การตรวจสอบโครงสร้างพื้นฐานด้านไอที การตรวจสอบไอที - การสำรวจองค์กร การตรวจสอบซอฟต์แวร์ไอที
ส่งคำขอ
หากบริษัทมีแนวคิดว่าควรทำให้กระบวนการทางธุรกิจส่วนหนึ่งหรือส่วนอื่นเป็นอัตโนมัติ ขั้นแรกควรเป็นการตรวจสอบด้านไอที ซึ่งเป็นการวิเคราะห์อิสระเกี่ยวกับการปฏิบัติตามระบบไอทีของบริษัทด้วยมาตรฐานและเกณฑ์ที่กำหนดไว้
การดำเนินการตรวจสอบด้านไอทีขององค์กรเป็นส่วนสำคัญของระบบอัตโนมัติ เป็นการวิเคราะห์ก่อนโครงการที่ช่วยให้เข้าใจว่าส่วนใดของธุรกิจต้องใช้ระบบอัตโนมัติ และการปรับปรุงส่วนใดจะไม่นำไปสู่ผลลัพธ์ที่เป็นบวก
พื้นที่หลักของการตรวจสอบไอทีคือ:
- โครงสร้างพื้นฐานทางเทคโนโลยี
- ความปลอดภัยของข้อมูลขององค์กร
- ระบบข้อมูล;
- ฝ่ายไอที.
งานหลักของการตรวจสอบไอที
งานหลักของการตรวจสอบข้อมูลคือองค์กรและควบคุมงานของฐานเทคโนโลยีขององค์กร นอกจากนี้ยังสามารถแยกแยะงานต่อไปนี้:
- ตัวช่วยในการเตรียม
เอกสาร; - การป้องกันและกำจัด
ความล้มเหลวของระบบ - ควบคุมความเสี่ยงด้านไอที
- ช่วยในทางที่ถูกต้อง
การจัดการบริษัท
ผลลัพธ์ของการวิเคราะห์ไอทีก่อนโครงการของโครงสร้างพื้นฐานขององค์กร:
- คุณอาจรู้ว่าสิ่งที่คุณวางแผนที่จะทำให้เป็นอัตโนมัติ
- คุณรู้ว่าจะต้องใช้เวลานานเท่าใดในการทำให้อัตโนมัติ
- หลังจากแบบสำรวจก่อนการออกแบบ คุณสามารถเริ่มพัฒนาข้อกำหนดในการอ้างอิงสำหรับการสร้างระบบได้
- คุณรู้ว่าจะต้องเสียค่าใช้จ่ายเท่าใดในการทำให้องค์กรเป็นแบบอัตโนมัติ
- สิ่งที่สำคัญที่สุดคือคุณรู้ว่าระบบอัตโนมัติจะให้อะไรและมีเหตุผลทางเศรษฐกิจหรือไม่!
หากบริษัทของคุณมีโครงสร้างพื้นฐานด้านไอทีอยู่แล้ว และคุณวางแผนที่จะขยายโครงสร้างพื้นฐาน การตรวจสอบไอทีก่อนโครงการจะช่วยประเมินความเพียงพอของการใช้โซลูชันบางอย่าง ระบุปัญหาที่อาจเกิดขึ้นเมื่อมีการแนะนำระบบข้อมูลใหม่
พิจารณาว่าในสภาพที่ทันสมัย ระบบอัตโนมัติทางธุรกิจมีบทบาทสำคัญในการแข่งขันและการพัฒนาที่มั่นคงตลอดจนความจริงที่ว่าการปรับปรุงเทคโนโลยีและโซลูชันซอฟต์แวร์อย่างต่อเนื่องบนพื้นฐานของการดำเนินการอัตโนมัติขององค์กร การลงทุนต้องใช้ระบบอัตโนมัติทางธุรกิจในขั้นตอนของการดำเนินการและการดำเนินงาน การวิเคราะห์และการควบคุมโดยการจัดการสถานะของโครงสร้างพื้นฐานด้านไอทีของบริษัทนั้นมีความสำคัญเป็นพิเศษ
ประเภทของการตรวจสอบไอที
ผู้เชี่ยวชาญของบริษัทของเราพร้อมที่จะดำเนินการตรวจสอบด้านไอทีในประเภทต่อไปนี้:
ประเภท |
คำอธิบาย |
การตรวจสอบโครงสร้างพื้นฐานด้านไอที |
การระบุการเสื่อมสภาพของอุปกรณ์ การค้นหาจุดอ่อน และการกำหนดระดับความสำคัญของอุปกรณ์สำหรับธุรกิจ |
วิเคราะห์ความสามารถของเจ้าหน้าที่ไอที |
สัมภาษณ์ผู้ดูแลระบบ อธิบายความสามารถและความเสี่ยง |
แบบสำรวจความพึงพอใจของผู้ใช้ |
การวิเคราะห์ข้อร้องเรียนและความต้องการของผู้ใช้และการระบุตัวตนบนพื้นฐานของจุดอ่อนในการสื่อสารของบุคลากรด้านเทคนิคกับผู้ใช้ |
การตรวจสอบ SLA |
การวิเคราะห์ข้อตกลงระดับการบริการ คุณภาพของการดำเนินการ (ตามแนวทางปฏิบัติของ ITIL) การเตรียมการ (หากไม่มี) |
การตรวจสอบความปลอดภัยของข้อมูล |
จัดทำรายงานฉบับสมบูรณ์ตามมาตรฐาน ISO / IEC 27001 |
รายงานความเสี่ยงที่อาจเกิดขึ้น |
รวบรวมเมื่อดำเนินการบริหารความเสี่ยงที่องค์กร |
เหตุผลสำหรับค่าใช้จ่ายด้านไอที |
การวิเคราะห์ต้นทุนทางตรงและทางอ้อมของโครงสร้างพื้นฐานด้านไอที การจัดโครงสร้างและการให้คำแนะนำ |
เราทำงานอย่างไร?
ต้องการอะไร ชี้แจงเป้าหมาย การเลือกตัวเลือกสำหรับการตรวจสอบด้านไอที
พวกเราทำ
การดำเนินงาน
กำลังแสดง การนำเสนอ
ผลลัพธ์
เรากำลังแก้ไขหรือไม่
การพัฒนาแผนปฏิบัติการการดำเนินการตามแผน
ผลการตรวจสอบไอทีเป็นอย่างไร?
- คุณได้รับความเห็นการตรวจสอบ
ณ สถานะปัจจุบัน
โครงสร้างพื้นฐานด้านไอทีของบริษัทของคุณ - มีแผนการพัฒนาให้
บริษัทไอที 1-3 ปี - ตามแผนที่วางไว้
กำลังศึกษารายละเอียดอยู่
ในขณะเดียวกัน ก็ค่อนข้างชัดเจนว่าไม่ใช่ผู้นำทุกคนที่สามารถประเมินอย่างมีวัตถุประสงค์และเพียงพอในประเด็นนี้ ในเรื่องนี้เราสามารถพูดคุยเกี่ยวกับหน้าที่หลักซึ่งได้รับมอบหมายให้ผู้เชี่ยวชาญอิสระดำเนินการตรวจสอบด้านไอที: จัดทำรายงานวัตถุประสงค์เกี่ยวกับการพัฒนาฐานข้อมูลที่เป็นพื้นฐานของระบบสารสนเทศอย่างถูกต้องสำหรับผู้บริหารของ บริษัท ได้ดำเนินการแล้วระบบอัตโนมัติของกระบวนการผลิตและการจัดการได้รับการดำเนินการอย่างมีประสิทธิภาพ บริษัท นอกจากนี้ หนึ่งในคำถามหลัก คำตอบที่ต้องได้รับจากการตรวจสอบด้านไอทีคือ โซลูชันที่นำไปใช้งานในด้านเทคโนโลยีสารสนเทศนั้นสอดคล้องกับธุรกิจของบริษัทและงานที่ต้องเผชิญมากน้อยเพียงใด ในท้ายที่สุด การตรวจสอบโครงสร้างพื้นฐานด้านไอทีจะประเมินผลตอบแทนจากการลงทุนในระบบอัตโนมัติ ซึ่งเป็นวิธีที่เป็นไปได้ในการเพิ่มประสิทธิภาพการทำงานอัตโนมัตินี้
เหตุใดจึงควรสั่งซื้อการตรวจสอบด้านไอที
เฉพาะผู้เชี่ยวชาญอิสระเท่านั้นที่สามารถให้ภาพที่แท้จริงของสถานะปัจจุบันของซอฟต์แวร์ดิจิทัลและฮาร์ดแวร์ขององค์กรได้ พนักงานของตัวเองไม่ได้มีวัตถุประสงค์ในการวิเคราะห์ไอทีเสมอไป เนื่องจากพวกเขาอาจมีความสนใจส่วนตัวบางอย่างเพื่อ:
- ซ่อนข้อบกพร่องในงานของตนเอง
- รับประโยชน์จากการซื้อส่วนประกอบฮาร์ดแวร์และซอฟต์แวร์จากผู้จำหน่ายเฉพาะราย - แม้ว่าความจำเป็นในการซื้อจะไม่ปรากฏชัดหรือขาดหายไปก็ตาม
ในกรณีของการตรวจสอบโครงสร้างพื้นฐานด้านไอทีอย่างอิสระ จะไม่รวมความแตกต่างดังกล่าว ผู้เชี่ยวชาญจะประเมินสถานะของเครือข่ายองค์กร เวิร์กสเตชัน และอุปกรณ์สื่อสารอย่างครอบคลุม และให้ความเห็นอย่างเป็นกลางพร้อมคำแนะนำเฉพาะ
การวิเคราะห์โครงสร้างพื้นฐานด้านไอทีมีความเกี่ยวข้องโดยเฉพาะกับการขยายธุรกิจ จำเป็นต้องคาดการณ์และกำหนดข้อกำหนดสำหรับประสิทธิภาพในอนาคตล่วงหน้า ตลอดจนระดับความปลอดภัย ความน่าเชื่อถือ และความน่าเชื่อถือ โดยคำนึงถึงภาระที่เพิ่มขึ้น
ตัวอย่างเช่น ในประเทศที่พัฒนาแล้วของยุโรป การวิเคราะห์องค์กรไอทีถือเป็นมาตรการบังคับ ซึ่งพฤติกรรมจะดำเนินการเป็นระยะๆ ในประเทศของเรา การตรวจสอบโครงสร้างพื้นฐานด้านไอทีได้รับคำสั่งเป็นหลักเป็นงานเบื้องต้นในการสร้างความทันสมัยใหม่หรือซับซ้อนและการเพิ่มประสิทธิภาพของโครงสร้างพื้นฐานข้อมูลที่มีอยู่ของบริษัท ในกรณีนี้ นี่เป็นมาตรการที่จำเป็นจริงๆ เนื่องจากเป็นการตรวจสอบด้านไอทีที่ช่วยให้คุณกำหนดเกณฑ์และข้อกำหนดหลักที่ต้องปฏิบัติตามโดยระบบอัตโนมัติทางธุรกิจที่มีประสิทธิภาพในแต่ละกรณี ข้อมูลเหล่านี้เป็นข้อมูลพื้นฐานสำหรับการพัฒนาการกำหนดค่าของระบบในอนาคต ทำให้สามารถเสนอและเห็นด้วยกับลูกค้าเกี่ยวกับตัวเลือกที่เป็นไปได้ ในเรื่องนี้ โซลูชันที่เหมาะสมที่สุดสามารถนำมาพิจารณาได้หากการตรวจสอบด้านไอทีและระบบอัตโนมัติของโครงสร้างพื้นฐานขององค์กรดำเนินการโดยผู้ปฏิบัติงานเพียงคนเดียว ซึ่งจะให้แนวทางที่เป็นรายบุคคลและครอบคลุมในการแก้ปัญหานี้
โปรแกรม "การตรวจสอบไอที: ผู้ตรวจสอบ"
โปรแกรม " การตรวจสอบไอที: ผู้ตรวจสอบ ”เป็นผู้ออกแบบสำหรับการพัฒนาวิธีการตรวจสอบ โดยเสนอเครื่องมือที่ยืดหยุ่นแก่ผู้ตรวจสอบเพื่อช่วยในการดำเนินการตรวจสอบ โปรแกรม " การตรวจสอบไอที: ผู้ตรวจสอบ "จัดให้มีระบบอัตโนมัติของกิจกรรมของสำนักงานตรวจสอบที่เกี่ยวข้องกับการดำเนินการตรวจสอบขององค์กรธุรกิจ
โปรแกรม " การตรวจสอบไอที: ผู้ตรวจสอบบัญชี "ได้รับการพัฒนาโดยคำนึงถึงข้อกำหนดของมาตรฐานการตรวจสอบระหว่างประเทศ (มติของรัฐบาลสหพันธรัฐรัสเซียเมื่อวันที่ 23 กันยายน 2545 ฉบับที่ 696)
เมื่อทำการตรวจสอบองค์กรขนาดเล็ก (ระยะเวลาตรวจสอบ - 5 วัน) แอปพลิเคชันของโปรแกรม " การตรวจสอบไอที: ผู้ตรวจสอบ "อนุญาตให้คุณวางแผนในเชิงคุณภาพ ดำเนินการ และบันทึกขั้นตอนการตรวจสอบที่ดำเนินการและผลการตรวจสอบ เมื่อทำการตรวจสอบในองค์กรขนาดกลางและขนาดใหญ่ - เพื่อลดเวลาในการดำเนินการตรวจสอบ 10-30%
โปรแกรมให้:
1) เก็บรักษาหนังสืออ้างอิงเกี่ยวกับวิธีการตรวจสอบ
2) การเก็บบันทึกของลูกค้า;
3) การสื่อสารกับลูกค้า
4) การบัญชีของสัญญาสรุป;
5) การนำเข้าข้อมูลบัญชีลูกค้า
6) การวางแผนการตรวจสอบ
7) การก่อตัวของการตรวจสอบ;
8) จัดทำแผนการตรวจสอบ
9) จัดทำแผนงานการตรวจประเมิน
10) คำอธิบายธุรกรรมทางธุรกิจของลูกค้า;
11) การคำนวณระดับความสำคัญ
12) การสุ่มตัวอย่างและการวิเคราะห์ผลลัพธ์
13) เวทีของผู้สอบบัญชี (การสื่อสารของผู้สอบบัญชี);
14) การก่อตัวของข้อมูลสรุปเกี่ยวกับการละเมิดที่พบ;
15) การก่อตัวของการรายงานทางเลือก;
16) การควบคุมคุณภาพการตรวจสอบ Kovaleva O.V. การตรวจสอบ ตำรา / ศ. โอ.วี. โควาเลวา, ยู.พี. คอนสแตนตินอฟ - M.: PRIOR, 2008 .-- p. 128 ..
โปรแกรม " การตรวจสอบไอที: ผู้ตรวจสอบบัญชี "อนุญาตให้คุณจัดระเบียบข้อมูลเกี่ยวกับลูกค้าของสำนักงานตรวจสอบบัญชี (ไม่จำกัดจำนวน) เพื่อเก็บข้อมูลเกี่ยวกับรายละเอียดของลูกค้า ที่อยู่จริงและทางกฎหมาย ผู้ติดต่อ การเจรจากับลูกค้า สัญญาที่ตกลงกันไว้ บุคคลที่รับผิดชอบ ทำงานกับไคลเอนต์ ฯลฯ โปรแกรมอนุญาตให้จัดเรียงไคลเอนต์ตามพารามิเตอร์ต่าง ๆ ที่กำหนดลักษณะพวกเขา
ข้อมูลลูกค้าถูกเก็บไว้ในที่เหมาะสม ไดเรกทอรีลูกค้า ... ไดเรกทอรีลูกค้ายังมีข้อมูลเกี่ยวกับพนักงานขององค์กรที่ได้รับการตรวจสอบ
ข้อมูลเกี่ยวกับสัญญาที่ทำกับลูกค้าสามารถป้อนลงในฐานข้อมูลของระบบได้
ในโปรแกรม มีการสนับสนุนระเบียบวิธีการตรวจสอบที่สำคัญ และการสนับสนุนสามารถทำได้ทั้งโดยนักพัฒนาและโดยสำนักงานตรวจสอบเอง
โปรแกรม " การตรวจสอบไอที: ผู้สอบบัญชี "รวมถึงหนังสืออ้างอิงต่อไปนี้:
1) วัตถุตรวจสอบ (ส่วนการตรวจสอบ);
2) ขั้นตอนการตรวจสอบ
3) การละเมิดที่อาจเกิดขึ้น
4) การดำเนินงานทั่วไป
โปรแกรมช่วยให้คุณสร้างความสัมพันธ์ระหว่างขั้นตอนการตรวจสอบและการละเมิด วัตถุ (งาน) ของขั้นตอนการตรวจสอบและการตรวจสอบ ความสัมพันธ์ถูกสร้างขึ้นโดยใช้หนังสืออ้างอิง
ไดเร็กทอรีของอ็อบเจ็กต์ (ส่วน) ของการตรวจสอบเป็นไดเร็กทอรีหลัก และไดเร็กทอรีของขั้นตอนการตรวจสอบ การละเมิดที่อาจเกิดขึ้น และธุรกรรมทางธุรกิจทั่วไปนั้นรองลงมา
หนังสืออ้างอิง "ขั้นตอนการตรวจสอบ" ใช้ในรูปแบบของโปรแกรมการตรวจสอบและมีเทมเพลตเอกสารการทำงานของผู้ตรวจสอบซึ่งกรอกในระหว่างการตรวจสอบ ส่วนสำคัญของเอกสารการทำงานสามารถกรอกข้อมูลการบัญชีลูกค้าอัตโนมัติได้ เมื่อใช้คู่มือนี้ สามารถสร้างความเข้มแรงงานพื้นฐานของขั้นตอนการตรวจสอบที่เกี่ยวข้องได้ ขั้นตอนการตรวจสอบ - ลำดับและลำดับการดำเนินการของผู้สอบบัญชีเพื่อให้ได้หลักฐานการตรวจสอบที่จำเป็นในพื้นที่ตรวจสอบเฉพาะ (วัตถุตรวจสอบ)
ไดเรกทอรีที่อาจละเมิดมีชื่อและคำอธิบายของการละเมิดที่อาจเกิดขึ้น หากตรวจพบการละเมิดในองค์กรที่ตรวจสอบแล้ว ระบบจะใช้สมุดอ้างอิงในการสร้างรายงานของผู้ตรวจสอบบัญชี
จำเป็นต้องพิจารณาว่าโปรแกรมดำเนินการตามข้อกำหนดพื้นฐานของกฎหมายของรัฐบาลกลางอย่างไร
กฎ (มาตรฐาน) หมายเลข 2 "การจัดทำเอกสารการตรวจสอบ"
โปรแกรม " การตรวจสอบไอที: ผู้ตรวจสอบ "ให้โอกาสแก่ผู้ตรวจสอบในการจัดทำเอกสารหลักฐานที่ได้รับระหว่างการตรวจสอบ สร้างเอกสารการทำงานที่จำเป็น เพื่อให้สอดคล้องกับกฎของรัฐบาลกลาง (มาตรฐาน) ของการตรวจสอบ จัดเก็บและสำรอง ดูและพิมพ์
ข้อกำหนดที่กำหนดของมาตรฐานได้รับการปฏิบัติตามโดยโปรแกรมเนื่องจากการกรอกแบบฟอร์มต่อไปนี้: "การวางแผนการตรวจสอบ", "แผนการตรวจสอบ", "โปรแกรมตรวจสอบ", "การกำหนดการตรวจสอบ", "คำอธิบายของการดำเนินธุรกิจของลูกค้า"
ข้อมูลที่ได้รับระหว่างการตรวจสอบจะถูกเก็บไว้ในส่วนต่อไปนี้:
1) ข้อมูลทั่วไปเกี่ยวกับลูกค้า
2) ข้อมูลที่เกี่ยวข้องกับข้อตกลงที่สรุป;
3) ข้อมูลที่เกี่ยวข้องกับช่วงเวลาที่จะมีการแสดงความเห็นของผู้สอบบัญชี
4) ข้อมูลที่เกี่ยวข้องกับช่วงเวลาเฉพาะของการตรวจสอบ
โปรแกรมสร้างความแตกต่างของสิทธิ์ในการเข้าถึงข้อมูลในบริบทของลูกค้า ทำให้มั่นใจได้ว่าการจัดเก็บข้อมูลบนไคลเอนต์และขั้นตอนการตรวจสอบมีความน่าเชื่อถือ
กฎ (มาตรฐาน) หมายเลข 3 "การวางแผนการตรวจสอบ"
ในโปรแกรม " การตรวจสอบไอที: ผู้ตรวจสอบ "วางแผนการตรวจสอบเพื่อให้ดำเนินการอย่างมีประสิทธิภาพในโปรแกรมการตรวจสอบและแบบฟอร์ม" คำอธิบายธุรกรรมทางธุรกิจ "
เป็นไปได้ที่จะจัดทำแผนการตรวจสอบโดยละเอียดในโปรแกรมการตรวจสอบ ซึ่งพิจารณาถึงขั้นตอนการตรวจสอบที่ใช้ การกระจายในหมู่พนักงานและลำดับของการดำเนินการ กำหนดความเข้มข้นของแรงงานตามแผนและตามจริงของการปฏิบัติตามขั้นตอนการตรวจสอบ คำอธิบายของ ขั้นตอนการติดตามความคืบหน้าของการตรวจสอบ ในขณะเดียวกันก็ได้รับอนุญาตให้ทำการเปลี่ยนแปลงตลอดเวลาของการตรวจสอบ
กฎ (มาตรฐาน) หมายเลข 4 "วัสดุในการตรวจสอบ"
โปรแกรม " การตรวจสอบไอที: ผู้ตรวจสอบ "อนุญาตให้คุณคำนวณสาระสำคัญได้หลายวิธี: โดยทั่วไป สำหรับการรายงาน เพื่อแจกจ่ายไปยังบัญชีทางการบัญชีในบริบทของสาระสำคัญ:
1) โดยเดบิตของบัญชี;
2) มูลค่าการซื้อขายเดบิตของบัญชี
3) มูลค่าการซื้อขายเครดิตของบัญชี;
4) เครดิตของบัญชี
การเลือกขั้นตอนการตรวจสอบอยู่ในรูปแบบ "โปรแกรมตรวจสอบ" และ "คำอธิบายธุรกรรมทางธุรกิจ" สรุปข้อมูลที่ขัดต่อข้อเท็จจริงที่ไม่ได้รับการแก้ไขโดยรวมในรูปแบบ "การรายงานทางเลือก"
กฎ (มาตรฐาน) หมายเลข 7 "การควบคุมคุณภาพการตรวจสอบภายใน"
หัวหน้าฝ่ายตรวจสอบจะได้รับโอกาสในการติดตามความคืบหน้าของการตรวจสอบ สร้างงานและแสดงความคิดเห็นในรูปแบบ "คำอธิบายธุรกรรมทางธุรกิจ" "โปรแกรมตรวจสอบ" "การสื่อสารของผู้ตรวจสอบบัญชี"
ในรูปแบบ "คำอธิบายธุรกรรมทางธุรกิจ", "โปรแกรมตรวจสอบ", "การสื่อสารของผู้ตรวจสอบบัญชี" มีความเป็นไปได้ของคำอธิบายโดยละเอียดเกี่ยวกับการดำเนินการของผู้ตรวจสอบบัญชีและผู้ช่วยของพวกเขาเมื่อปฏิบัติงานที่ได้รับมอบหมาย รวมถึงการแนบเอกสารการทำงานกับ จะแล้วเสร็จ
ขณะนี้งานกำลังดำเนินการเพื่อรวมกฎเกณฑ์ใหม่ (มาตรฐาน) ไว้ในโปรแกรม
ในรูปแบบของ "การดำเนินการสำรวจตัวอย่าง" ผู้ตรวจสอบบนพื้นฐานของประชากรที่ได้รับการตรวจสอบ (ทั่วไป) สามารถเลือกองค์ประกอบที่เกินระดับของสาระสำคัญ องค์ประกอบหลัก และสร้างกลุ่มตัวอย่างในรูปแบบต่างๆ
ผู้สอบบัญชียังได้รับโอกาสในการวิเคราะห์ธุรกรรมทางธุรกิจของลูกค้า นำเสนอในรูปแบบ "คำอธิบายธุรกรรมทางธุรกิจ" เพื่อกำหนดวิธีการตรวจสอบธุรกรรม (การตรวจสอบที่มั่นคง การตรวจสอบแบบสุ่ม ความล้มเหลวในการดำเนินการตรวจสอบ การยืนยันระดับต่ำ ระดับความเสี่ยง)
สร้างขึ้นในโปรแกรม " การตรวจสอบไอที: วิธีการกรอง (การเลือก) ของผู้สอบบัญชีช่วยให้คุณสามารถแบ่งชั้นข้อมูลตามเกณฑ์ใด ๆ ที่มีความเป็นไปได้ในการอัปโหลดข้อมูลในภายหลังเพื่อการศึกษาตัวอย่างหรือกรอกเอกสารการทำงานของผู้สอบบัญชี
โปรแกรมช่วยให้ผู้ตรวจสอบประเมินข้อผิดพลาดที่ระบุระหว่างการตรวจสอบกับประชากรทั่วไปทั้งหมด
ประโยชน์ของการใช้โปรแกรมการตรวจสอบอัตโนมัติ:
· โปรแกรมขายและสนับสนุนโดยตรงโดยนักพัฒนา (ไม่มีตัวกลาง) ซึ่งช่วยลดต้นทุนของผู้ซื้อสำหรับการซื้อโปรแกรมและการบำรุงรักษาในภายหลัง
· ครอบคลุมทุกด้านของธุรกิจการตรวจสอบ (การจ้างงานของพนักงาน การจัดระเบียบงานตามสัญญา บันทึกลูกค้า การวางแผนการตรวจสอบ การทำงานใน "ภาคสนาม" ฯลฯ)
· อนุญาตให้คุณจัดระบบข้อมูลทั้งหมดตามผลการตรวจสอบ ความเป็นไปได้ในการเก็บถาวร และการเข้าถึงข้อมูลในภายหลัง
· ใช้กันอย่างแพร่หลายโดยบริษัทตรวจสอบบัญชีหลายร้อยแห่ง (ตั้งแต่บริษัทในสิบอันดับแรกไปจนถึงบริษัทตรวจสอบบัญชีขนาดเล็กและผู้ตรวจสอบบัญชีรายบุคคล)
· เป็นผู้ออกแบบและอนุญาตให้ผู้ใช้ปรับแต่งวิธีการตรวจสอบได้อย่างอิสระ
· มีแม่แบบเอกสารการทำงานของผู้สอบบัญชีจำนวนมาก
· ให้วิธีการที่สะดวกในการโหลดเข้าสู่โปรแกรมสำหรับการตรวจสอบข้อมูลทางบัญชีโดยอัตโนมัติจากโปรแกรมบัญชีทั่วไป: 1C Enterprise 7.7 (8.1) เป็นต้น
