Letyshops

Управление мониторингом ИТ

Начало в выпусках: #172, #173, #174, #175, #176, #177, #178, #179

Открытый проект Комитета по информационным технологиям при IFAC
Февраль 2002

M3 – Проведение независимых проверок. Задача контроля высокого уровня

Контроль за ИТ-процессом проведения независимых проверок, отвечающий требованиям предприятия по повышению доверия между организацией, клиентами и провайдерами, возможен благодаря регулярным независимым проверкам.

Он учитывает:

  • независимую сертификацию и аккредитацию;
  • независимую оценку эффективности;
  • независимую проверку соблюдения требований законодательства и регулирующих органов;
  • независимую проверку соблюдения контрактных обязательств;
  • проверку и эталонное тестирование сторонних провайдеров услуг;
  • выполнение проверок квалифицированными специалистами;
  • профилактический аудит.

Детализированные задачи контроля

1. Независимая сертификация/аккредитация безопасности и внутреннего контроля служб ИТ. До внедрения новых важных служб ИТ руководство должно обеспечить независимую сертификацию/аккредитацию безопасности и внутреннего контроля, а после внедрения ресертификацию и переаккредитацию на регулярной основе.

2. Независимая сертификация/аккредитация безопасности и внутреннего контроля других провайдеров услуг. Прежде чем прибегнуть к услугам провайдера, руководство должно обеспечить независимую сертификацию/аккредитацию безопасности и внутреннего контроля, а в дальнейшем ресертификацию и переаккредитацию провайдера на регулярной основе.

3. Независимая оценка эффективности услуг ИТ. Руководство должно регулярно получать независимую оценку эффективности услуг ИТ.

4. Независимая оценка эффективности провайдерских услуг ИТ. Руководство должно регулярно получать независимую оценку эффективности услуг ИТ, оказываемых сторонними провайдерами.

5. Независимая проверка соблюдения контрактных обязательств, требований законодательства и регулирующих органов. Руководство должно регулярно получать независимое подтверждение соблюдения контрактных обязательств, требований законодательства и регулирующих органов.

6. Независимая проверка соблюдения сторонними провайдерами услуг контрактных обязательств, требований законодательства и регулирующих органов. Руководство должно регулярно получать независимое подтверждение того, что сторонние провайдеры услуг соблюдают контрактные обязательства, требования законодательства и регулирующих органов.

7. Компетентность функции независимой проверки. Руководство должно убедиться, что функция независимой проверки проявляет техническую компетентность, знания и навыки, необходимые для эффективного, рационального и экономичного проведения таких проверок.

8. Профилактический аудит. Руководство ИТ должно стараться провести профилактический аудит до окончательной сдачи ИТ-решений.

Инструкции для руководителей

Критические факторы успеха:

  • обеспечена постоянная увязка с потребностями участников;
  • организация определила процессы для проверки ИТ (особенно общего внутреннего контроля, сертификации и важных решений);
  • регулярно проводится эталонное тестирование сторонних провайдеров услуг;
  • процесс принятия решений по ИТ опирается на анализ требований для проверки мнения третьей стороны;
  • до независимой проверки проводится тщательная оценка степени риска с основными участниками;
  • процесс долговременного совершенствования неизменно опирается на независимую проверку;
  • проверки проводятся по общепринятым правилам, например SysTrust;
  • созданы отношения партнерства и сотрудничества между аудитором и проверяемым.

Основные целевые показатели:

  • растущее число принятых мнений по общей системе внешнего контроля во всех согласованных сферах;
  • растущее число сертификатов качества и аккредитаций во всех согласованных сферах;
  • растущее число внешних подтверждений важных решений в связи с ИТ, таких как: запуск, переговоры о контракте, совместные предприятия, крупные приобретения;
  • доля своевременно отработанных рекомендаций, данных независимой проверки внутреннего контроля, сертификата качества или аккредитации;
  • уменьшающееся число неудачных или отмененных важных решений по ИТ;
  • индекс взаимного доверия и уверенности участников.

Основные индикаторы выполнения:

  • снижение накладных расходов на проведение проверок и сертификацию;
  • своевременность отчетности о проверках;
  • своевременность проведения ревизионных мероприятий;
  • число процессов проверки;
  • число итераций (возвратов на доработку) отчетов о проверке;
  • число решений по ИТ, требующих проверки, когда она не предусмотрена;
  • число решений по ИТ, не требующих проверки, когда она предусмотрена;
  • снижение числа неудачных или отмененных важных решений по ИТ после положительного заключения проверки.

 

 

Реклама: