравнения с установленными критериями, стандартами и лучшими практиками. Аудитору необходимо убедиться в том, что существующие ИТ-процессы документированы и ответственность, а подотчетность персонала четко определена.
По завершении этапа необходимо:
- сделать вывод о полноте управляющих механизмов объекта аудита по отношению к рекомендациям стандартов и лучших практик;
- получить гарантии пригодности механизмов управления для решения задач управления;
- сделать вывод об уровне «зрелости» механизмов управления ИТ-процессов.