· ให้คุณกรอกเอกสารการทำงานของผู้สอบบัญชีด้วยข้อมูลการบัญชีโดยอัตโนมัติ
· ประกอบด้วยเทมเพลตของการละเมิดที่อาจเกิดขึ้น รวมถึงเครื่องมือสำหรับการกรอกข้อมูลด้วยตนเองโดยผู้ใช้
วิธีการต่าง ๆ ของการวิจัยตัวอย่างทางสถิติมีให้: วิธีสุ่มที่เหมาะสม (ซ้ำและไม่ซ้ำ) กลไก (ระบบ) วิธีสุ่มที่เหมาะสมทางการเงิน (ซ้ำและไม่ซ้ำ)
· ไฟล์ถาวร (ตัวแปร) ถูกสร้างขึ้นโดยอัตโนมัติตามผลการตรวจสอบ
· มีอินเทอร์เฟซที่ใช้งานง่าย เอกสารที่พัฒนาขึ้นจำนวนมากสำหรับโปรแกรมและสื่อการฝึกอบรม (วิดีโอ Flash) ซึ่งช่วยให้คุณเริ่มต้นได้อย่างรวดเร็ว Kovaleva O.V. การตรวจสอบ ตำรา / ศ. โอ.วี. โควาเลวา, ยู.พี. คอนสแตนตินอฟ - M.: PRIOR, 2008 .-- p. 135 ..
การประยุกต์ใช้โปรแกรมการตรวจสอบอัตโนมัติให้:
· การจัดระบบงานระเบียบวิธี;
· การจัดแผนการตรวจสอบที่มีประสิทธิภาพ
· การปรับปรุงคุณภาพของการตรวจสอบ
· เพิ่มการควบคุมการปฏิบัติงานและภายหลังการตรวจสอบ
· ลดความเข้มข้นของแรงงานในการตรวจสอบ
· การปฏิบัติตามมาตรฐานการตรวจสอบ
· เพิ่มความสามารถในการบริหารจัดการของบริษัท;
· ความแตกต่างของสิทธิ์การเข้าถึงวัสดุของการตรวจสอบ
· การจัดระบบและการจัดเก็บข้อมูล
การพัฒนาระบบสารสนเทศก่อให้เกิดประโยชน์ที่ชัดเจนแก่บริษัท อย่างไรก็ตาม หากใช้อย่างไม่ถูกต้อง สิ่งเหล่านี้จะกลายเป็นแหล่งที่มาของความเสี่ยงเฉพาะ การดำเนินการดังกล่าวไม่เพียงแต่จะลดผลกระทบของการนำเทคโนโลยีมาใช้ให้น้อยที่สุดเท่านั้น แต่ยังก่อให้เกิดความสูญเสียที่สำคัญอีกด้วย การตรวจสอบไอทีช่วยให้คุณสามารถระบุความเสี่ยงเหล่านี้ ประเมินประสิทธิภาพของระบบไอทีและเลือกพื้นที่สำหรับการปรับปรุง
ในอดีต คำว่า "ความเสี่ยงด้านเทคโนโลยีสารสนเทศ" หรือ "ความเสี่ยงด้านไอที" หมายถึงแนวโน้มที่จะเกิดเหตุการณ์เชิงลบอันเนื่องมาจากการใช้ภัยคุกคามด้านความปลอดภัยของข้อมูลที่เฉพาะเจาะจง เช่น ไวรัส การโจมตีของแฮ็กเกอร์ การขโมยข้อมูล และการทำลายอุปกรณ์โดยเจตนา อย่างไรก็ตาม ในช่วงไม่กี่ปีที่ผ่านมา การตีความคำศัพท์นี้ได้ขยายออกไปอย่างมาก และไม่ได้คำนึงถึงความเสี่ยงด้านความปลอดภัยของข้อมูลเท่านั้น แต่ยังรวมถึงความเสี่ยงในการไม่บรรลุเป้าหมายของการใช้เทคโนโลยีสารสนเทศเพื่อปรับปรุงประสิทธิภาพของกิจกรรมหลักด้วย
ความเสี่ยงเหล่านี้เกิดขึ้นทั้งในขั้นตอนการสร้างระบบสารสนเทศและในกระบวนการดำเนินงาน เมื่อออกแบบ จัดทำเอกสาร พัฒนาและนำระบบสารสนเทศไปใช้ สิ่งเหล่านี้เกิดขึ้นเนื่องจาก:
- การเลือกโซลูชันระบบอัตโนมัติที่ไม่เหมาะสม
- ข้อผิดพลาดในการออกแบบ
- การละเมิดเงื่อนไขและงบประมาณโดยประมาณของโครงการ
- ความไม่สอดคล้องกันระหว่างโครงสร้างพื้นฐานและระบบอัตโนมัติ
- ข้อผิดพลาดทางเทคนิคและองค์กรระหว่างการติดตั้งระบบ ในขั้นตอนการทำงานของระบบสารสนเทศ ปัจจัยเสี่ยงที่สำคัญสำหรับความล้มเหลวในการบรรลุเป้าหมายคือ:
- ปฏิสัมพันธ์ที่ไม่มีประสิทธิภาพระหว่างธุรกิจและไอทีในการกำหนดระดับการสนับสนุนที่เหมาะสมที่สุด
- ความล้มเหลวในการใช้เทคโนโลยีอย่างเต็มศักยภาพ
- เป็นไปไม่ได้ที่จะจัดให้มีการบำรุงรักษาและพัฒนาระบบในระดับที่ยอมรับได้มากที่สุด
- ขั้นตอนการบำรุงรักษาและเหตุฉุกเฉินที่ไม่เหมาะสม
- ข้อผิดพลาดในการคำนวณภาระขององค์ประกอบโครงสร้างพื้นฐานและเจ้าหน้าที่บำรุงรักษา
เพื่อหลีกเลี่ยงภัยคุกคามดังกล่าว องค์กรจำเป็นต้องสร้างระบบที่ซับซ้อนที่รวมการจัดการความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในทั้งในระดับของกิจกรรมหลักและในระดับของเทคโนโลยีสารสนเทศที่รองรับ นั่นคือระบบไอที ระดับวุฒิภาวะของโครงสร้างนี้พิจารณาจากความสามารถในการรับรองในระดับที่เหมาะสมว่ามีการใช้เทคโนโลยีสารสนเทศอย่างมีประสิทธิผล มีเหตุผล และปลอดภัย เพื่อวัตถุประสงค์ของกิจกรรมหลัก ยิ่งระดับวุฒิภาวะสูงเท่าใด ระดับความเสี่ยงด้านไอทีก็จะยิ่งต่ำลง และการใช้เทคโนโลยีสารสนเทศก็มีประสิทธิภาพมากขึ้น เมื่อสร้างระบบไอที เราควรพึ่งพาเกณฑ์ (มาตรฐาน) ที่มีอยู่แล้วและเป็นที่ยอมรับโดยทั่วไป กว่า 30 ปีของการพัฒนาวิทยาศาสตร์การจัดการไอที สถาบันชั้นนำระหว่างประเทศ (ISACA, OGC, ISO) ได้พัฒนาชุดข้อกำหนดโดยละเอียดในรูปแบบของการรวบรวมแนวปฏิบัติที่ดีที่สุด (เช่น ITIL) และมาตรฐานแบบเปิด (CobiT, ISO 20000 เป็นต้น)
กระบวนการไอทีเป็นออบเจ็กต์การตรวจสอบที่สำคัญ
มาตรฐานสากลสำหรับการจัดการและการตรวจสอบในด้านเทคโนโลยีสารสนเทศ แนะนำให้ประเมินระบบไอทีในแง่ของจำนวนทั้งหมดของลำดับชั้นของกระบวนการไอที วัตถุประสงค์ในการควบคุมโดยละเอียดและขั้นตอนการปฏิบัติงานมาตรฐานเพื่อกำหนดความสอดคล้องของระบบด้วยภารกิจลดขนาด ความเสี่ยง เพื่อจุดประสงค์นี้ กระบวนการด้านไอทีต้องอาศัยความเชี่ยวชาญโดยละเอียด ซึ่งมีหน้าที่ในการลดความเสี่ยงด้านไอทีระดับสูงมากกว่า 30 รายการ ส่วนของรายการความเสี่ยงด้านไอทีและกระบวนการต่างๆ ที่ดำเนินกิจกรรมเพื่อย่อให้เล็กสุดถูกนำเสนอในตาราง 1. กิจกรรมนี้พิจารณาทั้งในประเด็นเฉพาะของแต่ละกระบวนการและองค์ประกอบมาตรฐานของการจัดการกระบวนการ กล่าวคือ
- การกระจายความรับผิดชอบระหว่างผู้บริหารทุกระดับและให้แน่ใจว่ามีปฏิสัมพันธ์ที่เพียงพอระหว่างพวกเขา
- ความพร้อมใช้งานและประสิทธิภาพของกลไกในการรักษาความสามารถของบุคลากรในระดับที่ต้องการ
- รักษาเอกสารกระบวนการที่สมบูรณ์และเป็นปัจจุบันในทุกระดับ
- ความพร้อมใช้งานและความสมบูรณ์ของกลไกสำหรับการวัดประสิทธิภาพและการสร้างการรายงานภายในสำหรับกระบวนการไอทีแต่ละขั้นตอน ซึ่งช่วยให้การจัดการบริการไอทีสามารถประเมินระดับความสำเร็จของตัวบ่งชี้เป้าหมาย และส่งผลให้การตัดสินใจด้านการจัดการมีประสิทธิผล
- ความพร้อมของขั้นตอนสำหรับการตรวจสอบการปฏิบัติงานของกิจกรรมปัจจุบัน การตรวจสอบให้แน่ใจว่าผู้จัดการสายงานสามารถระบุความล้มเหลวในการปฏิบัติงานได้ทันท่วงที ตัวอย่างเช่น การไม่ปฏิบัติตามโดยพนักงานที่มีขั้นตอนปกติ
- ความพร้อมของขั้นตอนการแลกเปลี่ยนข้อมูลระหว่างกระบวนการไอทีที่เกี่ยวข้อง
- วิธีการและเครื่องมือพิเศษในการปรับปรุงประสิทธิภาพของกิจกรรม เช่น การใช้เครื่องมืออัตโนมัติสำหรับการลงทะเบียนและการบัญชีสำหรับคำขอของผู้ใช้
- การปรับปรุงกิจกรรมตามการวิเคราะห์ประสิทธิภาพในปัจจุบันและแผนการพัฒนาเทคโนโลยีสารสนเทศ
กระบวนการไอที | ||
สัญญาณที่เป็นไปได้ของสถานการณ์เสี่ยง |
||
การวางแผนไอทีเชิงกลยุทธ์ |
||
ในขั้นตอนการวางแผนธุรกิจเชิงกลยุทธ์ จะไม่มีการพิจารณาประเด็นของกลยุทธ์ด้านไอที ซึ่งไม่อนุญาตให้ปรับการทำงานของแผนกไอทีในเชิงรุกให้เหมาะสมสำหรับความต้องการทางธุรกิจจริง |
การวางแผนเชิงกลยุทธ์ของกิจกรรมด้านไอทีจะดำเนินการตามความจำเป็นเพื่อตอบสนองความต้องการทางธุรกิจที่เฉพาะเจาะจง ดังนั้นผลลัพธ์จึงเป็นระยะๆ และไม่สอดคล้องกัน ประเด็นการวางแผนเชิงกลยุทธ์บางครั้งมีการหารือในการประชุมเฉพาะที่ระดับการจัดการแผนกไอที ไม่ใช่ที่หัวหน้าหน่วยธุรกิจ การปรับแอปพลิเคชันและเทคโนโลยีให้ตรงกับความต้องการของธุรกิจเป็นการตอบสนองต่ออิทธิพลภายนอก เช่น ต่อข้อเสนอของซัพพลายเออร์ และไม่ได้อิงตามกลยุทธ์ที่บริษัทพัฒนาขึ้น การประเมินความเสี่ยงเชิงกลยุทธ์ไม่ได้เป็นทางการและดำเนินการจากโครงการหนึ่งไปอีกโครงการหนึ่ง |
