Критерии выбора аудитора и подготовка к ИТ аудиту

14.12.2023

Суть любого аудита состоит в проведении независимой экспертизы с целью проверки инфраструктуры. Необходимость проведения аудита ИТ-инфраструктуры возникает при планировании радикальных изменений, оптимизации, модернизации. Часто причиной проведения процедуры становится смена IT-персонала.

Цели ИТ-аудита

Аудит информационных систем – независимая оценка средств контроля в IT-инфраструктуре и бизнес-приложениях. Анализ полученных данных позволяет определить, насколько эффективно работает информационная система, выявить слабые места, найти способы их ликвидации.

Задачи проверки:

оценка эффективности работы IT-персонала, уровня подготовки кадров;
анализ затрат на оборудование, лицензии, ПО, подписки в сервисах, хостинги, зарплаты персонала;
выявление мест в бизнес-процессе, где IT-технологии используются недостаточно эффективно, рекомендации по исправлению ситуации;
оценка процессов, отвечающих за безопасность информации;
анализ рисков для информационных активов, разработка способов минимизации риска;
обеспечение соответствия IT-процессов требованиям законодательства и стандартам отрасли;
разработка дорожной карты устранения выявленных недостатков.

Аудиторская компания может осуществить проверку технического состояния компьютерной инфраструктуры, систем управления, ПО, информационной безопасности, работы бухгалтерии, каналов связи, телефонии, интернет-маркетинга. Организация может заказать экспресс-обследование, проверку конкретного бизнес-процесса, комплексный ИТ-аудит. Заказчик определяет, что именно должен проверить аудитор – проанализировать работу всей инфраструктуры или выполнить конкретное задание. Свои пожелания заказчик излагает в техническом задании.

Критерии выбора аудитора

Внешний аудит проводят квалифицированные специалисты, которые ранее не участвовали в создании ИТ-инфраструктуры компании-заказчика.

При выборе аудитора необходимо учитывать следующие факторы:

1. Квалификация аудиторов.

Аудиторы должны иметь соответствующую квалификацию и опыт проведения ИТ-аудитов. Квалификация аудиторов определяется наличием у них сертификатов, подтверждающих их знания и навыки в области ИТ-аудита.

Опыт проведения ИТ-аудитов можно оценить, ознакомившись с портфолио аудиторской фирмы.

Квалификация аудиторов в области ИТ может быть подтверждена различными сертификатами, например, CISA, CISSP, CISM и ISO 27001 Lead Auditor. Эти сертификаты выдаются международными профессиональными организациями и требуют наличия определенных знаний и опыта в области ИТ-аудита.

При оценке квалификации аудиторов необходимо обратить внимание на следующие моменты:

Наличие у аудиторов соответствующих сертификатов.
Опыт работы аудиторов в области ИТ.
Специализация аудиторов.

2. Репутация аудиторской фирмы.

Важно убедиться, что аудиторская фирма имеет хорошую репутацию и опыт работы в вашей отрасли. Репутацию аудиторской фирмы можно оценить, посмотрев отзывы клиентов и оценив ее рейтинги.

Также можно обратиться к знакомым или коллегам, которые уже работали с этой аудиторской фирмой.

При оценке репутации аудиторской фирмы необходимо обратить внимание на следующие моменты:

Наличие положительных отзывов от клиентов.
Высокий рейтинг аудиторской фирмы в рейтинговых агентствах.

3. Стоимость услуг.

Стоимость услуг аудиторов может варьироваться в зависимости от объема аудита и сложности ИТ-систем организации. Необходимо сравнить цены нескольких аудиторских фирм, чтобы выбрать наиболее выгодное предложение.

При оценке стоимости услуг аудиторов необходимо обратить внимание на следующие моменты:

Объем аудита.
Сложность ИТ-систем организации.
Опыт работы аудиторской фирмы.

4. Набор услуг.

