Tarptautinės praktikos taikymas vertinant IT valdymą - Tarpt praktika vertinant IT.pdf · 2013 m....

2013 m. kovo 26 d. (Valstybės kontrolė, Pamėnkalnio g. 27, Vilnius)

Informacinių sistemų ir infrastruktūros audito departamento

Informacinių sistemų audito skyriaus vyriausiasis valstybinis auditorius

Rimgaudas Gamulis

Tarptautinės praktikos taikymas

vertinant IT valdymą


IT VALDYMAS

COBIT, ISO 2700x, ITIL, PMBOOK, PRINCE2 ir kt.


Daugiau informacijos

rasite čia:http://www.isaca.org/

IT VALDYMO VERTINIMAS

Viena iš pažangiausių IT valdymo metodikų.COBIT 4.1 lietuvių kalba galima nemokamai parsisiųsti čia: http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx

IT audito standartai ir gairės.

IT audito praktikos ir

metodai.COBIT 5 IT audito praktikos ir

metodikos leidinys dar neparengtas.

http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx





IT AUDITO PRAKTIKA IR

METODAI•Padeda planuoti IT valdymo vertinimą:

greitai įvertinti rizikas;

tinkamai įvertinti grėsmes, pažeidžiamumus ir poveikį veiklai;

nustatyti veiklos ir/ar projekto riziką (as);

planuoti remiantis rizikos įvertinimu;

nustatyti kritinius IT procesus;

įvertinti procesų brandą.

•Padeda nusistatyti IT valdymo vertinimo apimtį:pasirinkti kritinių procesų kontrolės tikslus;

tinkamai pritaikyti kontrolės tikslus.

•Padeda įvertinti IT valdymą:tiksliau suprasti kaip atlikti IT vertinimą;

suprasti apie pagrindinių IT kontrolės tikslų taikymo sritis;

išbandyti kontrolės procedūrų veiksmingumą;

išbandyti pagrindinių kontrolės tikslų rezultatus;

aprašyti kontrolės silpnų vietų poveikį;

pateikti išvadas ir rekomendacijas.

IT audito praktikos ir metodikos

aprašymuose nerasite parengtų IT

valdymo vertinimo programų ar

klausimynų, kuriuos iškart būtų galima

naudoti.

Tačiau pasinaudoję IT audito praktikos ir

metodikos aprašymais galėsite greitai ir

efektyviai sudaryti IT valdymo vertinimo

programas ar klausimynus, atitinkančius

Jūsų veiklos aplinką.


Galimi vertinimo

tikslai

Veiklos gyvavimo

ciklas, atsakomybė

Vertinimo tikslas (ai)

Tikslai ir procesai

Veiklos tikslai

IT tikslai

IT procesai

Kontrolės tikslai

Kontrolės praktikos

Išrinkti, atlikti priežasties/poveikio

analizę.


analizę.

Pasirinkti veiksmingiausias

efektyviausias

ESMĖ - nustatyti svarbiausius

elementus, kad būtų galima

veiksmingai, efektyviai ir taupiai

atlikti IT valdymo vertinimą.

Rizikų sąrašas


METODAI



METODAIVeiklos tikslai

IT tikslai

IT procesai

Kontrolės tikslai


•Veiklos tikslai -> IT tikslai -> IT

procesai -> siejami naudojant COBIT

lentelėmis ir aprašymais.

•IT procesus rinktis atsižvelgiant į

vertinimo tikslus, apimtis ir galimybes.

•COBIT 4.1 - PO1, PO5, PO6, PO9,

AI1, AI2, AI3 – tarptautinės praktikos

išskiriami kaip svarbesni IT procesai.

•Vadovybės IT brandos įsivaizdavimas

ir poreikiai prieš vertinimą.




IT tikslai

IT procesai

Kontrolės tikslai


Rizikos analizė:

•Ar nėra

asmeniškumų?

•Ar esame

objektyvūs?

•Ar uždavėme

tinkamus

klausimus?

• Ar nesame

įtakojami

“skandalingos”

informacijos?

•Ar teisingai

įvertiname savo

galimybes?

Išteklių įvertinimas

Grėsmių įvertinimas

Pažeidžiamumų įvertinimas

Poveikio įvertinimas

Apsaugos priemonių nustatymas

Rizikos valdymo sprendimas

Kaštų naudos analizė


analizę.


analizę.

R

I

Z

I

K

O

S

Būtinaanalizuoti, tikrinti

ir optimizuoti kiekvieną

pasirinkimą!



METODAIIšteklių įvertinimas

Grėsmių įvertinimas

Pažeidžiamumų įvertinimas

Poveikio įvertinimas

Apsaugos priemonių nustatymas

Rizikos valdymo sprendimas

Kaštų naudos analizė

R

I

Z

I

K

O

S

•Atkuriamoji vertė

•Galimos sąnaudos

•Galima žala

•Kritiškumas /

jautrumas

•Rizikos suvokimas

•Turto vertės suvokimas

•Rizikos tolerancija

Savininkai

Vertybės

•Nustatymas

•Pajėgumai

•Motyvas

•Ištekliai

Grėsmės sukėlėjas

•Rezultatas (poveikis,

tikimybė, mastas)

•Nepageidaujamumas

•Priemonės

Grėsmės

•Mastas

•Pritaikomumas

Pažeidžiamumai

•Tikimybė

•Poveikis

•Likutinė rizika

Rizikos

•Veiksmingumas

•Tikslingumas

•Tvarumas

•Kaina

Apsaugos priemonės

išnaudoja

sukelia turi

padeda išvengti

arba sumažinti

nustato

susirūpinę dėlsumažina

sukelia

apsaugo ir

nustato




IT tikslai

IT procesai

Kontrolės tikslai


•Kontrolės tikslai skirti valdyti rizikas ir (arba)

padeda pasiekti aukštesnių pakopų tikslus.

