1. توانمند سازی ممیزی با رویکرد IT GRC در گروه شرکت‌های مپنا
فرید بهبهانی
مدیرعامل شرکت اینفوامن

2. فهرست مطالب ممیزی و IT GRC معرفی شرکت مپنا و سابقه موضوع
ممیزی و Context آن
راهبری، مدیریت مخاطرات و انطباق
ارتباط ممیزی با IT GRC
معرفی شرکت مپنا و سابقه موضوع
آشنایی با گروه مپنا
سابقه راهبری فناوری اطلاعات و ممیزی در مپنا
موردکاوی ساختار IT GRC و ممیزی گروه مپنا
سازوکار و رویکرد
مراحل، اقدامات و نتایج

3. ممیزی ممیزی اجزا و ارکان ممیزی
فرآیند نظام‌مند، مستقل و مستند جهت احراز و ارزیابی هدفمند شواهد ممیزی، به منظور تعیین میزان برآورده شدن معیار‌های ممیزی. (ISO 19011)
اجزا و ارکان ممیزی
هدف
دامنه
معیار (چارچوب مرجع)
شواهد و یافته‌ها
اقدامات ناشی از ممیزی

4. زمینه ممیزی زمینه‌های سنتی ممیزی زمینه تجمیع شده ممیزی الزامات قانونی
استانداردها و به‌روش‌ها
سیستم‌های مدیریتی
فنی
ریسک
روال‌ها و خط مشی‌های سازمانی
زمینه تجمیع شده ممیزی
GRC (و IT GRC)

5. راهبری، مدیریت مخاطرات و انطباق IT GRC
راهبری (Governance) فناوری اطلاعات
مدیریت مخاطرات (Risk Management) فناوری اطلاعات
انطباق (Compliance) با الزامات درونی و بیرونی در حوزه فناوری اطلاعات

6. جایگاه و ارتباط ممیزی در IT GRC
هدف و دامنه ممیزی
بر اساس ریسک و اولویت‌های کسب و کار
معیار (چارچوب مرجع) ممیزی
خط مشی‌ها، استانداردها، الزامات قانونی
چارچوبی جهت درج شواهد و یافته‌ها
ارتباط یافته‌ها با مخاطرات و اهداف سازمان
سازوکاری برای پیگیری اقدامات ناشی از ممیزی
یکپارچه با برنامه‌های دیگر GRC
Source: ISO/IEC 27014

7. معرفی گروه شرکت‌های مپنا
تأسیس در سال 1372
یک بنگاه اقتصادی شامل ۳۹ شرکت
زمینه کسب و کار
توسعه و ساخت نیروگاه‌های حرارتی
اجرای پروژه‌هاى نفت و گاز
حمل و نقل ریلى

8. تاریخچه موضوع در گروه مپنا
معماری سازمانی فناوری اطلاعات (1387)
استقرار سیستم جامع مدیریت منابع سازمانی SAP
شروع استقرار در شرکت‌های مختلف گروه از 1385 تا 1391
مدیریت امنیت اطلاعات
شروع استقرار در شرکت‌های مختلف گروه از 1386 تا 1390

9. وضعیت ممیزی در گروه
آغاز ممیزی‌های دوره‌ای در شرکت‌های گروه با استقرار سیستم مدیریت امنیت اطلاعات
هدف: بررسی وضعیت امنیت اطلاعات هر شرکت
معیار ممیزی: استاندارد ISO و الزامات هر شرکت
اجرای ممیزی: توسط نهاد‌های صدور گواهینامه
گزارش یافته ها: به نماینده مدیریت در ISMS
پیگیری اقدامات: توسط واحدهای فناوری اطلاعات

10. چالش‌های ممیزی
عدم ارتباط دامنه و برنامه ممیزی با وضعیت و اهمیت از منظر کسب‌وکار
سطح تفاهم پایین بین ممیزی شوندگان و ممیزان در مورد اهمیت یافته‌ها
تعدد و تکثر منابع اطلاعاتی و دستیابی دشوار به تمامی اطلاعات مورد نیاز به دلیل عدم وجود ابزاری جامع
عدم پیگیری مناسب و اثربخش یافته‌های ممیزی

11. احساس نیاز به یکپارچگی و همراستایی با استراتژی‌های جدید گروه مپنا
رویکرد جدید
چالش‌های وضع موجود
احساس نیاز به یکپارچگی و همراستایی با استراتژی‌های جدید گروه مپنا
INTEGRA - Financial and operational reporting and control
New organization and Governance model
راهبری امنیت اطلاعات
شروع از سال 1392
با توجه به آمادگی و درجه بلوغ بالاتر مدیریت امنیت، در ابتدا دامنه «راهبری فناوری اطلاعات» به «راهبری امنیت اطلاعات» محدود گردید.
به دلیل بلوغ بیشتر در حوزه امنیت، در حال حاضر تمرکز بر راهبری امنیت فناوری اطلاعات است

12. مدل IT GRC (Gartner)

