Инновационная образовательная программа гу-вшэ «Формирование системы аналитических компетенций для инноваций в бизнесе и государственном управлении» Кафедра Управления информационными ресурсами предприятия
Вид материала | Образовательная программа |
- Инновационная образовательная программа гу-вшэ «Формирование системы аналитических, 2826.81kb.
- Программы гу-вшэ «Формирование системы аналитических компетенций для инноваций в бизнесе, 4514.19kb.
- Инновационная образовательная программа гу-вшэ «Формирование системы аналитических, 457.34kb.
- Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 340.58kb.
- Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 330.43kb.
- Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 994.83kb.
- Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 976.37kb.
- Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 318.71kb.
- Правительство Российской Федерации Государственный университет Высшая школа экономики, 343.74kb.
- Учебно-методическое пособие подготовлено в рамках Инновационной образовательной программы, 2552.15kb.
Уровни описания процедуры аудита по COBIT
Общий подход к проведению ИТ-аудита, изложенный в COBIT, опирается на следующие основные элементы:
- Концептуальное ядро COBIT, определяющее общий понятийный аппарат и включающее в себя классификацию ИТ процессов, описание информационных критериев и ИТ ресурсов;
- Общие требования к процедуре аудита ИТ процессов, изложенные в разделах «Планирование и выработка стратегии аудита» и «Обобщенная схема руководства по аудиту»;
- Общие принципы управления, изложенные в разделе «Общие замечания относительно оценки процессов управления».
На более низком уровне абстракции определяются основные стадии проведения аудита и формулируются «Детальные инструкции по аудиту конкретных ИТ-процессов», которые аудитор дополняет и конкретизирует с целью приведения их в соответствие с конкретными условиями проведения аудита и особенностями исследуемой ИС. «Руководство по аудиту» содержит детальные инструкции для каждого из 34 ИТ-процессов (в терминологии COBIT - высокоуровневых задач управления). Не все задачи управления, описанные в COBIT, являются применимыми в каждой конкретной ситуации. Определение актуальных задач управления должно производиться исходя из текущих потребностей организации на основе анализа рисков.
Все инструкции и требования, приведенные в «Руководстве по аудиту», предназначены для использования лишь в качестве вспомогательных средств и методологической основы при разработке конкретных программ проведения ИТ аудита. Они не могут заменить конкретные методики, используемые аудиторами. В ходе планирования аудита, должны также учитываться следующие факторы:
- Критерии и требования, специфичные для данной отрасли;
- Отраслевые и промышленные стандарты;
- Особенности используемых программно-аппаратных платформ;
- Конкретные механизмы управления, используемые в организаци.
Основные критерии оценки процессов управления ИТ
В центре внимания COBIT находится аудит системы управления ИТ, охватывающий организационный и процедурный уровни управления ИТ-процессами (программно-технические аспекты остаются за рамками этого стандарта). Общие принципы управления определяют статегию проведения ИТ-аудита. Они сосредоточены главным образом на распределении ответственности, стандартах управления и управлении информационными потоками между субъектами и объектами управления.
В COBIT процесс управления подразделяется на четыре этапа. На первом этапе определяется стандарт оценки эффективности ИТ-процесса. На втором - анализируется состояние ИТ процесса, путем получения субъектом управления (ИТ-менеджером) информации от объекта управления (ИТ процесса). На третьем этапе информация о состоянии ИТ процесса сравнивается с требованиями стандарта. На четвертом этапе, в случае выявления несоответствия ИТ-процесса требованиям стандарта, субъект управления предпринимает корректирующие действия, путем передачи соответствующей управляющей информации ИТ- процессу.
Исходя из этой модели, формулируются основные критерии оценки механизмов управления:
1. Распределение ответственности и подотчетность. Для того чтобы модель управления работала, ответственность за бизнес процессы должна быть четко распределена, также должна быть установлена строгая подотчетность каждого должностного лица. В противном случае, не будет происходить обмен управляющей информацией, и корректирующие действия не будут предприниматься.
2. Стандарты и допустимые отклонения. Стандарты оценки эффективности ИТ-процессов могут быть самыми разными, начиная с высокоуровневых планов и стратегий и заканчивая ключевыми индикаторами производительности и критическими факторами успеха (3). Четко документированные, поддерживаемые в актуальном состоянии и доступные для всех сотрудников организации стандарты являются важным критерием эффективности системы управления ИТ. Для каждого ИТ-процесса должны быть четко определены допустимые отклонения от требований стандарта.
3. Информационные критерии. Актуальность, своевременность и пригодность управляющей информации (в терминологии COBIT – эффективность информации), а также ее целостность служат основой функционирования системы управления ИТ-процессами. Их необходимо рассматривать в качестве основных информационных критериев.
Планирование процедуры аудита
При составлении планов и выработке стратегии аудита, прежде всего, необходимо определить границы его проведения в терминах бизнес подсистем, информационных подсистем, являющихся объектами исследования, их физического расположения и взаимосвязей. Границы определяются на основе анализа следующих данных:
- Структуры бизнес процессов;
- Платформ и структуры информационных системы, поддерживающих бизнес процессы;
- Структуры ролей и распределения ответственности, включая аутсорсинговые функции;
- Бизнес рисков и бизнес стратегии.
План аудита должен определять совокупность оцениваемых ИТ-процессов, ИТ-ресурсов и информационных критериев, последовательность шагов по сбору и анализу информации аудита и проведению необходимых тестов. На этапе планирования определяются наиболее значимые для существующих бизнес процессов информационные критерии. (Всего в COBIT определяется семь информационных критериев: эффективность, продуктивность, конфиденциальность, целостность, доступность, соответствие и надежность). (3) Затем идентифицируются ИТ-риски и оценивается общий уровень контроля рассматриваемых бизнес процессов. При этом принимаются во внимание существующие механизмы управления, последние изменения в бизнес и ИТ-окружении, зарегистрированные инциденты и результаты предыдущих аудиторских проверок. На основе полученной информации осуществляется выбор соответствующих ИТ-процессов и связанных с ними ИТ-ресурсов, служащих объектом исследования.