Узнайте нужен ли в Вашей компании Service Desk

8 (495) 726-15-52

ИТ аудит COBIT

В первую очередь необходимо разобраться, что представляет собой COBIT. COBIT – это практика, которая определяет список универсальных целей для управления ИТ. Ценностью этой практики является то, что с ее помощью определяется модель, которая показывает взаимосвязь бизнес цели и ИТ процессов. Он объясняет общие принципы, а также схемы проведения ИТ аудита, которые являются продолжением такого направления как введение в COBIT.

В состав этого стандарта входит несколько книг, которые представляют собой пособия для ведения ИТ аудита. Первая – это «Резюме для руководства». Здесь представлено введение для других разделов стандарта. Кроме того, книга включает в себя блок информации об основных принципах, миссии COBIT, а также определяет, что представляют собой системы управления ИТ. «Концептуальное ядро COBIT» - это еще одна книга, где представлен набор основных принципов, а также основы модель управления ИТ. В книге «Руководство по менеджменту» представлены данные основных процессов управления, самых эффективных стратегий, а также показывается, как контролировать информационные ресурсы. Здесь можно узнать, как осуществляется мониторинг, как выставляется оценка по существующим бизнес целям, оценивается производительность каждого отдельного ИТ процесса.

Но основная книга по COBIT – это «Руководство по аудиту». Именно в ней представлены все процедуры и правила, а также основные принципы данного стандарта для проведения ИТ аудита. В ней описывается все о том, как проводить проверку реализации всех 34 ИТ процессов и более 300 задач управления, которые определяются ядром данного стандарта.

Для осуществления всех видов ИТ аудита проводятся обследования, а также детальные обзоры по безопасности информационных систем. Кроме того, проводится сертификация, аттестация и все виды технических экспертиз. При этом многие методы или способ проведения экспертиз в рамках ИТ аудита могут сильно отличаться.

ИТ-аудит в соответствии со стандартом COBIT

Основное направление целей COBIT – это определение принципов и структуры в процессе проведения ИТ аудита, которые применяются для самых разных компаний и их информационных систем.

В соответствии с COBIT основная цель проведения аудита системы управления и всех без исключения процессов управления – это возможность предоставить руководству организации гарантии, которые покажут, насколько эффективными являются процессы управления и выполняемые задачи в ИТ.

Также для ИТ-аудита важно, чтобы улучшалось состояние информационной системы, которое должно характеризоваться высоким уровнем безопасности, а также эффективностью управления рисками и полностью всей системы управления. Именно поэтому во время аудита проводятся оценки механизмов управления и комплексной оценки рисков. И если присутствуют существенные отклонения, то проводится оценка рисков, полученных в результате. После этого выдаются рекомендации, позволяющие исправить и откорректировать дальнейшие действия.

Для печатающей техники, МФУ и других устройств в офисе очень важно, чтобы они работали бесперебойно и как можно качественнее. Нечеткая печать может отразиться на производственном процессе и некоторых рабочих моментах. Вот  почему в процессе проведения аудита обязательно проводятся процедуры, которые направлены на восстановление и настройку корректной работы всех систем, оборудования и техники компании, где проводится аудит.

Итак, зачем нужен ИТ-аудит? Он нужен для того, чтобы понять, насколько эффективно работает вся информационная система компании.

ИТ-аудит выполняется в обязательном порядке, если необходимо:

  • провести оценку состояния всех информационных систем;
  • получить детальную информацию по ИТ при смене собственника, руководящего состава или менеджеров компании;
  • произошли изменения в организационно-правовой форме компании;
  • планируются изменения в структуре компании;
  • внедряются новые информационные технологии;
  • разрабатывается ИТ-проект;
  • есть недостатки после проведения предыдущего ИТ-анализа.

Этапы процесса управления в COBIT

Стоит понимать, что в COBIT сам процесс управления можно разделить на 4 отдельных этапа.

  • Первый этап дает возможность определить стандарт оценки, которая выявляет эффективность ИТ-процессов.
  • Второй этап – проводится анализ состояния ИТ-процессов.
  • Третий этап – информация полученного состояния сравнивается с требованиями соответствующего стандарта.
  • Четвертый этап – заключительный. Здесь принимаются корректирующие действия, если информация, полученная по результатам анализа ИТ-процессов, не соответствует нормам стандарта.

Если следовать таким путем и принимать во внимание подобную модель как основную, то критерии оценки механизмов управления могут быть такими.

  1. Отчетность и ответственность распределяются. Для того чтобы работала модель механизмов управления, ответственность бизнес процессов необходимо правильно распределить. При этом устанавливается строгая подотчетность отдельных должностных лиц, и в первую очередь – руководства. 
  2. Нормы стандарта и отклонения от них. В качестве стандарта оценки для определения эффективности ИТ процессов могут быть использованы различные виды информационных критериев. Это могут быть и высокоуровневые стратегии, и отдельные индикаторы производительности. Для стандарта очень важно, чтобы он был документирован, поддерживался в актуальном состоянии и был доступен для руководства и всех сотрудников компании, в которой проводится ИТ-анализ.
  3. Информационные критерии. Информационных критериев в COBIT несколько. Это эффективность и конфиденциальность, целостность и продуктивность, доступность и надежность, а также соответствие.

Что вы получите при проведении ИТ-аудита?

Компании, которые решили воспользоваться услугами ИТ-аудита, получают немало преимуществ, которые в будущем помогут им создать отличную базу для своего развития в плане информационных технологий и различных бизнес процессов, с ними связанных.

  • В первую очередь, это подробная оценка рисков руководства, а также всех проблем, которые могут быть связаны с управленческим звеном на предприятии или в организации.
  • Второй важный момент – это то, насколько пригодны в профессиональном плане ИТ-специалисты вашей компании. При этом в выводах могут быть даны рекомендации по качественному изменению имеющихся кадров.
  • Третий важный момент – это оценка всего имеющегося компьютерного оборудования, которое имеется в компании. Кроме того, могут быть даны рекомендации по его замене.
  • В-четвертых, заказчик получает рекомендации по проведенному анализу информационных систем. Также специалисты обязательно подскажут пути и решения, которые позволят максимально экономить информационные ресурсы.
  • Еще один важный момент – это детальные рекомендации, которые позволят выполнить оптимизацию ИТ-процессов и всей системы в целом.
  • Также заказчик получает перечень направлений, в которых будет развиваться ИТ-инфраструктура компании.

Какие же направления ИТ аудита могут быть?

В результате проведения ИТ-аудита существующих ИТ процессов можно отметить несколько отдельных направлений. В первую очередь проверяется состояние всей ИТ инфраструктуры, затем проверяется персонал, оборудование, соответствие существующих ИТ стратегий тем направлениям, которые происходят в бизнес процессе. Также проверяется уровень и соответствие затрат на информационные технологии, определяется эффективность ИТ-услуг и степень удовлетворенности пользователей такими услугами. В процессе выполнения таких работ обязательно проверяются все бизнес направления, которые имеют смежные области с ИТ-инфраструктурой компании. Также обязательно проводятся оценки механизмов управления и оценки рисков, которые зависят от информационной системы.

Если остановиться подробнее на этом моменте, то необходимо понимать, что специалисты используют различные методики для оценки рисков. В то же время они преследуют одни и те же цели – это понимание самих рисков и их актуальности для информационной системы компании.

Одним из наиболее распространенных методов оценки рисков является метод CRAMM. Он имеет комплексный подход, в котором объединяются количественные и качественные оценки рисков. Такой метод описывает защищаемые ресурсы в виде денежных ценностей. И только потом определяется точный уровень для защиты информационной системы. Далее проводится анализ информационных угроз и выдаются рекомендации по требуемому уровню защиты. Такой метод может использоваться только профессиональными аудиторами, у которых есть достаточно большой объем готовых примеров. Но использование только одного этого метода нецелесообразно в случае, если необходимо проверить информационные системы, которые находятся на стадии проектирования.
Существует также такой метод, как RiskWatch, который дает возможность осуществить анализ всех программных, а также физических рисков. С помощью такого метода можно выполнить оценку рисков и выполнить оценки механизмов управления еще на стадии проектирования и внедрения новых информационных систем. Здесь связываются ресурсы, потери, риски, при этом осуществляется количественный расчет всех предполагаемых потерь. Кроме того, в соответствии с выполненной работой предоставляются рекомендации, которые дают возможность предпринять конкретные меры для защиты информационной системы.
Альтернативным методом можно считать метод ГРИФ, благодаря которому проводится анализ рисков информационных потоков. В процессе проведения такого метода оценки составляется модель по всей ИТ-системе организации. Преимуществом данной методики является то, что можно проводить работу по динамичности существующих информационных потоков.

