Коллеги, 13 сентября Дмитрий Никипелов, CISO в “Банк БелВЭБ” - провел для участников нашего сообщества PROaudit вебинар на тему Change IT Management.

Обещали конспект по итогам вебинара, выполняем! Важные этапы и акценты вынесли в пункты.

1️⃣Аудит процесса управления изменениями (УИ) проводят применительно к
- дизайну самого процесса,
- его операционной эффективности.

2️⃣Цель УИ - управляемая инфраструктура, способная к поддержанию и администрированию. УИ позволяет минимизировать риски при внесении изменений в системы и сервисы.
В УИ необходимо отслеживать вносимые изменения и иметь возможность получить данные о предыдущих изменениях. Плюс это история про бюджеты.

На заметку от нас:
Стоит почитать о легаси, если вы пока не в ИТшной теме.

3️⃣Компоненты дизайна УИ:
1. Политика, процедура или регламент УИ с описанием последовательности шагов. Кто инициирует изменения? Если нет задокументированной процедуры - “design gap” - это интуитивный уровень зрелости процесса.
2. Business Requirements Document - заявка, ticket.

Не путать: УИ и управление релизами. При управлении релизами изменения обычно объединяются в "пакеты". Управление релизами осуществляется в соответствии со стандартами проектного управления.

3. Бизнес-анализ изменений с описанием рисков, одобренный инициатором.
Поговорили о:
Рисках нарушения непрерывности, использовании принципа “четырех глаз”. По датам документов: бизнес-анализ проходит после заявки, не раньше.

4. Процедура Roll Back - отказа от изменений. О ней надо подумать заранее.

5. Накат на тестовую среду.

6. Одобрение от бизнеса и тех.руководителя.

7. Тестирование на Production.

8. Внедрение.

4️⃣По результатам тестирования:
Если успешно - актуализируется и документируется для IT архитектуры и инфраструктуры.

Безуспешно - заявка снимается, откатываем изменение назад.

5️⃣Стандарты: BAI06 - COBIT 2019, ITIL ITSM.

Ещё успели разобрать несколько важных вопросов, например: (спасибо кто прислал и задавал во время вебинара):
• какая периодичность аудита УИ будет достаточной и что делать, если на регулярные проверки ресурсов не хватает;
• с чего начать, если вн.аудитом никогда не проводились ИТ-аудиты вообще (не только УИ).

🎁Бонус участникам: Дмитрий готов и в будущем встречаться на такие ИТ-диалоги (не лекции). От нас требуется активный интерес и дискуссия, темы (заранее) и вопросы для обсуждения.

Ещё раз спасибо, Дмитрию и всем, кто провел этот вечер с нами. Давайте думать над вопросами и темами ✍️.

#вебинары
#ит_аудит

🔝Афиша полезных мероприятий

26 сентября: Вебинар "Тренды комплаенс: ESG,санкции, законодательство", приуроченный ко Дню комплаенс-специалиста от Ассоциации комплаенс и деловой этики.

7 октября: Ежегодная Конференция от ИВА Казахстан (только для членов, есть возможно вступить и пользоваться преимуществами членства).

20 октября: Конференция «KompraConf. Бизнес. Риски. Данные». Была в прошлом году, супер!!!#рекомендую_сообществу

Все мероприятия бесплатные, можно поделиться с коллегами. Пойдёмте "вместе", будет потом что обсудить!

#конференции
#мероприятия
#данные

На днях на площадке ИВА Казахстан был очень интересный гость - эксперт с огромным опытом Сергей Мартынов - Президент Российского отделения ACFE,
обладатель сертификатов CFE, CIA, CISA, является M.Sc. Criminal Justice, профессиональным бухгалтером.

Дискуссии на тему современного мошенничества, в принципе, скучными не бывают, а эта была особо активной с массой вопросов спикеру, обменом мнениями и мыслями.

