Опубликован: 12.11.2012 | Доступ: свободный | Студентов: 1828 / 318 | Длительность: 18:27:00
Лекция 15:

Домен "Мониторинг и оценка": процессы, отвечающие за мониторинг и оценку деятельности ИТ

< Лекция 14 || Лекция 15: 1234 || Лекция 16 >

15.2. ME 2. Мониторинг и оценка системы внутреннего контроля

Установление программы эффективного внутреннего контроля в сфере ИТ требует хорошей организации процесса мониторинга. Данный процесс включает в себя собственно мониторинг и отчетность о случаях исключения из практики, результаты самооценок и анализ, проводимый третьей стороной. Основное преимущество мониторинга системы внутреннего контроля заключается в обеспечении эффективной и результативной деятельности в сфере ИТ и совместимости с требованиями законодательства и регулирующих норм.

Процесс "Мониторинг и оценка системы внутреннего контроля"

Рис. 15.2. Процесс "Мониторинг и оценка системы внутреннего контроля"

Мониторинг и оценка системы внутреннего контроля

удовлетворяет следующим бизнес требованиям к ИТ

подтверждение достигнутых целей ИТ и соответствие ИТ законодательству, регулирующим нормам и контрактам.

сосредоточено на

мониторинге процессов внутреннего контроля видов ИТ-деятельности и выявлении действий по совершенствованию.

достигается с помощью

  • Определения системы внутреннего контроля, включенной в методологию ИТ- процессов.
  • Мониторинга и отчетности об эффективности внутреннего контроля в сфере ИТ.
  • Отчетности об исключительных случаях и принятии корректирующих мер.

результаты оцениваются с помощью следующих показателей

  • Число крупных нарушений в сфере внутреннего контроля.
  • Число инициатив по совершенствованию мер контроля.
  • Число и охват самооценок системы контроля.

В таблице 15.7 представлена информация, необходимая для процесса и ее источники.

Таблица 15.7.
Источник Входящая информация
AI 7 Мониторинг внутреннего контроля
ME 1 Отчеты об эффективности процессов

В таблице 15.8 приведены результаты процесса и то, куда они должны поступить.

Таблица 15.8.
Результаты В процессы
Отчет об эффективности мер контроля ИТ PO 4 PO 6 ME 1 ME 4

Таблица 15.9 содержит таблицу ОУКИ для процесса, а таблица 15.10 – цели и показатели.

Таблица 15.9.
Действия\Функции Президент Финансовый директор Высшее руководство Директор по ИТ Владелец бизнес-процесса Руководитель эксплуатации системы Главный архитектор ИТ-системы Руководитель разработок Руководитель администрации ИТ Руководитель проектного офиса Аудит, риски, безопасность
Осуществлять мониторинг и надзор за системой внутреннего ИТ – контроля У О О О О
Осуществлять мониторинг процесса самооценки И У О О О К
Осуществлять мониторинг эффективности независимой отчетности, аудита и проверок И И И У О О О К
Осуществлять мониторинг процесса получения гарантий в отношении системы контроля третьих сторон И И И У И О О О К
Осуществлять мониторинг процесса определения и оценки исключений из контроля И И И У И О О О К
Вести отчетность перед основными заинтересованными сторонами И И И У/О И
Таблица 15.10.
Цели Показатели
ИТ:
  • убедиться в том, что ИТ-услуги и инфраструктура устойчивы к сбоям вследствие ошибок, преднамеренной атаки или аварийной ситуации
  • обеспечить подтверждение результатов достижения ИТ-целей
  • убедиться в соблюдении законодательства, регулирующих норм и контрактов
  • вести учет и осуществлять защиту всех ИТ-активов
  • удовлетворенность высшего руководства отчетностью по мониторингу внутреннего контроля
  • число крупных нарушений в сфере внутреннего контроля
Процесса:
  • осуществлять мониторинг достижения целей внутреннего контроля ИТ-процессов
  • выработать действия по совершенствованию системы внутреннего контроля
  • частота инцидентов в сфере внутреннего контроля
  • число уязвимых мест, выявленных по внешней отчетности по квалификации и сертификации
  • число инициатив по совершенствованию мер контроля
  • число инцидентов, связанных с несоответствием требованиям законодательства или регулирующих норм
  • число своевременных действий, предпринятых по вопросам внутреннего контроля
Действия:
  • определение системы внутреннего контроля, включенной в методологию ИТ-процессов
  • мониторинг и отчетность об эффективности внутреннего контроля в сфере ИТ
  • отчетность об исключительных случаях и принятие корректирующих мер
  • число и охват контрольных самооценок
  • число и охват мер внутреннего контроля для надзорного анализа
  • временная задержка между выявлением недостатка в сфере внутреннего контроля и сообщением об этом в отчетности
  • количество, регулярность и охват отчетности по соблюдению требований внутреннего контроля

Цели контроля

  • ME 2.1. Мониторинг методологии внутреннего контроля

    Постоянно осуществлять мониторинг, сравнительный анализ и совершенствование среды ИТ-контроля и соответствующей методологии согласно корпоративным целям.

  • ME 2.2. Надзор

    Осуществлять мониторинг и оценку эффективности и результативности внутреннего управленческого контроля ИТ.

  • ME 2.3. Исключения из мер контроля

    Выявить случаи исключения из требований контроля, проанализировать их и выявить их первопричины. По этим исключениям подготовить отчетность для заинтересованных сторон. Выработать необходимые корректирующие действия.

  • ME 2.4. Контрольные самооценки

    Провести оценку полноты и эффективности управленческого контроля над ИТ- процессами, политики и контрактов в рамках постоянной программы самооценки.

  • ME 2.5. Аудит системы внутреннего контроля

    Получить, в случае необходимости, гарантии полноты и эффективности системы внутреннего контроля, с помощью проверок третьей стороны.

  • ME 2.6. Система внутреннего контроля третьих сторон

    Оценить уровень системы внутреннего контроля у внешних поставщиков услуг. Следует убедиться в том, что внешние поставщики услуг соответствуют требованиям законодательства и регулирующих норм, а также контрактных обязательств.

  • ME 2.7. Корректирующие действия

    Определить, инициировать, отслеживать и реализовать на практике корректирующие действия, вытекающие из оценок системы контроля и отчетности.

Допустим, Вы (CIO) спроектировали и внедрили многие процессы управления в своей организации для того, чтобы предоставлять услуги с пользой и оптимальными затратами. Но как узнать, что они (процессы) действительно работают? Для этого и предназначен процесс "Мониторинг и оценка системы внутреннего контроля". Вам необходимо создать систему ролей и назначить людей, которые будут проводить регулярный внутренний аудит и сообщать результаты CIO, CEO и совету директоров.

Внутренние аудиторы проверят, корректно ли выполняются контроли. Например, следуете ли Вы стратегии ИТ при создании процессов? Соблюдает ли персонал процесс Внесения изменений? Участвует ли персонал в процессе Управления инцидентами? Процесс отвечает за то, чтобы найти отклонения. Например, в рамках внутреннего аудита обнаружено, что некоторые инциденты не регистрируются в рамках процесса Управление инцидентами по причине простоты разрешения. Вы должны решить, что с этим делать:

  • если разрешать инциденты "на лету" без регистрации нормально, то внести эти изменения в процесс;
  • если это не нормально, можно потребовать создать некую автоматизированную систему регистрации всех звонков в сервис-деск.
< Лекция 14 || Лекция 15: 1234 || Лекция 16 >
Максим Цапко
Максим Цапко

Я наконец закончил курс "Управление ИТ-проектами". Как получить документ об окончании курса.

Дмитрий Лобанов
Дмитрий Лобанов

Управление ИТ на основе COBIT 4.1

: в перечне литературы, п.15 - отсутствует документ по ссылке https://www.rusonyx.ru/support/agreements/

Артур Гибадуллин
Артур Гибадуллин
Россия, г. Нижневартовск