Аудит ИТ по стандарту CobiТ

Для многих организаций информация и поддерживающие ее технологии представляют собой самые ценные, хотя и зачастую не до конца понятные активы. Успешные организации осознают те выгоды, которые предлагают информационные технологии и применяют их, повышая собственную ценность для заинтересованных сторон. Эти организации также понимают и управляют связанными рисками, такими как возрастание регулирующих требований и критическая зависимость многих бизнес процессов от ин­формационных технологии (ИТ).

Потребность в уверенности относительно той пользы, которую дают ИТ, управление связанными с ИТ рисками и растущие требования к контролю над информацией в настоящее время понимаются как клю­чевые элементы корпоративного управления. Ценность, риск и контроль составляют суть корпоративного управления сферой ИТ.

Корпоративное управление сферой ИТ (далее — Управление ИТ) есть ответственность высшего руководства, которая включает в себя лидерство, организационные структуры и процессы, обеспечивающие соответствие ИТ текущим и стратегическим целям организации.

Более того, управление ИТ интегрирует и структурирует лучшие практики для того, чтобы ИТ организации оказывали помощь в достижении бизнес целей. Управление ИТ позволяет организации пользоваться всеми преимуществами своей информации и тем самым максимизировать выгоду, извлекать прибыли из возмож­ностей и получать конкурентные преимущества. Все это требует методологии для контроля ИТ, которая соответствовала бы требованиям доклада Комитета спонсорских организаций Комиссии Тредуэя (COSO) «Внутренний контроль — интегрированная методология», получившего широкое признание в качестве ме­тодологии контроля в области корпоративного управления и управления рисками.

Организации должны удовлетворять стандартам качества, требованиям безопасности и конфиденциальности в отношении собственной информации, равно как и в отношении других активов. Руководство также должно оптимизировать пользование доступными ИТ ресурсами, включающими в себя приложения, информацию, инфраструктуру и персонал. Для того чтобы исполнить эти обязанности, а также достигнуть поставленных целей, высшее руководство должно понимать статус корпоративной ИТ архитектуры и определить, какие методы управления и контроля следует реализовывать на практике.

Издание «Цели контроля для информационных и смежных технологий» (COBIT®) устанавливает лучшие практики на уровне доменов (групп ИТ процессов) и отдельных процессов и представляет действия в виде управляемой и логичной структуры. Лучшие практики в COBIT основаны на консенсусе экспертов. Они в большей степени ориентированы на контроль, нежели на исполнение. Эти нормы помогут оптимизировать инвестиции в ИТ, обеспечить уверенность в уровне предоставляемых сервисов и выработать показатели, на которые можно будет ориентироваться в случае неблагоприятного развития ситуации.

 

В сфере ИТ успешное предоставление сервисов в соответствии с требованиями бизнеса предполагает наличие системы или методологии внутреннего контроля. Система контроля COBIT отвечает этим потребностям, поскольку:

 

·    Связана с требованиями бизнеса.

·    Организует виды ИТ деятельности в виде понятной процессной модели.

·    Определяет основные ресурсы ИТ, на которые должны осуществляться воздействие.

·    Определяет цели контроля.

 

Бизнес ориентация COBIT состоит во взаимосвязи целей бизнеса и ИТ, выявлении показателей и моделей зрелости для оценки достижений, определении соответствующих видов ответственности владельцев бизнес и ИТ процессов. Ориентированный на процессы подход проиллюстрирован в COBIT при помо­щи модели, подразделяющей 34 отдельных ИТ процесса в четыре домена (группы), упорядочивающей ответственности в области планирования, построения, исполнения и контроля, обеспечивающей ком­плексное видение ИТ в целом. Концепции корпоративной архитектуры помогают определить ресурсы, необходимые для успешного выполнения процессов, то есть приложения, информацию, инфраструктуру и персонал.

