Совершенствование методического инструментария аудиторских проверок (1142753), страница 19
Текст из файла (страница 19)
Цели контроля. Руководство по управлению. Модели зрелостипроцессов», в котором описаны методические подходы для каждого этапааудиторского цикла.Концептуальная идея выражения мнения в соответствии со стандартомCobiT представлена в виде модели зрелости (Capability Maturity Model Integration– CMMI), предложенной Институтом Карнеги Мэлон (Carnegie Mellon University).Модель зрелости не определяет, как улучшить работу компании, и не выдвигаетготовых руководств по её применению.
Модель зрелости определяет ключевые,факторы, которые указывают на необходимость достижения требуемого качества110и содержит способы контроля за правильностью выполнения ключевых ИТпроцессов и методы их корректировки.Беря за основу шкалу моделей зрелости, разработанную для каждого из 34ИТ-процессов CobiT, аудитор может: выяснить текущий статус организации – оценить, на какой стадии развитияИТ-систем организации находится сегодня; сравнить свою организацию с лучшими практиками в этой отрасли илимеждународными стандартами; оценить возможности организации после усовершенствования.У каждой организации присутствует потребность в понимании статусасобственных ИС и решении того, на каком уровне нужно обеспечить управлениеи контроль над ИТ.
Модель Зрелости Управления ИТ для бизнеса предназначенадля управления ИТ-процессами с целью увеличения ценности ИТ, присоблюдении равновесия между риском и затратами, использованными на еёвнедрение и поддержание. Модель зрелости, основанная на методе оценкиорганизации, содержит пять градаций уровня зрелости:1. Начальный. Менеджмент признает наличие проблем управления ИТ инеобходимость их устранений.
Не существует комплексного выработанногорешения устранения проблемы, а присутствуют лишь разовые случайныерешения,неносящиезакономерногохарактераипринимаемыеперсонализировано.2. Повторяющийся. Менеджмент компании комплексно осознает проблемыуправления ИТ. ИТ-процессы находятся на начальном этапе развития, ноохватывают процессы планирования, функционирования и мониторинга.Присутствует формализованный характер управления ИТ.
Менеджментомвыделены основные бизнес-процессы предприятия, которым уделяются особоевнимание по улучшению и контролю. Эффективно выполняется планирование иуправление инвестициями. Отсутствуют формализованные процедуры обучения,управления и ответственность сотрудников. Сотрудники контролируют процессы111управления с помощью проектов и ИТ-процессов. Ограниченные инструментыуправления выбираются и внедряются для сбора метрик управления, но неиспользуются в полном объеме из-за недостатков в оценке их функциональности.3. Определенный.
Руководство осознает необходимость функционированияв соответствии с принципами и стандартами ИТ и внедрение сбалансированныхкарт оценки. Разрабатываются базовые показатели управления ИТ: определенасвязь между результатом и показателями производительности, она зафиксированаи внедрена в стратегические процессы планирования и мониторинга. Процедурыносятформализованныйвыполнениюдеятельности.данныххарактер,процедур.НесмотряпроводитсяПроизводитсяобучениемониторингна формализацию процедур,персонала повсех видовони не сложны.Большинство процессов управляется в соответствии с некоторыми основнымиметриками и, как правило, отдельными сотрудниками, поэтому ни о какихотклонениях руководители не знают.
Однако всеобщая отчетность о выполненииключевых процессов является четкой, и руководство премирует сотрудников наоснове измерения ключевых результатов.4. Управляемый и измеряемый. Руководство компании полностьюосознает проблемы управления ИТ на всех уровнях организации, постоянноосуществляет обучение сотрудников. Определены и поддерживаются вактуальномсостояниисоглашенияобуровнеобслуживания.Четкорегламентирована и формализована ответственность сотрудников. Процессы ИТсоответствуют бизнесу и стратегии ИТ.
Присутствует сбалансированная картаоценки ИТ процессов, которые основываются на измеряемых количественныхпоказателях и выделены допустимые отклонения, при которых процессы должныработать. Существует возможность управлять процедурами и метрикамипроцессов, измерять их соответствие. Все совладельцы процесса осознают риски,важность ИТ и возможности, которые они предоставляют. Присутствуетпонимание необходимости постоянного совершенствования. Ограниченноприменяются передовые технологии, основанные на современной инфраструктуре112и модифицированных стандартных инструментах. Все необходимые ИТспециалисты вовлечены в бизнес-процессы. Деятельность управления ИТинтегрируется в процесс управления организацией.5.
