21 сентября, четверг 22:39
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Аудит IT-систем и подразделенийV

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Аудит IT-систем и подразделенийV

    В любом банке есть подразделения, отвечающие за автоматизацию. И, по логике, они тоже должны проверяться службой внетреннего контроля. Подскажите какие-нибудь методики или планы по которым можно проверить автоматизаторов.

  • #2
    Вообще экономисту этим заниматься бесполезно. И по идее в штате отдела внутреннего контроля должен быть один программист (но очень крутой), который занимался бы исключительно такими проверками. Но вот насколько это все реально...

    Комментарий


    • #3
      Вот я такой и есть :-)))
      Но ощущается нехватка нормативно-справочной документации по организации проверок. Может кто поможет?

      Комментарий


      • #4
        Аудит информационных подразделений банка?

        Советую начать с www.confident.ru и ищите далее!

        ------------------

        Комментарий


        • #5
          Моё почтение...
          Случайно вылез на ваш форум и очень был рад этому, хоть какая-то информация!!!
          Хотел бы поговорить вот о чём... Аз есмь внутренний аудитор одного из самых крупных ком. банков в Кыргызстане, занимаюсь аудитом валютных операций, операций с ценными бумагами, но самое главное - аудитом информационных систем. До этого я был программером, а потом занимался телекоммуникациями. К сожалению, я в городе один аудитор такого рода и мне пока не с кем общаться.. Очень хотелось бы обменяться опытом, касательно инфо. систем с россиянами, так как считаю, что вы более продвинуты в этом направлении... У меня достаточно много информации по этому поводу, а кроме того опыт общения со специалистами ISACA и FINNIDA, по требованию которых я и стал аудитором в банке.
          Вот... Я думаю, что мы бы смогли не только обмениваться информацией, но и предлагаю любую помощь с моей стороны, по поводу любых посильных мне вопросов....(мне это самому интересно, так как очень хотелось бы узнать, с какими проблемами сталкиваетесь вы). И ещё, очень интересен мне вопрос по поводу взаимоотношений проверяющих и проверяемых...Ведь сами понимаете....всё не так просто... ))
          Сапсибо...anyway )))

          ------------------
          Удача любит подготовленный разум...
          Удача любит подготовленный разум...

          Комментарий


          • #6
            Здравствуйте!!!
            Я просто не сразу заметил ваше сообщение.
            Возможно, я смогу Вам помочь!!!
            Только, если можно, поконкретнее, а то, как Вы сами понимаете, тема довольно обширная...
            Можете писать мне на мыло, но я так понимаю, что тут есть некое соглашение, не уводить всю переписку в приват....Так, что, можем общаться и тут...

            ------------------
            Удача любит подготовленный разум...
            Удача любит подготовленный разум...

            Комментарий


            • #7
              В первую очередь интересуют темы и планы проверок информационных подразделений банка. Вот что я могу предложить с ходу:
              - проверка адекватности штатной структуры подразделения
              - проверка наличия и выполнения планов работы
              - проверка обоснованности закупки оборудования и программ

              А что такое ISACA и FINNIDA?

              Если удобно - можно общаться по мылу vua@mail.ru

              Комментарий


              • #8
                Привет Павел!

                Меня зовут Константин Лежнин. Я - аудитор информационных систем из PricewaterhouseCoopers. Решил написать, т.к. мой коллега Дмитрий Балюк рассказывал о вашем банке. Молодцы, что созрели до отдельной должности компьтерного аудитора. Не многие еще до этого доросли.

                Постараюсь поучаствовать в дискуссии.

                У нас в конторе ISACA в почете. Да вроде и нет другой профессиональной организации подобного профиля. При этом нас как и у любых профессионалов есть своя профессиональная квалификация - CISA (Certified Information Systems Auditor). Сертификация проводится ISACA
                в Москве. В этом году экзамен будет 9 июня. Информация о экзаменен - www.isaca.org.

                По собственному опыту могу сказать, что сертификация - это полезная вещь. С одной стороны упорядочивает мысли, а с другой позволят более методологически подходить к решению практических вопросов. Да и вообще - становишься специалистом международного уровня ;-).

                Я слышал, что за месяц до экзамена российское отделение ISACA будет проводить учебу и подготовку к экзамену. Стоимость 1 недельного курса около $ 400. Если будет интересно - могу дополнительно написать.

