Главная страница
Навигация по странице:

  • ISACA - ассоциация аудита и контроля информационных систем

  • CoBiT - контрольные объекты информационной технологии

  • Практика проведения аудита информационной системы

  • Требования к представлению информации

  • Вопросы для самостоятельного изучения (СРС)

  • Список учебно-методической и дополнительной литературы

  • кк. Лекция 1. Лекция 1 Аудит информационной системы Дидактические единицы


    Скачать 123.24 Kb.
    НазваниеЛекция 1 Аудит информационной системы Дидактические единицы
    Дата19.04.2022
    Размер123.24 Kb.
    Формат файлаdocx
    Имя файлаЛекция 1.docx
    ТипЛекция
    #485159

    Лекция №1 «Аудит информационной системы»
    Дидактические единицы

    ДЕ 1.1. Анализ соответствия ИС стратегии и бизнес-процессам.

    ДЕ 1.2. Анализ качества используемых информационных продуктов.
    Содержание

    Это направление аудита должно иметь целью сформулировать понятие о том, отвечает ли потребностям авиационно-промышленного предприятия функционирующая информационная система (ИС).

    В ходе аудита ИС необходимо выполнить следующие работы:

    • анализ соответствия существующей АСУ бизнес-процессам предприятия (включает в себя анализ организационной структуры предприятия, иерархический связей; анализ внутреннего документооборота и системы учета; анализ соответствия модулей используемой АСУ реальным потребностям подразделений);

    • анализ существующих информационных сервисов и поддерживающих их программных продуктов;

    • исследование существующей ИТ-инфраструктуры на предмет соответствия информационной системы заложенным требованиям, стоимости сопровождения и развития ИС, соответствия ИТ-процессов стандартам ISO 9000, обеспечения информационной безопасности;

    • определение проблемных мест ИТ-инфраструктуры;

    • анализ производительности системы, полноты ее функциональности, безопасности, целостности ИТ-процессов и других показателей;

    • выработка рекомендаций по улучшению ИТ-инфраструктуры.

    Результатом аудита ИС должно являться описание выявленных несоответствий между ИТ-инфраструктурой и потребностями производства авиационной техники, существующих проблем и рисков развития ИТ-инфраструктуры, а также рекомендации по устранению выявленных проблем с оценкой затрат на выполнение предложенных рекомендаций и планом работы.

    Полученные рекомендации по оптимизации и дальнейшему развитию АСУ кладутся в основу для построения стратегии автоматизации авиационного предприятия и определения наиболее эффективных путей вложения в ИТ.

    ISACA - ассоциация аудита и контроля информационных систем

    Подход к предоставлению аудита информационной системы как отдельной самостоятельной услуги с течением времени упорядочился и стандартизировался. Крупные и средние консалтинго-аудиторские компании образовали ассоциации - союзы профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением стандартов аудиторской деятельности в сфере ИТ. Как правило, это закрытые стандарты, тщательно охраняемое "ноу-хау". Однако существует ассоциация ISACA, занимающаяся открытой стандартизацией аудита информационных систем (www.isaca.org). Ассоциация основана в 1969 году и в настоящее время объединяет около 20 тыс. членов более чем из 100 стран, в том числе и России, где создано ее отделение. Ассоциация координирует деятельность свыше 12 тыс. аудиторов информационных систем.

    Основная декларируемая цель ассоциации -- исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем.

    CoBiT - контрольные объекты информационной технологии

    В помощь профессиональным аудиторам, руководителям отделов информационно-технической поддержки, администраторам и заинтересованным пользователям ассоциацией ISACA и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан открытый стандарт CoBiT, первое издание которого в 1996 году было продано в 98 странах и облегчило работу профессиональных аудиторов в сфере информационных технологий. Стандарт (рис. 1) связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий получить адекватное представление о целях и задачах информационной системы, учитывая все особенности информационных систем любого масштаба и сложности.


    Рис. 1. Структура стандарта CoBiT

    Основополагающее правило, положенное в основу CoBiT, следующее: ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией.

    Какие же ресурсы и критерии их оценки используются в стандарте CoBiT?

    Людские ресурсы - под людскими ресурсами понимаются не только сотрудники организации, но такжет ее руководство и контрактный персонал. Рассматриваются навыки штата, понимание им задач и производительность его работы.

    Приложения - производственное ПО.

    Технологии - аппаратные средства, операционные системы, базы данных, системы управления информационной системой и т. д.

    Оборудование - все аппаратные средства информационной системы организации с учетом их обслуживания.

    Данные - данные в самом широком смысле: внешние и внутренние, структурированные и не структурированные, графические, звуковые и т. д.

    Все эти ресурсы оцениваются CoBiT на каждом из этапов построения или аудита информационной системы по следующим критериям:

    эффективность - уместность информации и ее соответствие задачам бизнеса;

    технический уровень - соответствие стандартам и инструкциям;

    безопасность - защита информации;

    целостность - точность и законченность информации;

    пригодность - доступность информации, потребной для бизнес-процессов в настоящем и будущем, защита необходимых и сопутствующих ресурсов;

    согласованность - исполнение законов, инструкций и договоренностей, влияющих на бизнес-процесс, т. е. внешних требований к бизнесу;

    надежность - достоверность информации, предоставляемой руководству организации, осуществление соответствующего управления финансированием и согласованность должностных обязанностей.

    CoBiT базируется на стандартах аудита ISA и ISACF, но включает и другие международные стандарты, в том числе принимая во внимание все утвержденные ранее стандарты и нормативные документы: технические стандарты, кодексы, профессиональные стандарты, требования и рекомендации, требования к банковским услугам, системам электронной торговли и производству.

    Стандарт CoBiT может применяться как для аудита информационной системы организации, так и на этапе ее проектирования. Если в первом случае проверяется соответствие текущего состояния информационной системы передовой практике аналогичных организаций и предприятий, то во втором использование стандарта позволяет спроектировать информационную систему, стремящуюся к идеальному соотношению "цена/качество".

    На рис. 2 отражена последовательность и взаимосвязь базовых операций аудита. Бизнес-процессы предъявляют свои требования к ресурсам информационной системы, которые анализируются с использованием критериев оценки CoBiT на всех этапах проведения аудита.


    Рис. 2. Общая последовательность проведения аудита

    Четыре базовые группы (домены) содержат в себе 34 подгруппы, которые в свою очередь состоят из 302 объектов контроля. Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии информационной системы.

    Отличительными чертами CoBiT являются большая зона охвата (все задачи, от стратегического планирования и основополагающих документов до анализа работы отдельных элементов информационной системы), наличие перекрестного аудита (перекрывающиеся зоны проверки критически важных элементов), адаптируемость, наращиваемость стандарта.

    В области стандартизации аудита информационных систем существуют многочисленные западные, а также российские разработки, однако CoBiT отличает прежде всего возможность относительно легкой адаптации к особенностям российских информационных систем и то обстоятельство, что стандарт легко масштабируется и наращивается. CoBiT позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные.

    Практика проведения аудита информационной системы

    Представленная на рис. 2 блок-схема отражает ключевые точки проведения аудита.

    На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита. Они могут быть обусловлены критическими точками информационной системы (элементами, в которых наиболее часто возникают проблемные ситуации), либо принимается решение о проведении полного аудита с последующей углубленной проверкой выявленных проблем. В это же время создается команда проведения аудита, определяются ответственные лица со стороны заказчика, создается и согласовывается необходимая документация.

    Далее проводится сбор информации о текущем состоянии информационной системы в соответствии со стандартом CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования информационной системы, как в двоичной форме (Да/Нет), так и в форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т. д.) на получение информации и ее актуальностью.

    Анализ - наиболее ответственная часть аудита. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации имеются в стандарте CoBiT, но если их не хватает, не возбраняется использовать разрешенные ISACA разработки других компаний.

    Результаты проведенного анализа становятся базой для выработки рекомендаций, которые после предварительного согласования с заказчиком должны быть проверены на выполнимость и актуальность с учетом рисков внедрения.

    Контроль выполнения рекомендаций - немаловажный этап, требующий непрерывного отслеживания представителями консалтинговой компании хода выполнения рекомендаций.

    На этапе разработки дополнительной документации создаются документы, отсутствие которых, например документов, содержащих углубленное рассмотрение вопросов обеспечения безопасности информационной системы, может вызвать сбои в ее работе.

    Постоянное проведение аудита гарантирует стабильность функционирования информационной системы, поэтому создание плана-графика последующих проверок является одним из результатов профессионального аудита.

     Организационные мероприятия

     Технические мероприятия

     Методологические мероприятия

     Оценка стратегического планирования ИС, архитектуры, технологического направления

     Понимание проблем, сбоев, узких мест информационной системы организации

     Предоставление апробированных подходов к стратегическому планированию и прогнозированию

     Общее управление ИС

     Оценка технологических решений

     Оптимизация документооборота отдела информационно-технической поддержки

     Повышение конкурентоспособности организации

     Оценка инфраструктуры

     Повышение трудовой дисциплины

     Проверка соответствия ИС задачам бизнеса

     Комплексное решение вопросов безопасности

     Обучение администраторов и пользователей ИС

     Обоснование, управление и оценка инвестиций в ИС

     Разработка путей решения проблем, минимизация затрат на разрешение проблемных ситуаций

     Предоставление методов получения своевременной и объективной информации о текущем состоянии ИС организации

     Снижение стоимости владения ИС

     Профессиональный прогноз функционирования и необходимости модернизации ИС

     

     Управление качеством

     Реализация всего потенциала новых технологий

     

     Управление проектами, выполняемыми в рамках ИС

     Повышение эффективности функционирования информационной системы

     

     Управление рисками

     Расширение функциональности ИС

     

     Снижение затрат на обслуживание ИС

     Оценка работы сторонних организаций

     

     

     Определение уровней обслуживания ИС

     

    Требования к представлению информации

    Применение стандарта CoBiT гарантирует соблюдение требований к представлению информации при проведении аудита, разработанных и принятых ассоциацией ISACA.

