Nastavniky.ru

Обучение онлайн
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

It аудит обучение

It аудит обучение

����: (ITG121) Audit School
����� ������ ��. ������� ����

  1. �������� � ��-�����
    • ���� ������ � ����������� ����������
    • ���� �� ������ ��������
    • ����� �������������� ���������� � ������������ � ������������������ �����
    • ��� ����� ��������?
    • ����������� ����������� ��������
    • �������� ��������� � ����� ��������
    • ���������� ����� ������ ���������� �����
    • ����������� ����� ��������
  2. ������������ ��-������
    • ����������� ����������� ������
    • ���� ��-������
    • ��������� ��-������
    • ��� ����� ����������
    • ���������� � ����� �������� ��������
    • ����� ���������� ��-�������
    • ��������� ���������� ��
    • ���������� ������
    • �������� ������� ���������
  3. ����������� ����������� � ���������
    • ����������� ������������� ������
    • ��� ����� ��������?
    • AICPA � SAS
    • GAO � ������ ���������������� �����������
    • �������� ���������� ��������� (IIA)
    • �������� �������
    • ������ ����������� �������� COSO
    • ISACA � �������� ���������� ��
    • COBIT®: ������ �������������� � ������� ����������
    • �������� ������������ ISO 27002
  4. ������ �������������� ����������
    • ����������� � ������������� �������� ����� �������� � ����������� ��-�����
    • ������ ���������� ���������� ����������� � ������ ��
    • ��� ������ ������ �����������
    • ����������� �����������, ���������������� � ��������� ������
    • �������������� ������� � ���������� ������/������
    • ������� ����������� � ������ ������������
    • ������������ ��-�������, ���������� ���������� ��������� � ������������
    • ��������� ������ �� ����������
  5. �������� � WEB-����������
    • ���������� � �������� ������ ���������
    • ����� ����������� �������� � ��������-������������
    • ��������������� ����������� �������� ���������
    • ������������ ��������� ����: ���������� ������ � ������
    • ������������ � ����� ������������� WEB-����������
    • ��������� Internet- � WEB-������
  6. ����� ��������� �������� � ��������� �������� ����������
    • ���������� ������������
      • ������������� ������
      • ���������� �������� �������: ������ � �������
    • �����������: ������ � ����������
      • ��������� ������, �� � ��������� ����������
      • ���������� �������������� �������������
    • ���������� �����������
      • ���� ���������� �����������
      • �������� ��������� � ����������
      • ���������� ��������� ���������
      • �������������� ������������ �����������
    • ������������� ������� / �������������� ����� ������������ ��������
      • ������������ ������������� ������� / ���� �� �������������� ����������������� (BCP / DRP)
      • ������ ����������� ��� ������������ (BIA)
      • ��������� �������������� ����� ������������ ��������
      • ���������� ����� ��������
    • ���������� ���������� ������
      • ������� SDLC, RAD, ERP
      • ������������� ����������� ������
      • ��������� ������
  7. ���������� ��� ������ � �������� ����������
    • ���������� �����������
      • ���������-������������ ������
      • ������� ���������-������������� ������
      • ����-������������ ������
    • ��� ����� ���� ������?
    • ������������ ��� ������
    • ������� ���������� ������ ������ (DBMS)
    • ���� ��� ������
    • ������� ������ ��� ������
  8. ����� �������� ���������� ���������������
    • ���������� ����������
      • ��-��������
      • �������� ���������� ������������� ���������
      • ��������� ��������� ��������� (�������)
      • �������� ���������� ��������� ����������� ������������: �����
    • ���������� ������������
    • ���� �������� ���������� �����
  9. ���������� ������-����������
    • ���� ������ ����������
    • ��� ����� ����������?
    • ����� ���������� ���������� �� �����������
    • ��������� ���� ����������
    • ������� ������ ����� ����������
    • ����������� ����������� � ������
  10. ���������� ����-��������������� ������������
    • ������������ ������ ����������
    • ���������� ����-��������������� ������������
    • ����������� ������� ������������
    • ������������ ����������� ������� ������ ����������
    • ���������� ������ ������ ������������ ����������
    • ����������� �������� ����������
    • ���������� ������������������ ��������� ����������
    • ������ � �������� ��������� ���������� ������������
  11. ������ ����� � ��������� ������
    • ����� � ������ ������� ����� � ���������
    • �������� ���� / �������� ��������� ������
    • ���� ������ / �������� ��������� ������
    • ���� ������ / ��������� ������ ������
    • ���� � �������� ������� / ��������� � �������� �������
  12. �������� ���������� ������������
    • ������-����������
    • �������������� ����
    • COSO: �������� ���������� ������������
    • ����� ������-����������
    • ��������� ���� ���������� ����������
    • �������� ����������
    • ���������� ������������
    • ������������� � �������� ����� ������
    • ������������� � �������� ��������� ������
    • ������������� � �������� ������ ������
    • �������� � ������������� �������� ������
    • �������� �� ������� ������
    • �������� ������������, ����������� ������� � ������ ������ �������������
    • ���������������� ������������
    • ��������
    • ���������� ������������
    • ������������ ������������� �������
    • ���������� Sarbanes-Oxley � ��������� ���������� ������������
  13. ������������ ���������� ������������
    • ������������ ������������������� � ������� ��������
    • ������������ ������ ���������
    • ����� �������� �������
    • ������������ �������
    • �������� �������������� ����������
    • ���� ����������� �������������
    • �������������� / ��������� ������������
    • ������ ������ � �������������� ���������� (CAATs)
    • ������ ������: ������������ � �������� ������
    • Sarbanes-Oxley: ���������� � ������������ � �������
  14. ���������������� �������� ������������
    • ������ � ���������������� ����������� ��������
    • ������ ����������� ��������
    • ������������ �����
    • ��������� / ������������������ ��������
    • ����������� �������
  15. ��������� ������ �������� �������������
    • ���� ��������� ������ � ��������� ������������
    • ����� ���������� ��������� ������������
    • �������� ����� ��������� ���������� ��
    • ����� �������� �� �����������
    • ����� ������������� ����������
    • ����������� �������: �������� ������
    • ����������� �������: ������� �����
    • ������������ ������ ��� ������ �������� � ������� ����������� ������

