GlobalTrust Information Security Forum User Cp  |  Register  |  Members  |  Search  |  Help
- Информационная безопасность (http://forum.globaltrust.ru/cgi-bin/cutecast/cutecast.pl#1)
-- Общие вопросы информационной безопасности (http://forum.globaltrust.ru/cgi-bin/cutecast/cutecast.pl?forum=7)
--- Где хорошо внутреннему аудитору?! (http://forum.globaltrust.ru/cgi-bin/cutecast/cutecast.pl?forum=7&thread=77&page=)

Posted by Pavel_Briantsev on Tuesday, July 22, 2003 @ 07:22:33:

Как говорил мой незабвенный учитель г-н Атте Холопайнен (CPA, CISA и т.д.) Внешние аудиторы - специалисты более низкого класса, чем внутренние.(ну это я мягко перефразировал)
Вот как он это мне объяснял:
Внутри одной организации ты должен довести всё до совершенства, потому, что тебе ТАМ работать, в связи с этим ты должен знать ВСЁ!! Кроме того, ты должен быть достаточно гибок, чтобы было как можно меньше конфликтов интересов. Хех... угодить всем (читай чтобы все были довольны, неважно какими целями ты этого добился) возможно и является высшей степенью профессионализма.
Ещё фактик. Хотя нет, я не буду говорить, подумайте сами:
Что является ГЛАВНОЙ целью аудитора? (пожалуй, что всё же в большей части внутреннего, чем внешнего) Если Вы ответите на этот вопрос, то наверное поймёте, в чём отличие внешнего и внутреннего аудитора. Честно скажу, а за одно и подсказку дам, я не всегда выполнял эту цель, это ГИПЕР сложно!!!! Тут всё же нужна поддержка руководства, коей не всегда было!
Скажу сразу, что я на 98.5% согласен с Холопайненом, хотя уже и стал внешним аудитором.
Ну, жду ответов, потом дальше порассуждаем!

--------------------
Удача любит подготовленный разум


Posted by Alexander on Tuesday, July 22, 2003 @ 11:52:44:

Ну, Павел, Вы загнули. ГЛАВНАЯ ЦЕЛЬ аудитора… Сквозит СТРАШНОЙ ВОЕННОЙ ТАЙНОЙ мальчиша-кибальчиша. Ну, поведайте нам…

Александр Невский, CISA, CISSP (в процессе оформления) и т.д. и т.п.

P.S. Работа внутреннего аудитора – сволочная работа (простите за грубое слово), и если Вы действительно придерживаетесь принципа "независимости аудитора", количество нервных клеток, которые утрачивает Ваш организм никак не соразмерно получаемой заработной плате.


Posted by Pavel_Briantsev on Tuesday, July 22, 2003 @ 12:33:25:

Никакой военной тайны!
Я может быть скажу простую вещь, но в ней, мне кажется, заложена основа внутреннего аудита.
Итак...
Основная цель аудитора - ИЗМЕНЕНИЕ ПОВЕДЕНИЯ.
Я с этим согласен полностью!
Вот ведь вдумайтесь, что может быть показателем качественной работы внутреннего аудитора?
Полагаю, что именно измененеия в структуре компании, изменения в её нормативных документах, и т.д. А что может заставить всё это работать, а не просто остаться на бумаге в виде отписок???????? Только ИЗМЕНЕНИЕ ПОВЕДЕНИЯ сотрудников! И никак иначе!
А что внешний аудитор?!?!?!? Ну проверил он, дал свои замечания, рекомендации, а дальше хоть трава не расти!!! Да кроме того, возможно некотороые его рекомендации отклонят. У внутреннего аудитора, в случае отклонения его рекомендаций возникают большие проблемы. Это показатель того, что ему не доверяет руководство! Выход один - уходить.
Вот такая фунчёза. Я всё это к тому, что работа внутреннего аудитора действительно сложнее, как в профессиональном плане, так и в этическом.

--------------------
Удача любит подготовленный разум


Posted by Alexander Astahov on Tuesday, July 22, 2003 @ 19:29:51:

Согласен, что ИЗМЕНЕНИЕ ПОВЕДЕНИЯ пожалуй наиболее важная и сложная задача и не только в области ИБ. Однако, обычно руководство организации и ее сотрудники не очень хотят, чтобы внутренний аудитор изменял их поведение. От аудитора ждут четких докладов по состоянию ИБ и конкретных практических рекомендаций по улучшению этого состояния.
Также поддерживаю Александра по поводу сволочной работы внутреннего аудитора (имеется ввиду только ИТ аудитор). На практике сколько времени потребуется высококвалифицированному специалисту (неквалифицированный специалист будет уволен еще раньше), чтобы провести скажем аудит ИБ в крупной организации, подготовить развернутый аудиторский отчет, содержащий подробные рекомендации по улучшению состояния ИБ и разработать детальный план работ? Ну, скажем 6 месяцев. Что происходит потом? Будет ли он участвовать в реализации этого плана, переквалифицировавшись в менеджера проекта или в сетевого администратора и нарушая принцип независимости аудитора или сразу пойдет проводить "внутренний аудит" в другую организацию? ИТ аудит - это разовое мероприятие (которое конечно должно проводиться на регулярной основе). Хороший ИТ аудитор делает свою работу и идет дальше. Через некоторое время он может быть приглашен для проведения повторного аудита, но это же работа внешнего аудитора!
Понимаю высказывание "незабвенного учителя" в том смысле, что это действительно является высшей степенью "профессионализма" - сидеть и проводить ИТ аудит (и что еще круче аудит ИБ) в одной организации непрерывно и на постоянной основе год, два... Здесь действительно надо быть и тонким психологом и дипломатом, что однако не всегда совместимо с хорошим техническим бэкграундом.
Что-то я записался ....

Posted by Pavel_Briantsev on Wednesday, July 23, 2003 @ 09:40:58:

Соглашусь пожалуй. Однако
Quote:
Originally posted by Alexander Astahov
ИТ аудит - это разовое мероприятие (которое конечно должно проводиться на регулярной основе). Хороший ИТ аудитор делает свою работу и идет дальше. Через некоторое время он может быть приглашен для проведения повторного аудита, но это же работа внешнего аудитора!

Я что-то не совсем понял. Почему разовое? У нас в банке был график проведения аудитов и там была периодичность. Кстати периодичность проведения определенного аудита - являются одним из разделов оценки и управления рисками. Ну, т.е., чем выше периодичность, тем ниже вероятность возникновения риска.
Да и потом, внутренний аудитор постоянно мониторит выполнение рекомендаций (в том числе и внешнего аудита). Если же какие-то рекомендации уже не актуальны или их нужно видоизменить, просто пишешь меморандум председателю и всё. Т.е. работа внутреннего аудитора гораздо гибче, чем внешнего. Вот, что ещё Вам скажу:
Вы не задумывались о том, что работа внешнего аудитора состоит лишь в том, чтобы подтвердить что-то? Ну, там фин. отчётность, состояние Айти и т.д. Ну, для приличия дадут пару рекомендаций в ходе обзора и всё. (Если хотите, я Вам потом анекдот про внешних аудиторов расскажу, даже 2!)
А внутренний аудитор должен постоянно вести этот процесс. Непрерывно! Скажу больше, в настоящее время наблюдается тенденция к позиционированию внешнего аудитора, как консультанта. И это правильно, ведь именно консультации, а не проверки, должны быть основной задачей аудитора.
Т.е. идёт некая унификация работы аудитора, как внешнего, так и внутреннего. Единственное различие, на мой взгляд, будет в том, где находится аудитор, в штате или аутсорсинг.
Ну всё, Остапа понесло...

--------------------
Удача любит подготовленный разум


Posted by Alexander on Wednesday, July 23, 2003 @ 10:20:22:

Я знаю, про какие анекдоты идет речь ;-))) Первый – про то, как специалисты большой теперь уже четверки овец считали, второй про ёбизнес, то есть о превращении мышей в ежей ("специализируясь на стратегическом консультировании, мы не оказываем услуг по техническому внедрению концепций".

Саш, не соглашусь с тобой, что ИТ аудит – мероприятие разовое. Он вовсе не ограничен аудитом ИБ организации.


