Uisg itgov 8_i_taudit
Click here to load reader
-
Upload
uisgslide -
Category
Technology
-
view
143 -
download
2
Transcript of Uisg itgov 8_i_taudit
![Page 1: Uisg itgov 8_i_taudit](https://reader038.fdocuments.net/reader038/viewer/2022100523/554bd5c8b4c905706a8b50f9/html5/thumbnails/1.jpg)
ІТ-аудит по-українськи
Андрій ВарушаВолодимир
Стиран
![Page 2: Uisg itgov 8_i_taudit](https://reader038.fdocuments.net/reader038/viewer/2022100523/554bd5c8b4c905706a8b50f9/html5/thumbnails/2.jpg)
Що таке ІТ-аудит?
Перевірка відповідності ІТ-процесів◦ Розробка та підтримка систем◦ Надання послуг◦ Моніторинг та реагування◦ Захист інформації
бізнес-вимогам◦ Ризик-апетит◦ Бізнес-стратегія◦ Вимоги регуляторів (закони,
постанови, стандарти тощо)
![Page 3: Uisg itgov 8_i_taudit](https://reader038.fdocuments.net/reader038/viewer/2022100523/554bd5c8b4c905706a8b50f9/html5/thumbnails/3.jpg)
Принципи ІТ-аудиту
• Об'єктивність◦ Всі висновки підкріплені належними доказами
• Незалежність◦ Виключення конфлікту інтересів
• Методичність◦ Використання наукових методів та кращих
практик у галузі
![Page 4: Uisg itgov 8_i_taudit](https://reader038.fdocuments.net/reader038/viewer/2022100523/554bd5c8b4c905706a8b50f9/html5/thumbnails/4.jpg)
Процес IT-аудитуАналіз ризиків
(risk analysis)
Планування
(planning)
Виконання (execution)
Створення звіту
(report)
Обговорення плану
дій (action plan)
Перевірка усунення
(follow-up)
![Page 5: Uisg itgov 8_i_taudit](https://reader038.fdocuments.net/reader038/viewer/2022100523/554bd5c8b4c905706a8b50f9/html5/thumbnails/5.jpg)
Для чого потрібен ІТ-аудит?
Для того і щука в ставку, щоб карась не дрімав
![Page 6: Uisg itgov 8_i_taudit](https://reader038.fdocuments.net/reader038/viewer/2022100523/554bd5c8b4c905706a8b50f9/html5/thumbnails/6.jpg)
Для чого потрібен ІТ-аудит?
Топ-менеджмент/ власники: для виконання регулятивних вимог (SOX, ISO, НБУ тощо) та службових розслідувань
ІТ: для пошуку “винних” у проблемах, для ускладнення життя
ІТ – аудит: для знаходження ризиків, пов’язаних із ІТ-функцією компанії, та вдосконалення її за рахунок усунення знайдених недоліків
![Page 7: Uisg itgov 8_i_taudit](https://reader038.fdocuments.net/reader038/viewer/2022100523/554bd5c8b4c905706a8b50f9/html5/thumbnails/7.jpg)
Для чого потрібен ІТ-аудит?
![Page 8: Uisg itgov 8_i_taudit](https://reader038.fdocuments.net/reader038/viewer/2022100523/554bd5c8b4c905706a8b50f9/html5/thumbnails/8.jpg)
Для чого потрібен ІТ-аудит
Як наблизити ці бачення до єдиного?
![Page 9: Uisg itgov 8_i_taudit](https://reader038.fdocuments.net/reader038/viewer/2022100523/554bd5c8b4c905706a8b50f9/html5/thumbnails/9.jpg)
Складові успіху
Авторитет
АктуальністьКоманда
![Page 10: Uisg itgov 8_i_taudit](https://reader038.fdocuments.net/reader038/viewer/2022100523/554bd5c8b4c905706a8b50f9/html5/thumbnails/10.jpg)
Команда
«Однажды Лебедь, Рак да Щука…»
![Page 11: Uisg itgov 8_i_taudit](https://reader038.fdocuments.net/reader038/viewer/2022100523/554bd5c8b4c905706a8b50f9/html5/thumbnails/11.jpg)
КомандаIT навички:•Скриптові мови (VB,
Perl)•SQL•Командний рядок
(windows, *nix, PowerShell, LDAP)•Спеціалізовані
інструменти (WMI, NMap, MSF etc.)
