П'ять кращих переваг аудиту ІТ

Автор: | 24 апреля, 2017
HostArmada - Affordable Cloud SSD Web Hosting

ІТ-аудитори часто знаходять, що навчають бізнес-співтовариство того, як їх робота приносить додаткову користь організації. Відділи внутрішнього аудиту зазвичай мають компонент ІТ-аудиту, який розгортається з чіткою перспективою його ролі в організації. Однак, за нашим досвідом, як ІТ-аудитори, більш широкому бізнес-співтовариству необхідно зрозуміти функцію ІТ-аудиту, щоб реалізувати максимальну вигоду. У цьому контексті ми публікуємо цей короткий огляд конкретних переваг і доданої вартості, наданих ІТ-аудитом.

Щоб бути конкретним, ІТ-аудити можуть охоплювати широкий спектр ІТ-інфраструктури обробки і комунікації, такий як клієнт Серверні системи і мережі, операційні системи, системи безпеки, програмні додатки, веб-служби, бази даних, телекомунікаційна інфраструктура, процедури управління змінами та планування аварійного відновлення.

Послідовність стандартної перевірки починається з визначення ризиків, а потім оцінки Дизайн елементів управління і, нарешті, тестування ефективності засобів контролю. Розумні аудитори можуть підвищувати цінність на кожному етапі аудиту.

Компанії зазвичай виконують функцію ІТ-аудиту, щоб забезпечити гарантію на технологічний контроль і забезпечити відповідність нормативним вимогам федеральних або галузевих вимог. У міру зростання інвестицій в технології аудит ІТ може забезпечити впевненість у тому, що ризики контролюються і що величезні збитки малоймовірні. Організація також може визначити, що існує високий ризик простою, загроз безпеки або уразливості. Можуть також існувати вимоги щодо відповідності нормативним вимогам, такі як Закон Сарбейнса-Окслі або вимоги, характерні для галузі.

Нижче ми обговоримо п'ять ключових областей, в яких ІТ-аудитори можуть підвищити цінність організації. Звичайно, якість і глибина технічного аудиту є необхідною умовою для збільшення вартості. Планова область аудиту також важлива для доданої вартості. Без чіткого мандату про те, які бізнес-процеси і ризики будуть перевірятися, важко забезпечити успіх або додану вартість.

Отже, ось наші п'ять кращих способів, які ІТ-аудит підвищує цінність:

1. Щоб зменшити небезпеку. Планування і проведення ІТ-аудиту складається з ідентифікації та оцінки ІТ-ризиків в організації.

Аудит ІТ зазвичай охоплює ризики, пов'язані з конфіденційністю, цілісністю і доступністю інфраструктури та процесів інформаційної технології. Додаткові ризики включають в себе ефективність, ефективність і надійність ІТ.

Після оцінки ризиків може бути чітке бачення того, який курс слід зробити — зменшити або пом'якшити ризики за допомогою засобів контролю, перенести ризик через страхування або Просто приймайте ризик як частина операційного середовища.

Критична концепція тут полягає в тому, що ІТ-ризик являє собою бізнес-ризик. Будь-яка загроза або вразливість критично важливих ІТ-операцій може надати прямий вплив на всю організацію. Коротше кажучи, організації необхідно знати, де знаходяться ризики, а потім приступити до їх усунення.

Передова практика використання ІТ-ризиків аудиторами — це ISACA COBIT і RiskIT, а також стандарт ISO / IEC 27002 «Код Практики для управління інформаційною безпекою».

2. Посилити контроль (і підвищити рівень безпеки). Після оцінки ризиків, як описано вище, контроль може бути ідентифікований та оцінений. Погано спроектовані або неефективні засоби управління можуть бути перепроектовані і / або посилені.

Тут особливо корисна структура ІТ-управління COBIT. Він складається з чотирьох високорівневих доменів, які охоплюють 32 процесу управління, корисних для зниження ризику. Структура COBIT охоплює всі аспекти інформаційної безпеки, включаючи цілі контролю, ключові показники ефективності, ключові показники цілі і критичні фактори успіху.

Аудитор може використовувати COBIT для оцінки контролю в організації і вироблення рекомендацій, які додають реальну вартість Для ІТ-середовища і для організації в цілому.

