Инновационная образовательная программа гу-вшэ «Формирование системы аналитических компетенций для инноваций в бизнесе и государственном управлении» Кафедра Управления информационными ресурсами предприятия
Вид материала | Образовательная программа |
- Инновационная образовательная программа гу-вшэ «Формирование системы аналитических, 2826.81kb.
- Программы гу-вшэ «Формирование системы аналитических компетенций для инноваций в бизнесе, 4514.19kb.
- Инновационная образовательная программа гу-вшэ «Формирование системы аналитических, 457.34kb.
- Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 340.58kb.
- Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 330.43kb.
- Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 994.83kb.
- Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 976.37kb.
- Программа подготовлена в рамках Инновационной образовательной программы гу-вшэ «Формирование, 318.71kb.
- Правительство Российской Федерации Государственный университет Высшая школа экономики, 343.74kb.
- Учебно-методическое пособие подготовлено в рамках Инновационной образовательной программы, 2552.15kb.
Основные этапы процедуры аудита
После разработки плана и стратегии проведения ИТ-аудита выполняется Процедура аудита, на описании которой в основном и сосредоточено «Руководство по аудиту». По завершению данной процедуры следуют этапы Выработки рекомендаций и Подготовки отчетных документов (2).
Процедуры аудита, включает в себя четыре последовательных этапа:
- Идентификацию и документирование (включает в себя сбор и первичный анализ информации);
- Оценку механизмов управления;
- Тест соответствия;
- Детальное тестирование.
На этапе Идентификации и документирования осуществляется документирование процедур и идентификация существующих механизмов управления путем интервьюирования руководства и сотрудников организации с целью уяснения следующих вопросов:
- Требования бизнеса и ассоциированные с ними риски;
- Организационная структура;
- Распределение ролей и ответственности;
- Политики и процедуры;
- Требования нормативной базы;
- Существующие механизмы управления;
- Существующая отчетность.
Например, для ИТ-процесса (в терминологии COBIT – высокоуровневой задачи управления) «Оценка рисков» инструкции по аудиту для этапа идентификации и документирования выглядят следующим образом:
Идентификация и документирование осуществляются путем:
Интервьюирования:
- Высшее руководство ИТ
- Отдельных ИТ специалистов
- Отдельных специалистов по управлению рисками
- Ключевых пользователей ИТ сервисов
Получения:
-
- Политики и процедуры, имеющие отношение к оценке рисков
- Документы с оценкой бизнес рисков
- Документы с оценкой операционных рисков
- Документы с оценкой ИТ рисков
- Детали базиса, по которому измеряется величина риска и потери
- Файлы персонала, для которого производится оценка рисков
- Политики страхования остаточных рисков
- Мнения экспертов
- Результаты обследований
- База данных управления рисками
На этапе оценки механизмов управления производится оценка эффективности существующих механизмов управления при выполнении задач управления, оценивается их целесообразность и пригодность путем сравнения с установленными критериями, промышленными стандартами и критическими факторами успеха. При помощи методов экспертных оценок определяется для каких механизмов управления на следующем этапе должно быть протестировано соответствие установленным процедурам Аудитору необходимо убедиться в том, что:
- Существующие ИТ-процессы документированы;
- Ответственность и подотчетность четко определены;
- Там, где необходимо, существуют компенсирующие механизмы управления.
