Wydanie trzecie Wytyczne Zarz„dzania - Audyt.com · COBIT ﬁ Wydanie trzecie ... international set of generally accepted information technology control objectives for day-to-day

COBIT®

Wydanie trzecie

WytyczneZarz¹dzania

Kwiecieñ 2001

Released by the COBIT Steering Committee and the IT Governance Institute TM

The COBIT Mission:

To research, develop, publicise and promote an authoritative, up-to-date,

international set of generally accepted information technology control objectives

for day-to-day use by business managers and auditors.

GOVERNANCE

INSTITUTE™

The Information systems Audit and

Control Association jest wiod¹c¹,

globaln¹, profesjonaln¹ organizacj¹

reprezentuj¹c¹ ludzi z ponad 100

krajów i obejmuj¹c¹ wszystkie szcze-

ble technologii informatycznej: za-

rz¹dczy, kierowniczy-�redni i ni¿szy

oraz pracowniczy. Stowarzyszenie

ma wyj¹tkow¹ pozycjê, by pe³niæ

rolê centralnego, koordynuj¹cego

�ród³a standardów praktyki kontroli

IT na ca³ym �wiecie. Jego strategicz-

ne powi¹zania z innymi grupami,

zajmuj¹cymi siê finansami, rachun-

kowo�ci¹, audytem i profesj¹ IT, za-

pewniaj¹ niezwykle wysoki poziom

integracji i zaanga¿owania w³a�ci-

cieli procesów biznesowych.

Programy i us³ugi

Stowarzyszenia

Programy i us³ugi Stowarzyszenia

wyró¿niaj¹ siê dziêki ustaleniu naj-

wy¿szych poziomów wymagañ wobec

certyfikacji, standardów, profesjo-

nalnej edukacji i publikacji technicz-

nych.

l Program certyfikacyjny (the

Certified Information Sys-

tems Auditor) jest jedynym

globalnie uznawanym przez

�rodowiska zajmuj¹ce siê

audytem i kontrol¹ IT,

l Dzia³ania standaryzacyjne

ustalaj¹ wzorce jako�ci, do

których s¹ odnoszone dzia³a-

nia audytu i kontroli IT.

l Profesjonalne programy edu-

kacyjne oferuj¹ odbywaj¹ce

siê na piêciu kontynentach

konferencje techniczne i po-

�wiêcone zarz¹dzaniu, oraz

seminaria na ca³ym �wiecie,

aby wszêdzie umo¿liwiæ profe-

sjonalistom uzyskanie ci¹g³ego

szkoleni na wysokim poziomie.

l W zakresie publikacji technicz-

nych dostarczane s¹ referencje

i profesjonalne materia³y, s³u-

¿¹ce powiêkszaniu wyboru do-

stêpnych programów i us³ug.

Information Systems Audit and Control

Association zosta³a utworzona w 1969

roku, aby spe³niæ unikalne, ró¿norodne

i bardzo techniczne potrzeby rozrasta-

j¹cego siê obszaru IT. W przemy�le, w

którym postêp mierzy siê w nanosekun-

dach, ISACA wystartowa³a sprawnie i

szybko, aby po³¹czyæ potrzeby miêdzy-

narodowej spo³eczno�ci biznesowej i

profesji kontroli IT.

Wiêcej informacjiAby otrzymaæ dodatkowe infor-macje mo¿na zadzwoniæ podnumer+1 847 253 1545,wys³aæ e-mail ([email protected]) lub odwiedziæ nasz¹stronê internetow¹ (www.isa-ca.or)

1. W Polsce ukaza³a siê publikacja

�Kontrola wewnêtrzna� wydana przez

Fundacjê Rozwoju Rachunkowo�ci,

która zawiera t³umaczenie COSO (od

t³umacza)

2. mo¿e mieæ wp³yw na spe³nienie wy-

magania (przyp. t³um.)

INFORMATION SYSTEMS AUDIT AND

CONTROL ASSOCIATION

Pojedyncze, miêdzynarodowe �ród³o informacji do kontroli technologii informatycznej

ARGENTYNA

ARABIA SAUDYJSKA

ARUBA

AUSTRALIA

AUSTRIA

BAHAMA

BAHRAIN

BANGLADESZ

BARBADOS

BELGIA

BERMUDY

BOLIWIA

BOTSWANA

BRAZYLIA

BRUNEI

CHILE

CHINY

CHORWCJA

CURACAO

CYPR

CZECHY

DANIA

DOMINIKANA

EKWADOR

EGIPT

ESTONIA

FILIPINY

FINLANDIA

FRANCJA

GHANA

GRECJA

GUAM

GWATEMALA

HISZPANIA

HOLANDIA

HONDURAS

HONG KONG

INDIE

INDONEZJA

IRLANDIA

ISLANDIA

IZRAEL

JAMAJKA

JAPONIA

JEMEN

JORDANIA

KANADA

KATAR

KENIA

KOLUMBIA

KOREA

KOSTARYKA

KUWEJT

LIBAN

LICHTENSTEINN

LITWA

LUKSEMBURG

£OTWA

MALAWI

MALEZJA

MALTA

MEKSYK

NIEMCY

NIGERIA

NORWEGIA

NOWA GWINEA

NOWA ZELANDIA

OMAN

PAKISTAN

PANAMA

PERU

POLSKA

PORTUGALIA

ROSJA

RPASAIPAN

SESZELE

SINGAPUR

S£OWACJA

S£OWENIA

SRI LANKA

ST. KITTS

ST. LUCIA

SYRIA

SZKOCJA

SZWAJCARIA

SZWECJA

TAJLANDIA

TAJWAN

TANZANIA

TASMANIA

TRYNIDAD I TOBAGO

TURCJA

UGANDA

URUGWAJ

USAWALIA

WENEZUELA

WÊGRY

WIELKA BRYTANIA

WIETNAM

W£OCHY

WYBRZE¯E KO�CI S£ONIOWEJ

WYSPY FAEROE

ZAMBIA

ZIMBABWE

ZJEDNOCZONE EMIRATY

ARABSKIE

WYTYCZNE ZARZ¥DZANIA

SPIS TRE�CIPodziêkowania 4-5

Podsumwanie dla Kierownictwa 7-8

Charakterystyka Ogólna 9-10

Struktura COBIT

Przygotowanie Podstaw 11-13Budowa COBIT 14-18Tabela Podsumowuj¹ca 19Przewodnik U¿ywania Struktury COBIT i Celów Kontrolnych 20-21Ogólne Cele Kontrolne 22-55

Dodatki

I. Opis Projektu COBIT 56-57II. Primary Reference Material 58-59III. Glossary of Terms 60

COBIT

4


5

PODSUMOWANIE DLA KIEROWNICTWA

W jaki sposób poddajemy kontroli Technologiê Informacyjn¹ (ang. IT - Information Technology), abydostarcza³a tych informacji, których potrzebuje organizacja? Jak zarz¹dzamy ryzykiem i chronimyinfrastrukturê, od której jeste�my zale¿ni? Podobnie jak wiele innych zagadnieñ, z którymi spotykasiê kierownictwo, te szeroko ujête strategiczne problemy generuj¹ nastêpuj¹ce tradycyjne pytania, naktóre bêdziemy dostarczaæ odpowiedzi:

l Co jest zagadnieniem/problemem?l Jakie jest rozwi¹zanie?l Z czego siê sk³ada?l Czy bêdzie to dzia³aæ?l Jak ja to zrobiê?

Podej�cie do tych zagadnieñ zosta³o podane w COBIT - Strukturze (COBIT Framework). COBIT oznaczaCele Kontrolne dla Technologii Informacyjnej i Technologii zwi¹zanych (ang. Control Objectives forInformation and related Technology) i jest otwartym standardem kontroli technologii informacyjnej,rozwiniêtym i promowanym przez IT Governance Institute. Konstrukcja ta identyfikuje 34 procesy IT,ogólne podej�cie do kontroli tych procesów, a tak¿e 318 szczegó³owych celów kontrolnych i wskazó-wek dla audytorów dla oceny tych procesów. Dostarcza on daj¹cy siê powszechnie stosowaæ i zaak-ceptowany standard dobrych praktyk bezpieczeñstwa i kontroli IT dla wsparcia potrzeb kierownictwaw okre�laniu i monitorowaniu w³a�ciwego poziomu bezpieczeñstwa i kontroli IT w ich organizacjach.

IT Governance Institute prowadzi³ dalsze badania na ten temat we wspó³pracy ze �wiatowymi eksper-tami, analitykami i pracownikami naukowymi. Rezultatem jest zdefiniowanie Wytycznych Zarz¹dza-nia (ang. Management Guidelines), sk³adaj¹cych siê z Modeli Dojrza³o�ci, Krytycznych CzynnikówSukcesu, Kluczowych Wska�ników Celu i Kluczowych Wska�ników Wydajno�ci. Dostarczaj¹ oneznacz¹co poprawionej konstrukcji, odpowiadaj¹cej potrzebom kierownictwa dotycz¹cym kontroli imo¿liwo�ci pomiaru IT, dziêki dostarczeniu narzêdzi do oceny i pomiaru �rodowiska IT organizacji wporównaniu do 34 procesów IT, które identyfikuje COBIT.

W IT i sieciach komputerowych mamy wiele zmian , które podkre�laj¹ potrzebê lepszego zarz¹dzaniazwi¹zanymi z IT ryzykami. Zale¿no�æ od informacji elektronicznej i systemów IT jest zasadnicza dlawsparcia krytycznych systemów biznesowych. Osi¹gaj¹cy sukcesy biznes potrzebuje lepszego zarz¹-dzania skomplikowan¹ technologi¹ obecn¹ w ca³ej organizacji, aby odpowiadaæ szybko i bezpieczniena potrzeby biznesowe. Dodatkowo, �rodowisko regulacji prawnych wymaga �ci�lejszej kontroliinformacji. To z kolei jest wywo³ywane przez zwiêkszaj¹c¹ siê liczbê ujawnieñ awarii systemówinformatycznych oraz oszustw elektronicznych. Zarz¹dzanie zwi¹zanymi z IT ryzykami jest obecnierozumiane jako kluczowa czê�æ zarz¹dzania firm¹.

W ramach zarz¹dzania firm¹, zarz¹dzanie IT w osi¹ganiu celów organizacji staje siê coraz bardziejwidoczne jako warto�æ dodana przy jednoczesnym równowa¿eniu ryzyka w stosunku do zwrotu z

COBIT

6

inwestycji dla IT i jej procesów. Zarz¹dzanie IT jest integraln¹ czê�ci¹ sukcesu zarz¹dzania firm¹ przezzapewnienie sprawnych i skutecznych oraz mierzalnych usprawnieñ w powi¹zanych procesach firmy.Zarz¹dzanie IT dostarcza struktury ³¹cz¹cej procesy IT, zasoby IT i informacjê ze strategi¹ i celamifirmy. Co wiêcej, zarz¹dzanie IT integruje i formalizuje dobre (lub najlepsze) praktyki w planowaniu iorganizowaniu, nabywaniu i wdra¿aniu, dostarczaniu i wspieraniu oraz monitorowaniu wydajno�ci IT,aby zapewniæ, ¿e technologia informacyjna firmy wspiera cele biznesowe. Tak wiêc zarz¹dzanie ITpozwala firmie na wykorzystanie w pe³ni swoich zasobów informacyjnych, a przez to na maksymalizo-wanie zysków, wykorzystywanie sprzyjaj¹cych okoliczno�ci i osi¹ganie przewagi konkurencyjnej.

Wraz z rosn¹c¹ liczb¹ wzajemnych po³¹czeñ i zale¿no�ci¹ od IT naszej coraz bardziej globalnej ielektronicznej gospodarki, ca³o�ciowe zarz¹dzanie ryzykiem i zabezpieczanie siê przed nim jestzale¿ne od okre�lonych praktyk zarz¹dzania. W naszych z³o¿onych �rodowiskach, kierownictwonieustannie poszukuje skondensowanej informacji w odpowiednim czasie, aby podejmowaæ trudnedecyzje dotycz¹ce ryzyka i kontroli, w sposób szybki i koñcz¹cy siê sukcesem. Poni¿ej podano kilkatradycyjnych pytañ oraz zestaw narzêdzi do zarz¹dzania informacj¹, u¿ywany w celu znalezieniaodpowiedzi:

�Tablice przyrz¹dów� potrzebuj¹ jednak¿e wska�ników, karty wyników potrzebuj¹ miar a badaniaorównawcze potrzebuj¹ skali porównawczej. Dostarczenie tych elementów dla zarz¹dzania informacj¹by³o zasadniczym celem opracowania Wytycznych Zarz¹dzania (Management Guidelines) w ramachstandardu COBIT.

Pytania Kierownictwa

W jaki sposób odpowiedzialni mened¿erowie�utrzymuj¹ statek na kursie�?

TABLICE PRZYRZ¥DÓW

Jak osi¹gaæ rezultaty, które bêd¹satysfakcjonuj¹ce dla jak najwiêkszej

KARTY WYNIKÓW

grupy naszych udzia³owców?

W jaki sposób dostosowywaæ na czasorganizacjê do trendów i nowych wydarzeñ

BADANIA PORÓWNAWCZE

(rozwi¹zañ) w otoczeniu przedsiêbiorstwa?


7

Podstawow¹ potrzeb¹ ka¿dej organizacji jest zrozumienie stanu w³asnych systemów IT i zdecydowa-nie, jakie bezpieczeñstwo i kontrolê powinny one zapewniaæ. ¯aden z aspektów tego zagadnienia -zrozumienie i decydowanie o wymaganym poziomie kontroli - nie jest prosty. Uzyskanie obiektywne-go spojrzenia na poziom w³asnej organizacji nie jest ³atwe. Co powinno byæ mierzone i w jaki spo-sób? Dodatkowo, oprócz potrzeby zmierzenia w którym miejscu organizacja siê znajduje, wa¿na jestnieustanna poprawa w obszarach bezpieczeñstwa i kontroli IT oraz potrzeba posiadania zestawunarzêdzi do monitorowania tej poprawy. Decyzja co do w³a�ciwego poziomu jest równie trudna.Kierownicy wy¿szego szczebla korporacji oraz organizacji publicznych proszeni s¹ czêsto o zastano-wienie siê na przypadkiem biznesowym (ang. bussiness case) dla nak³adów zwi¹zanych z kontrol¹infrastruktury informatycznej. Chocia¿ niektórzy sprzeczali by siê, ¿e nie jest to dobre, to wszyscymusz¹, od czasu do czasu, zadaæ sobie pytanie:

�Jak daleko powinni�my pój�æ, i czy koszt jest uzasadniony korzy�ci¹?�

Odpowiedzi dostarczaj¹ Wytyczne Zarz¹dzania COBIT (Management Guidelines), które s¹ sformu³o-wane ramowo (w sposób ogólny) i s¹ zorientowane na dzia³ania, w celu odniesienia siê do nastêpuj¹-cych rodzajów kwestii zaprz¹taj¹cych kierownictwo:

Odpowiedzi dostarczaj¹ Wytyczne Zarz¹dzania COBIT (Management Guidelines), które s¹ odpowied-nio ogólne i zorientowane na dzia³ania, w celu odniesienia siê do nastêpuj¹cych rodzajów kwestiizaprz¹taj¹cych kierownictwo:

l Pomiar wydajno�ci - jakie s¹ wska�niki dobrej wydajno�ci?l Zakre�lenie kontroli IT - Co jest wa¿ne? Jakie s¹ Krytyczne Czynniki Sukcesu dla kontroli?l �wiadomo�æ - Jakie jest ryzyko nie osi¹gniêcia naszych celów?l Badania porównawcze - Co robi¹ inni? Jak mierzyæ i porównywaæ?

Odpowiedzi¹ na te wymagania dotycz¹ce okre�lenia i monitorowania odpowiedniego poziomu bez-pieczeñstwa i kontroli IT jest zdefiniowanie okre�lonych:

l Badañ porównawczych (Benchmarking) praktyk kontroli IT (wyra¿onych jako ModeleDojrza³o�ci)

l Wska�ników Wydajno�ci procesów IT - dotycz¹ce ich wyników i wydajno�cil Krytycznych Czynników Sukcesu w celu wziêcia tych procesów pod kontrolê

Wytyczne Zarz¹dzania s¹ spójne i zbudowane na istniej¹cych ju¿ czê�ciach COBIT: Strukturze (Frame-work), Celach Kontrolnych (Control Objectives) i Wytycznych Audytu (Audit Guidelines). Dodatkowoaby pomóc w skupieniu siê na zarz¹dzaniu wydajno�ci¹, zosta³y zastosowane Zrównowa¿one KartyWyników Biznesowych. Pomaga³y one w okre�laniu Kluczowych Wska�ników Celu, aby identyfiko-waæ i mierzyæ wyniki procesów oraz w okre�laniu Kluczowych Wska�ników Wydajno�ci, aby oce-niaæ, jak dobrze wykonywane s¹ procesy poprzez mierzenie czynników umo¿liwiaj¹cych (enablers)proces. W naszym �rodowisku zdominowanym przez us³ugi informatyczne, IT sta³a siê g³ównymczynnikiem umo¿liwiaj¹cym prowadzenie biznesu. Tak wiêc relacja miêdzy celami biznesowymi

COBIT

8

wraz z ich miarami a IT z jej celami i miarami jest bardzo wa¿na i mo¿e byæ zobrazowana w nastêpu-j¹cy sposób:

Zrównowa¿ona KartaWyników Biznesowych

TechnologiaInformacyjna (IT)

pomiary(wyników)

pomiary(wydajnoœci)

Mówi¹c �prostymi s³owami�, miary te towarzyszyæ bêd¹ kierownictwu w monitorowaniu ich organi-zacji IT, odpowiadaj¹c na nastêpuj¹ce pytania:

1 Co jest interesuj¹c¹ (zaprz¹taj¹c¹) kwesti¹ dla kierownictwa?Upewnienie siê, ¿e potrzeby firmy s¹ spe³niane.

2. Jak jest to mierzone?Przy pomocy Zrównowa¿onej Karty Wyników Biznesowych jako Kluczowy Wska�nik Celu,reprezentuj¹cy wynik procesu biznesowego.

3. Co jest kwesti¹ interesuj¹c¹ (zaprz¹taj¹c¹) dla firmy?To, czy proces IT dostarcza swojej firmie odpowiedniej informacji w w³a�ciwym (na czas)momencie, umo¿liwiaj¹c spe³nienie potrzeb biznesowych. To jest Krytyczny Czynnik Sukcesufirmy.

4. Jak jest to mierzone?Za pomoc¹ zrównowa¿onej karty wyników IT, jako Kluczowy Wska�nik Celu reprezentuj¹cywynik IT, który mówi o tym, ¿e informacja jest dostarczona i spe³nia odpowiednie kryteria(skuteczno�æ, sprawno�æ, poufno�æ, integralno�æ, dostêpno�æ, zgodno�æ i rzetelno�æ)

5. Co jeszcze powinno byæ mierzone?Czy na wynik pozytywnie wp³ywaj¹ Krytyczne Czynniki Sukcesu, które powinny byæ mierzo-ne jako Kluczowe Wska�niki Wydajno�ci tego, jak dobrze funkcjonuje IT.


9

MODELE DOJRZA£O�CI kontroli procesów IT sk³adaj¹ siê z rozwiniêcia metody punktacji, woparciu o któr¹ organizacja mo¿e sklasyfikowaæ siê w skali od 0 do 5 (od procesu nieistniej¹cego dozoptymalizowanego). Podej�cie to jest oparte na Modelu Dojrza³o�ci zdefiniowanym prze SoftwareEngineering Institute dla okre�lenia dojrza³o�ci procesu rozwoju oprogramowania. W stosunku dotych poziomów, okre�lonych dla ka¿dego z 34 procesów COBIT, kierownictwo mo¿e oznaczyæ:

l Obecny status organizacji - pozycjê, na której organizacja siê dzisiaj znajdujel Obecny status (najlepszych organizacji) bran¿y - dla porównanial Obecny status standardów miêdzynarodowych - dla dodatkowego porównanial Strategiczny kierunek rozwoju organizacji - miejsce, w którym organizacja chce siê znale�æ

Nie-istniej¹cy

Pocz¹tkuj¹cy

Powtarzalny

ZdefiniowanyZarz¹dzany

Zoptymalizowany0 1 2 3 4 5

LEGENDA SYMBOLI

Bie¿¹cy status firmy 0 - Nieistniej¹cy - Zarz¹dzanie procesami nie jest w ogóle stosowane1 - Pocz¹tkuj¹cy - Procesy pojawiaj¹ siê ad hoc i s¹ niezorganizowane2 - Powtarzalny - Procesy powtarzaj¹ okreœlony cykl3 - Zdefiniowany - Procesy s¹ udokumentowane i komunikowane4 - Zarz¹dzany - Procesy s¹ monitorowane i mierzone5 - Zoptymalizowany - Stosowane s¹ najlepsze praktyki w zautomatyzowany sposób

LEGENDA SKALI OCEN

Standardy miêdzynarodowe

Najlepsza praktyka bran¿owa

Strategia firmy

KRYTYCZNE CZYNNIKI SUKCESU definiuj¹ najwa¿niejsze zagadnienia lub dzia³ania dlakierownictwa, aby osi¹gn¹æ kontrolê nad i w ramach procesów IT. Musz¹ one byæ zorientowanymi nazarz¹dzanie wskazówkami implementacji i identyfikowaæ najwa¿niejsze rzeczy do zrobienia, w ujêciustrategicznym, technicznym, organizacyjnym lub proceduralnym.

KLUCZOWE WSKA�NIKI CELU definiuj¹ miary mówi¹ce kierownictwu, czy proces IT spe³ni³wymagania biznesowe, zwykle wyra¿one w kategoriach kryteriów informacyjnych:

l Dostêpno�ci informacji potrzebnej dla wsparcia potrzeb biznesowychl Braku ryzyka utraty integralno�ci i poufno�cil Efektywno�ci kosztowej procesów i dzia³añl Potwierdzenia rzetelno�ci, wydajno�ci i zgodno�ci

KLUCZOWE WSKA�NIKI WYDAJNO�CI definiuj¹ce miary okre�laj¹ce jak dobrze dzia³aproces IT, aby umo¿liwiæ osi¹gniêcie celu; s¹ wiod¹cymi wska�nikami mówi¹cymi o tym, czy jest

COBIT

10

prawdopodobne, ¿e cel bêdzie osi¹gniêty lub nie; s¹ dobrymi wska�nikami zdolno�ci wytwórczych,praktyk i umiejêtno�ci.

W Wytycznych Zarz¹dzania, Krytyczne Wska�niki Sukcesu, Kluczowe Wska�niki Celu i KluczoweWska�niki Wydajno�ci s¹ krótkie i zwarte, uzupe³niaj¹c ogólne cele kontrolne przedstawione w COBITStrukturze (zob. dodatek II), który mówi o tym, ¿e IT pomaga biznesowi dostarczaj¹c informacji,których biznes potrzebuje.

Podsumowuj¹c, opracowanie to koncentruje siê na definicji wytycznych dla kierownictwa, zarównozorientowanych na proces jak i ogólnych, wymaganych dla prowadzenia kontroli nad IT i jej procesa-mi firmy:

l MODELE DOJRZA£O�CI dla dokonywania strategicznych wyborów i badañ porównaw-czych

l KRYTYCZNE CZYNNIKI SUKCESU dla ustanowienia kontroli nad tymi procesamil KLUCZOWE WSKA�NIKI CELU dla monitorowania osi¹gania celów przez procesy ITl KLUCZOWE WSKA�NIKI WYDAJNO�CI dla monitorowania wydajno�ci ka¿dego

procesu IT

W wieku poszerzaj¹cych siê gospodarki elektronicznej i zale¿no�ci od technologii, organizacja musiw sposób widoczny podnie�æ poziom kontroli i bezpieczeñstwa. Ka¿da organizacja musi zrozumieæw³asn¹ wydajno�æ i musi mierzyæ jej postêp. Badania porównawcze i postêp w mierzeniu w stosunkudo konkurentów oraz strategia firmy s¹ jedynymi drogami do osi¹gniêcia konkurencyjnego poziomubezpieczeñstwa i kontroli IT. Wytyczne Zarz¹dzania dostarczaj¹ kierownictwu praktyczny przewod-nik po modelach dojrza³o�ci, praktycznych i krytycznych czynnikach sukcesu oraz sugerowanychmiarach wydajno�ci, w celu odpowiedzi na nieustaj¹ce pytanie:

�Jaki jest w³a�ciwy poziom kontroli dla mojego IT, taki który pomaga moimcelom organizacyjnym�


11

STRUKTURA (FRAMEWORK)

1. MODELE DOJRZA£O�CI

Kierownicy wy¿szego szczebla korporacji i organizacji publicznych proszeni s¹ czêsto o zastanowie-nie siê nad przypadkiem biznesowym (ang. bussiness case) dotycz¹cym nak³adów zwi¹zanych zkontrol¹ infrastruktury informatycznej. Kilku w tym momencie bêdzie przekonywaæ, ¿e nie jest torzecz¹ odpowiedni¹, natomiast wszyscy musz¹ zadaæ sobie pytanie:

�Jak daleko powinni�my pój�æ i czy koszt jest uzasadniony korzy�ci¹?�

Aby pomóc w odpowiedzi na to pytanie, czêsto zadawane s¹ pytania zwi¹zane z podstawowym:

�Jakie miêdzynarodowo uznane standardy istniej¹ i jaka jest nasza pozycja w porównaniu znimi?�

�Jak postêpuj¹ inni i jaka jest nasza pozycja w porównaniu z nimi?�

�Co uznaje siê jako najlepsz¹ praktykê przemys³ow¹ i jaka jest nasza pozycja w porównaniu zni¹?�

�Czy w oparciu o powy¿sze porównania mo¿liwe jest stwierdzenie, ¿e stosujemy racjonalne�rodki ostro¿no�ci dla ochrony naszych aktywów informatycznych?�

Pe³nowarto�ciowa odpowied� na te pytania by³a zwykle trudna, gdy¿ do tej pory nie by³y dostêpnenarzêdzia do wykonania niezbêdnych oszacowañ.

Kierownictwo IT nieustannie poszukuje narzêdzi do porównañ i samooceny próbuj¹c zaspokoiæpotrzebê wiedzy na temat �co nale¿y zrobiæ i to w efektywny sposób�. Rozpoczynaj¹c od procesówCOBIT i ogólnych celów kontrolnych, w³a�ciciel procesu powinien mieæ mo¿liwo�æ nieustannegoporównywania w stosunku do danego celu kontrolnego. Prowadzi to do pojawienia siê trzech potrzeb:

1) wzglêdnej miary pozycji w której znajduje siê organizacja,2) sposobu dla efektywnego podejmowania decyzji w którym kierunku pod¹¿aæ3) narzêdzia mierz¹cego postêp w osi¹ganiu celu

COBIT Struktura (COBIT Framework) definiuje 34 procesy IT w ramach �rodowiska IT (zob. DodatekII). Dla ka¿dego procesu istnieje jedno stwierdzenie okre�laj¹ce ogólny cel kontrolny i od 3 do 30szczegó³owych celów kontrolnych. W³a�ciciel procesu powinien potrafiæ okre�liæ stopieñ osi¹gniêciacelów kontrolnych zarówno przez samoocenê jak i w po³¹czeniu z wynikami niezale¿nego przegl¹du.Ka¿d¹ z tych ocen kierownictwo mo¿e zechcieæ wykorzystaæ porównuj¹c w³asn¹ firmê do innych wramach bran¿y i �rodowiska, w którym dzia³a lub porównuj¹c z kierunkiem rozwoju miêdzynarodo-wych standardów i regulacji (tj. pojawiaj¹cymi siê oczekiwaniami odno�nie przysz³o�ci). Aby rezulta-ty (tych porównañ - przyp. t³um.) uczyniæ maksymalnie ³atwymi do wykorzystania podczas narad

COBIT

12

kierownictwa, gdzie bêd¹ one prezentowane jako �rodki wspieraj¹ce przypadek biznesowy uwzglêd-niany w planach na przysz³o�æ, nale¿a³o dostarczyæ graficzn¹ metodê prezentacji.

Podej�cie wykorzystuj¹ce Modele Dojrza³o�ci (ang. Maturity Models) w kontroli procesów IT zawie-ra rozwiniêt¹ metodê oceny tak, ¿e organizacja mo¿e siê oceniæ w skali od nieistniej¹cego (procesu -przyp. T³um.) do zoptymalizowanego (od 0 do 5). Podej�cie to jest oparte na Modelu Dojrza³o�cizdefiniowanym przez Software Engineering Institute dla okre�lenia dojrza³o�ci procesu rozwojuoprogramowania. Abstrahuj¹c od modelu, skala oceny nie powinna byæ zbyt drobna, gdy¿ prowadzi-³oby to do trudno�ci w u¿ywaniu modelu i sugerowa³oby dok³adno�æ, która nie jest uzasadnion¹.Przeciwnie, nale¿y stosowaæ poziomy dojrza³o�ci oparte o zestaw warunków, który mo¿e byæ spe³nio-ny w sposób jednoznaczny. W stosunku do poziomów okre�lonych dla ka¿dego z 34 procesów COBIT,kierownictwo mo¿e oznaczyæ (przypisaæ):

l Obecny status organizacji - pozycjê, w której organizacja dzisiaj siê znajduje,l Obecny status (najlepszych organizacji) bran¿y - dla porównania,l Obecny status standardów miêdzynarodowych - dla dodatkowego porównania,l Strategiczny kierunek rozwoju organizacji - miejsce, w którym organizacja chce siê znale�æ

Nie-istniej¹cy

Pocz¹tkuj¹cy

Powtarzalny



LEGENDA SYMBOLI


LEGENDA SKALI OCEN



Strategia firmy

Dla ka¿dego z 34 procesów okre�lona jest skala pomiarowa od oceny 0 do oceny 5. Skala jest skoja-rzona z ogólnymi, jako�ciowymi opisami modelu dojrza³o�ci stopniowanymi od �Nieistniej¹cy� do�Zoptymalizowany� w nastêpuj¹cy sposób:


13

COBIT jest ogóln¹ konstrukcj¹ kierowan¹ do kierownictwa IT i dlatego skale te powinny byæ praktycz-ne do stosowania i ³atwe do zrozumienia. Jednak¿e tematy ryzyka i odpowiedniej kontroli w zarz¹dza-niu procesami IT s¹ z za³o¿enia subiektywne i nieprecyzyjne i nie ma potrzeby stosowania bardziejmechanistycznego podej�ccia ni¿ to, które wykorzystano w modelach dojrza³o�ci dla rozwoju opro-gramowania.

Zalet¹ podej�cia Modelu Dojrza³o�ci jest to, ¿e kierownictwu jest wzglêdnie ³atwo umie�ciæ siê naskali i oceniæ co nale¿y zastosowaæ, je�li wystêpuje potrzeba poprawy wyników. Skala rozci¹ga siê od0 do 5, gdy¿ jest zupe³nie mo¿liwe, ¿e ¿adne procesy nie istniej¹. Skala 0-5 jest oparta na prostej skalidojrza³o�ci pokazuj¹cej jak proces ewoluuje od �Nieistniej¹cego� do �Zoptymalizowanego�. Ponie-wa¿ mówimy tu o zarz¹dzania procesami, to zwiêkszona dojrza³o�æ i zdolno�æ wytwórcza jest równo-wa¿na pojêciu rozszerzonego zarz¹dzania ryzykiem i zwiêkszonej sprawno�ci.

Ogólny Model Dojrza³o�ci0 Nieistniej¹cy.. Ca³kowity brak rozpoznawalnych procesów. Organizacja nawet nie zdaje

sobie sprawy, ¿e jest jakie� zagadnienie, którym nale¿y siê zaj¹æ.1 Pocz¹tkuj¹cy. Istnieje dowód, ¿e organizacja rozpozna³a, i¿ istnieje zagadnienie, którym

nale¿y siê zaj¹æ. Jednak nie ma zestandaryzowanych procesów, zamiast tego wystêpujepodej�cie ad hoc prowadz¹ce do sytuacji indywidualnych lub zale¿nych od przypadku.Ca³o�ciowe podej�cie do zarz¹dzania jest �le zorganizowane (zdezorganizowane).

2 Powtarzalny. Procesy rozwinê³y siê do stanu, w którym wykonywane s¹ podobne proce-dury przez ró¿nych ludzi podejmuj¹cych te same zadania. Nie ma formalnego szkolenialub komunikowania standardowych procedur, a odpowiedzialno�æ jest pozostawionaposzczególnym osobom. Istnieje wysoki stopieñ zale¿no�ci od indywidualnej wiedzy idlatego wystêpowanie b³êdów jest prawdopodobne.

3 Zdefiniowany. Procedury zosta³y zestandaryzowane i udokumentowane oraz zakomuniko-wane poprzez szkolenie. Jednak¿e postêpowanie zgodnie z ustalonymi procesami zosta³opozostawione indywidualnym osobom i jest ma³o prawdopodobne, ¿e odstêpstwa zostan¹wykryte. Procedury nie s¹ zbyt wyrafinowane, ale wystêpuje formalizacja istniej¹cychpraktyk.

4 Zarz¹dzany. Mo¿liwe jest monitorowanie i pomiar zgodno�ci z procedurami oraz podjê-cie dzia³añ w sytuacji, gdy widoczne jest, ¿e procesy nie dzia³aj¹ efektywnie. Procesypodlegaj¹ ci¹g³emu doskonaleniu i zapewniaj¹ stosowanie dobrych praktyk. Automatyza-cja i narzêdzia s¹ stosowane w ograniczony lub fragmentaryczny sposób.

5 Zoptymalizowany.. Procesy zosta³y udoskonalone do poziomu najlepszych praktyk , wwyniku ci¹g³ego doskonalenia i porównywania z innymi organizacjami. IT jest wykorzy-stywane w zintegrowany sposób w celu automatyzacji przep³ywu zadañ, dostarczaj¹cnarzêdzi do poprawiania jako�ci i efektywno�ci, umo¿liwiaj¹c firmie szybk¹ adaptacjê (dozmieniaj¹cych siê warunków rynkowych - przyp. t³um.)

COBIT

14

Model Dojrza³o�ci jest sposobem pomiaru jak dobrze rozwiniête jest zarz¹dzanie procesami. Jakdobrze powinno byæ ono rozwiniête zale¿y od potrzeb biznesowych, o czym wy¿ej wspomniano.Przyjête skale s¹ po prostu praktycznymi przyk³adami dla zarz¹dzania danym procesem, pokazuj¹cy-mi typowe schematy dla ka¿dego poziomu dojrza³o�ci. Kryteria Informacyjne zawarte w COBITStrukturze (COBIT Framework) (zob. Dodatek II) pomagaj¹ w upewnieniu siê, ¿e skupiamy siê naw³a�ciwych aspektach zarz¹dzania (ang. focus on the right management aspects), gdy opisujemyaktualn¹ praktykê. Na przyk³ad, planowanie i organizacja skupiaj¹ siê na celach zarz¹dzania dotycz¹-cych efektywno�ci i sprawno�ci, podczas gdy zapewnianie bezpieczeñstwa systemów bêdzie siêkoncentrowaæ na zarz¹dzaniu poufno�ci¹ i integralno�ci¹.

Skale Modelu Dojrza³o�ci bêd¹ pomagaæ profesjonalistom w wyja�nianiu mened¿erom, gdzie tkwi¹mankamenty zarz¹dzania IT i definiowaæ cele, do których nale¿y d¹¿yæ, porównuj¹c praktyki kontrol-ne organizacji do przyk³adów najlepszych praktyk. Na w³a�ciwy (ten, do którego bêdziemy d¹¿yæ -przyp. T³um.) poziom dojrza³o�ci bêd¹ wp³ywaæ biznesowe cele firmy i �rodowisko operacyjne.�ci�le mówi¹c, poziom dojrza³o�ci kontroli bêdzie zale¿a³ od zale¿no�ci firmy od IT, od stopniaskomplikowania technologii i, co wa¿niejsze, od warto�ci informacji.

Dla polepszenia bezpieczeñstwa i kontroli, strategiczny punkt odniesienia dla organizacji móg³byrównie¿ braæ pod uwagê miêdzynarodowe standardy i najlepsze praktyki bran¿owe. Praktyki, którepojawiaj¹ siê dzi�, mog¹ jutro staæ siê oczekiwanym poziomem wykonania i dlatego s¹ u¿yteczne wplanowaniu celu, do którego organizacja chce zmierzaæ.

Modele Dojrza³o�ci s¹ zbudowane rozpoczynaj¹c od ogólnego, jako�ciowego modelu (zob. wy¿ej), doktórego narastaj¹co, w zale¿no�ci od poziomu dojrza³o�ci, dodawane s¹ praktyki i zasady z nastêpuj¹-cych domen:

l Zrozumienie i �wiadomo�æ zagadnieñ dotycz¹cych ryzyka i kontrolil Szkolenie i komunikacja na temat tych zagadnieñl Wdro¿one procesy i praktykil Techniki i automatyzacja w tworzeniu bardziej efektywnych i sprawnych procesówl Stopieñ zgodno�ci z polityk¹ wewnêtrzn¹, prawem i regulacjamil Typ i zakres zastosowanej wiedzy specjalistycznej

Nastêpuj¹ca tabela opisuje dla ró¿nych tematów to narastaj¹ce zastosowanie praktyk w zale¿no�ci odpoziomu dojrza³o�ci. Razem z modelem jako�ciowym, tworzy ogólny model dojrza³o�ci maj¹cyzastosowanie do wiêkszo�ci procesów IT.


15

Zrozumieniei �wiadomo�æ

Szkoleniei komunikacja

Procesyi praktyki

Technikii

automatyzacjaZgodno�æ Specjalistyczn

wiedza

1 Rozpoznanie Sporadycznakomunikacjadotycz¹cazagadnieñ

Podej�cie adhoc doprocesówi praktyk

2 �wiadomo�æ Komunikacjadotycz¹caca³o�cizagadnieniai potrzeb

Podobne/wspóllecz pojawiaj¹cesiê intuicyjneprocesy

Pojawiaj¹ siêwspólnenarzêdzia

Niespójnymonitoringizolowanychzagadnieñ

3 Zrozumieniepotrzebydzia³ania

Nieformalneszkoleniewspomagaindywidualneinicjatywy

Praktyki s¹zdefiniowane,zestandaryzowai udokumento-wane;rozpoczyna siêwspó³dzielenielepszychpraktyk

Zestaw narzêdzijest zestandary-zowany;dostêpnepraktyki s¹u¿yte inarzucone dostosowania

Niespójnymonitoring;pojawiaj¹ce siêpomiary;zrównowa¿onakarta wyników(balanced scorecard) stosowanasporadycznie;dog³êbnaanalizaprzyczyn (rootcause analyse)jest intuicyjna

Zaanga¿owaniespecjalistów ITw procesybiznesowe

4 Zrozumieniepe³nychwymagañ

Formalneszkoleniewspomagaustalony izarz¹dzanyprogram

W³asno�æprocesów iodpowiedzialnojest ustalona;proces jestwyra�ny ikompletny;stosowane s¹najlepszepraktykiwewnêtrzne

Stosowane s¹dojrza³etechniki;standardowenarzêdzia s¹narzucone dostosowania;ograniczonetaktyczneu¿ycietechnologii

Zrównowa¿onakarta wynikówjest stosowanaw niektórychobszarach;odstêpstwa s¹odnotowywane;dog³êbnaanalizaprzyczyn jestzestandaryzowa

Zaanga¿owaniewszystkichwewnêtrznychekspertów

5 Zaawansowanezrozumienieukierunkowanena przysz³o�æ

Szkolenie ikomunikacjawspomagaj¹najlepszepraktykizewnêtrzne istosuj¹przoduj¹cekoncepcje

Stosowane s¹najlepszepraktykizewnêtrzne

Zastosowane s¹zaawansowanetechniki;zoptymalizowanintensywneu¿ycietechnologii

Zrównowa¿onakarta wynikówjest powszech-nie stosowana;odstêpstwa s¹na bie¿¹co ici¹gle odnoto-wywane oraznastêpujeodpowiedniedzia³anie;dog³êbnaanalizaprzyczyn jestzawszestosowana

Wykorzystaniezewnêtrznychekspertówi liderówbran¿owych wcelu uzyskaniawskazówek

COBIT

16

Podsumowuj¹c, Modele Dojrza³o�ci:

t odnosz¹ siê do wymagañ biznesowych i aspektów (czynników) umo¿liwiaj¹cych dla ró¿nychpoziomów dojrza³o�ci

t s¹ skal¹, która nadaje siê do praktycznego porównaniat s¹ skal¹, na której ró¿nice mog¹ byæ w ³atwy sposób mierzonet s¹ rozpoznawalne jako �profil� firmy obrazuj¹cy zarz¹dzanie IT, bezpieczeñstwo i kontrolêt pomagaj¹ ustaliæ pozycjê �jaka jest� i � jaka ma byæ� dotycz¹c¹ dojrza³o�ci zarz¹dzania IT,

bezpieczeñstwa i kontrolit nadaj¹ siê do przeprowadzania analizy rozbie¿no�ci w celu okre�lenia co powinno byæ wyko-

nane, aby osi¹gn¹æ wybrany poziomt unikaj¹, o ile to mo¿liwe, poziomów dyskretnych, tworz¹cych bariery trudne do pokonaniat coraz czê�ciej stosuj¹ krytyczne czynniki sukcesu (critical success factor)t nie s¹ specyficzne dla bran¿y, ani nie zawsze s¹ mo¿liwe do zastosowania, typ biznesu okre�la

co jest odpowiednie


17

2. KRYTYCZNE CZYNNIKI SUKCESU

Krytyczne Czynniki Sukcesu dostarczaj¹ kierownictwu porad pomocnych we wdro¿eniu kontrolidotycz¹cej IT i jej procesów. S¹ one najwa¿niejszymi zadaniami do wykonania przyczyniaj¹cymi siêdo osi¹gniêcia za³o¿onego celu przez proces IT. S¹ to prace, które mog¹ mieæ naturê strategiczn¹,techniczn¹, organizacyjn¹, procesow¹ lub proceduraln¹. Zwykle dotycz¹ umiejêtno�ci i zdolno�ci,musz¹ byæ krótkie, skupione i zorientowane na dzia³ania, wp³ywaj¹c na zasoby maj¹ce podstawoweznaczenie dla rozwa¿anego procesu.

Porady mog¹ byæ uzyskane ze standardowego Modelu Kontroli przedstawionego poni¿ej. Wykorzy-stuje on znane nam wszystkim zasady stosowane przy nastawianiu temperatury w pokoju (standard) wsystemie ogrzewania (proces), która jest ci¹gle sprawdzana (porównanie) z bie¿¹c¹ temperatur¹pokoju (informacja kontrolna) i sygnalizuje (dzia³anie) systemowi ogrzewania, aby dostarczy³ wiêcejciep³a. Model ten i jego zasady identyfikuj¹ kilka Krytycznych Czynników Sukcesu, które stosuj¹ siêzwykle do wszystkich procesów, poniewa¿ zajmuj¹ siê tym co jest standardem, kto go ustala, ktokontroluje lub wykonuje dzia³anie, itd.:

l zdefiniowane i udokumentowane procesyl zdefiniowane i udokumentowane politykil jasno zdefiniowana odpowiedzialno�æl mocne wsparcie kierownictwal w³a�ciwa komunikacja do zainteresowanych stron wewnêtrznych i zewnêtrznychl ci¹g³e praktyki pomiarowe

DZIA£ANIE

INFORMACJAKONTROLNA

NormyStandardyKPI/CSF

Porównanie Proces

Nale¿y równie¿ zauwa¿yæ, ¿e te zasady kontrolne s¹ potrzebne na ró¿nych poziomach, tj. strategicz-nym, taktycznym, administracyjnym. Zwykle, na ka¿dym poziomie, wystêpuj¹ cztery typy dzia³añ,które logicznie po sobie nastêpuj¹: planowanie, wykonywanie, sprawdzanie i poprawianie. Nale¿ybraæ pod uwagê mechanizmy sprzê¿enia zwrotnego i pêtli kontrolnej pomiêdzy poziomami. Naprzyk³ad, �wykonywanie� na poziomie strategicznym zasila �planowanie� na poziomie taktycznym, a

COBIT

18

�sprawdzanie� na poziomie administracyjnym jest skonsolidowane ze �sprawdzaniem� na poziomietaktycznym, itd.

WYKONANIE

KOREKTA

PLAN SPRAWDZENIE

Dalsze porady przy tworzeniu krytycznych czynników sukcesu mo¿na otrzymaæ poprzez analizowa-nie celów i monitorowanie wskazówek zawartych w IT Governance Framework. Za okre�laniekierunków rozwoju IT ponosi odpowiedzialno�æ kierownictwo zarz¹dzaj¹ce i akcjonariusze. Jest tosystem kontroli zapewniaj¹cy, ¿e cele biznesowe s¹ osi¹gane. Zwykle sk³ada siê z ukierunkowywaniastarañ IT organizacji, po przeprowadzeniu przegl¹du wyników jej dzia³ania pod k¹tem prostych normwymagaj¹cych, aby:

l IT by³o zestrojone z bizneseml IT umo¿liwia³o prowadzenie biznesu i maksymalizowa³o jego zyskil Zasoby IT by³y odpowiedzialnie u¿ywanel Ryzyka zwi¹zane z IT by³y w³a�ciwie zarz¹dzane

Co do standardowego modelu kontroli, to zwykle wystêpuje on na ró¿nych poziomach (organizacyj-nych - przyp. t³um.), pomiêdzy kierownikami zespo³ów, raportuj¹cymi i otrzymuj¹cymi wskazówkiod swoich mened¿erów, pomiêdzy mened¿erami raportuj¹cymi wy¿ej do kierownictwa zarz¹dzaj¹ce-go oraz pomiêdzy kierownictwem zarz¹dzaj¹cym a zarz¹dem. Ponadto raporty, które wskazuj¹ naodchylenia od celów bêd¹ zwykle zawieraæ rekomendacje do podjêcia w³a�ciwych dzia³añ.

Ilustracja poni¿ej prezentuje koncepcyjnie wspó³zale¿no�æ pomiêdzy celami i dzia³aniami IT z per-spektywy kierowania rozwojem IT. Dzia³ania IT s¹ zobrazowane poprzez ogólne dzia³ania kierownic-twa dotycz¹ce planowania, wykonywania, sprawdzania oraz poprawy. Wraz z ukazaniem siê COBITStruktura Kontroli (Control Framework) (zob. dodatek II), pojawi³ siê sposób reprezentacji technolo-gii informatycznej jako czterech domen COBIT, a mianowicie: Planowania i Organizowania, Nabywa-nia i Wdra¿ania, Dostarczania i Wspierania oraz Monitorowania.


19

PLANOWANIEWYKONANIE

SPRAWDZENIEPOPRAWA

Planowanie i Organizacja

Nabywanie i Wdro¿enie

Dostarczanie i Wdra¿anie

Monitorowanie

Dzia³ania ITCele

KONTROLA

Kierowanie rozwojem IT

Ze standardowego modelu kontroli Struktury Zarz¹dzania IT (IT Governance Framework) mo¿nawywnioskowaæ kilka Krytycznych Czynników Sukcesu, mo¿liwych do zastosowania do wiêkszo�ciprocesów IT:

1. stosowane ogólnie do IT

l procesy IT s¹ zdefiniowane i zestrojone ze strategi¹ IT oraz celami biznesowymil znani s¹ klienci procesów i ich oczekiwanial procesy s¹ skalowalne, a ich zasoby s¹ w³a�ciwie zarz¹dzane i wywierany jest na nie odpo-

wiedni wp³ywl spe³niona jest wymagana jako�æ personelu (szkolenia, przep³yw informacji, morale itd.) oraz

dostêpno�æ umiejêtno�ci (rekrutacja, utrzymywanie, ponowne szkolenie)l wyniki dzia³ania IT s¹ mierzone w kategoriach finansowych, w powi¹zaniu z satysfakcj¹

klienta, dla zapewnienia efektywno�ci procesu jak i przysz³ej zdolno�ci dzia³ania. Kierownic-two IT jest wynagradzane w oparciu o te pomiary.

l czynione s¹ ci¹g³e wysi³ki dla polepszenia jako�ci

2. stosowane do wiêkszo�ci procesów IT

l wszyscy uczestnicy procesów (u¿ytkownicy, kierownictwo, itp.) s¹ �wiadomi ryzyk, znaczeniaIT i mo¿liwo�ci , które ona oferuje, oraz zapewniaj¹ mocne wsparcie i zaanga¿owanie

l cele s¹ komunikowane i zrozumiane; wiadome jest jak wdro¿yæ proces i jak monitorowaæ celeoraz kto jest odpowiedzialny za wyniki dzia³ania procesu

l ludzie s¹ ukierunkowani na cel i posiadaj¹ w³a�ciw¹ informacjê na temat klientów, procesówwewnêtrznych oraz konsekwencji swoich decyzji

l ustalona jest kultura biznesowa, zachêcaj¹ca do miêdzywydzia³owego wspó³dzia³ania, pracyzespo³owej oraz ci¹g³ego usprawniania procesu

COBIT

20

l wystêpuje integracja oraz zestrajanie g³ównych procesów tj. zarz¹dzania zmianami, problema-mi i konfiguracj¹

l stosowane s¹ praktyki kontrolne, w celu podwy¿szenia sprawno�ci i zoptymalizowania wyko-rzystania zasobów oraz polepszenia efektywno�ci procesów

3. stosowane do zarz¹dzania IT

l stosowane s¹ praktyki kontrolne, aby zwiêkszyæ przejrzysto�æ (procesów - przyp. T³um.),zmniejszyæ skomplikowanie, promowaæ kszta³cenie, zapewniaæ elastyczno�æ i skalowalno�æoraz unikaæ niedopatrzeñ kontroli wewnêtrznej i nadzoru

l zastosowanie praktyk umo¿liwiaj¹cych solidny nadzór: �rodowisko kontrolne i kultura;kodeks postêpowania; ocena ryzyka jako standardowa praktyka; samoocena; formalna zgod-no�æ z ustalonymi standardami; monitoring i postêpowanie naprawcze dla s³abo�ci kontroli iryzyka

l kierowanie IT jest rozpoznane i zdefiniowane, a jego dzia³ania s¹ zintegrowane z procesemkierowania firm¹, podaj¹c jasno okre�lony kierunek dla strategii IT, schemat zarz¹dzaniaryzykiem, system kontroli i politykê bezpieczeñstwa

l kierowanie IT skupia siê na wa¿nych projektach IT, inicjatywach dotycz¹cych zmian i wysi³-kach zwi¹zanych z jako�ci¹, ze �wiadomo�ci¹ wa¿nych procesów IT, odpowiedzialno�ci orazwymaganych zasobów i potencja³u wykonawczego

l ustalony jest komitet audytowy dla wyznaczania i nadzorowania niezale¿nego audytora,sterowania planem audytu IT oraz dla przegl¹du rezultatów audytu i opinii stron trzecich

Podsumowuj¹c, Krytyczne Czynniki Sukcesu s¹:

t zasadniczymi czynnikami umo¿liwiaj¹cymi osi¹gniêcie celu, skupionymi na procesie lub�rodowisku wspieraj¹cym (proces - przyp. T³um.)

t rzecz¹ lub warunkiem, który jest wymagany dla osi¹gniêcia optymalnego sukcesu lub dzia³a-niem rekomendowanym dla osi¹gniêcia optymalnego sukcesu

t najwa¿niejszymi rzeczami do zrobienia, aby zwiêkszyæ prawdopodobieñstwo sukcesu procesut obserwowalnymi - zwykle mierzalnymi - charakterystykami organizacji i procesut zarówno strategiczne, technologiczne, organizacyjne jak i proceduralne z naturyt skupione na otrzymywaniu, zarz¹dzaniu i wp³ywaniu na zdolno�ci wytwórcze i umiejêtno�cit wyra¿one za pomoc¹ terminów procesowych, a niekoniecznie biznesowych


21

3. KLUCZOWE WSKA�NIKI CELÓW

Kluczowy Wska�nik Celu (ang.skr. KGI), przedstawiaj¹cy cel procesu, jest miar¹ �co� zosta³o osi¹-gniête. Jest wymiernym wska�nikiem procesu osi¹gaj¹cego swoje cele, czêsto okre�lany jako cel doosi¹gniêcia.

Przez porównanie, Kluczowy Wska�nik Wydajno�ci (ang.skr. KPI), który bêdzie omówiony w nastêp-nej sekcji, jest miar¹ �jak dobrze� proces jest wykonywany. Ta relacja jest najlepiej zilustrowanaponi¿ej przez koncepcjê Zrównowa¿onej Karty Wyników Biznesowych (Balanced Business Score-card), która tak¿e poszukuje miar efektów realizacji celów i miar wydajno�ci odnosz¹cych siê doczynników (enablers), które umo¿liwiaj¹ osi¹ganie celu. W tym kontek�cie musimy pamiêtaæ, ¿e ITjest g³ównym czynnikiem umo¿liwiaj¹cym (enabler) biznes.

Zrównowa¿ona KartaWyników Biznesowych


pomiary(wyników)


IT, jako jeden z g³ównych czynników umo¿liwiaj¹cych biznesu, bêdzie mia³o swoj¹ w³asn¹ kartêwyników. Jako czynnik umo¿liwiaj¹cy, bêdzie mierzone przez wska�niki wydajno�ci, tj. jako�ædzia³ania czynnika umo¿liwiaj¹cego mo¿e dawaæ wskazanie, ¿e cel biznesowy bêdzie osi¹gniêty.Nale¿y tak¿e zauwa¿yæ, ¿e miary wydajno�ci odnosz¹ce siê do biznesu, staj¹ siê miarami celów IT, tj.Zrównowa¿ona Karta Wyników Biznesowych jest zbudowana kaskadowo (zobacz Dodatek III).

