О публикации ISACA «Внутренний контроль для COBIT5»

| 16 февраля
Рубрики: COBIT

Осуществление внутреннего контроля часто не очень хорошо воспринимается бизнесом. Вопреки некоторым ошибочным мнениям, внутренний контроль – это не обременительные правила, которые делают работу громоздкой и сложной. На самом деле, все наоборот. Тщательное рассмотрение и внедрение системы внутреннего контроля может обеспечить желаемые положительные результаты и смягчить потенциальные негативные последствия, обеспечивая ценность для всех заинтересованных сторон в компании.

В качестве помощи при разработке и управлении системы внутреннего контроля, ISACA выпустила публикацию «Internal Control Using COBIT5» [доступна в свободном доступе после регистрации].

В публикации рассматриваются следующие вопросы:

  • что такое управление?
  • что такое внутренний контроль в COBIT?;
  • для чего необходимо выстраивать систему внутреннего контроля в компании?;
  • область распространения и ответственность за разработку и управление системой;
  • жизненный цикл элементов контроля;
  • место системы внутреннего контроля и ее взаимосвязь с другими процессами в Enabling Processes COBIT5;
  • выбор и применения средств внутреннего контроля с позиции ИБ.

При формировании системы внутреннего контроля часто бывает полезно вести записи того, почему в нее был включен тот или иной элемент.

Также, в некоторых случаях, регуляторы и аудиторы запрашивают свидетельства того, что процессы соответствуют техническим нормативам или стандартам (например, при проведении аудита на соответствие требованиям ИБ по ISO/IEK 27001).

С другой стороны, кому как не компании определять, на каких аспектах (персонал, процессы,  технологии) акцентировать свое внимание при управлении , чтобы проводить систематическую и объективную оценку рисков.

При осуществлении выбора, обоснования и принятия решения о включении тех или иных элементов контроля, разработчики COBIT5 предлагают воспользоваться шаблоном рабочего листа, облегчающего правильность выбора элементов внутреннего контроля «Internal and Mitigating Control Selection Worksheet» [в свободном доступе после регистрации].

Этот шаблон содержит процедуру, в которой осуществляется:
— отбор элементов контроля, нивелирующих риски;
— обоснования того, почему был выбран именно этот элемент контроля, а не другой;
— анализ рисков, на котором основано принятое решение;
— описание ограничений  в области распространения, остаточного риска и времеми, в течении которого необходимо осуществлять управление элементом контроля.

Таким образом, вышеописанные руководства являются хорошим дополнением к основным публикациям COBIT5. Они позволяют лучше понять, каким образом, и с помощью какого инструментария осуществляется построение системы внутреннего контроля в компании.

На наш взгляд, основная ценность публикации в демонстрации следующего:

  • внутренний контроль является неотъемлемой частью процесса создания ценности для заинтересованных сторон компании;
  • система внутреннего контроля –  «экосистема», создающаяся в компаниях для того, чтобы использовать факторы влияния (Enablers) более продуктивно и эффективно;
  • система внутреннего контроля органично вписывается в соблюдении принципов, политик и правил компании на регулярной основе.

Публикации будут интересны менеджерам и специалистам компании, занимающимися вопросами: ИТ-управления, финансового контроллинга, риск-менеджмента, качества, ИБ, а также аудиторам и оценщикам.

COBIT Основы COBIT 5

Подробный трёхдневный учебный курс.
 

Узнайте больше!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Ближайшие мероприятия

Зарегистрируйтесь, чтобы получить больше полезных знаний:

ИЮЛ
23
ИЮЛ
30