Агентство Активного Аудиту

т: +38(044) 228-15-88

e-mail: info@auditagency.com.ua

Тренінг: "Аудит IT систем"

Стислий опис

Даний тренінг представляє теоретичні знання та практичні навички в області IТ аудиту, практичні рекомендації щодо успішної реалізації та підвищення ефективності IТ аудиту; практичні навички опису IТ - контролів і заходів реагування на інформаційні ризики.

Цільова аудиторія

 • Вище керівництво, керівники та старші менеджери, відповідальні за ІТ-управління та управління ризиками підприємства
 • Керівники та фахівці в галузі IТ
 • Фахівці в галузі інформаційних та операційних ризиків
 • Фахівці в галузі безпеки інформаційних систем
 • Фахівці в області внутрішнього контролю та IТ аудиту
 • Фахівці щодо забезпечення відповідності регулятивним вимогам (Compliance)

Мета навчання

 • Розуміння концепції, підходів і методів, цілей і завдань IТ-аудиту, його місце в системі внутрішнього контролю;
 • Отримання необхідних знань для планування і проведення аудиту, збір інформації та збереження доказів аудиту;
 • Розуміння концепції, підходів і методів, що дозволяють забезпечити ефективне проведення аудиту та оцінки ефективності системи контролів в галузі управління, операційної діяльності та підтримки IT;
 • Розуміння концепції, підходів і методів, що дозволяють забезпечити ефективне управління інформаційними ризиками і проведення аудиту ІБ.

Програма курсу

ДЕНЬ 1

Блок 1: Місце IT аудиту в системі внутрішнього контролю

 • Вступ до ІТ аудиту, основні визначення, види аудитів, цілі і завдання ІТ аудиту та системи внутрішнього контролю.
 • Нормативні вимоги і вимоги регулятора до системи внутрішнього контролю, IT аудиту та інформаційної безпеки.
 • Основні міжнародні стандарти, методики, підходи та найкращі практики проведення IT аудиту

Блок 2: Управління IT ризиками

 • Основні завдання, необхідність, можливості, результати, успішність процесу управління ризиками, основні поняття і визначення.
 • Документація з управління ризиками, огляд основних підходів до управління ризиками (NIST, FAIR, MESARI, OCTAVE, IRAM)
 • Стратегія і процес обробки ризиків (зниження, уникнення, передача, прийняття), залишковий ризик.
 • Установка бази даних контролів, визначення ключових інформаційних ризиків, визначення та вибір контролів, створення плану дій для зменшення ризиків.

Блок 3: Огляд основних ІТ ризиків

 • Процес розробки, впровадження та внесення змін в програмне забезпечення і ризики, що виникають при цьому
 • Обслуговування програмного, апаратного забезпечення, баз даних і мережевої інфраструктури і ризики, що виникають при цьому.
 • Ризики, пов'язані з контролем доступу, навколишнім середовищем, використанням людських ресурсів, взаємодією з третіми сторонами і т.д.

ДЕНЬ 2

Блок 4: Процес проведення IT-аудиту

 • Визначення цілей, рамок аудиту, підготовка до аудиту і створення плану аудиту.
 • Огляд методик проведення аудиту, підходи до аудиторських виборок, види і типи виборок, методів тестування контролів.
 • Збір доказів, їх систематизація, аналіз результатів тестування, документування.
 • Складання рекомендацій на виявлені уразливості і недоліки системи контролів, створення та презентація звіту аудиту.
 • Програмне забезпечення, що використовується для автоматизації процесу тестування системи контролів, аналізу та кореляції результатів, збору та захисту доказів.

Блок 5: Система контролів в області ІТ

 • Типи і характеристики контролів (управлінські, загальні, контролі в бізнес додатках) та їх класифікація (превентивні, детективні, відновлювальні).
 • Підходи і методи тестування контролів, оцінка ефективності системи контролів, збору документальних доказів.

Необхідні умови

Відсутні

Підхід до навчання

 • Даний тренінг включає в себе теорію і практику:
  • Лекції, ілюстровані прикладами з практики;
  • Повторювальні вправи для підготовки до іспиту;
  • Тренувальний тест, подібний сертифікаційного іспиту.
 • Щоб отримати максимальну користь з практичних занять, кількість учасників тренінгу обмежена.

Дати тренінгу: 23-24 червня 2014