ИТ-аудит

Содержание курса

Модуль 1. Введение
 

• Понятие мониторинга, контролей, контроллинга и аудита
• Цели аудита
• Вопросы, которые интересуют собственников бизнеса при проведении аудита
• Вопросы, которые интересуют руководство компании при проведении аудита
• Вопросы, которые интересуют руководителя подразделения при проведении аудита
• Сопротивление сотрудников при проведении аудита: причины, способы преодоления
• Устав аудита
• Управление рисками при проведении аудита
• Анализ перспектив и планов развития бизнеса

Модуль 2. Социальные законы и факторы развития организации
 

• Формальные и неформальные группы. Властные группировки. Оценка амбиций и лояльности подчиненных. Техники и приемы укрепления власти
• Законы Паркенсона для развития больших организаций
• Этапы жизненного цикла организации по Адзиесу и «болезни» свойственные этим этапам
• Оценка компетенций управляющей команды по Адзиесу. Выявление недостающих компетенций
• Когнитивные искажения и профессиональная деформация
• Токсичные сотрудники и руководители
• Сознательные и подсознательные установки и мотиваторы собственника бизнеса
• Интересы и амбиции генерального директора
• Интересы внешних аудиторов
• Способы манипуляции аудитором. Методы давления на аудитора
• Использование внешних аудиторов в личных интересах
• «Обычная» и «правильная» мотивации владельца бизнес процесса
• Признаки несоответствия организационной структуры интересам бизнеса

Модуль 3. Оценка корпоративных факторов влияния и их аудит
 

• Корпоративные факторы влияния согласно Cobit
• Оценка вовлеченности, профиля мотивации, ценностей, проактивности сотрудников
• Оценка токсических свойств работников: конфликтность, депрессивность, алкогольная и прочие зависимости, воровство, коррупция, обидчивость, пессимизм
• Определение неформальных лидеров и группировок
• Оценка профессиональных компетенций
• Пути решения выявленных проблем

Модуль 4. Аудит процессов и организация штатной структуры
 

• Цели аудита
• Инструменты аудита
• Заказчики аудита
• Внутренние аудиторы
• Внешние аудиторы
• Устав аудита
• Контроллинг и мониторинг бизнес процессов
• Блиц-опрос: Нарушенные процессы. Процессы без владельца. Процессы, нуждающиеся в реинжиниринге. Процессы с размытой ответственностью
• Разделение всех процессов на при вида: фискальные процессы, консервативные процессы, требующие жесткой регламентации, и процессы, склонные к динамическим изменениям
• Принципы построения, контроля и аудита для каждого вида процессов
• Выделение процессов, которые можно выстроить по принципам холакратии
• Оценка 360 и выявление токсичных сотрудников
• Анализ процессов, которые искажают токсичные сотрудники
• Реинжиниринг поврежденных процессов
• Анализ контрольных и согласующих операций в бизнес процессе, сокращение контрольных операций в пользу самых экономически обоснованных операций
• Аудит системы управления корпоративной бизнес архитектурой предприятия. Соответствие системы задачам бизнеса. Оценка соответствия глубины описания бизнес процессов потребностям бизнеса. Аудит знаний пользователями регламентов бизнес процессов
• Анализ времени выполнения операций. Использование систем видео-аналитики и DLP систем. Изменение функционала исполнителя операции и оптимизация орг. штатной структуры

Модуль 5. Аудит ИТ
 

• Международные стандарты по аудиту:

- Стандарт ITAF
- Стандарт «Cobit 5 for Assurance»
- Стандарт IIA
- Стандарты «ISAE No. 3402» и «SSAE No. 16»
- Стандарт PCAOB
- Стандарты ISO27001 и ISO27002
- Стандарт ISO 20000
- Стандарт ITIL
- Стандарт PCI DSS
- Стандарт NIST, Стандарт ISF

• Оценка факторов влияния потребностям бизнеса по Cobit: Принципы, политики и подходы, Процессы, Организационная структура, Культура, этика и поведение, Информация, Услуги, инфраструктура и приложения, Люди навыки и компетенции
• Устав ИТ аудита по Cobit:

- Цели
- Заказчик
- Сроки
- Объем работ
- Орг. штатная структура
- Распределение обязанностей
- Ответственность за результаты
-  Процедуры
- Формат отчетного документа

