Время прочтения: 4 мин.

Хезер Дин Беннингтон (Heather Dean Bennington) является профессиональным автором-фрилансером уже более 10 лет. Работала IT-аудитором и специалистом по комплаенс в аудиторской компании KPMG и международном страховом холдинге MetLife. Имеет сертификаты дипломированного аудитора по информационным системам (CISA) и дипломированного специалиста по защите информации (CIPP/ US).

Чем занимается IT-аудитор? Автор статьи Хезер Дин Беннингтон утверждает, что слышала этот вопрос бесчисленное множество раз, когда она только окончила колледж и устроилась на свою первую постоянную работу. Хезер признаётся, что ей понадобилось время, чтобы подобрать слова для точного ответа, который был бы понятен людям других профессий, особенно её семье и друзьям. В статье разбираются такие аспекты, как должностные функции IT-аудитора, его профессиональные компетенции, взаимодействие IT-аудитора с сотрудниками других подразделений в организации, карьерные преимущества данной сферы и то, какие шаги нужно предпринять, чтобы стать IT-аудитором.

Должностные функции

Беннингтон поясняет, что, хотя внешние и внутренние IT-аудиторы выполняют одни и те же ключевые функции, различия всё же есть. Внутренний аудитор (IT) оценивает систему внутреннего контроля в организации и докладывает о результатах проверки руководству компании. Внешний аудитор (IT) работает в консалтинговой фирме и оценивает механизмы контроля других организаций, предъявляющих соответствующие нормативные требования к отчётности, и сообщает об этом заказчику, который нанял консалтинговую компанию для проведения проверки.

Компетенции IT-аудитора 

Как отмечает автор, существуют определённые требования к набору профессиональных и коммуникативных навыков (hard & soft skills), которым отдаётся предпочтение при подборе кадров на позицию начинающего IT-аудитора. Кандидатам нужно иметь степень бакалавра информационных систем и технологий (либо похожую специализацию), от них требуется понимание технических аспектов IT-среды, соискатели должны уметь профессионально пользоваться пакетом Microsoft Office и иметь опыт работы с автоматизированными аудиторскими программами (Audit Command Language, ACL) или прикладным программным обеспечением аудиторской деятельности.

Молодые специалисты с опытом работы в области IT, прошедшие стажировку (практику) или имеющие такие сертификаты международной ассоциации ISACA, как CISA (дипломированный аудитор по информационным системам) или CISM (дипломированный руководитель службы информационной безопасности), будут обладать преимуществом перед остальными. Среди важных коммуникативных навыков – способность оказывать влияние на других, переводить сложные принципы комплексной защиты информации на понятный бизнесу язык и демонстрировать руководству результаты аудита.

Взаимодействие с командой и другими подразделениями  

Во-первых, IT-аудиторы и аудиторы из других отделов работают как команда. Многие компании проводят комплексные аудиторские проверки, и IT-аудиторы в тесном сотрудничестве с аудиторами бизнес-процессов дают оценку эффективности IT-инфраструктуры и работы компании в целом. Во-вторых, в публичных компаниях внутренние IT-аудиторы работают с командой внешних аудиторов. Наконец, IT-аудиторы взаимодействуют с IT-отделом и отделом информационной безопасности, так как это основные объекты IT-аудита.

Профессиональное развитие

Учитывая то, что технологии стремительно развиваются, успешные IT-аудиторы должны быть в курсе новых технологических трендов, влияющих на работу отрасли. В этом случае специалисты смогут помогать организации существенно снижать IT-риски. Проводя аудиторские проверки в различных сферах деятельности, IT-аудиторы получают всестороннее представление об организации, и руководство видит смысл в профессиональной ротации и внутренних перемещениях, ориентируясь на другие основанные на оценке рисков функции – комплаенс, IT-риск и кибербезопасность.  

Карьерные преимущества IT-аудитора

Беннингтон отмечает, что можно сделать отличную карьеру во внутреннем аудите, и на профессионалов в этой области всегда большой спрос. Нормативные требования, предъявляемые к работе СВА, ужесточаются, и особенно это касается сферы технологий и кибербезопасности. Автор акцентирует внимание на том, что служба внутреннего аудита обладает высокой мобильностью в отношении смены работы, и, начав карьеру IT-аудитора в финансовом секторе, вы сможете продолжить деятельность в промышленном производстве, сфере потребительских товаров, страховании и др.

Можно выбрать сферу внутреннего или внешнего аудита, большинство должностных функций и необходимых навыков одинаковы в обеих областях. Х. Д. Беннингтон упоминает о своём опыте, когда она после полутора лет работы во внешнем аудите безболезненно перешла в подразделение внутреннего аудита. Автор полагает, что самое важное – это то, что аудиторская деятельность играет ключевую роль в достижении успеха организацией. И публичным, и частным компаниям нужно сосредоточиться на эффективных механизмах контроля, снижающих риск. Сбой работы в области контроля может привести к потере доверия клиентов, отрицательным финансовым последствиям или нарушениям рабочего процесса.

В заключение автор статьи подчёркивает, что многие компании предъявляют минимальные требования к позиции IT-аудитора: кандидаты должны иметь степень бакалавра в соответствующей области. Также важен и опыт работы по специальности – речь идёт либо о летней стажировке (учебной практике), либо работе по профилю на должности начального уровня, а наличие у соискателей профессиональных сертификатов подтверждает, что кандидаты имеют необходимые знания и опыт.  

Кроме того, хотелось бы отметить, что IT-аудиторы оценивают надёжность работы информационной системы в целом и помогают улучшать IT-инфраструктуру проекта. Они способны своевременно выявить недостатки и слабые места, устранить риски взломов и внести соответствующие изменения, чтобы повысить эффективность IT- системы.

На материале статьи Х. Д. Беннингтон «Хотите стать IT-аудитором? Вот то, что нужно знать и делать!» (Heather Dean Bennington “Interested in Becoming an IT-auditor? Here’s What to Know and Do”).