В России широко распространен финансовый аудит. Компании знают, зачем это нужно, и нередко прибегают к нему. В последние годы набирает популярность еще один вид — ИТ-аудит. Зачем и как его проводить, рассказывает Илья Винокуров («Ланит-Интеграция»)
Что будем проверять
В первую очередь надо понять, для чего вам нужен аудит и чего ожидать от проведения.
В охват аудита могут попасть: ИТ-инфраструктура, бюджет ИТ в целом или проекты создания информационных систем и т.д. Аудит поможет оценить их с точки зрения уровня цифровой готовности (также называемой зрелостью) компании, соответствия требованиям регуляторов и уровня обеспечения устойчивости бизнес-процессов.
Например, для организации, заинтересованной в оценке функциональных возможностей своей аналитической информационной системы, вряд ли будет ценно нагрузочное тестирование системы телефонии. Однако области ИТ так сильно связаны между собой, что при обследовании той же аналитической системы станет уместна и оценка производительности систем хранения данных, выделенных для ее работы.
Как успешно пройти аудит: пять этапов
Вне зависимости от типа аудит лучше планировать и проводить в соответствии с лучшими практиками и стандартами. Например, применять подход ITAF, разработанный международной организацией аудита информационных систем ISACA. Согласно ему, проект аудита делится на пять этапов:
