IT infratuzilmasi auditi. IT audit - korporativ so'rovnoma IT dasturiy ta'minot auditi


So'rov yuboring

Agar kompaniyada biznes-jarayonlarning u yoki bu qismini avtomatlashtirish yaxshi bo'lardi degan fikr bo'lsa, unda birinchi qadam IT-audit bo'lishi kerak - kompaniyaning AT tizimining belgilangan standartlar va mezonlarga muvofiqligini mustaqil tahlil qilish.

Korxonada AT-auditini o'tkazish avtomatlashtirishning ajralmas qismi hisoblanadi. Aynan loyihadan oldingi tahlil biznesning qaysi qismlarini avtomatlashtirishni talab qilishini va qaysi takomillashtirish ijobiy natijaga olib kelmasligini tushunishga imkon beradi.

IT-auditning asosiy yo'nalishlari:

  • texnologik infratuzilma;
  • korxonaning axborot xavfsizligi;
  • Axborot tizimlari;
  • AT bo'limi.

IT-auditning asosiy vazifalari

Axborot auditining asosiy vazifasi - bu korxonaning texnologik bazasini ishini tashkil etish va nazorat qilish. Bundan tashqari, quyidagi vazifalarni ajratish mumkin:

  • tayyorlashda yordam berish
    hujjatlar;
  • oldini olish va yo'q qilish
    tizimning ishlamay qolishi;
  • IT xatarlari ustidan nazorat;
  • o'ng tomonda yordam bering
    kompaniya boshqaruvi.

Korxona infratuzilmasini loyihalashdan oldin AT-tahlil natijalari:

  • Nimani avtomatlashtirishni rejalashtirayotganingizni bilsangiz kerak.
  • Avtomatlashtirish uchun qancha vaqt ketishini bilasiz.
  • Loyihalashdan oldingi so'rovdan so'ng siz tizimni yaratish bo'yicha texnik topshiriqni ishlab chiqishni boshlashingiz mumkin.
  • Siz korxonani avtomatlashtirish uchun qancha pul sarflashini bilasiz.
  • Eng muhimi, siz avtomatlashtirish nimani berishini va uning iqtisodiy jihatdan asoslanganligini aniq bilishingizdir!

Agar sizning korxonangiz allaqachon AT infratuzilmasiga ega bo'lsa va siz uni kengaytirishni rejalashtirmoqchi bo'lsangiz, u holda loyihadan oldin AT-audit ba'zi echimlardan foydalanishning muvofiqligini baholashga, yangi axborot tizimlarini joriy qilishda yuzaga kelishi mumkin bo'lgan muammolarni ko'rsatishga yordam beradi.

Zamonaviy sharoitda biznesni avtomatlashtirish uning raqobatbardoshligi va barqaror rivojlanishi uchun muhim rol o'ynayotganini, shuningdek, shu asosda korxonani avtomatlashtirish amalga oshirilayotgan texnologiyalar va dasturiy echimlarni doimiy ravishda takomillashtirib borishini hisobga olib, katta mablag'lar, investitsiyalarni amalga oshirish va ekspluatatsiya qilish bosqichida biznesni avtomatlashtirishni talab qiladi, kompaniya rahbariyati tomonidan uning IT-infratuzilmasi holatini tahlil qilish va nazorat qilish.

AT-auditning turlari

Kompaniyamiz mutaxassislari quyidagi turdagi IT-auditni o'tkazishga tayyor:

Turi

Tavsif

IT infratuzilmasi auditi

Uskunaning eskirganligini aniqlash, zaif tomonlarni qidirish va ularning biznes uchun muhimligini aniqlash.

IT xodimlari malakasini tahlil qilish

Tizim ma'murlari bilan suhbatlashish, vakolat va xatarlarni tavsiflash.

Foydalanuvchilarning qoniqishlarini o'rganish

Foydalanuvchilarning shikoyatlari va istaklarini tahlil qilish va ularni texnik xodimlarning foydalanuvchilar bilan muloqotidagi zaif tomonlari asosida aniqlash.

SLA tekshiruvi

Xizmat ko'rsatish bo'yicha kelishuvni tahlil qilish, uning bajarilish sifati (ITIL amaliyotlari asosida), uni tayyorlash (agar mavjud bo'lmasa).

Axborot xavfsizligi auditi

ISO / IEC 27001 standartlariga muvofiq to'liq hisobotni taqdim etish.

Potentsial xatarlar to'g'risida hisobot

Korxonada risklarni boshqarishni amalga oshirishda tuziladi.

IT xarajatlari uchun asos

IT-infratuzilmaning to'g'ridan-to'g'ri va bilvosita xarajatlarini tahlil qilish, tizimlashtirish va tavsiyalar berish.

Qanday ishlayapmiz?

Nima kerak? Maqsadlarni aniqlashtirish IT-audit uchun variantlarni tanlash

Biz qilamiz
Ishlarni bajarish

Ko'rsatilmoqda Taqdimot
natijalar

Biz buni tuzatayapmizmi?
Harakatlar rejasini ishlab chiqishRejani amalga oshirish

IT-audit natijasi qanday?

  1. Siz auditorlik xulosasini olasiz
    holati bo'yicha
    Sizning kompaniyangizning IT-infratuzilmasi.
  2. Rivojlanish rejasi taqdim etilgan
    1-3 yil davomida IT-kompaniyalar.
  3. Taqdim etilgan rejaga muvofiq
    batafsil o'rganish olib borilmoqda.

Ayni paytda, har bir rahbar bu masalada xolis va etarli baho bera olmasligi aniq. Shu munosabat bilan biz IT-auditni amalga oshiradigan mustaqil mutaxassislarga yuklatilgan asosiy funktsiya haqida gaplashishimiz mumkin: kompaniya boshqaruviga axborot tizimining asosini tashkil etadigan ma'lumotlar bazalarini qanchalik to'g'ri ishlab chiqilganligi to'g'risida xolisona hisobot berish. amalga oshirildi, ishlab chiqarish jarayonlari va boshqaruvini avtomatlashtirish qanchalik samarali amalga oshirildi. Shuningdek, IT-auditi javob berishi kerak bo'lgan asosiy savollardan biri bu axborot texnologiyalari sohasida amalga oshirilgan echimlarning kompaniya faoliyati va uning oldida turgan vazifalarga qanchalik mos kelishi. Oxir oqibat, AT-infratuzilmasi auditi avtomatlashtirishga sarmoyalar rentabelligini, ushbu avtomatlashtirishni optimallashtirishning mumkin bo'lgan usullarini baholaydi.

Nima uchun AT-auditni buyurishga arziydi?

Faqatgina mustaqil mutaxassislargina korxonani dasturiy-raqamli va apparat ta'minotining hozirgi holati to'g'risida aniq tasavvurga ega bo'lishlari mumkin. Axborot texnologiyasini tahlil qilishda o'z xodimlarim har doim ham ob'ektiv bo'lmaydilar, chunki ular quyidagilar uchun ma'lum shaxsiy qiziqishlarga ega bo'lishi mumkin:


  • o'zlarining ishlarida kamchiliklarni yashirish;
  • Apparat va dasturiy ta'minot tarkibiy qismlarini ma'lum sotuvchilardan sotib olishdan foyda oling - hatto sotib olish zarurati aniq bo'lmagan yoki yo'q bo'lsa ham.

IT-infratuzilmaning mustaqil auditi o'tkazilganda, bunday nuanslar chiqarib tashlanadi. Mutaxassislar korporativ tarmoq, ish stantsiyalari va aloqa uskunalari holatini har tomonlama baholaydilar va aniq tavsiyalar bilan xolis fikr bildiradilar.

IT-infratuzilmani tahlil qilish biznesning kengayishi bilan bog'liq holda ayniqsa dolzarb bo'lib kelmoqda. Uning kelajakdagi ishlashi uchun talablarni, shuningdek, ko'tarilgan yuklarni hisobga olgan holda xavfsizlik, ishonchlilik va ishonchlilik darajasini oldindan ko'rish va shakllantirish kerak.

Shuning uchun rivojlangan Evropa mamlakatlarida, masalan, IT-korxonani tahlil qilish majburiy o'lchov sifatida qaraladi, uning xatti-harakatlari ma'lum vaqt oralig'ida amalga oshiriladi. Mamlakatimizda infratuzilmaning IT-auditi asosan kompaniyaning mavjud infratuzilmasini yangi yoki kompleks modernizatsiya qilish va optimallashtirishni yaratish bo'yicha dastlabki ishlar sifatida buyuriladi. Bunday holda, bu haqiqatan ham zarur bo'lgan voqea, chunki bu har bir aniq holatda biznesni samarali avtomatlashtirish orqali bajarilishi kerak bo'lgan asosiy mezon va talablarni aniqlashga imkon beradigan AT-audit. Aynan shu ma'lumotlar kelajakdagi tizimning konfiguratsiyasini ishlab chiqish uchun asos bo'lib, mijozga mumkin bo'lgan variantlarni taklif qilish va kelishish imkonini beradi. Shu nuqtai nazardan, agar korxona infratuzilmasini AT auditi va avtomatizatsiyasi bitta ijrochi tomonidan amalga oshirilsa, bu muammoni hal qilishda individual va kompleks yondashuvni ta'minlasa, optimal echimni ko'rib chiqish mumkin.

"IT auditi: auditor" dasturi

Dastur " IT auditi: Auditor ”- bu auditorlarga auditorlik tekshiruvini o'tkazishda yordam beradigan moslashuvchan vositani taklif qiluvchi auditorlik metodologiyasini ishlab chiquvchi dizayner. Dastur " IT auditi: Auditor "auditorlik firmasining xo'jalik yurituvchi sub'ektlar auditorlik tekshiruvlarini o'tkazish bilan bog'liq faoliyatini avtomatlashtirishni ta'minlaydi.

Dastur " IT auditi: Auditor "xalqaro auditorlik standartlari talablarini hisobga olgan holda ishlab chiqilgan (Rossiya Federatsiyasi Hukumatining 2002 yil 23 sentyabrdagi 696-sonli qarori).

Kichik korxona auditini o'tkazishda (audit muddati - 5 kun) dasturni qo'llash " IT auditi: Auditor "Sizga sifatli rejalashtirish, o'tkazish va o'tkazilgan auditorlik protseduralarini va audit natijalarini qayd etish imkonini beradi; o'rta va yirik korxonalarda audit o'tkazishda - auditorlik tekshiruvini o'tkazish vaqtini 10-30 foizga qisqartirish.

Dastur quyidagilarni ta'minlaydi:

1) audit metodologiyasi bo'yicha ma'lumotnomalarni yuritish;

2) mijozlar yozuvlarini yuritish;

3) mijozlar bilan aloqa qilish;

4) tuzilgan shartnomalarni hisobga olish;

5) mijozlarning buxgalteriya ma'lumotlarini import qilish;

6) tekshiruvlarni rejalashtirish;

7) auditorlik tekshiruvlarini shakllantirish;

8) audit rejasini tuzish;

9) audit dasturini tuzish;

10) mijozning xo’jalik operatsiyalari tavsifi;

11) ahamiyatlilik darajasini hisoblash;

12) namuna olish va natijalarni tahlil qilish;

13) auditorlar forumi (auditorlarning aloqasi);

14) aniqlangan huquqbuzarliklar to'g'risida xulosaviy ma'lumotlarni shakllantirish;

15) muqobil hisobotni shakllantirish;

16) audit sifatini nazorat qilish Kovaleva O.V. Audit. Darslik / Ed. O.V. Kovaleva, Yu.P. Konstantinov. - M.: PRIOR, 2008 .-- p. 128 ..

Dastur " IT auditi: Auditor "sizga auditorlik firmasi mijozlari to'g'risidagi ma'lumotlarni (raqam cheklanmagan) tashkil qilish, mijozning tafsilotlari, haqiqiy va yuridik manzili, aloqador shaxslar, mijoz bilan muzokaralar, tuzilgan shartnomalar, javobgar shaxslar to'g'risidagi ma'lumotlarni saqlashga imkon beradi. mijoz bilan ishlash va boshqalar. Dastur mijozlarni ularni tavsiflovchi har xil parametrlarga ko'ra saralashga imkon beradi.

Mijozlar to'g'risidagi ma'lumotlar tegishli joyda saqlanadi Mijozlar katalogi ... Mijozlar ma'lumotnomasida, shuningdek, tekshirilayotgan tashkilot xodimlari to'g'risida ma'lumotlar mavjud.

Mijoz bilan tuzilgan shartnomalar to'g'risidagi ma'lumotlar tizimning axborot bazasiga ham kiritilishi mumkin.

Dastur auditni uslubiy qo'llab-quvvatlashga katta e'tibor beradi va qo'llab-quvvatlashni ishlab chiquvchilar tomonidan ham, auditorlik firmasining o'zi ham amalga oshirishi mumkin.

Dastur " IT auditi: Auditor "quyidagi ma'lumotnomalarni o'z ichiga oladi:

1) audit ob'ektlari (auditorlik bo'limlari);

2) auditorlik protseduralari;

3) mumkin bo'lgan buzilishlar;

4) odatdagi operatsiyalar.

Dastur sizga auditorlik protseduralari bilan qonunbuzarliklar, auditorlik tekshiruvi ob'ektlari (vazifalari) va auditorlik protseduralari o'rtasidagi munosabatlarni o'rnatishga imkon beradi. Aloqalar ma'lumotnomalar yordamida o'rnatiladi.

Tekshirish ob'ektlari (bo'limlari) katalogi asosiy hisoblanadi va auditorlik protseduralari, yuzaga kelishi mumkin bo'lgan qoidabuzarliklar va odatdagi biznes operatsiyalari kataloglari bo'ysunadi.

"Auditorlik protseduralari" ma'lumotnomasi audit dasturini shakllantirishda foydalaniladi va auditorlik tekshiruvi davomida to'ldirilgan auditorning ishchi hujjatlari shablonlarini o'z ichiga oladi. Ishchi hujjatlarning muhim qismi mijozlarning buxgalteriya hisobi to'g'risidagi avtomatik ma'lumotlari bilan to'ldirilishi mumkin. Ushbu qo'llanma yordamida tegishli auditorlik protsedurasining asosiy mehnat zichligi o'rnatilishi mumkin. Auditorlik protsedurasi - muayyan auditorlik zonasida (auditorlik ob'ekti) kerakli auditorlik dalillarini olish bo'yicha auditor harakatlarining ma'lum bir tartibi va ketma-ketligi.

Mumkin bo'lgan qoidabuzarliklar katalogida mumkin bo'lgan qoidabuzarlikning nomi va tavsifi mavjud. Agar tekshirilayotgan korxonada qoidabuzarliklar aniqlansa, auditorlik xulosasini tuzishda ma'lumotnomadan foydalaniladi.

Dastur federal qonunlarning asosiy talablarini qanday amalga oshirayotganini ko'rib chiqish kerak.

2-sonli qoida (standart) "Auditni hujjatlashtirish".

Dastur " IT auditi: Auditor "auditorga audit davomida olingan dalillarni hujjatlashtirish, auditorlik tekshiruvining federal qoidalariga (standartlariga) rioya qilish, saqlash va zaxiralash, ko'rish va bosib chiqarishni ta'minlash uchun zarur ishchi hujjatlarni shakllantirish uchun keng imkoniyatlarni beradi.

Ushbu standartning talablari dastur tomonidan quyidagi shakllarni to'ldirish natijasida amalga oshiriladi: "Auditni rejalashtirish", "Audit rejasi", "Audit dasturi", "Auditorlik topshirig'i", "Mijozning biznes operatsiyalarining tavsifi".

Audit davomida olingan ma'lumotlar quyidagi bo'limlarda saqlanadi:

1) mijoz to'g'risidagi umumiy ma'lumotlar;

2) tuzilgan shartnomaga oid ma'lumotlar;

3) auditorlik xulosasi shakllanadigan davrga tegishli ma'lumotlar;

4) tekshirishning muayyan davri bilan bog'liq ma'lumotlar.

Dastur mijozlar va auditorlik tekshiruvi bosqichlari to'g'risidagi ma'lumotlarning ishonchli saqlanishini ta'minlab, mijozlar kontekstida ma'lumot olish huquqini farqlashni nazarda tutadi.

3-sonli qoida (standart) "Auditni rejalashtirish".

Dasturda " IT auditi: Auditor "auditni rejalashtirish uni auditorlik dasturida va" Xo'jalik muomalalarining tavsifi "shaklida samarali o'tkazish uchun amalga oshiriladi.

Amalga oshirilgan auditorlik protseduralari, ularning xodimlar o'rtasida taqsimlanishi va bajarilish ketma-ketligi, auditorlik protseduralarini bajarilishining rejalashtirilgan va haqiqiy mehnat zichligi hisobga olingan holda audit dasturida batafsil audit rejasini tuzish mumkin. auditorlik tekshiruvining borishini kuzatish tartibi. Shu bilan birga, auditorlik tekshiruvining butun davrida o'zgarishlarga yo'l qo'yiladi.

4-sonli qoida (standart) "Auditda muhimlik".

Dastur " IT auditi: Auditor "sizga muhimlikni bir necha usul bilan hisoblashga imkon beradi: umuman, hisobot berish, muhimlik sharoitida buxgalteriya hisobvaraqlariga tarqatish:

1) hisobvaraqning debeti bilan;

2) schyotning debet aylanmasi;

3) schyotning kredit aylanmasi;

4) hisob krediti.

Auditorlik protseduralarini tanlash "Audit dasturi" va "Xo'jalik muomalalarining tavsifi" shakllarida amalga oshiriladi. Tuzatilmagan xatoliklar yig'indisi "Muqobil hisobot" shaklida jamlangan.

7-sonli qoida (standart) "Ichki audit sifatini nazorat qilish".

Tekshiruv boshlig'iga auditorlik tekshiruvining borishini nazorat qilish, topshiriq va sharhlarni "Xo'jalik muomalalarining tavsifi", "Audit dasturi", "Auditorlarning aloqasi" shakllarida shakllantirish imkoniyati berildi.

"Xo'jalik muomalalarining tavsifi", "Audit dasturi", "Auditorlarning aloqasi" shakllarida auditorlar va ularning yordamchilarining topshirilgan ishlarni bajarishda harakatlarini batafsil tavsiflash, shuningdek ish hujjatlarini biriktirish imkoniyati mavjud. yakunlandi.

Hozirda dasturga yangi qoidalarni (standartlarni) kiritish bo'yicha ishlar olib borilmoqda.

"Namunaviy so'rov o'tkazish" shaklida auditor tekshirilgan (umumiy) populyatsiya asosida muhimlik darajasidan oshib ketadigan elementlarni, asosiy elementlarni tanlab olishi va turli yo'llar bilan tanlangan populyatsiyani tashkil qilishi mumkin.

Shuningdek, auditorga "Xo'jalik muomalalarining tavsifi" shaklida keltirilgan mijozning xo’jalik operatsiyalarini tahlil qilish, operatsiyalarni tekshirish usullarini (qattiq tekshirish, tasodifiy tekshirish, tekshiruv o'tkazilmasligi, past ko'rsatkichni tasdiqlash) xavf darajasi).

Dasturga kiritilgan " IT auditi: Auditor ”buxgalteriya hisobi ma'lumotlarini filtrlash (tanlab olish) vositalari har qanday mezon bo'yicha ma'lumotlarni tabaqalashga imkon beradi, keyinchalik namunaviy o'rganish uchun ma'lumotlarni yuklash yoki auditorning ish qog'ozini to'ldirish imkoniyati mavjud.

Dastur auditorga auditorlik tekshiruvi paytida aniqlangan xatolarni ekstrapolyatsiya qilishga imkon beradi.

Auditni avtomatlashtirish dasturidan foydalanishning afzalliklari:

· Dastur to'g'ridan-to'g'ri ishlab chiquvchilar tomonidan (vositachilarsiz) sotiladi va qo'llab-quvvatlanadi, bu xaridorning dasturni sotib olish va undan keyingi xizmat ko'rsatish xarajatlarini kamaytirishga imkon beradi;

· Auditorlik biznesining barcha jihatlarini qamrab oladi (xodimlarni ish bilan ta'minlash, pudrat ishlarini tashkil etish, mijozlar yozuvlari, auditni rejalashtirish, "sohada" ishlash va hk);

· Audit natijalari, arxivlash imkoniyati va keyinchalik ma'lumotlarga kirish imkoniyati asosida barcha ma'lumotlarni tizimlashtirishga imkon beradi;

· Yuzlab auditorlik kompaniyalari tomonidan keng qo'llaniladigan (birinchi o'ntalikka kiruvchi kompaniyalardan kichik auditorlik kompaniyalari va individual auditorlargacha);

· Dizayner bo'lib, foydalanuvchilarga audit metodologiyasini mustaqil ravishda sozlash imkoniyatini beradi;

· Auditorning ishchi hujjatlari shablonlarining ko'p sonini o'z ichiga oladi;

· Buxgalteriya hisobining eng keng tarqalgan dasturlaridan buxgalteriya ma'lumotlari auditini avtomatlashtirish uchun dasturga yuklash uchun qulay vositalarni taqdim etadi: 1C Enterprise 7.7 (8.1) va boshqalar.

· Auditorning ishchi hujjatlarini buxgalteriya ma'lumotlari bilan avtomatik ravishda to'ldirishga imkon beradi;

· Mumkin bo'lgan qoidabuzarliklarning shablonlari, shuningdek foydalanuvchilar tomonidan uni o'zlari to'ldirishlari uchun vositalar mavjud;

Statistik tanlovning turli xil usullari taqdim etiladi: to'g'ri tasodifiy (takroriy va takrorlanmaydigan), mexanik (sistematik), pulli to'g'ri tasodifiy (takrorlanadigan va takrorlanmaydigan) usul;

· Doimiy (o'zgaruvchan) fayl avtomatik ravishda auditorlik tekshiruvi natijalari asosida yaratiladi;

· Intuitiv interfeysga ega, dastur uchun juda ko'p miqdordagi ishlab chiqilgan hujjatlar va o'quv materiallari (Flash-videolar), bu sizni tezda boshlashga imkon beradi Kovaleva O.V. Audit. Darslik / Ed. O.V. Kovaleva, Yu.P. Konstantinov. - M.: PRIOR, 2008 .-- p. 135 ..

Auditni avtomatlashtirish dasturini qo'llash quyidagilarni ta'minlaydi:

· Uslubiy ishlarni tizimlashtirish;

· Auditni samarali rejalashtirishni tashkil etish;

· Auditning sifatini oshirish;

· Auditorlik tekshiruvi davomida tezkor va keyingi nazoratni kuchaytirish;

· Auditning mehnat zichligini kamaytirish;

· Auditorlik standartlariga muvofiqligi;

· Kompaniyaning boshqaruvchanligini oshirish;

· Tekshirishlar materiallariga kirish huquqlarini farqlash;

· Axborotlarni tizimlashtirish va arxivlash.

Axborot tizimlarining rivojlanishi kompaniyaga aniq foyda keltiradi. Ammo, agar ular noto'g'ri ishlatilsa, ular o'ziga xos xatarlarning manbaiga aylanadi, ularni amalga oshirish nafaqat texnologiyani amalga oshirish samarasini minimallashtirishga, balki katta yo'qotishlarga olib kelishi mumkin. IT-audit ushbu xatarlarni aniqlashga, AT tizimining samaradorligini baholashga va uni takomillashtirish yo'nalishlarini tanlashga imkon beradi.

Tarixiy nuqtai nazardan, "axborot texnologiyalari xavfi" yoki "IT xavfi" atamasi ma'lum bir xavfsizlik xavfsizligiga tahdidlar - viruslar, xakerlik hujumlari, axborot o'g'irlanishi va uskunalarni qasddan yo'q qilish natijasida yuzaga keladigan salbiy hodisalar ehtimolini anglatardi. Biroq, so'nggi yillarda ushbu atamani talqin qilish sezilarli darajada kengaydi va nafaqat axborot xavfsizligi xavflarini, balki asosiy faoliyat samaradorligini oshirish uchun axborot texnologiyalaridan foydalanish maqsadlariga erishmaslik xavflarini ham hisobga oladi.

Ushbu xatarlar axborot tizimlarini yaratish bosqichida ham, ularning ishlashi jarayonida ham yuzaga keladi. Axborot tizimlarini loyihalash, hujjatlashtirish, ishlab chiqish va amalga oshirishda bu quyidagilarga bog'liq:

  • suboptimal avtomatlashtirish echimini tanlash;
  • dizayndagi xatolar;
  • loyihaning taxminiy shartlari va byudjetining buzilishi;
  • infratuzilma va avtomatlashtirish echimlari o'rtasidagi nomuvofiqliklar;
  • tizimlarni o'rnatish paytida texnik va tashkiliy xatolar. Axborot tizimlarining ishlash bosqichida maqsadlarga erishilmasligi uchun muhim xavf omillari quyidagilardir:
  • qo'llab-quvvatlashning maqbul darajasini aniqlashda biznes va IT o'rtasidagi samarasiz o'zaro bog'liqlik;
  • texnologiyaning to'liq imkoniyatlaridan foydalanmaslik;
  • tizimlarni saqlash va rivojlantirishning eng maqbul darajasini ta'minlashning iloji yo'qligi;
  • suboptimal parvarishlash va favqulodda tartib-qoidalar;
  • infratuzilma elementlari va texnik xodimlarga yukni hisoblashda xatolar.

Bunday tahdidlarning oldini olish uchun korxona xatarlarni boshqarish, ichki nazorat va ichki auditni ham asosiy faoliyat darajasida, ham uni qo'llab-quvvatlovchi axborot texnologiyalari darajasida, ya'ni IT tizimini birlashtirgan yaxlit tizim yaratishi kerak. Ushbu tuzilmaning etuklik darajasi uning asosiy faoliyati maqsadlarida axborot texnologiyalaridan kerakli darajada samarali, oqilona va xavfsiz foydalanishni ta'minlash qobiliyati bilan belgilanadi. Yetuklik darajasi qanchalik baland bo'lsa, AT xatarlari darajasi past bo'ladi va axborot texnologiyalaridan foydalanish samaraliroq bo'ladi. Axborot texnologiyalari tizimini shakllantirishda allaqachon mavjud va umume'tirof etilgan mezonlarga (standartlarga) tayanish kerak. IT-menejment fanining rivojlanishining 30 yillik tarixi davomida etakchi xalqaro institutlar (ISACA, OGC, ISO) eng yaxshi amaliyotlar to'plami (masalan, ITIL) va ochiq standartlar ko'rinishida batafsil talablar to'plamini ishlab chiqdilar. (CobiT, ISO 20000 va boshqalar)

AT-audit asosiy audit ob'ekti sifatida

Axborot texnologiyalari sohasidagi menejment va auditning xalqaro standartlari AT tizimini minimallashtirish vazifasiga muvofiqligini aniqlash uchun AT jarayonlarini iyerarxiyasi, nazoratning batafsil maqsadlari va standart operatsion protseduralari bo'yicha baholashni tavsiya qiladi. xatarlar. Shu maqsadda IT-jarayonlar 30 dan ortiq yuqori darajadagi IT-xatarlarni minimallashtirishga mas'ul bo'lgan batafsil ekspertizadan o'tkaziladi. IT-xatarlari va ularni minimallashtirish bo'yicha ishlar olib boriladigan jarayonlar ro'yxatining bir qismi jadvalda keltirilgan. 1. Ushbu faoliyat har bir alohida jarayonga xos masalalar bo'yicha ham, jarayonni boshqarishning standart elementlari bo'yicha ham ko'rib chiqiladi:

  • mas'uliyatni boshqaruvning barcha darajalari o'rtasida taqsimlash va ular o'rtasida etarli darajada o'zaro aloqani ta'minlash;
  • kadrlar malakasini talab darajasida saqlash mexanizmlarining mavjudligi va samaradorligi;
  • barcha darajalarda to'liq va dolzarb jarayon hujjatlarini saqlash;
  • AT xizmatlarini boshqarish maqsadli ko'rsatkichlarga erishish darajasini baholash va natijada samarali boshqaruv qarorlarini qabul qilish imkoniyatini beradigan har bir AT jarayoni uchun ishlashni o'lchash va ichki hisobotlarni yaratish mexanizmlarining mavjudligi va to'liqligi;
  • joriy faoliyatni tezkor nazorat qilish tartib-qoidalarining mavjudligi, yo'nalish menejerlari tomonidan operatsion nosozliklarni o'z vaqtida aniqlashni ta'minlash, masalan, xodimlarning muntazam tartib-qoidalarga rioya qilmasligi;
  • tegishli IT jarayonlari o'rtasida ma'lumot almashish tartib-qoidalarining mavjudligi;
  • faoliyat samaradorligini oshirish usullari va maxsus vositalari, masalan, foydalanuvchi so'rovlarini ro'yxatdan o'tkazish va hisobga olish uchun avtomatlashtirish vositalaridan foydalanish;
  • mavjud samaradorlikni tahlil qilish va axborot texnologiyalarini rivojlantirish rejalari asosida faoliyatni takomillashtirish.
1-jadval

IT jarayoni

Xavfli vaziyatning mumkin bo'lgan belgilari

IT strategik rejalashtirish

Strategik biznes-rejalashtirish bosqichida AT-strategiyasining masalalari ko'rib chiqilmaydi, bu AT-bo'limning ishini biznesning dolzarb talablari uchun faol ravishda optimallashtirishga imkon bermaydi.

IT-faoliyatni strategik rejalashtirish zarur bo'lganda, ma'lum bir biznes talabiga javoban amalga oshiriladi va shuning uchun natijalar vaqti-vaqti bilan va mos kelmaydi. Strategik rejalashtirish masalalari ba'zida yig'ilishlarda faqat biznes bo'limlari rahbarlarida emas, balki AT bo'limi rahbariyati darajasida muhokama qilinadi. Ilovalar va texnologiyalarni biznesning ehtiyojlarini qondirish uchun sozlash tashqi ta'sirlarga, masalan etkazib beruvchilarning takliflariga reaktsiya bo'lib, kompaniya tomonidan ishlab chiqilgan strategiyaga asoslanmaydi. Xatarlarni strategik baholash rasmiylashtirilmagan va loyihadan loyihaga o'tkaziladi.

IT arxitekturasini rejalashtirish

Axborot tizimlarining tuzilmasi optimallashtirilmagan, bu korporativ tizimda ma'lumotlarning ortiqcha (takrorlanishini) oshiradi, shuningdek tizimlar va ilovalarning muvofiqligi darajasini pasaytiradi.

Axborot tuzilishi tarkibiy qismlarining tarqoq rivojlanishi mavjud. Ma'lumotlar sxemalari, hujjatlar va ma'lumotlar sintaksis qoidalarining qisman bajarilishi mavjud. Ta'riflar ma'lumotlarga emas, balki ma'lumotlarga taalluqlidir va dastur ishlab chiqaruvchilarining takliflariga asoslanadi. Xodimlarga axborot arxitekturasiga bo'lgan ehtiyojni tushuntirish xaotik va tartibsizdir.

Xodimlarni boshqarish

Malakali kadrlarni jalb qilish va ushlab turish (motivatsiya) bilan bog'liq siyosat optimallashtirilmagan, bu esa xodimlarning IT faoliyati natijalariga maksimal darajada hissa qo'shishini ta'minlashga imkon bermaydi.

Xodimlarni jalb qilish va boshqarish uchun norasmiy yondashuv, texnologiyani rivojlantirish yo'nalishi va tashkilot ichida va tashqarisida malakali xodimlarning takliflarini mutanosib muvozanatidan ko'ra ko'proq aniq loyihalar ehtiyojlari asosida amalga oshiriladi. Yangi xodimlarni norasmiy o'qitish amalga oshiriladi.

Loyiha boshqaruvi

Loyihani boshqarish bo'yicha yondashuvlar optimallashtirilmagan, bu vaqt va ish qiymati bo'yicha majburiyatlarning bajarilmasligiga olib keladi. IT sohasida loyihalarni boshqarish metodologiyasi va yondashuvlaridan foydalanish to'g'risida qaror qabul qilish alohida menejerlarning ixtiyoriga berilgan.

Loyihani boshqarish bo'yicha asosiy qarorlar foydalanuvchi boshqaruvi yoki mijozning dastlabki ma'lumotisiz qabul qilinadi. Mijozlar va foydalanuvchilar IT-loyihalarni belgilashda qatnashmaydilar yoki ularning ishtiroki ahamiyatsiz. IT-loyihalar yomon tashkil etilgan: ishtirokchilarning roli va mas'uliyati, shuningdek, loyiha jadvali aniqlanmagan, ishchi kuchi xarajatlari kuzatilmagan.

IT infratuzilmasini sotib olish

IT infratuzilmasini sotib olish va texnik xizmat ko'rsatish optimallashtirilmagan va standartlashtirilmagan. Ish paytida bu tizimlarning ishlash ko'rsatkichlarining pasayishiga va tizimda saqlanadigan ma'lumotlar va dasturlarga nisbatan xavfsizlik xavfining paydo bo'lishiga olib keladi.

Har bir yangi dastur uchun infratuzilma o'zgarishi hech qanday bosh rejasiz amalga oshiriladi. Xizmat qisqa muddatli ehtiyojlarni hisobga olgan holda tashkil etiladi. Sinov muhiti - bu ishlab chiqarish muhiti. Axborot texnologiyalari infratuzilmasini sotib olish va saqlash hech qanday aniq strategiyaga asoslanmagan va qo'llab-quvvatlanishi kerak bo'lgan biznes dasturlarining ehtiyojlarini hisobga olmaydi. Ta'minot jadvallari to'liq ishlab chiqilmagan va tadbirlar muvofiqlashtirilmagan.

Provayder xizmatini boshqarish

IT-xizmat ko'rsatuvchi provayderlar bilan aniq shartnoma munosabatlari (kelishuvlari) mavjud emas, shu jumladan rollarni, majburiyatlarni va kutishlarni belgilash, shuningdek, tegishli shartnomalarni samaradorlik va muvofiqlik nuqtai nazaridan ko'rib chiqish va nazorat qilish, bu etkazib beruvchining majburiyatlarini bajarmaslik holatlarida zarar etkazish xavfini oshiradi.

Uchinchi tomonlar bilan shartnomalar tuzishning rasmiy siyosati va tartibi mavjud emas. Uchinchi tomon tashkilotlarining faoliyati baholanmaydi. Uchinchi tomonlar hisobot bermaydilar. Hisobot berish majburiyatlari bo'lmagan taqdirda, yuqori darajadagi rahbariyat ko'rsatilayotgan xizmatlar sifati to'g'risida ma'lumotga ega emas. Xizmat ko'rsatuvchi provayderlar bilan shartnomalarning standart shartlari mavjud emas. Ko'rsatilayotgan xizmatlarni baholash o'zboshimchalik bilan va qismlarga bo'linib amalga oshiriladi. Metodika shaxsning individual tajribasiga va etkazib beruvchiga bog'liq (masalan, so'rov bo'yicha).

Davomiylikni boshqarish

Axborot texnologiyalari sohasidagi faoliyatning uzluksizligini ta'minlash rejalarini (shu jumladan ma'lumotlarni zaxira saqlash rejalarini) tuzish (saqlash va sinovdan o'tkazish) uchun rasmiylashtirilgan yondashuv mavjud emas, bu muhim sohalarda va biznes jarayonlarida AT xizmatlarini ko'rsatishda sezilarli uzilishlar bo'lishini katta ehtimolga olib keladi. favqulodda vaziyat yuzaga kelganda sodir bo'ladi.

Katta qonunbuzarliklarga reaktsiyalar oldindan o'ylanmagan yoki tayyorlanmagan. Rejalashtirilgan tizimni to'xtatish, AT xizmatlari ehtiyojlarini qondirish uchun biznes talablarini hisobga olmagan holda amalga oshiriladi. Xizmatning uzluksizligi yondashuvlari to'liq emas va qismlarga bo'linadi. Tizimning mavjudligi to'g'risida kiruvchi ma'lumotlar biznesning holatini hisobga olmaydi. Foydalanuvchining harakatlari yoki doimiy ishlashini ta'minlash uchun hujjatli yordam yo'q.

Manba: IT mutaxassisi tomonidan ishlab chiqilgan xatarlar katalogi

Ochiq standartlar

CobiT (Axborot va tegishli texnologiyalarni boshqarish maqsadlari) - bu korporativ axborot texnologiyalari menejmentining xalqaro standarti bo'lib, u biznes va IT strategiyasini uyg'unlashtirishga, biznes rahbarlari va axborot xizmatini boshqarish o'rtasida dialogni o'rnatishga yordam beradi. ITIL (IT Infrastructure Library) eng yaxshi amaliyotlar kutubxonasi - bu so'nggi 15 yil ichida ko'plab mamlakatlarda faol qo'llanilib kelinayotgan axborot texnologiyalarini boshqarish standarti. ISO 20000 (Axborot texnologiyalari - Xizmatni boshqarish) - bu standart mezonlarni o'z ichiga olgan standart bo'lib, unga binoan AT xizmatlarini ko'rsatuvchi har qanday kompaniya yoki xizmat o'z biznesini hisobga olgan holda ularning samaradorligi va mijozlar talablarining bajarilishini baholashi mumkin. Standart IT-xizmatlariga yo'naltirilgan sanoat standarti sifatida ishlab chiqilgan - ISO 9001: 2000 analogi.

Tekshirish bosqichlari

Auditning dastlabki bosqichida - rejalashtirish bosqichi (1-rasmdagi "I"), qoida tariqasida, natijalarga qo'yiladigan talablar aniqlanadi, ko'rib chiqilishi va baholanishi kerak bo'lgan xatarlar ro'yxati kelishib olinadi va chegaralar auditorlik tekshiruvi o'tkaziladigan biznes jarayonlari va bo'limlari ro'yxati aniqlanadi. Bosqich quyidagilarni o'z ichiga oladi:

  • baholanadigan IT jarayonlari va unga bog'liq bo'lgan AT-xatarlar ro'yxatining dastlabki reytingi;
  • auditorlik chegaralarini muvofiqlashtirish: ular bo'yicha tahlil o'tkaziladigan AT xizmatlari, tizimlari, dasturiy ta'minot, bo'limlar va mutaxassislar;
  • auditning batafsil rejasini shakllantirish va tasdiqlash.

Auditor, odatda, xalqaro standartlarga muvofiq, axborot avtomatlashtirilgan tizimlarini rejalashtirish, ishlab chiqish, tatbiq etish va ishlatish bosqichlariga xos bo'lgan AT xatarlarining ma'lumotnomalarini tuzadi. Audit tashabbuskori (buyurtmachi) ko'rsatilgan ro'yxat asosida baholashning ustuvor yo'nalishlarini belgilaydi. Agar AT-audit buyurtmachisi kompaniya menejmentining vakillari bo'lsa, unda aniqroq natijaga erishish uchun anketalarni biznes nuqtai nazaridan shakllantirish tavsiya etiladi (2-jadval). Tekshiruvning vaqti va resurs parametrlarini hisobga olgan holda, auditning chegaralari aniqlanadi (xizmatlar, tizimlar, bo'limlar va boshqalar). Shu bilan birga, ma'lum bir (asosiy) auditorlik maydonini baholash asosida AT-menejmenti to'g'risida ob'ektiv xulosalar chiqarish imkoniyatiga ega bo'lish uchun biznes maqsadlari va / yoki keng tarqalgan xizmatlar va tizimlar uchun eng muhimini ko'rib chiqish tavsiya etiladi. umuman tizim.

Jadval 2. Kompaniya rahbariyati va asosiy foydalanuvchilar bilan intervyu o'tkazish uchun anketadan parcha

IT xavfining tavsifi (IT Expert risk katalogidan)

IT xavfini boshqarish muhimligini baholash

Tanlangan variantni tekshiring

Strategik biznes-rejalashtirish bosqichida IT-strategiya masalalari ko'rib chiqilmaydi Natija:

  • IT xizmatining biznes tashabbuslariga o'z vaqtida javob bermasligi (yangi ofislarni ochish, biznes jarayonlarini avtomatlashtirish);
  • biznes tashabbuslarini aniq IT-echimlariga aylantirish uchun moliyaviy xarajatlarning ko'payishi (IT tomonidan qabul qilingan shoshilinch ravishda maqbul bo'lmagan va noto'g'ri qarorlar)

Xavf ahamiyatsiz

Suhbatga oid tushuntirishlar: xatar taxminiy va kompaniya faoliyati uchun ahamiyatsiz (xatarlarni boshqarish qiymati olingan samaradan yuqori bo'ladi)

O'rtacha xavf (qabul qilinadi)

Suhbat uchun tushuntirishlar: ushbu xatarni strategik nuqtai nazardan boshqarish muhimligi tan olinadi (ushbu bosqichda moliyaviy investitsiyalarni jalb qilishni va korxona rahbarlarining muhim vaqt resurslarini sarflashni talab qilmaydigan masalani oldindan o'rganishga ruxsat beriladi).

O'rtacha xavfdan yuqori

Suhbatga oid tushuntirishlar: qisqa vaqt ichida ushbu xavfni boshqarish (shu jumladan vaqt va moliyaviy resurslarni taqsimlash) muhimligini anglaydi

Xavf katta

Suhbat uchun tushuntirishlar: ushbu tavakkalchilikni amalga oshirish nafaqat qisqa vaqt ichida amalga oshiriladi, balki allaqachon sodir bo'lgan deb taxmin qilinadi

Qo'shimcha baholash parametri

Ushbu xavfni boshqarishda IT va biznesning birgalikdagi ishtiroki zarurligi tan olinadi

Izohlar va tushuntirishlar:

Qabul qilingan ma'lumotlarni hisobga olgan holda auditor so'rovnomalarni shakllantiradi, unda har bir IT jarayoni uchun audit protseduralarining parametrlari, shu jumladan batafsil nazorat maqsadlari nomi va aniqlovchi savollarning taxminiy soni ko'rsatilgan. Axborot texnologiyalari menejmenti tizimini baholash keng qamrovli bo'lishi uchun xususiylardan yuqori darajalarga qadar savollar iyerarxiyasi shakllantiriladi. Axborot texnologiyalari jarayonlarining etuklik darajasini baholashni tahlil qilish uchun aniq masalalar ko'rib chiqiladi, batafsil nazorat maqsadlariga birlashtirilgan. Bunda auditorlarga taqdim etilgan ma'lumotlar va dalillarning to'liqligi va ishonchliligi hisobga olinadi.

Masalan, biz "Pudratchilarga xizmat ko'rsatishni boshqarish" IT-jarayonini baholash uchun so'rovnomaning tuzilishini beramiz:

Jarayonning maqsadlariga erishmaslik xavfi:

  • IT-xizmat ko'rsatuvchi provayderlar bilan aniq shartnomaviy munosabatlarning (kelishuvlarning) yo'qligi (shu jumladan rollarni, mas'uliyat va kutishlarni belgilash, samaradorlik va muvofiqlik nuqtai nazaridan tegishli shartnomalarni tekshirish va monitoring qilish) etkazib beruvchining defolt holatlarida zararlanish xavfini oshiradi.

Maqsadlarga erishishga ta'siri

IT faoliyati:

  • AT faoliyati samaradorligini ta'minlash - o'rtacha ta'sir;
  • IT faoliyatining ratsionalligini ta'minlash - yuqori ta'sir;
  • AT faoliyati xavfsizligini ta'minlash - yuqori ta'sir.

Nazoratning batafsil maqsadlari:

  • jarayonlar siyosati va ish tartiblarini aniqlash;
  • rollarni taqsimlash;
  • hujjatlarni boshqarish;
  • shartnomalarni tahlil qilish;
  • shartnomaviy farqlarni boshqarish;
  • huquqlarni o'tkazish;
  • javobgarlik va hisobdorlik;
  • vositalar;
  • jarayonni qamrab olish;
  • hisobot va ko'rsatkichlar. Keyingi bosqich - bu joylarda o'tkazilgan audit (1-rasmdagi "II"), uning davomida mijozlar kompaniyasining xodimlari bilan suhbatlar o'tkaziladi va ularning natijalari tekshiriladi (3-jadval). Ushbu bosqichda quyidagi vazifalarni hal qilish tavsiya etiladi:
  • ilgari ishlab chiqilgan anketalardan foydalangan holda o'z-o'zini baholash protseduralarini o'tkazish;
  • auditorlik sub'ektining asosiy xodimlari bilan o'z-o'zini baholash natijalarini aniqlash uchun suhbatlar o'tkazish;
Jadval 3. "Konfiguratsiyani boshqarish" jarayonini o'z-o'zini baholash uchun so'rovnomaning bo'lagi

Audit mezonlari

O'z-o'zini hurmat

yoki ha / yo'q

Tashkiliy birlik bayonoti konfiguratsiyani boshqarish bilan bog'liq vazifalar bo'yicha ko'rsatma beradi.

Konfiguratsiyani boshqarish uchun mas'ul bo'lganlarning ish tavsiflari tegishli yozuvlarni o'z ichiga oladi

CMDB (konfiguratsiya ma'lumotlar bazasi) qamrovi aniqlangan va etarli: serverlar, shaxsiy kompyuterlar, DBMS, dasturiy ta'minot, LAN

Konfiguratsiya elementining atributlari (nomi, turi, joyi, egasi, inventarizatsiya raqami, holati, hujjatlari, litsenziyalari va boshqalar) tafsilotlari darajasi aniqlangan va etarli.

Jismoniy va mantiqiy darajadagi konfiguratsiya elementlari o'rtasidagi munosabatlar (munosabatlar) ro'yxatga olinadi

Asosiy konfiguratsiyani ro'yxatdan o'tkazish tartibi qo'llaniladi

Belgilangan va amalga oshirilgan CIlarni qo'shish uchun nazorat tartib-qoidalari

Tetiklantiruvchi hodisalar va CMDB auditining chastotasi aniqlanadi (CMDBda mavjud vaziyat qanchalik to'g'ri aks ettirilganligini tekshirish)

Ish stantsiyalarini avtomatik ravishda tahlil qila oladigan va IT-infratuzilmaning hozirgi holati va holati to'g'risida hisobotlarni tuzadigan auditorlik vositalaridan foydalaniladi
  • suhbatlar va o'z-o'zini baholash natijalarini ishlashni monitoring qilish protseduralari va taqdim etilgan dalillarni batafsil sinovdan o'tkazish (shu jumladan qoidalar, me'yoriy hujjatlar, hisobotlar, voqealar yozuvlari va boshqalar) ni tekshirish.

Buyurtmachi ko'rib chiqilayotgan IT jarayoni bo'yicha suhbat davomida ishning haqiqiy holatining so'rovnomada ko'rsatilgan mezonlarga muvofiqligi darajasiga rasmiy baho beradigan (o'zini o'zi baholaydigan) xodimlarni aniqlaydi. Auditor intervyular o'tkazadi, uning davomida o'z-o'zini baholash natijalari tahlil qilinadi va takomillashtiriladi. O'z-o'zini baholashning yuqori natijalarini tasdiqlovchi dalillar ro'yxati tahlil qilinadi, shu jumladan tegishli dalillarni taqdim etishga tayyorligi baholanadi (4-jadval). So'rovnomaning har bir savoli quyidagi parametrlarga muvofiq ko'rib chiqilishi mumkin: kadrlar malakasi, haqiqiy faoliyati, hujjatlar, monitoring va avtomatlashtirish. Ko'rsatkichlar besh balli shkala bo'yicha baholanadi, masalan, "faollik" ko'rsatkichi bo'yicha quyidagicha taqsimlanadi:

  • 0 - faoliyat amalga oshirilmaydi va zarur deb topilmaydi;
  • 1 - faoliyat amalga oshirilmaydi, lekin zarur deb tan olinadi;
  • 2 - faoliyat qismlarga bo'lingan holda amalga oshiriladi va minimal qamrovga ega, uni dalillar bilan tasdiqlash mumkin emas, mumkin bo'lgan og'ishlarni aniqlash qiyin;
  • 3 - faoliyat davriy ravishda amalga oshiriladi, ammo kichik hajmga ega va faqat ayrim holatlarda yoki "faoliyatni kuzatish" rejimida namoyish qilish orqali dalillar bilan tasdiqlanishi mumkin;
  • 4 - faoliyat doimiy ravishda amalga oshiriladi. Jarayonning yoritilishi qoniqarli darajada va uni ko'paytirish rejalashtirilgan, aksariyat hollarda faoliyatning hujjatli dalillari mavjud;
  • 5 - faoliyat doimiy ravishda amalga oshiriladi, to'liq qamrovga ega, elektron nazorat va auditorlik tekshiruvlariga mos elektron va qog'oz shaklidagi sertifikatlar mavjud. Baho berishda hujjatli dalillarning etarliligini (auditorlik izi) hisobga olish kerak, shu asosda baholanayotgan faoliyat to'g'risida fikr bildirish mumkin. Ushbu hujjatlar guruhiga, masalan, reestrlar va zaxiralar, ro'yxatga olish jurnallari, bayonnomalar, tanishish varaqalari, ish (buyurtma) bajarilishini ko'rsatuvchi aktlar va / yoki hisobotlar kiradi.

Olingan javoblar vazn ko'rsatkichlari va o'z-o'zini baholash natijalari (ballari) bo'yicha tartiblanadi. Keyinchalik anketalarni tekshirish keladi. Og'irlik va o'zini o'zi baholash bo'yicha eng yuqori ko'rsatkichlarga ega bo'lganlar birinchi navbatda fitnes imtihonini topshiradilar. Qanday bo'lmasin, eng yuqori ball to'plagan sertifikatlarning / javoblarning kamida 50% va qolganlarning kamida 30% ushbu protsedura asosida o'tkazilishi kerak. Agar o'z-o'zini hurmat qilish yuqori baholanganligi aniqlansa, auditor o'z bahosini qo'yadi, bu keyingi hisob-kitoblar uchun asos bo'ladi. Tekshirish monitoring faoliyati va mehnat sharoitlari asosida amalga oshiriladi; hujjatlar, tekshiruvlar yozuvlari (dalolatnomalari, bayonnomalari), yig'ilishlar bayonnomalari, auditorlik tekshiruvlari to'g'risidagi hisobotlar (aktlar), xulosaviy ma'lumotlar, tahlil va samaradorlik ko'rsatkichlari, hisobotlarni talab qilish; elektron ma'lumotlar bazalariga va veb-saytlarga kirish. Agar kerak bo'lsa, auditor zudlik bilan mohiyatli auditorlik protseduralarini o'tkazish uchun batafsil test anketasini tuzadi (o'z-o'zini baholash natijalarining qo'shimcha kafolatlarini olish uchun aniq masalalar bo'yicha auditorlik dalillari yig'indisini tanlab tahlil qilish). Auditning yakuniy bosqichida ("III") 1-rasmda) to'plangan dalillar tahlil qilinadi, batafsil baholash va yakuniy auditorlik xulosalari. CobiT xalqaro standarti ushbu bosqichni "ijodiy" deb tavsiflaydi, chunki auditor oldida baholarni alohida alohida savollardan ko'p bosqichli transformatsiyasini amalga oshirish uchun IT-boshqaruv tizimining holati to'g'risida yakuniy hisob-kitoblarni shakllantirishga o'tish qiyin vazifa turibdi. umuman tashkilot.

Hodisalarning etishmasligi xavfli signaldir

Muayyan masala bo'yicha tekshirishni o'tkazish bo'yicha tavsiyalarga misol - "Axborot xavfsizligi bilan bog'liq hodisalarga javob berish" - Britaniya Standartlari Instituti tomonidan ishlab chiqilgan BS 7799 nazoratini amalga oshirish va audit bo'yicha ko'rsatmalarda keltirilgan auditorlik ko'rsatmasi bo'lishi mumkin: "Tashkilot zarur tartib-qoidalarga ega bo'lishi kerak ishlab chiqilgan va amalga oshirilgan va xavfsizlik bilan bog'liq hodisalar to'g'risida xabar berish uchun rahbariyat bilan aloqa kanallari tashkil etilgan. Auditorlar ushbu tartib-qoidalarning har qanday yuzaga kelishi mumkin bo'lgan hodisalarga nisbatan tatbiq etilishini va etarli darajada samarali choralar ko'rilishini ta'minlashi kerak. Agar tashkilot hisobot berish uchun hech qanday voqea sodir bo'lmaganligini va shuning uchun hisobot berish jarayonini namoyish qila olmasligini da'vo qilsa, ehtimol bu hodisalar hech kimni sezmasdan sodir bo'ladi. Shu sababli, xavfsizlik hodisalari to'g'risida xabar berish tartib-taomillari, voqealar to'g'risida xabar berish tartib-qoidalari, o'tmishda biron bir voqea yuz bergan yoki bo'lmaganidan qat'iy nazar taqdim etilishi kerak. Tashkilot xavfsizlik hodisasi (hodisa) ning aniq ta'rifiga ega ekanligi va uni mas'ul shaxslar tushunadimi-yo'qligini tekshirish kerak. Tasdiqlash uchun savollar berish foydalidir, masalan: "Agar siz maxfiy materiallar bilan seyfingiz ochiqligini va atrofda hech kim yo'qligini aniqlasangiz, buni xavfsizlikni buzganlik holati deb bilasizmi?" Ish haqi, buni xavfsizlik deb hisoblash mumkinmi? buzganmi? "

Ushbu bosqichda auditorning asosiy vazifasi - yakuniy xulosalarni shakllantirish mexanizmining shaffofligini tekshirish natijalariga ishonishning asosiy sharti sifatida ta'minlashdir. Barcha manfaatdor tomonlar auditorlik tekshiruvi natijalarini xususiy hisobdan yakuniy bahoga aylantirish zanjiridagi sababiy munosabatlarni kuzatishi kerak. Keling, taxminlarni konvertatsiya qilishning eng aniq bosqichlariga to'xtalamiz.

IT jarayonining etuklik darajasini hisoblash

Ushbu hisoblash jarayoni etuklikning beshta asosiy xususiyatlarini aniqlashni taklif qiladigan CobiT metodologiyasi yordamida amalga oshirilishi mumkin (5-jadval). Auditor muayyan masalalarni jarayonning belgilangan xususiyatlariga ko'ra (vakolat, haqiqiy faoliyat, hujjatlashtirish, o'lchash, takomillashtirish) bo'yicha guruhlaydi va har bir guruh uchun ballarni hisoblab chiqadi. Bunday holda, guruh ichidagi ikkala savolning va guruhlarning o'zlarining vazn xususiyatlarini hisobga olish tavsiya etiladi. Muayyan qiymatlarni aniqlash mutaxassislarning maslahati bilan amalga oshiriladi va ish boshida auditorlik mijozi bilan kelishiladi.

Jadval 5. Voyaga etish darajasini yakuniy baholashni hisoblash formulasi

L = L1 + L2 + L3 + L4 + L5

Etuklik darajasi bo'limlar bo'yicha

Ism

K - bo'limning og'irligi (ballar yig'indisi 5 ga teng)

R (Tn) - anketa va tekshirish natijalari bo'yicha 0 dan 1 gacha bo'lgan asosiy ball (haqiqiy ballar yig'indisi / maksimal mumkin bo'lgan yig'indilar)

L1 = K × R (T1)

Qobiliyat

L2 = K × R (T2)

Faoliyat

L3 = K × R (T3) × R (T2)

Hujjatlar

L4 = K × R (T4) × R (T2)

O'lchov

L5 = K × R (T5) × R (T2)

Yaxshilash

Shaklda ko'rsatilgan hisoblash. 2, AT jarayonining etuklik darajasida tendentsiyani yaratishga imkon beradi.

Salbiy tendentsiya vektori hujjatlar darajasi (ushbu savollar guruhi uchun yakuniy ball) hisobga olingan holda tuziladi. Hujjatlar darajasi qanchalik past bo'lsa, asosiy xodimlar yo'qolganda yoki ish muhitida o'zgarishlar yuz bersa, AT faoliyatining maqsadlariga erishilmaydi (masalan, yangi xodimlar qanday qilib ma'lumot olishlari mumkin emas) ba'zi protseduralar bajarilishi kerak). Shunga ko'ra, ijobiy tendentsiya uchun ishlashni yaxshilash uchun asos sifatida o'lchov va takomillashtirish hisobga olinadi. Tekshiruvdan keyingi davrning davomiyligi (tekshiruvlar orasidagi vaqt) amalda ko'p hollarda bir yildan uch yilgacha o'zgaradi va chastotaga oid qonunchilik va me'yoriy talablar, shuningdek, yetarli asoslilik printsipi - davr hisobga olingan holda belgilanadi. kelajak uchun prognozlarni shakllantirish uchun eng katta qiziqish uyg'otadigan narsa tekshiriladi.

IT xatarlari darajasini hisoblash

Bu xavfni davolashdan keyin, masalan, uni kamaytirish uchun qarshi choralar qo'llanilgandan so'ng, xavf darajasini anglatadi. Ushbu protsedura doirasida auditor aniqlangan xatarlarning tartiblangan ro'yxatini tuzadi va tavakkalchilikning bazaviy darajasi bilan ushbu parametrni boshqarish uchun mas'ul bo'lgan IT jarayonining etuklik darajasi bilan taqqoslaydi (6-jadval). 6 yoki undan kam bo'lgan qoldiq xavf (S) maqbul hisoblanadi. O'rtacha - 7 dan 11 gacha. Yuqori - 12 dan 16 gacha. Muhim - 17 dan 25 gacha.

Xulosa

Auditorlik xulosalarini shakllantirishning barcha bosqichlarida tuzilmalarni baholash tekshiruvdan keyingi davrda turli jarayon ko'rsatkichlarining kutilayotgan dinamikasini hisoblash uchun statistik asosni shakllantirishga imkon beradi. Olingan natijalar risklarni boshqarish tizimining etuklik darajasining oshishi bilan o'zaro bog'liq bo'lgan axborot texnologiyalariga investitsiyalarning uzoq muddatli rejasini shakllantirish uchun ishlatilishi mumkin. Yuqorida aytib o'tilganidek, axborot tizimi qanchalik murakkab bo'lsa, unga etarlicha etuk IT-boshqaruv tizimi mos kelishi kerak. Ammo teskari munosabatlar ham mavjud. Masalan, agar kompaniya oddiy mahalliy tizimga ega bo'lsa, unda u maksimal samaradorlikka 2,8-3,2 etuklik darajasida erishadi. Yuqori daraja hal qiluvchi ustunlik bermaydi, balki qo'shimcha boshqaruv xarajatlariga olib kelishi mumkin (3-rasm). Auditorlik tekshiruvi davomida aniqlangan nomuvofiqliklarni (izohlarni) yo'q qilish bo'yicha standart tavsiyalarga qo'shimcha ravishda, auditorlik tekshiruvi natijalari AT boshqaruv tizimini va umuman individual IT jarayonlarini takomillashtirish taktikalari va strategiyalari bo'yicha asosiy tavsiyalarni ishlab chiqish, shuningdek ichki nazorat tizimlari va tashkilotning axborot texnologiyalari auditi uchun uslubiy asos. Yuqorida keltirilgan audit metodologiyasini qo'llash kompaniyaga o'zining IT-boshqaruv tizimini xalqaro standartlar va amaliy tajriba prizmasidan qarashga imkon beradi va natijada professional ekspert bahosini oladi:

  • tashkilotning sertifikatlashtirish tekshiruvidan o'tkazishga tayyorligini aniqlash uchun ishlatilishi mumkin bo'lgan standartlar talablariga muvofiqligi darajasi;
  • uning axborot texnologiyalaridan foydalanishda biznes uchun qo'shimcha qiymatni samarali shakllantirish maqsadlariga muvofiqligi;
  • uning turli xil stsenariylarni amalga oshirishda uning barqarorligi, masalan, agar biznesni kengaytirish masalasi ko'rib chiqilsa, unda AT xizmatining o'z faoliyatini ko'lamini kattalashtirishga tayyorligi baholanadi, agar biz yangi axborot tizimlariga keng ko'lamda o'tish to'g'risida gapiradigan bo'lsak moliyalashtirish miqdorini o'zgartirish uchun maqbul vaqtda yangi tizimlarga ishonchli o'tishni tahlil qilish, tegishli sharoitlarga moslashish darajasi baholanadi. Amalga oshirilgan ishlar asosida IT-bo'limlarni boshqarishni rivojlantirish strategiyasi, shu jumladan aniq boshqaruv jarayonlari, xatarlarning oldini olish, AT bo'limlari faoliyatini takomillashtirish va ichki nazorat tizimini shakllantirish bo'yicha tavsiyalar ishlab chiqilmoqda. Shunday qilib, AT-audit kompaniyaning raqobatbardoshligi darajasi uchun birinchi darajali ahamiyatga ega bo'lgan sohada samarali ishlashi uchun asos yaratadi, faqat amalga oshirilishi mumkin bo'lgan harakatlar rejasini belgilaydi. Qolganlarning barchasi allaqachon kompaniyaning o'ziga, aniqrog'i ishlab chiqilgan tavsiyalarni qat'iy bajarishga tayyorligiga bog'liq bo'ladi.
Jadval 6. IT xavfining qoldiq darajasini baholash

0 dan 5 gacha bo'lgan tabiiy xavf darajasi (ekspert bahosi)

0 dan 5 gacha bo'lgan IT-jarayonning etuklik darajasi (uning ichida risk boshqariladi) ta'siri

Qoldiq xavfni baholash

S = 5 × R1 - L 2

Moslashuvchan infratuzilma mavjud emasligi sababli rivojlanishning boshlanishidan tizimlarning mavjudligigacha bo'lgan vaqtni ko'paytirish xavfi

Infratuzilmaning ishlamay qolishi xavfi

Texnologik infratuzilmaning nomuvofiqligi sababli dasturning ishlash muammolarini ko'payishi xavfi

Yangi IT-echimlarni joriy qilishda imkoniyatlarning etishmasligi xavfi

"Zaxirada" asossiz zaxiralar yaratilishi sababli AT infratuzilmasi xarajatlarining ko'payishi xavfi

Ma'lumki, ko'pincha korxonada boshlangan axborot texnologiyalari vaqt o'tishi bilan ham kompaniya menejerlari, ham ishchilari, ayniqsa uchinchi shaxslar uchun "etti muhr ortidagi sir" bo'lib qoladi yoki aylanadi, ammo hech qanday ahamiyatga ega bo'lmagan tomonlar - mijozlar, investorlar, sheriklar. Albatta, bu kompaniyaga ishonchni qo'shmaydi, uning faoliyati xavfsizligini kafolatlamaydi va mijozlar va investorlarni jalb qilishga yordam bermaydi. IT-auditorlik - bu kompaniyadagi ishlarning haqiqiy holatini "yoritib berish", axborot tizimlari va shuning uchun umuman biznesning ishlashini optimallashtirishga imkon beradigan mexanizmlardan biridir.

IT-auditning asosiy maqsadi axborot texnologiyalaridan foydalanish bilan bog'liq xatarlarni baholash, ularning nazoratini baholash va xatarlarni kamaytirish kerak bo'lgan sohalarda tuzatish choralarini ko'rish bo'yicha tavsiyalar ishlab chiqishdir.

Biz sizning kompaniyangizda quyidagi ishlardan iborat bo'lishi mumkin bo'lgan AT auditini o'tkazishni taklif etamiz:

AT-audit ishlarining hajmini, ish vaqtini va narxini aniqlash uchun AT-diagnostikasini o'tkazish tavsiya etiladi. Diagnostika 3-5 ish kuni ichida amalga oshiriladi. Diagnostika IT-ning asosiy muammolarini aniqlash uchun zarur bo'lgan ma'lumotlarni to'playdi. Ushbu ma'lumotlarga asoslanib, kompaniyada IT-auditni o'tkazish bo'yicha batafsil takliflar ishlab chiqilgan.

Auditorlik tekshiruvi natijalari shundan iboratki, kompaniyadagi mavjud axborot tizimi (IS) biznes ehtiyojlarini qondiradimi, ISni optimallashtirish va yanada rivojlantirish bo'yicha tavsiyalar ishlab chiqilgan.

Auditorlik tekshiruvi paytida mavjud ISning kompaniyaning biznes jarayonlariga muvofiqligi tahlili o'tkaziladi, bu kompaniyaning tashkiliy tuzilmasi, bo'limlar ierarxiyasi, ichki ish jarayoni, hisob siyosati, modullarning yozishmalarini tahlil qilishni nazarda tutadi. ishlatilgan IS ning bo'limlarning haqiqiy ehtiyojlariga.

IP auditi quyidagi maqsadlarga erishishga qaratilgan:

  • AT infratuzilmasini saqlash va rivojlantirish xarajatlarini kamaytirish
  • Avtomatlashtirilgan biznes operatsiyalarini bajarish narxini pasaytirish
  • ISh samaradorligini oshirish
  • Kompaniyaning IP-sarmoyalari samaradorligini oshirish

IP-audit doirasida quyidagi ishlar amalga oshiriladi:

  • Imkoniyatlar va IP strategiyasining kompaniyaning strategiyasi, biznes maqsadlari va biznes jarayonlariga muvofiqligini tahlil qilish
  • Mavjud IT xizmatlari va ularni qo'llab-quvvatlovchi axborot tizimlarini tahlil qilish (dasturiy mahsulotlar)
  • Mavjud IT-infratuzilmaning muammoli yo'nalishlarini aniqlash:
    • axborot tizimining biznes talablariga muvofiqligi darajasi
    • IP-ni saqlash va rivojlantirish qiymati
    • IT jarayonlarining ISO 9000 standartlariga muvofiqligi
    • axborot xavfsizligi darajasi
  • IT infratuzilmasini takomillashtirish bo'yicha tavsiyalar ishlab chiqish:
    • har bir tavsiyanomani amalga oshirish xarajatlari smetasi;
    • tavsiyalarni amalga oshirish rejasi.
    • IT-infratuzilmani reinjiniring qilish bo'yicha tavsiyalar.

AT infratuzilmasining auditi va ekspertizasi doirasida quyidagi ko'rsatkichlar o'rganiladi: samaradorlik, funktsionallikning to'liqligi, xavfsizligi, AT jarayonlarining yaxlitligi va boshqalar.

Natijada, Kompaniya AT infratuzilmasi va biznes ehtiyojlari, mavjud muammolar va AT infratuzilmasini rivojlantirish xavfi o'rtasidagi aniqlangan nomuvofiqliklarning tavsifini, shuningdek aniqlanganlarni yo'q qilish bo'yicha tavsiyalarni, amalga oshirish xarajatlari smetasini oladi. tavsiya etilgan tavsiyalar va ish rejasi.

Ushbu ma'lumotlar avtomatlashtirish strategiyasini yaratish va IT-ga sarmoya kiritishning eng samarali usullarini aniqlash uchun asosdir.

Xaridorga texnologik platformalar, apparat va dasturiy ta'minot tizimlari, tarmoqlar va aloqa vositalari (IT-infratuzilma) ning hozirgi tarkibi va ishlash darajasi bo'yicha ekspert bahoini olish, shuningdek ularning samaradorligini oshirish, modernizatsiya qilish va samaradorlikni pasaytirish bo'yicha tavsiyalar olish imkonini beradi. mulk qiymati.

Masalan, auditorlik xulosasida server yukining ularning xususiyatlariga muvofiqligi to'g'risida xulosalar bo'lishi mumkin, bu server platformasi vazifalarni ko'paytirishga imkon berishini yoki imkoniyatlar chegarasida ishlashini tasdiqlaydi va hokazo.

Audit tarkibiga axborot xavfsizligi tizimining (XKS) mavjud holatini ekspert baholash, axborot xatarlarini baholash, XKSni takomillashtirish bo'yicha tavsiyalar, XKS yaratish yoki modernizatsiya qilish xarajatlarini hisoblash kiradi. Axborot xavfsizligi auditi mijoz kompaniyalarga xatarlarni kamaytirish va axborot xavfsizligi darajasini oshirishga imkon beradi.

Auditorlik tekshiruvi natijalari AT bo'limi faoliyati samaradorligini oshirish, AT xarajatlarini optimallashtirish, AT sohasida taqdim etilayotgan xizmatlar sifatini oshirish, AT bo'limlarini kompaniyaning biznes maqsadlariga muvofiq qayta tashkil etish bo'yicha bir qator ishlarni amalga oshirishga imkon beradi. Axborot texnologiyalari infratuzilmasidan foydalanish metodikasi.

Auditorlik xulosasi asosida, xususan, kompaniya biznesining ehtiyojlariga muvofiq IT-xizmatlar ishini rejalashtirishni tashkil etish bo'yicha batafsil tavsiyalar beriladi.

Kelgusi hamkorlik uchun imkoniyatlar

AT-audit natijalari kompaniyalarimiz o'rtasidagi kelgusidagi hamkorlik yo'nalishlarini belgilashga imkon beradi va, xususan, AT-konsalting sohasida quyidagi ishlarning ketma-ketligini aniqlashga imkon beradi:

  • IT strategiyasini ishlab chiqish
  • Axborot tizimining kontseptsiyasini ishlab chiqish, shu jumladan IT-ni optimallashtirish / rivojlantirish bo'yicha biznes-misolni ishlab chiqish
  • Axborot tizimini (IS) optimallashtirish / rivojlantirish, shu jumladan:
    • Mavjud / etishmayotgan quyi tizimlar / IS modullarini qayta ko'rib chiqish / yaratish bo'yicha texnik topshiriqni ishlab chiqish
    • Korporativ axborot tizimlari uchun dasturiy ta'minot tizimlarini (sotuvchilarni) tanlash
    • IP-ni optimallashtirish loyihasini tashkil etish va boshqarish
    • Uslubiy / qo'shimcha hujjatlarni ishlab chiqish
    • O'zgartirilgan / yangi kichik tizimlar / IS-modullarni ishlab chiqish / amalga oshirish
    • Kadrlar tayyorlash va o'qitish. Xodimlarning maslahatlari
  • ISning ishlashini kuzatish va texnik xizmat ko'rsatish

Keng qamrovli auditni o'tkazish mijozning AT-infratuzilmasi holati to'g'risida eng to'liq, tizimlashtirilgan va ishonchli ma'lumotlarni olish imkonini beradi. Audit AT-ni baholash, qarorlar qabul qilish, vaziyatning rivojlanishini bashorat qilish va ITni boshqarish uchun zarur.

Ushbu xizmat qachon (qaysi hollarda) talabga javob beradi?

  1. Biznesni sotib olish yoki biznesni birlashtirish(rasmiy yoki norasmiy) xolding tarkibiga. Sotib olingan kompaniyaning IT-infratuzilmasini o'z infratuzilmasi bilan birlashtirish zarurati tug'iladi. Mustaqil auditni o'tkazish xarajatlarni kamaytiradi va integratsiya ishlarini tezlashtiradi.
  2. IT infratuzilmani yangilashdan oldin korxonalar. Modernizatsiya xarajatlarini optimallashtirish va rivojlanish strategiyasini ishlab chiqish zarur.
  3. Qachonki biznes o'sishi IT rivojlanishidan ustun bo'lsa... Bunday holda, korxona boshqaruvida AT infratuzilmasining tarkibi va holati to'g'risida boshqaruv ma'lumotlari etishmasligi yoki etishmasligi mavjud.
  4. Agar IT infratuzilmasi yaxshi ishlamasa ayni shu paytda. Audit - bu infratuzilmaning to'siqlarini aniqlashning eng yaxshi usuli va ularni yo'q qilish uchun zarur tavsiyalarni olish.

Ushbu xizmatning mijozga qanday afzalliklari bor?

  1. Soddalashtirilgan modernizatsiya Mavjud IT resurslari to'g'risida eng to'liq va dolzarb ma'lumotlarni olish orqali AT infratuzilmasi.
  2. Xarajatlar smetasini olish IT infratuzilmasini modernizatsiya qilish. Hisobot hujjatlarida aks ettirilgan zarurat darajasi va rejalashtirilgan ish hajmini bilish mijozga aniq qaror qabul qilishga imkon beradi.
  3. Samaradorlikni oshirish auditorlik tekshiruvi natijalarini hisobga olgan holda mavjud AT-resurslaridan foydalanish va axborot texnologiyalaridan foydalanish bilan bog'liq bo'lgan biznes-xatarlarni minimallashtirish.
  4. Boshqaruvni takomillashtirish IT-korxona. Menejment qaror qabul qilish, vaziyatning rivojlanishini prognoz qilish va AT-boshqaruv uchun zarur bo'lgan kerakli boshqaruv ma'lumotlarini oladi. Korxonaning AT-xizmati samaradorligini oshiradi, ishlamay qolishi va g'ayritabiiy vaziyatlar sonini kamaytiradi.
  5. Amaliy maslahat olish ishlatiladigan texnologiyalar, uskunalar va uning sozlamalari to'g'risida. Barcha tavsiyalar audit davomida aniqlangan muammolar bilan bog'liq, shuning uchun har bir tavsiyanomani amalga oshirish kompaniya uchun juda foydali.

Axborot xavfsizligi auditi xodimlar tomonidan ham (ichki audit) va mustaqil mutaxassislarni jalb qilish yo'li bilan (tashqi audit) amalga oshirilishi mumkin. Potentsial mijozlar uchun tashqi xavfsizlik xavfsizligi auditining qiymati quyidagicha:

  1. Audit - bu natijalarning ob'ektivligini oshiradigan mustaqil tadqiqot.
  2. Auditni olib boradigan mutaxassislar tashkilotning oddiy xodimlariga qaraganda ko'proq malakali va bunday ishlarda ko'proq tajribaga ega.
  3. Auditorlik ishini o'zingiz tashkil qilgandan ko'ra ixtisoslashgan tashkilotga topshirish arzonroq.

Xizmatning tavsifi

Keng qamrovli auditni o'tkazish uchta asosiy bosqichni o'z ichiga oladi:

  • Ma'lumotlar yig'ish

Muammoni bayon qilish va ish hajmini aniqlash

Vazifa qo'yish bosqichida auditorlik tekshiruvini tayyorlash bo'yicha tashkiliy choralar ko'riladi:

  • Auditning maqsadi va vazifalari ko'rsatilgan
  • Ishchi guruh tuzilmoqda
  • Tekshirish uchun texnik topshiriqlar (TOR) tayyorlanmoqda va kelishib olindi

Ba'zida auditorlik tekshiruvi mijozning maxfiy deb hisoblagan ma'lumotlariga kirishni talab qiladi. Bunday holda, TK bilan parallel ravishda, maxfiylik to'g'risidagi bitim ishlab chiqiladi va mijozning xavfsizlik xizmati bilan o'zaro aloqalar tashkil etiladi.

Ma'lumotlar yig'ish

Ushbu bosqichda mijozning xodimlarini so'roq qilish, jihozlarni tekshirish va inventarizatsiya qilish, konfiguratsiya ma'lumotlarini yig'ish amalga oshiriladi. Amalga oshirilgan ishlarning batafsil ro'yxati audit uchun TORda aniqlanadi.

AT infratuzilmasining barcha texnik va tashkiliy tarkibiy qismlari bo'yicha so'rovnoma o'tkaziladi:

  • Uskunalar - axborot texnologiyalarini yaratadigan va qo'llab-quvvatlaydigan apparat vositalari: tarmoq uskunalari, serverlar va ish joylari, saqlash tizimlari va hk.;
  • Qo'llab-quvvatlash vositalari - AT infratuzilmasining ishlashini ta'minlash uchun zarur bo'lgan yordamchi resurslar, uskunalar, binolar;
  • Texnologiyalar - operatsion tizimlar, ma'lumotlar bazasini boshqarish tizimlari, dasturlarni birlashtirish va hk.
  • Ilovalar - korxona faoliyatida ishlatiladigan dasturiy ta'minot;
  • Ma'lumotlar - keng ma'noda - hujjatlar aylanishi, tashqi va ichki, tuzilgan va tuzilmagan, ma'lumotnoma, multimedia va hk.;
  • Ishchi kuchi - xodimlar, ularning mahorati: ko'nikmalar, vazifalarni tushunish va o'z ishlarini bajarish.

Ma'lumotlarni yig'ish bosqichi tugagandan so'ng, auditorlik tekshiruvini o'tkazadigan kompaniya IT-infratuzilmani batafsil tavsiflovchi hujjatlar to'plamiga ega.

Ma'lumotlarni tahlil qilish va hisobot tayyorlash

Ushbu bosqichda quyidagi ishlar bajariladi:

  • to'plangan ma'lumotlarni tekshirish va tahlil qilish
  • operatsion hujjatlarni tayyorlash
  • tavsiyalar berish
  • auditorlik xulosasini tayyorlash

Yig'ilgan ma'lumotlar to'liqligi va to'g'riligi tekshiriladi, olingan ma'lumotlar tahlil qilinadi, xulosalar va tavsiyalar tuziladi, natijalar rasmiylashtiriladi va taqdim etiladi. Tahlil paytida qo'shimcha ma'lumot to'plash to'g'risida qaror qabul qilinishi mumkin.

Yig'ilgan ma'lumotlar asosida korxonaning IT-infratuzilmasi to'g'risida batafsil ma'lumotlarni o'z ichiga olgan tezkor hujjatlar tayyorlanadi. Ishlarning sifatini yaxshilash va AT infratuzilmasi samaradorligini oshirish bo'yicha tavsiyalar ishlab chiqilgan

Analitik hisobot auditorlik hisobotining asosiy hujjati hisoblanadi. Unda IT infratuzilmasining hozirgi holati tavsifi, operatsion hujjatlar, aniqlangan muammolar ro'yxati, AT infratuzilmasini modernizatsiya qilish va rivojlantirish bo'yicha tavsiyalar mavjud.

Bosqich ishlab chiqilgan hujjatlarni buyurtmachiga topshirish bilan tugaydi.

Natija

Tekshiruv natijasi - bu AT-infratuzilmasi to'g'risidagi batafsil ma'lumotlarni o'z ichiga olgan hujjatlar to'plamini yaratish, shuningdek ish sifatini oshirish va ishlash samaradorligini oshirish bo'yicha tavsiyalar.

Asosiy hisobot hujjati bu auditorlik xulosasi. Uning tuzilishi, qoida tariqasida, TKning rivojlanish bosqichida kelishib olinadi. Unda AT infratuzilmasining hozirgi holati tavsifi, AT infratuzilmasining hal qilinadigan vazifalarga muvofiqligi to'g'risidagi xulosalar, modernizatsiya va rivojlanish bo'yicha tavsiyalar mavjud.