Ale jak biznes i cele IT s¹ po³¹czone? COBIT Struktura wyra¿a cele dla IT w terminach kryteriówinformacyjnych, których spe³nienia wymaga strona biznesowa, by osi¹gaæ cele biznesowe, które s¹zazwyczaj wyra¿ane za pomoc¹ pojêæ:

l Dostêpno�ci systemów i us³ugl Braku ryzyka zwi¹zanego z integralno�ci¹ i poufno�ci¹l Efektywno�ci kosztowej procesów i dzia³añl Potwierdzenia rzetelno�ci, wydajno�ci i zgodno�ci

COBIT

22

Cel IT mo¿e wiêc byæ wyra¿ony jako dostarczanie informacji, której potrzebuje biznes zgodnie z tymikryteriami. Kryteria informacyjne s¹ udostêpnione w Wytycznych Zarz¹dzania ze wskazaniem, czymaj¹ one podstawow¹, czy drugorzêdn¹ wa¿no�æ dla przegl¹danego procesu. W praktyce postaækryteriów informacyjnych przedsiêbiorstwa mo¿e byæ bardziej z³o¿ona.

Postaæ

Kryteriów

Informacyjnychskute

cznoœæ

wydajn

oœæ

poufn

oœæ

inte

gra

lnoœæ

dostê

pnoœæ

zgodnoœæ

rzete

lnoœæ

10,90,80,70,60,50,40,30,20,1

0

Stopieñ wa¿no�ci ka¿dego z powy¿szych kryteriów informacyjnych jest funkcj¹ biznesu oraz �rodo-wiska, w którym dzia³a przedsiêbiorstwo. Powy¿szy rysunek jest jedynie przyk³adem. Ka¿da organi-zacja bêdzie musia³a zdecydowaæ jak wa¿ne dla biznesu jest ka¿de z kryteriów informacyjnych. Jakotaki, profil ten wyra¿a równie¿ stanowisko organizacji wobec ryzyka. Nale¿y jednak¿e tak¿e zauwa-¿yæ, ¿e wa¿no�æ kryterium informacyjnego mo¿e siê tak¿e zmieniaæ dla ka¿dego procesu, w przypad-kach, gdzie, byæ mo¿e, stosuje siê ró¿ne cele. Pomimo to, celem struktur IT jest dostarczenie informa-cji potrzebnej biznesowi, aby realizowaæ jego cele, zgodnie z profilem kryteriów informacyjnych.

Wzglêdna wa¿no�æ kryteriów informacyjnych powoduje, ¿e mo¿e byæ potrzebny wybór z obszernej listynajlepszych praktyk, które dostarcza COBIT: rozwa¿añ w COBIT Strukturze (zobacz dodatek II); CelówKontrolnych; lub nawet Krytycznych Czynników Sukcesu niniejszych Wytycznych Zarz¹dzania.

Aby lepiej zrozumieæ wska�niki celów i wydajno�ci, spojrzeli�my tak¿e na cztery wymiary Zrówno-wa¿onej Karty wyników Biznesowych:

l Finansowy - Jak akcjonariusze patrz¹ na nas? (np., wyniki wobec bud¿etu)l Kliencki - jak widz¹ nas klienci? (np., zadowolenie klientów, terminowo�æ dostaw, warto�æ

us³ug)l Procesu wewnêtrznego - Jak sami patrzymy na siebie? (np., orientacja procesowa i jako�æ)


23

l Uczenia/innowacji - Czy mo¿emy kontynuowaæ ulepszanie i tworzyæ warto�æ? (np., wiedzapracowników i infrastruktura techniczna).

Kluczowe Wska�niki Celu dla IT s¹ sterowane przez biznes i zwykle dostarczaj¹ miar potrzebnych dowspomagania finansowego i klienckiego wymiaru Zrównowa¿onej Karty Wyników Biznesowych, cojest przedstawione na nastêpnym rysunku. Kluczowe Wska�niki Wydajno�ci, jak zobaczymy wnastêpnej sekcji, koncentruj¹ siê na pozosta³ych dwóch wymiarach Zrównowa¿onej Karty WynikówBiznesowych : procesów wewnêtrznych i innowacji (uczenia/innowacji - przyp. t³um.). Wynikifinansowe i satysfakcja klientów s¹ zwyczajowo mierzone przez osi¹gany cel biznesowy i s¹ mierzo-ne po-fakcie. Z drugiej strony, doskona³o�æ procesu i zdolno�æ do uczenia siê i innowacyjno�ci s¹wska�nikami, jak dobrze organizacja dzia³a i daj¹ wskazanie co do prawdopodobieñstwa osi¹gniêciasukcesu przed-faktem.

Wymiar Finansowy

WymiarKliencki Proces Wewnêtrzny

Uczenie/Innowacje

Cele Mierniki Cele Mierniki

Cele Mierniki

Cele Mierniki

Kluczowe Wska�niki Celu s¹ �OPÓ�NIONYMI� wska�nikami i jako takie mog¹ byæ mierzone pofakcie, w przeciwieñstwie do Kluczowych Wska�ników Wydajno�ci, które s¹ �POPRZEDZAJ¥CY-MI� wska�nikami, daj¹cymi wskazanie o sukcesie przed faktem. Mog¹ byæ tak¿e wyra¿one negatyw-nie, np., w postaci wp³ywu wynikaj¹cego z niedotarcia do celu. Sekcja Potwierdzanie Ryzyka, COBIT -Wytycznych Audytu daje przyk³ady dla ka¿dego z 34 procesów IT tego, co mo¿e i�æ nie tak, je�liproces nie jest odpowiednio kontrolowany.

COBIT

24

Kluczowe Wska�niki Celu nie powinny byæ niejasne (rozmyte), lecz mierzalne tak, jak liczba lubprocent. Te miary powinny pokazywaæ, ¿e informacja i technologia wspieraj¹ misjê i strategiê organi-zacji. Poniewa¿ cele i obiekty docelowe s¹ specyficzne dla przedsiêbiorstwa i jego �rodowiska, wieleKluczowych Wska�ników Celów zosta³o przedstawionych ze wskazówk¹, np., wzrastaj¹ca dostêp-no�æ, zmniejszaj¹cy koszt. W praktyce, kierownictwo bêdzie musia³o ustaliæ okre�lone cele, któremaj¹ byæ osi¹gniête, bior¹c pod uwagê wydajno�æ w przesz³o�ci i przysz³e cele.

Aby zilustrowaæ poprzednie punkty, poni¿ej przedstawiony jest zbiór ogólnych Kluczowych Wska�-ników Celu, które zazwyczaj s¹ odpowiednie do wszystkich procesów IT:

l Osi¹ganie wskazanego zwrotu z inwestycji lub warto�ci korzy�ci z biznesul Wzmo¿one zarz¹dzanie wydajno�ci¹l Zredukowane ryzyka ITl Poprawienie wydajno�cil Zintegrowanie ³añcucha dostawl Standaryzacja procesówl Zwiêkszanie dostaw us³ug (sprzeda¿y)l Pozyskiwanie nowych i satysfakcjonowanie istniej¹cych klientówl Tworzenie nowych kana³ów dostaw us³ugl Dostêpno�æ przepustowo�ci, mocy komputerowej i przystaj¹cych do biznesu mechanizmów

dostaw IT, oraz czasy ich �sprawno�ci� i �przestojów�l Realizowanie wymagañ i oczekiwañ klientów procesu, w ramach bud¿etu i na czasul Liczba klientów i koszt na obs³u¿onego kliental Stosowanie standardów przemys³owych

Podsumowuj¹c, Kluczowe Wska�niki Celów s¹:

t Reprezentacj¹ celu procesu, tj., miar¹ - �co�, lub celem do osi¹gniêciat Opisem wyników procesu i dlatego s¹ �OPÓ�NIONYMI� wska�nikami, mierzonymi po

fakciet Natychmiastowymi wska�nikami pomy�lnego ukoñczenia procesu lub po�rednimi wska�nika-

mi warto�ci procesu dostarczonego biznesowit Mog¹ byæ opisami miary wp³ywu nieosi¹gniêcia celu procesut Skoncentrowane na klienckim i finansowym wymiarze Zrównowa¿onej Karty Wyników

Biznesowycht Zorientowane na IT, ale sterowane przez biznest Zawsze, gdy jest to mo¿liwe, wyra¿ane w precyzyjnych, mierzalnych warto�ciacht Skoncentrowane na tych kryteriach informacyjnych, które zosta³y okre�lone jako najwa¿niej-

sze dla danego procesu.


25

4. KLUCZOWE WSKA�NIKI WYDAJNO�CI

Kluczowe Wska�niki Wydajno�ci s¹ miar¹, która mówi kierownictwu, ¿e proces IT osi¹ga swojewymagania biznesowe poprzez monitorowanie wydajno�ci czynników umo¿liwiaj¹cych (enablers) tenprocesu IT. Bazuj¹c na zasadach Zrównowa¿onej Karty Wyników Biznesowych, relacja pomiêdzyKluczowymi Wska�nikami Wydajno�ci i Kluczowymi Wska�nikami Celów jest nastêpuj¹ca:

skute

cznoœæ

wydajn

oœæ

poufn

oœæ

inte

gra

lnoœæ

dostê

pnoœæ

zgodnoœæ

rzete

lnoœæ

10,90,80,70,60,50,40,30,20,1

0

CeleCzynniki

umo¿liwiaj¹ce

KGI(pomiary wyników)

KGI(pomiary wydajnoœci)

Kluczowe Wska�niki Wydajno�ci s¹ krótkimi, skoncentrowanymi i mierzalnymi wska�nikami wydajno-�ci czynników twórczych (umo¿liwiaj¹cych) procesów IT, wskazuj¹cymi jak dobrze proces umo¿liwiaosi¹gniêcie celu. Podczas, gdy Kluczowe Wska�niki Celów koncentruj¹ siê na tym <<co>>, KluczoweWska�niki Wydajno�ci troszcz¹ siê o to <<jak>>. Czêsto bêd¹ miar¹ Krytycznego Czynnika Sukcesu i ,gdy monitorowanie i dzia³anie bêdzie prowadzone na ich podstawie, bêd¹ okre�la³y mo¿liwo�ci uspraw-nienia procesu. Te usprawnienia powinny pozytywnie wp³ywaæ na wyniki, i jako takie, KluczoweWska�niki Wydajno�ci s¹ przyczyn¹ efektu powi¹zania z Kluczowymi Wska�nikami procesu.

W pewnych przypadkach, sugeruje siê ³¹czenie miar Kluczowych Wska�ników Wydajno�ci, i w kilkuprzypadkach tak¿e Kluczowych Wska�ników Celów. Przyk³adem mo¿e byæ mierzenie odpowiednio-�ci organizacji IT, które toruje, jako jedna liczba zorientowanie biznesowe personelu IT, morale isatysfakcjê z pracy. Lub, jako przyk³ad wska�nika jako�ci planu przez monitorowanie jako jednejliczby, czasu, kompletno�ci i podej�cia strukturalnego.

Podczas, gdy Kluczowe Wska�niki Celów s¹ sterowane przez biznes, to Kluczowe Wska�niki Wydaj-no�ci s¹ zorientowane na procesy i czêsto wyra¿aj¹ jak dobre s¹ procesy, wp³yw organizacyjny izarz¹dzanie potrzebnymi zasobami. Podobnie do Kluczowych Wska�ników Celów, s¹ czêsto wyra¿a-ne jako liczba lub procent. Dobrym, �szybkim� testem Kluczowych Wska�ników Wydajno�ci jestsprawdzenie, czy rzeczywi�cie pozwalaj¹ przewidywaæ sukces lub pora¿kê osi¹gniêcia celu procesu, iczy wspomagaj¹ lub nie kierownictwu w ulepszaniu procesu.

Poni¿ej przedstawiony jest zbiór ogólnych Kluczowych Wska�ników Wydajno�ci, które zazwyczaj s¹odpowiednie do wszystkich procesów IT:

1. Stosowane ogólnie do IT

l Zredukowane czasy cyklu (tj. gotowo�æ IT do reagowania, poprzez produkcjê i rozwijanienowych rozwi¹zañ)

COBIT

26

l Zwiêkszona jako�æ i innowacyjno�æl Wykorzystanie po³¹czeñ komunikacyjnych i mocy komputerowejl Dostêpno�æ us³ug i czas odpowiedzil Zadowolenie udzia³owców (przegl¹d skarg i ich liczba)l Liczba personelu przeszkolonego w nowej technologii i umiejêtno�ciach obs³ugi klientów.

2. Stosowane do wiêkszo�ci procesów IT

l Ulepszona efektywno�æ kosztowa procesu (np. koszty kontra rezultaty)l Wydajno�æ personelu (wielko�æ rezultatów) i morale (przegl¹d)l Liczba b³êdów i powtórzonych dzia³añ

3. Stosowane do zarz¹dzania IT

l Analizy porównawczel Liczba niezgodnych raportów

Podsumowuj¹c, Kluczowe Wska�niki Wydajno�ci:

t S¹ miar¹ jak dobrze proces dzia³at Przewiduj¹ prawdopodobieñstwo sukcesu lub pora¿ki w przysz³o�ci,

s¹ �POPRZEDZAJ¥CYMI� wska�nikamit S¹ zorientowane na procesy, ale sterowane przez ITt Skoncentrowane s¹ na procesowym i innowacyjnym wymiarze

Zrównowa¿onej Karty Wyników Biznesowycht S¹ wyra¿ane w �ci�le mierzalnych kategoriacht Pomagaj¹ w usprawnianiu procesu IT, gdy bazuj¹ na nich pomiary i dzia³aniat Skoncentrowane s¹ na zasobach okre�lonych jako najbardziej wa¿ne dla danego procesu.


27

5. ZAKOÑCZENIE

Aby Technologiê Informacyjn¹ (Informatyczn¹) poddaæ kontroli w taki sposób, aby IT by³o zestrojo-ne z biznesem i umo¿liwia³o jego funkcjonowanie poprzez dostarczanie informacji potrzebnychorganizacji, w Wytycznych Zarz¹dzania podano szereg narzêdzi do zarz¹dzania. Zwi¹zki pomiêdzyKrytycznymi Czynnikami Sukcesu, Modelami Dojrza³o�ci, Kluczowymi Wska�nikami Wydajno�ci iKluczowymi Wska�nikami Celów mo¿na okre�liæ jako:

�KCS s¹ najwa¿niejszymi, opartymi na wyborach dokonanych w Modelu Dojrza³o�ci, rzeczami,które powiniene� robiæ, równocze�nie monitoruj¹c przy pomocy KWW to, czy prawdopodobnie

bêdziesz osi¹gaæ cele zadane przy pomocy KWC.�

Jednak, podkre�lenia wymaga fakt, ¿e wskazania te pozostaj¹ wskazaniami ogólnymi, daj¹ siê powszech-nie stosowaæ i nie dostarczaj¹ miar charakterystycznych dla jakiego� jednego przemys³u. Organizacje bêd¹musia³y w wielu przypadkach przystosowaæ ten ogólny zbiór wskazówek do w³asnego �rodowiska.

Rozpoczynaj¹c od COBIT - Struktury (Framework), zastosowanie miêdzynarodowych standardów iwytycznych, oraz badania nad najlepszymi praktykami doprowadzi³y do opracowania Celów Kontrol-nych (Control Objectives). Wytyczne Audytu (Audit Guidelines) by³y opracowane by oceniæ, czy teCele Kontrolne s¹ w³a�ciwie stosowane. Jednak¿e kierownictwo potrzebuje podobnego zastosowaniaStruktury, by prowadziæ samoocenê i dokonywaæ wyborów odno�nie wdra¿ania i ulepszania kontrolinad jej technologi¹ informacyjn¹ (informatyczn¹) i technologiami zwi¹zanymi.

To jest g³ównym celem Wytycznych Zarz¹dzania, opracowanych z pomoc¹ ekspertów z ca³ego �wiataz dziedzin zarz¹dzania IT, zarz¹dzania wydajno�ci¹ oraz bezpieczeñstwa i kontroli informacji. Dostar-czyli oni zbiór narzêdzi wspomagaj¹cych kierownictwo podczas odpowiadania na pytanie:

�Jaki jest w³a�ciwy poziom kontroli mojego (obszaru) IT, tak by wspomaga³ moje cele biznesowe�

PLANOWANIE I ORGANIZACJA DOSTARCZANIE I OBS£UGA

PO1 Definiowanie planu strategicznego dla IT DS1 Okre�lanie poziomów serwisowychPO2 Wyznaczanie architektury informatycznej DS2 Zarz¹dzanie obcymi serwisamiPO3 Ustalanie kierunku technologicznego DS3 Zarz¹dzanie wydajno�ci¹ i pojemno�ci¹PO4 Okre�lanie organizacji i stosunków w IT DS4 Zapewnianie ci¹g³o�ci serwisówPO5 Zarz¹dzanie inwestycjami IT DS5 Zapewnianie bezpieczeñstwa systemówPO6 Przedstawianie kierownictwu celów i kierunków DS6 Identyfikowanie i rozliczanie kosztówPO7 Zarz¹dzanie zasobami ludzkimi DS7 Edukowanie i szkolenie u¿ytkownikówPO8 Zapewnianie zgodno�ci z wymogami zewnêtrznymi DS8 Wspomaganie i doradzanie klientom ITPO9 Szacowanie ryzyka DS9 Zarz¹dzanie konfiguracj¹PO10 Zarz¹dzanie projektami DS10 Zarz¹dzanie problemami i incydentamiPO11 Zarz¹dzanie jako�ci¹ DS11 Zarz¹dzanie danymi

NABYWANIE I WDRA¯ANIEDS12 Zarz¹dzanie urz¹dzeniamiDS13 Zarz¹dzanie operacjami

AI1 Identyfikowanie rozwi¹zañAI2 Nabywanie i utrzymywanie oprogramowania aplikacyjnego

MONITOROWANIE

AI3 Nabywanie i utrzymywanie architektury technologicznej M1 Monitorowanie procesówAI4 Rozwijanie i utrzymywanie procedur IT M2 Ocenianie adekwatno�ci kontroli wewnêtrznejAI5 Instalowanie i akredytowanie systemów M3 Uzyskiwanie niezale¿nego zapewnieniaAI6 Zarz¹dzanie zmianami M4 Otrzymywanie niezale¿nego audytu

COBIT

28

Nastêpne strony zawieraj¹ szczegó³owe Wytyczne Zarz¹dzania dla ka¿dego z 34 procesów COBIT, adodatek I zawiera wskazówki jak z nich korzystaæ.


29

P L A N O W A N I E I O R G A N I Z A C J A

COBIT

30

Kontrola procesu IT Definiowania planu strategicznego IT zcelem biznesowym osi¹gania optymalnej równowagi pomiêdzymo¿liwo�ciami IT a wymaganiami biznesowymi dotycz¹cymi IT,jak równie¿ zapewnienia jej osi¹gniêcia w przysz³o�ci

l Proces planowania uwzglêdnia priorytetyzacjê planów (progra-mów) ustalonych w celu osi¹gniêcia celów biznesowych orazpodaje w liczbach, je�li to mo¿liwe, wymagania biznesowe

l Wykup przez kierownictwo i wsparcie s¹ umo¿liwiane przezudokumentowan¹ metodykê rozwoju strategii IT, wsparciezatwierdzonych danych oraz zestrukturyzowany, przejrzystyproces podejmowania decyzji

l Plan strategiczny IT jasno okre�la pozycjê ryzyka, wynikaj¹c¹ zg³ównej przewagi lub przyjêtej drogi testów, bycia innowatoremlub realizatorem (okre�lonych wcze�niej dzia³añ) oraz wymagarównowagi pomiêdzy czasem wypuszczenia produktu na rynek,kosztem w³a�cicielstwa i jako�ci¹ us³ug

l Wszystkie za³o¿enia planu strategicznego zosta³y przedstawione iprzetestowane

l Procesy, us³ugi i funkcje potrzebne do uzyskania wyniku s¹okre�lone, ale s¹ one elastyczne i zmienne, ³¹cznie z przejrzystymprocesem kontroli zmian

l Rzeczywiste sprawdzanie planu strategicznego przez stronytrzecie doprowadzi³o do obiektywno�ci i jest powtarzane wew³a�ciwym czasie

l Planowanie strategiczne IT jest przek³adane na mapê dzia³añ istrategie migracji

Krytyczne Czynniki Sukcesu

zapewnia dostarczanie informacji dla biznesu, które odno-sz¹ siê do wymaganych Kryteriów Informacyjnych i jestmierzone przez Kluczowe Wska�niki Celów

jest umo¿liwiona poprzez proces planowania strate-gicznego podejmowany w regularnych odstêpachczasu daj¹c podstawê do planów d³ugoterminowych;plany d³ugoterminowe powinny byæ okresowo przek³a-dane na plany operacyjne, ustalaj¹c jasne i konkretnecele krótkoterminowe

rozpatruje Krytyczne Czynniki Sukcesu, którewp³ywaj¹ na okre�lone Zasoby IT i s¹ mierzoneprzez Kluczowe Wska�niki Wydajno�ci

P skuteczno�æ

S wydajno�æ

poufno�æ

integralno�æ

dostêpno�æ

zgodno�æ

rzetelno�æ

Kryteria Informacyjne

ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

ü dane

Zasoby IT

l Procent planów strategicznych IT i planówstrategicznych biznesu, które s¹ zestrojone imaj¹ odzwierciedlenie w d³ugo- i krótkotermi-nowych planach prowadz¹c do ustaleniaindywidualnych odpowiedzialno�ci

l Procent jednostek biznesowych znaj¹cychwyra�ne, zrozumia³e i bie¿¹ce mo¿liwo�ci IT

l Ekspertyza kierownictwa okre�laj¹ca jasnepo³¹czenie pomiêdzy odpowiedzialno�ciami acelami strategicznymi biznesu i IT

l Procent jednostek biznesowych u¿ywaj¹cychstrategicznych technologii objêtych planemstrategicznym IT

l Procent bud¿etu IT obronionego przezw³ascicieli procesów biznesowych

l Akceptowalna i rozs¹dna liczba zaleg³ychprojektów IT

Kluczowe Wska�niki Celu

l Waluta, zgodnie z któr¹ nastêpuje oszacowaniemo¿liwo�ci IT (liczba miesiêcy, które up³ynê³yod ostatniej aktualizacji)

l Wiek planu strategicznego IT (liczba miesiêcy,które up³ynê³y od ostatniej aktualizacji)

l Procent uczestników zadowolonych z procesuplanowania strategicznego IT

l Opó�nienie czasowe pomiêdzy zmian¹ wplanach strategicznych IT a zmian¹ planówoperacyjnych

l Wska�nik uczestników zaanga¿owanych wrozwój planu strategicznego IT, oparty nawysi³ku, stosunek zaanga¿owanych w³a�cicielibiznesowych do pracowników IT i liczbykluczowych uczestników

l Wska�nik jako�ci planu, w³¹czaj¹c w tow³o¿one we w³a�ciwym czasie wysi³kirozwojowe, odnosz¹ce siê do zestrukturyzo-wanego podej�cia i kompletno�ci planu

Kluczowe Wska�niki Wydajno�ci

Planowanie i OrganizacjaDefiniowanie planu strategicznego ITPO1


31

PO1 Model Dojrza³o�ciKontrola procesu IT Definiowania planu strategicz-nego IT z celem biznesowym osi¹gania optymalnejrównowagi pomiêdzy mo¿liwo�ciami IT a wymagania-mi biznesowymi dotycz¹cymi IT, jak równie¿ zapew-nienia jej osi¹gniêcia w przysz³o�ci

0 Nieistniej¹cy. Planowanie strategiczne IT nie jestwykonywane. Kierownictwo nie jest �wiadome, ¿eplanowanie strategiczne IT jest potrzebne w celuwspierania celów biznesowych.

1 Pocz¹tkowy /Ad Hoc. Potrzeba planowania strategicznegoIT jest znana kierownictwu IT, ale nie ma zestrukturyzowa-nego procesu decyzyjnego. Planowanie strategiczne IT jestwykonywane wtedy, gdy jest potrzebne, jako odpowied� naspecyficzne wymagania biznesowe, dlatego, w rezultacie,(planowanie to) jest sporadyczne i niekonsekwentne.Planowanie strategiczne IT jest okazjonalnie dyskutowanena spotkaniach kierownictwa IT, ale nie na spotkaniachkierownictwa biznesowego. Zestrojenie wymagañbiznesowych, aplikacji i technologii jest wykonywanedora�nie i jest wymagane raczej poprzez oferty dostawcówni¿ poprzez strategiê ogólno-organizacyjn¹. Pozycja ryzykastrategicznego zosta³a okre�lona nieformalnie, dla ka¿degoprojektu (indywidualnie).

2 Powtarzalny, ale Intuicyjny. Proces planowania strate-gicznego IT jest zrozumiany przez kierownictwo IT, ale niejest udokumentowany. Planowanie strategiczne IT jestwykonywane przez kierownictwo IT, ale kierownictwobiznesowe jest informowane o nim (i to w ograniczonymzakresie) tylko wtedy, gdy jest to potrzebne. Aktualizowa-nie planu strategicznego IT ma miejsce tylko w odpowiedzina wymagania kierownictwa, i nie ma ¿adnego proaktyw-nego procesu identyfikowania (w nim) procesów rozwojuIT i biznesu, które wymaga³yby aktualizacji planu. Decyzjestrategiczne s¹ podejmowane �od projektu do projektu�,bez konsekwencji maj¹cych odbicie w strategii w ramachca³ej organizacji. Ryzyka i korzy�ci u¿ytkownika (wynika-j¹ce) z g³ównych decyzji strategicznych zosta³y uznane, aleich definicje s¹ intuicyjne.

3 Zdefiniowany Proces. Polityki definiuj¹ kiedy i w jakisposób wykonywaæ planowanie strategiczne IT. Planowa-nie strategiczne IT odbywa siê zgodnie z zestrukturyzowa-nym podej�ciem, które jest udokumentowane i znanewszystkim pracownikom. Proces planowania IT jest do�ærozs¹dny i zapewnia, ¿e odpowiednie planowanie jestprawdopodobne do wykonania. Jednak¿e, dyskrecja jest

przekazana poszczególnym menad¿erom pod wzglêdemwdro¿enia procesu i nie ma procedur regularnej kontroliprocesu. Ogólna strategia IT zawiera spójne definicje ryzykzwi¹zanych z tym, ¿e organizacja jest chêtna do byciainnowatorem lub realizatorem (wcze�niej okre�lonychzadañ). Strategie finansowe, techniczne i strategie dotycz¹-ce zarz¹dzania zasobami ludzkimi w IT coraz czê�ciejprowadz¹ do nabywania nowych produktów i technologii.

4 Zarz¹dzany i Mierzalny. Planowanie strategiczne IT jeststandardow¹ praktyk¹, a wyj¹tki bêd¹ zauwa¿one przezkierownictwo. Planowanie strategiczne zosta³o zdefiniowanejako funkcja zarz¹dzania z wysokim poziomem odpowie-dzialno�ci. Pod wzglêdem procesu planowania strategiczne-go IT kierownictwo potrafi monitorowaæ je, podejmowaæuzasadnione decyzje oparte na nim oraz mierzyæ jegoefektywno�æ. Zarówno planowanie krotko- jak i d³ugotermi-nowe ma miejsce i jest odzwierciedlone w (planach)organizacji, aktualizuj¹c je w ramach potrzeb. Strategia IT istrategia ogólno-organizacyjna s¹ coraz czê�ciej koordyno-wane przez zaanga¿owane procesy biznesowe i s¹ warto�ci¹dodan¹ mo¿liwo�ci oraz skutecznie wykorzystuj¹ aplikacje itechnologie poprzez proces biznesowy przebudowy. Istniejedobrze zdefiniowany proces bilansowania wewnêtrznych izewnêtrznych zasobów wymagany w systemie rozwoju isystemach operacyjnych. Porównania w stosunku do normbran¿owych i konkurencji zaczyna byæ coraz czê�ciejsformalizowane.

5 Zoptymalizowany. Planowanie strategiczne IT jestudokumentowanym, �¿yj¹cym� procesem, który jest ci¹glerozpatrywany w �wietle ustalonych celów i wyników, wmo¿liwej do ustalenia warto�ci biznesu, poprzez inwesto-wanie w IT. Ryzyko i warto�æ dodana s¹ ci¹gle aktualizo-wane w procesie planowania strategicznego IT. Istniejefunkcja planowania strategicznego IT, która jest integraln¹funkcj¹ planowania biznesu. Realistyczne d³ugoterminoweplany IT zosta³y zbudowane i s¹ stale aktualizowane w celuodzwierciedlenia zmieniaj¹cej siê technologii i rozwojuzwi¹zanego z ni¹ biznesu. Krótkoterminowe plany ITzawieraj¹ projekt zadañ krytycznych i zadañ mo¿liwych dowykonania, które s¹ ci¹gle monitorowane i aktualizowane,tak aby uwzglêdniæ wystêpuj¹ce zmiany. Porównania wstosunku do dobrze zrozumianych i solidnych normbran¿owych s¹ dobrze zdefiniowanym procesem oraz s¹zintegrowane z procesem opracowywania strategii.Organizacja IT okre�la i skutecznie wykorzystuje rozwójnowych technologii w celu tworzenia nowych mo¿liwo�cibiznesowych oraz poprawy korzy�ci organizacji, opartej nawspó³zawodnictwie.

PO1

COBIT

32

l Funkcja administrowania danymi zosta³a ustanowiona w organi-zacji na wystarczaj¹co wysokim poziomie, wraz z wystarczaj¹cy-mi uprawnieniami do administrowania korporacyjnym modelemdanych oraz standardami dotycz¹cymi informacji

l Standardy dotycz¹ce architektury informatycznej zosta³yudokumentowane, zakomunikowane oraz podporz¹dkowano siêim

l Model danych jest prosty i jasny dla wszystkichl Korporacyjny model danych, reprezentuj¹cy biznes, jest okre�lo-

ny i wprowadzony do architektury informatycznejl W³asno�æ danych zosta³a przydzielona i zaakceptowanal Dane i modele danych s¹ aktualnel Zautomatyzowane repozytoria s¹ u¿ywane w celu zapewnienia

konsekwencji pomiêdzy komponentami infrastruktury IT, takimijak architektura informatyczna, s³owniki danych, aplikacje,sk³adnie danych, programy klasyfikacji (danych) oraz poziomamibezpieczeñstwa (tych danych)

l Zrozumienie wymagañ informatycznych nastêpuje z wystarczaj¹-cym wyprzedzeniem





P skuteczno�æ

S wydajno�æ

poufno�æ

integralno�æ

dostêpno�æ

zgodno�æ

rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

ü dane

Zasoby IT

l Szybszy rozwój aplikacjil Zmniejszony czas zakupu g³ównych systemów

informatycznychl Wdro¿enie zdefiniowanych wymagañ

dotycz¹cych poufno�ci, dostêpno�ci iintegralno�ci

l Zmniejszenie zbêdnych danychl Zwiêkszona mo¿liwo�æ do wzajemnego

wspó³dzia³ania pomiêdzy systemami aaplikacjami

l Procent korporacyjnego s³ownika danychdostêpnego dla u¿ytkowników w sposóbautomatyczny


l Procent bud¿etu IT przeznaczonego na rozwóji utrzymanie architektury informatycznej

l Liczba zmian w aplikacji, wystêpuj¹cych poponownym uszeregowaniu z modelem danych

l Procent wymagañ dotycz¹cych integralno�ciinformacji udokumentowanych w programieklasyfikacji danych

l Liczba incydentów wystêpuj¹cych w aplikacjii w systemie spowodowanych niekonsekwen-cjami wystêpuj¹cymi w modelu danych

l Suma ponownie wykonanej pracy wynikaj¹cejz niekonsekwencji wystêpuj¹cych w modeludanych

l Liczba b³êdów przypisanych brakowi ustaleniawaluty (zgodnie z któr¹ ustala siê) architekturyinformatycznej

l Opó�nienie czasowe pomiêdzy zmianami warchitekturze informatycznej a aplikacjach


Kontrola procesu IT Definiowania architektury informatycznejz celem biznesowym optymalizacji organizacji systemów infor-matycznych

PO2 Planowanie i OrganizacjaDefiniowanie architektury informatycznej


33

PO2 Model Dojrza³o�ciKontrola procesu IT Definiowania architektury IT zcelem biznesowym optymalizacji organizacji syste-mów informatycznych

0 Nieistniej¹cy. Brak �wiadomo�ci znaczenia dla organi-zacji architektury informatycznej. W organizacji nieistnieje wiedza, fachowo�æ i odpowiedzialno�ci niezbêd-ne do rozwoju tej architektury.

1 Pocz¹tkowy /Ad Hoc. Kierownictwo uzna³o potrzebê(istnienia) architektury informatycznej, ale ¿aden proceslub plan jej rozwoju nie zosta³ sformalizowany. Mamiejsce odosobniony i dora�ny rozwój komponentówarchitektury informatycznej. Zdarzaj¹ siê odosobnione iczê�ciowe wdro¿enia diagramów danych, dokumentacjii regu³ dotycz¹cych sk³adni danych. Definicje odnosz¹siê do danych zamiast informacji, poza tym s¹ onewprowadzone przez dostawców oprogramowaniaaplikacyjnego. Przekazywanie potrzeb (istnienia)architektury informatycznej jest niekonsekwentne isporadyczne.

2 Powtarzalny, ale Intuicyjny. Istnieje �wiadomo�æznaczenia architektury informatycznej dla organizacji.Proces (ten) pojawia siê i jest podobny, chocia¿ niefor-malny oraz intuicyjny, procedury zosta³y stworzoneprzez indywidualne osoby wewn¹trz organizacji. Nieprzeprowadza siê formalnych szkoleñ, a ludzie zdoby-waj¹ swoje umiejêtno�ci poprzez manualne do�wiadcze-nie i techniki wielokrotnego powtarzania. Taktycznewymagania kieruj¹ rozwój komponentów architekturyinformatycznej do indywidualnych osób.

3 Zdefiniowany Proces. Znaczenie architektury informa-tycznej zosta³o zrozumiane i zaakceptowane, a odpowie-dzialno�æ za dostarczon¹ architekturê jest przypisaneoraz jasno zakomunikowane. Powi¹zane z ni¹ (architek-tur¹ informatyczn¹) procedury, narzêdzia i techniki -mimo, ¿e niewyszukane - zosta³y zestandaryzowane iudokumentowane oraz s¹ czê�ci¹ nieformalnych dzia³añszkoleniowych. Podstawowe polityki dotycz¹cearchitektury informatycznej zosta³y zbudowane,w³¹czaj¹c w to kilka strategicznych wymagañ, jednakzgodno�æ (dzia³añ) z politykami, standardami i narzê-dziami nie jest konsekwentnie egzekwowana. Zosta³aformalnie okre�lona funkcja administrowania, zosta³yprzygotowane ogólno-organizacyjne standardy oraz jestwykonywany raport dotycz¹cy dostarczenia i u¿yciaarchitektury informatycznej. Pojawiaj¹ siê ogólno-organizacyjne zautomatyzowane narzêdzia administro-

wania danymi, ale procesy i regu³y ich u¿ycia zosta³yokre�lone poprzez bazê danych oprogramowaniadostarczonego przez dostawcê.

4 Zarz¹dzany i Mierzalny. Rozwój i egzekwowaniearchitektury informatycznej jest w pe³ni wspieraneformalnymi metodami i technikami. Proces jest odpo-wiedzi¹ na zmiany i potrzeby biznesowe. Odpowiedzial-no�æ za wydajno�æ procesu rozwoju architektury jestwymuszona, a mierzenie architektury informatycznejjest satysfakcjonuj¹ce. Formalne dzia³ania zwi¹zane zeszkoleniem zosta³y okre�lone, udokumentowane i s¹konsekwentnie realizowane. Narzêdzia automatycznegowspierania s¹ rozpowszechnione, ale nie zosta³y jeszczezintegrowane. Wewnêtrzne najlepsze praktyki maj¹udzia³ i s¹ wprowadzone w proces. Zosta³y zidentyfiko-wane podstawowe metryki oraz system miar. Procesdefiniowania architektury informatycznej jest proaktyw-ny i skupiony na odnoszeniu siê do przysz³ych potrzebbiznesowych. Organizacja administrowania danymi jestaktywnie zaanga¿owana w wysi³ki rozwojowe wszyst-kich aplikacji w celu zapewnienia spójno�ci. Zautomaty-zowane repozytorium (danych) zosta³o w pe³ni wdro¿o-ne, a wiêkszo�æ kompleksowych modeli danych zosta³awdro¿ona w celu skutecznego wykorzystania informacjizawartych w bazach danych. Systemy informatycznewykonawcze oraz decyzje wspieraj¹ce systemy skutecz-nie wykorzystuj¹ dostêpne informacje.

5 Zoptymalizowany. Architektura informatyczna jestkonsekwentnie egzekwowana na wszystkich poziomach,a jej warto�æ dla biznesu jest ci¹gle akcentowana.Personel IT posiada fachowo�æ i umiejêtno�ci niezbêdnedo rozwoju i utrzymania silnej i �reaguj¹cej� architektu-ry informatycznej, która odzwierciedla wszystkiewymagania biznesowe. Informacje dostarczone przezarchitekturê informatyczn¹ s¹ konsekwentnie i wielo-krotnie stosowane. Rozleg³e (ich) u¿ywanie wykorzystu-je najlepsze praktyki bran¿owe dotycz¹ce rozwoju iutrzymania architektury informatycznej, w³¹czaj¹c w toproces ci¹g³ego ulepszania. Zosta³a zdefiniowanastrategia dotycz¹ca skutecznego wykorzystania informa-cji poprzez magazynowanie (w hurtowniach) danych itechnologie wydobywania danych. Architekturainformatyczna jest ci¹gle ulepszana i bierze pod uwagênietradycyjne procesy informatyczne, nietradycyjneorganizacje i systemy.

PO2

COBIT

34

l Raporty dotycz¹ce technologii biznesowej s¹ rozpowszechnianew jednostkach biznesowych

l Zmiany technologiczne s¹ proaktywnie monitorowane pod k¹temzagro¿eñ i mo¿liwo�ci, wraz z jasno przypisanymi obowi¹zkami orazokre�lonym procesem, który stosuje sprawdzone i niezawodne zasoby

l Wyniki monitorowania oceniane s¹ na poziomie kierownictwawy¿szego szczebla, a dzia³ania - podczas utrzymywania zestroje-nia z planem strategicznym IT - s¹ uzgadniane i zintegrowane zplanem struktury IT

l Infrastruktura badawcza, prototypowa i infrastruktura testowanias¹ nastawione w sposób skupiaj¹cy uwagê na demonstrowaniuwarto�ci biznesowych oraz raczej na zidentyfikowaniu ograni-czeñ i korzy�ci ni¿ na bieg³o�ci technologicznej

l Planowanie infrastruktury technologicznej jest wprowadzane doplanów dotycz¹cych nabywania technologii, rekrutacji i szkoleniazespo³u, wraz z rozwa¿eniem standardów i polityk u¿ycia technologii

l Istniej¹ mapy drogowe (roadmaps) oraz strategie migracji w celuprzenie�æ organizacjê z obecnego stanu do przysz³ego stanuinfrastruktury IT

l Kierunek technologiczny oraz za³o¿enia dotycz¹ce planowania s¹oceniane ponownie i niezale¿nie we w³a�ciwym czasie

l Plan infrastruktury IT jest regularnie oceniany pod k¹temaspektów awaryjnych

l Otwarta wymiana dzia³añ dotycz¹cych rozwoju technologii, atak¿e dobre relacje z dostawcami oraz stronami trzecimi promuj¹funkcje �ledzenia bran¿y i badania porównawcze





P skuteczno�æ

S wydajno�æ

poufno�æ

integralno�æ

dostêpno�æ

zgodno�æ

rzetelno�æ


ludzie

aplikacje

ü technologia

ü urz¹dzenia

dane

Zasoby IT

l Liczba rozwi¹zañ technologicznych, które s¹zgodne ze strategi¹ biznesow¹

l Procent planowanych projektów niezgodnychtechnologicznie

l Liczba niekompatybilnych technologii iplatform

l Zmniejszona liczba platform technologicznychdo utrzymania

l Zmniejszone wysi³ki dotycz¹ce strategicznegorozmieszczenia aplikacji oraz czasu wypusz-czenia (produktu) na rynek

l Zwiêkszona zdolno�æ do wspó³dzia³aniapomiêdzy systemami a aplikacjami


l Procent bud¿etu IT przydzielonego infrastruk-turze technologicznej i badaniu

l Liczba miesiêcy, które minê³y od ostatniegoprzegl¹du infrastruktury technologicznej

l Zadowolenie biznesu z identyfikacji i analizymo¿liwo�ci technologicznych, wykonanychwe w³a�ciwym czasie

l Procent dziedzin technologicznych (ujêtych) wplanie infrastruktury technologicznej, któreposiadaj¹ pod-plany specyfikuj¹ce aktualnystan, stan przewidywany oraz mapy dróg(roadmaps) dotycz¹ce wdro¿enia

l �rednia czasu pomiêdzy rozpoznaniempotencjalnie spe³niaj¹cej kryteria nowejtechnologii a decyzj¹ co zrobiæ z t¹ technologi¹


Kontrola procesu IT Determinowania kierunku technologicz-nego z celem biznesowym odniesienia korzy�ci z pojawiaj¹cychsiê technologii w celu prowadzenia oraz umo¿liwienia realizacjistrategii biznesowej

PO3 Planowanie i OrganizacjaDeterminowanie kierunku technologicznego


35

PO3 Model Dojrza³o�ciKontrola procesu IT Determinowania kierunkutechnologicznego z celem biznesowym odniesieniakorzy�ci z pojawiaj¹cych siê technologii w celuprowadzenia oraz umo¿liwienia realizacji strategiibiznesowej

0 Nieistniej¹cy. Brak jest �wiadomo�ci dotycz¹cejznaczenia jakie ma planowanie infrastruktury technolo-gicznej dla jednostki. Nie istnieje wiedza i fachowo�ækonieczne, aby taki plan zbudowaæ. Brak jest zrozumie-nia, ¿e planowanie dotycz¹ce zmian technologicznychjest krytyczne dla wydajnego przydzielenia zasobów.

1 Pocz¹tkowy /Ad Hoc. Kierownictwo uzna³o potrzebêplanowania infrastruktury technologicznej, ale niesformalizowa³o zarówno planu jak i procesu. Rozwójkomponentów technologicznych i wdro¿enia pojawiaj¹-cej siê technologii s¹ prowadzone ad hoc i izolowane.Podej�cie do planowania jest realizowane dora�nie ioperacyjnie. Kierunki technologiczne prowadzone s¹poprzez sprzeczne czêsto plany rozwoju produktudostawców sprzêtu, oprogramowania systemowego orazoprogramowania aplikacyjnego. Komunikowanie opotencjalnym wp³ywie zmian w technologii jestniespójne.

2 Powtarzalny, ale Intuicyjny. Istnieje niezaprzeczalnezrozumienie znaczenia planowania technologicznego. Tapotrzeba i (jej) znaczenie s¹ komunikowane. Planowaniejednak jest taktyczne i skupione na generowaniutechnicznych rozwi¹zañ dla technicznych problemówzamiast na u¿yciu technologii w celu spe³nienia potrzebbiznesowych. Ocenê zmian technologicznych pozosta-wia siê ró¿nym osobom �ledz¹cym intuicyjne, choæpodobne procesy. Brak jest formalnego szkolenia ikomunikowania o rolach i obowi¹zkach. Pojawia siêpowszechna technika i standardy dla rozwoju kompo-nentów infrastruktury.

3 Zdefiniowany Proces. Kierownictwo jest �wiadomeznaczenia planu infrastruktury technologicznej. Procesrozwoju planu infrastruktury technologicznej jest do�æsolidny i zgodny ze strategicznym planem IT. Istniejeokre�lony, udokumentowany i dobrze zakomunikowanyplan infrastruktury technologicznej, ale jest on niekonse-kwentnie stosowany. Kierunek infrastruktury technolo-gicznej obejmuje zrozumienie na temat tego gdzieorganizacja chce przewodziæ lub pozostawaæ w tyle wu¿yciu technologii, opartej na ryzykach i zestrojeniu zestrategi¹ organizacji. Kluczowi dostawcy s¹ wybierani w

oparciu o znajomo�æ ich d³ugoterminowych planówrozwoju produktu i technologii, zgodnych z kierunkamiorganizacji.

4 Zarz¹dzany i Mierzalny. Pracownicy IT posiadaj¹fachow¹ wiedzê i umiejêtno�ci konieczne, aby zbudo-waæ plan infrastruktury technologicznej. Ma miejsceformalne i specjalistyczne szkolenie dla rozpoznaniatechnologii. Potencjalny wp³yw zmieniaj¹cej i pojawia-j¹cej siê technologii jest wziêty pod uwagê orazzatwierdzony. Kierownictwo mo¿e wykryæ odstêpstwaod planu i przewidywaæ problemy. Zosta³a przypisanaodpowiedzialno�æ za rozwijanie i utrzymanie planuinfrastruktury technologicznej. Proces jest wysocez³o¿ony i reaguje na zmiany. Do procesu wprowadzononajlepsze wewnêtrzne praktyki. Strategia dotycz¹cazasobów ludzkich jest zgodna z kierunkiem technolo-gicznym w celu zapewnienia, ¿e pracownicy IT potrafi¹zarz¹dzaæ zmianami technologicznymi. S¹ okre�loneplany migracji dotycz¹ce wprowadzania nowychtechnologii. Outsoucing i partnerstwo s¹ skuteczniewykorzystywane w celu uzyskania dostêpu do niezbêd-nej wiedzy fachowej i umiejêtno�ci.

5 Zoptymalizowany. Istnieje funkcja (przeprowadzania)badañ w celu przegl¹du pojawiaj¹cych i rozwijaj¹cychsiê technologii oraz w celu porównania standardóworganizacji z normami bran¿owymi. Kierunek jestnadawany raczej przez bran¿owe i miêdzynarodowestandardy oraz rozwój, ni¿ przez wprowadzone przezdostawców technologie. Potencjalny wp³yw biznesu nazmianê technologiczn¹ jest przegl¹dany na poziomiekierownictwa wy¿szego szczebla, a decyzje odzwiercie-dlaj¹ wk³ad ludzki i technologiczny, który wp³ywa narozwi¹zania informatyczne. Wykonywane jest formalnezatwierdzenie nowych i zmienianych kierunkówtechnologicznych. Sformalizowano udzia³ w ustalaniustandardów cia³ zajmuj¹cych siê standaryzacj¹ oraz grupu¿ytkowników produktu dostawcy. Jednostka posiadasolidny plan infrastruktury technologicznej, któryodzwierciedla wymagania biznesowe, reaguje na zmianyi mo¿e byæ zmodyfikowany w celu odzwierciedleniazmian w �rodowisku biznesowym. Istnieje ci¹g³y iwymuszaj¹cy ulepszenia proces. Najlepsze praktykibran¿owe s¹ wykorzystywane w znacznym stopniu wcelu ustalania technicznego kierunku.

PO3

COBIT

36

l Organizacja IT zakomunikowa³a o swoich celach i wynikach nawszystkich poziomach

l IT jest zorganizowane tak, by by³o ono zaanga¿owane wewszystkie procesy decyzyjne, reagowa³o na kluczowe inicjatywybiznesowe oraz skupia³o siê na potrzebach dotycz¹cych automa-tyzacji firmy

l Model organizacji IT jest zgodny z funkcjami biznesu i szybkoprzystosowuje siê do zmian w �rodowisku biznesowym

l Poprzez zachêcanie i promowanie podejmowania obowi¹zków,organizacja IT wykorzystuje poszczególne jednostki i umo¿liwiaich rozwój oraz wzmacnia wspó³pracê miêdzy nimi

l Istnieje jasny proces kierowania i kontroli z segregacj¹ gdzie jestto potrzebne, specjalizacj¹ gdzie jest to wymagane oraz nadawa-niem uprawnieñ gdzie jest to korzystne

l Organizacja IT w³a�ciwie umieszcza bezpieczeñstwo, funkcjekontroli wewnêtrznej i jako�ci oraz w³a�ciwie utrzymuje równo-wagê pomiêdzy nadzorem a nadawaniem uprawnieñ

l Organizacja IT jest elastyczna, aby dostosowaæ siê do sytuacjiryzyka i kryzysu oraz przenie�æ siê z modelu hierarchicznego, gdywszystko jest dobrze, do modelu zespo³owego w okresach kryzysu,gdy narasta konieczno�æ nadawania uprawnieñ jednostkom

l Ustalono siln¹ kontrolê zarz¹dzania nad outsourcingiem us³ug IT,z jasno sprecyzowan¹ polityk¹ i �wiadomo�ci¹ ca³kowitychkosztów outsourcingu

l Istotne funkcje IT s¹ wyra�nie okre�lone w modelu organizacyj-nym, wraz z jasno wyszczególnionymi rolami i obowi¹zkami





P skuteczno�æ

S wydajno�æ

poufno�æ

integralno�æ

dostêpno�æ

zgodno�æ

rzetelno�æ


ü ludzie

aplikacje

technologia

urz¹dzenia

dane

Zasoby IT

l Liczba projektów biznesowych opó�nionych zpowodu bezw³adu organizacyjnego IT lubbraku wymaganych mo¿liwo�ci

l Liczba zasadniczych, podstawowych dzia³añIT na zewn¹trz organizacji IT, które nie s¹zatwierdzane lub nie podlegaj¹ standardomorganizacyjnym

l Liczba jednostek biznesowych wspieranychprzez organizacjê IT

l Wska�nik pomiaru nastawienia na biznespracowników IT, (ich) morale i zadowolenie zpracy

l Procent wykorzystania personelu IT wprocesach IT, które przynosz¹ bezpo�redniekorzy�ci biznesowe


l Wiek zmiany organizacyjnej ³¹cznie zreorganizacj¹ lub ponown¹ ocen¹ organizacji

l Liczba nie wprowadzonych do dzia³aniazaleceñ zwi¹zanych z ocen¹ organizacji

l Procent funkcji organizacyjnych IT przypo-rz¹dkowanych organizacyjnej strukturzebiznesowej

l Liczba jednostek IT z celami biznesowymiwp³ywaj¹cymi bezpo�rednio na role iobowi¹zki jednostek

l Procent ról z udokumentowanymi opisamistanowiska

l �redni czas up³ywaj¹cy pomiêdzy zmian¹kierunku biznesowego a odzwierciedleniem(tej) zmiany w strukturze organizacyjnej IT

l Procent istotnych funkcji, które s¹ jasnookre�lone w modelu organizacyjnym, wraz zwyra�nymi rolami i obowi¹zkami


Kontrola procesu IT Definiowania organizacji i relacji IT zcelem biznesowym dostarczania w³a�ciwych us³ug IT

PO4 Planowanie i OrganizacjaDefiniowanie organizacja i relacji IT


37

PO4 Model Dojrza³o�ciKontrola procesu IT Definiowania organizacji irelacji IT z celem biznesowym dostarczenia w³a�ci-wych us³ug IT

0 Nieistniej¹cy. Brak faktycznie ustanowionej organizacjiIT skupiaj¹cej siê na osi¹gniêciu celów biznesowych

1 Pocz¹tkowy /Ad Hoc. Dzia³ania i funkcje IT s¹ dora�nei niekonsekwentnie wdra¿ane. Nie okre�lono strukturyorganizacyjnej, role i obowi¹zki s¹ nieformalnieprzypisywane i nie istnieje jasna �cie¿ka odpowiedzial-no�ci. Funkcja IT uwzglêdnia funkcjê wsparcia bezogólnej perspektywy organizacji.

2 Powtarzalny, ale Intuicyjny. Istnieje niezaprzeczalnezrozumienie potrzeby organizacji IT, jednak¿e role iobowi¹zki nie s¹ ani sformalizowane ani egzekwowane.Funkcja IT jest zorganizowana w taki sposób, abyodpowiadaæ taktycznie, choæ niekonsekwentniepotrzebom u¿ytkownika oraz relacjom z dostawcami.Potrzebê strukturalnej organizacji i zarz¹dzania dostaw-c¹ zakomunikowano, ale decyzje ci¹gle jeszcze polegaj¹na wiedzy i umiejêtno�ciach kluczowych osób. Dozarz¹dzania organizacj¹ IT i relacjami z dostawc¹stosowana jest pojawiaj¹c¹ siê powszechnie technika.

3 Zdefiniowany Proces. Role i obowi¹zki organizacji IT iosób trzecich s¹ zdefiniowane. Organizacja IT jestrozwijana, dokumentowana, komunikowana i zgodna zestrategi¹ IT. Zdefiniowano projekt organizacyjny oraz�rodowisko kontroli wewnêtrznej. Istniej¹ca formaliza-cja dotyczy relacji z innymi stronami, obejmuj¹ckomitety steruj¹ce, audyt wewnêtrzny oraz zarz¹dzaniedostawc¹. Pod wzglêdem funkcjonalnym organizacja ITjest kompletna, jednak¿e IT wci¹¿ bardziej skupia siê narozwi¹zaniach technologicznych zamiast na rozwi¹zy-waniu problemów biznesowych. Istniej¹ definicjefunkcji, które maj¹ byæ wykonywane przez personel IToraz te, które bêd¹ wykonywane przez u¿ytkowników.