������� ������ Dell Technologies (Dell EMC), VMware, Microsoft: ������, ��. ���������������, 5, �������: +7(495) 933-0006

Основы ИТ-аудита (на базе семинара CISA): ITA-4.1

ПОИСК
Быстрый заказ
ОЦЕНКА КУРСА

оценка преподавателя:

Продолжительность курса: 3 дня / 24 ак.ч.

Место проведения курса:

  • ул. Доброслободская, д.5
  • Бауманская
  • Комсомольская
  • Красные ворота

Ближайшая дата проведения: 01.06.2020

Продолжительность курса: 3 дня / 24 ак.ч.

Место проведения курса:

  • ул. Доброслободская, д.5
  • Бауманская
  • Комсомольская
  • Красные ворота

Продолжительность курса: 3 дня / 24 ак.ч.

Продолжительность курса: 3 дня / 24 ак.ч.

РАСПИСАНИЕ ЗАНЯТИЙ
Содержание курса
  1. Оценочный тест 100 вопросов.
  2. Процесс аудита информационных систем
    • Стандарты и рекомендации ISACA
    • Практики и техники аудита
    • Сбор информации и сохранение доказательств
    • Цели и механизмы контроля
    • Оценка рисков в контексте аудита
    • Планирование аудита и техники управления
    • Отчетность и коммуникации
    • Контроль процесса аудита
    • Тест домашнее задание 1.
  3. Стратегия и управление ИТ
    • Основы ИТ стратегии
    • Методология управления ИТ
    • Политики информационной безопасности
    • Стратегии и практики управления качеством
    • Роли и ответственность подразделения ИТ
    • Архитектура предприятия
    • Управление рисками
    • Модели усовершенствования процессов
    • Стратегии взаимодействия с поставщиками ИТ-услуг
    • Мониторинг и отчетность качества ИТ-услуг
    • Управление кадрами
    • Бюджетирование
    • Тест домашнее задание 2.
  4. Управление жизненным циклом информационных систем
    • Практики управления преимуществами
    • Механизмы управления проектами
    • Практики, инструменты и методики контроля управления проектами
    • Практики управления рисками
    • Проектные риски и критерии успеха
    • Управление конфигурацией, изменениями и релизами
    • Механизмы контроля в приложениях
    • Архитектура предприятия
    • Анализ требований
    • Управление контрактами и закупками
    • Методологии и инструменты разработки систем
    • Методы контроля качества
    • Управление процессом тестирования
    • Инструменты, техники и процедуры преобразования данных
    • Вывод систем из эксплуатации
    • Сертификация и аккредитация
    • Опытная эксплуатация
    • Миграция и развертывание систем
    • Тест домашнее задание 3.
  5. Использование, обслуживание и поддержка информационных систем
    • Практики управления уровнем обслуживания
    • Лучшие практики управления операциями
    • Процессы, инструменты и техники мониторинга производительности
    • Функционал оборудования и компонентов сети
    • Практики администрирования СУБД
    • Функционал системного программного обеспечения
    • Планирование емкости и техники мониторинга
    • Управление запланированными и экстренными изменениями
    • Практики управления инцидентами и проблемами
    • Практики лицензирования и инвентаризации
    • Инструменты и техники отказоустойчивости систем
    • Тест домашнее задание 4.
  6. Защита информационных ресурсов
    • Управление информационной безопасностью
    • Логические механизмы контроля
    • Безопасность сетевой инфраструктуры
    • Методы и техники атак
    • Реакция на инциденты безопасности
    • Системы защиты и оборудование
    • Криптография и инфраструктура открытых ключей
    • Инструменты и техники обнаружения вредоносного кода
    • Тестирование на проникновение
    • Контроль окружающей среды
    • Системы физические защиты
    • Схемы категорирования информационных ресурсов
    • Voice-over-IP
    • Транспортировка и уничтожение информационных ресурсов
    • Защита мобильных и беспроводных устройств
    • Тест домашнее задание 5.
Слушатели
Предварительная подготовка
СЛУЧАЙНЫЙ ВОПРОС ПО КУРСУ

Скидка рассчитывается индивидуально при обучении 2 и более человек от компании, заполните, пожалуйста, форму ниже:

Аудит ИТ, Системы управления, Процессов и структуры предприятия.