                Комментарий


                • #9
                  To Константин
                  Свяжитесь, плиз, со мной мылом.
                  Попрошу инфо о координатах вашего коллеги.

                  Комментарий


                  • #10
                    Ну наконец-то интерес проявили!!!
                    Здравствуйте!!!
                    Так, сначала ответ Вадиму:
                    Само собой, то, что Вы написали это правильно!
                    Хотя вот проверка обоснованности закупки программ и оборудования меня смутила... Это уже по-моему к аудиту инфо систем не относится...
                    А вот, что могу добавить!
                    - Аудит прикладных программ
                    - Сравнение программных средств контроля с общим контролем
                    - Аудит информационной безопасности (сюда много чего входит)
                    - Аудит телекоммуникаций (в инфо безопасность не входит!!!!)
                    - Аудит платёжных систем (как собственных, так и S.W.I.F.T., Western Union и т.д.)
                    Ну вот...там ещё много чего можно навставлять, но эти - основные.
                    ISACA - это институт внутренних аудиторов по информационным системам.
                    FINNIDA - это такой финский проект, который тут нашими банками занимается...
                    Теперь Константину.
                    На самом деле наш банк бы и не созрел до такой должности...Спасибо Финниде...
                    Хотя, вот теперь и наш Национальный Банк созрел до такой должности. Вчера от председателя НБКР пришло письмо с просьбой о моём переводе к ним...Ну что же, я в принципе согласен. Меня очень заинтересовала информация о сертификации!! И обучение тоже! Если Вам не трудно, то пожалуйста отправьте мне более подробную информацию!!
                    Ах дааа!!! И привет Дмитрию!!! Он ведь мой земляк!!
                    P.S. Требую продолжения обсуждения!


                    ------------------
                    Удача любит подготовленный разум...
                    Удача любит подготовленный разум...

                    Комментарий


                    • #11
                      Привет всем!

                      Рад, что ответ вызвал интерес. Решил написать подробнее о сертификации в конференцию - пусть все читают.

                      Итак, CISA - профессиональная квалификация аудиторов информационных систем. Кто такие эти компьютерные аудиторы - у нас в стране довольно странное представленгие. Мол логи Windows и Novell смотрят, и вообще заведуют безопасностью. 3 года назад, когда я начинал работать вообще было странное отношение (особенно когда звонишь ИТ специалистам и представляешься металлическим голосом - "Здравствуйте! Я компьютерный аудитор" ;-). В последнее время наметился значительный прогресс. Даже где-то в обявлении о приеме на работу видел, что требуется обязательно CISA.


                      Экзамен по сертификации на CISA третий год проводится в Москве во вторую субботу июня. Экзамен на английском языке и вообще все документы на английском. Экзамен сложный сам по себе и особенно из-за мудреного английского. Хотя в общем-то это довольно специальный компьютерный английский и если есть опыт работы в этой области можно сдать.

                      Экзамен представляет собой ответ на 200 вопросов MCQ с 4 вариантами ответов. На экзамен дается 4 часа, так что на каждый ответ чуть больше 1 минуты. Необходимо набрать минимум 75%. На сайте www.isaca.org есть все информация + образцы экзаменационных вопросов.

                      По-моему опыту, здать экзамен с первого раза очень трудно. Во-первых, сами вопросы очень своеобразные. Ответ за одны минуты ну никак не придумаешь. Толко зубрить материалы ISACA и советоваться с коллегами (до экзамена, естественно). Во-вторых, обстановка очень нервная - ответы заполняешь на отдельном листочке, зарисовывая карандашом маленькие кружочки, время не хватает. И все в таком духе.

                      Образцы вопросов есть на сайте ISACA, а также на сайтах зарубежных отделений (очень развито в США).

                      За месяц или до экзамена полезно сходить на учебу - около одной недели часа по 2 в день (с 18:00 по 21:00). Выдаются все необходимые книги + домашнее задание на месяц. Очень рекомендуется перед экзаменом.

                      Сам экзамен тоже платный. Цены - на сайте ISACA.

                      Сейчас организуем сайт про ISACA на русском языке - www.isaca.narod.ru. Но там еще ничего нет.

                      Пока все.
                      Константин.

                      Комментарий


                      • #12
                        Рад приветствовать участников обсуждения!
                        Может кто-нибудь подскажет: где можно найти материалы (желательно все-таки на русском) по данной теме? Кстати интересно, кто в принципе (если говорить все-таки о внешнем аудите по "российским стандартам") может являться заказчиком подобных проверок и для каких целей? Удовольствие не из дешевых...

                        ------------------
                        С уважением, Аудитор
                        С уважением, Аудитор

                        Комментарий


                        • #13
                          Вот пара ссылок: http://www.jetinfo.ru/1999/9/1/article1.9.1999.html http://www.jetinfo.ru/1998/1/2/article2.1.1998.html
                          На самом деле информации по этой теме очень мало.
                          А на счёт того, кто может быть заказчиком, могу сказать следующее:
                          Уже сейчас аудит инфосистем входит в стандартный набор комплексного аудита большой пятёрки...
                          Вот так-то...
                          Удача любит подготовленный разум...

                          Комментарий


                          • #14
                            То Auditor

                            По моему опыту заказчиками аудита информационных систем являются руководители крупных организация, которые заинтересованы в контроле за развитием ИТ. Часто затраты на ИТ настолько значительные (например в банках и финансовых организациях), что отсутсвие контроля просто ставит под угрозу эффективность инвестиций. Или представь, нефтяная компания внедряет SAP. Бюджет внедрение будет точно больше 10 млн. долл. Неужели дорого заплатить 50-200 тыс. долл. за то, что бы все прошло как надо? На западе это обычная практика.

                            Кроме того есть куча услуг направленных, на организацию системы внутреннего контроля на предприятии, организации информационной безопасности. Не только всякие там firewallы, Аккорды и проч., т.е. не решение мелких локальных задач, а действительно организация контроля за процессом эксплуатации ИТ и обработки данных.

                            Я пока не знаю таких российских фирм, которые могли бы оперировать не только эпохальными решениями Гостехкомиссии и ФАПСИ, но и подойти к организации инормационной безопасности с точки зрения бизнеса. Определить необходимый уровень затрат на безопасность, чтобы "замок не был дороже амбара".

                            А если говорить с точки зрения финансового аудита (пускай даже по российским стандартам), то как аудитор может оценить уровень внутреннего контроля, если основные контроли в области ИТ. А такие операции как расчет процентов в банке как проверить, если считает компьютер? А кто имеет доступ к функции расчета и отражения по счетам? А как хранятся данные о процентных ставках? А кто имеет доступ к редактированию данных на системном уровне? А кто контролирует администратора АБС? И пошло поехало - аудит инфромационных систем в одном из проявлений.

                            Кстати существуют российские аудиторские стандарты:

                            - "Оценка риска и внутренний контроль. Характеристика и учет среды
                            компьютерной и информационной систем"

                            - "Проведение аудита с помощью компьютеров"

                            - "Аудит в условиях компьютерной обработки данных"

                            и другие, которые невыполнять просто нельзя. Поэтому если аудитор проводит проверку организации со значительным уровнем компьтеризации (а где он низкий)и при этом выдает аудиторское заключение и не проверяет инфромационные системы, то он просто нарушает российские стандарты аудита.

                            Ну это так лирические теоретические отступления.

                            По поводу информации на русском языке действительно трудно. Практически ничего нет. Все методики и стандарты западные. В принцие есть планы перевести стандарты ISACA на русские язык, но они настолько фундаментальные, что приктически не переводятся ;-).

                            Была недавно статья в российском РС Week, можно найти на их сайте.

                            Так что перспективы у этого направления есть.

                            Константин.

                            Комментарий


                            • #15
                              А как насчет упомянутых российских аудиторских стандартов?
                              В смысле опубликования?

                              С уважением,

                              Комментарий


                              • #16
                                То ААР:
                                Они все в Гаранте и в Консультанте есть, правда на практике мало кто из заказчиков стандартных аудиторских процедур (имеющих целью подтверждение отчетности составленной по "российским стандартам") позволяет внешнему аудиту "совать нос" в его софт. "Банковская и коммерческая тайна" говорят. Кстати протестировать правильность настройки софта зачастую можно и не "залезая" в него.
                                А насчет тайн - даже к вкладам физлиц не всегда и везде допускают, а уж к софту-то и подавно. И зачастую приходится с этим мириться: дисклямеров понавтыкаешь по всему отчету, а в итоге подверждение отчетности... А все из-за того, что если будешь выкоблучиваться - лишат контракта: альтернативных предложений от аудиторов не напрягающих себя и клиента "лишними" вопросами - масса. Вот если бы музыку (аудит то есть) заказывали бы не менеджеры, а собственники предприятий (как это должно быть в теории), тогда разговор мог быть другой. И аудит может быть и был бы действительно НЕЗАВИСИМЫМ.
                                Извините за отступление от темы: наболело.

                                ------------------
                                С уважением, Аудитор
                                С уважением, Аудитор

                                Комментарий


                                • #17
                                  Поздравляю всех участвующих в рубрике!
                                  Наконец-то процесс немного пошел, а то в прошлом году было здесь вяло.

                                  Я - внутренний аудитор по информационным технологиям регионального банка, программер с стажем, работаю во внутреннем контроле полтора года.



                                  1.Констатация факта.В своей работе испытываю проблему с методиками, в чем, думаю, не одинок. После знакомства с материалами ISACA, которые ориентированы действительно скорее на консалтинг и крупные фирмы, отложил их пока на будущее.Хотя мб участие в этом форуме и будет стимуливать возврат к фундаментальности.
                                  Пока приходится идти нецивилизованным путем, и применительно к нащей суровой банковской действительности составлять свои самопальные методики, что не очень профессионально.

                                  2.Кроме аудита инфо систем, стандарт "Аудит в условиях КОД"
                                  предполагает автоматизацию аудиторских бухгалтерских процедур (дополнительно к тому, что есть в АБС). Каково ваше мнение об этой деятельности? Может кто-нибудь знает о существовании подобных программ
                                  или систем?

                                  Комментарий


                                  • #18
                                    С удовольствием прочитала обмен мнениями по данной теме. У меня просьба ко всем. Может кто-нибудь сможет рассказать поподробнее, как проводить контроль за состоянием информационной системы банка и ее безопасностью. Какие выходные документы по результатам контроля (отчеты, акты ...)? Может у кого-то есть "рыбы" данных документов, просто не хватает времени изобретать велосипед. Где можно посмотреть какие-либо методики на эту тему на русском языке? Или кто-то желает поделится собственным опытом.Буду благодарна всем кто ответит, можно по мылу.

                                    Комментарий


                                    • #19
                                      Я не аудит, я внутренний контроль. Просто наши интересы пересеклись.
                                      Как внутренний контроль я обязана проверять контроль за состоянием информационной системы банка и ее безопасностью, информация об этом входит в состав годового отчета банка. А информации и опыта по этому вопросу у меня пока еще не достаточно. Буду благодарна за помощь. Прошу прощения, если не в тему. Но мне это интересно и необходимо для работы.
                                      С уважением.
                                      Лариса.

                                      Комментарий


                                      • #20
                                        Привет всем! Рад, что появилась заинтересованность к теме. Поздравляю, Хэванс_До.

                                        К СДВ:
                                        Насчет автоматизации аудиторской деятельности. Применительно к российским банковским системам я еще не встречал такой АБС, где было бы грубо говоря "рабочее место аудитора". В западных системам (MIDAS, IBIS и проч.) есть специальные модули аудита. Стоят они - как большой функциональный модуль - кредиты или хоз. деятельность. Причем нужно разделять финансовый и операционный аудит (это уже из теории). Финансовый - в основном внешний, а операционный (внутренние контроли там всякие, безопасность). По этой причине аудиторский модуль АБС по сути своей представляет собой набор гибко настраеваемых отчетов(например, такие-то операции свыше такой-то суммы за такие-то периоды в USD) + некоторое количество рутинных отчетов по информационной безопасности (кто менял какие права доступа, какие логины неактивны). В принципе у PwC есть планы по совместной работе в этом направлении с некоторыми крупными российскими разработчиками АБС. (не надо путать с ошибочным пониманием, что аудит ИС - это установление кто и когда регистрировался в системе, кто сделал последнее изменение записи в БД, хотя это тоже иногда нужно).

                                        И еще по поводу фундаментальности. Понятно, что когда ты сидишь в своем банке и пытаешься проверить (читай поставить под контроль)"могушественного" Начальника ИТ и его людей, это практически не выполнимо. Администраторы не допускают до систем, говорят, что ты ничего не поймешь, разработки пытаются перевести разговор на детали и т.д. Мне кажется в этом случае необходимо идти от общего к частному - от общих методик (почитай BS 7799, CobiT, ITMS) к безопасности на уровне ОС (WinNT, UNIX, SWIFT, Oracle) на той же www.isaca.org есть методики проверки отдельных систем. Если будут вопросы по отдельным системам - пишите или звоните. У меня много материалов.