4 Zarz¹dzany i Mierzalny. Organizacja IT jest wysocez³o¿ona, reaguje proaktywnie na zmiany i obejmujewszystkie role niezbêdne, aby spe³niæ wymaganiabiznesu. Zarz¹dzanie IT, w³a�cicielstwo procesu, zakresobowi¹zków i odpowiedzialno�ci s¹ zdefiniowane izrównowa¿one. S¹ spe³nione istotne wymaganiaodnosz¹ce siê do pracowników IT i potrzeba dotycz¹cafachowo�ci. W organizacji funkcji IT zosta³y zastosowa-ne najlepsze wewnêtrzne praktyki. Kierownictwo IT jestfachowe i posiada odpowiednie umiejêtno�ci, ¿ebyzdefiniowaæ, wdro¿yæ i monitorowaæ preferowan¹

organizacjê oraz relacje. Zestandaryzowano systempomiaru dla wsparcia celów biznesowych oraz zdefinio-wane przez u¿ytkownika krytyczne czynniki sukcesu. S¹dostêpne spisy umiejêtno�ci pracowników, aby wesprzeæprojekt rozwoju pod wzglêdem personalnym i profesjo-nalnym. Jest zdefiniowany i wprowadzony w ¿yciebilans umiejêtno�ci i zasobów dostêpnych wewnêtrznieoraz tych potrzebnych spoza organizacji.

5 Zoptymalizowany. Struktura organizacyjna IT w³a�ci-wie odzwierciedla potrzeby biznesowe poprzez dostar-czenie us³ug podporz¹dkowanych strategicznymprocesom biznesowym zamiast odizolowanym technolo-giom. Struktura organizacyjna IT jest elastyczna iposiada zdolno�æ adaptacji. Istnieje formalna definicjarelacji pomiêdzy u¿ytkownikami i stronami trzecimi.Najlepsze praktyki bran¿owe stosuje siê w miejscachstrategicznych. Proces rozwoju i zarz¹dzania struktur¹organizacyjn¹ jest wysoce z³o¿ony, postêpuj¹cy i dobrzezarz¹dzany. Szeroko wykorzystywana jest wewnêtrzna izewnêtrzna wiedza techniczna. Szeroko stosuje siêtechnologie pomagaj¹ce w monitorowaniu organizacyj-nych ról i obowi¹zków. IT wspomaga siê technologi¹,aby wspieraæ z³o¿one, rozmieszczone geograficznie iwirtualne organizacje. Istniej¹cy proces jest staleulepszany.

PO4

COBIT

38

l Wszystkie koszty zwi¹zane z IT s¹ zidentyfikowane i sklasyfikowanel Jest utrzymywany skuteczny spis maj¹tku IT, który u³atwia

dok³adny pomiar kosztówl S¹ zdefiniowane formalne kryteria inwestycyjne dla podejmowa-

nia decyzji w procesie zatwierdzania daj¹ce siê przystosowaæ dowszystkich typów projektów

l Jest zdefiniowany plan dostaw IT dostarczaj¹cy ca³o�ciowejinformacji (kontekstu), tak aby istnia³ jasny pogl¹d na temattrwaj¹cych prac i inwestycji, cykli technologicznych orazzdolno�ci do ponownego u¿ycia komponentów technologicznych

l Proces podejmowania decyzji inwestycyjnych jest zdefiniowany iuwzglêdnia wp³ywy d³ugo- i krótkoterminowe, wp³ywy miedzywy-dzia³owe, uzasadnienie biznesowe, realizacjê korzy�ci, wk³adstrategiczny i zgodno�æ z technologiczn¹ architektur¹ i kierunkiem

l Aby zezwoliæ na dokonanie jasnego wyboru opartego na wp³ywach,wymiernych korzy�ciach, ramach czasowych i wykonalno�ci, decyzjeinwestycyjne wymagaj¹ prezentacji, wraz z opcjami i alternatywami

l Bud¿et i inwestycje IT s¹ zgodne ze strategi¹ IT i planami biznesowymil Wydatkowane zatwierdzone uprawnienia s¹ jasno delegowanel Bud¿et, która pokrywa do koñca wydatki posiada rozpoznawalnych

i odpowiedzialnych w³a�cicieli i jest on wydatkowany we w³a�ci-wym czasie oraz �ci�le �ledzony w sposób zautomatyzowany

l Istnieje jasna odpowiedzialno�æ kierownictwa za spe³nienieprognozowanych korzy�ci, a proces �ledzenia i raportowaniarealizacji korzy�ci istnieje, eliminuj¹c dotacje

l Istnieje jasna odpowiedzialno�æ kierownictwa za realizacjê i�ledzenie prognozowanych korzy�ci

l Podejmuj¹cy decyzjê uwzglêdniaj¹ ca³kowity wp³yw obejmuj¹cype³ny cykl rozwoju i niekorzystne efekty w pozosta³ych jednost-kach biznesowych





P skuteczno�æ

P wydajno�æ

poufno�æ

integralno�æ

dostêpno�æ

zgodno�æ

S rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

dane

Zasoby IT

l Procent inwestycji IT spe³niaj¹cy lubprzekraczaj¹cy oczekiwane korzy�ci, woparciu o zwrot inwestycji i zadowoleniau¿ytkownika

l Rzeczywiste wydatki IT jako procentca³kowitych wydatków organizacji w stosunkudo celów

l Rzeczywiste wydatki IT jako procentdochodów w stosunku do celów

l Procent zrealizowanych bud¿etów, przezna-czonych na IT przez w³a�cicieli procesówbiznesowych

l Brak projektu opó�nionego z powodu zw³okiw podejmowaniu decyzji inwestycyjnych lubniedostêpno�ci �rodków finansowych


l Procent projektów u¿ywaj¹cych standardo-wych modeli inwestowania i bud¿etowania IT

l Procent projektów posiadaj¹cych w³a�cicieli zobszaru biznesu

l Liczba miesiêcy up³ywaj¹cych od ostatniegoprzegl¹du bud¿etów

l Opó�nienie czasowe pomiêdzy wyst¹pieniemodchyleñ a raportowaniem o nich

l Procent plików projektu zawieraj¹cych ocenyinwestycji

l Liczba projektów po zatwierdzeniu, ujawniaj¹-cych konflikty inwestycyjne lub zasobów

l Liczba przypadków opó�nienia czasowego iopó�nionego u¿ycia nowej technologii


Kontrola procesu IT Zarz¹dzania inwestycjami IT z celembiznesowym zapewniania finansowania i kontroli wydatkowaniazasobów finansowych

PO5 Planowanie i Organizacja Zarz¹dzanie inwestycjami IT


39

PO5 Model Dojrza³o�ciKontrola procesu IT Zarz¹dzanie inwestycjami IT zcelem biznesowym zapewniania finansowania ikontroli wydatkowania zasobów finansowych

0 Nieistniej¹cy. Nie ma �wiadomo�ci znaczenia wyboru ibud¿etowania inwestycji IT. Brak jest �ledzenia imonitorowania wydatków i inwestycji IT.

1 Pocz¹tkowy /Ad Hoc. Organizacja uzna³a (istnienie)potrzeby zarz¹dzania inwestycjami IT, ale potrzeba tajest niekonsekwentnie komunikowana. Brak jestformalnego przypisania odpowiedzialno�ci za wybórinwestycji IT i rozbudowê bud¿etu. Postrzeganeznacz¹ce wydatki wymagaj¹ wspieraj¹cych je uzasad-nieñ. Wystêpuj¹ izolowane wdro¿enia wybranych ibud¿etowanych inwestycji IT z nieformaln¹ dokumenta-cj¹. Inwestycje IT s¹ uzasadniane na zasadach ad hoc.Zdarzaj¹ siê decyzje dora�ne i operacyjnie nastawionena bud¿etowanie.

2 Powtarzalny, ale Intuicyjny. Istnieje niezaprzeczalnezrozumienie potrzeby wyboru i bud¿etowania inwestycjiIT. Potrzeba procesu wyboru i bud¿etowania jestkomunikowana. Podporz¹dkowanie procesowi jestzale¿ne od indywidualnych inicjatyw w organizacji.Wykorzystuje siê pojawiaj¹c¹ siê powszechn¹ technikê,aby rozwin¹æ komponenty bud¿etu IT. Podejmowanedecyzje odnosz¹ce siê do bud¿etowania s¹ dora�ne itaktyczne. Zaczyna siê uwzglêdniaæ w podejmowanychdecyzjach inwestycyjnych oczekiwania oparte natrendach technologicznych oraz na wp³ywie jaki bêd¹mia³y na zdolno�æ produkcyjn¹ i cykl rozwoju systemu.

3 Zdefiniowany Proces. Procesy wyboru inwestycji IT ibud¿etowania s¹ do�æ mocne i obejmuj¹ kluczowybiznes oraz kwestie technologiczne. Wybór inwestycji ipolityka s¹ zdefiniowane, udokumentowane i zakomuni-kowane. Bud¿et IT jest zgodny ze strategicznymiplanami biznesowymi IT. Procesy bud¿etowania iwyboru inwestycji IT s¹ sformalizowane, udokumento-wane i zakomunikowane. Wystêpuje nieformalnesamokszta³cenie. Ma miejsce formalne zatwierdzaniewyborów i bud¿etów inwestycyjnych IT. Bilanspomiêdzy inwestycjami w zakresach zasobów ludzkich,oprogramowania systemowego oraz aplikacyjnego jestzdefiniowany i uzgodniony, ¿eby wspomóc rozwójtechnologiczny oraz dostêpno�æ i zdolno�æ produkcyjn¹profesjonalistów IT.

4 Zarz¹dzany i Mierzalny. Obowi¹zki i odpowiedzialno-�ci wynikaj¹ce z dokonanego wyboru i bud¿etowania

inwestycyjnego s¹ przypisane okre�lonym osobom.Bud¿etowe sprzeczno�ci s¹ identyfikowane i rozwi¹zy-wane. Pracownicy IT posiadaj¹ wiedzê fachow¹ iumiejêtno�ci potrzebne, aby skonstruowaæ i zarekomen-dowaæ odpowiednie inwestycje IT. Formalne analizykosztów s¹ wykonywane obejmuj¹c bezpo�rednie ipo�rednie koszty istniej¹cych dzia³añ, jak równie¿proponowanych inwestycji, u¿ywaj¹c ca³kowitychkosztów wynikaj¹cych z pojêæ w³a�cicielstwa. W celubud¿etowania u¿ywa siê proaktywnych zestandaryzowa-nych procesów. Zmiana w rozwoju i kosztach dzia³aniapoczynaj¹c od sprzêtu i oprogramowania, a¿ dointegracji systemów i zasobów ludzkich IT jest uznanaw planach inwestycyjnych.

5 Zoptymalizowany. Korzy�ci i dochody s¹ obliczane wkategoriach finansowych i niefinansowych. Stosuje siênajlepsze praktyki bran¿owe, ¿eby porównaæ koszty izidentyfikowaæ odpowiednie propozycje oraz zwiêkszyæefektywno�æ inwestycji. Analiza rozwojów technolo-gicznych u¿ywana jest przy wyborze inwestycji iprocesie bud¿etowania. Proces podlega sta³ym ulepsze-niom. Decyzje inwestycyjne zawieraj¹ trendy poprawyceny /wydajno�ci wspierane przez nowe technologie iprodukty. Finansowanie alternatyw jest formalnie�ledzone i oceniane w kontek�cie istniej¹cej strukturykapita³owej organizacji, przy u¿yciu formalnych metodoceny. Ró¿nice s¹ proaktywnie identyfikowane. Analizad³ugoterminowych kosztów w³a�cicielstwa jest w³¹czo-na w decyzje inwestycyjne. Proces inwestycyjnyrozpoznaje potrzebê wsparcia d³ugoterminowychinicjatyw inwestycyjnych przez tworzenie nowychmo¿liwo�ci biznesowych osi¹ganych dziêki u¿yciutechnologii. Organizacja posiada dobrze zrozumian¹politykê dotycz¹c¹ ryzyka inwestycyjnego odno�nieprzewodzenia lub opó�nienia w u¿yciu technologii wrozwijanych, nowych mo¿liwo�ciach lub wydajno�cioperacyjnej.

PO5

COBIT

40

l Wprowadzenie w ¿ycie polityki jest uwzglêdnione i zadecydowa-ne podczas rozwoju polityki

l Istnieje proces potwierdzenia, aby zmierzyæ poziom �wiadomo-�ci, zrozumienia oraz zgodno�ci (dzia³añ) z politykami

l S¹ dostêpne dobrze zdefiniowane i jasno artyku³owane stwierdze-nia dotycz¹ce misji i polityki

l Polityki dotycz¹ce kontroli informacji s¹ zgodne z ogólnymiplanami strategicznymi

l Kierownictwo popiera i jest zaanga¿owane w polityki kontroliinformacji, akcentuj¹c potrzebê komunikacji, zrozumienia izgodno�ci

l Kierownictwo kieruje poprzez przyk³adl Istnieje daj¹ce siê zastosowaæ w praktyce poradnictwo dotycz¹ce

wdro¿enia polityk i procedurl S¹ stosowane ró¿norodne metody �zwracania uwagi�, aby szybko

komunikowaæ wa¿ne wiadomo�ci.l Polityki kontroli informacji s¹ powszechnie przyjête i aktualnel Istnieje konsekwentnie stosowana polityka dotycz¹ca zasad

rozwoju, która kieruje opracowaniem rozwoju, jego wprowadza-niem, zrozumieniem i zgodno�ci¹





P skuteczno�æ

wydajno�æ

poufno�æ

integralno�æ

dostêpno�æ

S zgodno�æ

rzetelno�æ


ü ludzie

aplikacje

technologia

urz¹dzenia

dane

Zasoby IT

l Procent planów i polityk IT obejmuj¹cychmisjê, wizjê, cele, warto�ci oraz kodekspostêpowania, które s¹ rozwijane i dokumen-towane

l Procent planów i polityk IT, które s¹komunikowane wszystkim uczestnikomprocesu

l Procent organizacji, który zosta³ przeszkolonyw politykach i procedurach

l Lepszy stopieñ �wiadomo�ci oparty naregularnych przegl¹dach

l Liczba polityk i procedur, którymi zajê³a siêkontrola informatyczna


l Opó�nienie czasowe pomiêdzy zatwierdze-niem polityki a zakomunikowaniem jeju¿ytkownikom

l Czêstotliwo�æ komunikowanial Wiek dokumentów polityki informatycznej

(liczba miesiêcy od ostatniej aktualizacji)l Procent bud¿etu przypisanego do rozwoju i

wdro¿enia polityki informatycznejl Procent polityk, które zosta³y przypisane

procedurom operacyjnym, w celu zapewnie-nia, ¿e s¹ one wykonywane


Kontrola procesu IT Przedstawienie celów i kierunków rozwo-ju z celem biznesowym zapewnianie �wiadomo�ci i zrozumieniatych celów przez u¿ytkownika

PO6 Planowanie i OrganizacjaPrzedstawienie celów i kierunków rozwoju


41

PO6 Model Dojrza³o�ciKontrola procesu IT Przedstawienie celów i kierun-ków rozwoju z celem biznesowym zapewnianie�wiadomo�ci i zrozumienia tych celów przez u¿ytkow-nika

0 Nieistniej¹cy. Kierownictwo nie ustanowi³o pewnego�rodowiska kontroli informacji. Brak jest rozpoznaniapotrzeby ustanowienia kompletu polityk, procedur,standardów i procesów zapewnienia zgodno�ci.

1 Pocz¹tkowy /Ad Hoc. Zarz¹dzanie jest dora�ne wzajmowaniu siê wymaganiami �rodowiska kontroliinformacji. Polityki, procedury i standardy s¹ budowanei komunikowane ad hoc i na takich podstawach jakie s¹potrzebne, prowadzone g³ównie poprzez sprawy.Procesy rozwoju, komunikacji i zgodno�ci s¹ nieformal-ne i niekonsekwentne.

2 Powtarzalny, ale Intuicyjny. Kierownictwo posiadaniezaprzeczalne zrozumienie potrzeb i wymagañskutecznego �rodowiska kontroli informacji, jednak¿epraktyki s¹ nieformalnie i niekonsekwentnie dokumen-towane. Kierownictwo zakomunikowa³o potrzebêpolityk, procedur i standardów kontroli, ale rozwójpozostawiono do uznania poszczególnym kierownikomoraz obszarom biznesowym. Polityki i pozosta³edokumenty wspieraj¹ce, rozwijane s¹ w oparciu oindywidualne potrzeby i brak jest ogólnych zasadyrozwoju. Jako�æ jest rozpoznawana jako po¿¹danafilozofia za któr¹ siê pod¹¿a, ale praktyka pozostawionajest do samodzielnej decyzji poszczególnych kierowni-kom. Szkolenie prowadzi siê dla poszczególnych osóbgdy zachodzi potrzeba.

3 Zdefiniowany Proces. Kierownictwo zbudowa³o,udokumentowa³o i zakomunikowa³o kompletne�rodowisko zarz¹dzania jako�ci¹ i kontrol¹ informacji,które zawiera zasady dla polityk, procedur i standardów.Proces rozwoju polityki jest strukturalny, utrzymywany iznany pracownikom a istniej¹ce polityki, procedury istandardy s¹ do�æ solidne i obejmuj¹ kluczowe kwestie.Kierownictwo zajê³o siê �wiadomo�ci¹ dotycz¹c¹bezpieczeñstwa IT zainicjowa³o programy u�wiadamia-j¹ce. Jest dostêpne formalne szkolenie, celem wsparcia�rodowiska kontroli informacji, ale nie jest ono stosowa-ne rygorystycznie. Istnieje niekonsekwentny monitoro-wanie zgodno�ci z politykami i standardami kontroli.

4 Zarz¹dzany i Mierzalny. Kierownictwo akceptujeodpowiedzialno�æ za komunikowanie polityk kontroli

wewnêtrznej i przekaza³o obowi¹zki oraz przydzieli³owystarczaj¹co du¿o zasobów w celu utrzymania�rodowiska w zgodzie ze znacz¹cymi zmianami. Zosta³oustanowione pewne, proaktywne �rodowisko kontroliinformacji ³¹cznie z zaanga¿owaniem dotycz¹cym�wiadomo�ci w zakresie jako�ci i bezpieczeñstwa IT.Zosta³ zbudowany, utrzymywany i zakomunikowanyrozbudowany kompletny zestaw polityk, procedur istandardów i jest po³¹czeniem najlepszych praktykwewnêtrznych. Zosta³y ustanowione zasady wprowadza-nia oraz pó�niejsze sprawdzania zgodno�ci.

5 Zoptymalizowany. �rodowisko kontroli informacji jestzgodne ze strategicznymi zasadami zarz¹dzania i wizj¹oraz czêsto przegl¹dane, uaktualniane i w sposób ci¹g³yulepszane. S¹ wyznaczeni wewnêtrzni i zewnêtrznieksperci by zapewniæ ¿e przyjête zosta³y najlepszepraktyki bran¿owe pod wzglêdem prowadzenia kontrolioraz technik komunikacji. Monitorowanie, procesysamooceny i komunikacji s¹ wszechobecne w organiza-cji. Stosuje siê technikê, ¿eby utrzymaæ bazy wiedzydotycz¹cej polityki i �wiadomo�ci oraz optymalizowaækomunikacjê u¿ywaj¹c automatyzacji biurowej orazkomputerowych narzêdzi szkolenia.

PO6

COBIT

42

l Istniej¹ zasady rozwoju i utrzymywania planu zarz¹dzaniazasobami ludzkimi IT

l Kierownictwo wspiera i jest zaanga¿owane w plan zarz¹dzaniazasobami ludzkimi IT

l Istnieje konsekwencja pomiêdzy strategicznym planem IT aplanem zarz¹dzania zasobami ludzkimi IT

l W celu rozwoju planu zarz¹dzania zasobami ludzkimi ITprzydzielono wystarczaj¹ce i odpowiednio wykwalifikowanezasoby

l Odpowiednio trwaj¹ce i o w³a�ciwym ukierunkowaniu szkoleniezasobów IT przydzielono, aby spe³niæ potrzeby planu zarz¹dzaniazasobami ludzkimi IT

l Kolejne plany rozpatruj¹ pojedyncze punkty zale¿no�ci, abyunikn¹æ pozostawienia luk w wiedzy specjalistycznej (fachowo-�ci)

l Wdro¿ono rotacjê pracy w celu rozwoju kariery





P skuteczno�æ

P wydajno�æ

poufno�æ

integralno�æ

dostêpno�æ

zgodno�æ

rzetelno�æ


ü ludzie

aplikacje

technologia

urz¹dzenia

dane

Zasoby IT

l Wiek planu zarz¹dzania zasobami ludzkimi ITokre�lony liczb¹ miesiêcy, które minê³y odostatniej aktualizacji

l Procent osób z zespo³u IT, spe³niaj¹cych profilkompetencyjny dla ich ról, które pe³ni¹ worganizacji

l Procent wykorzystania personelu IT wprocesach IT, które dostarczaj¹ bezpo�rednichkorzy�ci biznesowych

l Stopa fluktuacji personelu ITl Procent osi¹gniêæ zespo³ul �redni czas (w miesi¹cach) w jakim s¹ otwarte

zadania IT


l Opó�nienie czasowe pomiêdzy zmianami wplanie strategicznym IT a zmianami w planiezarz¹dzenia zasobami ludzkimi IT

l Procent personelu IT z zakoñczonymi planamiprofesjonalnego rozwoju

l Procent pracowników IT z udokumentowany-mi i wa¿nymi przegl¹dami wynikówdzia³alno�ci

l Procent czasu szkolenia przypadaj¹cy naosobê

l Procent krytycznego personelu przeszkolone-go na (ró¿nych) stanowiskach pracy orazprzypisanego personelowi pomocniczemu

l Liczba projektów opó�nionych lub anulowa-nych z powodu braku zasobów pracowniczychIT

l Procent bud¿etu przeznaczonego na zasobyludzkie przypisanego utrzymaniu i rozwojowiplanu zarz¹dzania zasobami ludzkimi IT

l Procent stanowisk pracowniczych IT zudokumentowanymi opisami pracy orazwynajêtymi kwalifikacjami


Kontrola procesu IT Zarz¹dzania zasobami ludzkimi z celembiznesowym nabywania i utrzymywania posiadaj¹cej siln¹motywacjê i kompetentnej si³y roboczej oraz zmaksymalizowaniaudzia³u personelu w procesach IT

PO7 Planowanie i OrganizacjaZarz¹dzanie zasobami ludzkimi


43

PO7 Model Dojrza³o�ciKontrola procesu IT Zarz¹dzania zasobami ludzkimiz celem biznesowym nabywania i utrzymywaniaposiadaj¹cej siln¹ motywacjê i kompetentnej si³yroboczej oraz zmaksymalizowania udzia³u personeluw procesach IT

0 Nieistniej¹cy. Nie ma �wiadomo�ci dotycz¹cej znacze-nia dla organizacji zgodno�ci zarz¹dzania zasobamiludzkimi IT z procesem planowania technologicznego.Brak jest osoby lub grupy (osób) formalnie odpowie-dzialnej za zarz¹dzanie zasobami ludzkimi IT.

1 Pocz¹tkowy /Ad Hoc. Kierownictwo uzna³o potrzebêzarz¹dzania zasobami ludzkimi IT, ale nie sformalizowa-³o procesu lub planu. Proces zarz¹dzania zasobamiludzkimi IT jest nieformalny i posiada dora�nie ioperacyjnie skupione podej�cie w celu zatrudniania izarz¹dzania personelem IT. Rozwija siê �wiadomo�ædotycz¹c¹ wp³ywu jaki maj¹ na potrzebê nowychumiejêtno�ci i poziomów kompetencyjnych szybkiezmiany biznesowe i technologiczne oraz coraz bardziejz³o¿one rozwi¹zania.

2 Powtarzalny, ale Intuicyjny. Istnieje niezaprzeczalnezrozumienie potrzeby zarz¹dzania zasobami ludzkimiIT. Istnieje taktyczne podej�cie do zatrudniania izarz¹dzania personelem IT, kierowane okre�lonymiprzez projekt potrzebami zamiast kierunkiem technolo-gicznym i zrozumia³¹ równowag¹ w dostêpno�ci zwewn¹trz i zewn¹trz wykwalifikowanego zespo³u. Mamiejsce nieformalne szkolenie nowych pracowników,którzy s¹ szkoleni wtedy, gdy zachodzi potrzeba.

3 Zdefiniowany Proces. Zosta³ zbudowany proceszarz¹dzania zasobami ludzkimi IT i istnieje zdefiniowa-ny i udokumentowany plan zarz¹dzania zasobamiludzkimi IT. Istnieje strategiczne podej�cie do zatrudnia-nia i zarz¹dzania personelem IT. Istnieje formalny planszkolenia zaprojektowany, aby spe³niaæ potrzebyzasobów ludzkich IT. Ustanowiono program rotacyjny,zaprojektowany dla rozszerzenia zarówno technicznychjak i biznesowych umiejêtno�ci kierownictwa.

4 Zarz¹dzany i Mierzalny. Odpowiedzialno�æ zazbudowanie i utrzymanie planu zarz¹dzania zasobamiludzkimi zosta³a przypisana okre�lonym osobom zwymagan¹ wiedz¹ fachow¹ i umiejêtno�ciami koniecz-nymi, aby zbudowaæ i utrzymywaæ plan. Proces jestzdolny do reagowania na zmiany. Organizacja posiadazestandaryzowane miary, które pozwalaj¹ jej zidentyfi-

kowaæ odchylenia od planu, ze szczególnym naciskiemna zarz¹dzanie wzrostem i fluktuacj¹ personelu IT.Analiza skali wynagrodzeñ jest okresowo wykonywanaw celu zapewnienia, ¿e pobory s¹ konkurencyjne wstosunku do poborów w porównywalnych organizacjachIT. Zarz¹dzanie zasobami ludzkimi IT jest proaktywne,bior¹ce pod uwagê rozwój �cie¿ek kariery.

5 Zoptymalizowany. Organizacja posiada skuteczny planzarz¹dzania zasobami ludzkimi IT, który spe³niawymagania biznesu w stosunku do IT oraz którywspiera biznes. Zarz¹dzanie zasobami ludzkimi IT jestzintegrowane z planowaniem technologicznym zapew-niaj¹cym optymalny rozwój i wykorzystanie dostêpnychumiejêtno�ci IT. Komponenty zarz¹dzania zasobamiludzkimi IT s¹ zgodne z najlepszymi praktykamibran¿owymi, takimi jak wynagradzanie, wykonywanieprzegl¹dów, udzia³ na forum bran¿owym, transferwiedzy, szkolenie oraz monitorowanie. Programyszkoleniowe s¹ budowane dla wszystkich nowychtechnologicznych standardów oraz produktów przed ichrozmieszczeniem w organizacji. W dostarczaniuumiejêtno�ci, szkoleñ oraz wymaganej informacjifachowej w ³atwo dostêpnych bazach danych stosuje siêtechnologie, aby wspomóc proces zarz¹dzania zasobamiludzkimi IT. Zdefiniowano i wprowadzono w ¿ycieprogramy zachêty dla kierownictwa IT, podobne dodostêpnych dla kierownictwa wy¿szego szczeblaorganizacji, w celu nagradzania tych, którzy spe³niaj¹cele wydajno�ci IT.

PO7

COBIT

44

l Zosta³y udokumentowane i zakomunikowane polityki i proceduryodnosz¹ce siê do zgodno�ci z wymaganiami zewnêtrznymi

l Funkcje monitoruj¹ce dokonuj¹ przegl¹dów zgodno�ci (zwymaganiami zewnêtrznymi)

l Jest utrzymywany spis dzia³añ naprawczych , potrzebnych dospe³nienia wymagañ zewnêtrznych

l S¹ definiowane dalsze procesy, aby rozwi¹zaæ zewnêtrznekwestie zgodno�ci

l Dostêpna jest informacja w celu okre�lenia kosztów zachowaniazgodno�ci z wymaganiami zewnêtrznymi

l S¹ wykonywane skuteczne audyty wewnêtrzne obejmuj¹cezachowanie zgodno�ci (z wymaganiami zewnetrznymi)





P skuteczno�æ

wydajno�æ

poufno�æ

integralno�æ

dostêpno�æ

P zgodno�æ

S rzetelno�æ


ü ludzie

ü aplikacje

technologia

urz¹dzenia

ü dane

Zasoby IT

l Liczba pojawiaj¹cych siê spraw wynikaj¹cychz zewnêtrznych uregulowañ prawnych,regulacji organów nadrzêdnych lub zkontraktów

l �rednia wieku otwartych spraw wynikaj¹cychz zewnêtrznych uregulowañ prawnych,regulacji organów nadrzêdnych lub zkontraktów

l Koszty niezgodno�ci (z wymaganiamizewnêtrznymi), takie jak sp³aty (uregulowa-nia) rachunków lub grzywny


l Czêstotliwo�æ dokonywania przegl¹dówzgodno�ci (z wymaganiami prawnymi)

l Liczba wyj¹tków zidentyfikowanych podczasdokonywania przegl¹dów zgodno�ci (zwymaganiami zewnêtrznymi)

l �rednie opó�nienie czasowe pomiêdzyzidentyfikowaniem kwestii zewnêtrznychniezgodno�ci a (ich) rozwi¹zaniem


Kontrola procesu IT Zapewniania zgodno�ci z wymaganiamizewnêtrznymi z celem biznesowym spe³niania zobowi¹zañprawnych, wynikaj¹cych z uregulowañ prawnych, regulacjiorganów nadrzêdnych oraz kontraktów

PO8 Planowanie i OrganizacjaZapewnianie zgodno�ci z wymaganiami zewnêtrznymi


45

PO8 Model Dojrza³o�ciKontrola procesu IT Zapewnienia zgodno�ci zwymaganiami zewnêtrznymi z celem biznesowymspe³niania zobowi¹zañ prawnych, wynikaj¹cych zuregulowañ prawnych, regulacji organów nadrzêdnychoraz kontraktów

0 Nieistniej¹cy. Istnieje niewielka �wiadomo�æ dotycz¹cazewnêtrznych uregulowañ, które wp³ywaj¹ na IT. Brakjest procesu odnosz¹cego siê do zachowania zgodno�ci zregulacjami organów nadrzêdnych, uregulowaniamiprawnymi oraz wynikaj¹cymi z kontraktów.

1 Pocz¹tkowy /Ad Hoc. Istnieje �wiadomo�æ wp³ywu jakimaj¹ na organizacjê, regulacje organów nadrzêdnych,uregulowania prawne oraz wynikaj¹ce z kontraktów.Stosowane s¹ nieformalne procesy utrzymania zgodno-�ci, ale potrzeba taka pojawia siê wy³¹cznie w nowychprojektach albo w odpowiedzi na przeprowadzoneaudyty lub przegl¹dy.

2 Powtarzalny, ale Intuicyjny. Istnieje zrozumieniepotrzeby zachowania zgodno�ci z wymaganiamizewnêtrznymi i potrzeba ta jest komunikowana. Gdyzachowanie zgodno�ci staje siê powtarzaj¹cym siêwymaganiem, tak jak regulacje organów nadrzêdnychdotycz¹cych finansów lub prywatne ustawodawstwo,indywidualne procedury zachowania zgodno�ci s¹zbudowane i stosowane z roku na rok. Nie istniejejednak¿e ¿aden ogólny program zapewniaj¹cy, ¿ewszystkie wymagania dotycz¹ce zachowania zgodno�cis¹ spe³nione. St¹d jest prawdopodobne, ¿e wyst¹pi¹wyj¹tki i ¿e nowym potrzebom zachowania zgodno�cibêdzie siê zaradzaæ dora�nie. Istnieje wysokie uzale¿nie-nie od wiedzy i odpowiedzialno�ci indywidualnych osóbi prawdopodobieñstwo wyst¹pienia b³êdów.

3 Zdefiniowany Proces. Zosta³y zbudowane, udokumen-towane i zakomunikowane polityki, procedury i procesy,zapewniaj¹ce zachowanie zgodno�ci z regulacjamiorganów nadrzêdnych oraz zobowi¹zaniami wynikaj¹cy-mi z kontraktów i prawa. Nie zawsze s¹ one stosowane iniektóre mog¹ byæ nieaktualne lub nierealne do wdro¿e-nia. Wykonywane jest niewielkie monitorowanie, atak¿e istniej¹ wymagania dotycz¹ce zachowaniazgodno�ci, którymi siê nie zajêto. Prowadzi siê szkole-nie w zakresie zewnêtrznych wymagañ prawnych iwynikaj¹cych z regulacji organów nadrzêdnych,maj¹cych wp³yw na organizacjê i zdefiniowane procesyzachowania zgodno�ci. Istniej¹ standardowe kontraktypro forma i procesy prawne, minimalizuj¹ce ryzyka

zwi¹zane z odpowiedzialno�ci¹ wynikaj¹c¹ z kontrak-tów.

4 Zarz¹dzany i Mierzalny. Istnieje pe³ne zrozumieniekwestii i ujawnienie wymagañ zewnêtrznych orazpotrzeba zapewnienia zgodno�ci na wszystkich pozio-mach. Istnieje formalny program szkolenia, któryzapewnia ¿e ca³y personel jest �wiadomy swoichobowi¹zków dotycz¹cych zgodno�ci. Proces obejmujeprzegl¹d �rodowiska w celu zidentyfikowania wymagañzewnêtrznych oraz trwaj¹cych zmian. Istnieje mecha-nizm, który monitoruje niezgodno�ci z wymaganiamizewnêtrznymi, aby wprowadzaæ w ¿ycie praktykiwewnêtrzne i wdra¿aæ akcje naprawcze. Kwestieniezgodno�ci s¹ analizowane w sposób zestandaryzowa-ny, aby wykryæ przyczyny w celu zidentyfikowaniaodno�nych rozwi¹zañ. S¹ wykorzystywane zestandaty-zowane, najlepsze praktyki wewnêtrzne dla okre�lonychpotrzeb, takich jak sta³e regulacje oraz ponawiaj¹ce siêumowy kontraktowe dotycz¹ce us³ug.

5 Zoptymalizowany. Istnieje dobrze zorganizowany,skuteczny i wprowadzony w ¿ycie proces zapewniaj¹cyzachowanie zgodno�ci, oparty na pojedynczej centralnejfunkcji, która dostarcza poradnictwa i jest koordynato-rem dla ca³ej organizacji. Istnieje rozleg³a wiedza omaj¹cych zastosowanie zewnêtrznych wymaganiach,obejmuj¹ca przysz³e trendy i przewidywane zmiany,oraz potrzebê nowych rozwi¹zañ. Organizacja bierzeudzia³ w zewnêtrznych dyskusjach z grupami przedsta-wicieli organów nadrzêdnych i bran¿owych, abyzrozumieæ wp³yw wymagañ zewnêtrznych ich dotycz¹-cych. Zosta³y rozwiniête najlepsze praktyki zapewniaj¹-ce skutecznie zgodno�æ z wymaganiami zewnêtrznymi,w rezultacie których rzadko wystêpuj¹ wyj¹tki dotycz¹-ce zgodno�ci. Istnieje centralny dla ca³ej organizacjisystem �ledzenia umo¿liwiaj¹cy kierownictwu doku-mentowanie fluktuacji oraz mierzenie i poprawê jako�cii efektywno�ci procesów monitoruj¹cych zachowaniezgodno�ci. Jest wdro¿ony proces samooceniaj¹cyodno�nie zewnêtrznych wymagañ, który zosta³ udosko-nalony do poziomu najlepszej praktyki. Kultura i stylzarz¹dzania organizacji odnosz¹ce siê do zachowaniazgodno�ci s¹ wystarczaj¹co silne, a procesy s¹ rozbudo-wane wystarczaj¹co dobrze, aby ograniczyæ szkoleniedo nowego personelu oraz wyst¹pienia znacz¹cejzmiany.

PO8

COBIT

46

l Istniej¹ jasno zdefiniowane role i obowi¹zki w³a�cicieli procesuzarz¹dzania ryzykiem oraz jasno zdefiniowana odpowiedzialno�ækierownictwa

l Jest ustanowiona polityka definiowania limitów ryzyka oraztolerancji ryzyka

l Ocena ryzyka jest wykonywana przez porównanie wra¿liwo�ci,zagro¿eñ i znaczenia danych

l Jest utrzymywana informacja o ryzyku strukturalnym, wprowa-dzona przez raportowanie dotycz¹ce incydentów

l Istniej¹ obowi¹zki i procedury dotycz¹ce definiowania, uzgadnia-nia, finansowania udoskonaleñ zarz¹dzania ryzykiem

l W pierwszym rzêdzie uwaga skupiona jest na rzeczywistychzagro¿eniach a mniej na teoretycznych

l S¹ przeprowadzane rutynowo sesje burz mózgów i analizyprzyczyn �ród³owych prowadz¹ce do identyfikacji i zmniejszeniaryzyka

l Aby zwiêkszyæ obiektywizm, prowadzona jest przez osobytrzecie i powtarzana w odpowiednim okresach, rzeczywistakontrola strategii





P skuteczno�æ

S wydajno�æ

P poufno�æ

P integralno�æ

P dostêpno�æ

S zgodno�æ

S rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

ü dane

Zasoby IT

l Zwiêkszony stopieñ �wiadomo�ci potrzebyoceniania ryzyka

l Zmniejszona liczba incydentów spowodowa-nych przez ryzyka rozpoznane po fakcie

l Zwiêkszona liczba rozpoznanego ryzyka,które zosta³o znacznie zmniejszone

l Zwiêkszona liczba procesów IT, które maj¹zakoñczone formalnie udokumentowane ocenyryzyka

l Odpowiedni procent lub liczba skutecznych�rodków oceny ryzyka


l Liczba spotkañ i warsztatów dotycz¹cychzarz¹dzania ryzykiem

l Liczba projektów dotycz¹cych ulepszeñ wzarz¹dzaniu ryzykiem

l Poziom funduszy przydzielonych projektomzarz¹dzania ryzykiem

l Liczba i czêstotliwo�æ uaktualnieñ dlaupowszechnienia limitów i polityk dotycz¹-cych ryzyka

l Liczba i czêstotliwo�æ raportów odnosz¹cychsiê do monitorowania ryzyka

l Liczba pracowników przeszkolonych wmetodyce zarz¹dzania ryzykiem


Kontrola procesu IT Szacowania ryzyka z celem biznesowymwspierania decyzji kierownictwa w osi¹ganiu celów IT orazreagowania na zagro¿enia przez ograniczanie z³o¿ono�ci, wzrostobiektywno�ci oraz rozpoznanie wa¿nych czynników decyzyj-nych

PO9 Planowanie i OrganizacjaSzacowanie ryzyka


47

PO9 Model Dojrza³o�ciKontrola procesu IT Szacowania ryzyka z celembiznesowym wspierania decyzji kierownictwa wosi¹ganiu celów IT oraz reagowania na zagro¿eniaprzez ograniczanie z³o¿ono�ci, wzrost obiektywno�cioraz rozpoznanie wa¿nych czynników decyzyjnych

0 Nieistniej¹cy. Nie jest wykonywana ocena ryzykaprocesów i decyzji biznesowych. Organizacja nierozwa¿a wp³ywu na biznes zwi¹zanego z wra¿liwo�ci¹pod wzglêdem bezpieczeñstwa oraz niepewno�cirozwijanych projektów. Zosta³o rozpoznane ryzykozarz¹dzania jako powi¹zanie z nabywaniem rozwi¹zañIT oraz dostarczaniem us³ug IT.

1 Pocz¹tkowy /Ad Hoc. Organizacja jest �wiadomaswoich prawnych i wynikaj¹cych z kontraktów obowi¹z-ków oraz odpowiedzialno�ci prawnej, ale rozpatruje onaryzyka IT ad hoc, bez stosowania zdefiniowanychprocedur czy polityk. Maj¹ miejsce nieformalne ocenyprojektowanego ryzyka wyznaczane przez ka¿dyprojekt. Prawdopodobnie nie ma ocen ryzyka, któremaj¹ byæ �ci�le rozpoznane w planie projektu lub maj¹byæ przypisane okre�lonym kierownikom zaanga¿owa-nym w projekt. Kierownictwo IT nie okre�li³o odpowie-dzialno�ci za zarz¹dzanie ryzykiem w opisach zadañ lubw inny nieformalny sposób. Specyficzne, zwi¹zane z ITryzyka takie jak bezpieczeñstwo, dostêpno�æ i integral-no�æ s¹ rozpatrywane okazjonalnie, z projektu naprojekt. Ryzyka zwi¹zane z IT, dotycz¹ce codziennychoperacji, s¹ sporadycznie dyskutowane na spotkaniachkierownictwa. Tam, gdzie ryzyko zosta³o rozpatrzone,nie ogranicza siê go w sposób konsekwentny.

2 Powtarzalny, ale Intuicyjny. Pojawia siê zrozumieniedla znaczenia jakie maj¹ ryzyka IT oraz potrzeba ichrozwa¿enia. Istnieje jakie� podej�cie do oceny ryzyka,ale proces jest jeszcze niedojrza³y i rozwijany. Ocenajest zwykle prowadzona na wysokim poziomie itypowym jest stosowanie jej przy g³ównych projektach.Ocena dzia³añ, które trwaj¹, zale¿y g³ównie od kierow-ników IT wnosz¹cych j¹ jako szczegó³ w agendzie, cozdarza siê tak czêsto jak wystêpuj¹ problemy. Kierow-nictwo IT nie posiada ogólnie zdefiniowanych procedurlub opisów zadañ traktuj¹cych o zarz¹dzaniu ryzykiem.

3 Zdefiniowany Proces. Polityka zarz¹dzania ryzykiem,dotycz¹ca ca³ej organizacji, okre�la kiedy i jak przepro-wadzaæ oceny ryzyka. Podczas oceniania ryzykastosowany jest proces, który jest udokumentowany idostêpny wszystkim pracownikom podczas szkolenia.

Decyzje o zastosowaniu procesu i otrzymaniu szkolenias¹ pozostawione do decyzji indywidualnych osób.Metodyka jest przekonuj¹ca i dog³êbna oraz zapewnia,¿e kluczowe ryzyka biznesu prawdopodobnie bêd¹zidentyfikowane. Decyzje o stosowaniu procesu s¹pozostawiane indywidualnym kierownikom IT i brakjest procedury zapewniaj¹cej, ¿e wszystkie projekty s¹ni¹ objête lub, ¿e trwaj¹ce dzia³ania s¹ badane podk¹tem ryzyka w oparciu o sta³e zasady.

4 Zarz¹dzany i Mierzalny. Ocena ryzyka jest standardo-w¹ procedur¹ i wyj¹tki odnosz¹ce siê do jej stosowaniaby³yby zauwa¿one przez kierownictwo IT. Jest prawdo-podobne, ¿e zarz¹dzanie ryzykiem IT jest okre�lon¹funkcj¹ zarz¹dzania z odpowiedzialno�ci¹ wy¿szegoszczebla. Proces jest zaawansowany, a ryzyko regularnieoszacowane na poziomach poszczególnych projektów wodniesieniu do ca³o�ci operacji IT. Kierownictwo jestpowiadamiane o zmianach w �rodowisku IT, któremog³yby znacznie wp³yn¹æ na scenariusze ryzyka tj.wzrost zagro¿enia ze strony sieci lub trendów technicz-nych, które wp³ywaj¹ na s³uszno�æ strategii IT. Kierow-nictwo jest w stanie monitorowaæ pozycjê ryzyka ipodejmowaæ uzasadnione decyzje odno�nie tego co chcezaakceptowaæ. Kierownictwo wy¿szego szczebla orazkierownictwo IT okre�li³o poziomy ryzyka, któreorganizacja bêdzie tolerowa³a oraz zestandaryzowa³omiary stóp ryzyka /zwrotu. Kierownictwo preliminujeoperacyjne projekty zarz¹dzania ryzykiem, aby ponow-nie oceniaæ ryzyko na sta³ych zasadach. Zosta³austanowiona baza danych dotycz¹ca zarz¹dzaniaryzykiem.

5 Zoptymalizowany. Ocena ryzyka rozwinê³a siê doetapu, kiedy w ca³ej organizacji wprowadza siê struktu-ralny, stosowany stale i dobrze zarz¹dzany proces. Wca³ej organizacji stosuje siê burze mózgów dotycz¹ceryzyka oraz analizy przyczyn �ród³owych anga¿uj¹cfachowców. Wychwytywanie, analizowanie i raportowa-nie danych dotycz¹cych zarz¹dzania ryzykiem s¹wysoko zautomatyzowane. Poradnictwa udzielaj¹liderzy z danej dziedzinie, a organizacja bierze udzia³ wwymianie do�wiadczeñ pomiêdzy grupami o podobnymstatusie. Zarz¹dzanie ryzykiem jest naprawdê zintegro-wane z ca³ym biznesem oraz dzia³aniami IT, jest dobrzeprzyjête i bardzo anga¿uje u¿ytkowników us³ug IT.

PO9

COBIT

48

l S¹ dostêpni do�wiadczeni i wykwalifikowani kierownicy projektul Istnieje i jest przyjêty standardowy proces zarz¹dzania programa-

mil Projekty sponsoruje kierownictwo wy¿szego szczebla, a w

okre�leniu, wdro¿eniu i zarz¹dzaniu projektami bior¹ udzia³zainteresowane strony oraz pracownicy IT

l Wystêpuje zrozumienie mo¿liwo�ci i ograniczeñ organizacji orazfunkcji IT w zarz¹dzaniu du¿ymi, z³o¿onymi projektami

l W ca³ej organizacji jest zdefiniowana i wprowadzona w ¿yciemetodyka oceny ryzyka projektów

l Wszystkie projekty maj¹ plan z jasnymi zasadami �ledzeniaawarii pracy, dosyæ dok³adnymi kosztorysami, wymaganiamidotycz¹cymi umiejêtno�ci, sprawami odnosz¹cymi siê do�ledzenia, planem jako�ci oraz przejrzystym procesem wprowa-dzania zmian

l Przej�cie z zespo³u wdro¿eniowego do zespo³u operacyjnego jestprocesem dobrze zarz¹dzanym

l Metodyka cyklu rozwoju systemu zosta³a zdefiniowana i jestu¿ywana przez organizacjê





P skuteczno�æ

P wydajno�æ

poufno�æ

integralno�æ

dostêpno�æ

zgodno�æ

rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

dane

Zasoby IT

l Zwiêkszona liczba projektów zakoñczonychwe w³a�ciwym czasie i nie przekraczaj¹cymbud¿etu

l Dostêpno�æ dok³adnego harmonogramuprojektu oraz informacji o bud¿ecie

l Zmniejszenie problemów w projektachsystemowych i powszechnych

l Poprawiona terminowo�æ projektu dotycz¹ce-go rozpoznania ryzyka

l Zwiêkszone zadowolenie organizacji zprojektu dotycz¹cego dostarczanych us³ug

l Poprawiona terminowo�æ projektu dotycz¹ce-go decyzji zarz¹dzania


l Zwiêkszona liczba projektów dostarczonychzgodnie ze zdefiniowan¹ metodyk¹

l Procent osób bior¹cych udzia³ w projektach(indeks zaanga¿owania)

l Liczba dni szkolenia dotycz¹cego zarz¹dzaniaprojektem przypadaj¹ca na cz³onka zespo³uprojektowego

l Liczba projektowanych kamieni milowych iprzegl¹dów bud¿etu

l Procent projektów z przegl¹dami po-projektowymi

l �rednia liczba lat do�wiadczenia kierownikówprojektu


Kontrola procesu IT Zarz¹dzanie projektami z celem bizneso-wym ustalenia priorytetów oraz dostarczenia we w³a�ciwymczasie i z nieprzekroczonym bud¿etem

PO10Planowanie i OrganizacjaZarz¹dzanie projektami


49

PO10 Model Dojrza³o�ciKontrola procesu IT Zarz¹dzania projektami zcelem biznesowym ustalenia priorytetów oraz dostar-czenia we w³a�ciwym czasie i z nieprzekroczonymbud¿etem

0 Nieistniej¹cy. Nie s¹ stosowane techniki zarz¹dzaniaprojektem, a organizacja nie rozpatruje wp³ywu jaki mana biznes niew³a�ciwe zarz¹dzanie projektem i b³êdy wbudowie projektu.

1 Pocz¹tkowy /Ad Hoc. Organizacja jest generalnie�wiadoma potrzeby zrestrukturyzowania projektów iryzyka jakie niesie s³abe zarz¹dzanie projektami. U¿ycietechnik zarz¹dzania projektem oraz podej�cia stosowanew IT s¹ decyzj¹ pozostawion¹ indywidualnym kierowni-kom IT. Projekty s¹ generalnie s³abo zdefiniowane i nieuwzglêdniaj¹ biznesowych i technicznych celóworganizacji lub zainteresowanej strony biznesowej.Istnieje ogólny brak zaanga¿owania kierownictwa iw³a�cicieli projektów, a krytyczne decyzje podejmowanes¹ bez udzia³u kierownictwa strony u¿ytkownika lubdanych klienta. Istnieje ma³e albo brak jest w ogólezaanga¿owania klienta lub u¿ytkownika w definiowaniaprojektów IT. Brak jest jasnej organizacji wewn¹trzprojektów IT, a role i obowi¹zki nie s¹ zdefiniowane.Harmonogramy projektów oraz kamienie milowe s¹s³abo zdefiniowane. Czas i wydatki zespo³u projektowe-go nie s¹ �ledzone i porównywane z bud¿etem.

2 Powtarzalny, ale Intuicyjny. Kierownictwo wy¿szegoszczebla osi¹gnê³o �wiadomo�æ i zakomunikowa³opotrzebê zarz¹dzania projektami IT. Organizacja jest wtrakcie procesu uczenia siê i powtarzania �z projektu naprojekt� pewnych technik i metod. Projekty IT maj¹nieformalnie zdefiniowane biznesowe i techniczne cele.Ogranicza siê zaanga¿owanie zainteresowanych stron wzarz¹dzaniu projektami IT. Zosta³y zbudowane pewnewskazówki dla wiêkszo�ci aspektów zarz¹dzaniaprojektem, ale ich stosowanie jest pozostawione dodecyzji indywidualnych kierowników projektu.

3 Zdefiniowany Proces. Proces i metodyka zarz¹dzaniaprojektem IT zosta³y formalnie ustanowione i zakomuni-kowane. Projekty IT s¹ zdefiniowane z odpowiednimibiznesowymi i technicznymi celami. Zainteresowanestrony s¹ zaanga¿owane w zarz¹dzanie projektami IT. S¹zdefiniowane organizacja projektu IT oraz niektóre roleoraz obowi¹zki. Projekty IT zdefiniowa³y i uaktualni³ykamienie milowe, harmonogramy, bud¿et oraz pomiarywydajno�ci. Projekty IT posiadaj¹ formalne procedury

po-wdro¿eniowe systemu. Jest prowadzone nieformalneszkolenie dotycz¹ce zarz¹dzania projektem. Proceduryzapewnienia jako�ci¹ oraz dzia³ania po-wdro¿eniowesystemu zosta³y zdefiniowane, ale nie s¹ zasadniczostosowane przez kierowników IT. S¹ definiowanepolityki dotycz¹ce równowagi w u¿yciu wewnêtrznych izewnêtrznych zasobów.

4 Zarz¹dzany i Mierzalny. Kierownictwo wymagaodpowiedniego poziomu sformalizowania i zestandary-zowania metryk projektu oraz wyuczonych lekcji, któremaj¹ byæ przegl¹dniête w nastêpstwie finalizowaniaprojektu. Zarz¹dzanie projektem jest mierzone ioceniane przez organizacjê, a nie jedynie w obrêbie IT.Dzia³ania poprawiaj¹ce proces zarz¹dzania projektamis¹ sformalizowane i zakomunikowane, a cz³onkowiezespo³u projektowego przeszkoleni we wszystkichpoprawionych elementach. Zarz¹dzanie ryzykiem jestprzeprowadzane jako czê�æ procesu zarz¹dzaniaprojektem. Zainteresowane strony aktywnie uczestnicz¹w projektach albo je prowadz¹. Zosta³y ustanowionekamienie milowe projektu, jak równie¿ kryteria ocenysukcesu dla ka¿dego z kamieni milowych. Warto�æ iryzyko s¹ mierzone i zarz¹dzane przed, w trakcie i pozakoñczeniu projektu. Kierownictwo ustanowi³oprogramowe funkcje zarz¹dzania w obszarze IT.Projekty s¹ zdefiniowane, obsadzone i zarz¹dzane wcelu lepszego zajêcia siê celami organizacji zamiastwy³¹cznie specyficznymi celami IT.

5 Zoptymalizowany. Jest wdro¿ona i wprowadzona w¿ycie ulepszona, pe³na metodyka cyklu rozwoju projektu,która jest zintegrowana z kultur¹ ca³ej organizacji. Zosta³wdro¿ony ci¹g³y program w celu zidentyfikowania izinstytucjonalizowania najlepszych praktyk. Istnieje silnei aktywne wsparcie projektu przez sponsorów ze stronykierownictwa wy¿szego szczebla jak równie¿ przezzainteresowane strony. Kierownictwo IT wdro¿y³ostrukturê organizacyjn¹ projektu z udokumentowanymirolami, obowi¹zkami, i kryteriami wydajno�ci zespo³u. Wcelu wsparcia rozwoju i decyzji operacyjnych dotycz¹-cych outsourcingu oraz zdefiniowano d³ugoterminow¹strategiê odnosz¹c¹ siê do zasobów IT. Biuro zarz¹dzaniazintegrowanym programem jest odpowiedzialne zaprojekty od momentu ich rozpoczêcia do okresu po-wdro¿eniowego. Biuro zarz¹dzania programem podlegakierownictwu jednostek biznesowych i wykorzystuje orazkieruje zasobami IT w celu zakoñczenia projektów.Szeroko stosowane planowanie dotycz¹ce projektówzapewnia najlepsze wykorzystanie u¿ytkownika izasobów IT w celu wsparcia strategicznych inicjatyw.