• Пример Устава Ит аудита по Cobit
• Формы проведения внешнего и внутреннего ИТ-аудита по Cobit:

- Обследование и обзоры безопасности информационных систем
- Сертификация
- Аттестация
- Технические экспертизы
- Различные формы контроля качества

• Принципы построения системы контролей. Акт Сарбейнса-Оксли и информационные технологии. Параграфы 302 и 404. Элементы системы внутреннего контроля Sarbanes-Oxley (SOx)
• Этапы работы по разработке и внедрению системы внутреннего контроля Sarbanes-Oxley (SOx):

- оценка объема проекта и планирование работ
- определение существенных счетов компании (материальных и нематериальных)
- установление бизнес-процессов компании, важных с точки зрения существенных счетов
- описание структуры выделенных процессов
- определение рисков и их предварительное ранжирование
- проведение оценки наиболее существенных рисков и их ранжирование
- описание/разработка системы внутреннего контроля
- проведение первичной оценки эффективности систем внутреннего контроля
- настройка системы тестов и процедур для проведения периодического тестирования системы внутреннего контроля и формирования рекомендаций по их улучшению
- состав проектной группы внедрения системы внутреннего контроля Sarbanes-Oxley (SOx)
- контрольные процедуры для Sarbanes-Oxley (SOx)
- общие ИТ-контроли для SOX
- как выполнить требования SOX (аудиторов из BIG4) к ИТ

• Проверка ИТ службы при финансовом аудите:

- Логический и физический доступ
- Эксплуатация информационных систем
- Управление изменениями в информационных системах

• Оценка процедур стратегического планирования, документов, целеполагания и управления по целям предприятия. Оценка того, насколько ИТ служба понимает текущие и будущие потребности бизнеса. Оценка соответствия факторов влияния ИТ службы на компанию. Оценка понимания руководством компании новых технологий и возможностей, которые несет ИТ для бизнеса

•  Аудит данных на соответствие Cobit:

- Требования к информации
- Устав данных
- Владельцы данных
- Кураторы данных
- Стоимость данных
- Отказ от хранения расчета неиспользуемых данных
- Оптимизация пользовательских форм и процедур
- Контроль качества данных
- Возможности технологии BigData

• Аудит информационных систем:

- Инвентаризация ПО и лицензий
- Архитектура ИС предприятия
- Эргономика
- Оценка степени удовлетворенности пользователей

• Методика APDEX – стандарт оценки производительности корпоративных приложений Качество и эффективность интерфейсов между системами. Шины данных
• Аудит веб приложений
• Бенчмаркинг затрат на ИС предприятия
• Оптимизация процессов и систем
• Аудит процессов и устройств печати с целью снижения издержек компании:

- Бенчмаркинг себестоимости собственной печати и аутсорсинга печати.
- Оптимизация оборудования.
- Оптимизация документов и документооборота.
- Экономическая эффективность внедрения Electronic Data Interchange.
- Экономическая эффективность электронной подписи.

• Аудит связи:

- Выбор оптимального провайдера и тарифов
- Бенчмаркинг
- Обоснование оптимальных затрат на связь

• Аудит работы ИТ персонала и организационной структуры ИТ:

- Бенчмаркинг показателей
- Показатели мотивации, качества работы и ответственности персонала
- Показатели производительности и утилизации рабочего времени
- Экономические показатели аутсорсинга ИТ работ

• Аудит ИТ инфраструктуры. Технологии аудита, Программные средства для аудита, Бенчмаркинг. Оптимизация затрат на инфраструктуру
• Аудит информационной безопасности. Системы удалённого доступа. Шлюзы доступа в Интернет. Системы антивирусной безопасности. Системы резервного копирования данных. Бенчмаркинг. Оптимизация затрат на ИБ.
• Аудит «теневых ИТ». Оценка рисков. Оценка возможностей.
• Аудит закупок для ИТ:

- Сравнение стоимости владения брендового и «no name» оборудования
- Тендерные площадки
- Выявление коррупции при закупках
- Бенчмаркинг

• Оптимальные процедуры и регламенты
• Способы снижения издержек ИТ в условиях кризиса. Снижение расходов компании за счет инвестиций в ИТ