Аудит информационных технологий

Москва
Горячая линия – Телеком
2015

Рекомендовано УМО вузов РФ в области экономики, 
менеджмента, логистики и бизнес-информатики в качестве 
учебника для студентов вузов, обучающихся по направлению 
подготовки 080500 – «Бизнес-информатика»

УДК 004.05 
ББК 32.973 
     Г80 

Р е з е н з е н т ы :

доктор техн. наук, профессор кафедры технологий и управления  

продажами РЭУ им. Г.В. Плеханова  Л. П. Гаврилов;  

канд. эконом. наук, профессор кафедры информационных технологий  

и математики Российского университета кооперации М. К. Ивлиев 

Грекул В. И. 
Г80         Аудит информационных технологий. Учебник для вузов.– 
М.: Горячая линия – Телеком, 2015. – 154 с.: ил. 
ISBN 978-5-9912-0528-3. 
Приведены базовые сведения о практиках и технологиях, применяемых в компаниях для организации и поддержки ИТ, рассмотрены 
процедуры проведения исследования и анализа применения информационных технологий и их влияния на деятельность организации. Приведено описание различных видов ИТ-аудита, соответствующих им 
целей и задач, требований к профессиональной подготовке аудиторов, 
методик проведения аудиторских проверок. В основу книги положен 
курс лекций, читаемых автором в Национальном исследовательском 
университете «Высшая школа экономики». 
Для студентов вузов, обучающихся по направлению «Бизнесинформатика», будет полезен специалистам в  области управления 
информационными системами и реинжиниринга бизнес-процессов, 
системным аналитикам, бизнес-аналитикам и консультантам по информационным технологиям. 
ББК 32.973 

Адрес издательства в Интернет WWW.TECHBOOK.RU 

э 

Все права защищены.
Любая часть этого издания не может быть воспроизведена в какой бы то ни 
было форме и какими бы то ни было средствами без письменного разрешения 
правообладателя
© ООО «Научно-техническое издательство «Горячая линия – Телеком»
www.techbook.
©  В. И. Грекул 

 

ОГЛАВЛЕНИЕ 

Введение........................................................................................................... 5 
1. Организация проекта аудита информационных технологий................... 8 
1.1. Общая характеристика проектов аудита ИТ.....................................8 
1.2. Планирование проекта......................................................................11 
1.2.1. Определение проекта.............................................................. 11 
1.2.2. Анализ рисков ......................................................................... 13 
1.2.3. Процедуры внутреннего управления заказчика................... 15 
1.2.4. План проверок......................................................................... 17 
1.3. Исполнение проекта аудита .............................................................19 
1.3.1. Уточнение плана проверок..................................................... 19 
1.3.2. Процедуры сбора данных при аудите ................................... 20 
1.3.3. Проверка существования процедур управления.................. 21 
1.3.4. Проверка эффективности процедур управления.................. 23 
1.3.5. Использование результатов самопроверок........................... 25 
1.3.6. Анализ особых ситуаций........................................................ 26 
1.3.7. Формирование заключений.................................................... 29 
1.3.8. Документация проекта аудита ............................................... 31 
1.3.9. Подготовка итогового отчета по аудиту............................... 33 
1.4. Вопросы для самостоятельного контроля знаний..........................35 
2. Оценка организации руководства информационными технологиями . 36 
2.1. Задачи аудита ....................................................................................36 
2.2. Методики и практики руководства ИТ ...........................................38 
2.2.1. Организация руководства ИТ ................................................ 39 
2.2.2. ИТ-стратегия ........................................................................... 42 
2.2.3. Политики, процедуры и стандарты ....................................... 43 
2.2.4. Управление рисками............................................................... 45 
2.2.5. Управление информационными технологиями ................... 48 
2.2.6. Организационная структура ИТ-службы.............................. 55 
2.3. Вопросы для самостоятельного контроля знаний..........................58 
3. Оценка управления жизненным циклом ИТ........................................... 59 
3.1. Задачи аудита ....................................................................................59 
3.2. Методики и практики управления жизненным циклом ИТ ..........63 
3.2.1. Управление программами и портфелями проектов............. 63 
3.2.2. Управление проектами ........................................................... 65 
3.2.3. Оценка стоимости и сроков исполнения  ИТ-проектов....... 70 
3.2.4. Управление жизненным циклом программных  
продуктов и информационных систем............................................ 79 
3.2.5. Управление созданием инфраструктуры .............................. 83 
3.2.6. Управление жизненным циклом бизнес-процессов............. 84 

