Этапы аудита


На предварительном этапе аудита – этапе планирования («I» на рис. 1), как правило, уточняются требования к результатам, согласовывается перечень рисков, которые необходимо рассмотреть и оценить, а также определяются границы аудита, то есть список бизнес-процессов и подразделений, которые будут исследоваться. На этапе проводится:

• предварительное ранжирование перечня IT-процессов и связанных IT-рисков, подлежащих оценке;

• согласование границ аудита: IT-сервисы, системы, программно-аппаратное обеспечение, подразделения и специалисты, в отношении которых будет проведен анализ;

• формирование и согласование детального плана аудита.

Аудитором обычно формируется эталонный перечень IT-рисков, которые согласно международным стандартам присущи стадиям планирования, разработки, внедрения и эксплуатации информационных автоматизированных систем. Инициатор аудита (заказчик) на основе указанного перечня определяет приоритеты для оценки.

Если заказчиком IT-аудита выступают представители руководства компании, то для получения более точного результата рекомендуется формировать анкеты в бизнес-терминах (табл. 2). С учетом временных и ресурсных параметров проведения аудита определяются границы аудита (сервисы, системы, подразделения и т.п.). При этом рекомендуется рассматривать наиболее значимые для целей бизнеса и/или распространенные сервисы и системы, чтобы иметь возможность на основе оценки определенной (ключевой) области аудита сделать объективные выводы о системе IT-управления в целом.

С учетом полученной информации аудитор формирует анкеты, в которых указывает параметры аудиторских процедур по каждому IT-процессу, в том числе наименование детализированных целей контроля и примерное количество уточняющих вопросов. Чтобы оценка системы IT-управления была всесторонней, формируется иерархия вопросов от частных до высокоуровневых. Для анализа оценки уровня зрелости IT-процессов рассматриваются частные вопросы, сгруппированные в детализированные цели контроля. При этом учитывается полнота и достоверность предоставленных аудиторам данных и свидетельств.

Автор Admin 03 дек., 2009