Книги

• Разное
• Экономика
• Право
• История
• Шпоры

реклама

5. Принципи аудиту відповідно до СОВІТ

Керівництво з аудиту (Audit Guideline) - одна з основних книг COBIT. Ця книга більшою мірою орієнтована на аудит ІТ-процесів, ніж на аудит конкретних функцій або додатків. СОВІТ складається з високорівневих об’єктів контролю (визначених для ІТ-процесів організації), які охоплюють усі параметри інформаційних систем і використовуваних інформаційних технологій, ураховують цикл життя і специфічні задачі, які вирішують ІТ.

"Керівництво по аудиту" визначає правила використання при проведенні ІТ-аудиту Концептуального ядра і основних принципів управління COBIT, регламентованих у "Керівництві з менеджменту". В ньому описується, як проводити перевірку реалізації кожного з 34 високорівневих ІТ-процесів і 318 детальних Об’єктів контролю, визначених у Концептуальному ядрі COBIT. Це дозволяє аудитору оцінювати адекватність реалізованої системи управління вимогам стандарту і бізнес-цілям, формувати рекомендації щодо її поліпшення.

Різні форми проведення зовнішнього і внутрішнього ІТ-аудиту включають обстеження і огляди безпеки інформаційних систем, сертифікацію й атестацію, технічні експертизи, а також різні форми контролю якості. При цьому використовувані у кожному конкретному випадку методи і програми проведення аудиту можуть істотно розрізнятися. Основна задача COBIT — визначення основних принципів і загальної структури проведення ІТ-аудиту, застосовної до найширшого круга організацій і інформаційних систем.

5.1. Моделі проведення аудиту

Згідно COBIT основною метою ІТ-аудиту є надання керівництву організації обґрунтованих гарантій ефективного виконання задач управління ІТ. Крім того, ІТ-аудит повинен сприяти поліпшенню стану інформаційної системи, який характеризується рівнем її безпеки і ефективністю процесів управління ІТ. Тому в ході аудиту аналізується поточний стан і, за наявності суттєвих відхилень від норм, оцінюються остаточні ризики, видаються рекомендації щодо коригуючих дій.

Найпоширеніша модель оцінки механізмів управління — класична модель аудиту, на якій і побудовано "Керівництво з аудиту". Відповідно до неї критерії аудиту визначаються стандартами та іншими нормативними документами. Ще одним загальноприйнятим підходом є модель аналізу ризиків, за якої критерії аудиту формуються на підставі оцінки ризиків. Будь-яка з цих моделей може застосовуватися на практиці при проведенні ІТ-аудиту в організаціях на базі COBIT.

Разом з тим, підходи до аналізу й управління ризиками, а також питання їх використання при проведенні ІТ-аудиту залишаються за рамками COBIT. Стандарт обмежується лише визначенням загальних понять. Уся змістовна частина розділу COBIT, присвяченого цій темі, може бути зведена в представлена схемою, зображеною на рис. 9.

Рис. 9. Послідовність процесу аналізу ризиків

Аналіз ризиків (Risk Assessment) починається з оцінки ІТ-ресурсів (Asset Valuation), необхідних для досягнення бізнес-цілей. ІТ-ресурси включають інформацію, технічні, програмні і інші засоби, необхідні для її отримання, обробки і зберігання.

На наступному кроці здійснюється аналіз уразливостей (Vulnerability Assessment) і аналіз загроз (Threat Assessment), які перешкоджають досягненню бізнес-цілей. Ймовірність загрози, ступінь уразливості та можливі збитки визначають ступінь ризику, асоційованого з можливістю здійснення даної загрози.

Далі виконується вибір контрзаходів (Counter Measures) і оцінка їх ефективності (Control Evaluation), а також визначається величина залишкових ризиків (Residual Risk).

Результатом аналізу ризиків є план упровадження механізмів управління (Action Plan).

5.2. Рівні опису процедури аудиту

Загальний підхід до проведення ІТ-аудиту, висловлений в COBIT, спирається на наступні основні елементи:

концептуальне ядро COBIT, визначає загальний понятійний апарат і включає класифікацію ІТ-процесів, опис інформаційних критеріїв і ІТ-ресурсів;

загальні вимоги до процедури аудиту ІТ-процесів, висловлені в розділах "Планування і вироблення стратегії аудиту" і "Узагальнена схема керівництва по аудиту";

загальні принципи управління, висловлені в розділі "Загальні зауваження відносно оцінки процесів управління".

На більш низькому рівні абстракції визначаються основні стадії проведення аудиту і формулюються "Детальні інструкції з аудиту конкретних ІТ-процесів", які аудитор доповнює і конкретизує з метою приведення їх у відповідність з конкретними умовами проведення аудиту і особливостями досліджуваної інформаційної системи. "Керівництво з аудиту" містить детальні інструкції для кожного з 34 ІТ-процесів (в термінології COBIT — високорівневих Об’єктів контролю). Не всі задачі управління, описані в COBIT, застосовні в кожній конкретній ситуації. Визначення актуальних Об’єктів контролю проводиться виходячи з поточних потреб організації на основі аналізу ризиків.

Інструкції та вимоги, наведені у "Керівництві з аудиту", призначені для використання лише як допоміжні засоби і методологічна основа при розробці конкретних програм проведення ІТ-аудиту. Вони не можуть замінити конкретні методики, використовувані аудиторами. В ході планування аудиту повинні також ураховуватися:

критерії та вимоги, специфічні для даної галузі;

галузеві та промислові стандарти;

особливості використовуваних програмно-апаратних платформ;

конкретні механізми управління, що використовуються в організації.

5.3. Критерії оцінки процесів управління ІТ

У центрі уваги COBIT знаходиться аудит системи управління ІТ, який охоплює організаційний і процедурний рівні управління ІТ-процесами. Програмно-технічні аспекти залишаються за рамками цього стандарту. Загальні принципи управління визначають стратегію проведення ІТ-аудиту. Вони зосереджені головним чином на розподілі відповідальності, стандартах управління і управлінні інформаційними потоками між суб'єктами і об'єктами управління.

В COBIT процес управління поділяється на чотири етапи.

На першому визначається стандарт оцінки ефективності ІТ-процесу.

На другому — аналізується стан ІТ-процесу шляхом отримання суб'єктом управління (ІТ-менеджером) інформації від об'єкта управління (ІТ-процесу).

На третьому етапі інформація про стан ІТ-процесу порівнюється з вимогами стандарту.

На четвертому — у разі виявлення невідповідності ІТ-процесу вимогам стандарту суб'єкт управління їх коригує шляхом передачі відповідної інформації керівнику ІТ-процесу (див. рис. 10).

Рисунок 10 - Управління ІТ-процесами

Виходячи з цієї моделі, формулюються основні критерії оцінки механізмів управління.

Розподіл відповідальності та підзвітність. Для того щоб модель управління працювала, відповідальність за бізнес-процеси необхідно чітко розподілити, встановивши строгу підзвітність кожного посадовця. Інакше не буде відбуватися обміну інформацією керівника і коригуючих дій не послідує.

Стандарти і допустимі відхилення. Стандарти оцінки ефективності ІТ-процесів можуть бути самими різними, починаючи з високорівневих планів і стратегій і закінчуючи ключовими індикаторами продуктивності і критичними чинниками успіху [3]. Чітко документовані, підтримувані в актуальному стані і доступні для всіх співробітників організації стандарти — важливий критерій ефективності системи управління ІТ. Для кожного ІТ-процесу повинні бути чітко визначені допустимі відхилення від вимог стандарту.

Інформаційні критерії. В COBIT визначаються сім інформаційних критеріїв: ефективність, продуктивність, конфіденційність, цілісність, доступність, відповідність і надійність. Ефективність інформації керівника, тобто її актуальність, своєчасність і придатність, а також її цілісність служать основою функціонування системи управління ІТ-процесами. Їх необхідно розглядати як базові інформаційні критерії.

5.4. Основні етапи аудиту

При складанні планів і виробленні стратегії аудиту перш за все необхідно визначити межі його проведення в термінах бізнес-підсистем, інформаційних підсистем, що є об'єктами дослідження, їхнього фізичного розташування і взаємозв'язків. При цьому аналізуються наступні дані:

структура бізнес-процесів;

платформи і структура інформаційних систем, що підтримують бізнес-процеси;

структура ролей і розподілу відповідальності, включаючи аутсорсинг;

бізнес-ризики і бізнес-стратегія.

План аудиту повинен визначати сукупність оцінюваних ІТ-процесів, ІТ-ресурсів і інформаційних критеріїв, послідовність кроків по збору і аналізу інформації аудиту і проведенню необхідних тестів. На етапі планування визначаються інформаційні критерії, найзначущіші для існуючих бізнес-процесів. Потім ідентифікуються ІТ-ризики і оцінюється загальний рівень контролю даних бізнес-процесів. При цьому приймаються до уваги існуючі механізми управління, останні зміни в бізнесі і ІТ-оточенні, зареєстровані інциденти і результати попередніх аудиторських перевірок. На основі отриманої інформації здійснюється вибір відповідних ІТ-процесів і пов'язаних з ними ІТ-ресурсів, службовців об'єктами дослідження.

Після розробки плану і стратегії проведення ІТ-аудиту виконується процедура аудиту, на описі якої в основному і зосереджено "Керівництво по аудиту". Після закінчення даної процедури слідують вироблення рекомендацій і підготовка звітних документів.

Процедура аудиту включає чотири послідовні етапи: ідентифікація і документування (збір і первинний аналіз інформації); оцінка механізмів управління; тест відповідності; детальне тестування.

На етапі ідентифікації і документування здійснюється документування процедур і ідентифікація існуючих механізмів управління шляхом інтерв'ювання керівництва і співробітників організації з метою з'ясування наступних питань: вимоги бізнесу і асоційовані з ними ризики; організаційна структура; розподіл ролей і відповідальності; політики і процедури; вимоги нормативної бази; існуючі механізми управління; існуюча звітність.

На етапі оцінки механізмів управління проводиться оцінка ефективності існуючих механізмів управління при виконанні задач управління, їх доцільність і придатність порівнюється зі встановленими критеріями, промисловими стандартами та критичними факторами успіху. За допомогою методів експертних оцінок визначається, які механізми управління на наступному етапі повинні тестуоватись на відповідність встановленим процедурам. Аудитору необхідно переконатися в тому, що існуючі ІТ-процеси документовані, відповідальність і підзвітність чітко визначена, а там, де необхідно, передбачені компенсуючі механізми управління.

Тестом відповідності називають етап аудиту, задачею якого є отримання гарантій придатності існуючих механізмів управління для вирішення задач управління. Перевірка здійснюється шляхом отримання прямих і непрямих свідчень належного виконання встановлених процедур управління за оцінюваний період. На цьому етапі виконується також обмежене дослідження адекватності результатів процесів управління, визначається рівень детального тестування і об'єм додаткової роботи, необхідної для отримання гарантій адекватності ІТ-процесу.

Детальним тестом називають заключний етап аудиту, ціллю якого є оцінка і обґрунтовування ризиків невиконання задач управління шляхом використання аналітичних методів і експертних оцінок. Його кінцева ціль — спонукати керівництво до виконання коригуючих дій для поліпшення стану системи управління ІТ. На даному етапі аудитор проводить документування недоліків механізмів управління, загроз і уразливостей, що є слідством цих недоліків, реальних і потенційних наслідків реалізації загроз шляхом причинно-наслідкового аналізу і проведення порівняльного тестування.