                                        То Larik:

                                        материалов на русском языке не встречал. А форматы отчетов имхо стандартные, как перечислил Хэванс_До.

                                        Всем привет!

                                        Константин

                                        Комментарий


                                        • #21
                                          To Константин

                                          Спасибо за информацию.

                                          Комментарий


                                          • #22
                                            To Larik:
                                            Интересно, я такого не встречал... Если уж на то пошло, то контролем за безопасностью, как раз должна заниматься служба безопасности...
                                            Вы может быть тогда более конкретно напишите, какие системы Вам нужно контролировать?!?!
                                            To all:
                                            Да, а вот интересно, у Вас в банках в структуру СБ входит спец по инфобезопасности? И не мешает ли он Вам работать?
                                            То Константин: (спасибо за поздравление!)
                                            К Вам теперь вопрос, да и ко всем присутствующим тоже.
                                            У Вас в России существуют банки, в которых опердни (АБС) разработаны самими работниками банков (программистами)??? Если да, то необходима ли сертификация таких продуктов скажем в ФАПСИ или ГОСТЕХКОМИССИИ?
                                            Или всё-таки банки предпочитают покупать проги в специализирующихся на этом фирмах? Как Вы думаете, что лучше? Для меня сейчас это очень актуальный вопрос, потому, что в Кайрат Банке собрались менять АБС. Программисты хотят сами писать софт. А мы вот с СБшниками и руководством задумались, может всё же стоит купить ядро где-нибудь у Вас в России, а потом дописывать его своими силами.
                                            У меня ещё много вопросов....
                                            Удача любит подготовленный разум...

                                            Комментарий


                                            • #23
                                              To Larik

                                              Все правильно - безопасность нужно контролировать. Они - самые критичные для банка люди. Контроль за ними - гаранития полноценно организованной системы информационной безопасности. А то - сам придумывают стандарты сами их выполняют и сами себя контролируют - "в банке все информация очень критичная, будем внедрять защиту каналов, закупим Аккорд, пароли юзерам будем сами менять, а то они сами не могут". И все шито-крыто. А на самом деле полный бардак, никакой реальной защиты нет. Изба без окон и с бронированной дверью.

                                              Проверять их просто. Сначала проверь Политику информационной безопасности. Потом распределение полномочий и главное (!) реальной ответсвенности в подразделении безопасности. Поинтересуйся контролируется подразделение автоматизации. Где планы работы на год и бюджет? Какая экономическая эффективность внедрения средств защиты информации? Где анализ рисков с привязкой к системам обработки информации?

                                              Вообще-то можно войти в неконструктивный ступор ;-). Для избежания этого необходимо работать с бывшими сотрудниками ФСБ помягче и понастойчевее.

                                              То Хэванс_До:

                                              СБ отвечает за организацию информационной безопасности, а внутренний аудит или СВК контролирует этот процесс. Всех ли вовлекли, не нарушают ли сами заведенный порядок, не тратят ли необоснованно слишком много денег и наоборот - нет ли "оголенных" участков.

                                              Вообще при организации информационной безопасности можно выделить 4 участвующие силы:

                                              - информационная безопасность - организует, придумывает, эксплуатирует соответствующие средства, советует, консультирует, работает с полльзователями и ИТ;

                                              - пользователи - работают, распоряжаются своими ресурсами (не начальники юридического отдела дает доступ своему подчиненному к кредитному модулю, а начальник кредитного отдела!), в общем делом занимаются

                                              - ИТ - сопровождают, внедряют, программируют, администрируют общие системы

                                              - внутренний аудит - ничего не делают (не имеют права, а то еще и их надо будет контролировать), только контролируют пользователей, ИТ и СБ, что они все делают по стандартам и инструкциям,

                                              При этом самые главные - пользователи. Вся ответсвенность на них. А ИТ и СБ как бы наняты пользователями (руководством банка) как специалисты в своих областях (serivce departments), а внутренний аудит их контролирует от имени тех же пользователей (руководства банка). Что бы там ИТ и СБ не вытворяли, за все отвечают пользователи. Пользователям нужно контролировать ИТ и СБ - так это вн. аудит и делает. Вот такая вот идеальная рекогносцировка. Все другие расклады и вариации - от нехватки денег, людей, навыков и знаний у пользователей и т.д.

