Audit informačního systému
Během existence tohoto weblogu jsem obdržel pěknou řádku e-mailů, jejichž obsah lze vyjádřit slovy: poraďte, kde si můžeme přečíst ucelenější pojednání charakterizující příklad uplatnění ITILu nebo CoBITu. Lidi už unavuje čtení a poslouchání takového podání informací o zmíněných metodikách, které končí u seznamu procesů, u několikařádkové charakteristiky obsahu základních knih ITIL a které jen slibují hory doly. Dnes mám pro všechny "nešťastné" dobrou zprávu. Vysoká škola ekonomická v Praze, katedra systémové analýzy vydala v minulém roce skripta Vlasty Svaté s názvem "Audit informačního systému". Dnes chci na titul stručně upozornit a to v souvislosti s tématem weblogu. V této své informaci využívám i volně prezentované pasáže z autorčiny práce.Nahlédnutí do obsahu:
1. Vývoj, druhy a obsah auditu IS.
2. Standardy a audit IS.
3. Metodiky auditu IS/IT.
4, Obecný postup provádění auditu a popis vybraných činností.
5. Vybrané druhy auditů IS.
Pro vysvětlení souvislosti s tématem tohoto weblogu musíme nahlédnout hlouběji.Ve struktuře práce najdeme následující dílčí témata:
3.l Metodika COBIT
3.1.1 Obecný popis metodiky COBIT
3.1.2 Popis postupu auditu podle metodiky Cobit.
3.3 Porovnání metodiky COBIT a návodu INTOSAI-IS.
5.3. Audit procesů IS/TT podle ITIL.
5.3.2 Audit služeb.
5.5 Audit provozu: etapy životního cyklu prvků provozu
Příloha 2 – Kroky auditu podle Cobit.
Každý audit IS má charakter projektu a tudíž se opírá o určitý životní cyklus. Popis životního cyklu, jeho etap, činností, vstupů, výstupů a nástrojů, které ho podporují, je obvykle součástí metodik. Metodik pro realizaci auditu IS je celá řada, mohou mít působnost pouze v rámci určité auditorské firmy nebo mají mezinárodní působnost; mohou být vázány na určité typy projektů nebo mohou být obecné pro každý typ auditu IS. V práci Vlasty Svaté je uveden popis dvou mezinárodních metodik, které mají obecný charakter a které obvykle slouží jako základ pro vznik specifických metodik. Příklady takových metodik jsou:
a) metodika ISACA - COBIT (Control Objectives for Information and related Technology)
b) metodika INTOSAI – IS (Tnternational Organization of Supreme Audit InstitutionsInformation Systems).
Metodika CoBIT je nezávislá na platformě a umožňuje propojení podnikatelských cílů/rizik, požadavků na kontrolní systém a technologických resení. Metodika se skládá ze sady dokumentů , které mají mezi sebou vazby, ale současně je možné je používat odděleně podle cíle účelu a uživatele (manažer, auditor, IT specialista). V případě CoBITu jde o: Executive Summary, Framework, Management Guidelines, Detailed Control Objectives, Audit Guidelines.
Audit Guidelines – směrnice pro audit – je dokument definující postupy a činnosti auditu, které odpovídají 34 kontrolním cílům COBITu.
Autorka rozvíjí úvahu o uplatnění CoBITu směrem k hlavním aspektům řízení IS/IT, na kterých je koncepce metodiky založena. V textu i na velmi výstižném obrázku ilustruje autorka vztah mezi cíli kontrol, informačními kriterii a zdroji. ( Obrázek: Cobit - vztah mezi doménami-procesy-obecnými cíli kontrol, vlastnostmi informací a zdroji ).
Pro vlastní postup auditu má největší význam dokument Audit Guidelines. Představuje komplexní nástroj pro audit IS a hodnocení kontrolního systému organizací. Je postaven na jednoduchém modelu, který navazuje na COBIT a respektuje obecné auditní postupy, jejichž cílem je poskytnout vedení organizací a vlastníkům tyto informace:
- Ujištění o tom, že se cíle kontrol plní,
- Upozornění na významné nedostatky kontrol,
- Určení rizik, která jsou spojena s těmito nedostatky,
- Doporučení nápravných kroků pro odstranění nedostatků.
