1 задание. Вадим Алджанов итархитектура от а до Я Теоретические основы. Первое

PCAOB Auditing Standard No. 5 «An Audit of Internal Control over Financial Reporting That Is
Integrated with an Audit of Financial Statements»
Действующая редакция стандарта разработана и выпущена организацией «The Public
Company Accounting Oversight Board» (PCAOB) в 2007 году. Организация The Public Company
Accounting Oversight Board (PCAOB) была создана законом Сарбейнза-Оксли в 2002 году как некоммерческая организация для контроля аудиторских проверок компаний, представленных на американских биржах, в целях защиты интересов инвесторов при подготовке независимого аудиторского заключения. Стандартом аудита PCAOB N. 5 «An Audit of Internal Control Over
Financial Reporting That Is Integrated with An Audit of Financial Statements» определяются требования по включению проверок ИТ-процессов и ИТ-систем в объем обязательных аудиторских процедур при проведении внешнего финансового аудита. Согласно стандарту, при проведении аудита контролей, связанных с подготовкой финансовой отчетности, аудитор должен получить понимание того, как используемые информационные системы и технологии оказывают влияние на процесс формирования финансовой отчетности. Аудитор также должен понимать какие контроли выполняются вручную, а какие реализованы на уровне информационных систем – автоматизированные контроли, в том числе как выполняются общие ИТ-контроли, которые важны для эффективной работы автоматизированных контролей. Эта информация должна быть учтена при оценке рисков искажения финансовой информации, обрабатываемой в информационных системах.
«ISO/IEC 27007: Guidelines for information security management systems auditing» и «ISO/IEC
TR 27008: Guidelines for auditors on information security management systems controls»
Стандарты опубликованы международной организацией ISO/IEC в 2011 году. Целевой аудиторией стандартов являются специалисты в области информационной безопасности и ИТ-аудита, планирующие проведение compliance-аудита на соответствие требованиям стандартов ISO27001 и ISO27002. Цель стандартов – дать оценку соответствует ли организация/подразделение требованиям, изложенным в ISO/IEC 27001 и ISO/IEC 27002.
Стандарты включают описание следующих аспектов аудита:
•Управление аудиторской проверкой.
•Непосредственное проведение аудита (планирование, проведение, ключевые активности, включая выборки и анализ, отчетность и последующий контроль исполнения).
•Управление командой аудиторов (поддержание компетенций и навыков, оценка членов команды).
Недостатком данных стандартов является отсутствие оценки рисков и последующей определением приоритетов контролей при планировании и проведении проверки. Тем не менее, стандарты удобны при подготовке к compliance-аудиту на соответствие стандартам ISO/IEC
27001 и ISO/IEC 27002.
Перечень контролей с применением COBIT v5
Control Objectives for Information and Related Technology (COBIT) представляет собой набор открытых документов, международных стандартов и руководств в области управления ИТ, аудита и информационной безопасности. Буквально на русский язык COBIT переводится как
«Контрольные Объекты для Информационных и смежных Технологий», но в некоторых изданиях встречается более привычный для русского уха «Цели контроля для информационных и смежных технологий».

Основной целью COBIT является управление ИТ. Управление ИТ в свою очередь является неотъемлемой частью корпоративного управления. Корпоративное управление – комплекс управленческих решений и практик, применяемых высшим руководством с целью:
•определения стратегического направления;
•обеспечения достижения целей;
•адекватного управления рисками;
•эффективного использования корпоративных ресурсов.
Корпоративное управление и управление ИТ требуют баланса между целями, связанными с необходимостью соответствия требованиям и повышения эффективности, установленными высшим руководством. Ответственность за корпоративное управление лежит на Совете директоров и высшем руководстве.
В COBIT используется термин заинтересованные стороны. В первую очередь к ним относятся:
•Совет директоров и высшее руководство – определение направлений развития ИТ, оценка результатов и требования по исправлению недостатков;
•Руководители бизнес-подразделений – определение бизнес-требований к ИТ, обеспечение достижения пользы от ИТ и управление рисками;
•Руководство ИТ-служб – обеспечение и совершенствование ИТ-услуг в соответствии с требованиями бизнеса;
•Внутренний аудит и Служба внутреннего контроля – обеспечение независимой оценки, того, что ИТ предоставляет требуемые услуги;
•Управление рисками и Compliance – оценка соответствия нормативным документам с учетом рисков.