При выборе аудитора важно учитывать, какие услуги он предоставляет. Некоторые аудиторские фирмы специализируются на определенных видах аудита, например, на аудите информационной безопасности, аудите соответствия требованиям или аудите эффективности. Важно убедиться, что аудиторская фирма предоставляет услуги, которые соответствуют потребностям вашей организации.

В некоторых случаях организация может столкнуться с ситуацией, когда аудиторская фирма не сможет полностью закрыть ее потребности в проверке инфраструктуры. Например, если организация использует уникальные или сложные ИТ-системы, аудиторская фирма может не иметь опыта или квалификации для их аудита. В этом случае необходимо либо найти аудиторскую фирму, которая имеет опыт работы с такими системами, либо провести аудит самостоятельно или силами внутренних аудиторов.

При выборе ИТ-аудитора обращайте внимание на следующие моменты:

Набор услуг.
Опыт работы со сложными структурами.

5. Содержание отчёта.

По окончании работы заказчик должен получить детализированный отчёт с перечнем обнаруженных проблем и уязвимостей, с предложениями по способам их устранения.

При оценке содержания отчетов аудитора необходимо обратить внимание на следующие моменты:

Полнота и точность информации, содержащейся в отчетах.
Понятность и доступность информации для пользователей отчетов.
Наличие конкретных рекомендаций по устранению выявленных нарушений и несоответствий.

Отчеты должны включать в себя следующие элементы:

Выводы и рекомендации аудитора.
Подробное описание выявленных нарушений и несоответствий.
Рекомендации по устранению выявленных нарушений и несоответствий.

Учитывая эти факторы, можно выбрать аудитора, который будет способен предоставить качественные услуги и выполнить аудит в соответствии с потребностями вашей организации.

Этапы процедуры

Мероприятие делится на отдельные шаги, каждый из них важен для получения конечного результата.

Подготовка к ИТ-аудиту

При подготовке к ИТ аудиту необходимо выполнить следующие действия:

Определить цели аудита.

Цели аудита должны быть четко определены и согласованы с аудиторской фирмой. Цели аудита могут быть направлены на оценку эффективности ИТ-систем организации, соответствия их требованиям или выявление рисков.

При определении целей аудита необходимо учитывать следующие моменты:

Цели организации.
Требования, предъявляемые к ИТ-системам организации.
Риски, связанные с ИТ-системами организации.

Собрать необходимые документы и информацию.

Аудиторам потребуется доступ к документации ИТ-систем организации, а также к другой необходимой информации.

Документация ИТ-систем должна включать в себя планы архитектуры, процедуры безопасности и другие соответствующие документы.

Для сбора необходимых документов и информации необходимо провести инвентаризацию ИТ-систем организации. Инвентаризация должна включать в себя следующие элементы:

Список ИТ-систем и их компонентов.
Документацию по ИТ-системам.
Сведения о владельцах и операторах ИТ-систем.
Сведения о рисках, связанных с ИТ-системами.

Назначить ответственных лиц.

Необходимо назначить ответственных лиц за взаимодействие с аудиторами и предоставление им необходимой информации.

Ответственные лица должны быть хорошо знакомы с ИТ-системами организации и иметь возможность предоставить аудиторам полную и точную информацию.

При назначении ответственных лиц необходимо учитывать следующие моменты:

Знание ИТ-систем организации.
Умение работать с аудиторами.
Доступ к необходимой информации.

Некоторые конкретные действия, которые можно предпринять для подготовки к ИТ аудиту, включают:

Обеспечьте аудиторам доступ к вашей ИТ-инфраструктуре. Это может включать предоставление им паролей, доступа к серверам и другим системам.
Предоставьте аудиторам документацию по вашим ИТ-системам. Эта документация должна включать в себя планы архитектуры, процедуры безопасности и другие соответствующие документы.
Проведите обучение сотрудников по вопросам ИТ аудита. Сотрудники должны быть осведомлены о целях аудита и о том, как они могут помочь аудиторам.
Спланируйте свое время для взаимодействия с аудиторами. Аудиторы могут задавать много вопросов и запрашивать большое количество информации. Важно выделить достаточно времени для взаимодействия с аудиторами и предоставления им необходимой информации.

