Что такое ИТ-аудит?
Внутренний аудит в целом определяется как независимая, объективная гарантия и консультационная деятельность,
деятельности организации. Он помогает организации достичь поставленных целей, применяя систематический, дисциплинированный подход к оценке и повышению эффективности процессов управления рисками, контроля и управления. ИТ аудит подробно на сайте компании.
Работа по ИТ-аудиту может включать в себя задания, обеспечивающие гарантии или рекомендации. ИТ-аудит обычно оценивает процедуры и контрольную среду вокруг ИТ-систем на предприятии и составляет отчет о них с целью достижения более эффективного управления рисками, которым подвержена организация.
Как входит в ИТ-аудит?
Важнейшими составляющими планирования ИТ-аудита являются оценка ИТ-среды, понимание ИТ-рисков и определение ресурсов, необходимых для выполнения работы.
ИТ-среда — оценка ИТ-среды проистекает из понимания внутренних ИТ-процедур и операций исследуемого объекта. Это невозможно переоценить. Без этого базового понимания вполне вероятно, что аудиторская работа будет неправильно направлена, что повысит риск сделать неподходящие или неверные выводы. Эта первоначальная исследовательская работа должна включать в себя высокоуровневый анализ существующих ИТ-процедур и контрольной среды с акцентом на основные принципы ИТ-безопасности, а именно конфиденциальность, целостность и доступность.
Как минимум, на этом этапе будут рассмотрены следующие области:
a) Управление изменениями, то есть контроль изменений в отношении обновлений программного и аппаратного обеспечения критических систем;
б) Безопасность доступа, то есть контроль доступа, принудительный для входа в системы как изнутри, так и извне.
c) Непрерывность бизнеса и восстановление после сбоев, то есть способность предприятия защищать информационные активы от непредвиденных угроз или катастроф и способы быстрого восстановления после них.
Такой уровень понимания позволит ИТ-аудитору эффективно и результативно планировать свою работу.
ИТ-риски. Как и в случае с другими видами профессиональной аудиторской работы, в наши дни большинство ИТ-аудиторов применяют подход, основанный на оценке рисков, при планировании и выполнении своей работы. Это включает в себя определение наиболее важных рисков, их увязку с целями контроля и определение конкретных средств контроля для снижения этих рисков. В этом отношении ИТ-аудитор может использовать стандарты / руководящие принципы аудита ИТ для определения или предоставления рекомендаций по средствам контроля, которые снизят выявленные риски до приемлемого уровня.
Необходимые ресурсы — последний важный элемент в мозаике планирования аудита — это оценка объема работы, включая потребность в экспертных знаниях. Поскольку своевременность и наличие подходящих кадровых ресурсов для ИТ-аудита, как правило, является проблемой, правильное выполнение этого шага должно привести к повышению качества и меньшей стоимости аудиторской работы.