Файл: Вадим Алджанов итархитектура от а до Я Теоретические основы. Первое.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 18.01.2024
Просмотров: 807
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
определить целевую аудиторию; определить для чего будет использован отчет.
Значительное количество данных собирается в процессе ежедневной работы, но не все из них являются ценными и могут быть использованы для анализа и принятия решений. Для того чтобы структурировать процесс формирования отчетности необходимо согласовать политику и правила с бизнесом и этапом Проектирования. Они могут включать в себя: целевую аудиторию; соглашение о том, что будет измеряться и отражаться в отчетах; термины и границы; расписание формирования отчетности; доступ к отчетам и средства, которые будут использованы для его осуществления; расписание встреч для обсуждения отчетов.
Отчеты должны быть простыми для понимания и в то же время эффективными. Задачей IT является формирование отчетов в терминах, понятных бизнесу.
Критерии результативности – (KGI)
Критерии эффективности – (KPI)
Процесс Улучшения Сервиса (Service Improvement SIM)
Процесс Улучшения Сервиса является частью этапа «Непрерывного улучшения сервиса».
Данный процесс отвечает на такие вопросы как:
Формирование процесса Улучшения Сервиса.
Один из важных критериев для организации это понимание стоимости улучшений и усилия, которые необходимо предпринять для их реализации. Эти значения должны сравниваться с выгодами, которые получит организация от улучшений. Выгоды посчитать гораздо труднее, чем издержки. Чтобы сравнивать затраты на улучшения и его результаты необходимо провести анализ и ответить, как минимум на следующее вопросы:
Какова стоимость простоя?
Какова стоимость повторного выполнения работ?
Какова стоимость излишней работы?
Какова стоимость проектов, которые не принесли ценности?
Какова стоимость задержки в предоставлении приложений?
Какова стоимость передачи инцидентов на вторую и третью ступень поддержки в сравнении с их разрешением на первой ступени?
Какова средняя стоимость часа работы для сотрудников?
В качестве методов измерения доступности и ведения соответствующих отчетов: влияние потерянных минут – время простоя, умноженное на количество пользователей, на которых он повлиял. Пользователи в период простоя теряют свою производительность, так как не могут выполнять работу. влияние на бизнес-транзакции – количество бизнес-транзакций, которые не могут быть завершены из-за простоя; реальные издержки от простоя.
Значительное количество данных собирается в процессе ежедневной работы, но не все из них являются ценными и могут быть использованы для анализа и принятия решений. Для того чтобы структурировать процесс формирования отчетности необходимо согласовать политику и правила с бизнесом и этапом Проектирования. Они могут включать в себя: целевую аудиторию; соглашение о том, что будет измеряться и отражаться в отчетах; термины и границы; расписание формирования отчетности; доступ к отчетам и средства, которые будут использованы для его осуществления; расписание встреч для обсуждения отчетов.
Отчеты должны быть простыми для понимания и в то же время эффективными. Задачей IT является формирование отчетов в терминах, понятных бизнесу.
Критерии результативности – (KGI)
Критерии эффективности – (KPI)
Процесс Улучшения Сервиса (Service Improvement SIM)
Процесс Улучшения Сервиса является частью этапа «Непрерывного улучшения сервиса».
Данный процесс отвечает на такие вопросы как:
Формирование процесса Улучшения Сервиса.
Один из важных критериев для организации это понимание стоимости улучшений и усилия, которые необходимо предпринять для их реализации. Эти значения должны сравниваться с выгодами, которые получит организация от улучшений. Выгоды посчитать гораздо труднее, чем издержки. Чтобы сравнивать затраты на улучшения и его результаты необходимо провести анализ и ответить, как минимум на следующее вопросы:
Какова стоимость простоя?
Какова стоимость повторного выполнения работ?
Какова стоимость излишней работы?
Какова стоимость проектов, которые не принесли ценности?
Какова стоимость задержки в предоставлении приложений?
Какова стоимость передачи инцидентов на вторую и третью ступень поддержки в сравнении с их разрешением на первой ступени?
