Уфа, 21.03.2014

1. Х юбилейная научно-практическая конференция «Банки, процессы, стандарты, качество» “Вопросы внедрения стандартов качества, сертификации и аудита в соответствии с требованиями международных стандартов” Уфа, 21.03.2014

2. Визитная карточка Лившиц Илья Иосифович, к.т.н., аудитор Специализация: Разработка СМК, СУУ, СУИБ. Выполнение аудитов систем менеджмента крупнейших компаний (машиностроение, транспорт, системная интеграция, энергетика и пр.) Компетенции и сертификаты • Ведущий аудитор ISO 9001:2008 • Ведущий аудитор ISO/IEС 27001-2005 • Ведущий аудитор ISO/IEС 20000:1-2011 • Ведущий аудитор ISO/IEС 22301-2012 • Эксперт ISO/IEC 17025:2005 Контакты: Тел. +7 921 934-48-46 E-mailLivshitz_il@Hotbox.ru SkypeLivshitz_il 2

3. Стандартизация. Зачем? Известно, что системы менеджмента созданы с учетом определенного предшествующего опыта и, несмотря на цикл PDCA (цикл Дёминга-Шухарта), в ряде случаев, неспособны к эффективной адаптации (прежде всего по приемлемому времени реакции на инциденты) при изменении существующих воздействий (внешних или внутренних угроз). В то же время, системы менеджмента, созданные с учетом требований постоянного улучшения – например, системы менеджмента качества (СМК) или системы менеджмента информационной безопасности (СМИБ), должны реализовывать цикл постоянного улучшения на периодической основе. Этот принцип постоянного улучшения наилучшим образом способствует адекватной реакции на изменение ситуации, и, прежде всего применительно к созданию систем менеджмента в кредитных организациях (особенно в связи с ужесточением политики национального регулятора ЦБ).

4. Стандартизация. А действительно - зачем? Банковская система сильно «зарегулирована» – больше чем ВУЗы? Банковская система не формализуется как объект управления - сложнее ОПК? Банковская система менее подвержена изменениям регуляторов – чаще чем ПДн? Банковская система более «уважается» регуляторами – лицензии не отзываются? Банковская система свободна от рисков (различной природы) – менее чем авиация? Известны целый ряд методик, стандартов АРБ, СТО, Положений ЦБ,…

5. Стандартизация. Динамика «лидеров» ISO 5

6. Общие требования к внутренним аудитам Требования ISO 19011 (ГОСТ Р ИСО 19011) : • Аудит (п. 3.1) – систематический, независимый и документированный процесс получения свидетельств аудита и их оценивания с целью установления степени выполнения критериев аудита; • Критерии аудита (п. 3.2) – совокупность политик, процедур или требований, используемых в качестве основы для сравнения со свидетельствами аудита (дополнительно, например, в качестве критериев аудита может быть SLA); • Свидетельство аудита (п. 3.3) – записи, изложение фактов и иная информация, которая связана с критериями аудита и может быть проверена (например, это могут быть протоколы рассмотрения формальных претензий); • Наблюдения (результаты) аудита (п. 3.4) – результат оценки собранных свидетельств аудита по отношению к критериям аудита (указывают на соответствие или несоответствие); • План аудита (п. 3.15) – описание деятельности по проведению аудита и договоренностей по этому вопросу; • Несоответствие (п. 3.19) – невыполнение требований (например, стандарта, типовой формы контракта, признанной процедуры заказчика).

7. Пример оценки СМК (внутренний аудит) “Все, что начинается хорошо, заканчивается плохо. Все, что начинается плохо, заканчивается еще хуже…” Закон Мерфи

8. Пример оценки СУУ (внутренний аудит) “Из ничего и выйдет ничего…” Шекспир «Король Лир» 8

9. Управление активами СМИБ (ISO 13335) Дорого! Дешево и просто! Мудро & Эффективно! 9

10. Стандартизация? Снова? Статистика! «И упала на самое дно, самого глубокого ущелья…» (с) «Мы рождены, чтоб сказку сделать былью!» (с) «Начальник, может быть, этот колор?» (с) 10 10

11. Краткие выводы • Вся информация собирается и анализируется внутри компании, т.е. обеспечивается необходимая защита конфиденциальных данных (в том числе и результатов оценки) в процессе аудитов всех территориально распределенных объектов; • Периодичность, длительность, объем и «выборка аудита» (audit sample) определяются руководством компании, с тем, чтобы в нужный момент обратить внимание именно на ключевые процессы (например, управление несоответствующей услугой) и предпринять КиПД заблаговременно – по наиболее критичным процессам; • Внедрение в повседневную практику аудитов в цикле управления крупными организациями позволяет снизить риски «выпадения» из анализа отдельных процессов (например, традиционно считающихся надежными), повысить общую информированность высшего руководства относительно зрелости всех процессов организации, оцениваемую по единой методике; • Эффективная действующая система менеджмента позволяет обеспечить предоставление клиентам «добавленной ценности» услуги (банковского продукта) – через удовлетворенность согласованным уровнем качества (например, через систему согласованных KPI); • Обеспечивается положительное влияние на «Goodwill», как один из важнейших нематериальных активов, который позволит значительно увеличить рыночную стоимость конкретной кредитной организации. 11 11

12. Благодарю за внимание! Пожалуйста, вопросы!