У меня есть вопрос. Должны ли уровни зрелости процессов определять эффективность и результативность контроля, например, над рисками присущими ИТ/ИБ?
В рамках системы внутреннего контроля и управления рисками в вашей организации, зная о рисках и угрозах, присущих любому процессу организации, включая ИТ и ИБ, будете ли вы учитывать уровень зрелости организации и непосредственно процессов организации при внедрении процедур?
Например, вы оцениваете зрелость случайного процесса ИТ как недостаточно зрелую, скажем, по шкале от 1 до 5, зрелость процесса оценивается примерно в 3. Будете ли вы внедрять и ожидать операционной эффективности от реализованного мероприятия, процедуры контроля?
Или вы ограничитесь просто реализацией процедуры, не ожидая ее регулярного выполнения, без операционной эффективности? Например, ну сделали что‑то 1 раз в год и так до следующего года? Или — внедрили процедуру, а далее ответственность за ее применимость, эффективность и т. д. полностью на том, кому эту процедуру «подарили»?
По моим скромным наблюдениям, очень часто при управлении рисками, создании и внедрении каких‑либо контрольных процедур, т. е. процедур направленных на снижение возможных рисков присущих процессам ИТ/ИБ или иным бизнес‑процессам организации, можно услышать — «У нас недостаточно зрелые процессы...», «Люди не готовы...» и т. д.
Однако, многие руководители забывают, что после внедрения, внедренная процедура должна исполнятся не просто один раз, а соизмеримо, эффективно, регулярно и консистентно, на протяжении всего периода существования риска, присущего данной области, процессу. Риску, который такая процедура призвана снизить или устранить.
Например, сложно представить, что кто‑то будет рад тому, что ожидаемое поступление зарплаты на ваш банковский счет будет осуществляться с разной периодичностью, на разные суммы... а иногда и вовсе не начисляться. Более того, главный бухгалтер объяснит это недостаточной зрелостью процесса...
Каков ваш опыт в реальности или совет коллегам? Будете ли вы реализовывать только дизайн и возлагать всю ответственность на владельца процесса или на что‑то еще, не ожидая операционной эффективности от процедуры?