Для ИТ-процесса «Оценка рисков» инструкции по аудиту для этапа оценки механизмов управления выглядят следующим образом:
Оценка механизмов управления осуществляется путем:
Проверки того, что:
- Существует структура для систематической оценки рисков, включая риски недостижения целей организации, а также существует система управления рисками
- Подход к анализу рисков предусматривает регулярное обновление оценок на глобальном и системном уровне
- Процедура оценки рисков позволяет учитывать как внешние, так и внутренние факторы и принимает во внимание результаты аудитов, ожидания и идентифицированные инциденты
- Цели всей организации включены в процесс идентификации рисков
- Процедуры мониторинга изменений в работе систем предусматривают своевременное уточнение данных о системных рисках и уязвимостях
- Существуют процедуры непрерывного мониторинга и улучшения оценки рисков, облегчающие процессы создания механизмов управления Документация по оценки рисков включает в себя следующее:
- Описание методологии оценки рисков
- Идентификацию существенных уязвимостей и соответствующих рисков
- Риски и соответствующие уязвимости, для противодействия которым существуют механизмы управления
- Вероятность, частота и методы анализа рисков включены в процедуру идентификации рисков
- Квалификация персонала, выполняющего оценку рисков, является адекватной
- Существует формальный количественный и/или качественный (или комбинированный) подход к идентификации и измерению величины рисков, угроз и уязвимостей
- Вычислительные и другие методы используются для измерения рисков, угроз и уязвимостей
- Для реализации необходимых контрмер, направленных против рисков, угроз и уязвимостей, используется план управления рисками
- Решение о допустимости тех или иных остаточных рисков, принимает во внимание:
- Политику организации
- Идентификацию и измерение рисков
- Неопределенность, присущую самому подходу к оценке рисков
- Стоимость и эффективность реализации контрмер и механизмов управления
- Страховка покрывает остаточные риски
- Существуют формальные количественные и/или качественные подходы к выбору механизмов управления и максимизации возврата
- Имеется баланс между используемыми детектирующими, превентивными, корректирующими и восстанавливающими контрмерами
- Существуют формальные процедуры для обнародования целей механизмов управления
Тестом соответствия называется этап аудита, задачей которого является получение гарантий пригодности существующих механизмов управления для решения задач управления. Проверка осуществляется путем получение прямых и косвенных свидетельств надлежащего выполнения установленных процедур управления за оцениваемый период. На этом этапе выполняется также ограниченное исследование адекватности результатов процессов управления, определяется уровень детального тестирования и объем дополнительной работы, необходимой для получения гарантий адекватности ИТ-процесса.
Для данного этапа COBIT предлагает следующие инструкции по аудиту ИТ-процесса «Оценка рисков»:
Оценка соответствия выполняется путем:
Тестирования:
- Структура оценки рисков предусматривает регулярное обновление оценки рисков с целью уменьшения рисков до приемлемой величины
- Документация по оценке рисков согласована со структурой оценки рисков, должным образом подготовлена и сопровождается
- ИТ менеджеры и ИТ персонал вовлечены в процесс оценки рисков
- Руководство организации осведомлено о факторах, обуславливающих риски, и вероятности угроз
- Соответствующий персонал понимает и формально принимает остаточные риски
- Отчеты по оценке рисков предоставляются высшему руководству на согласование своевременно
- Подход, используемый для анализа рисков, имеет результатом количественное и/или качественное измерение величины уязвимости к риску
- Риски, угрозы и уязвимости, идентифицированные руководством, и их атрибуты используются для выявления каждой разновидности угрозы
- План управления рисками является актуальным и включает в себя экономически оправданные механизмы управления и контрмеры, направленные на уменьшение рисков
- Существует система приоритетов и для каждого риска существует соответствующая контрмера:
- Спланированная превентивная мера
- Вторичный детектирующий механизм управления
- Третичный корректирующий механизм управления
- Сценарии осуществления угроз документированы, актуальны и доведены до сведения ответственных лиц
- Для остаточных рисков существует достаточное страховое обеспечение, учитывающее различные сценарии угроз, включая:
- Пожар, затопление, землетрясение, ураганы, терроризм, непредвиденные природные бедствия
- Недостаточная ответственность сотрудников организации
- Потеря прибылей и клиентов в результате прерывания бизнес процессов
- Другие риски, которые обычно не охватываются рассмотренными выше ИТ и бизнес планами обеспечения непрерывности бизнеса
Детальным тестом называется заключительный этап аудита, целью которого является оценка и обоснование рисков невыполнения задач управления путем использования аналитических методов и экспертных оценок. Конечной целью является побуждение руководства к выполнению корректирующих действий с целью улучшения состояния системы управления ИТ организации. На данном этапе аудитор производит документирование недостатков механизмов управления, угроз и уязвимостей, являющихся следствием этих недостатков, реальных и потенциальных последствий реализации угроз путем причинно-следственного анализа и проведения сравнительного тестирования.
Пример инструкций по аудиту ИТ-процесса «Оценка рисков» для этапа детального тестирования выглядит следующим образом:
Обоснование риска невыполнения задач управления осуществляется путем:
Выполнения:
- Сравнение структуры оценки рисков с другими организациями той же отрасли или с соответствующими международными стандартами, либо общепризнанными «лучшими практиками»
- Детальное исследование подхода к оценке рисков, используемого для идентификации, измерения и уменьшения величины рисков до приемлемого уровня
Идентификации:
- Не идентифицированные риски
- Не измеренные риски
- Риски, которые не были уменьшены до приемлемого уровня
- Устаревшие оценки рисков
- Ошибочные количественные либо качественные оценки рисков, угроз и уязвимостей
- Планы управления рисками, не предусматривающие экономически оправданных механизмов управления и мер безопасности
- Отсутствие формального признания остаточных рисков
- Неадекватное страховое обеспечение