    Основное требование - полезность информации. Чтобы информация была полезной, она должна обладать определенными характеристиками:

    Понятность. Информация должна быть понятной для пользователя, который обладает определенным уровнем знаний, что не означает, однако, исключения сложной информации, если она необходима.

    Уместность. Информация является уместной, если она влияет на решения пользователей и помогает им оценивать прошлые, настоящие или будущие события или подтверждать или исправлять прошлые оценки. На уместность информации влияет ее содержание и существенность. Информация является существенной, если ее отсутствие или неправильная оценка могут повлиять на решение пользователя. Еще одна характеристика уместности -- своевременность информации, означающая, что вся значимая информация включена в отчет и отчет представлен вовремя. Аналогом принципа уместности в российской практике может служить требование полноты отражения всех хозяйственных операций за учетный период, хотя требование отражения всей информации не тождественно требованию отражения существенной информации.

    Достоверность, надежность. Информация достоверна, если она не содержит существенных ошибок или пристрастных оценок и правдиво отражает хозяйственную деятельность. Достоверная информация должна быть правдива, нейтральна (не должна содержать пристрастных оценок, т. е. не должна предоставляться выборочно, с целью достижения определенного результата), достаточна (соответствовать требованию полноты информации, с точки зрения как ее существенности, так и затрат на ее подготовку). При подготовке информации важно проявлять осмотрительность -- здоровый пессимизм, готовность к учету потенциальных убытков, а не потенциальных прибылей и, как следствие, к созданию резервов. Такой подход уместен в состоянии неопределенности и не означает создания скрытых резервов или искажения информации.

    Решение о том, нужно ли проводить аудит, зависит от целого ряда моментов, которые стоит принять во внимание. Среди них -- разветвленность информационной системы и сложность ее обслуживания, возрастающая сложность решаемых задач, возникновение новых направлений работы, выход на новые рынки, изменение условий работы. Однако решающим фактором может оказаться стиль руководства организацией -- умение и желание руководителей стратегически мыслить, видеть перспективы развития бизнеса.

    Системные интеграторы, ИТ-компании нуждаются в том, чтобы оценить влияние информационной системы и расширения спектра предлагаемых услуг на основной бизнес-процесс. Для компаний, проводящих финансовый аудит, аудит информационной системы -- это дополнительная услуга, способная повысить рейтинг компании на рынке. Генеральным подрядчикам работ интересна возможность оценить работу субподрядчиков в сфере ИТ. Кроме того, аудит информационной системы по стандарту CoBiT поможет любому предприятию получить ответы на многочисленные вопросы, о которых говорилось в начале статьи.



    Рис. 3. Кто заинтересован в аудите ИС
    Вопросы для самостоятельного изучения (СРС)

    1. Методы разработки функциональной стратегии ИС.


    Контрольные вопросы

    1. Причины контроля в инфраструктуре ИС.

    2. Который из типов рисков подразумевает компенсацию проверкой в рассматриваемой области?

    3. Аудитор ИС сопровождает нетривиальные тесты новым расчетным модулем. У аудитора весьма загруженный график работы и ограничено время на экспертизу. Который из видов аудита мог бы быть использован в этой ситуации?

    4. Первоначальная цель самооценки контроля или программа контроля самоуверенности.

    5. Который из обзоров описывает раннюю стадию аудита ИС?

    6. Самая лучшая из инфраструктур в использовании средств интегрированного контроля.


    Список учебно-методической и дополнительной литературы

    а) основная литература:

    1. Электронный конспект.

    2. Вендров А.М. Проектирование программного обеспечения экономических информационных систем. - М: «Финансы и статистика», 2010.

    3. Емельянова Н.З., Партыка Т.Л., Попов И.И. Основы построения автоматизированных информационных систем. Учебное пособие. (Серия: "Профессиональное образование") – М.: ИНФРА-М, Форум, 2007.


    б) дополнительная литература:

    1. Ананьева Т.Н., Ткалич А.И. Информационный консалтинг. Учебное пособие. – М.: Экономика, 2006.

    2. Котляров В.П., Коликова Т.В. Основы проектирования программного обеспечения Учебное пособие. (Серия: "Основы информационных технологий") – М.: БИНОМ. Лаб. зн., ИНТУИТ.РУ, 2006.


    написать администратору сайта