В современном мире IT-сфера с каждым годом становится сложнее, при этом на обслуживание IT-систем приходится тратить достаточно большое количество времени, трудовых и финансовых ресурсов, но не каждая организация может позволить себе такие расходы. Если соотнести расходы и выполненные работы с полученным результатом от применения информационных технологий, то соответствующий эффект экономические субъекты получают не всегда. Именно в таких случаях необходимо проводить стратегический аудит, так называемый IТ-аудит. Во многих странах регулярное проведение IТ-аудитов регламентируется на законодательном уровне. В российской практике стратегический аудит также регламентирован, но в основном для организаций госсектора [3].
В качестве составляющих аудита информационных систем выступают проверки имеющихся IT, их систем безопасности, процессов управления данными системами с учетом корпоративных и международных стандартов, бизнес-процессов, внутреннего регламента.
В процессе IТ-аудита можно выявить те места инфраструктуры информационных систем, которые могут повлечь за собой серию рисков для организаций. При этом проводится оценка бизнес-процессов, рабочей информации, внутренних регламентов, эффективности деятельности организации. Полученные результаты позволяют руководству организации иметь доказательства, позволяющие понять целесообразность вносимых изменений, причем в документальном виде.
Обзор экономической литературы [8; 13–15] позволяет выделить два основных этапа при проведении аудита IТ:
• планирование аудита информационных систем;
• проведение аудита информационных систем.
К процедурам, которые осуществляются на этапе планирования аудита информационных систем, относят анализ структуры различных бизнеспроцессов, платформы IТ, структуры ролей, распределения ответственности, бизнес-рисков и бизнес-стратегий. Кроме того, на данном этапе происходит идентификация IТ-рисков, проводится оценка уровня контроля проверяемых бизнес-процессов. И на основе полученной информации выбираются объекты IТ-аудита. Дополнительно на данном этапе составляется план IТ-аудита, подбирается оптимальная методика его проведения. И только после этого выполняются все необходимые работы, связанные с выполнением поставленных задач.