1. Главная / Статьи 
ул. Черняховского, д. 16 125319 Москва +7 499 152-68-65
Логотип
| статьи | печать

Аудит приведет ИТ в порядок

Прежде чем урезать бюджет на информационные технологии, надо понять, от чего конкретно можно отказаться. Помочь разобраться в ИТ-инфраструктуре компании поможет ИТ-аудит.

Компания KPMG представила результаты опроса руководителей крупных российских и международных компаний, функционирующих на территории РФ. В 80% случаев компании не отдают функцию ИТ-аудита на аутсорсинг, предпочитая обходиться собственными ресурсами. Если же компания все-таки обращается за помощью к внешним организациям, то чаще всего из-за нехватки сотрудников или из-за недостатка знаний и стратегии организации.

В каждой четвертой компании из опрошенных отсутствует Положение о внутреннем ИТ-аудите. И только у половины всех респондентов он упомянут в Положении о внутреннем аудите.

Аудирующая группа обычно на 65% состоит из ИТ-профессионалов. Остальные – специалисты в области экономики, телекоммуникаций, бухгалтерского учета и т.д.

Критериями качества ИТ-аудиторов являются в основном знание международных стандартов, информационной безопасности и понимание бизнес-среды организации. Для работодателей же согласно исследованию самое главное, чтобы проверяющий обладал сертификатом CISA (Certified Information System Auditor). А эффективность работы ИТ-аудиторов оценивается по срокам выполнения всего аудита и его промежуточных этапов (72%).

Приоритетные цели, с которой компании проводят ИТ-аудит:

  • оценка мер контроля в области информационных систем – 96%;
  • аудит информационной безопасности – 85;
  • проверка соответствия корпоративным и регулятивным требованиям и законодательству – 69%.

Больше всего времени (20%) занимает обзор эффективности контрольных мер в ИТ и аудит информационной безопасности (18%), а самая популярная методология для проведения ИТ-аудита – COBIT. Ее использует 95% опрошенных компаний.

Проверки проводятся приблизительно раз в год. Как правило, в большинстве компаний подразделения либо вовсе не предупреждают об аудите, либо оповещают за 15 дней до его начала. После его окончания составляется отчет, в котором указаны:

  • цели и рамки проверки;
  • недостатки и области для улучшения;
  • выводы и рекомендации для проверяемого подразделения.

В 72% случаев информирование о результатах ИТ-проверки имеет форму детализированного отчета, в остальных случаях это либо справка для руководства, либо презентация.