Очное обучение

Очное обучение – это обучение в одном из 13 городов России, где есть классы Учебного центра Softline (Москва, Санкт-Петербург, Владивосток, Екатеринбург, Казань, Красноярск, Нижний Новгород, Новосибирск, Омск, Ростов-на-Дону, Самара, Уфа, Хабаровск).

Вы приезжаете в указанное администратором время по нужному адресу и проходите обучение на наших ПК. Все лабораторные работы и/или практические задания будут заранее настроены нашими техническими специалистами и готовы к работе. В стоимость очного обучения входит блокнот, ручка, учебники и пособия, чай/кофе/вода/печеньки и обед. Иногородним слушателям, желающим обучаться в наших классах очно, мы помогаем с подбором и бронированием гостиницы (командировку вы оформляете за свой счёт).

Дистанционное обучение

Если в вашем городе нет класса, вы можете пройти обучение в дистанционном формате. Стоимость дистанционного курса на 10% меньше, чем очного.

Читать еще:  Витебский государственный университет имени машерова стоимость обучения

Удалённый формат подразумевает подключение к очной группе во время проведения курса (ссылка для подключения будет выслана вам заранее). С вашей стороны нужен компьютер или ноутбук с устойчивым подключением к интернету и гарнитура с микрофоном и наушниками. Вы будете видеть презентацию преподавателя, слышать его, получите удалённый доступ к лабораторным работам (если курс подразумевает их использование), сможете задавать вопросы в групповом чате или голосом, общаться с другими слушателями, а по окончании обучения получите те же сертификаты (по электронной почте), что и очные слушатели (в сертификате не указано, в каком формате вы прошли обучение).

Курс «Аудит ИТ, Системы управления, Процессов и структуры предприятия» рассказывает собственникам, руководителям ИТ и бизнеса, как оценить текущую ситуацию в ИТ, где складывается ситуации потенциально вредная и опасная для бизнеса, а где есть возможности улучшений. В рамках данного семинара мы разберем, как правильно формулировать цели аудита. Как правильно выстраивать внутренние контролирующие и проверяющие процедуры. Где и как надо приглашать внешних подрядчиков. Как правильно подбирать, обучать и мотивировать специалистов по ИТ аудиту. Как работать с сопротивлением персонала при проведении ИТ аудита.

Профиль аудитории:

  • Руководители, собственники бизнеса, специалисты по процессному управлению, бизнес аналитики, специалисты по бизнес процессам, методологи.

По окончании курса слушатели смогут:

  • Сохранить и усилить свой контроль за компанией
  • Укрепить свою власть
  • Выстроить более эффективную систему управления
  • Видеть предпосылки разрушения компании изнутри и принимать превентивные меры
  • Изучить способы повышения эффективности работы компании за счет регулярных внешних и внутренних аудитов
  • Узнаеть современные подходы к внутреннему аудиту, контроллингу и мониторингу
  • Правильно ставить цели для внешнего и внутреннего аудита
  • Узнаеть, как выбирать подрядчика для внешнего аудита
  • Существенно снизить затраты на ИТ, в т.ч. на сервера, ПО и ИТ персонал
  • Снизить риски простоя из-за возможных отказов ИТ сервисов
  • Оптимизировать затраты на моделирование бизнес архитектуры
  • Снизить издержки за счет более рационального выстраивания бизнес процессов
  • Знать, в каких процессах нужно контролировать результат, а в каких необходимо жесткое соблюдение регламента
  • Знать, какие процессы лучше перестроить согласно принципов холакратии, а для каких оставить классическое иерархическое управление.
  • Знать признаки отставания организационной структуры от потребностей бизнеса.

Модуль 1. Введение

  • Понятие мониторинга, контролей, контроллинга и аудита.
  • Цели аудита.
  • Вопросы, которые интересуют собственников бизнеса при проведении аудита.
  • Вопросы, которые интересуют руководство компании при проведении аудита.
  • Вопросы, которые интересуют руководителя подразделения при проведении аудита.
  • Сопротивление сотрудников при проведении аудита: причины, способы преодоления.
  • Устав аудита.
  • Управление рисками при проведении аудита.
  • Анализ перспектив и планов развития бизнеса.

Модуль 2. Социальные законы и факторы развития организации

  • Формальные и неформальные группы. Властные группировки. Оценка амбиций и лояльности подчиненных. Техники и приемы укрепления власти.
  • Законы Паркенсона для развития больших организаций.
  • Этапы жизненного цикла организации по Адзиесу и «болезни» свойственные этим этапам.
  • Оценка компетенций управляющей команды по Адзиесу. Выявление недостающих компетенций.
  • Когнитивные искажения и профессиональная деформация.
  • Токсичные сотрудники и руководители.
  • Сознательные и подсознательные установки и мотиваторы собственника бизнеса.
  • Интересы и амбиции генерального директора.
  • Интересы внешних аудиторов.
  • Способы манипуляции аудитором. Методы давления на аудитора.
  • Использование внешних аудиторов в личных интересах.
  • «Обычная» и «правильная» мотивации владельца бизнес процесса.
  • Признаки несоответствия организационной структуры интересам бизнеса.