Вкратце, для того, чтобы обеспечить организацию информацией, необходимой для достижения определен­ных бизнес целей, необходимо управлять ресурсами ИТ с помощью естественным образом сгруппированных ИТ процессов.

Но как организация может управлять сферой ИТ так, чтобы получать информацию, необходимую для своих корпоративных целей? Как управлять рисками и обеспечивать безопасность тех ИТ ресурсов, от которых организация столь зависима? Как организация может быть уверена в том, что ИТ достигает поставленных целей и поддерживает развитие бизнеса?

В первую очередь руководство нуждается в целях контроля, которые определяют основную цель внедрения политик, планов и процедур, а также в организационных структурах, призванных обеспечить:

-    достижение бизнес целей;

- предотвращение нежелательных событий или их выявление и исправление последствий.

Во-вторых, в сложных современных условиях, руководство постоянно находится в поиске ин­формации для быстрого и успешного принятия решений в отношении ценности активов, рисков и мер контроля. Что должно быть измерено, и каким образом? Организации нуждаются в объективных критериях оценки своего текущего состояния и тех улучшений, которые им требуются, а также в некотором инструментарии, с помощью которого руководство могло бы оценить эти улучшения.

Ответом на эти требования охарактеризовать и контролировать надлежащий уровень эффективности в сфере ИТ являются следующие определения, которые дает СОВГГ:

·            Сравнительный анализ эффективности и потенциала ИТ процессов, выраженный в виде моделей зрелости, полученных из Модели Зрелости и Потенциала (Capability Maturity Model, СММ). предло­женной Институтом по разработке программного обеспечения (Software Engineering Institute).

·            Цели и показатели ИТ процессов, необходимые для определения и оценки их результатов и эффек­тивности, основаны на принципах системы сбалансированных бизнес показателей, предложенной Робертом Капланом и Дэвидом Нортоном.

·            Цели действий для непосредственного управления ИТ процессами, основаны на целях контроля COBIT.

 

Оценка возможностей процесса, построенная на моделях зрелости COBIT является ключевой составляющей реализации управления ИТ. После выявления критичных ИТ процессов и мер контроля, модели зрелости помогут ликвидировать обнаруженные пробелы и продемонстрировать результаты руководству- После этого могут быть разработаны планы действий для того, чтобы вывести процессы на желаемый уровень эффективности. Таким образом, COBIT оказывает поддержку управлению ИТ. предоставляя необходимую методологию для обеспечения того, чтобы:

 

·               Сфера ИТ была приведена в соответствие с бизнесом

·               ИТ помогали бизнесу и максимизировали преимущества.

·               ИТ ресурсы использовались ответственно.

·               Осуществлялось надлежащее управление ИТ рисками.

 

Оценка эффективности является частью управления сферой ИТ. Оценка эффективности рассматривается в COBIT и включает в себя постановку и контроль целей (достижение которых поддается оценке), которые определяют результаты ИТ процессов и путь достижения этих результатов (потенциал процесса и эффек­тивность). В ходе многих исследований было установлено, что недостатки в области прозрачности затрат на ИТ, определения ценностей и рисков являются одним из основных стимулов к совершенствованию управления сферой ИТ. Тогда как другие области управления являются предметом оценки эффективности, прозрачность достигается в первую очередь с её помощью.

 

Насыщенность современного бизнеса информационными технологиями постоянно ставит перед руководителями вопросы эффективности ИТ, их перспектив и соответствия  мировым практикам и, главное, соответствия произведенным затратам и  результатам использования ИТ.

Информационные технологии с каждым годом все более усложняются и  поглощают огромные финансовые и временные ресурсы, при этом не всегда предоставляя ожидаемый адекватный эффект. Положительные аспекты сопровождаются новыми рисками, что усложняет работу высшего менеджмента и  требует дополнительного контроля. В этой связи в компаниях проводят аудит информационных технологий для того, чтобы оперативно получать систематизированную и достоверную информацию для оценки ИТ и принятия решений по управлению ИТ.

