Как планировать и использовать Чеклист ИТ-аудита

25.08.2021

ИТ - аудит должен охватывать несколько основных элементов, чтобы эффективно определять и оценивать существующие ИТ-процессы. Наличие контрольного списка ИТ-аудита может упростить этот процесс и гарантировать, что никакие ключевые элементы не будут упущены. В этой статье мы узнаем, что должен включать ИТ-аудит и какие элементы обязательны для контрольного списка.

Как планировать и использовать контрольный список ИТ-аудита

ИТ-аудит предназначен для обеспечения соответствия ИТ-инфраструктуры, систем и процедур организации признанным стандартам и, что наиболее важно, целям организации.

1. Планирование

На начальном этапе исследования мы предлагаем работать с ИТ-персоналом, чтобы сначала понять ИТ-среду, риски и необходимые ресурсы. Понимание основных механизмов контроля и процедур ИТ-отдела, таких как управление изменениями в ИТ-отделе, безопасность и непрерывность бизнеса, гарантирует, что при проверки действительно можно будет сделать правильные выводы из своей работы.

На этом этапе также важно определить объем проверки, поскольку не одни и те же области охватывает экспертиза. Некоторые из них сосредоточены на кибербезопасности, в то время как другие сосредоточены на управлении ИТ, а третьи могут быть сосредоточены на конкретных приложениях или процессах.

Имея все это в виду, ответственные за проверку могут затем спланировать и провести аудит.

Вот ключевые пункты контрольного списка, которые необходимо включить на этом этапе:

  • Понимание организации, ее контекста и ее стратегии
  • Определите область универсума ИТ-аудита и компоненты для оценки
  • Оценка рисков, связанных с ИТ-аудитом
  • Утверждение плана

Наличие актуальной структуры проведения проверки может значительно упростить процесс аудита и обеспечить его тщательность и соответствие его целям.

2. Учесть факторы риска

Как уже упоминалось, точный процесс и характер аудита будут зависеть от объема аудита. Однако определение этой сферы охвата и важных моментов, которые необходимо охватить, может оказаться сложной задачей без руководства.

При проведении полного аудита ИТ сверху вниз, включая системы управления рисками и управления ИТ, может быть очень полезным использовать конструктивные факторы, как синоним факторов ИТ-риска.

К этим факторам относятся:

• Стратегия предприятия

• Цели предприятия

• Характеристика рисков

• Вопросы, связанные с I&T

• Ландшафт угроз

• Требования к соблюдению

• Роль ИТ

• Исходная модель для ИТ

• Методы внедрения ИТ

• Стратегия внедрения технологий

• Размер предприятия

Объем аудита, естественно, определит, какие из этих факторов должны быть оценены, а какие должны быть исключены.

3. Компоненты и оценка

Есть семь конкретных компонентов, которые можно использовать для подробного описания процесса аудита.

К ним относятся:

  • Процессы
  • Организационные структуры
  • Принципы, политика и рамки
  • Информация
  • Культура, этика и поведение
  • Люди, навыки и компетенции
  • Услуги, инфраструктура и приложения

Каждый из этих семи компонентов может быть дополнительно адаптирован для удовлетворения конкретных потребностей организации и ее проверки.

При оценке каждого компонента рассмотрите возможность использования шкалы зрелости процессов, которая оценивает процессы по шестибалльной шкале:

• 0. Не хватает даже базовых возможностей.

• 1. Не очень организованный, но процесс достигает своей цели.

• 2. Процесс завершает свою основную цель с помощью действий, которые характеризуются как “выполненные”.

• 3. Процесс более организован и использует организационные активы.

• 4. Процесс четко определен и измерен.

• 5. Процесс определен, измерен и постоянно совершенствуется.

Эти оценки следует сравнить с желаемыми результатами, которые ранее были определены системой управления ИТ организации, и затем эти результаты должны быть сведены в отчет.

4. Завершение аудита

После завершения процесса аудита результаты должны быть сведены в отчет и представлены соответствующим заинтересованным сторонам.

Когда ответственные за проверку создают этот отчет, важно четко документировать каждый аспект их процесса, включая:

  • План, объем и цели аудита
  • Методология аудита
  • Аудиторские обязательства и операции
  • Результаты аудита

Аудиторский отчет является заключительным этапом процесса и предоставит всю необходимую информацию любому, кто не знаком с процессом, его целью или результатами. Четкая документация процесса также может быть использована для обеспечения соблюдения надлежащих проверочных процедур и никакие ключевые моменты не будут упущены.

Оставайтесь на связи