Опубликован: 12.11.2012 | Доступ: свободный | Студентов: 1828 / 318 | Длительность: 18:27:00
Лекция 15:

Домен "Мониторинг и оценка": процессы, отвечающие за мониторинг и оценку деятельности ИТ

< Лекция 14 || Лекция 15: 1234 || Лекция 16 >

15.3. ME 3. Обеспечение соответствия внешним требованиям

Эффективный надзор за соответствием внешним требованиям требует установления процесса анализа соответствия требованиям законодательства, регулирующих норм и условий контрактов. Данный процесс включает в себя выявление применимых требований, оптимизацию и оценку результатов, получение уверенности в том, что требования соблюдены, и, наконец, интеграцию отчетности о соответствии ИТ внешним требованиям с корпоративной отчетностью.

Процесс "Обеспечение соответствия внешним требованиям"

Рис. 15.3. Процесс "Обеспечение соответствия внешним требованиям"

Обеспечение соответствия внешним требованиям

удовлетворяет следующим бизнес требованиям к ИТ

обеспечение соблюдения законодательства, регулирующих норм и условий

контрактов.

сосредоточено на

выявлении всех применимых требований законодательных актов, регулирующих норм и условий контрактов, а также необходимого уровня ИТ-соответствия и оптимизации ИТ- процессов на сокращение риска несоответствия.

достигается с помощью

  • Выявления требований законодательства, регулирующих норм и условий контрактов, имеющих отношение к ИТ.
  • Оценки последствий требований по соответствию внешним требованиям.
  • Мониторинга и отчетности по соответствию данным требованиям.

результаты оцениваются с помощью следующих показателей

  • Затраты, связанные с несоответствиями, включая выплаты и штрафы.
  • Средняя временная задержка между выявлением проблем с соответствием внешним требованиям и их решением.
  • Частота анализа соответствия внешним требованиям.

В таблице 15.11 представлена информация, необходимая для процесса и ее источники.

Таблица 15.11.
Источник Входящая информация
* Требования законодательства и регулирующих норм
PO 6 ИТ-политики

В таблице 15.12 приведены результаты процесса и то, куда они должны поступить.

Таблица 15.12.
Результаты В процессы
каталог требований законодательства и регулирующих норм, имеющих отношение к оказанию ИТ-услуг PO 4 ME 4
Отчет о соответствии деятельности в сфере ИТ внешним требованиям законодательства и регулирующих норм ME 1

Таблица 15.13 содержит таблицу ОУКИ для процесса, а таблица 15.14 – цели и показатели.

Таблица 15.13.
Действия\Функции Президент Финансовый директор Высшее руководство Директор по ИТ Владелец бизнес-процесса Руководитель эксплуатации системы Главный архитектор ИТ-системы Руководитель разработок Руководитель администрации ИТ Руководитель проектного офиса Аудит, риски, безопасность
Определить и внедрить процесс по выявлению внешних требований законодательства, регулирующих норм и условий контрактов У/О К И И И К И О
Оценить соответствие деятельности в сфере ИТ политике, планам и процедурам ИТ И И И У/О И О О О О О О И
Получать положительное заключение о соответствии деятельности в сфере ИТ политике, планам и процедурам ИТ У/О К К К К К К О
Вести мероприятия по приведению ИТ-политик, планов и процедур в соответствие с внешними требованиями У/О К К К К К О
Осуществить интеграцию ИТ-отчетности по соблюдению внешних требований с аналогичной отчетностью других корпоративных подразделений У/О И И И О О
Таблица 15.14.
Цели Показатели
ИТ:
  • обеспечить соответствие ИТ требованиям законодательства, регулирующих норм и условиям контрактов
  • затраты, связанные с несоответствиями, включая выплаты и штрафы
  • число проблем, связанных с несоответствиями, ставших причинами докладов Совету директоров, публичных комментариев или скандала
Процесса:
  • выявить все применимые требования законодательства, регулирующих норм и условий контрактов и определить уровень соответствия им со стороны ИТ
  • осуществлять эффективное управление рисками несоответствия внешним требованиям
  • минимизировать последствия для бизнеса от выявленных проблем несоответствия внешним требованиям в сфере ИТ
  • число выявленных за год критичных случаев несоответствия внешним требованиям
  • частота анализа соответствия внешним требованиям
Действия:
  • выявление требований законодательства, регулирующих норм и условий контрактов, имеющих отношение к ИТ
  • обучение персонала обязанностям по соблюдению внешних требований
  • оценка последствий требований по соответствию внешним требованиям
  • мониторинг и отчетность по соответствию внешним требованиям
  • средняя временная задержка между выявлением проблем с соответствием внешним требованиям и их решением
  • средняя временная задержка между изданием нового закона или регулирующей нормы и инициированием процедуры обеспечения соответствия новым требованиям
  • число дней в году, затраченных на обучение каждого сотрудника по вопросам соответствия внешним требованиям

Цели контроля

  • ME 3.1. Выявление внешних требований законодательства, регулирующих норм и условий контрактов

    Необходимо вести постоянную работу по выявлению требований национального и международного законодательства, регулирующих норм и других внешних требований, которым должны соответствовать корпоративные ИТ-политики, стандарты, процедуры и методики.

  • ME 3.2. Оптимизация результатов приведения в соответствие с внешними требованиями

    Анализировать и корректировать ИТ-политики, стандарты, процедуры и методики на предмет соответствия требованиям законодательства, регулирующих норм и условий контрактов.

  • ME 3.3. Оценка соответствия внешним требованиям

    Подтвердить соответствие ИТ-политики, стандартов, процедур и методик требованиям законодательства и регулирующих норм.

  • ME 3.4. Положительное заключение о соответствии

    Получить заключение о соответствии и строгом соблюдении положений внутренней политики, вытекающих из внутренних директив и внешних требований законодательства, регулирующих норм и условий контрактов. Заключение должно подтверждать, что все корректирующие действия, направленные на обеспечение соответствия данным требованиям были своевременно предприняты ответственным владельцем процесса.

  • ME 3.5. Интеграция отчетности

    Проводить интеграцию отчетности по соблюдению требований законодательства, регулирующих норм и условий контрактов с аналогичной отчетностью других корпоративных подразделений.

Одной из задач, стоящих перед ИТ ( как и любой другой областью) является соблюдение внешних требований. Набор требований и законов, которым должна следовать организация, во многом зависит от ее деятельности. Если это банк, то это в первую очередь требования Центрального Банка России, ФСТЭК, ФСБ и т.п. Регуляторы совершают проверки выполнения требований, но помимо внешних проверок, нужно самим осуществлять контроль. Процесс "Обеспечение соответствия внешним требованиям" отвечает за обеспечение соответствия внешним требованиями и контроль их выполнения.

< Лекция 14 || Лекция 15: 1234 || Лекция 16 >
Максим Цапко
Максим Цапко

Я наконец закончил курс "Управление ИТ-проектами". Как получить документ об окончании курса.

Дмитрий Лобанов
Дмитрий Лобанов

Управление ИТ на основе COBIT 4.1

: в перечне литературы, п.15 - отсутствует документ по ссылке https://www.rusonyx.ru/support/agreements/

Рабият Исмаилова
Рабият Исмаилова
Россия, г. Махачкала
Рамазан Камалудинов
Рамазан Камалудинов
Россия, Махачкала