ՏՏ ենթակառուցվածքների աուդիտ: ՏՏ աուդիտ - ձեռնարկությունների հետազոտություն ՏՏ ծրագրերի աուդիտ


Հարցում ուղարկեք

Եթե ​​ընկերությունը պատկերացում ունի, որ լավ կլինի բիզնես գործընթացների այս կամ այն ​​հատվածի ավտոմատացումը, ապա առաջին քայլը պետք է լինի ՏՏ աուդիտը `ընկերության ՏՏ համակարգի համապատասխան չափանիշներին և չափանիշներին համապատասխանության անկախ վերլուծությունը:

Ձեռնարկության ՏՏ աուդիտ անցկացնելը ավտոմատացման անբաժանելի մասն է: Հենց նախագծի նախնական վերլուծությունն է, որը հնարավորություն է տալիս հասկանալ, թե բիզնեսի որ հատվածներն են պահանջում ավտոմատացում, և որ բարելավումը չի հանգեցնի դրական արդյունքի:

ՏՏ աուդիտի հիմնական ոլորտներն են.

  • տեխնոլոգիական ենթակառուցվածք;
  • ձեռնարկության տեղեկատվական անվտանգություն;
  • Տեղեկատվական համակարգեր;
  • ՏՏ բաժին:

ՏՏ աուդիտի հիմնական խնդիրները

Տեղեկատվական աուդիտի հիմնական խնդիրն է ձեռնարկության տեխնոլոգիական բազայի աշխատանքի կազմակերպումն ու վերահսկումը: Բացի այդ, կարելի է առանձնացնել հետևյալ խնդիրները.

  • պատրաստման հարցում օգնություն
    փաստաթղթեր;
  • կանխարգելում և վերացում
    համակարգի խափանումներ;
  • ՏՏ ռիսկերի վերահսկում;
  • օգնեք աջում
    ընկերության կառավարում.

Ձեռնարկության ենթակառուցվածքի ՏՏ վերլուծության նախնական նախագծի արդյունքները.

  • Դուք հավանաբար գիտեք, թե ինչ եք նախատեսում ավտոմատացնել:
  • Դուք գիտեք, թե որքան ժամանակ կպահանջվի ավտոմատացման համար:
  • Նախագծման նախնական հետազոտությունից հետո կարող եք սկսել մշակել համակարգի ստեղծման տեխնիկական առաջադրանքի պայմանները:
  • Դուք գիտեք, թե որքան կարժենա ձեռնարկության ավտոմատացումը:
  • Ամենակարևորն այն է, որ դուք հստակ գիտեք, թե ինչ կտա ավտոմատացումը և արդյո՞ք դա տնտեսապես արդարացված է:

Եթե ​​ձեր ձեռնարկությունն արդեն ունի ՏՏ ենթակառուցվածք, և դուք նախատեսում եք ընդլայնել այն, ապա ՏՏ աուդիտը նախագծից առաջ կօգնի գնահատել որոշ լուծումների օգտագործման համարժեքությունը, ցույց տալ պոտենցիալ խնդիրները նոր տեղեկատվական համակարգեր ներդնելիս:

Հաշվի առնելով, որ ժամանակակից պայմաններում բիզնեսի ավտոմատացումը կարևոր դեր է խաղում նրա մրցունակության և կայուն զարգացման համար, ինչպես նաև այն փաստը, որ տեխնոլոգիաների և ծրագրային լուծումների մշտական ​​կատարելագործումը, որոնց հիման վրա իրականացվում է ձեռնարկության ավտոմատացումը, զգալի միջոցներ է ներկայացնում, որի ներդրումը պահանջում է բիզնեսի ավտոմատացում իրագործման և շահագործման փուլում, ընկերության ղեկավարության կողմից ՏՏ ենթակառուցվածքի վիճակի վերլուծություն և վերահսկում ունի հատուկ նշանակություն:

ՏՏ աուդիտի տեսակները

Մեր ընկերության մասնագետները պատրաստ են իրականացնել հետևյալ տեսակների ՏՏ աուդիտ.

Մի տեսակ

Նկարագրություն

ՏՏ ենթակառուցվածքների աուդիտ

Սարքավորումների մաշվածության նույնականացում, թույլ կողմերի հայտնաբերում և բիզնեսի համար դրանց կրիտիկականության որոշում:

ՏՏ անձնակազմի իրավասությունների վերլուծություն

Հարցազրույց համակարգի ադմինիստրատորների հետ, նկարագրելով իրավասություններն ու ռիսկերը:

Օգտվողի գոհունակության հետազոտություն

Օգտագործողների բողոքների և ցանկությունների վերլուծություն և օգտագործողների հետ տեխնիկական անձնակազմի հաղորդակցության մեջ դրանց թույլ կողմերի հիման վրա բացահայտում:

SLA ստուգում

Serviceառայությունների մակարդակի համաձայնագրի վերլուծություն, դրա իրականացման որակ (հիմնված ITIL պրակտիկայի վրա), դրա կազմումը (եթե առկա չէ):

Տեղեկատվական անվտանգության աուդիտ

ISO / IEC 27001 ստանդարտներին համապատասխան ամբողջական հաշվետվության տրամադրում:

Պոտենցիալ ռիսկերի հաշվետվություն

Կազմված է ձեռնարկությունում ռիսկերի կառավարում իրականացնելիս:

ՏՏ ծախսերի հիմնավորում

ՏՏ ենթակառուցվածքի ուղղակի և անուղղակի ծախսերի վերլուծություն, կառուցվածք և առաջարկությունների տրամադրում:

Ինչպե՞ս ենք մենք աշխատում:

Ի՞նչ է պետք ՝ նպատակների հստակեցում ՏՏ աուդիտի ընտրանքների ընտրություն

Մենք անում ենք
Աշխատանքների կատարում

Ուցադրվում է Ներկայացում
արդյունքները

Շտկու՞մ ենք:
Գործողությունների ծրագրի մշակումՊլանի իրականացում

Ո՞րն է ՏՏ աուդիտի արդյունքը:

  1. Դուք ստանում եք աուդիտի եզրակացություն
    ներկա վիճակի համեմատ
    Ձեր ընկերության ՏՏ ենթակառուցվածքը:
  2. Տրամադրված է զարգացման ծրագիր
    ՏՏ ընկերություններ 1-3 տարի:
  3. Ըստ նախատեսված պլանի
    մանրամասն ուսումնասիրություն է ընթանում:

Մինչդեռ, միանգամայն ակնհայտ է, որ յուրաքանչյուր առաջնորդ չի կարող օբյեկտիվ և համարժեք գնահատական ​​տալ այս հարցին: Այս առումով, մենք կարող ենք խոսել հիմնական գործառույթի մասին, որի կատարումը վստահված է ՏՏ աուդիտ իրականացնող անկախ մասնագետներին. Ընկերության ղեկավարությանը օբյեկտիվ հաշվետվություն տրամադրել այն մասին, թե որքանով է ճիշտ տեղեկատվական համակարգի հիմքը հանդիսացող շտեմարանների զարգացումը: իրականացվել է, թե որքան արդյունավետ է իրականացվել արտադրական գործընթացների և կառավարման ավտոմատացումը: Նաև այն հիմնական հարցերից մեկը, որին պետք է պատասխանի ՏՏ աուդիտը, այն է, թե որքանով են տեղեկատվական տեխնոլոգիաների ոլորտում իրականացվող լուծումները համապատասխանում ընկերության բիզնեսին և նրա առջև ծառացած խնդիրներին: Ի վերջո, ՏՏ ենթակառուցվածքի աուդիտը գնահատում է ավտոմատացման մեջ ներդրումների վերադարձը, այն հնարավոր եղանակները, որոնցով կարելի է օպտիմալացնել այս ավտոմատացումը:

Ինչու՞ արժե պատվիրել ՏՏ աուդիտ:

Միայն անկախ մասնագետները կարող են իրական պատկերացում տալ ձեռնարկության ծրագրային-թվային և սարքավորումների ներկա վիճակի մասին: Սեփական աշխատակիցները միշտ չէ, որ օբյեկտիվ են ՏՏ -ն վերլուծելիս, քանի որ նրանք կարող են ունենալ որոշակի անձնական հետաքրքրություն, որպեսզի.


  • թաքցնել սեփական աշխատանքի թերությունները.
  • Օգտվեք կոնկրետ վաճառողներից ապարատային և ծրագրային ապահովման բաղադրիչներ գնելուց, նույնիսկ եթե գնումների անհրաժեշտությունն ակնհայտ կամ բացակայում է:

ՏՏ ենթակառուցվածքի անկախ աուդիտի դեպքում նման նրբերանգները բացառվում են: Փորձագետները համակողմանիորեն գնահատում են կորպորատիվ ցանցի, աշխատատեղերի և կապի սարքավորումների վիճակը և տալիս են օբյեկտիվ կարծիք կոնկրետ առաջարկություններով:

ՏՏ ենթակառուցվածքների վերլուծությունը հատկապես արդիական է դառնում բիզնեսի ընդլայնման հետ կապված: Անհրաժեշտ է նախապես կանխատեսել և ձևակերպել դրա հետագա գործունեության պահանջները, ինչպես նաև անվտանգության, հուսալիության և հուսալիության մակարդակը `հաշվի առնելով ավելացված բեռները:

Հետեւաբար, եվրոպական զարգացած երկրներում, օրինակ, ՏՏ ձեռնարկության վերլուծությունը համարվում է պարտադիր միջոց, որի վարքագիծն իրականացվում է կանոնավոր պարբերականությամբ: Մեր երկրում ենթակառուցվածքների ՏՏ աուդիտը հիմնականում պատվիրված է որպես ընկերության առկա տեղեկատվական ենթակառուցվածքի նոր կամ բարդ արդիականացման և օպտիմալացման նախնական աշխատանք: Այս դեպքում սա իսկապես անհրաժեշտ միջոց է, քանի որ դա ՏՏ աուդիտն է, որը թույլ է տալիս որոշել այն հիմնական չափանիշներն ու պահանջները, որոնք յուրաքանչյուր կոնկրետ դեպքում պետք է բավարարվեն արդյունավետ բիզնեսի ավտոմատացման միջոցով: Հենց այս տվյալներն են հիմք դառնում ապագա համակարգի կազմաձևման մշակման համար, հնարավորություն են տալիս առաջարկել և համաձայնեցնել հաճախորդի հետ հնարավոր տարբերակների վերաբերյալ: Այս առումով, օպտիմալ լուծումը կարող է դիտարկվել, եթե ձեռնարկության ենթակառուցվածքի ՏՏ աուդիտը և ավտոմատացումն իրականացվի մեկ կատարողի կողմից, ինչը կապահովի անհատական ​​և համապարփակ մոտեցում այս խնդրի լուծմանը:

«ՏՏ աուդիտ. Աուդիտոր» ծրագիր

Ծրագիր » ՏՏ աուդիտԱուդիտոր »աուդիտորական մեթոդաբանության մշակման կառուցողն է, որն առաջարկում է աուդիտորներին ճկուն գործիք, որն օգնում է նրանց իրականացնել աուդիտ: Ծրագիր » ՏՏ աուդիտԱուդիտոր »ապահովում է աուդիտորական կազմակերպության գործունեության ավտոմատացումը` կապված ձեռնարկատիրական սուբյեկտների աուդիտի անցկացման հետ:

Ծրագիր » ՏՏ աուդիտԱուդիտոր »-ը մշակվել է` հաշվի առնելով աուդիտի միջազգային չափանիշների պահանջները (Ռուսաստանի Դաշնության կառավարության 2002 թ. Սեպտեմբերի 23 -ի թիվ 696 որոշումը):

Փոքր ձեռնարկության աուդիտ իրականացնելիս (աուդիտի ժամանակահատվածը `5 օր), ծրագրի կիրառումը» ՏՏ աուդիտԱուդիտոր »թույլ է տալիս որակապես պլանավորել, անցկացնել և գրանցել կատարված աուդիտի ընթացակարգերը և աուդիտի արդյունքը. միջին և խոշոր ձեռնարկությունում աուդիտ անցկացնելիս `աուդիտ անցկացնելու ժամանակը կրճատել 10-30%-ով:

Providesրագիրը նախատեսում է.

