การตรวจสอบโครงสร้างพื้นฐานด้านไอที การตรวจสอบไอที - การสำรวจองค์กร การตรวจสอบซอฟต์แวร์ไอที


ส่งคำขอ

หากบริษัทมีแนวคิดว่าควรทำให้กระบวนการทางธุรกิจส่วนหนึ่งหรือส่วนอื่นเป็นอัตโนมัติ ขั้นแรกควรเป็นการตรวจสอบด้านไอที ซึ่งเป็นการวิเคราะห์อิสระเกี่ยวกับการปฏิบัติตามระบบไอทีของบริษัทด้วยมาตรฐานและเกณฑ์ที่กำหนดไว้

การดำเนินการตรวจสอบด้านไอทีขององค์กรเป็นส่วนสำคัญของระบบอัตโนมัติ เป็นการวิเคราะห์ก่อนโครงการที่ช่วยให้เข้าใจว่าส่วนใดของธุรกิจต้องใช้ระบบอัตโนมัติ และการปรับปรุงส่วนใดจะไม่นำไปสู่ผลลัพธ์ที่เป็นบวก

พื้นที่หลักของการตรวจสอบไอทีคือ:

  • โครงสร้างพื้นฐานทางเทคโนโลยี
  • ความปลอดภัยของข้อมูลขององค์กร
  • ระบบข้อมูล;
  • ฝ่ายไอที.

งานหลักของการตรวจสอบไอที

งานหลักของการตรวจสอบข้อมูลคือองค์กรและควบคุมงานของฐานเทคโนโลยีขององค์กร นอกจากนี้ยังสามารถแยกแยะงานต่อไปนี้:

  • ตัวช่วยในการเตรียม
    เอกสาร;
  • การป้องกันและกำจัด
    ความล้มเหลวของระบบ
  • ควบคุมความเสี่ยงด้านไอที
  • ช่วยในทางที่ถูกต้อง
    การจัดการบริษัท

ผลลัพธ์ของการวิเคราะห์ไอทีก่อนโครงการของโครงสร้างพื้นฐานขององค์กร:

  • คุณอาจรู้ว่าสิ่งที่คุณวางแผนที่จะทำให้เป็นอัตโนมัติ
  • คุณรู้ว่าจะต้องใช้เวลานานเท่าใดในการทำให้อัตโนมัติ
  • หลังจากแบบสำรวจก่อนการออกแบบ คุณสามารถเริ่มพัฒนาข้อกำหนดในการอ้างอิงสำหรับการสร้างระบบได้
  • คุณรู้ว่าจะต้องเสียค่าใช้จ่ายเท่าใดในการทำให้องค์กรเป็นแบบอัตโนมัติ
  • สิ่งที่สำคัญที่สุดคือคุณรู้ว่าระบบอัตโนมัติจะให้อะไรและมีเหตุผลทางเศรษฐกิจหรือไม่!

หากบริษัทของคุณมีโครงสร้างพื้นฐานด้านไอทีอยู่แล้ว และคุณวางแผนที่จะขยายโครงสร้างพื้นฐาน การตรวจสอบไอทีก่อนโครงการจะช่วยประเมินความเพียงพอของการใช้โซลูชันบางอย่าง ระบุปัญหาที่อาจเกิดขึ้นเมื่อมีการแนะนำระบบข้อมูลใหม่

พิจารณาว่าในสภาพที่ทันสมัย ​​ระบบอัตโนมัติทางธุรกิจมีบทบาทสำคัญในการแข่งขันและการพัฒนาที่มั่นคงตลอดจนความจริงที่ว่าการปรับปรุงเทคโนโลยีและโซลูชันซอฟต์แวร์อย่างต่อเนื่องบนพื้นฐานของการดำเนินการอัตโนมัติขององค์กร การลงทุนต้องใช้ระบบอัตโนมัติทางธุรกิจในขั้นตอนของการดำเนินการและการดำเนินงาน การวิเคราะห์และการควบคุมโดยการจัดการสถานะของโครงสร้างพื้นฐานด้านไอทีของบริษัทนั้นมีความสำคัญเป็นพิเศษ

ประเภทของการตรวจสอบไอที

ผู้เชี่ยวชาญของบริษัทของเราพร้อมที่จะดำเนินการตรวจสอบด้านไอทีในประเภทต่อไปนี้:

ประเภท

คำอธิบาย

การตรวจสอบโครงสร้างพื้นฐานด้านไอที

การระบุการเสื่อมสภาพของอุปกรณ์ การค้นหาจุดอ่อน และการกำหนดระดับความสำคัญของอุปกรณ์สำหรับธุรกิจ

วิเคราะห์ความสามารถของเจ้าหน้าที่ไอที

สัมภาษณ์ผู้ดูแลระบบ อธิบายความสามารถและความเสี่ยง

แบบสำรวจความพึงพอใจของผู้ใช้

การวิเคราะห์ข้อร้องเรียนและความต้องการของผู้ใช้และการระบุตัวตนบนพื้นฐานของจุดอ่อนในการสื่อสารของบุคลากรด้านเทคนิคกับผู้ใช้

การตรวจสอบ SLA

การวิเคราะห์ข้อตกลงระดับการบริการ คุณภาพของการดำเนินการ (ตามแนวทางปฏิบัติของ ITIL) การเตรียมการ (หากไม่มี)

การตรวจสอบความปลอดภัยของข้อมูล

จัดทำรายงานฉบับสมบูรณ์ตามมาตรฐาน ISO / IEC 27001

รายงานความเสี่ยงที่อาจเกิดขึ้น

รวบรวมเมื่อดำเนินการบริหารความเสี่ยงที่องค์กร

เหตุผลสำหรับค่าใช้จ่ายด้านไอที

การวิเคราะห์ต้นทุนทางตรงและทางอ้อมของโครงสร้างพื้นฐานด้านไอที การจัดโครงสร้างและการให้คำแนะนำ

เราทำงานอย่างไร?

ต้องการอะไร ชี้แจงเป้าหมาย การเลือกตัวเลือกสำหรับการตรวจสอบด้านไอที

พวกเราทำ
การดำเนินงาน

กำลังแสดง การนำเสนอ
ผลลัพธ์

เรากำลังแก้ไขหรือไม่
การพัฒนาแผนปฏิบัติการการดำเนินการตามแผน

ผลการตรวจสอบไอทีเป็นอย่างไร?

  1. คุณได้รับความเห็นการตรวจสอบ
    ณ สถานะปัจจุบัน
    โครงสร้างพื้นฐานด้านไอทีของบริษัทของคุณ
  2. มีแผนการพัฒนาให้
    บริษัทไอที 1-3 ปี
  3. ตามแผนที่วางไว้
    กำลังศึกษารายละเอียดอยู่

ในขณะเดียวกัน ก็ค่อนข้างชัดเจนว่าไม่ใช่ผู้นำทุกคนที่สามารถประเมินอย่างมีวัตถุประสงค์และเพียงพอในประเด็นนี้ ในเรื่องนี้เราสามารถพูดคุยเกี่ยวกับหน้าที่หลักซึ่งได้รับมอบหมายให้ผู้เชี่ยวชาญอิสระดำเนินการตรวจสอบด้านไอที: จัดทำรายงานวัตถุประสงค์เกี่ยวกับการพัฒนาฐานข้อมูลที่เป็นพื้นฐานของระบบสารสนเทศอย่างถูกต้องสำหรับผู้บริหารของ บริษัท ได้ดำเนินการแล้วระบบอัตโนมัติของกระบวนการผลิตและการจัดการได้รับการดำเนินการอย่างมีประสิทธิภาพ บริษัท นอกจากนี้ หนึ่งในคำถามหลัก คำตอบที่ต้องได้รับจากการตรวจสอบด้านไอทีคือ โซลูชันที่นำไปใช้งานในด้านเทคโนโลยีสารสนเทศนั้นสอดคล้องกับธุรกิจของบริษัทและงานที่ต้องเผชิญมากน้อยเพียงใด ในท้ายที่สุด การตรวจสอบโครงสร้างพื้นฐานด้านไอทีจะประเมินผลตอบแทนจากการลงทุนในระบบอัตโนมัติ ซึ่งเป็นวิธีที่เป็นไปได้ในการเพิ่มประสิทธิภาพการทำงานอัตโนมัตินี้

เหตุใดจึงควรสั่งซื้อการตรวจสอบด้านไอที

เฉพาะผู้เชี่ยวชาญอิสระเท่านั้นที่สามารถให้ภาพที่แท้จริงของสถานะปัจจุบันของซอฟต์แวร์ดิจิทัลและฮาร์ดแวร์ขององค์กรได้ พนักงานของตัวเองไม่ได้มีวัตถุประสงค์ในการวิเคราะห์ไอทีเสมอไป เนื่องจากพวกเขาอาจมีความสนใจส่วนตัวบางอย่างเพื่อ:


  • ซ่อนข้อบกพร่องในงานของตนเอง
  • รับประโยชน์จากการซื้อส่วนประกอบฮาร์ดแวร์และซอฟต์แวร์จากผู้จำหน่ายเฉพาะราย - แม้ว่าความจำเป็นในการซื้อจะไม่ปรากฏชัดหรือขาดหายไปก็ตาม

ในกรณีของการตรวจสอบโครงสร้างพื้นฐานด้านไอทีอย่างอิสระ จะไม่รวมความแตกต่างดังกล่าว ผู้เชี่ยวชาญจะประเมินสถานะของเครือข่ายองค์กร เวิร์กสเตชัน และอุปกรณ์สื่อสารอย่างครอบคลุม และให้ความเห็นอย่างเป็นกลางพร้อมคำแนะนำเฉพาะ

การวิเคราะห์โครงสร้างพื้นฐานด้านไอทีมีความเกี่ยวข้องโดยเฉพาะกับการขยายธุรกิจ จำเป็นต้องคาดการณ์และกำหนดข้อกำหนดสำหรับประสิทธิภาพในอนาคตล่วงหน้า ตลอดจนระดับความปลอดภัย ความน่าเชื่อถือ และความน่าเชื่อถือ โดยคำนึงถึงภาระที่เพิ่มขึ้น

ตัวอย่างเช่น ในประเทศที่พัฒนาแล้วของยุโรป การวิเคราะห์องค์กรไอทีถือเป็นมาตรการบังคับ ซึ่งพฤติกรรมจะดำเนินการเป็นระยะๆ ในประเทศของเรา การตรวจสอบโครงสร้างพื้นฐานด้านไอทีได้รับคำสั่งเป็นหลักเป็นงานเบื้องต้นในการสร้างความทันสมัยใหม่หรือซับซ้อนและการเพิ่มประสิทธิภาพของโครงสร้างพื้นฐานข้อมูลที่มีอยู่ของบริษัท ในกรณีนี้ นี่เป็นมาตรการที่จำเป็นจริงๆ เนื่องจากเป็นการตรวจสอบด้านไอทีที่ช่วยให้คุณกำหนดเกณฑ์และข้อกำหนดหลักที่ต้องปฏิบัติตามโดยระบบอัตโนมัติทางธุรกิจที่มีประสิทธิภาพในแต่ละกรณี ข้อมูลเหล่านี้เป็นข้อมูลพื้นฐานสำหรับการพัฒนาการกำหนดค่าของระบบในอนาคต ทำให้สามารถเสนอและเห็นด้วยกับลูกค้าเกี่ยวกับตัวเลือกที่เป็นไปได้ ในเรื่องนี้ โซลูชันที่เหมาะสมที่สุดสามารถนำมาพิจารณาได้หากการตรวจสอบด้านไอทีและระบบอัตโนมัติของโครงสร้างพื้นฐานขององค์กรดำเนินการโดยผู้ปฏิบัติงานเพียงคนเดียว ซึ่งจะให้แนวทางที่เป็นรายบุคคลและครอบคลุมในการแก้ปัญหานี้

โปรแกรม "การตรวจสอบไอที: ผู้ตรวจสอบ"

โปรแกรม " การตรวจสอบไอที: ผู้ตรวจสอบ ”เป็นผู้ออกแบบสำหรับการพัฒนาวิธีการตรวจสอบ โดยเสนอเครื่องมือที่ยืดหยุ่นแก่ผู้ตรวจสอบเพื่อช่วยในการดำเนินการตรวจสอบ โปรแกรม " การตรวจสอบไอที: ผู้ตรวจสอบ "จัดให้มีระบบอัตโนมัติของกิจกรรมของสำนักงานตรวจสอบที่เกี่ยวข้องกับการดำเนินการตรวจสอบขององค์กรธุรกิจ

