Tarptautinės praktikos taikymas vertinant IT valdymą - Tarpt praktika vertinant IT.pdf · 2013 m....
Transcript of Tarptautinės praktikos taikymas vertinant IT valdymą - Tarpt praktika vertinant IT.pdf · 2013 m....
2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)
Informacinių sistemų ir infrastruktūros audito departamento
Informacinių sistemų audito skyriaus vyriausiasis valstybinis auditorius
Rimgaudas Gamulis
Tarptautinės praktikos taikymas
vertinant IT valdymą
2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)
IT VALDYMAS
COBIT, ISO 2700x, ITIL, PMBOOK, PRINCE2 ir kt.
2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)
Daugiau informacijos
rasite čia:http://www.isaca.org/
IT VALDYMO VERTINIMAS
Viena iš pažangiausių IT valdymo metodikų.COBIT 4.1 lietuvių kalba galima nemokamai parsisiųsti čia: http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx
IT audito standartai ir gairės.
IT audito praktikos ir
metodai.COBIT 5 IT audito praktikos ir
metodikos leidinys dar neparengtas.
2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)
IT AUDITO PRAKTIKA IR
METODAI•Padeda planuoti IT valdymo vertinimą:
greitai įvertinti rizikas;
tinkamai įvertinti grėsmes, pažeidžiamumus ir poveikį veiklai;
nustatyti veiklos ir/ar projekto riziką (as);
planuoti remiantis rizikos įvertinimu;
nustatyti kritinius IT procesus;
įvertinti procesų brandą.
•Padeda nusistatyti IT valdymo vertinimo apimtį:pasirinkti kritinių procesų kontrolės tikslus;
tinkamai pritaikyti kontrolės tikslus.
•Padeda įvertinti IT valdymą:tiksliau suprasti kaip atlikti IT vertinimą;
suprasti apie pagrindinių IT kontrolės tikslų taikymo sritis;
išbandyti kontrolės procedūrų veiksmingumą;
išbandyti pagrindinių kontrolės tikslų rezultatus;
aprašyti kontrolės silpnų vietų poveikį;
pateikti išvadas ir rekomendacijas.
IT audito praktikos ir metodikos
aprašymuose nerasite parengtų IT
valdymo vertinimo programų ar
klausimynų, kuriuos iškart būtų galima
naudoti.
Tačiau pasinaudoję IT audito praktikos ir
metodikos aprašymais galėsite greitai ir
efektyviai sudaryti IT valdymo vertinimo
programas ar klausimynus, atitinkančius
Jūsų veiklos aplinką.
2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)
Galimi vertinimo
tikslai
Veiklos gyvavimo
ciklas, atsakomybė
Vertinimo tikslas (ai)
Tikslai ir procesai
Veiklos tikslai
IT tikslai
IT procesai
Kontrolės tikslai
Kontrolės praktikos
Išrinkti, atlikti priežasties/poveikio
analizę.
Išrinkti, atlikti priežasties/poveikio
analizę.
Pasirinkti veiksmingiausias
efektyviausias
ESMĖ - nustatyti svarbiausius
elementus, kad būtų galima
veiksmingai, efektyviai ir taupiai
atlikti IT valdymo vertinimą.
Rizikų sąrašas
IT AUDITO PRAKTIKA IR
METODAI
2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)
IT AUDITO PRAKTIKA IR
METODAIVeiklos tikslai
IT tikslai
IT procesai
Kontrolės tikslai
Kontrolės praktikos
•Veiklos tikslai -> IT tikslai -> IT
procesai -> siejami naudojant COBIT
lentelėmis ir aprašymais.
•IT procesus rinktis atsižvelgiant į
vertinimo tikslus, apimtis ir galimybes.
•COBIT 4.1 - PO1, PO5, PO6, PO9,
AI1, AI2, AI3 – tarptautinės praktikos
išskiriami kaip svarbesni IT procesai.
•Vadovybės IT brandos įsivaizdavimas
ir poreikiai prieš vertinimą.
