220 likes | 491 Views
Kuidas tehakse IS auditit Vilmar Vahe. IS auditeerimise teabepäev , Tallinn, 05 . 02 .200 4. Ettekande osad: Kuidas tehakse IS auditit – lühike ülevaade Hansapanga kogemused COBIT-i kasutamisel, 2 näidet. Kuidas tehakse IS auditit?. Kuidas tehakse IS auditit (1/6).
E N D
Kuidas tehakse IS audititVilmar Vahe IS auditeerimise teabepäev, Tallinn,05.02.2004.
Ettekande osad: • Kuidas tehakse IS auditit – lühike ülevaade • Hansapanga kogemused COBIT-i kasutamisel, 2 näidet
Kuidas tehakse IS auditit (2/6) AUDITI SAMMUD Tundmaõppimine Juhtimismeetmete hindamine Vastavuse hindamine Riski tõendamine
Kuidas tehakse IS auditit (3/6) Tundmaõppimine Auditi sammud, mis tuleb sooritada juhtimiseesmärkidele alluvate tegevuste dokumenteerimiseks ning teatatud juhtimismeetmete või protseduuride olemasolu väljaselgitamiseks. Küsitlege asjaomast juhtkonda ja personali, et saada teada • ärinõuded ja nendega seotud riskid • organisatsiooni struktuur • rollid ja vastutused • poliitikad ja protseduurid • seadused ja eeskirjad • kehtestatud juhtimismeetmed • aruandlus juhtkonnale (seis, sooritus, tegutsemist nõudvad asjaolud) Dokumenteerige protsessiga seotud IT-ressursid, mida vaatlusalune protsess eriti mõjutab. Leidke kinnitust läbivaadatava protsessi, protsessi kesksete sooritusnäitajate (KSN) ja juhtimisjärelduste mõistmisele näiteks protsessi mõttelise läbikäimisega.
Kuidas tehakse IS auditit (4/6) Juhtimismeetmete hindamine Auditi sammud, mis tuleb sooritada kehtestatud juhtimismeetmete tõhususe või juhtimiseesmärgi saavutamise määra hindamiseks. Põhiliselt otsustamine, mida, kas ja kuidas testida. Hinnake juhtimismeetmete sobivust vaatlusalusele protsessile, arvestades väljaselgitatud kriteeriume, ala standardpraktikaid ja juhtimismeetmete kriitilisi edutegureid (KET) ning rakendades audiitori professionaalset hinnangut. • Dokumenteeritud protsessid on olemas. • Asjakohased väljastatavad saadused on olemas. • Vastutus ja jälitatavus on selged ja toimivad. • Vajalikes kohtades on olemas kompenseerivad juhtimismeetmed. Järeldage, mil määral juhtimiseesmärk saavutatakse..
Kuidas tehakse IS auditit (5/6) Vastavuse hindamine Auditi sammud, mis tuleb sooritada veendumiseks, et kehtestatud juhtimismeetmed toimivad vastavalt ettekirjutusele, järjekindlalt ja pidevalt, ning järelduse tegemiseks juhtimiskeskkonna sobivuse kohta. Hankige valitud objektide või perioodide kohta otsest või kaudset tõendmaterjali veendumiseks, et vaatlusalusel perioodil on protseduure järgitud; tõendage seda nii otsese kui ka kaudse materjaliga. Sooritage protsessi saaduste adekvaatsuse piiratud läbivaatus. Määrake IT-protsessi adekvaatsuses veendumiseks vajaliku tõendava testimise ja lisatöö tase.
Kuidas tehakse IS auditit (6/6) Riski tõendamine Auditi sammud, mis tuleb sooritada juhtimiseesmärgi saavutamata jäämisest tuleneva riski tõendamiseks analüütiliste meetoditega ja/või alternatiivseid allikaid konsulteerides. Eesmärk on põhjendada arvamust ja "raputada" juhtkond tegutsema. Selle, sageli tundliku ja konfidentsiaalse informatsiooni leidmiseks ja esituseks peavad audiitorid tegutsema loovalt. Dokumenteerige juhtimise nõrgad kohad ning neist tulenevad ohud ja nõrkused. Selgitage välja ja dokumenteerige tegelik ja potentsiaalne toime, nt kausaalanalüüsiga. Hankige võrdlusinformatsiooni, nt etalonandmetena.
Hansapanga praktika COBIT juurutamisel – näide 1 (1/3) Kogemus protsesside prioriteetide määra-misel Eesmärk: alustada protsesside parendamist Hansapanga IT-s Probleem: COBIT jaotab IT 4-ks alaks ja siis veel omakorda 34 protsessiks. Millest alustada? Mida tegime:- leppisime IT juhtkonnas kokku meie töö eesmärgis – saavutada käegakatsutavaid tulemusi 6 kuu perspektiivis - lähtuvalt töö eesmärgist teostasime esmase valiku COBIT protsessidest – alles jäi 15 protsessi - teostasime nende 15 protsessi vahel grupitööna paariti võrdlemise, kus nn. selles paaris võitjaks tulnud protsess sai 1 punkti. Selle tulemusena tekkis protsesside pingerida - määrasime protsessidele vastutajad, kes moodustasid töögrupid ja töötasid välja tööplaanid
Hansapanga praktika COBIT juurutamisel – näide 1 (2/3) Protsesside prioriteetide tabel
Hansapanga praktika COBIT juurutamisel – näide 1 (3/3) Kokkuvõtteks näitest 1 • olime järjestanud IT protsessid tähtsuse järjekorda • olime ühtlustanud IT juhtkonnas arusaamad olulisest ja vähem olulisest • olime algatanud mitmete protsesside parendamise • samaaegselt oli palju protsesse, mis vajasid parendamist • tuleb hakata asju tegema teisiti kui siiani oleme teinud -> tegemist on kultuurimuudatusega organisatsioonis -> elluviimine nõuab palju eestvedamist ja aega
Hansapanga praktika COBIT juurutamisel – näide 2 (1/8) Enesehindamine lähtuvalt COBIT küpsusmudelitest 1. Alamprojektide (eelmisest näitest) töögruppidele oli ülesandeks hinnata olemasolevaid tööprotsesse lähtuvalt COBIT küpsusmudeli nõuetest ning selliselt määratleda meie praegune tase. 2. Analüüsides küpsusmudelit määratleda tase, milleni jõudmist peame meie organisatsiooni puhul otstarbekaks.NB! Siin tuleb selgema pildi saamiseks kindlasti üle vaadata Detailsed Juhtimiseesmärgid, mille põhjal tekib palju selgem arusaam, mida täpselt erinevate juhtimiseesmärkide ja küpsustaseme nõuete all mõeldakse. 3. Analüüsida erinevusi olemasoleva taseme ja soovitava taseme vahel ning panna paika tegevuskavad protsesside parendamiseks
Hansapanga praktika COBIT juurutamisel – näide 2 (2/8) Detailsemalt vaatleme protsessi PO7 – Inimressursside juhtimine
Hansapanga praktika COBIT juurutamisel – näide 2 (3/8) PO7 - IT protsessiInimressursside juhtimine, mis rahuldab ärinõuetmaksimeerida personali panust IT-protsessides, haldamine võimaldatakse kasutades õiglaseid ja arusaadavaid personalijuhtimise meetodeid ja selline juhtimine võtab arvesse: • värbamise ja edutamise • koolituse ja kvalifikatsiooninõuded • töötajate teadlikkuse tõstmise • ristkoolituse ja ümberpaigutamise • töölevõtmise ja lahkumise protseduurid • objektiivse ja mõõdetava töösoorituse hindamise • valmiduse tehnilistele ja ka turumuudatustele reageerimiseks • sobiva proportsiooni sisemiste ja välimiste ressursside vahel • võtmeisiku riski maandamise (asendatavuse tagamise)
Hansapanga praktika COBIT juurutamisel – näide 2 (4/8) PO7 Inimressursside juhtimine Detailsed juhtimiseesmärgid: 1 Personali värbamine ja edutamine 2 Personali kvalifikatsioon 3 Rollid ja vastutused 4 Personali koolitus 5 Ristkoolitus ehk personali asendatavus 6 Personali turvakontroll 7 Töötaja töösoorituse hindamine 8 Ümberpaigutamine ja töösuhte lõpetamine
Hansapanga praktika COBIT juurutamisel – näide 2 (5/8) 7.1 Personali värbamine ja edutamine Juhtimiseesmärk Juhtkond peaks juurutama ja regulaarselt uuendama personali värbamiseks ja edutamiseks vajalikke protsesse, mis põhineksid objektiivsetel kriteeriumidel ning võtaksid arvesse kandidaatide haridust, kogemust ja eelnevat vastutuse määra. Antud protsessid peaksid olema kooskõlas organisatsiooni vastavate üldpoliitikate ja protseduuridega.
Hansapanga praktika COBIT juurutamisel – näide 2 (8/8) Kokkuvõtteks näitest 2 - läbi viidi juhtimiseesmärkide hindamine lähtuvalt küpsusmudelist- määratleti iga juhtimiseesmärgi soovitav tase, kuhu soovime jõuda - iga juhtimiseesmärgi kohta loodi tegevuskava soovitud taseme saavutamiseks • tegevuskavade elluviimine võtab aega • eksisteerivad selged sõltuvused muude protsessidega, millede tulemused on sageli hädavajalikud PO7 edasisel korrastamisel, näiteks kompetentsimudel sõltub kasutatavast arendusmetoodikast jne.