|
การวางแผนสถาปัตยกรรมไอที |
||
โครงสร้างของระบบข้อมูลไม่ได้รับการปรับให้เหมาะสม ซึ่งจะเพิ่มความซ้ำซ้อนของข้อมูล (ความซ้ำซ้อน) ในระบบองค์กร และยังลดระดับความเข้ากันได้ของระบบและแอปพลิเคชัน |
มีการพัฒนาองค์ประกอบของโครงสร้างข้อมูลอย่างกระจัดกระจาย มีการนำสคีมาข้อมูล เอกสารประกอบ และกฎไวยากรณ์ข้อมูลไปใช้บางส่วน คำจำกัดความเกี่ยวข้องกับข้อมูลมากกว่าข้อมูล และขับเคลื่อนโดยคำแนะนำจากผู้จำหน่ายแอปพลิเคชัน การอธิบายความจำเป็นของสถาปัตยกรรมข้อมูลให้กับพนักงานนั้นเป็นเรื่องวุ่นวายและจับจด |
|
การบริหารงานบุคคล |
||
นโยบายเกี่ยวกับการสรรหาและการเก็บรักษา (แรงจูงใจ) ของบุคลากรที่มีคุณสมบัติไม่ได้รับการปรับให้เหมาะสมซึ่งไม่อนุญาตให้รับประกันการมีส่วนร่วมสูงสุดของบุคลากรต่อผลลัพธ์ของกิจกรรมไอที |
มีการใช้วิธีการที่ไม่เป็นทางการในการสรรหาและจัดการบุคลากร ซึ่งขับเคลื่อนโดยความต้องการของโครงการเฉพาะมากกว่าทิศทางของการพัฒนาเทคโนโลยีและความสมดุลของข้อเสนอของพนักงานที่มีคุณสมบัติภายในองค์กรและภายนอก มีการฝึกอบรมพนักงานใหม่อย่างไม่เป็นทางการ |
|
การจัดการโครงการ |
||
แนวทางการบริหารโครงการไม่ได้รับการปรับให้เหมาะสม ซึ่งนำไปสู่การไม่ปฏิบัติตามภาระผูกพันในแง่ของเวลาและต้นทุนของงาน การตัดสินใจใช้วิธีการและแนวทางในการจัดการโครงการในด้านไอทีนั้นขึ้นอยู่กับดุลยพินิจของผู้จัดการแต่ละราย |
การตัดสินใจในการจัดการโครงการขั้นพื้นฐานเกิดขึ้นโดยไม่มีการจัดการผู้ใช้หรือข้อมูลพื้นฐานของลูกค้า ลูกค้าและผู้ใช้ไม่ได้มีส่วนร่วมในคำจำกัดความของโครงการไอทีหรือการมีส่วนร่วมของพวกเขาไม่มีนัยสำคัญ โครงการไอทีมีการจัดระเบียบไม่ดี: ไม่ได้กำหนดบทบาทและความรับผิดชอบของผู้เข้าร่วม เช่นเดียวกับกำหนดการของโครงการ ต้นทุนแรงงานจะไม่ถูกติดตาม |
|
การเข้าซื้อกิจการโครงสร้างพื้นฐานด้านไอที |
||
การได้มาและการบำรุงรักษาโครงสร้างพื้นฐานด้านไอทีไม่ได้รับการปรับให้เหมาะสมและเป็นมาตรฐาน ระหว่างการดำเนินการ ส่งผลให้ประสิทธิภาพของระบบลดลงและความเสี่ยงด้านความปลอดภัยเกิดขึ้นจากข้อมูลและโปรแกรมที่จัดเก็บไว้ในระบบ |
สำหรับแอปพลิเคชันใหม่แต่ละรายการ มีการเปลี่ยนแปลงโครงสร้างพื้นฐานโดยไม่มีแผนทั่วไปใดๆ มีการจัดบริการเพื่อตอบสนองความต้องการระยะสั้น สภาพแวดล้อมการทดสอบคือสภาพแวดล้อมการผลิต การได้มาและการบำรุงรักษาโครงสร้างพื้นฐานด้านไอทีไม่ได้ขึ้นอยู่กับกลยุทธ์เฉพาะใดๆ และไม่คำนึงถึงความต้องการของแอปพลิเคชันทางธุรกิจที่จำเป็นต้องได้รับการสนับสนุน ตารางการบำรุงรักษายังไม่ได้รับการพัฒนาอย่างเต็มที่และกิจกรรมต่างๆ ไม่ได้รับการประสานงาน |
|
การจัดการผู้ให้บริการ |
||
ไม่มีความสัมพันธ์ทางสัญญา (ข้อตกลง) ที่ชัดเจนกับผู้ให้บริการด้านไอที รวมถึงการกำหนดบทบาท ความรับผิดชอบ และความคาดหวัง ตลอดจนการตรวจสอบและติดตามข้อตกลงที่เกี่ยวข้องในแง่ของประสิทธิภาพและการปฏิบัติตามข้อกำหนด ซึ่งจะเพิ่มความเสี่ยงต่อความเสียหายในกรณีที่ซัพพลายเออร์ผิดนัด |
ไม่มีนโยบายและขั้นตอนที่เป็นทางการสำหรับการทำสัญญากับบุคคลที่สาม การประเมินกิจกรรมขององค์กรบุคคลที่สามไม่ได้ดำเนินการ บุคคลที่สามไม่ได้จัดทำรายงาน ในกรณีที่ไม่มีภาระหน้าที่ในการรายงาน ผู้บริหารระดับสูงไม่มีความรู้เกี่ยวกับคุณภาพของบริการที่มีให้ ไม่มีข้อกำหนดมาตรฐานของสัญญากับผู้ให้บริการ การประเมินบริการที่จัดให้นั้นดำเนินการตามอำเภอใจและเป็นชิ้นเป็นอัน วิธีการนี้ขึ้นอยู่กับประสบการณ์ของแต่ละบุคคลและซัพพลายเออร์ (เช่น ตามคำขอ) |
|
การจัดการความต่อเนื่อง |
||
ไม่มีแนวทางที่เป็นทางการในการสร้างแผน (การบำรุงรักษาและการทดสอบ) เพื่อให้มั่นใจว่ากิจกรรมด้านไอทีมีความต่อเนื่อง (รวมถึงแผนสำหรับการจัดเก็บข้อมูลสำรอง) ซึ่งทำให้มีความเป็นไปได้สูงที่การหยุดชะงักที่สำคัญในการจัดหาบริการด้านไอทีในพื้นที่สำคัญและกระบวนการทางธุรกิจ เกิดขึ้นในกรณีฉุกเฉิน |
ปฏิกิริยาต่อการละเมิดที่สำคัญไม่ได้คิดออกหรือเตรียมไว้ล่วงหน้า การปิดระบบตามแผนมีการปฏิบัติเพื่อตอบสนองความต้องการของบริการด้านไอทีโดยไม่คำนึงถึงการปฏิบัติตามข้อกำหนดทางธุรกิจ แนวทางความต่อเนื่องของบริการไม่สมบูรณ์และกระจัดกระจาย ข้อมูลที่เข้ามาเกี่ยวกับความพร้อมใช้งานของระบบไม่ได้คำนึงถึงสถานะของธุรกิจ ไม่มีการสนับสนุนเอกสารสำหรับการดำเนินการของผู้ใช้หรือเพื่อให้มั่นใจว่าการทำงานอย่างต่อเนื่อง |
ที่มา: แค็ตตาล็อกความเสี่ยงที่พัฒนาโดยผู้เชี่ยวชาญด้านไอที
มาตรฐานเปิด
CobiT (วัตถุประสงค์การควบคุมสำหรับข้อมูลและเทคโนโลยีที่เกี่ยวข้อง) เป็นมาตรฐานสากลสำหรับการจัดการเทคโนโลยีสารสนเทศขององค์กร ซึ่งช่วยในการประสานกลยุทธ์ทางธุรกิจและไอที สร้างการเจรจาระหว่างผู้นำธุรกิจและการจัดการบริการข้อมูล Library of best practice ITIL (IT Infrastructure Library) เป็นมาตรฐานการจัดการเทคโนโลยีสารสนเทศที่มีการใช้งานอย่างแข็งขันในหลายประเทศในช่วง 15 ปีที่ผ่านมา ISO 20000 (เทคโนโลยีสารสนเทศ - การจัดการบริการ) เป็นมาตรฐานที่มีเกณฑ์สากลโดยที่บริษัทหรือบริการใดๆ ที่ให้บริการด้านไอทีสามารถประเมินประสิทธิภาพและการปฏิบัติตามข้อกำหนดของลูกค้า โดยคำนึงถึงธุรกิจของพวกเขา มาตรฐานนี้ถือเป็นมาตรฐานอุตสาหกรรม - มุ่งเป้าไปที่บริการด้านไอที - อะนาล็อกของ ISO 9001: 2000
ขั้นตอนการตรวจสอบ
ในขั้นตอนเบื้องต้นของการตรวจสอบ - ขั้นตอนการวางแผน ("I" ในรูปที่ 1) ตามกฎข้อกำหนดสำหรับผลลัพธ์จะได้รับการชี้แจงรายการความเสี่ยงที่ต้องพิจารณาและประเมินผลตกลงกันและการตรวจสอบ มีการกำหนดขอบเขต นั่นคือ รายการกระบวนการทางธุรกิจและแผนกต่างๆ ที่จะตรวจสอบ เวทีประกอบด้วย:
- การจัดอันดับเบื้องต้นของรายการกระบวนการไอทีและความเสี่ยงด้านไอทีที่เกี่ยวข้องที่จะได้รับการประเมิน
- การประสานงานของขอบเขตการตรวจสอบ: บริการไอที ระบบ ซอฟต์แวร์และฮาร์ดแวร์ แผนกและผู้เชี่ยวชาญที่เกี่ยวข้องกับการวิเคราะห์ที่จะดำเนินการ
- การจัดทำและการอนุมัติแผนการตรวจสอบโดยละเอียด
ผู้ตรวจสอบมักจะสร้างรายการอ้างอิงของความเสี่ยงด้านไอที ซึ่งตามมาตรฐานสากล มีอยู่ในขั้นตอนของการวางแผน การพัฒนา การนำไปใช้ และการทำงานของระบบอัตโนมัติของข้อมูล ผู้ริเริ่มการตรวจสอบ (ลูกค้า) ตามรายการที่ระบุ จะกำหนดลำดับความสำคัญสำหรับการประเมิน หากลูกค้าของฝ่ายตรวจสอบไอทีเป็นตัวแทนของฝ่ายบริหารของบริษัท เพื่อให้ได้ผลลัพธ์ที่แม่นยำยิ่งขึ้น ขอแนะนำให้สร้างแบบสอบถามในแง่ของธุรกิจ (ตารางที่ 2) โดยคำนึงถึงพารามิเตอร์เวลาและทรัพยากรของการตรวจสอบ ขอบเขตของการตรวจสอบจะถูกกำหนด (บริการ ระบบ แผนก ฯลฯ) ในเวลาเดียวกัน ขอแนะนำให้พิจารณาสิ่งที่สำคัญที่สุดสำหรับวัตถุประสงค์ทางธุรกิจและ/หรือบริการและระบบทั่วไป เพื่อให้สามารถสรุปผลตามวัตถุประสงค์เกี่ยวกับการจัดการไอทีได้ตามการประเมินพื้นที่ (สำคัญ) บางประการ ระบบโดยรวม.
