Новости компании

ИТ Аудит в свете цифровой информации

В контекст В контексте цифровизации, информационные технологии (далее - ИТ) стали решающим фактором поддержки, стабильности и развития многих организаций. Ранее во многих экономиках управленческие органы (совет директоров или наблюдательный совет и высшие руководители (Правление) могли делегировать, игнорировать или избегать решений, связанных с ИТ. В большинстве организаций секторов и отраслей промышленности в мировом масштабе такие подходы не являются приемлемыми. Создание ценности для заинтересованных сторон (а именно реализация выгод при оптимальной стоимости ресурсов при оптимизации риска) часто обусловлено высокой степенью диджитализации новых бизнес-моделей, эффективными процессами, успешными инновациями и тому подобными вещами. Организации, перешедшие на цифровые технологии либо активно, использующие цифровые решения, все больше зависят от ИТ для получения конкурентных преимуществ и развития. Учитывая одну и основных ролей ИТ в управлении рисками организаций и формировании ценностей, особое внимание должно быть направлено на систему управление информацией и технологиями организации (далее - СУИТ). СУИТ является неотъемлемой частью корпоративного управления. В лучших практиках Совет директоров или Наблюдательный совет должны осуществлять (а возможно уже некоторые  осуществляют) надзор за определением и внедрением процессов, структур и механизмов отношений в организации, которые позволяют как бизнес, так и ИТ-специалистам выполнять свои обязанности по поддержке согласованности с бизнесом и создании бизнес-ценности от инвестиций бизнеса в ИТ, т.е. в данном случае основным держателем инициативы являются бизнес-линии организации.
Эффективная СУИТ как правило повышает эффективность бизнеса и соответствие внешним требованиям. Однако успешное внедрение все еще обходит многие организации. Управление информационными технологиями является сложной, многоуровневой и многогранной системой. Нет одного исключительного пути для разработки, внедрения и поддержки эффективной СУИТ в организации. Таким образом, члены органов управления, как правило, должны адаптировать внедрение СУИТ к своему собственному специфическому контексту развития и потребностям, а также должны быть готовы принять на себя ответственности за ИТ и управлять различными подходами, взглядами и культурой для целей создания ценностей ИТ.
Необходимо отметить, что одной из распространенных причин провала некоторых проектов по внедрению систем корпоративного управления является то, что они не рассматриваются как программы для обеспечения реализации выгод. Программы корпоративного управления должны инициироваться и поддерживаться членами органов управления, сфера применения и достижимые цели программ должны быть четко определены.
Основные цели, в контексте Стратегии организации.
е
В контексте корпоративного управления, управления рисками наиболее важным является системное управление программами, проектами, продуктами, процессами, архитектурой, изменениями, а соответственно, управление (в контексте этих процессов) рисками, эффективностью и т.д.
Системное управление позволяет организации поддерживать запланированный темп изменений. Соответственно, управление программами или проектами рассматривается как неотъемлемая часть жизненного цикла внедрения. Также предполагается, что в то время, как программный и проектных подход рекомендован для эффективного внедрения инициатив по совершенствованию, целью является также установление обычной деловой практики и системного подхода к управлению ИТ организации как к любому другому аспекту корпоративного управления организацией. По этой причине подход к внедрению базируется на уполномоченные бизнес-линии и заинтересованные стороны ИТ и ролевых игроков принимать ответственность за решения и деятельность, связанные с корпоративным и операционным управлением ИТ, путем продвижения и содействие изменениям.
Программа внедрения завершается, когда процесс фокусировки на приоритетах, связанных с ИТ, и совершенствование корпоративного управления генерирует выгоду, которую можно измерить, и программа становится встроенной в бизнес-процессы и текущую деловую деятельность.
Для этих целей в очень часто используются лучшие международные профессиональные практики, а именно, документы COBIT, ITIL, CISA. Данные практики не нормативные документы или решения, которые можно сразу применить на практике, а представляют собой документы, которые даны в помощь для достижения результатов корпоративного и операционного управления.
Эти документы могут помочь организациям идентифицировать и применить свой собственный конкретный план или дорожную карту, в зависимости от ряда факторов разработки, таких как стратегия организации, системы управления рисками, внутреннего контроля и безопастностью, а также ИТ. Не менее важным является определение текущего стартового положения. Немного организаций не имеют структур или процессов СУИТ, даже если они в настоящее время не считают их таковыми. Таким образом, акцент должен делаться на том, что в организации уже внедрена система, особенно на использовании существующих успешных подходов на уровне организации, которые могут быть применены, и, если необходимо, осуществляется адаптирование современных решений для управления ИТ, а не изобретается что-то другое. Более того, любые предыдущие совершенствования, созданные путем применения COBIT, или других стандартов и лучших практик, не требуют переработки.
Корпоративное управление информацией и технологиями любой организации или СУИТ не существует обособленно. Внедрение происходит в разных условиях и обстоятельствах, которые определяются многими факторами во внутренней и внешней среде.
Определение управления, корпоративное управление и СУИТ могут иметь различные значения в зависимости от состояния организации, риск-культуры (зрелость, индустрия, качество управления и регуляторная среда) или индивидуального контекста (должность, образование и опыт).
В контексте цифровой трансформации, необходимо обратить внимание, что лучше совершенствовать существующую систему или подходы, чтобы они охватили все ИТ и процессы организации, чем разрабатывать новый подход.
Таким образом, обобщая вышесказанное, можно сделать вывод, что система корпоративного управления позволяет многим участникам процессов в компании иметь организованный подход к оценке условий и вариантов, определения направления и мониторинга результатов деятельности организации. Определение и поддержание надлежащего подхода к корпоративному управлению является обязанностью Совета директоров (или Наблюдательного совета).
В различных стандартах (COBIT, ITIL и т.д.) относительно определения корпоративного управление, указано, что корпоративное управление гарантирует, что потребности компаний, условия и возможности заинтересованных сторон оцениваются для определения сбалансированных и согласованных целей организации, которые необходимо достичь, определения направления путем цстановления приоритетов и принятия решений.
В глобальном масштабе, в организациях любого сегмента, все больше понимают, что информация является ключевым ресурсом, а технология - стратегическим активом, и все они являются критически важными для успеха организации.
ИТ может являться важнейшим ресурсом, который поможет организациям достичь важнейших целей. Например, ИТ может оказывать влияние на экономию средств по крупным сделкам, таким как слияния, поглощения и продажа. ИТ может обеспечить автоматизацию ключевых процессов, таких как цепочки поставок. ИТ может являться основой новых бизнес-стратегий или бизнес-моделей, тем самым повышая конкурентоспособность и способствуя инновациям (часто в областях, связанных с цифровыми решениями в бизнесе, продвижении товаров и услуг). ИТ может обеспечить большую приватность или индивидуальность при обеспечении обслуживания клиентов или взаимодействие с ним, например, путем использования систем CRM (которые являются системами управления взаимодействием с клиентами, путем сопоставления и поиска данных из различных систем и обеспечения полного обзора данных клиента). ИТ является основой сетевой экономики, снижая влияние географических локаций и организационных препятствий, обеспечивая новые и инновационные способы создания ценностей.
Большинство организаций признают информацию и использования ИТ критическими активами, которыми необходимо системное и правильное управление.
Несмотря на то, что ИТ имеет потенциал для трансформации бизнеса, одновременно они часто требуют значительных инвестиций. Во многих случаях фактические затраты на ИТ не являются прозрачными, а бюджеты распределены между бизнес подразделениями, функциями и географическими локациями без централизованного контроля или управления. Часто бывает, что наибольшая часть расходов только поддерживает технологическое решение в работоспособном виде, с учетом технического обслуживание и основных операций после внедрения, а не инновационные или трансформационные инициативы. Когда средства расходуются на стратегические инициативы, они часто не дают ожидаемых результатов. Многие организации до сих пор не демонстрируют конкретной, измеримой деловой ценности для инвестиций, поддерживающих ИТ, и сосредотачивают внимание исключительно на системе управления информационных технологий, как механизме решения этой ситуации.
Сетевая экономика составляет спектр рисков, связанных с ИТ, включая компрометацию бизнес-систем, ориентированных на клиентов, разглашение корпоративных или клиентских данных или потерю возможностей для бизнеса через негибкость архитектуры ИТ. Операционное управление этими и другими видами рисков, связанных с ИТ, является еще одной движущей силой для совершенствование системы управления.
Правильная система управления может решить проблему сложной регуляторной среды, с которым сталкиваются сегодня организации многих отраслей и юрисдикций, которое часто охватывает непосредственно ИТ.
В некоторых странах и отраслях дополнительная практика, такая как COBIT является обязательной. Например, Агентство по регулированию и надзору за банковской деятельностью (BRSA) Турции обязало все банки, работающие в Турции, принимать лучшие практики COBIT при операционном управлении процессами, связанными с ИТ, как это также сделал Австралийский орган пруденциального регулирования. Отчет о корпоративном управлении в Южной Африке - King IV - включает принцип реализации СУИТ и рекомендует принять такие установки, как COBIT.
Общие принципы корпоративного управления для ИТ также могут способствовать более действенному и эффективному исполнению требований законодательства.
Исследования ряда компаний показывали, что организации с плохо разработанными или принятыми подходами к системе управления ИТ показывают худшие результаты при согласовании бизнес-стратегий и ИТ стратегий и процессов. Как следствие, такие организации гораздо менее склонны достигать намеченных бизнес-стратегий и реализации бизнес-ценностей, которой они ожидают от цифровизации.
Исходя из этого, можно сделать вывод, что корпоративное управление должно интерпретироваться и внедряться значительно шире, чем стандартная практика. В лучших практиках существует аббревиатура GRC (УРК) – управление, риски и комплаенс. Данное определение предполагает, что комплаенс и связанные с ним риски представляют собой спектр корпоративного управления.
● Основным принципом ценности ИТ является своевременное предоставление соответствующих услуг и решений в рамках утвержденных бюджетов, которые генерируют запланированные финансовые и нефинансовые выгоды. Ценность, которую предоставляет ИТ (как правило), должна непосредственно согласовываться с ценностями, на которые ориентируется бизнес. Ценность ИТ также следует измерять в целях определения влияния и вклада ИТ-инвестиций в процесс создания ценности каждой организации.
● Бизнес-риск, связанный с ИТ, состоит из событий, связанных с ИТ, которые могут оказывать влияние на бизнес. Хотя обеспечения ценности сосредотачивается на создании ценности, операционное управление рисками сосредотачивается на сохранении ценности. Операционное управление связанными с ИТ рисками должно быть интегрировано в корпоративное управление рисками организации в целях более системной фокусировки компании на ИТ. В данном констексте логичным является оценка уровня риска, которая должна осуществляться для раскрытия влияния и вклада оптимизации бизнес-рисков, связанных с ИТ, на сохранение ценности.
● Оптимизация ресурсов обеспечивает интеграцию экономическую ИТ-инфраструктуру, внедрение новых технологий в соответствии с требованиями бизнеса, а также обновление или замену устаревших систем. Поскольку оптимизация признает важность людей, кроме аппаратного и программного обеспечения, она сосредоточена на обеспечении обучением, содействии сохранению и обеспечению компетентности ключевого ИТ-персонала. Важным ресурсом является также данные и информация, а использование данных и информации для получения оптимальной ценности является еще одним ключевым элементом оптимизации ресурсов, т.е. за каждым информационным ресурсом и отчетам должны стоять конкретные управленческие решения.