Осуществление внутреннего контроля часто не очень хорошо воспринимается бизнесом. Вопреки некоторым ошибочным мнениям, внутренний контроль – это не обременительные правила, которые делают работу громоздкой и сложной. На самом деле, все наоборот. Тщательное рассмотрение и внедрение системы внутреннего контроля может обеспечить желаемые положительные результаты и смягчить потенциальные негативные последствия, обеспечивая ценность для всех заинтересованных сторон в компании.
В качестве помощи при разработке и управлении системы внутреннего контроля, ISACA выпустила публикацию «Internal Control Using COBIT5» [доступна в свободном доступе после регистрации].
В публикации рассматриваются следующие вопросы:
- что такое управление?
- что такое внутренний контроль в COBIT?;
- для чего необходимо выстраивать систему внутреннего контроля в компании?;
- область распространения и ответственность за разработку и управление системой;
- жизненный цикл элементов контроля;
- место системы внутреннего контроля и ее взаимосвязь с другими процессами в Enabling Processes COBIT5;
- выбор и применения средств внутреннего контроля с позиции ИБ.
При формировании системы внутреннего контроля часто бывает полезно вести записи того, почему в нее был включен тот или иной элемент.
Также, в некоторых случаях, регуляторы и аудиторы запрашивают свидетельства того, что процессы соответствуют техническим нормативам или стандартам (например, при проведении аудита на соответствие требованиям ИБ по ISO/IEK 27001).
С другой стороны, кому как не компании определять, на каких аспектах (персонал, процессы, технологии) акцентировать свое внимание при управлении , чтобы проводить систематическую и объективную оценку рисков.
При осуществлении выбора, обоснования и принятия решения о включении тех или иных элементов контроля, разработчики COBIT5 предлагают воспользоваться шаблоном рабочего листа, облегчающего правильность выбора элементов внутреннего контроля «Internal and Mitigating Control Selection Worksheet» [в свободном доступе после регистрации].
Этот шаблон содержит процедуру, в которой осуществляется:
– отбор элементов контроля, нивелирующих риски;
– обоснования того, почему был выбран именно этот элемент контроля, а не другой;
– анализ рисков, на котором основано принятое решение;
– описание ограничений в области распространения, остаточного риска и времеми, в течении которого необходимо осуществлять управление элементом контроля.
Таким образом, вышеописанные руководства являются хорошим дополнением к основным публикациям COBIT5. Они позволяют лучше понять, каким образом, и с помощью какого инструментария осуществляется построение системы внутреннего контроля в компании.
На наш взгляд, основная ценность публикации в демонстрации следующего:
- внутренний контроль является неотъемлемой частью процесса создания ценности для заинтересованных сторон компании;
- система внутреннего контроля – «экосистема», создающаяся в компаниях для того, чтобы использовать факторы влияния (Enablers) более продуктивно и эффективно;
- система внутреннего контроля органично вписывается в соблюдении принципов, политик и правил компании на регулярной основе.
Публикации будут интересны менеджерам и специалистам компании, занимающимися вопросами: ИТ-управления, финансового контроллинга, риск-менеджмента, качества, ИБ, а также аудиторам и оценщикам.