Основные принципы COBIT
Первый принцип COBIT – цели бизнеса и ИТ должны быть взаимосвязаны, но лидером этих
«отношений» являются цели бизнеса, система контроля ИТ должна быть избирательной, то есть определять основные ресурсы ИТ и работать с ними; цели контроля должны быть четко определены.
Второй принцип COBIT – использование процессного подхода.
Определение целей, пожалуй, является одной из самых сложных и важных задач.
В глобальном смысле руководство и менеджеры преследуют две цели – достижение поставленных бизнес-целей и предотвращение нежелательных событий (или исправление их последствий). Например, инвестирование средств в систему резервного копирования никак не поможет напрямую бизнесу, то есть не принесет ему непосредственной выгоды. Но оно сможет помочь в случае сбоя для быстрого восстановления информации и нормального функционирования. Другой немаловажный вопрос для руководства – где необходимы улучшения, сколько нужно в них инвестировать и как измерить результат? COBIT дает руководству ИТ методологию для поиска ответов на указанные вопросы. Ключевой составляющей управления ИТ является оценка процесса на основе предлагаемых COBIT моделях зрелости. Ресурсы ИТ используются для обеспечения и поддержки процессов ИТ. Процессы ИТ работают с корпоративной информацией и производят ее. Результатом цикла является соответствие корпоративной информации требованиям бизнеса.
COBIT выделяет следующие корпоративные требования к информации:
•полезность (результативность) – информация является значимой и имеет отношение к бизнес-процессам. Она получается регулярно, корректно, последовательно и в удобном виде;
•эффективность – информация получается посредством оптимального использования ресурсов;
•конфиденциальность – информация защищена от несанкционированного доступа и использования;
•целостность – исключено изменение информации субъектами, не имеющими на нее прав;
•доступность – субъекты, имеющие право доступа к информации, могут реализовывать его беспрепятственно;

•соответствие – информация соответствует законам, регулирующим актам и условиям контрактов.
•достоверность – руководству предоставляется вся необходимая информация для выполнения им своих обязанностей.
Еще одним ключевым понятием в COBIT является контроль.
Контроль (Control) – политики, процедуры, практики и организационные структуры, созданные для обеспечения разумной уверенности в том, что бизнес-цели будут достигнуты, нежелательные события предотвращены, а их последствия идентифицированы и исправлены.
Цель контроля (Control Objective) – для каждого процесса COBIT описывает одну высокоуровневую и несколько детальных целей контроля, являющихся, по сути, характеристиками «идеального процесса».
Практика контроля (Control Practice) – основной механизм контроля, поддерживающий достижение целей контроля за счет ответственного использования ресурсов, должного управления рисками и обеспечения соответствия ИТ целям бизнеса.
Методология контроля (Control Framework) – набор фундаментальных мер контроля, которые помогают участникам бизнес-процесса предотвратить финансовые и информационные потери организации.
Согласно рекомендации, COBIT v5 можно определить следующие ключевые этапы и контроли, а также возможные метрики показателей эффективности:
Оценка, Управление и Мониторинг (Evaluate, Direct and Monitor)
EDМ01: Ensure Governance Framework Setting and Maintenance
EDМ02: Ensure Benefit Delivery
EDМ03: Ensure Risk Optimization
EDМ04: Ensure Resource Optimization
EDМ05: Ensure Stakeholder Transparency
Соответствие, Планирование и Оптимизация (Align, Plan and Optimization)
APO1: Manage the IT Management Framework
APO2: Manage Strategy
APO3: Manage Enterprise Architecture
APO4: Manage Innovation
APO5: Manage Portfolio
APO6: Manage Budget and Costs
APO7: Manage Human Resources
APO8: Manage Relationships
APO9: Manage Service Agreements
APO10: Manage Suppliers
APO11: Manage Quality
APO12: Manage Risk
APO13: Manage Security
Построение, Закупка и Внедрение (Build, Acquire and Implement)
BAI01: Manage Programmers and Projects
BAI02: Manage Requirements Definition
BAI03: Manage Solutions Identification and Build
BAI04: Manage Availability and Capacity
BAI05: Manage Organizational Change Enablement
BAI06: Manage Changes
BAI07: Manage Change Acceptance and transitioning
BAI08: Manage Knowledge
BAI09: Manage Assets
BAI010: Manage Configuration

Доставка, Обслуживание и Сопровождение (Deliver, Service and Support)
DSS01: Manage Operations
DSS02: Manage Service Requests and Incidents
DSS03: Manage Problems
DSS04: Manage Continuity
DSS05: Manage Security Services
DSS06: Manage Business Process Controls
Мониторинг и Оценка (Monitor, Evaluate and Assess)
МEA01: Monitor, Evaluate and Assess Performance and Conformance
МEA02: Monitor, Evaluate and Assess the System of Internal Control
МEA03: Monitor, Evaluate and Assess Compliance with External Requirements
Принцип управления состоит из следующих цепочек действий:
Бизнес требования
Governance (EDM): – Оценка – Указание – Мониторинг состояния
Management: Планирование (APO) – Создание (BAI) – Сопровождение (DSS) – Мониторинг
(MEA)
В отличие от версии 4.1 добавлены процессы управления рисками (Risk IT) и стоимостью
(Val IT). Кроме этого изменена оценка показателей.
Бизнес Требования:
Результативность (Effectiveness) – ориентация на результат
Эффективность (Efficiency) – цена результата, КПД
Конфиденциальность (Confidentiality)
Целостность (Integrity)
Доступность (Availability)
Соответствие (Compliance)
Надежность (Reliability)
К ресурсам ИТ, согласно COBIT, относятся:
•приложения – прикладные системы и ручные процедуры для обработки информации;
•информация – данные в любой форме, введенные, обработанные и выведенные информационными системами в любой используемой бизнесом форме;
•инфраструктура – технологии и технические средства
(аппаратное обеспечение, операционные системы, СУБД, сетевое оборудование), которые обеспечивают работу приложений.

•персонал – люди и их квалификация, необходимые для планирования, организации, приобретения, внедрения, работы, обслуживания, мониторинга и оценки информационных систем и ИТ-услуг. Персонал может быть внутренним и внешним.
Метрики контролей с применением COBIT v5
В данном разделе представлены возможные метрики для контролей.
Соответствие, Планирование и Оптимизация (Align, Plan and Optimization)
Возможные показатели:
Количество конфликтов в ответственности при обзоре распределения ответственности
(segregation of duties)
Процент персонала, компетентного для выполнения своих обязанностей
Процент различия бюджета (выделенного к запланированному полному)
Процент ИТ бюджета, выделенного на оценку рисков
Процент ИТ функций, связанных с бизнесом
Процент ИТ инициатив и проектов, принятых бизнесом
Процент ИТ целей, напрямую соответствующих целям бизнеса
Процент ИТ сервисов, чья стоимость рассчитана и документирована
Процент ИТ сервисов, прошедших оценку соответствия качества (Quality Assurance)
Процент проектов, удовлетворяющих ожиданиям владельцев бизнеса
Процент проектов, соответствующих бюджету
Процент проектов, соответствующих срокам
Процент проектов, соответствующих заявленному качеству
Процент проектов, прошедших оценку после завершения
Процент проектов, с заранее рассчитанными показателями выгоды (ROI)
Процент резервных компонентов инфраструктуры
Процент повторного использования имеющихся элементов инфраструктуры в проектах
Процент повторных инцидентов
Процент ролей с документированными правами и обязанностями
Процент сервисов, не соответствующих утвержденной ИТ архитектуре
Процент сервисов, не соответствующих выбранной технологической платформе