Какова средняя стоимость часа работы для сотрудников?
В качестве методов измерения доступности и ведения соответствующих отчетов: влияние потерянных минут – время простоя, умноженное на количество пользователей, на которых он повлиял. Пользователи в период простоя теряют свою производительность, так как не могут выполнять работу. влияние на бизнес-транзакции – количество бизнес-транзакций, которые не могут быть завершены из-за простоя; реальные издержки от простоя.
Деятельность по процессу:
Утверждение процесса улучшения сервисов
Цикл «Деминга» (PDCA)
Планирование (Plan)
Действие (Do)
Проверки (Check)
Реакция (Act)
Триггеры блокировки
Триггеры повторного запуска процесса
Входы процесса:
Все процессы управления сервисами
Процесс управления знаниями
Выходы процесса:
Программа улучшения сервисов
Внесение изменений в действующие процессы
Внесение изменений в действующие сервисы
Создание новых сервисов
Создание новых процессов
Оптимизация процессов
Оптимизация сервисов
Участники процесса:
ИТ комитет
Сотрудники ИТ департамента
Представители Департамента Безопасности
Представители бизнеса
Показатели процесса:
Удовлетворенность бизнеса
Улучшение показателей процессов
Улучшение показателей сервисов
Ключевые моменты процесса:
ИТ департамент является владельцем процесса
Критерии результативности – (KGI)
Критерии эффективности – (KPI)
Механизмы Контроля и Аудита ИТ
Общие Положения
Деятельность ИТ департамента имеет важное значение для организации. Как следствие необходимо принимать действия по ее контролю и аудиту активности. Как правило, данная функция возложена на департамент Внутреннего Аудита организации.
Основные задачи ИТ аудита:
Стратегические – соответствие целей и задач ИТ целям и задачам организации. Главная цель – результативность.
Оперативные – контроль за надлежащим исполнением регламента. Основная цель – эффективность.
Международные стандарты и практики ИТ аудита
«IT Audit Framework 2nd Edition» (ITAF) – международный стандарт проведения
ИТ-аудита от организации ISACA. Действующая редакция выпущена в июле 2013 года. Целевая аудитория стандарта – специалисты в области ИТ-аудита. Стандарт предназначен для использования при проведении формализованных аудиторских проверок информационных систем и ИТ-инфраструктуры.
Стандартом определяются:
•основные термины и концепции, специфичные для специалистов в области ИТ-аудита;
•минимальные требования к навыкам и знаниям специалистов, выполняющих аудиторские проверки информационных систем;
•основные этапы проведения аудиторских проверок информационных систем и подготовки аудиторского отчета;
•перечень поддерживающих стандарт руководств, рабочих программ и инструментальных средств проведения аудита информационных систем.
Стандарт ITAF состоит из трех частей:
Общие стандарты – включает руководящие принципы для профессионалов в области аудита информационных систем: соблюдение независимости, объективности и профессиональной этики, поддержание знаний, компетенций и навыков.
Стандарты проведения аудиторских проверок – включает практики планирования и контроля аудиторских проверок, определение объемов работ в рамках аудиторских проверок, управление рисками и границами материальности, мобилизации ресурсов, управления проектом, практики сбора и хранение свидетельств аудита, использования методов экспертной оценки.
Стандарты отчетности – включает описание типов отчетов, средств представления отчетов и типов презентуемой информации.
Для каждой из частей стандарта ассоциацией ISACA разработаны руководства, рабочие программы и инструкции, поддерживающие проведение описанных аудиторских процедур.
Руководства, рабочие программы и инструкции доступны на официальном сайте ассоциации.
На момент написания статьи, стандарт ITAF является наиболее полным источником для специалистов в области ИТ-аудита, описывающим все этапы проведения проверки ИТ-систем и ИТ-процессов.
«Cobit 5» – руководство по проведению аудита в соответствии с COBIT v.5
Действующая редакция руководства выпущена организацией ISACA в июле 2013 года.
