Анализ последнего исследования НП "АБИСС" о практике применения СТО БР ИББС в кредитных организациях, а также изучение их обновленного сайта сподвигли меня задуматься о целесообразности и ценности членства в этом самом Партнерстве для различных типов организаций, в большей степени для организаций-консультантов и организаций-аудиторов, поскольку на текущий момент я работаю именно в интеграторе.
Для начала немного статистики по участникам НП "АБИСС":
- организации-консультанты практически совпадают с организациями-аудиторами, лишь один интегратор из всех (ЗАО «Бэлл Интегратор») получил только один статус организации-аудитора - все остальные имеют сразу по два: и аудитора, и консультанта;
- учитывая количество присоединившихся к стандарту кредитных организаций, их доля в НП "АБИСС" катастрофически мала: хоть и не на много, но даже меньше доли консультантов и аудиторов. Отсутсвие жестких правил для кредитных организаций, а также каких-либо взносов за членство в Партнерстве - не исправляет ситуацию. Многие предпочитают держаться пока в стороне;
- из учебных центров пока только один АИС вошел в Партнерство - но это и не удивительно, так как именно тут проходят согласованные с НП "АБИСС" курсы по тематике СТО БР ИББС.
Итак, на одной чаше весов оценки нужности вступления в НП "АБСИ" - затраты для организаций-консультантов и организаций-аудиторов на участие в НП "АБИСС":
- Вступительный взнос (уплачивается организациями единовременно при подаче заявления на вступление в члены НП «АБИСС»:
- для претендующих на вступление в группу организаций-аудиторов – 500 тыс.руб.;
- для претендующих на вступление в группу организаций-консультантов – 250 тыс. руб.
- Ежегодный членский взнос (уплачивается членами НП «АБИСС» по истечению одного года после оплаты вступительного взноса»:
- для организаций-аудиторов – 500 тыс. руб.;
- для организаций-консультантов – 250 тыс. руб.
- Затраты на прохождения профильного обучения (повышения квалификации) по программам согласованным с Партнерством:
- для организаций-аудиторов – не менее 3-х сотрудников обученных по аудиту ИБ – по сути курсы в АИС СБР040 "Аудит ИБ организаций БС РФ". Стоимость обучения: 47,5 тыс. руб + 3 чел. = 142,5 тыс. руб.;
- для организаций-консультантов – не менее 3-х сотрудников обученных по программам, согласованным с Партнерством – по сути курсы в АИС СБР010, СБР020, СБР030 "Введение, Внедрение, Самооценка". Стоимость обучения: 67,5 тыс. руб + 3 чел. = 202,5 тыс. руб.
- Затраты на поддержание квалификации персонала в части обучения по программам согласованным с Партнерством - с учетом текучки кадров ежегодно в среднем придется обучать по одному сотрудники по аудиту и по внедрению СТО БР ИББС, это соответственно еще плюс ежегодные затраты:
- для организаций-аудиторов – 47,5 тыс. руб.;
- для организаций-консультантов – 67,5 тыс. руб.
- для организации-аудиторов: порядка 650 тыс. руб. первоначальные и порядка 550 тыс. руб. дальнейшие ежегодные.
- для организаций-консультантов: порядка 450 тыс. руб. первоначальные и порядка 300 тыс. руб. дальнейшие ежегодные.
На другой чаше весов оценки нужности вступления в НП "АБСИ" - преимущества для организаций от членства в Партнерстве, для оценки которых предлагаю обратиться к исследованию НП "АБИСС", в котором представлены следующие интересные диаграммы по привлечению кредитными организациями консультантов и аудиторов к работам по СТО БР ИББС:
Из этих диаграмм в частности видно, что на текущий момент по уже проведенным работам членство в НП "АБИСС" не являлось главным преимуществом при выборе исполнителя для работ. Однако в настоящий момент, в том числе столкнувшись с определенным отрицательным опытом привлечения неквалифицированных интеграторов, ряд организаций в большей степени ориентируется на дальнейшее привлечения к работам по СТО БР ИББС именно участников партнерства "АБИСС", как более надежных исполнителей.
