tag:blogger.com,1999:blog-6160261361871818132.post5394363249433427845..comments2019-09-18T09:36:42.183+03:00Comments on Записки на манжете: В поисках пользы от внутреннего аудитаВладимир Матвийчукhttp://www.blogger.com/profile/08283670877420012336noreply@blogger.comBlogger13125tag:blogger.com,1999:blog-6160261361871818132.post-3210148195821613862016-04-08T10:53:49.023+03:002016-04-08T10:53:49.023+03:00ИнтересноИнтересноAnonymoushttps://www.blogger.com/profile/14659324120608639722noreply@blogger.comtag:blogger.com,1999:blog-6160261361871818132.post-72750198304881157852016-03-24T08:32:27.521+02:002016-03-24T08:32:27.521+02:00Это цепочка эволюции всей функции внутреннего ауди...Это цепочка эволюции всей функции внутреннего аудита, включая и аудит ИТ. Суть в поэтапной эволюции из тестирования прошлого (контроли и т.д.) в прогнозирование будущих рисков.Владимир Матвийчукhttps://www.blogger.com/profile/08283670877420012336noreply@blogger.comtag:blogger.com,1999:blog-6160261361871818132.post-63177943817582983342016-03-24T06:08:21.550+02:002016-03-24T06:08:21.550+02:00Я в этой цепочке не очень понимаю, но это наверно ...Я в этой цепочке не очень понимаю, но это наверно эволюция сотрудника аудита ИТ, а не самого аудита ИТ, как такового.Artemhttps://www.blogger.com/profile/06778585393131606350noreply@blogger.comtag:blogger.com,1999:blog-6160261361871818132.post-73593460052032789052016-03-23T14:30:41.185+02:002016-03-23T14:30:41.185+02:00Количество степеней зрелости конечно. В идеальных ...Количество степеней зрелости конечно. В идеальных условиях достигается за несколько лет. Дублирования функционала администраторов ИТ точно нет :). На самом деле, речь идет о традиционной смене роли внутреннего аудита по мере развития Assurance Provider -> Problem Solver -> Insight Generator -> Trusted Advisor.Владимир Матвийчукhttps://www.blogger.com/profile/08283670877420012336noreply@blogger.comtag:blogger.com,1999:blog-6160261361871818132.post-32578195061546075362016-03-23T14:18:38.309+02:002016-03-23T14:18:38.309+02:00Это немного офтопик. Но отвечая на вопрос, решение...Это немного офтопик. Но отвечая на вопрос, решение зависит от реализации (на каком уровне у нас пользователи). Если у нас есть технологические записи(не персонифицированные) - нужно понять назначение каждой записи, и механизмы, обеспечивающие выполнение политики безопасности. Если их (механизмов) нет - понять почему. Про пароль нужно спросить у админа - какой, кто знает и зачем пользуется. А проверить можно по логам в системе. Владимир Матвийчукhttps://www.blogger.com/profile/08283670877420012336noreply@blogger.comtag:blogger.com,1999:blog-6160261361871818132.post-1472514768418269952016-03-23T12:46:10.612+02:002016-03-23T12:46:10.612+02:00хорошо, зрелость, но ведь так можно расти до беско...хорошо, зрелость, но ведь так можно расти до бесконечности, по сути дублируя функционал администраторов ИТ и экспертов.Artemhttps://www.blogger.com/profile/06778585393131606350noreply@blogger.comtag:blogger.com,1999:blog-6160261361871818132.post-66169294921354193642016-03-23T12:43:10.979+02:002016-03-23T12:43:10.979+02:00Да. Откуда аудитору узнать, что в том ПО, к пример...Да. Откуда аудитору узнать, что в том ПО, к примеру, есть какой то временный пользователь по умолчанию, с известным паролем. Знает об этом разработчик, а администратор ПО на предприятии забыл об этой уязвимости, риск был не упомянут.Artemhttps://www.blogger.com/profile/06778585393131606350noreply@blogger.comtag:blogger.com,1999:blog-6160261361871818132.post-445064956012457242016-03-23T11:43:39.442+02:002016-03-23T11:43:39.442+02:00Это вопрос зрелости функции внутреннего аудита. Де...Это вопрос зрелости функции внутреннего аудита. Действительно, часто в компаниях сначала возникает внутренний контроль, потом появляются элементы внутреннего аудита, эта функция отделяется и, в идеале, должна продолжать развиваться. Разумеется, компетенции тоже нужно развивать. На мой взгляд, внутренний аудит - это функция, которая должна развиваться и обучаться непрерывно. Только в таких условиях она может выполнять задачи, выходящие за рамки тестирования контролей. Более того, сейчас компании отказываются от тестирования контролей внутренним аудитом (отдают на аутсорс) для того, чтобы аудит мог больше времени посвятить более полезным задачам. Владимир Матвийчукhttps://www.blogger.com/profile/08283670877420012336noreply@blogger.comtag:blogger.com,1999:blog-6160261361871818132.post-47335754800552533312016-03-23T11:25:03.304+02:002016-03-23T11:25:03.304+02:00Я услышал, что внутренний аудит ДОЛЖЕН быть проакт...Я услышал, что внутренний аудит ДОЛЖЕН быть проактивными предвидеть, предвосхищать и т.д. Если это так, то сразу встает вопрос о требованиях к уровню необходимой квалификации таких сотрудников - по моему опыту во внутреннем аудите чаще всего работают вышедшие из внутреннего контроля и "заточены" они совсем под другие задачи. Anonymoushttps://www.blogger.com/profile/07894904209353472611noreply@blogger.comtag:blogger.com,1999:blog-6160261361871818132.post-81530603071636877182016-03-23T11:21:06.795+02:002016-03-23T11:21:06.795+02:00В смысле как аудитору оценить эффективность работы...В смысле как аудитору оценить эффективность работы всего этого? Владимир Матвийчукhttps://www.blogger.com/profile/08283670877420012336noreply@blogger.comtag:blogger.com,1999:blog-6160261361871818132.post-59576616791818247502016-03-23T10:07:12.134+02:002016-03-23T10:07:12.134+02:00да, в статье так и написано. Но тогда вопрос, суще...да, в статье так и написано. Но тогда вопрос, существует программное обеспечение на предприятии, приняты риски, описаны процедуры копирования/восстановления. Действия аудитора оценки работы над рисками ?Artemhttps://www.blogger.com/profile/06778585393131606350noreply@blogger.comtag:blogger.com,1999:blog-6160261361871818132.post-11301536048634744012016-03-23T09:27:47.709+02:002016-03-23T09:27:47.709+02:00Этот комментарий был удален автором.Владимир Матвийчукhttps://www.blogger.com/profile/08283670877420012336noreply@blogger.comtag:blogger.com,1999:blog-6160261361871818132.post-23596228887879390732016-03-23T09:24:23.688+02:002016-03-23T09:24:23.688+02:00Этот комментарий был удален автором.Artemhttps://www.blogger.com/profile/06778585393131606350noreply@blogger.com