Инновационная образовательная программа гу-вшэ «Формирование системы аналитических компетенций для инноваций в бизнесе и государственном управлении» Кафедра Управления информационными ресурсами предприятия

Вид материала

Образовательная программа

Содержание Уровни описания процедуры аудита по COBIT Основные критерии оценки процессов управления ИТ Распределение ответственности и подотчетность. Стандарты и допустимые отклонения. Информационные критерии. Планирование процедуры аудита

Подобный материал:

• Инновационная образовательная программа гу-вшэ «Формирование системы аналитических, 2826.81kb.
• Программы гу-вшэ «Формирование системы аналитических компетенций для инноваций в бизнесе, 4514.19kb.
• Инновационная образовательная программа гу-вшэ «Формирование системы аналитических, 457.34kb.
• Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 340.58kb.
• Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 330.43kb.
• Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 994.83kb.
• Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 976.37kb.
• Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 318.71kb.
• Правительство Российской Федерации Государственный университет Высшая школа экономики, 343.74kb.
• Учебно-методическое пособие подготовлено в рамках Инновационной образовательной программы, 2552.15kb.

Уровни описания процедуры аудита по COBIT

Общий подход к проведению ИТ-аудита, изложенный в COBIT, опирается на следующие основные элементы:

• Концептуальное ядро COBIT, определяющее общий понятийный аппарат и включающее в себя классификацию ИТ процессов, описание информационных критериев и ИТ ресурсов;
  
• Общие требования к процедуре аудита ИТ процессов, изложенные в разделах «Планирование и выработка стратегии аудита» и «Обобщенная схема руководства по аудиту»;
  
• Общие принципы управления, изложенные в разделе «Общие замечания относительно оценки процессов управления».
  

На более низком уровне абстракции определяются основные стадии проведения аудита и формулируются «Детальные инструкции по аудиту конкретных ИТ-процессов», которые аудитор дополняет и конкретизирует  с целью приведения их в соответствие с конкретными условиями проведения аудита и особенностями исследуемой ИС. «Руководство по аудиту» содержит детальные инструкции для каждого из 34 ИТ-процессов (в терминологии COBIT - высокоуровневых задач управления). Не все задачи управления, описанные в COBIT, являются применимыми в каждой конкретной ситуации. Определение актуальных задач управления должно производиться исходя из текущих потребностей организации на основе анализа рисков.

Все инструкции и требования, приведенные в «Руководстве по аудиту», предназначены для использования лишь в качестве вспомогательных средств и методологической основы при разработке конкретных программ проведения ИТ аудита. Они не могут заменить конкретные методики, используемые аудиторами. В ходе планирования аудита, должны также учитываться следующие факторы:

• Критерии и требования, специфичные для данной отрасли;
  
• Отраслевые и промышленные стандарты;
  
• Особенности используемых программно-аппаратных платформ;
  
• Конкретные механизмы управления, используемые в организаци.
  

Основные критерии оценки процессов управления ИТ

В центре внимания COBIT находится аудит системы управления ИТ, охватывающий организационный и процедурный уровни управления ИТ-процессами (программно-технические аспекты остаются за рамками этого стандарта). Общие принципы управления определяют статегию проведения ИТ-аудита. Они сосредоточены главным образом на распределении ответственности, стандартах управления и управлении информационными потоками между субъектами и объектами управления.

В COBIT процесс управления подразделяется на четыре этапа. На первом этапе определяется стандарт оценки эффективности ИТ-процесса. На втором - анализируется состояние ИТ процесса, путем получения субъектом управления (ИТ-менеджером) информации от объекта управления (ИТ процесса). На третьем этапе информация о состоянии ИТ процесса сравнивается с требованиями стандарта. На четвертом этапе, в случае выявления несоответствия ИТ-процесса требованиям стандарта, субъект управления предпринимает корректирующие действия, путем передачи соответствующей управляющей информации ИТ- процессу.

Исходя из этой модели, формулируются основные критерии оценки механизмов управления:

1.      Распределение ответственности и подотчетность. Для того чтобы модель управления работала, ответственность за бизнес процессы должна быть четко распределена, также должна быть установлена строгая подотчетность каждого должностного лица. В противном случае, не будет происходить обмен управляющей информацией, и корректирующие действия не будут предприниматься.

2.      Стандарты и допустимые отклонения. Стандарты оценки эффективности ИТ-процессов могут быть самыми разными, начиная с высокоуровневых планов и стратегий и заканчивая ключевыми индикаторами производительности и критическими факторами успеха (3). Четко документированные, поддерживаемые в актуальном состоянии и доступные для всех сотрудников организации стандарты являются важным критерием эффективности системы управления ИТ. Для каждого ИТ-процесса должны быть четко определены допустимые отклонения от требований стандарта.

3.      Информационные критерии. Актуальность, своевременность и пригодность управляющей информации (в терминологии COBIT – эффективность информации), а также ее целостность служат основой функционирования системы управления ИТ-процессами. Их необходимо рассматривать в качестве основных информационных критериев.

Планирование процедуры аудита

При составлении планов и выработке стратегии аудита, прежде всего, необходимо определить границы его проведения в терминах бизнес подсистем, информационных подсистем, являющихся объектами исследования, их физического расположения и взаимосвязей. Границы определяются на основе анализа следующих данных:

• Структуры бизнес процессов;
  
• Платформ и структуры информационных системы, поддерживающих бизнес процессы;
  
• Структуры ролей и распределения ответственности, включая аутсорсинговые функции;
  
• Бизнес рисков и бизнес стратегии.
  

План аудита должен определять совокупность оцениваемых ИТ-процессов, ИТ-ресурсов и информационных критериев, последовательность шагов по сбору и анализу информации аудита и проведению необходимых тестов. На этапе планирования определяются наиболее значимые для существующих бизнес процессов информационные критерии. (Всего в COBIT определяется семь информационных критериев: эффективность, продуктивность, конфиденциальность, целостность, доступность, соответствие и надежность). (3) Затем идентифицируются ИТ-риски и оценивается общий уровень контроля рассматриваемых бизнес процессов. При этом принимаются во внимание существующие механизмы управления, последние изменения в бизнес и ИТ-окружении, зарегистрированные инциденты и результаты предыдущих аудиторских проверок. На основе полученной информации осуществляется выбор соответствующих ИТ-процессов и связанных с ними ИТ-ресурсов, служащих объектом исследования.