COBIT 4.1 co nowego
-
- Radosław Kaczorek,
- 04.12.2007
Ocena dojrzałości
W świecie opartym na technologii, która często tworzy przewagę konkurencyjną, menedżerowie zastanawiają się nad tym, jak zarządzana przez nich firma wypada wobec konkurencji, czy w porównaniu z innymi firmami informatyka ma właściwe miejsce, w jaki sposób ją usprawnić i przenieść firmę na wyższy poziom dojrzałości.
Odpowiedzi na te pytania dostarcza pomiar dojrzałości organizacji i procesów zarządzania w IT, który jest szczegółowo opisany w standardzie COBIT. Z wykorzystaniem modelu w nim zawartego ocenę dojrzałości przeprowadzić mogą menedżerowie samodzielnie lub z pomocą audytora, który zobiektywizuje zaobserwowany stan rzeczy.
Model oceny dojrzałości nie tylko pozwala na określenie poziomu, na jakim znajduje się organizacja i poszczególne procesy zarządzania, ale również określić kierunek zmian i nadanie priorytetów poszczególnym działaniom. Pomóc w tym mogą opisy wszystkich poziomów dojrzałości dla każdego z 34 procesów zarządzania IT udokumentowanych w COBIT. Dzięki temu odpowiedź na pytanie, jak usprawnić proces i poprawić jego jakość, jest na wyciągnięcie ręki.
Dla audytorów i menedżerów
Biblioteka COBIT niesie nieocenioną pomoc nie tylko audytorom, ale również menedżerom. Audytorzy IT znajdą w niej zarówno informacje jak badać poszczególne obszary IT w organizacji, jak i wytyczne do dokumentowania swojej pracy oraz raportowania wyników. Wiedza ta jest równie nieoceniona dla menedżerów IT, którzy rozumiejąc oczekiwania audytora mogą się odpowiednio przygotować i w pełni skorzystać z audytu i jego rezultatów. Ma to szczególne znaczenie dla jakości współpracy pomiędzy audytorem i audytowanym.
Dokument "IT Assurance Guide: Using COBIT" zawiera szczegółowy przewodnik opisujący etapy audytu, w tym planowanie, określenie zakresu, wykonanie audytu oraz raportowanie jego wyników. Stanowi on nieocenioną pomoc dla każdego, kto szuka odpowiedzi na pytania dotyczące obowiązujących w audycie zasad i technik audytowania.
Koniec ze stereotypami
COBIT w wersji 4.1 przełamuje stereotyp, że jest to dokument przeznaczony wyłącznie dla audytorów. Po lekturze najnowszej wersji COBIT jasny staje się fakt, że jest to przede wszystkim standard zarządzania. Co więcej, adresowany jest on nie tylko do menedżerów IT, ale również do przedstawicieli biznesu, dla których istotna jest biznesowa ocena funkcjonowania informatyki w organizacji oraz wpływ wykorzystywanych technologii na wartość przedsiębiorstwa. Zmiany wprowadzone do standardu na przestrzeni ostatnich lat przeniosły go na zupełnie inny poziom, dzięki czemu znajduje on uznanie menedżerów każdego szczebla zarządzania. Istnienie takiego standardu ma niezwykle istotne znaczenie, tym bardziej że wiele polskich firm podejmuje obecnie wysiłek wprowadzenia zasad ładu korporacyjnego i IT. Będzie to znacznie łatwiejsze, gdy skorzystają z podręcznika IT Governance, jakim jest COBIT. Tym bardziej że jest dostępny nieodpłatnie nahttp://www.isaca.org .
Autor jest prezesem polskiego oddziału ISACA. Posiada uprawnienia certyfikowanego specjalisty ds. bezpieczeństwa informacji (CISSP), certyfikowanego audytora systemów informatycznych (CISA) oraz certyfikowanego audytora wewnętrznego (CIA).
Poszczególne domeny w modelu COBIT oraz pogrupowane w nich procesy zarządzania odnoszą się do kwestii, z którymi kierownictwo każdej organizacji spotyka się w trakcie codziennej praktyki zarządzania IT.
1. Planowaniei organizacja
Domena obejmuje strategię i taktykę zarządzania IT oraz określenie sposobu, w jaki IT może przyczynić się do osiągnięcia celów biznesowych. Realizacja wizji strategicznej wymaga podejmowania działań zaplanowanych i odpowiednio komunikowanych, jak również zbudowania odpowiedniej infrastruktury wspierającej te działania. Typowe kwestie, które rozwiązują procesy tej domeny, to:
- Czy strategia biznesowa i IT są zgodne?
- Czy organizacja optymalnie wykorzystuje dostępne zasoby?
- Czy każdy w organizacji rozumie cele IT w taki sam sposób?
- Czy ryzyka związane z technologią są odpowiednio zarządzane?
- Czy jakość systemów IT jest odpowiednia do potrzeb biznesowych?
2. Nabycie i wdrożenie
Realizacja założonej strategii IT zależy od identyfikacji odpowiednich rozwiązań technologicznych, ich stworzenia lub nabycia oraz integracji z istniejącymi procesami biznesowymi. Przy tym nieustanne zmiany biznesowe wymagają umiejętnego utrzymania istniejących rozwiązań. Typowe kwestie, które rozwiązują procesy tej domeny, to:
- Czy nowe projekty dostarczą rozwiązań, które spełnią wymagania biznesowe?
- Czy nowe projekty zostaną ukończone na czas i w ramach założonego budżetu?
- Czy nowe systemy będą funkcjonować prawidłowo po wdrożeniu?
- Czy zmiany w systemach nie zakłócą bieżących procesów biznesowych?
3. Eksploatacja i wsparcie
Domena ta obejmuje procesy dostarczenia wymaganych przez biznes usług i ich wsparcia przez IT, w tym zarządzanie poziomem usług, bezpieczeństwem informacji i ciągłością działania, danymi i infrastrukturą informatyczną. Typowe kwestie, które rozwiązują procesy tej domeny, to:
- Czy usługi IT są dostarczane zgodnie z priorytetami biznesowymi?
- Czy koszty IT są zoptymalizowane?
- Czy pracownicy mogą korzystać z systemów produktywnie i bezpiecznie?
- Czy bezpieczeństwo informacji jest wspierane odpowiednim poziomem poufności, integralności i dostępności?
4. Monitorowanie
Wszystkie procesy zarządzania powinny być poddane okresowej ocenie pod kątem ich jakości i zgodności z założeniami. Domena koncentruje się na zarządzaniu wydajnością, monitorowaniu systemu kontroli wewnętrznej, zgodności z przepisami prawa i nadzorze. Typowe kwestie, które rozwiązują procesy tej domeny, to:
- Czy wydajność IT jest monitorowana, zanim będzie za późno?
- Czy kierownictwo zapewnia skuteczność i efektywność systemu kontroli wewnętrznej?
- Czy wydajność IT można odnieść do założonych celów biznesowych?
