Пять самых важных преимуществ ИТ-аудита

ИТ-аудиторы часто учат бизнес-сообщество тому, как их работа повышает ценность организации. У отделов внутреннего аудита обычно есть компонент ИТ-аудита, который реализуется с четким представлением о его роли в организации. Однако, исходя из нашего опыта работы в качестве ИТ-аудиторов, широкому бизнес-сообществу необходимо понимать функцию ИТ-аудита для достижения максимальной выгоды. В этом контексте мы публикуем этот краткий обзор конкретных преимуществ и дополнительных преимуществ, предоставляемых ИТ-аудитом.

В частности, ИТ-аудит может охватывать широкий спектр ИТ-инфраструктур обработки и связи, таких как клиент-серверные системы и сети, операционные системы, системы безопасности, приложения, интернет-услуги, базы данных, телекоммуникационная инфраструктура, процедуры управления изменениями и планирование аварийного восстановления.

Последовательность стандартного аудита начинается с определения риска, а затем с оценки контрольного проекта и, в конечном итоге, проверки эффективности контрольных мер. Умелые аудиторы могут принести добавленную стоимость на каждом этапе аудита.

Компании обычно поддерживают функцию ИТ-аудита, чтобы обеспечить контроль над технологическим контролем и обеспечить соответствие нормативных требований федеральным или отраслевым требованиям. С увеличением инвестиций в технологии ИТ-аудит может гарантировать, что риск контролируется и что огромные потери маловероятны. Организация может также определить, что существует высокий риск простоя, безопасности или уязвимости. Могут также существовать требования соответствия, такие как закон Сарбейнса-Оксли или отраслевые требования.

Ниже мы обсудим пять ключевых областей, в которых ИТ-аудиторы могут повысить ценность организации. Конечно, качество и глубина технического аудита является необходимым условием для добавления стоимости. Запланированный объем аудита также имеет решающее значение для добавленной стоимости. Без четкого определения того, какие бизнес-процессы и риски будут контролироваться, трудно обеспечить успех или дополнительную ценность.

Вот пять основных способов повышения эффективности ИТ-аудита:

1. Уменьшить риск. Планирование и проведение ИТ-аудита заключается в выявлении и оценке ИТ-риска в организации.

ИТ-аудит обычно включает риски, связанные с конфиденциальностью, целостностью и доступностью ИТ-инфраструктуры и процессов. Дополнительные риски включают в себя эффективность, производительность и надежность ИТ.

После оценки риска может появиться четкое представление о том, что следует предпринятьограничить или уменьшить риск с помощью средств контроля, перенести риск с помощью страхования или просто принять риск в операционной среде.

Ключевой концепцией здесь является ИТ-риск, то есть бизнес-риск. Любые угрозы или уязвимости для критических ИТ-операций могут иметь прямое влияние на всю организацию. Короче говоря, организация должна знать, где находятся угрозы, а затем что-то делать с ними.

Лучшие практики в области ИТ-рисков, используемые аудиторами, – это ISACA COBIT и RiskIT и ISO / IEC 27002 «Кодекс поведения в управлении информационной безопасностью».

2. Усилить контроль (и улучшить безопасность). После оценки риска, как описано выше, контроли могут быть идентифицированы и оценены. Плохо спроектированные или неэффективные средства управления могут быть переработаны и / или усилены.

Структура ИТ-контроля в COBIT особенно полезна здесь. Он состоит из четырех доменов высокого уровня, которые включают 32 контрольных процесса, полезных для снижения риска. Структура COBIT охватывает все аспекты информационной безопасности, включая цели контроля, ключевые показатели эффективности, ключевые показатели цели и критические факторы успеха.

Аудитор может использовать COBIT для оценки контроля организации и формулирования рекомендаций, которые повышают ценность ИТ-среды и всей организации.

Еще одна структура контроляэто Комитет организаций-спонсоров, модель внутреннего контроля Комиссии Тредвея (COSO). ИТ-аудиторы могут использовать эту систему для получения (1) эффективности и результативности операций, (2) надежности финансовой отчетности и (3) соблюдения применимых законов и нормативных актов. Структура содержит два элемента из пяти, которые непосредственно касаются контролясреды контроля и контрольных мероприятий.