Как думаете, что ответил Сергей Александрович на вопрос (очень практичный, считаю) одной из участниц: "Что посоветуете для укрепления ИБ в компаниях, где бюджеты на ИТ/ИБ минимальны?"

И как бы сами ответили? Пусть будет субботняя #аудитразминка 💪 для тех, кто заходит в телеграм в выходные.

#мошенничество
#вебинары

Не всё потеряно
Мы так часто в последнее время говорим о мошенничестве, утрате каких-то этических ценностей, что столкнувшись с противоположным и не сразу верим в доброе, светлое.

Были с дочкой в Меге в выходные, выбрали вещи, идём оплачивать и я понимаю, что сумки с деньгами/всеми карточками/документами и т.д. нет. Видимо забыла в примерочной другого бутика.
Описать своё состояние и сейчас не могу, расстроилась, расклеилась, рыдать при ребёнке не вариант.
Бросили вещи, побежали в бутик, где до этого были (минут 40 назад). Открываю кабинку где до этого мерили вещи. Пусто, конечно.
И тут одна девушка говорит, что забытую сумку на кассу отдали.

Фух. Забрала и боялась открыть. На месте ВСЁ.

Пока у нас возвращают  (не открывая!) на кассу забытые сумочки - не всё потеряно в нашем обществе.

Спасибо большое неизвестной девушке и продавцам в бутике New Yorker в Меге (Алматы).

Захотелось начать неделю с хорошего. Давайте чаще делать добро и замечать его в людях💛

Можно запустить "бумеранг добра" и в комментариях поделиться какой-то своей светлой историей из последнего.

#мысли

📣Ура, мы организуем первый Networking day нашего сообщества!

Друзья, приходите:
✔узнать, кто скрывается за аватарками;
✔расширить свои профессиональные связи / найти единомышленников с похожими проблемами или радостями;
✔давайте немножко развиртуализируемся и чуть больше узнаем о друг друге.

Место встречи: онлайн (ссылочка будет позже)
Когда: 14 13 октября, а время пока предварительно 21.00 Алматы (18.00 по Москве).

Отмечайте в календаре, чтоб не пропустить ✍

Мы ещё кое-что интересное придумали..to be continued.

#сообщество

За что любите?

У коллег к профессиональному празднику вышла отличная подборка причин, чтобы стать комплаенс-офицером.

Решила "украсть как художник" и оформить похожую идею для нас. Поможете?

Поделитесь, пожалуйста, за что вы любите, цените нашу профессию, за какие "ценности, плюшки, выгоды" и т.д. готовы рекомендовать идти во внутренний аудит? Это ведь точно не история про какие-то огромные бонусы😁.

И провокационный вопрос: готовы ли рекомендовать в принципе? Если есть нюансы - готовы, но не всем, напишите, пожалуйста.

Можно выпустить совместно от нашего сообщества и ИВА Казахстан, Евгения, как думаешь? У нас тоже скоро праздник намечается.

📣Мы давно об этом думали, и вот наконец-то: мы запускаем новый вид активности для нашего сообщества - мастермайнды.

Если кратко, мастермайнды - это небольшая группа близких по духу людей, которые помогают и поддерживают друг друга в личном и профессиональном самосовершенствовании.

В мастермайндах, как правило, участвуют люди со схожими интересами, целями, профессиональным уровнем в поиске ответа /решения на какой-то вопрос или задачу.
Это не группы эмоциональной поддержки, а инструмент достижения целей. Участники проводят мозговые штурмы, делятся обратной связью, ресурсами, своим опытом прохождения похожих ситуаций.

Один ум хорошо, а “коллективный” лучше - подходящая метафора для такого формата.

За счет того, что это не массовая история и примерно равный "культурный" уровень участников создаётся безопасная среда для обсуждения своего запроса или проблемы.
На 400 человек в чате не каждый готов к публичному обсуждению его ситуации.

Мастермайнды могут:
- быть в формате одной сессии (где каждый уходит со своим решением / вариантами решений);
- состоять из нескольких сессий, когда проблема / запрос более сложный. В этом случае мастермайнд не только помогает найти решение, но и вместе его внедрять.