PO10

COBIT

50

l Zosta³ stworzony jasno zdefiniowany i uzgodniony proces w celuzapewniania jako�ci

l Organizacja zdefiniowa³a jako�æ wraz z wyra�nymi rolami wprocesie zapewnienia jako�ci oraz procedurami kontroli jako�ci

l Zosta³ wdro¿ony program zapewnienia jako�ci z dobrze zdefinio-wanymi, wymiernymi standardami jako�ci, a procesy kontrolijako�ci zosta³y zdefiniowane, przypisano do nich zasoby izestrojono

l Procesy i metryki podlegaj¹ sta³ej poprawie oraz istnieje zdefinio-wana dla nich baza wiedzy

l Ma miejsce nauczanie jako�ci i program szkolenial Zaanga¿owane strony s¹ zaanga¿owane w program zapewnienia

jako�cil W³a�ciwa kultura jako�ci jest konsekwentnie promowana przez

wszystkie warstwy kierownictwal Istnieje �wiadomo�æ, ¿e standardy jako�ci powinny mieæ takie

samo zastosowanie w procesach i procedurach, gdzie ma miejscezale¿no�æ od stron trzecich

l Ka¿dy dostarczany proces musi posiadaæ w³a�ciwe kryteriazapewnienia jako�ci

l K³adzie siê akcent na szkolenie zespo³u IT i koñcowego u¿ytkow-nika w testowanych metodach i technikach





P skuteczno�æ

P wydajno�æ

poufno�æ

P integralno�æ

dostêpno�æ

zgodno�æ

S rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

dane

Zasoby IT

l Liczba procesów i projektów IT, którespe³niaj¹ wymagania zainteresowanych stron

l Zwiêkszony wska�nik zadowolenie klienta zudzielonych us³ug

l Liczba procesów i projektów IT formalniezakoñczonych przez zespó³ zapewnieniajako�ci bez znacznych dodatkowych prac

l Zmniejszona liczba wad z tytu³u jako�cil Zmniejszona liczba raportów dotycz¹cych

niezgodno�ci ze standardami jako�ci


l Liczba procesów i projektów z aktywnymudzia³em kierownictwa w zapewnieniu jako�ci

l Liczba udokumentowanych dzia³añ monitoru-j¹cych i testuj¹cych, które dotycz¹ zapewnie-nia jako�ci

l Liczba przegl¹dów o równym statusiedotycz¹ca zapewnienia jako�ci

l Liczba procesów i projektów IT, które zosta³yporównane

l Liczba spotkañ pomiêdzy zainteresowanymi ainwestorami

l �rednia liczba dni szkolenia w zarz¹dzaniujako�ci¹

l Liczba projektów z udokumentowanymi izmierzonymi kryteriami jako�ci


Kontrola procesu IT Zarz¹dzania jako�ci¹ z celem biznesowymspe³nienie wymagañ klientów IT

PO11Planowanie i OrganizacjaZarz¹dzanie jako�ci¹


51

PO11 Model Dojrza³o�ciKontrola procesu IT Zarz¹dzania jako�ci¹ z celembiznesowym spe³nienie wymagañ klientów IT

0 Nieistniej¹cy. Organizacji brakuje procesu planowaniadotycz¹cego zapewniania jako�ci oraz metodyki cyklurozwoju systemu. Kierownictwo wy¿szego szczeblaoraz zespó³ IT nie rozwa¿aj¹, czy program jako�ci jestniezbêdny. Projekty i dzia³ania nie s¹ nigdy przegl¹danepod k¹tem jako�ci.

1 Pocz¹tkowy /Ad Hoc. Istnieje �wiadomo�æ kierownic-twa dotycz¹ca potrzeby zapewnienia jako�ci. Indywidu-alna wiedza fachowa kieruje procesem zapewnianiajako�ci, gdy zachodzi potrzeba. Maj¹ce miejscedzia³ania zapewniaj¹ce jako�æ s¹ skupione na projektachIT i inicjatywach zorientowanych na proces, a nie naszeroko ujêtych procesach ca³o�ci organizacji. Projekty idzia³ania IT nie s¹ mierzone pod wzglêdem jako�ci, alekierownictwo dokonuje nieformalnych os¹dów (orze-czeñ) dotycz¹cych jako�ci.

2 Powtarzalny, ale Intuicyjny. W obszarze organizacji ITs¹ zdefiniowane podstawowe metryki jako�ci i mog¹byæ one powtarzane z projektu na projekt. Jest ustana-wiany program dla zarz¹dzania dzia³aniami zapewnianiajako�ci w obszarze IT. Praktyki monitorowania iplanowania dotycz¹ce zarz¹dzania IT s¹ ustanawianepodczas dzia³añ zapewniania jako�ci, ale zasadniczo nies¹ wprowadzone w ¿ycie. Pojawiaj¹ siê powszechnenarzêdzia oraz praktyki maj¹ce na celu zapewnieniejako�ci. S¹ rzadko przeprowadzane przegl¹dy spe³nieniajako�ci.

3 Zdefiniowany Proces. Kierownictwo IT buduje bazêwiedzy dla metryk jako�ci. Jest zdefiniowany proceszapewnienia jako�ci, który zosta³ zakomunikowanyprzez kierownictwo i który anga¿uje zarówno kierow-nictwo IT jak i kierownictwo koñcowego u¿ytkownika.Program edukacyjny i szkoleniowy zosta³ sformalizowa-ny, aby nauczaæ o jako�ci na wszystkich poziomachorganizacji. �wiadomo�æ jako�ci jest wysoka w ca³ejorganizacji. Narzêdzia i praktyki s¹ standaryzowane, aczasami stosuje siê analizê przyczyn �ród³owych.Istnieje zestandaryzowany, dobrze skonstruowanyprogram mierzenia jako�ci. Przegl¹dy spe³nienia jako�cis¹ konsekwentnie prowadzone.

4 Zarz¹dzany i Mierzalny. Organizacja w sposób ci¹g³y ikonsekwentny mierzy jako�æ procesów, us³ug, produk-tów i projektów. Zachowaniem jako�ci zajêto siê wewszystkich procesach, ³¹cznie z tymi procesami, które

zale¿¹ od stron trzecich. Dla metryk jako�ci jestustanawiana zestandaryzowana baza wiedzy. Przegl¹da-nie spe³niania jako�ci jest procesem ci¹g³ym i prowadzido analizy przyczyn. S¹ stosowane metody analizykosztów /korzy�ci w celu uzasadnienia inicjatywzapewnienia jako�ci. Obowi¹zki i odpowiedzialno�ci s¹coraz czê�ciej definiowane dla procesów biznesowychszeroko pojêtej organizacja nie tylko dla procesów IT.Coraz czê�ciej wykonuje siê badania porównawcze znormami bran¿owymi i normami konkurencji.

5 Zoptymalizowany. �wiadomo�æ odnosz¹ca siê dojako�ci jest bardzo wysoka w ca³ej organizacji. Zapew-nienie jako�ci jest zintegrowane i wprowadzone w ¿yciewe wszystkich dzia³aniach IT. Proces zapewnieniajako�ci jest elastyczny i dostosowuje siê do zmian w�rodowisku IT. Wszystkie problemy zwi¹zane z jako�ci¹s¹ analizowane dla wykrycia przyczyn. Przegl¹dyspe³nienia jako�ci s¹ zasadnicz¹ czê�ci¹ ci¹g³egoprocesu poprawy. Baza wiedzy jest poprawiana wkontakcie z najlepszymi praktykami zewnêtrznymi.Badania porównawcze z zewnêtrznymi standardami s¹rutynowo przeprowadzane. Zapewnienie jako�ciprocesów IT jest w pe³ni zintegrowane z procesamizapewnienia jako�ci w biznesie, aby zapewniæ produk-tom i us³ugom ca³ej organizacji korzy�ci wynikaj¹ce zkonkurencyjno�ci.

PO11

COBIT

52

Ta strona celowo pozosta³a pusta.


53

N A B Y W A N I E I W D R A ¯ A N I E

COBIT

54

l Istnieje wiedza dotycz¹ca dostêpno�ci rozwi¹zañ na rynkul S¹ okre�lone praktyki, które odnosz¹ siê nie tylko do poprawno-

�ci projektu i solidnej funkcjonalno�ci, ale tak¿e do: zdolno�ci dodzia³ania, ³¹cznie z wydajno�ci¹, skalowalno�ci (zdolno�ci dosprostania zmieniaj¹cym siê wymaganiom) i integracji; akcepto-walno�ci (zdolno�ci do bycia zaakceptowanym) obejmuj¹cejadministracjê, utrzymanie i wsparcie; oraz zdolno�ci do kontynu-acji pod wzglêdem kosztów, produktywno�ci i wygl¹du

l S¹ okre�lone kryteria wykorzystywane do rozwa¿enia rozwojuwewn¹trz organizacji, nabywanych rozwi¹zañ oraz opcji outsourcingu

l Istnieje ogólna metoda nabywania i wdra¿ania lub metodyka cyklurozwoju systemu, które s¹ jasne, zrozumia³e i zaakceptowane

l Istnieje oczywisty, szybki i sprawny proces planowania, inicjowa-nia i aprobowania rozwi¹zañ

l S¹ okre�leni kluczowi u¿ytkownicy zajmuj¹cy siê wsparciemanaliz rozwi¹zañ i rekomendacji

l Rozwi¹zania s¹ budowane w oparciu o wcze�niej okre�lonekomponenty

l Jest wdro¿ony proces (przeprowadzania) strukturalnych analizwymagañ

l S¹ jasno okre�lone odpowiedzialno�ci dostawcówl Jest u¿ywana w zasadzie sprawdzona technologia, a nowa jest

stosowana tylko tam, gdzie jest to uzasadnione biznesowol Istnieje �wiadomo�æ dotycz¹ca ca³kowitych kosztów zwi¹zanych

z w³a�cicielstwem rozwi¹zañl S¹ wcze�niej rozwa¿ane wymagania dotycz¹ce bezpieczeñstwa i

kontroli





P skuteczno�æ

S wydajno�æ

poufno�æ

integralno�æ

dostêpno�æ

zgodno�æ

rzetelno�æ


ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

dane

Zasoby IT

l Procent ponownie uruchamianych lubprzekierowywanych projektów

l Liczba lub zaleg³o�ci dotycz¹ce rozwi¹zañ,które nie zosta³y rozwa¿one

l Liczba lub procent rozwi¹zañ zatwierdzonych(podpisanych) przez dyrektora technicznegolub architekta jako zgodnych ze strategi¹ IT iarchitektur¹ IT

l Liczba lub procent rozwi¹zañ zatwierdzonych(podpisanych) przez u¿ytkownika jakospe³niaj¹cych wymagania u¿ytkownika

l Liczba lub procent rozwi¹zañ, w których wpe³ni rozwa¿ono alternatywy, wykonalno�æ(mo¿liwo�æ wykonania) i ryzyko

l Procent wdro¿onych rozwi¹zañ formalnieuzgodnionych przez biznesowych w³a�cicieli iprzez IT


l Opó�nienie czasowe pomiêdzy okre�leniemwymagania a rozpoznaniem rozwi¹zania

l Liczba lub procent rozwi¹zañ odes³anych ztestowania akceptacyjnego

l Opó�nienie czasowe przed wydaniem zgodyna okre�lone rozwi¹zanie

l Liczba projektów anga¿uj¹cych u¿ytkowni-ków w okre�lanie wymagañ i wybór rozwi¹za-nia

l Liczba rozwi¹zañ pó�niejszych , na którewp³ynê³y wnioski dotycz¹ce znacz¹cychzmian spowodowanych zmianami funkcjonal-nymi


Kontrola procesu IT Identyfikowania zautomatyzowanychrozwi¹zañ z celem biznesowym zapewnienia skutecznego isprawnego podej�cia spe³niaj¹cego wymagania u¿ytkowników

AI1 Nabywanie i Wdra¿anieIdentyfikowanie zautomatyzowanych rozwi¹zañ


55

AI1 Model Dojrza³o�ciKontrola procesu IT Identyfikowania zautomatyzo-wanych rozwi¹zañ z celem biznesowym zapewnieniaskutecznego i sprawnego podej�cia spe³niaj¹cegowymagania u¿ytkowników

0 Nieistniej¹cy. Organizacja nie wymaga rozpoznaniafunkcjonalnych i operacyjnych wymagañ dotycz¹cychrozwoju, wdro¿enia lub modyfikacji rozwi¹zañ, takichjak system, us³ugi, infrastruktura, oprogramowanie idane. Organizacja nie utrzymuje (na odpowiednimpoziomie) �wiadomo�ci dotycz¹cej dostêpnych rozwi¹-zañ technologicznych, potencjalnie odnosz¹cych siê dojej dzia³alno�ci biznesowej.

1 Pocz¹tkowy /Ad Hoc. Istnieje �wiadomo�æ potrzebyokre�lenia wymagañ i identyfikowania rozwi¹zañtechnologicznych. Jednak¿e podej�cia do tych kwestii s¹niespójne i nie s¹ oparte na ¿adnej okre�lonej metodycenabywania i wdra¿ania. Poszczególne grupy maj¹zwyczaj spotykaæ siê nieformalnie celem przedyskuto-wania potrzeb, a wymagania s¹ zwykle nieudokumento-wane. Rozwi¹zania s¹ okre�lane przez poszczególneosoby w oparciu o ograniczon¹ �wiadomo�æ rynku lub wodpowiedzi na ofertê dostawcy. S¹ wykonywane /nie s¹wykonywane niewielkie strukturalne analizy lub jestwykonywane badanie dostêpnej technologii.

2 Powtarzalny, ale Intuicyjny. Nie istnieje ¿adnaformalna metodyka nabywania i wdra¿ania, ale wyma-gania s¹ zwykle okre�lane w podobny sposób przezbiznes z powodu powszechnych praktyk wewn¹trz IT.Rozwi¹zania s¹ okre�lone nieformalnie w oparciu owewnêtrzne do�wiadczenie i wiedzê o funkcjach IT.Sukces ka¿dego projektu zale¿y od fachowo�ci kilkukluczowych osób spo�ród IT oraz jako�ci dokumentacji iznacznie ró¿ni¹cych siê decyzji.

3 Zdefiniowany Proces. Organizacja ustali³a metodykênabywania i wdra¿ania, która wymaga jasnego izrestrukturyzowanego podej�cia wykorzystywanego dookre�lania rozwi¹zañ IT w celu spe³nienia wymagañbiznesowych. Podej�cie (to) wymaga rozwa¿eniaalternatyw ocenionych w stosunku do wymagañu¿ytkownika, mo¿liwo�ci technologicznych, ekonomicz-nej wykonalno�ci, oceny ryzyka i innych czynników.Jednak¿e proces ten nie zawsze postêpuje w �lad zaka¿dym projektem i zale¿y od decyzji podejmowanychprzez zaanga¿owany poszczególny personel, liczbykierownictwa zaanga¿owanego czasowo oraz rozmiaru ipriorytetu pierwotnego wymagania biznesowego.

Typowo, proces jest omijany lub uznawany za nieprak-tyczny.

4 Zarz¹dzany i Mierzalny. Organizacja ustali³a metodykênabywania i wdra¿ania, która rozwinê³a siê do punktu, wktórym niezwyk³ym jest jej niestosowanie. Dokumenta-cja jest dobrej jako�ci, a ka¿dy etap jest w³a�ciwieuzgadniany. Wymagania s¹ dobrze wyra¿one i zgodne zwcze�niej okre�lonymi strukturami. Metodyka wprowa-dza w³a�ciwe rozpatrzenie rozwi¹zañ alternatywnychoraz analizê kosztów i korzy�ci umo¿liwiaj¹c dokonanie�wiadomych wyborów. Metodyka jest jasna, okre�lona,ogólnie zrozumia³a i wymierna. St¹d wyj¹tki mog¹ byæ³atwo ustalone i poprawione przez kierownictwo.Rozwi¹zania reaguj¹ skutecznie na wymagania u¿yt-kownika i istnieje �wiadomo�æ, ¿e rozwi¹zania �patrz¹cew przysz³o�æ� mog¹ poprawiæ procesy biznesowe ikonkurencyjno�æ rozwi¹zania.

5 Zoptymalizowany. Metodyka nabywania i wdra¿aniaby³a przedmiotem ci¹g³ej poprawy i dotrzyma³a krokuzmianom w technologii. Posiada elastyczno�æ pozwala-j¹c¹ na radzenie sobie z projektami ró¿nej skali odwielkich ogólno-organizacyjnych aplikacji do specyficz-nych projektów taktycznych. Metodyka jest wspieranaprzez zewnêtrzne i wewnêtrzne bazy danych z wiedz¹zawieraj¹c¹ materia³y referencyjne na temat rozwi¹zañtechnologicznych. Metodyka sama tworzy dokumentacjêw oparciu o komputer, we wcze�niej okre�lonej struktu-rze, która czyni bardzo wydajnymi produkcjê i utrzyma-nie. Organizacja czêsto jest w stanie rozpoznaæ nowemo¿liwo�ci wykorzystania technologii w celu uzyskaniakorzy�ci konkurencyjno�ci, wp³ywaæ na przeprojekto-wanie procesu biznesowego i poprawiæ ogóln¹ wydaj-no�æ.

AI1

COBIT

56

l Metodyka nabywania i wdra¿ania jest silnie wspierana przezkierownictwo wy¿szego szczebla

l Praktyki nabywania s¹ jasne, zrozumia³e i zaakceptowanel Istnieje formalna, zaakceptowana i wprowadzona metodyka

nabywania i wdra¿anial Jest dostêpne, odpowiednie ustawienie zautomatyzowanych

narzêdzi wsparcia, oszczêdzaj¹ce czas przy wyborze oprogramo-wania poprzez skupienie siê na najlepszym typie

l Istnieje rozdzia³ pomiêdzy dzia³aniami rozwoju i testowanial Je�li czas, jako�æ lub koszty nie mog¹ zostaæ uzgodnione,

priorytetyzuje siê kluczowe wymagania bior¹c pod uwagêmo¿liwe redukcje zakresu prac

l Przyjête podej�cie i zadeklarowany wysi³ek odnosi siê doznaczenia biznesowego aplikacji

l Zakres, stopieñ i forma wymaganej dokumentacji sa uzgadniane istosowane podczas wdro¿enia

l Monitorowana jest zgodno�æ z architektur¹ IT firmy, ³¹cznie zformalnym procesem zatwierdzania odchyleñ (odstêpstw)





P skuteczno�æ

P wydajno�æ

poufno�æ

S integralno�æ

dostêpno�æ

S zgodno�æ

S rzetelno�æ


ludzie

ü aplikacje

technologia

urz¹dzenia

dane

Zasoby IT

l Liczba aplikacji, dostarczonych we w³a�ci-wym czasie, spe³niaj¹cych specyfikacje orazbêd¹cych w zgodzie z architektur¹ IT

l Liczba aplikacji bez problemów integracyj-nych wystêpuj¹cych podczas wdro¿enia

l Koszt utrzymania przypadaj¹cy na aplikacjêponi¿ej ustalonego poziomu

l Liczba problemów produkcyjnych przypadaj¹cychna aplikacjê wyra�nie wynikaj¹cych z okresówwy³¹czeñ (maszyny) lub pogorszenia us³ug

l Liczba rozwi¹zañ niezgodnych z aktualniezatwierdzon¹ strategi¹ IT

l Zmniejszona stopa wysi³ków ponoszonych nautrzymanie w stosunku do nowego rozwoju


l Stopa aktualnych kosztów utrzymaniaprzypadaj¹cych na aplikacjê a �rednia portfelaoprogramowania

l �redni czas dostarczenia funkcjonalno�ciopartej na miarach takich jak punktyfunkcyjne lub modu³y

l Liczba wniosków zmian odnosz¹cych siê do wad,b³êdów krytycznych i parametrów funkcjonalnych

l Liczba problemów zwi¹zanych z produkcj¹ lubniefunkcjonalno�ci¹ przypadaj¹cych na aplikacjêoraz przypadaj¹cych na zmianê w utrzymaniu

l Liczba odstêpstw od standardowych procedur,takich jak nieudokumentowane aplikacje,niezatwierdzone projekty, zredukowanetestowanie w celu wykonania go w terminie

l Liczba zwróconych modu³ów lub poziomponownie wykonanej pracy wymaganej potestowaniu akceptacyjnym

l Opó�nienie czasowe w analizowaniu irozwi¹zywaniu problemów

l Liczba lub procent oprogramowania aplikacyjne-go skutecznie udokumentowanego dla utrzymania


Kontrola procesu IT Nabywania i utrzymywania oprogramo-wania aplikacyjnego z celem biznesowym dostarczenia zauto-matyzowanych funkcji, które skutecznie wspieraj¹ procesbiznesowy

AI2 Nabywanie i Wdra¿anieNabywanie i utrzymywanie oprogramowania aplikacyjnego


57

AI2 Model Dojrza³o�ciKontrola procesu IT Nabywania i utrzymywaniaoprogramowania aplikacyjnego z celem bizneso-wym dostarczenia zautomatyzowanych funkcji, któreskutecznie wspieraj¹ proces biznesowy

0 Nieistniej¹cy. Nie istnieje proces projektowania iparametryzowania aplikacji. Aplikacje nabywa siê woparciu o pisemne oferty dostawców, rozpoznanie markilub znajomo�æ specyficznych produktów przez zespó³IT, z ma³ym lub ¿adnym rozwa¿eniem aktualnychwymagañ.

1 Pocz¹tkowy /Ad Hoc. Istnieje �wiadomo�æ, ¿e procesnabywania i wdra¿ania oprogramowania jest wymagany.Podej�cia jednak¿e ró¿ni¹ siê w ka¿dym projekcie i brakjest jakiejkolwiek konsekwencji i typowo�ci w izolowa-nych od pozosta³ych projektach. Organizacja prawdopo-dobnie naby³a ró¿norodne indywidualne rozwi¹zania iobecnie cierpi z powodu odziedziczonych problemów iniewydolno�ci utrzymania i wsparcia. U¿ytkownicybiznesowi nie s¹ w stanie odnie�æ wielu korzy�ci zinwestycji IT.

2 Powtarzalny, ale Intuicyjny. Istniej¹ podobne procesydotycz¹ce nabywania i utrzymywania oprogramowania.,ale s¹ one oparte na fachowo�ci wewn¹trz IT, a nie naudokumentowanym procesie. Wspó³czynnik sukcesudotycz¹cy aplikacji wielce zale¿y od wewnêtrznychumiejêtno�ci i poziomu fachowo�ci wewn¹trz IT.Utrzymanie zwykle jest skomplikowane oraz cierpi, gdyzostaje utracona przez organizacjê wiedza wewnêtrzna.

3 Zdefiniowany Proces. Istniej¹ udokumentowaneprocesy nabywania i utrzymywania. Próbuje siêstosowaæ konsekwentnie udokumentowane procesy wró¿nych aplikacjach i projektach, ale nie zawsze s¹ onena tyle praktyczne, aby wdro¿yæ lub odzwierciedliæbie¿¹ce rozwi¹zania technologiczne. Generalnie s¹ (one)nieelastyczne i trudne do stosowania we wszystkichprzypadkach, st¹d krok po kroku s¹ czêsto omijane. Wkonsekwencji oprogramowanie jest czêsto nabywane pokawa³ku. Utrzymanie nastêpuje za zdefiniowanympodej�ciem, ale czêsto jest czasoch³onne i niewydajne.

4 Zarz¹dzany i Mierzalny. Istnieje formalna, jasna idobrze zrozumia³a metodyka nabywania i wdra¿aniaoraz polityka, która obejmuje proces formalnegoprojektowania i parametryzacji, kryteria nabywaniaoprogramowania aplikacyjnego, proces testowania iwymagania dotycz¹ce dokumentacji, zapewnienie, ¿e

wszystkie aplikacje s¹ nabywane i utrzymywane wsposób zgodny z instrukcj¹. Istniej¹ formalne mechani-zmy uzgadniania zapewniaj¹ce, ¿e wszystkie krokinastêpuj¹ po sobie, a wyj¹tki podlegaj¹ autoryzacji.Metody tak siê rozwinê³y, ¿e dobrze s¹ dostosowane doorganizacji i prawdopodobnie bêd¹ stosowane przez ca³yzespó³ oraz odpowiadaj¹ wiêkszo�ci aplikacyjnychwymagañ.

5 Zoptymalizowany. Nabywanie oprogramowaniaaplikacyjnego i praktyki utrzymywania pozostaj¹ wzgodzie z uzgodnionym procesem. Podej�cie (to) opartona komponentach, wraz z wcze�niej zdefiniowanymi izestandaryzowanymi aplikacjami, dopasowanymi dopotrzeb biznesowych. Normalnym jest, ¿e stosuje siêtakie podej�cia dla ca³ej organizacji. Proces nabywania iutrzymywania jest dobrze rozwiniêty, umo¿liwia szybkiestrategiczne rozmieszczenie oraz zezwala zarówno nawysoki stopieñ reakcji, jak i na elastyczno�æ w odniesie-niu do zmiennych wymagañ biznesowych. Procesnabywania i wdra¿ania ulega ci¹g³emu udoskonalaniu ijest wspierany przez zewnêtrzne i wewnêtrzne bazydanych zawieraj¹ce materia³y referencyjne i najlepszepraktyki. Metodyka tworzy podstawow¹ dokumentacjêkomputerow¹ we wcze�niej zdefiniowanej strukturze, coczyni produkcjê i utrzymanie bardzo wydajnymi.

AI2

COBIT

58

l Metodyka nabywania i wdra¿ania jest mocno wspierana przezkierownictwo wy¿szego szczebla

l Praktyki nabywania s¹ jasne, zrozumia³e i akceptowanel Wystêpuje ³atwo�æ integracji pomiêdzy ró¿nymi platformami

technologicznymil Wyra�nie okre�lona strategia biznesowa i zwi¹zane z ni¹ wyma-

gania architektury systemu s¹ zdefiniowane i wspierane przezkierownictwo wy¿szego szczebla

l Dostêpne s¹ aktualne dane dotycz¹ce inwentury (spisu) sprzêtu ioprogramowania

l Powi¹zania z dostawcami s¹ dobrze zbudowanel Wystêpuje zdolno�æ do w³a�ciwego ustalenia kosztów zazêbiaj¹-

cych siê pomiêdzy ró¿nymi platformami technologicznymil Zdefiniowane s¹ polityki promuj¹ce dobrze przemy�lane wybory

pomiêdzy rozwojem wewn¹trz organizacji, przyjêciem pomocy zzewn¹trz lub outsorcingiem

l Procesy wyboru skupiaj¹ siê na stosowaniu komponentówwielokrotnego u¿ycia

l Zdefiniowane s¹ polityki do zarz¹dzania zale¿no�ciami odpojedynczych dostawców

l Wystêpuje koordynacja z procesami zarz¹dzania zmianami isystemami

l Metodyka cyklu rozwoju systemu jest dobrze zdefiniowana iu¿ywana do wyboru, nabywania, utrzymywania i usuwaniainfrastruktury technologicznej

l Podczas nabywania nale¿ycie rozwa¿a siê wymagania wydolno-�ci i wydajno�ci poprzez zintegrowanie z procesami zarz¹dzaniawydolno�ci¹ i wydajno�ci¹

l Jest dostêpny w³a�ciwy zestaw automatycznych narzêdzi wsparciaoszczêdzaj¹cy czas wyboru poprzez skupienie uwagi na sednie problemu





P skuteczno�æ

P wydajno�æ

poufno�æ

S integralno�æ

dostêpno�æ

zgodno�æ

rzetelno�æ


ludzie

aplikacje

ü technologia

urz¹dzenia

dane

Zasoby IT

l Zmniejszona liczba platform wynikaj¹ca zuzgodnionej infrastruktury technologicznej

l Liczba opó�nieñ we wdro¿eniu systemówspowodowanych nieodpowiedni¹ infrastruktu-r¹

l Zmniejszony wska�nik wysi³ków utrzymywa-nia (systemów) w stosunku do rozwojunowych systemów

l Ograniczenie czasu wprowadzenia systemówspowodowanego predefiniowaniem ielastyczno�ci¹ infrastruktury

l Zmniejszone czasy wy³¹czenia (przestojów)infrastruktury

l Zmniejszona liczba systemów z powa¿nymiproblemami wspó³dzia³ania

l Liczba problemów zwi¹zanych z wydajno�ci¹aplikacji w stosunku do niedoci¹gniêæ winfrastrukturze technologicznej


l Zmniejszona liczba ró¿nych platforml Wiek platforml Liczba dzielonych funkcji i zasobówl Liczba i czêstotliwo�æ zmianl Liczba awarii spowodowanych brakiem

prewencyjnego utrzymanial Liczba awarii spowodowanych zmianami w

oprogramowaniul Koszty oparte na wysi³ku i czasie, który

up³yn¹³ g³ównych modyfikacji oprogramowa-nia systemu lub infrastruktury


Kontrola procesu IT Nabywania i utrzymywania infrastruktu-ry technologicznej z celem biznesowym dostarczania w³a�ci-wych platform dla wspierania aplikacji biznesowych

AI3 Nabywanie i Wdra¿anieNabywanie i utrzymywanie infrastruktury technologicznej


59

AI3 Model Dojrza³o�ciKontrola procesu IT Nabywania i utrzymywaniainfrastruktury technologicznej z celem biznesowymdostarczania w³a�ciwych platform dla wspieraniaaplikacji biznesowych

0 Nieistniej¹cy. Architektura technologiczna nie jestuznawana jako wystarczaj¹co wa¿ny temat, ¿eby siê nimzajmowaæ.

1 Pocz¹tkowy /Ad Hoc. Zmiany w infrastrukturze s¹wykonywane dla ka¿dej nowej aplikacji bez jakiegokol-wiek ca³o�ciowego planu. Mimo i¿ istnieje �wiadomo�æ,¿e infrastruktura jest wa¿na, nie istnieje spójne ogólnepodej�cie.

2 Powtarzalny, ale Intuicyjny. Istnieje konsekwencjapomiêdzy podej�ciem taktycznym, podczas gdynabywana i utrzymywana jest infrastruktura IT; jednaknie bazuje ono na ¿adnej zdefiniowanej strategii i niejest uwzglêdnione co do potrzeb odno�nie aplikacjibiznesowych, które musz¹ byæ utrzymywane.

3 Zdefiniowany Proces. Pojawia siê jasny, zdefiniowany igeneralnie zrozumia³y proces dla administrowaniainfrastruktur¹ IT. Wspiera on potrzeby odno�niekrytycznych aplikacji biznesowych oraz wspó³gra zestrategi¹ IT i strategi¹ biznesow¹. Jednak¿e, nie jestmo¿liwe do okre�lenia, ¿e proces jest konsekwentniestosowany i dlatego nie jest prawdopodobne, ¿einfrastruktura w pe³ni wspiera potrzeby aplikacjibiznesowych. W reakcjach na problemy lub specyficznesytuacje zwykle ma miejsce outsourcing ca³ej lub czê�ciinfrastruktury IT.

4 Zarz¹dzany i Mierzalny. Proces nabywania i utrzymy-wania infrastruktury technologicznej rozwin¹³ siê dopoziomu, na którym pracuje dobrze we wszystkichsytuacjach, jest u¿ywany konsekwentnie wewn¹trz IToraz bazuje na komponentach i skupia siê na ponownejmo¿liwo�ci u¿ycia go. Próby wprowadzenia zmian doinfrastruktury z pominiêciem uzgodnionych zdefiniowa-nych procesów zostanie wykryte i uniemo¿liwione. Jestprawdopodobne, ¿e infrastruktura IT adekwatniewspiera aplikacje biznesowe. Proces jest dobrzezorganizowany ale czêsto jest dora�ny zamiast proaktywny. Koszt i czas potrzebne do osi¹gniêcia spodzie-wanego poziomu skalowalno�ci, elastyczno�ci iintegracji nie s¹ zoptymalizowane. Outsourcing ca³ej lubczê�ci infrastruktury IT stanowi czê�æ bie¿¹cego planu.

5 Zoptymalizowany. Proces nabywania i utrzymywaniainfrastruktury technologicznej jest pro aktywny i �ci�lewspó³gra z krytycznymi aplikacjami biznesowymi iarchitektur¹ technologiczn¹. Najlepsze praktykiodnosz¹ce siê do rozwi¹zañ technologicznych s¹realizowane i organizacja jest �wiadoma osi¹gniêæ wrozwoju platform technologicznych i narzêdzi zarz¹dza-nia, w³¹czaj¹c w to szeroko pojête podej�cie organiza-cyjne i potrzebê wzrostu poziomów niezawodno�ci,dostêpno�ci i ochrony sieci. Koszty s¹ zmniejszanepoprzez racjonalizowanie i standaryzacjê komponentówinfrastruktury i poprzez automatyzacjê. Organizacjautrzymuje wysoki poziom �wiadomo�ci technicznej ipotrafi identyfikowaæ optymalne drogi pro aktywnegopolepszenia wydajno�ci, w³¹czaj¹c w to uwzglêdnienieopcji outsourcingowanych. Jest mo¿liwe monitorowaniei mierzenie wydajno�ci istniej¹cej infrastruktury w celuwykrywania we w³a�ciwym czasie problemów. Infra-struktura IT jest rozumiana jako kluczowy czynnikumo¿liwiaj¹cy uzyskanie przewagi wynikaj¹cej z jejstosowania. Ryzyka pojedynczych �róde³ dostawców s¹aktywnie zarz¹dzane.

AI3

COBIT

60

l Istniej¹ dobrze zdefiniowane porozumienia o poziomie us³ugserwisowych, maj¹ce jasne odniesienie w standardach dokumen-tacji

l Infrastruktura i organizacja s¹ zaprojektowane do promowania ipodzia³u dokumentacji u¿ytkownika, procedur technicznych imateria³ów szkoleniowych pomiêdzy szkoleniowców, help desk iu¿ytkowników

l Szkolenie u¿ytkowników dotycz¹ce u¿ywania procedur jestzintegrowane z planami szkoleniowymi organizacji i IT

l Spis procesów biznesowych, procedur biznesowych i procedur ITjest utrzymywany przy u¿yciu zautomatyzowanych narzêdzi

l Proces rozwoju zapewnia u¿ycie standardowych proceduroperacyjnych i standardowego wygl¹du i obs³ugi (programów)

l Standardowa struktura dokumentacji i procedur jest zdefiniowanai monitorowana

l Do rozwoju, dystrybucji i utrzymywania procedur s¹ u¿ywanezarz¹dzanie wiedz¹, techniki przep³ywu zadañ i zautomatyzowa-ne narzêdzia





P skuteczno�æ

wydajno�æ

poufno�æ

S integralno�æ

dostêpno�æ

S zgodno�æ

S rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

dane

Zasoby IT

l Liczba aplikacji, dla których procedury IT s¹jednolicie powi¹zane z procesami biznesowy-mi

l Liczba nieadekwatnie udokumentowanychtechnicznych rozwi¹zañ, w³¹czaj¹c w to brakpodrêczników u¿ytkownika, podrêcznikówoperacyjnych i materia³ów szkoleniowych

l £¹czna miara poziomu satysfakcji z materia-³ów szkoleniowych oraz dokumentacjiu¿ytkownika i dokumentacji operacyjnej

l Zmniejszony koszt tworzenia i utrzymywaniadokumentacji u¿ytkownika, proceduroperacyjnych i materia³ów szkoleniowych

l Poziomy profesjonalno�ci u¿ytkownikówsystemu oparte na procencie wykorzystaniadostêpno�ci (systemu)


l Poziom uczestnictwa u¿ytkowników ioperatorów na szkoleniach dla ka¿dej aplikacji

l Dok³adno�æ wniosków zmian i kompletno�ædokumentacji u¿ytkownika, procedur IT imateria³ów szkoleniowych

l Opó�nienie czasowe pomiêdzy zmianami aaktualizacj¹ szkoleñ, procedura i materia³ówdokumentacyjnych

l Satysfakcjonuj¹cy wska�nik oceny wodniesieniu do materia³ów szkoleniowych,procedur u¿ytkownika i procedur operacyj-nych

l Zmniejszona liczba zapytañ szkoleniowychobs³ugiwanych przez help desk

l Liczba incydentów spowodowanychniedostatkami w dokumentacji

l Liczba aplikacji w w³a�ciwie wyszkolonymiu¿ytkownikami


Kontrola procesu IT Rozwijania i utrzymywania procedur zcelem biznesowym zapewniania w³a�ciwego u¿ywania wprowa-dzonych aplikacji i rozwi¹zañ technologicznych

AI4 Nabywanie i Wdra¿anieRozwijanie i utrzymywanie procedur


61

AI4 Model Dojrza³o�ciKontrola procesu IT Rozwijania i utrzymywaniaprocedur z celem biznesowym zapewniania w³a�ci-wego u¿ywania wprowadzonych aplikacji i rozwi¹zañtechnologicznych

0 Nieistniej¹cy. Nie ma zdefiniowanego procesu je�lichodzi o tworzenie dokumentacji u¿ytkownika, podrêcz-ników operacyjnych i materia³ów szkoleniowych.Jedyne istniej¹ce materia³y zosta³y dostarczone wraz zzakupionym produktem.

1 Pocz¹tkowy /Ad Hoc. Organizacja jest �wiadoma, ¿eproces dokumentowania jest potrzebny. Dokumentacjajest tworzona okazjonalnie, lecz jest rozproszona worganizacji, niekonsekwentna i dostêpna tylko ograni-czonym grupom. Wiêkszo�æ dokumentacji i procedurjest nieaktualna, praktycznie nie s¹ one zintegrowane zprocedurami ró¿nych systemów i jednostek bizneso-wych. Materia³y szkoleniowe nie s¹ nale¿ycie planowa-ne i s¹ o zmiennej jako�ci, zwykle ogólne i czêstodostarczone przez strony trzecie, bez dostosowania doorganizacji.

2 Powtarzalny, ale Intuicyjny. Podejmowane s¹ podobnepodej�cia w odniesieniu do tworzenia procedur idokumentacji, ale nie s¹ one oparte na strukturalnympodej�ciu lub zasadach. Procedury u¿ytkownika iprocedury operacyjne s¹ dokumentowane, ale nie majednolitego podej�cia i, dlatego, ich dok³adno�æ idostêpno�æ polega raczej na jednostkach ni¿ na formal-nym procesie. Materia³y szkoleniowe s¹ dostêpne, alezwykle ich tworzenie jest indywidualne a jako�æ zale¿yod zaanga¿owanych jednostek. Dlatego aktualneprocedury i jako�æ wsparcia u¿ytkownika mo¿e zmie-niaæ siê od s³abej do bardzo dobrej, z bardzo niewielk¹konsekwencj¹ i integracj¹ w ramach organizacji.

3 Zdefiniowany Proces. Istniej¹ jasno zdefiniowane,zaakceptowane i zrozumiane zasady dotycz¹ce doku-mentacji u¿ytkownika, podrêczników operacyjnych imateria³ów szkoleniowych. Procedury s¹ przechowywa-ne i utrzymywane w formie formalnej biblioteki i ka¿dy,kto tego potrzebuje mo¿e mieæ do nich dostêp. Korektys¹ wykonywane dora�nie (kiedy s¹ potrzebne). Procedu-ry s¹ dostêpne w systemie off-line i mog¹ byæ dostêpne iutrzymywane w przypadku katastrofy. Istnieje proceszapewniaj¹cy, ¿e s¹ specyfikowane aktualizacjeprocedur i materia³ów szkoleniowych jako jasnopostawione produkty projektu zmian. Pomimo istnieniazdefiniowanych podej�æ, faktyczna zawarto�æ jest ró¿na,

poniewa¿ nie ma kontroli egzekwowania zgodno�ci zestandardami. U¿ytkownicy s¹ nieformalnie zaanga¿owa-ni w proces. Zautomatyzowane narzêdzia s¹ corazczê�ciej u¿ywane w generowaniu i dystrybucji procedur.

4 Zarz¹dzany i Mierzalny. Konsekwencj¹ zgodno�ci jestpoprawienie zdefiniowanych zasad dla utrzymywaniaprocedur i materia³ów szkoleniowych. Przyjête podej-�cie obejmuje wszystkie systemy i jednostki biznesowe,tak ¿e procesy mog¹ byæ widziane z perspektywybiznesu i s¹ zintegrowane dla zawarcia w nich wspó³za-le¿no�ci i obszarów wzajemnego oddzia³ywania. Istniej¹mechanizmy kontrolne zapewniaj¹ce, ¿e standardy s¹stosowane oraz ¿e procedury s¹ rozwijane i utrzymywa-ne dla wszystkich procesów. Informacje zwrotne odu¿ytkownika s¹ zbierane, a dzia³ania koryguj¹ce s¹inicjowane w przypadku, gdy ocena zwrotna jestnieakceptowalna. W zwi¹zku z tym dokumentacja imateria³y szkoleniowe s¹ zwykle na przewidywalnym,dobrym poziomie niezawodno�ci i dostêpno�ci. Zosta³zaimplementowany formalny proces u¿ywania zautoma-tyzowanego dokumentowania i zarz¹dzania procedura-mi. Zautomatyzowany rozwój procedur jest corazczê�ciej integrowany z rozwojem systemów aplikacyj-nych, u³atwiaj¹c zachowanie konsekwencji i dostêpuu¿ytkownika.

5 Zoptymalizowany. Proces tworzenia dokumentacjiu¿ytkownika i operacyjnej jest stale rozwijany poprzezprzyjêcie nowych narzêdzi lub metod. Materia³ydotycz¹ce procedur s¹ traktowane jako stale rozwijanabaza wiedzy, która jest utrzymywana w postaci elektro-nicznej wykorzystuj¹c nowoczesne zarz¹dzanie wiedz¹,podzia³ pracy i technologiê dystrybucji, czyni¹c jadostêpn¹ i ³atw¹ do utrzymania. Materia³y te s¹ uaktual-nione w celu odzwierciedlenia zmian organizacyjnych,operacyjnych i zmian w oprogramowaniu oraz s¹ wpe³ni zintegrowane z okre�leniem procesów bizneso-wych, wspieraj¹c w ten sposób wymogi ogólno-organizacyjne raczej, ni¿ tylko procedury zorientowanena IT.

AI4

COBIT

62

l Metodyka nabywania i wdra¿ania zosta³a ustanowiona i jestkonsekwentnie stosowana

l Dostêpne s¹ zasoby potrzebne do wsparcia oddzielnego �rodowi-ska testowego oraz przyznany czas jest wystarczaj¹cy na procestestowania

l Zobowi¹zanie i zaanga¿owanie uczestników (procesu) jestzapewnione w testowaniu, szkoleniu i procesach przej�ciowych

l Dane testowe s¹ dostêpne i reprezentuj¹ rzeczywiste dane, je�lichodzi o rodzaj i ilo�æ, a �rodowisko testowe odzwierciedla, takbardzo jak to tylko mo¿liwe, �rodowisko rzeczywiste

l Mechanizmy informacji zwrotnej s¹ zaimplementowane w celuoptymalizowania i ci¹g³ego ulepszania procesu

l Próby obci¹¿eniowe s¹ wykonywane dla nowych systemów przedich wdro¿eniem, a testy regresywne s¹ przeprowadzane dlaistniej¹cych systemów, wtedy gdy zmiany s¹ wdra¿ane

l Procedury formalnego certyfikowania i akredytowania systemówdla potrzeb bezpieczeñstwa s¹ spójnie zdefiniowane i konse-kwentnie stosowane

l Wymagania operacyjne s¹ jasno zrozumia³e i zweryfikowane





P skuteczno�æ

wydajno�æ

poufno�æ

S integralno�æ

S dostêpno�æ

zgodno�æ

rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

ü dane

Zasoby IT

l Zmniejszona liczba niewykonanych wew³a�ciwym czasie instalacji i akredytacji

l Czas potrzebny na zamkniêcie procesuinstalacji i akredytacji (od pocz¹tku do koñcaprocesu certyfikowania i akredytowania zewzglêdu na bezpieczeñstwo)

l Zmniejszona liczba nieakredytowanychsystemów operacyjnych, w przypadku, gdyproces nie wystêpuje

l Liczba zmian wprowadzanych do zainstalowa-nych systemów niezbêdnych w celu optymali-zacji operacji

l Liczba zmian wymagaj¹cych testowaniaakceptacyjnego systemu

l Liczba wniosków stwierdzonych podczaswewnêtrznych i zewnêtrznych audytówdotycz¹cych procesu instalacji i akredytacji

l Liczba zmian wymaganych w celu korektyproblemów powsta³ych po tym jak rozwi¹za-nia zosta³y wprowadzone do produkcji


l Stopieñ zaanga¿owania uczestników w procesinstalacji i akredytacji

l Liczba zautomatyzowanych procesówinstalacji i akredytacji

l Czêstotliwo�æ raportowania o nabytychdo�wiadczeniach

l Raportowany poziom satysfakcji u¿ytkownikaz procesu instalacji i akredytacji (nabytedo�wiadczenia)

l Liczba wniosków stwierdzonych podczasprzegl¹du zapewnienia jako�ci odno�nieinstalacji i akredytacji

l Stopieñ powtórnego u¿ycia platformy testowej


Kontrola procesu IT Instalowania i akredytowania systemów zcelem biznesowym weryfikowania i potwierdzania, ¿e rozwi¹za-nie jest odpowiednie dla za³o¿onych celów

AI5 Nabywanie i Wdra¿anieInstalowanie i akredytowanie systemów


63

AI5 Model Dojrza³o�ciKontrola procesu IT Instalowania i akredytowaniasystemów z celem biznesowym weryfikowania ipotwierdzania, ¿e rozwi¹zanie jest odpowiednie dlaza³o¿onych celów

0 Nieistniej¹cy. Brak formalnych procesów instalacji iakredytacji, a kierownictwo wy¿szego szczebla lubpracownicy IT nie uznali potrzeby weryfikacji, ¿erozwi¹zania s¹ odpowiednie w stosunku do zamierzo-nych celów.

1 Pocz¹tkowy /Ad Hoc. Istnieje �wiadomo�æ potrzebyweryfikacji i potwierdzenia, ¿e zaimplementowanerozwi¹zania s³u¿¹ zamierzonym celom. Testowanie jestwykonywane dla czê�ci projektów, ale inicjatywapodjêcia testowania jest pozostawiona indywidualnymgrupom projektowym, a przyjmowane podej�cia ró¿ni¹siê. Formalna akredytacja i zatwierdzenie (zamkniêcieprac) jest rzadkie lub nie istnieje.

2 Powtarzalny, ale Intuicyjny. Istnieje pewna zgodno�æpodej�cia pomiêdzy testowaniem i akredytacj¹, ale niebazuje ona na ¿adnej metodyce. Indywidualne grupyrozwoju w normalnej sytuacji decyduj¹ o podej�ciu dotestowania, ale z regu³y nie wystêpuje testowanieintegracyjne. Istnieje nieformalny proces zatwierdzania,niekoniecznie oparty na zestandaryzowanych kryteriach.Formalna akredytacja i zatwierdzenie (zamkniêcie prac)jest stosowane w sposób niekonsekwentny.

3 Zdefiniowany Proces. Istnieje formalna metodykaodnosz¹ca siê do instalacji, migracji, konwersji iakceptacji. Jednak¿e, kierownictwo nie ma zdolno�cioceny zgodno�ci. Procesy instalacji i akredytacji w IT s¹zintegrowane z cyklem rozwoju systemów i, dopewnego stopnia, zautomatyzowane. Szkolenie,testowanie i przeniesienie do produkcji oraz akredytacjas¹ prawdopodobnie ró¿ne od zdefiniowanego procesu iopieraj¹ siê na indywidualnych decyzjach. Jako�æsystemów wprowadzanych do produkcji jest niesta³a dlanowych systemów generuj¹cych czêsto znacz¹cypoziom problemów poimplementacyjnych.

4 Zarz¹dzany i Mierzalny. Procedury s¹ sformalizowane,a rozwój jest dobrze zorganizowany i mo¿liwy dozastosowania w praktyce ze zdefiniowanym �rodowi-skiem testowym i procedurami akredytacji. W praktyce,wszystkie g³ówne zmiany wprowadzane do systemu s¹zgodne z tym formalnym podej�ciem. Ocena realizacjiwymagañ u¿ytkownika jest zestandaryzowana i mo¿liwa

do zmierzenia, tworz¹c metryki, które mog¹ byæefektywnie przegl¹dane i analizowane przez kierownic-two. Jako�æ systemów wprowadzanych do produkcji jestsatysfakcjonuj¹ca dla kierownictwa, z rozs¹dnymipoziomami problemów poimplementacyjnych. Automa-tyzacja procesu jest ad hoc i zale¿y od danego projektu.Nie s¹ konsekwentnie stosowane ¿adne oceny poimple-mentacyjne, ani ci¹g³e przegl¹dy jako�ci, chocia¿kierownictwo mo¿e byæ usatysfakcjonowane z aktualne-go poziomu sprawno�ci. System testu w³a�ciwieodzwierciedla �rodowisko rzeczywiste. Próby obci¹¿eñdla nowych systemów i testy regresywne dla istniej¹-cych systemów s¹ stosowane dla g³ównych projektów.

5 Zoptymalizowany. Procesy instalacji i akredytacji s¹udoskonalone do poziomu najlepszych praktyk opartychna rezultatach ci¹g³ego ulepszania i udoskonalania.Procesy instalacji i akredytacji w IT s¹ w ca³o�cizintegrowane z cyklem rozwoju systemów i zautomaty-zowane we wskazanych przypadkach, stwarzaj¹cdogodne warunki do bardziej efektywnego szkolenia,testowania i przekazywania do produkcji nowychsystemów. Dobrze rozwiniête �rodowiska testowe,rejestry b³êdów i procesy rozwi¹zywania b³êdówzapewniaj¹ wydajne i efektywne przeniesienie do�rodowiska produkcyjnego. Akredytacja ma zwyklemiejsce przy ograniczonych pracach powtórnych, aproblemy poimplementacyjne s¹ normalnie ograniczonedo drobnych korekt. Przegl¹dy poimplementacyjne s¹tak¿e zestandaryzowane, z w³¹czeniem nabytegodo�wiadczenia dla zapewnienia ci¹g³ej poprawy jako�ci.Próby obci¹¿eniowe dla nowych systemów i testyregesywne dla poprawianych systemów s¹ konsekwent-nie stosowane.

AI5

COBIT

64

l Polityki zmian s¹ jasne i znane oraz rygorystycznie i systematycz-nie wdra¿ane

l Zarz¹dzanie zmianami jest silnie zintegrowane z zarz¹dzaniemwersjami i jest integraln¹ czê�ci¹ zarz¹dzania konfiguracj¹

l Istnieje szybki i skuteczny proces planowania, aprobowania iinicjowania obejmuj¹cy identyfikacjê, kategoryzacjê, ocenêwp³ywu i priorytetyzacjê zmian

l S¹ dostêpne narzêdzia automatyzuj¹ce proces, które wspomagaj¹definiowanie przep³ywu pracy, plany pracy pro-forma, szablonyaprobowania, testowanie, konfigurowanie i dystrybuowanie

l Przed wykonaniem zmiany s¹ stosowane procedury niezbêdnych iobszernych testów akceptacyjnych

l Istnieje system �ledzenia i obserwacji pojedynczych zmian orazparametrów procesu zmian

l Jest okre�lony formalny proces przekazywania z rozwoju doeksploatacji

l Zmiany bior¹ pod uwagê wp³yw na wymagania dotycz¹cewydolno�ci i wydajno�ci

l Jest dostêpna kompletna i aktualna dokumentacja aplikacji ikonfiguracji

l Istnieje proces zarz¹dzania koordynacj¹ pomiêdzy zmianami,rozpoznaj¹cy wspó³zale¿no�ci

l Jest wdro¿ony niezale¿ny proces weryfikacji sukcesu lub pora¿kizmiany

l Istnieje podzia³ obowi¹zków pomiêdzy rozwojem i produkcj¹





P skuteczno�æ

wydajno�æ

poufno�æ

S integralno�æ

S dostêpno�æ

zgodno�æ

rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

ü dane

Zasoby IT

l Zmniejszona liczba b³êdów wprowadzanychdo systemów podczas zmian

l Zmniejszona liczba zak³óceñ (utraty dostêpno-�ci) spowodowanych kiepsko zarz¹dzanymizmianami

l Zmniejszony wp³yw zak³óceñ spowodowa-nych zmianami

l Zmniejszony poziom zasobów i czasuniezbêdnych w stosunku do liczby zmian

l Liczba poprawek awaryjnych


Kontrola procesu IT Zarz¹dzania zmianami z celem bizneso-wym minimalizowania prawdopodobieñstwa zak³ócenia, nieauto-ryzowanych zmian i b³êdów

l Liczba ró¿nych wersji zainstalowanych w tymsamym czasie

l Liczba wydañ oprogramowania i metoddystrybucji na platformê

l Liczba odchyleñ od standardowej konfiguracjil Liczba poprawek awaryjnych, dla których

normalny proces zarz¹dzania zmianami nie by³stosowany wstecznie

l Opó�nienie czasowe pomiêdzy dostêpno�ci¹poprawki, a jej implementacj¹

l Stosunek zaakceptowanych do odrzuconychwniosków o wdro¿enie zmian


AI6 Nabywanie i Wdra¿anieZarz¹dzanie zmianami


65

AI6 Model Dojrza³o�ciKontrola procesu Zarz¹dzania zmianami z celembiznesowym minimalizowania prawdopodobieñstwazak³ócenia, nieautoryzowanych zmian i b³êdów

0 Nieistniej¹cy. Nie ma zdefiniowanego procesu zarz¹-dzania zmianami i zmiany mog¹ byæ wykonywanepraktycznie bez kontroli. Nie ma �wiadomo�ci, ¿ezmiany mog¹ byæ destrukcyjne zarówno dla dzia³aniaIT, jak i biznesu i nie ma �wiadomo�ci korzy�ci wynika-j¹cych z dobrego zarz¹dzania zmianami.