โปรแกรม " การตรวจสอบไอที: ผู้ตรวจสอบบัญชี "ได้รับการพัฒนาโดยคำนึงถึงข้อกำหนดของมาตรฐานการตรวจสอบระหว่างประเทศ (มติของรัฐบาลสหพันธรัฐรัสเซียเมื่อวันที่ 23 กันยายน 2545 ฉบับที่ 696)

เมื่อทำการตรวจสอบองค์กรขนาดเล็ก (ระยะเวลาตรวจสอบ - 5 วัน) แอปพลิเคชันของโปรแกรม " การตรวจสอบไอที: ผู้ตรวจสอบ "อนุญาตให้คุณวางแผนในเชิงคุณภาพ ดำเนินการ และบันทึกขั้นตอนการตรวจสอบที่ดำเนินการและผลการตรวจสอบ เมื่อทำการตรวจสอบในองค์กรขนาดกลางและขนาดใหญ่ - เพื่อลดเวลาในการดำเนินการตรวจสอบ 10-30%

โปรแกรมให้:

1) เก็บรักษาหนังสืออ้างอิงเกี่ยวกับวิธีการตรวจสอบ

2) การเก็บบันทึกของลูกค้า;

3) การสื่อสารกับลูกค้า

4) การบัญชีของสัญญาสรุป;

5) การนำเข้าข้อมูลบัญชีลูกค้า

6) การวางแผนการตรวจสอบ

7) การก่อตัวของการตรวจสอบ;

8) จัดทำแผนการตรวจสอบ

9) จัดทำแผนงานการตรวจประเมิน

10) คำอธิบายธุรกรรมทางธุรกิจของลูกค้า;

11) การคำนวณระดับความสำคัญ

12) การสุ่มตัวอย่างและการวิเคราะห์ผลลัพธ์

13) เวทีของผู้สอบบัญชี (การสื่อสารของผู้สอบบัญชี);

14) การก่อตัวของข้อมูลสรุปเกี่ยวกับการละเมิดที่พบ;

15) การก่อตัวของการรายงานทางเลือก;

16) การควบคุมคุณภาพการตรวจสอบ Kovaleva O.V. การตรวจสอบ ตำรา / ศ. โอ.วี. โควาเลวา, ยู.พี. คอนสแตนตินอฟ - M.: PRIOR, 2008 .-- p. 128 ..

โปรแกรม " การตรวจสอบไอที: ผู้ตรวจสอบบัญชี "อนุญาตให้คุณจัดระเบียบข้อมูลเกี่ยวกับลูกค้าของสำนักงานตรวจสอบบัญชี (ไม่จำกัดจำนวน) เพื่อเก็บข้อมูลเกี่ยวกับรายละเอียดของลูกค้า ที่อยู่จริงและทางกฎหมาย ผู้ติดต่อ การเจรจากับลูกค้า สัญญาที่ตกลงกันไว้ บุคคลที่รับผิดชอบ ทำงานกับไคลเอนต์ ฯลฯ โปรแกรมอนุญาตให้จัดเรียงไคลเอนต์ตามพารามิเตอร์ต่าง ๆ ที่กำหนดลักษณะพวกเขา

ข้อมูลลูกค้าถูกเก็บไว้ในที่เหมาะสม ไดเรกทอรีลูกค้า ... ไดเรกทอรีลูกค้ายังมีข้อมูลเกี่ยวกับพนักงานขององค์กรที่ได้รับการตรวจสอบ

ข้อมูลเกี่ยวกับสัญญาที่ทำกับลูกค้าสามารถป้อนลงในฐานข้อมูลของระบบได้

ในโปรแกรม มีการสนับสนุนระเบียบวิธีการตรวจสอบที่สำคัญ และการสนับสนุนสามารถทำได้ทั้งโดยนักพัฒนาและโดยสำนักงานตรวจสอบเอง

โปรแกรม " การตรวจสอบไอที: ผู้สอบบัญชี "รวมถึงหนังสืออ้างอิงต่อไปนี้:

1) วัตถุตรวจสอบ (ส่วนการตรวจสอบ);

2) ขั้นตอนการตรวจสอบ

3) การละเมิดที่อาจเกิดขึ้น

4) การดำเนินงานทั่วไป

โปรแกรมช่วยให้คุณสร้างความสัมพันธ์ระหว่างขั้นตอนการตรวจสอบและการละเมิด วัตถุ (งาน) ของขั้นตอนการตรวจสอบและการตรวจสอบ ความสัมพันธ์ถูกสร้างขึ้นโดยใช้หนังสืออ้างอิง

ไดเร็กทอรีของอ็อบเจ็กต์ (ส่วน) ของการตรวจสอบเป็นไดเร็กทอรีหลัก และไดเร็กทอรีของขั้นตอนการตรวจสอบ การละเมิดที่อาจเกิดขึ้น และธุรกรรมทางธุรกิจทั่วไปนั้นรองลงมา

หนังสืออ้างอิง "ขั้นตอนการตรวจสอบ" ใช้ในรูปแบบของโปรแกรมการตรวจสอบและมีเทมเพลตเอกสารการทำงานของผู้ตรวจสอบซึ่งกรอกในระหว่างการตรวจสอบ ส่วนสำคัญของเอกสารการทำงานสามารถกรอกข้อมูลการบัญชีลูกค้าอัตโนมัติได้ เมื่อใช้คู่มือนี้ สามารถสร้างความเข้มแรงงานพื้นฐานของขั้นตอนการตรวจสอบที่เกี่ยวข้องได้ ขั้นตอนการตรวจสอบ - ลำดับและลำดับการดำเนินการของผู้สอบบัญชีเพื่อให้ได้หลักฐานการตรวจสอบที่จำเป็นในพื้นที่ตรวจสอบเฉพาะ (วัตถุตรวจสอบ)

ไดเรกทอรีที่อาจละเมิดมีชื่อและคำอธิบายของการละเมิดที่อาจเกิดขึ้น หากตรวจพบการละเมิดในองค์กรที่ตรวจสอบแล้ว ระบบจะใช้สมุดอ้างอิงในการสร้างรายงานของผู้ตรวจสอบบัญชี

จำเป็นต้องพิจารณาว่าโปรแกรมดำเนินการตามข้อกำหนดพื้นฐานของกฎหมายของรัฐบาลกลางอย่างไร

กฎ (มาตรฐาน) หมายเลข 2 "การจัดทำเอกสารการตรวจสอบ"

โปรแกรม " การตรวจสอบไอที: ผู้ตรวจสอบ "ให้โอกาสแก่ผู้ตรวจสอบในการจัดทำเอกสารหลักฐานที่ได้รับระหว่างการตรวจสอบ สร้างเอกสารการทำงานที่จำเป็น เพื่อให้สอดคล้องกับกฎของรัฐบาลกลาง (มาตรฐาน) ของการตรวจสอบ จัดเก็บและสำรอง ดูและพิมพ์

ข้อกำหนดที่กำหนดของมาตรฐานได้รับการปฏิบัติตามโดยโปรแกรมเนื่องจากการกรอกแบบฟอร์มต่อไปนี้: "การวางแผนการตรวจสอบ", "แผนการตรวจสอบ", "โปรแกรมตรวจสอบ", "การกำหนดการตรวจสอบ", "คำอธิบายของการดำเนินธุรกิจของลูกค้า"

ข้อมูลที่ได้รับระหว่างการตรวจสอบจะถูกเก็บไว้ในส่วนต่อไปนี้:

1) ข้อมูลทั่วไปเกี่ยวกับลูกค้า

2) ข้อมูลที่เกี่ยวข้องกับข้อตกลงที่สรุป;

3) ข้อมูลที่เกี่ยวข้องกับช่วงเวลาที่จะมีการแสดงความเห็นของผู้สอบบัญชี

4) ข้อมูลที่เกี่ยวข้องกับช่วงเวลาเฉพาะของการตรวจสอบ

โปรแกรมสร้างความแตกต่างของสิทธิ์ในการเข้าถึงข้อมูลในบริบทของลูกค้า ทำให้มั่นใจได้ว่าการจัดเก็บข้อมูลบนไคลเอนต์และขั้นตอนการตรวจสอบมีความน่าเชื่อถือ

กฎ (มาตรฐาน) หมายเลข 3 "การวางแผนการตรวจสอบ"

ในโปรแกรม " การตรวจสอบไอที: ผู้ตรวจสอบ "วางแผนการตรวจสอบเพื่อให้ดำเนินการอย่างมีประสิทธิภาพในโปรแกรมการตรวจสอบและแบบฟอร์ม" คำอธิบายธุรกรรมทางธุรกิจ "

เป็นไปได้ที่จะจัดทำแผนการตรวจสอบโดยละเอียดในโปรแกรมการตรวจสอบ ซึ่งพิจารณาถึงขั้นตอนการตรวจสอบที่ใช้ การกระจายในหมู่พนักงานและลำดับของการดำเนินการ กำหนดความเข้มข้นของแรงงานตามแผนและตามจริงของการปฏิบัติตามขั้นตอนการตรวจสอบ คำอธิบายของ ขั้นตอนการติดตามความคืบหน้าของการตรวจสอบ ในขณะเดียวกันก็ได้รับอนุญาตให้ทำการเปลี่ยนแปลงตลอดเวลาของการตรวจสอบ

กฎ (มาตรฐาน) หมายเลข 4 "วัสดุในการตรวจสอบ"

โปรแกรม " การตรวจสอบไอที: ผู้ตรวจสอบ "อนุญาตให้คุณคำนวณสาระสำคัญได้หลายวิธี: โดยทั่วไป สำหรับการรายงาน เพื่อแจกจ่ายไปยังบัญชีทางการบัญชีในบริบทของสาระสำคัญ:

1) โดยเดบิตของบัญชี;

2) มูลค่าการซื้อขายเดบิตของบัญชี

3) มูลค่าการซื้อขายเครดิตของบัญชี;

4) เครดิตของบัญชี

การเลือกขั้นตอนการตรวจสอบอยู่ในรูปแบบ "โปรแกรมตรวจสอบ" และ "คำอธิบายธุรกรรมทางธุรกิจ" สรุปข้อมูลที่ขัดต่อข้อเท็จจริงที่ไม่ได้รับการแก้ไขโดยรวมในรูปแบบ "การรายงานทางเลือก"

กฎ (มาตรฐาน) หมายเลข 7 "การควบคุมคุณภาพการตรวจสอบภายใน"

หัวหน้าฝ่ายตรวจสอบจะได้รับโอกาสในการติดตามความคืบหน้าของการตรวจสอบ สร้างงานและแสดงความคิดเห็นในรูปแบบ "คำอธิบายธุรกรรมทางธุรกิจ" "โปรแกรมตรวจสอบ" "การสื่อสารของผู้ตรวจสอบบัญชี"

ในรูปแบบ "คำอธิบายธุรกรรมทางธุรกิจ", "โปรแกรมตรวจสอบ", "การสื่อสารของผู้ตรวจสอบบัญชี" มีความเป็นไปได้ของคำอธิบายโดยละเอียดเกี่ยวกับการดำเนินการของผู้ตรวจสอบบัญชีและผู้ช่วยของพวกเขาเมื่อปฏิบัติงานที่ได้รับมอบหมาย รวมถึงการแนบเอกสารการทำงานกับ จะแล้วเสร็จ

ขณะนี้งานกำลังดำเนินการเพื่อรวมกฎเกณฑ์ใหม่ (มาตรฐาน) ไว้ในโปรแกรม

ในรูปแบบของ "การดำเนินการสำรวจตัวอย่าง" ผู้ตรวจสอบบนพื้นฐานของประชากรที่ได้รับการตรวจสอบ (ทั่วไป) สามารถเลือกองค์ประกอบที่เกินระดับของสาระสำคัญ องค์ประกอบหลัก และสร้างกลุ่มตัวอย่างในรูปแบบต่างๆ

ผู้สอบบัญชียังได้รับโอกาสในการวิเคราะห์ธุรกรรมทางธุรกิจของลูกค้า นำเสนอในรูปแบบ "คำอธิบายธุรกรรมทางธุรกิจ" เพื่อกำหนดวิธีการตรวจสอบธุรกรรม (การตรวจสอบที่มั่นคง การตรวจสอบแบบสุ่ม ความล้มเหลวในการดำเนินการตรวจสอบ การยืนยันระดับต่ำ ระดับความเสี่ยง)

สร้างขึ้นในโปรแกรม " การตรวจสอบไอที: วิธีการกรอง (การเลือก) ของผู้สอบบัญชีช่วยให้คุณสามารถแบ่งชั้นข้อมูลตามเกณฑ์ใด ๆ ที่มีความเป็นไปได้ในการอัปโหลดข้อมูลในภายหลังเพื่อการศึกษาตัวอย่างหรือกรอกเอกสารการทำงานของผู้สอบบัญชี