Аудит информационных технологий 

3.3. Вопросы для самостоятельного контроля знаний..........................89 
4. Оценка управления ИТ-сервисами .......................................................... 90 
4.1. Задачи аудита ....................................................................................90 
4.2. Методики и практики управления  ИТ-сервисами.........................95 
4.2.1. Организация эксплуатации информационных систем......... 95 
4.2.2. Управление ИТ-сервисами..................................................... 96 
4.2.3. Организация функционирования инфраструктуры ............. 97 
4.3. Вопросы для самостоятельного контроля знаний........................ 104 
5. Оценка безопасности информационных ресурсов ............................... 105 
5.1. Задачи аудита .................................................................................. 105 
5.2. Методики и практики обеспечения безопасности 
информационных ресурсов............................................................ 113 
5.2.1. Основные принципы обеспечения  информационной 
безопасности.................................................................................... 113 
5.2.2. Роли и распределение ответственности в обеспечении 
информационной безопасности..................................................... 115 
5.2.3. Инвентаризация и классификация активов ........................ 116 
5.2.4. Управление доступом........................................................... 119 
5.2.5. Точки доступа и методы входа............................................ 121 
5.2.6. Защита информации в хранилищах..................................... 122 
5.2.7. Управление исправлениями................................................. 122 
5.2.8. Обеспечение физической безопасности активов ............... 124 
5.3. Вопросы для самостоятельного контроля знаний........................ 126 
6. Оценка обеспечения непрерывности и аварийного восстановления 
бизнеса ........................................................................................... 127 
6.1. Задачи аудита .................................................................................. 127 
6.2. Методики и практики обеспечения непрерывности и 
восстановления бизнеса ................................................................. 132 
6.2.1. Типы аварий и катастроф..................................................... 132 
6.2.2. Процессы обеспечения непрерывности бизнеса................ 135 
6.2.3. Основные показатели восстановления процессов  
и систем ........................................................................................... 139 
6.2.4. Разработка стратегии восстановления ................................ 141 
6.2.5. Технологии для восстановления систем............................. 144 
6.2.6. Планирование обеспечения непрерывности 
и восстановления бизнеса .............................................................. 148 
6.3. Вопросы для самостоятельного контроля знаний........................ 151 
7. Таблица ключей: номера правильных ответов на вопросы 
самопроверки................................................................................. 152 
Литература ................................................................................................... 153 

 

ВВЕДЕНИЕ 

Современные информационные технологии составляют неотъемлемую часть производственной инфраструктуры, обеспечивая выполнение 
жизненно важных для функционирования предприятий бизнес-процессов. Информационные технологии и системы не только поддерживают бизнес-процессы предприятия, но и должны обеспечивать целый ряд 
дополнительных характеристик, таких, как безопасность информации, 
удобство использования, непрерывность функционирования и пр. Создание качественных ИТ-решений должно основываться на использовании 
методологий и лучших практик, охватывающих все этапы жизненного 
цикла систем – от планирования ИТ-стратегии до организации эксплуатации установленных приложений и систем. Однако на практике зачастую отказываются от выполнения каких-то правил и процедур в угоду 
сокращению сроков проектов и стоимости систем.  
Аудит информационных технологий (ИТ-аудит) решает задачу получения актуальной и достоверной информации о текущем уровне качества 
функционирования системы. Результаты аудита могут служить объективной основой для формирования рекомендаций по повышению эффективности функционирования всей ИТ-инфраструктуры предприятия. 
Обычно ИТ-аудит проводится перед принятием решений о создании 
или модернизации информационных систем, в случаях неудовлетворительной работы информационных систем, при возникновении сомнений в 
качестве услуг аутсорсинга, при разработке или модернизации системы 
обеспечения информационной безопасности организации. 
Опыт применения процедур аудита и их результатов показывает, что 
они обеспечивают достижение следующих результатов:  
• Снижение затрат на эксплуатацию информационных систем. 
• Повышение производительности информационных систем. 
• Повышение надёжности информационных систем. 
• Обеспечение безопасности информационных систем. 
• Повышение эффективности взаимодействия распределенных подразделений компании и снижение коммуникационных затрат. 

В процессе аудита производится обследование и оценка разнообразных аспектов применения информационных систем в организации, которые обычно включают в себя: 
• Организацию руководства информационными системами и технологиями в компании. 
• Принятые в компании процедуры управления жизненным циклом 
информационных систем. 
• Организацию эксплуатации и сопровождения ИТ-сервисов. 

Аудит информационных технологий 

• Характеристики сетевой инфраструктуры. 
• Процедуры обеспечения защиты информационных активов компании. 
• Обеспечение непрерывности бизнеса и восстановления систем после аварий и катастроф. 