Начало ИТ-аудита: Планирование

На этапе планирования аудиторы совместно с организацией определяют цели аудита, scope аудита, а также методы и инструменты, которые будут использоваться при проведении аудита.

Цели аудита должны быть четко определены и согласованы с организацией. Цели аудита могут быть направлены на оценку эффективности ИТ-систем организации, соответствия их требованиям или выявление рисков.

Scope аудита определяет, какие ИТ-системы и процессы будут подвержены аудиту. Scope аудита должен быть согласован с организацией, чтобы обеспечить охват всех критически важных ИТ-систем и процессов.

Методы и инструменты, которые будут использоваться при проведении аудита, определяются в зависимости от целей и scope аудита. К наиболее распространенным методам и инструментам ИТ аудита относятся:

Анализ документации: изучение документации ИТ-систем, включая планы архитектуры, процедуры безопасности и другие соответствующие документы.
Наблюдение: наблюдение за работой ИТ-систем и процессов.
Интервью: проведение интервью с сотрудниками, ответственными за ИТ-системы и процессы.
Тестирование: тестирование ИТ-систем и процессов на соответствие требованиям.

Этап 1: Сбор информации

На этапе сбора информации аудиторы собирают информацию, необходимую для проведения аудита. Эта информация может быть получена из различных источников, включая:

Документы: документация ИТ-систем, включая планы архитектуры, процедуры безопасности и другие соответствующие документы.
Системы: данные, хранящиеся в ИТ-системах.
Люди: сотрудники, ответственные за ИТ-системы и процессы.

Этап 2: Анализ информации

На этапе анализа информации аудиторы анализируют собранную информацию для выявления несоответствий и рисков. Несоответствия — это ситуации, когда ИТ-системы или процессы не соответствуют установленным требованиям. Риски — это потенциальные события, которые могут привести к негативным последствиям для организации.

Этап 3: Разработка рекомендаций

На этапе разработки рекомендаций аудиторы разрабатывают рекомендации по устранению выявленных несоответствий и снижению рисков. Рекомендации должны быть конкретными и обоснованными.

Завершение ИТ аудита: подготовка и предоставление отчета

После проведения подготовительного этапа аудитор имеет возможность составить подробный план по проведению работы, установить сроки выполнения. В дальнейшем аудитор изучает информацию об ИТ-инфраструктуре и персонале, чтобы уточнить функции отдельных сотрудников, проанализировать механизмы управления ИТ-процессами. Полученную информацию необходимо проверить, оценить её достоверность. Аудитор работает с персоналом, проверяет, работают ли в реальности правила и требования. На последнем этапе проходит оценка зрелости инфраструктуры, целесообразность.

По итогам аудита организация получит отчёт, в котором указано, как именно работают процессы в компании, какие задачи выполняет персонал, наличие уязвимости, список рекомендаций по устранению ошибок.

Дополнительные этапы

В некоторых случаях ИТ аудит может включать в себя дополнительные этапы, такие как:

Контроль: проверка того, были ли реализованы рекомендации аудитора.
Повторный аудит: проведение повторного аудита для проверки эффективности реализованных рекомендаций.

Для организаций Санкт-Петербурга it аутсорсинг предоставляет компания BitRaid для проведения IT-аудита. Предоставляем полный спектр услуг для выполнения задач в информационно-технологической сфере. Можете выбрать варианты аудита – комплексный, по определённому критерию, экспресс-проверку. В нашем штате работают специализированные сотрудники, они обеспечат персональный подход к решению задач, гарантию качества на услуги. Проведём полный аудит или проверку отдельной части.