Майже половина наших проєктів – це IT аудити. І ми точно знаємо про типові проблеми, які приводять власника або CEO до проведення IT аудиту:
Високі витрати на IT
Низький рівень віддачі від інвестицій в IT
Бажання перевірити рівень IT зрілості незалежною структурою
Необхідність відповідності вимогам
Отже, почну з того, які бувають аудити. Є декілька типів, перерахую основні:
Аудит відповідності
Призначається для перевірки відповідності процесів компанії певним стандартам чи вимогам. Наприклад: аудит на відповідність стандарту PCI DSS, обов'язковий для компаній, які працюють з кредитними та дебетовими картами.
Фінансовий аудит
Мені здається тут все просто – перевірка “охайності” фінансової звітності компанії.
Операційний аудит
Спрямований на оцінку внутрішніх контролів у певних процесах або певній галузі компанії (наприклад, логістика).
Інтеграційний аудит
Включає елементи фінансового та операційного аудиту, а також тести на відповідність внутрішнього контролю.
Адміністративний аудит
Оцінює ефективність операційної продуктивності підрозділу компанії.
Аудит ІС
Призначений для оцінки інформаційних систем щодо захищеності інформації/даних компанії, активів, цілісності, доступності, оцінки готовності компанії до критичних умов функціонування та іншого.
Форензик
Це тип аудитів, спрямованих на розкриття злочинів усередині компанії. Наприклад: витік даних, фінансове шахрайство.
Спеціалізований аудит
Зазвичай проводиться для оцінки однієї з областей активностей компанії. Наприклад, купівля послуг у зовнішніх підрядників.
Якщо з типами аудиту ми розібрались, давайте поговоримо про фази аудиту. Адже дуже важливо провести аудит якісно. Отже…
Першим кроком є визначення предмету аудиту, а саме – що ми будемо розглядати.
Наступним кроком є визначення мети аудиту, іншими словами – відповідь на запитання “навіщо ми це робимо”.
Після чого визначається обсяг аудиту, наприклад – специфічні системи або додатки, які ми будемо досліджувати.
Далі логічно визначити базовий план аудиту з урахуванням доступності ресурсів, як людських так і технічних, і розробити план комунікації.
Власне в цей момент і починається основна робота (наприклад, інтерв'ю зі співробітниками, вивчення документів, аналіз систем та ін).
Важливим моментом є оцінка та верифікація результатів, оскільки будь-який аудитор має отримати підтвердження (evidence).
Останнім кроком є підготовка звіту про аудит, розробка рекомендацій та його обговорення з менеджментом компанії.
Так як ми проводимо досить багато ІТ аудитів, то поділюся деякими спостереженнями, які можуть стати вам у нагоді.
Аудит має проводитись сертифікованими фахівцями, які підписали кодекс етики аудитора.
Якщо в компанії у якій проводиться аудит працює родич аудитора – це вже конфлікт інтересів і аудитор повинен проінформувати про це клієнта до початку проведення аудиту. Фінальне рішення про продовження роботи саме з цим аудитором або його заміну приймає зазвичай клієнт.
Аудитори зацікавлені в якісному результаті, тому що вони несуть відповідальність перед бізнесом за висновки та пов'язані з ними наступні дії.
Програма аудиту не змінюється нашвидкуруч, це вкрай небезпечна практика.
Аудит – це інструмент незалежної оцінки та швидкої допомоги бізнесу.
Підсумовуючи досвід останніх років, можна сказати, що ставлення власника до аудиту безпосередньо залежить від його ж бізнес-зрілості. Раніше власники бізнесу намагалися закрити всі питання внутрішнім ресурсом (дешевше) і намагалися не допускати аудиторів до цифр і систем (конфіденційно), але останнім часом ми спостерігаємо позитивну тенденцію коли аудитора сприймають, як дуже важливий ресурс, який допоможе знайти проблему та вирішити її, тим самим забезпечивши бізнесу імпульс подальшого розвитку.
Comments