Майже половина наших проєктів – це IT аудити. І ми точно знаємо про типові проблеми, які приводять власника або CEO до проведення IT аудиту:
Високі витрати на IT
Низький рівень віддачі від інвестицій в IT
Бажання перевірити рівень IT зрілості незалежною структурою
Необхідність відповідності вимогам
Отже, почну з того, які бувають аудити. Є декілька типів, перерахую основні:
Аудит відповідності
Призначається для перевірки відповідності процесів компанії певним стандартам чи вимогам. Наприклад: аудит на відповідність стандарту PCI DSS, обов'язковий для компаній, які працюють з кредитними та дебетовими картами.
Фінансовий аудит
Мені здається тут все просто – перевірка “охайності” фінансової звітності компанії.
Операційний аудит
Спрямований на оцінку внутрішніх контролів у певних процесах або певній галузі компанії (наприклад, логістика).
Інтеграційний аудит
Включає елементи фінансового та операційного аудиту, а також тести на відповідність внутрішнього контролю.
Адміністративний аудит
Оцінює ефективність операційної продуктивності підрозділу компанії.
Аудит ІС
Призначений для оцінки інформаційних систем щодо захищеності інформації/даних компанії, активів, цілісності, доступності, оцінки готовності компанії до критичних умов функціонування та іншого.
Форензик
Це тип аудитів, спрямованих на розкриття злочинів усередині компанії. Наприклад: витік даних, фінансове шахрайство.
Спеціалізований аудит
Зазвичай проводиться для оцінки однієї з областей активностей компанії. Наприклад, купівля послуг у зовнішніх підрядників.
Якщо з типами аудиту ми розібрались, давайте поговоримо про фази аудиту. Адже дуже важливо провести аудит якісно. Отже…
Першим кроком є визначення предмету аудиту, а саме – що ми будемо розглядати.
Наступним кроком є визначення мети аудиту, іншими словами – відповідь на запитання “навіщо ми це робимо”.
Після чого визначається обсяг аудиту, наприклад – специфічні системи або додатки, які ми будемо досліджувати.
Далі логічно визначити базовий план аудиту з урахуванням доступності ресурсів, як людських так і технічних, і розробити план комунікації.
Власне в цей момент і починається основна робота (наприклад, інтерв'ю зі співробітниками, вивчення документів, аналіз систем та ін).
Важливим моментом є оцінка та верифікація результатів, оскільки будь-який аудитор має отримати підтвердження (evidence).
Останнім кроком є підготовка звіту про аудит, розробка рекомендацій та його обговорення з менеджментом компанії.
Так як ми проводимо досить багато ІТ аудитів, то поділюся деякими спостереженнями, які можуть стати вам у нагоді.
Аудит має проводитись сертифікованими фахівцями, які підписали кодекс етики аудитора.
Якщо в компанії у якій проводиться аудит працює родич аудитора – це вже конфлікт інтересів і аудитор повинен проінформувати про це клієнта до початку проведення аудиту. Фінальне рішення про продовження роботи саме з цим аудитором або його заміну приймає зазвичай клієнт.
Аудитори зацікавлені в якісному результаті, тому що вони несуть відповідальність перед бізнесом за висновки та пов'язані з ними наступні дії.
Програма аудиту не змінюється нашвидкуруч, це вкрай небезпечна практика.
Аудит – це інструмент незалежної оцінки та швидкої допомоги бізнесу.
Підсумовуючи досвід останніх років, можна сказати, що ставлення власника до аудиту безпосередньо залежить від його ж бізнес-зрілості. Раніше власники бізнесу намагалися закрити всі питання внутрішнім ресурсом (дешевше) і намагалися не допускати аудиторів до цифр і систем (конфіденційно), але останнім часом ми спостерігаємо позитивну тенденцію коли аудитора сприймають, як дуже важливий ресурс, який допоможе знайти проблему та вирішити її, тим самим забезпечивши бізнесу імпульс подальшого розвитку.