Модуль 3. Оценка корпоративных факторов влияния и их аудит.

  • Корпоративные факторы влияния согласно Cobit.
  • Оценка вовлеченности, профиля мотивации, ценностей, проактивности сотрудников.
  • Оценка токсических свойств работников: конфликтность, депрессивность, алкогольная и прочие зависимости, воровство, коррупция, обидчивость, пессимизм.
  • Определение неформальных лидеров и группировок.
  • Оценка профессиональных компетенций.
  • Пути решения выявленных проблем.

Модуль 4. Аудит процессов и орг. штатной структуры

  • Цели аудита.
  • Инструменты аудита.
  • Заказчики аудита.
  • Внутренние аудиторы.
  • Внешние аудиторы.
  • Устав аудита.
  • Контроллинг и мониторинг бизнес процессов.
  • Блиц-опрос: Нарушенные процессы. Процессы без владельца. Процессы, нуждающиеся в реинжиниринге. Процессы с размытой ответственностью.
  • Разделение всех процессов на при вида: фискальные процессы, консервативные процессы, требующие жесткой регламентации, и процессы, склонные к динамическим изменениям.
  • Принципы построения, контроля и аудита для каждого вида процессов.
  • Выделение процессов, которые можно выстроить по принципам холакратии.
  • Оценка 360 и выявление токсичных сотрудников.
  • Анализ процессов, которые искажают токсичные сотрудники.
  • Реинжиниринг поврежденных процессов.
  • Анализ контрольных и согласующих операций в бизнес процессе, сокращение контрольных операций в пользу самых экономически обоснованных операций.
  • Аудит системы управления корпоративной бизнес архитектурой предприятия. Соответствие системы задачам бизнеса. Оценка соответствия глубины описания бизнес процессов потребностям бизнеса. Аудит знаний пользователями регламентов бизнес процессов.
  • Анализ времени выполнения операций. Использование систем видео-аналитики и DLP систем. Изменение функционала исполнителя операции и оптимизация орг. штатной структуры.

Модуль 5. Аудит ИТ

  • Международные стандарты по аудиту: Стандарт ITAF, Стандарт «Cobit 5 for Assurance», Стандарт IIA, Стандарты «ISAE No. 3402» и «SSAE No. 16», Стандарт PCAOB, Стандарты ISO27001 и ISO27002, Стандарт ISO 20000, Стандарт ITIL, Стандарт PCI DSS, Стандарт NIST, Стандарт ISF.
  • Оценка факторов влияния потребностям бизнеса по Cobit: Принципы, политики и подходы, Процессы, Организационная структура, Культура, этика и поведение, Информация, Услуги, инфраструктура и приложения, Люди навыки и компетенции.
  • Устав ИТ аудита по Cobit:Цели, Заказчик, Сроки, Объем работ, Орг. штатная структура, Распределение обязанностей, Ответственность за результаты, Процедуры, Формат отчетного документа.
  • Пример Устава Ит аудита по Cobit
  • Формы проведения внешнего и внутреннего ИТ-аудита по Cobit: Обследование и обзоры безопасности информационных систем, Сертификация, Аттестацию, Технические экспертизы, Различные формы контроля качества.
  • Принципы построения системы контролей. Акт Сарбейнса-Оксли и информационные технологии. Параграфы 302 и 404.Элементы системы внутреннего контроля Sarbanes-Oxley (SOx).
  • Этапы работы по разработке и внедрению системы внутреннего контроля Sarbanes-Oxley (SOx): оценка объема проекта и планирование работ; определение существенных счетов компании (материальных и нематериальных); установление бизнес-процессов компании, важных с точки зрения существенных счетов; описание структуры выделенных процессов; определение рисков и их предварительное ранжирование; проведение оценки наиболее существенных рисков и их ранжирование;описание/разработка системы внутреннего контроля; проведение первичной оценки эффективности систем внутреннего контроля; настройка системы тестов и процедур для проведения периодического тестирования системы внутреннего контроля и формирования рекомендаций по их улучшению. Состав проектной группы внедрения системы внутреннего контроля Sarbanes-Oxley (SOx); Контрольные процедуры для Sarbanes-Oxley (SOx); Общие ИТ-контроли для SOX. Как выполнить требования SOX (аудиторов из BIG4) к ИТ.
  • Проверка ИТ службы при финансовом аудите: Логический и физический доступ, Эксплуатация информационных систем, Управление изменениями в информационных системах.
  • Оценка процедур стратегического планирования, документов, целеполагания и управления по целям предприятия. Оценка того, насколько ИТ служба понимает текущие и будущие потребности бизнеса. Оценка соответствия факторов влияния ИТ службы на компанию. Оценка понимания руководством компании новых технологий и возможностей, которые несет ИТ для бизнеса.
  • Аудит данных на соответствие Cobit: Требования к информации, Устав данных, Владельцы данных, Кураторы данных, Стоимость данных, Отказ от хранения расчета неиспользуемых данных, Оптимизация пользовательских форм и процедур, Контроль качества данных, Возможности технологии BigData.
  • Аудит информационных систем: Инвентаризация ПО и лицензий Архитектура ИС предприятия. Эргономика. Оценка степени удовлетворенности пользователей.
  • Методика APDEX – стандарт оценки производительности корпоративных приложений. Качество и эффективность интерфейсов между системами. Шины данных.
  • Аудит веб приложений.
  • Бенчмаркинг затрат на ИС предприятия.
  • Оптимизация процессов и систем.
  • Аудит процессов и устройств печати с целью снижения издержек компании: Бенчмаркинг себестоимости собственной печати и аутсорсинга печати. Оптимизация оборудования. Оптимизация документов и документооборота. Экономическая эффективность внедрения Electronic Data Interchange.Экономическая эффективность электронной подписи.
  • Аудит связи: Выбор оптимального провайдера и тарифов. Бенчмаркинг. Обоснование оптимальных затрат на связь.
  • Аудит работы ИТ персонала и организационной структуры ИТ: Бенчмаркинг показателей. Показатели мотивации, качества работы и ответственности персонала. Показатели производительности и утилизации рабочего времени. Экономические показатели аутсорсинга ИТ работ.
  • Аудит ИТ инфраструктуры. Технологии аудита, Программные средства для аудита, Бенчмаркинг. Оптимизация затрат на инфраструктуру
  • Аудит информационной безопасности. Системы удалённого доступа. Шлюзы доступа в Интернет. Системы антивирусной безопасности. Системы резервного копирования данных. Бенчмаркинг. Оптимизация затрат на ИБ.
  • Аудит «теневых ИТ». Оценка рисков. Оценка возможностей.
  • Аудит закупок для ИТ: Сравнение стоимости владения брендового и «no name» оборудования. Тендерные площадки. Выявление коррупции при закупках. Бенчмаркинг.
  • Оптимальные процедуры и регламенты.
  • Способы снижения издержек ИТ в условиях кризиса. Снижение расходов компании за счет инвестиций в ИТ.
Читать еще:  Центр делового обучения сфера

