it grc - itrevizija.ba - it grc... · revizija financijski kontroling vanjska revizija operacijska...
TRANSCRIPT
Za zagrijavanje
• 2010: GRC in 2010: $29.8B
by AMR Research
• 2011: GRC Market Will Grow 20 Percent
by Forrester Research
Sadržaj predavanja
• GRC
– IT GRC
Zašto GRC?
o Ideja oko GRC-a
» Alati i stanje na tržištu
Microsoft IT GRC
Što je GRC?
Governance
Compliance Risk
Management
Governance
(Upravljanje) Definira mehanizme koje
organizacija koristi kako bi osigurala
da svi u organizaciji slijede
definirane procese i politike/pravila
Risk Management
(Upravljanje
rizikom) Proces kojim organizacija
postavlja prihvatljivu razinu
rizika, analizira i obrađuje
rizike te ih prioretizira prema
poslovnim ciljevima
organizacije
Compliance
(Sukladnost) Proces koji bilježi i nadzire
kontrole koje su potrebne kako
bi se osigurala sukladnost sa
zakonima, regulatornim
obvezama i internim
politikama/pravilima
Tipičan proces
Poslovni
zahtjevi
Rizici
Standardi i
najbolje prakse
Definiranje
politika i
kontrola
Umanjivanje
rizika
Implementacija
kontrola
Testiranje
kontrola
Izvještavanje
AS-IS stanje u domeni IT GRC
1. Ručna izrada i održavanje dokumenata
2. Ne postoji mehanizam automatske distribucije/kontrole tko je primio dokumente
3. Potrebno obaviti ručno mjerenje IT kontrola i ažurirati dokumente
4. Dugotrajna izrada registra imovine, problem održavanja
5. Ručno prikupljanje statusa kontrola, intervjui, nekonzistentnost, ponavljanje
6. Nema automatske obrade ranjivosti
7. Ne postoji svakodnevni pokazatelj sukladnosti
8. Ručni (ili pomoću Excel-a) izračun IT rizika
Zašto GRC (1)?
Kontinuirani porast regulative i
kompleksnosti zahtjeva • Do 2012, broj regulativa prema IT
operacijama će se udvostručiti
• Do 2012, 90% tvrtki će imati zakonsku ili
regulatornu obvezu revizije informacijskih
sustava prema najboljim praksama te potrebu
izvješćivanja prema javnosti
Izvor: Gartner, 2006
Kontinuirane greške u
financijskom izvještavanju i
poslovnim procesima
• 244% porast ulaganja u sigurnosne kontrole
zbog doživljene prijevare u 2006. u odnosu na
2004.
• 4 od 5 tvrtki su bile žrtve korporativnih prijevara
u posljednje 3 godine
• 20M $ je prosječan gubitak od prijevara (za
tvrtke s prihodima većim od 5Mld $)
Izvor: AuditAnalytics 2006, Kroll Global Fraud Report,
2007
Kontinuirana potreba za GRC izvještavanje prema Upravi
•Upravni odbori traže kvalitetnije i detaljnije informacije o organizacijskoj sukladnosti i upravljanju rizicima zbog raznih revizija
•Globalno istraživanje 741 CFO-a navodi da stalan rast prodaje i izbacivanja novih proizvoda oduzimaju previše vremena za praćenje sukladnosti s regulatornim i zakonskim obvezama Izvor: Mckinsey, 2006; Duke University, 2007
Zašto GRC (3)?
IT GRC proizvodi pomažu organizacijama:
• Definirati IT politike, procese i kontrole
• Upravljati sadržajem politika
• Mapirati politike s organizacijskim, tehničkim i procesnim kontrolama
• Izračunati i upravljati IT rizicima
• Automatizirati revizije informacijskog sustava i izvješćivanje prema regulatorima
Jedan proizvod
za više korisnika
CEO, Uprava
Interna
revizija
Financijski
kontroling
Operacijska sigurnost Vanjska revizija
CIO, CISO
CFO
Operacijske kontrole
Financijske kontrole
IT kontrole
Risk
menadžer
Izvor: Agiliance
RiskVision
Gartner kriteriji za
IT GRC alate
Kriteriji vrednovanja
• Funkcionalnost alata
• Razumijevanje tržišta
• Doživljaj kupaca
• Strateško pozicioniranje alata
• Podrška i organizacija
proizvođača
Gartnerovih 8 ključnih IT GRC
funkcija
1. Mapiranje kontrola i politika
2. Distribucija politika i povratna
potvrda
3. Samoprocijenjivanje i mjerenje IT
kontrola
4. Registar informacijske imovine
5. Automatizirano prikupljanje
statusa kontrola
6. Obrada ranjivosti i iznimaka
7. Pokazatelji sukladnosti
(dashboards)
8. Izračun IT rizika
Microsoftov IT GRC „konj za utrku”
• IT GRC Process Management Pack
• IT Compliance Management Library
Series
za System Center Service Manager
Baza znanja
• Već uneseni popis:
– ciljeva
– kontrola
– rizika
• Preko 400 izvora!!!
• ITIL
• CobiT
• ISO 27001
• PCI DSS
• SOX
• ....
Tipičan proces
(scenarij) - politika zaporki (min. 8
znakova, alfanumerički
znakovi, min. Izmjena
svakih 90 dana)
Procjena rizika (metodologija)
• Inherent Risk: Likelihood * Impact
• Residual Risk: Inherent Risk – Control Level
• Risk response:
– Avoid
– Reduce
– Share
– Accept
Glavne korisne značajke
• Mapiranje poslovnih ciljeva s IT GRC ciljevima i aktivnostima
• Lako identificiranje specifičnih instanci IT sustava koji su nesukladni
• Kreiranje centralne točke za različite GRC programe
• Korištenje najboljih svjetskih praksi za IT procese
• Smanjenje rada revizora i IT operacija uz automatsko prikupljanje statusa kontrola
• Brže vrijeme izvještavanja menadžmenta uz predloške izvještaja
Okolina - zahtjevi
• MS System Center Service Manager 2010 SP1 – Jedan server za Service Manager Server
• IT GRC Management Pack SP1
– Drugi server za Service Manager DWH mngmt
• Windows Server 2008 R2 64-bit (AD, DNS)
• SQL Server 2008 R2 64-bit (Reporting Services)
• MS System Center Configuration Manager 2007 R2 (opcionalno)
• Klijentska računala sa Service Manager konzolom + IT GRC Management Pack SP1 Client – Microsoft Visual Studio® Tools for the Microsoft Office System
(VSTO) 3.0 and VSTO 3.0 SP1
– Microsoft Office Excel® 2007 or 2010 (32-bit)