Целью ИТ-аудита является совершенствование системы контроля за ИТ. Для этого аудиторы:

·        содействуют  менеджерам в правильной организации управления ИТ;

·        осуществляют проведение периодических проверок;

·        помогают подготавливать нормативные документы;

·        осуществляют оценку рисков ИТ;

·        содействуют предотвращению и смягчению сбоев ИС;

·        участвуют в управлении рисками ИТ;

·        осуществляют «взгляд со стороны».

Аудит может осуществляться как внешними аудиторскими организациями, так и силами собственных специалистов. Внешние аудиторы акцентируют свое внимание на независимом подтверждении надежности и адекватности системы внутреннего контроля за ИТ, а внутренние аудиторы – на обеспечении эффективности системы внутреннего контроля ИТ. Для получения наиболее полной и актуальной информации о CobiT посетите www.isaca.org/cobit

 

Вопросам  аудита и внутреннего контроля за информационными системами посвящены несколько зарубежных стандартов аудита. В них отражены вопросы практики аудита, оценки рисков и надежности системы внутреннего контроля, техника проведения аудита с учетом использования современных информационных технологий. Одним из самых перспективных стандартов аудита является быстроразвивающийся стандарт CobiT.

Объекты контроля информационных и смежных технологий [Control Objectives for Information and related Technology (COBIT)]  представляет собой комплекс средств, который содержит всю информацию, необходимую для ИТ управления и контроля. В удобной и логичной форме CobiT обеспечивает специалистов надлежащей практикой, чтобы помочь оптимизировать ИТ и с точки зрения инвестиций, и успешного достижения целей в области бизнеса.

CobiT способствует решению проблем предприятий путем:

·        организации ИТ в общепринятые модели процессов, 

·        определения целей управления для  анализа,

·        установления измеряемых связей между требованиями бизнеса и ИТ–целями,

·        определения привлекаемых основных ИТ-ресурсов

·        предоставления инструментов для управления:

CobiT ориентирован на обеспечение  надлежащего управления и контроля ИТ. Он  согласован  с другими стандартами и оптимальной практикой и  действует как интегратор различных инструктивных материалов.

Преимущества использования  CobiT включают:

·        Улучшение согласования бизнеса и ИТ,

·        Взаимопонимание между всеми заинтересованными сторонами на основе общего языка,

·        Понимание того, что ИТ делает для управления бизнесом,

·        Широкое признание со стороны третьих лиц.

Для получения наиболее полной и актуальной информации о CobiT и смежных продуктах, о тематических исследованиях, подготовке кадров, бюллетенях и другой конкретной информации посетите www.isaca.org/cobit

 

Аудит информационных технологий (ИТ) позволяет ответить на вопросы эффективности ИТ, их перспектив и соответствия мировым практикам и, главное, соответствия произведенным затратам и результатам использования ИТ. Позволяет оперативно получить систематизированную и достоверную информацию для оценки ИТ и принятия решений по управлению ИТ.

В ходе проведения аудита аудиторы:

·        содействуют менеджерам в правильной организации управления ИТ;

·        осуществляют проведение периодических проверок;

·        помогают подготавливать нормативные документы;

·        содействуют предотвращению и смягчению сбоев ИС;

·        участвуют в управлении рисками ИТ;

·        осуществляют «взгляд со стороны».

 

На этом этапе исследуются цели и ИТ-архитектура предприятия. Определяются область ИТ и границы проводимого исследования.

Особенности использования инструментов рассматриваются в Описании Приложений. Определяются контрактные, законодательные, нормативные, промышленные или другие стандарты, а так же условия, при которых проект будет считаться завершенным.

Необходимо обратить пристальное внимание на следующие базовые позиции:

·            Изучение целей, задач, процессов и технологии бизнеса заказчика.

·            Выполнение анализа рисков.

·            Оценка внутренних средств контроля.

·            Определение объема и целей аудита.

·            Разработка подхода и стратегии аудита.