                                              Конечно на практике все не так, но кто обещал, что сразу все так будет. Необходимо стремиться к этому. Как это все наладить - читать самому литературу (лучше западную), нанимать консультантов (лучше оттуда же), принимать на работу знающих и опытных людей.

                                              И еще по поводу ФАПСИ и т.д. Многие люди, особенно не связанных с ИТ, до конца не очень понимают обстановку с законодательной стороной этого вопроса. Постараюсь в силу своего понимания немного объяснить.

                                              Во-первых есть закон о лицензировании отдельных видов деятельности. Там указаны такие виды деятельность подлежащих лицензированию:
                                              - проектирование средств защиты информации;
                                              - производство средств защиты информации;
                                              - деятельность по распространению шифровальных средств;
                                              - деятельность по техническому обслуживанию шифровальных средств.

                                              Лицензирующий орган - ФАПСИ. Поэтому не важно какая у Вас система - SWIFT Alliance, VISA или клиент-банк с Вербой, необходима лицензия на, как минимум, деятельность по техническому обслуживанию шифровальных средств. Лицензию на несертифицированные средства защиты информации (SWIFT, VISA)получить сложнее, но можно (например сравни http://www.cyberplat.com/company/license3.htm - не сертифицированное ФАПСИ средство и http://www.cyberplat.com/company/license1.htm - сертифицированное ФАПСИ средство).

                                              Во-вторых, государственные организации имеют право использовать только сертифицированные ФАПСИ средства, а коммерческие могут любые. Главное, чтобы лицензия была.

                                              Добавлю, что точного определения, что такое средства защиты инфромации, криптография и шифрование в законах не обнаружено. Чем кодирование от шифрования отличается сказать сложно. Я только знаю, что криптография делиться на ЭЦП и шифрование.

                                              А вообще-то зачем вам сертификат ФАПСИ в Киргызстане? И еще - по поводу разработки собственной системы - это в конференциях bankir.ru по автоматизации. Там жаркие споры ведутся.

                                              С уважением ко всем присутствующим,
                                              Константин

                                              Комментарий


                                              • #24
                                                To Larik.
                                                Стоп, а какие документы, какие рыбы, отчёты, акты??? Вы ведь аудитор, вы по инфосистемам ни перед кем не отчитываетесь!!! Вы только советуете, даёте рекомендации.
                                                Я так понимаю, что отчёт по аудиту информационных систем должен входить в общий отчёт по комплексному аудиту (типа Проблема ╧, Риск ╧, Рекомендация ╧, Срок выполнения рекомендации ╧) Либо, если это была отдельная проверка по сигналу и т.д., то всё это должно выполняться в виде меморандума председателю правления (или кто у вас там).
                                                Ну, или я не прав???
                                                Удача любит подготовленный разум...

                                                Комментарий


                                                • #25
                                                  to Константин
                                                  Большое человеческое спасибо

                                                  Комментарий


                                                  • #26
                                                    Здравствуйте!

                                                    Приветствую всех обсуждающих и интересующихся этой тематикой!

                                                    To Larik

                                                    Некоторое дополнение к вопросам об отчетах, рыбах, актах и т.п.
                                                    Все это и многое другое, можно посмотреть на www.auditnet.org. Полезная подборка документов, если их критически переработать. На сайте существует база данных шаблонов проведения аудита всего чего угодно от наличных денег до информационных систем (ИС). Можно использовать, до того как будет создана своя собственная база с практическими наработками. Неудобство в необходимости серьезной адаптации, но все равно неплохое подспорье.
                                                    А так же это место объявлений компаний о приеме на работу и база резюме аудиторов ИС. Представлены требования к соискателям, стаж, профессиональные навыки и т.д.

                                                    To Константин (особое приветствие :-)