2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)
IT AUDITO PRAKTIKA IR
METODAIVeiklos tikslai
IT tikslai
IT procesai
Kontrolės tikslai
Kontrolės praktikos
Rizikos analizė:
•Ar nėra
asmeniškumų?
•Ar esame
objektyvūs?
•Ar uždavėme
tinkamus
klausimus?
• Ar nesame
įtakojami
“skandalingos”
informacijos?
•Ar teisingai
įvertiname savo
galimybes?
Išteklių įvertinimas
Grėsmių įvertinimas
Pažeidžiamumų įvertinimas
Poveikio įvertinimas
Apsaugos priemonių nustatymas
Rizikos valdymo sprendimas
Kaštų naudos analizė
Išrinkti, atlikti priežasties/poveikio
analizę.
Išrinkti, atlikti priežasties/poveikio
analizę.
R
I
Z
I
K
O
S
Būtinaanalizuoti, tikrinti
ir optimizuoti kiekvieną
pasirinkimą!
2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)
IT AUDITO PRAKTIKA IR
METODAIIšteklių įvertinimas
Grėsmių įvertinimas
Pažeidžiamumų įvertinimas
Poveikio įvertinimas
Apsaugos priemonių nustatymas
Rizikos valdymo sprendimas
Kaštų naudos analizė
R
I
Z
I
K
O
S
•Atkuriamoji vertė
•Galimos sąnaudos
•Galima žala
•Kritiškumas /
jautrumas
•Rizikos suvokimas
•Turto vertės suvokimas
•Rizikos tolerancija
Savininkai
Vertybės
•Nustatymas
•Pajėgumai
•Motyvas
•Ištekliai
Grėsmės sukėlėjas
•Rezultatas (poveikis,
tikimybė, mastas)
•Nepageidaujamumas
•Priemonės
Grėsmės
•Mastas
•Pritaikomumas
Pažeidžiamumai
•Tikimybė
•Poveikis
•Likutinė rizika
Rizikos
•Veiksmingumas
•Tikslingumas
•Tvarumas
•Kaina
Apsaugos priemonės
išnaudoja
sukelia turi
padeda išvengti
arba sumažinti
nustato
susirūpinę dėlsumažina
sukelia
apsaugo ir
nustato
2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)
IT AUDITO PRAKTIKA IR
METODAIVeiklos tikslai
IT tikslai
IT procesai
Kontrolės tikslai
Kontrolės praktikos
•Kontrolės tikslai skirti valdyti rizikas ir (arba)
padeda pasiekti aukštesnių pakopų tikslus.
•IT vertintojas turi :
1. Žinoti/suprasti kontrolės tikslą (kodėl ji
reikalinga).
2. Žinoti/suprasti kokiais duomenimis pasitiki.
3. Suprasti kodėl pasitiki vienais ar kitais
duomenimis.
2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)
IT AUDITO PRAKTIKA IR
METODAIVeiklos tikslai
IT tikslai
IT procesai
Kontrolės tikslai
Kontrolės praktikos
Reikia įsitikinti, kad kontrolės tikslui pasiekti
sukurtos kontrolės priemonės t. y.:
a. Ar kontrolės priemonės egzistuoja?
b. Ar kontrolės priemonės sukurtos atsižvelgiant į gerąją
praktiką?
c. Ar kontrolės priemonės veiksmingos (įgyvendintos,
nuosekliai vykdomos ir tinkamai naudojamos)?
d. Ar kontrolės priemonės veikia efektyviai (paremtos
kaštų/naudos analize, kur įmanoma automatizuotos)?
Kontrolės dizainas(priemonės)
2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)
IT AUDITO PRAKTIKA IR
METODAIVeiklos tikslai
IT tikslai
IT procesai
Kontrolės tikslai
Kontrolės praktikos
Kontrolės praktikos
Jei sukurtos kontrolės priemonės, reikia vertinti
kontrolės praktikas:a. Ar kontrolės praktikos veiksmingos (įgyvendintos,
nuosekliai vykdomos ir tinkamai naudojamos)?
b. Ar kontrolės praktikos efektyvios (paremtos
kaštų/naudos analize, jei įmanoma automatizuotos)?