Руководство предназначено для использования специалистами в области ИТ-аудита, ИТ-рисков и управления ИТ при проведении аудиторских проверок информационных систем в соответствии со сборником лучших практик COBIT 5. Составляющие:
•Детальное руководство по использованию COBIT 5 для организации и поддержания функции внутреннего ИТ-аудита в компаниях;
•Структурированный подход к проведению ИТ-аудита в соответствии с процессами и факторами (*enablers), описанными в COBIT 5;
В сравнении с ITAF, руководство «Cobit 5» обладает меньшей степенью формализации аудиторских процедур и более широким покрытием вопросов организации ИТ-процессов в соответствии с лучшими практиками.
«International Professional Practices Framework (IPPF) for Internal Auditing Standards»
Международный стандарт проведения внутреннего аудита от Института Внутренних
Аудиторов (IIA). Целевая аудитория стандарта – сотрудники внутреннего аудита. Целью стандарта является определение:
•базовых принципов проведения внутреннего аудита;
•стандартного набора практик проведения внутреннего аудита;
•базовых показателей оценки эффективности процедур внутреннего аудита.
Несмотря на то, что стандарт не разрабатывался как стандарт ИТ-аудита, он определяет универсальные принципы и подходы, которые могут быть использованы, как при проведении внутреннего финансового и операционного аудита, так и при проведении внутреннего аудита информационных технологий. Для методологической поддержки стандарта в части проведения
ИТ-аудита, ассоциацией IIA были разработаны детальные руководства по оценке ИТ-рисков
(Guide to the Assessment of IT Risk) и аудиту информационных технологий (Global Technology
Audit Guide). Руководство «Guide to the Assessment of IT Risk» (GAIT) описывает взаимосвязь между бизнес-рисками, ключевыми контролями, встроенными в бизнес-процессы, автоматизированными контролями, критичными ИТ-функциями и Общими ИТ-контролями (IT
General Controls). Руководство GAIT включает следующие публикации:
Методология GAIT (The GAIT Methodology) – описывает риск-ориентированный подход к определению и оценке Общих ИТ-контролей в рамках оценки управления системой внутреннего контроля необходимой для соответствия Статье 404 закона Сарбейнза-Оксли.
GAIT для оценки недостатков Общих ИТ-контролей (GAIT for IT General Control Deficiency
Assessment) – описывает подход к определению критичности и материальности недостатков
Общих ИТ-контролей, выявленных в рамках оценки соответствия Статье 404 закона
Сарбейнза-Оксли.
GAIT для оценки бизнес и ИТ-рисков (GAIT for Business and IT Risk) – описывает шаги по определению ключевых ИТ-контролей, которые критичны для достижения бизнес целей и задач организации.
Руководство по аудиту информационных технологий «Global Technology Audit Guide»
(GATG) состоит из 15 публикаций, описывающих процессы, процедуры и техники, используемые при проведении проверок информационных систем:
•ИТ риски и контроли (Information Technology Risk and Controls)
•Контроли в процессах внесения изменений и обновлений ИТ-систем (Change and Patch
Management Controls)
•Процесс непрерывного аудита (Continuous Auditing)
•Управление процессами ИТ-аудита (Management of IT Auditing)
•ИТ-аутсорсинг (Information Technology Outsourcing)
•Аудит автоматизированных контролей (Auditing Application Controls)
•Управление доступом (Identity and Access Management)
•Управление непрерывностью бизнеса (Business Continuity Management)
•Разработка плана аудиторской проверки ИТ (Developing the IT Audit Plan)
•Аудит ИТ-проектов (Auditing IT Projects)
•Обнаружение и предотвращение мошенничества, связанного с использованием
ИТ-технологий (Fraud Prevention and Detection in an Automated World)
•Аудит приложений, разработанных пользователями (Auditing User-developed Applications)
•Управление информационной безопасностью (Information Security Governance)
•Технологии анализа информации (Data Analysis Technologies)
•Аудит управления ИТ-функцией (Auditing IT Governance)
Детальность и бизнес-ориентированность данных стандартов, являются его сильными сторонами. Тем не менее, так как стандарт и поддерживающие руководства разрабатывались для использования специалистами не имеющими глубокого ИТ опыта, используемая терминология не всегда точно описывает технические аспекты проведения ИТ-аудита. Также некоторые руководства не обновлялись несколько лет.
