
Тип работы:	Предмет:	Язык работы:

Методы и инструменты аудита информационных технологий

Работа №	111940
Тип работы	Магистерская диссертация
Предмет	информатика
Объем работы	88
Год сдачи	2022
Стоимость	4990 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено	82

Не подходит работа?

Узнай цену на написание

Содержание

Введение 3
1. Методы и инструменты аудита информационных технологий 9
1.1. Анализ деятельности ООО «City Plus» 9
1.2. Цели и методы аудита информационных технологий 19
1.3. Анализ шагов необходимых для повышения эффективности аудита
информационных технологий 51
2. Методология решения поставленных вопросов 54
2.1. Автоматизация как инструмент повышения эффективности методов ИТ-аудита 54
2.2. Сравнительный анализ существующих методик и инструментов . 60
3. Реализация функционала по проведению аудитов информационных
технологий на базе GRC-системы 63
3.1. Предпосылки автоматизации функционала по проведению аудитов
информационных технологий 63
3.2. Функциональные требования к внедряемой системе 64
3.3. Технические требования к внедряемой системе 68
Нефункциональные требования к информационной системе: 73
3.4. Особенности проверки исполнения плана мероприятий по
результатам аудитов 73
4. Тестирование разработанного подхода к процессу проведения внутреннего аудита информационных технологий и анализ результатов 74
4.1. Модули GRC системы 74
4.2. Тестирование работы модулей 77
4.3. Особенности интеграции модулей GRC-системы. 81
4.4. Оценка эффективности GRC-системы 82
Заключение 84
Список используемой литературы 84

