есть такая каста, внутренние аудиторы. Они стоят отдельно от ГД, рапортят совету директоров (выше ГД), и вот они считают максимальной ценностью это консультировать компанию о рисках

Сотрудничество и работа на одну цель никто не отменяет.
Со своей эйчарской позиции считаю, что важно определить цель и способы достижения.
Если все понимают свою зону ответственности и зачем они это делают, то все ок.
И есть еще планирование.
Поэтому ... и в продакшн - нет. Такого не будет.

очевидно что еще управлять проектами по внедрению контролей когда проблему посчитали актуальной

Про внутрикорпоративные войны за власть и бюджеты вы ещё не слышали значит

Ну потому что ты в таком случае ни за что не отвечаешь. Это очень удобно, вопросов нет.  Толку то от них?


Я бы консультантом ближе к пенсии пошел, когда работать совсем лень станет)

Аудиторы не могут консультировать - они тогда потеряют независимость. Это должно быть подразделение по рискам. А вот пригласить внешних аудиторов чтобы провести анализ рисков и контролей и потом дать рекомендации как построить правильно процесс - это можно. Но тут есть большая разница между Big4 про корабли бороздили ... или практики, которые не раз сами строили эти процессы, и знают, как это работает/а как нет. Такие проекты иногда очень полезны для менеджмента. Рекламу давать не буду )

Свк называется)

так вы уже даете рекламу "практиков", прекращайте, желтая карточка

Или сва

Я бы рекомендовал строить центры компетенции по безопасной разработке внутри ИТ, с функциональным подчинением в ИБ, который независимо от ИТ. А контрольные функции и различные согласования - выносить в отдельную функцию. Иначе всегда будет конфликт - выполнить в срок потому что deadline у ИТ, или сказать нет, чтобы критичные уязвимости не попали в продуктив.

Надо очень нуждается в работе, чтобы пойти спецом по ИБ в подчинение  к ИТ.

Коллеги, давайте не будем холиварить, если мы продолжим видеть утечки и сливы СДЭКа на каналах интересных или дальше видеть продолжение истории с уходом номеров разным "КЦ Сбербанка" - то значит как ведром нежизнеспособным концепция как была так и осталась.

Как говорится - история нас рассудит

можно прочитать про разницу в институте внутренних аудиторов, вот их материалы https://na.theiia.org/iiarf/Pages/Latest-Research-and-Products.aspx

А причем тут "разработка" и "ИТ"?

Спасибо, прочитаю

Ну да! Внутренний аудит это третья линия контроля. А СВК - вторая )

Андрей, не начинай еще холивар)))

Договорились! @AlexBodryk прошу прощения, если что не так )