11.07.2024 06:45
MTorn 4 758 Источник

У меня есть вопрос. Должны ли уровни зрелости процессов определять эффективность и результативность контроля, например, над рисками присущими ИТ/ИБ?

В рамках системы внутреннего контроля и управления рисками в вашей организации, зная о рисках и угрозах, присущих любому процессу организации, включая ИТ и ИБ, будете ли вы учитывать уровень зрелости организации и непосредственно процессов организации при внедрении процедур?

Например, вы оцениваете зрелость случайного процесса ИТ как недостаточно зрелую, скажем, по шкале от 1 до 5, зрелость процесса оценивается примерно в 3. Будете ли вы внедрять и ожидать операционной эффективности от реализованного мероприятия, процедуры контроля?

Или вы ограничитесь просто реализацией процедуры, не ожидая ее регулярного выполнения, без операционной эффективности? Например, ну сделали что‑то 1 раз в год и так до следующего года? Или — внедрили процедуру, а далее ответственность за ее применимость, эффективность и т. д. полностью на том, кому эту процедуру «подарили»?

По моим скромным наблюдениям, очень часто при управлении рисками, создании и внедрении каких‑либо контрольных процедур, т. е. процедур направленных на снижение возможных рисков присущих процессам ИТ/ИБ или иным бизнес‑процессам организации, можно услышать — «У нас недостаточно зрелые процессы...», «Люди не готовы...» и т. д.

Однако, многие руководители забывают, что после внедрения, внедренная процедура должна исполнятся не просто один раз, а соизмеримо, эффективно, регулярно и консистентно, на протяжении всего периода существования риска, присущего данной области, процессу. Риску, который такая процедура призвана снизить или устранить.

Например, сложно представить, что кто‑то будет рад тому, что ожидаемое поступление зарплаты на ваш банковский счет будет осуществляться с разной периодичностью, на разные суммы... а иногда и вовсе не начисляться. Более того, главный бухгалтер объяснит это недостаточной зрелостью процесса...

Каков ваш опыт в реальности или совет коллегам? Будете ли вы реализовывать только дизайн и возлагать всю ответственность на владельца процесса или на что‑то еще, не ожидая операционной эффективности от процедуры?

Комментарии (4)


  1. AlexeyK77
    11.07.2024 08:26
    #27029514
    +1

    Если не учитывать зрелость процессов, то с веротяностью 100% внедряемые мероприятия будут восприняты как благопожеления "мудрой" совы из анекдота.


    1. MTorn Автор
      11.07.2024 08:26
      #27030156

      Хорошо, а как бы Вы поступили? Или уже реализовали?


  1. amarhgil
    11.07.2024 08:26
    #27031952

    внедренная процедура должна исполнятся не просто один раз, а соизмеримо, эффективно, регулярно и консистентно

    Вот это самая здравая мысль, но вот чтобы это сделать регулярно, надо ещё людей, ещё технических средств... ещё, ещё, ещё. И все в деньги упирается. И тут мы приходим к тому, что пока не будут выполнены пункты необходимых ещё, то и эффективности не будет, и регулярность будет не регулярной.


    1. MTorn Автор
      11.07.2024 08:26
      #27032922

      Тогда, получается, ничего не меняем? Ответственность на владельцах процессов, если что-то пойдет не так? Но если что-то пойдет не так и ответственность известна, то кому от этого легче будет?