GlobalTrust Information Security Forum User Cp  |  Register  |  Members  |  Search  |  Help
    |- Информационная безопасность > Общие вопросы информационной безопасности Post New Topic   Post A Reply
Где хорошо внутреннему аудитору?! printer friendly version
next newest post | next oldest post
Author Messages
Pavel_Briantsev
Sergeant

Gender: Unspecified
Location: Bishkek, KG
Registered: Mar 2006
Status: Offline
Posts: 30

Click here to see the profile for Pavel_Briantsev Send email to Pavel_Briantsev Send private message to Pavel_Briantsev Find more posts by Pavel_Briantsev Edit or delete this message Reply w/Quote
Posted Tuesday, July 22, 2003 @ 07:22:33    ICQ

Как говорил мой незабвенный учитель г-н Атте Холопайнен (CPA, CISA и т.д.) Внешние аудиторы - специалисты более низкого класса, чем внутренние.(ну это я мягко перефразировал)
Вот как он это мне объяснял:
Внутри одной организации ты должен довести всё до совершенства, потому, что тебе ТАМ работать, в связи с этим ты должен знать ВСЁ!! Кроме того, ты должен быть достаточно гибок, чтобы было как можно меньше конфликтов интересов. Хех... угодить всем (читай чтобы все были довольны, неважно какими целями ты этого добился) возможно и является высшей степенью профессионализма.
Ещё фактик. Хотя нет, я не буду говорить, подумайте сами:
Что является ГЛАВНОЙ целью аудитора? (пожалуй, что всё же в большей части внутреннего, чем внешнего) Если Вы ответите на этот вопрос, то наверное поймёте, в чём отличие внешнего и внутреннего аудитора. Честно скажу, а за одно и подсказку дам, я не всегда выполнял эту цель, это ГИПЕР сложно!!!! Тут всё же нужна поддержка руководства, коей не всегда было!
Скажу сразу, что я на 98.5% согласен с Холопайненом, хотя уже и стал внешним аудитором.
Ну, жду ответов, потом дальше порассуждаем!

--------------------
Удача любит подготовленный разум

Alexander
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 76

Click here to see the profile for Alexander Send email to Alexander Send private message to Alexander Find more posts by Alexander Edit or delete this message Reply w/Quote
Posted Tuesday, July 22, 2003 @ 11:52:44  

Ну, Павел, Вы загнули. ГЛАВНАЯ ЦЕЛЬ аудитора… Сквозит СТРАШНОЙ ВОЕННОЙ ТАЙНОЙ мальчиша-кибальчиша. Ну, поведайте нам…

Александр Невский, CISA, CISSP (в процессе оформления) и т.д. и т.п.

P.S. Работа внутреннего аудитора – сволочная работа (простите за грубое слово), и если Вы действительно придерживаетесь принципа "независимости аудитора", количество нервных клеток, которые утрачивает Ваш организм никак не соразмерно получаемой заработной плате.

Pavel_Briantsev
Sergeant

Gender: Unspecified
Location: Bishkek, KG
Registered: Mar 2006
Status: Offline
Posts: 30

Click here to see the profile for Pavel_Briantsev Send email to Pavel_Briantsev Send private message to Pavel_Briantsev Find more posts by Pavel_Briantsev Edit or delete this message Reply w/Quote
Posted Tuesday, July 22, 2003 @ 12:33:25    ICQ

Никакой военной тайны!
Я может быть скажу простую вещь, но в ней, мне кажется, заложена основа внутреннего аудита.
Итак...
Основная цель аудитора - ИЗМЕНЕНИЕ ПОВЕДЕНИЯ.
Я с этим согласен полностью!
Вот ведь вдумайтесь, что может быть показателем качественной работы внутреннего аудитора?
Полагаю, что именно измененеия в структуре компании, изменения в её нормативных документах, и т.д. А что может заставить всё это работать, а не просто остаться на бумаге в виде отписок???????? Только ИЗМЕНЕНИЕ ПОВЕДЕНИЯ сотрудников! И никак иначе!
А что внешний аудитор?!?!?!? Ну проверил он, дал свои замечания, рекомендации, а дальше хоть трава не расти!!! Да кроме того, возможно некотороые его рекомендации отклонят. У внутреннего аудитора, в случае отклонения его рекомендаций возникают большие проблемы. Это показатель того, что ему не доверяет руководство! Выход один - уходить.
Вот такая фунчёза. Я всё это к тому, что работа внутреннего аудитора действительно сложнее, как в профессиональном плане, так и в этическом.

--------------------
Удача любит подготовленный разум

Alexander Astahov
Master Sergeant

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 196

Click here to see the profile for Alexander Astahov Visit http://www.globaltrust.ru Send email to Alexander Astahov Send private message to Alexander Astahov Find more posts by Alexander Astahov Edit or delete this message Reply w/Quote
Posted Tuesday, July 22, 2003 @ 19:29:51    ICQ

Согласен, что ИЗМЕНЕНИЕ ПОВЕДЕНИЯ пожалуй наиболее важная и сложная задача и не только в области ИБ. Однако, обычно руководство организации и ее сотрудники не очень хотят, чтобы внутренний аудитор изменял их поведение. От аудитора ждут четких докладов по состоянию ИБ и конкретных практических рекомендаций по улучшению этого состояния.
Также поддерживаю Александра по поводу сволочной работы внутреннего аудитора (имеется ввиду только ИТ аудитор). На практике сколько времени потребуется высококвалифицированному специалисту (неквалифицированный специалист будет уволен еще раньше), чтобы провести скажем аудит ИБ в крупной организации, подготовить развернутый аудиторский отчет, содержащий подробные рекомендации по улучшению состояния ИБ и разработать детальный план работ? Ну, скажем 6 месяцев. Что происходит потом? Будет ли он участвовать в реализации этого плана, переквалифицировавшись в менеджера проекта или в сетевого администратора и нарушая принцип независимости аудитора или сразу пойдет проводить "внутренний аудит" в другую организацию? ИТ аудит - это разовое мероприятие (которое конечно должно проводиться на регулярной основе). Хороший ИТ аудитор делает свою работу и идет дальше. Через некоторое время он может быть приглашен для проведения повторного аудита, но это же работа внешнего аудитора!
Понимаю высказывание "незабвенного учителя" в том смысле, что это действительно является высшей степенью "профессионализма" - сидеть и проводить ИТ аудит (и что еще круче аудит ИБ) в одной организации непрерывно и на постоянной основе год, два... Здесь действительно надо быть и тонким психологом и дипломатом, что однако не всегда совместимо с хорошим техническим бэкграундом.
Что-то я записался ....
Pavel_Briantsev
Sergeant

Gender: Unspecified
Location: Bishkek, KG
Registered: Mar 2006
Status: Offline
Posts: 30

Click here to see the profile for Pavel_Briantsev Send email to Pavel_Briantsev Send private message to Pavel_Briantsev Find more posts by Pavel_Briantsev Edit or delete this message Reply w/Quote
Posted Wednesday, July 23, 2003 @ 09:40:58    ICQ

Соглашусь пожалуй. Однако
Quote:
Originally posted by Alexander Astahov
ИТ аудит - это разовое мероприятие (которое конечно должно проводиться на регулярной основе). Хороший ИТ аудитор делает свою работу и идет дальше. Через некоторое время он может быть приглашен для проведения повторного аудита, но это же работа внешнего аудитора!