1) աուդիտի մեթոդաբանության վերաբերյալ տեղեկատու գրքերի վարում.

2) հաճախորդների հաշվառման վարում.

3) հաճախորդների հետ շփում.

4) կնքված պայմանագրերի հաշվառում.

5) հաճախորդների հաշվառման տվյալների ներմուծում.

6) աուդիտի պլանավորում.

7) աուդիտի ձևավորում.

8) աուդիտի պլանի կազմում.

9) աուդիտի ծրագրի կազմում.

10) հաճախորդի գործարքների նկարագրությունը.

11) էականության մակարդակի հաշվարկ.

12) արդյունքների նմուշառում եւ վերլուծություն.

13) աուդիտորների ֆորում (աուդիտորների հաղորդակցություն).

14) հայտնաբերված խախտումների մասին ամփոփ տեղեկատվության ձևավորում.

15) այլընտրանքային հաշվետվությունների ձևավորում.

16) աուդիտի որակի հսկողություն Կովալևա Օ.Վ. Աուդիտ: Դասագիրք / խմբ. Օ.Վ. Կովալևա, Յու.Պ. Կոնստանտինով. - Մ .: PRIOR, 2008:- էջ 128 ..

Ծրագիր » ՏՏ աուդիտԱուդիտոր »թույլ է տալիս կազմակերպել տեղեկատվություն աուդիտորական կազմակերպության հաճախորդների վերաբերյալ (թիվը սահմանափակ չէ), տեղեկատվություն պահել հաճախորդի մանրամասների, փաստացի և իրավական հասցեի, կոնտակտային անձանց, հաճախորդների հետ բանակցությունների, կնքված պայմանագրերի, պատասխանատուների մասին աշխատել հաճախորդի հետ և այլն: րագիրը թույլ է տալիս հաճախորդներին տեսակավորել ըստ բնութագրիչ տարբեր պարամետրերի:

Հաճախորդի մասին տեղեկությունները պահվում են համապատասխան Հաճախորդների տեղեկատու ... Հաճախորդների գրացուցակը պարունակում է նաև տեղեկատվություն աուդիտի ենթարկվող կազմակերպության աշխատակիցների մասին:

Հաճախորդի հետ կնքված պայմանագրերի մասին տեղեկատվությունը կարող է մուտքագրվել նաև համակարգի տեղեկատվական բազա:

Programրագրում նշանակալի տեղ է հատկացվում աուդիտի մեթոդական աջակցությանը, և աջակցությունը կարող է իրականացվել ինչպես մշակողների, այնպես էլ աուդիտորական կազմակերպության կողմից:

Ծրագիրը » ՏՏ աուդիտԱուդիտոր »ներառում է հետևյալ տեղեկատու գրքերը.

1) աուդիտի օբյեկտներ (աուդիտի բաժիններ);

2) աուդիտի ընթացակարգեր.

3) հնարավոր խախտումներ.

4) բնորոշ գործողություններ:

Րագիրը թույլ է տալիս կապ հաստատել աուդիտի ընթացակարգերի և խախտումների, աուդիտի և աուդիտի ընթացակարգերի օբյեկտների (առաջադրանքների) միջև: Հարաբերությունները հաստատվում են տեղեկատու գրքերի միջոցով:

Աուդիտի օբյեկտների (բաժինների) գրացուցակը հիմնականն է, իսկ աուդիտորական ընթացակարգերի, հնարավոր խախտումների և տիպիկ բիզնես գործողությունների գրացուցակները ենթակա են:

«Աուդիտի ընթացակարգեր» տեղեկատու գիրքն օգտագործվում է աուդիտորական ծրագրի ձևավորման մեջ և պարունակում է աուդիտորի աշխատանքային փաստաթղթերի ձևանմուշներ, որոնք լրացվել են աուդիտի ընթացքում: Աշխատանքային փաստաթղթերի զգալի մասը կարող է լրացվել հաճախորդների հաշվառման ավտոմատացված տվյալներով: Օգտագործելով այս ուղեցույցը, կարող է սահմանվել համապատասխան աուդիտի ընթացակարգի աշխատանքի հիմնական ինտենսիվությունը: Աուդիտի ընթացակարգ - աուդիտորի գործողությունների որոշակի կարգ և հաջորդականություն `աուդիտի որոշակի տարածքում (աուդիտի օբյեկտ) անհրաժեշտ աուդիտորական ապացույցներ ձեռք բերելու համար:

Պոտենցիալ խախտումների գրացուցակը պարունակում է հավանական խախտման անունը և նկարագրությունը: Եթե ​​աուդիտի ենթարկված ձեռնարկությունում խախտումներ են հայտնաբերվում, ապա աուդիտորական եզրակացությունը կազմելիս օգտագործվում է տեղեկատու գիրքը:

Անհրաժեշտ է հաշվի առնել, թե ինչպես է ծրագիրը իրականացնում դաշնային օրենքների հիմնական պահանջները:

Կանոն (ստանդարտ) թիվ 2 «Աուդիտի փաստաթղթավորումը»:

Ծրագիր » ՏՏ աուդիտԱուդիտորը «աուդիտորին տալիս է լայն հնարավորություններ` փաստաթղթավորելու աուդիտի ընթացքում ձեռք բերված ապացույցները, ձևակերպելու անհրաժեշտ աշխատանքային փաստաթղթերը `աուդիտի դաշնային կանոններին (չափանիշներին) համապատասխանելու, պահպանման և պահուստավորման ապահովման, դիտման և տպման համար:

Ստանդարտի վերը նշված պահանջները ծրագիրը բավարարում է հետևյալ ձևերը լրացնելու արդյունքում `« Աուդիտի պլանավորում »,« Աուդիտի ծրագիր »,« Աուդիտի ծրագիր »,« Աուդիտորական առաջադրանք »,« Հաճախորդի բիզնես գործունեության նկարագրություն »:

Աուդիտի ընթացքում ձեռք բերված տեղեկատվությունը պահվում է հետևյալ բաժիններում.

1) հաճախորդի վերաբերյալ ընդհանուր տեղեկություններ.

2) կնքված պայմանագրի հետ կապված տեղեկատվությունը.

3) տեղեկատվություն այն ժամանակահատվածի վերաբերյալ, որի համար ձևավորվելու է աուդիտորի կարծիքը.

4) աուդիտի որոշակի ժամանակահատվածի հետ կապված տեղեկատվություն:

Providesրագիրը նախատեսում է հաճախորդների համատեքստում տեղեկատվության հասանելիության իրավունքի տարբերակում `ապահովելով հաճախորդի վերաբերյալ տեղեկատվության հուսալի պահեստավորում և աուդիտի փուլեր:

Կանոն (ստանդարտ) թիվ 3 «Աուդիտի պլանավորում»:

Ծրագրում » ՏՏ աուդիտԱուդիտոր »աուդիտի պլանավորումն իրականացվում է աուդիտորական ծրագրում և« Գործարար գործարքների նկարագրություն »ձևում այն ​​արդյունավետ կերպով իրականացնելու նպատակով:

Հնարավոր է աուդիտի ծրագրում կազմել աուդիտի մանրամասն ծրագիր, որը հաշվի կառնի կիրառվող աուդիտի ընթացակարգերը, դրանց բաշխումը աշխատակիցների միջև և կատարման հաջորդականությունը, սահմանվում է աուդիտի ընթացակարգերի պլանավորված և իրական աշխատանքային ինտենսիվությունը, նկարագրությունը աուդիտի ընթացքի վերահսկման ընթացակարգերը: Միևնույն ժամանակ, թույլատրվում է փոփոխություններ կատարել աուդիտի ամբողջ ընթացքում:

Կանոն (ստանդարտ) թիվ 4 «Էականությունը աուդիտի մեջ»:

Ծրագիր » ՏՏ աուդիտԱուդիտոր »թույլ է տալիս հաշվարկել էականությունը մի քանի եղանակով. Ընդհանրապես, հաշվետվությունների համար, բաշխել հաշվապահական հաշվառման էականության համատեքստում.

1) հաշվի դեբետագրմամբ.

2) հաշվի դեբետային շրջանառությունը.

3) հաշվի վարկային շրջանառությունը.

4) հաշվի վարկը:

Աուդիտի ընթացակարգերի ընտրությունը կատարվում է «Աուդիտի ծրագիր» և «Գործարար գործարքների նկարագրություն» ձևերով: Չուղղված խեղաթյուրումների հանրագումարն ամփոփված է «Այլընտրանքային հաշվետվություն» տեսքով:

Կանոն (ստանդարտ) թիվ 7 «Ներքին աուդիտի որակի վերահսկում»:

Աուդիտի ղեկավարին հնարավորություն տրվեց վերահսկել աուդիտի ընթացքը, ձևավորել առաջադրանքը և մեկնաբանություններ տալ «Գործարար գործարքների նկարագրություն», «Աուդիտորական ծրագիր», «Աուդիտորների հաղորդակցություն» ձևերով:

«Գործարար գործարքների նկարագրություն», «Աուդիտորական ծրագիր», «Աուդիտորների հաղորդակցություն» ձևերում կա հանձնարարված աշխատանքը կատարելիս աուդիտորների և նրանց օգնականների գործողությունների մանրամասն նկարագրության, ինչպես նաև աշխատանքային փաստաթղթերի կցման հնարավորություն: ավարտված լինել:

Ներկայումս աշխատանքներ են տարվում ծրագրում նոր կանոններ (չափորոշիչներ) ներառելու ուղղությամբ:

«Նմուշային հետազոտություն անցկացնելու» տեսքով աուդիտորը, աուդիտի ենթարկված (ընդհանուր) բնակչության հիման վրա, կարող է ընտրել էականության մակարդակը գերազանցող տարրեր, հիմնական տարրեր և տարբեր ձևերով կազմել բնակչության նմուշ:

Աուդիտորին նաև հնարավորություն է տրվում վերլուծել «Գործարար գործարքների նկարագրություն» ձևում ներկայացված հաճախորդի գործարքները, սահմանել գործարքների ստուգման մեթոդներ (հիմնավոր ստուգում, պատահական ստուգում, ստուգում չանցկացնելը, ցածր մակարդակի հաստատում): ռիսկի մակարդակը):

Ներկառուցված ծրագրի մեջ » ՏՏ աուդիտԱուդիտոր »հաշվապահական հաշվառման տվյալների զտման (ընտրության) միջոցները հնարավորություն են տալիս տվյալները շերտավորել ցանկացած չափանիշով` հետագայում ընտրանքային հետազոտության համար տվյալների բեռնման կամ աուդիտորի աշխատանքային փաստաթուղթը լրացնելու հնարավորությամբ:

Րագիրը թույլ է տալիս աուդիտորին աուդիտի ընթացքում հայտնաբերված սխալների էքստրապոլացիայի ենթարկել ողջ ընդհանուր բնակչությանը:

Աուդիտի ավտոմատացման ծրագրի օգտագործման առավելությունները:

· Isրագիրը վաճառվում և աջակցվում է անմիջապես մշակողների կողմից (առանց միջնորդների), ինչը թույլ է տալիս նվազեցնել գնորդի ծախսերը ծրագրի գնման և դրա հետագա պահպանման համար.