Audit Guidelines sice nejsou podrobným návodem pro vytvoření plánu auditu, který postihuje všechny faktory, ( jako např. minulé nedostatky systému, rizika pro organizaci, známé incidenty, nový vývoj nebo volby strategií), ale společně s COBIT Framework a Control Objectives pomáhají určit základní směr auditu. Control objectives pomáhají managementu určit kontroly pro každý proces IT. Audit Guidelines umožňují auditorovi hodnotit, zda je IT proces pod kontrolou a tedy zda požadavky na informace, poskytované IS/IT a vážící se k podnikovým cílům.Audit procesů IS/IT podle ITIL
Uplatnění ITIL spojuje autorka se zdůrazněním významu procesního přístupu pro audit IS, který umožňuje definování základních IS/IT procesů, jejich náležitostí, vazeb, úrovní vyspělosti atd. Vzhledem k významu metodiky ITIL pro audit, věnuje se autorka této metodice opravdu důkladně. Uvádí postupně: historii, koncept , obsah knihovny, přehled knih v knihovně, certifikace, výhody ITIL pro IT specialisty, výhody pro uživatele. Text pokračuje uvedením postupu zavádění ITIL, metrik procesů. dokumentací a hodnocením procesů. V souvislosti s výkladem auditu služeb zdůrazňuje autorka význam SLA, jako nástroje vytváření rovnováhy mezi požadavky a náklady. Pokud auditor v průběhu auditu zjistí, že definování a metriky služeb nejsou kvalitní, může navrhnout realizaci projektu, jehož cílem by bylo definování služeb a jejich provázání s IT procesy podle ITIL. Autorka uvádí etapy, které by měl projekt zahrnovat. Práce se nevyhýbá ani tématice řízení konfigurace, která souvisí s jedním z procesů metodiky ITIL Tento proces poskytuje kontrolu nad infrastrukturou IT a všemi aktivy IT v organizaci. Pro úplnost ještě dodám, že autorka uvádí jako alternativu pro přístup k auditu IS t. zv. "rizikovou analýzu".
Tento můj texty byl pouze nahlédnutím do obsahu velmi zajímavé a užitečné práce. Bylo by užitečné, kdyby tento text spatřil světlo světa jako veřejně dostupná knižní publikace.
1. Vývoj, druhy a obsah auditu IS.
2. Standardy a audit IS.
3. Metodiky auditu IS/IT.
4, Obecný postup provádění auditu a popis vybraných činností.
5. Vybrané druhy auditů IS.
Pro vysvětlení souvislosti s tématem tohoto weblogu musíme nahlédnout hlouběji.Ve struktuře práce najdeme následující dílčí témata:
3.l Metodika COBIT
3.1.1 Obecný popis metodiky COBIT
3.1.2 Popis postupu auditu podle metodiky Cobit.
3.3 Porovnání metodiky COBIT a návodu INTOSAI-IS.
5.3. Audit procesů IS/TT podle ITIL.
5.3.2 Audit služeb.
5.5 Audit provozu: etapy životního cyklu prvků provozu
Příloha 2 – Kroky auditu podle Cobit.
Každý audit IS má charakter projektu a tudíž se opírá o určitý životní cyklus. Popis životního cyklu, jeho etap, činností, vstupů, výstupů a nástrojů, které ho podporují, je obvykle součástí metodik. Metodik pro realizaci auditu IS je celá řada, mohou mít působnost pouze v rámci určité auditorské firmy nebo mají mezinárodní působnost; mohou být vázány na určité typy projektů nebo mohou být obecné pro každý typ auditu IS. V práci Vlasty Svaté je uveden popis dvou mezinárodních metodik, které mají obecný charakter a které obvykle slouží jako základ pro vznik specifických metodik. Příklady takových metodik jsou:
a) metodika ISACA - COBIT (Control Objectives for Information and related Technology)
b) metodika INTOSAI – IS (Tnternational Organization of Supreme Audit InstitutionsInformation Systems).
Metodika CoBIT je nezávislá na platformě a umožňuje propojení podnikatelských cílů/rizik, požadavků na kontrolní systém a technologických resení. Metodika se skládá ze sady dokumentů , které mají mezi sebou vazby, ale současně je možné je používat odděleně podle cíle účelu a uživatele (manažer, auditor, IT specialista). V případě CoBITu jde o: Executive Summary, Framework, Management Guidelines, Detailed Control Objectives, Audit Guidelines.
Audit Guidelines – směrnice pro audit – je dokument definující postupy a činnosti auditu, které odpovídají 34 kontrolním cílům COBITu.
Autorka rozvíjí úvahu o uplatnění CoBITu směrem k hlavním aspektům řízení IS/IT, na kterých je koncepce metodiky založena. V textu i na velmi výstižném obrázku ilustruje autorka vztah mezi cíli kontrol, informačními kriterii a zdroji. ( Obrázek: Cobit - vztah mezi doménami-procesy-obecnými cíli kontrol, vlastnostmi informací a zdroji ).
Pro vlastní postup auditu má největší význam dokument Audit Guidelines. Představuje komplexní nástroj pro audit IS a hodnocení kontrolního systému organizací. Je postaven na jednoduchém modelu, který navazuje na COBIT a respektuje obecné auditní postupy, jejichž cílem je poskytnout vedení organizací a vlastníkům tyto informace:
- Ujištění o tom, že se cíle kontrol plní,
- Upozornění na významné nedostatky kontrol,
- Určení rizik, která jsou spojena s těmito nedostatky,
- Doporučení nápravných kroků pro odstranění nedostatků.
Audit Guidelines sice nejsou podrobným návodem pro vytvoření plánu auditu, který postihuje všechny faktory, ( jako např. minulé nedostatky systému, rizika pro organizaci, známé incidenty, nový vývoj nebo volby strategií), ale společně s COBIT Framework a Control Objectives pomáhají určit základní směr auditu. Control objectives pomáhají managementu určit kontroly pro každý proces IT. Audit Guidelines umožňují auditorovi hodnotit, zda je IT proces pod kontrolou a tedy zda požadavky na informace, poskytované IS/IT a vážící se k podnikovým cílům.Audit procesů IS/IT podle ITIL
Uplatnění ITIL spojuje autorka se zdůrazněním významu procesního přístupu pro audit IS, který umožňuje definování základních IS/IT procesů, jejich náležitostí, vazeb, úrovní vyspělosti atd. Vzhledem k významu metodiky ITIL pro audit, věnuje se autorka této metodice opravdu důkladně. Uvádí postupně: historii, koncept , obsah knihovny, přehled knih v knihovně, certifikace, výhody ITIL pro IT specialisty, výhody pro uživatele. Text pokračuje uvedením postupu zavádění ITIL, metrik procesů. dokumentací a hodnocením procesů. V souvislosti s výkladem auditu služeb zdůrazňuje autorka význam SLA, jako nástroje vytváření rovnováhy mezi požadavky a náklady. Pokud auditor v průběhu auditu zjistí, že definování a metriky služeb nejsou kvalitní, může navrhnout realizaci projektu, jehož cílem by bylo definování služeb a jejich provázání s IT procesy podle ITIL. Autorka uvádí etapy, které by měl projekt zahrnovat. Práce se nevyhýbá ani tématice řízení konfigurace, která souvisí s jedním z procesů metodiky ITIL Tento proces poskytuje kontrolu nad infrastrukturou IT a všemi aktivy IT v organizaci. Pro úplnost ještě dodám, že autorka uvádí jako alternativu pro přístup k auditu IS t. zv. "rizikovou analýzu".
Tento můj texty byl pouze nahlédnutím do obsahu velmi zajímavé a užitečné práce. Bylo by užitečné, kdyby tento text spatřil světlo světa jako veřejně dostupná knižní publikace.
posted by doc. Arnošt Katolický | 15:13
<< Home