Стандарт CobiT.
Управление и аудит информационных технологий.
Особенности проведения внешнего аудита ИТ.
Сергей Гузик (руководитель рабочей группы ISACA.ru)
Как уже говорилось выше, главной связующей нитью между аудитом и управлением являются полученные результаты аудита, на основе которых в дальнейшем создается система управления. Результаты должны оформляться в виде отчета, минимальный перечень разделов которого приведен ниже:
- Общий раздел.
- Описание текущей ситуации.
- Выводы и заключения.
- Рекомендации.
- Приложения, в которые включаются документы, результаты интервью и другая фактическая информация, на которой базируются заключения и рекомендации.
Содержание отчетов может варьироваться в зависимости от уровней предоставления информации:
- "Резюме для руководителей" — резюме по результатам аудита объемом в 1-3 страницы, содержащих краткую оценку текущей ситуации, основные рекомендации с указанием ожидаемого эффекта, сопутствующие риски и указание ориентировочной стоимости. Документ предоставляется высшему руководству на уровне генерального директора, финансового директора, исполнительного директора.
- "Общий" — полный отчет, созданный по результатам проведенного ИТ-аудита. Должен включать, как минимум, следующие разделы: описание текущей ситуации, выводы и заключения, рекомендации (детальные). Документ предоставляется менеджерам среднего звена.
В западной практике результатом аудита считается заключение аудиторской организации, на основании которого консультанты из этой же или другой фирмы, подготавливают рекомендации, направленные на повышение таких показателей организации, как эффективность, производительность, экономичность, качество и т.п. На российском рынке ИТ-консалтинга Заказчик в большинстве случаев требует от подрядчика (в основном от аудиторской компании) не только заключения и рекомендаций, но и их реализации, хотя бы до стадии проведения тендеров на поставку оборудования или услуг.