· Ընդգրկում է աուդիտորական գործունեության բոլոր ասպեկտները (աշխատողների զբաղվածություն, պայմանագրային աշխատանքների կազմակերպում, հաճախորդների հաշվառում, աուդիտի պլանավորում, աշխատանք «դաշտում» և այլն);

· Թույլ է տալիս համակարգել բոլոր տեղեկությունները `հիմնվելով աուդիտի արդյունքների, արխիվացման և տվյալների հետագա հասանելիության վրա.

· Լայնորեն օգտագործվում է հարյուրավոր աուդիտորական ընկերությունների կողմից (առաջին տասնյակում գտնվող ընկերություններից մինչև փոքր աուդիտորական ընկերություններ և անհատ աուդիտորներ);

· Դիզայներ է և թույլ է տալիս օգտվողներին ինքնուրույն հարմարեցնել աուդիտի մեթոդաբանությունը.

· Պարունակում է աուդիտորի աշխատանքային փաստաթղթերի զգալի թվով կաղապարներ.

· Ապահովում է ծրագրում բեռնման հարմար միջոցներ `հաշվապահական հաշվառման տվյալների աուդիտի ավտոմատացման համար ամենատարածված հաշվապահական ծրագրերից` 1C Ձեռնարկություն 7.7 (8.1) և այլն:

· Թույլ է տալիս ավտոմատ կերպով լրացնել աուդիտորի աշխատանքային փաստաթղթերը հաշվապահական տվյալներով.

· Պարունակում է պոտենցիալ խախտումների կաղապարներ, ինչպես նաև օգտագործողների կողմից դրա ինքնալրացման գործիքներ;

· Տրամադրված են վիճակագրական ընտրանքային հետազոտության տարբեր մեթոդներ `պատշաճ-պատահական (կրկնվող և չկրկնվող), մեխանիկական (համակարգված), դրամական պատշաճ-պատահական (կրկնվող և չկրկնվող) մեթոդ;

· Աուդիտի արդյունքների հիման վրա ինքնաբերաբար ստեղծվում է մշտական ​​(փոփոխական) ֆայլ;

· Ունի ինտուիտիվ ինտերֆեյս, ծրագրի համար մեծ քանակությամբ մշակված փաստաթղթեր և ուսումնական նյութեր (Ֆլեշ-տեսանյութեր), ինչը թույլ է տալիս արագ սկսել Kovaleva O.V. Աուդիտ: Դասագիրք / խմբ. Օ.Վ. Կովալևա, Յու.Պ. Կոնստանտինով. - Մ .: PRIOR, 2008:- էջ 135 ..

Աուդիտի ավտոմատացման ծրագրի կիրառումը ապահովում է.

· Մեթոդական աշխատանքի համակարգում;

· Աուդիտի արդյունավետ պլանավորման կազմակերպում;

· Աուդիտի որակի բարձրացում;

· Աուդիտի ընթացքում գործառնական և հետագա վերահսկողության բարձրացում.

· Աուդիտի աշխատանքային ինտենսիվության նվազեցում;

· Աուդիտի ստանդարտներին համապատասխանելը.

· Ընկերության կառավարելիության բարձրացում;

· Աուդիտի նյութերին հասանելիության իրավունքի տարբերակումը.

· Տեղեկատվության համակարգում և արխիվացում:

Տեղեկատվական համակարգերի զարգացումն ակնհայտ օգուտներ է բերում ընկերությանը: Այնուամենայնիվ, սխալ օգտագործման դեպքում դրանք դառնում են հատուկ ռիսկերի աղբյուր, որոնց իրականացումը կարող է ոչ միայն նվազագույնի հասցնել տեխնոլոգիայի ներդրման ազդեցությունը, այլ նաև զգալի կորուստներ ունենալ: ՏՏ աուդիտը թույլ է տալիս բացահայտել այդ ռիսկերը, գնահատել ՏՏ համակարգի արդյունավետությունը և ընտրել դրա բարելավման ոլորտները:

Պատմականորեն, «տեղեկատվական տեխնոլոգիաների ռիսկ» կամ «ՏՏ ռիսկ» տերմինը նշանակում էր բացասական իրադարձությունների հավանականություն ՝ կապված տեղեկատվական անվտանգության սպառնալիքների իրականացման հետ ՝ վիրուսներ, հաքերային հարձակումներ, տեղեկատվության գողություն և սարքավորումների կանխամտածված ոչնչացում: Այնուամենայնիվ, վերջին տարիներին այս տերմինի մեկնաբանումը զգալիորեն ընդլայնվել է և հաշվի է առնում ոչ միայն տեղեկատվական անվտանգության ռիսկերը, այլև հիմնական գործունեության արդյունավետությունը բարձրացնելու համար տեղեկատվական տեխնոլոգիաների օգտագործման նպատակներին չհասնելու ռիսկերը:

Այս ռիսկերը ծագում են ինչպես տեղեկատվական համակարգերի ստեղծման փուլում, այնպես էլ դրանց գործունեության ընթացքում: Տեղեկատվական համակարգերի նախագծման, փաստաթղթավորման, մշակման և ներդրման ժամանակ դա տեղի է ունենում հետևյալի պատճառով.

  • ավտոմատացման ենթաօպտիմալ լուծման ընտրություն;
  • դիզայնի սխալներ;
  • ծրագրի գնահատված պայմանների և բյուջեի խախտում.
  • ենթակառուցվածքների և ավտոմատացման լուծումների միջև անհամապատասխանություն.
  • համակարգերի տեղադրման ընթացքում տեխնիկական և կազմակերպչական սխալներ: Տեղեկատվական համակարգերի շահագործման փուլում նպատակներին չհասնելու ռիսկի գործոններն են.
  • բիզնեսի և ՏՏ -ի միջև անարդյունավետ փոխազդեցությունը աջակցության օպտիմալ մակարդակը որոշելու հարցում.
  • տեխնոլոգիայի ողջ ներուժը չօգտագործելը.
  • համակարգերի սպասարկման և զարգացման առավել ընդունելի մակարդակ ապահովելու անհնարինությունը.
  • ոչ օպտիմալ սպասարկման և արտակարգ իրավիճակների ընթացակարգեր;
  • ենթակառուցվածքային տարրերի և սպասարկող անձնակազմի բեռը հաշվարկելիս սխալներ:

Նման սպառնալիքներից խուսափելու համար ձեռնարկությունը պետք է ստեղծի բարդ համակարգ, որը միավորում է ռիսկերի կառավարումը, ներքին վերահսկողությունը և ներքին աուդիտը ինչպես հիմնական գործունեության, այնպես էլ նրան աջակցող տեղեկատվական տեխնոլոգիաների մակարդակով, այն է ՝ ՏՏ համակարգ: Այս կառույցի հասունության աստիճանը որոշվում է նրա հիմնական գործունեության նպատակներով տեղեկատվական տեխնոլոգիաների արդյունավետ, ռացիոնալ և անվտանգ օգտագործումը պատշաճ մակարդակով ապահովելու ունակությամբ: Որքան բարձր է հասունության մակարդակը, այնքան ցածր է ՏՏ ռիսկերի մակարդակը և այնքան արդյունավետ է տեղեկատվական տեխնոլոգիաների կիրառումը: ՏՏ համակարգ ձևավորելիս պետք է ապավինել արդեն գոյություն ունեցող և ընդհանուր առմամբ ճանաչված չափանիշներին (չափանիշներին): ՏՏ կառավարման գիտության զարգացման ավելի քան 30 տարվա պատմության ընթացքում առաջատար միջազգային հաստատությունները (ISACA, OGC, ISO) մշակել են մի շարք մանրամասն պահանջներ `լավագույն փորձի (օրինակ` ITIL) և բաց ստանդարտների հավաքածուների տեսքով: (CobiT, ISO 20000 և այլն)

ՏՏ գործընթացները ՝ որպես աուդիտի հիմնական օբյեկտ

Տեղեկատվական տեխնոլոգիաների ոլորտում կառավարման և աուդիտի միջազգային ստանդարտները խորհուրդ են տալիս ՏՏ համակարգը գնահատել ՏՏ գործընթացների հիերարխիայի ամբողջականության, վերահսկման մանրամասն նպատակների և ստանդարտ գործառնական ընթացակարգերի առումով `համակարգի համապատասխանությունը նվազագույնի հասցնելու խնդրին որոշելու համար: ռիսկեր. Այդ նպատակով ՏՏ գործընթացները ենթարկվում են մանրամասն փորձաքննության, որը պատասխանատու է ՏՏ բարձր մակարդակի ավելի քան 30 ռիսկերի նվազեցման համար: Աղյուսակում ներկայացված են ՏՏ ռիսկերի և գործընթացների ցանկի մի հատված: 1. Այս գործունեությունը դիտարկվում է ինչպես յուրաքանչյուր առանձին գործընթացին հատուկ հարցերի, այնպես էլ գործընթացի կառավարման ստանդարտ տարրերի վերաբերյալ, այն է.

  • կառավարման բոլոր մակարդակների միջև պատասխանատվության բաշխում և նրանց միջև համարժեք փոխազդեցության ապահովում.
  • անհրաժեշտ մակարդակով անձնակազմի իրավասությունը պահպանելու մեխանիզմների առկայությունը և արդյունավետությունը.
  • բոլոր մակարդակներում գործընթացի ամբողջական և արդիական փաստաթղթերի պահպանում.
  • յուրաքանչյուր ՏՏ գործընթացի համար կատարողականի չափման և ներքին հաշվետվությունների ստեղծման մեխանիզմների առկայությունը և ամբողջականությունը, ինչը թույլ է տալիս ՏՏ ծառայության ղեկավարությանը գնահատել նպատակային ցուցանիշների ձեռքբերման աստիճանը և, որպես արդյունք, կառավարման արդյունավետ որոշումներ կայացնել.
  • ընթացիկ գործունեության գործառնական մոնիտորինգի ընթացակարգերի առկայություն, գծային ղեկավարների կողմից գործառնական խափանումների ժամանակին բացահայտման ապահովում, օրինակ `անձնակազմի կողմից կանոնավոր ընթացակարգերին չհամապատասխանելը.
  • համապատասխան ՏՏ գործընթացների միջև տեղեկատվության փոխանակման ընթացակարգերի առկայություն.
  • գործունեության արդյունավետությունը բարձրացնելու մեթոդներ և հատուկ գործիքներ, օրինակ ՝ օգտագործողների պահանջների գրանցման և հաշվառման ավտոմատացման գործիքների օգտագործումը.
  • ընթացիկ արդյունավետության և տեղեկատվական տեխնոլոգիաների զարգացման պլանների հիման վրա գործունեության բարելավում:
Աղյուսակ 1