Основные принципы аудита ИТ. Методы оценки ИТ рисков при проведении аудита.

Согласно современной теории корпоративного управления обеспечение эффективного и безопасного использования информационных технологий в условиях рыночной экономики является ключевой задачей как ИТ, так и бизнес-руководителей. Накопленный компанией IT Expert опыт внедрения сложных многоуровневых систем ИТ-управления позволяет утверждать, что результативное выполнение данной задачи невозможно без применения системного подхода, основанного на передовой методологии организации внутреннего контроля и управления рисками.

Компания IT Expert предлагает своим клиентам услугу по проведению аудита системы ИТ-управления. Основной ценностью данной услуги является рискоориентированное применение критериев аудита, позволяющее учесть конкретную специфику и масштабы деятельности организации и, как следствие, обеспечить формирование значимых для целей совершенствования системы ИТ-управления результатов – оценок и рекомендаций.

Базовые принципы ИТ-аудита:

  • независимость и объективность
  • профессиональная компетентность
  • конфиденциальность

Критерии ценности аудиторского заключения:

  • достоверность: выводы основаны на фактах, которые могут быть повторно проверены, а так же на изучении достаточного количества информации.
  • актуальность: при изучении основной акцент делается на проблемах и рисках, которые уже реализуются или с высокой вероятностью могут быть реализованы в краткосрочной перспективе.
  • ясность: информация излагается в структурированном виде — от общих выводов в бизнес-терминах для высшего руководства до частных рекомендаций, включающих специфические аспекты, для ИТ-руководства.
  • полезность (применимость): информация максимально адаптирована для целей формирования программ совершенствования системы ИТ-управления.
  • Целевая аудитория

    • собственники организации : результаты ИТ-аудита используются для формирования комплексной оценки эффективности менеджмента организации по управлению как основной, так и вспомогательной деятельностью, а также принятия стратегических решений по развитию бизнеса.
    • высший менеджмент: результаты ИТ-аудита используются для совершенствования системы корпоративного ИТ-управления, призванной обеспечить преобразование бизнес-целей организации в ИТ-цели, а также установления надлежащего внутреннего контроля за эффективностью использования инвестиций в информационные технологии и деятельностью по минимизации специфических ИТ-рисков.
    • высшее ИТ-руководство: результаты аудита используются для проактивной идентификации проблемных областей ИТ-управления (зон повышенного риска) и формирования детальной программы совершенствования системы ИТ-управления.

    Компетенция IT Expert в области аудита ИТ

    Консультанты компании IT Expert – сертифицированные специалисты в области управления ИТ и аудита ИТ: И имеют уникальный опыт внедрения современных подходов организации служб ИТ, практический опыт работы в службах ИТ и внутреннего аудита.

