Подобный материал:
- Курс лекций. Спб, 639.95kb.
- Курс лекций. Спб, 1118.16kb.
- Курс лекций. Спб, 172.51kb.
- Курс лекций введение в профессию "социальный педагог", 4415.45kb.
- Курс лекций Часть 2 Составитель: кандидат экономических наук Г. Н. Кудрявцева Электроизолятор, 1210.68kb.
- Курс лекций Тамбов 2008 Составитель: Шаталова О. А., преподаватель спецдисциплин тогоу, 1556.11kb.
- Курс лекций Барнаул 2001 удк 621. 385 Хмелев В. Н., Обложкина А. Д. Материаловедение, 1417.04kb.
- Г. П. Щедровицкий Методология и философия организационно-управленческой деятельности:, 3029.36kb.
- Темы контрольных работ по дисциплине «Экономическая теория» спо специальность 080110., 17.75kb.
- Введение в курс. Курс лекций Начертательная геометрия в которой рассматриваются следующие, 848.58kb.
Интегрированные элементы управления
Одного элемента управления порой недостаточно, чтобы удовлетворить потребности компании, и может возникнуть необходимость в нескольких элементах. Если для решения конкретной задачи управления происходит объединение ряда элементов, они становятся интегрированными элементами управления.
Организации часто прибегают к использованию интегрированных элементов управления, если им приходится полагаться на ручные элементы или сталкиваться с крупномасштабными рисками. Например, если провозглашенная политика паролей или ручной профилактический элемент управления, является единственным способом добиться соблюдения требований к длине пароля, полезно также внедрить ручной или автоматизированный профилактический элемент управления для осуществления контроля.
Интегрированные элементы управления также полезны, если организация сталкивается со значительным риском. Например, выполнение ответственных бизнес-функций, используя устаревшую операционную систему, считается серьезной угрозой безопасности. Однако, если нет другого выхода, следует внедрить другие элементы управления для компенсации риска. В данном случае можно запретить уязвимой системе подключаться к корпоративной сети. Кроме того, можно исключить использование в системе съемных носителей, чтобы снизить опасность заражения вредоносными программами. Любого из этих элементов управления было бы недостаточно для решения проблемы, однако их сочетание может дать нужный эффект.
Важность элементов управления ИТ
Важная роль элементов управления ИТ состоит в том, что они обеспечивают эффективные средства, позволяющие совместить как решение бизнес-задач компании, так и задачи соответствия нормативным требованиям. Руководители ИТ-подразделений могут внедрять элементы управления с целью создания надежных процессов для тестирования и совершенствования среды управления ИТ в организации. Эффективные элементы управления ИТ также предоставляют организации возможность лучше адаптироваться к меняющимся нормативным требованиям.
Важно также отметить то, что аудиторы предпочитают оценивать автоматизированные элементы управления ИТ, поскольку такая оценка выполняется быстрее и позволяет более точно определить качество мер, принятых в организации для обеспечения соответствия нормативным требованиям. Благодаря этому снижаются затраты времени и финансовых средств, уменьшается вероятность сбоев при проведении аудитов ИТ. И это в дополнение к тому, что автоматизированные элементы в долгосрочной перспективе дешевле ручных.
Следующий раздел посвящен методам выполнения аудита ИТ.
Процедура аудита ИТ
Аудиты являются ключевым компонентом процесса обеспечения соответствия нормативным требованиям. В большинстве случаев именно аудиторы определяют, соблюдает ли организация распространяющиеся на нее нормативные акты и стандарты. Например, внешние аудиторы часто определяют достаточность внутренних элементов управления в рамках аудита ежегодной финансовой отчетности во исполнение закона Сарбейнса-Оксли. Знание процедуры проверки и методов работы аудиторов позволяет руководителям ИТ-подразделений создать среду, которая соответствует требованиям и не представляет трудностей для проведения аудита. Этот раздел посвящен методам выполнения аудита ИТ.
Важно понять, на что именно аудиторы обращают внимание, проверяя уровень соответствия нормативным требованиям. Они ищут свидетельства того, что:
организация разработала эффективные элементы управления для обеспечения соответствия требованиям, и в проекте нет упущений;
организация последовательно использует такие элементы управления, и в эксплуатации системы нет упущений.
Если аудиторы не обнаружат наличия эффективной программы управления либо установят, что организация не придерживается этой программы, они отметят это в своем отчете. В большинстве случаев такой отчет представляется комитету по аудиту, чтобы выявленные недостатки получили должное внимание со стороны руководства организации. Как очевидно, предпочтительнее, чтобы в отчете не было отмечено недоработок.
Ниже дано общее описание процедуры аудита. На практике может использоваться несколько иной подход.
Этап 1. Планирование аудита (аудитор).
Этап 2. Проведение совещания перед началом аудита (аудитор/организация).
Этап 3. Сбор данных и тестирование элементов управления ИТ (аудитор/организация).
Этап 4. Исправление выявленных неполадок (организация).
Этап 5. Тестирование исправленных элементов управления (аудитор/организация).
Этап 6. Проведение анализа и составление отчета по результатам аудита (аудитор).
Этап 7. Реакция на результаты аудита (организация).
Этап 8. Представление заключительного отчета (аудитор).
Понимание этапов проведения аудита дает руководителям ИТ-подразделений возможность прогнозировать, что им следует ожидать от проверки. Благодаря этому можно более успешно решить задачу соответствия нормативным требованиям и оптимизировать процедуру аудита.
Этап 1. Планирование аудита
Для планирования проверки аудитору необходимо получить от организации список всех используемых элементов управления ИТ и документацию с описанием принципов работы каждого элемента. Такая документация должна содержать информацию о том, каким образом элементы управления снижают риски организации и обеспечивают соответствие нормативным требованиям. Аудитор таким образом устанавливает проектную эффективность элементов управления ИТ в организации.
Как правило, аудиторская группа определяет, на каких элементах управления ИТ будет сосредоточено основное внимание. Рамки проверки зависят от типа проводимого аудита. При аудите соблюдения SOX, например, проверке подвергнутся основные финансовые счета и ключевые поддерживающие эту сферу приложения. На этапе планирования аудиторы также определяют области, требующие особого внимания. Соответствующее решение может основываться на слабых местах, выявленных в ходе предыдущего аудита, указаниях контрольных органов или оценках рисков предпринимательской деятельности в период проверки. Полезно заранее знать рамки аудита, чтобы наилучшим образом к нему подготовиться.