ՏՏ գործընթաց

Ռիսկային իրավիճակի հնարավոր նշաններ

ՏՏ ռազմավարական պլանավորում

Ռազմավարական բիզնեսի պլանավորման փուլում ՏՏ ռազմավարության հարցերը չեն դիտարկվում, ինչը թույլ չի տալիս ՏՏ բաժնի աշխատանքը ակտիվորեն օպտիմալացնել բիզնեսի իրական պահանջների համար:

ՏՏ գործունեության ռազմավարական պլանավորումը կատարվում է ըստ անհրաժեշտության `ի պատասխան որոշակի բիզնես պահանջի, և, հետևաբար, արդյունքները սպորադիկ են և անհամապատասխան: Ռազմավարական պլանավորման հարցերը երբեմն քննարկվում են միայն ՏՏ բաժնի ղեկավարության մակարդակով, այլ ոչ թե բիզնեսի ստորաբաժանումների ղեկավարների մոտ: Բիզնեսի կարիքները բավարարելու համար դիմումների և տեխնոլոգիաների կարգավորումը արձագանք է արտաքին ազդեցություններին, օրինակ ՝ մատակարարների առաջարկներին և չի իրականացվում ընկերությունում մշակված ռազմավարության հիման վրա: Ռիսկերի ռազմավարական գնահատումը ձևակերպված չէ և իրականացվում է նախագծից նախագիծ:

ՏՏ ճարտարապետության պլանավորում

Տեղեկատվական համակարգերի կառուցվածքը օպտիմիզացված չէ, ինչը մեծացնում է տվյալների ավելորդությունը (կրկնօրինակումը) կորպորատիվ համակարգում, ինչպես նաև նվազեցնում համակարգերի և ծրագրերի համատեղելիության մակարդակը:

Տեղեկատվական կառուցվածքի բաղադրիչները մշակվում են առանձին: Կա տվյալների սխեմաների, փաստաթղթերի և տվյալների շարահյուսության կանոնների մասնակի կիրառում: Սահմանումները վերաբերում են ոչ թե տեղեկատվությանը, այլ տվյալներին և հիմնված են հավելվածի վաճառողների առաջարկությունների վրա: Աշխատակիցներին տեղեկատվական ճարտարապետության կարիքը բացատրելը քաոսային է և պատահական:

Անձնակազմի կառավարում

Որակյալ անձնակազմի հավաքագրման և պահպանման (մոտիվացիայի) վերաբերյալ քաղաքականությունը չի օպտիմիզացվել, ինչը թույլ չի տալիս ապահովել անձնակազմի առավելագույն ներդրումը ՏՏ գործունեության արդյունքում:

Օգտագործվում է անձնակազմի հավաքագրման և կառավարման ոչ պաշտոնական մոտեցումը, որն ավելի շատ պայմանավորված է կոնկրետ նախագծերի կարիքներով, քան տեխնոլոգիայի զարգացման ուղղությամբ և կազմակերպության ներսում և նրա սահմաններից դուրս որակյալ աշխատակիցների առաջարկների խելամիտ հավասարակշռությամբ: Իրականացվում է նոր աշխատակիցների ոչ պաշտոնական ուսուցում:

Ծրագրի կառավարում

Projectրագրի կառավարման մոտեցումները չեն օպտիմիզացվել, ինչը հանգեցնում է պարտավորությունների չկատարման `ժամանակի և աշխատանքի արժեքի առումով: ՏՏ ոլորտում նախագծերի կառավարման մեթոդաբանության և մոտեցումների օգտագործման որոշումը թողնված է առանձին մենեջերների հայեցողությանը:

Projectրագրի կառավարման հիմնարար որոշումները կայացվում են առանց օգտագործողների կառավարման կամ հաճախորդի ելակետային տվյալների: Հաճախորդներն ու օգտվողները չեն մասնակցում ՏՏ նախագծերի սահմանմանը կամ նրանց մասնակցությունն աննշան է: ՏՏ նախագծերը վատ են կազմակերպված. Մասնակիցների դերերն ու պարտականությունները, ինչպես նաև ծրագրի ժամանակացույցը սահմանված չեն, աշխատանքի ծախսերը չեն հետևվում:

ՏՏ ենթակառուցվածքների ձեռքբերում

ՏՏ ենթակառուցվածքների ձեռքբերումն ու սպասարկումը օպտիմալացված և ստանդարտացված չեն: Գործողության ընթացքում դա հանգեցնում է համակարգերի կատարողականի նվազման և համակարգում պահվող տվյալների և ծրագրերի հետ կապված անվտանգության ռիսկերի առաջացման:

Յուրաքանչյուր նոր հավելվածի համար ենթակառուցվածքներում կատարվում են փոփոխություններ ՝ առանց որևէ ընդհանուր ծրագրի: Serviceառայությունը կազմակերպվում է ի պատասխան կարճաժամկետ կարիքների: Փորձարկման միջավայրը արտադրության միջավայրն է: ՏՏ ենթակառուցվածքի ձեռքբերումն ու պահպանումը հիմնված չէ որևէ կոնկրետ ռազմավարության վրա և հաշվի չի առնում այն ​​բիզնես ծրագրերի կարիքները, որոնք պետք է օժանդակվեն: Տեխնիկական սպասարկման ժամանակացույցը լիովին մշակված չէ և գործողությունները համակարգված չեն:

Մատուցողի ծառայությունների կառավարում

Չկան հստակ պայմանագրային հարաբերություններ (համաձայնագրեր) ՏՏ ծառայություններ մատուցողների հետ, ներառյալ դերերի, պարտականությունների և ակնկալիքների սահմանումը, ինչպես նաև արդյունավետության և համապատասխանության համապատասխան համաձայնագրերի վերանայումը և մոնիտորինգը, ինչը մեծացնում է մատակարարների թերացման դեպքում վնասի սպառնալիքը:

Երրորդ կողմերի հետ պայմանագրեր կնքելու պաշտոնական քաղաքականություն և ընթացակարգ չկա: Երրորդ կողմի կազմակերպությունների գործունեության գնահատում չի կատարվում: Երրորդ կողմերը հաշվետվություններ չեն տրամադրում: Հաշվետվությունների գծով պարտավորությունների բացակայության դեպքում, ավագ ղեկավարությունը տեղեկացված չէ մատուցվող ծառայությունների որակի մասին: Provառայություններ մատուցողների հետ պայմանագրերի ստանդարտ պայմաններ չկան: Մատուցվող ծառայությունների գնահատումն իրականացվում է կամայական և մասնատված եղանակով: Մեթոդաբանությունը կախված է անհատի անհատական ​​փորձից և մատակարարից (օրինակ ՝ ըստ պահանջի):

Շարունակականության կառավարում

ՏՏ գործունեության շարունակականությունն ապահովելու (ներառյալ տվյալների պահուստավորման պլաններ) պլանների ստեղծման (պահպանման և փորձարկման) ձևակերպված մոտեցում չկա, ինչը մեծ հավանականություն է առաջացնում կարևոր ոլորտներում և բիզնես գործընթացներում ՏՏ ծառայությունների մատուցման զգալի ընդհատումներ: տեղի կունենա արտակարգ իրավիճակի դեպքում:

Խոշոր խախտումների վերաբերյալ արձագանքները նախապես մտածված կամ պատրաստված չեն: Համակարգի պլանային անջատումները կիրառվում են ՏՏ ծառայությունների կարիքները բավարարելու համար ՝ առանց հաշվի առնելու բիզնեսի պահանջների կատարումը: Serviceառայությունների շարունակականության մոտեցումները թերի և մասնատված են: Համակարգի առկայության վերաբերյալ մուտքային տեղեկատվությունը հաշվի չի առնում ձեռնարկության վիճակը: Չկա փաստաթղթային աջակցություն օգտագործողների գործողությունների կամ շարունակական աշխատանքի ապահովման համար:

Աղբյուրը `ՏՏ փորձագետի կողմից մշակված ռիսկերի կատալոգ

Բաց ստանդարտներ

CobiT (Control Objectives for Information and հարակից տեխնոլոգիաներ) կորպորատիվ տեղեկատվական տեխնոլոգիաների կառավարման միջազգային ստանդարտ է, որն օգնում է ներդաշնակեցնել բիզնեսի և ՏՏ ռազմավարությունը, կառուցել երկխոսություն բիզնեսի ղեկավարների և տեղեկատվական ծառայության կառավարման միջև: Լավագույն փորձի գրադարան ITIL- ը (ՏՏ ենթակառուցվածքների գրադարան) տեղեկատվական տեխնոլոգիաների կառավարման ստանդարտ է, որն ակտիվորեն կիրառվում է շատ երկրներում վերջին 15 տարիների ընթացքում: ISO 20000 (Տեղեկատվական տեխնոլոգիա - managementառայությունների կառավարում) ստանդարտ է, որը պարունակում է համընդհանուր չափանիշներ, որոնցով ՏՏ ծառայություններ մատուցող ցանկացած ընկերություն կամ ծառայություն կարող է գնահատել իրենց արդյունավետությունը և հաճախորդների պահանջների կատարումը `հաշվի առնելով նրանց բիզնեսը: Ստանդարտը մշակված էր որպես արդյունաբերական ստանդարտ `ուղղված ՏՏ ծառայություններին` ISO 9001: 2000 -ի անալոգին:

Աուդիտի փուլերը

Աուդիտի նախնական փուլում `պլանավորման փուլ (նկ. 1 -ում` «I»), որպես կանոն, արդյունքների վերաբերյալ պահանջները հստակեցվում են, համաձայնեցվում և գնահատվում է ռիսկերի ցանկը և սահմանները որոշվում է աուդիտի ընթացքը, այսինքն `հետաքննության ենթակա բիզնես գործընթացների և գերատեսչությունների ցանկը: Բեմը ներառում է.

  • գնահատման ենթակա ՏՏ գործընթացների ցանկի և դրան առնչվող ՏՏ ռիսկերի նախնական դասակարգում.
  • աուդիտի սահմանների համակարգում. ՏՏ ծառայություններ, համակարգեր, ծրագրակազմ և սարքավորումներ, ստորաբաժանումներ և մասնագետներ, որոնց վերաբերյալ վերլուծությունը կիրականացվի.
  • մանրամասն աուդիտի ծրագրի ձևավորում և հաստատում:

Սովորաբար աուդիտորը կազմում է ՏՏ ռիսկերի տեղեկատու ցուցակ, որոնք, ըստ միջազգային չափանիշների, բնորոշ են տեղեկատվական ավտոմատացված համակարգերի պլանավորման, մշակման, ներդրման և շահագործման փուլերին: Աուդիտի նախաձեռնողը (պատվիրատու), հիմնվելով նշված ցուցակի վրա, որոշում է գնահատման առաջնահերթությունները: Եթե ​​ՏՏ աուդիտի պատվիրատուն ընկերության ղեկավարության ներկայացուցիչներն են, ապա ավելի ճշգրիտ արդյունք ստանալու համար խորհուրդ է տրվում հարցաշարերը կազմել բիզնես առումով (աղյուսակ 2): Հաշվի առնելով աուդիտի ժամանակի և ռեսուրսների պարամետրերը `որոշվում են աուդիտի սահմանները (ծառայություններ, համակարգեր, ստորաբաժանումներ և այլն): Միևնույն ժամանակ, խորհուրդ է տրվում դիտարկել բիզնեսի և / կամ ընդհանուր ծառայությունների և համակարգերի համար ամենակարևորը, որպեսզի որոշակի (առանցքային) աուդիտի տարածքի գնահատման հիման վրա կարողանանք ՏՏ կառավարման վերաբերյալ օբյեկտիվ եզրակացություններ անել: համակարգը որպես ամբողջություն:

Աղյուսակ 2. Ընկերության ղեկավարության և հիմնական օգտվողների հետ հարցազրույցներ անցկացնելու հարցաթերթիկից հատված

ՏՏ ռիսկի նկարագրություն (ՏՏ փորձագետների ռիսկերի կատալոգից)

ՏՏ ռիսկերի կառավարման կարևորության գնահատում

Ստուգեք ընտրված տարբերակը

Ռազմավարական բիզնեսի պլանավորման փուլում ՏՏ ռազմավարության խնդիրները չեն դիտարկվում Հետևություններ.

