Риски недостижения целей процесса
• отсутствие четких договорных отношений (соглашений) с поставщиками IT-услуг, (включая определение ролей, ответственности и ожиданий, проведение проверок и мониторинга соответствующих соглашений с точки зрения эффективности и соответствия) повышает угрозу возникновения ущерба для случаев невыполнения поставщиками своих обязательств.
Влияние на достижение целей
IT-деятельности:
• обеспечение результативности IT-деятельности – умеренное влияние;
• обеспечение рациональности IT-деятельности – высокое влияние;
• обеспечение безопасности IT-деятельности – высокое влияние.
Детализированные цели контроля:
• определение политик процесса и процедур деятельности;
• распределение ролей;
• менеджмент документов;
• анализ контрактов;
• управление договорными разногласиями;
• передача прав;
• ответственность и подотчетность;
• инструментарий;
• охват процесса;
• отчетность и метрики. Следующий этап – аудит на месте («II» на рис. 1), в рамках которого проводятся интервью с сотрудниками компании-заказчика и верифицируются их результаты (табл. 3). На этом этапе рекомендуется решать следующие задачи:
• провести процедуры самооценки с использованием разработанных ранее анкет;
• провести интервьюирование ключевых сотрудников объекта аудита для уточнения результатов самооценки;
• провести верификацию результатов интервью и самооценки в рамках процедур наблюдения за деятельностью и детализированного тестирования предоставленных свидетельств (в том числе регламентов, положений, отчетов, записей о событиях и т.п.)
Заказчик определяет сотрудников, которые будут в рамках интервью по рассматриваемому IT-процессу давать официальную оценку (самооценку) степени соответствия фактического положения дел изложенным в анкете критериям. Аудитор проводит интервьюирование, в рамках которого анализируются и уточняются результаты самооценки. Анализируется перечень свидетельств, подтверждающих высокие результаты самооценки, в том числе оценивается фактическая готовность предоставить соответствующие свидетельства (табл. 4). Каждый вопрос анкеты может быть рассмотрен по следующим параметрам: компетенция персонала, фактическая деятельность, документирование, мониторинг и автоматизация. Оценка показателей осуществляется по пятибалльной шкале, распределенной, например, для показателя «деятельность» следующим образом:
• 0 – деятельность не осуществляется и не признается необходимой;
• 1 – деятельность не осуществляется, но признается необходимой;
• 2 – деятельность осуществляется фрагментарно и имеет минимальный охват, подтвердить ее свидетельствами невозможно, вероятные отклонения выявить сложно;
• 3 – деятельность осуществляется на периодической основе, однако имеет небольшой охват и может быть подтверждена свидетельствами только в отдельных случаях
или посредством демонстрации в режиме «наблюдения за деятельностью»;
• 4 – деятельность осуществляется на постоянной основе. Охват процесса находится на удовлетворительном уровне и запланирован к увеличению, в большинстве случаев имеются документальные свидетельства деятельности;
• 5 – деятельность осуществляется на постоянной основе, имеет полный охват, имеются свидетельства в электронном и бумажном виде, которые пригодны как для внутреннего контроля, так и для аудита. При выставлении оценки необходимо учитывать адекватность документарных свидетельств (аудиторский след), на основании которых можно дать заключение по оцениваемой деятельности. К этой группе документов относятся, например, реестры и описи, регистрационные журналы, протоколы, листы ознакомления, акты и/или отчеты, свидетельствующие о выполнении работы (наряда).
Полученные ответы ранжируются по весовым характеристикам и результатам (баллам) самооценки. Далее происходит верификация анкет. Оценки с наибольшим весом и результатом самооценки проходят экзамен на соответствие в первую очередь. В любом случае данной процедуре должно быть подвергнуто не менее 50% свидетельств/ответов с высшим балом и не менее 30% остальных. Если выясняется, что самооценка завышена, аудитор проставляет свою оценку, которая затем и является основой для последующих расчетов. Верификация производится на основании наблюдения за деятельностью и условиями работы; запроса документов, записей (актов, протоколов) проверок, протоколов совещаний, отчетов (актов) по аудитам, итоговых данных, показателей анализа и результативности, отчетов; обращения к электронным базам данных и веб-сайтам. При необходимости аудитор оперативно формирует анкету детализированного тестирования для проведения аудиторских процедур по существу (выборочный анализ совокупности свидетельств аудита по отдельным вопросам для получения дополнительных гарантий результатов самооценки) На заключительном этапе аудита («III» на рис. 1) проводится анализ собранных свидетельств, формируются детальные оценки и итоговые выводы аудита. Международный стандарт CobiT характеризует данный этап как «творческий», так как перед аудитором стоит непростая задача провести многоступенчатое преобразование оценок от отдельных частных вопросов до формирования итоговых выкладок о состоянии системы IT-управления организации в целом.
