5.5.1 Общие положения ГОСТ Р 58608-2019
Для эффективного управления ИТ необходимо учредить эффективную систему внутреннего контроля как часть систем управления организацией [4.2 е)].
Эффективное управление ИТ основывается на формировании эффективной системы внутреннего контроля как части формирования системы управления организацией для поддержки достижения бизнес–целей.
Руководители несут ответственность за оценку рисков в организации и внедрение соответствующей системы внутреннего контроля. Руководящий орган определяет политики внутреннего контроля, учитывая риск–аппетит организации, включая в себя требования законодательства. Управление рисками является ключевым элементом модели стратегического управления, так как необходимо учитывать риск при оценке, управлении и контроле [из 5.5.1 Общие положения ГОСТ Р 58608–2019]
5.5.2 Учреждение внутреннего контроля ГОСТ Р 58608-2019
- Руководящий орган должен определить политики внутреннего контроля, учитывая риск–аппетит организации, включая в себя риск–аппетит использования ИТ и связанные с этим специфические требования.
- Руководители должны внедрять системы управления, которые функционируют в рамках правил, как элемент системы стратегического управления, дополняющий принципы и практики стратегического управления и контроля в организации.
- Специфические требования внутреннего контроля должны основываться на достижении бизнес–целей и внешних нормативных требованиях.
- Контролирующие действия соответствующие уровню риска должны разрабатываться для снижения рисков, связанных с каждым процессом или проектом, которые могут повлиять на общую способность организации достичь бизнес–целей.
- Система внутреннего контроля должна вытекать из системы стратегического управления:
- четкое распределение обязанностей, связанных с ИТ, в организации. Это включает в себя обязанности, ограничения ответственности, полномочия, подотчетность и структуру отчетов;
- для соответствующего выполнения обязанностей необходимо организовать обмен релевантной и достоверной информацией;
- управление рисками для определения и анализа ИТ рисков в отношении достижения бизнес–целей и выполнения политик организации, и обеспечение процедур управления рисками;
- непрерывный мониторинг системы внутреннего контроля наряду с регулярным пересмотром процедуры внутреннего контроля функционирования ИТ.
[из 5.5.2 Учреждение внутреннего контроля ГОСТ Р 58608–2019]