  • ՏՏ ծառայության վաղաժամ արձագանքը բիզնես նախաձեռնություններին (նոր գրասենյակների բացում, բիզնես գործընթացների ավտոմատացում);
  • Ֆինանսական ծախսերի ավելացում ՝ ձեռնարկատիրական նախաձեռնությունները ՏՏ հատուկ լուծումների վերածելու համար (ՏՏ կողմից շտապ ընդունված ոչ օպտիմալ և սխալ որոշումներ)

Ռիսկն աննշան է

Հարցազրույցի բացատրություններ. Ռիսկը ենթադրական է և փոքր նշանակություն ունի ընկերության գործունեության համար (ռիսկերի կառավարման ծախսերը կլինեն ավելի բարձր, քան ստացված ազդեցությունը)

Միջին ռիսկ (ընդունելի է)

Հարցազրույցի բացատրություններ. Ճանաչված է այս ռիսկի ռազմավարական տեսանկյունից կառավարման կարևորությունը (այս փուլում թույլատրվում է հարցի նախնական ուսումնասիրություն, որը չի պահանջում ֆինանսական ներդրումների ներգրավում և գործարար առաջնորդների զգալի ժամանակային ռեսուրսների ծախսեր):

Միջինից բարձր ռիսկ

Հարցազրույցի բացատրություններ. Ընդունում է այս ռիսկի կառավարման կարևորությունը (ներառյալ ժամանակի և ֆինանսական միջոցների հատկացումը) կարճաժամկետ հեռանկարում

Ռիսկը բարձր է

Հարցազրույցի բացատրություններ. Ենթադրվում է, որ այս ռիսկի գիտակցումը հնարավոր է ոչ միայն կարճաժամկետ հեռանկարում, այլ արդեն տեղի է ունեցել

Լրացուցիչ գնահատման պարամետր

Այս ռիսկի կառավարման գործում ՏՏ և բիզնեսի համատեղ մասնակցության անհրաժեշտությունը ճանաչված է

Մեկնաբանություններ և բացատրություններ.

Հաշվի առնելով ստացված տեղեկատվությունը ՝ աուդիտորը կազմում է հարցաթերթիկներ, որոնցում նշում է ՏՏ յուրաքանչյուր գործընթացի համար աուդիտի ընթացակարգերի պարամետրերը, ներառյալ վերահսկման մանրամասն նպատակների անվանումը և հստակեցնող հարցերի մոտավոր թիվը: Որպեսզի ՏՏ կառավարման համակարգի գնահատումը լինի համապարփակ, ձևավորվում է հարցերի հիերարխիա ՝ մասնավորից մինչև բարձր մակարդակի: ՏՏ գործընթացների հասունության մակարդակի գնահատումը վերլուծելու համար դիտարկվում են որոշակի խնդիրներ `խմբավորված վերահսկման մանրամասն նպատակների մեջ: Սա հաշվի է առնում աուդիտորներին տրամադրված տվյալների և ապացույցների ամբողջականությունն ու հուսալիությունը:

Օրինակ, մենք կտանք «Կապալառու ծառայությունների կառավարում» ՏՏ գործընթացի գնահատման հարցաթերթիկի կառուցվածքը.

Գործընթացի նպատակներին չհասնելու ռիսկերը.

  • ՏՏ ծառայություններ մատուցողների հետ հստակ պայմանագրային հարաբերությունների (համաձայնագրերի) բացակայությունը (ներառյալ դերերի, պարտականությունների և ակնկալիքների սահմանումը, արդյունավետության և համապատասխանության առումով համապատասխան համաձայնագրերի աուդիտը և մոնիտորինգը) մեծացնում է մատակարարների չկատարման դեպքում վնասի վտանգը:

Ազդեցությունը նպատակների իրականացման վրա

ՏՏ գործունեություն.

  • ՏՏ գործունեության արդյունավետության ապահովում `չափավոր ազդեցություն;
  • ՏՏ գործունեության ռացիոնալության ապահովում `բարձր ազդեցություն;
  • ՏՏ գործունեության անվտանգության ապահովում `բարձր ազդեցություն:

Մանրամասն վերահսկողության նպատակները.

  • գործընթացի քաղաքականության և գործառնական ընթացակարգերի սահմանում.
  • դերերի բաշխում;
  • փաստաթղթերի կառավարում;
  • պայմանագրերի վերլուծություն;
  • պայմանագրային տարբերությունների կառավարում;
  • իրավունքների փոխանցում;
  • պատասխանատվություն և հաշվետվողականություն;
  • գործիքներ;
  • գործընթացի լուսաբանում;
  • հաշվետվություն և չափումներ: Հաջորդ փուլը տեղում աուդիտն է (նկ. 1-ում `« II »), որի ընթացքում հարցազրույցներ են անցկացվում պատվիրատու ընկերության աշխատակիցների հետ և դրանց արդյունքները ստուգվում են (աղյուսակ 3): Այս փուլում խորհուրդ է տրվում լուծել հետևյալ խնդիրները.
  • իրականացնել ինքնագնահատման ընթացակարգեր ՝ օգտագործելով նախկինում մշակված հարցաթերթիկներ.
  • անցկացնել հարցազրույցներ աուդիտի ենթարկվող կազմակերպության հիմնական աշխատակիցների հետ `ինքնագնահատման արդյունքները հստակեցնելու համար.
Աղյուսակ 3. «Կազմաձևման կառավարում» գործընթացի ինքնագնահատման հարցաշարի հատված

Աուդիտի չափանիշներ

Ինքնագնահատական

կամ այո / ոչ

Կազմակերպչական միավորի հայտարարությունը տալիս է ուղեցույց ՝ կազմաձևման կառավարման հետ կապված խնդիրների վերաբերյալ:

Կազմաձևման կառավարման համար պատասխանատուների աշխատանքի նկարագրությունները ներառում են համապատասխան գրառումներ

CMDB- ի (կազմաձևման տվյալների բազայի) ծածկույթը սահմանված է և համարժեք ՝ սերվերներ, անհատական ​​համակարգիչներ, DBMS, ծրագրակազմ, LAN

Կազմաձևման տարրի հատկանիշների մանրամասնության աստիճանը (անունը, տեսակը, վայրը, սեփականատերը, գույքագրման համարը, կարգավիճակը, փաստաթղթերը, լիցենզիաները և այլն) որոշված ​​և համարժեք է:

Ֆիզիկական և տրամաբանական մակարդակում կազմաձևման տարրերի միջև փոխհարաբերությունները (հարաբերությունները) գրանցվում են

Կիրառվում է կազմաձևման գրանցման հիմնական ընթացակարգը

Սահմանված և իրագործված CI- ներ ավելացնելու հսկողության ընթացակարգեր

Սահմանված են խթանող իրադարձությունները և CMDB աուդիտի հաճախականությունը (ստուգել, ​​թե որքանով է ճշգրիտ ներկա իրավիճակը արտացոլված CMDB- ում)

Օգտագործվում են աուդիտորական գործիքներ, որոնք կարող են ինքնաբերաբար վերլուծել աշխատատեղերը և զեկույցներ ներկայացնել ՏՏ ենթակառուցվածքի ներկա իրավիճակի և կարգավիճակի վերաբերյալ
  • ստուգել հարցազրույցների և ինքնագնահատումների արդյունքները `որպես կատարողականի մոնիթորինգի ընթացակարգերի և տրամադրված ապացույցների մանրամասն փորձարկման մաս (ներառյալ կանոնակարգերը, կանոնակարգերը, զեկույցները, իրադարձությունների գրառումները և այլն)

Հաճախորդը որոշում է այն աշխատակիցներին, ովքեր ՏՏ գործընթացի վերաբերյալ հարցազրույցի շրջանակներում կտան պաշտոնական գնահատական ​​(ինքնագնահատում) հարցաթերթիկում սահմանված չափանիշներին իրական վիճակի համապատասխանության աստիճանի վերաբերյալ: Աուդիտորը անցկացնում է հարցազրույցներ, որոնց ընթացքում վերլուծվում և ճշգրտվում են ինքնագնահատման արդյունքները: Վերլուծվում է ինքնագնահատման բարձր արդյունքները հաստատող ապացույցների ցանկը, այդ թվում `գնահատվում է համապատասխան ապացույցներ ներկայացնելու իրական պատրաստակամությունը (աղյուսակ 4): Հարցաթերթի յուրաքանչյուր հարց կարող է դիտարկվել ըստ հետևյալ պարամետրերի `անձնակազմի իրավասություն, իրական գործունեություն, փաստաթղթեր, մոնիտորինգ և ավտոմատացում: Theուցանիշները գնահատվում են հինգ բալանոց սանդղակով ՝ բաշխված, օրինակ, «գործունեության» ցուցանիշի համար հետևյալ կերպ.

