Zapewnienie zgodności z przepisami

Brak nadzoru nad środowiskiem informatycznym utrudnia realizację obowiązków wynikających z przepisów, co może prowadzić do kosztownych konsekwencji.
Autorzy: David Almquist i Lane F. Cooper
BizTechReports.Com

Niemal jedna trzecia menedżerów odpowiedzialnych za sferę informatyczną i biznesową deklaruje, że zarządy ich firm nie wspierają należycie nadzoru nad środowiskiem informatycznym, inicjatyw z dziedziny zarządzania ryzykiem i zapewnienia zgodności z przepisami - to wniosek z ankiety przeprowadzonej przez Enterprise Management Associates (EMA),

„IT GRC - nadzór, zarządzanie ryzykiem i zapewnienie zgodności - to hasło, któremu nadaje się obecnie bardzo szerokie znaczenie i z którym wiąże się olbrzymie oczekiwania. Brak jednak ścisłej definicji tych terminów, a w konsekwencji należytego ich zrozumienia. Taka sytuacja utrudnia wyższej kadrze kierowniczej wspieranie inicjatyw zmierzających do zapewnienia nadzoru, zarządzania ryzykiem i zgodności z przepisami w dziedzinie informatycznej, przez co przedsiębiorstwa są bardziej narażone na ryzyko, a piony informatyczne mniej skutecznie generują w swoich przedsiębiorstwach wartość biznesową”, powiedział Scott Crawford, dyrektor EMA ds. badań.

Jednym z czynników ryzyka jest poleganie na procesach realizowanych ręcznie. „Dowiadujemy się, że narzędziem stosowanym dziś najczęściej przez służby odpowiedzialne za zgodność z przepisami, i to na całym świecie, jest zwykły arkusz kalkulacyjny”, mówi Marne Gordan, z działu IBM Corporate Security Strategy Group IBM. „

Automatyzacja przyniosłaby znaczną oszczędność czasu i uproszczenie wynikające z eliminacji zdublowanych prac i większej niezawodności testów. Ponadto pozwoliłaby w bardziej przekonujący sposób dowodzić skuteczności mechanizmów kontrolnych przed zarządem i audytorami. „Dla audytora zewnętrznego arkusz kalkulacyjny nie jest wystarczającym dowodem”, powiedział Gordan.