ІТ-аудит по-українськи

Андрій ВарушаВолодимир

Стиран

Що таке ІТ-аудит?

Перевірка відповідності ІТ-процесів◦ Розробка та підтримка систем◦ Надання послуг◦ Моніторинг та реагування◦ Захист інформації

бізнес-вимогам◦ Ризик-апетит◦ Бізнес-стратегія◦ Вимоги регуляторів (закони,

постанови, стандарти тощо)

Принципи ІТ-аудиту

• Об'єктивність◦ Всі висновки підкріплені належними доказами

• Незалежність◦ Виключення конфлікту інтересів

• Методичність◦ Використання наукових методів та кращих

практик у галузі

Процес IT-аудитуАналіз ризиків

(risk analysis)

Планування

(planning)

Виконання (execution)

Створення звіту

(report)

Обговорення плану

дій (action plan)

Перевірка усунення

(follow-up)

Для чого потрібен ІТ-аудит?

Для того і щука в ставку, щоб карась не дрімав

Для чого потрібен ІТ-аудит?

Топ-менеджмент/ власники: для виконання регулятивних вимог (SOX, ISO, НБУ тощо) та службових розслідувань

ІТ: для пошуку “винних” у проблемах, для ускладнення життя

ІТ – аудит: для знаходження ризиків, пов’язаних із ІТ-функцією компанії, та вдосконалення її за рахунок усунення знайдених недоліків

Для чого потрібен ІТ-аудит?

Для чого потрібен ІТ-аудит

Як наблизити ці бачення до єдиного?

Складові успіху

Авторитет

АктуальністьКоманда

Команда

«Однажды Лебедь, Рак да Щука…»

КомандаIT навички:•Скриптові мови (VB,

Perl)•SQL•Командний рядок

(windows, *nix, PowerShell, LDAP)•Спеціалізовані

інструменти (WMI, NMap, MSF etc.)

Стандарти/кваліфікація:•CobiT, ITIL, ISO•CISA, CISM, CISSP, CGEIT

Досвід:•Адміністратор•Розробник•Впровадження систем•Інформаційна безпека

Особисті якості:•Комунікаційні та

презентаційні навички•Гарна письмова мова•Витримка та

делікатність

Стандарти/кваліфікація:•ACCA, IIA

Досвід:•Бізнес-аналітик•Консультант

Бізнес-навички•Основи обліку та

фінансів•Аналіз та моделювання

бізнес-процесів

Актуальність

Ти можеш перестати хвилюватись через переїзд, Гаррі. Ми тебе з собою не

беремо.

Актуальність Участь у комітетах:

◦ Виконавчий комітет◦ Управляючий комітет по ІТ◦ Комітет по ризиках◦ Комітет по управлінню змінами

Аналіз даних в системах:◦ Система автоматизації ІТ-процесів (напр. JIRA)◦ Система закупок (контракти з постачальниками)◦ Системи моніторингу (напр. HP OVO)◦ Системи звітування про інциденти

Інше:◦ Аудиторські звіти◦ Результати пен-тестів

Авторитет

Насправді, не такий вже він і лідер. Просто у нього багато послідовників.

Повноваження:◦ Положення про внутрішній аудит, процедура взаємодії із

підрозділами◦ Пряме підпорядкування аудиторському комітету / топ-

менеджменту◦ Погодження рекомендацій із відповідальними◦ Моніторинг статусів виконання◦ Звітування результатів моніторинга керівництву

Сприйняття:

◦ Баланс між формальним підходом до аудиту (слідувати плану аудиту і робочим програмам) і added-value підходу (реагувати на ad-hoc знахідки)

◦ Баланс між незалежністю та корисними рекомендаціями

◦ Баланс між “правильними” рекомендаціями із неочевидними ризиками і “точковими” знахідками з яскраво проілюстрованим ризиком

Авторитет

Оргструктура

Supervisory board

Executive Board

IT функція

Директори департаментів

Начальники відділів, груп, секторів тощо

Працівники

Бізнес функції

Директори департаменті

в

Начальники відділів,

груп, секторів тощо

Працівники

Інформаційна безпека

Аудиторський

комітет

Внутрішній аудит

Аудит ІТ

Бізнес (фінансовий)

аудит

ВисновкиВ компаніях з складною ІТ-інфраструктурою

та технологічними процесами ІТ-аудит необхідний

Аудит ≠ операційний контрольЦикл аудиту має бути повним (включаючи

погодження рекомендацій і моніторинг статусів), а повноваження аудиту – чітко визначеними

Позитивне сприйняття ІТ-аудиту вимагає постійних зусиль

Шлях до успіху = компетентна команда + актуальні проблеми + дотримання принципів + розумний компроміс