Оптимизированный. В организации существует углубленное пониманиеуправления ИТ, проблем и пути их решений, а также перспектив. Обучение икоммуникация поддерживаются на должном уровне самыми современнымисредствами.Врезультатенепрерывногосовершенствованияпроцессысоответствуют моделям зрелости, построенным на основании «лучшей практики».Внедрение этих процедур привело к появлению организаций, людей и процессов,максимально адаптируемых к изменяющимся условиям, а также полностьюсоответствующих требованиям управления ИТ. Первопричины всех проблем иотклонений тщательно анализируются, по результатам анализа выполняютсярезультативные действия.
ИТ интегрированы в бизнес-процессы, полностью ихавтоматизируют, предоставляя возможность повышать качество и эффективностьработы организации [22].Как уже было отмечено, для целей аудита наибольшую ценностьпредставляет издание ассоциации ISACA “Основные принципы аудита ИТ”, вкотором описаны правила и основные принципы аудита на основании методикиработы CobiT. В руководстве описывается, как производить проверку реализациикаждого из 34 высокоуровневых ИТ-процессов и 318 детальных задач управления,определяемых в концептуальном ядре COBIT.
Это позволяет аудитору оцениватьадекватность реализованной системы управления ИТ, а также вырабатыватьнадлежащие управленческие рекомендации по ее улучшению. Руководство непредоставляет детальные процедуры проведения, а описывает фундаментальныепринципыи технику аудита.Руководствоопределяет шаги аудита ирекомендации, представленные в отношении общих мер контроля, относимых ковсем процессам, управлением механизмами контроля и частным и контрольнымимерами.113Таблица 3.12 – Общая методология CobiTМониторинг и оценка• М ониторинг и оценка эффективности ИТ• М ониторинг и оценка системывнутреннего контроля• Обеспечение корпоративного управленияИТЭксплуатация и сопровождение• Определение и управление уровнем обслуживания• Управление услугами сторонних организаций• Управление производительностью и мощностями• Обеспечение непрерывности ИТ сервисов• Обеспечение безопасности систем• Определение и распределение затрат• Обучение и подготовка пользователей• Управление службой технической поддержки иинцидентами• Управление конфигурацией• Управление пробелами• Управление данными• Управление физической безопасностью и защитойот воздействия окружающей среды• Управление операциями по эксплуатации системПланирование и организация• Разработка стратегического плана развития ИТ• Определение информационной архитектуры• Определение направления технологическогоразвития• Определение ИТ процессов, организационнойструктуры и взаимосвязей• Управление ИТ инвестициями• Информирование о целях и направленияхразвития ИТ• Управление персоналом• Управление качеством• Оценка и управление ИТрисками• Управление проектамиПриобретение и внедрение• Выбор решений по автоматизации• Приобретение и поддержка программныхприложений• Приобретение и обслуживание технологическойинфраструктуры• Обеспечение выполнений операций• Поставки ИТ ресурсов• Управление внесением изменений• Внедрение и приемка решений и измененийИсточник: Cobit 4.1.
Методология. Цели контроля. Руководство поуправлению. Модели зрелости процессов [22].В соответствие со стандартом CobiT и “Основными принципами аудита ИТ”аудиторский цикл будет базироваться на трех этапах: планирование; определение границ аудита; проведение аудита.Детально основные принципы аудита ИТ представлены в таблице 3.13.Таблица 3.13 – Основные принципы аудита ИТПланированиеОпределение границаудитаОпределение объекта ИТ аудитаВыполнение планирования на основании модели анализарисковВыполнение «высокоуровневой оценки»Определение цели аудитаОпределение бизнес-целейДокументирование принципов корпоративной архитектуры ИТВыбор системы контроляОпределение ИТ-процессовОпределение ИТ-компонентовОптимизация ИТ-компонентовОпределение объекта контроляОптимизация выбора объектов контроля114Продолжение таблицы 3.13Проведение аудитаУточнение понимания цели аудита;Уточнение границ ключевых контрольных мер для целейаудита;Оценка эффективности системы внутреннего контроля;Альтернативные и дополнительные способы оценки системымест контроля и влияние на внутренний контроль;Документирование уязвимых мест в корпоративнойархитектуре ИТ;Сбор и формирование выводов и рекомендации аудитора вотношении проведенной работы.Источник: IT assurance guide [50], составлено автором.ПланированиеОпределение объекта аудита служит началом любого вида аудита.