1 Pocz¹tkowy /Ad Hoc. Jest wiadomym, ¿e zmianypowinny byæ zarz¹dzane i kontrolowane, ale nie maspójnego procesu, zgodnie z którym mia³oby siê toodbywaæ. Praktyka jest zmienna i jest prawdopodobne,¿e mog¹ byæ wykonane nieautoryzowane zmiany.Istnieje s³aba lub nie ma w ogóle dokumentacji zmiany,a dokumentacja konfiguracji jest niekompletna inierzetelna. Istnieje prawdopodobieñstwo, ¿e wyst¹pi¹b³êdy wraz z zak³óceniami w �rodowisku produkcyjnymspowodowane kiepskim zarz¹dzaniem zmianami.

2 Powtarzalny, ale Intuicyjny. Istnieje nieformalnyproces zarz¹dzania zmianami i wiêkszo�æ zmian jestwykonywana zgodnie z nim; jednak¿e jest to nieustruk-turalizowane, elementarne i ma sk³onno�æ do b³êdów.Dokumentacja konfiguracji nie jest aktualna, i tylko wograniczonym stopniu s¹ wykonywane planowanie iocena wp³ywu przed zmian¹. Ma miejsce niska wydaj-no�æ, a prace wykonywane s¹ powielokroæ.

3 Zdefiniowany Proces. Istnieje i jest okre�lony formalnyproces zarz¹dzania zmianami, obejmuj¹cy kategoryza-cjê, prioretyzacjê, procedury awaryjne i zarz¹dzaniawersjami, ale podporz¹dkowanie siê mu nie jestwymuszane. Zdefiniowany proces nie zawsze wydaje siêodpowiedni lub praktyczny i w rezultacie, stosuje siêobej�cia, a procesy s¹ pomijane Prawdopodobne jestpojawianie siê b³êdów, a nieautoryzowane zmianyzdarzaj¹ siê okazjonalnie. Analiza wp³ywu zmian IT nadzia³ania biznesu staje siê sformalizowana, w celuwspierania rozprowadzania nowych aplikacji i technolo-gii.

4 Zarz¹dzany i Mierzalny. Proces zarz¹dzania zmianamijest dobrze opracowany i konsekwentnie przestrzeganydla wszystkich zmian a kierownictwo jest pewne, ¿e niema od niego odstêpstw. Proces jest wydajny i skuteczny,choæ aby zapewniæ osi¹gniêcie jako�ci opiera siê wznacznym stopniu na manualnych procedurach i

mechanizmach ochronnych. Wszystkie zmiany s¹przedmiotem drobiazgowego planowania i ocenywp³ywu, w celu minimalizowania prawdopodobieñstwawyst¹pienia problemów po-produkcyjnych. Istniejeproces zatwierdzania zmian. Dokumentacja zarz¹dzaniazmianami jest aktualna i poprawna, ³¹cznie z formalnie�ledzonymi zmianami. Dokumentacja konfiguracji jestzasadniczo dok³adna. Planowanie i wdra¿anie zmian wIT staje siê bardziej zintegrowane ze zmianami wprocesach biznesowych, w celu zapewnienia, ¿eodniesiono siê do szkoleñ, zmian organizacyjnych izagadnieñ zachowania ci¹g³o�ci. Wzrasta koordynacjapomiêdzy zarz¹dzaniem zmianami IT i przebudow¹procesów biznesowych.

5 Zoptymalizowany. Proces zarz¹dzania zmianami jestregularnie przegl¹dany i aktualizowany, w celu zacho-wania jego zgodno�ci z najlepszymi praktykami.Informacja o konfiguracji jest skomputeryzowana izapewnia kontrolê wersji. Dystrybucja oprogramowaniajest zautomatyzowana, dostêpna jest mo¿liwo�æzdalnego monitorowania. Konfiguracja oraz zarz¹dzaniewersjami i �ledzenie zmian s¹ wysoce z³o¿one iobejmuj¹ narzêdzia s³u¿¹ce do detekcji nieautoryzowa-nego i nielicencjonowanego oprogramowania. Zarz¹dza-nie zmianami w IT jest zintegrowane z zarz¹dzaniemzmianami w biznesie w celu zapewnienia, ¿e IT jestczynnikiem umo¿liwiaj¹cym wzrost produktywno�ci itworzenie nowych mo¿liwo�ci biznesowych dlaorganizacji.

AI6

COBIT

66



67

D O S T A R C Z A N I E I W S P I E R A N I E

COBIT

68

l Gdy tylko jest to mo¿liwe, poziomy us³ug s¹ wyra¿one przypomocy pojêæ biznesowych u¿ytkownika koñcowego

l W przypadku naruszenia poziomów us³ug wykonywane s¹analizy przyczyn �ród³owych

l S¹ dostêpne umiejêtno�ci i narzêdzia, w celu dostarczenia, wew³a�ciwym czasie, u¿ytecznej informacji dotycz¹cej poziomuserwisowego

l Jest okre�lona zale¿no�æ krytycznych procesów biznesowych odIT i jest ona zabezpieczona umowami dotycz¹cymi poziomówus³ug (Service Level Agreements)

l Odpowiedzialno�æ i obowi¹zki kierownictwa IT s¹ zwi¹zane zpoziomami us³ug

l Organizacja IT mo¿e zidentyfikowaæ przyczyny ró¿nic wystêpu-j¹cych w kosztach

l S¹ dostarczane szczegó³owe i spójne wyja�nienia dotycz¹ceró¿nic wystêpuj¹cych w kosztach

l Dostêpny jest system �ledzenia i pod¹¿ania w �lad za pojedynczy-mi zmianami





P skuteczno�æ

wydajno�æ

S poufno�æ

S integralno�æ

S dostêpno�æ

S zgodno�æ

S rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

ü dane

Zasoby IT

l otwierdzenie przez strategiczn¹ jednostkêbiznesow¹, ¿e poziomy us³ug s¹ zgodne zkluczowymi celami biznesowymi

l Satysfakcja klienta wynikaj¹ca z poziomuus³ug zgodnych z oczekiwaniami

l Wspó³czynnik kosztów rzeczywistych do(kosztów) zapisanych w bud¿ecie bêd¹cych wzgodzie z poziomami us³ug

l Procent wszystkich krytycznych procesówbiznesowych zale¿nych od IT objêtychumowami dotycz¹cych poziomu us³ug(Service Level Agreements)

l Procent umów dotycz¹cych poziomu us³ug(Service Level Agreements) przegl¹danych wuzgodnionych okresach lub w nastêpstwieznacz¹cych zmian

l Strony umów dotycz¹cych poziomu us³ugzatwierdzaj¹ dostarczone informacje zwi¹zanez monitorowaniem poziomu us³ug

l Procent us³ug IT spe³niaj¹cych wymaganiazawarte w umowach dotycz¹cych poziomuus³ug (Service Level Agreements)


l Opó�nienie czasowe pomiêdzy wnioskowa-niem o zmianê poziomu us³ug, a jej wykona-niem

l Czêstotliwo�æ wykonywania badania poziomuzadowolenia klienta

l Czas potrzebny na rozwi¹zanie kwestiizwi¹zanych z poziomem us³ug

l Ile razy analiza przyczyn �ród³owych dlaprocedury poziomu us³ug i pó�niejszerozwi¹zanie s¹ koñczone w wymaganymokresie

l Wielko�ci kwot dodatkowo wydatkowanych,potrzebnych do dostarczenia okre�lonegopoziomu us³ug


Kontrola procesu IT Definiowania i zarz¹dzania poziomamius³ug z celem biznesowym wprowadzenia jednolitego rozumie-nia wymaganego poziomu us³ug

DS1 Dostarczanie i WspieranieDefiniowanie i zarz¹dzanie poziomami us³ug


69

DS1 Model Dojrza³o�ciKontrola procesu IT Definiowania poziomów serwi-sowych z celem biznesowym wprowadzenia jednolite-go rozumienia wymaganego poziomu us³ug

0 Nieistniej¹cy. Kierownictwo nie uzna³o potrzebyistnienia procesu definiowania poziomów us³ug. Niezosta³y przypisane obowi¹zki i odpowiedzialno�ci za ichmonitorowanie.

1 Pocz¹tkowy /Ad Hoc. Istnieje �wiadomo�æ potrzebyzarz¹dzania poziomem us³ug, ale proces jest nieformal-ny i dora�ny. Obowi¹zki i odpowiedzialno�æ za wydaj-no�æ monitorowania s¹ nieformalnie zdefiniowane.Pomiary wydajno�ci maj¹ charakter jako�ciowy znie�ci�le zdefiniowanymi celami. Raportowanie owydajno�ci jest rzadkie i niespójne.

2 Powtarzalny, ale Intuicyjny. Istniej¹ uzgodnioneumowy dotycz¹ce poziomu us³ug (Service LevelAgreements), ale s¹ one nieformalne i nie poddawaneponownej analizie. Raportowanie o poziomie us³ug jestniekompletne, niezwi¹zane lub wprowadzaj¹ce w b³¹doraz zale¿ne od umiejêtno�ci i inicjatywy poszczegól-nych kierowników. Jest powo³any koordynator do sprawpoziomu us³ug wraz z okre�lonym zakresem obowi¹z-ków, ale nie ma on wystarczaj¹cych uprawnieñ. Procesd¹¿enia do bycia zgodnym z umowami dotycz¹cymipoziomu us³ug (Service Level Agreements) jestdobrowolny i nieprzymusowy.

3 Zdefiniowany Proces. Obowi¹zki zosta³y dobrzeokre�lone, ale z prawem decydowania o zakresieuprawnieñ. Istnieje proces rozwoju umów dotycz¹cychpoziomu us³ug wraz z punktami kontrolnymi w celuponownej oceny poziomu us³ug i zadowolenia klienta.Wraz z rosn¹cym poziomem standaryzacji s¹ zdefinio-wane i uzgodnione z u¿ytkownikami kryteria poziomuus³ug. Niedobory w poziomie us³ug s¹ rozpoznane, aleplanowanie rozwi¹zañ jest jeszcze nieformalne. Zwi¹zekpomiêdzy zapewnianym finansowaniem, a oczekiwa-nym poziomem us³ug jest coraz bardziej formalizowany.Poziom us³ug coraz bardziej opiera siê na standardachbran¿owych i nie s¹ w nim uwzglêdniane specyficznepotrzeby organizacji.

4 Zarz¹dzany i Mierzalny. Poziomy us³ug s¹ w corazwiêkszym stopniu okre�lane w fazie definiowaniawymagañ systemowych oraz uwzglêdnione w projekcieaplikacji i �rodowisk operacyjnych. Zadowolenie klientapodlega rutynowemu pomiarowi i ocenie. Miary

wydajno�ci coraz bardziej odzwierciedlaj¹ potrzebykoñcowego u¿ytkownika, a nie tylko cele IT. Kryteriau¿ytkownika pomiaru poziomu us³ug staj¹ siê zestanda-ryzowane i odzwierciedlaj¹ normy bran¿owe. Gdyokre�lony poziom us³ug nie jest spe³niony, wykonywanajest analiza przyczyn �ród³owych (tego faktu). Systemraportowania dotycz¹cego monitorowania poziomuus³ug staje siê coraz bardziej zautomatyzowany. Ryzykaoperacyjne i ryzyka finansowe zwi¹zane z niespe³nie-niem uzgodnionych poziomów us³ug s¹ zdefiniowane iwyra�nie zrozumia³e.

5 Zoptymalizowany. Poziomy us³ug s¹ stale, ponownieoszacowywane w celu zapewnienia zestrojenia celów ITz celami biznesu, równocze�nie jak najlepiej wykorzy-stuj¹c zaawansowanie technologiczne oraz poprawêstosunku ceny produktu do jego wydajno�ci. Wszystkieprocesy dotycz¹ce poziomu us³ug podlegaj¹ sta³emuprocesowi ulepszania. Kryteria dotycz¹ce definiowaniapoziomu us³ug s¹ okre�lane w oparciu o krytyczno�æbiznesu i obejmuj¹ dostêpno�æ, niezawodno�æ, wydaj-no�æ, potencja³ wzrostu, wsparcie u¿ytkownika,planowanie zachowania ci¹g³o�ci oraz kwestie dotycz¹-ce bezpieczeñstwa. Poziomy zadowolenia klienta s¹monitorowane i egzekwowane. Oczekiwane poziomyus³ug s¹ oceniane w odniesieniu do norm bran¿owych,ale odzwierciedlaj¹ one tak¿e specyficzne strategicznecele jednostek biznesowych. Kierownictwo IT posiadazasoby i odpowiedzialno�æ potrzebne do spe³nieniacelów wydajno�ci poziomu us³ug, a wynagradzaniekieruj¹cych skonstruowane jest w sposób zapewniaj¹cybod�ce dla spe³nienia celów organizacji.

DS1

COBIT

70

l Istniej¹ jasno zdefiniowane wymagania dotycz¹ce us³ug orazmiary wydajno�ci

l Organizacja zachowuje odpowiedzialno�æ i kontrolê orazproaktywnie zarz¹dza us³ugami zewnêtrznymi

l Dostawca us³ug posiada mechanizmy s³u¿¹ce do raportowaniadotycz¹cego miar wydajno�ci

l Zewnêtrzni dostawcy posiadaj¹ program zapewnienia jako�cil Wszystkie produkty, rezultaty, ³¹cznie z wymaganiami operacyj-

nymi i wydajno�ciowymi zosta³y okre�lone na wystarczaj¹cympoziomie i s¹ zrozumia³e dla wszystkich stron

l Zosta³y wdro¿one efektywne procedury zmian dotycz¹cychwymagañ odno�nie us³ug oraz miar wydajno�ci

l Kontrakty podlegaj¹ przegl¹dowi pod k¹tem poprawno�ciprawnej oraz zatwierdzeniu

l Podjêto kroki w celu zapewnienia adekwatnego zarz¹dzania iadministracji, uwzglêdniaj¹c zagadnienia finansowe, operacyjne,prawne oraz kontrolne

l Stosowanie wzajemnie uzgodnionych umów dotycz¹cychpoziomu us³ug jest oparte o uzgodniony i powi¹zany systemnagród i kar

l Zarz¹dzaj¹cy kontraktami, wewn¹trz organizacji, jest jedyn¹osob¹ utrzymuj¹c¹ kontak ze stronami trzecimi

l Stosuje siê zapytania ofertowe (Request For Proposal) z wcze-�niej ustanowionymi i uzgodnionymi kryteriami oceny

l Istnieje proces klasyfikowania problemów dotycz¹cych us³ugoparty na ich wa¿no�ci i wymaganych odpowiedziach





P skuteczno�æ

P wydajno�æ

S poufno�æ

S integralno�æ

S dostêpno�æ

S zgodno�æ

S rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

ü dane

Zasoby IT

l Procent dostawców us³ug, z którymi formalnieuzgodniono cele

l Procent umów maj¹cych wiêksze znaczenie,dla których podejmowane s¹ przegl¹dykwalifikacji dostawcy us³ug

l Procent dostawców us³ug, którzy przeszliproces formalnej kwalifikacji

l Liczba dostawców zewnêtrznych, w stosunkudo których dobrze okre�lono cele i oczekiwanewyniki

l Wspólna satysfakcja z istniej¹cych stosunkówwzajemnych

l Liczba zewnêtrznych dostawców, którzy niespe³niaj¹ celów lub poziomów us³ug

l Liczba oraz koszty sporów z dostawcamizewnêtrznymi wynikaj¹cymi z niedostatecznieustalonych umów lub wynikaj¹cych z brakuwydajno�ci mimo dobrze skonstruowanychumów


l Liczba i czêstotliwo�æ spotkañ dotycz¹cychprzegl¹dów

l Liczba poprawek wnoszonych do kontraktówl Czêstotliwo�æ raportów dotycz¹cych poziomu

us³ugl Liczba spraw zaleg³ych (nieuregulowanych)l Opó�nienie czasowe w kwestiach rozliczeñl Procent kontraktów nieuregulowanych z

powodu braku przegl¹du zgodno�ci z praweml Opó�nienie czasowe od ostatniego przegl¹du

kontraktu pod k¹tem warunków rynkowychl Liczba kontraktów dotycz¹cych us³ug, w

których nie stosuje siê standardowychterminów i warunków lub zatwierdzonychwyj¹tków


Kontrola procesu IT Zarz¹dzania us³ugami zewnêtrznymi zcelem biznesowym zapewnienia, ¿e role i (zakresy) odpowie-dzialno�ci stron trzecich s¹ jasno okre�lone, stosowane i zapew-niaj¹ spe³nienie wymagañ

DS2 Dostarczanie i WspieranieZarz¹dzanie us³ugami zewnêtrznymi


71

DS2 Model Dojrza³o�ciKontrola procesu IT Zarz¹dzania us³ugami ze-wnêtrznymi z celem biznesowym zapewnienia, ¿erole i (zakresy) odpowiedzialno�ci stron trzecich s¹jasno okre�lone, stosowane i zapewniaj¹ spe³nieniewymagañ

0 Nieistniej¹cy. Nie zosta³y okre�lone obowi¹zki iodpowiedzialno�ci. Nie istniej¹ formalne polityki iprocedury odnosz¹ce siê do zawierania kontraktów zdostawcami zewnêtrznymi. Us³ugi zewnêtrzne nie s¹ anizatwierdzane ani oceniane przez kierownictwo. Brak jestwykonywania pomiarów oraz raportowania przezdostawców zewnêtrznych. Wobec braku w umowieobowi¹zku raportowania, kierownictwo wy¿szegoszczebla nie jest zorientowane w jako�ci dostarczanychus³ug.

1 Pocz¹tkowy /Ad Hoc. Kierownictwo ma �wiadomo�æpotrzeby posiadania spisanych polityk i procedurdotycz¹cych pozyskiwania us³ug zewnêtrznych, ³¹czniez posiadaniem podpisanych kontraktów. Nie istniej¹standardy warunków umów. Pomiar dostarczonychus³ug jest nieformalny i dora�ny. Praktyki zale¿¹ oddo�wiadczenia poszczególnych osób i od skuteczno�cihandlowej dostawcy.

2 Powtarzalny, ale Intuicyjny. Proces nadzorowaniadostawców us³ug zewnêtrznych, a tak¿e dostarczanieus³ug s¹ nieformalne. Podpisany pro-forma kontrakt jestu¿ywany ze standardowymi warunkami i terminamidostawcy oraz opisem us³ug, które zostan¹ dostarczone.Pomiary s¹ wykonywane, ale nie s¹ one powi¹zane.Raporty s¹ dostêpne, ale nie wspieraj¹ celów bizneso-wych.

3 Zdefiniowany Proces. Istniej¹ dobrze opisane procedu-ry zarz¹dzania zaopatrzeniem zewnêtrznym, wraz zjasnymi procesami zapewniaj¹cymi w³a�ciw¹ weryfika-cjê i negocjacje z dostawcami. Powi¹zania z dostawc¹zewnêtrznym wynikaj¹ ca³kowicie z umowy. Charakterus³ug, które maj¹ byæ dostarczone jest wyszczególnionyw kontrakcie oraz zawiera wymagania operacyjne,prawne i kontrolne. Jest tak¿e przypisana odpowiedzial-no�æ za niedopatrzenia w dostarczaniu us³ug zewnêtrz-nych. Warunki kontraktów s¹ oparte na zestandaryzowa-nych szablonach. Ryzyko biznesowe, zwi¹zane zkontraktem podlega oszacowaniu i raportowaniu.

4 Zarz¹dzany i Mierzalny. Zosta³y ustalone formalne izestandaryzowane kryteria okre�laj¹ce zakres prac,

us³ug, które maj¹ byæ dostarczone, produktów, za³o¿eñ,skali czasowych, kosztów, ustalenia odno�nie rozlicza-nia, odpowiedzialno�ci, terminów biznesowych iwarunków. Odpowiedzialno�ci za kontrakty i zarz¹dza-nie dostawcami zosta³y przypisane. Kwalifikacje imo¿liwo�ci dostawców s¹ sprawdzane. Wymagania s¹okre�lone i powi¹zane z celami biznesowymi. Istniejeproces dokonywania przegl¹du wydajno�ci us³ug wstosunku do warunków wynikaj¹cych z kontraktów,dostarczaj¹cy danych wej�ciowych dla bie¿¹cego iprzysz³ego dostarczania us³ug. S¹ stosowane modelewyceniania transferu w procesie zaopatrzenia. Wszyst-kie zainteresowane strony s¹ �wiadome oczekiwañdotycz¹cych us³ug, cen i kamieni milowych.

5 Zoptymalizowany. Wspólnie podpisany kontrakt, porozpoczêciu prac, podlega okresowemu przegl¹dowi.Jest przypisana odpowiedzialno�æ za zapewnieniejako�ci dostarczania us³ug i wsparcie ze strony dostaw-cy. Dowody na zgodno�æ z warunkami operacyjnymi,prawnymi i kontrolnymi wynikaj¹cymi z kontraktówpodlegaj¹ monitorowaniu, a dzia³ania naprawcze s¹wymuszane. Dostawcy zewnêtrzni podlegaj¹ niezale¿ne-mu, okresowemu przegl¹dowi z rodzajem reakcjizwrotnej wynikaj¹cym z charakteru przegl¹du. Wybranewielko�ci mierzone zmieniaj¹ siê dynamicznie, wodpowiedzi na zmieniaj¹ce siê warunki biznesowe.Podejmowane �rodki zaradcze wspieraj¹ wczesnewykrycie problemów. Pe³ne, zdefiniowane raportowaniejest po³¹czone z procesem rekompensat od dostawcówzewnêtrznych. Raportowanie zapewnia wczesneostrzeganie o potencjalnych problemach, aby u³atwiæ ichrozwi¹zywanie w porê.

DS2

COBIT

72

l Wymagania us³ug IT odno�nie implikacji wydajno�ci i wydolno-�ci s¹ wyra�nie okre�lone dla wszystkich krytycznych procesówbiznesowych

l Wymagania dotycz¹ce wydajno�ci s¹ w³¹czone we wszystkieprojekty utrzymania i rozwoju IT

l Kwestie wydolno�ci i wydajno�ci s¹ zawarte we wszystkichw³a�ciwych etapach metodyki nabywania i strategicznegorozmieszczania systemu

l Infrastruktura technologiczna podlega regularnym przegl¹dom wcelu wykorzystania stosunków kosztów do wydajno�ci i umo¿li-wienia nabywania zasobów, które dostarcz¹ jak najwiêkszypotencja³ wydajno�ci przy jak najni¿szej cenie

l S¹ dostêpne umiejêtno�ci i narzêdzia potrzebne do przeanalizo-wania bie¿¹cej i przysz³ej wydolno�ci

l Umo¿liwia siê u¿ytkownikom i kierownictwu IT dostêp doinformacji dotycz¹cej bie¿¹cej i zaprojektowanej wydolno�ci orazmo¿liwo�ci jej u¿ycia w zrozumia³ej i u¿ytecznej formie





P skuteczno�æ

P wydajno�æ

poufno�æ

integralno�æ

S dostêpno�æ

zgodno�æ

rzetelno�æ


ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

dane

Zasoby IT

l Liczba koñcowych procesów biznesowychdoznaj¹cych przerwañ i przerw w dop³ywieenergii elektrycznej spowodowanychnieodpowiedni¹ wydolno�ci¹ i wydajno�ci¹IT

l Liczba krytycznych procesów biznesowychnieobjêtych zdefiniowanym planemdostêpno�ci us³ug

l Procent krytycznych zasobów IT, zodpowiednim potencja³em wydolno�ci iwydajno�ci, bior¹cych pod uwagê szczytyobci¹¿eñ


l Liczba przerw w pracy spowodowanychniewystarczaj¹c¹ wydolno�ci¹ procesuprzetwarzania

l Procent wydolno�ci pozostaj¹cy wobci¹¿eniu normalnym i szczycie

l Czas potrzebny na rozwi¹zanie problemówwydolno�ci

l Procent nieplanowanych upgrad'ów wstosunku do liczby wszystkich upgrad'ów

l Czêstotliwo�æ przystosowañ wydolno�ci wcelu spe³nienia zmieniaj¹cych siê wymagañ


Kontrola procesu IT Zarz¹dzania wydajno�ci¹ i wydolno�ci¹ zcelem biznesowym zapewnienia, ¿e s¹ dostêpne odpowiedniowydolne zasoby i ¿e s¹ one najlepiej i optymalnie wykorzystane,aby spe³niæ wymagania wydajno�ci

DS3 Dostarczanie i WspieranieZarz¹dzanie wydajno�ci¹ i wydolno�ci¹


73

DS3 Model Dojrza³o�ciKontrola procesu IT Zarz¹dzania efektywno�ci¹ iwydajno�ci¹ z celem biznesowym zapewnienia, ¿e s¹dostêpne odpowiednio wydolne zasoby i ¿e s¹ onenajlepiej i optymalnie wykorzystane, aby spe³niæwymagania wydajno�ci

0 Nieistniej¹cy. Kierownictwo nie uzna³o, ¿e kluczoweprocesy biznesowe mog¹ wymagaæ wysokich poziomówwydajno�ci IT lub ¿e ca³kowita potrzeba biznesuodno�nie us³ug IT mo¿e przekraczaæ ich wydolno�æ.

1 Pocz¹tkowy /Ad Hoc. Zarz¹dzanie wydajno�ci¹ iwydolno�ci¹ jest dora�ne i sporadyczne. U¿ytkownicyczêsto musz¹ obmy�laæ pracê omijaj¹ce ograniczeniawydajno�ci i wydolno�ci. Istnienie potrzeby us³ug ITjest s³abo docenione przez w³a�cicieli procesu bizneso-wego. Kierownictwo IT jest �wiadome potrzebyzarz¹dzania wydajno�ci¹ i wydolno�ci¹ ale podejmowa-ne dzia³anie jest zwykle dora�ne lub niepe³ne. Procesplanowania jest nieformalny.

2 Powtarzalny, ale Intuicyjny. Kierownictwo biznesowejest �wiadome wp³ywu braku zarz¹dzania wydajno�ci¹ iwydolno�ci¹. Dla obszarów krytycznych potrzeby wzakresie wydajno�ci s¹ generalnie zaspokojone woparciu o ocenê poszczególnych systemów oraz wiedzêzespo³ów wsparcia i zespo³ów projektowych. Niektórepojedyncze narzêdzia mog¹ byæ u¿ywane do diagnozo-wania problemów wydajno�ci i wydolno�ci, alezgodno�æ wyników zale¿y od specjalistycznej wiedzykluczowych osób. Nie ma ¿adnej ca³kowitej ocenypotencja³u wydajno�ci infrastruktury IT lub rozwa¿eniasytuacji obci¹¿enia w szczycie i sytuacji w przypadkunajsilniejszego obci¹¿enia. W sposób nieoczekiwany iprzypadkowy wystêpuj¹ podobne problemy dotycz¹cedostêpno�ci, a ich zdiagnozowanie i naprawa zabieraznaczn¹ ilo�æ czasu.

3 Zdefiniowany Proces. Wymagania odno�nie wydajno-�ci i dostêpno�ci s¹ okre�lone jako kroki, brane poduwagê na wszystkich etapach metodyki nabywaniasystemu i jego strategicznego rozmieszczania. Istniej¹okre�lone wymagania i systemy pomiaru, które mog¹byæ u¿yte do zmierzenia wydajno�ci operacyjnej.Istnieje mo¿liwo�æ modelowania i przewidywaniaprzysz³ych potrzeb dotycz¹cych wydajno�ci. Raportydotycz¹ce statystyk wydajno�ci mog¹ byæ wykonywane.Problemy prawdopodobnie ci¹gle bêd¹ wystêpowa³y ibêdzie poch³aniany czas na ich poprawê. Mimo opubli-kowanych poziomów us³ug u¿ytkownicy koñcowi bêd¹

czasami odczuwaæ sceptycyzm dotycz¹cy mo¿liwo�cius³ug.

4 Zarz¹dzany i Mierzalny. S¹ dostêpne procesy inarzêdzia s³u¿¹ce do mierzenia u¿ycia systemu iporównania ze zdefiniowanymi poziomami us³ug. Jestdostêpna aktualna informacja przedstawiaj¹ca zestanda-ryzowane statystyki wydajno�ci i alarmuj¹ca o incyden-tach, takich jak niewystarczaj¹ca wydolno�æ lubprzepustowo�æ. Incydenty spowodowane niedomagania-mi w wydolno�ci lub wydajno�ci s¹ traktowane zgodnieze zdefiniowanymi i zestandaryzowanymi procedurami.U¿ywa siê automatycznych narzêdzi do monitorowaniaspecyficznych zasobów, takich jak pamiêæ dyskowa,serwery sieciowe i bramy sieci (gateways). Istniej¹pewne próby raportowania dotycz¹ce statystyk wydajno-�ci w kategoriach procesu biznesowego, tak ¿e u¿ytkow-nik koñcowy mo¿e zrozumieæ poziomy us³ug IT.U¿ytkownicy s¹ zadowoleni z mo¿liwo�ci bie¿¹cychus³ug i ¿¹daj¹ nowych ulepszonych poziomów dostêp-no�ci.

5 Zoptymalizowany. Plany dotycz¹ce wydajno�ci iwydolno�ci s¹ w pe³ni zsynchronizowane z prognozamibiznesowymi oraz planami i celami operacyjnymi.Infrastruktura IT podlega regularnym przegl¹dom w celuzapewnienia, ¿e jest osi¹gana optymalna wydajno�æ przymo¿liwie najni¿szych kosztach. Postêpy w technologicz-ne s¹ dok³adnie monitorowane, aby mieæ korzy�ci zpoprawy wydajno�ci produktu. Systemy pomiaruwydajno�ci IT s¹ dobrze zestrojone, ¿eby skupiæ siê nakluczowych obszarach oraz prze³o¿one na KluczoweWska�niki Celu, Kluczowe Wska�niki Wydajno�ci orazKrytyczne Czynniki Sukcesu dla wszystkich krytycz-nych procesów biznesowych. Narzêdzia monitoruj¹cekrytyczne zasoby IT zosta³y, tam gdzie to mo¿liwe,zestandaryzowane poprzez platformy i powi¹zane wjeden ogólno-organizacyjny system zarz¹dzaniaincydentami. Narzêdzia monitoruj¹ce coraz czê�ciejpotrafi¹ wykryæ i automatycznie naprawiæ problemydotycz¹ce wydajno�ci, np. przydzielanie zwiêkszonegoobszaru pamiêci lub przekierowanie ruchu sieciowego.Trendy wskazuj¹ce na nieuchronne problemy wydajno-�ci spowodowane przez zwiêkszone rozmiary biznesu s¹wykrywane, umo¿liwiaj¹c planowanie i unikanieniespodziewanych incydentów. U¿ytkownicy oczekuj¹dostêpno�ci 24*7*365.

DS3

COBIT

74

l Zosta³ zainstalowany i jest regularnie testowany system nieprze-rwanego zasilania

l Potencjalne ryzyka dostêpno�ci s¹ proaktywnie wykrywane irozwa¿ane

l Krytyczne komponenty infrastruktury zosta³y zidentyfikowane is¹ w sposób ci¹g³y monitorowane

l Ci¹g³e �wiadczenie us³ug jest kontynuacj¹ uprzedniego planowa-nia wydolno�ci, nabywania komponentów o wysokiej dostêpno-�ci, potrzebnych rezerw, istnienia przetestowanych planówawaryjnych i usuwania pojedynczych punktów niewydolno�ci

l Jest podejmowane dzia³anie oparte na naukach wziêtych zaktualnych incydentów wy³¹czeñ oraz wykonania testu planówawaryjnych

l Wykonywana jest regularnie analiza wymagañ dostêpno�cil Stosuje siê umowy dotycz¹ce poziomu us³ug (Servce Level

Agreements), aby podnie�æ poziom �wiadomo�ci i zwiêkszyæwspó³pracê z dostawcami dla potrzeb zachowania ci¹g³o�ci

l Proces eskalacji jest jasno zrozumiany i oparty na klasyfikacjiincydentów dotycz¹cych dostêpno�ci

l Koszty biznesu wynikaj¹ce z przerwanej ci¹g³o�ci us³ug s¹ - tamgdzie to mo¿liwe - wyszczególnione i skwantyfikowane, dostar-czaj¹c motywacji do rozwoju odpowiednich planów i zorganizo-wania awaryjnej infrastruktury





P skuteczno�æ

S wydajno�æ

poufno�æ

integralno�æ

P dostêpno�æ

zgodno�æ

rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

ü dane

Zasoby IT

l Brak incydentów sprawiaj¹cych publicznek³opoty

l Liczba krytycznych procesów biznesowychzale¿nych od IT, które posiadaj¹ odpowiednieplany zachowania ci¹g³o�ci

l Regularne i formalne dowody na dzia³anieplanów zachowania ci¹g³o�ci

l Zmniejszone okresy wy³¹czeñl Liczba krytycznych komponentów infrastruk-

tury z automatycznym monitorowaniemdostêpno�ci


l Liczba zaleg³o�ci w sprawach dotycz¹cychci¹g³o�ci us³ug, nierozwi¹zanych lub takich,którymi siê nie zajêto

l Liczba i rozmiar zak³óceñ ci¹g³o�ci us³ugstosuj¹cych kryteria czasu trwania i wp³ywu

l Opó�nienie czasowe pomiêdzy zmian¹organizacyjn¹, a zaktualizowaniem planuzachowania ci¹g³o�ci

l Czas potrzebny na zdiagnozowanie incydentu ipodjêcie decyzji o wprowadzeniu w ¿ycieplanu zachowania ci¹g³o�ci

l Czas potrzebny na znormalizowanie poziomuus³ug po wprowadzeniu w ¿ycie planuzachowania ci¹g³o�ci

l Liczba wdro¿onych, proaktywnych uspraw-nieñ dotycz¹cych dostêpno�ci

l Ca³kowity czas (od projektu do wdro¿enia)potrzebny na zajêcie siê niedoborami wzakresie zachowania ci¹g³o�ci us³ug

l Czêstotliwo�æ dostarczanych szkoleñdotycz¹cych zachowania ci¹g³o�ci us³ug

l Czêstotliwo�æ testowania planów zachowaniaci¹g³o�ci us³ug


Kontrola procesu IT Zapewnienia ci¹g³o�ci us³ug z celembiznesowym zapewnienia wymaganej dostêpno�ci us³ug izapewnienie minimalnego wp³ywu na wyniki dzia³alno�ci wwypadku powa¿nych zak³óceñ

DS4 Dostarczanie i WspieranieZapewnienie ci¹g³o�ci us³ug


75

DS4 Model Dojrza³o�ciKontrola procesu IT Zapewnienia ci¹g³o�ci us³ug zcelem biznesowym zapewnienia wymaganej dostêpno-�ci us³ug i zapewnienie minimalnego wp³ywu nawyniki dzia³alno�ci w wypadku powa¿nych zak³óceñ

0 Nieistniej¹cy. Nie ma znajomo�ci ryzyk, s³abo�ci izagro¿eñ w dzia³aniu IT lub wp³ywu na dzia³aniabiznesowe utraty us³ug IT. Zachowanie ci¹g³o�ci nie jestuwa¿ane za co�, co wymaga uwagi kierownictwa.

1 Pocz¹tkowy /Ad Hoc. Odpowiedzialno�ci za zapewnie-nie ci¹g³o�ci us³ug s¹ nieformalne i wystêpuj¹ zograniczonymi uprawnieniami. Kierownictwo zaczynabyæ �wiadome ryzyk odnosz¹cych siê do zachowaniaci¹g³o�ci us³ug oraz istnienia potrzeby w tym zakresie.Uwaga skupiona jest bardziej na IT, ni¿ na biznesie.U¿ytkownicy wdra¿aj¹ rozwi¹zania zastêpcze (radz¹sobie sami z problemem). Reakcja na znacz¹ce przerwa-nia jest dora�na i wcze�niej nieprzygotowana. Planowa-ne przerwy w dop³ywie energii elektrycznej s¹ wprowa-dzone do harmonogramu raczej dla spe³nienia potrzebIT, ni¿ w celu przystosowania siê do wymogów biznesu.

2 Powtarzalny, ale Intuicyjny. Odpowiedzialno�ædotycz¹ca zachowania ci¹g³o�ci us³ug zosta³a przypisa-na. Podej�cie do zachowania ci¹g³o�ci us³ug jestfragmentaryczne. Raportowanie dotycz¹ce dostêpno�cisystemu jest niekompletne i nie bierze pod uwagêwp³ywu na dzia³ania biznesu. Nie zosta³ udokumento-wany ¿aden plan zachowania ci¹g³o�ci lub plan u¿yt-kownika (zwi¹zany z zapewnieniem ci¹g³o�ci us³ug),mimo i¿ istnieje zobowi¹zanie dotycz¹ce dostêpno�cici¹g³o�ci us³ug, a jego g³ówne zasady s¹ znane. Istniejeumiarkowanie solidny spis krytycznych systemów i ichsk³adników. Pojawia siê standaryzacja praktyk wzakresie zachowania ci¹g³o�ci us³ug oraz monitorowanieprocesu, ale ich powodzenie zale¿y od poszczególnychosób.

3 Zdefiniowany Proces. Odpowiedzialno�æ jest jedno-znaczna, a (zakres) obowi¹zków zwi¹zany z planowa-niem i testowaniem ci¹g³o�ci us³ug jest jasno zdefinio-wany i przypisany. Plany s¹ udokumentowane orazbazuj¹ na krytyczno�ci systemu i wp³ywie na dzia³aniebiznesu. Istnieje okresowe raportowanie dotycz¹cetestowania zachowania ci¹g³o�ci us³ug. Poszczególneosoby podejmuj¹ inicjatywê stosowania standardów orazotrzymuj¹ szkolenie (w tym zakresie). Kierownictwokonsekwentnie komunikuje potrzebê ci¹g³o�ci us³ug.Wysoka dostêpno�æ komponentów i nadmiarowo�æ

systemu (system zapasowy) s¹ stosowane po kawa³ku.Jest rygorystycznie utrzymywany spis krytycznychsystemów i komponentów.

4 Zarz¹dzany i Mierzalny. Odpowiedzialno�ci i standar-dy dotycz¹ce zachowania ci¹g³o�ci us³ug s¹ przymuso-we (�ci�le egzekwowane). Odpowiedzialno�æ zautrzymanie planu zachowania ci¹g³o�ci us³ug jestprzypisana. W dzia³aniach zwi¹zanych z utrzymaniem(planu zachowania ci¹g³o�ci) brane s¹ pod uwagê:zmieniaj¹ce siê �rodowisko biznesowe, rezultatytestowania ci¹g³o�ci us³ug oraz najlepsze wewnêtrznepraktyki. Zestrukturyzowane dane dotycz¹ce zachowa-nia ci¹g³o�ci us³ug s¹ gromadzone, analizowane,raportowane, a (wszystkie) dzia³ania s¹ podejmowanezgodnie z nimi. Szkolenia uwzglêdniaj¹ procesyzachowania ci¹g³o�ci us³ug. Praktyki zwi¹zane zzapewnieniem nadmiarowo�ci systemu (zapasowysystem), w³¹czaj¹c w to u¿ycie komponentów owysokiej dostêpno�ci, s¹ stosowane. Praktyki zwi¹zanez zapewnieniem nadmiarowo�ci systemu (systemzapasowy) i planowanie zachowania ci¹g³o�ci us³ugwp³ywaj¹ na siebie wzajemnie. Incydenty dotycz¹cebraku zachowania ci¹g³o�ci us³ug podlegaj¹ klasyfikacjii wzrastaj¹cej �cie¿ce eskalacji oraz s¹ dobrze znanewszystkim zaanga¿owanym (w proces stronom).

5 Zoptymalizowany. Zintegrowane procesy zachowaniaci¹g³o�ci us³ug s¹ proaktywne, samoreguluj¹ce,automatyczne i samo-analityczne oraz bior¹ pod uwagêporównania (z innymi) i najlepsze zewnêtrzne praktyki.Plany zachowania ci¹g³o�ci us³ug oraz plany zachowa-nia ci¹g³o�ci (dzia³añ) biznesu s¹ zintegrowane,uszeregowane oraz rutynowo utrzymywane. Zakupy (wdu¿ych ilo�ciach) na potrzeby zachowania ci¹g³o�cius³ug s¹ uzyskiwane od g³ównych dostawców. Jakoczê�æ procesu utrzymania wystêpuje globalne testowa-nie, a rezultaty testów stanowi¹ informacjê zwrotn¹.Efektywno�æ kosztów zwi¹zanych z zachowaniemci¹g³o�ci us³ug jest optymalizowana poprzez innowacjê iintegracjê. Gromadzenie i analizy danych s¹ u¿ywane dookre�lenia mo¿liwo�ci ulepszeñ. Praktyki zwi¹zane zzapewnieniem nadmiarowo�ci systemu (system zapaso-wy) oraz planowanie zachowania ci¹g³o�ci us³ug s¹ wpe³ni uszeregowane. Kierownictwo nie zezwala nawystêpowanie pojedynczych punktów niedomagania(systemu) i dostarcza wsparcia w celu ich naprawienia.Praktyki zwi¹zane z eskalacj¹ s¹ zrozumia³e i skrupulat-nie wymuszane.

DS4

COBIT

76

l Stworzony jest ca³o�ciowy plan bezpieczeñstwa, uwzglêdniaj¹cybudowanie �wiadomo�ci, ustalanie jasnych polityk i standardów,identyfikowanie efek-tywnych kosztowo i trwa³ych wdro¿eñ orazdefiniowanie procesów monitorowania i egzekwowania

l Istnieje �wiadomo�æ, ¿e tworzenie dobrego planu bezpieczeñstwawymaga czasu

l Korporacyjna funkcja bezpieczeñstwa raportuje do kierownictwawy¿szego szczebla i jest odpowie-dzialna za wykonanie planubezpieczeñstwa

l Kierownictwo i personel jednakowo rozumiej¹ wymaganiabezpieczeñstwa, wra¿liwo�æ i zagro¿enia oraz rozumiej¹ iakceptuj¹ swoj¹ odpowiedzialno�æ za bezpieczeñstwo

l Wykonywana jest okresowo niezale¿na ocena (przez stronytrzecie) polityki bezpieczeñstwa i architektury

l Zdefiniowany jest program �zezwolenie budow-lane�, identyfikuj¹cypodstawowe wymagania bezpieczeñstwa, które musz¹ byæ spe³nione

l Istnieje program �prawo jazdy� przeznaczony dla (osób) rozwija-j¹cych, wdra¿aj¹cych i u¿ywaj¹cych systemy, wymagaj¹cy odpersonelu certyfikacji dotycz¹cej bezpieczeñstwa

l Funkcja bezpieczeñstwa posiada �rodki i zdolno�ci do wykry-wania, rejestrowania, analizy znaczenia, raportowania i reago-wania na incydenty dotycz¹ce bezpieczeñstwa w chwili, wktórej one nastêpuj¹; jednocze�nie minimalizuj¹c prawdopodo-bieñstwo ich wyst¹pienia poprzez stosowanie testów wykrywa-j¹cych intruzów i aktywne monitorowanie

l Scentralizowany system i proces zarz¹dzania u¿ytkownikamidostarcza, w sposób standardowy i sprawny, �rodki s³u¿¹ce doidentyfikacji i przypisania autoryzacji u¿ytkownikom

l Istnieje prosty do wdro¿enia i ³atwy do u¿ycia racjonalnykosztowo proces potwierdzania wiarygodno�ci u¿ytkowników





skuteczno�æ

wydajno�æ

P poufno�æ

P integralno�æ

S dostêpno�æ

S zgodno�æ

S rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

ü dane

Zasoby IT

l Brak incydentów sprawiaj¹cych publicznek³opoty

l Natychmiastowe raportowanie o krytycznychincydentach

l Zestrojenie praw dostêpu z organizacyjnymzakresem odpowiedzialno�ci

l Zmniejszona liczba nowych wdro¿eñopó�nionych z powodu kwestii bezpieczeñ-stwa

l Pe³na zgodno�æ lub uzgodnione i zarejestrowa-ne odchylenia od minimalnych wymagañbezpieczeñstwa

l Zmniejszona liczba incydentów wywo³anychprzez nieautoryzowany dostêp, stratê lubuszkodzenie informacji


l Zmniejszona liczba wezwañ us³ug, wnioskówo zmiany i poprawek zwi¹zanych z bezpie-czeñstwem

l Sumaryczny czas przestoju z powoduincydentów zwi¹zanych z bezpieczeñstwem

l Zmniejszony czas realizacji wnioskówdotycz¹cych administrowania bezpieczeñ-stwem

l Liczba systemów podlegaj¹cych procesowiwykrywania intruzów

l Liczba systemów posiadaj¹cych mo¿liwo�ciaktywnego monitorowania ich

l Zmniejszony czas badania incydentówzwi¹zanych z bezpieczeñstwem

l Opó�nienie czasowe pomiêdzy wykryciem,raportowaniem i reakcj¹ na incydentyzwi¹zane z bezpieczeñstwem

l Liczba dni szkolenia podnosz¹cego poziom�wiadomo�ci zwi¹zanej z bezpieczeñstwem IT


Kontrola procesu IT Zapewnienia bezpieczeñstwa systemów zcelem biznesowym ochrony informacji przed nieautoryzowanymu¿yciem, ujawnieniem lub modyfikacj¹, uszkodzeniem lub utrat¹

DS5 Dostarczanie i WspieranieZapewnienie bezpieczeñstwa systemów


77

DS5 Model Dojrza³o�ciKontrola procesu IT Zapewnienia bezpieczeñstwasystemów z celem biznesowym ochrony informacjiprzed nieautoryzowanym u¿yciem, ujawnieniem lubmodyfikacj¹, uszkodzeniem lub utrat¹

0 Nieistniej¹cy. Organizacja nie uzna³a potrzeby bezpie-czeñstwa IT. Nie zosta³y przypisane obowi¹zki iodpowiedzialno�ci dotycz¹ce zapewnienia bezpieczeñ-stwa. Nie zosta³y zastosowane �rodki wspomagaj¹cezarz¹dzanie bezpieczeñstwem IT. Nie wystêpujeraportowanie i reakcja na naruszenia bezpieczeñstwa IT.Wystêpuje ca³kowity brak rozpoznawalnego procesuadministrowania bezpieczeñstwem systemu.

1 Pocz¹tkowy /Ad Hoc. Organizacja uzna³a potrzebêbezpieczeñstwa IT, ale �wiadomo�æ dotycz¹ca bezpie-czeñstwa jest indywidualn¹ spraw¹. Bezpieczeñstwo ITjest tworzone na zasadzie dora�nej i nie jest mierzone.Naruszenia bezpieczeñstwa IT, je�li s¹ wykryte,wywo³uj¹ reakcjê typu �wskazanie palcem�, z powoduniejasno okre�lonej odpowiedzialno�ci. Reakcje nanaruszenie bezpieczeñstwa s¹ nieprzewidywalne.

2 Powtarzalny, ale Intuicyjny. Obowi¹zki i odpowie-dzialno�ci za bezpieczeñstwo IT zosta³y przypisanekoordynatorowi bezpieczeñstwa, który nie posiadauprawnieñ kierowniczych. �wiadomo�æ zwi¹zana zbezpieczeñstwem jest fragmentaryczna i ograniczona.Informacja dotycz¹ca bezpieczeñstwa IT jest generowa-na, ale nie analizowana. Rozwi¹zania dotycz¹cebezpieczeñstwa maj¹ charakter dora�nej odpowiedzi naincydenty i s¹ przystosowanymi rozwi¹zaniami strontrzecich, bez zdefiniowania �cis³ych potrzeb organizacji.Nastêpuje opracowywanie polityki bezpieczeñstwa, aleci¹gle u¿ywa siê nieodpowiednich narzêdzi i umiejêtno-�ci. Raportowanie dotycz¹ce bezpieczeñstwa IT jestniekompletne, wprowadzaj¹ce w b³¹d i nieadekwatne.

3 Zdefiniowany Proces. Istnieje �wiadomo�æ zwi¹zana zbezpieczeñstwem i jest ona promowana przez kierow-nictwo. Zosta³y zestandaryzowane i sformalizowaneinstrukta¿e dotycz¹ce bezpieczeñstwa. Zdefiniowane s¹procedury dotycz¹ce bezpieczeñstwa IT, które zosta³ydopasowane do struktury polityk i procedur bezpieczeñ-stwa. Przypisane s¹ obowi¹zki dotycz¹ce bezpieczeñ-stwa IT, ale nie s¹ one konsekwentnie egzekwowane.Istnieje plan bezpieczeñstwa IT, wp³ywaj¹cy na analizêryzyka i rozwi¹zania dotycz¹ce bezpieczeñstwa.Raportowanie dotycz¹ce bezpieczeñstwa IT jest

skoncentrowane raczej na IT, ni¿ na biznesie. Testywykrywania intruzów s¹ wykonywane ad hoc.

4 Zarz¹dzany i Mierzalny. Obowi¹zki dotycz¹cebezpieczeñstwa IT s¹ jasno zdefiniowane, zarz¹dzane iegzekwowane. Konsekwentnie wykonywana jest analizaryzyka i (jego) wp³ywu na bezpieczeñstwo IT. Istniej¹kompletne praktyki i polityki bezpieczeñstwa wraz zokre�leniem �cis³ych wymagañ bezpieczeñstwa.Obligatoryjne jest wykonywanie instrukta¿y dotycz¹-cych bezpieczeñstwa. Nastêpuje standaryzacja identyfi-kacji, potwierdzania wiarygodno�ci i autoryzacjiu¿ytkownika. Certyfikacja personelu dotycz¹ca bezpie-czeñstwa zosta³a ustanowiona. Testy wykrywaniaintruzów s¹ standardowym i sformalizowanym proce-sem, który prowadzi do usprawnieñ. Analizy koszów /korzy�ci, wspieraj¹ce wdra¿anie �rodków bezpieczeñ-stwa s¹ stosowane w coraz wiêkszym stopniu. Procesydotycz¹ce bezpieczeñstwa IT s¹ skoordynowane zca³o�ciow¹ funkcj¹ bezpieczeñstwa organizacji.Raportowanie dotycz¹ce bezpieczeñstwa jest powi¹zanez celami biznesowymi.

5 Zoptymalizowany. Bezpieczeñstwo IT jest wspólnymobowi¹zkiem kierownictwa biznesu i IT oraz jestzintegrowane z korporacyjnymi celami bezpieczeñstwabiznesu. Wymagania dotycz¹ce bezpieczeñstwa IT s¹jasno zdefiniowane, zoptymalizowane i w³¹czone wzweryfikowany plan bezpieczeñstwa. Funkcje bezpie-czeñstwa s¹ zintegrowane z aplikacjami bêd¹cymi wfazie projektowania, a u¿ytkownicy koñcowi ponosz¹coraz czê�ciej odpowiedzialno�æ za zarz¹dzaniebezpieczeñstwem. Raportowanie dotycz¹ce bezpieczeñ-stwa IT zapewnia wczesne ostrzeganie odno�niepojawiaj¹cego siê i zmieniaj¹cego siê ryzyka, wykorzy-stuj¹c automatyczne aktywne monitorowanie zastosowa-ne do krytycznych systemów. Incydenty s¹ natychmiastadresowane (do w³a�ciwych osób), przy wykorzystaniusformalizowanych procedur reagowania na incydentywspomaganych przez zautomatyzowane narzêdzia.Cykliczne oceny bezpieczeñstwa szacuj¹ skuteczno�æwdro¿enia planu bezpieczeñstwa. Informacja na tematnowych zagro¿eñ i wra¿liwo�ci jest systematyczniezbierana i analizowana, a odpowiednie ³ag¹dz¹cemechanizmy kontrolne s¹ natychmiast komunikowane iwdra¿ane. Testy wykrywania intruzów, dog³êbna analizaprzyczyn dotycz¹ca incydentów i pro aktywna identyfi-kacja ryzyka s¹ podstaw¹ do ci¹g³ych ulepszeñ. Procesyi technologie dotycz¹ce bezpieczeñstwa s¹ zintegrowanew ramach ca³ej organizacji.

DS5

COBIT

78

l Koñcowi u¿ytkownicy, w³a�ciciele procesów biznesowych i ITposiada wspóln¹ znajomo�æ sporz¹dzania kosztorysów wymagañi alokacji kosztów

l Koszty bezpo�rednie i koszty po�rednie s¹ zidentyfikowane,wychwycone, zaraportowane i przeanalizowane we w³a�ciwymczasie i w zautomatyzowany sposób

l Koszty s¹ pobierane w oparciu o wykorzystanie oraz w oparciu ozapisane zasadach dotycz¹cych obci¹¿ania kosztami, które s¹formalnie zaakceptowane i regularnie poddawane ponownejocenie

l Raportowanie dotycz¹ce kosztów jest wykonywane przezwszystkie jednostki do przegl¹dania wydajno�ci bud¿etu w celuzidentyfikowania mo¿liwo�ci zoptymalizowania kosztów i w celuporównania wydajno�ci w stosunku do wiarygodnych �róde³

l Istnieje bezpo�rednie po³¹czenie pomiêdzy kosztami za us³ugi aumowami dotycz¹cymi poziomu us³ug (Service Level Agre-ements)

l Wyniki alokacji i optymalizacji kosztów s¹ wykorzystywane doweryfikacji korzy�ci wynikaj¹cych z realizacji i s¹ wprowadzane(jako sprzê¿enie zwrotne) do nastêpnego cyklu bud¿etowego





skuteczno�æ

P wydajno�æ

poufno�æ

integralno�æ

dostêpno�æ

zgodno�æ

P rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

ü dane

Zasoby IT

l Ci¹g³a optymalizacja kosztów dotycz¹cychus³ug informatycznych wykonywana przez IT

l Ci¹g³a optymalizacja kosztów dotycz¹cychus³ug informatycznych wykonywana przezu¿ytkowników

l Zwiêkszony stosunek udowodnionychkorzy�ci do aktualnych kosztów us³ug IT

l Wska�nik wydajno�ci, oparty o porównaniekosztów wewnêtrznych z kosztami dostawcówzewnêtrznych

l Zrozumienie /akceptacja przez kierownictwobiznesowe kosztów i poziomów us³ug


l Procent ró¿nic pomiêdzy bud¿etami,przewidywanymi i aktualnymi kosztami

l Procent zmniejszenia ceny us³ug informatycz-nych

l Procent zwiêkszenia optymalizacji wnioskówu¿ytkownika dotycz¹cych us³ug

l Procent zwiêkszenia optymalizacji wykorzy-stania zasobów IT

l Liczba inicjatyw optymalizacji kosztów


Kontrola procesu IT Rozpoznania i przypisania kosztów zcelem biznesowym zapewnienia, w³a�ciwej �wiadomo�ci przypi-sania kosztów do us³ug IT

DS6 Dostarczanie i WspieranieRozpoznanie i przypisanie kosztów


79

DS6 Model Dojrza³o�ciKontrola procesu IT Rozpoznania i przypisaniakosztów z celem biznesowym zapewnienia, w³a�ciwej�wiadomo�ci przypisania kosztów do us³ug IT

0 Nieistniej¹cy. Brak jest mo¿liwo�ci uznania procesurozpoznania i przypisania kosztów pod wzglêdemdostarczonych us³ug informatycznych. Organizacja nieuzna³a istnienia zagadnienia zwi¹zanego z ksiêgowa-niem kosztów, które nale¿y jako� uregulowaæ i kwestiete nie s¹ komunikowane.