ИТ-аудит осуществляется в рамках достаточно сложных проектов, 
которые требуют от исполнителей как глубоких знаний различных аспектов информационных технологий и систем, так и понимания принципов и 
технологии организации аудита, методик проведения проверок и оценки 
получаемых результатов. Поэтому подготовка ИТ-аудитора оказывается 
сложной задачей, связанной с формированием у специалиста множества 
разнообразных компетенций. 
Признанным лидером в области ИТ-аудита в настоящее время является международная ассоциация ISACA (The Information Systems Audit 
and Control Association), разработавшая собственный набор стандартов и 
обязательных требований к содержанию и организации ИТ-аудита.  
Стандарты ISACA охватывают все основные аспекты ИТ-аудита: 
• Стандарт S1 (Audit Charter) определяет содержание и требования к 
основному рабочему документу – уставу проекта аудита.  
• Стандарт S2 (Independence) определяет требования к независимому 
статусу аудитора. 
• Стандарт S3 (Professional Ethics and Standards) определяет принципы профессиональной этики аудитора и требования по применению стандартов при осуществлении аудита. 
• Стандарт S4 (Professional-Competence) фиксирует требования к 
профессиональной подготовке аудитора. 
•  Стандарт S5 (Planning). описывает лучшие практики планирования 
проектов аудита, основанных на анализе рисков. 
• Стандарт S6 (Performance of Audit Work) определяет требования к 
качеству аудита. 
• Стандарт S7 (Reporting) является руководством по подготовке отчетности по аудиту. 
• Стандарт S8 (Follow-up Activities) определяет обязанности аудитора по контролю за принимаемыми заказчиком мерами по реализации рекомендаций аудита. 
• Стандарт S9 (Irregularities and Illegal Acts) содержит рекомендации 
аудитору по выявлению нарушений и недопустимых действий. 
• Стандарт S10 (IT Governance) содержит рекомендации по оценки процедур руководства информационными технологиями в компании. 
• Стандарт S11 (Use of Risk Analysis in Audit Planning) определяет 
требования к применению методик анализа рисков при планировании проекта аудита. 

Введение  
7

• Стандарт S12 (Audit Materiality) представляет рекомендации по
оценке значимости недостатков в процессах управления.
• Стандарт S13 (Using the Work of Other Experts) содержит рекомендации по использованию в процессе аудита заключений сторонних
экспертов.
• Стандарт S14 (Audit Evidence) содержит требования к качеству
данных и доказательств, плучаемых в процессе аудита.

Ряд стандартов регламентирует проверку конкретных областей 
управления информационными технологиями или учитывает применение 
информационных технологий в специфических областях деятельности.  
• Стандарт S15 (IT Controls) является руководством по оценке жизненного цикла процессов управления ИТ в компании.
• Стандарт S16 (E-Commerce) содержит рекомендации по организации оценок ИТ, используемых с среде электронного бизнеса.

Стандарты сопровождаются руководствами по их применению. 
В настоящем учебном пособии рассматривается организация проекта 
аудита и основные задачи, которые должен выполнять аудитор информационной системы на различных этапах проекта. В книге приводятся базовые сведения о практиках и технологиях, применяемых в компаниях для 
организации и поддержки ИТ, на соответствие которым осуществляются 
проверки. В списке литературы даны ссылки на источники, содержащие 
подробные описания лучших практик управления.  
При необходимости получения более детальных сведений по процессу 
аудита можно рекомендовать использование оригинальных документов 
ISACA [1]. Курс базируется на материалах, рекомендованных ISACA для 
подготовки сертифицированных аудиторов информационных систем [2, 3]. 

Изучение материала книги обеспечивает формирование необходимых компетенций для выполнения всестороннего аудита информационных технологий предприятия. В результате изучения курса студент будет: 

Знать: предмет и цели проведения аудитов различного вида; методику 
организации проектов аудита; основные положения, принципы и современные практики управления информационными активами предприятия. 
Уметь: формировать планы аудиторских проверок; выбирать необходимые методы для проведения тестирования и контрольных проверок; 
анализировать и интерпретировать результаты аудита; готовить отчетность по проекту аудита,  
Владеть: методами сбора информации при проведении аудита; методами оценки состояния информационных систем и связанных с ними 
процессов; методиками формирования заключений по результатам проверок. 