📆 Пока это для нас пилотный проект, который стартует 20 октября в формате онлайн с лозунгом "самому не проще".

❗Обязательное условие  - сохранение конфиденциальности запросов участников.

Это наш совместный проект с Марией, на счету которой не один успешный мастермайнд в международной программе "Women in в Tech".

Друзья, передаю "слово" Марии, она подготовила пару вопросов (будут ниже), поучаствуйте, пожалуйста.
#сообщество
#самому_не_проще

🍁Как прошёл первый осенний месяц и с чем заходим в октябрь?

📌Рубрика #дайджест возвращается и ищет ведущих 😁, "вакансия" бесплатная, но очень важная.

Итак сборник постов и рассматриваемых тем в сентябре:

⚡О скользкой дорожке и как по ней скатываются - дочитала книгу о психологии корпоративных расследований, рекомендую!

⚡Много сохранений получила тема sorry-стратегии - вдруг пропустили, под чашечку кофе или в дороге почитать самое то (внутри ссылки с примерами провальных и успешных извинений от брендов).

⚡Представили себя в роли борцов с коррупцией и выбрали первые шаги - хороший повод свериться как с этим у вас.

⚡Дмитрий провел вебинар, а Мария написала к нему подробный обзор.

⚡Вспомнили как важно быть на своём месте.
А здесь голосование коллег - что делать, если место не твоё. Оказалось вопрос многим знаком.

⚡Реальный кейс "о сложном" повышении и мнения в комментариях, а здесь дополнения.

⚡Ещё был выпуск сертификата с новым логотипом. Заодно провели инвентаризацию предыдущих и вспомнили вклад активных участников.

Много дискуссий, полезных вопросов и отличных ответов:
📎 как быть, если проверка вот-вот начнётся, а компетенций не хватает? Вопрос от Маши, обязательно почитайте далее комментарии и честные ответы;

📎 базовая программа аудита ИБ от Айбека и ChatGPT в помощь Маше и всем, кому ещё пригодится;

📎 Наталья закинула тему оценки эффекта на ресурсы при внедрении нового проекта;

📎 много комментариев получил вопрос Александра, которому только предстоит его первый аудит;

📎 с подачи Артёма перемыли косточки теме риск-менеджмента.

Из самых значимых в этом месяце эффектов / событий / идей:
♨️ повышение теплоты в атомосфере чата ❤, заметили?

Из планов на ближайшее будущее:
🕸 объявили инициативу networking day: укрепляем связи;
🚀 запуск мастермайнд с идеей #самому_не_проще.

За отсутствие реакций и комментариев штрафы пока решили не вводить)) Всем, кто не проходит мимо чужих вопросов и подкидывает свои - жирнющий плюсик в аудиторскую карму. Спасибо, друзья!

#сентябрь #итоги #сообщество

«Если люди определяют ситуации как реальные, они становятся реальны по своим последствиям» (Уильям Айзек Томас).

Узнала сегодня об истории эффекта самосбывающегося пророчества (термин раньше слышала, но думала просто выражение такое).

Это, например, про наши успехи или провалы, о которых мы думали/боялись/настраивались, и так всё и вышло. Про наши представления о людях или ситуациях.

Оказывается, это не про: "ну вот, накаркали" или "у меня было предчувствие", а есть прям механика, которая (как пишут в интернетах) состоит из 4х этапов:

1️⃣ человек принимает определенные убеждения в отношении тех, с кем он взаимодействует;
2️⃣ он действует так, как если бы эти убеждения были истинными;
3️⃣ те, с кем человек взаимодействует, корректируют свое поведение в соответствии с его действиями в п.2;
4️⃣ человек интерпретирует поведение окружающих как подтверждение имеющихся у него убеждений, и цикл замыкается (в духе: "я так и думал").