                                                    1. Программа сертификации CISA. Одно дополнение - оплата за экзамен только до 4 апреля, потом не регистрируют.
                                                    Еще про это можно посмотреть на сайте http://www.iia-ru.divo.ru/ Московский клуб внутренних аудиторов (в основном финансовая деятельность, но попадаются вкрапления ИТ).
                                                    2. Перевод стандарта Cobit на русский язык. Концептуальность стандарта, на мой взгляд, не служит существенным препятствием для его перевода, самая большая проблема, с которой мне пришлось столкнуться при его переводе и применении √ это его адаптация к Российской специфике. Я говорю о втором издании стандарта, в третьем несколько иная ситуация.
                                                    3. Об особенностях применения:
                                                    Безопасность информационных систем: в стандарте Cobit прослеживается логическая цепочка взаимосвязи (если рассматривать, только аудит безопасности ИС).
                                                    Cтандарт ╚соответствует╩ (не противоречит) ╚Common Criteria for Information Technology Security Evaluation╩, в свою очередь, ╚Common Criteria╩ основаны на стандарте ISO/IEC 15408.
                                                    Таким образом, проводя аудит ИС, мы можем сделать обоснованное заключение о соответствии безопасности (защищенности) ИС на соответствие международному стандарту ISO/IEC 15408. Опять же с учетом некоторых нюансов.
                                                    Особенность деления "на секции" открытого стандарта Cobit: возможно для проведения локального аудита. Структура стандарта базируется на жизненном цикле информационной системы (от планирования до контроля ее эксплуатации). Если выделить ключевой момент, определить его взаимосвязи в общей структуре стандарта, подобное деление позволит ответить на конкретный вопрос четко и объективно.

                                                    To Хэванс_До

                                                    Хотел бы дополнить перечень ссылок, которые ты предложил: http://www.jetinfo.ru/2000/10/1/article1.10.2000.html
                                                    В силу ряда причин статья обзорная. В следующей статье постараюсь большее внимание уделить практике.

                                                    То для Всех

                                                    Хотел бы поделиться информацией и предложить тему для обсуждения:

                                                    1. В 3 ем издании стандарта Cobit, который возможно бесплатно скачать на www.isaca.org (кроме руководства аудитора), применен новый (в рамках стандарта) подход к оценке ИТ процессов и их соответствия требованиям бизнеса, так называемые модели зрелости ИТ процессов. Основа для применения этого подхода в документе ╚Модели зрелости ИТ услуг╩ (тоже общедоступно), написанный в Амстердамском университете на базе разработок SEI (CMM) (Software Engineering Institute's) для управления процессами создания программного обеспечения.

                                                    2. Тема для обсуждения: ╚Модели зрелости применительно к аудиту информационных систем╩

                                                    Буду благодарен за любое мнение (суждение) о применении моделей зрелости для анализа результатов аудита или результатов применения моделей зрелости в практике проведения внешнего или внутреннего аудита информационных систем.

                                                    PS: По вопросам безопасности (аттестации, сертификации, ФАПСИ и т.д.)√www.jetinfo.ru (раздел посвященный вопросам информационной безопасности).

                                                    С уважением,
                                                    Сергей Гузик
                                                    serf@hotmail.ru

                                                    Комментарий


                                                    • #27
                                                      Приветствую коллег! Наконец-то они появились :-)

                                                      У меня вопрос. Кто-нибудь работал с модулем "Аудит" (в смысле компьютерного аудита)? Может у кого-нибудь есть такой встроенный модуль в АБС, может кто покупал внешний модуль? Какие у него функции и возможности? Стоит ли его вообще покупать? И вообще, буду рад любой информации по этому и сопутствующим вопросам.

                                                      Комментарий


                                                      • #28
                                                        Внимание всех желающих сдавать экзамен CISA! Регистрация на экзамен заканчивается 6 апреля. По собственному опыту рекомендую закончить регистрацию и оплату до 1 апреля.

                                                        Более подробная информация по подготовке к экзамену www.tacis-bankreform.ru/isaca

                                                        Константин.

                                                        Комментарий


                                                        • #29
                                                          Добрый день!

                                                          2Константин.
                                                          Константин Вы говорили, что не встречали АБС с рабочими местами ревизоров. В Сбере они в некоторых программах имеются (в режиме просмотра конечно-же). Что довольно таки облегчает проверку некоторых участков.

                                                          Комментарий


                                                          • #30
                                                            Согласен. В Сбербанке вообще накоплен большой опыт по организации ревизионной работы. Я как внешний аудитор СБ считаю, что уровень работы КРУ намного превосходит уровень многих коммерческих банков России. Помимо того, что КРУ - это реальная власть для проверки операций тербанков, у них существует также много аудиторских рабочих программ и специализированного ПО. Внутрибанковские функциональные требования к програмному обеспечению, используемого в СБ, содержат обязательное требование по наличию рабочего места ревизора. Часто внешние системы дорабатываются под требования СБ. Чем, кстати, часто хвалится R-Style, производивший доработку своего ПО и предлагающего его теперь на рынке.

                                                            Может кто из СБ поделиться практикой использования средств автоматизированного аудита?

                                                            Константин

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X