Информационные технологии с каждым годом становятся все более сложными. Они требуют больших финансовых вложений, не давая желаемого результата. Поэтому аудит информационных технологий проводят для того, чтобы получать достоверную информацию для оценки ИТ и принятия адеекватных решений по управлению ИТ.

Аудит информационных технологий

ИТ-аудит в России - относительно новое понятие, поэтому трактуют его по-разному. Во всем мире под аудитом подразумевается ежегодный процесс, подтверждающий соответствие компании заявленным бизнес-показателям и регулирующим стандартам, например SARBOX. У многих представление об аудите информационных технологий совпадает с финансовым аудитом в области ИТ или с ИТ-консалтингом. На самом деле ИТ-аудит (или аналитическое обследование) часто используется как первый шаг при попытке разобраться в сфере ИТ: для разработки ИТ-стратегии, осознания управления стоимостью обслуживания и контроля над информационными системами, при анализе рисков, при создании базы данных ИТ-ресурсов и разработке процедур контроля.

Цели ИТ аудита

Главная цель - совершенствование системы контроля за ИТ.

Аудиторы:

• оценивают риски ИТ;
• предотвращают и смягчают сбои ИС;
• управляют рисками ИТ;
• подготавливают нормативные документы;
• устанавливают связь между бизнес-рисками и средствами автоматизированного контроля;
• периодически проводят проверки;
• вместе с ИТ-менеджерами организуют управление ИТ;
• реализуют «взгляд со стороны».

Внешние аудиторы концентрируют внимание на независимом подтверждении надежности и адекватности системы внутреннего контроля за ИТ, а внутренние аудиторы – на эффективности системы внутреннего контроля ИТ.

Виды услуг ИТ аудита

На Российском рынке сегодня популярны 6 видов услуг аудита ИТ:

• обследование ИТ (обычная инвентаризация) — сбор информации, которая используется для проведения работ в будущем;
• экспертная оценка ИТ – c ее помощью оценивают правильность финансирования проектов и финансирования закупок оборудования и ИТ-услуг;
• технический аудит информационных технологий – это анализ информации и формирование советов для улучшению работы всех элементов ИТ-инфраструктуры;
• аудит ИТ бизнес-процесса – это аудит информационной инфраструктуры и систем, критичных для выполнения конкретного бизнес-процесса компании с определенными критериями качества и эффективности;
• аудит критерия ИТ – это сбор, анализ информации и выдача рекомендаций по выбранному критерию ИТ, например, безопасность, производительность, надежность, доступность и т.д.;
• комплексный аудит – это такой аудит, когда производится анализ взаимосвязей бизнес-процессов и их требований, проверки информационных и смежных технологий, мониторинг состояния сети и анализ программно-аппаратных средств для выяснения адекватности ИТ потребностям бизнеса компании.