  • 0 - գործունեությունը չի իրականացվում և անհրաժեշտ չի ճանաչվում.
  • 1 - գործունեությունը չի իրականացվում, բայց ճանաչվում է անհրաժեշտ.
  • 2 - գործունեությունն իրականացվում է բեկորներով և ունի նվազագույն ծածկույթ, անհնար է դա հաստատել ապացույցներով, հավանական շեղումները դժվար է բացահայտել.
  • 3 - գործունեությունն իրականացվում է պարբերաբար, բայց ունի փոքր շրջանակ և կարող է ապացուցվել միայն առանձին դեպքերում կամ «գործունեության դիտման» եղանակով ցուցադրման միջոցով.
  • 4 - գործունեությունն իրականացվում է շարունակական հիմունքներով: Գործընթացի լուսաբանումը բավարար մակարդակի վրա է և նախատեսվում է ավելացնել, շատ դեպքերում առկա են գործունեության վերաբերյալ փաստաթղթային ապացույցներ.
  • 5 - գործունեությունն իրականացվում է շարունակական հիմունքներով, ունի ամբողջական ընդգրկում, կան վկայականներ էլեկտրոնային և թղթային տեսքով, որոնք հարմար են ինչպես ներքին վերահսկողության, այնպես էլ աուդիտի համար: Գնահատելիս անհրաժեշտ է հաշվի առնել փաստաթղթային ապացույցների (աուդիտի հետք) համարժեքությունը, որոնց հիման վրա հնարավոր է կարծիք հայտնել գնահատվող գործունեության վերաբերյալ: Փաստաթղթերի այս խումբը ներառում է, օրինակ, գրանցամատյաններ և գույքագրումներ, գրանցման ամսագրեր, արձանագրություններ, ծանոթությունների թերթեր, ակտեր և (կամ) աշխատանքի կատարումը (կարգը) նշող հաշվետվություններ:

Ստացված պատասխանները դասակարգվում են ըստ քաշի բնութագրերի և ինքնագնահատման արդյունքների (միավորների): Հաջորդը գալիս է հարցաթերթերի ստուգումը: Ամենաբարձր կշռման և ինքնագնահատման միավորներ ունեցող գնահատականները առաջինը հանձնում են ֆիտնեսի քննությունը: Ամեն դեպքում, ամենաբարձր գնահատականով հավաստագրերի / պատասխանների առնվազն 50% -ը և մնացածի առնվազն 30% -ը պետք է ենթարկվեն այս ընթացակարգին: Եթե ​​պարզվի, որ ինքնագնահատականը գերագնահատված է, աուդիտորը դնում է իր իսկ գնահատականը, որն այնուհետև հիմք է հանդիսանում հետագա հաշվարկների համար: Ստուգումն իրականացվում է մոնիթորինգի գործունեության և աշխատանքային պայմանների հիման վրա. փաստաթղթերի, ստուգումների գրառումների (ակտերի, արձանագրությունների), հանդիպումների արձանագրությունների, աուդիտների վերաբերյալ հաշվետվությունների (ակտերի), ամփոփ տվյալների, վերլուծությունների և կատարողականի ցուցանիշների, հաշվետվությունների պահանջ. մուտք դեպի էլեկտրոնային շտեմարաններ և կայքեր: Անհրաժեշտության դեպքում աուդիտորն անհապաղ ստեղծում է թեստավորման մանրամասն հարցաշար ՝ էական աուդիտորական ընթացակարգեր իրականացնելու համար (որոշակի հարցերի վերաբերյալ աուդիտորական ապացույցների ամբողջականության ընտրովի վերլուծություն ՝ ինքնագնահատման արդյունքների լրացուցիչ երաշխիքներ ստանալու համար): Աուդիտի վերջին փուլում («III») նկ. 1), հավաքված ապացույցները վերլուծվում են, մանրամասն գնահատականներ և վերջնական աուդիտի եզրակացություններ: CobiT միջազգային ստանդարտը այս փուլը բնութագրում է որպես «ստեղծագործական», քանի որ աուդիտորի առջև դրված է դժվար խնդիր `իրականացնել գնահատումների բազմափուլ փոխակերպում առանձին առանձին հարցերից մինչև ՏՏ կառավարման համակարգի վիճակի վերաբերյալ վերջնական հաշվարկների ձևավորում: կազմակերպությունն ամբողջությամբ.

Միջադեպերի բացակայությունը վտանգի ազդանշան է

Հատուկ հարցի վերաբերյալ ստուգում իրականացնելու առաջարկությունների օրինակ ՝ «Արձագանք տեղեկատվական անվտանգության միջադեպերին», կարող է լինել Բրիտանական ստանդարտների ինստիտուտի կողմից մշակված BS 7799 Control Implementation and Audit Guidelines- ում պարունակվող աուդիտի ուղեցույցը. «Կազմակերպությունը պետք է ունենա անհրաժեշտ ընթացակարգեր մշակվել և իրականացվել է, և ղեկավարության հետ ստեղծվել են կապի ուղիներ ՝ անվտանգության միջադեպերի մասին տեղեկացնելու համար: Աուդիտորները պետք է ապահովեն, որ այս ընթացակարգերը կիրառելի են ցանկացած հնարավոր միջադեպերի դեպքում և ապահովեն, որ բավականաչափ արդյունավետ արձագանք լինի: Եթե ​​կազմակերպությունը պնդում է, որ ինքը չունի միջադեպեր հաղորդելու և, հետևաբար, չի կարող ցույց տալ հաշվետվությունների ներկայացման գործընթաց, ապա ամենայն հավանականությամբ միջադեպեր տեղի են ունենում առանց որևէ մեկի կողմից դրանք նկատելու: Հետևաբար, անվտանգության միջադեպերի հաշվետվության ընթացակարգերը, միջադեպերի մասին հաշվետվության ընթացակարգերը պետք է ապահովվեն ՝ անկախ նրանից, որ նախկինում որևէ միջադեպ եղել է, թե ոչ: Պետք է ստուգվի ՝ արդյոք կազմակերպությունն ունի անվտանգության միջադեպի (միջադեպի) հստակ սահմանում և արդյոք դա հասկանում են պատասխանատվության դիրքերում գտնվողները: Օգտակար է ստուգման հարցեր տալ, օրինակ. խախտում »:

Այս փուլում աուդիտորի հիմնական խնդիրն է ապահովել վերջնական եզրակացությունների ձևավորման մեխանիզմի թափանցիկությունը `որպես աուդիտի արդյունքներին վստահելու հիմնական պայման: Բոլոր շահագրգիռ կողմերը պետք է կարողանան հետևել աուդիտի արդյունքների մասնավորից մինչև վերջնական գնահատականներ փոխակերպելու շղթայի պատճառահետեւանքային կապին: Եկեք կանգ առնենք գնահատումների փոխակերպման առավել կոնկրետ փուլերի վրա:

ՏՏ գործընթացի հասունության մակարդակի հաշվարկ

Այս հաշվարկը կարող է իրականացվել CobiT մեթոդաբանության միջոցով, որն առաջարկում է բացահայտել գործընթացի հասունության հինգ հիմնական բնութագիր (Աղյուսակ 5): Աուդիտորը խմբավորում է որոշակի խնդիրներ `ըստ գործընթացի նշված հատկանիշների (իրավասություն, իրական գործունեություն, փաստաթղթեր, չափումներ, կատարելագործում) և յուրաքանչյուր խմբի համար հաշվարկում է գնահատական: Այս դեպքում խորհուրդ է տրվում հաշվի առնել ինչպես խմբի ներսում, այնպես էլ հենց խմբերի հարցերի քաշային բնութագրերը: Հատուկ արժեքների որոշումն իրականացվում է փորձագիտական ​​խորհրդատվությամբ և աշխատանքի սկզբում համաձայնեցվում է աուդիտի պատվիրատուի հետ:

Աղյուսակ 5. Մարման ժամկետի վերջնական գնահատման հաշվարկման բանաձև

L = L1 + L2 + L3 + L4 + L5

Հասունության մակարդակը ըստ հատվածների

Անուն

K - հատվածի քաշը (միավորների գումարը 5 է)

R (Tn) - 0 -ից 1 հիմնական գնահատական ​​՝ հիմնված հարցաշարի և ստուգման արդյունքների վրա (գնահատականների իրական գումարը / գնահատականների առավելագույն հնարավոր գումարը)

L1 = K × R (T1)

Իրավասություն

L2 = K × R (T2)

Գործունեություն

L3 = K × R (T3) × R (T2)

Փաստաթղթավորում

L4 = K × R (T4) × R (T2)

Չափում

L5 = Կ × R (T5) × R (T2)

Կատարելություն

Նկարում ներկայացված հաշվարկը: 2, թույլ է տալիս կառուցել ՏՏ գործընթացի հասունության մակարդակի միտում:

Բացասական միտումների վեկտորը կառուցված է `հաշվի առնելով փաստաթղթերի մակարդակը (այս խմբի հարցերի վերջնական հաշիվը): Որքան ցածր է փաստաթղթերի մակարդակը, այնքան ավելի հավանական է, որ առանցքային անձնակազմի կորստի կամ աշխատանքային միջավայրում փոփոխությունների դեպքում ՏՏ գործունեության նպատակները չեն հասնի (օրինակ, նոր աշխատակիցները չեն կարող տեղեկատվություն ստանալ այն մասին, թե ինչպես որոշակի ընթացակարգեր պետք է իրականացվեն): Համապատասխանաբար, դրական տենդենցի համար չափումը և բարելավումը հաշվի են առնվում որպես կատարողականի բարելավման հիմք: Գործնականում գործնականում հետստուգման ժամանակահատվածի տևողությունը (ստուգումների միջև ընկած ժամանակահատվածը) շատ դեպքերում տատանվում է մեկից երեք տարվա ընթացքում և որոշվում է ՝ հաշվի առնելով հաճախականության օրենսդրական և կարգավորող պահանջները, ինչպես նաև ողջամիտ բավարարության սկզբունքը. Հետաքրքրված է ապագայի համար կանխատեսումներ անելու նպատակներով:

ՏՏ ռիսկերի մակարդակի հաշվարկ

Սա վերաբերում է բուժումից հետո ռիսկի մակարդակին, օրինակ `այն նվազեցնելու համար հակաքայլեր կիրառելուց հետո: Այս ընթացակարգի շրջանակներում աուդիտորը կազմում է բացահայտված ռիսկերի դասակարգված ցուցակ և համեմատում է ռիսկի հիմնական մակարդակը ՏՏ գործընթացի հասունության մակարդակի հետ, որը պատասխանատու է այս պարամետրի կառավարման համար (Աղյուսակ 6): 6 կամ ավելի մնացորդային ռիսկը (S) համարվում է ընդունելի: Չափավոր `7 -ից 11. Բարձր - 12 -ից 16 -ը: Կրիտիկական` 17 -ից 25 -ը:

Ամփոփելով

Աուդիտորական եզրակացությունների ձևավորման բոլոր փուլերում գնահատումների կառուցվածքը թույլ է տալիս վիճակագրական հիմք կազմել հետճշտման շրջանում տարբեր գործընթացների ցուցանիշների փոփոխությունների սպասվող դինամիկայի հաշվարկման համար: Ստացված արդյունքները կարող են օգտագործվել տեղեկատվական տեխնոլոգիաներում ներդրումների երկարաժամկետ պլանի ձևավորման համար `փոխկապակցված ռիսկերի կառավարման համակարգի հասունության մակարդակի բարձրացման հետ: Ինչպես արդեն նշվեց, որքան բարդ է տեղեկատվական համակարգը, այնքան ավելի հասուն ՏՏ կառավարման համակարգը պետք է համապատասխանի դրան: Բայց կա նաև հակադարձ հարաբերություն: Օրինակ, եթե ընկերությունն ունի պարզ տեղական համակարգ, ապա այն իր առավելագույն արդյունավետությանը կհասնի 2.8–3.2 հասունության մակարդակում: Ավելի բարձր մակարդակը որոշիչ առավելություն չի տա, բայց կարող է հանգեցնել կառավարման լրացուցիչ ծախսերի (նկ. 3): Ի լրումն աուդիտի ընթացքում հայտնաբերված անհամապատասխանությունների (մեկնաբանությունների) վերացման ստանդարտ առաջարկությունների, աուդիտի արդյունքները կարող են օգտագործվել ՏՏ կառավարման համակարգի ընդհանուր և առանձին ՏՏ գործընթացների կատարելագործման մարտավարությունների և ռազմավարությունների վերաբերյալ հիմնական առաջարկությունների մշակման, ինչպես նաև ներքին վերահսկողության համակարգերի և կազմակերպության տեղեկատվական տեխնոլոգիաների աուդիտի մեթոդաբանական հիմքը: Վերոնշյալ աուդիտի մեթոդաբանության կիրառումը ընկերությանը հնարավորություն է տալիս ՏՏ կառավարման համակարգին նայել միջազգային չափանիշների և գործնական փորձի պրիզմայով և, որպես արդյունք, ստանալ մասնագիտական ​​փորձագիտական ​​գնահատում.