คำอธิบายของความเสี่ยงด้านไอที (จากแคตตาล็อกความเสี่ยงด้านไอทีของผู้เชี่ยวชาญ) | การประเมินความสำคัญของการจัดการความเสี่ยงด้านไอที | ตรวจสอบตัวเลือกที่เลือก |
ในขั้นตอนของการวางแผนธุรกิจเชิงกลยุทธ์ ปัญหาด้านกลยุทธ์ไอทีไม่ถือเป็นผลที่ตามมา:
| ความเสี่ยงไม่มีนัยสำคัญ คำอธิบายสำหรับการสัมภาษณ์: ความเสี่ยงเป็นเรื่องสมมุติและไม่มีนัยสำคัญสำหรับกิจกรรมของบริษัท (ค่าใช้จ่ายในการบริหารความเสี่ยงจะสูงกว่าผลที่ได้รับ) | |
ความเสี่ยงปานกลาง (ยอมรับได้) คำอธิบายสำหรับการสัมภาษณ์: ตระหนักถึงความสำคัญของการจัดการความเสี่ยงนี้ในมุมมองเชิงกลยุทธ์ (ในขั้นตอนนี้ อนุญาตให้มีการศึกษาเบื้องต้นเกี่ยวกับปัญหา ซึ่งไม่ต้องการดึงดูดการลงทุนทางการเงินและใช้เวลาทรัพยากรที่สำคัญของผู้นำธุรกิจ) | ||
สูงกว่าค่าเฉลี่ยความเสี่ยง คำอธิบายการสัมภาษณ์: ตระหนักถึงความสำคัญของการจัดการความเสี่ยงนี้ (รวมถึงการจัดสรรเวลาและทรัพยากรทางการเงิน) ในระยะสั้น | ||
มีความเสี่ยงสูง คำอธิบายสำหรับการสัมภาษณ์: สันนิษฐานว่าการตระหนักถึงความเสี่ยงนี้ไม่เพียงเป็นไปได้ในระยะสั้นเท่านั้น แต่ได้เกิดขึ้นแล้ว | ||
พารามิเตอร์การประเมินเพิ่มเติม ความจำเป็นในการมีส่วนร่วมของไอทีและธุรกิจร่วมกันในการจัดการความเสี่ยงนี้เป็นที่ยอมรับ |
||
ความคิดเห็นและคำอธิบาย: |
โดยคำนึงถึงข้อมูลที่ได้รับ ผู้ตรวจสอบจะสร้างแบบสอบถามซึ่งระบุพารามิเตอร์ของขั้นตอนการตรวจสอบสำหรับกระบวนการไอทีแต่ละขั้นตอน รวมถึงชื่อของวัตถุประสงค์ในการควบคุมโดยละเอียดและจำนวนคำถามที่ชี้แจงโดยประมาณ เพื่อให้การประเมินระบบการจัดการไอทีมีความครอบคลุม ลำดับชั้นของคำถามจึงถูกสร้างขึ้นจากคำถามส่วนตัวไปจนถึงระดับสูง เพื่อวิเคราะห์การประเมินระดับวุฒิภาวะของกระบวนการไอที ประเด็นเฉพาะจะถูกพิจารณา จัดกลุ่มตามวัตถุประสงค์การควบคุมโดยละเอียด โดยคำนึงถึงความครบถ้วนและความน่าเชื่อถือของข้อมูลและหลักฐานที่มอบให้แก่ผู้ตรวจสอบบัญชี
ตัวอย่างเช่น เราจะให้โครงสร้างของแบบสอบถามสำหรับการประเมินกระบวนการไอที "การจัดการบริการผู้รับเหมา":
ความเสี่ยงที่จะไม่บรรลุเป้าหมายของกระบวนการ:
- การขาดความสัมพันธ์ทางสัญญาที่ชัดเจน (ข้อตกลง) กับผู้ให้บริการด้านไอที (รวมถึงการกำหนดบทบาท ความรับผิดชอบ และความคาดหวัง การตรวจสอบและติดตามข้อตกลงที่เกี่ยวข้องในแง่ของประสิทธิภาพและการปฏิบัติตามข้อกำหนด) จะเพิ่มความเสี่ยงต่อความเสียหายในกรณีที่ซัพพลายเออร์ผิดนัด
ผลกระทบต่อการบรรลุเป้าหมาย
กิจกรรมไอที:
- รับรองประสิทธิภาพของกิจกรรมไอที - ผลกระทบปานกลาง
- รับรองความสมเหตุสมผลของกิจกรรมไอที - ผลกระทบสูง
- รับรองความปลอดภัยของกิจกรรมไอที - ผลกระทบสูง
วัตถุประสงค์การควบคุมโดยละเอียด:
- การกำหนดนโยบายกระบวนการและขั้นตอนการปฏิบัติงาน
- การกระจายบทบาท
- การจัดการเอกสาร;
- การวิเคราะห์สัญญา
- การจัดการความแตกต่างของสัญญา
- การโอนสิทธิ;
- ความรับผิดชอบและความรับผิดชอบ;
- เครื่องมือ;
- ความครอบคลุมของกระบวนการ
- การรายงานและตัวชี้วัด ขั้นต่อไปคือการตรวจสอบในสถานที่จริง (“II” ในรูปที่ 1) ในระหว่างที่มีการสัมภาษณ์พนักงานของบริษัทลูกค้าและผลลัพธ์ของพวกเขาจะได้รับการตรวจสอบ (ตารางที่ 3) ในขั้นตอนนี้ ขอแนะนำให้แก้ไขงานต่อไปนี้:
- ดำเนินการขั้นตอนการประเมินตนเองโดยใช้แบบสอบถามที่พัฒนาก่อนหน้านี้
- ดำเนินการสัมภาษณ์กับพนักงานหลักของหน่วยงานที่ได้รับการตรวจสอบเพื่อชี้แจงผลการประเมินตนเอง
เกณฑ์การตรวจสอบ | ความนับถือตนเอง หรือใช่ / ไม่ใช่ |
|
คำสั่งหน่วยขององค์กรให้คำแนะนำเกี่ยวกับงานที่เกี่ยวข้องกับการจัดการการกำหนดค่า | ||
รายละเอียดงานของผู้รับผิดชอบในการจัดการการกำหนดค่ารวมถึงบันทึกที่เกี่ยวข้อง | ||
ความครอบคลุมของ CMDB (ฐานข้อมูลการกำหนดค่า) ถูกกำหนดและเพียงพอ: เซิร์ฟเวอร์, คอมพิวเตอร์ส่วนบุคคล, DBMS, ซอฟต์แวร์, LAN | ||
ระดับของรายละเอียดของแอตทริบิวต์ของรายการการกำหนดค่า (ชื่อ, ประเภท, สถานที่, เจ้าของ, หมายเลขสินค้าคงคลัง, สถานะ, เอกสาร, ใบอนุญาต ฯลฯ) ถูกกำหนดและเพียงพอ | ||
มีการลงทะเบียนความสัมพันธ์ (ความสัมพันธ์) ระหว่างรายการการกำหนดค่าที่ระดับกายภาพและระดับตรรกะ | ||
ใช้ขั้นตอนการลงทะเบียนการกำหนดค่าพื้นฐาน | ||
ขั้นตอนการควบคุมสำหรับการเพิ่ม CIs ที่กำหนดไว้และดำเนินการ | ||
มีการกำหนดเหตุการณ์ทริกเกอร์และความถี่ของการตรวจสอบ CMDB (ตรวจสอบว่าสถานการณ์ปัจจุบันสะท้อนใน CMDB ได้แม่นยำเพียงใด) | ||
เครื่องมือตรวจสอบใช้เพื่อวิเคราะห์เวิร์กสเตชันโดยอัตโนมัติและสร้างรายงานเกี่ยวกับสถานการณ์ปัจจุบันและสถานะของโครงสร้างพื้นฐานด้านไอที |
- ตรวจสอบผลการสัมภาษณ์และการประเมินตนเองซึ่งเป็นส่วนหนึ่งของขั้นตอนการติดตามผลการปฏิบัติงานและการทดสอบหลักฐานโดยละเอียด (รวมถึงระเบียบข้อบังคับ ข้อบังคับ รายงาน บันทึกเหตุการณ์ ฯลฯ)
ลูกค้ากำหนดพนักงานซึ่งภายในกรอบของการสัมภาษณ์เกี่ยวกับกระบวนการไอทีที่พิจารณาแล้ว จะทำการประเมินอย่างเป็นทางการ (การประเมินตนเอง) เกี่ยวกับระดับการปฏิบัติตามสถานการณ์จริงตามเกณฑ์ที่กำหนดไว้ในแบบสอบถาม ผู้สอบบัญชีดำเนินการสัมภาษณ์ในระหว่างที่มีการวิเคราะห์และกลั่นกรองผลการประเมินตนเอง มีการวิเคราะห์รายการหลักฐานยืนยันผลการประเมินตนเองในระดับสูง รวมทั้งการประเมินความพร้อมที่แท้จริงในการจัดเตรียมหลักฐานที่เกี่ยวข้อง (ตารางที่ 4) คำถามแต่ละข้อของแบบสอบถามสามารถพิจารณาได้ตามพารามิเตอร์ต่อไปนี้: ความสามารถของบุคลากร กิจกรรมจริง เอกสารประกอบ การตรวจสอบ และระบบอัตโนมัติ ตัวชี้วัดได้รับการประเมินในระดับห้าจุด กระจาย ตัวอย่างเช่น สำหรับตัวบ่งชี้ "กิจกรรม" ดังนี้:
- 0 - กิจกรรมไม่ได้ดำเนินการและไม่ได้รับการยอมรับตามความจำเป็น
- 1 - กิจกรรมไม่ได้ดำเนินการ แต่ได้รับการยอมรับตามความจำเป็น
- 2 - กิจกรรมดำเนินการเป็นชิ้นเล็กชิ้นน้อยและมีความครอบคลุมขั้นต่ำไม่สามารถยืนยันด้วยหลักฐานได้การเบี่ยงเบนที่น่าจะเป็นไปได้นั้นยากที่จะระบุ
- 3 - กิจกรรมจะดำเนินการเป็นระยะ แต่มีขอบเขตเล็ก ๆ และสามารถสนับสนุนได้ด้วยหลักฐานเฉพาะในแต่ละกรณีหรือผ่านการสาธิตในโหมด "การสังเกตกิจกรรม"
- 4 - กิจกรรมจะดำเนินการอย่างต่อเนื่อง ความครอบคลุมของกระบวนการอยู่ในระดับที่น่าพอใจและมีแผนจะเพิ่ม โดยส่วนใหญ่แล้วจะมีเอกสารหลักฐานของกิจกรรม
- 5 - กิจกรรมดำเนินการอย่างต่อเนื่อง มีครอบคลุม มีใบรับรองในรูปแบบอิเล็กทรอนิกส์และกระดาษซึ่งเหมาะสำหรับทั้งการควบคุมภายในและการตรวจสอบ เมื่อทำการประเมิน จำเป็นต้องคำนึงถึงความเพียงพอของหลักฐานทางเอกสาร (หลักฐานการตรวจสอบ) โดยพิจารณาจากพื้นฐานที่สามารถให้ความเห็นเกี่ยวกับกิจกรรมที่ประเมินได้ เอกสารกลุ่มนี้ประกอบด้วย ตัวอย่างเช่น ทะเบียนและสินค้าคงเหลือ บันทึกการลงทะเบียน โปรโตคอล เอกสารคนรู้จัก การกระทำ และ / หรือรายงานที่บ่งชี้ประสิทธิภาพการทำงาน (คำสั่ง)