Основные процедуры, которые аудитор должен провести для изучения бизнеса, включают:

·               Рассмотрение основных возможностей организации в соответствующей сфере бизнеса.

·               Изучение публикаций по индустрии заказчика, годовых отчетов и отчетов независимых аналитиков.

·               Рассмотрение долговременного стратегического плана.

·               Проведение интервью с ключевым менеджментом заказчика (для изучения бизнес-проблем).

·               Рассмотрение предыдущих аудиторских отчетов.

По результатам проведения этапа "Обследование" заказчик получает отчет по данному этапу.

 

Планирование ИТ-аудита, как и любое другое планирование, состоит из краткосрочного и долгосрочного планирования.

Краткосрочное планирование применяется при реализации аудиторских проектов, связанных с оценкой текущих проблем. Такие проекты, как правило, длятся не более года. Долгосрочное планирование соответствует проектам, связанным со стратегическими изменениями ИТ-среды компании, со сроком выполнения свыше года.

Аудит у  конкретного заказчика  желательно проводить не реже одного раза в год, поскольку в течение года могут возникать новые задачи контроля, изменяться технологии и методы оценки. Результаты аудита должны быть представлены руководству заказчика для корректировки требований и условий конкретных аудиторских проектов — как краткосрочных, так и долгосрочных.

Соответственно, корректируются и  планы проведения ИТ-аудита. На изменение общего подхода к аудиторскому проекту может воздействовать и изменение требований к аудиту со стороны менеджмента заказчика (например, пересмотр шкалы рисков, связанных с возрастанием зависимости бизнес-процессов от ИТ-инструментов). Аудитор также должен принять во внимание графики внедрения/обновления систем, текущих и планируемых технологий, а также ограничения ресурсов заказчика.

На этапе планирования определяется руководитель проекта, окончательные требования по ресурсам, сроки выполнения аудита. Определяются методики, которые будут использоваться, разрабатываются детальные планы.

 

Вначале уточняется понимание процедуры проверки и целей, уточняются (корректируются) результаты этапа Обследование). Подготавливаются, согласовываются и  утверждаются  тесты для схем контроля.

На этом этапе выполняются следующие виды работ:

1. Идентификация существующих механизмов управления и документирование процедур (сбор и первичный анализ информации);

2. Оценка эффективности существующих механизмов управления при выполнении задач управления, их целесообразность и пригодность;

3. Тест соответствия (получение гарантий пригодности существующих механизмов управления для решения задач управления);

4. Детальное тестирование с целью выполнения корректирующих действий для улучшения состояния системы управления ИТ.

5. Документирование  воздействия недостатков контроля, разработка и предоставление общих  выводов  и рекомендаций.

Самый длительный этап аудита — этап сбора информации. Без получения достоверных и полных исходных данных аудит будет неполноценным. К сожалению, в российских компаниях редко встречается сколько-нибудь полная документация по корпоративной информационной системе, поэтому большая часть данных аудитором добывается «вручную», по результатам бесед с теми или иными должностными лицами.

После сбора данных и подготовки промежуточной документации аудиторы переходят к анализу данных.

Результаты ИТ-аудита компании классифицируются на три группы:

· Организационные – планирование, управление, документооборот функционирования ИС.

· Технические – сбои, неисправности, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т.д

· Методологические – подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.

Проведенный ИТ-аудит позволит обоснованно создать следующие документы:

· Основные документы: Отчет о результатах ИТ-аудита компании.

· Дополнительные документы (документы, которые могут быть разработаны по согласованию сторон в дополнение к основным): Отчет о текущем состоянии ИТ/ИС, План-график проведения последующих ИТ-аудитов и т.п.

Результирующие документы могут иметь сокращенную и полную редакции. Документ в сокращенной редакции – это документ, содержащий основные итоги и рекомедации по тематике ИТ-аудита и предназначенный для топ-менеджеров компании. Документ в полной редакции – это документ с подробным изложением материала, предназначенный для менеджеров среднего звена и ИТ-спецалистов.