Не знаю насколько правильно я поняла, но кажется этапы 2 и 3 - разгадка эффекта.

Несколько примеров и подробный обзор можно почитать в статье.

Зачем вам об этом почитать кроме расширения кругозора:
✅ хорошее напоминание о том, что мы как аудиторы можем ошибаться и быть неосознанно предвзяты и это будет сильно похоже на правду;
✅ подумать, что этот эффект может сработать против нас самих со стороны других;
✅ попробовать осознанно поменять потенциальные сценарии какой-то будущей рабочей или личной ситуации;
✅ забрать в копилку интересных эффектов / ловушек, о которых хорошо бы помнить в коммуникациях.

❓Верите в такое или это уж совсем не для аудиторов?

#мысли
#этонеточно
#ловушки_мышления

💔Вчера, оказывается был Global Romance Scam Awareness Day - Всемирый день осведомлённости о мошенничестве в романтических отношениях.

Ко Дню Св.Валентина делала подборку из интересных материалов и исследований на эту тему.

Такой день - хороший повод узнать побольше об этой теме. К сожалению, "романтические" кейсы нередко могут быть связаны с мошенничествами в компаниях, когда жертвы афёр сами становятся преступниками.

Знаю один из ярких случаев, где главный бухгалтер была должна всем в компании (даже аудитору!), манипулировала с дебиторкой, чтобы перекрыть недостачи. Причина банальна - "принц" в Турции, который вот-вот должен был её забрать и ему нужны были средства для "их счастливого будущего". Её осудили, тыква каретой не стала, жених испарился.

Вовремя никто из её коллег не заподозрил, несмотря на очевидные признаки...

#рекомендую_сообществу
#мошенничество

Всем привет, коллеги! На связи Мария.

Сегодня предлагаю вам обзор документа от Института внутренних аудиторов Австралии про интегрированную модель управления. По традиции пара вопросов по теме. Прошу поделиться, что думаете.

Интегрированная модель управления

🔸Концепции

Из возможных существующих концепций управления, Институт объединил в своем документе следующие:
- COSO Internal Control, Enterprise Risk Management
- International Internal Auditing Standards Board
- ISO 31000:2018 Risk management - Guidelines
- ISO 37000:2021 Governance of organizations
- ISO 37301:2021 Compliance management systems
- IIA Three Lines Model

🔸Эффективное управление

По мнению Института, социальная ответственность и долгосрочная жизнеспособность (long-term viability) напрямую не относятся к управлению, а являются характеристиками поведения организации. Например, организация может намеренно игнорировать общественные ожидания и/или поставить цель существования в краткосрочной перспективе. Это, в свою очередь, будет препятствовать эффективному управлению.

🔸Практическая модель:

Культура - структуры - приоритеты - показатели деятельности - мониторинг

У организации есть цель, и она функционирует в контексте внешнего окружения. Управление может попытаться влиять на внешние факторы, такие как политическая и регуляторная среда. Последние могут меняться применительно к контексту организации, но она не может их контролировать, а только пытаться влиять на них. Например, в форме лоббирования.

🔸Источники информации для мониторинга органами управления:

- Данные от первой линии
- Отчеты и закрытые совещания с независимыми функциями контроля - риск менеджмент и комплаенс
- Отчеты и закрытые совещания с внутренним аудитом, инсайты и советы, об эффективности процессов управления
- Внешний аудит и данные обязательных официальных отчетов
- Информация о нарушениях с горячей линии от персонала, формальная и неформальная обратная связь от клиентов

🔸Управление vs. Менеджмент

На высших уровнях организации наблюдается больше управления, чем менеджмента; на нижних уровнях - менеджмент возрастает, а управление сокращается.

🔸Философские трактовки риска

🔹Механический уровень

- Риск как опасность;
- изменяется в вероятном ущербе;
- используется применительно к безопасности (safety);
- физические контроли.