คำตอบที่ได้รับจะถูกจัดอันดับตามลักษณะน้ำหนักและผลลัพธ์ (คะแนน) ของการประเมินตนเอง ถัดมาเป็นการตรวจสอบแบบสอบถาม คะแนนที่มีคะแนนการถ่วงน้ำหนักและการประเมินตนเองสูงสุดผ่านการสอบสมรรถภาพทางกายก่อน ไม่ว่าในกรณีใด ใบรับรอง / คำตอบอย่างน้อย 50% ที่มีคะแนนสูงสุดและอย่างน้อย 30% ของส่วนที่เหลือจะต้องปฏิบัติตามขั้นตอนนี้ หากปรากฎว่ามีการประเมินความนับถือตนเองสูงเกินไป ผู้ตรวจสอบจะวางการประเมินของตนเองลง ซึ่งเป็นพื้นฐานสำหรับการคำนวณในภายหลัง การตรวจสอบจะดำเนินการบนพื้นฐานของกิจกรรมการตรวจสอบและสภาพการทำงาน คำขอเอกสาร บันทึก (การกระทำ, นาที) ของการตรวจสอบ, รายงานการประชุม, รายงาน (การกระทำ) เกี่ยวกับการตรวจสอบ, ข้อมูลสรุป, การวิเคราะห์และตัวชี้วัดประสิทธิภาพ, รายงาน; การเข้าถึงฐานข้อมูลอิเล็กทรอนิกส์และเว็บไซต์ หากจำเป็น ผู้ตรวจสอบบัญชีจะสร้างแบบสอบถามการทดสอบโดยละเอียดเพื่อดำเนินการขั้นตอนการตรวจสอบที่มีสาระสำคัญโดยทันที (เลือกการวิเคราะห์ผลรวมของหลักฐานการตรวจสอบในประเด็นเฉพาะเพื่อขอรับการรับประกันเพิ่มเติมเกี่ยวกับผลการประเมินตนเอง) ในขั้นตอนสุดท้ายของการตรวจสอบ ("III" ในรูปที่ 1) หลักฐานที่รวบรวมจะถูกวิเคราะห์ การประเมินโดยละเอียด และผลการตรวจสอบขั้นสุดท้าย มาตรฐานสากลของ CobiT กำหนดให้ขั้นตอนนี้เป็น "ความคิดสร้างสรรค์" เนื่องจากผู้ตรวจสอบต้องเผชิญกับงานที่ยากในการดำเนินการเปลี่ยนแปลงการประเมินหลายขั้นตอนจากคำถามเฉพาะบุคคลไปจนถึงการก่อตัวของการคำนวณขั้นสุดท้ายเกี่ยวกับสถานะของระบบการจัดการไอทีของ องค์กรโดยรวม
ขาดอุบัติการณ์เป็นสัญญาณอันตราย
ตัวอย่างของคำแนะนำสำหรับการดำเนินการตรวจสอบในประเด็นเฉพาะ - "การตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของข้อมูล" - สามารถเป็นแนวทางการตรวจสอบที่มีอยู่ใน BS 7799 Control Implementation and Audit Guidelines ที่พัฒนาโดย British Standards Institute: "องค์กรควรมีขั้นตอนที่จำเป็น ได้มีการพัฒนาและดำเนินการ และสร้างช่องทางการสื่อสารกับฝ่ายบริหารเพื่อรายงานเหตุการณ์ด้านความปลอดภัย ผู้ตรวจสอบควรตรวจสอบให้แน่ใจว่าขั้นตอนเหล่านี้ใช้ได้กับเหตุการณ์ที่อาจเกิดขึ้น และตรวจสอบให้แน่ใจว่ามีการตอบสนองที่มีประสิทธิผลเพียงพอ หากองค์กรอ้างว่าไม่มีเหตุการณ์ที่ต้องรายงาน ดังนั้นจึงไม่สามารถแสดงกระบวนการรายงานได้ เหตุการณ์ส่วนใหญ่ก็จะเกิดขึ้นโดยไม่มีใครสังเกตเห็น ดังนั้นควรมีการจัดเตรียมขั้นตอนสำหรับการรายงานเหตุการณ์ด้านความปลอดภัย ขั้นตอนการรายงานเหตุการณ์ ไม่ว่าจะมีเหตุการณ์ในอดีตหรือไม่ก็ตาม ควรตรวจสอบว่าองค์กรมีคำจำกัดความที่ชัดเจนของเหตุการณ์ด้านความปลอดภัย (เหตุการณ์) หรือไม่ และผู้ที่อยู่ในตำแหน่งรับผิดชอบเข้าใจหรือไม่ มีประโยชน์ในการถามคำถามในการตรวจสอบ เช่น: “หากคุณพบว่าตู้เซฟของคุณมีเอกสารลับเปิดอยู่และไม่มีใครอยู่ใกล้ๆ คุณจะถือว่านี่เป็นกรณีของการละเมิดความปลอดภัยหรือไม่” เงินเดือนนี่ถือเป็นหลักประกันได้ไหม ฝ่าฝืน?”
งานหลักของผู้ตรวจสอบบัญชีในขั้นตอนนี้คือการประกันความโปร่งใสของกลไกในการสร้างข้อสรุปขั้นสุดท้ายเป็นเงื่อนไขหลักในการไว้วางใจผลการตรวจสอบ ผู้มีส่วนได้ส่วนเสียทั้งหมดควรสามารถติดตามความสัมพันธ์เชิงสาเหตุในห่วงโซ่ของการแปลงผลการตรวจสอบจากการประมาณการส่วนตัวไปจนถึงการประมาณการขั้นสุดท้าย ให้เราอาศัยขั้นตอนเฉพาะที่สุดของการแปลงค่าประมาณ
การคำนวณระดับวุฒิภาวะของกระบวนการไอที
การคำนวณนี้สามารถดำเนินการได้โดยใช้วิธีการของ CobiT ซึ่งแนะนำการระบุลักษณะสำคัญห้าประการของความสมบูรณ์ของกระบวนการ (ตารางที่ 5) กลุ่มผู้ตรวจสอบเฉพาะประเด็นตามลักษณะของกระบวนการที่ระบุ (ความสามารถ กิจกรรมจริง เอกสาร การวัด การปรับปรุง) และคำนวณคะแนนสำหรับแต่ละกลุ่ม ในกรณีนี้ ขอแนะนำให้คำนึงถึงลักษณะน้ำหนักของคำถามทั้งในกลุ่มและตัวกลุ่มเอง การกำหนดค่าเฉพาะจะดำเนินการในลักษณะของผู้เชี่ยวชาญและตกลงกับลูกค้าผู้ตรวจสอบเมื่อเริ่มงาน
L = L1 + L2 + L3 + L4 + L5 |
|||
ระดับวุฒิภาวะตามส่วน | ชื่อ | K - น้ำหนักของส่วน (ผลรวมของคะแนนคือ 5) | R (Tn) - คะแนนฐานจาก 0 ถึง 1 ตามผลของแบบสอบถามและการตรวจสอบ (ผลรวมของคะแนนจริง / คะแนนรวมสูงสุดที่เป็นไปได้) |
L1 = K × อาร์ (T1) | ความสามารถ | ||
L2 = K × อาร์ (T2) | กิจกรรม | ||
L3 = K × อาร์ (T3) × อาร์ (T2) | การจัดทำเอกสาร | ||
L4 = K × อาร์ (T4) × อาร์ (T2) | การวัด | ||
L5 = K × อาร์ (T5) × อาร์ (T2) | การปรับปรุง |
การคำนวณที่แสดงในรูปที่ 2 ช่วยให้คุณสร้างแนวโน้มในระดับวุฒิภาวะของกระบวนการไอที
เวกเตอร์แนวโน้มเชิงลบสร้างขึ้นโดยคำนึงถึงระดับของเอกสารประกอบ (คะแนนสุดท้ายสำหรับคำถามกลุ่มนี้) ยิ่งระดับเอกสารต่ำลง ยิ่งมีโอกาสมากขึ้นที่ในกรณีที่บุคลากรหลักสูญหายหรือการเปลี่ยนแปลงในสภาพการทำงาน จะไม่บรรลุเป้าหมายของกิจกรรมด้านไอที (เช่น พนักงานใหม่ไม่สามารถรับข้อมูลเกี่ยวกับขั้นตอนการทำงานบางอย่างได้ ดำเนินการ) ดังนั้น สำหรับแนวโน้มในเชิงบวก การวัดผลและการปรับปรุงจึงถูกนำมาพิจารณาเป็นพื้นฐานสำหรับการปรับปรุงประสิทธิภาพ ระยะเวลาของช่วงหลังการตรวจสอบความถูกต้อง (เวลาระหว่างการตรวจสอบ) ในทางปฏิบัติในกรณีส่วนใหญ่มีตั้งแต่หนึ่งถึงสามปีและพิจารณาจากข้อกำหนดด้านกฎหมายและระเบียบข้อบังคับสำหรับความถี่ตลอดจนหลักการของความเพียงพอที่สมเหตุสมผล - ระยะเวลาที่ เป็นที่น่าสนใจที่สุดสำหรับวัตถุประสงค์ในการคาดการณ์สำหรับอนาคตที่มีการตรวจสอบ
การคำนวณระดับความเสี่ยงด้านไอที
หมายถึงระดับความเสี่ยงหลังจากที่ได้รับการรักษาแล้ว เช่น หลังจากใช้มาตรการรับมือเพื่อลดความเสี่ยง ส่วนหนึ่งของขั้นตอนนี้ ผู้ตรวจสอบจะจัดทำรายการความเสี่ยงที่ระบุและเปรียบเทียบระดับพื้นฐานของความเสี่ยงกับระดับวุฒิภาวะของกระบวนการไอทีที่รับผิดชอบในการจัดการพารามิเตอร์นี้ (ตารางที่ 6) ความเสี่ยงที่เหลือ (S) 6 หรือน้อยกว่านั้นถือว่ายอมรับได้ ปานกลาง - จาก 7 ถึง 11 สูง - จาก 12 ถึง 16 วิกฤต - จาก 17 ถึง 25
สรุป
การประเมินโครงสร้างในทุกขั้นตอนของการสร้างข้อสรุปการตรวจสอบช่วยให้คุณสร้างพื้นฐานทางสถิติสำหรับการคำนวณการเปลี่ยนแปลงที่คาดไว้ของการเปลี่ยนแปลงในตัวบ่งชี้กระบวนการต่างๆ ในช่วงหลังการตรวจสอบ ผลลัพธ์ที่ได้สามารถนำไปจัดทำเป็นแผนระยะยาวสำหรับการลงทุนด้านเทคโนโลยีสารสนเทศ เชื่อมโยงกับระดับความสมบูรณ์ของระบบบริหารความเสี่ยงที่เพิ่มขึ้น ดังที่ได้กล่าวไปแล้ว ยิ่งระบบข้อมูลมีความซับซ้อนมากเท่าไร ระบบการจัดการ IT ก็ยิ่งมีความสมบูรณ์มากขึ้นเท่านั้น แต่ก็มีความสัมพันธ์แบบผกผัน ตัวอย่างเช่น หากบริษัทมีระบบท้องถิ่นที่เรียบง่าย ก็จะบรรลุประสิทธิภาพสูงสุดที่ระดับวุฒิภาวะที่ 2.8–3.2 ระดับที่สูงขึ้นจะไม่ให้ข้อได้เปรียบที่ชัดเจน แต่สามารถนำไปสู่ต้นทุนการจัดการเพิ่มเติม (รูปที่ 3) นอกเหนือจากคำแนะนำมาตรฐานสำหรับการขจัดความไม่สอดคล้องกัน (ความคิดเห็น) ที่ระบุในระหว่างการตรวจสอบ ผลการตรวจสอบยังสามารถใช้เพื่อพัฒนาคำแนะนำที่สำคัญเกี่ยวกับกลยุทธ์และกลยุทธ์ในการปรับปรุงระบบการจัดการไอทีโดยรวมและกระบวนการด้านไอทีส่วนบุคคล พื้นฐานระเบียบวิธีสำหรับระบบควบคุมภายในและการตรวจสอบเทคโนโลยีสารสนเทศขององค์กร การประยุกต์ใช้วิธีการตรวจสอบข้างต้นทำให้บริษัทสามารถดูระบบการจัดการไอทีของตนผ่านปริซึมของมาตรฐานสากลและประสบการณ์เชิงปฏิบัติ ส่งผลให้ได้รับการประเมินจากผู้เชี่ยวชาญอย่างมืออาชีพ:
- ระดับของการปฏิบัติตามข้อกำหนดของมาตรฐานซึ่งสามารถใช้เพื่อกำหนดความพร้อมขององค์กรในการตรวจรับรอง
