Перед началом проверки аудитор и представители организации проводят совещание с целью утверждения плана аудита. Аудитор также использует эту возможность для того, чтобы определить ресурсы организации, необходимые для обеспечения проверки.
Этап 3. Сбор данных и тестирование элементов управления ИТ
В ходе следующего этапа аудиторы проводят тестирование, чтобы убедиться в наличии описанных в документации элементов управления и их надлежащем функционировании. Количество тестов и их специфика зависят от типа элементов и важности системы, которой они управляют.
Например, администратор ИТ может продемонстрировать проверяющему, как пользователи заполняют и подают форму для получения доступа в систему. Аудитор проверяет, соответствуют ли запрашиваемые у пользователя данные нормативным и эксплуатационным требованиям. Что касается связанных с этим процессом ручных элементов управления, то аудитор определяет правильность и полноту документации о политике организации по той же методике. Аудитор также проверяет, получены ли надлежащие разрешения.
Этап 4. Исправление выявленных недостатков
По результатам тестирования проверяющие информируют организацию о выявленных недостатках. В некоторых случаях организация может относительно быстро их устранить. Аудиторы также могут предоставить определенное время для исправления недочетов.
Этап 5. Тестирование исправленных элементов управления
Затем аудиторы выполняют тестирование исправленных элементов управления ИТ. Проверяющий может признать либо не признать, что недостатки устранены должным образом. Если аудитор решит, что неполадки исправлены надлежащим образом, он не упомянет их в своем окончательном отчете.
Этап 6. Проведение анализа и составление отчета по результатам аудита
По завершении тестирования аудиторы составляют отчет о результатах проверки. В нем подробно описываются все упущения, обнаруженные в ходе аудита. Они могут относиться к одной из следующих категорий.
Недостатки проектирования. Это случаи, когда проверяющий обнаруживает полное или частичное отсутствие элементов управления, необходимых для решения определенной задачи, либо устанавливает, что имеющиеся элементы не могут надлежащим образом выполнять свое предназначение. Примером недостатков проектирования может быть ситуация, при которой организация имеет дело с конфиденциальными данными о пользователях, такими как имя, адрес, номер паспорта, но не может представить информацию о соответствующих элементах управления и способах защиты этих данных.
Недостатки эксплуатации. Проверяющий может обнаружить, что организация не использует элементы управления, предусмотренные проектом. Такая ситуация возникает, если на элемент управления составлена документация, но сам он так и не был внедрен в производственный процесс. Или же элемент был внедрен на практике, но не используется. Например, элемент управления предусматривает, что предоставление пользователям доступа к определенному важному ресурсу происходит только после утверждения соответствующего запроса вице-президентом или другим руководителем высшего звена. Если аудиторы установят, что такой доступ обычно предоставляется без надлежащего утверждения, это будет рассматриваться в качестве недостатка эксплуатации.
Аудитор составляет для организации сводный отчет о недостатках управления, в котором описывается масштаб и количество недоработок, требующих устранения.
Этап 7. Реакция на результаты аудита
Обычно организации предоставляется возможность ответить на высказанные аудиторами претензии, в частности, либо указать обстоятельства, способные смягчить жесткость выводов, либо изложить планы устранения выявленных недостатков. Как правило, организации попытаются исправить обнаруженные недостатки в период до проведения следующего аудита.
Этап 8. Представление окончательного отчета
На заключительном этапе процедуры проверки аудитор представляет свой окончательный отчет. Этот отчет передается руководству ИТ-подразделения, а также группе финансового аудита (если таковая имеется) для включения в общий отчет об аудите. Кроме того, отчет может быть представлен совету директоров и соответствующей третьей стороне, например контрольным органам.
Способы оптимизации процедуры аудита
Существует немало способов сделать процедуру аудита более эффективной и менее обременительной. К числу этих способов относятся следующие.
Сотрудничество с аудиторами с самого начала процедуры проверки. Это позволит установить ключевые области, на которых проверяющие планируют сосредоточить основное внимание. В некоторых случаях целесообразно пересмотреть приоритетные ИТ-проекты, чтобы принять меры к устранению факторов, рассматриваемых аудиторами в качестве основных рисков в производственной среде, и, таким образом, избежать упоминания недостатков по итогам аудита.
Внедрение автоматизированных элементов управления везде, где это возможно. Они предпочтительнее ручных элементов, поскольку легче поддаются тестированию и проверке. Наилучшим способом оптимизации процедуры аудита ИТ и снижения затрат на его проведение является:
ведение ясной и краткой документации на элементы управления ИТ и своевременное ее обновление;
организация элементов управления ИТ таким образом, чтобы они были совместимы с системой, используемой аудиторами. Это обеспечит четкое взаимопонимание относительно показателей соответствия нормативным требованиям;
использование преимуществ системы элементов управления ИТ, описанной в разделе 2 («Системное обеспечение соблюдения нормативных требований») настоящего руководства. Это позволит более эффективно обеспечить соответствие целому ряду нормативных актов с помощью единого набора элементов управления.
Система управления может предоставить возможности для планирования с целью обеспечения эффективного управления ИТ в организации. Система связывает потребности ведения коммерческой деятельности с мероприятиями в сфере ИТ посредством последовательной модели. С помощью этой модели можно выявить ресурсы ИТ, необходимые для определения и решения задач по внедрению в организации элементов управления ИТ.
Бизнес-факторы
Многие компании рассматривают задачу соответствия нормативным требованиям как чрезвычайно сложную и не приносящую никакой пользы. Такой подход представляется недальновидным. Действительно, обеспечение соответствия нормативным требованиям связано с решением непростых задач, однако это предоставляет и новые возможности. В данном разделе рассматриваются трудности и благоприятные возможности для ведения коммерческой деятельности, связанные с задачей соответствия нормативным требованиям.