🔹Системный уровень

- Риск как возможное событие;
- последствия события и вероятность их наступления;
- COSO ERM, также концепция широко используется в коммерческой литературе США;
- Применяются “hard controls”, чтобы предотвратить, обнаружить и скорректировать негативные события;
- Могут применяться “soft controls” - поведенческие замеры (behavioural measures).

🔹Гуманистический уровень
- Риск как эффект;
- Последствия эффекта и вероятность наступления последствий;
- AS ISO 31000:2018, Австралийский стандарт;
- Значимость человеческих факторов. Контроли выстраиваются с пониманием человеческого поведения. Последнее наряду с культурой непосредственно влияют на все аспекты риск менеджмента.

✏️

Вчера на площадке ИВА Казахстан прошла наша Конференция (она стоит отдельно обзора), но было круто, финальным блоком которой был Круглый стол.

По программе я - основной ведущий плюс еще 2 наших коллег-экспертов. По факту - за "столом" оказались практически все участники. Оживлённый чат и включение "голосом" - рада, что ключевой выбрала именно эту проблематику.

Мне кажется это очень нас сплотило. И хоть пока 💯решения нет, коллеги знают, что это - проблема общая и есть то, что может подойти.

Планирую развёрнутый пост на эту тему.
❓Проверим совпадение по "болям", как думаете, о чём речь, что вызвало такой жаркий отклик?

*использование фото-отзыва согласовано с хозяйкой питомца))

#конференция

Любовь за деньги или какую тему я выбрала для обсуждения на Конференции

Выбрала одну из своих любимых - "Люди - главный фактор успеха и риска".

Знаю из обсуждений и в чате, и в личной переписке, что многим из вас эти вопросы также актуальны.

О чём говорили:
➡️ Как долго закрываются вакансии в СВА (2-3 месяца минимум/в кейсе, который я привела в пример - до 6 месяцев/по ИТ аудитору - коллега ищет с начала года, зп уже поднял 2 раза).

➡️ Специалисты с нужными компетенциями уже "хорошо" устроены, чтобы их привлечь нужно не просто повысить зп до рынка (не у всех есть такая возможность), но и превысить его. А иначе - зачем им идти на такие же условия и всё менять?

➡️ Те, кто готовы рассмотреть вакансии с предлагаемыми зп - в большинстве случаев остаются за бортом, т.к. у них нет нужных навыков / зрелости / не соответствуют по формальным требованиям (которые не всегда можно и поменять).

Или брать неподходящих (это не про опыт, а про ценность, экспертизу, обучаемость и т.д.), но "подешевле"?

➡️ Стареньким остаются "старенькие" зп (на них уже не нужно жениться их уже не нужно привлекать), а новых берут на новые оклады, чтоб их привлечь/схантить с другого места. Долго ли удержатся преданные "старички" и какую атмосферу это порождает в коллективе?

➡️ Сложности с процедурами повышения текущих окладов в СВА. Если у подразделений "под правлением" практически полный карт-бланш, для аудиторов, комплаенс, рисковиков каждый случай повышения рассматривается под лупой.

➡️ Руководители СВА с учетом предыдущего пункта не решаются разом вынести вопрос о повышении на "нормальные" суммы.

В итоге вроде и повышение прошло, а подняли на 3-5%, стоит ли ради этого вообще выносить вопрос, мотивируешь или разозлишь коллектив?

А у многих ограничение на частоту повышения - не чаще раза в год. Будут ли ваши сотрудники год ждать очередных 3%?

➡️ Зачастую оклады аудиторов (включая руководителей) ниже тех, кого они проверяют в разы. При этом сложность профессии, уровень ответственности, требований - несопоставимы.

➡️ Мы конкурируем за людей между компаниями или другими подразделениями в своих же организациях.
Сегодня для внутреннего аудитора рынок "кандидата", если кандидат стоит того.

🤔Может показаться, что эта история про любовь (к профессии) за деньги, а аудиторы такими быть не должны. Очень уж корыстный пост получился, что думаете?

#зарплата
#управление
#мотивация