Опубликован: 29.06.2020 | Уровень: для всех | Доступ: платный
Лекция 1:

Основные понятия и концепция аудита информационных систем

Лекция 1: 123 || Лекция 2 >

ОСНОВА COBIT. РАЗДЕЛЕНИЕ COBIT НА УПРАВЛЕНИЕ И АУДИТ

В основу стандарта CobiT положено следующее утверждение: для предоставления информации, необходимой организации для достижения ее целей, ресурсы ИТ должны управляться набором естественно сгруппированных процессов.


Для этого CobiT выделяет 34 высокоуровневые цели контроля, по одной на каждый ИТ- процесс, которые сгруппированы в 4 домена: Планирование и Организация; Проектирование и Внедрение; Эксплуатация и Сопровождение; Мониторинг. Предлагаемая структура объединяет все аспекты информации и технологий, поддерживающих ее. Применяя 34 высокоуровневые цели контроля, руководитель может быть уверен, что ему будет предоставлена адекватная система контроля над ИТ-средой, которая учитывает задействованные ресурсы ИТ, дающая возможность оценить ИТ по предлагаемым CobiT семи критериям оценки информации.


Ресурсы ИТ в CobiT описаны пятью составляющими:

  1. Данные — объекты в широком смысле (то есть внутренние и внешние), структурированные и неструктурированные, а также графика, звук и т.д.
  2. Приложения — совокупность автоматизированных и выполняемых вручную процедур.
  3. Технология — аппаратное обеспечение, программное обеспечение, операционные системы, системы управления базами данных, сетью и мультимедиа.
  4. Оборудование — все ресурсы, создающие и поддерживающие информационные технологии.
  5. Люди — персонал, его навыки: умение планировать и организовывать, комплектовать, обслуживать и контролировать информационные системы и услуги.

Критерии оценки информации:

  • Эффективность — актуальность информации, соответствующего бизнес-процесса, гарантия своевременного и регулярного получения правильной информации.
  • Продуктивность — обеспечение доступности информации с помощью оптимального (наиболее продуктивного и экономичного) использования ресурсов.
  • Конфиденциальность — обеспечение защиты информации от неавторизованного ознакомления.
  • Целостность — точность, полнота и достоверность информации в соответствии с требованиями бизнеса.
  • Пригодность — предоставление информации по требованию бизнес-процессов.
  • Согласованность — соответствие законам, правилам и договорным обязательствам.
  • Надежность — доступ руководства организации к соответствующей информации для текущей деятельности, для создания финансовых отчетов и оценки степени соответствия.

Для достижения целей организации в сфере ИТ, CobiT включает в себя две основные книги, которые отражают Принципы управления и Принципы аудита.

Как следует из названия — это две части одного целого (оказание воздействия и контроль результатов). Управляем — воздействуем на ИТ для достижения поставленных целей. Аудит — контролируем достижение цели.


УПРАВЛЕНИЕ ИТ ПО COBIT

  1. Управление ИТ осуществляется с учетом бизнес-потребностей.
  2. Для управления ИТ определены информационные критерии.

    Потребности бизнеса определяются Ключевыми Индикаторами Цели, чему способствует организация постоянного контроля над всеми ресурсами ИТ. Достижение необходимого уровня контроля измеряется Ключевыми Показателями Результата, которые учитывают Критические Факторы Успеха.

    Модель Зрелости используется для оценки уровня управления ИТ в данной организации — от несуществующего (самый низкий уровень) до оптимизированного (самый высокий уровень).

    Для достижения пятого, "оптимизированного" уровня зрелости в управлении ИТ организация должна быть, по крайней мере, на пятом уровне в домене мониторинг и как минимум на четвертом уровне моделей зрелости для всех других доменов.

ПРИНЦИПЫ АУДИТА ИТ, СТАНДАРТ COBIT

Принципы аудита CobiT — книга стандарта, которая в большей степени ориентирована на аудит ИТ-процессов, чем на аудит конкретных функций или приложений. CobiT состоит из высокоуровневых целей контроля (определенных для ИТ-процессов организации), которые охватывают все параметры информационных систем и применяемых информационных технологий, учитывают цикл жизни и специфические задачи, решаемые ИТ.