  • ստանդարտների պահանջներին դրա համապատասխանության աստիճանը, որը կարող է օգտագործվել հավաստագրման աուդիտ անցնելու կազմակերպության պատրաստակամությունը որոշելու համար.
  • տեղեկատվական տեխնոլոգիաներ օգտագործելիս բիզնեսի համար ավելացված արժեքի արդյունավետ ձևավորման նպատակներին համապատասխանությունը.
  • դրա կայունությունը տարբեր սցենարների իրականացման մեջ, օրինակ, եթե հաշվի առնվի բիզնեսի ընդլայնումը, ապա գնահատվում է ՏՏ ծառայության պատրաստակամությունը `իր գործունեությունը ծավալելու համար, եթե խոսքը գնում է նոր տեղեկատվական համակարգերի լայնածավալ անցման մասին, պատրաստակամությունը օպտիմալ պահին վերլուծվում է նոր համակարգերի հուսալի անցում, ֆինանսավորման չափը փոխելու համար գնահատվում է համապատասխան պայմաններին հարմարվողականության աստիճանը: Իրականացված աշխատանքների հիման վրա առաջարկություններ են տրվում ՏՏ բաժինների կառավարման զարգացման ռազմավարության վերաբերյալ, ներառյալ կառավարման հատուկ գործընթացները, ռիսկերի կանխումը, ՏՏ բաժինների աշխատանքի բարելավումը և ներքին վերահսկողության համակարգի ձևավորումը: Այսպիսով, ՏՏ աուդիտը հիմք է դնում ընկերության արդյունավետ աշխատանքի համար այն ոլորտում, որն առաջնային է իր մրցունակության մակարդակի համար, նախանշում է գործողությունների ծրագիր, որը կարող է իրականացվել միայն: Մնացած ամեն ինչ արդեն կախված կլինի հենց ընկերությունից, ավելի ճիշտ ՝ պատրաստված առաջարկություններից հստակ հետևելու պատրաստակամությունից:
Աղյուսակ 6. ՏՏ ռիսկի մնացորդային մակարդակի գնահատում

Ներքին ռիսկի մակարդակը 0 -ից 5 -ը (փորձագետի գնահատում)

ՏՏ գործընթացի հասունության մակարդակի (որի շրջանակներում կառավարվում է ռիսկը) ազդեցությունը 0 -ից 5 -ը

Մնացած ռիսկերի գնահատում

S = 5 × R1 - L 2

Theկուն ենթակառուցվածքի բացակայության պատճառով զարգացման սկզբից մինչև համակարգերի առկայության ժամանակը հասցնելու ռիսկը

Ենթակառուցվածքների խափանումների ավելացման վտանգ

Տեխնոլոգիական ենթակառուցվածքների անհամապատասխանությունների հետևանքով կիրառման արդյունավետության բարձրացման հետ կապված խնդիրներ

ՏՏ նոր լուծումներ ներկայացնելիս կարողությունների պակասի ռիսկը

ՏՏ ենթակառուցվածքների համար ծախսերի ավելացման ռիսկը `« պահուստում »անհիմն պաշարների ստեղծման պատճառով

Հայտնի է, որ հաճախ ձեռնարկությունում ի սկզբանե ներդրված տեղեկատվական տեխնոլոգիաները մնում են կամ ժամանակի ընթացքում դառնում են «գաղտնիք յոթ կնիքների հետևում» ինչպես ընկերության ղեկավարների, այնպես էլ աշխատակիցների, և հատկապես երրորդ կողմերի համար, բայց ոչ պակաս շահագրգիռ կողմերի համար. հաճախորդներ, ներդրողներ, գործընկերներ: Իհարկե, սա վստահություն չի ավելացնում ընկերությանը, չի երաշխավորում նրա բիզնեսի անվտանգությունը և չի օգնում հաճախորդների և ներդրողների ներգրավմանը: ՏՏ աուդիտը մեկն է այն մեխանիզմներից, որոնք թույլ են տալիս «լույս սփռել» ընկերության իրական վիճակի վրա, օպտիմալացնել տեղեկատվական համակարգերի և, հետևաբար, ամբողջ բիզնեսի աշխատանքը:

ՏՏ աուդիտի հիմնական նպատակն է գնահատել տեղեկատվական տեխնոլոգիաների օգտագործման հետ կապված ռիսկերը, գնահատել դրանց վերահսկողությունը և առաջարկություններ մշակել ուղղություններ ձեռնարկելու ուղղություններով այն ոլորտներում, որտեղ ռիսկերը պետք է մեղմվեն:

Մենք առաջարկում ենք ձեր ընկերությունում անցկացնել ՏՏ աուդիտ, որը կարող է բաղկացած լինել հետևյալ աշխատանքներից.

ՏՏ աուդիտի աշխատանքի շրջանակը, աշխատանքի ժամկետը և արժեքը որոշելու համար խորհուրդ է տրվում իրականացնել ՏՏ ախտորոշում: Ախտորոշումը կատարվում է 3-5 աշխատանքային օրվա ընթացքում: Ախտորոշումը հավաքում է անհրաժեշտ տեղեկատվությունը `ՏՏ հիմնական խնդիրները բացահայտելու համար: Այս տեղեկատվության հիման վրա մշակվում են ընկերությունում ՏՏ աուդիտ անցկացնելու մանրամասն առաջարկներ:

Աուդիտի արդյունքն այն եզրակացությունների շարք է, թե արդյո՞ք ընկերությունում առկա տեղեկատվական համակարգը (ԱՀ) բավարարում է բիզնեսի կարիքները, մշակվում են առաջարկություններ ՏՏ -ի օպտիմալացման և հետագա զարգացման համար:

Աուդիտի ընթացքում իրականացվում է առկա բիզնեսի համապատասխանությունը ընկերության բիզնես գործընթացներին, ինչը ենթադրում է ընկերության կազմակերպչական կառուցվածքի, ստորաբաժանումների հիերարխիայի, ներքին աշխատանքային հոսքի, հաշվապահական հաշվառման քաղաքականության, մոդուլների համապատասխանության վերլուծություն: ԻՊ -ն սովոր է բաժանումների իրական կարիքներին:

ՄՍ աուդիտը նպատակ ունի հասնել հետևյալ խնդիրներին.

  • Նվազեցնելով ՏՏ ենթակառուցվածքների պահպանման և զարգացման ծախսերը
  • Նվազեցնելով բիզնեսի ավտոմատացված գործառնությունների կատարման ծախսերը
  • IS- ի արդյունավետության բարձրացում
  • Ներդրումների արդյունավետության բարձրացում ընկերության IP- ում

Որպես IP աուդիտի մաս, կատարվում են հետևյալ աշխատանքները.

  • Հնարավորությունների և IP ռազմավարության համապատասխանությունը ընկերության ռազմավարությանը, բիզնես նպատակներին և բիզնես գործընթացներին
  • Գոյություն ունեցող ՏՏ ծառայությունների և դրանց օժանդակ տեղեկատվական համակարգերի (ծրագրային արտադրանք) վերլուծություն
  • Գոյություն ունեցող ՏՏ ենթակառուցվածքի խնդրահարույց տարածքների բացահայտում.
    • տեղեկատվական համակարգի համապատասխանությունը բիզնեսի պահանջներին
    • IP- ի պահպանման և զարգացման արժեքը
    • ՏՏ գործընթացների համապատասխանությունը ISO 9000 չափանիշներին
    • տեղեկատվական անվտանգության մակարդակ
  • ՏՏ ենթակառուցվածքների բարելավման վերաբերյալ առաջարկությունների մշակում.
    • յուրաքանչյուր առաջարկության իրականացման արժեքի գնահատում.
    • առաջարկությունների իրականացման պլան:
    • ՏՏ ենթակառուցվածքների վերազինման առաջարկություններ:

ՏՏ ենթակառուցվածքի աուդիտի և փորձաքննության շրջանակներում կքննվեն հետևյալ ցուցանիշները `կատարումը, ֆունկցիոնալության ամբողջականությունը, անվտանգությունը, ՏՏ գործընթացների ամբողջականությունը և այլն:

Արդյունքում, Ընկերությունը կստանա ՏՏ ենթակառուցվածքի և բիզնեսի կարիքների միջև հայտնաբերված անհամապատասխանությունների նկարագրություն, ՏՏ ենթակառուցվածքների զարգացման առկա խնդիրներ և ռիսկեր, ինչպես նաև բացահայտվածները վերացնելու վերաբերյալ առաջարկություններ `դրա իրականացման ծախսերի գնահատմամբ: առաջարկվող առաջարկություններ և աշխատանքային ծրագիր:

Այս տեղեկատվությունը հիմք է հանդիսանում ավտոմատացման ռազմավարության մշակման և ՏՏ ոլորտում ներդրումներ կատարելու ամենաարդյունավետ ուղիների որոշման համար:

Թույլ է տալիս հաճախորդին ստանալ փորձագիտական ​​գնահատում տեխնոլոգիական հարթակների, ապարատային և ծրագրային համակարգերի, ցանցերի և կապի միջոցների (ՏՏ-ենթակառուցվածք) ընթացիկ կազմի և գործունեության մակարդակի վերաբերյալ, ինչպես նաև ստանալ դրանց օգտագործման արդյունավետությունը բարձրացնելու վերաբերյալ առաջարկություններ, արդիականացում և նվազեցնել սեփականության արժեքը:

Օրինակ, աուդիտի հաշվետվությունը կարող է պարունակել եզրակացություններ սերվերի բեռի համապատասխանության մասին դրանց բնութագրերին ՝ հաստատելով, որ սերվերի հարթակը թույլ է տալիս կատարել առաջադրանքներ, կամ աշխատում է հզորության սահմաններում և այլն:

Աուդիտը ներառում է տեղեկատվական անվտանգության համակարգի (ISS) ներկա վիճակի փորձագիտական ​​գնահատման ձևավորում, տեղեկատվական ռիսկերի գնահատում, ISS- ի բարելավման վերաբերյալ առաջարկություններ, ISS- ի ստեղծման կամ արդիականացման ծախսերի հաշվարկ: Տեղեկատվական անվտանգության աուդիտը հաճախորդ ընկերություններին թույլ է տալիս նվազեցնել բիզնեսի ռիսկերը և բարձրացնել տեղեկատվական անվտանգության մակարդակը:

Աուդիտի արդյունքները թույլ են տալիս մի շարք աշխատանքներ կատարել ՏՏ բաժնի արդյունավետությունը բարձրացնելու, ՏՏ ծախսերի օպտիմալացման, ՏՏ ոլորտում մատուցվող ծառայությունների որակի բարձրացման, ՏՏ բաժինների վերակազմակերպման `ընկերության բիզնես նպատակներին համապատասխան և ժամանակակից ՏՏ ենթակառուցվածքների շահագործման մեթոդաբանություն:

Աուդիտի հաշվետվության հիման վրա, մասնավորապես, տրվում են մանրամասն առաջարկություններ `ՏՏ ծառայությունների աշխատանքի պլանավորման կազմակերպման վերաբերյալ` ընկերության բիզնեսի կարիքներին համապատասխան:

Հնարավորություններ հետագա համագործակցության համար

ՏՏ աուդիտի արդյունքները թույլ կտան նախանշել մեր ընկերությունների միջև հետագա համագործակցության ուղղությունները և, մասնավորապես, որոշել ՏՏ խորհրդատվության ոլորտում աշխատանքների հետևյալ շարքի անհրաժեշտությունը.

