ИТ аудит: сущность и подготовка

ИТ аудит заключается в постоянном мониторинге и контроле работы ИТ отдела компании. Его проводят сторонние консалтинговые компании, которые, имея определенный опыт, уже сформировали свои наработки для разных типов предприятий. Каждая наработка является ничем иным как обычным сохраненным в Excel списком рисков и контролей. Все они сгруппированы по темам.

Руководителям компаний, которые заказывают услугу ИТ аудита, стоит всегда обращать внимание на эти наработки, поскольку они могут быть как результатом кропотливой работы консалтинговой организации, который учитывает в себе все требования современного законодательства и передовой опыт, так и простым плагиатом бывших работников крупных фирм, которые теперь стали предлагать свои услуги самостоятельно. Как правило, проверка работы ИТ отдела проводится два раза в год.

Первый раз это делают в конце весны или в июне. В это время консалтинговая компания описывает ИТ процессы и контроли (то есть заполняет матрицы). Кроме этого аудитор всегда требует документированный пример для каждого отдельного ключевого контроля. В это время не проводят тщательную проверку описанных ИТ процессов.

Второй раз it аудит проводят осенью. В это время тестируют все ключевые контроли. Иными словами процесс заключается в сборе документации по каждому отдельном контролю и проверке ее. Как видно, всегда проводится обычный и ключевой контроли. Последний отличается процедурой тестирования ключевых процессов. Стоит добавить, что эти два этапа могут делаться в другом порядке. То есть сначала могут собирать и полностью проверять документацию. В данном случае все зависит от договоренности между сторонами.

Важным моментом для каждого заказчика ИТ аудита является то, что он должен документировать каждый ключевой процесс ИТ отдела. Это надо делать путем выдачи необходимых приказов, заполнения документов и подписания их руководящими лицами. При необходимости эта документация может меняться. Специалисты рекомендуют формировать и список документированных процессов, которые выполняет ИТ отдел. Этот список следует хранить в файле Excel.