Рассказывает Роман Малей, внутренний аудитор, член Ассоциации «Институт внутренних аудиторов» (фрагмент выступления на XV Национальной конференции Института внутренних аудиторов «Внутренний аудит в России», 17 апреля 2023 года):
В условиях внешних вызовов, устойчивость критических процессов в организациях и компаниях РФ становится актуальной и даже жизненно-необходимой. Задача внутреннего аудита, как поставщика разумных гарантий эффективности процессов ИТ и ИБ, своевременно и качественно проводить анализ всех имеющихся требований и факторов, формировать наиболее сбалансированные рекомендации удержания или повышения эффективности и устойчивости процессов.
В числе множества защищаемых объектов в сфере ИТ, таких как персональные данные, коммерческая, служебная и иные виды тайн, государственные регуляторы обращают пристальное внимание на безопасность критической информационной инфраструктуры РФ (далее - КИИ). Нормативно-правовые акты подробно описывают требования и необходимые меры по выстраиванию системы обеспечения безопасности объектов КИИ, градированных по категориям значимости, силами субъекта КИИ. Дополнительно публикуются указы и постановления, расширяющие полномочия и ответственность в сфере обеспечения информационной безопасности в целом. Вопрос для внутреннего аудита: каким образом выстроен процесс мониторинга и реагирования на изменения в законодательстве в области ИТ и ИБ в вашей компании/ организации?
От правильности составления Перечня объектов КИИ, их категорирования, выделения необходимых сил, средств и реализации мероприятий зависит устойчивость и защищенность критических процессов. Эффективная работа в данном направлении минимизирует как операционные и финансовые, так и регуляторные и репутационные риски. Существует два основных подхода: «от критичного вида деятельности» и «все системы». Вопрос для внутреннего аудита: какой подход использует ваша компания/ организация?
В ходе аудиторской проверки необходимо применять все имеющиеся знания о законодательной базе, иметь детальную картину взаимосвязей процессов, просчитывать априорные и апостериорные последствия, предлагать модели наиболее сбалансированной реализации системы обеспечения информационной безопасности. Вопрос для внутреннего аудита: каким образом разделены силы и средства обеспечения информационной безопасности в вашей компании/ организации?
Присоединяйтесь к Институту внутренних аудиторов, чтобы получить широкие возможности развития в сфере внутреннего аудита, среди которых:
• Доступ к обширной базе знаний (методическим пособиям, переводным материалам, видеозаписям и проч.) по вопросам внутреннего аудита, внутреннего контроля и управления рисками в закрытой части сайта ИВА;
• Доступ к единственному в России профессиональному изданию по внутреннему аудиту - «Внутренний аудитор»;
• Участие в бесплатных вебинарах каждый месяц и возможность смотреть их видеозаписи;
• Участие во встречах членов ИВА, на которых возможно установить личные контакты с коллегами по профессии и узнать о последних тенденциях во внутреннем аудите;
• Возможность прохождения независимой оценки квалификации по профессиональным стандартам «Внутренний аудитор» и «Специалист по внутреннему контролю (внутренний контролер)» в Центре оценки квалификаций (ЦОК) ИВА cok.iia-ru.ru/
• Скидки на тренинги и вебинары Учебного центра ИВА: www.iva-edu.ru
Вступите в ИВА сейчас и начните получать выгоды от членства уже сегодня! www.iia-ru.ru/membership/how_...
18 июл 2023
