Prace takie podjęła m.in. ISACA (Information Systems Audit and Control Association), tworząc mapę translacji wymogów ustawy na jeden z najobszerniejszych standardów procesów IT świata, znany pod nazwą COBIT (Control Objectives for Information and related Technology). Został on stworzony przez IT Governence Institute, fundację powołaną przez ISACA, w celu prowadzenia prac badawczych i standaryzacyjnych w obszarze zarządzania i kontroli systemów informatycznych.

Celem działań wymienionych na wstępie jest zapewnienie identycznego ładu w obszarze systemów IT, przez analogię określanych jako "IT Governence". Technologia IT zawsze była i jest niesłychanie złożona i wielowarstwowa, a stopień jej komplikacji nieustannie rośnie. Na to nakładają się: presja użytkownika na szybkie wdrażanie coraz nowszej funkcjonalności, obniżenie kosztów IT oraz skrócenie czasu dochodzenia do nowych rozwiązań. W tej sytuacji jedynie działanie oparte na uznanych standardach może przynieść pozytywny efekt końcowy w postaci wdrożenia poprawnie działającego, dającego się rozbudować i zmodyfikować bezpiecznego rozwiązania.

Do objęcia całość

Powstaje pytanie: Po co tak naprawdę stosować standardy? Czy chodzi o zapewnienie powtarzalności procesu, czy też o coś więcej? Odpowiedź jest dość prosta, choć zawiera kilka elementów. Po pierwsze, stosując dobry standard, mamy gwarancję pokrycia wymaganiami całego obszaru. Jest bardzo istotne, aby nie opierać się na skądinąd dobrych cząstkowo standardach, lecz pozostawiających pewne obszary nieobjęte jego działaniem. Po drugie, standard zapewnia podobne (bądź identyczne) traktowanie procesów i obiektów znajdujących się na tym samym stopniu ogólności. Na trzecim miejscu postawiłbym dopiero zapewnienie powtarzalności procesów w rozumieniu ich algorytmizacji. Oczywiście zbudowanie kompletnego, spójnego w rozumieniu przedstawionym powyżej i powszechnie akceptowanego w świecie standardu jest ogromnym wyzwaniem i dodajmy, nigdy niekończącym się, przede wszystkim w obszarze dolnych warstw standardu (zawierających szczegółowe wytyczne) odnoszących się do szybko zmieniającej się technologii.

Mówiąc o stosowaniu standardów w świecie IT, nie powinniśmy tracić z oczu celu tego działania, a więc zapewnienia "Ładu Korporacyjnego" poprzez (umownie nazwany) "Ład IT" osiągany przez przestrzeganie standardów. Pamiętać też trzeba, że niektóre standardy przenikają się wzajemnie bądź też tworzą szkielet dla innej serii standardów. Tak też stało się w przypadku COBIT-u, gdzie Capability Maturity Model (CMM), stworzony przede wszystkim z myślą o tworzeniu oprogramowania, stał się odniesieniem do oceny dojrzałości wszystkich procesów (34) opisanych w czterech tzw. domenach COBIT-u. Wynika stąd konieczność niezwykle przemyślanego wyboru podstawowego standardu w danej korporacji i jeśli w obszarze IT ma działać więcej niż jeden standard, konieczność wykonania wzajemnego mapowania. Orientacyjną mapę prezentującą wzajemne lokowanie się standardów w przestrzeni wyznaczonej osiami ich ogólności (rozumianej jako obszaru, który pokrywa) oraz technicznej orientacji pokazano na rys. 1.

Trzeba jednak pamiętać, że nie są to standardy równoważne, pokrywające identyczny obszar procesów IT i jak wspomniano wcześniej, niektóre z nich stanowią szkielet dla innych.

W tym miejscu trzeba wspomnieć o drugim standardzie generycznym dla COBIT-u, a mianowicie o tzw. Karcie Wyników, zwanej często Zrównoważoną. Ta seria standardów pochodzi z obszaru biznesowego i zorientowana jest na ocenę punktową procesu oraz sterowanie zmianami prowadzącymi do osiągania coraz większej efektywności firmy. Jest ona jednocześnie narzędziem pozwalającym przekładać generalne cele firmy na coraz bardziej dekomponowane zadania, w sposób zapewniający ich działanie we właściwym kierunku. Z tej metodologii (bo trudno nazwać ją standardem) pochodzi m.in. bardzo ważny wskaźnik wykorzystywany w standardzie COBIT, a mianowicie Key Performance Indicator (wskaźnik jakości procesu), mówiący "jak dobrze" realizowany jest badany proces w stosunku do wymogów przyjętych w standardzie.

Mówiąc o modelach generycznych, użytych do budowy standardu COBIT, trzeba koniecznie wspomnieć o Zasadach Kontrolnych (Control Framework) zdefiniowanych przez COSO, organizację wskazaną bezpośrednio przez SEC w kontekście szeroko akceptowanego standardu mającego za sobą publiczną dyskusję. Pięć podstawowych zasad (dotyczących szeroko zdefiniowanej kontroli) podano poniżej:

1. Kontrola środowiska (Control Environment)

2. Ocena ryzyka (Risk Assessment)

3. Kontrola działań (Control Activity)

4. Informacja i komunikacja (Information and Communication)

5. Monitorowanie (Monitoring)

Ramy te stały się kolejnym wymiarem uwzględnionym przy konstrukcji COBIT-u, oczywiście z orientacją na procesy zidentyfikowane w świecie IT.

To wszystko powoduje, że w USA uważa się standard COBIT za szczególnie predestynowany do wsparcia wszelkich działań prowadzących do wypełnienia wymogów ustawy Sarabanes-Oxley. Daje on bowiem nie tylko szczegółowe wskazania, jakie procesy powinny być zarządzane w obszarze IT, pokrywając go w sposób kompletny, ale schodząc w głąb tego standardu do poziomu Celów Kontrolnych wskazuje je precyzyjnie w postaci 318 obiektów oraz daje metodologię ich badania. Jest przy tym zgodny ze wskazaniami przywołanych przez ustawę instytucji publicznych i prywatnych powołanych w USA do nadzorowania i wspierania Ładu Korporacyjnego, takich jak SEC czy COSO. Wspomniany wcześniej IT Governance Institute w swoim opracowaniu przedstawionym w postaci dokumentu dyskusyjnego IT Control Objectives for Sarabanes-Oxley wskazuje, że po dokładnej analizie pokrycia przez COBIT wymogów ustawy Sarabanes-Oxley odnoszących się do raportowania finansowego (i jego kontroli) można wybrać 27 procesów (z 34) zgrupowanych w 4 domenach (wszystkich) i 136 celów kontrolnych (z 318) tego standardu właściwych do zapewnienia zgodności z powyższym aktem prawnym.

Należy pamiętać, że celem tych działań jest uzyskanie szeroko pojętej jakości, poczynając od wytwarzania drobnych elementów czy świadczenia usług klientom, kończąc na wysokiej jakości spółek (w rozumieniu ich rzetelnej wartości na rynku publicznym).