Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Обучение от Mail.Ru Group.
Онлайн-университет
для программистов с
гарантией трудоустройства.
Набор открыт!

Стандарт CobiT.
Управление и аудит информационных технологий.
Особенности проведения внешнего аудита ИТ.

Сергей Гузик (руководитель рабочей группы ISACA.ru)

Принципы аудита ИТ, стандарт CobiT

Принципы аудита CobiT — книга стандарта, которая в большей степени ориентирована на аудит ИТ-процессов, чем на аудит конкретных функций или приложений. CobiT состоит из высокоуровневых целей контроля (определенных для ИТ-процессов организации), которые охватывают все параметры информационных систем и применяемых информационных технологий, учитывают цикл жизни и специфические задачи, решаемые ИТ.

CobiT Advisor 3rd Edition (Audit)

Цель написания программного продукта "CobiT Advisor" — максимально облегчить проведение аудита ИТ. Основываясь на открытом стандарте CobiT, программа Advisor обновляется в соответствии с редакциями стандарта. На основании изменений и дополнений третьего издания стандарта CobiT в "CobiT Advisor" были внесены соответствующие изменения. Программный продукт был дополнен 16 новыми объектами контроля и новыми формами отчетов. "CobiT Advisor" представляет собой базу данных Foxpro, структурированную в соответствии с 34 процессами и 318 объектами контроля стандарта CobiT, которая позволяет хранить, обрабатывать и предоставлять информацию о результатах проведения аудита в форме отчетов в различных форматах (например, MS Word, Excel).

Одним из типовых отчетов являются модели зрелости, которые можно построить как для каждого процесса управления ИТ, так и для совокупной модели зрелости всех ИТ-сервисов организации (Рис. 8).

Этика аудитора ИТ

Для обеспечения высокого качества оказания услуг, обеспечения профессионализма аудиторов ИТ и разрешения сложных этических ситуаций, возникающих в процессе аудита ИТ, ассоциация ISACA определила основные требования к аудитору ИТ. Они описаны в "Этическом кодексе аудитора".

Этический кодекс аудитора (Ассоциация ISACA)

  1. Содействовать приведению информационных систем в соответствие с принятыми стандартами и руководствами;
  2. Осуществлять свою деятельность в соответствии со стандартами в области аудита информационных систем, принятыми THE INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA);
  3. Действовать в интересах работодателей, акционеров, клиентов и общества в старательной, лояльной и честной манере;
  4. Сознательно не принимать участия в незаконной, либо недобросовестной деятельности;
  5. Сохранять конфиденциальность информации, полученной при выполнении своих должностных обязанностей;
  6. Не использовать конфиденциальную информацию для получения личной выгоды и не передавать ее третьим лицам без разрешения ее владельца;
  7. Выполнять свои должностные обязанности, оставаясь независимым и объективным;
  8. Избегать деятельности, которая ставит под угрозу независимость аудитора;
  9. Поддерживать на должном уровне свою компетентность в областях знаний, связанных с проведением аудита информационных систем, принимать участие в профессиональных мероприятиях;
  10. Проявлять добросовестность при получении и документировании фактографических материалов, на которых базируются выводы и рекомендации аудитора;
  11. Информировать все заинтересованные стороны о результатах проведения аудита;
  12. Способствовать повышению осведомленности руководства организаций, клиентов и общества в вопросах, связанных с проведением аудита информационных систем;
  13. Соответствовать высоким этическим стандартам в профессиональной и личной деятельности;
  14. Совершенствовать свои личные качества.

Структура принципов аудита CobiT

Для каждого ИТ-процесса, определенного CobiT, в Принципах аудита представлена следующая информация.

Секция высокого уровня принципов аудита CobiT отражает:

  • Название бизнес-процесса;
  • Требования бизнеса (Объекты контроля высокого уровня);
  • Как осуществлять контроль;
  • Что учитывать.

Для перехода на уровень детального аудита ИТ-процесса:

  • Детальные объекты контроля;
  • Как понять ИТ-процесс (кому задавать вопросы);
  • Как оценить контроль ИТ-процесса;
  • Как оценить соответствие этого контроля — управлению;
  • Как доказать риск не выполнения целей управления.

На практике при проведении аудита для каждого ИТ-процесса ИТ-аудитору, как минимум необходимо выполнить следующую работу:

  1. Определить высокоуровневый объект контроля;
  2. Определить ИТ-процесс;
  3. Проанализировать границы аудита;
  4. Определить детальные объекты контроля;
  5. Провести интервью с сотрудниками (ориентировочные названия должностей для каждого объекта контроля приведены в принципах управления);
  6. Назначить задания на оценку средств контроля (Принято ли во внимание ...);
  7. Оценить соответствие;
  8. Проверить доказательства.

Таблица 1. Применение книг стандарта CobiT при проведении аудита ИТ

Уровень 1 Базовый уровень аудита ИТ

Структура CobiT

Принципы аудита CobiT (стр. 22-24,29):

  • Требования процесса аудита
  • Контроль
  • Общие принципы аудита

Уровень 2 Процессы, описанные в принципах аудита

Принципы аудита CobiT (основная часть)

Уровень 3 Аудит дополнительных целей контроля

Специфические условия:

  • Специализированные отраслевые критерии
  • Промышленные стандарты
  • Требования производителей элементов инфраструктуры
  • Применение детальных методов контроля

Новости мира IT:

Архив новостей

Последние комментарии:

Релиз ядра Linux 4.14  (6)
Пятница 17.11, 16:12
Apple запустила Pay Cash (2)
Четверг 09.11, 21:15
Loading

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 985 1945361
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2015 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...