3. Следуйте правилам. Обширное законодательство на федеральном уровне и уровне штата включает в себя особые требования информационной безопасности. ИТ-аудитор выполняет ключевую функцию, обеспечивая соответствие определенным требованиям, оценку рисков и внедрение средств контроля.

Закон Сарбейнса-Оксли (Закон об ответственности за корпоративное и уголовное мошенничество) содержит требования ко всем публичным компаниям обеспечить надлежащий внутренний контроль, как указано в Комитете по организации спонсорства Комиссии Тредуэй (COSO), который обсуждался выше. Этот ИТ-аудитор обеспечивает выполнение таких требований.

Закон о мобильности и ответственности за медицинское страхование (HIPAA) охватывает три области требований к ИТадминистративные, технические и физические. ИТ-аудитор играет ключевую роль в обеспечении соответствия этим требованиям.

Различные отрасли предъявляют дополнительные требования, такие как стандарт безопасности платежных карт (PCI) в индустрии кредитных карт, например, Visa и Mastercard.

Во всех этих областях соответствия и регулирования ИТ-аудитор играет ключевую роль. Организация должна быть уверена, что все требования выполнены.

4. Облегчение связи между бизнесом и технологиями управления. Аудит может оказать положительное влияние на открытие каналов связи между бизнесом и технологическим менеджментом. Аудиторы проводят собеседования, наблюдают и проверяют, что происходит в реальности и на практике. Итоговые результаты аудита представляют собой ценную информацию в письменных отчетах и ​​устных презентациях. Старшее руководство может получить прямую обратную связь о функционировании своей организации.

Специалисты по технологии в организации также должны знать ожидания и цели высшего руководства. Аудиторы помогают в общении сверху вниз, участвуя в совещаниях с руководством по технологиям и анализируя текущую реализацию политик, стандартов и руководств.

Важно понимать, что ИТ-аудит является ключевым элементом надзора за управлением технологиями. Существует технология организации, поддерживающая бизнес-стратегию, функции и операции. Адаптация бизнеса и поддерживающих технологий имеет решающее значение. ИТ-аудит поддерживает это соответствие.

5. Совершенствование управления ИТ. Институт управления ИТ (ITGI) опубликовал следующее определение:

«Управление ИТ является обязанностью управленческого и исполнительного персонала и состоит из руководства, организационных структур и процессов, которые гарантируют, что ИТ-подразделение предприятия поддерживает и расширяет стратегии и цели организации».

Руководство, организационные структуры и процессы, упомянутые в определении, указывают на ИТ-аудиторов в качестве ключевых игроков. Ключом к ИТ-аудиту и общему управлению ИТ является глубокое понимание ценности, риска и контроля в технологической среде организации. В частности, ИТ-аудиторы проверяют ценность, риск и контроль в каждом из ключевых технологических компонентовприложениях, информации, инфраструктуре и людях.

Другая перспектива управления ИТ состоит из четырех основных целей, которые также обсуждаются в документации Института управления ИТ:

* ИТ ориентирован на бизнес * ИТ обеспечивает бизнес и максимизирует выгоды * ИТ-ресурсы используются ответственно * ИТ-риски управляются должным образом

ИТ-аудиторы гарантируют, что каждая из этих целей была достигнута. Каждая цель имеет решающее значение для организации и, следовательно, имеет решающее значение для функции аудита ИТ.

Таким образом, ИТ-аудит повышает ценность за счет снижения рисков, повышения безопасности, соблюдения нормативных требований и облегчения связи между технологиями и управлением бизнесом. Наконец, ИТ-аудит улучшает и усиливает общее управление ИТ.

Ссылки:

ISACA. Цели контроля в информационных и смежных технологиях (COBIT).

ISO / IEC 27002 Кодекс поведения в управлении информационной безопасностью.

Комитет организаций-спонсоров. Структура Тредуэйской комиссии (COSO).