โปรแกรมช่วยให้ผู้ตรวจสอบประเมินข้อผิดพลาดที่ระบุระหว่างการตรวจสอบกับประชากรทั่วไปทั้งหมด

ประโยชน์ของการใช้โปรแกรมการตรวจสอบอัตโนมัติ:

· โปรแกรมขายและสนับสนุนโดยตรงโดยนักพัฒนา (ไม่มีตัวกลาง) ซึ่งช่วยลดต้นทุนของผู้ซื้อสำหรับการซื้อโปรแกรมและการบำรุงรักษาในภายหลัง

· ครอบคลุมทุกด้านของธุรกิจการตรวจสอบ (การจ้างงานของพนักงาน การจัดระเบียบงานตามสัญญา บันทึกลูกค้า การวางแผนการตรวจสอบ การทำงานใน "ภาคสนาม" ฯลฯ)

· อนุญาตให้คุณจัดระบบข้อมูลทั้งหมดตามผลการตรวจสอบ ความเป็นไปได้ในการเก็บถาวร และการเข้าถึงข้อมูลในภายหลัง

· ใช้กันอย่างแพร่หลายโดยบริษัทตรวจสอบบัญชีหลายร้อยแห่ง (ตั้งแต่บริษัทในสิบอันดับแรกไปจนถึงบริษัทตรวจสอบบัญชีขนาดเล็กและผู้ตรวจสอบบัญชีรายบุคคล)

· เป็นผู้ออกแบบและอนุญาตให้ผู้ใช้ปรับแต่งวิธีการตรวจสอบได้อย่างอิสระ

· มีแม่แบบเอกสารการทำงานของผู้สอบบัญชีจำนวนมาก

· ให้วิธีการที่สะดวกในการโหลดเข้าสู่โปรแกรมสำหรับการตรวจสอบข้อมูลทางบัญชีโดยอัตโนมัติจากโปรแกรมบัญชีทั่วไป: 1C Enterprise 7.7 (8.1) เป็นต้น

· ให้คุณกรอกเอกสารการทำงานของผู้สอบบัญชีด้วยข้อมูลการบัญชีโดยอัตโนมัติ

· ประกอบด้วยเทมเพลตของการละเมิดที่อาจเกิดขึ้น รวมถึงเครื่องมือสำหรับการกรอกข้อมูลด้วยตนเองโดยผู้ใช้

วิธีการต่าง ๆ ของการวิจัยตัวอย่างทางสถิติมีให้: วิธีสุ่มที่เหมาะสม (ซ้ำและไม่ซ้ำ) กลไก (ระบบ) วิธีสุ่มที่เหมาะสมทางการเงิน (ซ้ำและไม่ซ้ำ)

· ไฟล์ถาวร (ตัวแปร) ถูกสร้างขึ้นโดยอัตโนมัติตามผลการตรวจสอบ

· มีอินเทอร์เฟซที่ใช้งานง่าย เอกสารที่พัฒนาขึ้นจำนวนมากสำหรับโปรแกรมและสื่อการฝึกอบรม (วิดีโอ Flash) ซึ่งช่วยให้คุณเริ่มต้นได้อย่างรวดเร็ว Kovaleva O.V. การตรวจสอบ ตำรา / ศ. โอ.วี. โควาเลวา, ยู.พี. คอนสแตนตินอฟ - M.: PRIOR, 2008 .-- p. 135 ..

การประยุกต์ใช้โปรแกรมการตรวจสอบอัตโนมัติให้:

· การจัดระบบงานระเบียบวิธี;

· การจัดแผนการตรวจสอบที่มีประสิทธิภาพ

· การปรับปรุงคุณภาพของการตรวจสอบ

· เพิ่มการควบคุมการปฏิบัติงานและภายหลังการตรวจสอบ

· ลดความเข้มข้นของแรงงานในการตรวจสอบ

· การปฏิบัติตามมาตรฐานการตรวจสอบ

· เพิ่มความสามารถในการบริหารจัดการของบริษัท;

· ความแตกต่างของสิทธิ์การเข้าถึงวัสดุของการตรวจสอบ

· การจัดระบบและการจัดเก็บข้อมูล

การพัฒนาระบบสารสนเทศก่อให้เกิดประโยชน์ที่ชัดเจนแก่บริษัท อย่างไรก็ตาม หากใช้อย่างไม่ถูกต้อง สิ่งเหล่านี้จะกลายเป็นแหล่งที่มาของความเสี่ยงเฉพาะ การดำเนินการดังกล่าวไม่เพียงแต่จะลดผลกระทบของการนำเทคโนโลยีมาใช้ให้น้อยที่สุดเท่านั้น แต่ยังก่อให้เกิดความสูญเสียที่สำคัญอีกด้วย การตรวจสอบไอทีช่วยให้คุณสามารถระบุความเสี่ยงเหล่านี้ ประเมินประสิทธิภาพของระบบไอทีและเลือกพื้นที่สำหรับการปรับปรุง

ในอดีต คำว่า "ความเสี่ยงด้านเทคโนโลยีสารสนเทศ" หรือ "ความเสี่ยงด้านไอที" หมายถึงแนวโน้มที่จะเกิดเหตุการณ์เชิงลบอันเนื่องมาจากการใช้ภัยคุกคามด้านความปลอดภัยของข้อมูลที่เฉพาะเจาะจง เช่น ไวรัส การโจมตีของแฮ็กเกอร์ การขโมยข้อมูล และการทำลายอุปกรณ์โดยเจตนา อย่างไรก็ตาม ในช่วงไม่กี่ปีที่ผ่านมา การตีความคำศัพท์นี้ได้ขยายออกไปอย่างมาก และไม่ได้คำนึงถึงความเสี่ยงด้านความปลอดภัยของข้อมูลเท่านั้น แต่ยังรวมถึงความเสี่ยงในการไม่บรรลุเป้าหมายของการใช้เทคโนโลยีสารสนเทศเพื่อปรับปรุงประสิทธิภาพของกิจกรรมหลักด้วย

ความเสี่ยงเหล่านี้เกิดขึ้นทั้งในขั้นตอนการสร้างระบบสารสนเทศและในกระบวนการดำเนินงาน เมื่อออกแบบ จัดทำเอกสาร พัฒนาและนำระบบสารสนเทศไปใช้ สิ่งเหล่านี้เกิดขึ้นเนื่องจาก:

  • การเลือกโซลูชันระบบอัตโนมัติที่ไม่เหมาะสม
  • ข้อผิดพลาดในการออกแบบ
  • การละเมิดเงื่อนไขและงบประมาณโดยประมาณของโครงการ
  • ความไม่สอดคล้องกันระหว่างโครงสร้างพื้นฐานและระบบอัตโนมัติ
  • ข้อผิดพลาดทางเทคนิคและองค์กรระหว่างการติดตั้งระบบ ในขั้นตอนการทำงานของระบบสารสนเทศ ปัจจัยเสี่ยงที่สำคัญสำหรับความล้มเหลวในการบรรลุเป้าหมายคือ:
  • ปฏิสัมพันธ์ที่ไม่มีประสิทธิภาพระหว่างธุรกิจและไอทีในการกำหนดระดับการสนับสนุนที่เหมาะสมที่สุด
  • ความล้มเหลวในการใช้เทคโนโลยีอย่างเต็มศักยภาพ
  • เป็นไปไม่ได้ที่จะจัดให้มีการบำรุงรักษาและพัฒนาระบบในระดับที่ยอมรับได้มากที่สุด
  • ขั้นตอนการบำรุงรักษาและเหตุฉุกเฉินที่ไม่เหมาะสม
  • ข้อผิดพลาดในการคำนวณภาระขององค์ประกอบโครงสร้างพื้นฐานและเจ้าหน้าที่บำรุงรักษา

เพื่อหลีกเลี่ยงภัยคุกคามดังกล่าว องค์กรจำเป็นต้องสร้างระบบที่ซับซ้อนที่รวมการจัดการความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในทั้งในระดับของกิจกรรมหลักและในระดับของเทคโนโลยีสารสนเทศที่รองรับ นั่นคือระบบไอที ระดับวุฒิภาวะของโครงสร้างนี้พิจารณาจากความสามารถในการรับรองในระดับที่เหมาะสมว่ามีการใช้เทคโนโลยีสารสนเทศอย่างมีประสิทธิผล มีเหตุผล และปลอดภัย เพื่อวัตถุประสงค์ของกิจกรรมหลัก ยิ่งระดับวุฒิภาวะสูงเท่าใด ระดับความเสี่ยงด้านไอทีก็จะยิ่งต่ำลง และการใช้เทคโนโลยีสารสนเทศก็มีประสิทธิภาพมากขึ้น เมื่อสร้างระบบไอที เราควรพึ่งพาเกณฑ์ (มาตรฐาน) ที่มีอยู่แล้วและเป็นที่ยอมรับโดยทั่วไป กว่า 30 ปีของการพัฒนาวิทยาศาสตร์การจัดการไอที สถาบันชั้นนำระหว่างประเทศ (ISACA, OGC, ISO) ได้พัฒนาชุดข้อกำหนดโดยละเอียดในรูปแบบของการรวบรวมแนวปฏิบัติที่ดีที่สุด (เช่น ITIL) และมาตรฐานแบบเปิด (CobiT, ISO 20000 เป็นต้น)

กระบวนการไอทีเป็นออบเจ็กต์การตรวจสอบที่สำคัญ

มาตรฐานสากลสำหรับการจัดการและการตรวจสอบในด้านเทคโนโลยีสารสนเทศ แนะนำให้ประเมินระบบไอทีในแง่ของจำนวนทั้งหมดของลำดับชั้นของกระบวนการไอที วัตถุประสงค์ในการควบคุมโดยละเอียดและขั้นตอนการปฏิบัติงานมาตรฐานเพื่อกำหนดความสอดคล้องของระบบด้วยภารกิจลดขนาด ความเสี่ยง เพื่อจุดประสงค์นี้ กระบวนการด้านไอทีต้องอาศัยความเชี่ยวชาญโดยละเอียด ซึ่งมีหน้าที่ในการลดความเสี่ยงด้านไอทีระดับสูงมากกว่า 30 รายการ ส่วนของรายการความเสี่ยงด้านไอทีและกระบวนการต่างๆ ที่ดำเนินกิจกรรมเพื่อย่อให้เล็กสุดถูกนำเสนอในตาราง 1. กิจกรรมนี้พิจารณาทั้งในประเด็นเฉพาะของแต่ละกระบวนการและองค์ประกอบมาตรฐานของการจัดการกระบวนการ กล่าวคือ

  • การกระจายความรับผิดชอบระหว่างผู้บริหารทุกระดับและให้แน่ใจว่ามีปฏิสัมพันธ์ที่เพียงพอระหว่างพวกเขา
  • ความพร้อมใช้งานและประสิทธิภาพของกลไกในการรักษาความสามารถของบุคลากรในระดับที่ต้องการ
  • รักษาเอกสารกระบวนการที่สมบูรณ์และเป็นปัจจุบันในทุกระดับ
  • ความพร้อมใช้งานและความสมบูรณ์ของกลไกสำหรับการวัดประสิทธิภาพและการสร้างการรายงานภายในสำหรับกระบวนการไอทีแต่ละขั้นตอน ซึ่งช่วยให้การจัดการบริการไอทีสามารถประเมินระดับความสำเร็จของตัวบ่งชี้เป้าหมาย และส่งผลให้การตัดสินใจด้านการจัดการมีประสิทธิผล
  • ความพร้อมของขั้นตอนสำหรับการตรวจสอบการปฏิบัติงานของกิจกรรมปัจจุบัน การตรวจสอบให้แน่ใจว่าผู้จัดการสายงานสามารถระบุความล้มเหลวในการปฏิบัติงานได้ทันท่วงที ตัวอย่างเช่น การไม่ปฏิบัติตามโดยพนักงานที่มีขั้นตอนปกติ
  • ความพร้อมของขั้นตอนการแลกเปลี่ยนข้อมูลระหว่างกระบวนการไอทีที่เกี่ยวข้อง
  • วิธีการและเครื่องมือพิเศษในการปรับปรุงประสิทธิภาพของกิจกรรม เช่น การใช้เครื่องมืออัตโนมัติสำหรับการลงทะเบียนและการบัญชีสำหรับคำขอของผู้ใช้
  • การปรับปรุงกิจกรรมตามการวิเคราะห์ประสิทธิภาพในปัจจุบันและแผนการพัฒนาเทคโนโลยีสารสนเทศ
ตารางที่ 1