- ความเพียงพอต่อเป้าหมายของการสร้างมูลค่าเพิ่มให้กับธุรกิจอย่างมีประสิทธิผลเมื่อใช้เทคโนโลยีสารสนเทศ
- ความเสถียรในการใช้งานในสถานการณ์ต่าง ๆ เช่น หากพิจารณาการขยายธุรกิจ ความพร้อมของบริการไอทีเพื่อปรับขนาดกิจกรรมจะถูกประเมิน หากเรากำลังพูดถึงการเปลี่ยนแปลงครั้งใหญ่สู่ระบบข้อมูลใหม่ ความพร้อม ตรวจสอบให้แน่ใจว่ามีการวิเคราะห์การเปลี่ยนผ่านสู่ระบบใหม่ที่เชื่อถือได้ในเวลาที่เหมาะสม เพื่อที่จะเปลี่ยนปริมาณการจัดหาเงินทุน ระดับของการปรับตัวให้เข้ากับเงื่อนไขที่เกี่ยวข้องจะได้รับการประเมิน จากงานที่ดำเนินการไป คำแนะนำเกี่ยวกับกลยุทธ์สำหรับการพัฒนาการจัดการแผนกไอที รวมถึงกระบวนการจัดการเฉพาะ การป้องกันความเสี่ยง การปรับปรุงการทำงานของแผนกไอที และการก่อตัวของระบบควบคุมภายใน ดังนั้น การตรวจสอบด้านไอทีจึงเป็นการวางรากฐานสำหรับการทำงานที่มีประสิทธิภาพของบริษัทในสาขาที่มีความสำคัญอันดับแรกสำหรับระดับความสามารถในการแข่งขัน โดยจะร่างแผนปฏิบัติการที่สามารถนำไปปฏิบัติได้เท่านั้น ทุกสิ่งทุกอย่างจะขึ้นอยู่กับตัวบริษัทเองอยู่แล้ว หรือมากกว่านั้น ขึ้นอยู่กับความพร้อมในการปฏิบัติตามคำแนะนำที่พัฒนาขึ้นอย่างชัดเจน
ระดับความเสี่ยงโดยธรรมชาติตั้งแต่ 0 ถึง 5 (การประเมินโดยผู้เชี่ยวชาญ) | อิทธิพลของระดับวุฒิภาวะของกระบวนการไอที (ภายในที่มีการจัดการความเสี่ยง) จาก 0 ถึง 5 | การประเมินความเสี่ยงที่เหลือ |
|
S = 5 × R1 - L 2 |
|||
ความเสี่ยงในการเพิ่มเวลาตั้งแต่เริ่มต้นการพัฒนาไปจนถึงความพร้อมของระบบเนื่องจากขาดโครงสร้างพื้นฐานที่ยืดหยุ่น | |||
ความเสี่ยงจากการหยุดทำงานของโครงสร้างพื้นฐานที่เพิ่มขึ้น | |||
ความเสี่ยงจากปัญหาด้านประสิทธิภาพของแอปพลิเคชันที่เพิ่มขึ้นซึ่งเกิดจากความไม่สอดคล้องกันในโครงสร้างพื้นฐานทางเทคโนโลยี | |||
ความเสี่ยงของการขาดความสามารถเมื่อแนะนำโซลูชั่นไอทีใหม่ | |||
ความเสี่ยงของต้นทุนที่เพิ่มขึ้นสำหรับโครงสร้างพื้นฐานด้านไอทีอันเนื่องมาจากการสร้างสำรองที่ไม่สมเหตุสมผล "สำรอง" |
เป็นที่ทราบกันดีว่าบ่อยครั้งที่เทคโนโลยีสารสนเทศที่นำมาใช้ในองค์กรยังคงเป็นตั้งแต่เริ่มต้นหรือกลายเป็น "ความลับเบื้องหลังตราประทับเจ็ดประการ" เมื่อเวลาผ่านไป ทั้งสำหรับผู้จัดการและพนักงานของบริษัท และโดยเฉพาะอย่างยิ่งสำหรับบุคคลที่สาม แต่ไม่ได้หมายความว่าจะมีผู้สนใจน้อยลง - ลูกค้า นักลงทุน คู่ค้า แน่นอนว่าสิ่งนี้ไม่ได้เพิ่มความมั่นใจให้กับบริษัท ไม่รับประกันความปลอดภัยของธุรกิจ และไม่ช่วยดึงดูดลูกค้าและนักลงทุน การตรวจสอบด้านไอทีเป็นหนึ่งในกลไกที่ช่วยให้ "กระจ่าง" เกี่ยวกับสถานะที่แท้จริงของกิจการในบริษัท เพื่อเพิ่มประสิทธิภาพการทำงานของระบบสารสนเทศและเป็นผลให้ธุรกิจโดยรวม
เป้าหมายหลักของการตรวจสอบไอทีคือการประเมินความเสี่ยงที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ ประเมินการควบคุม และพัฒนาคำแนะนำสำหรับการใช้มาตรการแก้ไขในพื้นที่ที่ควรลดความเสี่ยง
เราเสนอให้ดำเนินการตรวจสอบด้านไอทีในบริษัทของคุณ ซึ่งอาจประกอบด้วยงานต่อไปนี้:
ในการกำหนดขอบเขตของงานตรวจสอบ IT เวลาและต้นทุนของงาน ขอแนะนำให้ดำเนินการวินิจฉัยด้านไอที การวินิจฉัยจะดำเนินการภายใน 3-5 วันทำการ การวินิจฉัยจะรวบรวมข้อมูลที่จำเป็นในการระบุปัญหาด้านไอทีที่สำคัญ จากข้อมูลนี้ ข้อเสนอโดยละเอียดสำหรับการดำเนินการตรวจสอบด้านไอทีในบริษัทได้รับการพัฒนา
ผลลัพธ์ของการตรวจสอบคือชุดของข้อสรุปว่าระบบข้อมูลที่มีอยู่ (IS) ในบริษัทตรงกับความต้องการทางธุรกิจหรือไม่ มีการพัฒนาคำแนะนำสำหรับการเพิ่มประสิทธิภาพและการพัฒนา IS ต่อไป
ในระหว่างการตรวจสอบ จะทำการวิเคราะห์การปฏิบัติตาม IS ที่มีอยู่กับกระบวนการทางธุรกิจของบริษัท ซึ่งหมายถึงการวิเคราะห์โครงสร้างองค์กรของบริษัท ลำดับชั้นของแผนก เวิร์กโฟลว์ภายใน นโยบายการบัญชี ความสอดคล้องของโมดูล ของ IS ที่ใช้กับความต้องการที่แท้จริงของฝ่ายต่างๆ
การตรวจสอบทรัพย์สินทางปัญญามีวัตถุประสงค์เพื่อให้บรรลุวัตถุประสงค์ดังต่อไปนี้:
- ลดค่าใช้จ่ายในการบำรุงรักษาและพัฒนาโครงสร้างพื้นฐานด้านไอที
- ลดต้นทุนในการดำเนินธุรกิจแบบอัตโนมัติ
- การปรับปรุงประสิทธิภาพของ IS
- เพิ่มประสิทธิภาพการลงทุนในทรัพย์สินทางปัญญาของบริษัท
ส่วนหนึ่งของการตรวจสอบ IP จะดำเนินการดังต่อไปนี้:
- การวิเคราะห์ความสอดคล้องของความสามารถและกลยุทธ์ IP กับกลยุทธ์ของบริษัท เป้าหมายทางธุรกิจ และกระบวนการทางธุรกิจ
- การวิเคราะห์บริการไอทีที่มีอยู่และระบบข้อมูลสนับสนุน (ผลิตภัณฑ์ซอฟต์แวร์)
- การระบุพื้นที่ปัญหาของโครงสร้างพื้นฐานด้านไอทีที่มีอยู่:
- ระดับความสอดคล้องของระบบสารสนเทศกับข้อกำหนดทางธุรกิจ
- ค่าบำรุงรักษาและพัฒนา IP
- การปฏิบัติตามกระบวนการไอทีด้วยมาตรฐาน ISO 9000
- ระดับความปลอดภัยของข้อมูล
- การพัฒนาคำแนะนำสำหรับการปรับปรุงโครงสร้างพื้นฐานด้านไอที:
- ประมาณการค่าใช้จ่ายในการดำเนินการตามคำแนะนำแต่ละข้อ
- แผนการดำเนินงานตามข้อเสนอแนะ
- คำแนะนำสำหรับการปรับรื้อโครงสร้างพื้นฐานด้านไอที
ในส่วนของการตรวจสอบและการตรวจสอบโครงสร้างพื้นฐานด้านไอที จะมีการตรวจสอบตัวบ่งชี้ต่อไปนี้: ประสิทธิภาพ ความสมบูรณ์ของฟังก์ชัน ความปลอดภัย ความสมบูรณ์ของกระบวนการไอที ฯลฯ
เป็นผลให้บริษัทจะได้รับคำอธิบายของความไม่สอดคล้องที่ระบุระหว่างโครงสร้างพื้นฐานด้านไอทีและความต้องการทางธุรกิจ ปัญหาที่มีอยู่และความเสี่ยงของการพัฒนาโครงสร้างพื้นฐานด้านไอทีตลอดจนคำแนะนำในการกำจัดสิ่งที่ระบุด้วยค่าใช้จ่ายโดยประมาณในการดำเนินการ เสนอแนะและแผนงาน
ข้อมูลนี้เป็นพื้นฐานสำหรับการสร้างกลยุทธ์ระบบอัตโนมัติและกำหนดวิธีการลงทุนด้านไอทีที่มีประสิทธิภาพสูงสุด
ช่วยให้ลูกค้าได้รับการประเมินจากผู้เชี่ยวชาญเกี่ยวกับองค์ประกอบปัจจุบันและระดับการทำงานของแพลตฟอร์มเทคโนโลยี ระบบฮาร์ดแวร์และซอฟต์แวร์ เครือข่ายและสิ่งอำนวยความสะดวกด้านการสื่อสาร (โครงสร้างพื้นฐานไอที) ตลอดจนรับคำแนะนำเกี่ยวกับวิธีการปรับปรุงประสิทธิภาพการใช้งาน ความทันสมัยและลดต้นทุนการเป็นเจ้าของ
ตัวอย่างเช่น รายงานของผู้ตรวจสอบอาจมีข้อสรุปเกี่ยวกับความสอดคล้องของการโหลดของเซิร์ฟเวอร์กับคุณลักษณะ การยืนยันว่าแพลตฟอร์มเซิร์ฟเวอร์อนุญาตให้มีงานเพิ่มขึ้น หรือทำงานที่ขีดจำกัดความจุ เป็นต้น
การตรวจสอบรวมถึงการก่อตัวของการประเมินผู้เชี่ยวชาญเกี่ยวกับสถานะปัจจุบันของระบบรักษาความปลอดภัยข้อมูล (ISS) การประเมินความเสี่ยงของข้อมูล คำแนะนำสำหรับการปรับปรุง ISS การคำนวณต้นทุนในการสร้างหรือปรับปรุง ISS ให้ทันสมัย การตรวจสอบความปลอดภัยของข้อมูลช่วยให้บริษัทลูกค้าลดความเสี่ยงทางธุรกิจและเพิ่มระดับความปลอดภัยของข้อมูล
ผลลัพธ์ของการตรวจสอบทำให้เราสามารถดำเนินการได้หลายอย่างเพื่อเพิ่มประสิทธิภาพของแผนกไอที เพิ่มประสิทธิภาพค่าใช้จ่ายด้านไอที ปรับปรุงคุณภาพของบริการที่มีให้ในด้านไอที จัดระเบียบแผนกไอทีใหม่ตามวัตถุประสงค์ทางธุรกิจของบริษัทและทันสมัย วิธีการดำเนินงานโครงสร้างพื้นฐานด้านไอที
โดยเฉพาะอย่างยิ่งบนพื้นฐานของรายงานการตรวจสอบจะมีการออกคำแนะนำโดยละเอียดเกี่ยวกับองค์กรในการวางแผนงานบริการไอทีตามความต้องการของธุรกิจของ บริษัท
