Этапы проведения аудита ИТ.

Планирование. Цель этапа — планирование аудиторской проверки, определение приоритетных направлений проверки ИТ-подразделения.

На данном этапе обобщается следующая информация:

• возложенные функции;
• объемы выполняемых работ;
• нарушения, выявленные в ходе предыдущих проверок данного объекта;
• типовые нарушения на других объектах, схожие по своим функциональным характеристикам;
• сопоставление полученных сведений с моделью рисков, основанной на выявлении факторов рисков, присущих различным типам объектов аудита;
• уровень требований, предъявляемых к информации: требования к качеству (информация должна быть актуальной, точной, полной и соответствующей бизнес-процессу, а также поставляемой своевременным, непротиворечивым и пригодным для использования способом), требования к экономичности (снабжение информацией должно производиться на основе оптимального — наиболее производительного и экономичного — использования ресурсов), требования к безопасности (информация должна быть доступна по требованию бизнес-процессов, информация и необходимые ресурсы должны быть защищены, в том числе от неавторизованного раскрытия и использования).

По завершении этапа определяются:

• основные вопросы аудиторской проверки (ИТ-процессы, основные автоматизированные системы);
• руководитель проверки и состав аудиторской группы;
• относительная доля времени, отведенная на проверку отдельных объектов контроля, от общего времени;
• общая продолжительность проверки.

Идентификация используемых объектом аудита правил, регламентирующих управление ИТ-процессами. Цель этапа - сбор информации о функциях и персонале ИТ-подразделения, включая информацию о распределении ролей и ответственности. В этих целях запрашивается документация, регламентирующая деятельность ИТ-подразделения.

По завершении этапа необходимо:

• выявить функции, обеспечивающие выполнение ИТ-процессов;
• определить персонал, задействованный в производственном процессе;
• выявить заявленные процедуры (механизмы) управления ИТ-процессами;
• оценить документы, регламентирующие деятельность персонала для каждого проверяемого ИТ-процесса.

Оценка достоверности сведений. Цель этапа — аудитор должен путем выборки из предоставленных на этапе идентификации сведений проверить достоверность предоставленной информации. Аудитор определяет объем выборки, проводит в соответствии с определенной выборкой проверку предоставленных сведений путем непосредственного контакта с персоналом и выявления фактически действующих правил, регламентирующих управление ИТ-процессами.

По завершении этапа необходимо сделать вывод о достоверности предоставленных сведений, а в случае обнаружения недостоверности сведений задокументировать факт предоставления недостоверных или неточных сведений.

Оценка уровня зрелости механизмов управления ИТ-процессов. Цель этапа — оценить полноту и эффективность управляющих механизмов проверяемого подразделения. Оцениваются полнота и эффективность существующих механизмов управления, их целесообразность и пригодность путем сравнения с установленными критериями, стандартами и лучшими практиками. Аудитору необходимо убедиться в том, что существующие ИТ-процессы документированы и ответственность, а подотчетность персонала четко определена.

По завершении этапа необходимо:

• сделать вывод о полноте управляющих механизмов объекта аудита по отношению к рекомендациям стандартов и лучших практик;
• получить гарантии пригодности механизмов управления для решения задач управления;
• сделать вывод об уровне «зрелости» механизмов управления ИТ-процессов.

  Ф. Байновский