Comments 4
существует три метода сбора информации: интервью, анкетирование и анализ документации.
Автор хотя бы раз проводил аудиты ИТ? Обычно услугу по аудиту заказывают тогда, когда нет ни адекватной документации, ни адекватных респондентов, способных популярно рассказать что где и как. Да и в целом во время аудита получать информацию исключительно от людей, которых этот аудит непосредственно затрагивает, не самый хороший метод.
Вы не совсем правы… То, что вы подразумеваете под обычным аудитом, является первым этапом в наведении порядка в обычном бардаке инфраструктуры, когда сотрудники ИТ-отдела сменяются один за другим и уже никто не знает полностью всей архитектуры. Я бы оценил такой порядок вещей на 0-1 балл по CMMI.
Если же обратиться в сторону ИТ аудита как части финансового аудита либо подготовки к нему, процесса оценки рисков или сертификации организации, то это как раз и есть основные методы сбора информации.
Насчет получения информации от аудируемых — согласен, не всегда можно положиться на предоставленную информацию, но критические моменты можно уточнять у нескольких людей, а где-то даже и покопаться в инфраструктуре.
Если же обратиться в сторону ИТ аудита как части финансового аудита либо подготовки к нему, процесса оценки рисков или сертификации организации, то это как раз и есть основные методы сбора информации.
Насчет получения информации от аудируемых — согласен, не всегда можно положиться на предоставленную информацию, но критические моменты можно уточнять у нескольких людей, а где-то даже и покопаться в инфраструктуре.
Аудит ИТ — это обязательный процесс в любой организации, которая использует в своей работ какую либо методологию. Советую Вам ознакомится поближе с такими методологиями, как Cobit5 или ITIL\TIPA (для оценки по ITIL). Процесс совершенствования согласно этим методологиям должен быть обязательным для организации. В более зрелых организациях ежегодно выделяют бюджеты на проведения аудитов, есть даже целые отделы внутреннего аудита. Поэтому Вы не правы, и к сожалению в нашей стране аудиты ИТ не так популярны как за рубежом, хотя крупные компании проводят их на ежегодной основе.
Работа организации должна строиться по принципу цикла Демминга PDCA.
Я говорил о заинтересованных сторонах. Это могут быть даже акционеры компании или пользователи.
Работа организации должна строиться по принципу цикла Демминга PDCA.
Да и в целом во время аудита получать информацию исключительно от людей, которых этот аудит непосредственно затрагивает, не самый хороший метод.
Я говорил о заинтересованных сторонах. Это могут быть даже акционеры компании или пользователи.
Как то странно в статье разделены обе методики. На самом деле интервью логично следует за анкетированием. Хорошо себя зарекомендовала методика когда первоначально во все аудируемые подразделения высылается анкета (одинаковая для всех), разумное время на сбор информации и заполнение (до недели).
По результатам анкетирования, кроме собственно ответов на вопросы анкеты, имеем понимание:
1. наличия и актуальности документации- косвенно, по скорости и полноте ответов на вопросы типа «имеющиеся лицензии на ПО (по возможности с номерами)»
2. уровня компетентности исполнителя
3. Его роль в организации — как организационная так и функциональная
Более того в зависимости от качества заполненной анкеты можно и сроки аудита уточнять.
Как-то так.
По результатам анкетирования, кроме собственно ответов на вопросы анкеты, имеем понимание:
1. наличия и актуальности документации- косвенно, по скорости и полноте ответов на вопросы типа «имеющиеся лицензии на ПО (по возможности с номерами)»
2. уровня компетентности исполнителя
3. Его роль в организации — как организационная так и функциональная
Более того в зависимости от качества заполненной анкеты можно и сроки аудита уточнять.
Как-то так.
Sign up to leave a comment.
Анкетирование или интервью – что эффективнее для проведения ИТ-аудитов