 

1. ОРГАНИЗАЦИЯ ПРОЕКТА АУДИТА 
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ 

1.1. Общая характеристика проектов аудита ИТ 

Проекты аудита информационных технологий подразделяются на 
внутренние и внешние. 
Задачи внутреннего аудита формулируются и утверждаются высшим 
руководством компании в виде отдельного документа (распоряжения,  
устава проекта и пр.). Аудит информационных технологий может быть 
частью проекта глобального (финансового, операционного) аудита компании или осуществляться отдельно самостоятельной группой специалистов. В отдельных случаях аудит технологий или систем может включаться в качестве обеспечивающей функции в общие проекты аудита. 
Устав проекта должен содержать ясное изложение функций аудита, распределение и делегирование полномочий и ответственности за их исполнение, схему подотчетности аудиторов. 
В том случае, если для проведения аудита привлекается внешняя организация, содержание и цели аудита фиксируются в контракте или в согласованном перечне работ. 
В любом случае, аудитор должен быть независим в выполнении своих функций. Это подразумевает профессиональную независимость – возможность самостоятельно принимать решения о том, что и когда будет 
сделано, и организационную независимость функций аудита от деятельности в проверяемой области. 
Процесс ИТ-аудита включает в себя решение пяти основных задач: 
1. Разработку стратегии аудита на основе предварительного анализа 
рисков. 
2. Планирование специфических проверок, позволяющих оценить 
степень защищенности, управляемости и полезности информационных 
активов. 
3. Выполнение проверки в соответствии с требованиями стандартов 
ИТ-аудита для достижения поставленных целей проекта. 
4. Подготовка отчетности о выводах аудита и рекомендаций заинтересованным лицам о необходимых изменениях и усовершенствованиях. 
5. Отслеживание своевременности и результативности принимаемых 
руководством компании мер по результатам аудита. 

 
1. Организация проекта аудита информационных технологий 
9 

Выполнение этого комплекса задач предполагает определенный уровень профессиональной подготовки ИТ-аудитора, который должен знать: 

• Стандарты, руководства, методики и инструменты для проведения 
ИТ-аудита. 

• Концепции, технологии и инструменты оценки рисков в контексте 
проектов аудита. 

• Цели и методы управления информационными системами. 

• Приемы планирования и управления проектами аудита. 

• Основные бизнес-процессы предприятий и связанные с ними информационные технологии. 

• Законы и руководящие документы, влияющие на содержание аудита, организацию сбора и хранения данных аудита. 

• Технологии сбора информации (опросы, инспекции, интервью и 
пр.), ее защиты и хранения.  

• Методики анализа выборок. 

• Технологии коммуникаций и создания отчетности. 

• Методики и инструменты оценки качества ИС. 

Первым шагом при проведении аудита является формирование стратегии. Разработка стратегии аудита предполагает определение действий, 
которые необходимо будет предпринять в ходе аудита, включая оценки 
потребных ресурсов (людских и финансовых). При этом должно быть учтено множество влияющих на проект факторов. К ним относятся: стратегические цели и задачи организации, перспективы развития бизнеса, условия рынка, изменения технологических процессов, изменения руководящих документов. Все эти факторы обычно вызывают изменения 
существующих в компании бизнес-процессов, поддерживающих их технологий (включая информационные системы) и процедур управления. 
Что, в свою очередь, порождает необходимость проведения дополнительных внутренних и внешних аудитов, расширяет объем проводимых в 
процессе аудита проверок, и, в конечном счете, вызывает существенный 
рост потребных для аудита ресурсов. Например, проведение дополнительного внешнего аудита потребует, кроме чисто финансовых затрат, 
дополнительных трудозатрат на координацию работы аудиторов, обсуждение содержания аудита, на встречи с менеджерами и владельцами бизнес-процессов, обсуждение результатов аудита и выполнение необходимых усовершенствований. 

Аудит информационных технологий 

Типичный перечень фаз аудита и состав выполняемых задач приведен в табл. 1.  

Таблица 1. Фазы проекта аудита 

Фаза 
Задачи 

Определение целей аудита 
Выявление причин, по которым проводится аудит. 
Целью аудита может быть определение степени соответствия определенным законам, установлениям, 
стандартам или контрактам. Другими примерами 
целей могут быть проверки устранения выявленных 
ранее недостатков, оценки соответствия новым законам или стандартам, которые организация предполагает использовать в будущем 

Определение 
предмета аудита 
Выявление области деятельности, которая будет 
подвергнута аудиту 

Определение содержания аудита 
Выявление конкретных систем, функций или подразделений, подвергающихся аудиту. Изучение 
процессов внутреннего управления в организации. Содержание может определяться различными аспектами: промежутком времени, в течение 
которого проверяются системы или транзакции, 
географическим размещением объектов аудита, 
технологиями (например, системы, использующие 
конкретную операционную систему или базу данных), бизнес-процессами или сегментами организации 

