"justify"> невикористання всього потенціалу технологій;
- неможливість забезпечити найбільш прийнятний рівень супроводу та розвитку систем;
- неоптимальні процедури технічного обслуговування і рішення нештатних ситуацій;
- помилку в розрахунках навантаження на елементи інфраструктури та обслуговуючий персонал.
Щоб уникнути подібних загроз, на підприємстві необхідно створити комплексну систему, інтегруючу ризик-менеджмент, внутрішній контроль та внутрішній аудит як на рівні основної діяльності, так і на рівні підтримують її інформаційних технологій, тобто інформаційну систему. Ступінь зрілості даної структури визначається її здатністю забезпечити на належному рівні результативне, раціональне та безпечне використання інформаційних технологій для цілей основної діяльності. Чим вище рівень зрілості, тим менше рівень ІТ-ризиків і тим більше ефективність використання інформаційних технологій. При формування інформаційної системи слід спиратися на вже існуючі і загальновизнані критерії (стандарти). За більш ніж 30-річну історію розвитку науки про IT-управлінні провідними міжнародними інститутами (ISACA, OGC, ISO) вироблений набір деталізованих вимог у вигляді збірок кращих практик (наприклад, ITIL) і відкритих стандартів (CobiT, ISO 20000 та ін)
2. Контрольні об'єкти інформаційної технології
.1 ISACA
Підхід до надання аудиту інформаційної системи як окремої самостійної послуги з плином часу упорядкувався і стандартизованим. Великі та середні консалтинго-аудиторські компанії утворили асоціації - союзи професіоналів в області аудиту інформаційних систем, які займаються створенням та супроводом стандартів аудиторської діяльності у сфері ІТ. Як правило, це закриті стандарти, ретельно охороняється В«ноу-хауВ». Однак існує асоціація ISACA, що займається відкритою стандартизацією аудиту інформаційних систем (# "justify"> Основна декларована мета асоціації - дослідження, розробка, публікація і просування стандартизованого набору документів з управління інформаційною технологією для щоденного використання адміністраторами і аудиторами інформаційних систем. br/>
.2 CoBiT
На допомогу професійним аудиторам, керівникам відділів інформаційно-технічної підтримки, адміністраторам і зацікавленим користувачам асоціацією ISACA і залученими фахівцями з провідних світових консалтингових компаній був розроблений відкритий стандарт CoBiT, перше видання якого в 1996 році було продано в 98 країнах і полегшило роботу професійних аудиторів у сфері інформаційних технологій. Стандарт пов'язує інформаційні технології і дії аудиторів, поєднує й погоджує багато інших стандарти в єдиний ресурс, що дозволяє отримати адекватне уявлення про цілі і завдання інформаційної системи, враховуючи всі особливості інформаційних систем будь-якого масштабу і складності. p align="justify"> Основоположне правило, покладене в основу CoBiT, наступне: ресурси інформаційної системи повинні управлятися набором природно згрупованих процесів для забезпечення організації необхідною і надійною інформацією. CoBiT базується на стандартах аудиту ISA і ISACF, але включає й інші міжнародні стандарти, в тому числі беручи до уваги всі затверджені раніше стандарти і нормативні документи: технічні стандарти, кодекси, професійні стандарти, вимоги та рекомендації, вимоги до банківських послуг, систем електронної торгівлі і виробництву.
Стандарт CoBiT може застосовуватися як для аудиту інформаційної системи організації, так і на етапі її проектування. Якщо в першому випадку перевіряється відповідність поточного стану інформаційної системи передовій практиці аналогічних організацій і підприємств, то в другому використання стандарту дозволяє спроектувати інформаційну систему, яка прагне до ідеального співвідношенню В«ціна/якістьВ». p align="justify"> Чотири базові групи (домени) містять в собі 34 підгрупи, які в свою чергу складаються з 302 об'єктів контролю. Об'єкти контролю надають аудитору всю достовірну та актуальну інформацію про поточний стан інформаційної системи. p align="justify"> Відмінними рисами CoBiT є велика зона охоплення (всі завдання, від стратегічного планування і основоположних документів до аналізу роботи окремих елементів інформаційної системи), наявність перехресного аудиту (перекриваються зони перевірки критично важливих елементів), адаптованість, наращиваемость стандарту .
В області стандартизації аудиту інформаційних систем існують численні західні, а також російські розробки, проте CoBiT відрізняє передусім можливість відносно легкої адаптації до особливостей російських інформаційних систем і та обставина, що стан...
