Документ освещает концепцию контраудита как средства эффективного управления процессом аудита в IT-компаниях с целью повышения качества и снижения трудозатрат. Рассматриваются проблемы, возникающие в ходе аудита, и предлагаются решения для улучшения взаимодействия между IT-подразделениями и аудиторами. Также подчеркивается важность четкого определения ролей, целей и границ аудита для минимизации ошибок и неэффективности.

1. Комплексная оценка ИТ:
практика контраудита

2. Что такое контраудит?
Контраудит – искусственный термин, под которым мы понимаем
эффективное управление проектом по проведению аудита
(внешнего и внутреннего) для обеспечения соблюдения
сроков, границ проекта, целей проверки и достоверных
результатов при снижении трудозатрат со стороны ИТ и
задействованных подразделений

3. До появления контраудита
 Высокая нагрузка на ИТ-подразделения
Бизнес
вследствие недостаточно глубокого понимания
аудиторами специфики бизнес-процессов ИТ
компании
 Предоставление избыточной и несогласованной
информации ИТ-специалистами в ходе интервью и
при ответах на запросы
 Неудачные сроки проекта (влияние аудита на
операционную деятельность компании в периоды
повышенной нагрузки на ИТ-подразделения)
 Рассогласованность «семантических карт»
аудиторов и ИТ-специалистов
 Несоблюдение сроков аудита
 Некорректное трактовка результатов аудита и, как
следствие, формирование некорректного списка
Аудит недостатков
 Некорректное определение ответственных за
возникновение и устранение недостатков

4. Роли и ответственность
Отдельная выделенная в
компании
функция/роль, «единая точка
входа» в ИТ для внешних
консультантов, должность
или подразделение - в
зависимости от масштабов
организации, участвующая во
взаимодействии с внешними и
внутренними аудиторами
Задачи:
 Получение данных у ответственных сотрудников
 Проверка на корректность и непротиворечивость
предоставление данных аудиторам
 Координация взаимодействия
 Мониторинг статуса проведения аудита
 Эскалация проблем
 Актуализация матрицы контрольных процедур
 Мониторинг выполнения контрольных процедур

5. Выделенное подразделение и
выделенный процесс
Плюсы от выделения координатора
для проведения аудита
 Снижается нагрузка на операционные подразделения
 Снимается часть запросов на этапе получения
координатором запроса
 Снижается риск предоставления некорректной / не
соответствующей запросу информации
 Повышается эффективность коммуникаций
(корректные параметры запросов аудита – высокая
скорость ответов исполнителей)

6. Практики и инструменты (1)
До начала аудита Вы должны знать ответы на следующие
вопросы:
o Кто является заказчиком аудита и получит его результаты? Знание
применимых к
o Какова цель и границы аудита? аудиту стандартов
o Что произойдет с выявленными недостатками?
o Кто будет отвечать за устранение недостатков?
Поддержание хороших
Понимание целей топ-
отношений с
менеджмента компании
аудиторами
Проведение
самостоятельных
аудитов
 Запрашивайте больше подтверждающих документов для
доказательства правоты аудиторов
 Аудит как ресурс, мини-консалтинг (при необходимости
посоветуйтесь по какой-то задаче или проблеме)
 Предоставьте максимум процедур и отчетов (в том числе в
бумажном виде)
 Больше разъясняющих встреч для обсуждения выявленных
недостатков
 Если вы не согласны с недостатками, обнаруженными
аудиторами - так и скажите!

7. Практики и инструменты (2)
Автоматизация контрольных процедур (КП)
• Внедрение системы ИТ-контролей
• Документирование результатов выполнения КП
• Мониторинг и анализ результатов выполнения КП
• Актуализация матрицы ИТ-рисков
• Управление изменениями КП
• Анализ операционных отчетов по ИТ-процессам
 Сокращения времени на мониторинг
выполнения КП на 40%
 Сокращения затрат на подготовку
аудита на 50%

8. Уроки и рекомендации (1)
 Определите и согласуйте границы, сроки аудита, получите план
 Не допускайте предоставления избыточной информации
 На регулярной основе запрашивайте у аудиторов статус проведения аудита,
предварительные заключения
 Получите список тем и предварительный список вопросов, требуйте обоснование
для каждого запроса
 Проведите предварительную встречу для сотрудников компании (особенно если
аудит проводится впервые) Предупредите аудиторов заранее о периодах, когда
возможны задержки в предоставлении информации и невозможно проводить
интервью. Убедитесь, что все необходимые сотрудники находятся на своих рабочих
местах, а не в отпуске или командировке.

9. Уроки и рекомендации (2)
 Сопровождайте аудиторов, когда они находятся у вас в компании.
Помните: несопровождаемый аудитор - неконтролируемый аудитор! 
 Эскалируйте проблему при проведении аудита на руководство компании.
Дополнительно проблему можно эскалировать на руководство аудиторов
 Закрепите протоколом/процедурой принципы взаимодействия с аудиторской
командой
 Сохраняйте всю переписку!
 Предоставляйте данные аудиторам только после проверки на возможные ошибки
 Устраните все замечания, выявленные аудитором, до следующего аудита

10. Цели и выгоды
Аудит ИТ
Качество ? Здравый смысл !
Контроль ? Эффективность !
Рациональность !
Надежность ?
Упрощение процесса
Достоверность оценки, сокращение споров
Соответствие общепризнанному стандарту оценки

11. Вопросы?