Аудит Информационных Систем

Аудит управления информационных систем - системный процесс получения и оценки объективных данных о текущем состоянии управления информационной системой, устанавливающий уровень ее соответствия целям и задачам компании и предоставляющий результаты заказчику.

Аудит управления ИС дает ответы на ряд вопросов:

  • Соответствует ли существующая ИС и методы управления ею целям и задачам Вашего бизнеса?
  • Согласуются ли проекты развития ИС со стратегическими планами организации?
  • Какие сопутствующие риски имеются и возникают в процессе развития ИС?
  • Соответствует ли квалификация ИТ-персонала существующим и будущим задачам?
  • Как оценить и оптимизировать стоимость владения ИС?
  • Каковы первопричины позитивных и негативных результатов функционирования существующей ИС?
  • Что делать для улучшения ситуации в первую очередь?

Наибольший международный авторитет в области методологий аудита ИС имеет Ассоциация Аудита и Контроля Информационных Систем - ISACA, разработавшая и продвигающая открытые стандарты CoBiT, рекомендующие оптимальные технологии управления информационными системами и действий аудиторов. Они. объединяют и согласовывают множество международных, национальных и отраслевых стандартов управления (ISO, BS, NIST, ITIL, COSO, PMBOK и др.) в единый ресурс и позволяющие авторитетно, на современном уровне управлять целями и задачами, решаемыми информационными системами любого масштаба и сложности.

Применение стандарта CoBiT возможно как для проведения аудита управления информационными системами, так и для их проектирования.

Применение стандартов CoBiT подразумевает сбалансированный анализ и управление следующими ресурсами организации:

  • Персонал - руководство, штатный и контрактный персонал организации. Рассматриваются навыки , понимание задач, мотивация и производительность работы.
  • Приложения - прикладное программное обеспечение, используемое в работе организации.
  • Технологии - Процедуры, правила, регламенты, системное программное обеспечение и т.д.
  • Оборудование - все аппаратные средства ИС организации, с учетом их обслуживания.
  • Информация - в самом широком смысле - документооборот, внешняя и внутренняя, структурированная и неструктурированная, мультимедиа и др.

Все эти ресурсы оцениваются CoBiT на каждом из этапов создания, эксплуатации или аудита ИС по ряду критериев, а результаты представляются в виде отчета.

Основное требование к результатам аудита — полезность информации.

Чтобы информация была полезной, она должна обладать определенными характеристиками, среди которых:

  • Понятность. Информация должна быть понятной для заказчика, который обладает определенным уровнем знаний и квалификацией.
  • Уместность. Информация является уместной, если она влияет на решения пользователей и помогает им оценивать прошлые, настоящие, будущие события или подтверждать и исправлять прошлые оценки. На уместность информации влияет ее содержание и существенность. Информация является существенной, если ее отсутствие или неправильная оценка могут повлиять на принимаемые решения.
  • Своевременность, которая означает, что вся значимая информация учтена и представлена вовремя.
  • Достоверность, надежность. Информация является достоверной, если она не содержит существенных ошибок или пристрастных оценок и правдиво отражает текущую деятельность. Чтобы быть достоверной, информация должна удовлетворять критериям правдивости и нейтральности, т.е. она не должна содержать однобоких оценок, или предоставляться выборочно, с целью достижения определенного результата;
  • Осмотрительность - готовность к учету потенциальных убытков, а не только потенциальных прибылей и как следствие — создание резервов. Такой подход уместен в состоянии неопределенности и не означает создание скрытых резервов или искажения информации;
  • Достаточность - требование полноты информации, как с точки зрения ее существенности, так и затрат на ее подготовку.

Результаты аудита управления ИС организации можно разделить на три основных группы:

  • 1. Организационные — Оценка процессов стратегического планирования ИС, выбора архитектуры, направлений технологического развития, проверка соответствия ИС задачам бизнеса, оценка инвестиций и снижение стоимости владения ИС, повышение конкурентоспособности организации.
  • 2. Технические — Понимание проблем, причин сбоев, узких мест информационной системы организации, комплексное решение вопросов безопасности, профессиональный прогноз функционирования и необходимости модернизации ИС, реализация всего потенциала новых технологий, оценка работы сторонних организаций и т.д.
  • 3. Методологические — Применение лучших мировых практик и стандартов управления ИС, использование апробированных подходов к стратегическому планированию и управлению проектами создания ИС любых масштабов


PRINCE2®, M_o_R®, MSP®, MoP®, AgilePM are registered trade marks of AXELOS Limited, used under permission of AXELOS Limited. All rights reserved.
The Swirl logo™ is a trade mark of AXELOS Limited, used under permission of AXELOS limited. All rights reserved.
The PRINCE2® Licensed Affiliate logo is a trade mark of AXELOS Limited, used under permission of AXELOS Limited. All rights reserved.
Infotechnica Co. Ltd. delivers PRINCE2® courses as an affiliate of CUPE International Ltd, (an ATO Accredited by The APM Group Limited)
PMI® is a registered mark of Project Management Institute, Inc.