Posted by Alexander Astahov on Wednesday, July 23, 2003 @ 10:42:00:

Конечно, анекдоты известные настолько, что их даже можно здесь не пересказывать.
Конечно ИТ аудит не ограничен только вопросами ИБ. Я просто пишу о том, что мне ближе. В силу ограниченности моего опыта я вообще ни разу не сталкивался с проведением коплексного ИТ аудита. Там где это декларировалось, все сводилось опять таки к аудиту ИБ. У меня даже сложилось впечатление, что комплексный ИТ аудит вообще не востребован, по крайней мере у нас в стране.

Posted by Pavel_Briantsev on Wednesday, July 23, 2003 @ 11:12:42:

Первый - про овец!
А второй про мышей и ежей я не знаю!
А вообще вот какой анекдот я хотел вторым рассказать:
Летят 2-е на воздушном шаре, вокруг туман, нифигашечки не видно! Ну, летят они знач летят, заблудились нафиг. Единственное, что понятно, так это то, что они невысоко над землей.
Один в шаре начал орать, типа: "ЛЮЮЮЮЮДИ, ГДЕ МЫ?!?!?!"
Вдруг снизу спокойный голос: "Вы на воздушном шаре."
Один в шаре говорит другому: "Я знаю, это был внешний аудитор!!!! Как я узнал? Он дал абсолютно правильный ответ, но абсолютно бесполезный."

А расскажите про мышей и ежей!

--------------------
Удача любит подготовленный разум


Posted by Alexander on Wednesday, July 23, 2003 @ 11:30:07:

Ё-бизнес
Управляющему партнеру
компании «Филин & Associates»
г-ну Филину
Уважаемый мистер Филин,
С момента моего назначения генеральным директором фирмы Mouse, Inc. прошло немного времени, однако уже сейчас видение ситуации в целом позволяет мне говорить о неэффективности корпоративной стратегии нашей фирмы. Среди множества застарелых проблем, которые мне приходится решать, наиболее остро стоящим является вопрос отношений с кошками. Полноценная работа менеджеров и сотрудников фирмы невозможна, когда над всеми постоянно висит угроза враждебного поглощения с их стороны.
Мы уже обращались к локальным консультантам, однако предлагаемые ими решения (повышение скорости и маневренности персонала, углубление подземной деятельности и т. п.) грешат половинчатостью и не устраняют сути нашей проблемы. Признавая международный опыт компании «Филин & Associates» в области стратегии бизнеса и ее безупречную деловую репутацию, мы надеемся, что с Вашей помощью наконец-то сможем покончить с «кошачьим вопросом».
Со своей стороны, могу гарантировать готовность следовать любым рекомендациям и своевременную оплату Ваших услуг и накладных расходов.
Искренне Ваш,
генеральный директор Mouse, Inc. М.Ш. Серый

Стратегический план развития бизнеса и противодействия внешним угрозам компании Mouse, Inc.
Разработка и оформление © «Филин & Associates», 2002
Стр. 1
…Основной целью компании Mouse, Inc. в долгосрочной экономической перспективе должно стать динамичное и беспрепятственное развитие в рамках стратегической программы, направленной на превращение каждого сотрудника фирмы, от рядовых исполнителей до высшего менеджмента, в высокопрофессиональных и доказавших свою способность эффективно противостоять внешним угрозам Ёжиков, что, в конечном итоге, полностью элиминирует вероятность дальнейших попыток враждебных поглощений и позволит навсегда снять проблему взаимоотношений с кошками, собаками и любыми другими агрессивно настроенными участниками рынка.
Реализация программы предполагает отказ от неоправдавших себя устаревших методов корпоративного управления взамен на всемерную ёжефикацию Mouse, Inc., что означает фактический переход к самой эффективной и прогрессивной форме ведения современного бизнеса — Ё-бизнесу®.

Стр. 15
…Ёжик является практически идеальной формой, приспособленной для выживания и успешного развития в агрессивной внешней среде. Нижеследующие графики иллюстрируют глобальные преимущества Ёжиков в выживаемости.

Анализ приведенной статистики позволяет сделать вывод о полной нечувствительности Ёжиков к так называемому «кошачьему фактору». Наиболее существенным является то обстоятельство, что количество Ёжиков, благополучно достигающих старости, составляет 87%. При этом, аналогичное количество мышей составляет только 20%, что неудивительно, ведь, в частности, по показателю игловооруженности превосходство Ёжика перед средней мышью достигает 100%. К другим преимуществам Ёжиков можно отнести их неприхотливость и работоспособность, природное лидерство и умение адекватно реагировать на критические ситуации.
Таким образом, осуществление массового превращения в Ёжиков (Ё-трансформация) является наиболее предпочтительным сценарием дальнейшего развития компании Mouse, Inc.