    Результат для Заказчика:

    Решаемые в рамках аудита системы ИТ-управления задачи:

    • Комплаенс-аудит — оценка степени соответствия системы ИТ-управления требованиям корпоративных и/или внешних стандартов, а также готовность организации к прохождению сертификационного аудита.
    • Аудит эффективности — оценка адекватности системы ИТ-управления целям обеспечения результативного и рационального использования инвестиций в информационные технологии
    • Аудит системы внутреннего контроля — ситуационное моделирование, позволяющее оценить адекватность применяемых методов управления и контроля за информационными технологиями для различных условий деятельности, в том числе расширение или изменение масштабов бизнеса; модернизация или переход на новые информационные системы; изменение объемов финансирования; отсутствие ключевого ИТ-персонала и др.
    • Формирование основы для совершенствования системы ИТ-управления – подготовка детального многоуровневого анализа степени адекватности ключевых элементов управления в разрезе всех идентифицированных ИТ-рисков.
    • Формирование ключевых рекомендаций по программе совершенствования системы ИТ-управления, которые базируются на опыте успешных консалтинговых проектов компании IT Expert и учитывают идентифицированные в ходе аудита факторы успеха и проблемные области.
    • Формирование корпоративной методологии оценки рисков, позволяющей организации самостоятельно осуществлять мониторинг системы ИТ-управления (в том числе программы совершенствования) в условиях динамично изменяющейся среды деятельности.

    Категории оцениваемых ИТ-рисков

    Рискоориентированный аудит системы управления информационными технологиями — деятельность, осуществляемая в интересах руководства, в рамках которой происходит сбор свидетельств аудита и оценка степени их соответствия согласованным критериям аудита с целью формирования независимой экспертной оценки фактического уровня ИТ-рисков и выработки рекомендаций, направленных на их минимизацию.

    Процессный риск – неполный охват деятельности по обеспечению результативного, рационального и безопасного использования информационных технологий на различных стадиях их жизненного цикла. Например, в рамках оценки данной категории риска идентифицируются следующие проблемные области:

    • Неготовность ИТ оказывать адекватную поддержку бизнес-инициативам
    • Высокая длительность и стоимость проектов по созданию информационных систем
    • Неудовлетворяющие бизнес решения по автоматизации
    • Несоответствие фактического уровня ИТ-сервисов ожиданиям бизнеса
    • Частые сбои и длительное время восстановления работоспособности систем
    • Неполное использование пользователями возможностей ИТ
    • Ошибки при обработке данных

    Риск внутреннего контроля – недостатки в обеспечении полноты контрольных и управленческих процедур, направленных на достижение целей ИТ-управления.

    Риск информационной безопасности – недостатки в системе управления информационной безопасности, повышающие вероятность нарушения конфиденциальности, целостности и доступности информации.

    Операционный бизнес-риск – совокупность недостатков системы ИТ-управления в отношении информационных технологий, задействованных в поддержке отдельного бизнес-процесса, которые могут привести к реализации риска не достижения целей основной деятельности.

    Риск персонала – неадекватное управление кадровыми ресурсами, что может привести к отсутствию высококвалифицированного персонала, необходимого для выполнения ключевых ИТ-операций.

    Методики и подходы

    Методологическая основа проведения аудита:

    • ГОСТ Р ИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента».
    • IS Standards, Guidelines and Procedures for Auditing and Control Professionals
    • COBIT 4.1 «Control Objectives for Information and related Technology».
    • Федеральное правило (стандарт) аудиторской деятельности №15. «Понимание деятельности аудируемого лица». Стандарты — источники критериев аудита:
    • COBIT 4.1 «Control Objectives for Information and related Technology». Принципы управления. Руководство по аудиту.
    • ISO 27001:2005 «Информационные технологии. Методы обеспечения безопасности — Системы управления информационной безопасностью. Требования»
    • ISO 20000 «Управление предоставлением ИТ-услуг»
    • ISO 9000 «Указания по менеджменту качества»
    • Board Briefing on IT Governance

    Приведенный перечень включает только ключевые документы (стандарты) и не является исчерпывающим, то есть может быть при необходимости дополнен другими стандартами и практиками.

    • уточнение и приоритезация исследуемых областей;
    • получение информации об объекте аудита, в том числе о масштабах, специфике и планах развития основной деятельности; уровне автоматизации бизнес-процессов; задействованных ИТ-ресурсах и т.п.;
    • расчет по итогам анализа полученных первичных сведений целевого уровня зрелости ключевых ИТ-процессов, в рамках которых осуществляется управление связанными ИТ- рисками.

    Проведение аудита на месте:

        • формирование рискоориентированной программы аудита;
        • проведение самооценки;
        • проведение интервью;
        • наблюдение за деятельность;
        • изучение документальных свидетельств;
        • оценка уровня зрелости ИТ-процессов и остаточного уровня связанных рисков;
        • формирование выводов и рекомендаций;
        • формирование аудиторского отчета;
        • презентация материалов.

    Для чего нужен ИТ аудит и что в него входит

    Определение, принципы, цели и задачи IT аудита

    Как говорится в определении – ИТ-аудит или аудит информационных систем – это изучение и экспертная оценка всей ИТ-инфраструктуры компании и отдельных ее частей.

    Поскольку в современных компаниях все больше операций автоматизируются, проведение ИТ-аудита необходимо, чтобы удостовериться, что все связанные с информацией процессы работают должным образом.