5.5. Узагальнена схема аудиту

Згідно висловленого в статті підходу, загальна схема проведення аудиту (General Audit Guideline) включає чотири етапи: ідентифікація (identify), оцінка (evaluate), тестування на відповідність (test), детальне тестування (substantiate). Для оцінки кожної задачі управління використовуються "Детальні інструкції з аудиту" (Detailed Audit Guideline). Розробка стратегії та планування процедури аудиту здійснюється відповідно до "Загальних вимог" (Audit Process Requirements). При проведенні аудиту також повинні враховуватися "Критерії оцінки процесів управління" (Control Observations). Kpім того, в усіх перерахованих документах використовується понятійний апарат і модель взаємозв'язків між бізнес-цілями, ІТ-процесами, ІТ-ресурсами, інформаційними критеріями і задачами управління, визначеними "Концептуальним ядром COBIT" (COBIT Framework).

Рис. 11. Загальний підхід до проведення ІТ-аудиту відповідно до COBIT

5.6. СОВІТ Advisor 3rd Edition (Audit)

З метою полегшення проведення аудиту ІТ написано програмний продукт "СОВІТ Advisor". Ґрунтуючись на відкритому стандарті СОВІТ, програма Advisor оновлюється відповідно до редакцій стандарту. На підставі змін і доповнень третього видання стандарту в "СОВІТ Advisor" внесено відповідні зміни. Програмний продукт доповнено 16 новими об'єктами контролю і новими формами звітів. "СОВІТ Advisor" є базою даних FoxPro, структурованою відповідно до 34 процесів і 318 об'єктів контролю стандарту СОВІТ, яка дозволяє зберігати, обробляти і надавати інформацію про результати проведення аудиту в різних форматах у формі звітів (наприклад, MS Word, Excel).

Одним із типових звітів є моделі зрілості, які можна побудувати як для кожного процесу управління ІТ, так і для сукупної моделі зрілості всіх ІТ-сервісів організації (рис. 12).

Рисунок 12 – Екран СОВІТ Advisor 3rd Edition

5.7. Структура принципів аудиту СОВІТ

Для кожного ІТ-процесу, визначеного СОВІТ, в Принципах аудиту представлена наступна інформація.

А. Секція СОВІТ принципів аудиту високого рівня містить:

Назву бізнес-процесу;

Вимоги бізнесу (Об'єкти контролю високого рівня);

Як здійснювати контроль;

Що враховувати.

Б. Для переходу на рівень детального аудиту ІТ-процесу:

Детальні об'єкти контролю;

Як зрозуміти ІТ-процес (кому задавати питання);

Як оцінити контроль ІТ-процесу;

Як оцінити відповідність цього контролю — управлінню;

Як довести ризик невиконання цілей управління.

На практиці при проведенні аудиту для кожного ІТ-процесу ІТ-аудитору, як мінімум, необхідно виконати наступну роботу:

Визначити високорівневий об'єкт контролю;

Визначити ІТ-процес;

Проаналізувати межі аудиту;

Визначити детальні об'єкти контролю;

Провести інтерв'ю зі співробітниками (орієнтовні назви посад для кожного об'єкта контролю наведені в Керівництві з менеджменту);

Призначити завдання для оцінювання засобів контролю (Чи взято до уваги ...);

Оцінити відповідність;

Перевірити докази.

Таблиця 2 – Застосування книг стандарту СОВІТ при проведенні аудиту ІТ

Рівень	Книга стандарту СОВІТ
Рівень 1. Базовий рівень аудиту ІТ	Структура СОВІТ Принципи аудиту СОВІТ (стор. 22-24, 29): Вимоги процесу аудиту Контроль Загальні принципи аудиту
Рівень 2. Процеси, описані в принципах аудиту	Принципи аудиту СОВІТ (основна частина)
Рівень 3. Аудит додаткових цілей контролю	Специфічні умови: Спеціалізовані галузеві критерії Промислові стандарти Вимоги виробників елементів інфраструктури Застосування детальних методів контролю

Книги принадлежат их авторам и выставлены для ознакомления