Введение

Мировые экономические системы оказались глобально взаимозависимыми и взаимосвязанными.
Информационные технологии пронизывают все сферы деятельности общества. Невозможно себе представить крупную корпорацию, где информационные технологии не оказывали бы критического влияния, не становились одним из стратегических направлений деятельности компаний.
Современный рынок насыщен программным обеспечением и оборудованием. Многие компании стоят перед выбором - заменить устаревающее ИТ-оборудование и софт, или модернизировать его.
Информация становится критически важным ресурсом организации. Все больше денежных средств и усилий уделяется на ее защиту от утечки, искажения, нарушения целостности.
В современном мире очень важным аспектом является доступность информации, непрерывность ИТ-процессов, все большую роль играют средства коммуникации.
ИТ-бюджеты занимают существенную часть в бюджетах крупных организаций. Понять необходимость вкладывания средств в крупные ИТ- проекты, эффективность их внедрения, окупаемость, может только специалист, владеющий как достаточным пониманием ИТ-технологий, так и аналитическими методиками, являющимися неотъемлемой частью дисциплины аудит информационных технологий (ИТ-аудит) [1].
Применение новых цифровых технологий дает значительные преимущества в деятельности компаний, и в то же время создает предпосылки для хищения, утраты, подделки, уничтожения, и блокирования информации, что приводит к нанесению экономического, репутационного или иного ущерба.
Особенно четко зависимость современного бизнеса от ИТ-технологий показала недавняя пандемия COVID-19
В соответствии с докладом Международного торгового центра (Centre du commerce international (CCI)) от 22 июня 2020 года, из-за глобального сбоя производственно-сбытовых цепочек мировая экономика потеряла по меньшей мере 126 миллиардов долларов [2]. Согласно ежегодному докладу бизнес- омбудсмена Бориса Титова, пандемия COVID-19 в России затронула более 4 млн компаний и ИП из общего числа 6 млн. То есть пострадали до 67% малых, средних и крупных предприятий, а также индивидуальных предпринимателей. 30 марта 2020 года в Москве был объявлен локдаун. И ИТ-специалисты множества компаний оказались перед рядом следующих вопросов:
- Как обеспечить удаленную работу большого количества специалистов, в том числе если они не имеют своего домашнего оборудования для выхода в интернет
- Что делать в случае, если внезапно пропадает связь с серверами
- Как перераспределить нагрузку на сервера, чтобы они сохраняли максимальную работоспособность и производительность
- Как обеспечить информационную безопасность конфиденциальной информации в условиях удаленной работы [13].
- Как обеспечить техническую поддержку пользователей 24х7
Для обеспечения бесперебойной работы, минимизации затрат и повышения конкурентного преимущества, менеджмент компаний начинает задаваться вопросами - кто может:
- оценить, насколько ИТ стратегия соответствует общей стратегии компании
- обеспечить независимую оценку имеющихся ИТ-процессов компаний
- идентифицировать и оценить ИТ-риски
- оценить эффективность внедряемых ИТ-проектов
Актуальность темы «Методы и инструменты аудита информационных технологий» обуславливает тот факт, что спектр угроз для ИС расширился. Это обусловлено передачей информации по общим сетям WiFi,
«информационными войнами» конкурентов, большой текучкой специалистов. По данным западных аналитических агентств, до 95% попыток несанкционированного доступа к закрытой информации происходит по инициативе бывших работников компаний. Проведение аудита позволяет проанализировать состояние безопасности функционирования информационных систем, определить риски с целью последующего управления ими.
После проведения аудита информационные системы компаний становятся прозрачными даже для не владеющих специализированной, выявляются основные риски бизнес-процессов, вырабатываются рекомендации по повышению эффективности функционирования ИТ-систем и т. д.
В то же время возникает вопрос как о построении качественной методологии самого ИТ-аудита, так и об инструментах, позволяющих внедрить данную методологию, автоматизировать работу самого ИТ- аудитора.
Для решения подобной задачи может потребоваться комплексное решение позволяющее автоматизировать процесс внутреннего аудита, начиная с описания бизнес-процессов, годового планирования и проведения аудиторской проверки и заканчивая мониторингом исполнения мероприятий по результатам аудита, а также обмениваться информацией с иными подразделениями осуществляющими ряд мероприятий по минимизации рисков компании, так называемыми подразделениями второй линии защиты (подразделения по управлению рисками, внутреннего контроля, информационной безопасности и т.д.).
Одной из наиболее популярных концепций позволяющей реализовать все вышеизложенное является концепция GRC-системы.
Концепция GRC говорит о том, что компоненты аудита, рисков, контролей и непрерывности бизнеса тесно связаны между собой и находятся в постоянном взаимодействии и подразумевает ведение бизнеса, основанное на системности и риск-ориентированном подходе. Согласно данной концепции GRC-система представляет собой интегрированный и целостный подход к организации корпоративного управления, управления рисками и внутреннего контроля, позволяющий убедиться в том, что компания действует соответствующим образом, в пределах своего риск-аппетита, и представляет собой взаимосвязь стратегии, процессов, технологий и человеческих ресурсов, повышая эффективность и результативность деятельности.
Целью данной работы является анализ методов и инструментов внутреннего аудита информационных технологий на примере логистической компании ООО «City Plus», включающий в себя в том числе поиск технического решения, позволяющего автоматизировать, оптимизировать и повысить эффективность процесса аудита.
Задачи данной работы:
- проанализировать методы и инструменты проведения внутреннего аудита информационных технологий ООО «City Plus»;
- выбрать методологию оптимизации деятельности подразделения аудита информационных технологий, интеграцию модуля программного обеспечения для проведения внутреннего аудита с модулями подразделений второй линии защиты
- разработать технологию оптимизации внутреннего аудита информационных технологий компании за счет автоматизации и интеграции;
- протестировать разработанную технологию внутреннего аудита информационных технологий, а также оценить эффективность результатов тестирования.
Объектом исследования в работе выступает дистрибьютерская компания ООО «City Plus».
Предметом исследования в работе является процесс проведения аудита информационных технологий.
Научная новизна работы состоит в технологические решения для повышения эффективности процесса внутреннего аудита информационных технологий, позволяющего не ограничиваться рамками одного лишь подразделения ИТ-аудита. Компоненты аудита, рисков, контролей и непрерывности бизнеса, владельцами которых могут быть иные подразделения компании (так называемая вторая линия защиты) тесно связаны между собой и находятся в постоянном взаимодействии, что подразумевает ведение бизнеса, основанное на системности, процессном и риск- ориентированном подходе. Используемое для этих целей автоматизированное решение GRC представляет собой интегрированный и целостный подход к организации корпоративного управления, управления рисками и внутреннего контроля, который позволяет убедиться в том, что компания достигает поставленных перед ней целей, минимизируя до приемлемого уровня присущие ей риски.
Гипотеза исследования. Предполагается, что если систематизировать процесс аудита информационных технологий путем создания единой базы по рискам, контролям и реализовавшимся инцидентам для ИТ-аудиторов и подразделений второй линии защиты (подразделения по управлению рисками, подразделения информационной безопасности), автоматизировать методы работы аудиторов, применяя инструменты GRC-системы, то это повлияет на эффективность работы подразделения внутреннего аудита, позволит сократить время на сбор и анализ информации по рискам, контролям, инцидентам и бизнес-процессам организации, стандартизирует и упорядочит работу аудиторов, позволит наладить более тесную коммуникацию с представителями объектов аудита.
Методы исследования. При проведении исследования настоящей темы использовались методы анализа и синтеза, наблюдения, сравнения, визуализации, бенчмаркинга (сравнения с лучшими практиками), метод описания и изложения.
Теоретическая значимость результатов исследования состоит в следующем:
Исследование позволит актуализировать информацию, уже имеющуюся по рассматриваемому вопросу, а также привнести ряд новых моментов в уже имеющуюся базу знаний, расширить теоретическое описание предмета исследования., проанализировать и систематизировать новые данные по исследуемому вопросу, послужит стимулом повышения общетеоретического уровня современных исследований в области аудита информационных технологий.
Практическая значимость результатов исследования:
В настоящее время крупными компаниями востребовано решение по автоматизации внутреннего аудита информационных технологий, позволяющее оптимизировать процесс внутреннего аудита, за счет использования средств контроля за работой аудиторов, упорядочения их работы использования информации получаемую от иных подразделений занимающихся минимизацией рисков организации в качестве единой базы знаний. Практическая ценность работы состоит в оптимизации работы подразделения внутреннего аудита информационных технологий, стандартизации и шаблонизации работы ИТ-аудиторов, сокращению времени на получение необходимой информации, повышении качества годового планирования внутренних аудитов, повышении эффективности исполнения мероприятий по результатам аудитов.
Структура работы представлена введением, четырьмя главами, заключением и списком использованных источников.

