توانمند سازی ممیزی با رویکرد IT GRC در گروه شرکت‌های مپنا فرید بهبهانی مدیرعامل شرکت اینفوامن

فهرست مطالب ممیزی و IT GRC معرفی شرکت مپنا و سابقه موضوع ممیزی و Context آن راهبری، مدیریت مخاطرات و انطباق ارتباط ممیزی با IT GRC معرفی شرکت مپنا و سابقه موضوع آشنایی با گروه مپنا سابقه راهبری فناوری اطلاعات و ممیزی در مپنا موردکاوی ساختار IT GRC و ممیزی گروه مپنا سازوکار و رویکرد مراحل، اقدامات و نتایج

ممیزی ممیزی اجزا و ارکان ممیزی فرآیند نظام‌مند، مستقل و مستند جهت احراز و ارزیابی هدفمند شواهد ممیزی، به منظور تعیین میزان برآورده شدن معیار‌های ممیزی. (ISO 19011) اجزا و ارکان ممیزی هدف دامنه معیار (چارچوب مرجع) شواهد و یافته‌ها اقدامات ناشی از ممیزی

زمینه ممیزی زمینه‌های سنتی ممیزی زمینه تجمیع شده ممیزی الزامات قانونی استانداردها و به‌روش‌ها سیستم‌های مدیریتی فنی ریسک روال‌ها و خط مشی‌های سازمانی زمینه تجمیع شده ممیزی GRC (و IT GRC)

راهبری، مدیریت مخاطرات و انطباق IT GRC راهبری (Governance) فناوری اطلاعات مدیریت مخاطرات (Risk Management) فناوری اطلاعات انطباق (Compliance) با الزامات درونی و بیرونی در حوزه فناوری اطلاعات

جایگاه و ارتباط ممیزی در IT GRC هدف و دامنه ممیزی بر اساس ریسک و اولویت‌های کسب و کار معیار (چارچوب مرجع) ممیزی خط مشی‌ها، استانداردها، الزامات قانونی چارچوبی جهت درج شواهد و یافته‌ها ارتباط یافته‌ها با مخاطرات و اهداف سازمان سازوکاری برای پیگیری اقدامات ناشی از ممیزی یکپارچه با برنامه‌های دیگر GRC Source: ISO/IEC 27014

معرفی گروه شرکت‌های مپنا تأسیس در سال 1372 یک بنگاه اقتصادی شامل ۳۹ شرکت زمینه کسب و کار توسعه و ساخت نیروگاه‌های حرارتی اجرای پروژه‌هاى نفت و گاز حمل و نقل ریلى

تاریخچه موضوع در گروه مپنا معماری سازمانی فناوری اطلاعات (1387) استقرار سیستم جامع مدیریت منابع سازمانی SAP شروع استقرار در شرکت‌های مختلف گروه از 1385 تا 1391 مدیریت امنیت اطلاعات شروع استقرار در شرکت‌های مختلف گروه از 1386 تا 1390

وضعیت ممیزی در گروه آغاز ممیزی‌های دوره‌ای در شرکت‌های گروه با استقرار سیستم مدیریت امنیت اطلاعات هدف: بررسی وضعیت امنیت اطلاعات هر شرکت معیار ممیزی: استاندارد ISO 27001 و الزامات هر شرکت اجرای ممیزی: توسط نهاد‌های صدور گواهینامه گزارش یافته ها: به نماینده مدیریت در ISMS پیگیری اقدامات: توسط واحدهای فناوری اطلاعات

چالش‌های ممیزی عدم ارتباط دامنه و برنامه ممیزی با وضعیت و اهمیت از منظر کسب‌وکار سطح تفاهم پایین بین ممیزی شوندگان و ممیزان در مورد اهمیت یافته‌ها تعدد و تکثر منابع اطلاعاتی و دستیابی دشوار به تمامی اطلاعات مورد نیاز به دلیل عدم وجود ابزاری جامع عدم پیگیری مناسب و اثربخش یافته‌های ممیزی

احساس نیاز به یکپارچگی و همراستایی با استراتژی‌های جدید گروه مپنا رویکرد جدید چالش‌های وضع موجود احساس نیاز به یکپارچگی و همراستایی با استراتژی‌های جدید گروه مپنا INTEGRA - Financial and operational reporting and control New organization and Governance model راهبری امنیت اطلاعات شروع از سال 1392 با توجه به آمادگی و درجه بلوغ بالاتر مدیریت امنیت، در ابتدا دامنه «راهبری فناوری اطلاعات» به «راهبری امنیت اطلاعات» محدود گردید. به دلیل بلوغ بیشتر در حوزه امنیت، در حال حاضر تمرکز بر راهبری امنیت فناوری اطلاعات است

مدل IT GRC (Gartner)

ارکانIT GRC گروه مپنا ذینفعان کلیدی بدنه راهبری بدنه مدیریتی مدیران میانی و ارشد شرکت‌ها / هیأت اجرایی گروه معاونین سیستم‌ها / مدیران فناوری اطلاعات بدنه راهبری کمیته راهبری امنیت اطلاعات گروه مپنا بدنه مدیریتی کمیته‌های اجرایی امنیت در شرکت‌های گروه نهاد ممیزی کارگروه ممیزی از مجموعه شرکت‌های گروه تحت هدایت مشاور

برنامه و نمای IT GRC گروه مپنا وجود یک ساختار متمرکز در گروه مپنا جهت سیاست گذاری نظارت ارزیابی عملکرد تضمین اختیارات کافی در شرکت‌ها و انعطاف پذیری لازم جهت هماهنگی با الزامات سازمانی هر شرکت مدیریت اجرایی

سازوکار اطلاعاتی IT GRC مپنا سیاست گذاری پایش وضعیت بررسی انطباق لایه راهبری (در سطح گروه) در حال حاضر 7 شرکت به سیستم متصل هستند لایه مدیریتی (در سطح شرکت)

ارزیابی و مدیریت مخاطرات اقدامات اجرایی IT GRC ارزیابی و مدیریت مخاطرات ارزیابی مخاطرات شناسایی و پایش مخاطرات کلیدی (KRI)

شناسایی و مدل سازی دارایی‌ها محرمانگی اطلاعات، نمایش نمونه‌های شبه واقعی تشریح اقدامات و روال انجام کار در نمونه‌های خروجی سازوکار اطلاعاتی IT GRC

محاسبه ریسک

ارزیابی و مدیریت مخاطرات اقدامات اجرایی IT GRC ارزیابی و مدیریت مخاطرات ارزیابی مخاطرات شناسایی و پایش مخاطرات کلیدی (KRI)

ارتباط ریسک‌های شناسایی شده با اهداف استراتژیک سازمان ارتباط ریسک‌های شناسایی شده با اهداف استراتژیک سازمان استخراج KRI ها ارتباط یافته‌های ممیزی با ریسک‌های استراتژیک سازمان

ارزیابی انطباق و پشتیبانی از ممیزی اقدامات اجرایی IT GRC ارزیابی انطباق و پشتیبانی از ممیزی پیشنهاد برنامه ممیزی تهیه خودکار چک لیست ممیزی ثبت نتایج ممیزی و اقدامات اصلاحی مورد نیاز گزارش نتایج به تمامی ذینفعان به روز رسانی وضعیت مخاطرات سازمان ناشی از یافته‌های ممیزی

نمونه چک لیست‌های ممیزی

نمونه چک لیست فنی ممیزی استخراج شده توسط ابزار نمونه چک لیست فنی ممیزی استخراج شده توسط ابزار

ارزیابی انطباق و پشتیبانی از ممیزی اقدامات اجرایی IT GRC ارزیابی انطباق و پشتیبانی از ممیزی پیشنهاد برنامه ممیزی تهیه خودکار چک لیست ممیزی ثبت نتایج و اقدامات اصلاحی مورد نیاز گزارش نتایج به تمامی ذینفعان به روز رسانی وضعیت مخاطرات سازمان ناشی از یافته‌های ممیزی

نمونه اقدامات اصلاحی و بهبود ناشی از ممیزی نمونه اقدامات اصلاحی و بهبود ناشی از ممیزی

داشبورد ریسک‌های سازمانی مشاهده اثر وضعیت یافته‌ها در داشبورد ریسک

ارزیابی انطباق و پشتیبانی از ممیزی اقدامات اجرایی IT GRC ارزیابی انطباق و پشتیبانی از ممیزی پیشنهاد برنامه ممیزی تهیه خودکار چک لیست ممیزی ثبت نتایج و اقدامات اصلاحی مورد نیاز گزارش نتایج به تمامی ذینفعان به روز رسانی وضعیت مخاطرات سازمان ناشی از اقدامات اصلاحی

داشبورد تغییرات ریسک پس از اجرای اقدامات اصلاحی داشبورد تغییرات ریسک پس از اجرای اقدامات اصلاحی

وضعیت ممیزی با استقرار IT GRC «هوشمند سازی» دامنه و برنامه ممیزی انعطاف و چابکی در انتخاب چارچوب مرجع ممیزی ارتباط یافته‌ها با مخاطرات و اهداف کسب‌و‌کار تجمیع اطلاعات مرتبط با ممیزی پیگیری و کنترل مؤثر وضعیت یافته‌ها تعامل مناسب نتایج با ذینفعان

با تشکر پرسش و پاسخ