Самооценка (перевод)

Самооценка (перевод)
Сделал перевод подраздела любимой книги CISA Review Manual по интересной мне теме. Хоть сейчас не самое удачное время для проведения самооценки в банках с точки зрения легитимности СТО БР, но всё таки. Так как английский язык я пока знаю далеко не в совершенстве, возможная кривизна перевода может иметь место :) 

Управление самооценкой
Управление самооценкой может быть определено как технология менеджмента, которая обеспечивает уверенность руководству, заказчикам, другим заинтересованным сторонам, что система внутреннего контроля для бизнеса работоспособна. Самооценка обеспечивает осведомленность сотрудников о рисках для бизнеса, регулярную переоценку рисков, проактивный подход контролирования их. Эта методология используется для наблюдения за ключевыми бизнес процессами, связанными с ними рисками, и системой внутреннего контроля, разработанной для формального управления этими бизнес рисками, а также совместного документирования процесса.
Практически самооценка это ряд инструментов, предназначенных для постоянной тренировки, начиная с простого анкетирования до практических занятий. Она проводится для получения информации по рассматриваемой области для предоставления менеджменту организации. Основные инструменты проекта по самооценке: технические, финансовые и операционные. Это могут быть встречи с руководством, семинары с сотрудниками, письменные задания, тесты и др. Это нужно для получения информации с разных уровней организации (некоторые организации часто опрашивают клиентов или партнеров).
Самооценка может проводиться разными методами. Для небольших бизнес подразделений она проводится в виде практических семинаров, где менеджеры совместно с сотрудником, проводящим самооценку, вовлекаются в процесс контроля организации.
Для организаций, имеющих несколько территориальных офисов данная техника не применима. В этом случае нужны смешанные технологии. Для лучшего понимания положения дел может использоваться регулярное анкетирование, с последующим анализом эффективности оцениваемых процессов. Этим может заниматься управляющий менеджмент на регулярной основе. Однако такие технологии эффективны, только если анализ и уточнение вопросов проводится на постоянной основе.

Цели самооценки
У самооценки есть несколько целей. Первичная цель самооценки это воздействие на некоторые функции внутреннего аудита, путем перевода ответственности за наблюдаемые контроли в функциональную плоскость. Это не подразумевает ответственность за аудит, а лишь расширяет её. Линейные руководители, ответственны за управление доверенным им окружением. Самооценка также должна обучать менеджмент управлению, наблюдению, концентрации внимания о высоких рисках. Эти программы не только требуют политик для своего выполнения. Взамен они предлагают разные уровни поддержки, начиная с написанных советов и предложений до углубленных семинаров. Далее семинары включаются в программу в качестве дополнительных целей, после которых доверенные сотрудники определяют уже степень самооценки и улучшают её при необходимости.
Когда выполняется самооценка, измерение показателей успешности должно проводиться на каждой стадии (планирование, разработка, наблюдение) и их оценки должны подходить для последующего использования. Один важный фактор - проведение встреч с ответственными за бизнес процессы. Дополнительно, должны отождествляться действия, направленные на повышение вероятности в достижении главных целей организации.
Главное это установить цели и их метрики для каждого процесса, который может наблюдаться при самооценке, это все сведено в CobiT.
CobiT- это структурированный свод процессов управления и система их контролей, предоставляющая инструкции развитых методов и оценок. Это позволяет разработать метод самооценки, идентифицирующий задачи и процессы, действительные для бизнес окружения и определяющие контроли, подходящие для них. Самооценка, проводимая путем анкетирования, может быть разработана для достоверных целей, которые идентифицируют ИТ-процессы. Разные компоненты CobiT, такие как Матрица входоввыходов процессов, RACI-диаграмма, Цели и Метрики могут быть преобразованы в формы анкет для проведения самооценки по каждой требуемой области.

Преимущества самооценки
Некоторые преимущества самооценки:
·         Легкое обнаружение рисков;
·         Более эффективная, по сравнению с внутренним контролем;
·         Создание сплоченной команды, вовлеченной в процесс;
·         Разработка разумных для собственников контролей персонала и процессов, и снижение их сопротивляемости к инициативам для усовершенствования контролей;
·         Увеличение осведомленности персонала организации целям, рискам и внутренним контролям;
·         Улучшение уровня взаимодействия между линейными руководителями и топ менеджментом;
·         Повышение уровня мотивации персонала;
·         Повышение уровня значимости аудита;
·         Снижение стоимости контрольных процедур;
·         Уверенность руководства и заказчиков;
·         Некоторая уверенность топ менеджмента об адекватности системы внутреннего контроля, требованиям различных проверяющих организаций, законов, таких как USSarbanes-OxleyAct.

Недостатки самооценки
Самооценка потенциально содержит несколько недостатков, среди которых:
·         Это может быть ошибкой, так как функции аудитора замещаются;
·         Это может быть оценено как дополнительная нагрузка (например, лишние отчеты для руководства);
·         Отказ от действий по улучшению может повредить моральным качествам персонала;
·         Недостаток мотивации может ограничить эффективность в обнаружении слабых сторон.

Роль аудитора при проведении самооценки
Когда отдел аудита проводит самооценку, роли аудиторов должны быть достаточно широкими и продуманными. Когда роли разработаны, аудиторы могут профессионально помогать службе внутреннего контроля. Результаты оценки – данные, которые являются собственностью организации, за которые менеджмент организации берет ответственность в процессе улучшения структуры управления, включающей действия по наблюдению за оцениваемой областью.
Для того, чтобы аудит был эффективным и рациональным, аудитор должен понимать оцениваемые бизнес процессы. Он может использовать такие традиционные подходы, как предварительное изучение и только потом выход на место. Также аудитор должен помнить, что он частично помогает менеджменту организации управлять персоналом, проводя самооценку. Например, в течение семинаров, аудитор проводит детализированные процедуры, ведет и обучает процессу аудита с целью получения свидетельств, согласующихся с целями аудита,  используя риск ориентированный подход. Менеджеры, наблюдая за тем как проходит процесс аудита и желая его улучшить, должны предлагать заменять одни технологии на лучшие. В этом случае, аудитор лучше может объяснить риски, которые ассоциируются с подобными изменениями.

Технологии проведения самооценки
Разработка техник получения информации и принятия решений необходимая часть самооценки. Некоторые техники предписывают включать аппаратные и программные средства для поддержки самооценки и использовать электронные системы проведения собраний, а также системы, помогающие принимать решения. Группа принятия решений - важный компонент проводимых семинаров, целью которой является проверка полномочий, присутствующих на них сотрудников. В случае анкетирования определенные принципы применяются для анализа и совершенствования анкет.

Традиционный подход против самооценки
Традиционный подход основывается преимущественно на обязанности анализировать и сообщать службе внутреннего контроля о выявленных аудиторами рисках, причем, делая это нужно стремиться уменьшать область проводимой оценки, контролируемую отделом аудита или внешними консультантами. Этот подход создан и укрепляется позициями традиционных аудиторов и консультантов, но не менеджмента организации и рабочих групп, ответственных за оценку и подготовку отчетов для службы внутреннего контроля.
Самооценка же проводится по-другому:  подчеркивается участие менеджмента, в том числе финансового для наблюдения за важными и критичными бизнес процессами и последующей подготовки отчета для службы внутреннего контроля.
Отличие одного подхода от другого:
Традиционный (исторически сложившийся)
Самооценка
Определение обязанностей / возможностей персонала
Понимание полномочий / подотчетность персонала
Следование политикам и правилам
Постоянное улучшение / обучающие курсы
Ограничение участия персонала
Тренинги для расширения участия персонала
Ограниченное наблюдение руководством
Наблюдение советом директоров
Аудиторы и другие специалисты
Персонал всех уровней, выполняющий все контролируемые функции
Подготовка отчетов
Подготовка отчетов


Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Евгений Шауро

Блог специалиста по информационной безопасности