Control Self Assessment jest narzędziem służącym do samodzielnej oceny mechanizmów kontrolnych w firmie. CSA wspiera 4 kroki procesu oceny i pomaga efektywnie ocenić poziom zgodności działania organizacji z wymaganiami prawnymi lub biznesowymi. Narzędzie pozwala na zdefiniowanie i śledzenie krótko- i długo- terminowych działań naprawczych.
Proces oceny wspierany przez CSA zawiera następujące kroki:
1. Użytkownik odpowiada na szereg pytań inicjujących, które pozwalają na przygotowanie pytań właściwych dostosowanych do danej organizacji. Pytania właściwe powstają na podstawie bazy wiedzy i wyników z systemu eksperckiego.
2. Użytkownik odpowiada na pytania właściwe, które korespondują swoją treścią z zakresem wymaganym dla organizacji użytkownika w celu określenia jego stopnia dojrzałości i zgodności z wymogami. Wszystkie pytania na typ etapie są typu zamkniętego i wymagają odpowiedzi Tak/Nie.
3. Użytkownik otrzymuje informację opisującą poziom dojrzałości mechanizmów kontrolnych z odpowiednimi odniesieniami do dobrych praktyk (best practices) oraz bazy wiedzy GRC w celu określenia strategii i kierunków rozwoju.
4. Użytkownik buduje własne plany naprawcze dla zidentyfikowanych słabości. System GRC firmy DOBIS pomaga zachować nadzór nad wykonaniem napraw poprzez dostarczanie odpowiednich raportów dla każdego problemu.
Narzędzie CSA może być używane przez Dział Audytu Systemów Informatycznych lub przez Zarządzających w Dziale IT do oceny, a potem monitorowania i raportowania poziomów zgodności i dojrzałości organizacji w odniesieniu do wymagań środowiska kontrolnego i regulacji zewnętrznych. Raporty z narzędzia mogą być przesyłane do jednostek biznesowych, aby umożliwić im dostosowanie celów IT do strategii biznesowej na szczeblu korporacyjnym.
CSA skupia się na następujących obszarach:
Management Assessment (MA) - CSA pomaga organizacjom w zarządzaniu ryzykami i mechanizmami kontrolnymi na poziomie całej organizacji. MA może wspomóc w zrozumieniu ryzyk biznesowych, co daje firmie możliwość przedsięwzięcia odpowiednich kroków minimalizujących wpływ ryzyk poprzez implementację mechanizmów kontrolnych takich jak: procedury, polityki, standardy, instrukcje, nowa funkcjonalność systemów, zmiana schematu organizacyjnego, itp. Takie podejście jest bardziej wartościowe niż typowe podejście zorientowane na ryzyka, ponieważ MA skupia się całościowo na powiązaniu wzajemnym elementów związanych z ryzykami, kontrolami, obszarami zarządczymi i procesami. W tym celu wykorzystuje się metody analityczne takie jak np. SWOT. Metoda podkreśla silne i słabe strony mechanizmów kontrolnych pomagając zwiększyć efektywność kosztową i procesową mechanizmów kontrolnych w celu pokrycia ryzyk i zwiększenia poczucia bezpieczeństwa.
Process Assessment (PA) jest podobny do MA lecz skupia się bardziej na poszczególnych procesach biznesowych, a nie całej organizacji. PA jest bardziej detaliczny i dotyka poszczególnych aktywności w ramach jednostek biznesowych i procesów. Jest również typowo kros funkcjonalny i może być stosowany do opisu silosów w biznesie. Podkreśla zasady funkcjonowania procesów, ich efektywność i referencje do ryzyk i mechanizmów sterujących w danym środowisku pracy.
TK
26.01.2008