COBIT ADVISOR 3RD EDITION (AUDIT)

COBIT ADVISOR 3RD EDITION (AUDIT)

ЭТИЧЕСКИЙ КОДЕКС АУДИТОРА (АССОЦИАЦИЯ ISACA)

  1. Содействовать приведению информационных систем в соответствие с принятыми стандартами и руководствами;
  2. Осуществлять свою деятельность в соответствии со стандартами в области аудита информационных систем, принятыми THE INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA);
  3. Действовать в интересах работодателей, акционеров, клиентов и общества в старательной, лояльной и честной манере;
  4. Сознательно не принимать участия в незаконной, либо недобросовестной деятельности;
  5. Сохранять конфиденциальность информации, полученной при выполнении своих должностных обязанностей;
  6. Не использовать конфиденциальную информацию для получения личной выгоды и не передавать ее третьим лицам без разрешения ее владельца;
  7. Выполнять свои должностные обязанности, оставаясь независимым и объективным;
  8. Избегать деятельности, которая ставит под угрозу независимость аудитора;
  9. Поддерживать на должном уровне свою компетентность в областях знаний, связанных с проведением аудита информационных систем, принимать участие в профессиональных мероприятиях;
  10. Проявлять добросовестность при получении и документировании фактографических материалов, на которых базируются выводы и рекомендации аудитора;
  11. Информировать все заинтересованные стороны о результатах проведения аудита;
  12. Способствовать повышению осведомленности руководства организаций, клиентов и общества в вопросах, связанных с проведением аудита информационных систем;
  13. Соответствовать высоким этическим стандартам в профессиональной и личной деятельности;
  14. Совершенствовать свои личные качества.

СТРУКТУРА ПРИНЦИПОВ АУДИТА COBIT

Для каждого ИТ-процесса, определенного CobiT, в Принципах аудита представлена следующая информация.

Секция высокого уровня принципов аудита CobiT отражает:

  1. Название бизнес-процесса;
  2. Требования бизнеса (Объекты контроля высокого уровня);
  3. Как осуществлять контроль;
  4. Что учитывать.

Для перехода на уровень детального аудита ИТ-процесса:

  1. Детальные объекты контроля;
  2. Как понять ИТ-процесс (кому задавать вопросы);
  3. Как оценить контроль ИТ-процесса;
  4. Как оценить соответствие этого контроля — управлению;
  5. Как доказать риск не выполнения целей управления.

На практике при проведении аудита для каждого ИТ-процесса ИТ-аудитору, как минимум необходимо выполнить следующую работу:

  1. Определить высокоуровневый объект контроля;
  2. Определить ИТ-процесс;
  3. Проанализировать границы аудита;
  4. Определить детальные объекты контроля;
  5. Провести интервью с сотрудниками (ориентировочные названия должностей для каждого объекта контроля приведены в принципах управления);
  6. Назначить задания на оценку средств контроля (Принято ли во внимание ...);
  7. Оценить соответствие;
  8. Проверить доказательства.
Лекция 1: 123 || Лекция 2 >
Николай Ракович
Николай Ракович

В тесте 4 курса "Аудит ИТ-инфраструктуры" замечены ошибки в ответах: 1) Для оценки мехнизма управления Cobit рекомендуется использовать:  классическую модель аудиторского цикла (лекция 6 этого курса). Однако этот ответ отмечен как неправильный.

2)Логическим завершением этапа планирования аудита ИТ является : разработка стратегической модели аудиторского исследования (далее в этом же курсе, но не в лекции 4, к которой дан этот вопрос). Ответ отмечен как ошибочный. 

Вопрос: как проходить тест, если ответы, взятые из этого курса, являются ошибочными?

P.S. В тексте курса большое количество ошибок пунктуации (отсутствуют запятые), описок.

Makpal Jappar
Makpal Jappar
Казахстан, Шымкент
Мурат Бакиев
Мурат Бакиев
Россия