    Основные цели аудита информационной системы предприятия:

    • Оценить эффективность расходуемого на ИТ-задачи бюджета ( включает в себя анализ затрат на зарплаты специалистов, капитальных затрат (CAPEX) на оборудование(в год), переменных затрат(OPEX) на лицензии, подписки в сервисах, хостинги, сервера итд.
    • Оценить эффективность работы ИТ-отдела, а также общий уровень подготовки кадров.
    • Определить места в инфраструктуре и бизнес-процессах, где ИТ-системы используются недостаточно эффективно, выработать рекомендации по повышению эффективности, перераспределению нагрузки
    • Оценить работу систем и процессов, которые обеспечивают безопасность данных компании
    • Оценить риски для информационных активов компании, определить методы минимизации этих рисков
    • Обеспечить, чтобы все связанные с ИТ-системой процессы соответствовали законам и стандартам отрасли
    • Разработать дорожную карту устранения проблем
    Читать еще:  Дистанционное обучение педагогика

    Аудит ИТ-инфраструктуры обязательно требуется, если:

    • У вас уже есть свидетельства того, что ИТ-инфраструктура работает плохо, в ней есть слабые места – например, часто “падает” сайт, тормозит база данных 1С, в корпоративную сеть попал вирус.
    • Глобально меняется структура компании – например, появились новые подразделения (в том числе удаленные), произошло слияние компаний или поглощение – соответственно, будет меняться ИТ-составляющая компании. Требуется аудит деятельности, чтобы решить, что оставить как есть, что нужно добавить, от чего, возможно, отказаться. я Это поможет принять решения о централизации определенных сервисов, стандартизации оборудования, общему снижению рисков и удобству администрирования.
    • У компании поменялись владельцы или топ-менеджмент и новому руководству необходима актуальная информация о состоянии ИТ-инфраструктуры, нужно пройти аудит.
    • Планируется изменение статуса бизнеса, сертификация по ISO
    • Есть необходимость провести ИТ аудит – проверить контрагента согласно условиям контрактных/договорных обязательств
    • Готовится внедрение новой для компании информационной системы или технологии, к примеру, ERP или CRM-системы, системы документооборота, в таком случае понадобится аудит ит проекта

    Виды аудита ИТ систем, что можно и нужно проверять:

    Аудит бизнес-процесса и аудит по критерию – это частные случаи целевого ИТ-аудита, о котором будет сказано ниже.

    Технический аудит компьютерных систем, систем управления и оборудования и ПО

    Аудит технических систем или компьютерный аудит подразумевает, что будет проведена инвентаризация серверного и сетевого оборудования, рабочих мест, оргтехники, мобильных устройств, установленного программного обеспечения, а также обследование и анализ состояния всего перечисленного. Этот технический аудит позволит понять, какое аппаратное и программное обеспечение у вас в наличии, как оно работает, где могут быть потенциальные точки отказа, как устроена и защищена корпоративная сеть, все ли используемое ПО лицензионное и достаточно ли текущего количества лицензий.

    Аудит систем безопасности

    В рамках аудита безопасности компьютерных систем обычно проверяют систему хранения данных и резервного копирования, отказоустойчивость ИТ-системы, сетевые политики безопасности, разграничение доступа к конфиденциальным данным, защиту системы от взлома извне, защиту от вирусов и спама, систему обработки персональных данных.

    Аудит ИТ-безопасности вовремя обнаруживает уязвимости в системе, помогает выявить и оценить риски.

    ИТ аудит работы бухгалтерии

    При аудите системы бухгалтерского учета и внутреннего контроля исследуется эффективность бухгалтерских систем компании, их соответствие законодательным нормам, правилам, требованиям государственных регулирующих органов. Также может оцениваться квалификация сотрудников, аудит ведения бухгалтерской отчетности и управленческого учета.

    Аудит каналов связи, телефонии

    Информационный аудит систем связи обычно включает обследование и анализ работы корпоративной телефонии, каналов связи (VPN-тоннелей), почты, мессенджеров.

    ИТ-аудит интернет маркетинга, сайта

    В ходе аудита сайта и интернет-маркетинга собираются и изучаются данные из веб-аналитики, отчетов по продажам, рекламных каналов(PPC) и SEO, оценивается конверсия разных маркетинговых активностей. Оцениваются схемы интеграции web-приложений и ресурсов с внутренними системами компании, оцениваются риски ddos атак, блокировки жизненно важных ресурсов компании.

    Разрабатываются методики защиты веб-ресурсов, защиты call-центра, оптимизации нагрузки, а со стороны бизнес процессов – может быть построена сквозная аналитика, воронка продаж, предложены улучшения на сайте и в рекламных кампаниях. Внедрены новые методы автоматизации – чат боты, автоматизация распределения чатов, подключен искусственный интеллект для автоматизации обработки типичных запросов.

    Способы ИТ-аудита

    Существуют разные методики аудита, рассмотрим некоторые из них:

    Экспресс-аудит ИТ инфраструктуры

    Экспресс-аудит чаще всего выполняется перед какими-либо запланированным проектом изменения ИТ-инфраструктуры и занимает 2-3 дня. В такую проверку ИТ-инфраструктуры входит оценка рабочих мест, серверов, сетевого оборудования, установленного ПО, иногда опрос пользователей.

