Аудит информационных систем проводится в соответствии со специально разработанным отечественным стандартом, называющимся «Аудит в условиях компьютерной обработки данных (КОД)». Его применение способствует наиболее качественному и эффективному выполнению всех необходимых тестов. Также используются мировые стандарты (CobiT и ISA 401) и определенные положения практики аудита информационной системы, в которых подробным образом изложены все его аспекты, а также приводится оценка вероятных рисков и степени надежности систем внутреннего контроля. Стандарты предусматривают и подробное описание регламента проведения диагностики.
Аудит информационных систем можно разделить на две основные стадии: период планирования и период проведения.
Во время планирования должен быть осуществлен анализ:
- общей структуры действующих на проверяемом предприятии бизнес-процессов;
- возможности возникновения рисков и актуальной бизнес-стратегии;
- распределения ответственности среди персонала организации;
- платформы и инфраструктуры информационной системы.
На стадии планирования нужно:
- выделить наиболее важные для последующей работы критерии;
- оценить уровень контроля бизнес-процессов;
- найти связанные с ИТ риски;
- определить объекты и границы тестирования – процессы и информационные ресурсы.
На стадии проведения аудита информационной системы проводятся следующие виды работ:
- сбор данных с их последующим анализом;
- определение используемых в компании инструментов управления;
- оценка работы механизмов управления для решения проблем и целесообразности их применения;
- тестирование на соответствие с целью подтверждения того, что действующие инструменты отвечают поставленным задачам;
- проверка с целью оптимизации функционирования системы управления ИТ.
Основные виды результатов аудита информационных систем:
- организационные: включают не только планирование, но и управление ИТ, документооборот и т.п.;
- технические: в них входит учет обнаруженных неисправностей, а также оптимизация работы отдельных элементов информационной структуры, включая мониторинг оборудования, ИТ поддержку и др.;
- методологические: сюда входят возможные способы устранения проблем.
Неотъемлемой составляющей аудита информационных систем, проводимого по всем правилам, остается экспертная оценка, представляющая собой оценку того, насколько инвестиции в ИТ проекты и приобретение нужного оборудования соответствуют уровню их качества. В процессе этого оценивается:
- насколько разумно в компании финансируются ИТ сервисы;
- ИТ проекты и решения, их целесообразность;
- цена ИТ компонентов организации.
Дополнительно также нужно протестировать:
- организацию работы ИТ сферы в компании;
- возможность реорганизации ИТ инфраструктуры для оптимизации ее функционирования;
- степень подготовки рядовых пользователей.
Аудит информационных систем: основные виды
Технический аудит информационной системы представляет собой комплекс мероприятий, направленных на сбор и анализ актуальных данных и составление рекомендаций, необходимых для оптимизации работы выбранных компонентов ИТ структуры компании. В большинстве случаев проводимые в рамках данного вида проверки работы не отличаются большим масштабом и носят исключительно технический характер.
Аудитом бизнес-процессов называют тестирование систем или технологий, наиболее критичных для исполнения важного бизнес-процесса в компании с установленными параметрами его качества. Самый желательный результат такого аудита – это реализация его формализованной модели на практике.
Аудит бизнес-процессов требует:
- назначения специалиста, ответственного за его проведение;
- определения всех участников и пользователей данного процесса;
- проведение оценки их действий;
- инвентаризации аппаратно-программной части;
- анализа проектной документации;
- составления регламента.
Аудит ИТ критерия - это получение и анализ информации с последующим созданием рекомендации для определенного критерия - уровня безопасности, производительности, непрерывности бизнеса, доступности сервисов и т.п. При его проведении исследуется как отдельный ИТ элемент, так и то, как используются программы и техника, как осуществляется обслуживание ПК и сопутствующего оборудования, и другие параметры.
Комплексный аудит информационной системы - это обнаружение и дальнейший анализ взаимосвязей между отдельными бизнес-процессами и их требований к ИТ сервисам, сопутствующих технологий и комплекса программно-аппаратных средств в целом. Итогом проведения проверки должно стать точное представление о том, соответствует ли функционирование ИТ инфраструктуры бизнес-целям предприятия.