При этом, необходимо учитывать, что исследование НП "АБИСС" проводилось на основе опроса именно ИБ-представителей кредитных организаций, которые, по большей части, осознают необходимость привлечения квалифицированных консультантов, однако какой фактор будет решающим при финальном выборе исполнителя - большой вопрос. Практика показывает, что порой, не смотря на мнения своих ИБ-ков, руководство в итоге принимает решение в пользу меньшей цены.
А где же ответ на вопрос - нужно ли банкам вступать в Абисс?
ОтветитьУдалитьСергей, в начале поста я сделал оговорку, что в большей степени рассматривал вопрос участия в НП интеграторов, а не банков. Насчет банков, ситуация сейчас такова, что в НП больше членов не банков, чем банков, что показывает большую заинтересованность первых в членстве в этом партнерстве, чем вторых.
ОтветитьУдалитьДля банков членство в НП "АБИСС" сейчас бесплатное и это, в совокупности с количеством вступивших, на мой взгляд, в какой-то степени может служить критерием нужности его для Банков =)
Но тем не менее, сейчас именно Банки задают вопросы - надо ли им вступать в Абисс. И как я понял Абисс активно агитирует их за вступление
ОтветитьУдалитьhttp://bankir.ru/dom/threads/112440-%D0%9F%D0%BE%D0%B4%D0%B5%D0%BB%D0%B8%D1%82%D0%B5%D1%81%D1%8C-%D0%BF%D0%BE%D0%B6%D0%B0%D0%BB%D1%83%D0%B9%D1%81%D1%82%D0%B0-%D0%BE%D0%BF%D1%8B%D1%82%D0%BE%D0%BC-%D1%81%D0%BE%D1%82%D1%80%D1%83%D0%B4%D0%BD%D0%B8%D1%87%D0%B5%D1%81%D1%82%D0%B2%D0%B0-%D1%81-%D0%9D%D0%9F-%D0%90%D0%91%D0%98%D0%A1%D0%A1
А вот многие интеграторы как правило и сами могут посчитать плюсы/минусы от вступления в Абисс.
Так-же есть вопросы и к Абисс: пока что с их стороны замечена позиция включения в свои члены интеграторов не выполнивших все условия, а так-же не замечено исключение из членов Абисс при нарушении условий. Соответственно гарантии качества работ пока неполные.
Еще один очевидный вывод - у АБИССовских аудиторов стоимость аудита будет больше на 100-500 т.р. при одинаковом кадровом раскладе с "неАБИССовскими".
ОтветитьУдалитьУчитывая открытый реестр обученных спецов http://www.abiss.ru/membership/registries/certificates.php, выбрать аудитора теперь станет намного легче. А качество аудита и ответственность можно закреплять в договоре.
Интересно, каким образом вы сможете закрепить в договоре "качество" аудита? Да и обычно от "ответственности" открещиваются в случае чего (например тем, что заказчика не до конца выполнил рекомендации, не предоставил информацию, внес изменения и пр.). Максимум что вы можете прописать, дык только поддержку и дополнительный консалтинг (и то и другое вам будет стоить денег)
УдалитьОчень просто. Все прописано в СТО БР ИББС-1.1-2007.
УдалитьОсновное требование - полнота свидетельств аудита. Если на каждый частный показатель имеется 3 типа свидетельств: документ, устное свидетельство и наблюдение - то вопросов по качеству не возникнет.
"поддержка" и "консалтинг" - обычный развод.
Чтобы работал реестр обученных специалистов, надо чтобы в договоре на аудит прописывалась поименно рабочая группа со стороны интегратора?!
ОтветитьУдалитьНу, если рабочая группа находится на объекте Заказчика, то это еще можно проконтролировать. А если документы пишут у себя в офисе, то тут уж не проследить.