  • ՏՏ ռազմավարության մշակում
  • Տեղեկատվական համակարգի հայեցակարգի մշակում, ներառյալ ՏՏ օպտիմալացման / զարգացման բիզնես գործի մշակում
  • Տեղեկատվական համակարգի (ՄՏ) օպտիմալացում / զարգացում, ներառյալ.
    • Գոյություն ունեցող / բացակայող ենթահամակարգերի / IS մոդուլների վերանայման / ստեղծման համար Վերաբերական պայմանների մշակում
    • Կորպորատիվ տեղեկատվական համակարգերի համար ծրագրային ապահովման համակարգերի (վաճառողների) ընտրություն
    • IP- ի օպտիմալացման ծրագրի կազմակերպում և կառավարում
    • Մեթոդական / ուղեկցող փաստաթղթերի մշակում
    • Փոփոխված / նոր ենթահամակարգերի / IS մոդուլների մշակում / ներդրում
    • Անձնակազմի վերապատրաստում և կրթություն: Անձնակազմի խորհրդատվություն
  • IS- ի գործունեության մոնիտորինգ և սպասարկում

Համապարփակ աուդիտի անցկացումը թույլ է տալիս ստանալ առավել ամբողջական, համակարգված և հուսալի տեղեկատվություն հաճախորդի ՏՏ ենթակառուցվածքի վիճակի մասին: Աուդիտը անհրաժեշտ է ՏՏ գնահատման, որոշումներ կայացնելու, իրավիճակի զարգացման կանխատեսման և ՏՏ կառավարման համար:

Ե՞րբ (ո՞ր դեպքերում) է պահանջվում այս ծառայությունը:

  1. Բիզնեսի ձեռքբերում կամ բիզնեսի համադրություն(ֆորմալ կամ ոչ ֆորմալ) հոլդինգային կառույցի մեջ: Անհրաժեշտ է դառնում գնված ընկերության ՏՏ ենթակառուցվածքի ինտեգրումը սեփական ենթակառուցվածքների հետ: Անկախ աուդիտը կնվազեցնի ծախսերը և կարագացնի ինտեգրման գործընթացը:
  2. Նախքան ձեր ՏՏ ենթակառուցվածքի արդիականացումըձեռնարկությունները: Անհրաժեշտ է օպտիմալացնել արդիականացման ծախսերը և մշակել զարգացման ռազմավարություն:
  3. Երբ բիզնեսի աճը գերազանցում է ՏՏ զարգացմանը... Այս դեպքում ձեռնարկության կառավարման ոլորտում ՏՏ ենթակառուցվածքի կազմի և վիճակի վերաբերյալ կառավարման տեղեկատվության պակաս կամ բացակայություն կա:
  4. Եթե ​​ՏՏ ենթակառուցվածքը լավ չի աշխատումառայժմ Աուդիտը ենթակառուցվածքների խցանումները հայտնաբերելու և դրանց վերացման համար անհրաժեշտ առաջարկություններ ստանալու լավագույն միջոցն է:

Որո՞նք են այս ծառայության առավելությունները հաճախորդի համար:

  1. Պարզեցված արդիականացումՏՏ ենթակառուցվածք `ստանալով ՏՏ առկա ռեսուրսների վերաբերյալ առավել ամբողջական և արդիական տեղեկատվություն:
  2. Costախսերի նախահաշիվ ստանալըարդիականացնել ՏՏ ենթակառուցվածքը: Հաշվետու փաստաթղթերում արտացոլված անհրաժեշտության աստիճանի և աշխատանքի կանխատեսվող ծավալի մասին գիտելիքը թույլ է տալիս հաճախորդին կայացնել տեղեկացված որոշում:
  3. Արդյունավետության բարձրացումառկա ՏՏ ռեսուրսների օգտագործումը `աուդիտի արդյունքները հաշվի առնելուց և տեղեկատվական տեխնոլոգիաների օգտագործման հետ կապված բիզնես ռիսկերի նվազեցումից հետո:
  4. Կառավարելիության բարելավումՏՏ ձեռնարկություն: Theեկավարությունը ստանում է անհրաժեշտ կառավարման տեղեկատվություն, որն անհրաժեշտ է որոշումներ կայացնելու, իրավիճակի զարգացումը կանխատեսելու և ՏՏ կառավարման համար: Բարձրացնում է ձեռնարկության ՏՏ ծառայության արդյունավետությունը, նվազեցնում է պարապուրդի ժամանակը և աննորմալ իրավիճակների թիվը:
  5. Գործնական խորհուրդներ ստանալըօգտագործվող տեխնոլոգիաների, սարքավորումների և դրա կարգավորումների վերաբերյալ: Բոլոր առաջարկությունները կապված են աուդիտի ընթացքում հայտնաբերված հատուկ խնդիրների հետ, հետևաբար, յուրաքանչյուր առաջարկության իրականացումը չափազանց շահավետ է ընկերության համար:

Տեղեկատվական անվտանգության աուդիտը կարող է իրականացվել ինչպես կանոնավոր անձնակազմի կողմից (ներքին աուդիտ), այնպես էլ անկախ մասնագետների ներգրավմամբ (արտաքին աուդիտ): Պոտենցիալ հաճախորդների համար տեղեկատվական անվտանգության արտաքին աուդիտի արժեքը հետևյալն է.

  1. Աուդիտը անկախ ուսումնասիրություն է, որը բարձրացնում է արդյունքների օբյեկտիվությունը:
  2. Աուդիտ իրականացնող փորձագետներն ավելի որակյալ և ավելի փորձառու են նման աշխատանքում, քան կազմակերպության սովորական աշխատակիցները:
  3. Ավելի էժան է աուդիտորական աշխատանքը վստահել մասնագիտացված կազմակերպության, քան ինքներդ դա կազմակերպել:

Descriptionառայության նկարագրությունը

Համապարփակ աուդիտի անցկացումը ներառում է երեք հիմնական փուլ.

  • Տվյալների հավաքագրումը

Խնդրի հայտարարում և աշխատանքի շրջանակի հստակեցում

Խնդիրը դնելու փուլում կազմակերպչական միջոցառումներ են ձեռնարկվում աուդիտը նախապատրաստելու համար.

  • Աուդիտի նպատակներն ու խնդիրները հստակեցված են
  • Աշխատանքային խումբ է ստեղծվում
  • Նախապատրաստվում և համաձայնեցվում է աուդիտի տեխնիկական առաջադրանքը (TOR)

Երբեմն աուդիտը պահանջում է տեղեկատվության հասանելիություն, որը հաճախորդը համարում է գաղտնի: Այս դեպքում, TK- ին զուգահեռ, մշակվում է գաղտնիության պայմանագիր և կազմակերպվում է փոխազդեցություն հաճախորդի անվտանգության ծառայության հետ:

Տվյալների հավաքագրումը

Այս փուլում իրականացվում են պատվիրատուի անձնակազմի հարցազրույցներ, սարքավորումների ստուգում և գույքագրում, կազմաձևման տեղեկատվության հավաքում: Կատարված աշխատանքների մանրամասն ցանկը որոշվում է TOR- ում `աուդիտի համար:

Իրականացվում է ՏՏ ենթակառուցվածքի բոլոր տեխնիկական և կազմակերպչական բաղադրիչների հետազոտություն.

  • Սարքավորումներ - սարքավորումներ, որոնք ստեղծում և պահպանում են տեղեկատվական տեխնոլոգիաներ. Ցանցային սարքավորումներ, սերվերներ և աշխատատեղեր, պահեստավորման համակարգեր և այլն;
  • Օժանդակ սարքավորումներ `օժանդակ ռեսուրսներ, սարքավորումներ, տարածքներ, որոնք անհրաժեշտ են ՏՏ ենթակառուցվածքի գործունեությանը աջակցելու համար.
  • Տեխնոլոգիաներ - օպերացիոն համակարգեր, տվյալների բազայի կառավարման համակարգեր, ծրագրերի ինտեգրում և այլն:
  • Applicրագրեր - ձեռնարկության գործունեության մեջ օգտագործվող ծրագրային ապահովում.
  • Տվյալներ `ամենալայն իմաստով` փաստաթղթաշրջանառություն, արտաքին և ներքին, կառուցվածքային և չկառուցված, տեղեկատու, մուլտիմեդիա և այլն;
  • Աշխատուժ - անձնակազմ, նրանց հմտությունները. Հմտությունները, առաջադրանքների ըմբռնումը և աշխատանքի կատարումը:

Տվյալների հավաքագրման փուլի ավարտին աուդիտ իրականացնող ընկերությունը պատկանում է մի շարք փաստաթղթերի, որոնք մանրամասն նկարագրում են ՏՏ ենթակառուցվածքը:

Տվյալների վերլուծություն և հաշվետվությունների պատրաստում

Այս փուլում կատարվում են հետևյալ աշխատանքները.

  • հավաքագրված տվյալների ստուգում և վերլուծություն
  • գործառնական փաստաթղթերի պատրաստում
  • առաջարկություններ անելը
  • աուդիտի հաշվետվության պատրաստում

Հավաքված տվյալները ստուգվում են ամբողջականության և ճշգրտության համար, ստացված տեղեկատվությունը վերլուծվում է, եզրակացություններ և առաջարկություններ են կազմվում, արդյունքները ձևաչափվում և ներկայացվում են: Վերլուծության ընթացքում լրացուցիչ տվյալներ հավաքելու որոշում կարող է կայացվել:

Հավաքված տվյալների հիման վրա պատրաստվում է գործառնական փաստաթղթեր, որոնք պարունակում են ձեռնարկության ՏՏ ենթակառուցվածքի վերաբերյալ մանրամասն տվյալներ: Աշխատանքի որակը բարձրացնելու և ՏՏ ենթակառուցվածքների արդյունավետությունը բարձրացնելու վերաբերյալ առաջարկություններ են մշակվում

Վերլուծական հաշվետվությունը աուդիտի հաշվետվությունների հիմնական փաստաթուղթն է: Այն ներառում է ՏՏ ենթակառուցվածքի ներկա վիճակի նկարագրությունը, գործառնական փաստաթղթերը, հայտնաբերված խնդիրների ցանկը, ՏՏ ենթակառուցվածքի արդիականացման և զարգացման առաջարկությունները:

Փուլն ավարտվում է մշակված փաստաթղթերը հաճախորդին փոխանցելով:

Արդյունք

Աուդիտի արդյունքն է ՏՏ ենթակառուցվածքի վերաբերյալ մանրամասն տվյալներ պարունակող փաստաթղթերի փաթեթի ստեղծումը, ինչպես նաև աշխատանքի որակի բարձրացման և գործունեության արդյունավետության բարձրացման վերաբերյալ առաջարկություններ:

Հիմնական հաշվետվական փաստաթուղթը աուդիտի հաշվետվությունն է: Նրա կառուցվածքը, որպես կանոն, համաձայնեցվում է ՏK -ի զարգացման փուլում: Այն ներառում է ՏՏ ենթակառուցվածքի ներկա վիճակի նկարագրություն, ՏՏ ենթակառուցվածքի լուծվելիք խնդիրներին համապատասխանության վերաբերյալ եզրակացություններ, արդիականացման և զարգացման առաջարկություններ: