ИТ-аудиторы часто узнают о бизнес-сообществе в том, как их работа приносит пользу организации. Отдел внутреннего аудита обычно имеет компонент ИТ-аудита, который реализуется с четким представлением о его роли в организации. Однако из нашего опыта работы в качестве ИТ-аудиторов более широкое деловое сообщество должно понимать функцию аудита ИТ для достижения максимальной выгоды. В этом контексте мы публикуем этот краткий обзор конкретных преимуществ и добавленной стоимости, предоставляемых аудитом ИТ.
Более конкретно, ИТ-аудит может охватывать широкий спектр ИТ-инфраструктур обработки и связи, таких как клиент-серверные системы и сети, операционные системы, системы безопасности, программные приложения, сетевые службы, базы данных, телекоммуникационная инфраструктура, процедуры управления изменениями и планирование аварийное восстановление.
Последовательность стандартного аудита начинается с идентификации угроз, затем оценки проекта управления и, наконец, проверки эффективности контроля. Умелые аудиторы могут повысить ценность на каждом этапе аудита.
Компании обычно поддерживают функцию аудита ИТ для обеспечения технологического контроля и соблюдения федеральных или отраслевых требований. С увеличением инвестиций в технологии ИТ-аудит может гарантировать, что риск контролируется и что огромные потери маловероятны. Организация может также заявить, что существует высокий риск простоя, рисков безопасности или дыры в безопасности. Также могут быть соблюдены требования, такие как Закон Сарбейнса Оксли или отраслевые требования.
Ниже рассматриваются пять ключевых областей, в которых ИТ-аудиторы могут повысить ценность организации. Разумеется, качество и глубина технического аудита являются предпосылкой для повышения ценности. Плановая область контроля также имеет решающее значение для дополнительной ценности. Без четкого мандата о том, какие бизнес-процессы и риски будут проверяться, трудно обеспечить успех или добавленную стоимость.
Вот пять основных способов, которые ИТ-аудит увеличивает ценность:
1. Уменьшите риск. Планирование и выполнение ИТ-аудита включает идентификацию и оценку ИТ-риска в организации.
ИТ-аудит обычно включает риски, связанные с конфиденциальностью, целостностью и доступностью ИТ-инфраструктуры и процессов. Дополнительные риски включают эффективность, производительность и надежность ИТ.
После оценки риска вы можете получить четкое представление о том, что делать — уменьшить или уменьшить риск посредством проверок, передачи риска через страхование или просто принять риск в операционной среде.
Основная концепция заключается в том, что ИТ-риск является бизнес-риском. Любая угроза или критическая операция критически важных ИТ-операций может оказать прямое влияние на всю организацию. Короче говоря, организация должна знать, где находится риск, а затем приступить к тому, чтобы что-то делать с ними.
Наилучшими практиками в области ИТ-риска, используемыми аудиторами, являются ISACA COBIT и структура RiskIT и ISO / IEC 27002 «Кодекс поведения для управления информационной безопасностью».
2. Усилить контроль (и повысить безопасность). После оценки риска, как описано выше, контроль может быть идентифицирован и оценен. Плохо разработанные или неэффективные средства управления могут быть переработаны и / или усилены.
Структура управления ITB COBIT особенно полезна здесь. Он состоит из четырех доменов высокого уровня, которые охватывают 32 процесса управления, полезных для снижения риска. Структура COBIT охватывает все аспекты информационной безопасности, включая цели контроля, ключевые показатели эффективности, ключевые показатели эффективности и критические факторы успеха
. Аудитор может использовать COBIT для оценки контроля в организации и выработки рекомендаций, которые придают реальную ценность ИТ-среде и организации как целом.
Другая структура контроля — Комитет спонсирующих организаций, модель внутреннего контроля Комиссии Тредуэй (COSO). ИТ-аудиторы могут использовать эту структуру, чтобы получить уверенность в (1) эффективности и эффективности операций, (2) надежности финансовой отчетности и (3) соблюдении применимых законов и правил. Структура включает в себя два элемента из пяти, которые непосредственно связаны с средой контроля и контроля.
3. Следуйте правилам. Обширные правила на федеральном и государственном уровнях содержат подробные требования к информационной безопасности. ИТ-аудитор выполняет критическую функцию для удовлетворения определенных требований, оценки рисков и осуществления контроля.
Закон Сарбейнса Оксли содержит требование для всех публичных компаний обеспечить, чтобы они были идентифицированы в рамках Спонсорского комитета Комиссии Тредуэй (COSO), обсуждавшейся выше. Этот ИТ-аудитор обеспечивает выполнение таких требований.
Закон о переносимости и ответственности в области здравоохранения (HIPAA) охватывает три области ИТ-требований — административные, технические и физические. ИТ-аудитор играет ключевую роль в обеспечении соблюдения этих требований.
В разных отраслях есть дополнительные требования, такие как стандарт безопасности платежных карт (PCI) в индустрии кредитных карт, например Visa и Mastercard.
Во всех этих областях соблюдения и регулирования ИТ-аудитор играет центральную роль. Организации необходимо обеспечить выполнение всех требований.
4. Содействие коммуникации между бизнесом и управлением технологиями. Аудит может оказать положительное влияние на открытие каналов связи между бизнесом и управлением технологиями. Аудиторы проводят собеседования, наблюдают и проверяют, что происходит в действительности и на практике. Конечные результаты аудита представляют собой ценную информацию в письменных отчетах и устных сообщениях. Старшее руководство может получить прямую обратную связь о функционировании вашей организации.
Специалистам по технологиям в организации также необходимо знать ожидания и цели высшего руководства. Аудиторы помогают этому общению от начала до конца посредством участия в совещаниях с управлением технологиями и путем обзора текущих реализаций политики, стандартов и руководящих принципов.
Важно понимать, что ИТ-аудит является ключевым элементом в управлении технологическим менеджментом. Существует технология организации, поддерживающая бизнес-стратегию, функции и операции. Адаптация деловых и вспомогательных технологий имеет решающее значение. ИТ-аудит поддерживает это выравнивание.
5. Улучшите управление ИТ. Институт управления ИТ (ITGI) опубликовал следующее определение:
«Управление ИТ — это ответственность директоров и совета директоров и состоит из лидерства, организационных структур и процессов, которые гарантируют, что ИТ-предприятие будет поддерживать и расширять стратегии и цели организации». [19659002] Лидерство, организационные структуры и процессы, упомянутые в определении, указывают на аудиторов ИТ как ключевых игроков. Ключом к ИТ-аудите и общему управлению ИТ является сильное понимание ценности, риска и контроля над технологической средой организации. В частности, ИТ-аудиторы рассматривают ценность, риск и контроль в каждом из ключевых технологических компонентов — приложениях, информации, инфраструктуре и людях.
Еще один подход к управлению ИТ состоит из четырех основных целей, которые также обсуждаются в документации Института управления ИТ:
* ИТ-бизнес-совместим * ИТ-бизнес позволяет и максимизирует выгоды * ИТ-ресурсы используются ответственным образом * ИТ-риск управляется должным образом
ИТ-аудиторы обеспечивают выполнение каждой из этих целей. Каждая цель имеет решающее значение для организации и поэтому имеет решающее значение для функции аудита ИТ.
Таким образом, аудиты ИТ повышают ценность, уменьшают риск, улучшают безопасность, соответствуют правилам и облегчают обмен информацией между технологиями и управлением бизнесом. Наконец, аудит ИТ улучшает и укрепляет общее управление ИТ.
Ссылки:
ISACA. Цели управления информацией и связанные с ней технологии (COBIT)
Кодекс поведения ISO / IEC 27002 в области управления информационной безопасностью
Комитет организаций, спонсирующих структуру Комиссии Treadway (COSO).