Примеры отчетности по IT-аудиту

В качестве отчетности по аудиту информационных технологий используются несколько вариантов подведения итогов проделанной работы. В первую очередь это заключение, определяющее квалификацию руководства и персонала в целом. Это позволит поддерживать квалификацию персонала на том уровне, который не только обеспечит работу бизнес-процессам на текущий момент, но и даст возможность реализовывать новые внедряемые технологии без потери качества выполняемых операций. Далее составляются отчеты, показывающие затраты на обеспечение ИТ-инфраструктуры и определяется схема работы всех информационных систем организации. В обязательном порядке перечисляется список рисков, которые могут возникнуть в ходе работы ИТ-системы. При этом специалисты составляют рекомендации, показывающие, какие пути устранения таких рисков могут присутствовать. Кроме того, в обязательном порядке и во всех подробностях составляется анализ всех ИТ-процессов.

Стандарты и практики, применяемые в ходе проведения IT-аудита

Наша компания использует только международные подходы, которые позволяют определить оценку информационных технологий организации. Самый известный и эффективный среди них – это COBIT, в котором содержится около 40 различных вариантов стандарта управления, безопасности, а также анализа информационных систем.

Для стандарта COBIT детально и подробно описываются все цели, а также стандарты управления. Также подробно представлены и описаны объекты управления, ИТ процессы и требования, которые к ним выдвигаются. Кроме того, описываются практики, которые помогают эффективно реализовать такие процессы. Дополнительно описываются практические рекомендации, которые позволяют управлять безопасностью информационных систем. COBIT дает возможность контролировать и проводить аудит уже существующей ИТ-системы. Также стандарт позволяет проводить анализ расходов на будущие ИТ-проекты, поддерживать существующую инфраструктуру, управлять информационными системами.

Благодаря стандарту COBIT руководство ИТ направлений организаций трансформируют задачи бизнеса в четкие планы развития ИТ. Основным преимуществом такого стандарта является то, что с его помощью можно составить максимально полные и понятные рекомендации по развитию ИТ-инфраструктуры, а также создать эффективную систему, позволяющую управлять рисками.

Зоопарк методологий

COBIT – это не единственная методология, к которой обращаются специалисты при выполнении ИТ-аудита. На сегодняшний день существуют также такие методологии, как ITIL, ITSM и DevOps.

ITIL представляет собой целый комплекс публикаций, где представлены лучшие практики, когда-либо выполняемые для управления ИТ-услугами.

ITSM представляет собой концепцию, которая дает возможность организовать работу ИТ-подразделений организации. При этом она определяет взаимодействие с различными внутренними и внешними структурами (заказчиками), а также с внешними контрагентами.

DevOps можно назвать объединенной методологией, которая включает в себя все преимущества ITIL и COBIT. Но при этом здесь представлен совершенно другой подход, объединяющий в себе администрирование и различные разработки.

Зачем вам лучшие практики управления ИТ-инфраструктурой? Они необходимы для того, чтобы быстро и легко решать стандартные и сложные проблемы, связанные с управлением, анализом и рисками ИТ-системы. Кроме того, возрастает внимательность и ответственность, повышается скорость реакции на возникшие проблемы, упрощается утилизация ресурсов, а также выявление проблем в организации становится максимально простым процессом.

Как мы работаем?

Наша работа нацелена на комплексный подход к решению задачи. В первую очередь с заказчиком обсуждаются те цели и задачи, которые поставлены перед нами, выявляются приоритетные и дополнительные направления. Далее определяется вид аудита, определяется порядок проводимых действий, в том числе и обсуждается предоставление доступа к необходимым информационным системам компании. После того, как будут проведены все исследования и аналитическая работа, заказчику предоставляются отчеты и рекомендации, позволяющие оптимизировать ИТ-инфраструктуру организации. Также разрабатываются и воплощаются в жизнь все планы, которые были получены в ходе проведенной работы.