Аудит информационной системы

Аудит информационных систем проводится в соответствии со специально разработанным отечественным стандартом, называющимся «Аудит в условиях компьютерной обработки данных (КОД)». Его применение способствует наиболее качественному и эффективному выполнению всех необходимых тестов. Также используются мировые стандарты (CobiT и ISA 401) и определенные положения практики аудита информационной системы, в которых подробным образом изложены все его аспекты, а также приводится оценка вероятных рисков и степени надежности систем внутреннего контроля. Стандарты предусматривают и подробное описание регламента проведения диагностики.

Аудит информационных систем можно разделить на две основные стадии: период планирования и период проведения.

Во время планирования должен быть осуществлен анализ:

• общей структуры действующих на проверяемом предприятии бизнес-процессов;
• возможности возникновения рисков и актуальной бизнес-стратегии;
• распределения ответственности среди персонала организации;
• платформы и инфраструктуры информационной системы.

На стадии планирования нужно:

• выделить наиболее важные для последующей работы критерии;
• оценить уровень контроля бизнес-процессов;
• найти связанные с ИТ риски;
• определить объекты и границы тестирования – процессы и информационные ресурсы.

На стадии проведения аудита информационной системы проводятся следующие виды работ:

• сбор данных с их последующим анализом;
• определение используемых в компании инструментов управления;
• оценка работы механизмов управления для решения проблем и целесообразности их применения;
• тестирование на соответствие с целью подтверждения того, что действующие инструменты отвечают поставленным задачам;
• проверка с целью оптимизации функционирования системы управления ИТ.

Основные виды результатов аудита информационных систем:

• организационные: включают не только планирование, но и управление ИТ, документооборот и т.п.;
• технические: в них входит учет обнаруженных неисправностей, а также оптимизация работы отдельных элементов информационной структуры, включая мониторинг оборудования, ИТ поддержку и др.;
• методологические: сюда входят возможные способы устранения проблем.

Неотъемлемой составляющей аудита информационных систем, проводимого по всем правилам, остается экспертная оценка, представляющая собой оценку того, насколько инвестиции в ИТ проекты и приобретение нужного оборудования соответствуют уровню их качества. В процессе этого оценивается:

• насколько разумно в компании финансируются ИТ сервисы;
• ИТ проекты и решения, их целесообразность;
• цена ИТ компонентов организации.

Дополнительно также нужно протестировать:

• организацию работы ИТ сферы в компании;
• возможность реорганизации ИТ инфраструктуры для оптимизации ее функционирования;
• степень подготовки рядовых пользователей.

Аудит информационных систем: основные виды

Технический аудит информационной системы представляет собой комплекс мероприятий, направленных на сбор и анализ актуальных данных и составление рекомендаций, необходимых для оптимизации работы выбранных компонентов ИТ структуры компании. В большинстве случаев проводимые в рамках данного вида проверки работы не отличаются большим масштабом и носят исключительно технический характер.

Аудитом бизнес-процессов называют тестирование систем или технологий, наиболее критичных для исполнения важного бизнес-процесса в компании с установленными параметрами его качества. Самый желательный результат такого аудита – это реализация его формализованной модели на практике.

Аудит бизнес-процессов требует:

• назначения специалиста, ответственного за его проведение;
• определения всех участников и пользователей данного процесса;
• проведение оценки их действий;
• инвентаризации аппаратно-программной части;
• анализа проектной документации;
• составления регламента.

Аудит ИТ критерия - это получение и анализ информации с последующим созданием рекомендации для определенного критерия - уровня безопасности, производительности, непрерывности бизнеса, доступности сервисов и т.п. При его проведении исследуется как отдельный ИТ элемент, так и то, как используются программы и техника, как осуществляется обслуживание ПК и сопутствующего оборудования, и другие параметры.

Комплексный аудит информационной системы - это обнаружение и дальнейший анализ взаимосвязей между отдельными бизнес-процессами и их требований к ИТ сервисам, сопутствующих технологий и комплекса программно-аппаратных средств в целом. Итогом проведения проверки должно стать точное представление о том, соответствует ли функционирование ИТ инфраструктуры бизнес-целям предприятия.