1 Pocz¹tkowy /Ad Hoc. Istnieje ogólne zrozumienieogólnych kosztów us³ug informatycznych, ale nie marozbicia (tych) kosztów na u¿ytkownika, departament,grupê u¿ytkowników, us³ugi, projekty lub produkty.Monitorowanie kosztów praktycznie nie istnieje, a tylkosuma kosztów jest raportowana kierownictwu. Nieistnieje proces lub system obci¹¿ania kosztami w celuwystawiania rachunku u¿ytkownikom dla kosztówponoszonych w (procesie) dostarczania us³ug informa-tycznych.

2 Powtarzalny, ale Intuicyjny. Istnieje ogólna �wiado-mo�æ potrzeby rozpoznania i przypisania kosztów.Alokacja kosztów oparta jest o nieformalne lub podsta-wowe za³o¿enia dotycz¹ce kosztów, np. koszty sprzêtu inie s¹ praktycznie po³¹czone z warto�ci¹ ich wprowa-dzenia. Procesy przypisywania kosztów s¹ powtarzalne ikilka z nich zaczyna byæ monitorowana. Nie maformalnych szkoleñ ani informacji dotycz¹cych proce-dur rozpoznawania i przypisywania standardowychkosztów. Odpowiedzialno�æ nie jest przypisana.

3 Zdefiniowany Proces. Istnieje zdefiniowany i udoku-mentowany model kosztów za us³ugi informatyczne.Model ten jest sformalizowany, zakomunikowany, anieformalne szkolenia s¹ ustanowione. Istnieje odpo-wiedni poziom �wiadomo�ci dotycz¹cej tego, ¿e kosztymog¹ byæ przypisane do us³ug informatycznych. Istniejezautomatyzowany system ksiêgowania kosztów, aleuwaga jest skupiona raczej na us³ugach informatycznychni¿ na procesach biznesowych.

4 Zarz¹dzany i Mierzalny. (Zakresy) obowi¹zków iodpowiedzialno�ci za zarz¹dzanie kosztem us³uginformatycznych s¹ zdefiniowane i w pe³ni zrozumianena wszystkich poziomach oraz s¹ wspierane przezformalne szkolenia. Koszty bezpo�rednie i po�rednie s¹rozpoznane i zaraportowane, we w³a�ciwym czasie i wzautomatyzowany sposób, kierownictwu, w³a�cicielom

procesów biznesowych i u¿ytkownikom. Ogólnie bior¹c,istnieje monitorowanie i ocena kosztów, a dzia³ania s¹podejmowane w sytuacji, kiedy procesy nie s¹ skutecznelub wydajne. Dzia³ania s¹ podejmowane w wielu, ale niewe wszystkich przypadkach. Procesy zarz¹dzaniakosztami s¹ ci¹gle ulepszane i egzekwuj¹ dzia³aniezgodne z najlepszymi wewnêtrznymi praktykami.Raportowanie dotycz¹ce kosztu us³ug informatycznychjest po³¹czone z celami biznesowymi i umowamidotycz¹cymi poziomu us³ug (Service Level Agre-ements). Wszyscy wewnêtrzni eksperci zajmuj¹cy siêzarz¹dzaniem kosztami s¹ zaanga¿owani (w projektrozpoznania i przypisania kosztów).

5 Zoptymalizowany. Koszty dostarczonych us³ug s¹zidentyfikowane, wychwycone, streszczone i zaraporto-wane kierownictwu, w³a�cicielom procesów bizneso-wych i u¿ytkownikom. Koszty s¹ zidentyfikowane jakoelementy mo¿liwe do pobrania i wspieraj¹ systemobci¹¿ania kosztami, który odpowiednio wystawiarachunki u¿ytkownikom za dostarczone us³ugi, opartyna wykorzystaniu. Koszty szczegó³owe wspieraj¹umowy dotycz¹ce poziomu us³ug (Service LevelAgreements). Istnieje silne monitorowanie i ocenakosztów us³ug, gdzie ró¿nice kwot z bud¿etu s¹zidentyfikowane, a rozbie¿no�ci s¹ uszczegó³owione iodpowiednio wyja�nione. Otrzymane koszty s¹ wyko-rzystane do weryfikacji korzy�ci wynikaj¹cych zrealizacji i s¹ wykorzystane w procesie organizacjidotycz¹cym bud¿etowania. Raportowanie kosztów us³uginformatycznych dostarcza wcze�niej ostrze¿eniezmiany wymagañ biznesowych poprzez systemyinteligentnego raportowania. Regulowany modelkosztów jest wykorzystany, a wywodzi siê (on) zrozmiarów przetworzonych dla ka¿dej dostarczonejus³ugi. Zarz¹dzanie kosztami zosta³o udoskonalone dopoziomu najlepszych praktyk, opartego na rezultatachci¹g³ego ulepszania i modelowania dojrza³o�ci z innychorganizacji. Zewnêtrzni eksperci s¹ skutecznie wykorzy-stywani, a porównania s¹ u¿ywane jako porady dozarz¹dzania kosztami.

DS6

COBIT

80

l Istnieje pe³ne kszta³cenie i program szkolenia skupione napotrzebach poszczególnych osób i organizacji

l Programy kszta³cenia i szkolenia s¹ wspierane przez bud¿ety,zasoby, infrastrukturê i osoby szkol¹ce

l Szkolenie i kszta³cenie s¹ krytycznymi elementami �cie¿ekkariery pracowników

l Pracownicy i kierownicy rozpoznaj¹ i dokumentuj¹ potrzebyszkoleñ

l Potrzebne szkolenia s¹ dostarczone we w³a�ciwy sposóbl Istnieje wsparcie kierownictwa wy¿szego szczebla zapewniaj¹ce,

¿e pracownicy wykonuj¹ swoje obowi¹zki w sposób etyczny ibezpieczny

l Pracownicy s¹ szkoleni w praktykach bezpieczeñstwa systemu,aby zapobiec szkodom spowodowanym uszkodzeniami wp³ywa-j¹cymi na dostêpno�æ, poufno�æ i integralno�æ

l Polityka organizacji wymaga aby wszyscy pracownicy otrzymalipodstawowe szkolenie obejmuj¹ce zachowania etyczne, praktykidotycz¹ce bezpieczeñstwa systemu oraz pozwolenie na u¿yciezasobów IT

l Istnieje akceptacja kierownictwa, aby koszty szkolenia by³yinwestycjami w obni¿anie ogólnych kosztów zwi¹zanych zposiadaniem technologii





P skuteczno�æ

S wydajno�æ

poufno�æ

integralno�æ

dostêpno�æ

zgodno�æ

rzetelno�æ


ü ludzie

aplikacje

technologia

urz¹dzenia

dane

Zasoby IT

l Wymierna poprawa optymalizacji zasobów ITwykonanej przez pracowników w celumaksymalizacji warto�ci biznesowej

l Wymierna poprawa �wiadomo�ci pracowni-ków dotycz¹cej wymagañ zachowañetycznych, zasad bezpieczeñstwa systemu orazwykonywania obowi¹zków w sposób etycznyi bezpieczny

l Wymierna poprawa praktyk bezpieczeñstwa,aby zapobiec szkodom spowodowanymuszkodzeniami wp³ywaj¹cymi na dostêpno�æ,poufno�æ i integralno�æ

l Liczba zapytañ skierowanych do help deskuzwi¹zanych ze szkoleniem lub odpowiedzi¹ napytania

l Zwiêkszona satysfakcja u¿ytkownika zwdro¿enia nowej technologii


l Procent przeszkolonych pracownikówl Wiek pracowników szkolonych zgodnie z

programem nauczanial Opó�nienie czasowe pomiêdzy rozpoznaniem

potrzeb szkoleniowych a przeszkolenieml Liczba alternatywnych szkoleñ dostêpnych dla

pracowników ze �róde³ w³asnych lubzewnêtrznych

l Procent pracowników przeszkolonych wwymaganiach dotycz¹cych zachowañetycznych

l Liczba zidentyfikowanych naruszeñ etykipope³nionych przez pracowników

l Procent pracowników przeszkolonych wpraktykach dotycz¹cych bezpieczeñstwa

l Liczba zidentyfikowanych incydentówzwi¹zanych z bezpieczeñstwem odnosz¹cychsiê do pracowników

l Zwiêkszona identyfikacja i dokumentacjapotrzeb szkoleniowych i dostarczonych wew³a�ciwym czasie szkoleñ


Kontrola procesu IT Kszta³cenia i szkolenia u¿ytkowników zcelem biznesowym zapewnienia, ¿e u¿ytkownicy skutecznieu¿ywaj¹ technologii oraz s¹ �wiadomi ryzyka i odpowiedzialno-�ci

DS7 Dostarczanie i WspieranieKszta³cenie i szkolenie u¿ytkowników


81

DS7 Model Dojrza³o�ciKontrola procesu IT Kszta³cenia i szkolenia u¿yt-kowników z celem biznesowym zapewnienia, ¿eu¿ytkownicy skutecznie u¿ywaj¹ technologii oraz s¹�wiadomi ryzyka i odpowiedzialno�ci

0 Nieistniej¹cy. Nie ma ¿adnego programu szkolenia ikszta³cenia. Organizacja nie uzna³a istnienia kwestiizwi¹zanej ze szkoleniami, któr¹ nale¿y jako� uregulo-waæ i zagadnienia to nie jest komunikowane.

1 Pocz¹tkowy /Ad Hoc. Istnieje dowód na to, ¿e organi-zacja uzna³a potrzebê opracowania programu szkolenia ikszta³cenia, ale nie jest to ¿aden zestandaryzowanyproces. Wobec braku zorganizowanego programu,pracownicy rozpoznaj¹ i uczestnicz¹ w kursach szkole-niowych na w³asny rachunek. Kilka z takich kursówszkoleniowych zajmuje siê zagadnieniami zachowañetycznych, �wiadomo�ci bezpieczeñstwa systemu ipraktykami zwi¹zanymi z bezpieczeñstwem. Ogólnemupodej�ciu zarz¹dzania (kszta³ceniem i szkoleniempracowników) brakuje spójno�ci, a wystêpuje tylkosporadyczne i niekonsekwentne komunikowaniezagadnieñ i podej�æ zajmuj¹cych siê szkoleniami ikszta³ceniem.

2 Powtarzalny, ale Intuicyjny. Istnieje �wiadomo�æpotrzeby programu szkolenia i kszta³cenia i powi¹za-nych (z nim) procesów w ca³ej organizacji. Szkoleniazaczynaj¹ byæ rozpoznawane w indywidualnych planachwydajno�ci pracowników. Procesy s¹ rozbudowane naetapach, gdzie zajêcia z nieformalnego szkolenia ikszta³cenia s¹ prowadzone przez ró¿nych instruktorów,podczas gdy zawieraj¹ te same sprawy, ale z innymipodej�ciami. Kilka z tych zajêæ zajmuje siê zagadnienia-mi zachowañ etycznych, podnoszeniem poziomu�wiadomo�ci dotycz¹cej bezpieczeñstwa systemu orazpraktyk bezpieczeñstwa. Bardzo mocno polega siê nawiedzy poszczególnych osób. Jednak¿e, jest konse-kwentnie komunikowanie o ogólnych zagadnieniach ipotrzebie uregulowania ich.

3 Zdefiniowany Proces. Program szkolenia i kszta³ceniazosta³ sformalizowany i zakomunikowany, a pracownicyi kierownicy rozpoznaj¹ i dokumentuj¹ potrzebyszkoleniowe. Procesy szkolenia i kszta³cenia zosta³yzestandaryzowane i udokumentowane. Bud¿ety, zasoby,infrastruktura i osoby prowadz¹ce szkolenia zosta³yustanowione w celu wspierania programu szkolenia ikszta³cenia. Formalne zajêcia szkoleniowe s¹ przepro-wadzane dla pracowników w zakresie zachowañ

etycznych oraz w zakresie podnoszenia poziomu�wiadomo�ci i praktyk bezpieczeñstwa. Wiêkszo�æprocesów szkolenia i kszta³cenia jest monitorowanych,ale nie wszystkie odchylenia prawdopodobnie s¹wykryte przez kierownictwo. Analizy problemówzwi¹zanych ze szkoleniami i kszta³ceniem s¹ przeprowa-dzane tylko okazjonalnie.

4 Zarz¹dzany i Mierzalny. Istnieje pe³ny programszkolenia i kszta³cenia, który jest skupiony na potrze-bach poszczególnych osób i organizacji oraz przynosimo¿liwe do zmierzenia rezultaty. Odpowiedzialno�ci s¹jasne, a proces okre�lania w³asno�ci jest ustanowiony.Szkolenia i kszta³cenie jest elementem �cie¿ki karierypracownika. Kierownictwo wspiera i uczestniczy wsesjach szkoleniowych i edukacyjnych. Wszyscypracownicy s¹ szkoleni w zakresie zachowañ etycznychi podnoszenia poziomu �wiadomo�ci zwi¹zanej zbezpieczeñstwem systemu. Wszyscy pracownicy s¹szkoleni na odpowiednim poziomie z praktyk w zakresiebezpieczeñstwa systemu, aby zapobiec szkodomspowodowanym uszkodzeniami wp³ywaj¹cymi nadostêpno�æ, poufno�æ i integralno�æ. Kierownictwomonitoruje zgodno�æ stale przegl¹danych i aktualizowa-nych programów i procesów szkolenia i kszta³cenia.Procesy (te) s¹ ulepszane i egzekwuj¹ stosowanienajlepszych wewnêtrznych praktyk.

5 Zoptymalizowany. Szkolenie i kszta³cenie prowadz¹ doulepszenia wydajno�ci poszczególnych osób. Szkolenie ikszta³cenie jest krytycznym elementem �cie¿ki karierypracownika. Znacz¹ce bud¿ety, zasoby, infrastruktura iinstruktorzy s¹ dostarczani do programów szkolenia ikszta³cenia. Procesy zosta³y udoskonalone i s¹ ci¹gleulepszane, wykorzystuj¹c najlepsze zewnêtrze praktykioraz modelowanie dojrza³o�ci z innych organizacji.Wszystkie problemy i odchylenia s¹ analizowane podwzglêdem przyczyn �ród³owych, a sprawne dzia³ania s¹celowo identyfikowane i przeprowadzane. Istniejepozytywna postawa pod wzglêdem zachowañ etycznychi zasad bezpieczeñstwa systemu. IT jest u¿ywane wobszerny, zintegrowany i zoptymalizowany sposób wcelu automatyzacji i utrzymania narzêdzi programuszkolenia i kszta³cenia. Zewnêtrzni eksperci szkoleniowis¹ skutecznie wykorzystywani, a porównania s¹u¿ywane jako porady.

DS7

COBIT

82

l Dostêpne s¹ aktualne i ³atwo osi¹galne (zestawy) tzw. Najczê�ciejZadawanych Pytañ (Frequently Asked Questions) wraz zodpowiedziami

l Wykszta³cony i zorientowany na klienta zespó³ wsparcia rozwi¹-zuje problemy przy �cis³ej wspó³pracy z zespo³em zarz¹dzaj¹cymproblemami

l Wszystkie zg³oszenia (zapytania) u¿ytkowników s¹ konsekwent-nie i dok³adnie rejestrowane przez help desk

l Zg³oszenia (zapytania) u¿ytkowników, które nie mog¹ byærozwi¹zane w odpowiednim czasie s¹ odpowiednio eskalowane

l Rozliczanie zg³oszeñ (zapytañ) u¿ytkowników jest monitorowanel Problemy (zapytania) u¿ytkowników s¹ rozwi¹zywane w

odpowiednim czasiel Te zg³oszenia (zapytania), które nie mog¹ byæ rozwi¹zane w

odpowiednim czasie s¹ dok³adnie badane, po czym s¹ podejmo-wane odpowiednie dzia³ania

l Kierownictwo monitoruje trendy w celu proaktywnego identyfi-kowania przyczyn �ród³owych, przeprowadzaj¹c w dalszejkolejno�ci analizê i rozwijaj¹c trwa³ rozwi¹zania

l Okre�lone s¹ polityki i programy maj¹ce na celu szkolenieu¿ytkowników w zakresie korzystania z technologii i w zakresiepraktyk dotycz¹cych bezpieczeñstwa

l Kierownictwo jest �wiadome kosztów us³ug wsparcia i przesto-jów u¿ytkowników oraz potrzeby podejmowania odpowiednichdzia³añ skierowanych na kwestie przyczyn �ród³owych

l Kosztami wsparcia obci¹¿ane s¹ jednostki biznesowe, wykorzy-stuj¹c przy tym proste narzêdzia i przejrzyste polityki





P skuteczno�æ

P wydajno�æ

poufno�æ

integralno�æ

dostêpno�æ

zgodno�æ

rzetelno�æ


ü ludzie

ü aplikacje

technologia

urz¹dzenia

dane

Zasoby IT

l Zmniejszony �redni czas rozwi¹zywaniaproblemów

l Zmniejszona liczba powtarzaj¹cych siêzg³oszeñ (zapytañ) dotycz¹cych rozwi¹zanychju¿ problemów

l Zwiêkszone zadowolenie u¿ytkowników zeskuteczno�ci i wydajno�ci help desku

l Zwiêkszone zaufanie u¿ytkowników wobecus³ug �wiadczonych przez help desk

l Ulepszona wydajno�æ mierzona zmniejsze-niem zasobów help desku w stosunku dowspieranych systemów

l Procent problemów rozwi¹zanych przypierwszym podej�ciu

l (�redni) czas przyjmowania pojedynczegozg³oszenia (rozmowy)


l Liczba powtórnych zg³oszeñ (zapytañ)l Liczba eskalacjil Liczba zg³oszeñ (zapytañ)l Czas potrzebny na rozwi¹zanie zg³oszenia

(zapytania)l Zmniejszone trendy w zg³oszeniach (zapyta-

niach) wymagaj¹cych rozwi¹zania problemul Koszt pojedynczego zg³oszenia (rozmowy)


Kontrola procesu IT Pomocy i doradztwa klientom z celembiznesowym zapewnienia, ¿e ka¿dy do�wiadczony przez u¿yt-kownika problem jest odpowiednio rozwi¹zywany

DS8 Dostarczanie i WspieraniePomoc i doradztwo klientom


83

DS8 Model Dojrza³o�ciKontrola procesu IT Pomocy i doradztwa klientom zcelem biznesowym zapewnienia, ¿e ka¿dy do�wiad-czony przez u¿ytkownika problem jest odpowiedniorozwi¹zywany

0 Nieistniej¹cy. Nie ma ¿adnego wsparcia rozwi¹zywaniazg³oszeñ (zapytañ) i problemów u¿ytkowników.Zorganizowana funkcja help desku zupe³nie nie istnieje.Organizacja nie uzna³a istnienia zagadnienia, którenale¿y jako� uregulowaæ.

1 Pocz¹tkowy /Ad Hoc. Organizacja uzna³a, ¿e jestpotrzebny proces, wsparty narzêdziami i personelem,aby odpowiadaæ na zg³oszenia (zapytania) u¿ytkowni-ków i aby zarz¹dzaæ rozwi¹zywaniem problemów. Nieistnieje, natomiast, ¿aden standardowy proces, a tylkojest prowadzone dora�ne wsparcie konkretnego zdarze-nia. Kierownictwo nie monitoruje zg³oszeñ (zapytañ),problemów i (ich) trendów. Nie istnieje proces eskalo-wania zapewniaj¹cy, ¿e problemy s¹ rozwi¹zywane.

2 Powtarzalny, ale Intuicyjny. Organizacja ma �wiado-mo�æ istnienia potrzeby funkcjonowania help desku.Pomoc jest dostêpna na zasadach nieformalnych, woparciu o siatkê kompetentnych osób. Osoby te s¹ wposiadaniu pewnej ilo�ci powszechnych narzêdziprzeznaczonych do pomocy w rozwi¹zywaniu proble-mów. Nie ma formalnych szkoleñ, ani upowszechnianiastandardowych procedur, a odpowiedzialno�æ pozosta-wiona jest w gestii poszczególnych osób. Jednak¿e mamiejsce ci¹g³a wzajemna komunikacja dotycz¹ca tychzagadnieñ i potrzeby ich rozwi¹zywania.

3 Zdefiniowany Proces. Potrzeba funkcjonowania helpdesku zosta³a uznana i zaakceptowana. Proceduryzosta³y zestandaryzowane i udokumentowane, anieformalne szkolenia s¹ wykonywane. Uczestniczeniew szkoleniach oraz stosowanie siê do standardówpozostaje w gestii poszczególnych osób. (Zestaw) tzw.Najczê�ciej Zadawanych Pytañ (Frequently AskedQuestions) oraz przewodniki dla u¿ytkowników zosta³yzbudowane, ale dana osoba musi do nich dotrzeæ sama inie musi ich przestrzegaæ. Zg³oszenia (zapytania) iproblemy s¹ �ledzone rêcznie, a ka¿dy z nich jestindywidualnie monitorowany, chocia¿ nie istniejeformalny system raportowania. Zaczyna pojawiaæ siêzjawisko eskalowania problemów. Nie jest mierzonaterminowo�æ reagowania na zg³oszenia (zapytania) iproblemy, w zwi¹zku z czym problemy mog¹ pozostaænierozwi¹zane.

4 Zarz¹dzany i Mierzalny. Wystêpuje pe³ne zrozumieniekorzy�ci jakie daje help desk na wszystkich poziomachorganizacji, a us³uga help desku zosta³a ustanowiona wodpowiedniej jednostce organizacyjnej. Narzêdzia itechniki s¹ zautomatyzowane i wyposa¿one w zcentrali-zowan¹ bazê wiedzy o problemach i ich rozwi¹zaniach.Zespó³ help desku �ci�le wspó³pracuje z zespo³emzarz¹dzaj¹cym problemami. Obowi¹zki s¹ jasnoustalone, a skuteczno�æ (ich dzia³ania) jest monitorowa-na. Procedury maj¹ce na celu komunikowanie, eskalo-wanie i rozwi¹zywanie problemów s¹ ustanowione iupowszechnione. Personel help desku jest wyszkolony, aprocesy s¹ ulepszone dziêki wykorzystaniu specjalizo-wanego oprogramowania. Okre�lane s¹ przyczyny�ród³owe problemów, a trendy s¹ raportowane, coskutkuje terminow¹ korekt¹ problemów. Procesy s¹doskonalone i wymuszaj¹ najlepsze wewnêtrznepraktyki.

5 Zoptymalizowany. Funkcja help desku jest ustanowio-na, dobrze zorganizowana i zorientowana na us³ugi dlaklientów poprzez posiadanie odpowiedniej wiedzy,skupienie siê na kliencie oraz byciu pomocnym.Obszerne i wszechstronne (zestawy) tzw. Najczê�ciejZadawanych Pytañ (Frequently Asked Questions)stanowi¹ integraln¹ czê�æ bazy wiedzy. Udostêpnione s¹narzêdzia umo¿liwiaj¹ce u¿ytkownikowi samodzielnediagnozowanie i rozwi¹zywanie problemów. Dotworzenia, zarz¹dzania i ulepszania dostêpu do zautoma-tyzowanych baz wiedzy, wspieraj¹cych rozwi¹zywanieproblemów u¿ywa siê technologii informatycznych.Porady s¹ spójne, a problemy szybko rozwi¹zywane wramach strukturalnego procesu eskalowania. Kierownic-two wykorzystuje proaktywny proces informowaniaoraz analizê trendów w celu zapobiegania problemom iich monitorowania. Procesy zosta³y wykszta³cone dopoziomu najlepszych zewnêtrznych praktyk, w oparciu orezultaty ci¹g³ego doskonalenia i porównywania stopniadojrza³o�ci z innymi organizacjami.

DS8

COBIT

84

l Dla wszystkich elementów konfiguracji zostali ustanowieniw³a�ciciele odpowiedzialni za utrzymywanie informacji inwenta-rzowych i kontrolê zmian

l Informacja o konfiguracji jest utrzymywana i dostêpna, opiera siêna aktualnych spisach i pe³nych konwencji nazewniczych

l Istnieje odpowiednia struktura biblioteki oprogramowania,odpowiadaj¹ca potrzebom �rodowisk: rozwoju, testowania iprodukcji

l Istnieje polityka zarz¹dzania wersjami oraz system jej egzekwo-wania

l Zosta³y rozdzielone obowi¹zki utrzymywania zapisów i fizycznejopieki nad nimi

l Istnieje integracja pomiêdzy procesami zaopatrzenia i zarz¹dzaniazmianami

l Katalogi dostawców i konfiguracja s¹ ze sob¹ zestrojonel Istniej¹ wytyczne konfiguracji, okre�laj¹ce minimalny standard

komponentów i wymagania dotycz¹ce integracji oraz kryteriazgodno�ci i integracji

l Dostêpny jest automatyczny mechanizm detekcji i weryfikacjikonfiguracji

l Zosta³ wdro¿ony proces automatycznej dystrybucji i aktualizacji(konfiguracji)

l Nie toleruje siê nielegalnego oprogramowania





P skuteczno�æ

wydajno�æ

poufno�æ

integralno�æ

S dostêpno�æ

zgodno�æ

S rzetelno�æ


ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

dane

Zasoby IT

l Procent konfiguracji IT, które zosta³yokre�lone i ustanowione

l Zmniejszona liczba ró¿nic pomiêdzyrejestrami, a fizyczn¹ sytuacj¹

l Wska�nik jako�ci informacji obejmuj¹cypowi¹zania, wiek, wprowadzone zmiany,status i kryteria powi¹zanych z nimi proble-mów

l U¿ycie wska�nika informacji w celu proak-tywnych dzia³añ obejmuj¹cych profilaktyczneutrzymanie i kryteria aktualizacji


l Liczba komponentów konfiguracji, dla którychdane s¹ utrzymywane i aktualizowane wsposób automatyczny

l Czêstotliwo�æ fizycznych weryfikacjil Czêstotliwo�æ przeprowadzanych analiz

wyj¹tków, dotycz¹cych nadmiarowo�ci,starzenia siê i poprawek konfiguracji

l Opó�nienie czasowe pomiêdzy modyfikacj¹konfiguracji a aktualizacj¹ zapisów

l Liczba wersji (wydañ) oprogramowanial Procent zmian reakcyjnych


Kontrola procesu IT Zarz¹dzania konfiguracj¹ z celem bizne-sowym rozliczania wszystkich komponentów IT, zapobieganianieautoryzowanym zmianom (przeróbkom), weryfikowaniafizycznego istnienia i dostarczenia podstaw dla w³a�ciwegozarz¹dzania zmianami

DS9 Dostarczanie i WspieranieZarz¹dzanie konfiguracj¹


85

DS9 Model Dojrza³o�ciKontrola procesu IT Zarz¹dzania konfiguracj¹ zcelem biznesowym rozliczania wszystkich sk³adnikówIT, zapobiegania nieautoryzowanym zmianom (prze-róbkom), weryfikowania fizycznego istnienia idostarczenia podstaw dla w³a�ciwego zarz¹dzaniazmianami

0 Nieistniej¹cy. Kierownictwo nie docenia korzy�ciistnienia procesu, który jest zdolny do raportowania izarz¹dzania infrastruktur¹ IT, zarówno dla konfiguracjisprzêtu, jak i konfiguracji oprogramowania.

1 Pocz¹tkowy /Ad Hoc. Zosta³a rozpoznana potrzebazarz¹dzania konfiguracj¹. Podstawowe zadania zwi¹za-ne z zarz¹dzaniem konfiguracj¹, takie jak utrzymywaniespisów sprzêtu i oprogramowania s¹ wykonywane naindywidualnych zasadach. Nie stosuje siê standardo-wych praktyk.

2 Powtarzalny, ale Intuicyjny. Kierownictwo jest�wiadome korzy�ci z kontrolowania konfiguracji IT, aleistnieje ukryte uzale¿nienie od do�wiadczenia i wiedzytechnicznej personelu. Narzêdzia do zarz¹dzaniakonfiguracj¹ zaimplementowano we w³a�ciwym stopniu,ale ró¿ni¹ siê one pomiêdzy platformami. Co wiêcej, nieokre�lono standardowych zwyczajów pracy. Tre�ædanych dotycz¹cych konfiguracji jest ograniczona iniewykorzystywana przez powi¹zane procesy, takie jakzarz¹dzanie zmianami i zarz¹dzanie problemami.

3 Zdefiniowany Proces. Jest rozumiana i egzekwowanapotrzeba dok³adnych i kompletnych informacji okonfiguracji. Procedury i praktyki pracy zosta³yudokumentowane, zestandaryzowane i przedstawione,ale szkolenie i wprowadzanie standardów ma charakterindywidualny. Dodatkowo, podobne narzêdzia zarz¹dza-nia konfiguracj¹ zosta³y zaimplementowane na ró¿nychplatformach. Jest ma³o prawdopodobne, ¿e zostan¹wykryte odchylenia od procedur, a fizyczne weryfikacjes¹ wykonywane niekonsekwentnie. Czasami stosuje siêmechanizmy automatyzuj¹ce do pomagania w �ledzeniuzmian wyposa¿enia i oprogramowania. Dane konfigura-cyjne s¹ u¿ywane przez powi¹zane procesy.

4 Zarz¹dzany i Mierzalny. Potrzeba zarz¹dzaniakonfiguracj¹ jest rozpoznana na wszystkich szczeblachorganizacji, a najlepsze praktyki ci¹gle siê rozwijaj¹.Procedury i standardy s¹ zakomunikowane i wci¹gniêtedo programów szkoleniowych, a odchylenia monitoro-wane, �ledzone i raportowane. S¹ wykorzystywane

zautomatyzowane narzêdzia, takie jak technologia�push�, w celu wymuszania standardów i stabilno�ciulepszania. Systemy zarz¹dzania konfiguracj¹ obejmuj¹wiêkszo�æ infrastruktury IT oraz pozwalaj¹ na w³a�ciwezarz¹dzanie wersjami i kontrolê dystrybucji. Analizywyj¹tków oraz ich fizyczna weryfikacja, s¹ konsekwent-nie stosowane, a g³ówne ich przyczyny �ród³owebadane.

5 Zoptymalizowany. Wszystkie komponenty infrastruktu-ry s¹ zarz¹dzane w ramach systemu zarz¹dzaniakonfiguracj¹, który zawiera wszystkie potrzebneinformacje dotycz¹ce komponentów i ich powi¹zañ.Dane dotycz¹ce konfiguracji s¹ ustalone zgodnie zkatalogami dostawców. Powi¹zane (z zarz¹dzaniemkonfiguracj¹) procesy s¹ w pe³ni zintegrowane orazu¿ywaj¹ i aktualizuj¹ dane konfiguracyjne. Podstawoweraporty audytowe dostarczaj¹ danych niezbêdnych donapraw, serwisu, gwarancji, aktualizacji i ocen technicz-nych, dla ka¿dej indywidualnej jednostki sprzêtu ioprogramowania. S¹ wymuszane regu³y autoryzowanejinstalacji oprogramowania. Kierownictwo przewidujenaprawy i aktualizacje na podstawie raportów analitycz-nych dostarczaj¹cych harmonogramów aktualizacji iinformacji o mo¿liwo�ciach od�wie¿enia technologii.�ledzenie maj¹tku i monitorowanie pojedynczych stacjiroboczych zabezpiecza maj¹tek i chroni przed kradzie¿¹,niew³a�ciwym wykorzystywaniem i nadu¿ywaniem.

DS9

COBIT

86

l Istnieje jasna integracja procesu zarz¹dzania problemami zprocesami zarz¹dzania dostêpno�ci¹ i zarz¹dzania zmianami

l Mo¿liwo�æ dostêpu do danych konfiguracyjnych jest na takimpoziomie na jakim jest on mo¿liwy do utrzymania

l Istnieje precyzyjny sposób komunikowania wyst¹pienia proble-mów, symptomów, diagnoz i rozwi¹zañ w celu odpowiedniegowsparcia personelu

l Istnieje precyzyjny sposób informowania u¿ytkowników i IT owyj¹tkowych przypadkach i symptomach, które wymagaj¹zaraportowania do zarz¹dzaj¹cych problemami

l Zosta³o przeprowadzone szkolenie maj¹ce na celu wsparciepersonelu dotycz¹ce technik rozwi¹zywania problemów

l S¹ dostêpne listy aktualnych zadañ i odpowiedzialno�ci w celuwsparcia zarz¹dzania incydentami

l W badanie i rozwi¹zywanie problemu jest zaanga¿owanydostawca

l Po wyst¹pieniu problemu s¹ przeprowadzane analizy procedurdotycz¹cych ich obs³ugi





P skuteczno�æ

P wydajno�æ

poufno�æ

integralno�æ

S dostêpno�æ

zgodno�æ

rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

ü dane

Zasoby IT

l Wymierne zmniejszenie wp³ywu problemów iincydentów na zasoby IT

l Wymierne zmniejszenia czasu up³ywaj¹cegood raportu o pocz¹tkowym symptomie dorozwi¹zania problemu

l Wymierne zmniejszenie liczby nierozwi¹za-nych problemów i incydentów

l Wymierne zwiêkszenie liczby problemów,których zdo³ano unikn¹æ poprzez dzia³aniawyprzedzaj¹ce

l Zmniejszone opó�nienie czasowe pomiêdzyzidentyfikowaniem a eskalowaniem proble-mów i incydentów o wysokim ryzyku


l Czas up³ywaj¹cy od rozpoznania pocz¹tkowe-go symptomu do wprowadzenia go do systemuzarz¹dzania problemami

l Czas up³ywaj¹cy pomiêdzy zapisaniemproblemu a jego rozwi¹zaniem lub eskalacj¹

l Czas up³ywaj¹cy pomiêdzy ocen¹ a wdro¿e-niem poprawek (patch) otrzymanych oddostawcy

l Procent zaraportowanych problemów zogólnie znanym podej�ciem dotycz¹cym ichrozwi¹zania

l Czêstotliwo�æ spotkañ koordynacyjnych, wktórych uczestniczy personel zarz¹dzaj¹cyzmianami i dostêpno�ci¹

l Czêstotliwo�æ raportowania o analizachsk³adników problemu

l Zmniejszona liczba problemów, które niepodlegaj¹ kontroli zgodnie z formalnymprocesem zarz¹dzania problemami


Kontrola procesu IT Zarz¹dzania problemami i incydentami zcelem biznesowym zapewnienia, ¿e problemy i incydenty zostan¹rozwi¹zane oraz, ¿e przyczyny ich wyst¹pienia zostan¹ zbadanew celu zapobie¿enia jakimkolwiek powtórzeniom

DS10Dostarczanie i WspieranieZarz¹dzanie problemami i incydentami


87

DS10 Model Dojrza³o�ciKontrola procesu IT Zarz¹dzania problemami iincydentami z celem biznesowym zapewnienia, ¿eproblemy i incydenty zostan¹ rozwi¹zane oraz, ¿eprzyczyny ich wyst¹pienia zostan¹ zbadane w celuzapobie¿enia jakimkolwiek powtórzeniom

0 Nieistniej¹cy. Nie ma �wiadomo�ci potrzeby zarz¹dza-nia problemami i incydentami. Proces rozwi¹zywaniaproblemów jest nieformalny, a u¿ytkownicy i pracowni-cy IT indywidualnie radz¹ sobie z problemami, opieraj¹csiê na dzia³aniu od przypadku do przypadku.

1 Pocz¹tkowy /Ad Hoc. Organizacja uzna³a istnieniepotrzeby rozwi¹zywania problemów i oceny incyden-tów. Kluczowi pracownicy, znaj¹cy siê na tym, udzielaj¹pomocy w rozwi¹zywaniu problemów odnosz¹cych siêdo obszaru, w jakim s¹ ekspertami i za jaki s¹ odpowie-dzialni. Informacja nie jest dzielona z innymi, arozwi¹zania ró¿ni¹ siê od siebie w zale¿no�ci od osobywspieraj¹cej rozwi¹zanie, w rezultacie tworzy siê nowyproblem, a czas, który jest przeznaczony na znalezienieodpowiedzi zostaje stracony. Kierownictwo czêstozmienia nastawienie i kierunek personelu wsparciatechnicznego i operacyjnego.

2 Powtarzalny, ale Intuicyjny. Istnieje ogromna �wiado-mo�æ potrzeby zarz¹dzania problemami i incydentamizwi¹zanymi z IT zarówno w ramach jednostek bizneso-wych jak i IT. Proces rozwi¹zywania zosta³ rozbudowa-ny do poziomu, w którym niewiele kluczowychpracowników jest odpowiedzialnych za zarz¹dzaniewystêpuj¹cymi problemami i incydentami. Informacjajest dzielona pomiêdzy pracowników, jednak¿e, procesnie jest (ci¹gle) zestrukturyzowany, formalny, a jestprzewa¿nie dora�ny. Poziom us³ug serwisowych dla�rodowiska u¿ytkownika jest zró¿nicowany i utrudnionypoprzez niewystarczaj¹co ustrukturyzowan¹ wiedzêdostêpn¹ do tego, ¿eby problem zosta³ rozwi¹zany.Kierownictwo raportuje o incydentach, a analizypowstawania problemów s¹ ograniczone i nieformalne.

3 Zdefiniowany Proces. Potrzeba efektywnego systemuzarz¹dzania problemami zosta³a zaakceptowana iudowodniona poprzez bud¿ety ustalone dla zatrudniania,szkolenia i wsparcia grupy reaguj¹cej na problemy.Procesy rozwi¹zywania i eskalacji problemów zosta³yzestandaryzowane, ale nie s¹ �wyrobione�. Pomimo to,u¿ytkownicy otrzymuj¹ jasn¹ informacjê dotycz¹c¹ tegokiedy i w jaki sposób s¹ wykonywane raporty zwi¹zanez problemami i incydentami. Zapisywanie i �ledzenie

problemów i ich rozwi¹zañ jest fragmentarycznewewn¹trz grupy reaguj¹cej na problemy, przy u¿yciudostêpnych narzêdzi, ale (zapisy te) nie s¹ scentralizo-wane, czy te¿ analizowane. Odchylenia w stosunku doustalonych norm lub standardów s¹ prawdopodobnie niedo wykrycia.

4 Zarz¹dzany i Mierzalny. Proces zarz¹dzania problema-mi jest zrozumia³y na wszystkich poziomach w ca³ejorganizacji. Odpowiedzialno�ci i w³a�cicielstwo s¹ jasnoustanowione. Metody i procedury s¹ udokumentowane,zakomunikowane i zmierzone w celu ustalania efektyw-no�ci. Wiêkszo�æ problemów i incydentów zosta³azidentyfikowana, zapisana, zaraportowana i przeanalizo-wana w celu sta³ego ulepszania (systemów) oraz zosta³azakomunikowana uczestnikom (projektu). Wiedza iumiejêtno�ci s¹ uprawiane, utrzymywane i rozwijane dotak wysokiego poziomu, ¿e funkcje (te) s¹ widziane jakoatut i g³ówny uczestnik osi¹gniêcia celów IT. Zdolno�æpodjêcia reakcji na incydent jest okresowo testowana.Zarz¹dzanie problemami i incydentami jest zintegrowa-ne z powi¹zanymi (z nimi) procesami, takimi jakzarz¹dzanie zmianami, zarz¹dzanie dostêpno�ci¹ izarz¹dzania konfiguracj¹ oraz pomaga klientom(odbiorcom) w zarz¹dzaniu danymi, infrastruktur¹ ioperacjami.

5 Zoptymalizowany. Proces zarz¹dzania problemamizosta³ rozbudowany do poziomu pozwalaj¹cegoprzewidywaæ i dzia³aæ proaktywnie, przyczynia siê ondo (tworzenia) celów IT. Problemy s¹ przewidywane,tak ¿e mo¿na ich nawet unikn¹æ. Wiedza dotycz¹capróbki przesz³ych i przysz³ych problemów i incydentówjest utrzymywana poprzez regularne kontakty z dostaw-cami i ekspertami. Zapisywanie, raportowanie i analizyproblemów oraz ich rozwi¹zañ zosta³y zautomatyzowa-ne i w pe³ni zintegrowane z zarz¹dzaniem danymikonfiguracyjnymi. Wiêkszo�æ systemów zosta³awyposa¿ona w automatyczne mechanizmy wykrywania iostrzegania, które s¹ ci¹gle �ledzone i oceniane.

DS10

COBIT

88

l Wymagania odno�nie wprowadzania danych s¹ jasno wyra¿one,wdro¿one w ¿ycie i wspierane zautomatyzowanymi technikamina wszystkich poziomach oraz obejmuj¹ interfejsy bazodanowe iplikowe

l Odpowiedzialno�æ za w³asno�æ danych i wymagania odno�nieintegralno�ci s¹ jasno wyra¿one i akceptowane w ca³ej organizacji

l Dok³adno�æ i standardy danych s¹ w sposób jasny komunikowaneoraz w³¹czone w proces szkoleniowy i proces rozwoju personelu

l Standardy dotycz¹ce danych wej�ciowych i ich poprawy s¹wdro¿one w punktach wprowadzania danych

l Standardy dotycz¹ce integralno�ci danych podczas ich wprowa-dzania, przetwarzania i wyprowadzania s¹ sformalizowane iwdro¿one w ¿ycie

l Dane (zawieraj¹ce b³êdy) s¹ trzymane w zawieszeniu do momen-tu ich poprawienia

l Stosowane s¹ skuteczne metody wykrywania w celu egzekwowa-nia standardów dok³adno�ci i integralno�ci danych

l Wdro¿ona jest skuteczne przenoszenie danych pomiêdzyplatformami, bez utraty (ich) integralno�ci lub rzetelno�ci, tak byspe³niaæ zmieniaj¹ce siê ¿¹dania biznesu

l Zmniejsza siê uzale¿nienie od rêcznego wprowadzania danych ijego powtarzania

l Wydajne i elastyczne rozwi¹zania przyczyniaj¹ siê do skuteczne-go wykorzystania danych

l Dane s¹ archiwizowane i chronione oraz ³atwo dostêpne wprzypadku potrzeby ich odtworzenia





skuteczno�æ

wydajno�æ

poufno�æ

P integralno�æ

dostêpno�æ

zgodno�æ

P rzetelno�æ


ludzie

aplikacje

technologia

urz¹dzenia

ü dane

Zasoby IT

l Wymierne zmniejszenie procesów i zadañzwi¹zanych z przygotowaniem danych

l Wymierna poprawa jako�cil Wymierny wzrost satysfakcji klientów oraz

zaufania do danychl Wymierny spadek czynno�ci poprawiania oraz

nara¿enia danych na uszkodzeniel Zmniejszona liczba b³êdów w danych, takich

jak nadmiarowo�æ, zduplikowanie lubniezgodno�æ

l Brak konfliktów, je�li chodzi o zgodno�ædanych z wymaganiami prawnymi luborganów nadzorczych


l Procent b³êdów podczas wprowadzaniadanych

l Procent powtórnie zaktualizowanych iprzetworzonych danych

l Procent automatycznych sprawdzeñ integral-no�ci danych wbudowanych w aplikacje

l Procent b³êdów niedopuszczonych na wej�ciul Liczba automatycznych sprawdzeñ integralno-

�ci danych uruchamianych niezale¿nie odaplikacji

l Odstêpy czasowe miêdzy wyst¹pieniem,wykryciem a korekt¹ b³êdów

l Ograniczenie problemów zwi¹zanych zwyprowadzeniem danych

l Zredukowany czas odtworzenia zarchiwizo-wanych danych


Kontrola procesu IT Zarz¹dzania Danymi, z celem biznesowymzapewnienia, ¿e dane pozostan¹ kompletne, dok³adne i prawdzi-we (wa¿ne) podczas ich wprowadzania, aktualizacji i przechowy-wania.

DS11Dostarczanie i WspieranieZarz¹dzanie Danymi


89

DS11 Model Dojrza³o�ciKontrola procesu IT Zarz¹dzania Danymi, z celembiznesowym zapewnienia, ¿e dane pozostan¹ komplet-ne, dok³adne i prawdziwe (wa¿ne) podczas ichwprowadzania, aktualizacji i przechowywania

0 Nieistniej¹cy. Dane nie s¹ uznawane za zasób i aktywafirmy. Nie jest przypisana w³asno�æ danych czy indywi-dualna odpowiedzialno�æ za integralno�æ i rzetelno�ædanych. Jako�æ i bezpieczeñstwo danych jest na bardzoniskim poziomie lub ich brak.

1 Pocz¹tkowy /Ad Hoc. Organizacja rozpozna³a istnieniepotrzeby dok³adnych danych. Kilka metod zosta³ozbudowanych na poziomie poszczególnych osób w celuzapobiegania i wykrywania b³êdów, które mog¹ powstaæpodczas wprowadzania, przetwarzania i wyprowadzaniadanych. Proces identyfikacji i korekty b³êdów jestuzale¿niony od wykonywanych przez poszczególneosoby rêcznych czynno�ci, a (odpowiednie) regu³y iwymagania nie s¹ przekazywane dalej, gdy maj¹ miejsceprzemieszczenia pracowników i fluktuacja kadr.Kierownictwo zak³ada, ¿e dane s¹ dok³adne, poniewa¿w proces zaanga¿owany jest komputer. Integralno�æ ibezpieczeñstwo danych nie s¹ wymagane przez kierow-nictwo, a je�li ochrona ma miejsce, to jest ona admini-strowana w ramach IT.

2 Powtarzalny, ale Intuicyjny. �wiadomo�æ potrzebydok³adno�ci danych i potrzeby zachowania integralno�cijest powszechna w ca³ej organizacji. W³asno�æ danychzaczyna byæ okre�lana, ale (tylko) na poziomie departa-mentów lub zespo³ów. Regu³y i wymagania s¹ udoku-mentowane przez kluczowych pracowników ale nie s¹(one) spójne w ramach organizacji i miêdzy (ró¿nymi)platformami. Dane znajduj¹ siê pod opiek¹ IT, aregu³ami i definicjami kieruj¹ wymagania IT. Bezpie-czeñstwo i integralno�æ danych nale¿y przede wszyst-kim do obowi¹zków IT, przy niewielkim udzialejednostek u¿ytkowników.

3 Zdefiniowany Proces. Potrzeba integralno�ci danych wramach ca³ej organizacji jest rozumiana i akceptowana.Standardy wprowadzania, przetwarzania i wyprowadza-nia danych zosta³y sformalizowane i s¹ egzekwowane.Proces identyfikacji i korekty b³êdów jest zautomatyzo-wany. W³asno�æ danych jest przypisana, a integralno�æ ibezpieczeñstwo s¹ kontrolowane przez odpowiedzialn¹stronê. Zautomatyzowane techniki s¹ wykorzystywanew celu zapobiegania i wykrywania b³êdów oraz niezgod-no�ci. Definicje, regu³y i wymagania odno�nie danych

s¹ jasno udokumentowane i utrzymywane przezadministratorów baz danych. Dane zaczynaj¹ byæ spójnepomiêdzy (ró¿nymi) platformami i w ramach ca³ejorganizacji. Obszar IT bierze na siebie rolê opiekuna, alekontrola integralno�ci przechodzi na w³a�ciciela danych.Przy podejmowaniu decyzji i planowaniu kierownictwoopiera siê na raportach i analizach.

4 Zarz¹dzany i Mierzalny. Dane s¹ zdefiniowane jakozasób i aktywa firmy, w miarê jak kierownictwo domagasiê wsparcia dla podejmowania decyzji i raportowania orentowno�ci. Odpowiedzialno�æ za jako�æ danych jestjasno okre�lona, przypisana i upowszechniona w ca³ejorganizacji. Ujednolicone metody s¹ dokumentowane,utrzymywane i wykorzystywane do kontroli jako�cidanych, regu³y s¹ wdro¿one w ¿ycie a dane s¹ spójne wramach ró¿nych platform i jednostek biznesowych.Jako�æ danych jest mierzona a satysfakcja odbiorców(klientów) informacji jest monitorowana. Raportowaniedla kierownictwa uzyskuje strategiczne znaczeniepodczas szacowania ocen dotycz¹cych klientów,trendów i produktów. Integralno�æ danych staje siêistotnym czynnikiem, podczas gdy bezpieczeñstwodanych jest uznane za wymaganie kontrolne. Ustano-wiona zosta³a formalna, obejmuj¹ca ca³¹ organizacjêfunkcja administrowania danymi, posiadaj¹ca �rodki iuprawnienia do narzucania standaryzacji danych.

5 Zoptymalizowany. Zarz¹dzanie danymi jest dojrza³ym,zintegrowanym procesem o przekrojowej funkcjonalno-�ci, który ma jasno okre�lony i przemy�lany celpolegaj¹cy na dostarczeniu u¿ytkownikowi dobrejjako�ci informacji, przy jasno zdefiniowanych kryteriachintegralno�ci, dostêpno�ci i rzetelno�ci. Organizacjaaktywnie zarz¹dza danymi, informacj¹ i wiedz¹,traktuj¹c je jak zasoby i aktywa firmy i maj¹c na celuzmaksymalizowanie (ich) warto�ci dla biznesu. Kulturafirmy k³adzie nacisk na wa¿no�æ wysokiej jako�cidanych, które musz¹ byæ ochraniane i traktowane jakokluczowy komponent kapita³u intelektualnego (firmy).Przypisanie w³asno�ci danych jest obowi¹zkiem ocharakterze strategicznym, w ramach którego wszystkiewymagania, regu³y, regulacje i czynniki s¹ jasnoudokumentowane, utrzymywane i upowszechnione.

DS11

COBIT

90

l S¹ zdefiniowane strategia i standardy dla ca³o�ci infrastruktury,które obejmuj¹ wybór lokalizacji, budowê, ochronê, bezpieczeñ-stwo personelu, instalacje mechaniczne i elektryczne, ochronêprzed ogniem, piorunami i zalaniem

l Strategia i standardy dotycz¹ce infrastruktury s¹ zestrojone zcelami, je�li chodzi o dostêpno�æ us³ug IT i politykami bezpie-czeñstwa informacji oraz s¹ zintegrowane z planowaniemzachowania ci¹g³o�ci biznesu i zarz¹dzaniem sytuacj¹ kryzysow¹

l Infrastruktura jest regularnie monitorowana przy wykorzystaniu,tam gdzie to konieczne, zautomatyzowanych systemów z jasnookre�lonymi zakresami tolerancji i rejestrami kontrolnymi,systemami CCTV (Close Circuit Television) oraz przy wykorzy-staniu systemów wykrywania w³amañ, jak równie¿ przy pomocyinspekcji bezpo�rednich i audytów

l Ma miejsce �cis³e stosowanie siê do harmonogramów dzia³añprofilaktycznych oraz �cis³a dyscyplina w gospodarowaniuinfrastruktur¹

l Dostêp fizyczny jest rygorystycznie monitorowany i opiera siê nazasadzie �potrzeba-aby-tam-byæ� oraz regu³ami dotycz¹cymistref, stosuj¹c, tam gdzie jest potrzeba autoryzacjê to¿samo�ci iprocedury dotycz¹ce sytuacji wyj¹tkowych

l Ma miejsce dobra wspó³praca i wymiana informacji ze s³u¿bamipilnuj¹cymi porz¹dku publicznego, stra¿¹ po¿arn¹ oraz innymiw³adzami i s³u¿bami lokalnymi

l Istniej¹ jasne, zwiêz³e i aktualne procedury wykrywania, inspek-cji i eskalacji, wsparte programem szkoleñ





skuteczno�æ

wydajno�æ

poufno�æ

P integralno�æ

P dostêpno�æ

zgodno�æ

rzetelno�æ


ludzie

aplikacje

technologia

ü urz¹dzenia

dane

Zasoby IT

l Zmniejszona liczba incydentów zwi¹zanych zbezpieczeñstwem fizycznym i infrastruktur¹,obejmuj¹cych kradzie¿e, niszczenie, ujawnie-nie (informacji), przerwy w dostawach energiielektrycznej (i innych mediów) oraz problemydotycz¹ce zdrowia i bezpieczeñstwa

l Zmniejszona liczba przestojów spowodowa-nych przerwami w dostawie energii elektrycz-nej

l Poziom dostosowania siê do odpowiednichprzepisów prawa i regulacji

l Poziom dostosowania siê do wymagañ polisubezpieczeniowych

l Poprawa wspó³czynnika koszt /ryzyko(stosunku kosztów do ryzyka)


l Kompletna inwentura i schematy ze zidentyfi-kowanymi punktami awarii

l Czêstotliwo�æ szkoleñ personelu w zakresiebezpieczeñstwa, infrastruktury oraz �rodkówochrony

l Czêstotliwo�æ testowania instalacji sygnaliza-cji po¿aru oraz planów ewakuacyjnych

l Czêstotliwo�æ inspekcji bezpo�rednichl Zmniejszona liczba nieautoryzowanych wej�æ

do chronionych (o ograniczonym dostêpie)pomieszczeñ z wyposa¿eniem

l Nieodczuwalne (niewidoczne), regularneprze³¹czanie na zasilanie awaryjne

l Opó�nienie czasowe pomiêdzy zarejestrowa-niem a zamkniêciem postêpowania wprzypadku incydentów fizycznych


Kontrola procesu IT Zarz¹dzania infrastruktur¹, która ma nacelu dostarczenie odpowiedniego �rodowiska fizycznego, którebêdzie chroniæ wyposa¿enie informatyczne (IT) oraz ludzi przedzagro¿eniami wywo³anymi prze cz³owieka i naturê

DS12Dostarczanie i WspieranieZarz¹dzanie infrastruktur¹


91

DS12 Model Dojrza³o�ciKontrola procesu IT Zarz¹dzanie infrastruktur¹,która ma na celu dostarczenie odpowiedniego �rodo-wiska fizycznego, które bêdzie chroniæ wyposa¿enieinformatyczne (IT) i ludzi przed zagro¿eniami wywo-³anymi przez cz³owieka i naturê

0 Nieistniej¹cy. Brak jest �wiadomo�ci potrzeby ochronyinfrastruktury lub inwestycji zwi¹zanych z zasobamikomputerowymi. Elementy �rodowiska, w³¹czaj¹c w toochronê przed po¿arem, zapyleniem, energi¹ elektryczn¹oraz nadmiernym ciep³em i wilgotno�ci¹ nie s¹ animonitorowane ani regulowane.