โอกาสในการร่วมมือกันต่อไป
ผลของการตรวจสอบด้านไอทีจะช่วยให้เราสามารถร่างแนวทางสำหรับความร่วมมือเพิ่มเติมระหว่างบริษัทของเรา และโดยเฉพาะอย่างยิ่ง เพื่อกำหนดความจำเป็นสำหรับชุดงานต่อไปนี้ในด้านที่ปรึกษาด้านไอที:
- การพัฒนากลยุทธ์ด้านไอที
- การพัฒนาแนวคิดระบบสารสนเทศรวมถึงการพัฒนากรณีธุรกิจเพื่อการเพิ่มประสิทธิภาพ / การพัฒนาด้านไอที
- การเพิ่มประสิทธิภาพ / การพัฒนาระบบสารสนเทศ (IS) รวมถึง:
- การพัฒนาข้อกำหนดในการอ้างอิงสำหรับการแก้ไข / การสร้างระบบย่อยที่มีอยู่ / ขาดหายไป / โมดูล IS
- การเลือกระบบซอฟต์แวร์ (ผู้จำหน่าย) สำหรับระบบสารสนเทศองค์กร
- องค์กรและการจัดการโครงการเพิ่มประสิทธิภาพ IP
- การพัฒนาระเบียบวิธี / เอกสารประกอบ
- การพัฒนา / การใช้งานระบบย่อยที่แก้ไข / ใหม่ / โมดูล IS
- การฝึกอบรมบุคลากรและการศึกษา เจ้าหน้าที่ให้คำปรึกษา
- การตรวจสอบและบำรุงรักษาการทำงานของระบบ IS
การดำเนินการตรวจสอบที่ครอบคลุมช่วยให้คุณได้รับข้อมูลที่สมบูรณ์ เป็นระบบ และเชื่อถือได้มากที่สุดเกี่ยวกับสถานะของโครงสร้างพื้นฐานด้านไอทีของลูกค้า การตรวจสอบเป็นสิ่งจำเป็นในการประเมินไอที ตัดสินใจ คาดการณ์การพัฒนาสถานการณ์ และจัดการไอที
บริการนี้เป็นที่ต้องการเมื่อใด (ในกรณีใดบ้าง)
- การเข้าซื้อกิจการหรือการรวมธุรกิจ(เป็นทางการหรือไม่เป็นทางการ) เข้าเป็นโครงสร้างยึด จำเป็นต้องรวมโครงสร้างพื้นฐานด้านไอทีของบริษัทที่ซื้อเข้ากับโครงสร้างพื้นฐานของตนเอง การดำเนินการตรวจสอบอย่างอิสระจะช่วยลดต้นทุนและเร่งงานการรวมระบบ
- ก่อนอัปเกรดโครงสร้างพื้นฐานด้านไอทีของคุณรัฐวิสาหกิจ จำเป็นต้องปรับต้นทุนของความทันสมัยให้เหมาะสมและพัฒนากลยุทธ์การพัฒนา
- เมื่อการเติบโตของธุรกิจแซงหน้าการพัฒนาไอที... ในกรณีนี้ มีการขาดหรือขาดข้อมูลการจัดการเกี่ยวกับองค์ประกอบและเงื่อนไขของโครงสร้างพื้นฐานด้านไอทีในการจัดการองค์กร
- หากโครงสร้างพื้นฐานด้านไอทีทำงานได้ไม่ดีสำหรับตอนนี้. การตรวจสอบเป็นวิธีที่ดีที่สุดในการระบุปัญหาคอขวดในโครงสร้างพื้นฐานและรับคำแนะนำที่จำเป็นสำหรับการกำจัด
ประโยชน์ของบริการนี้ต่อลูกค้าคืออะไร?
- ปรับปรุงให้ทันสมัยขึ้นโครงสร้างพื้นฐานด้านไอทีโดยการรับข้อมูลที่สมบูรณ์และทันสมัยที่สุดเกี่ยวกับทรัพยากรไอทีที่มีอยู่
- รับประมาณการต้นทุนเพื่อปรับปรุงโครงสร้างพื้นฐานด้านไอทีให้ทันสมัย ความรู้เกี่ยวกับระดับความจำเป็นและขอบเขตงานที่คาดการณ์ไว้ในเอกสารการรายงานช่วยให้ลูกค้าสามารถตัดสินใจได้อย่างมีข้อมูล
- ปรับปรุงประสิทธิภาพการใช้ทรัพยากรไอทีที่มีอยู่ หลังจากพิจารณาผลการตรวจสอบแล้ว และลดความเสี่ยงทางธุรกิจที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศให้เหลือน้อยที่สุด
- ปรับปรุงการจัดการองค์กรไอที ฝ่ายบริหารจะได้รับข้อมูลการจัดการที่จำเป็นสำหรับการตัดสินใจ คาดการณ์การพัฒนาสถานการณ์ และการจัดการด้านไอที เพิ่มประสิทธิภาพการบริการไอทีขององค์กร ลดเวลาหยุดทำงาน และจำนวนสถานการณ์ที่ผิดปกติ
- รับคำแนะนำเชิงปฏิบัติเกี่ยวกับเทคโนโลยีที่ใช้ อุปกรณ์และการตั้งค่า คำแนะนำทั้งหมดเกี่ยวข้องกับปัญหาเฉพาะที่พบในระหว่างการตรวจสอบ ดังนั้นการดำเนินการตามคำแนะนำแต่ละข้อจึงเป็นประโยชน์อย่างยิ่งต่อบริษัท
การตรวจสอบความปลอดภัยของข้อมูลสามารถทำได้ทั้งโดยบุคลากรประจำ (การตรวจสอบภายใน) และโดยการมีส่วนร่วมของผู้เชี่ยวชาญอิสระ (การตรวจสอบภายนอก) มูลค่าของการตรวจสอบความปลอดภัยของข้อมูลภายนอกสำหรับผู้มีโอกาสเป็นลูกค้ามีดังนี้:
- การตรวจสอบเป็นการศึกษาอิสระที่เพิ่มความเที่ยงธรรมของผลลัพธ์
- ผู้เชี่ยวชาญที่ดำเนินการตรวจสอบมีคุณสมบัติและประสบการณ์ในการทำงานมากกว่าพนักงานประจำขององค์กร
- การมอบหมายงานตรวจสอบให้กับองค์กรเฉพาะนั้นถูกกว่าการจัดระเบียบด้วยตนเอง
คำอธิบายของบริการ
การดำเนินการตรวจสอบอย่างครอบคลุมประกอบด้วยสามขั้นตอนหลัก:
- การเก็บรวบรวมข้อมูล
คำชี้แจงปัญหาและชี้แจงขอบเขตของงาน
ในขั้นตอนของการกำหนดงาน มาตรการขององค์กรจะถูกนำไปเตรียมสำหรับการตรวจสอบ:
- มีการระบุเป้าหมายและวัตถุประสงค์ของการตรวจสอบ
- กำลังจัดตั้งคณะทำงาน
- เงื่อนไขการอ้างอิง (TOR) สำหรับการตรวจสอบกำลังจัดทำและตกลงกัน
บางครั้งการตรวจสอบจำเป็นต้องเข้าถึงข้อมูลที่ลูกค้าถือเป็นความลับ ในกรณีนี้ ควบคู่ไปกับ TK ข้อตกลงการรักษาความลับได้รับการพัฒนาและมีการจัดการปฏิสัมพันธ์กับบริการรักษาความปลอดภัยของลูกค้า
การเก็บรวบรวมข้อมูล
ในขั้นตอนนี้ การสัมภาษณ์บุคลากรของลูกค้า การตรวจสอบและสินค้าคงคลังของอุปกรณ์ การรวบรวมข้อมูลการกำหนดค่าจะดำเนินการ รายการรายละเอียดของงานที่ทำจะถูกกำหนดใน TOR สำหรับการตรวจสอบ
ดำเนินการสำรวจองค์ประกอบทางเทคนิคและองค์กรทั้งหมดของโครงสร้างพื้นฐานด้านไอที:
- อุปกรณ์ - ฮาร์ดแวร์ที่สร้างและบำรุงรักษาเทคโนโลยีสารสนเทศ: อุปกรณ์เครือข่าย เซิร์ฟเวอร์และเวิร์กสเตชัน ระบบจัดเก็บข้อมูล ฯลฯ
- เครื่องมือสนับสนุน - ทรัพยากรเสริม อุปกรณ์ สถานที่ที่จำเป็นในการสนับสนุนการทำงานของโครงสร้างพื้นฐานด้านไอที
- เทคโนโลยี - ระบบปฏิบัติการ ระบบจัดการฐานข้อมูล การรวมแอปพลิเคชัน ฯลฯ
- แอพพลิเคชั่น - แอพพลิเคชั่นซอฟต์แวร์ที่ใช้ในการดำเนินงานขององค์กร
- ข้อมูล - ในความหมายที่กว้างที่สุด - เวิร์กโฟลว์, ภายนอกและภายใน, มีโครงสร้างและไม่มีโครงสร้าง, อ้างอิง, มัลติมีเดีย, ฯลฯ ;
- กำลังคน - บุคลากร ทักษะ: ทักษะ ความเข้าใจในงานและผลการปฏิบัติงาน
เมื่อสิ้นสุดขั้นตอนการรวบรวมข้อมูล บริษัทที่ดำเนินการตรวจสอบจะเป็นเจ้าของชุดเอกสารที่อธิบายโครงสร้างพื้นฐานด้านไอทีโดยละเอียด
การวิเคราะห์ข้อมูลและการเตรียมรายงาน
ในขั้นตอนนี้จะดำเนินการดังต่อไปนี้:
- การตรวจสอบและวิเคราะห์ข้อมูลที่รวบรวม
- การเตรียมเอกสารการปฏิบัติงาน
- ให้คำแนะนำ
- การจัดทำรายงานการตรวจสอบ
ข้อมูลที่รวบรวมจะได้รับการตรวจสอบความสมบูรณ์และความถูกต้อง ข้อมูลที่ได้รับจะถูกวิเคราะห์ ข้อสรุปและข้อเสนอแนะถูกร่างขึ้น ผลลัพธ์จะถูกทำให้เป็นทางการและนำเสนอ ในระหว่างการวิเคราะห์ อาจมีการตัดสินใจรวบรวมข้อมูลเพิ่มเติม
จากข้อมูลที่รวบรวมมานั้น เอกสารการปฏิบัติงานจะถูกจัดเตรียมซึ่งประกอบด้วยข้อมูลโดยละเอียดเกี่ยวกับโครงสร้างพื้นฐานด้านไอทีขององค์กร ข้อเสนอแนะได้รับการพัฒนาเพื่อปรับปรุงคุณภาพงานและเพิ่มประสิทธิภาพของโครงสร้างพื้นฐานด้านไอที
รายงานการวิเคราะห์เป็นเอกสารการรายงานการตรวจสอบหลัก ประกอบด้วยคำอธิบายสถานะปัจจุบันของโครงสร้างพื้นฐานด้านไอที เอกสารประกอบการปฏิบัติงาน รายการปัญหาที่ตรวจพบ คำแนะนำสำหรับความทันสมัยและการพัฒนาโครงสร้างพื้นฐานด้านไอที
ขั้นตอนสิ้นสุดด้วยการโอนเอกสารที่พัฒนาแล้วให้กับลูกค้า
ผลลัพธ์
ผลลัพธ์ของการตรวจสอบคือการสร้างชุดเอกสารที่มีข้อมูลโดยละเอียดเกี่ยวกับโครงสร้างพื้นฐานด้านไอที ตลอดจนคำแนะนำในการปรับปรุงคุณภาพงานและเพิ่มประสิทธิภาพในการทำงาน
เอกสารการรายงานหลักคือรายงานการตรวจสอบ ตามกฎแล้วโครงสร้างของมันตกลงกันในขั้นตอนของการพัฒนา TK ประกอบด้วยคำอธิบายเกี่ยวกับสถานะปัจจุบันของโครงสร้างพื้นฐานด้านไอที ข้อสรุปเกี่ยวกับการปฏิบัติตามโครงสร้างพื้นฐานด้านไอทีที่มีงานที่ต้องแก้ไข คำแนะนำสำหรับความทันสมัยและการพัฒนา