Стр. 146
Бизнеса в том виде, каким мы его знали, больше не будет. В традиционной среде всегда существовали факторы, ограничивающие возможность развития любой группы, среди которых существенное место занимает агрессивное внешнее окружение. Проведение Ё-трансформации позволяет разбить этот барьер и дарит возможность беспрепятственного, ничем не ограниченного развития. Отсутствие привычных ограничений способно полностью изменить сами принципы бизнеса, наделив уникальным конкурентным преимуществом тех, кто своевременно позаботился о развитии Ёжиков в своей компании.
С внедрением концепции Ё-бизнеса® фирма получит эффективный инструмент, создающий предпосылки для качественного скачка в ее росте. Исследования, проведенные группой независимых аналитиков, свидетельствуют о неуклонном увеличении акционерной стоимости компаний, интенсивно использующих возможности Ё-бизнеса® в основной деятельности. Сегодня уже можно с уверенностью говорить о том, что XXI столетие станет веком новой парадигмы коммерческой деятельности — веком Ё-бизнеса®!

Стр. 257
Ё-бизнес® является зарегистрированной торговой маркой компании «Филин & Associates». Прочие торговые марки являются собственностью их владельцев.

Управляющему партнеру
компании «Филин & Associates»
г-ну Филину
Уважаемый мистер Филин,
Я очень рад возможности сотрудничать с Вашей компаний и высоко оцениваю стратегию, которую мы избрали для развития Mouse, Inc. с Вашей помощью. Сам факт Вашего участия в анализе наших проблем позволяет надеяться на их скорое разрешение.
К сожалению, на пути к реализации разработанной стратегии мы столкнулись с некоторыми непредвиденными трудностями. В частности, по темпам превращения в Ёжиков мы значительно отстаем от разработанного графика. Вчера сотрудники отдела маркетинга в полном составе полдня пытались стать Ёжиками, однако у них ничего не получилось. Стыдно признаться, но у нас в штате до сих пор не появилось ни одного Ёжика!
Я начинаю подозревать, что персонал сознательно саботирует нововведения, поскольку большинство боится всего нового и не видит необходимости что-либо менять, хотя на словах все согласны. Но я не могу просто взять и уволить всех сотрудников фирмы одновременно.
Мне понятно, что в современных условиях компания, не использующая возможности Ё-бизнеса, обречена быть аутсайдером. Возможно ли с Вашей стороны оказание дополнительных консультаций по вопросам техники превращения в Ёжиков?
С наилучшими пожеланиями,
Генеральный директор Mouse, Inc. М.Ш. Серый

Генеральному директору
Mouse, Inc.
г-ну Серому М.Ш.
Дорогой господин Серый,
Благодарю Вас за доверие, оказанное нашей фирме.
К сожалению, специализируясь на стратегическом консультировании, мы не оказываем услуг по техническому внедрению концепций Ё-бизнеса® и технике Ё-трансформаций. Однако, опираясь на благоприятный опыт сотрудничества между нами, могу предложить Вам в качестве альтернативы лизинг персонала компании «Филин & Associates».
Наши сотрудники — дипломированные Ёжики, настоящие профессионалы в своем деле, не понаслышке знающие, что такое Ё-бизнес®. Я уверен, что с их помощью Вы сможете добиться выдающихся успехов в деле построения динамично развивающейся и преуспевающей компании.
С уважением,
Майкл К. Филин
Управляющий партнер «Филин & Associates», ЁMBA (Forest School of Ё-Business)


Posted by Eugen Klimov on Wednesday, July 23, 2003 @ 11:41:03:



Posted by Pavel_Briantsev on Wednesday, July 23, 2003 @ 15:19:46:

--------------------
Удача любит подготовленный разум


Contact Us | GlobalTrust Solutions | Privacy Policy All times are GMT +4 Hours.
Powered by CuteCast v2.0 BETA 2
Copyright © 2001-2003 ArtsCore Studios