УдалитьЧасто так бывает, что ключевые, сертифицированные спецы excnde.n только в презентациях. А сбором информации, ее анализом и представлением занимаются младшие и/или вообще сторонние специалисты.
Насчет реестра обученных спецов - сейчас скорость его обновления явно хромает, например, мой товарищ прошел обучение еще в марте этого года, а в реестре его до сих пор нет.
ОтветитьУдалитьНасчет стоимости аудита у членов и не членов АБИССа - тут вопрос спорный, на мой взгляд стоимость продиктовала в большей степени опытом компании, а также ее позицией на рынке. Меньшую стоимость обычно предлагают мелкие аудиторы или те, кто пытаются выйти на рынок.
Он успешно сдал финальный экзамен?
УдалитьМой "мартовский" коллега уже в списке.
Опыт компании определяется по портфелю проектов, штату специалистов и только после всего этого по статусам в коммерческих ассоциациях, т.к. членство в АБИСС можно просто купить.
Стоимость определяется спросом и внутренними издержками аудитора. Последнее у члена АБИСС на 500 тысяч в год больше, чем не у члена АБИСС. Вот и все что я хотел сказать ).
да сдал =)
ОтветитьУдалитьНасчет опыта - а разве я говорил, что членство в АБИСС = опыт ?
Еще интересный момент, был сегодня на мероприятии в АИС по НПС - там был представитель АБИСС (Дроздов), так вот я его спросил, обязательно ли организации, являющейся и аудитором и консультантом иметь в штате 3-х спецов, обученных по аудиту, и 3-х по внедрению. Он мне сказал, что для таких организаций в принципе достаточно будет 3-х аудиторов, т.к. к организациям аудиторам выставляются более жесткие требования, чем к консультанта, т.е. надобность в обучении по внедрению вроде как отпадает.
ОтветитьУдалитьинтересно- действительно ли это так.
Добрый день!
ОтветитьУдалитьАвтор, анализируя представленные отчет, в частности диаграммы к нему, на мой взгляд, сделал несколько поспешные выводы.
Например:
“Из этих диаграмм в частности видно, что на текущий момент по уже проведенным работам членство в НП "АБИСС" не являлось главным преимуществом при выборе исполнителя для работ.”
Из” этих диаграмм в частности” не видно как это влияет вообще.
Такой влияние было бы видно, если бы рядом была приведена такая же диаграмма, показывающая в целом распределения долей рынка ИБ-консалтинга между организациями членами и не членами АБИСС.
“Однако в настоящий момент, в том числе столкнувшись с определенным отрицательным опытом привлечения неквалифицированных интеграторов, ряд организаций в большей степени ориентируется на дальнейшее привлечения к работам по СТО БР ИББС именно участников партнерства "АБИСС", как более надежных исполнителей. ”
Эти диаграммы так же могут означать , что “неквалифицированные интеграторы” получили членство в АБИСС)))) и благополучно продолжают работать.
Спасибо.
Насчет первого замечания. - Если смотреть распределение доли ИБ-консалтинга, то тогда именно в части СТО БР ИББС в привязке к количеству выполненных проектов / клиентов. Но такую статистику, по-моему, собрать просто не реально, т.к. мало кто захочется делиться своими, пусть даже и статистическими данными.
ОтветитьУдалитьПоэтому за неимением такой статистики опираемся на то, что есть. Т.е. ту же диаграмму "Кто выполнял оценку соответствия Стандарту", которая для меня все-таки несет определенную информацию и позволяет сделать определенные выводы.
А вот насчет второго замечания - согласен, что возможна и такая ситуация. Здесь тогда надо бы посмотреть статистику вступления в АБИСС этих самых организаций, но к сожалению в реестре членов НП АБИСС нет дат вступления членов в НП.
Благодарю за ответ.
ОтветитьУдалитьВот именно по этому я и сказал, что выводы поспешные, а не ошибочные. Для таких выводов требуется больше информации. В любом случае ваша точка зрения ясна. Спасибо.
И Вам спасибо за Ваше замечание =)
ОтветитьУдалить