Возникли сложности?

Нужна помощь преподавателя?

Помощь студентам в написании работ!

ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ

Курсовые Статьи Диплом Рязань

Заключение

В качестве объекта исследования выступает компания ООО «City Plus». Основными информационными системами Компании являются следующие:
- SAP - поддерживает модули по закупке и продажам, а также вопросы кадрового учета
- 1С: Предприятие (версия 8.2) - позволяет вести учет основных средств и заработной платы. Модуль кадрового учета системы SAP интегрирован с модулем по учету заработной платы 1С;
- СЭД Директум - система электронного документооборота Компании;
- Acronis Backup - система по управлению резервным копированием.
Основными целями проведения внутреннего аудита информационных технологий Компании являются
- оценка эффективности и результативности ИТ-процессов и систем
- оценка эффективности работы ИТ-специалистов
- оценка защищенности информационных активов Компании от внешних и внутренних угроз
- разработка рекомендаций по повышению эффективности работы Компании, ее конкурентного преимущества.
Для осуществления всего вышеизложенного необходима структуризация работы внутренних аудиторов, получение информации от подразделений второй линии защиты в оперативном режиме, автоматизация процесса годового планирования и т.д.
Одним из наиболее популярных решений на текущий момент является внедрение GRC-системы, позволяющей повысить прозрачность и эффективность проведения аудитов на за счет использования единой базы данных, автоматизации аудиторских процедур, а также системы уведомлений и напоминаний, что, в свою очередь позволяет сократить время выполнения рутинных процессов и исключить ошибки, связанные с ручной деятельностью.
По результатам тестирования GRC-системы можно сделать вывод об успешном выполнении всего необходимого функционала. Внедрение указанного функционала позволяет автоматизировать процессы аудита информационных технологий, снизить трудозатраты на проведение аудитов, стандартизировать работу аудиторов, а также поддерживать информационную связь с подразделениями второй линии защиты в части актуализации информации о выявленных рисках, контролях и произошедших инцидентах