Я что-то не совсем понял. Почему разовое? У нас в банке был график проведения аудитов и там была периодичность. Кстати периодичность проведения определенного аудита - являются одним из разделов оценки и управления рисками. Ну, т.е., чем выше периодичность, тем ниже вероятность возникновения риска.
Да и потом, внутренний аудитор постоянно мониторит выполнение рекомендаций (в том числе и внешнего аудита). Если же какие-то рекомендации уже не актуальны или их нужно видоизменить, просто пишешь меморандум председателю и всё. Т.е. работа внутреннего аудитора гораздо гибче, чем внешнего. Вот, что ещё Вам скажу:
Вы не задумывались о том, что работа внешнего аудитора состоит лишь в том, чтобы подтвердить что-то? Ну, там фин. отчётность, состояние Айти и т.д. Ну, для приличия дадут пару рекомендаций в ходе обзора и всё. (Если хотите, я Вам потом анекдот про внешних аудиторов расскажу, даже 2!)
А внутренний аудитор должен постоянно вести этот процесс. Непрерывно! Скажу больше, в настоящее время наблюдается тенденция к позиционированию внешнего аудитора, как консультанта. И это правильно, ведь именно консультации, а не проверки, должны быть основной задачей аудитора.
Т.е. идёт некая унификация работы аудитора, как внешнего, так и внутреннего. Единственное различие, на мой взгляд, будет в том, где находится аудитор, в штате или аутсорсинг.
Ну всё, Остапа понесло...

--------------------
Удача любит подготовленный разум

Alexander
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 76

Click here to see the profile for Alexander Send email to Alexander Send private message to Alexander Find more posts by Alexander Edit or delete this message Reply w/Quote
Posted Wednesday, July 23, 2003 @ 10:20:22  

Я знаю, про какие анекдоты идет речь ;-))) Первый – про то, как специалисты большой теперь уже четверки овец считали, второй про ёбизнес, то есть о превращении мышей в ежей ("специализируясь на стратегическом консультировании, мы не оказываем услуг по техническому внедрению концепций".

Саш, не соглашусь с тобой, что ИТ аудит – мероприятие разовое. Он вовсе не ограничен аудитом ИБ организации.

Alexander Astahov
Master Sergeant

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 196

Click here to see the profile for Alexander Astahov Visit http://www.globaltrust.ru Send email to Alexander Astahov Send private message to Alexander Astahov Find more posts by Alexander Astahov Edit or delete this message Reply w/Quote
Posted Wednesday, July 23, 2003 @ 10:42:00    ICQ

Конечно, анекдоты известные настолько, что их даже можно здесь не пересказывать.
Конечно ИТ аудит не ограничен только вопросами ИБ. Я просто пишу о том, что мне ближе. В силу ограниченности моего опыта я вообще ни разу не сталкивался с проведением коплексного ИТ аудита. Там где это декларировалось, все сводилось опять таки к аудиту ИБ. У меня даже сложилось впечатление, что комплексный ИТ аудит вообще не востребован, по крайней мере у нас в стране.
Pavel_Briantsev
Sergeant

Gender: Unspecified
Location: Bishkek, KG
Registered: Mar 2006
Status: Offline
Posts: 30

Click here to see the profile for Pavel_Briantsev Send email to Pavel_Briantsev Send private message to Pavel_Briantsev Find more posts by Pavel_Briantsev Edit or delete this message Reply w/Quote
Posted Wednesday, July 23, 2003 @ 11:12:42    ICQ

Первый - про овец!
А второй про мышей и ежей я не знаю!
А вообще вот какой анекдот я хотел вторым рассказать:
Летят 2-е на воздушном шаре, вокруг туман, нифигашечки не видно! Ну, летят они знач летят, заблудились нафиг. Единственное, что понятно, так это то, что они невысоко над землей.
Один в шаре начал орать, типа: "ЛЮЮЮЮЮДИ, ГДЕ МЫ?!?!?!"
Вдруг снизу спокойный голос: "Вы на воздушном шаре."
Один в шаре говорит другому: "Я знаю, это был внешний аудитор!!!! Как я узнал? Он дал абсолютно правильный ответ, но абсолютно бесполезный."

А расскажите про мышей и ежей!

