На онлайн-ресурсе ISACA – «COBIT FOCUS» Питер С. Тессин (CISA, CRISC, CISM, CGEIT) делится своим опытом применения руководства корпоративными ИТ (Governance of Enterprise IT – GEIT). В серии из 6 статей рассматривается кейс по решению управленческой проблемы.
В первой части обсуждается исходная точка – формирование осознания того, что существует проблема, и как подходить к ее решению. Последующие статьи будут проходить через планирование к решению проблемы. В частности, вторая часть будет планировать резолюцию, определять роли, необходимые для работы над проблемой, и описывать конечные продукты решения. Третья часть будет охватывать создание плана проекта, включающего объем и длительность работ, требуемых для реализации предлагаемого решения. В четвертой части будет описана деятельность, определяющая вклад каждого участника проекта. В пятой части будет представлено, как анализировать результаты реализованного решения и сравнивать их с первоначальными требованиями, а также как настраивать измерения производительности. В заключительной части будет подробно рассмотрена постпроектная деятельность, а также обсужден подход к постоянному совершенствованию в рамках этого проекта.
Идентификация проблемы
Описание проблемной ситуации: высшее руководство получает отчет от комитета по аудиту совета директоров, в котором говорится, что система внутреннего контроля управляется не в полной мере , что может привести к выявлению существенных недостатков при проверках, проводимых внешним аудитором. В докладе далее говорится, что должна быть выявлена основная причина слабого управления, а решение разработано и реализовано как можно скорее. Ответственный за решение управленческой проблемы сотрудник, входящий в топ-менеджмент компании, определяющий какие действия необходимо предпринять, и как ситуация будет управляться от начала до конца.
Топ-менеджер встречается с командой внутреннего аудита (Internal Audit – IA) для обсуждения ситуации и узнает, что команда выявила многочисленные проблемы, которая считает, что наметилась определенная тенденция при некачественном управлении системы внутреннего контроля. IA на основании проведенного анализа основных причин, отмечает в своих отчетах, что возникающие проблемы связаны с отсутствием надлежащего контроля. При более внимательном анализе топ-менеджер понимает, что многие элементы управления в среде внутреннего контроля выросли естественным образом. Управление выявляет только локальные недостатки и предлагает новые или измененные контроли. При этом отсутствует центральный орган, осуществляющий согласование показателей с целями предприятия, и контролирующий отклонения от нормативных требований. Естественный рост элементов контроля является типичным явлением в компаниях, в которых отсутствует единые правила их формирования и утверждения. Для получения выгод при разработке системы внутреннего контроля необходимо привлекать к разработке ее элементов тех, кто ближе всего к этой деятельности и лучше ее понимает. Проблема, которая может возникнуть, заключается в том, что элементы управления, определяемые руководством, могут решать узкие интересы, одновременно оставляя пробелы относительно общей картины на предприятии.
Опора на элементы управления, которые определяются только руководством, объясняет выводы IA, что отсутствует единая система внутреннего контроля в компании. Руководство определило и разработало элементы управления, не привлекая к этому лиц, ответственных за их непосредственное исполнение. Такой подход создает риски того, что эти элементы не будут соответствовать нормативным актам и требованиям регуляторов.
Повторите проблему с точки зрения руководства и COBIT 5
После изучения отчетов и анализов IA, топ-менеджер должен посмотреть, как происходит управление средой внутреннего контроля с точки зрения системы элементов контроля, а также проверяет результаты аудита. Подтверждение результатов аудита включает в себя ряд решение ряда задач и исследование нескольких вопросов.
- Имеет ли организация функцию управления рисками на корпоративном уровне?
Это довольно очевидно, когда есть такая функция. Но та же самая деятельность может быть названа по-другому, и именно это нужно идентифицировать. Организация может иметь эту функцию под другим именем, например, «управление рисками предприятия», «управление операционным риском» или «Управление соответствием» - Как создаются и внедряются средства управления?
На этот вопрос могут быть некоторые удивительные ответы. Ответ более высокого уровня, скорее всего, известен и хорошо документирован. Проблема возникает, когда заинтересованные стороны узнают, что владельцы бизнес-процессов создают элементы управления и следуют за ними, но отказываются от управления, задокументированного в пошаговых процедурах. Это несоответствие между документированным и практическим достижением со временем может привести к возникновению проблем с соблюдением функций IA или, что еще хуже, внешних регуляторов. Недопустимо использовать неформальную среду для осуществления внутреннего контроля. - Существует ли соответствие между требованиями заинтересованных сторон и внутренним контролем и управлением рисками?
Если такой деятельностью явно никто не занимается, то возможно расхождение в том, что по мнению совета директоров должно происходить, и что происходит на самом деле. Топ-менеджмент должен удостовериться в том, что он знает, что от него требуется.
Все вопросы, обсуждаемые при проверке отчетов IA, можно описать под одним зонтиком: руководство. Руководство – это понимание потребностей заинтересованных сторон и согласование ресурсов для удовлетворения этих потребностей. Используемые при этом инструменты используются, чтобы помочь убедиться, что управление ИТ выстроено на должном уровне и обеспечивает необходимые бизнес-результаты, и такие результаты соответствуют требованиям регуляторов. Большинство этих инструментов предназначены для предоставления технических рекомендаций, таких как ITIL, в котором подробно описывается, как лучше всего управлять операционной деятельностью. Эти своды знаний рассказывают, как что-то делать, но не проливают свет на то, насколько это делается правильно с точки зрения корпоративного руководства. GEIT позволяет ответить на этот вопрос.
Предлагаемый кейс использует COBIT 5, как наиболее распространенная структура GEIT, используемая во всем мире. Оглядываясь на первоначальные результаты аудита и требования IA о недостаточной постановке системы внутреннего контроля в компании, проблему можно переформулировать с использованием COBIT 5. По словам руководства, выполняющего реализацию GEIT, основной проблемой, раскрытой IA, является недостаточное понимание потребностей заинтересованных сторон; сопоставление этих потребностей с ИТ-целями, а также метрики, отражающие элементы систему внутреннего контроля. Фактически разработка системы внутреннего контроля может гарантировать, что на предприятия будет происходить соблюдение требований внешних регуляторов. Решение этих вопросов – именно то, что должен сделать COBIT 5.
Планирование решения
В следующей части будет рассмотрено – как разработать решение GEIT для устранения недостатков системы внутреннего контроля, кто должен работать над этим и как будет выглядеть конечный продукт.
Необходимо проявлять осторожность, поскольку заинтересованные стороны в определении своих потребностей могут захотеть слишком многого с реализацией в кратчайшие сроки. Такой подход может саботировать проект. Двигаясь вперед, мы будет включать определение области охвата и масштабирование решения, которое будет служить доказательством концепции, а затем распространим ее на более широкую аудиторию. Выполнение этих целей требует привлечения заинтересованных сторон на различных этапах развертывания и выполнения тщательно спланированного проекта, понятного всем участникам, указанным в плане коммуникаций.