Процент владельцев бизнеса, удовлетворенных качеством ИТ сервисов
Процент владельцев бизнеса, понимающих ИТ политики
Процент изменений, внесенных в операционные планы
Соотношение (актуального и запланированного) ИТ персонала и ИТ сервиса третьих сторон
Среднее соотношение управляемых ИТ департаментом и всех компонентов инфраструктуры
Задержка между обновлением стратегических и операционных планов
Частота обзора инфраструктуры и архитектуры на соответствие
Частота обзора механизмов контролей
Частота обзора со стороны управления и оценки рисков
Соотношение переработки сотрудников ИТ к регулярному рабочему времени
Построение, Закупка и Внедрение (Build, Acquire and Implement)
Возможные показатели:
Проблемы с приложениями, приведшими к видимым простоям
Ошибки или дефекты приложений в «рабочей» среде
Количество бизнес приложений (процессов) обслуживаемых «устаревшей» инфраструктурой
Количество различных технических платформ
Компоненты инфраструктуры более не поддерживаемые
Процент приложений с адекватным уровнем пользовательской и операционной поддержкой
(обучением)
Процент времени, затрачиваемого разработчиками на сопровождение приложений
Процент изменений, внедренных без формального одобрения комитетом
Процент компонентов инфраструктуры, закупленных в обход установленных процедур
Процент владельцев бизнеса довольных поставщиками

Процент запросов на закупку, выполненных «предпочтительными» поставщиками
Процент проектов, выполненных в срок и установленный бюджет
Процент систем, не удовлетворяющих принятым техническим стандартам
Процент пользователей, удовлетворенных предоставляемой функциональностью систем
Количество «переделок», выполненных после внедренных изменений
Стоимость создания пользовательских материалов, процедур и т п
Удовлетворенность пользовательскими материалами, процедурами и т п
Сроки разработки и внедрения приложений
Разрыв по времени между изменениями, внесенными в инфраструктуру и обновление документации и обучения
Доставка, Обслуживание и Сопровождение (Deliver, Service and Support)
Возможные показатели:
Различия между документированным и текущим состоянием компонентов инфраструктуры
Количество инцидентов, связанных с физической безопасностью
Количество инцидентов, связанных с несоответствием с требованиями
Количество инцидентов, связанных с нарушением уровня доступа к инфраструктуре
Количество инцидентов, связанных c доступам к данным или их утечкой
Количество сервисных соглашений SLA с не соответствующим сопровождением, по отношению ко всем SLA
Количество часов обучения к количеству всего персонала
Нарушения в распределении прав доступа
Процент главных поставщиков, действия которых требует мониторинга
Процент приложений, не соответствующих требованиям политики паролей
Процент изменений в бюджете (план-факт)
Процент критических бизнес приложений (процессов), не покрываемых планом по управлению доступностью
Процент сервисов, не внесенных в сервисный каталог
Процент ИТ расходов, вызывающих вопросы со стороны бизнеса
Процент лицензий, закупленных, но не учтенных в конфигурационной депозитарии
Процент вне плановых отказов (доступности) сервисов в следствии инцидентов
Процент персонала, прошедших обучение по безопасности, обеспечению жизнедеятельности и т п
Процент запланированных работ, не выполненных в срок
Процент сервисов предоставляющих автоматическую отчетность (уровень автоматизации)
Процент сервисов реально измеряемые
Процент данных, удачно восстановленных
Процент систем и сервисов, не удовлетворяющих требованиям
Информационной
Безопасности
Количество запросов, выполненных не своевременно
Процент пользователей, не соответствующих требованиям политики паролей
Соотношение реальных операционных расходов к запланированным
Время простоя систем в следствии отказа физических компонентов инфраструктуры
Среднее количество часов обучения для ИТ персонала
Среднее время для восстановления единицы данных
Среднее время на между обнаружением несоответствия и его исправлением
Простои в следствии несоблюдения операционных процедур
Простои в следствии неадекватности операционных процедур
Частота (в днях) проведения оценки рисков
Частота (в днях) проведения распределения ИТ расходов
Частота (в днях) проведения тестирования резервных и архивных копий
Частота (в днях) обновления операционных процедур
Частота (в днях) обзора плана непрерывности бизнеса
Определение стоимости компонентов инфраструктуры за определённый период
Удовлетворенности пользователей уровнем доступности данных