--------------------
Удача любит подготовленный разум

Alexander
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 76

Click here to see the profile for Alexander Send email to Alexander Send private message to Alexander Find more posts by Alexander Edit or delete this message Reply w/Quote
Posted Wednesday, July 23, 2003 @ 11:30:07  

Ё-бизнес
Управляющему партнеру
компании «Филин & Associates»
г-ну Филину
Уважаемый мистер Филин,
С момента моего назначения генеральным директором фирмы Mouse, Inc. прошло немного времени, однако уже сейчас видение ситуации в целом позволяет мне говорить о неэффективности корпоративной стратегии нашей фирмы. Среди множества застарелых проблем, которые мне приходится решать, наиболее остро стоящим является вопрос отношений с кошками. Полноценная работа менеджеров и сотрудников фирмы невозможна, когда над всеми постоянно висит угроза враждебного поглощения с их стороны.
Мы уже обращались к локальным консультантам, однако предлагаемые ими решения (повышение скорости и маневренности персонала, углубление подземной деятельности и т. п.) грешат половинчатостью и не устраняют сути нашей проблемы. Признавая международный опыт компании «Филин & Associates» в области стратегии бизнеса и ее безупречную деловую репутацию, мы надеемся, что с Вашей помощью наконец-то сможем покончить с «кошачьим вопросом».
Со своей стороны, могу гарантировать готовность следовать любым рекомендациям и своевременную оплату Ваших услуг и накладных расходов.
Искренне Ваш,
генеральный директор Mouse, Inc. М.Ш. Серый

Стратегический план развития бизнеса и противодействия внешним угрозам компании Mouse, Inc.
Разработка и оформление © «Филин & Associates», 2002
Стр. 1
…Основной целью компании Mouse, Inc. в долгосрочной экономической перспективе должно стать динамичное и беспрепятственное развитие в рамках стратегической программы, направленной на превращение каждого сотрудника фирмы, от рядовых исполнителей до высшего менеджмента, в высокопрофессиональных и доказавших свою способность эффективно противостоять внешним угрозам Ёжиков, что, в конечном итоге, полностью элиминирует вероятность дальнейших попыток враждебных поглощений и позволит навсегда снять проблему взаимоотношений с кошками, собаками и любыми другими агрессивно настроенными участниками рынка.
Реализация программы предполагает отказ от неоправдавших себя устаревших методов корпоративного управления взамен на всемерную ёжефикацию Mouse, Inc., что означает фактический переход к самой эффективной и прогрессивной форме ведения современного бизнеса — Ё-бизнесу®.

Стр. 15
…Ёжик является практически идеальной формой, приспособленной для выживания и успешного развития в агрессивной внешней среде. Нижеследующие графики иллюстрируют глобальные преимущества Ёжиков в выживаемости.

Анализ приведенной статистики позволяет сделать вывод о полной нечувствительности Ёжиков к так называемому «кошачьему фактору». Наиболее существенным является то обстоятельство, что количество Ёжиков, благополучно достигающих старости, составляет 87%. При этом, аналогичное количество мышей составляет только 20%, что неудивительно, ведь, в частности, по показателю игловооруженности превосходство Ёжика перед средней мышью достигает 100%. К другим преимуществам Ёжиков можно отнести их неприхотливость и работоспособность, природное лидерство и умение адекватно реагировать на критические ситуации.
Таким образом, осуществление массового превращения в Ёжиков (Ё-трансформация) является наиболее предпочтительным сценарием дальнейшего развития компании Mouse, Inc.

Стр. 146
Бизнеса в том виде, каким мы его знали, больше не будет. В традиционной среде всегда существовали факторы, ограничивающие возможность развития любой группы, среди которых существенное место занимает агрессивное внешнее окружение. Проведение Ё-трансформации позволяет разбить этот барьер и дарит возможность беспрепятственного, ничем не ограниченного развития. Отсутствие привычных ограничений способно полностью изменить сами принципы бизнеса, наделив уникальным конкурентным преимуществом тех, кто своевременно позаботился о развитии Ёжиков в своей компании.
С внедрением концепции Ё-бизнеса® фирма получит эффективный инструмент, создающий предпосылки для качественного скачка в ее росте. Исследования, проведенные группой независимых аналитиков, свидетельствуют о неуклонном увеличении акционерной стоимости компаний, интенсивно использующих возможности Ё-бизнеса® в основной деятельности. Сегодня уже можно с уверенностью говорить о том, что XXI столетие станет веком новой парадигмы коммерческой деятельности — веком Ё-бизнеса®!

Стр. 257
Ё-бизнес® является зарегистрированной торговой маркой компании «Филин & Associates». Прочие торговые марки являются собственностью их владельцев.

Управляющему партнеру
компании «Филин & Associates»
г-ну Филину
Уважаемый мистер Филин,
Я очень рад возможности сотрудничать с Вашей компаний и высоко оцениваю стратегию, которую мы избрали для развития Mouse, Inc. с Вашей помощью. Сам факт Вашего участия в анализе наших проблем позволяет надеяться на их скорое разрешение.
К сожалению, на пути к реализации разработанной стратегии мы столкнулись с некоторыми непредвиденными трудностями. В частности, по темпам превращения в Ёжиков мы значительно отстаем от разработанного графика. Вчера сотрудники отдела маркетинга в полном составе полдня пытались стать Ёжиками, однако у них ничего не получилось. Стыдно признаться, но у нас в штате до сих пор не появилось ни одного Ёжика!
Я начинаю подозревать, что персонал сознательно саботирует нововведения, поскольку большинство боится всего нового и не видит необходимости что-либо менять, хотя на словах все согласны. Но я не могу просто взять и уволить всех сотрудников фирмы одновременно.
Мне понятно, что в современных условиях компания, не использующая возможности Ё-бизнеса, обречена быть аутсайдером. Возможно ли с Вашей стороны оказание дополнительных консультаций по вопросам техники превращения в Ёжиков?
С наилучшими пожеланиями,
Генеральный директор Mouse, Inc. М.Ш. Серый

Генеральному директору
Mouse, Inc.
г-ну Серому М.Ш.
Дорогой господин Серый,
Благодарю Вас за доверие, оказанное нашей фирме.
К сожалению, специализируясь на стратегическом консультировании, мы не оказываем услуг по техническому внедрению концепций Ё-бизнеса® и технике Ё-трансформаций. Однако, опираясь на благоприятный опыт сотрудничества между нами, могу предложить Вам в качестве альтернативы лизинг персонала компании «Филин & Associates».
Наши сотрудники — дипломированные Ёжики, настоящие профессионалы в своем деле, не понаслышке знающие, что такое Ё-бизнес®. Я уверен, что с их помощью Вы сможете добиться выдающихся успехов в деле построения динамично развивающейся и преуспевающей компании.
С уважением,
Майкл К. Филин
Управляющий партнер «Филин & Associates», ЁMBA (Forest School of Ё-Business)

Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Wednesday, July 23, 2003 @ 11:41:03    ICQ

Pavel_Briantsev
Sergeant

Gender: Unspecified
Location: Bishkek, KG
Registered: Mar 2006
Status: Offline
Posts: 30

Click here to see the profile for Pavel_Briantsev Send email to Pavel_Briantsev Send private message to Pavel_Briantsev Find more posts by Pavel_Briantsev Edit or delete this message Reply w/Quote
Posted Wednesday, July 23, 2003 @ 15:19:46    ICQ

--------------------
Удача любит подготовленный разум

Post New Topic   Post A Reply Jump to:
Contact Us | GlobalTrust Solutions | Privacy Policy All times are GMT +4 Hours.
Welcome to Our Forums, Guest!  
Login
Username :
Password :
In order to fully utilize the abilities of this board, you are required to register as a member. Registration is free, and allows you to do lots of things including turning on or off certain features of this board. Register now!
Forum Rules & Description
Who Can Read The Forum? Any registered user or guest
Who Can Post New Topics? Any registered user
Who Can Post Replies? Any registered user
Who Can Edit Posts? Any original author
Форум для обсуждения общих вопросов информационной безопасности, переехавший с ISACA.RU.
Currently Active Users: 1
There are currently 0 members and 1 guests on the boards. | Most users ever online was 224 on 11-02-2006 11:42:04
Search This Forum
Search Keywords: Search From:
Powered by CuteCast v2.0 BETA 2
Copyright © 2001-2003 ArtsCore Studios

Рейтинг@Mail.ru Rambler's Top100 Yandex