1 Pocz¹tkowy /Ad Hoc. Organizacja uzna³a wymógbiznesowy, aby zapewniæ odpowiednie �rodowiskofizyczne, które bêdzie ochraniaæ zasoby i personel przedzagro¿eniami wywo³anymi przez cz³owieka i naturê. Nieistniej¹ ¿adne standardowe procedury, a zarz¹dzanieinfrastruktur¹ i wyposa¿eniem uzale¿nione jest odwykwalifikowania i umiejêtno�ci jednostek o kluczo-wym znaczeniu. Gospodarowanie (infrastruktur¹) niejest nadzorowane, a ludzie mog¹ poruszaæ siê w ramachsiedziby bez ograniczeñ. Kierownictwo nie monitoruje�rodowiskowych mechanizmów kontrolnych zwi¹za-nych z infrastruktur¹ lub przemieszczanie personelu.

2 Powtarzalny, ale Intuicyjny. Istnieje �wiadomo�æ co dopotrzeby ochrony i kontroli fizycznego �rodowiskainformatycznego, na co dowodem jest przeznaczanie�rodków z bud¿etu oraz z innych �róde³. �rodowiskowemechanizmy kontrolne s¹ wdro¿one i monitorowaneprzez obs³ugê. Zapewnianie bezpieczeñstwa fizycznegojest procesem nieformalnym, prowadzonym przez ma³¹grupê pracowników, dla których ochrona infrastrukturyfizycznej stanowi przedmiot najwy¿szej troski. Proceduryutrzymania infrastruktury nie s¹ dobrze udokumentowa-ne, ale oparte na dobrych praktykach w¹skiej grupy osób.Cele bezpieczeñstwa fizycznego nie s¹ oparte na ¿adnymformalnym standardzie, a kierownictwo nie zapewnia, ¿ecele zwi¹zane z bezpieczeñstwem s¹ osi¹gane.

3 Zdefiniowany Proces. Potrzeba utrzymywania kontrolo-wanego �rodowiska informatycznego zosta³a w ramachorganizacji zrozumiana i zaakceptowana. �rodowiskowemechanizmy kontrolne, profilaktyczne utrzymywanie orazbezpieczeñstwo fizyczne s¹ zaakceptowanymi i �ledzony-mi przez kierownictwo pozycjami w bud¿ecie. Stosuje siêograniczenia dostêpu i tylko zatwierdzonemu personelowizezwala siê na dostêp do infrastruktury informatycznej.Go�cie s¹ rejestrowani i czasami towarzyszy im eskorta, wzale¿no�ci od decyzji osoby odpowiedzialnej. Nieupowszechnia siê informacji o infrastrukturze fizycznej inie jest ona ³atwo identyfikowalna. Odpowiednie organy

zewnêtrzne (np. nadzorcze) monitoruj¹ zgodno�æ zregulacjami prawnymi odno�nie BHP. Ryzyko zosta³oubezpieczone (polis¹), ale nie podejmuje siê wysi³ków wcelu zoptymalizowania kosztów ubezpieczenia.

4 Zarz¹dzany i Mierzalny. Potrzeba utrzymywaniakontrolowanego �rodowiska informatycznego jest w pe³nirozumiana, czego dowodem jest struktura organizacyjna ialokacja �rodków w bud¿ecie. Wymagania odno�nie�rodowiskowej i fizycznej ochrony s¹ udokumentowane,a dostêp jest �ci�le kontrolowany i monitorowany.Odpowiedzialno�æ i w³asno�æ zosta³y ustalone i zakomu-nikowane. Za³oga odpowiedzialna za infrastrukturêzosta³a w pe³ni przeszkolona po k¹tem sytuacji awaryj-nych, jak równie¿ w praktycznych czynno�ciach zwi¹za-nych z ochron¹ zdrowia i bezpieczeñstwem. Istniej¹standardowe mechanizmy kontrolne, maj¹ce na celuograniczenie dostêpu do elementów infrastruktury, któreuwzglêdniaj¹ czynniki �rodowiska i bezpieczeñstwa.Kierownictwo monitoruje skuteczno�æ mechanizmówkontrolnych oraz zgodno�æ z ustanowionymi standardami.Zdolno�æ do odtworzenia zasobów informatycznych jestw³¹czona w proces zarz¹dzania ryzykiem. Plany zosta³ystworzone dla ca³ej organizacji, testowanie odbywa siêregularnie i jest integraln¹ czê�ci¹ ca³o�ci dzia³añ, awyniesione lekcje s¹ uwzglêdniane przy powtórnychprzegl¹dach i przebudowie planów. Zintegrowaneinformacje s¹ wykorzystywane do optymalizacji zakresuubezpieczenia i zwi¹zanych z tym kosztów.

5 Zoptymalizowany. Istnieje d³ugoterminowy plan dotycz¹-cy infrastruktury wymaganej do wspierania �rodowiskainformatycznego organizacji. S¹ zdefiniowane standardydla wszystkich elementów infrastruktury w³¹czaj¹c w towybór lokalizacji, budowê, ochronê, bezpieczeñstwopersonelu, instalacje mechaniczne i elektryczne, ochronêprzeciwpo¿arow¹, ochronê przed piorunami i zalaniem.Wszystkie elementy infrastruktury s¹ zinwentaryzowane ipoklasyfikowane stosownie do funkcjonuj¹cego w ramachorganizacji ci¹g³ego procesu zarz¹dzania ryzykiem. Dostêpjest �ci�le kontrolowany, zgodnie z potrzebami wykonywa-nia pracy, monitorowany w sposób ci¹g³y, a go�ciomtowarzyszy eskorta przez ca³y czas ich pobytu. �rodowiskojest monitorowane i kontrolowane za pomoc¹ specjalistycz-nego wyposa¿enia, które funkcjonuje �bezobs³ugowo�.Programy profilaktycznego utrzymywania wymuszaj¹�cis³e trzymanie siê harmonogramów, a w przypadkuwyposa¿enia newralgicznego stosuje siê regularne testy.Strategia i standardy dotycz¹ce infrastruktury s¹ zestrojonez celami odno�nie dostêpno�ci us³ug IT oraz zintegrowanez planowaniem zachowania ci¹g³o�ci biznesu i zarz¹dza-niem sytuacj¹ kryzysow¹. Kierownictwo w sposóbregularny dokonuje przegl¹dów i optymalizuje infrastruktu-rê, staraj¹c siê wykorzystaæ ró¿ne okoliczno�ci doudoskonalenia udzia³u strony biznesowej.

DS12

COBIT

92

l Instrukcje operacyjne zosta³y dobrze zdefiniowane, zgodnie zuzgodnieniami wynikaj¹cymi ze standardów, w³¹czaj¹c w towarunek jasno okre�lonego punktu roz³¹czenia i ponownego startu

l Wystêpuje wysoki stopieñ standaryzacji operacjil Wystêpuje �cis³a koordynacja (procesu zarz¹dzania operacjami) z

powi¹zanymi procesami, w³¹czaj¹c w to funkcje zarz¹dzaniaproblemami i zarz¹dzania zmianami oraz zarz¹dzanie dostêpno-�ci¹ i zarz¹dzanie zachowaniem ci¹g³o�ci

l Wystêpuje wysoki stopieñ automatyzacji zadañ operacyjnychl Procesy operacyjne s¹ przebudowywane w celu (zapewnienia)

skutecznej pracy, w³¹cznie z zautomatyzowanymi narzêdziamil Zosta³a wdro¿ona racjonalizacja i standaryzacja narzêdzi

zarz¹dzania systemamil Rêczne wprowadzanie i wyprowadzanie (danych) jest, tam gdzie

to mo¿liwe, ograniczone do u¿ytkownikówl Zmiany w harmonogramach pracy s¹ rygorystycznie kontrolowanel Istniej¹ �cis³e procedury akceptacji dla nowych harmonogramów

pracy, w³¹czaj¹c w to dostarczon¹ dokumentacjêl Istniej¹ programy profilaktycznego utrzymywanial Zosta³y zdefiniowane i s¹ egzekwowane umowy z dostawcami

dotycz¹ce us³ugi wsparcial Zosta³y ustanowione procedury jasnego i zwiêz³ego wykrycia,

badania i eskalacji





P skuteczno�æ

P wydajno�æ

poufno�æ

S integralno�æ

S dostêpno�æ

zgodno�æ

rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

ü dane

Zasoby IT

l Wymierne zmniejszenie opó�nienia iodchylenia w stosunku do harmonogramu

l Wymierne sfinalizowanie wyprodukowanych idostarczonych do w³a�ciwego miejscaprzeznaczenia no�ników wyj�cia

l Wymierna dostêpno�æ zasobów we w³a�ciwymczasie i zgodnie z planem

l Wymierna zmniejszona liczba operacjipowi¹zanych z b³êdami

l Zmniejszona ilo�æ zaplanowanych, jak iniezaplanowanych okresów wy³¹czeñ zpowodu interwencji operacyjnych

l Zmniejszony ogólny koszt operacji w relacjido ogólnych obci¹¿eñ przetwarzania


l Wymierne sfinalizowanie procesu informa-tycznego na ró¿nych etapach

l Wymierne zmniejszenie interwencji operatoral Zmniejszona liczba problemów, opó�nieñ i

odchyleñl Zmniejszona liczba powtórnych przetwarzañ i

startówl Zmniejszona ilo�æ niezaplanowanych dzia³añ

zwi¹zanych z utrzymanieml Zmniejszona liczba niezaplanowanych zadañ i

przypadkówl Zwiêkszona liczba kontrolowanych parame-

trów u¿ytkownikal Wymierna stosowno�æ (odpowiednio�æ)

pomiêdzy wymaganiami u¿ytkownika adostêpno�ci¹ wydolno�ci zasobów

l Czêstotliwo�æ analiz i przeprowadzonegoraportowania w celu monitorowania wydajno-�ci operacji

l Czêstotliwo�æ sprawdzania kopii zapasowychl �rednia wieku wyposa¿enia


Kontrola procesu IT Zarz¹dzania operacjami, która ma na celuzapewnienie, ¿e wa¿ne funkcje w IT dotycz¹ce wsparcia s¹wykonywane w regularny i zorganizowany sposób

DS13Dostarczanie i WspieranieZarz¹dzanie operacjami


93

DS13 Model Dojrza³o�ciKontrola procesu IT Zarz¹dzania operacjami, którama na celu zapewnienie, ¿e wa¿ne funkcje w ITdotycz¹ce wsparcia s¹ wykonywane w regularny izorganizowany sposób

0 Nieistniej¹cy. Organizacja nie przeznacza (po�wiêca)czasu i zasobów na ustanowienie podstawowych dzia³añwsparcia i operacyjnych IT.

1 Pocz¹tkowy /Ad Hoc. Organizacja uzna³a potrzebêustrukturyzowania funkcji w IT dotycz¹cych wsparcia.Jednak¿e, ¿adne standardowe procedury nie zosta³yustanowione, a dzia³ania operacyjne s¹ wykonywane wsposób dora�ny. Wiêkszo�æ operacji nie jest formalnieujêta w harmonogram, a wymagania przetwarzania s¹akceptowane bez wcze�niejszego zatwierdzenia.Komputery wspieraj¹ce procesy biznesowe czêstoprzestaj¹ pracowaæ, maj¹ opó�nienia i s¹ niedostêpne.Czas, w którym pracownicy czekaj¹ na zasoby jeststracony. Systemy s¹ niestabilne lub niedostêpne, aurz¹dzenia wyj�cia czasami s¹ uwidaczniane w niespo-dziewanych miejscach lub w ogóle.

2 Powtarzalny, ale Intuicyjny. Organizacja jest w pe³ni�wiadoma kluczowej roli, któr¹ ogrywaj¹, w dostarczaniufunkcji w IT dotycz¹cych wsparcia, dzia³ania operacyjneIT. Dodatkowo, organizacja komunikuje potrzebêkoordynacji pomiêdzy u¿ytkownikami i operatoramisystemów. Bud¿ety przewidziane na narzêdzia s¹alokowane od przypadku do przypadku. IT wspieraoperacje nieformalnie i intuicyjnie. Wystêpuje wysokaniezale¿no�æ umiejêtno�ci i mo¿liwo�ci poszczególnychosób. Instrukcje dotycz¹ce tego co robiæ, kiedy i na jakie(czyje) zamówienie nie s¹ udokumentowane. Nie mastandardów operacyjnych, a szkolenia operatorów s¹nieformalne. Kierownictwo nie realizuje harmonogramuspotkañ dotycz¹cych operacji IT lub analizy opó�nieñ.

3 Zdefiniowany Proces. Potrzeba zarz¹dzania operacjamiprzeprowadzanymi przy u¿yciu komputera zosta³a wramach organizacji zrozumiana i zaakceptowana.Wystêpuje alokowanie zasobów, a kilka szkoleñ dotycz¹-cych pracy jest przeprowadzanych. Funkcje powtarzalnezosta³y formalnie zdefiniowane, zestandaryzowane,udokumentowane i zakomunikowane personelowioperacyjnemu i personelowi klienta (u¿ytkownika).Wypadki i kompletne rezultaty zadañ s¹ nagrywane, aleraportowanie kierownictwu jest ograniczone lub nieistnieje. U¿ycie zautomatyzowanych harmonogramów iinnych narzêdzi jest realizowane i zestandaryzowane wcelu ograniczenia interwencji operatora. Inne, regularne

dzia³ania wspieraj¹ce w IT zosta³y tak¿e zidentyfikowane,a powi¹zane z nimi zadania s¹ definiowane. �cis³ekontrole zosta³y przeæwiczone podczas wprowadzanianowych zadañ do operacji, a formalna polityka jestu¿ywana w celu zmniejszenia liczby przypadków, którenie zosta³y wprowadzone do harmonogramu. Umowydotycz¹ce utrzymania i poziomu us³ug, zawarte zdostawcami, s¹ w praktyce ci¹gle nieformalne.

4 Zarz¹dzany i Mierzalny. Odpowiedzialno�ci za operacjewykonywane przy u¿yciu komputera oraz wsparcie zosta³yjasno zdefiniowane, a ich w³asno�æ zosta³a przypisana.Operacje s¹ wspierane bud¿etami zasobów przeznaczony-mi na wydatki inwestycyjne i zasoby ludzkie. Szkolenia s¹sformalizowane i ujête jako czê�æ rozwoju kariery(pracowników). Harmonogramy i zadania zosta³y udoku-mentowane i zakomunikowane zarówno wewnêtrznie,obszarowi IT, jak i klientowi biznesowemu. Jest mo¿liwemierzenie i monitorowanie codziennych dzia³añ, ³¹cznie zzestandaryzowaniem umów dotycz¹cych wydajno�ci iustanowieniem poziomów us³ug. Wszystkie odchylenia odustanowionych norm s¹ szybko kierowane (do odpowied-nich osób) i korygowane. Kierownictwo monitoruje u¿yciezasobów komputerowych oraz zakoñczenie prac lubprzypisanych zadañ. S¹ ponoszone nieustaj¹ce wysi³ki wcelu zwiêkszenia poziomu automatyzacji procesu, takie jak�rodki zapewniaj¹ce sta³e ulepszanie. Zosta³y ustanowione,wraz z dostawcami, formalne umowy dotycz¹ce utrzymy-wania i poziomu us³ug. Istnieje pe³ne zestrojenie procesuzarz¹dzania operacjami wzglêdem procesów zarz¹dzaniaproblemami i zarz¹dzania dostêpno�ci¹, wspierane poprzezanalizy przyczyn wyst¹pienia b³êdów i niepowodzeñ.

5 Zoptymalizowany. Wsparcie operacji przez IT jestefektywne, sprawne i wystarczaj¹co elastyczne, abyszybko i bez utarty produktywno�ci zrealizowaæwymagany poziom us³ug. Procesy zarz¹dzania operacyj-nego w IT s¹ zestandaryzowane i udokumentowane wbazie wiedzy oraz s¹ przedmiotem ci¹g³ego ulepszania.Zautomatyzowane procesy wspieraj¹ce systemy dzia³aj¹jednolicie i przyczyniaj¹ siê do stabilno�ci �rodowiska,które jest niezauwa¿alne i przydatne dla u¿ytkownika.Jest to pozwolenie u¿ytkownikom na maksymalizacjêzestrojenia operacji IT z ich potrzebami. Wszystkieb³êdy i niepowodzenia zosta³y przeanalizowane w celuzidentyfikowania �ród³a przyczyny (ich powstania).Regularne spotkania z zarz¹dzaj¹cymi zmianamizapewniaj¹ w³¹czenie, we w³a�ciwym czasie, zmian wharmonogram produkcji. W kooperacji z dostawcami,wyposa¿enie zosta³o przeanalizowane w celu ustaleniawieku i symptomów niesprawno�ci, a utrzymywanie jestw rzeczywisto�ci g³ownie profilaktyczne.

DS13

COBIT

94



95

M O N I T O R O W A N I E

COBIT

96

l Dostêpne s¹ u¿yteczne, dok³adne i tworzone we w³a�ciwymczasie raporty dla kierownictwa

l Dla procesów zosta³y zdefiniowane i ustalone Kluczowe Wska�-niki Celu i Kluczowe Wska�niki Wydajno�ci

l Pomiary wydajno�ci IT obejmuj¹ kryteria finansowe, operacyjne,klientowskie oraz wiedzê organizacji co zapewnia wspó³granie zcelami ogólno-organizacyjnymi i mo¿e byæ zintegrowane znarzêdziami takimi jak Zrównowa¿ona Karta Wyników Bizneso-wych dla IT (IT Balanced Business Scorecard)

l Cele procesów zosta³y jasno ustalone i zakomunikowanel Zosta³y ustanowione zasady definiowania i wdra¿ania wymagañ

raportowania kierownictwu IT wy¿szego szczeblal Ustanowiono bazê wiedzy o wydajno�ci historycznej





P skuteczno�æ

P wydajno�æ

S poufno�æ

S integralno�æ

S dostêpno�æ

S zgodno�æ

S rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

ü dane

Zasoby IT

l Konsekwentne stosowanie w³a�ciwie ustalonejliczby wska�ników wydajno�ci

l Zwiêkszona liczba zauwa¿onych i wykorzy-stanych sprzyjaj¹cych okoliczno�ci doulepszania procesu

l Poziom satysfakcji kierownictwa i zarz¹du zraportowania dotycz¹cego wydajno�ci

l Zmniejszona liczba nierozwi¹zanychniedostatków procesu


l Opó�nienie czasowe pomiêdzy ujawnieniemniedostatku procesu a raportowaniem

l Opó�nienie czasowe pomiêdzy raportowaniemo niedostatku a podjêciem dzia³añ zaradczych

l Stosunek zaraportowanych niedostatkówprocesu do niedostatków w nastêpnejkolejno�ci zaakceptowanych jako wymagaj¹cedalszego zwrócenia uwagi kierownictwa(noise index)

l Liczba monitorowanych procesówl Liczba zidentyfikowanych zwi¹zków

przyczynowo-skutkowych w³¹czonych wmonitorowanie

l Liczba zewnêtrznych kryteriów efektywno�ciprocesów

l Opó�nienie czasowe pomiêdzy zmianamibiznesowymi a dowolnymi, powi¹zanymizmianami dla wska�ników wydajno�ci

l Liczba zmian dla grupy wska�nikówwydajno�ci bez zmiany celów biznesowych


Kontrola procesu IT Monitorowania procesów z celem bizneso-wym zapewnienia, ¿e ustalone dla procesów IT cele wydajno�cizostan¹ osi¹gniête

M1 MonitorowanieMonitorowanie procesów


97

M1 Model Dojrza³o�ciKontrola procesu IT Monitorowanie procesów zcelem biznesowym zapewnienia, ¿e ustalone dlaprocesów IT cele wydajno�ci zostan¹ osi¹gniête

0 Nieistniej¹cy. Organizacja nie wdro¿y³a procesumonitorowania. IT nie przeprowadza, w sposób niezale¿-ny (np. od reszty organizacji), monitorowania projektówlub procesów. U¿yteczne, wykonane we w³a�ciwymczasie i dok³adne raporty nie s¹ dostêpne. Nie zosta³auznana potrzeba jasnego zrozumienia celów procesu.

1 Pocz¹tkowy /Ad Hoc. Kierownictwo uzna³o potrzebêgromadzenia i oceny informacji zwi¹zanych z monitoro-waniem procesów. Standardowe procesy gromadzenia ioceny nie zosta³y ustalone. Monitorowanie zosta³owdro¿one, a miary s¹ wybierane na podstawie poszcze-gólnych przypadków, zgodnie z potrzebami w³a�ciwychprojektów lub procesów IT. Monitorowanie, ogólnie rzeczbior¹c, jest wdra¿ane dora�nie w sytuacji, która spowodo-wa³a poniesienie strat przez organizacjê lub postawi³a j¹w k³opotliwej sytuacji. Monitorowanie jest wdra¿aneprzez IT dla przyniesienia korzy�ci innym departamen-tom, ale nie jest wdra¿ane w odniesieniu do procesów IT.Definicja procesu i dzia³ania powziête w celu monitoro-wania s¹ zgodne z tradycyjnymi podej�ciami finansowy-mi, operacyjnymi i dotycz¹cymi kontroli wewnêtrznej,bez specjalnego odniesienia siê do potrzeb IT.

2 Powtarzalny, ale Intuicyjny. Zosta³y zidentyfikowanepodstawowe pomiary (wielko�ci mierzone), które maj¹byæ monitorowane. Metody i techniki dotycz¹cegromadzenia i oceny zosta³y zdefiniowane, ale procesynie zosta³y zaadoptowane w ramach ca³ej organizacji.Planowanie i funkcje zarz¹dzania zosta³y stworzone napotrzeby oceny monitorowania procesów, ale decyzje s¹podejmowane w oparciu o fachowo�æ osób kluczowych.Zosta³a wybrana i wdro¿ona pewna niewielka ilo�ænarzêdzi s³u¿¹cych do zbierania informacji, ale które tonarzêdzia mog¹ nie byæ wykorzystywane w pe³ni swoichmo¿liwo�ci z powodu braku bieg³o�ci w ich funkcjonal-no�ci. Obszar IT jest zarz¹dzany za pomoc¹ centrumkosztów, bez oceny jego wk³adu na rzecz jednostekorganizacyjnych generuj¹cych dochody.

3 Zdefiniowany Proces. Kierownictwo zakomunikowa³o isformalizowa³o standardowe procesy monitorowania.Zosta³y wdro¿one programy edukacji i szkolenia z zasadmonitorowania. Zbudowano sformalizowan¹ bazêwiedzy zbieraj¹c¹ informacje dotycz¹ce wydajno�cihistorycznej. Jest stale wykonywana ocena w odniesie-

niu do pojedynczych procesów i projektów IT, ale niejest ona zintegrowana w ramach wszystkich procesów.Zosta³y wdro¿one narzêdzia s³u¿¹ce do monitorowaniaprocesów wewnêtrznych IT i poziomów serwisowych.Zosta³y zdefiniowane, przy u¿yciu tradycyjnychkryteriów finansowych i operacyjnych, pomiary wk³aduIT w wydajno�æ ca³ej organizacji. Zosta³y zdefiniowanei wdro¿one specyficzne dla IT pomiary wydajno�ci, alepomiary niefinansowe i strategiczne s¹ w dalszym ci¹gunieformalne. Zosta³y wdro¿one miary poziomu satysfak-cji klienta i poziomów serwisowych dostarczonych dooperacyjnych jednostek organizacji.

4 Zarz¹dzany i Mierzalny. Kierownictwo okre�li³oprzedzia³y tolerancji, w ramach której procesy musz¹dzia³aæ. Podstawowy punkt odniesienia dla wynikówmonitorowania zosta³ zestandaryzowany i znormalizo-wany. Wystêpuje integracja miar we wszystkichprojektach i procesach IT. Systemy raportowania dokierownictwa IT zosta³y sformalizowane i w pe³nizautomatyzowane. Zautomatyzowane narzêdzia zosta³yzintegrowane i efektywnie wykorzystane w ramach ca³ejorganizacji dla gromadzenia i monitorowania operacyj-nych informacji dotycz¹cych aplikacji, systemów iprocesów. Zosta³y okre�lone zasady identyfikowaniastrategicznie zorientowanych Kluczowych Wska�nikówCelu, Kluczowych Wska�ników Wydajno�ci i Krytycz-nych Czynników Sukcesu, w celu mierzenia wydajno�ci.Zosta³y zdefiniowane kryteria wykorzystywane dooceny rozwoju organizacyjnego oparte na ModeluDojrza³o�ci. Pomiary wydajno�ci IT obejmuj¹ kryteriafinansowe, operacyjne, klientowskie oraz wiedzêorganizacji co zapewnia wspó³granie z celami ogólno-organizacyjnymi.

5 Zoptymalizowany. Proces ci¹g³ego ulepszania jako�cijest zbudowany w celu aktualizacji ogólno-organizacyj-nych standardów i polityk monitorowania oraz wcielenianajlepszych praktyk bran¿owych. Wszystkie monitoro-wane procesy zosta³y zoptymalizowane i wspieraj¹szeroko pojête cele organizacji. KWC, KWW i KCS s¹standardowo stosowane w celu mierzenia wydajno�ci izosta³y zintegrowane z zasadami strategicznej oceny,takimi jak Zrównowa¿ona Karta Wyników IT. Procesmonitorowania i ci¹g³e jego przeprojektowywaniewynikaj¹ z planów rozwojowych opartych na modelachdojrza³o�ci procesu oraz ogólno-organizacyjnychplanów ulepszania procesu biznesowego. Porównania wstosunku do bran¿y i kluczowych konkurentów zosta³ysformalizowane, ³¹cznie z dobrze zrozumia³ymikryteriami porównania.

M1

COBIT

98

l Kierownictwo jasno definiuje jakie komponenty procesów maj¹zostaæ skontrolowane

l Kontrola wewnêtrzna, zgodno�æ i odpowiedzialno�ci audytuwewnêtrznego s¹ jasno zrozumia³e

l Funkcja zapewnienia zgodno�ci kontroli wewnêtrznej jestwyposa¿ona w kompetencje i uprawnienia, odpowiednio odno-sz¹ce siê do delegowanych obowi¹zków

l Istnieje odpowiednio zdefiniowana struktura procesu kontroli ITl Jest stosowany klarowny proces, maj¹cy na celu raportowanie,

we w³a�ciwym czasie, o niedostatkach w kontroli wewnêtrznejl Dane otrzymane w wyniku monitorowania kontroli wewnêtrznej

s¹ dok³adne, kompletne i przygotowane we w³a�ciwym czasiel Kierownictwo jest zobowi¹zane do podejmowania dzia³añ wobec

niedostatków kontroli wewnêtrznejl Ma miejsce wspó³granie z procesami oceny ryzyka i zapewnia-

niem bezpieczeñstwal Istnieje proces wspierania dzielenia siê wiedz¹ o incydentach w

kontroli wewnêtrznej i ich rozwi¹zania





P skuteczno�æ

P wydajno�æ

S poufno�æ

S integralno�æ

S dostêpno�æ

P zgodno�æ

S rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

ü dane

Zasoby IT

l Wska�nik poziomu satysfakcji i komfortukierownictwa wy¿szego szczebla z raportowa-nia o monitorowaniu kontroli wewnêtrznej

l Zmniejszone prawdopodobieñstwo wyst¹pie-nia incydentów w kontroli wewnêtrznej

l Pozytywne zewnêtrzne raporty dotycz¹cekwalifikacji i certyfikacji

l Liczba inicjatyw podjêtych w celu polepszeniakontroli

l Brak przypadków niezgodno�ci prawnych iniezgodno�ci z przepisami

l Zmniejszona liczba incydentów zwi¹zanych zbezpieczeñstwem i braków w jako�ci


l Liczba i zakres samoocen dotycz¹cychkontroli

l Czas up³ywaj¹cy pomiêdzy zdarzaj¹cymi siêw kontroli wewnêtrznej brakami a raportowa-niem o nich

l Liczba, czêstotliwo�æ i zakres raportówdotycz¹cych zgodno�ci wewnêtrznej

l Liczba podjêtych we w³a�ciwym czasiedzia³añ w kwestiach kontroli wewnêtrznej

l Liczba ulepszeñ kontroli wynikaj¹cych zprzeprowadzonych analiz


Kontrola procesu IT Oceny odpowiednio�ci kontroli wewnêtrz-nej z celem biznesowym zapewnienia, ¿e ustalone dla procesówIT cele kontroli wewnêtrznej zostan¹ osi¹gniête

M2 MonitorowanieOcena odpowiednio�ci kontroli wewnêtrznej


99

M2 Model Dojrza³o�ciKontrola procesu IT Oceny odpowiednio�ci kontroliwewnêtrznej z celem biznesowym zapewnienia, ¿eustalone dla procesów IT cele kontroli wewnêtrznejzostan¹ osi¹gniête

0 Nieistniej¹cy. Organizacji brakuje procedur dotycz¹-cych monitorowania efektywno�ci kontroli wewnêtrz-nych. Nie istniej¹ metody raportowania o kontroliwewnêtrznej do kierownictwa. Brak ogólnej �wiadomo-�ci dotycz¹cej bezpieczeñstwa operacyjnego IT izapewnienia kontroli wewnêtrznej. Kierownictwu ipracownikom brakuje ogólnego u�wiadomienia odno-�nie wewnêtrznych mechanizmów kontrolnych.

1 Pocz¹tkowy /Ad Hoc. Organizacja cierpi na brakzaanga¿owania kierownictwa w zapewnianie w sposóbregularny bezpieczeñstwa operacyjnego i kontroliwewnêtrznej. W ocenianiu odpowiednio�ci kontroliwewnêtrznej wykorzystuje siê ad hoc fachowo�æpojedynczych osób. Kierownictwo IT nie posiadaformalnego przypisania odpowiedzialno�ci za monitoro-wanie efektywno�ci kontroli wewnêtrznej. Ocenykontroli wewnêtrznej IT s¹ prowadzone jako czê�ætradycyjnego audytu finansowego, wraz z metodyk¹ iumiejêtno�ciami nieodzwierciedlaj¹cymi potrzeb IT.

2 Powtarzalny, ale Intuicyjny. Organizacja wykorzystujenieformalne raporty kontrolne w celu inicjowaniadzia³añ koryguj¹cych. Procesy planowania i zarz¹dzaniazosta³y okre�lone, ale ocena zale¿y od umiejêtno�cikluczowych osób. Organizacja posiada rosn¹cy poziom�wiadomo�ci o konieczno�ci monitorowania kontroliwewnêtrznej. Kierownictwo rozpoczê³o ustalaniepodstawowych miar. Kierownictwo IT w regularnysposób monitoruje efektywno�æ krytycznych wewnêtrz-nych mechanizmów kontrolnych. Mechanizmy kontrol-ne dotycz¹ce bezpieczeñstwa s¹ monitorowane, a ichwyniki przegl¹dane w sposób regularny. S¹ u¿ywanemetodyki i narzêdzia w³a�ciwe dla �rodowiska IT, alenie w sposób konsekwentny. Wykwalifikowany personelIT w sposób rutynowy uczestniczy w ocenie kontroliwewnêtrznej. S¹ definiowane czynniki ryzyk charaktery-styczne dla �rodowiska IT.

3 Zdefiniowany Proces. Kierownictwo popar³o i zinstytu-cjonalizowa³o monitorowanie kontroli wewnêtrznej.Polityki i procedury zosta³y zbudowane w celu ocenia-nia i raportowania o dzia³aniach podjêtych dla monitoro-wania kontroli wewnêtrznej. Buduje siê bazê wiedzy omiarach s³u¿¹c¹ do gromadzenia historycznych informa-

cji dotycz¹cych monitorowania kontroli wewnêtrznej.Zosta³ wdro¿ony program szkoleñ i edukacji dotycz¹cymonitorowania kontroli wewnêtrznej. Zosta³y ustano-wione jednolite (takie same) przegl¹dy monitorowaniakontroli wewnêtrznej. Samooceny i przegl¹dy dotycz¹cewewnêtrznych mechanizmów kontrolnych zosta³yustalone w odniesieniu do bezpieczeñstwa operacyjnegoi zapewnienia kontroli wewnêtrznej oraz wymagaj¹wspó³pracy kierownictwa IT z zarz¹dzaj¹cymi bizne-sem. S¹ wykorzystywane narzêdzia, ale niekonieczniezintegrowano je ze wszystkimi procesami. S¹ u¿ywanepolityki oceny ryzyka procesów IT wewn¹trz strukturzbudowanych konkretnie dla organizacji IT. Obszar ITrozwija w³asny, zorientowany technicznie systemkontroli wewnêtrznej dotycz¹cy systemów informatycz-nych.

4 Zarz¹dzany i Mierzalny. Kierownictwo ustali³oporównywania i ilo�ciowe cele dla procesów przegl¹da-nia kontroli wewnêtrznej. Organizacja ustali³a poziomytolerancji dla procesu monitorowania kontroli wewnêtrz-nej. Zintegrowane i coraz bardziej zautomatyzowanenarzêdzia s¹ w³¹czane w procesy przegl¹du kontroliwewnêtrznej, wraz ze zwiêkszonym wykorzystaniemilo�ciowych analiz i kontroli. Ryzyka charakterystycznedla procesów i polityki ³agodzenia (ryzyka) s¹ zdefinio-wane dla ca³ego obszaru IT. Formalne funkcje kontroliwewnêtrznej zosta³y ustanowione, wraz z wyspecjalizo-wanymi i certyfikowanymi fachowcami wykorzystuj¹-cymi formalne zasady kontroli podpisanych przezkierownictwo wy¿szego szczebla. Porównywanie(kontroli wewnêtrznej) w stosunku do standardówbran¿owych i rozwój najlepszych praktyk s¹ formalizo-wane.

5 Zoptymalizowany. Kierownictwo ustanowi³o ogólno-organizacyjnie program ci¹g³ego ulepszania bior¹cy poduwagê nabyte do�wiadczenia i najlepsze praktykibran¿owe w celu monitorowania kontroli wewnêtrznej.Organizacja u¿ywa najlepszych narzêdzi, które, kiedyjest to w³a�ciwe, s¹ zintegrowane i zaktualizowane.Dzielenie siê wiedz¹ jest sformalizowane, a formalneprogramy szkoleñ, charakterystyczne dla obszaru IT,zosta³y wdro¿one. Struktury kontroli IT odnosz¹ siê nietylko do kwestii technicznych IT, ale s¹ zintegrowane zogólno-organizacyjnymi zasadami i metodykami w celuzapewnienia, zgodno�ci z celami organizacji.

M2

COBIT

100

l Istnieje ci¹g³y proces zestrojenia z potrzebami uczestnikówl Organizacja zdefiniowa³a procesy zapewnienia dzia³añ IT, w

szczególno�ci ogó³ kontroli wewnêtrznej, certyfikacje i znacz¹cedecyzje

l Porównywanie dostawców us³ug zewnêtrznych jest wykonywanew sposób rutynowy

l Znacz¹ce decyzje dotycz¹ce IT maj¹ wcze�niej przeanalizowanewymagania w celu zapewnienia opinii (uzyskanych od) osóbtrzecich

l Przed uzyskaniem niezale¿nego zapewnienia dokonywane jest,przy udziale kluczowych uczestników, oszacowanie wysokiegopoziomu ryzyka

l Istnieje zobowi¹zanie skutecznego wykorzystania niezale¿negozapewnienia w celu (ci¹g³ego) utrzymania usprawnienia

l Zapewnienie dzia³añ jest prowadzone w zgodzie z ogólnieprzyjêtymi praktykami, takimi jak Sys Trust

l Istnieje partnerstwo pomiêdzy audytorem a audytowanym,zachêcaj¹ce do wspó³pracy





P skuteczno�æ

P wydajno�æ

S poufno�æ

S integralno�æ

S dostêpno�æ

P zgodno�æ

S rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

ü dane

Zasoby IT

l Zwiêkszona liczba zaakceptowanych opiniidotycz¹cych kontroli wewnêtrznej ca³o�cisystemu (uzyskanych) dla wszystkichuzgodnionych domen (dziedzin)

l Zwiêkszona liczba (uzyskanych) certyfikatówjako�ci lub akredytacji dla wszystkichuzgodnionych domen (dziedzin)

l Zwiêkszona liczba powtórnych (drugich) opiniiraportowanych udzia³owcom w celu (podejmowa-nia) znacz¹cych decyzji dotycz¹cych IT, takichjak aktualna rzeczywisto�æ, negocjacje kontrak-tów, wspólne przedsiêwziêcia i powa¿ne zakupy

l Procent rekomendacji wykonanych (zamkniê-tych) we w³a�ciwym czasie w stosunku doilo�ci niezale¿nych przegl¹dów kontroliwewnêtrznej, certyfikatów jako�ci lubakredytacji oraz powtórnych (drugich) opinii

l Zmniejszona liczba z³ych lub uniewa¿nionychznacz¹cych decyzji dotycz¹cych IT

l Wska�nik poufno�ci i zaufania uczestników


l Zmniejszone koszty ogólne uzyskaniazapewnienia i certyfikatów

l Wykonywane we w³a�ciwym czasie raporto-wanie dotycz¹ce (uzyskania) zapewnienia

l Wykonywane we w³a�ciwym czasie dzia³aniazwi¹zane z (uzyskaniem) zapewnienia

l Liczba zainicjowanych procesów dotycz¹cych(uzyskania) zapewnienia

l Liczba iteracji poprzedzaj¹cych zaakceptowa-nie raportów dotycz¹cych (uzyskania)zapewnienia

l Liczba decyzji dotycz¹cych IT wymagaj¹cych(uzyskania) zapewnienia, dla których go nieszukano

l Liczba decyzji dotycz¹cych IT niewymagaj¹cych(uzyskania) zapewnienia, dla których go szukano

l Zmniejszona liczba z³ych lub uniewa¿nionychznacz¹cych decyzji dotycz¹cych IT, dlaktórych uzyskano pozytywne zapewnienie


Kontrola procesu IT Uzyskania niezale¿nego zapewnienia zcelem biznesowym zapewniaj¹cym wzrost poufno�ci i zaufaniapomiêdzy organizacj¹, u¿ytkownikami i dostawcami zewnêtrznymi

M3 MonitorowanieUzyskanie niezale¿nego zapewnienia


101

M3 Model Dojrza³o�ciKontrola procesu IT Uzyskanie niezale¿nego zapew-nienia z celem biznesowym zapewniaj¹cym, wzrostpoufno�ci i zaufania pomiêdzy organizacj¹, u¿ytkow-nikami a dostawcami zewnêtrznymi

0 Nieistniej¹cy. Organizacja nie posiada procesów(uzyskiwania) zapewnienia. Polityki bezpieczeñstwa nies¹ wdro¿one. Umowy dotycz¹ce poziomu us³ug (ServiceLevel Agreements) nie s¹ rozwijane, a procesy nie s¹mierzone. Kierownictwo nie ustanowi³o ¿adnychprogramów (uzyskiwania) zapewnienia lub certyfikatów.

1 Pocz¹tkowy /Ad Hoc. Organizacja niezale¿nie zarz¹dzaprocesami IT. Procesy (uzyskiwania) certyfikatów izapewnienia s¹ oparte na wyj¹tkowych przypadkach.Certyfikaty i zapewnienia s¹ prowadzone w przypadkuzmian lub wymagañ narzuconych przez organy nadrzêd-ne oraz na ¿adanie klienta. Proces (uzyskiwania)zapewnienia jest wywo³ywany dora�nie, poprzez wa¿nezadanie lub poprzez technicznych specjalistów, którzynie posiadaj¹ specyficznych umiejêtno�ci (niezbêdnychdo przeprowadzania) zapewnienia.

2 Powtarzalny, ale Intuicyjny. Kierownictwo ITwdro¿y³o procesy zarz¹dzania dzia³aniami dotycz¹cymi(uzyskiwania) zapewnienia. Wymagania dotycz¹ce(uzyskiwania) zapewnienia s¹ jeszcze zwi¹zane zpotrzebami i wymaganiami biznesu, a s¹ prowadzoneprzez IT. Zarz¹dzanie ryzykiem, jako czê�æ zarz¹dzaniaIT, prowadzi programy (uzyskiwania) certyfikatów izapewnienia. IT wykonuje oceny ryzyka w celuzidentyfikowania poziomu ryzyk systemu. Kierownic-two wy¿szego szczebla wspiera i jest zaanga¿owane w(uzyskiwanie) niezale¿nego zapewnienia. Metody itechniki (uzyskiwania) certyfikatów i zapewnienia s¹rozbudowane i jest rozpoczête (ich) porównywanie wcelu wykorzystania najlepszych praktyk. Proceswybierania wewnêtrznych lub zewnêtrznych zasobówzaczyna byæ formalizowany.

3 Zdefiniowany Proces. Organizacja zdefiniowa³a isfromalizowa³a procesy dzia³añ IT dotycz¹cych(uzyskiwania) zapewnienia, a kryteria u¿ywaniawewnêtrznych lub zewnêtrznych zasobów oparte s¹ napoziomie wiedzy specjalistycznej oraz wymaganejwra¿liwo�ci i niezale¿no�ci. Procesy (uzyskiwania)zapewnienia obejmuj¹ wymagania prawne i organównadrzêdnych, potrzeby dotycz¹ce (uzyskania) certyfika-tów, ogóln¹ skuteczno�æ organizacyjn¹ oraz rozpoznanienajlepszych praktyk. Wymagania dotycz¹ce (uzyskiwa-

nia) zapewnienia zosta³y wbudowane w procesy IT.Kierownictwo uczestniczy i prowadzi przegl¹dywszystkich dzia³añ dotycz¹cych (uzyskania) zapewnie-nia. Kierownictwo spoza IT jest proaktywnie zaanga¿o-wane w przegl¹dy dotycz¹ce (uzyskiwania) certyfikatówi zapewnienia. Baza wiedzy dotycz¹ca najlepszychpraktyk (uzyskiwania) certyfikatów i zapewnieniazosta³a rozbudowana. Kluczowe procesy IT uzyska³ycertyfikat.

4 Zarz¹dzany i Mierzalny. Kierownictwo wdro¿y³oprocesy (uzyskiwania) zapewnienia w celu zapewnienia,¿e krytyczne procesy IT s¹ zidentyfikowane i posiadaj¹charakterystyczne dla nich plany (uzyskania) zapewnie-nia. Procesy IT s¹ przegl¹dane w kontek�cie procesówbiznesowych, które s¹ przez nie wspierane. Procesy(uzyskiwania) zapewnienia s¹ zarz¹dzane i kontrolowa-ne pod wzglêdem ilo�ciowym. Kierownictwo wykorzy-stuje to, czego siê nauczy³o w (uzyskiwaniu) zapewnie-nia i certyfikatów w celu ulepszania innych procesów.Baza wiedzy jest wykorzystywana w celu zapewnienia,¿e najlepsze praktyki s¹ stosowane w nowych procesachoraz aby zapewniæ porównanie innych procesów.Istnieje formalny proces zapewniaj¹cy fachowo�æfunkcji (uzyskiwania) zapewnienia poprzez ci¹g³eocenianie równowagi pomiêdzy zewnêtrzn¹ i wewnêtrz-n¹ dostêpno�ci¹ wiedzy i umiejêtno�ci. Kryteria kosztów/korzy�ci prowadzenia wewnêtrznych i zewnêtrznychocen zosta³y zdefiniowane.

5 Zoptymalizowany. Kierownictwo wdro¿y³o �rodkizapewniaj¹ce, ¿e wszystkie krytyczne procesy bizneso-we posiadaj¹ proces (uzyskiwania) zapewnienia, pozainfrastruktur¹ IT, która j¹ wspiera. Organizacja posiadaprogram ci¹g³ego ulepszania procesów (uzyskiwania)zapewnienia i certytfikatów, który odzwierciedlanajlepsze praktyki bran¿owe. Kierownictwo rozbudowa-³o dostêpno�æ szybkiej integracji wyników (uzyskania)zapewnienia i dzia³añ dotycz¹cych (uzyskania) certyfi-katu z procesami ogólno-organizacyjnymi. Skuteczno�ædostawców us³ug zewnêtrznych i powi¹zania z partnera-mi biznesowymi s¹ oceniane w sposób rutynowy.Istnieje formalnie zdefiniowana strategia, wspieranaprzez kierownictwo wy¿szego szczebla, zbudowaniazgodno�ci z krajowymi i miêdzynarodowymi standarda-mi oraz uzyskania certyfikatów, co jest postrzegane jakodostarczenie rozpoznania i przewagi konkurencyjnej.

M3

COBIT

102

l Komitet audytowy definiuje i wspiera zadanie audytowe utrzymu-je niezale¿no�æ, (zakres) obowi¹zków, uprawnienia i odpowie-dzialno�æ funkcji audytu

l Stosuje siê oparte na ryzyku planowanie, ¿eby zidentyfikowaædzia³ania biznesu i IT dla pocz¹tkowych i cyklicznych przegl¹-dów

l Planowanie i prowadzenie audytów jest proaktywnel Metodyka audytu jest odpowiednio wspierana poprzez narzêdzia i

technikil S¹ jasno uzgodnione pomiêdzy kierownictwem a audytem

praktyki �ledzenia i finalizowania rekomendacji audytu orazraportowania dotycz¹cego ogólnego stanu

l Audytorzy przeprowadzaj¹ ocenê wp³ywu rekomendacji, ³¹czniez kosztem, korzy�ci¹ i ryzykiem

l Audytorzy dzia³aj¹ zgodnie z ogólnie zaakceptowanymi standar-dami audytowymi





P skuteczno�æ

P wydajno�æ

S poufno�æ

S integralno�æ

S dostêpno�æ

P zgodno�æ

S rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

ü dane

Zasoby IT

l Zwiêkszony poziom poufno�ci wynikaj¹cy zdzia³añ niezale¿nego audytu

l Zwiêkszona liczba adoptowanych najlepszychpraktyk, jako rezultat porad i rekomendacjiniezale¿nego audytu

l Zwiêkszona warto�æ za t¹ sam¹ cenêl Zwiêkszony poziom komunikacji z komitetem

audytowym i kierownictwem wy¿szegoszczebla


l Zwiêkszony poziom satysfakcji z relacji wstosunku do dzia³añ funkcji audytowych

l Liczba dzia³añ naprawczych i podtrzymuj¹-cych, podjêtych jako wynik nowych wnio-sków audytowych

l Zwiêkszona liczba audytorów z profesjonalny-mi i technicznymi certyfikatami

l Udoskonalony cykl trwania procesu audyto-wego, od planowania do raportowania


Kontrola procesu IT Zapewnienia niezale¿nego audytu z celembiznesowym zapewnienia wzrostu poziomu poufno�ci orazkorzystania z najlepszych, praktycznych porad

M4 MonitorowanieZapewnienie niezale¿nego audytu


103

M4 Model Dojrza³o�ciKontrola procesu Zapewnienie niezale¿nego audytuz celem biznesowym zapewnienia wzrostu poziomupoufno�ci oraz korzystania z najlepszych, praktycz-nych porad

0 Nieistniej¹cy. Kierownictwo nie zdaje sobie sprawy zwagi niezale¿nej funkcji audytowej i brak jest niezale¿-nych audytów.

1 Pocz¹tkowy /Ad Hoc. Istniej¹ nieformalne funkcjeaudytowe, które przeprowadzaj¹ od czasu do czasuniezale¿ne przegl¹dy. Nie istnieje ¿aden ogólny planprzeprowadzenia niezale¿nych audytów i nie ma ¿adnejkoordynacji pomiêdzy przegl¹dami. Planowanieniezale¿nego audytu, zarz¹dzanie nim i raportowanie s¹oparte na fachowo�ci poszczególnych osób. Jako�æplanowania i dostarczanie us³ug audytowych s¹ general-nie s³abe, maj¹ zmienne wyniki i bardzo ograniczonezaanga¿owanie kierownictwa.

2 Powtarzalny, ale Intuicyjny. �wiadczenie niezale¿nychfunkcji audytowych jest uznane przez kierownictwo jakopotencjalnie u¿yteczne, ale nie istnieje ¿adna pisemnapolityka definiuj¹ca ich cele, uprawnienia i odpowie-dzialno�æ. Kierownictwo wy¿szego szczebla nieustanowi³o infrastruktury i procesu zapewniaj¹cych,wykonywanie niezale¿nych audytów oparte jest na sta³ejpodstawie. Planowanie niezale¿nego audytu, zarz¹dza-nie nim i raportowanie stosuje podobne wzory oparte nauzyskanym wcze�niej do�wiadczeniu oraz fachowo�cicz³onków zespo³u. Istnieje niewielka koordynacjapomiêdzy audytami, a ograniczonym badaniem wyni-ków wcze�niej przeprowadzonych audytów. Zaintereso-wanie kierownictwa IT oraz zaanga¿owanie w procesaudytowy s¹ niekonsekwentne i zale¿¹ od postrzeganiaprzymiotów okre�lonego zespo³u audytowego.

3 Zdefiniowany Proces. Jest ustalony, przez kierownictwowy¿szego szczebla, charakter funkcji audytowych IT ipostêpuje on w �lad za zapewnieniem niezale¿no�ci iuprawnieñ funkcji audytowych. Kierownictwo audytuzidentyfikowa³o i rozumie �rodowisko oraz inicjatywy IT.Jest ustalony proces planowania i zarz¹dzania audytami.Oczekuje siê od pracowników audytu stosowania siê dostandardów audytowych, ale rezultaty mog¹ byæ ró¿ne.Wykonywanie zaleceñ audytu ma miejsce, ale czêstodzia³ania pokontrolne i ich zamkniêcie jest s³abe.Podstawowe elementy zapewnienia jako�ci s¹ ustalone wcelu zagwarantowania stosowanie siê do odpowiednichstandardów audytowych i w celu poprawy skuteczno�ci

dzia³ania funkcji audytowych. IT, finanse i proces funkcjiaudytowych nie s¹ ogólnie rzecz bior¹c zintegrowane.Kierownictwo IT jest �wiadome potrzeby prowadzenianiezale¿nych audytów, ale nie zawsze jest zadowolone zjako�ci ich prowadzenia i nie ma zaufania, ¿e funkcje(audytowe) posiadaj¹ odpowiedni¹ wiedzê aby przedsta-wiæ uzasadnione rekomendacje.

4 Zarz¹dzany i Mierzalny. Plany audytu oparte nastrategicznym i operacyjnym ryzyku zosta³y ustanowio-ne w oparciu o ocenê bie¿¹cych i przysz³ych potrzeb.Indywidualne plany audytowe s¹ rozbudowywane woparciu o cykliczny plan operacyjny i o dostêpno�æzasobów. Proces audytowy mo¿e byæ dopasowany dospecyficznych zadañ. Proce (zarz¹dzania) ba¿a wiedzyjest ustanowiony i rozbudowany w celu zapewnienia, ¿e(dobra) jako�æ ocen i u¿yteczne rekomendacje mog¹ byæprzedtawione. Audyty s¹ skoordynowane i zintegrowanez ka¿dym powi¹zanym (z nim) audytem finansowym iaudytem procesu. Wyniki s¹ raportowane kierownictwu,a dzia³ania pokontrolne maj¹ miejsce w celu zapewnie-nia, ¿e kierownictwo podejmie dzia³ania naprawczedotycz¹ce kwestii krytycznych, zidentyfikowanychprzez audyty. Zestrukturyzowana funkcja zapewnieniajako�ci u³atwia ilo�ciowe zarz¹dzanie i kontrolê procesuaudytowego. Funkcja audytu IT bierze udzia³ w rozwojudzia³añ naprawczych oraz w projektach w celu zapew-nienia, ¿e mechanizmy kontrolne s¹ w³a�ciwie wbudo-wywane w procesy. Kierownictwo IT jest zazwyczajpozytywnie zaanga¿owane we wszystkie audyty i robiu¿ytek z wyników audytu, aby poprawiæ wydajno�æ.

