ИТ-аудит и цифровая трансформация бизнеса

Если усреднить картину по большинству российских компаний, можно увидеть, что в среднем более 50% средств на ИТ тратится впустую: лишние данные — которые считаются с избыточной точностью и слишком часто, лишний штат системных администраторов, раздутое финансирование ИТ-проектов, особенно в сфере разработки ПО, лишние усилия по причине отсутствии автоматизации процессов. Кроме того, существенные риски несёт качество работы поставщиков, внутренних ИТ-специалистов, отсутствие систем контроля и управления процессами. Без принятия мер регулярных контролей и аудитов невозможно эффективно управлять ИТ как частью предприятия.

Введение

• Cobit об ИТ аудите
• Виды и критерии ИТ-аудитов
• Понятие мониторинга, контролей, контроллинга и аудита в ИТ
• Цели и задачи аудита; стоимость для разных видов ИТ-аудита

Основные этапы ИТ-аудита

• Управление проектом ИТ аудита
• Права и обязанности участников проекта по ИТ-аудиту
• Проведение собраний и встреч в рамках ИТ-аудита
• Сопротивление сотрудников при проведении ИТ-аудита
• Причины, способы преодоления

Документация при проведении аудита

• Устав ИТ-аудита по Cobit
• Аудиторский отчет в сфере ИТ
• Договор на проведение ИТ-аудита

Оценка факторов влияния ИТ департамента потребностям бизнеса по Cobit

• Принципы, политики подходы, процессы
• Организационная структура
• Культура, этика и поведение
• Информация; услуги, инфраструктура и приложения
• Люди, навыки и компетенции

Практикум: «Разработка плана внутренних аудитов ИТ»

Международные стандарты по аудиту

• Принципы построения системы контролей
• Акт Сарбейнса-Оксли и информационные технологии
• Проверка ИТ-службы при финансовом аудите:
• Логический и физический доступ
• Эксплуатация информационных систем
• Управление изменениями в информационных система

Аудит данных на соответствие Cobit

• Стоимость данных; устав данны

• Владельцы данны

• Кураторы данны

• Отказ от хранения и расчета неиспользуемых данных, снижение точности расчета ряда данны

• Оптимизация пользовательских форм и процедур
• Контроль качества данных; управление метаданными
• Ведение и чистка справочников; использование технологий BigData и нейросетей

Практикум: «Разработка устава аудита данных»

DSS02 Аудит процесса управления запросами на обслуживание и инцидентами

DSS03 Аудит процесса управления проблемами

AP012 Аудит процесса управления рисками

DSS03 Аудит процесса управления непрерывностью

Практикум: «Разработка устава аудита процесса управления непрерывностью»

BAI06 Аудит процесса управления изменениями

BAI01 Аудит процесса управления программами и проектами

BAI02 Аудит процесса управления выявлением требований

BAI04 Аудит процесса управления доступностью и мощностью

BAI10 Аудит процесса управления конфигурациями

Аудит процесса управления лицензиями на ПО SAM

BAI08 Аудит процесса управления знаниями

BAI03 Аудит процесса управления выбором и внедрением решения

• Проектирование продукта, разработки, тестирования, обучения, развертывания и поддержки
• Код ревью
• Методика APDEX
• Инвентаризация ПО и лицензий

Архитектура ИС предприятия
• Эргономика
• Оценка степени удовлетворенности пользователей
• Качество и эффективность интерфейсов между системами
• Шины данных; аудит веб-приложений

Аудит приложений, развернутых в облаке

• Продукты для аудита приложений в облака

• Ароведение стресс-тестов
• Оптимизация расходов
• Производительность

Практикум: «Разработка устава приложений, развернутых в облаке»

Аудит процесса управления «Shadow It»

• Понятие Shadow It
• Проверка информации в CMDB и базе знаний по Shadow It
• Оценка рисков
• Оценка возможностей

APO06 Аудит процесса управления бюджетом и затратами

• Аудит процесса управления бюджетом ИТ
• Расчет окупаемости инвестиций в проекты внедрения ERP и WMS
• Коррупционные схемы и методы определения коррупции при закупках по Ф.З.
• Неденежная коррупция в закупках ИТ
• Сравнение стоимости владения брендового и «no name» оборудования
• Тендерные площадки, оптимальные процедуры и регламенты
• Способы снижения издержек ИТ в условиях кризиса
• Снижение расходов компании за счет инвестиций в ИТ

APO10 Аудит процесса управления подрядчиками

• Технологии выбора подрядчиков
• Переход с договора фиксированного объема работ на договор Times & materials
• Особенности и проблемы работы с фрилансерами в ИТ

APO02 Аудит процесса управления стратегией

• Проверка ИТ-стратегии: документ, актуальность, доступность потребителям
• Примеры документов
• Оперативное и стратегическое планирование в ИТ
• Вехи цифровой трансформации предприятий в средней перспективе
• Планирование увольнений и ротации персонала с учетом стратегии цифровой трансформации

APO13 Аудит процесса управления безопасностью

• Модель нарушителя и модель угроз
• Оценка защищенности сетей, сервисов и приложений
• Использование снифферов для обнаружения несанкционированного трафика, несанкционированного программного обеспечения и обнаружения вторжений — Intrusion Detection System
• Тестирование на проникновение с применением методов социальной инженерии

APO07 Аудит процесса управления персоналом

• Соответствие профстандартам; оценка компетенций, качества и продуктивности
• Системы контроля за работой сотрудников
• Токсичные сотрудники, формальные и неформальные группы
• Управление конфликтами, мотивация
• Трудовые договора и должностные инструкции
• Аудит процессов подбора, адаптации, найма, наказаний и поощрений, аттестации, обучения, увольнения ИТ-персонала
• Карьерная лестница
• Exit-интервью

APO08 Аудит процесса управления отношениями

• Компетенции руководства компании и их проекция на ИТ
• Властные группировки и конфликты между ними
• Агенты влияния; управление отношениями со стейкхолдерами
• Cкрытые потребности стейкхолдеров
• Управление имиджем ИТ-руководства
• Управление PR ИТ-департамента
• Использование проекта по ИТ-аудиту для расширения властных полномочий

APO01 Аудит процесса управления подходом к управлению ИТ

• Компетенции руководителя ИТ, харизматическое лидерство, жесткие переговоры, публичные выступления, техники влияния, поощрение и наказание
• Проверка соответствия руководителя ИТ текущей ситуации в компании
• Вовлеченность руководителя ИТ в цифровую трансформацию компании
• Определение провисающих компетенций в команде управления ИТ
• Процедура сбора информации о ситуации в департаменте
• Системы KPI
• Системы управления поручениями и задачами
• Сбор требований к продуктам и сервисам ИТ
• Система Anytime feedback

Практикум: «Разработка плана внешних аудитов»