2. Що таке ІТ-аудит? Перевірка відповідності ІТ-процесів Розробка та підтримка систем Надання послуг Моніторинг та реагування Захист інформації бізнес-вимогам Ризик-апетит Бізнес-стратегія Вимоги регуляторів (закони, постанови, стандарти тощо)
5. Для чого потрібен ІТ-аудит? Для того і щука в ставку, щоб карась не дрімав
6. Для чого потрібен ІТ-аудит? Топ-менеджмент/власники: для виконання регулятивних вимог (SOX, ISO, НБУ тощо) та службових розслідувань ІТ: для пошуку “винних” у проблемах, для ускладнення життя ІТ – аудит: для знаходженняризиків, пов’язаних із ІТ-функцією компанії, та вдосконалення її за рахунок усунення знайдених недоліків
23. Актуальність Участь у комітетах: Виконавчий комітет Управляючий комітет по ІТ Комітет по ризиках Комітет по управлінню змінами Аналіз даних в системах: Система автоматизації ІТ-процесів (напр. JIRA) Система закупок (контракти з постачальниками) Системи моніторингу (напр. HP OVO) Системи звітування про інциденти Інше: Аудиторські звіти Результати пен-тестів
25. Авторитет Повноваження: Положення про внутрішній аудит, процедура взаємодії із підрозділами Пряме підпорядкування аудиторському комітету / топ-менеджменту Погодження рекомендацій із відповідальними Моніторинг статусів виконання Звітування результатів моніторинга керівництву Сприйняття: Баланс між формальним підходом до аудиту (слідувати плану аудиту і робочим програмам) і added-value підходу (реагувати на ad-hoc знахідки) Баланс між незалежністю та корисними рекомендаціями Баланс між “правильними” рекомендаціями із неочевидними ризиками і “точковими” знахідками з яскраво проілюстрованим ризиком
27. Висновки В компаніях з складною ІТ-інфраструктурою та технологічними процесами ІТ-аудит необхідний Аудит ≠ операційний контроль Цикл аудиту має бути повним (включаючи погодження рекомендацій і моніторинг статусів), а повноваження аудиту – чітко визначеними Позитивне сприйняття ІТ-аудиту вимагає постійних зусиль Шлях до успіху = компетентна команда + актуальні проблеми + дотримання принципів + розумний компроміс