13. ارکانIT GRC گروه مپنا ذینفعان کلیدی بدنه راهبری بدنه مدیریتی
مدیران میانی و ارشد شرکت‌ها / هیأت اجرایی گروه
معاونین سیستم‌ها / مدیران فناوری اطلاعات
بدنه راهبری
کمیته راهبری امنیت اطلاعات گروه مپنا
بدنه مدیریتی
کمیته‌های اجرایی امنیت در شرکت‌های گروه
نهاد ممیزی
کارگروه ممیزی از مجموعه شرکت‌های گروه تحت هدایت مشاور

14. برنامه و نمای IT GRC گروه مپنا
وجود یک ساختار متمرکز در گروه مپنا جهت
سیاست گذاری
نظارت
ارزیابی عملکرد
تضمین اختیارات کافی در شرکت‌ها و انعطاف پذیری لازم جهت هماهنگی با الزامات سازمانی هر شرکت
مدیریت اجرایی

15. سازوکار اطلاعاتی IT GRC مپنا
سیاست گذاری
پایش وضعیت
بررسی انطباق
لایه راهبری
(در سطح گروه)
در حال حاضر 7 شرکت به سیستم متصل هستند
لایه مدیریتی
(در سطح شرکت)

16. ارزیابی و مدیریت مخاطرات
اقدامات اجرایی IT GRC
ارزیابی و مدیریت مخاطرات
ارزیابی مخاطرات
شناسایی و پایش مخاطرات کلیدی (KRI)

17. شناسایی و مدل سازی دارایی‌ها
محرمانگی اطلاعات، نمایش نمونه‌های شبه واقعی
تشریح اقدامات و روال انجام کار در نمونه‌های خروجی سازوکار اطلاعاتی IT GRC

18. محاسبه ریسک

19. ارزیابی و مدیریت مخاطرات
اقدامات اجرایی IT GRC
ارزیابی و مدیریت مخاطرات
ارزیابی مخاطرات
شناسایی و پایش مخاطرات کلیدی (KRI)

20. ارتباط ریسک‌های شناسایی شده با اهداف استراتژیک سازمان
ارتباط ریسک‌های شناسایی شده با اهداف استراتژیک سازمان
استخراج KRI ها
ارتباط یافته‌های ممیزی با ریسک‌های استراتژیک سازمان

21. ارزیابی انطباق و پشتیبانی از ممیزی
اقدامات اجرایی IT GRC
ارزیابی انطباق و پشتیبانی از ممیزی
پیشنهاد برنامه ممیزی
تهیه خودکار چک لیست ممیزی
ثبت نتایج ممیزی و اقدامات اصلاحی مورد نیاز
گزارش نتایج به تمامی ذینفعان
به روز رسانی وضعیت مخاطرات سازمان ناشی از یافته‌های ممیزی

22. نمونه چک لیست‌های ممیزی

23. نمونه چک لیست فنی ممیزی استخراج شده توسط ابزار
نمونه چک لیست فنی ممیزی استخراج شده توسط ابزار

24. ارزیابی انطباق و پشتیبانی از ممیزی
اقدامات اجرایی IT GRC
ارزیابی انطباق و پشتیبانی از ممیزی
پیشنهاد برنامه ممیزی
تهیه خودکار چک لیست ممیزی
ثبت نتایج و اقدامات اصلاحی مورد نیاز
گزارش نتایج به تمامی ذینفعان
به روز رسانی وضعیت مخاطرات سازمان ناشی از یافته‌های ممیزی

25. نمونه اقدامات اصلاحی و بهبود ناشی از ممیزی
نمونه اقدامات اصلاحی و بهبود ناشی از ممیزی

26. داشبورد ریسک‌های سازمانی
مشاهده اثر وضعیت یافته‌ها در داشبورد ریسک

27. ارزیابی انطباق و پشتیبانی از ممیزی
اقدامات اجرایی IT GRC
ارزیابی انطباق و پشتیبانی از ممیزی
پیشنهاد برنامه ممیزی
تهیه خودکار چک لیست ممیزی
ثبت نتایج و اقدامات اصلاحی مورد نیاز
گزارش نتایج به تمامی ذینفعان
به روز رسانی وضعیت مخاطرات سازمان ناشی از اقدامات اصلاحی

28. داشبورد تغییرات ریسک پس از اجرای اقدامات اصلاحی
داشبورد تغییرات ریسک پس از اجرای اقدامات اصلاحی

29. وضعیت ممیزی با استقرار IT GRC
«هوشمند سازی» دامنه و برنامه ممیزی
انعطاف و چابکی در انتخاب چارچوب مرجع ممیزی
ارتباط یافته‌ها با مخاطرات و اهداف کسب‌و‌کار
تجمیع اطلاعات مرتبط با ممیزی
پیگیری و کنترل مؤثر وضعیت یافته‌ها
تعامل مناسب نتایج با ذینفعان

30. با تشکر
پرسش و پاسخ