•IT vertintojas turi :

1. Žinoti/suprasti kontrolės tikslą (kodėl ji

reikalinga).

2. Žinoti/suprasti kokiais duomenimis pasitiki.

3. Suprasti kodėl pasitiki vienais ar kitais

duomenimis.




IT tikslai

IT procesai

Kontrolės tikslai


Reikia įsitikinti, kad kontrolės tikslui pasiekti

sukurtos kontrolės priemonės t. y.:

a. Ar kontrolės priemonės egzistuoja?

b. Ar kontrolės priemonės sukurtos atsižvelgiant į gerąją

praktiką?

c. Ar kontrolės priemonės veiksmingos (įgyvendintos,

nuosekliai vykdomos ir tinkamai naudojamos)?

d. Ar kontrolės priemonės veikia efektyviai (paremtos

kaštų/naudos analize, kur įmanoma automatizuotos)?

Kontrolės dizainas(priemonės)




IT tikslai

IT procesai

Kontrolės tikslai



Jei sukurtos kontrolės priemonės, reikia vertinti

kontrolės praktikas:a. Ar kontrolės praktikos veiksmingos (įgyvendintos,

nuosekliai vykdomos ir tinkamai naudojamos)?

b. Ar kontrolės praktikos efektyvios (paremtos

kaštų/naudos analize, jei įmanoma automatizuotos)?




IT tikslai

IT procesai

Kontrolės tikslai


Kur nėra sukurtos tinkamos kontrolės

praktikos (jos neefektyvios, neveiksmingos),

reikia vertinti kontrolės tikslo rezultatus.




IT tikslai

IT procesai

Kontrolės tikslai


Kur nėra sukurtos kontrolės praktikos, reikia

vertinti IT proceso rezultatus (kaštų ir veiklos

efektyvumas, proceso poveikis, rezultatai ir t.t.).




IT tikslai

IT procesai

Kontrolės tikslai


Brandos modelis (CMM) yra bendrinis ir padeda COBIT naudotojams suprasti,

ko reikia norint sukurti rezultatyvias IT vidaus kontrolės priemones, ir

padedantis nustatyti, kurioje brandos skalės vietoje yra Jūsų organizacija.

IT proceso

vidaus kontrolės

branda

arbaIT

vidaus kontrolės

branda

CMM SKALĖ

CMM VERTINIMO APRAŠYMAS




IT tikslai

IT procesai

Kontrolės tikslai


CMM VERTINIMO APRAŠYMAS




IT tikslai

IT procesai

Kontrolės tikslai


CMM SKALĖ

Neegzist-uojantis

3 50 1 2 4

Pirminisad hoc

Pasikartojantis, bet intuityvus

Apibrėžtas Valdomas ir vertinamas

Optimalus

Organizacijų dabartinė branda

Tarptautinių standartų gairės

Tarptautinės geriausios praktikos

Strateginė siekiamybė

0 – Nesuprantama apie vidaus kontrolės poreikį.1 – Šiek tiek suprantama apie vidaus kontrolės poreikį.2 – Sukurtos, tačiau nedokumentuotos kontrolės priemonės.3 – Kontrolės priemonės sukurtos ir tinkamai dokumentuotos.4 – Veikia rezultatyvi vidaus kontrolės ir rizikos valdymo aplinka.5 – Visos organizacijos rizikos ir kontrolės programa užtikrina nuolatinį rezultatyvų kontrolės ir rizikos problemų sprendimą.




IT tikslai

IT procesai

Kontrolės tikslai


CMM VERTINIMAS

5- Optimalus

4- Valdomas ir vertinamas

3- Apibrėžtas P

2- Pasikartojantis, bet intuityvus L

1- Pirminis ad hoc N P F P

0 - Neegzistuojantis F F N P F L

IT PROCESAI AI1 AI2 AI3 DS2 DS5 DS11


Galimi vertinimo

tikslai

Veiklos gyvavimo

ciklas, atsakomybė

Vertinimo tikslas (ai)

Tikslai ir procesai



IT tikslai

IT procesai

Kontrolės tikslai



analizę.


analizę.

Pasirinkti veiksmingiausias

efektyviausias

R

I

Z

I

K

O

S

V

E

R

T

I

N

I

M

A

S

Rizikų sąrašas

IT valdymo įvertinimas CMM


Ačiū!

Klausimai...

Tarptautinės praktikos taikymas vertinant IT valdymą - Tarpt praktika vertinant IT.pdf · 2013 m....

Documents

Transcript of Tarptautinės praktikos taikymas vertinant IT valdymą - Tarpt praktika vertinant IT.pdf · 2013 m....