До речі так! Слово "аудит", з мого досвіду, горзадо частіше викликає негативну реакіцю. Тут все залежить від фобій окремо взятої людини. Наприклад, якщо людині робили "ДОСЛІДЖЕННЯ" шлунка медоти зондування коли-небудь, то він скоріше погодиться на звичайний "аудит" :-))))).
Ми, коли робимо аудит переслідуємо іншу важливу мету - дати клієнтові розуміння, що у нього "болить", і як це можна вилікувати або займатися профілактикою. Адже, як правило, за аудитом звертаються, коли десь "болить", але незрозуміло де і що (тут не беру до уваги обов'язкові отралсевие або нормативні аудити, які роблять "тому що треба", але думаю, що тут про ці випадки мова і не йде).
Колеги, добрі день. ІТ-Аудит - це не просто заповнення опитувальника на відповідність чогось, це просто частина аудиторських процедур.
ІТ-Аудит - це один із напрямів внутрішнього аудиту, це діяльність з виявлення ІТ-ризиків, розробці контролів для їх мінімізації та надання рекомендацій щодо підвищення ефективності роботи ІТ як фнукцій. Звичайно, не тільки внутрішні аудитори роблять ІТ-Аудити. Наприклад, "велика четвірка" залучає ІТ-аудиторів для тестування контролів додатків (application controls) і загальних ІТ-контролів (General IT controls), щоб зробити висновок, що звітність, підготовлена за допомогою ІС для банків / інвесторів, коректно складена, без спотворень і т.п.
Почитайте про сертифікацію CISA, почитайте стандарт CobiT (в мережі є російський переклад). ISACA орієнтується на CobiT 4.1. (І вже щосили впроваджує v.5.0) при розробці аудиторських програм (які доступні членам асоціації).
До чого я це. ІТ-аудит - це більше ніж опитувальник))
Аудит - це перевірка соотвествующих якимось вимогам. Вимоги можуть бути різними. Вони можуть виходити як зі стандарту (безпеки, наприклад), методології управління основними процесами в ІТ, внутрішньокорпоративних і всередині галузевих нормативних актів, можуть бути вимогами законодавства. ІТ аудит в рамках загального бухгалтерського аудиту, наприклад. перевіряє відповідність вимогам конфіденційності, цілісності і доступності, але з точки зору інформаційних систем, що підтримують операції з бухгалтерського обліку (в тому чисте і контроль додатків про який говорилося раніше) Так що перш потрібно визначитися з областю аудиту та його спрямованістю, і з цього вибирати критерії відповідає / не відповідає.