Аудит информационных систем для специалистов в области информационных технологий

Содержание курса

• цели и условия аудита
• стратегия и планирование аудита
• роль аудитора

• определение внутреннего аудита
• роли и обязанности при внутреннем аудите
• различия между внутренними и внешними аудиторами
• немного "вглубь" процесса внутреннего аудита
• выбор вида аудита

• влияние Акта Sarbanes-Oxley
• Институт внутренних аудиторов (The Institute of Internal Auditors, IIA)
• Ассоциация аудита и контроля информационных систем ISACA (Information Systems Audit and Control Association)
  • стандарты ISACA для проведения аудита информационных систем
  • COBIT 4.1
• Американский институт дипломированных независимых бухгалтеров (American Institute of Certified Public Accountants, AICPA)
• SAS 94
• SAS 70
• профессиональные организации бухгалтеров
• другие организации по сертификации в области ИТ

• возрастание ИТ-рисков
• определение риска
• баланс риск/стоимость
• бизнес-риски
• риски ИС
• риски для целостности данных
• риски инфраструктуры ИС

• определение средства контроля
• что такое процесс?
• типы средств контроля
• средства контроля ИС
• отношение стоимость/польза для средств контроля
• руководство (governance) и контроль
• децентрализованное окружение
• международные правила и нормы
• влияние Акта Sarbanes-Oxley

• модель COSO
• определение средств контроля и целей согласно COSO
• компоненты средства контроля
• COSO и средства контроля ИС
• COBIT 4.1
• цели контроля
• домены и процессы
• виды деятельности по контролю
• Стандарт безопасности ISO-27002
• ITIL – IT Infrastructure Library

• задачи аудита ИС
• цели аудита
• интегрированные ИТ/бизнес средства контроля
• стратегия аудита
• обзоры (reviews) средств контроля ИТ-инфраструктуры/общих средств контроля
• аудит бизнес-приложений
• взаимосвязь общих средств контроля и средств контроля приложений
• обзоры разработки систем
• технический аудит ИС
• операционный аудит ИС
• CAATs (Computer-Assisted Audit Techniques, автоматизированные методики аудита)
• учет особенностей влияния облачных вычислений (Cloud Computing) и виртуализации при проведении аудита ИС

• общие средства контроля ИС
• категории ИТ-инфраструктуры/общих средств контроля
• логические средства контроля доступа
• системное ПО
• операционная система
• системы управления базами данных
• физическая безопасность
• защита от воздействия окружающей среды
• непрерывность бизнеса

• риски бизнес-приложений
• жизненный цикл транзакции
• полнота и точность ввода и обработки
• сообщения об ошибках и исключительных ситуациях
• средства контроля вывода данных
• управление изменениями ПО
• средства контроля доступа
• планирование непрерывности бизнеса
• вычисления конечных пользователей
• стратегия аудита бизнес-приложений

• бизнес-риски
• первичные цели аудита
• почему важно участвовать
• участие: как, когда, кто
• подбор аудит-группы
• обсуждение ролей и конечных результатов при аудите
• оценка управления проектом
• сборка системы
• стратегия аудита

• подготовка к аудиту
• план
• открытие конференций
• эффективные интервью
• предварительная работа

• цели и критерии программы аудита
• определение цели аудита
• масштаб и этапы аудита

• типы подтверждения при аудите
• оценка и документирование внутренних средств контроля
• тестирование при аудите
• автоматизированные методики аудита
• терминология и методологии выборки

• назначение рабочих документов аудита
• методики, связанные с рабочими документами
• электронные рабочие документы

• характеристики находок, полученных в ходе аудита
• передача информации, полученной в ходе аудита
• основные принципы составления отчета об аудите
• рекомендации по предоставлению своевременных отчетов
• завершение конференций/стратегии