 

Аудит информационных технологий (ИТ) позволяет ответить на вопросы эффективности ИТ, их перспектив и соответствия мировым практикам и, главное, соответствия произведенным затратам и результатам использования ИТ. Позволяет оперативно получить систематизированную и достоверную информацию для оценки ИТ и принятия решений по управлению ИТ.

В ходе проведения аудита аудиторы:

· содействуют менеджерам в правильной организации управления ИТ;

· осуществляют проведение периодических проверок;

· помогают подготавливать нормативные документы;

· содействуют предотвращению и смягчению сбоев ИС;

· участвуют в управлении рисками ИТ;

· осуществляют «взгляд со стороны».

Результаты, получаемые в ходе ИТ-аудита можно разбить на три группы:

1. Организационные, касающиеся планирования, управления и документооборота функционирования ИС. Они помогают определить четкую политику, содействовать эффективной практике управления ИТ.

2. Технические, касающиеся сбоев, неисправностей, оптимизации работы элементов ИС, непрерывности обслуживания, создания инфраструктуры и т.д.

3. Методологические, связанные с подходами к решению проблемных ситуаций, управлению и контролю, с общей упорядоченностью и структуризацией. Они также являются отправной точкой для увязки практики с требованиями бизнеса.

Проведенный ИТ-аудит позволит обоснованно создать как минимум три документа:

1. Отчет о результатах ИТ-аудита компании.

2. Отчет о текущем состоянии ИТ/ИС.

3. План-график проведения последующих ИТ-аудитов и т.п.

Документы   содержат основные итоги и рекомендации по теме проведенного ИТ-аудита и предназначены для топ-менеджеров компании, для менеджеров среднего звена и ИТ-спецалистов. Аудиторский отчет является основным результатом проведения аудита. Структура отчета может существенно различаться в зависимости от характера и целей проводимого аудита.

 

За последние годы сотрудниками Института выполнены или выполняются на данный момент практические работы по аудиту информационных систем, в том числе:

· Технический аудит решений, принимаемых при разработке и вводе в эксплуатацию Единой информационно-телекоммуникационной системы ОВД (2006-2009гг.);

· Полный аудит создания Государственной системы паспортно-визовых документов нового поколения (2009 г.)

Этот комплекс является своеобразной базой знаний об аудите ИТ, построенной на основе «IT ASSURANCE GUIDE: USING CobiT». Опыт показал, что существующие публикации о стандарте CobiT и его конкретном применении носят общий, расплывчатый  характер, что  не позволяет использовать их в качестве практических руководств. Разработанный комплекс построен таким образом, что предоставляет пользователю методологически выверенную последовательность этапов и шагов аудита, адаптированные к практическому применению опросники, использует инструментарий для обработки информации на определенных шагах аудита.

Основной целью Комплекса является информационная, методологическая и инструментальная поддержка работ по аудиту, выполняемых в соответствии со стандартом COBiT.

 

· Наличие четкой и опробованной  на практике  методики   проведения аудита в соответствии с требованиями стандарта COBiT. Это позволяет группе внутреннего аудита Заказчика не тратить время (и средства) на создание собственной структуры аудита, т.е. на адаптацию рекомендаций стандарта COBiT.

· Наличие опробованных на практике опросников, позволяющих построить собственную систему опроса, адаптированную к нуждам конкретного предприятия.

· Практически выверенное использование инструментария для обработки информации на определенных шагах аудита (оценка зрелости высокоуровневых процессов, оценка контрольных целей и т.д.).

· Использование Комплекса «Аудит» дает возможность проводить аудит ИТ на предприятии собственными силами, т.е. силами собственных сотрудников, не прибегая к дорогостоящим услугам сторонних организаций. Это особенно важно, когда предприятие только начинает работы по аудиту ИТ, когда многие проблемы «лежат на поверхности», что характерно для сегодняшнего состояния ИТ в большинстве российских фирм.