Анализ рисков 
Оценка бизнес-рисков с целью выделения наиболее важных областей аудита. Риски рассматриваются в двух перспективах: 
относительные риски для разных областей аудита (например, если аудитору известно, что 
какая-то функция ERP-системы вызывала проблемы в прошлом, то проверкам именно этой 
функции будет уделено наибольшее внимание); 
абсолютные значения рисков (например, если 
проверяется соответствие новому законодательству, то последствия несоответствия могу 
порждать очень высокий общий риск). 
На основе оценки рисков аудитор рационально 
распределяет ресурсы проекта 

Планирование 
Определение необходимых компетенций и ресурсов для проведения аудита. Цель и содержание 
позволяют определить необходимые процедуры 

 
1. Организация проекта аудита информационных технологий 
11 

проведения аудита. Выявление источников информации (таких, как документированные карты 
процессов, политики, стандарты, процедуры). Определение мест проведения аудита. 

Выполнение процедур аудита и 
сбор данных 

Выбор подхода к проверке и процедур управления. Определение списка интервьюируемых сотрудников. Получение для проверки документов, 
фиксирующих политики, стандарты и руководства. Разработка методик и инструментов для 
проведения проверок. В процессе аудита осуществляются два типа проверок: 
проверки соответствия (например, проверки 
бизнес-процессов управления жизненным циклом системы, управления изменениями или 
конфигурацией на соответствие регламентам 
или лучшим практикам); 
независимые проверки (например, проверки 
точности и целостности транзакций путем контроля прохождения через систему потока тестовых сообщений) 

Подготовка  
отчета 
Оценка операционной эффективности. Оценки 
организации управления. Оценка состояния документов, политик и процедур. Определение процедур отслеживания исполнения рекомендаций 

Все планы, программы аудита, выполненные действия, проверки, выводы и инциденты должны быть в обязательном порядке зафиксированы 
в рабочих документах. 

1.2. Планирование проекта 

1.2.1. Определение проекта 

Определение проекта предполагает выявление целей, предмета и содержания аудита. 
Первым шагом является анализ причин возникновения проекта. 
К таким причинам обычно относится: 
• Необходимость внешней аттестации. 
• Потребность в проведении внутреннего аудита. 
• Реакция на произошедшие инциденты. 
• Необходимость подготовки планов восстановления системы. 
• Анализ поддержки жизненного цикла системы. 
• Анализ организации руководства и пр. 

Аудит информационных технологий 

Внешняя аттестация обычно заключается в предоставлении аудитором заключения о соответствии используемых в организации практик и 
методик управления законам, установлениям или контрактным обязательствам. При проведении внешней аттестации заказчик предоставляет 
исполнителю запрос на проведение работ, определяя в общем виде содержание работ и используемые технологии. В случае одобрения предложений исполнителем, подписывается контракт на выполнение аудита. 
Заключение обычно представляется финансовому директору или директору по ИТ организации заказчика. 
Подразделение внутреннего аудита предоставляет отчеты обычно совету директоров или ревизионному (аудиторскому) комитету организации. Проекты внутреннего аудита запускаются, как правило, по запросам 
руководящего органа компании или, реже, по запросам исполнительного 
руководства. Полный цикл внутреннего аудита обычно включает в себя 
оценку рисков организации, периодическое тестирование управленческих процедур, оценку структуры управления, операционный аудит и аудит информационных систем. 
Инциденты могут проявляться в различной форме: попытки несанкционированного проникновения в систему, сбои в сетевой транспортной 
инфраструктуре, неправильное использование системы, отказы основного оборудования и пр. Для реагирования на инциденты в организации 
обычно выделяются соответствующие команды, и основной задачей аудита является оценка качества управления процедурами устранения последствий инцидентов. 
ИТ-проекты могут включать в себя различные задачи: 
• Внедрение новой или развитие существующей системы. 
• Разработку программного обеспечения. 
• Управление ИТ-активами. 
• Управление конфигурацией и пр.  

ИТ-проекты обычно требуют существенных затрат, а их результаты 
могут оказаться критически важными для будущей организации управления или даже самого существования компании. Управление жизненным 
циклом таких проектов является центральной задачей ИТ-службы. Аудитор, изучая документацию проектов, может рассматривать различные аспекты их организации: распределение полномочий и ответственности, 
принятые процедуры оценки качества, используемые при тестировании 
средства трассировки, организацию управления изменениями, применение «лучших практик» управления проектами и пр. 
Анализ организации руководства информационными системами и 
технологиями обычно базируется на оценках рисков и измерении производственных показателей. Аудитору может быть поставлена задача оцен