1 ... 29 30 31 32 33 34 35 36 ... 44
Международные стандарты «ISAE N. 3402» и «SSAE N. 16»
«ISAE N. 3402» международный стандарт проведения аудиторских проверок сервисных организаций, разработанный международной организацией IAASB (the International Auditing and
Assurance Standards Board), являющейся частью Международной Федерации Бухгалтеров (IFAC,
International Federation of Accountants). Стандарт «SSAE N. 16» (ранее известный как SAS 70), выпущен ассоциацией AICPA (American Institute of Certified Public Accountants) и является адаптированной американской версией международного стандарта «ISAE No.3402». Целью стандарта «ISAE N. 3402» является предоставление унифицированного подхода к оценке эффективности системы внутреннего контроля сервисных организаций, в части подготовки достоверной финансовой отчетности.
PCAOB Auditing Standard No. 5 «An Audit of Internal Control over Financial Reporting That Is
Integrated with an Audit of Financial Statements»
Действующая редакция стандарта разработана и выпущена организацией «The Public
Company Accounting Oversight Board» (PCAOB) в 2007 году. Организация The Public Company
Accounting Oversight Board (PCAOB) была создана законом Сарбейнза-Оксли в 2002 году как некоммерческая организация для контроля аудиторских проверок компаний, представленных на американских биржах, в целях защиты интересов инвесторов при подготовке независимого аудиторского заключения. Стандартом аудита PCAOB N. 5 «An Audit of Internal Control Over
Financial Reporting That Is Integrated with An Audit of Financial Statements» определяются требования по включению проверок ИТ-процессов и ИТ-систем в объем обязательных аудиторских процедур при проведении внешнего финансового аудита. Согласно стандарту, при проведении аудита контролей, связанных с подготовкой финансовой отчетности, аудитор должен получить понимание того, как используемые информационные системы и технологии оказывают влияние на процесс формирования финансовой отчетности. Аудитор также должен понимать какие контроли выполняются вручную, а какие реализованы на уровне информационных систем – автоматизированные контроли, в том числе как выполняются общие ИТ-контроли, которые важны для эффективной работы автоматизированных контролей. Эта информация должна быть учтена при оценке рисков искажения финансовой информации, обрабатываемой в информационных системах.
«ISO/IEC 27007: Guidelines for information security management systems auditing» и «ISO/IEC
TR 27008: Guidelines for auditors on information security management systems controls»
Стандарты опубликованы международной организацией ISO/IEC в 2011 году. Целевой аудиторией стандартов являются специалисты в области информационной безопасности и ИТ-аудита, планирующие проведение compliance-аудита на соответствие требованиям стандартов ISO27001 и ISO27002. Цель стандартов – дать оценку соответствует ли организация/подразделение требованиям, изложенным в ISO/IEC 27001 и ISO/IEC 27002.
Стандарты включают описание следующих аспектов аудита:
•Управление аудиторской проверкой.
•Непосредственное проведение аудита (планирование, проведение, ключевые активности, включая выборки и анализ, отчетность и последующий контроль исполнения).
•Управление командой аудиторов (поддержание компетенций и навыков, оценка членов команды).
Недостатком данных стандартов является отсутствие оценки рисков и последующей определением приоритетов контролей при планировании и проведении проверки. Тем не менее, стандарты удобны при подготовке к compliance-аудиту на соответствие стандартам ISO/IEC
27001 и ISO/IEC 27002.
Перечень контролей с применением COBIT v5
Control Objectives for Information and Related Technology (COBIT) представляет собой набор открытых документов, международных стандартов и руководств в области управления ИТ, аудита и информационной безопасности. Буквально на русский язык COBIT переводится как
«Контрольные Объекты для Информационных и смежных Технологий», но в некоторых изданиях встречается более привычный для русского уха «Цели контроля для информационных и смежных технологий».