Портал №1 по управлению цифровыми
и информационными технологиями

О публикации ISACA “Внутренний контроль для COBIT5”

Опубликовано 16 февраля 2018
Рубрики: COBIT
Комментарии

Осуществление внутреннего контроля часто не очень хорошо воспринимается бизнесом. Вопреки некоторым ошибочным мнениям, внутренний контроль – это не обременительные правила, которые делают работу громоздкой и сложной. На самом деле, все наоборот. Тщательное рассмотрение и внедрение системы внутреннего контроля может обеспечить желаемые положительные результаты и смягчить потенциальные негативные последствия, обеспечивая ценность для всех заинтересованных сторон в компании.

В качестве помощи при разработке и управлении системы внутреннего контроля, ISACA выпустила публикацию «Internal Control Using COBIT5» [доступна в свободном доступе после регистрации].

В публикации рассматриваются следующие вопросы:

  • что такое управление?
  • что такое внутренний контроль в COBIT?;
  • для чего необходимо выстраивать систему внутреннего контроля в компании?;
  • область распространения и ответственность за разработку и управление системой;
  • жизненный цикл элементов контроля;
  • место системы внутреннего контроля и ее взаимосвязь с другими процессами в Enabling Processes COBIT5;
  • выбор и применения средств внутреннего контроля с позиции ИБ.

При формировании системы внутреннего контроля часто бывает полезно вести записи того, почему в нее был включен тот или иной элемент.

Также, в некоторых случаях, регуляторы и аудиторы запрашивают свидетельства того, что процессы соответствуют техническим нормативам или стандартам (например, при проведении аудита на соответствие требованиям ИБ по ISO/IEK 27001).

С другой стороны, кому как не компании определять, на каких аспектах (персонал, процессы,  технологии) акцентировать свое внимание при управлении , чтобы проводить систематическую и объективную оценку рисков.

При осуществлении выбора, обоснования и принятия решения о включении тех или иных элементов контроля, разработчики COBIT5 предлагают воспользоваться шаблоном рабочего листа, облегчающего правильность выбора элементов внутреннего контроля «Internal and Mitigating Control Selection Worksheet» [в свободном доступе после регистрации].

Этот шаблон содержит процедуру, в которой осуществляется:
– отбор элементов контроля, нивелирующих риски;
– обоснования того, почему был выбран именно этот элемент контроля, а не другой;
– анализ рисков, на котором основано принятое решение;
– описание ограничений  в области распространения, остаточного риска и времеми, в течении которого необходимо осуществлять управление элементом контроля.

Таким образом, вышеописанные руководства являются хорошим дополнением к основным публикациям COBIT5. Они позволяют лучше понять, каким образом, и с помощью какого инструментария осуществляется построение системы внутреннего контроля в компании.

На наш взгляд, основная ценность публикации в демонстрации следующего:

  • внутренний контроль является неотъемлемой частью процесса создания ценности для заинтересованных сторон компании;
  • система внутреннего контроля –  «экосистема», создающаяся в компаниях для того, чтобы использовать факторы влияния (Enablers) более продуктивно и эффективно;
  • система внутреннего контроля органично вписывается в соблюдении принципов, политик и правил компании на регулярной основе.

Публикации будут интересны менеджерам и специалистам компании, занимающимися вопросами: ИТ-управления, финансового контроллинга, риск-менеджмента, качества, ИБ, а также аудиторам и оценщикам.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM