Download presentation
Presentation is loading. Please wait.
Published byLucía Cortés Domínguez Modified over 6 years ago
1
توانمند سازی ممیزی با رویکرد IT GRC در گروه شرکتهای مپنا
فرید بهبهانی مدیرعامل شرکت اینفوامن
2
فهرست مطالب ممیزی و IT GRC معرفی شرکت مپنا و سابقه موضوع
ممیزی و Context آن راهبری، مدیریت مخاطرات و انطباق ارتباط ممیزی با IT GRC معرفی شرکت مپنا و سابقه موضوع آشنایی با گروه مپنا سابقه راهبری فناوری اطلاعات و ممیزی در مپنا موردکاوی ساختار IT GRC و ممیزی گروه مپنا سازوکار و رویکرد مراحل، اقدامات و نتایج
3
ممیزی ممیزی اجزا و ارکان ممیزی
فرآیند نظاممند، مستقل و مستند جهت احراز و ارزیابی هدفمند شواهد ممیزی، به منظور تعیین میزان برآورده شدن معیارهای ممیزی. (ISO 19011) اجزا و ارکان ممیزی هدف دامنه معیار (چارچوب مرجع) شواهد و یافتهها اقدامات ناشی از ممیزی
4
زمینه ممیزی زمینههای سنتی ممیزی زمینه تجمیع شده ممیزی الزامات قانونی
استانداردها و بهروشها سیستمهای مدیریتی فنی ریسک روالها و خط مشیهای سازمانی زمینه تجمیع شده ممیزی GRC (و IT GRC)
5
راهبری، مدیریت مخاطرات و انطباق IT GRC
راهبری (Governance) فناوری اطلاعات مدیریت مخاطرات (Risk Management) فناوری اطلاعات انطباق (Compliance) با الزامات درونی و بیرونی در حوزه فناوری اطلاعات
6
جایگاه و ارتباط ممیزی در IT GRC
هدف و دامنه ممیزی بر اساس ریسک و اولویتهای کسب و کار معیار (چارچوب مرجع) ممیزی خط مشیها، استانداردها، الزامات قانونی چارچوبی جهت درج شواهد و یافتهها ارتباط یافتهها با مخاطرات و اهداف سازمان سازوکاری برای پیگیری اقدامات ناشی از ممیزی یکپارچه با برنامههای دیگر GRC Source: ISO/IEC 27014
7
معرفی گروه شرکتهای مپنا
تأسیس در سال 1372 یک بنگاه اقتصادی شامل ۳۹ شرکت زمینه کسب و کار توسعه و ساخت نیروگاههای حرارتی اجرای پروژههاى نفت و گاز حمل و نقل ریلى
8
تاریخچه موضوع در گروه مپنا
معماری سازمانی فناوری اطلاعات (1387) استقرار سیستم جامع مدیریت منابع سازمانی SAP شروع استقرار در شرکتهای مختلف گروه از 1385 تا 1391 مدیریت امنیت اطلاعات شروع استقرار در شرکتهای مختلف گروه از 1386 تا 1390
9
وضعیت ممیزی در گروه آغاز ممیزیهای دورهای در شرکتهای گروه با استقرار سیستم مدیریت امنیت اطلاعات هدف: بررسی وضعیت امنیت اطلاعات هر شرکت معیار ممیزی: استاندارد ISO و الزامات هر شرکت اجرای ممیزی: توسط نهادهای صدور گواهینامه گزارش یافته ها: به نماینده مدیریت در ISMS پیگیری اقدامات: توسط واحدهای فناوری اطلاعات
10
چالشهای ممیزی عدم ارتباط دامنه و برنامه ممیزی با وضعیت و اهمیت از منظر کسبوکار سطح تفاهم پایین بین ممیزی شوندگان و ممیزان در مورد اهمیت یافتهها تعدد و تکثر منابع اطلاعاتی و دستیابی دشوار به تمامی اطلاعات مورد نیاز به دلیل عدم وجود ابزاری جامع عدم پیگیری مناسب و اثربخش یافتههای ممیزی
11
احساس نیاز به یکپارچگی و همراستایی با استراتژیهای جدید گروه مپنا
رویکرد جدید چالشهای وضع موجود احساس نیاز به یکپارچگی و همراستایی با استراتژیهای جدید گروه مپنا INTEGRA - Financial and operational reporting and control New organization and Governance model راهبری امنیت اطلاعات شروع از سال 1392 با توجه به آمادگی و درجه بلوغ بالاتر مدیریت امنیت، در ابتدا دامنه «راهبری فناوری اطلاعات» به «راهبری امنیت اطلاعات» محدود گردید. به دلیل بلوغ بیشتر در حوزه امنیت، در حال حاضر تمرکز بر راهبری امنیت فناوری اطلاعات است
12
مدل IT GRC (Gartner)
13
ارکانIT GRC گروه مپنا ذینفعان کلیدی بدنه راهبری بدنه مدیریتی
مدیران میانی و ارشد شرکتها / هیأت اجرایی گروه معاونین سیستمها / مدیران فناوری اطلاعات بدنه راهبری کمیته راهبری امنیت اطلاعات گروه مپنا بدنه مدیریتی کمیتههای اجرایی امنیت در شرکتهای گروه نهاد ممیزی کارگروه ممیزی از مجموعه شرکتهای گروه تحت هدایت مشاور
14
برنامه و نمای IT GRC گروه مپنا
وجود یک ساختار متمرکز در گروه مپنا جهت سیاست گذاری نظارت ارزیابی عملکرد تضمین اختیارات کافی در شرکتها و انعطاف پذیری لازم جهت هماهنگی با الزامات سازمانی هر شرکت مدیریت اجرایی
15
سازوکار اطلاعاتی IT GRC مپنا
سیاست گذاری پایش وضعیت بررسی انطباق لایه راهبری (در سطح گروه) در حال حاضر 7 شرکت به سیستم متصل هستند لایه مدیریتی (در سطح شرکت)
16
ارزیابی و مدیریت مخاطرات
اقدامات اجرایی IT GRC ارزیابی و مدیریت مخاطرات ارزیابی مخاطرات شناسایی و پایش مخاطرات کلیدی (KRI)
17
شناسایی و مدل سازی داراییها
محرمانگی اطلاعات، نمایش نمونههای شبه واقعی تشریح اقدامات و روال انجام کار در نمونههای خروجی سازوکار اطلاعاتی IT GRC
18
محاسبه ریسک
19
ارزیابی و مدیریت مخاطرات
اقدامات اجرایی IT GRC ارزیابی و مدیریت مخاطرات ارزیابی مخاطرات شناسایی و پایش مخاطرات کلیدی (KRI)
20
ارتباط ریسکهای شناسایی شده با اهداف استراتژیک سازمان
ارتباط ریسکهای شناسایی شده با اهداف استراتژیک سازمان استخراج KRI ها ارتباط یافتههای ممیزی با ریسکهای استراتژیک سازمان
21
ارزیابی انطباق و پشتیبانی از ممیزی
اقدامات اجرایی IT GRC ارزیابی انطباق و پشتیبانی از ممیزی پیشنهاد برنامه ممیزی تهیه خودکار چک لیست ممیزی ثبت نتایج ممیزی و اقدامات اصلاحی مورد نیاز گزارش نتایج به تمامی ذینفعان به روز رسانی وضعیت مخاطرات سازمان ناشی از یافتههای ممیزی
22
نمونه چک لیستهای ممیزی
23
نمونه چک لیست فنی ممیزی استخراج شده توسط ابزار
نمونه چک لیست فنی ممیزی استخراج شده توسط ابزار
24
ارزیابی انطباق و پشتیبانی از ممیزی
اقدامات اجرایی IT GRC ارزیابی انطباق و پشتیبانی از ممیزی پیشنهاد برنامه ممیزی تهیه خودکار چک لیست ممیزی ثبت نتایج و اقدامات اصلاحی مورد نیاز گزارش نتایج به تمامی ذینفعان به روز رسانی وضعیت مخاطرات سازمان ناشی از یافتههای ممیزی
25
نمونه اقدامات اصلاحی و بهبود ناشی از ممیزی
نمونه اقدامات اصلاحی و بهبود ناشی از ممیزی
26
داشبورد ریسکهای سازمانی
مشاهده اثر وضعیت یافتهها در داشبورد ریسک
27
ارزیابی انطباق و پشتیبانی از ممیزی
اقدامات اجرایی IT GRC ارزیابی انطباق و پشتیبانی از ممیزی پیشنهاد برنامه ممیزی تهیه خودکار چک لیست ممیزی ثبت نتایج و اقدامات اصلاحی مورد نیاز گزارش نتایج به تمامی ذینفعان به روز رسانی وضعیت مخاطرات سازمان ناشی از اقدامات اصلاحی
28
داشبورد تغییرات ریسک پس از اجرای اقدامات اصلاحی
داشبورد تغییرات ریسک پس از اجرای اقدامات اصلاحی
29
وضعیت ممیزی با استقرار IT GRC
«هوشمند سازی» دامنه و برنامه ممیزی انعطاف و چابکی در انتخاب چارچوب مرجع ممیزی ارتباط یافتهها با مخاطرات و اهداف کسبوکار تجمیع اطلاعات مرتبط با ممیزی پیگیری و کنترل مؤثر وضعیت یافتهها تعامل مناسب نتایج با ذینفعان
30
با تشکر پرسش و پاسخ
Similar presentations
© 2024 SlidePlayer.com. Inc.
All rights reserved.