2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)
IT AUDITO PRAKTIKA IR
METODAIVeiklos tikslai
IT tikslai
IT procesai
Kontrolės tikslai
Kontrolės praktikos
Kur nėra sukurtos tinkamos kontrolės
praktikos (jos neefektyvios, neveiksmingos),
reikia vertinti kontrolės tikslo rezultatus.
2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)
IT AUDITO PRAKTIKA IR
METODAIVeiklos tikslai
IT tikslai
IT procesai
Kontrolės tikslai
Kontrolės praktikos
Kur nėra sukurtos kontrolės praktikos, reikia
vertinti IT proceso rezultatus (kaštų ir veiklos
efektyvumas, proceso poveikis, rezultatai ir t.t.).
2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)
IT AUDITO PRAKTIKA IR
METODAIVeiklos tikslai
IT tikslai
IT procesai
Kontrolės tikslai
Kontrolės praktikos
Brandos modelis (CMM) yra bendrinis ir padeda COBIT naudotojams suprasti,
ko reikia norint sukurti rezultatyvias IT vidaus kontrolės priemones, ir
padedantis nustatyti, kurioje brandos skalės vietoje yra Jūsų organizacija.
IT proceso
vidaus kontrolės
branda
arbaIT
vidaus kontrolės
branda
CMM SKALĖ
CMM VERTINIMO APRAŠYMAS
2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)
IT AUDITO PRAKTIKA IR
METODAIVeiklos tikslai
IT tikslai
IT procesai
Kontrolės tikslai
Kontrolės praktikos
CMM VERTINIMO APRAŠYMAS
2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)
IT AUDITO PRAKTIKA IR
METODAIVeiklos tikslai
IT tikslai
IT procesai
Kontrolės tikslai
Kontrolės praktikos
CMM SKALĖ
Neegzist-uojantis
3 50 1 2 4
Pirminisad hoc
Pasikartojantis, bet intuityvus
Apibrėžtas Valdomas ir vertinamas
Optimalus
Organizacijų dabartinė branda
Tarptautinių standartų gairės
Tarptautinės geriausios praktikos
Strateginė siekiamybė
0 – Nesuprantama apie vidaus kontrolės poreikį.1 – Šiek tiek suprantama apie vidaus kontrolės poreikį.2 – Sukurtos, tačiau nedokumentuotos kontrolės priemonės.3 – Kontrolės priemonės sukurtos ir tinkamai dokumentuotos.4 – Veikia rezultatyvi vidaus kontrolės ir rizikos valdymo aplinka.5 – Visos organizacijos rizikos ir kontrolės programa užtikrina nuolatinį rezultatyvų kontrolės ir rizikos problemų sprendimą.
2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)
IT AUDITO PRAKTIKA IR
METODAIVeiklos tikslai
IT tikslai
IT procesai
Kontrolės tikslai
Kontrolės praktikos
CMM VERTINIMAS
5- Optimalus
4- Valdomas ir vertinamas
3- Apibrėžtas P
2- Pasikartojantis, bet intuityvus L
1- Pirminis ad hoc N P F P
0 - Neegzistuojantis F F N P F L
IT PROCESAI AI1 AI2 AI3 DS2 DS5 DS11
2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)
Galimi vertinimo
tikslai
Veiklos gyvavimo
ciklas, atsakomybė
Vertinimo tikslas (ai)
Tikslai ir procesai
IT AUDITO PRAKTIKA IR
METODAIVeiklos tikslai
IT tikslai
IT procesai
Kontrolės tikslai
Kontrolės praktikos
Išrinkti, atlikti priežasties/poveikio
analizę.
Išrinkti, atlikti priežasties/poveikio
analizę.
Pasirinkti veiksmingiausias
efektyviausias
R
I
Z
I
K
O
S
V
E
R
T
I
N
I
M
A
S
Rizikų sąrašas
IT valdymo įvertinimas CMM
2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)
Ačiū!
Klausimai...