Литература

1. Автоматизация процессов внутреннего аудита [Электронный ресурс] URL: https://www.audit-it.ru/articles/audit/a1011009/1026526.html (дата обращения: 18.04.2021).
2. Агабекян, О.В., Макарова, К.С. Аудиторское заключение: формы выражения мнения, составление и представление // Аудиторские ведомости. 2019. N 3. с. 13 — 19.
3. Внутренний аудитор № 3 (11), 2020 - 105 с.
4. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. М.: Стандартинформ, 2006. — 56 с.
5. ГОСТ Р ИСО/МЭК 22301—2014 Системы менеджмента непрерывности бизнеса.// М. Стандартинформ., 2015. - 28 с.
6. ГОСТ Р ИСО/МЭК 27001-2005. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. М.: Стандартинформ, 2006. — 31 с.
7. Елисеева И.И., Терехов А.А. Статистические методы в аудите. - М.: Финансы и статистика, 1998 с. 105
8. Казакова Н.А. Аудит для магистров по российским и международным стандартам: учебник / под ред. проф. Н.А. Казаковой. — М.: ИНФРА-М, 2017. — 345 с.
9. Крышкин О.Н. Настольная книга по внутреннему аудиту. Риски и бизнес-процессы. Учебник. — М.: Альпина Паблишер, 2018. — 478 с.
10. Национальный стандарт РФ ГОСТ Р ИСО 22301- 2014 «Системы менеджмента непрерывности бизнеса. Общие требования» (утв. приказом Федерального агентства по техническому регулированию и метрологии от 17 октября 2014 г. N 1351-ст) - 28 с.
11. Национальный стандарт РФ ГОСТ Р ИСО 22313- 2015
«Менеджмент непрерывности бизнеса. Руководство по внедрению» (утв. приказом Федерального агентства по техническому регулированию и метрологии от 18 ноября 2015 г. N 1852-ст) - 48 с.
12. Остапенко О. А., Карпеев Д. О., Асеев В. Н. Риски систем: оценка и управление. М.: Горячая линия—Телеком, 2007. — 247 с
13. Палканов И.С., Рачков В.Е. Внутренний аудит информационной безопасности как инструмент получения объективных оценок состояния информационной безопасности организации // Студенческая наука для развития информационного общества. - 2019. - № 7. - с. 153-161
14. Роб Ингланд Овладевая ITIL. М.: Лайвбук, 2011. — 200 с.
15. Ситнов А.А., Уринцов А.Э. Аудит. Учебник информационных систем.— М.: Юнити-Дана, 2019. — 240 с.
16. Скобара, В.В. Аудит; методология и организация. — М.: «Дело и сервис», 2018. — 576 с.
17. Спиридонов Д.В. Современные методы оптимизации работы IT-
подразделения [Электронный ресурс] URL:
https://www.elibrary.ru/item.asp?id=35349144 (дата обращения: 24.04.2021).
18. Суворова, С.П. Основы внутрифирменной стандартизации аудиторской деятельности: учеб. пособ. / С.П. Суворова, Н.В. Парушина, Е.В. Галкина, А.М. Ковалева. - М.: ИД ФОРУМ, Инфра-М, 2011. - 336 c.
19. Суглобов А.Е. Аудит, Учебник для бакалавров. М: Кнорус, 2009 - 240 с.
20. Сучалкина Е.А. Роль аудита в системе экономической безопасности предприятия // Актуальные проблемы менеджмента, экономики и экономической безопасности. - 2020. - №8. - С. 228-231.
21. Терехов, А.А., Терехов, М.А. Контроль и аудит: основные методические приемы и технология. — М.: Финансы и статистика, 2019. — 208 с
Т1. Токун М. Линии защиты компании. Карта гарантий. [Электронный ресурс] URL: https://www.audit-it.ru/articles/audit/a104/979017.html (дата
обращения: 18.05.2021).
23. Четыркин Е.М. Выборочные методы в аудите. М:Кнорус, 2010 - 132 с.
24. Чехлов М.Ю. Аудит обеспечения непрерывности бизнеса. .
[Электронный ресурс] URL: https://kachestvo.pro/kachestvo-
upravleniya/instrumenty-menedzhmenta/audit-obespecheniya-nepreryvnosti-biznesa/ (дата обращения 15.01.2021).
25. Шин С.А. Взаимосвязь информационной безопасности и внутреннего аудита компании: региональное исследование // Вестник Атырауского Университета имени Х.Досмухамедова. - 2019. - № 4. - С. 158-167.
26. COBIT 4.1 //ISACA. 2007 - 196 c.
27. COBIT 5 for Assurance//ISACA 2013 - 266 c.
28. ISO 22301:2019 Security and resilience - Business continuity management systems - Requirements (Безопасность и устойчивость. Системы менеджмента непрерывности бизнеса. Требования) - 30 с.
29. Software Assurance Maturity Model. [Электронный ресурс] URL: https://www.opensamm.org/(дата обращения 01.05.2021).
30. Weber Ron.EDP Auditing - Conceptual Foundations and Practise - UK/ Издательство «Mcgraw-Hill» 1988 - с.22