Прежде чем урезать бюджет на информационные технологии, надо понять, от чего конкретно можно отказаться. Помочь разобраться в ИТ-инфраструктуре компании поможет ИТ-аудит.
Компания KPMG представила результаты опроса руководителей крупных российских и международных компаний, функционирующих на территории РФ. В 80% случаев компании не отдают функцию ИТ-аудита на аутсорсинг, предпочитая обходиться собственными ресурсами. Если же компания все-таки обращается за помощью к внешним организациям, то чаще всего из-за нехватки сотрудников или из-за недостатка знаний и стратегии организации.
В каждой четвертой компании из опрошенных отсутствует Положение о внутреннем ИТ-аудите. И только у половины всех респондентов он упомянут в Положении о внутреннем аудите.
Аудирующая группа обычно на 65% состоит из ИТ-профессионалов. Остальные – специалисты в области экономики, телекоммуникаций, бухгалтерского учета и т.д.
Критериями качества ИТ-аудиторов являются в основном знание международных стандартов, информационной безопасности и понимание бизнес-среды организации. Для работодателей же согласно исследованию самое главное, чтобы проверяющий обладал сертификатом CISA (Certified Information System Auditor). А эффективность работы ИТ-аудиторов оценивается по срокам выполнения всего аудита и его промежуточных этапов (72%).
Приоритетные цели, с которой компании проводят ИТ-аудит:
- оценка мер контроля в области информационных систем – 96%;
- аудит информационной безопасности – 85;
- проверка соответствия корпоративным и регулятивным требованиям и законодательству – 69%.
Больше всего времени (20%) занимает обзор эффективности контрольных мер в ИТ и аудит информационной безопасности (18%), а самая популярная методология для проведения ИТ-аудита – COBIT. Ее использует 95% опрошенных компаний.
Проверки проводятся приблизительно раз в год. Как правило, в большинстве компаний подразделения либо вовсе не предупреждают об аудите, либо оповещают за 15 дней до его начала. После его окончания составляется отчет, в котором указаны:
- цели и рамки проверки;
- недостатки и области для улучшения;
- выводы и рекомендации для проверяемого подразделения.
В 72% случаев информирование о результатах ИТ-проверки имеет форму детализированного отчета, в остальных случаях это либо справка для руководства, либо презентация.