Стандарти/кваліфікація:•CobiT, ITIL, ISO•CISA, CISM, CISSP, CGEIT
Досвід:•Адміністратор•Розробник•Впровадження систем•Інформаційна безпека
Особисті якості:•Комунікаційні та
презентаційні навички•Гарна письмова мова•Витримка та
делікатність
Стандарти/кваліфікація:•ACCA, IIA
Досвід:•Бізнес-аналітик•Консультант
Бізнес-навички•Основи обліку та
фінансів•Аналіз та моделювання
бізнес-процесів
![Page 12: Uisg itgov 8_i_taudit](https://reader038.fdocuments.net/reader038/viewer/2022100523/554bd5c8b4c905706a8b50f9/html5/thumbnails/12.jpg)
Актуальність
Ти можеш перестати хвилюватись через переїзд, Гаррі. Ми тебе з собою не
беремо.
![Page 13: Uisg itgov 8_i_taudit](https://reader038.fdocuments.net/reader038/viewer/2022100523/554bd5c8b4c905706a8b50f9/html5/thumbnails/13.jpg)
Актуальність Участь у комітетах:
◦ Виконавчий комітет◦ Управляючий комітет по ІТ◦ Комітет по ризиках◦ Комітет по управлінню змінами
Аналіз даних в системах:◦ Система автоматизації ІТ-процесів (напр. JIRA)◦ Система закупок (контракти з постачальниками)◦ Системи моніторингу (напр. HP OVO)◦ Системи звітування про інциденти
Інше:◦ Аудиторські звіти◦ Результати пен-тестів
![Page 14: Uisg itgov 8_i_taudit](https://reader038.fdocuments.net/reader038/viewer/2022100523/554bd5c8b4c905706a8b50f9/html5/thumbnails/14.jpg)
Авторитет
Насправді, не такий вже він і лідер. Просто у нього багато послідовників.
![Page 15: Uisg itgov 8_i_taudit](https://reader038.fdocuments.net/reader038/viewer/2022100523/554bd5c8b4c905706a8b50f9/html5/thumbnails/15.jpg)
Повноваження:◦ Положення про внутрішній аудит, процедура взаємодії із
підрозділами◦ Пряме підпорядкування аудиторському комітету / топ-
менеджменту◦ Погодження рекомендацій із відповідальними◦ Моніторинг статусів виконання◦ Звітування результатів моніторинга керівництву
Сприйняття:
◦ Баланс між формальним підходом до аудиту (слідувати плану аудиту і робочим програмам) і added-value підходу (реагувати на ad-hoc знахідки)
◦ Баланс між незалежністю та корисними рекомендаціями
◦ Баланс між “правильними” рекомендаціями із неочевидними ризиками і “точковими” знахідками з яскраво проілюстрованим ризиком
Авторитет
![Page 16: Uisg itgov 8_i_taudit](https://reader038.fdocuments.net/reader038/viewer/2022100523/554bd5c8b4c905706a8b50f9/html5/thumbnails/16.jpg)
Оргструктура
Supervisory board
Executive Board
IT функція
Директори департаментів
Начальники відділів, груп, секторів тощо
Працівники
Бізнес функції
Директори департаменті
в
Начальники відділів,
груп, секторів тощо
Працівники
Інформаційна безпека
Аудиторський
комітет
Внутрішній аудит
Аудит ІТ
Бізнес (фінансовий)
аудит
![Page 17: Uisg itgov 8_i_taudit](https://reader038.fdocuments.net/reader038/viewer/2022100523/554bd5c8b4c905706a8b50f9/html5/thumbnails/17.jpg)
ВисновкиВ компаніях з складною ІТ-інфраструктурою
та технологічними процесами ІТ-аудит необхідний
Аудит ≠ операційний контрольЦикл аудиту має бути повним (включаючи
погодження рекомендацій і моніторинг статусів), а повноваження аудиту – чітко визначеними
Позитивне сприйняття ІТ-аудиту вимагає постійних зусиль
Шлях до успіху = компетентна команда + актуальні проблеми + дотримання принципів + розумний компроміс