    По результатам услуги аудита делаются выводы, что именно понадобится работы по проекту, какая нужна подготовка, сколько времени он займет и сколько будет стоить.

    Комплексный ИТ аудит

    В ходе комплексного ИТ-аудита полностью во всех подробностях изучают ИТ-инфраструктуру компании, абсолютно все ИТ-процессы в ней, начиная от используемого оборудования и программного обеспечения, заканчивая квалификацией работы ИТ-персонала.

    Кстати, типичная ошибка аудита – доверить проведение ИТ аудита собственным сотрудникам, так как они не всегда могут объективно оценивать свою работу. Даже в ИТ-компаниях ИТ аудит, проводимый независимыми экспертами, просто необходим.

    В результате комплексного аудита ИТ-систем вы получаете:

    • Комплект технической документации, где подробно описано текущее состояние ИТ-инфраструктуры компании, есть перечень оборудования, схема сети и подобное.
    • Рекомендации по возможным улучшениям в ИТ-инфраструктуре для повышения ее качества и экономичности.

    Целевой ИТ аудит

    В рамках целевого аудита исследуются только отдельные составляющие ИТ-инфраструктуры, например, это может быть только аудит компьютерной сети, аудит системы управления, аудит системы расчета себестоимости или аудит системы интернет-закупок.

    Соответственно, в отчете описывается только эта составляющая и предложения по модернизации, которые ее касаются.

    От чего зависит стоимость проведения проверки ИТ-систем?

    На стоимость аудита компьютерных систем влияет масштаб обследования – количество рабочих мест, серверов и т.д., сотрудников аудируемого предприятия, его филиалов. Имеет значение также, насколько детальным и комплексным будет исследование: комплексный ИТ аудит на предприятии наиболее дорогой, а вот экспресс-аудит может оказаться даже бесплатным, если системный интегратор проводит его в рамках какого-либо будущего проекта.

    Стоимость проверки определяется заранее, до начала работ, на этапе планирования аудита. Она может быть сразу фиксированной и записанной в договоре ИТ-аудита, или же, если объем работ сложно оценить заранее, устанавливается стоимость часа ИТ-аудита. Обычная цена для Санкт-Петербурга и Москвы колеблется в районе 2000-3500 руб, в зависимости от профиля сотрудников, участвующих в аудите.

    Распространенной практикой являются тендеры на аудит ИТ.

    Результаты аудита, что делать после ИТ-аудита

    Что является результатами проектов по ИТ аудиту? Как уже упоминалось ранее в статье, в результате аудита вы получаете отчет о текущем состоянии всей ИТ-инфраструктуры (или ее компонента, который проверяли) и предложения по улучшению.

    Соответственно, после аудита вам предстоит внедрить эти улучшения или хотя бы запланировать это, перестроить свою ИТ-инфраструктуру с учетом указанных в отчете недостатков и уязвимостей.

    Примеры отчетов

    По итогам вы получаете рабочие документы ИТ аудита – отчеты, в которых находится:

    • Общее описание ИТ-инфраструктуры
    • Инфраструктура бизнес-приложений и сервисов
    • Операционная инфраструктура
    • Выявленные проблемы и риски (уязвимости, потенциально сбойные участки, неоптимальное использование вычислительных ресурсов и другие выводы из ИТ аудита)
    • Итоговый отчет по аудиту ИТ содержит предложения по устранению недостатков, модернизации и стратегия дальнейшего развития ИТ-инфраструктуры

    Пример отчета по аудиту ит инфраструктуры мы можем предоставить по запросу, обращайтесь.

    Особенности ИТ-аудитов в компании Интегрус

    • Из особенностей нашей работы в сфере проведения ИТ консалтинга в России и аудитов ИТ в первую очередь мы можем отметить, что наша компания – системный интегратор и у нас уже накоплена масса практического опыта, как должна работать ИТ-инфраструктура, как внедрять в нее что-то новое или модернизировать.
    • Все решения, которые мы предлагаем своим заказчикам, проверены нами на практике. А все рекомендации, которые мы дадим по результатам процедуры аудита – это не только теория, наши специалисты могут сами реализовать для вас эти улучшения.
    • Мы работаем по международному стандарту ИТ-аудита COBIT и придерживаемся принципов, целей и задач аудита, заложенных в этом стандарте.

    У нас есть опыт проведения ИТ-аудитов на следующих компаниях и заводах РФ:

    • Prismian Group, Рыбинск кабель, г. Рыбинск
    • Симикон, Санкт-Петербург
    • ФТК Ростр, Санкт-Петербург
    • Велмаш, Великие Луки
    • Инаман, Ишимбай
    • Палфингер Кама Циллиндры, Нефтекамск

    На части предприятий был выполнен аудит производственных процессов и реализованы проекты по автоматизации на базе 1С ERP/УПП.

    Статья опубликована на основании нашей информации

    Ссылка на основную публикацию
    Adblock
    detector