Влияние на достижение целей
IT-деятельности:
• обеспечение результативности IT-деятельности – умеренное влияние;
• обеспечение рациональности IT-деятельности – высокое влияние;
• обеспечение безопасности IT-деятельности – высокое влияние.
Детализированные цели контроля:
• определение политик процесса и процедур деятельности;
• распределение ролей;
• менеджмент документов;
• анализ контрактов;
• управление договорными разногласиями;
• передача прав;
• ответственность и подотчетность;
• инструментарий;
• охват процесса;
• отчетность и метрики. Следующий этап – аудит на месте («II» на рис. 1), в рамках которого проводятся интервью с сотрудниками компании-заказчика и верифицируются их результаты (табл. 3). На этом этапе рекомендуется решать следующие задачи:
• провести процедуры самооценки с использованием разработанных ранее анкет;
• провести интервьюирование ключевых сотрудников объекта аудита для уточнения результатов самооценки;
• провести верификацию результатов интервью и самооценки в рамках процедур наблюдения за деятельностью и детализированного тестирования предоставленных свидетельств (в том числе регламентов, положений, отчетов, записей о событиях и т.п.)
Заказчик определяет сотрудников, которые будут в рамках интервью по рассматриваемому IT-процессу давать официальную оценку (самооценку) степени соответствия фактического положения дел изложенным в анкете критериям. Аудитор проводит интервьюирование, в рамках которого анализируются и уточняются результаты самооценки. Анализируется перечень свидетельств, подтверждающих высокие результаты самооценки, в том числе оценивается фактическая готовность предоставить соответствующие свидетельства (табл. 4). Каждый вопрос анкеты может быть рассмотрен по следующим параметрам: компетенция персонала, фактическая деятельность, документирование, мониторинг и автоматизация. Оценка показателей осуществляется по пятибалльной шкале, распределенной, например, для показателя «деятельность» следующим образом:
• 0 – деятельность не осуществляется и не признается необходимой;
• 1 – деятельность не осуществляется, но признается необходимой;
• 2 – деятельность осуществляется фрагментарно и имеет минимальный охват, подтвердить ее свидетельствами невозможно, вероятные отклонения выявить сложно;
• 3 – деятельность осуществляется на периодической основе, однако имеет небольшой охват и может быть подтверждена свидетельствами только в отдельных случаях
или посредством демонстрации в режиме «наблюдения за деятельностью»;
• 4 – деятельность осуществляется на постоянной основе. Охват процесса находится на удовлетворительном уровне и запланирован к увеличению, в большинстве случаев имеются документальные свидетельства деятельности;
• 5 – деятельность осуществляется на постоянной основе, имеет полный охват, имеются свидетельства в электронном и бумажном виде, которые пригодны как для внутреннего контроля, так и для аудита. При выставлении оценки необходимо учитывать адекватность документарных свидетельств (аудиторский след), на основании которых можно дать заключение по оцениваемой деятельности. К этой группе документов относятся, например, реестры и описи, регистрационные журналы, протоколы, листы ознакомления, акты и/или отчеты, свидетельствующие о выполнении работы (наряда).
Полученные ответы ранжируются по весовым характеристикам и результатам (баллам) самооценки. Далее происходит верификация анкет. Оценки с наибольшим весом и результатом самооценки проходят экзамен на соответствие в первую очередь. В любом случае данной процедуре должно быть подвергнуто не менее 50% свидетельств/ответов с высшим балом и не менее 30% остальных. Если выясняется, что самооценка завышена, аудитор проставляет свою оценку, которая затем и является основой для последующих расчетов. Верификация производится на основании наблюдения за деятельностью и условиями работы; запроса документов, записей (актов, протоколов) проверок, протоколов совещаний, отчетов (актов) по аудитам, итоговых данных, показателей анализа и результативности, отчетов; обращения к электронным базам данных и веб-сайтам. При необходимости аудитор оперативно формирует анкету детализированного тестирования для проведения аудиторских процедур по существу (выборочный анализ совокупности свидетельств аудита по отдельным вопросам для получения дополнительных гарантий результатов самооценки) На заключительном этапе аудита («III» на рис. 1) проводится анализ собранных свидетельств, формируются детальные оценки и итоговые выводы аудита. Международный стандарт CobiT характеризует данный этап как «творческий», так как перед аудитором стоит непростая задача провести многоступенчатое преобразование оценок от отдельных частных вопросов до формирования итоговых выкладок о состоянии системы IT-управления организации в целом.