กระบวนการไอที

สัญญาณที่เป็นไปได้ของสถานการณ์เสี่ยง

การวางแผนไอทีเชิงกลยุทธ์

ในขั้นตอนการวางแผนธุรกิจเชิงกลยุทธ์ จะไม่มีการพิจารณาประเด็นของกลยุทธ์ด้านไอที ซึ่งไม่อนุญาตให้ปรับการทำงานของแผนกไอทีในเชิงรุกให้เหมาะสมสำหรับความต้องการทางธุรกิจจริง

การวางแผนเชิงกลยุทธ์ของกิจกรรมด้านไอทีจะดำเนินการตามความจำเป็นเพื่อตอบสนองความต้องการทางธุรกิจที่เฉพาะเจาะจง ดังนั้นผลลัพธ์จึงเป็นระยะๆ และไม่สอดคล้องกัน ประเด็นการวางแผนเชิงกลยุทธ์บางครั้งมีการหารือในการประชุมเฉพาะที่ระดับการจัดการแผนกไอที ไม่ใช่ที่หัวหน้าหน่วยธุรกิจ การปรับแอปพลิเคชันและเทคโนโลยีให้ตรงกับความต้องการของธุรกิจเป็นการตอบสนองต่ออิทธิพลภายนอก เช่น ต่อข้อเสนอของซัพพลายเออร์ และไม่ได้อิงตามกลยุทธ์ที่บริษัทพัฒนาขึ้น การประเมินความเสี่ยงเชิงกลยุทธ์ไม่ได้เป็นทางการและดำเนินการจากโครงการหนึ่งไปอีกโครงการหนึ่ง

การวางแผนสถาปัตยกรรมไอที

โครงสร้างของระบบข้อมูลไม่ได้รับการปรับให้เหมาะสม ซึ่งจะเพิ่มความซ้ำซ้อนของข้อมูล (ความซ้ำซ้อน) ในระบบองค์กร และยังลดระดับความเข้ากันได้ของระบบและแอปพลิเคชัน

มีการพัฒนาองค์ประกอบของโครงสร้างข้อมูลอย่างกระจัดกระจาย มีการนำสคีมาข้อมูล เอกสารประกอบ และกฎไวยากรณ์ข้อมูลไปใช้บางส่วน คำจำกัดความเกี่ยวข้องกับข้อมูลมากกว่าข้อมูล และขับเคลื่อนโดยคำแนะนำจากผู้จำหน่ายแอปพลิเคชัน การอธิบายความจำเป็นของสถาปัตยกรรมข้อมูลให้กับพนักงานนั้นเป็นเรื่องวุ่นวายและจับจด

การบริหารงานบุคคล

นโยบายเกี่ยวกับการสรรหาและการเก็บรักษา (แรงจูงใจ) ของบุคลากรที่มีคุณสมบัติไม่ได้รับการปรับให้เหมาะสมซึ่งไม่อนุญาตให้รับประกันการมีส่วนร่วมสูงสุดของบุคลากรต่อผลลัพธ์ของกิจกรรมไอที

มีการใช้วิธีการที่ไม่เป็นทางการในการสรรหาและจัดการบุคลากร ซึ่งขับเคลื่อนโดยความต้องการของโครงการเฉพาะมากกว่าทิศทางของการพัฒนาเทคโนโลยีและความสมดุลของข้อเสนอของพนักงานที่มีคุณสมบัติภายในองค์กรและภายนอก มีการฝึกอบรมพนักงานใหม่อย่างไม่เป็นทางการ

การจัดการโครงการ

แนวทางการบริหารโครงการไม่ได้รับการปรับให้เหมาะสม ซึ่งนำไปสู่การไม่ปฏิบัติตามภาระผูกพันในแง่ของเวลาและต้นทุนของงาน การตัดสินใจใช้วิธีการและแนวทางในการจัดการโครงการในด้านไอทีนั้นขึ้นอยู่กับดุลยพินิจของผู้จัดการแต่ละราย

การตัดสินใจในการจัดการโครงการขั้นพื้นฐานเกิดขึ้นโดยไม่มีการจัดการผู้ใช้หรือข้อมูลพื้นฐานของลูกค้า ลูกค้าและผู้ใช้ไม่ได้มีส่วนร่วมในคำจำกัดความของโครงการไอทีหรือการมีส่วนร่วมของพวกเขาไม่มีนัยสำคัญ โครงการไอทีมีการจัดระเบียบไม่ดี: ไม่ได้กำหนดบทบาทและความรับผิดชอบของผู้เข้าร่วม เช่นเดียวกับกำหนดการของโครงการ ต้นทุนแรงงานจะไม่ถูกติดตาม

การเข้าซื้อกิจการโครงสร้างพื้นฐานด้านไอที

การได้มาและการบำรุงรักษาโครงสร้างพื้นฐานด้านไอทีไม่ได้รับการปรับให้เหมาะสมและเป็นมาตรฐาน ระหว่างการดำเนินการ ส่งผลให้ประสิทธิภาพของระบบลดลงและความเสี่ยงด้านความปลอดภัยเกิดขึ้นจากข้อมูลและโปรแกรมที่จัดเก็บไว้ในระบบ

สำหรับแอปพลิเคชันใหม่แต่ละรายการ มีการเปลี่ยนแปลงโครงสร้างพื้นฐานโดยไม่มีแผนทั่วไปใดๆ มีการจัดบริการเพื่อตอบสนองความต้องการระยะสั้น สภาพแวดล้อมการทดสอบคือสภาพแวดล้อมการผลิต การได้มาและการบำรุงรักษาโครงสร้างพื้นฐานด้านไอทีไม่ได้ขึ้นอยู่กับกลยุทธ์เฉพาะใดๆ และไม่คำนึงถึงความต้องการของแอปพลิเคชันทางธุรกิจที่จำเป็นต้องได้รับการสนับสนุน ตารางการบำรุงรักษายังไม่ได้รับการพัฒนาอย่างเต็มที่และกิจกรรมต่างๆ ไม่ได้รับการประสานงาน

การจัดการผู้ให้บริการ

ไม่มีความสัมพันธ์ทางสัญญา (ข้อตกลง) ที่ชัดเจนกับผู้ให้บริการด้านไอที รวมถึงการกำหนดบทบาท ความรับผิดชอบ และความคาดหวัง ตลอดจนการตรวจสอบและติดตามข้อตกลงที่เกี่ยวข้องในแง่ของประสิทธิภาพและการปฏิบัติตามข้อกำหนด ซึ่งจะเพิ่มความเสี่ยงต่อความเสียหายในกรณีที่ซัพพลายเออร์ผิดนัด

ไม่มีนโยบายและขั้นตอนที่เป็นทางการสำหรับการทำสัญญากับบุคคลที่สาม การประเมินกิจกรรมขององค์กรบุคคลที่สามไม่ได้ดำเนินการ บุคคลที่สามไม่ได้จัดทำรายงาน ในกรณีที่ไม่มีภาระหน้าที่ในการรายงาน ผู้บริหารระดับสูงไม่มีความรู้เกี่ยวกับคุณภาพของบริการที่มีให้ ไม่มีข้อกำหนดมาตรฐานของสัญญากับผู้ให้บริการ การประเมินบริการที่จัดให้นั้นดำเนินการตามอำเภอใจและเป็นชิ้นเป็นอัน วิธีการนี้ขึ้นอยู่กับประสบการณ์ของแต่ละบุคคลและซัพพลายเออร์ (เช่น ตามคำขอ)

การจัดการความต่อเนื่อง

ไม่มีแนวทางที่เป็นทางการในการสร้างแผน (การบำรุงรักษาและการทดสอบ) เพื่อให้มั่นใจว่ากิจกรรมด้านไอทีมีความต่อเนื่อง (รวมถึงแผนสำหรับการจัดเก็บข้อมูลสำรอง) ซึ่งทำให้มีความเป็นไปได้สูงที่การหยุดชะงักที่สำคัญในการจัดหาบริการด้านไอทีในพื้นที่สำคัญและกระบวนการทางธุรกิจ เกิดขึ้นในกรณีฉุกเฉิน

ปฏิกิริยาต่อการละเมิดที่สำคัญไม่ได้คิดออกหรือเตรียมไว้ล่วงหน้า การปิดระบบตามแผนมีการปฏิบัติเพื่อตอบสนองความต้องการของบริการด้านไอทีโดยไม่คำนึงถึงการปฏิบัติตามข้อกำหนดทางธุรกิจ แนวทางความต่อเนื่องของบริการไม่สมบูรณ์และกระจัดกระจาย ข้อมูลที่เข้ามาเกี่ยวกับความพร้อมใช้งานของระบบไม่ได้คำนึงถึงสถานะของธุรกิจ ไม่มีการสนับสนุนเอกสารสำหรับการดำเนินการของผู้ใช้หรือเพื่อให้มั่นใจว่าการทำงานอย่างต่อเนื่อง

ที่มา: แค็ตตาล็อกความเสี่ยงที่พัฒนาโดยผู้เชี่ยวชาญด้านไอที

มาตรฐานเปิด

CobiT (วัตถุประสงค์การควบคุมสำหรับข้อมูลและเทคโนโลยีที่เกี่ยวข้อง) เป็นมาตรฐานสากลสำหรับการจัดการเทคโนโลยีสารสนเทศขององค์กร ซึ่งช่วยในการประสานกลยุทธ์ทางธุรกิจและไอที สร้างการเจรจาระหว่างผู้นำธุรกิจและการจัดการบริการข้อมูล Library of best practice ITIL (IT Infrastructure Library) เป็นมาตรฐานการจัดการเทคโนโลยีสารสนเทศที่มีการใช้งานอย่างแข็งขันในหลายประเทศในช่วง 15 ปีที่ผ่านมา ISO 20000 (เทคโนโลยีสารสนเทศ - การจัดการบริการ) เป็นมาตรฐานที่มีเกณฑ์สากลโดยที่บริษัทหรือบริการใดๆ ที่ให้บริการด้านไอทีสามารถประเมินประสิทธิภาพและการปฏิบัติตามข้อกำหนดของลูกค้า โดยคำนึงถึงธุรกิจของพวกเขา มาตรฐานนี้ถือเป็นมาตรฐานอุตสาหกรรม - มุ่งเป้าไปที่บริการด้านไอที - อะนาล็อกของ ISO 9001: 2000

ขั้นตอนการตรวจสอบ

ในขั้นตอนเบื้องต้นของการตรวจสอบ - ขั้นตอนการวางแผน ("I" ในรูปที่ 1) ตามกฎข้อกำหนดสำหรับผลลัพธ์จะได้รับการชี้แจงรายการความเสี่ยงที่ต้องพิจารณาและประเมินผลตกลงกันและการตรวจสอบ มีการกำหนดขอบเขต นั่นคือ รายการกระบวนการทางธุรกิจและแผนกต่างๆ ที่จะตรวจสอบ เวทีประกอบด้วย:

  • การจัดอันดับเบื้องต้นของรายการกระบวนการไอทีและความเสี่ยงด้านไอทีที่เกี่ยวข้องที่จะได้รับการประเมิน
  • การประสานงานของขอบเขตการตรวจสอบ: บริการไอที ระบบ ซอฟต์แวร์และฮาร์ดแวร์ แผนกและผู้เชี่ยวชาญที่เกี่ยวข้องกับการวิเคราะห์ที่จะดำเนินการ
  • การจัดทำและการอนุมัติแผนการตรวจสอบโดยละเอียด

ผู้ตรวจสอบมักจะสร้างรายการอ้างอิงของความเสี่ยงด้านไอที ซึ่งตามมาตรฐานสากล มีอยู่ในขั้นตอนของการวางแผน การพัฒนา การนำไปใช้ และการทำงานของระบบอัตโนมัติของข้อมูล ผู้ริเริ่มการตรวจสอบ (ลูกค้า) ตามรายการที่ระบุ จะกำหนดลำดับความสำคัญสำหรับการประเมิน หากลูกค้าของฝ่ายตรวจสอบไอทีเป็นตัวแทนของฝ่ายบริหารของบริษัท เพื่อให้ได้ผลลัพธ์ที่แม่นยำยิ่งขึ้น ขอแนะนำให้สร้างแบบสอบถามในแง่ของธุรกิจ (ตารางที่ 2) โดยคำนึงถึงพารามิเตอร์เวลาและทรัพยากรของการตรวจสอบ ขอบเขตของการตรวจสอบจะถูกกำหนด (บริการ ระบบ แผนก ฯลฯ) ในเวลาเดียวกัน ขอแนะนำให้พิจารณาสิ่งที่สำคัญที่สุดสำหรับวัตถุประสงค์ทางธุรกิจและ/หรือบริการและระบบทั่วไป เพื่อให้สามารถสรุปผลตามวัตถุประสงค์เกี่ยวกับการจัดการไอทีได้ตามการประเมินพื้นที่ (สำคัญ) บางประการ ระบบโดยรวม.

ตารางที่ 2. ข้อความที่ตัดตอนมาจากแบบสอบถามเพื่อสัมภาษณ์ผู้บริหารบริษัทและผู้ใช้หลัก

คำอธิบายของความเสี่ยงด้านไอที (จากแคตตาล็อกความเสี่ยงด้านไอทีของผู้เชี่ยวชาญ)

การประเมินความสำคัญของการจัดการความเสี่ยงด้านไอที

ตรวจสอบตัวเลือกที่เลือก

ในขั้นตอนของการวางแผนธุรกิจเชิงกลยุทธ์ ปัญหาด้านกลยุทธ์ไอทีไม่ถือเป็นผลที่ตามมา:

  • การตอบสนองอย่างไม่เหมาะสมของบริการไอทีต่อการริเริ่มทางธุรกิจ (การเปิดสำนักงานใหม่ ทำให้กระบวนการทางธุรกิจเป็นไปโดยอัตโนมัติ)
  • ต้นทุนทางการเงินที่เพิ่มขึ้นสำหรับการแปลความคิดริเริ่มทางธุรกิจเป็นโซลูชันไอทีเฉพาะ (การตัดสินใจที่ไม่เหมาะสมและผิดพลาดโดยฝ่ายไอทีรีบร้อน)

ความเสี่ยงไม่มีนัยสำคัญ

คำอธิบายสำหรับการสัมภาษณ์: ความเสี่ยงเป็นเรื่องสมมุติและไม่มีนัยสำคัญสำหรับกิจกรรมของบริษัท (ค่าใช้จ่ายในการบริหารความเสี่ยงจะสูงกว่าผลที่ได้รับ)

ความเสี่ยงปานกลาง (ยอมรับได้)

คำอธิบายสำหรับการสัมภาษณ์: ตระหนักถึงความสำคัญของการจัดการความเสี่ยงนี้ในมุมมองเชิงกลยุทธ์ (ในขั้นตอนนี้ อนุญาตให้มีการศึกษาเบื้องต้นเกี่ยวกับปัญหา ซึ่งไม่ต้องการดึงดูดการลงทุนทางการเงินและใช้เวลาทรัพยากรที่สำคัญของผู้นำธุรกิจ)

สูงกว่าค่าเฉลี่ยความเสี่ยง

คำอธิบายการสัมภาษณ์: ตระหนักถึงความสำคัญของการจัดการความเสี่ยงนี้ (รวมถึงการจัดสรรเวลาและทรัพยากรทางการเงิน) ในระยะสั้น

มีความเสี่ยงสูง

คำอธิบายสำหรับการสัมภาษณ์: สันนิษฐานว่าการตระหนักถึงความเสี่ยงนี้ไม่เพียงเป็นไปได้ในระยะสั้นเท่านั้น แต่ได้เกิดขึ้นแล้ว

พารามิเตอร์การประเมินเพิ่มเติม

ความจำเป็นในการมีส่วนร่วมของไอทีและธุรกิจร่วมกันในการจัดการความเสี่ยงนี้เป็นที่ยอมรับ

ความคิดเห็นและคำอธิบาย:

โดยคำนึงถึงข้อมูลที่ได้รับ ผู้ตรวจสอบจะสร้างแบบสอบถามซึ่งระบุพารามิเตอร์ของขั้นตอนการตรวจสอบสำหรับกระบวนการไอทีแต่ละขั้นตอน รวมถึงชื่อของวัตถุประสงค์ในการควบคุมโดยละเอียดและจำนวนคำถามที่ชี้แจงโดยประมาณ เพื่อให้การประเมินระบบการจัดการไอทีมีความครอบคลุม ลำดับชั้นของคำถามจึงถูกสร้างขึ้นจากคำถามส่วนตัวไปจนถึงระดับสูง เพื่อวิเคราะห์การประเมินระดับวุฒิภาวะของกระบวนการไอที ประเด็นเฉพาะจะถูกพิจารณา จัดกลุ่มตามวัตถุประสงค์การควบคุมโดยละเอียด โดยคำนึงถึงความครบถ้วนและความน่าเชื่อถือของข้อมูลและหลักฐานที่มอบให้แก่ผู้ตรวจสอบบัญชี

ตัวอย่างเช่น เราจะให้โครงสร้างของแบบสอบถามสำหรับการประเมินกระบวนการไอที "การจัดการบริการผู้รับเหมา":

ความเสี่ยงที่จะไม่บรรลุเป้าหมายของกระบวนการ:

  • การขาดความสัมพันธ์ทางสัญญาที่ชัดเจน (ข้อตกลง) กับผู้ให้บริการด้านไอที (รวมถึงการกำหนดบทบาท ความรับผิดชอบ และความคาดหวัง การตรวจสอบและติดตามข้อตกลงที่เกี่ยวข้องในแง่ของประสิทธิภาพและการปฏิบัติตามข้อกำหนด) จะเพิ่มความเสี่ยงต่อความเสียหายในกรณีที่ซัพพลายเออร์ผิดนัด

ผลกระทบต่อการบรรลุเป้าหมาย

กิจกรรมไอที:

  • รับรองประสิทธิภาพของกิจกรรมไอที - ผลกระทบปานกลาง
  • รับรองความสมเหตุสมผลของกิจกรรมไอที - ผลกระทบสูง
  • รับรองความปลอดภัยของกิจกรรมไอที - ผลกระทบสูง

วัตถุประสงค์การควบคุมโดยละเอียด:

  • การกำหนดนโยบายกระบวนการและขั้นตอนการปฏิบัติงาน
  • การกระจายบทบาท
  • การจัดการเอกสาร;
  • การวิเคราะห์สัญญา
  • การจัดการความแตกต่างของสัญญา
  • การโอนสิทธิ;
  • ความรับผิดชอบและความรับผิดชอบ;
  • เครื่องมือ;
  • ความครอบคลุมของกระบวนการ
  • การรายงานและตัวชี้วัด ขั้นต่อไปคือการตรวจสอบในสถานที่จริง (“II” ในรูปที่ 1) ในระหว่างที่มีการสัมภาษณ์พนักงานของบริษัทลูกค้าและผลลัพธ์ของพวกเขาจะได้รับการตรวจสอบ (ตารางที่ 3) ในขั้นตอนนี้ ขอแนะนำให้แก้ไขงานต่อไปนี้:
  • ดำเนินการขั้นตอนการประเมินตนเองโดยใช้แบบสอบถามที่พัฒนาก่อนหน้านี้
  • ดำเนินการสัมภาษณ์กับพนักงานหลักของหน่วยงานที่ได้รับการตรวจสอบเพื่อชี้แจงผลการประเมินตนเอง
ตารางที่ 3 ส่วนของแบบสอบถามสำหรับการประเมินตนเองของกระบวนการ "การจัดการการกำหนดค่า"

เกณฑ์การตรวจสอบ

ความนับถือตนเอง

หรือใช่ / ไม่ใช่

คำสั่งหน่วยขององค์กรให้คำแนะนำเกี่ยวกับงานที่เกี่ยวข้องกับการจัดการการกำหนดค่า

รายละเอียดงานของผู้รับผิดชอบในการจัดการการกำหนดค่ารวมถึงบันทึกที่เกี่ยวข้อง

ความครอบคลุมของ CMDB (ฐานข้อมูลการกำหนดค่า) ถูกกำหนดและเพียงพอ: เซิร์ฟเวอร์, คอมพิวเตอร์ส่วนบุคคล, DBMS, ซอฟต์แวร์, LAN

ระดับของรายละเอียดของแอตทริบิวต์ของรายการการกำหนดค่า (ชื่อ, ประเภท, สถานที่, เจ้าของ, หมายเลขสินค้าคงคลัง, สถานะ, เอกสาร, ใบอนุญาต ฯลฯ) ถูกกำหนดและเพียงพอ

มีการลงทะเบียนความสัมพันธ์ (ความสัมพันธ์) ระหว่างรายการการกำหนดค่าที่ระดับกายภาพและระดับตรรกะ

ใช้ขั้นตอนการลงทะเบียนการกำหนดค่าพื้นฐาน

ขั้นตอนการควบคุมสำหรับการเพิ่ม CIs ที่กำหนดไว้และดำเนินการ

มีการกำหนดเหตุการณ์ทริกเกอร์และความถี่ของการตรวจสอบ CMDB (ตรวจสอบว่าสถานการณ์ปัจจุบันสะท้อนใน CMDB ได้แม่นยำเพียงใด)

เครื่องมือตรวจสอบใช้เพื่อวิเคราะห์เวิร์กสเตชันโดยอัตโนมัติและสร้างรายงานเกี่ยวกับสถานการณ์ปัจจุบันและสถานะของโครงสร้างพื้นฐานด้านไอที
  • ตรวจสอบผลการสัมภาษณ์และการประเมินตนเองซึ่งเป็นส่วนหนึ่งของขั้นตอนการติดตามผลการปฏิบัติงานและการทดสอบหลักฐานโดยละเอียด (รวมถึงระเบียบข้อบังคับ ข้อบังคับ รายงาน บันทึกเหตุการณ์ ฯลฯ)

ลูกค้ากำหนดพนักงานซึ่งภายในกรอบของการสัมภาษณ์เกี่ยวกับกระบวนการไอทีที่พิจารณาแล้ว จะทำการประเมินอย่างเป็นทางการ (การประเมินตนเอง) เกี่ยวกับระดับการปฏิบัติตามสถานการณ์จริงตามเกณฑ์ที่กำหนดไว้ในแบบสอบถาม ผู้สอบบัญชีดำเนินการสัมภาษณ์ในระหว่างที่มีการวิเคราะห์และกลั่นกรองผลการประเมินตนเอง มีการวิเคราะห์รายการหลักฐานยืนยันผลการประเมินตนเองในระดับสูง รวมทั้งการประเมินความพร้อมที่แท้จริงในการจัดเตรียมหลักฐานที่เกี่ยวข้อง (ตารางที่ 4) คำถามแต่ละข้อของแบบสอบถามสามารถพิจารณาได้ตามพารามิเตอร์ต่อไปนี้: ความสามารถของบุคลากร กิจกรรมจริง เอกสารประกอบ การตรวจสอบ และระบบอัตโนมัติ ตัวชี้วัดได้รับการประเมินในระดับห้าจุด กระจาย ตัวอย่างเช่น สำหรับตัวบ่งชี้ "กิจกรรม" ดังนี้:

  • 0 - กิจกรรมไม่ได้ดำเนินการและไม่ได้รับการยอมรับตามความจำเป็น
  • 1 - กิจกรรมไม่ได้ดำเนินการ แต่ได้รับการยอมรับตามความจำเป็น
  • 2 - กิจกรรมดำเนินการเป็นชิ้นเล็กชิ้นน้อยและมีความครอบคลุมขั้นต่ำไม่สามารถยืนยันด้วยหลักฐานได้การเบี่ยงเบนที่น่าจะเป็นไปได้นั้นยากที่จะระบุ
  • 3 - กิจกรรมจะดำเนินการเป็นระยะ แต่มีขอบเขตเล็ก ๆ และสามารถสนับสนุนได้ด้วยหลักฐานเฉพาะในแต่ละกรณีหรือผ่านการสาธิตในโหมด "การสังเกตกิจกรรม"
  • 4 - กิจกรรมจะดำเนินการอย่างต่อเนื่อง ความครอบคลุมของกระบวนการอยู่ในระดับที่น่าพอใจและมีแผนจะเพิ่ม โดยส่วนใหญ่แล้วจะมีเอกสารหลักฐานของกิจกรรม
  • 5 - กิจกรรมดำเนินการอย่างต่อเนื่อง มีครอบคลุม มีใบรับรองในรูปแบบอิเล็กทรอนิกส์และกระดาษซึ่งเหมาะสำหรับทั้งการควบคุมภายในและการตรวจสอบ เมื่อทำการประเมิน จำเป็นต้องคำนึงถึงความเพียงพอของหลักฐานทางเอกสาร (หลักฐานการตรวจสอบ) โดยพิจารณาจากพื้นฐานที่สามารถให้ความเห็นเกี่ยวกับกิจกรรมที่ประเมินได้ เอกสารกลุ่มนี้ประกอบด้วย ตัวอย่างเช่น ทะเบียนและสินค้าคงเหลือ บันทึกการลงทะเบียน โปรโตคอล เอกสารคนรู้จัก การกระทำ และ / หรือรายงานที่บ่งชี้ประสิทธิภาพการทำงาน (คำสั่ง)

คำตอบที่ได้รับจะถูกจัดอันดับตามลักษณะน้ำหนักและผลลัพธ์ (คะแนน) ของการประเมินตนเอง ถัดมาเป็นการตรวจสอบแบบสอบถาม คะแนนที่มีคะแนนการถ่วงน้ำหนักและการประเมินตนเองสูงสุดผ่านการสอบสมรรถภาพทางกายก่อน ไม่ว่าในกรณีใด ใบรับรอง / คำตอบอย่างน้อย 50% ที่มีคะแนนสูงสุดและอย่างน้อย 30% ของส่วนที่เหลือจะต้องปฏิบัติตามขั้นตอนนี้ หากปรากฎว่ามีการประเมินความนับถือตนเองสูงเกินไป ผู้ตรวจสอบจะวางการประเมินของตนเองลง ซึ่งเป็นพื้นฐานสำหรับการคำนวณในภายหลัง การตรวจสอบจะดำเนินการบนพื้นฐานของกิจกรรมการตรวจสอบและสภาพการทำงาน คำขอเอกสาร บันทึก (การกระทำ, นาที) ของการตรวจสอบ, รายงานการประชุม, รายงาน (การกระทำ) เกี่ยวกับการตรวจสอบ, ข้อมูลสรุป, การวิเคราะห์และตัวชี้วัดประสิทธิภาพ, รายงาน; การเข้าถึงฐานข้อมูลอิเล็กทรอนิกส์และเว็บไซต์ หากจำเป็น ผู้ตรวจสอบบัญชีจะสร้างแบบสอบถามการทดสอบโดยละเอียดเพื่อดำเนินการขั้นตอนการตรวจสอบที่มีสาระสำคัญโดยทันที (เลือกการวิเคราะห์ผลรวมของหลักฐานการตรวจสอบในประเด็นเฉพาะเพื่อขอรับการรับประกันเพิ่มเติมเกี่ยวกับผลการประเมินตนเอง) ในขั้นตอนสุดท้ายของการตรวจสอบ ("III" ในรูปที่ 1) หลักฐานที่รวบรวมจะถูกวิเคราะห์ การประเมินโดยละเอียด และผลการตรวจสอบขั้นสุดท้าย มาตรฐานสากลของ CobiT กำหนดให้ขั้นตอนนี้เป็น "ความคิดสร้างสรรค์" เนื่องจากผู้ตรวจสอบต้องเผชิญกับงานที่ยากในการดำเนินการเปลี่ยนแปลงการประเมินหลายขั้นตอนจากคำถามเฉพาะบุคคลไปจนถึงการก่อตัวของการคำนวณขั้นสุดท้ายเกี่ยวกับสถานะของระบบการจัดการไอทีของ องค์กรโดยรวม

ขาดอุบัติการณ์เป็นสัญญาณอันตราย

ตัวอย่างของคำแนะนำสำหรับการดำเนินการตรวจสอบในประเด็นเฉพาะ - "การตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของข้อมูล" - สามารถเป็นแนวทางการตรวจสอบที่มีอยู่ใน BS 7799 Control Implementation and Audit Guidelines ที่พัฒนาโดย British Standards Institute: "องค์กรควรมีขั้นตอนที่จำเป็น ได้มีการพัฒนาและดำเนินการ และสร้างช่องทางการสื่อสารกับฝ่ายบริหารเพื่อรายงานเหตุการณ์ด้านความปลอดภัย ผู้ตรวจสอบควรตรวจสอบให้แน่ใจว่าขั้นตอนเหล่านี้ใช้ได้กับเหตุการณ์ที่อาจเกิดขึ้น และตรวจสอบให้แน่ใจว่ามีการตอบสนองที่มีประสิทธิผลเพียงพอ หากองค์กรอ้างว่าไม่มีเหตุการณ์ที่ต้องรายงาน ดังนั้นจึงไม่สามารถแสดงกระบวนการรายงานได้ เหตุการณ์ส่วนใหญ่ก็จะเกิดขึ้นโดยไม่มีใครสังเกตเห็น ดังนั้นควรมีการจัดเตรียมขั้นตอนสำหรับการรายงานเหตุการณ์ด้านความปลอดภัย ขั้นตอนการรายงานเหตุการณ์ ไม่ว่าจะมีเหตุการณ์ในอดีตหรือไม่ก็ตาม ควรตรวจสอบว่าองค์กรมีคำจำกัดความที่ชัดเจนของเหตุการณ์ด้านความปลอดภัย (เหตุการณ์) หรือไม่ และผู้ที่อยู่ในตำแหน่งรับผิดชอบเข้าใจหรือไม่ มีประโยชน์ในการถามคำถามในการตรวจสอบ เช่น: “หากคุณพบว่าตู้เซฟของคุณมีเอกสารลับเปิดอยู่และไม่มีใครอยู่ใกล้ๆ คุณจะถือว่านี่เป็นกรณีของการละเมิดความปลอดภัยหรือไม่” เงินเดือนนี่ถือเป็นหลักประกันได้ไหม ฝ่าฝืน?”

งานหลักของผู้ตรวจสอบบัญชีในขั้นตอนนี้คือการประกันความโปร่งใสของกลไกในการสร้างข้อสรุปขั้นสุดท้ายเป็นเงื่อนไขหลักในการไว้วางใจผลการตรวจสอบ ผู้มีส่วนได้ส่วนเสียทั้งหมดควรสามารถติดตามความสัมพันธ์เชิงสาเหตุในห่วงโซ่ของการแปลงผลการตรวจสอบจากการประมาณการส่วนตัวไปจนถึงการประมาณการขั้นสุดท้าย ให้เราอาศัยขั้นตอนเฉพาะที่สุดของการแปลงค่าประมาณ

การคำนวณระดับวุฒิภาวะของกระบวนการไอที

การคำนวณนี้สามารถดำเนินการได้โดยใช้วิธีการของ CobiT ซึ่งแนะนำการระบุลักษณะสำคัญห้าประการของความสมบูรณ์ของกระบวนการ (ตารางที่ 5) กลุ่มผู้ตรวจสอบเฉพาะประเด็นตามลักษณะของกระบวนการที่ระบุ (ความสามารถ กิจกรรมจริง เอกสาร การวัด การปรับปรุง) และคำนวณคะแนนสำหรับแต่ละกลุ่ม ในกรณีนี้ ขอแนะนำให้คำนึงถึงลักษณะน้ำหนักของคำถามทั้งในกลุ่มและตัวกลุ่มเอง การกำหนดค่าเฉพาะจะดำเนินการในลักษณะของผู้เชี่ยวชาญและตกลงกับลูกค้าผู้ตรวจสอบเมื่อเริ่มงาน

ตารางที่ 5. สูตรคำนวณการประเมินระดับวุฒิภาวะขั้นสุดท้าย

L = L1 + L2 + L3 + L4 + L5

ระดับวุฒิภาวะตามส่วน

ชื่อ

K - น้ำหนักของส่วน (ผลรวมของคะแนนคือ 5)

R (Tn) - คะแนนฐานจาก 0 ถึง 1 ตามผลของแบบสอบถามและการตรวจสอบ (ผลรวมของคะแนนจริง / คะแนนรวมสูงสุดที่เป็นไปได้)

L1 = K × อาร์ (T1)

ความสามารถ

L2 = K × อาร์ (T2)

กิจกรรม

L3 = K × อาร์ (T3) × อาร์ (T2)

การจัดทำเอกสาร

L4 = K × อาร์ (T4) × อาร์ (T2)

การวัด

L5 = K × อาร์ (T5) × อาร์ (T2)

การปรับปรุง

การคำนวณที่แสดงในรูปที่ 2 ช่วยให้คุณสร้างแนวโน้มในระดับวุฒิภาวะของกระบวนการไอที

เวกเตอร์แนวโน้มเชิงลบสร้างขึ้นโดยคำนึงถึงระดับของเอกสารประกอบ (คะแนนสุดท้ายสำหรับคำถามกลุ่มนี้) ยิ่งระดับเอกสารต่ำลง ยิ่งมีโอกาสมากขึ้นที่ในกรณีที่บุคลากรหลักสูญหายหรือการเปลี่ยนแปลงในสภาพการทำงาน จะไม่บรรลุเป้าหมายของกิจกรรมด้านไอที (เช่น พนักงานใหม่ไม่สามารถรับข้อมูลเกี่ยวกับขั้นตอนการทำงานบางอย่างได้ ดำเนินการ) ดังนั้น สำหรับแนวโน้มในเชิงบวก การวัดผลและการปรับปรุงจึงถูกนำมาพิจารณาเป็นพื้นฐานสำหรับการปรับปรุงประสิทธิภาพ ระยะเวลาของช่วงหลังการตรวจสอบความถูกต้อง (เวลาระหว่างการตรวจสอบ) ในทางปฏิบัติในกรณีส่วนใหญ่มีตั้งแต่หนึ่งถึงสามปีและพิจารณาจากข้อกำหนดด้านกฎหมายและระเบียบข้อบังคับสำหรับความถี่ตลอดจนหลักการของความเพียงพอที่สมเหตุสมผล - ระยะเวลาที่ เป็นที่น่าสนใจที่สุดสำหรับวัตถุประสงค์ในการคาดการณ์สำหรับอนาคตที่มีการตรวจสอบ

การคำนวณระดับความเสี่ยงด้านไอที

หมายถึงระดับความเสี่ยงหลังจากที่ได้รับการรักษาแล้ว เช่น หลังจากใช้มาตรการรับมือเพื่อลดความเสี่ยง ส่วนหนึ่งของขั้นตอนนี้ ผู้ตรวจสอบจะจัดทำรายการความเสี่ยงที่ระบุและเปรียบเทียบระดับพื้นฐานของความเสี่ยงกับระดับวุฒิภาวะของกระบวนการไอทีที่รับผิดชอบในการจัดการพารามิเตอร์นี้ (ตารางที่ 6) ความเสี่ยงที่เหลือ (S) 6 หรือน้อยกว่านั้นถือว่ายอมรับได้ ปานกลาง - จาก 7 ถึง 11 สูง - จาก 12 ถึง 16 วิกฤต - จาก 17 ถึง 25

สรุป

การประเมินโครงสร้างในทุกขั้นตอนของการสร้างข้อสรุปการตรวจสอบช่วยให้คุณสร้างพื้นฐานทางสถิติสำหรับการคำนวณการเปลี่ยนแปลงที่คาดไว้ของการเปลี่ยนแปลงในตัวบ่งชี้กระบวนการต่างๆ ในช่วงหลังการตรวจสอบ ผลลัพธ์ที่ได้สามารถนำไปจัดทำเป็นแผนระยะยาวสำหรับการลงทุนด้านเทคโนโลยีสารสนเทศ เชื่อมโยงกับระดับความสมบูรณ์ของระบบบริหารความเสี่ยงที่เพิ่มขึ้น ดังที่ได้กล่าวไปแล้ว ยิ่งระบบข้อมูลมีความซับซ้อนมากเท่าไร ระบบการจัดการ IT ก็ยิ่งมีความสมบูรณ์มากขึ้นเท่านั้น แต่ก็มีความสัมพันธ์แบบผกผัน ตัวอย่างเช่น หากบริษัทมีระบบท้องถิ่นที่เรียบง่าย ก็จะบรรลุประสิทธิภาพสูงสุดที่ระดับวุฒิภาวะที่ 2.8–3.2 ระดับที่สูงขึ้นจะไม่ให้ข้อได้เปรียบที่ชัดเจน แต่สามารถนำไปสู่ต้นทุนการจัดการเพิ่มเติม (รูปที่ 3) นอกเหนือจากคำแนะนำมาตรฐานสำหรับการขจัดความไม่สอดคล้องกัน (ความคิดเห็น) ที่ระบุในระหว่างการตรวจสอบ ผลการตรวจสอบยังสามารถใช้เพื่อพัฒนาคำแนะนำที่สำคัญเกี่ยวกับกลยุทธ์และกลยุทธ์ในการปรับปรุงระบบการจัดการไอทีโดยรวมและกระบวนการด้านไอทีส่วนบุคคล พื้นฐานระเบียบวิธีสำหรับระบบควบคุมภายในและการตรวจสอบเทคโนโลยีสารสนเทศขององค์กร การประยุกต์ใช้วิธีการตรวจสอบข้างต้นทำให้บริษัทสามารถดูระบบการจัดการไอทีของตนผ่านปริซึมของมาตรฐานสากลและประสบการณ์เชิงปฏิบัติ ส่งผลให้ได้รับการประเมินจากผู้เชี่ยวชาญอย่างมืออาชีพ:

  • ระดับของการปฏิบัติตามข้อกำหนดของมาตรฐานซึ่งสามารถใช้เพื่อกำหนดความพร้อมขององค์กรในการตรวจรับรอง
  • ความเพียงพอต่อเป้าหมายของการสร้างมูลค่าเพิ่มให้กับธุรกิจอย่างมีประสิทธิผลเมื่อใช้เทคโนโลยีสารสนเทศ
  • ความเสถียรในการใช้งานในสถานการณ์ต่าง ๆ เช่น หากพิจารณาการขยายธุรกิจ ความพร้อมของบริการไอทีเพื่อปรับขนาดกิจกรรมจะถูกประเมิน หากเรากำลังพูดถึงการเปลี่ยนแปลงครั้งใหญ่สู่ระบบข้อมูลใหม่ ความพร้อม ตรวจสอบให้แน่ใจว่ามีการวิเคราะห์การเปลี่ยนผ่านสู่ระบบใหม่ที่เชื่อถือได้ในเวลาที่เหมาะสม เพื่อที่จะเปลี่ยนปริมาณการจัดหาเงินทุน ระดับของการปรับตัวให้เข้ากับเงื่อนไขที่เกี่ยวข้องจะได้รับการประเมิน จากงานที่ดำเนินการไป คำแนะนำเกี่ยวกับกลยุทธ์สำหรับการพัฒนาการจัดการแผนกไอที รวมถึงกระบวนการจัดการเฉพาะ การป้องกันความเสี่ยง การปรับปรุงการทำงานของแผนกไอที และการก่อตัวของระบบควบคุมภายใน ดังนั้น การตรวจสอบด้านไอทีจึงเป็นการวางรากฐานสำหรับการทำงานที่มีประสิทธิภาพของบริษัทในสาขาที่มีความสำคัญอันดับแรกสำหรับระดับความสามารถในการแข่งขัน โดยจะร่างแผนปฏิบัติการที่สามารถนำไปปฏิบัติได้เท่านั้น ทุกสิ่งทุกอย่างจะขึ้นอยู่กับตัวบริษัทเองอยู่แล้ว หรือมากกว่านั้น ขึ้นอยู่กับความพร้อมในการปฏิบัติตามคำแนะนำที่พัฒนาขึ้นอย่างชัดเจน
ตารางที่ 6. การประเมินระดับความเสี่ยงด้านไอทีที่เหลืออยู่

ระดับความเสี่ยงโดยธรรมชาติตั้งแต่ 0 ถึง 5 (การประเมินโดยผู้เชี่ยวชาญ)

อิทธิพลของระดับวุฒิภาวะของกระบวนการไอที (ภายในที่มีการจัดการความเสี่ยง) จาก 0 ถึง 5

การประเมินความเสี่ยงที่เหลือ

S = 5 × R1 - L 2

ความเสี่ยงในการเพิ่มเวลาตั้งแต่เริ่มต้นการพัฒนาไปจนถึงความพร้อมของระบบเนื่องจากขาดโครงสร้างพื้นฐานที่ยืดหยุ่น

ความเสี่ยงจากการหยุดทำงานของโครงสร้างพื้นฐานที่เพิ่มขึ้น

ความเสี่ยงจากปัญหาด้านประสิทธิภาพของแอปพลิเคชันที่เพิ่มขึ้นซึ่งเกิดจากความไม่สอดคล้องกันในโครงสร้างพื้นฐานทางเทคโนโลยี

ความเสี่ยงของการขาดความสามารถเมื่อแนะนำโซลูชั่นไอทีใหม่

ความเสี่ยงของต้นทุนที่เพิ่มขึ้นสำหรับโครงสร้างพื้นฐานด้านไอทีอันเนื่องมาจากการสร้างสำรองที่ไม่สมเหตุสมผล "สำรอง"

เป็นที่ทราบกันดีว่าบ่อยครั้งที่เทคโนโลยีสารสนเทศที่นำมาใช้ในองค์กรยังคงเป็นตั้งแต่เริ่มต้นหรือกลายเป็น "ความลับเบื้องหลังตราประทับเจ็ดประการ" เมื่อเวลาผ่านไป ทั้งสำหรับผู้จัดการและพนักงานของบริษัท และโดยเฉพาะอย่างยิ่งสำหรับบุคคลที่สาม แต่ไม่ได้หมายความว่าจะมีผู้สนใจน้อยลง - ลูกค้า นักลงทุน คู่ค้า แน่นอนว่าสิ่งนี้ไม่ได้เพิ่มความมั่นใจให้กับบริษัท ไม่รับประกันความปลอดภัยของธุรกิจ และไม่ช่วยดึงดูดลูกค้าและนักลงทุน การตรวจสอบด้านไอทีเป็นหนึ่งในกลไกที่ช่วยให้ "กระจ่าง" เกี่ยวกับสถานะที่แท้จริงของกิจการในบริษัท เพื่อเพิ่มประสิทธิภาพการทำงานของระบบสารสนเทศและเป็นผลให้ธุรกิจโดยรวม

เป้าหมายหลักของการตรวจสอบไอทีคือการประเมินความเสี่ยงที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ ประเมินการควบคุม และพัฒนาคำแนะนำสำหรับการใช้มาตรการแก้ไขในพื้นที่ที่ควรลดความเสี่ยง

เราเสนอให้ดำเนินการตรวจสอบด้านไอทีในบริษัทของคุณ ซึ่งอาจประกอบด้วยงานต่อไปนี้:

ในการกำหนดขอบเขตของงานตรวจสอบ IT เวลาและต้นทุนของงาน ขอแนะนำให้ดำเนินการวินิจฉัยด้านไอที การวินิจฉัยจะดำเนินการภายใน 3-5 วันทำการ การวินิจฉัยจะรวบรวมข้อมูลที่จำเป็นในการระบุปัญหาด้านไอทีที่สำคัญ จากข้อมูลนี้ ข้อเสนอโดยละเอียดสำหรับการดำเนินการตรวจสอบด้านไอทีในบริษัทได้รับการพัฒนา

ผลลัพธ์ของการตรวจสอบคือชุดของข้อสรุปว่าระบบข้อมูลที่มีอยู่ (IS) ในบริษัทตรงกับความต้องการทางธุรกิจหรือไม่ มีการพัฒนาคำแนะนำสำหรับการเพิ่มประสิทธิภาพและการพัฒนา IS ต่อไป

ในระหว่างการตรวจสอบ จะทำการวิเคราะห์การปฏิบัติตาม IS ที่มีอยู่กับกระบวนการทางธุรกิจของบริษัท ซึ่งหมายถึงการวิเคราะห์โครงสร้างองค์กรของบริษัท ลำดับชั้นของแผนก เวิร์กโฟลว์ภายใน นโยบายการบัญชี ความสอดคล้องของโมดูล ของ IS ที่ใช้กับความต้องการที่แท้จริงของฝ่ายต่างๆ

การตรวจสอบทรัพย์สินทางปัญญามีวัตถุประสงค์เพื่อให้บรรลุวัตถุประสงค์ดังต่อไปนี้:

  • ลดค่าใช้จ่ายในการบำรุงรักษาและพัฒนาโครงสร้างพื้นฐานด้านไอที
  • ลดต้นทุนในการดำเนินธุรกิจแบบอัตโนมัติ
  • การปรับปรุงประสิทธิภาพของ IS
  • เพิ่มประสิทธิภาพการลงทุนในทรัพย์สินทางปัญญาของบริษัท

ส่วนหนึ่งของการตรวจสอบ IP จะดำเนินการดังต่อไปนี้:

  • การวิเคราะห์ความสอดคล้องของความสามารถและกลยุทธ์ IP กับกลยุทธ์ของบริษัท เป้าหมายทางธุรกิจ และกระบวนการทางธุรกิจ
  • การวิเคราะห์บริการไอทีที่มีอยู่และระบบข้อมูลสนับสนุน (ผลิตภัณฑ์ซอฟต์แวร์)
  • การระบุพื้นที่ปัญหาของโครงสร้างพื้นฐานด้านไอทีที่มีอยู่:
    • ระดับความสอดคล้องของระบบสารสนเทศกับข้อกำหนดทางธุรกิจ
    • ค่าบำรุงรักษาและพัฒนา IP
    • การปฏิบัติตามกระบวนการไอทีด้วยมาตรฐาน ISO 9000
    • ระดับความปลอดภัยของข้อมูล
  • การพัฒนาคำแนะนำสำหรับการปรับปรุงโครงสร้างพื้นฐานด้านไอที:
    • ประมาณการค่าใช้จ่ายในการดำเนินการตามคำแนะนำแต่ละข้อ
    • แผนการดำเนินงานตามข้อเสนอแนะ
    • คำแนะนำสำหรับการปรับรื้อโครงสร้างพื้นฐานด้านไอที

ในส่วนของการตรวจสอบและการตรวจสอบโครงสร้างพื้นฐานด้านไอที จะมีการตรวจสอบตัวบ่งชี้ต่อไปนี้: ประสิทธิภาพ ความสมบูรณ์ของฟังก์ชัน ความปลอดภัย ความสมบูรณ์ของกระบวนการไอที ฯลฯ

เป็นผลให้บริษัทจะได้รับคำอธิบายของความไม่สอดคล้องที่ระบุระหว่างโครงสร้างพื้นฐานด้านไอทีและความต้องการทางธุรกิจ ปัญหาที่มีอยู่และความเสี่ยงของการพัฒนาโครงสร้างพื้นฐานด้านไอทีตลอดจนคำแนะนำในการกำจัดสิ่งที่ระบุด้วยค่าใช้จ่ายโดยประมาณในการดำเนินการ เสนอแนะและแผนงาน

ข้อมูลนี้เป็นพื้นฐานสำหรับการสร้างกลยุทธ์ระบบอัตโนมัติและกำหนดวิธีการลงทุนด้านไอทีที่มีประสิทธิภาพสูงสุด

ช่วยให้ลูกค้าได้รับการประเมินจากผู้เชี่ยวชาญเกี่ยวกับองค์ประกอบปัจจุบันและระดับการทำงานของแพลตฟอร์มเทคโนโลยี ระบบฮาร์ดแวร์และซอฟต์แวร์ เครือข่ายและสิ่งอำนวยความสะดวกด้านการสื่อสาร (โครงสร้างพื้นฐานไอที) ตลอดจนรับคำแนะนำเกี่ยวกับวิธีการปรับปรุงประสิทธิภาพการใช้งาน ความทันสมัยและลดต้นทุนการเป็นเจ้าของ

ตัวอย่างเช่น รายงานของผู้ตรวจสอบอาจมีข้อสรุปเกี่ยวกับความสอดคล้องของการโหลดของเซิร์ฟเวอร์กับคุณลักษณะ การยืนยันว่าแพลตฟอร์มเซิร์ฟเวอร์อนุญาตให้มีงานเพิ่มขึ้น หรือทำงานที่ขีดจำกัดความจุ เป็นต้น

การตรวจสอบรวมถึงการก่อตัวของการประเมินผู้เชี่ยวชาญเกี่ยวกับสถานะปัจจุบันของระบบรักษาความปลอดภัยข้อมูล (ISS) การประเมินความเสี่ยงของข้อมูล คำแนะนำสำหรับการปรับปรุง ISS การคำนวณต้นทุนในการสร้างหรือปรับปรุง ISS ให้ทันสมัย การตรวจสอบความปลอดภัยของข้อมูลช่วยให้บริษัทลูกค้าลดความเสี่ยงทางธุรกิจและเพิ่มระดับความปลอดภัยของข้อมูล

ผลลัพธ์ของการตรวจสอบทำให้เราสามารถดำเนินการได้หลายอย่างเพื่อเพิ่มประสิทธิภาพของแผนกไอที เพิ่มประสิทธิภาพค่าใช้จ่ายด้านไอที ปรับปรุงคุณภาพของบริการที่มีให้ในด้านไอที จัดระเบียบแผนกไอทีใหม่ตามวัตถุประสงค์ทางธุรกิจของบริษัทและทันสมัย วิธีการดำเนินงานโครงสร้างพื้นฐานด้านไอที

