- Руководящий орган должен определить политики внутреннего контроля, учитывая риск–аппетит организации, включая в себя риск–аппетит использования ИТ и связанные с этим специфические требования.
- Руководители должны внедрять системы управления, которые функционируют в рамках правил, как элемент системы стратегического управления, дополняющий принципы и практики стратегического управления и контроля в организации.
- Специфические требования внутреннего контроля должны основываться на достижении бизнес–целей и внешних нормативных требованиях.
- Контролирующие действия соответствующие уровню риска должны разрабатываться для снижения рисков, связанных с каждым процессом или проектом, которые могут повлиять на общую способность организации достичь бизнес–целей.
- Система внутреннего контроля должна вытекать из системы стратегического управления:
- четкое распределение обязанностей, связанных с ИТ, в организации. Это включает в себя обязанности, ограничения ответственности, полномочия, подотчетность и структуру отчетов;
- для соответствующего выполнения обязанностей необходимо организовать обмен релевантной и достоверной информацией;
- управление рисками для определения и анализа ИТ рисков в отношении достижения бизнес–целей и выполнения политик организации, и обеспечение процедур управления рисками;
- непрерывный мониторинг системы внутреннего контроля наряду с регулярным пересмотром процедуры внутреннего контроля функционирования ИТ.
[из 5.5.2 Учреждение внутреннего контроля ГОСТ Р 58608–2019]
