Организация внутреннего аудита ИТ.
В международной практике особое внимание уделяется аудиту деятельности ИТ со стороны бизнеса - независимому внутреннему аудиту ИТ, который должны проводить структуры, независимые от руководителей ИТ-под-разделений. Поэтому в организации целесообразно создание независимых подразделений внутренних аудиторов ИТ. Использование международных стандартов и лучших практик позволяет выработать такие инструменты внутреннего аудита, которые отвечают на наиболее важные вопросы для бизнеса, способствуют созданию инструментария для формирования мотивированного суждения аудитором об оценке уровней «зрелости» ИТ-процессов с минимизацией субъективных факторов, используя единую интегрированную систему оценки уровня «зрелости» деятельности ИТ. Пока еще не всеми организациями осознана необходимость внутреннего аудита ИТ, т.е. независимой оценки эффективности ИТ в организации.
Внутренний аудит ИТ должен способствовать улучшению состояния информационных систем, характеризующегося уровнем их безопасности и эффективностью процессов управления ИТ. Проведение аудита информационных систем должно способствовать повышению зрелости ИТ-процессов до уровней, способных обеспечить качественное предоставление ИТ-услуг.
Полноценная оценка ИТ-риска некачественного исполнения ИТ-службой своей функции должна основываться не только на оценке уровней «зрелостей» ИТ-процессов, но и на оценке адекватности системы внутреннего контроля.
Внедрение адекватного внутреннего контроля на низких уровнях «зрелости» соответствующих контрольных процедур может быть результативным, но экономически неэффективным. Управление ИТ в организации не может достигнуть 4-5 уровней «зрелости» при неадекватных процедурах системы внутреннего контроля.
С точки зрения подходов к проведению внутреннего аудита за основу может быть взят стандарт Российской Федерации ГОСТ Р ИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента», принятый постановлением Госстандарта РФ от 29 декабря 2003 г. № 432-ст, созданный на основе международного стандарта ISO 19011 Guidelines for quality and/or environmental management systems auditing. В нем изложены указания по управлению программами аудита, проведению внутренних или внешних аудитов систем менеджмента качества и/или систем экологического менеджмента (environmental management).
В данном стандарте приведены не только общие подходы к проведению аудита, цели и объем программ аудита, но и практические советы, примеры программ аудита, примеры целей различных программ аудита.
Типовая схема проведения аудита, предложенная стандартом, охватывает все этапы аудиторской проверки - от назначения руководителя аудиторской группы и определения целей, области и критериев аудита до завершения аудита.
Развивая для целей практического использования положения данного стандарта и интегрируя с положениями стандарта CobiT, можно разработать собственную модель процесса проведения аудита, более конкретно описывающую деятельность по проведению аудита. Например, проверка внутренними аудиторами деятельности ИТ-подразделений может состоять из следующих этапов:
- планирование;
- идентификация используемых объектом аудита правил, регламентирующих управление ИТ-процессами;
- оценка достоверности сведений;
- оценка уровня зрелости механизмов управления ИТ-процессов;
- идентификация процедур внутреннего контроля;
- оценка механизмов внутреннего контроля;
- тестирование процедур контроля;
- оценка состояния внутреннего контроля ИТ-процессов;
- оформление результатов проверки.