โดยเฉพาะอย่างยิ่งบนพื้นฐานของรายงานการตรวจสอบจะมีการออกคำแนะนำโดยละเอียดเกี่ยวกับองค์กรในการวางแผนงานบริการไอทีตามความต้องการของธุรกิจของ บริษัท

โอกาสในการร่วมมือกันต่อไป

ผลของการตรวจสอบด้านไอทีจะช่วยให้เราสามารถร่างแนวทางสำหรับความร่วมมือเพิ่มเติมระหว่างบริษัทของเรา และโดยเฉพาะอย่างยิ่ง เพื่อกำหนดความจำเป็นสำหรับชุดงานต่อไปนี้ในด้านที่ปรึกษาด้านไอที:

  • การพัฒนากลยุทธ์ด้านไอที
  • การพัฒนาแนวคิดระบบสารสนเทศรวมถึงการพัฒนากรณีธุรกิจเพื่อการเพิ่มประสิทธิภาพ / การพัฒนาด้านไอที
  • การเพิ่มประสิทธิภาพ / การพัฒนาระบบสารสนเทศ (IS) รวมถึง:
    • การพัฒนาข้อกำหนดในการอ้างอิงสำหรับการแก้ไข / การสร้างระบบย่อยที่มีอยู่ / ขาดหายไป / โมดูล IS
    • การเลือกระบบซอฟต์แวร์ (ผู้จำหน่าย) สำหรับระบบสารสนเทศองค์กร
    • องค์กรและการจัดการโครงการเพิ่มประสิทธิภาพ IP
    • การพัฒนาระเบียบวิธี / เอกสารประกอบ
    • การพัฒนา / การใช้งานระบบย่อยที่แก้ไข / ใหม่ / โมดูล IS
    • การฝึกอบรมบุคลากรและการศึกษา เจ้าหน้าที่ให้คำปรึกษา
  • การตรวจสอบและบำรุงรักษาการทำงานของระบบ IS

การดำเนินการตรวจสอบที่ครอบคลุมช่วยให้คุณได้รับข้อมูลที่สมบูรณ์ เป็นระบบ และเชื่อถือได้มากที่สุดเกี่ยวกับสถานะของโครงสร้างพื้นฐานด้านไอทีของลูกค้า การตรวจสอบเป็นสิ่งจำเป็นในการประเมินไอที ตัดสินใจ คาดการณ์การพัฒนาสถานการณ์ และจัดการไอที

บริการนี้เป็นที่ต้องการเมื่อใด (ในกรณีใดบ้าง)

  1. การเข้าซื้อกิจการหรือการรวมธุรกิจ(เป็นทางการหรือไม่เป็นทางการ) เข้าเป็นโครงสร้างยึด จำเป็นต้องรวมโครงสร้างพื้นฐานด้านไอทีของบริษัทที่ซื้อเข้ากับโครงสร้างพื้นฐานของตนเอง การดำเนินการตรวจสอบอย่างอิสระจะช่วยลดต้นทุนและเร่งงานการรวมระบบ
  2. ก่อนอัปเกรดโครงสร้างพื้นฐานด้านไอทีของคุณรัฐวิสาหกิจ จำเป็นต้องปรับต้นทุนของความทันสมัยให้เหมาะสมและพัฒนากลยุทธ์การพัฒนา
  3. เมื่อการเติบโตของธุรกิจแซงหน้าการพัฒนาไอที... ในกรณีนี้ มีการขาดหรือขาดข้อมูลการจัดการเกี่ยวกับองค์ประกอบและเงื่อนไขของโครงสร้างพื้นฐานด้านไอทีในการจัดการองค์กร
  4. หากโครงสร้างพื้นฐานด้านไอทีทำงานได้ไม่ดีสำหรับตอนนี้. การตรวจสอบเป็นวิธีที่ดีที่สุดในการระบุปัญหาคอขวดในโครงสร้างพื้นฐานและรับคำแนะนำที่จำเป็นสำหรับการกำจัด

ประโยชน์ของบริการนี้ต่อลูกค้าคืออะไร?

  1. ปรับปรุงให้ทันสมัยขึ้นโครงสร้างพื้นฐานด้านไอทีโดยการรับข้อมูลที่สมบูรณ์และทันสมัยที่สุดเกี่ยวกับทรัพยากรไอทีที่มีอยู่
  2. รับประมาณการต้นทุนเพื่อปรับปรุงโครงสร้างพื้นฐานด้านไอทีให้ทันสมัย ความรู้เกี่ยวกับระดับความจำเป็นและขอบเขตงานที่คาดการณ์ไว้ในเอกสารการรายงานช่วยให้ลูกค้าสามารถตัดสินใจได้อย่างมีข้อมูล
  3. ปรับปรุงประสิทธิภาพการใช้ทรัพยากรไอทีที่มีอยู่ หลังจากพิจารณาผลการตรวจสอบแล้ว และลดความเสี่ยงทางธุรกิจที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศให้เหลือน้อยที่สุด
  4. ปรับปรุงการจัดการองค์กรไอที ฝ่ายบริหารจะได้รับข้อมูลการจัดการที่จำเป็นสำหรับการตัดสินใจ คาดการณ์การพัฒนาสถานการณ์ และการจัดการด้านไอที เพิ่มประสิทธิภาพการบริการไอทีขององค์กร ลดเวลาหยุดทำงาน และจำนวนสถานการณ์ที่ผิดปกติ
  5. รับคำแนะนำเชิงปฏิบัติเกี่ยวกับเทคโนโลยีที่ใช้ อุปกรณ์และการตั้งค่า คำแนะนำทั้งหมดเกี่ยวข้องกับปัญหาเฉพาะที่พบในระหว่างการตรวจสอบ ดังนั้นการดำเนินการตามคำแนะนำแต่ละข้อจึงเป็นประโยชน์อย่างยิ่งต่อบริษัท

การตรวจสอบความปลอดภัยของข้อมูลสามารถทำได้ทั้งโดยบุคลากรประจำ (การตรวจสอบภายใน) และโดยการมีส่วนร่วมของผู้เชี่ยวชาญอิสระ (การตรวจสอบภายนอก) มูลค่าของการตรวจสอบความปลอดภัยของข้อมูลภายนอกสำหรับผู้มีโอกาสเป็นลูกค้ามีดังนี้:

  1. การตรวจสอบเป็นการศึกษาอิสระที่เพิ่มความเที่ยงธรรมของผลลัพธ์
  2. ผู้เชี่ยวชาญที่ดำเนินการตรวจสอบมีคุณสมบัติและประสบการณ์ในการทำงานมากกว่าพนักงานประจำขององค์กร
  3. การมอบหมายงานตรวจสอบให้กับองค์กรเฉพาะนั้นถูกกว่าการจัดระเบียบด้วยตนเอง

คำอธิบายของบริการ

การดำเนินการตรวจสอบอย่างครอบคลุมประกอบด้วยสามขั้นตอนหลัก:

  • การเก็บรวบรวมข้อมูล

คำชี้แจงปัญหาและชี้แจงขอบเขตของงาน

ในขั้นตอนของการกำหนดงาน มาตรการขององค์กรจะถูกนำไปเตรียมสำหรับการตรวจสอบ:

  • มีการระบุเป้าหมายและวัตถุประสงค์ของการตรวจสอบ
  • กำลังจัดตั้งคณะทำงาน
  • เงื่อนไขการอ้างอิง (TOR) สำหรับการตรวจสอบกำลังจัดทำและตกลงกัน

บางครั้งการตรวจสอบจำเป็นต้องเข้าถึงข้อมูลที่ลูกค้าถือเป็นความลับ ในกรณีนี้ ควบคู่ไปกับ TK ข้อตกลงการรักษาความลับได้รับการพัฒนาและมีการจัดการปฏิสัมพันธ์กับบริการรักษาความปลอดภัยของลูกค้า

การเก็บรวบรวมข้อมูล

ในขั้นตอนนี้ การสัมภาษณ์บุคลากรของลูกค้า การตรวจสอบและสินค้าคงคลังของอุปกรณ์ การรวบรวมข้อมูลการกำหนดค่าจะดำเนินการ รายการรายละเอียดของงานที่ทำจะถูกกำหนดใน TOR สำหรับการตรวจสอบ

ดำเนินการสำรวจองค์ประกอบทางเทคนิคและองค์กรทั้งหมดของโครงสร้างพื้นฐานด้านไอที:

  • อุปกรณ์ - ฮาร์ดแวร์ที่สร้างและบำรุงรักษาเทคโนโลยีสารสนเทศ: อุปกรณ์เครือข่าย เซิร์ฟเวอร์และเวิร์กสเตชัน ระบบจัดเก็บข้อมูล ฯลฯ
  • เครื่องมือสนับสนุน - ทรัพยากรเสริม อุปกรณ์ สถานที่ที่จำเป็นในการสนับสนุนการทำงานของโครงสร้างพื้นฐานด้านไอที
  • เทคโนโลยี - ระบบปฏิบัติการ ระบบจัดการฐานข้อมูล การรวมแอปพลิเคชัน ฯลฯ
  • แอพพลิเคชั่น - แอพพลิเคชั่นซอฟต์แวร์ที่ใช้ในการดำเนินงานขององค์กร
  • ข้อมูล - ในความหมายที่กว้างที่สุด - เวิร์กโฟลว์, ภายนอกและภายใน, มีโครงสร้างและไม่มีโครงสร้าง, อ้างอิง, มัลติมีเดีย, ฯลฯ ;
  • กำลังคน - บุคลากร ทักษะ: ทักษะ ความเข้าใจในงานและผลการปฏิบัติงาน

เมื่อสิ้นสุดขั้นตอนการรวบรวมข้อมูล บริษัทที่ดำเนินการตรวจสอบจะเป็นเจ้าของชุดเอกสารที่อธิบายโครงสร้างพื้นฐานด้านไอทีโดยละเอียด

การวิเคราะห์ข้อมูลและการเตรียมรายงาน

ในขั้นตอนนี้จะดำเนินการดังต่อไปนี้:

  • การตรวจสอบและวิเคราะห์ข้อมูลที่รวบรวม
  • การเตรียมเอกสารการปฏิบัติงาน
  • ให้คำแนะนำ
  • การจัดทำรายงานการตรวจสอบ

ข้อมูลที่รวบรวมจะได้รับการตรวจสอบความสมบูรณ์และความถูกต้อง ข้อมูลที่ได้รับจะถูกวิเคราะห์ ข้อสรุปและข้อเสนอแนะถูกร่างขึ้น ผลลัพธ์จะถูกทำให้เป็นทางการและนำเสนอ ในระหว่างการวิเคราะห์ อาจมีการตัดสินใจรวบรวมข้อมูลเพิ่มเติม

จากข้อมูลที่รวบรวมมานั้น เอกสารการปฏิบัติงานจะถูกจัดเตรียมซึ่งประกอบด้วยข้อมูลโดยละเอียดเกี่ยวกับโครงสร้างพื้นฐานด้านไอทีขององค์กร ข้อเสนอแนะได้รับการพัฒนาเพื่อปรับปรุงคุณภาพงานและเพิ่มประสิทธิภาพของโครงสร้างพื้นฐานด้านไอที

รายงานการวิเคราะห์เป็นเอกสารการรายงานการตรวจสอบหลัก ประกอบด้วยคำอธิบายสถานะปัจจุบันของโครงสร้างพื้นฐานด้านไอที เอกสารประกอบการปฏิบัติงาน รายการปัญหาที่ตรวจพบ คำแนะนำสำหรับความทันสมัยและการพัฒนาโครงสร้างพื้นฐานด้านไอที

ขั้นตอนสิ้นสุดด้วยการโอนเอกสารที่พัฒนาแล้วให้กับลูกค้า

ผลลัพธ์

ผลลัพธ์ของการตรวจสอบคือการสร้างชุดเอกสารที่มีข้อมูลโดยละเอียดเกี่ยวกับโครงสร้างพื้นฐานด้านไอที ตลอดจนคำแนะนำในการปรับปรุงคุณภาพงานและเพิ่มประสิทธิภาพในการทำงาน

เอกสารการรายงานหลักคือรายงานการตรวจสอบ ตามกฎแล้วโครงสร้างของมันตกลงกันในขั้นตอนของการพัฒนา TK ประกอบด้วยคำอธิบายเกี่ยวกับสถานะปัจจุบันของโครงสร้างพื้นฐานด้านไอที ข้อสรุปเกี่ยวกับการปฏิบัติตามโครงสร้างพื้นฐานด้านไอทีที่มีงานที่ต้องแก้ไข คำแนะนำสำหรับความทันสมัยและการพัฒนา