Іншим механізмом контролю є Комітет по організації спонсорства Комісії внутрішнього контролю (TOS). ІТ-аудитори можуть використовувати цю структуру для отримання впевненості в: (1) ефективності і ефективності операцій, (2) надійності фінансової звітності та (3) дотриманні чинне законодавство та норми. Ця структура містить два елементи з п'яти, які безпосередньо пов'язані з елементами управління — середовищем управління і контролю.

3. Дотримуйтесь правил. Широкі нормативні вимоги на федеральному та державному рівнях включають конкретні вимоги до інформаційної безпеки. ІТ-аудитор виконує критичну функцію щодо забезпечення дотримання конкретних вимог, оцінки ризиків та здійснення контролю.

Закон Сарбейнса-Окслі (Закон про корпоративну і кримінальної відповідальності за шахрайство) включає вимоги до всіх публічних компаній для забезпечення того, щоб внутрішні заходи контролю Як це визначено в рамках Комітету спонсорських організацій Комісії Тредуей (COSO), розглянутих вище.

Закон про переносимості і підзвіті медичного страхування (HIPAA) має три області вимог до ІТ — адміністративні, технічні та фізичні. ІТ-аудитор грає ключову роль в забезпеченні відповідності цим вимогам.

В різних галузях промисловості існують додаткові вимоги, такі як стандарт безпеки даних платіжних карт (PCI) в індустрії кредитних карт, наприклад. Visa і Mastercard.

У всіх цих областях дотримання і регулювання ІТ-аудитор грає центральну роль. Організації необхідно переконатися, що всі вимоги виконані.

4. Полегшення комунікації між бізнесом і управлінням технологіями. Аудит може позитивно позначитися на відкритті каналів комунікації між бізнесом організації і технологічним менеджментом. Аудитори беруть інтерв'ю, спостерігають і перевіряють, що відбувається в дійсності і на практиці. Остаточні результати аудиту є цінну інформацію в письмових звітах і усних презентаціях. Старше керівництво може отримати пряму зворотний зв'язок про те, як працює їх організація.

Технологічні фахівці в організації також повинні знати очікування і завдання вищого керівництва. Аудитори допомагають цьому спілкуванню зверху вниз завдяки участі в нарадах з технологічним менеджментом і аналізу поточних реалізацій політик, стандартів і керівництв.

Важливо розуміти, що аудит ІТ є ключовим елементом нагляду керівництва Технології. Існує технологія організації підтримки бізнес-стратегії, функцій і операцій. Найважливіше значення має узгодження ділових і допоміжних технологій. Аудит IT підтримує це вирівнювання.

5. Поліпшення управління ІТ. Інститут управління ІТ (ITGI) опублікував наступне визначення:

«Управління ІТ є обов'язком керівників і ради директорів і складається з керівництва, організаційних структур і процесів, які забезпечують підтримку ІТ-ресурсами підприємства і Розширює стратегії і цілі організації».

Лідерство, організаційні структури і процеси, згадані у визначенні, все вказують на ІТ-аудиторів в якості ключових гравців. Центральне місце в ІТ-аудиту та управління ІТ-інфраструктурою займає глибоке розуміння цінності, ризиків і засобів контролю в технологічному середовищі організації. Більш конкретно, ІТ-аудитори аналізують вартість, ризики і засоби контролю в кожному з ключових компонентів технології — додатках, інформації, інфраструктурі і людей.

Інша перспектива в галузі управління ІТ складається з чотирьох основних цілей, Також обговорюється в документації Інституту ІТ-управління:

* ІТ орієнтований на бізнес * ІТ-середовище допомагає бізнесу і максимізує вигоди * ІТ- ресурси використовуються відповідально * Управління ІТ-ризиками здійснюється належним чином

ІТ-аудитори Забезпечити виконання кожної з цих завдань. Кожне завдання має вирішальне значення для організації і тому має вирішальне значення для функції аудиту ІТ.

Підводячи підсумок, ІТ-аудит підвищує цінність за рахунок зниження ризиків, підвищення безпеки, відповідності нормативним вимогам і полегшення взаємодії між технологією і управлінням бізнесом. Нарешті, аудит ІТ покращує і зміцнює загальне управління ІТ.

Список літератури:

ISACA. Цілі управління інформацією і пов'язаної з нею технологією (COBIT).

ISO / IEC 27002 Звід практичних правил управління інформаційною безпекою.

Комітет організацій-спонсорів системи Комісії Тредуей (COSO).

]


apache server web hosting