5 Zoptymalizowany. Funkcja audytu jest zdolna doszybkiego reagowania na sprawy zarz¹dzania odnosz¹cesiê do procesu biznesowego oraz kwestii kontroli ryzykaIT w sposób ci¹g³y i dotycz¹cy ca³o�ci organizacji.Planowanie audytu jest �ci�le zintegrowane ze strategia-mi biznesu i IT. Procesy audytowe s¹ monitorowane ianalizowane w celu lepszego dostosowania do zmienia-j¹cych siê warunków �rodowiska. �rodowisko audytuobejmuje ilo�ciowe monitorowanie dzia³añ w �rodowi-sku audytowym oraz bierze pod uwagê najlepszepraktyki bran¿owe i inne zewnêtrzne trendy w modyfi-kowaniu procesów audytowych. Audyt jest zaanga¿owa-ny w rozwój planów biznesowych i wszystkie projektywspieraj¹ce plany biznesowe w celu zapewnienia, ¿eodpowiednie mechanizmy kontrolne s¹ wbudowane wewszystkie procesy. Audyt konsultuje wszystkie projektypod k¹tem porad biznesowych i kontrolnych.

M4

COBIT

104

Ta strona celowo pozosta³¹ pusta.


105

JAK U¯YWAÆ

1. WYTYCZNE ZARZ¥DZANIA

Na ka¿dej lewej stronie Wytyczne Zarz¹dzania dostarczaj¹ kilku elementów dla ka¿dego z 34 proce-sów COBIT:

l Identyfikacji procesu,l O�wiadczenie celu procesu,l O�wiadczenie umo¿liwiaj¹ce (jak trzymaæ proces pod kontrol¹, by ustaliæ czy osi¹ga swoje cele),l Zasoby IT, ze wskazaniem odniesienia (poziomu, przyp. T³um.) do tego procesu,l Kryteria Informacyjne, ze wskazaniem wzglêdnej wa¿no�ci (P = wa¿no�æ podstawowa, S =

wa¿no�æ pochodna, lub puste = mniej wa¿ne, nie koniecznie musi byæ uwzglêdniane)l Krytyczne Czynniki Sukcesu,l Kluczowe Wska�niki Celu,l Kluczowe Wska�niki Wydajno�ci.

Te elementy s¹ ustrukturalizowane w sposób pokazany na kolejnym rysunku. Powi¹zania opieraj¹ siêna zasadach Zrównowa¿onej Karty Wyników Biznesowych, ³¹cz¹c cele i ich miary wyników (KWC)z czynnikami umo¿liwiaj¹cymi (enablers) i ich miarami wydajno�ci (KWW). Czynniki umo¿liwiaj¹ce(enablers) s¹ utworzone jako �cis³e i pragmatyczne razem z szeregiem Krytycznych CzynnikówSukcesu i u¿ywaj¹ okre�lonych zasobów IT.

10,90,80,70,60,50,40,30,20,1

0

Dodatkowo, mo¿na uzyskaæ porady z Ogólnych Wskazówek Zarz¹dzania (zobacz Dodatek IV) oraz zWytycznych Zarz¹dzania IT (zobacz Dodatek V). Obydwie daj¹ szybkich wskazañ na temat ogólnychwymagañ, których realizacja pozwala zarz¹dzaæ procesem IT.

Na koniec nale¿y zauwa¿yæ, ¿e niniejsze wytyczne nie proponuj¹ by wszystkie praktyki okre�loneprzez KCS i KWW koniecznie by³y stosowane we wszystkich przypadkach. Potrzebne jest wykonanieodpowiedniej selekcji. Modele Dojrza³o�ci (zobacz nastêpn¹ sekcjê w tym Dodatku) dostarczone zka¿dymi wytycznymi procesu mog¹ byæ pomocne w dokonywaniu tego wyboru. Jednak¿e, w bizne-sach z wysokimi wymaganiami wobec niezawodno�ci i kiedy prze¿ycie zale¿y od dostêpno�ci infor-macji, wówczas niemal pe³ne zastosowanie wytycznych na poziomach dojrza³o�ci 3 lub 4 mog³obystanowiæ dobr¹ praktykê.

Dodatek I

COBIT

106

2. MODEL DOJRZA£O�CI

Model Dojrza³o�ci jako oddzielne narzêdzie znajduje siê na stronie prawej ka¿dego z 34 procesówCOBIT Wytycznych Zarz¹dzania. To narzêdzie mo¿e stanowiæ podstawê do nastêpuj¹cych rozszerzaj¹-cych siê [incremental] zastosowañ:

l Metoda samooceny w stosunku do skali, decyduje o tym w jakim miejscu (skali) znajduje siêorganizacja,

l Metoda u¿ywania rezultatów samooceny s³u¿y do wskazywania celów przysz³ego rozwoju,bazuje na okre�leniu, w którym miejscu skali chce znale�æ siê organizacja, przy czym nieko-niecznie na poziomie 5,

l Metoda planowania projektów s³u¿y do osi¹gania celów, bazuje na analizie luk pomiêdzy tymicelami i aktualnym statusem,

l Metoda prioretyzacji pracy projektowej oparta na klasyfikacji projektów i na analizie korzy�ciwobec kosztów.

Nie-istniej¹cy

Pocz¹tkuj¹cy

Powtarzalny



LEGENDA SYMBOLI


LEGENDA SKALI OCEN



Strategia firmy

2.1. Samoocena i rozpoznanie celu

Dla ka¿dego ocenianego tematu organizacja powinna u¿yæ sze�ciopunktowej skali oceny od 0 do 5,by okre�liæ jego szacunkow¹ pozycjê. Mo¿na j¹ ³atwo i graficznie porównane z trzema punktamiodniesienia (po¿¹dana wydajno�æ, miêdzynarodowe standardy i najlepsze praktyki). Im wa¿niejszyjest proces dla organizacji, tym wy¿ej powinien znale�æ siê na skali. Na przyk³ad w relatywnie stabil-nym �rodowisu handlowym, wzrastaj¹ca dojrza³o�æ 13 procesów IT z domeny �Dostarczanie i wspie-ranie� jest tym co odró¿nia dobrze prosperuj¹ce organizacje od innych. Z drugiej strony, w najbardziejdynamicznym �rodowisku handlowym, sukces organizacji, je�li nie jej prze¿ycie, silnie zale¿y oddojrza³o�ci domeny �Planowanie i organizowanie� oraz �Nabywanie i wdra¿anie�.

Dodatek I


107

Ka¿dy wska�nik porównawczy jest wy³¹cznie przyrostowy i wszystkie warunki deskryptora [opisu -ang. descriptor] musz¹ byæ spe³nione, by upowa¿niaæ do zaklasyfikowania na ten poziom. Nale¿ytak¿e zwróciæ uwagê na ró¿nice pomiêdzy mo¿liwo�ci¹ opomiarowania, a wykonywaniem pomiarów.Na przyk³ad, nabycie zdolno�ci i umiejêtno�ci dla pewnych praktyk bezpieczeñstwa i kontroli jestjedn¹ decyzj¹, któr¹ nale¿y podj¹æ i �ledziæ, ale konsekwentne stosowanie potencja³u, kiedy ju¿ zosta³nabyty, tak¿e musi byæ mierzone.

Organizacja powinna tak¿e rozwa¿yæ, który z sze�ciu opisów najlepiej oddaje to, gdzie chcia³aby i�æw rezultacie swojej strategii IT, ze szczególnym naciskiem na stopieñ zale¿no�ci i warto�æ informacjiw odniesieniu do swych wymagañ biznesowych. Zewnêtrzne wska�niki porównawcze mog¹ byæbardzo pomocne przy formu³owaniu opinii jaki realny poziom bezpieczeñstwa i kontroli jest wymaga-ny przez organizacjê w zwi¹zku z jej �rodowiskiem i celami strategicznymi.

2.2. Analizy luki

W wielu przypadkach dwa znaki samooceny (gdzie kto� jest i gdzie chce byæ) bêd¹ oddzielone nawykresie luk¹, której rozmiar daje wzrokowe wyobra¿enie jak du¿o pracy nale¿y wykonaæ, by za-mkn¹æ tê lukê i w zwi¹zku z tym osi¹gn¹æ cel strategiczny. Jednak¿e, luka ta powinna byæ opisana zwiêksz¹ szczegó³owo�ci¹, by u³atwiæ wykorzystanie rezultatów analizy luki do zaplanowania seriiprojektów, które przenios¹ organizacjê w stronê jej celów strategicznych dotycz¹cych bezpieczeñstwai kontroli IT.

W wyniku realizacji procesu analizy luki powstanie lista wszystkich dzia³añ potrzebnych do zamkniê-cia luk pomiêdzy znacznikami �stanu aktualnego� i odpowiadaj¹cymi im znacznikami �celów strate-gicznych�. Lista luk powinna byæ wiêc u¿ywana do planowania listy projektów, które wykonaj¹ tedzia³ania. Prawdopodobnie bêd¹ to powi¹zania wiele-do-wielu pomiêdzy lukami i projektami (zobaczdiagram poni¿ej).

2.3. Klasyfikacja Projektu

Dla u³atwienia planowania i przedstawiania, projekty mog¹ byæ sklasyfikowane zgodnie z typem:Inicjatywy strategiczne, Projekty taktyczne, Usprawnienia organizacyjne lub Rozwijanie procedur.Ka¿dy projekt jest wiêc oznaczony przez unikaln¹ sekwencyjn¹ etykietê, na przyk³ad: S1, T3, O2, P5,tak jak na poni¿szym rysunku.

2.4. Priorytetyzacja Projektu

Celem priorytetyzacji projektów jest okre�lenie tych projektów, dla których jest mo¿liwe szybkieuzyskanie rezultatów (quick wins). Najlepszymi kandydatami na takie projekty s¹ zazwyczaj te, dlaktórych luka jest ma³a, gdzie koszt jej zamkniêcia jest niski, gdzie ryzyko pora¿ki projektu jest niskiei gdzie wp³yw na wyniki biznesowe bêdzie najwiêkszy.

Dlatego projekty powinny byæ oceniane ze wzglêdu na wp³yw i koszt/ryzyko, w skali od 1 do 10 dlaka¿dej z tych zmiennych. Projekty mog¹ byæ wyrysowane na wykresie, który staje siê narzêdziemwspieraj¹cym decyzje kierownictwa, pokazuj¹c wzglêdny wp³yw i koszty/ryzyko. Projekty, które

Dodatek I

COBIT

108

maj¹ du¿y wp³yw i niskie koszty/ryzyko s¹ dobrymi kandydatami do wyboru jako te które maj¹ byæukoñczone w pierwszej kolejno�ci.

S1

P5

T3

O2

0 5 10

1

2

3

n

A

B

C

m

Dodatek I


109

COBIT FRAMEWORK

POTRZEBA KONTROLI TECHNOLOGII INFORMATYCZNEJ

W ostatnich latach, sta³o siê oczywiste dla gremiów regulacyjnych, prawodawczych, u¿ytkowników idostawców us³ug, ¿e istnieje potrzeba pewnego poziomu odniesienia dla oceny bezpieczeñstwa ikontroli IT. Krytycznie wa¿ne dla odniesienia sukcesu i przetrwania organizacji jest efektywne zarz¹-dzanie technologi¹ informatyczn¹ (IT). W globalnym spo³eczeñstwie informacyjnym � gdzie informa-cja podró¿uje w cyberprzestrzeni bez ograniczeñ czasu, odleg³o�ci i prêdko�ci � ta krytyczno�æwywodzi siê z:

l wzrastaj¹cej zale¿no�ci od informacji i systemów, które j¹ dostarczaj¹,l wzrastaj¹cej wra¿liwo�ci i szerokiego spektrum zagro¿eñ, takich jak przestêpstwa komputero-

we i �wojny� informacyjne,l skali i kosztów bie¿¹cych i przysz³ych inwestycji w informacje i systemy informacyjne, orazl potencja³u technologii, które zasadniczo zmieniaj¹ organizacje i praktyki biznesowe, tworz¹c

nowe mo¿liwo�ci i redukuj¹c koszty.

Dla wielu organizacji, informacja i technologia, która j¹ wspiera stanowi¹ najbardziej warto�ciowymaj¹tek. Prawd¹ jest, ¿e informacja i systemy informacyjne s¹ wszechobecne w ca³ych organizacjach� od platform u¿ytkowników przez lokalne i rozleg³e sieci, a¿ do serwerów i komputerów mainframe.Wiele organizacji zauwa¿a potencjalne korzy�ci, które mo¿e dawaæ technologia. Jednak¿e, organi-zacje odnosz¹ce sukcesy, rozumiej¹ i zarz¹dzaj¹ ryzykiem zwi¹zanym z wdra¿aniem nowych techno-logii. Z tego powodu, kierownictwo potrzebuje przyj¹æ i w podstawowym stopniu rozumieæ ryzyko iogrsnicxenis IT w celu realizacji w³a�ciwego zarz¹dzania i odpowiedniej kontroli.

KIEROWNICTWO musi zadecydowaæ, co jest sensown¹ inwestycj¹ w bezpieczeñstwo i kontrolê IT i jakbalansowaæ ryzykami i inwestycjami w kontrole, w czêsto nieprzewidywalnym �rodowisku IT. Cho-cia¿ bezpieczeñstwo i kontrola systemów informatycznych pomagaj¹ zarz¹dzaæ ryzykiem, to jednakgo nie eliminuj¹. Dodatkowo, dok³adny poziom ryzyka nigdy nie jest znany, poniewa¿ zawsze pozo-staje pewien stopieñ niepewno�ci. Ostatecznie, kierownictwo musi decydowaæ jaki poziom ryzyka jestmo¿liwy do zaakceptowania. Os¹dzenie, jaki poziom mo¿e byæ tolerowany, szczególnie porównuj¹cgo do kosztów, mo¿e byæ trudn¹ decyzj¹. Dlatego kierownictwo potrzebuje ramowych i generalnieakceptowanych praktyk dotycz¹cych bezpieczeñstwa i kontroli, do porównywania swojego istniej¹ce-go i planowanego �rodowiska.

Wystêpuje wzrastaj¹ca potrzeba upewnienia siê przez U¯YTKOWNIKÓW us³ug IT, ¿e istnieje odpowied-nia kontrola i bezpieczeñstwo, poprzez potwierdzanie wiarygodno�ci i audytowanie us³ug IT prowa-dzonych przez kontrolê wewnêtrzn¹ lub strony trzecie. Niestety, w chwili obecnej, wdro¿enie dobrejkontroli IT w systemach informacyjnych, zarówno w jednostkach komercyjnych, niedochodowych,jak i rz¹dowych jest utrudnione ze wzglêdu na pewne zamieszanie. Zamieszanie pochodzi od ró¿nychmetod oceniania, takich jak ITSEC, TCSEC, ISO9000, w³¹czaj¹c w to ocenê kontroli wewnêtrznej

Dodatek II

COBIT

110

COSO, itp. W rezultacie u¿ytkownicy potrzebuj¹ okre�lenia generalnych podstaw, które bêd¹ ustalonejako pierwszy krok.

Czêsto AUDYTORZY przewodz¹ w takich miêdzynarodowych wysi³kach standaryzacyjnych, poniewa¿ci¹gle staj¹ wobec potrzeby udowodnienia kierownictwu swoich opinii o kontroli wewnêtrznej. Bezodpowiednich ram jest to zadanie niezwykle trudne. By³o to zilustrowane w kilku niedawnych opra-cowaniach mówi¹cych o tym, jak audytorzy os¹dzaj¹ kompleksow¹ sytuacjê bezpieczeñstwa i kontro-li w IT � w opracowaniach, które powsta³y prawie jednocze�nie w ró¿nych czê�ciach �wiata. Cowiêcej, audytorzy s¹ coraz czê�ciej wzywani przez kierownictwo, by proaktywnie konsultowaæ idoradzaæ w sprawach bezpieczeñstwa i kontroli IT.

�RODOWISKO BIZNESOWE: KONKURENCJA, ZMIANA & KOSZT

Globalna konkurencja trwa. Organizacje s¹ restrukturyzowane, tak by racjonalizowaæ operacje ijednocze�nie uzyskiwaæ przewagê w zaawansowaniu w IT, w celu polepszania swojej pozycji konku-rencyjnej. Re-engineering biznesu, right-sizing, outsourcing, wzmacnianie, sp³aszczanie organizacji iprzetwarzanie rozproszone, to wszystko s¹ zmiany, które wp³ywaj¹ na sposób w jaki dzia³aj¹ organi-zacje biznesowe i rz¹dowe. Te zmiany maj¹ i bêd¹ mia³y ogromny wp³yw na zarz¹dzanie i funkcjono-wanie struktur kontroli w organizacjach na ca³ym �wiecie.

Nacisk na osi¹ganie przewagi konkurencyjnej i efektywno�ci kosztowej oznacza nieustaj¹cy wzrostzale¿no�ci od technologii, jako g³ównego komponentu strategii w wiêkszo�ci organizacji. Automaty-zacja funkcji w organizacji si³¹ rzeczy wymaga stosowania mocniejszych mechanizmów kontrolnychwobec komputerów i sieci zarówno w sferze oprogramowania, jak i sprzêtu. Co wiêcej, fundamental-ne charakterystyki strukturalne tych kontroli ewoluuj¹ w takim samym stopniu i w tempie, jak techno-logie sieciowe i komputerowe, bêd¹ce dla nich baz¹.

W obliczu zmian i du¿ych przyspieszeñ, kierownicy, specjali�ci systemów informatycznych i audyto-rzy, chc¹c rzeczywi�cie móc efektywnie wype³niaæ swoje role, musz¹ rozwijaæ swoje umiejêtno�cirównie szybko jak zmieniaj¹ siê technologie i �rodowisko. Ka¿dy musi poj¹æ technologiê stosowanejkontroli i zmienno�æ jej natury, je¿eli chce wydawaæ sensowne i rozs¹dne os¹dy podczas ocenypraktyk kontroli, stosowanych w typowych organizacjach biznesowych i rz¹dowych.

ODPOWIED� NA POTRZEBY

Ze wzglêdu na ci¹g³e zmiany, opracowanie ramowych celów kontroli IT oraz oparte na nich ci¹g³ebadania stosowane nad kontrol¹ IT, stanowi¹ kamieñ milowy efektywnego postêpu w dziedziniekontroli technologii informacyjnej i pokrewnych.

Z jednej strony, byli�my �wiadkami opracowañ i publikacji o ogólnych modelach kontroli, takichjak COSO (Committee of Sponsoring Organizations of the Tradeway Commission � Internal Con-trol-Integrated Framework, 1992 ) w USA, Cadbury w Wielkiej Brytanii, CoCo w Kanadzie i Kingw Po³udniowej Afryce. Z drugiej strony, znacz¹ca liczba specjalnych modeli kontroli istnieje napoziomie IT. Dobrymi przyk³adami tej ostatniej kategorii s¹ Security Code of Conduct z DTI(Departament of Trade and Industry, Wielka Brytania) i Security Handbook z NIST (National

Dodatek II


111

Institute of Standards and Technology, USA). Jednak¿e wersje specjalne nie dostarczaj¹ wyczerpu-j¹cego i u¿ytecznego modelu kontroli nad IT we wspieraniu procesów biznesowych. Celem COBITjest wype³nienie tej luki poprzez dostarczenie bazy, która jest �ci�le powi¹zana z celami biznesowy-mi, ale koncentruje siê na IT.

Koncentracja na wymaganiach biznesowych wobec kontroli IT i zastosowanie powstaj¹cych modeli ipowi¹zanych z nimi standardów miêdzynarodowych, przekszta³ca Control Objectives COBIT z narzê-dzia audytora w narzêdzie dla kierownictwa. COBIT jest prze³omowym narzêdziem zarz¹dzania IT,które pomaga kierownictwu w zrozumieniu i zarz¹dzaniu ryzykiem zwi¹zanym z funkcjonowa-nia IT.

Dlatego g³ównym celem projektu COBIT jest opracowanie przejrzystej polityki oraz suktecznychwzrców bezpieczeñstwa i kontroli IT dla organizacji komercyjnych, rz¹dowych i zawodowych, naca³ym �wiecie. Celem projektu jest okre�lenie celów kontroli, w g³ównej mierze z perspektywy celówi potrzeb biznesowych. Jest to zgodne z wizj¹ COSO, stanowi¹c pierwsz¹ i g³ówn¹ bazê dla kierow-nictwa kontroli wewnêtrznej.

Z tego powodu, cele kontroli zosta³y okre�lone z perspektywy celów audytu (certyfikacja informacjifinansowych, certyfikacja miar kontroli wewnêtrznej, efektywno�æ, wydajno�æ, itp.).

ODBIORCY: KIEROWNICTWO, U¯YTKOWNICY & AUDYTORZY

COBIT jest zaprojektowany do u¿ytku przez trzy ró¿ne gremia.

KIEROWNICTWO - aby pomóc im równowa¿yæ ryzyko i kontrolowaæ inwestycje w czêsto nieprze-widywalne �rodowisko IT.

U¯YTKOWNICY - aby uzyskaæ zapewnienie o bezpieczeñstwie i kontroli us³ug IT dostarczanychwewnêtrznie lub przez strony trzecie.

AUDYTORZY - aby uzasadniaæ swoje opinie i/lub dostarczaæ porad kierownictwu na temat kontroliwewnêtrznej.

Oprócz zaspokajania potrzeb bezpo�rednich odbiorców: starszego kierownictwa, audytorów i osóbzajmuj¹cych siê bezpieczeñstwem i kontrol¹, COBIT mo¿e byæ u¿ywany w przedsiêbiorstwach przezw³a�cicieli procesów biznesowych w ramach ich odpowiedzialno�ci za informatyczne aspekty tychprocesów i przez osoby odpowiedzialne za IT w przedsiêbiorstwie.

ORIENTACJA NA CELE BIZNESOWE

Cele Kontroli s¹ jasno i wyra�nie po³¹czone z celami biznesowymi, w sposób znacz¹cy wspieraj¹crecepcjê tego zagadnmienia poza audutorami. Cele Kontroli s¹ zdefiniowane w sposób zorientowa-ny na procesy, zgodnie z zasadami re-engineeringu biznesowego. W ramach zidentyfikowanychdomen i procesów okre�lone s¹ cele kontroli, dokumentuj¹ce racjonalnie po³¹czenie z celamibiznesowymi. Dodatkowo, przedstawione s¹ rozwa¿ania i wskazówki, jak definiowaæ i wdra¿aæCele Kontroli IT.

Dodatek II

COBIT

112

COBIT Framework tworz¹: klasyfikacja domen, do których stosuje siê ogólne cele kontroli (domeny,procesy), wskazanie wymagañ biznesowych w tych domenach oraz zasobów IT, których zasadniczodotyczy cel kontroli. Framework bazuje na pracach badawczych, w ramach których zidentyfikowano34 ogólne i 302 szczegó³owe cele kontroli. Framework zosta³ przedstawiony przemys³owi i audyto-rom w celu przejrzenia, oceny i komentarza. Opinie i uwagi zosta³y przez autorów uwzglêdnione.

DEFINICJE

Dla celów tego projektu przyjmuje siê nastêpuj¹ce definicje. �Kontrola� zosta³a przejêta z raportuCOSO [Internal Control-Integrated Framework � Committee of Sponsoring Organizations of theTradeway Commission, 1992], definicja pojêcia �Cel Kontroli IT� zosta³a przejêta z raportu SAC[System Auditability and Control Report, The Institute of Internal Auditors Research Foundation,1991 i 1994].

polityki, procedury, praktyki i struktury organizacyjne musz¹ dostarczaæ racjonalnychgwarancji osi¹gniêcia celów biznesowych oraz zabezpieczyæ struktury przed niepo¿¹-danymi zdarzeniami.

postanowienia odno�nie po¿¹danych rezultatów lub celów, które powinny byæ osi¹gniête po-przez implementacjê procedur kontrolnych w poszczególnych obszarach dzia³ania IT.

BUDOWA COBIT

Aktualnie s¹ dostêpne dwie ró¿ne klasy modeli kontroli: �biznesowy model kontroli� (np. COSO) i�modele kontroli bardziej zorientowane na IT� (np. DTI). COBIT pomaga wype³niæ lukê, która pomiê-dzy nimi istnieje. Z tego wzglêdu COBIT jest tak skonstruowany, by stanowiæ systetyczny wyk³ad dlapotrzeb kierownictwa i operowaæ na wy¿szym poziomie ni¿ standardy technologiczne zarz¹dzaniasystemami. Dlatego COBIT stanowi model zarz¹dzania IT!

Kluczow¹ koncepcj¹ COBIT Framework jest podej�cie do kontroli IT z punktu widzenia informacji,która jest potrzebna dla spe³nienia celów i wymagañ biznesowych. Koncepcja ta wynika z konieczno-�ci zaspokojenia potrzeb informacyjnych, co jest rezultatem po³¹czonego wykorzystania zasobów ITdo zarz¹dzania w ramach realizacji procesów IT.

PROCESY IT

ZASOBY IT

WYMOGI

BIZNESOWE

Kontrola jestzdefiniowana

jako

Cel Kontroli IT jestzdefiniowany

jako

Dodatek II


113

Aby spe³niæ cele biznesowe, informacja powinna spe³niaæ okre�lone kryteria, które COBIT traktujejako wymagania biznesowe wobec informacji. Ustalaj¹c listê wymagañ, COBIT ³¹czy zasady wbudo-wane w istniej¹ce i znane modele odniesienia:

Jako�æKosztDostarczanie

Efektywno�æ & Wydajno�æ operacjiRzetelno�æ informacjiZgodno�æ z prawem i regulacjami

Poufno�æIntegralno�æDostêpno�æ

�Jako�æ� jest stosowana przede wszystkim w jej �negatywnym� aspekcie (brak b³êdów, rzetelno�æ,itp.), który jest tak¿e zawarty, w znacznej mierze, w kryterium Integralno�ci. �Pozytywne�, lecz mniejnamacalne aspekty jako�ci (styl, atrakcyjno�æ, wydajno�æ przekraczaj¹ca oczekiwania) nie by³yrozwa¿ane z punktu widzenia Celów Kontrolnych. Przes³ank¹ do takiego podej�cia jest to, ¿e najwy¿-szy priorytet przyjêto dla w³a�ciwego zarz¹dzania ryzykiem, w stosunku do mo¿liwo�ci. Aspekt�u¿yteczno�ci� wymagania jako�ci jest objêty przez kryteria Efektywno�ci. Aspekt �dostarczania�wymagañ jako�ci by³ rozwa¿any w po³¹czeniu z aspektem Dostêpno�ci w ramach wymagañ bezpie-czeñstwa i w tym samym stopniu Efektywno�ci i Wydajno�ci. W koñcu, Koszt jest równie¿ rozwa¿a-ny jako objêty przez Wydajno�æ.

Dla wymagañ wiarygodno�ci, COBIT nie próbowa³ wywa¿aæ otwartych drzwi, u¿yto definicji COSO:efektywno�ci, wydajno�ci operacji, rzetelno�ci informacji, i zgodno�ci z prawem i regulacjami.Jednak¿e, niezawodno�æ informacji zosta³a rozszerzona, by obejmowaæ wszystkie informacje � nietylko informacje finansowe.

W odniesieniu do wymagañ bezpieczeñstwa, COBIT wyró¿ni³ poufno�æ, integralno�æ i dostêpno�æ jakokluczowe elementy � te same trzy elementy, s¹ u¿ywane na ca³ym �wiecie do okre�lenia wymagañbezpieczeñstwa IT.

Rozpoczynaj¹c analizê od szerszych wymagañ Jako�ci, Wiarygodno�ci i Bezpieczeñstwa, wydzielonosiedem ró¿nych, ale uzupe³niaj¹cych siê kategorii.

zapewnienie relewancji i adekwatno�ci informacji dla procesów biznesowych, a po-nadto dostarczania jej na czas, w sposób prawid³owy, spójny i u¿yteczny.

zapewnienie informacji w ramach optymalnego u¿ycia zasobów (najbardziej produk-tywnego i ekonomicznego)

Wymaganiajako�ci

Wymaganiawiarygodno�ci(Raport COSO)

Wymaganiabezpieczeñstwa

Wydajno�æ

Efektywno�æ

Dodatek II

COBIT

114

ochrona wa¿nych informacji przez nieuprawnionym ujawnieniem

dok³adno�æ, kompletno�æ oraz prawdziwo�æ (wa¿no�æ) informacji zgodnie z ich zna-czeniem biznesowym i oczekiwaniami wobec nich.

dostêpno�æ informacji, wtedy gdy jest wymagana przez procesy biznesowe aktualnie iw przysz³o�ci; dotyczy tak¿e ochrony niezbêdnych zasobów i ich mo¿liwo�ci

stosowanie siê do przepisów prawa, regulacji i umów dla których przedmiotem jestproces biznesowy; s¹ to narzucone zewnêtrznie kryteria biznesowe

zapewnienie w³a�ciwych informacji dla zarz¹dzania jednostk¹ i dla kierownictwa, abymog³o realizowaæ obowi¹zki finansowe i sprawozdawcze

Zasoby IT okre�lone przez COBIT mog¹ byæ zdefiniowane nastêpuj¹co:

obiekty w ich najszerszym znaczeniu (tj. zewnêtrzne i wewnêtrzne), strukturalne i nie-strukturalne, grafiki, d�wiêk itp.

przez systemy aplikacyjne rozumie siê sumê procedur manualnych i programowych

technologia obejmuje sprzêt, systemy operacyjne, systemy baz danych, sieci, multi-media

przez infrastrukturê rozumie siê wszystkie zasoby które s³u¿¹ do przechowywania iwspomagania systemów informatycznych

Ludzie, w³¹czaj¹c w to: umiejêtno�ci personelu, �wiadomo�æ i wydajno�æ planowania,organizowania, nabywania, dostarczania, wspierania, wspomagania i monitorowaniasytemów informatycznych i us³ug

Pieni¹dze i kapita³ nie s¹ uznawane za zasoby IT w klasyfikacji celów kontrolnych, poniewa¿ mog¹byæ rozwa¿ane jako inwestycja w ka¿dy z powy¿szych zasobów. Nale¿y tak¿e zauwa¿yæ, ¿e Frame-work nie odnosi siê specjalnie do dokumentacji we wszystkich sprawach materialnych dotycz¹cychposzczególnych procesów IT. Jako element praktyki, dokumentacja jest traktowana jako niezbêdnadla dobrej kontroli i z tego powodu brak dokumentacji powinien byæ powodem przysz³ych przegl¹-dów i analiz dla kontroli kompensacyjnych w danym specyficznym, przegl¹danym obszarze.

W celu zapewnienia spe³nienia wymagañ biznesowych, powinny byæ zdefiniowane, wdro¿one imonitorowane odpowiednie miary kontrolne, dotycz¹ce tych zasobów. Jak organizacja mo¿e upewniæ

Ludzie

Zgodno�æ

Rzetelno�æinformacji

Dane

Technologia

Systemyaplikacyjne

Infrastruktura

Integralno�æ

Dostêpno�æ

Poufno�æ

Dodatek II


115

??

PROCESYBIZNESOWE

INFORMACJE

ZASOBY IT

Co dostajesz? Czego potrzebujesz?

Czy pasuj¹ do siebie?

Kryteria informacji·efektywno�æ·wydajno�æ·poufno�æ·integralno�æ·dostêpno�æ·zgodno�æ·rzetelno�æ

· dane· aplikacje· technologia· urz¹dzenia· ludzie

COBIT Framework sk³ada siê z ogólnych Celów Kontrolnych oraz ogólnej struktury ich klasyfikacji.Zasadniczo teoria klasyfikacji jest taka, ¿e podczas rozwa¿ania zarz¹dzania zasobami IT bierze siêpod uwagê trzy poziomy dzia³ania IT. Rozpoczynaj¹c od do³u, s¹ to dzia³ania i zadania potrzebne byosi¹gn¹æ mierzalne rezultaty. Dzia³ania maj¹ charakter czynno�ci cyklicznych, podczas gdy zadania s¹w swej naturze bardziej nieci¹g³e. Dzia³ania cykliczne maj¹ typowe wymagania kontrolne � inne ni¿zadania. Procesy s¹ nastêpne w kolejno�ci jako seria po³¹czonych dzia³añ lub zadañ, naturalnie (wsposób umo¿liwiaj¹cy kontrolê) rozdzielonych. Na najwy¿szym poziomie, procesy s¹ naturalniepogrupowane w domeny. Ich naturalne pogrupowanie jest czêsto potwierdzane przez istnienie domenodpowiedzialno�ci w strukturze organizacyjnej i jest zgodne z cyklem zarz¹dzania lub cyklem ¿yciazastosowanym do procesów IT.

Tak wiêc do struktury koncepcyjnej mo¿na podej�æ z trzech kierunków: (1) Kryteriów informacyj-nych, (2) Zasobów IT, (3) Procesów IT. Dla przyk³adu, kierownictwo biznesowe mo¿e chcieæ spojrzeæz punktu widzenia kryteriów jako�ci, rzetelno�ci lub bezpieczeñstwa (zawartych w Framework jakosiedem specyficznych kryteriów informacyjnych). Kierownik IT, z drugiej strony, mo¿e chcieæ rozwa-¿aæ zasoby IT, za które odpowiada. W³a�ciciele procesów, specjali�ci IT i u¿ytkownicy mog¹ byæszczególnie zainteresowani konkretnymi procesami i/lub dzia³aniami/zadaniami. Audytorzy mog¹

sam¹ siebie, ¿e informacje, które pozyskuje wykazuj¹ potrzebne charakterystyki? Potrzebuje solidnejkonstrukcji Celów Kontrolnych IT. Kolejny diagram ilustruje tê koncepcjê.

Dodatek II

COBIT

116

chcieæ u¿yæ Framework z kontrolnego punku widzenia. Te trzy punkty widzenia s¹ zilustrowane przezsze�cian COBIT.

Pro

cesy

IT

Kryteria informacji

Zasoby IT

Domena

Procesy

Dzia³ania

Jakoœæ

Wiarygodnoœæ

Bezpieczeñstwo

Aplik

acje

Technolo

gia

Urz

¹dzenia

Dane

Ludzie

U¿ywaj¹c powy¿szej konstrukcji, domeny s¹ zidentyfikowane przez u¿ycie nazewnictwa stosowane-go podczas codziennych dzia³añ w organizacji � a nie ¿argonu audytorów. Dlatego wyró¿niono czteryszerokie domeny: planowanie i organizacja, nabywanie i wdra¿anie, dostarczanie i obs³uga, monitoro-wanie. W ogólnej klasyfikacji definicje s¹ nastêpuj¹ce:

Domena ta pokrywa strategiê i taktykê, i rozwa¿a identyfikacjê sposobu w jaki ITmo¿e najlepiej przyczyniaæ siê do osi¹gania celów biznesowych. Co wiêcej, realizacjawizji strategicznych powinna byæ zaplanowana, przedstawiona i zarz¹dzana z ró¿nychperspektyw. Ostatecznie, musi byæ stosowana zarówno w³a�ciwa organizacja, jak iw³a�ciwa infrastruktura technologiczna.

Aby zrealizowaæ strategiê IT, mo¿liwe rozwi¹zania w IT powinny byæ okre�lone,opracowane lub nabyte, oraz wdro¿one do procesów biznesowych.Dodatkowo, domena ta obejmuje tak¿e zmiany i utrzymywanie istniej¹cych syste-mów, dla zapewnienia kontynuacji ich cyklu ¿yciowego.

Ta domena koncentruje siê na bie¿¹cym dostarczaniu wymaganych us³ug, które roz-ci¹gaj¹ siê od tradycyjnych operacji, poprzez bezpieczeñstwo i zagadnienie ci¹g³o�cidzia³ania do szkoleñ. Aby zapewniæ dostawê us³ug nale¿y okre�ilæ proces jej wspar-cia. Ta domena obejmuje bie¿¹ce przetwarzanie danych przez systemy aplikacyjne,czêsto klasyfikowane w ramach kontroli aplikacji.

Dodatek II

Planowaniei organizacja

Nabywaniei wdra¿anie

Dostarczaniei obs³uga


117

Wszystkie procesy IT powinny byæ ci¹gle i regularnie oceniane, ze wzglêdu na ichjako�æ i zgodno�æ z wymaganiami kontrolnymi. Dlatego domena ta dotyczy niedopa-trzeñ kierownictwa w procesie kontrolnym organizacji oraz uzyskania niezale¿negozapewnienia, dostarczonego ze strony audytu wewnêtrznego i zewnêtrznego lub pozy-skanego ze �róde³ alternatywnych.

Podsumowuj¹c, w celu dostarczenia informacji, które s¹ potrzebne organizacji do osi¹gniêcia jejcelów, zasoby IT powinny byæ zarz¹dzane poprzez zbiór naturalnie pogrupowanych procesów. Poni¿-szy rysunek ilustruje tê koncepcjê.

Nale¿y zauwa¿yæ, ¿e te procesy mog¹ byæ stosowane na ró¿nych poziomach organizacji. Na przyk³ad,niektóre z tych procesów bêd¹ stosowane na poziomie korporacyjnym, inne na poziomie funkcji us³uginformatycznych, inne na poziomie w³a�cicieli procesów biznesowych, itp.

Nale¿y tak¿e zauwa¿yæ, ¿e kryterium efektywno�ci procesów, w ramach których planuje siê b¹d�dostarcza rozwi¹zañ dla wymagañ biznesowych, bêdzie czasami pokrywa³o siê z kryteriami dostêpno-�ci, integralno�ci i poufno�ci � które sta³y siê wymaganiami biznesowymi. Na przyk³ad, proces�Okre�lanie rozwi¹zañ� musi byæ efektywny w spe³nianiu wymagañ dostêpno�ci, integralno�ci ipoufno�ci.

Jest oczywiste, ¿e wszystkie miary kontrolne bêd¹ niekoniecznie w tym samym stopniu spe³nia³yró¿ne wymagania biznesowe wobec informacji.

* podstawowy to jest stopieñ, przy którym zdefiniowany cel kontrolny bezpo�rednio wp³ywana rozwa¿ane wymaganie informacyjne

* drugorzêdny to jest stopieñ, przy którym zdefiniowany cel kontrolny wp³ywa w mniejszymzakresie lub w sposób nie bezpo�redni na rozwa¿ane wymaganie informacyjne

* brak cel kontrolny mo¿e mieæ zastosowanie, jednak¿e wymagania s¹ spe³nione wbardziej odpowiedni sposób przez inne kryteria w tym procesie i/lub innymprocesie.

Podobnie, nie wszystkie �rodki kontroli koniecznie bêd¹ wp³ywaæ na ró¿ne zasoby IT w tym samymstopniu. Dlatego COBIT Framework specjalnie wskazuje na zastosowanie zasobów IT, które s¹ specy-ficznie zarz¹dzane przez rozwa¿any proces (nie te, które tylko bior¹ udzia³ w procesie). Tê klasyfika-cjê wprowadzono do COBIT Framework na podstawie tak samo rygorystycznego procesu pobieraniadanych od badaczy, ekspertów i recenzentów, u¿ywaj¹cych wskazanych wcze�niej �cis³ych definicji.

COBITT FRAMEWORK

Framework zosta³ ograniczony do ogólnych celów kontrolnych sformu³owanych w postaci potrzebybiznesowej, w ramach okre�lonego procesu IT. Osi¹gniêcie tych celów jest mo¿liwe dziêki sformu³o-waniu zadania kontrolnego do realizacji, które bierze pod uwagê potencjalnie mo¿liwe do zastosowa-nia praktyki kontrolne.

Dodatek II

Monitorowanie

COBIT

118

Cele kontrolne IT zosta³y uporz¹dkowane poprzez procesy. Natomiast wskazówki do poruszania siêpo Framework umo¿liwiaj¹ podej�cie nie tylko z punktu widzenia samego procesu, ale równie¿podej�cie mieszane lub ogólne, takie jak inicjacja procesu, ogólna odpowiedzialno�æ kierownictwa zaproces i u¿ycie zasobów IT w procesie.

Nale¿y równie¿ zauwa¿yæ, ¿e cele kontolne IT zosta³y zdefiniowane w sposób uniwersalny tzn.niezale¿ny od platformy technologicznej, ale uwzglêdniaj¹cy fakt, ¿e niektóre specyficzne �rodowiskatechnologiczne mog¹ wymagaæ zastosowania oddzielnych celów kontrolnych.

Dodatek II


119

COBIT I ZRÓWNOWA¯ONA KARTA WYNIKÓW BIZNESOWYCH

COBIT Struktura (Framework) stwierdza, ¿e IT umo¿liwia biznes dostarczaj¹c informacji, którychpotrzebuje biznes. Cel IT jest zatem mierzony przez przegl¹danie zawartych w COBIT StrukturzeKryteriów Informacyjnych COBIT.

Dodatek III

¯adne z tych kryteriów nie bêdzie tak samo wa¿ne. Ich wa¿no�æ zale¿y od biznesu przedsiêbiorstwa iokre�lonego procesu, któremu siê przygl¹damy. Wzglêdna wa¿no�æ kryteriów (przedstawionych napowy¿szym mini wykresie) wyra¿a oczekiwania biznesu, a zatem s¹ one celem IT, który tym samymumo¿liwia biznes. Te zasady mierzenia wyników i wydajno�ci s¹ wbudowane w Zrównowa¿on¹ KartêWyników Biznesowych i by³y u¿ywane do opracowania Wytycznych Zarz¹dzania.

Miary wydajno�ci czynników umo¿liwiaj¹cych staj¹ siê celem dla IT, który z kolei bêdzie mia³ szeregczynników umo¿liwiaj¹cych. Mog¹ nimi byæ domeny COBIT. Tutaj znowu miary mog¹ byæ u³o¿onekaskadowo, miary wydajno�ci domeny staj¹ siê celem dla procesu.

l skuteczno�æl wydajno�æl poufno�æl integralno�æl dostêpno�æl zgodno�æl rzetelno�æ

Kryteria Informacyjne Zrównowa¿ona KartaWyników Biznesowych


pomiary(wyników)


COBIT

120

Innym sposobem przygl¹dania siê temu jest wyj�cie od Zrównowa¿onej Karty Wyników Bizneso-wych i jego 4 wymiarów, i nastêpnie, wziêcie pod uwagê tego, ¿e IT umo¿liwia biznes bêd¹c monito-rowane przy pomocy strategicznej Zrównowa¿onej Biznesowej Karty Wyników IT. Dostarczaniecelów strategicznych IT jest zwykle zapewnione przez dwie odrêbne domeny odpowiedzialno�ci wprzedsiêbiorstwie, i prowadzi do Karty Wyników Rozwoju i Karty Wyników Operacyjnych.

Teraz mo¿emy ³atwo wskazaæ 4 domeny IT, które COBIT Struktura wprowadzi³ do tych kart wyników.Planowanie i organizowanie (PO) dostarcza miar do strategicznej Zrównowa¿onej Biznesowej KartyWyników IT, Nabywanie i wdra¿anie (AI) dostarcza tego samego dla Karty Wyników Rozwoju,podczas gdy Dostarczanie i wspieranie (DS) wspiera Kartê Wyników Operacyjnych. Nadrzêdnawobec tych domen jest domena Monitorowanie (MO), która zapewnia poprzez nadzór kierowniczy iopomiarowanie, poprzez audyt i poprzez zapewnienie, ca³e zarz¹dzanie IT w przedsiêbiorstwie.

MO

PO AI

DS

Dodatek III


121

D O D A T E K I V

Dodatek IV

COBIT

122

OGÓLNE (WZORCOWE) WSKAZÓWKI

ZARZ¥DZANIA PROCESEM

Kontrola procesu IT i jego dzia³añ przy okre�lonych celachbiznesowych

l wyniki dzia³ania IT s¹ mierzone przy wykorzystaniu terminówfinansowych, uwzglêdniaj¹c satysfakcjê klienta, dla zapewnieniaefektywno�ci procesu i przysz³ych zdolno�ci wytwórczych, akierownictwo IT jest wynagradzane w oparciu o te wielko�ci

l procesy s¹ zestrojone ze strategi¹ IT i celami biznesowymi; s¹one skalowalne, a ich zasoby s¹ odpowiednio zarz¹dzane iwywierany jest na nie w³a�ciwy wp³yw

l ka¿da osoba zaanga¿owana w proces jest ukierunkowana na cel iposiada odpowiednie informacje na temat klientów, procesówwewnêtrznych oraz konsekwencji swoich decyzji

l ustalona jest kultura biznesowa, zachêcaj¹ca do wspó³pracymiêdzywydzia³owej i pracy zespo³owej, a tak¿e do ci¹g³egoudoskonalania procesu

l stosowane s¹ praktyki kontrolne, aby polepszyæ przejrzysto�æ,zmniejszyæ skomplikowanie, promowaæ szkolenie siê, umo¿li-wiaæ elastyczno�æ i skalowalno�æ

l w ramach organizacji cele i zamierzenia s¹ zakomunikowane i zrozumianel wiadomo jak wdro¿yæ i monitorowaæ cele procesu oraz kto jest

odpowiedzialny za wyniki dzia³ania procesul widoczne s¹ ci¹g³e wysi³ki zmierzaj¹ce do poprawienia jako�ci procesul jest jasno okre�lone kim s¹ klienci procesul spe³nione jest wymaganie dotycz¹ce jako�ci personelu (szkolenie,

przep³yw informacji, morale, itp.) i dostêpno�ci umiejêtno�ci(rekrutacja, utrzymanie, ponowne szkolenie)





P skuteczno�æ

P wydajno�æ

poufno�æ

P integralno�æ

P dostêpno�æ

zgodno�æ

S rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

ü dane

Zasoby IT

l zwiêkszony poziom dostarczania us³ugl liczba obs³u¿onych klientów i koszt na

jednego obs³u¿onego kliental dostêpno�æ systemów i us³ugl brak zagro¿eñ integralno�ci i poufno�cil kosztowa wydajno�æ procesów i operacjil wzmocnienie (potwierdzenie) rzetelno�ci i

efektywno�cil stosowanie siê do kosztów i terminów rozwojul kosztowa wydajno�æ procesul wydajno�æ i morale personelul liczba zmian w procesach i systemachl liczba zmian wykonanych na czas w procesach

i systemachl zwiêkszona wydajno�æ (tj. warto�ci dostarczo-

ne na jednego pracownika)


l czas wy³¹czeñ systemul przepustowo�æ i czas odpowiedzil liczba b³êdów i powtórnych dzia³añl liczba personelu przeszkolonego w nowej

technologii i umiejêtno�ciach obs³ugi kliental porównania z wzorcamil liczba raportowanych niezgodno�cil skrócenie czasu rozwoju i przetwarzania


Dodatek IV


123

Ogólny (wzorcowy) model dojrza³o�ciprocesuKontrola procesu IT i jego dzia³añ przy okre�lo-nych celach biznesowych

0. Nieistniej¹cy. Wystêpuje zupe³ny brak rozpoznawalne-go procesu. Organizacja nawet nie rozpozna³a, ¿eistnieje jakie� zagadnienie, którym nale¿y siê zaj¹æ.

1. Pocz¹tkuj¹cy / ad hoc. Istnieje dowód, ¿e organizacjarozpozna³a, ¿e istniej¹ zagadnienia do rozpatrzenia.Jednak¿e nie ma zestandaryzowanych procesów, zamiasttego wystêpuje podej�cie ad hoc prowadz¹ce doindywidualnych sytuacji i przypadkowego dzia³ania.Podej�cie kierownictwa jest chaotyczne i wystêpujejedynie sporadyczna i niespójna komunikacja dotycz¹caproblemów i mo¿liwych wariantów ich rozwi¹zania.

2. Powtarzalny, lecz intuicyjny. Istnieje ogólnie �wiadomo�ædotycz¹ca zagadnieñ. Procesy rozwinê³y siê do stanu, wktórym podobne, choæ nieformalne i intuicyjne procedurys¹ wykonywane przez ró¿nych pracowników wykonuj¹-cych te same zadania, dla których pojawiaj¹ siê wspólnenarzêdzia. W zwi¹zku z tym, procesy te s¹ powtarzalne iniektóre z nich zaczynaj¹ byæ monitorowane. Nie maformalnego szkolenia, przekazywanie wiedzy na tematstandardowych procedur i odpowiedzialno�ci jest pozosta-wione poszczególnym pracownikom. Wystêpuje silnazale¿no�æ od wiedzy poszczególnych pracowników idlatego pope³nianie b³êdów jest prawdopodobne. Jednak¿e,istnieje spójna komunikacja na temat ogólnych zagadnieñ ipotrzeb ich rozwi¹zania.

3. Proces zdefiniowany. Potrzeba dzia³ania jest zrozumianai zaakceptowana. Procedury zosta³y zestandaryzowane,udokumentowane i wdro¿one. S¹ one przekazywane, anieformalne szkolenie zosta³o ustalone. Procedury nie s¹zbyt wyrafinowane i s¹ formalizacj¹ istniej¹cych praktyk.Narzêdzia s¹ zestandaryzowane, z zastosowaniemobecnie wystêpuj¹cych technik. Specjali�ci IT s¹zaanga¿owani w t¹ formalizacjê, lecz wewnêtrznispecjali�ci spoza IT uczestnicz¹ w tych dzia³aniachokazjonalnie. Jednak¿e w gestii poszczególnych pracow-ników jest potwierdzanie szkolenia, postêpowaniezgodnie ze standardami i ich wykorzystanie. Wiêkszo�æprocesów jest monitorowana wzglêdem pewnych miar,lecz ¿adne odchylenia, w nastêpstwie których dzia³aniepozostaje w gestii poszczególnych pracowników, nie bêd¹prawdopodobnie wykryte przez kierownictwo. Dog³êbnaanaliza przyczyn jest stosowana okazjonalnie.

4. Zarz¹dzany i mierzalny. Wystêpuje pe³ne zrozumieniezagadnieñ na wszystkich poziomach organizacyjnych,wspomagane przez formalne szkolenie. Odpowiedzialno�ci s¹jasno okre�lone, a w³asno�æ procesów jest ustalona. Mo¿liwejest monitorowanie i mierzenie zgodno�ci z procedurami imiarami procesów oraz podejmowanie dzia³añ, je�li procesywydaj¹ siê dzia³aæ niewydajnie i nieefektywnie. Dzia³ania s¹podejmowane w wielu, lecz nie wszystkich przypadkach.Miary wydajno�ci s¹ ci¹gle zdominowane przez tradycyjnemiary finansowe i operacyjne, ale nowe kryteria s¹ stopniowowdra¿ane. Procesy s¹ okazjonalnie poprawiane i wzmacniaj¹najlepsze praktyki wewnêtrzne. Dog³êbna analiza przyczynjest w trakcie standaryzacji. Pojawia siê proces ci¹g³egousprawniania. Praktyki kontrolne staja siê coraz czê�ciejprzejrzyste, elastyczne i skalowalne. Wystêpuje ograniczone,g³ównie taktyczne stosowanie technologii, oparte na dojrza-³ych technikach i mocnych, standardowych narzêdziach.Strategia IT jest coraz czê�ciej zestrojona ze strategi¹ firmy.Wystêpuje zaanga¿owanie wszystkich niezbêdnych ekspertówwewnêtrznych.

5. Zoptymalizowany. Wystêpuje, zaawansowane i uwzglêd-niaj¹ce przysz³e potrzeby, zrozumienie problemów irozwi¹zañ. Szkolenie i komunikacja jest wspomagananajnowszymi koncepcjami i technikami. Cele i zamierzenias¹ zakomunikowane w ramach organizacji, z u¿yciem KGI(Kluczowych Wska�ników Celu), CSF (KrytycznychCzynników Sukcesu) i KPI (Kluczowych Wska�nikówWydajno�ci) wykorzystywanych do monitorowaniaosi¹ganych rezultatów. Procesy zosta³y udoskonalone dopoziomu najlepszej zewnêtrznej praktyki, w oparciu orezultaty ci¹g³ego usprawniania i modelowania dojrza³o�ciwykorzystuj¹c porównanie z innymi organizacjami.Doprowadzi³o to organizacjê, ludzi i procesy do stanu, wktórym mog¹ siê szybko adaptowaæ. Strategia IT jest wpe³ni zestrojona ze strategi¹ firmy, a kultura biznesowa jestustanowiona tak, aby anga¿owaæ organizacjê IT wudoskonalanie procesów biznesowych i tworzenie nowychmo¿liwo�ci biznesowych. Wszystkie problemy i odstêp-stwa s¹ analizowane dla ustalenia przyczyn, a wydajnedzia³anie jest wskazane i zainicjowane. IT jest stosowana wintensywny, zintegrowany i zoptymalizowany sposób, abystrategicznie wp³ywaæ na technologiê dla zautomatyzowa-nia przep³ywu zadañ i dostarczenia narzêdzi podnosz¹cychjako�æ i efektywno�æ. W celu uzyskania wskazówekwykorzystuje siê zewnêtrznych ekspertów oraz kryteriaporównawcze. Praktyki kontrolne s¹ wzmocnione i ci¹glepoprawiane. Miary wydajno�ci IT wykorzystuj¹ kryteriafinansowe, zadowolenie klienta, efektywno�æ operacji irozwój przysz³ego potencja³u. System wynagrodzeñ ITzawiera zachêty do osi¹gania celów firmy

T

Dodatek IV

COBIT

124



125

D O D A T E K V

Dodatek V

COBIT

126

WYTYCZNE ZARZ¥DCZE

DLA ZARZ¥DZANIA ITZarz¹dzanie IT i jej procesami powoduj¹ce dodanie warto�ci jakocel biznesowy, przy równowa¿eniu ryzyka w stosunku do zwrotuz inwestycji

Dodatek V

l Dzia³ania zarz¹dcze IT s¹ zintegrowane z procesem zarz¹dczymfirmy i postêpowaniem przywódczym

l Zarz¹dzanie IT skupia siê na celach firmy, strategicznychinicjatywach, u¿yciu technologii usprawniaj¹cej biznes oraz nadostêpno�ci odpowiednich zasobów i mo¿liwo�ci spe³nieniawymagañ biznesowych

l Dzia³ania zarz¹dcze IT s¹ zdefiniowane z jasno okre�lonymcelem, s¹ udokumentowane i wdro¿one, oparte na potrzebachfirmy i z jednoznacznie okre�lon¹ odpowiedzialno�ci¹

l Praktyki zarz¹dzania, zwiêkszaj¹ce sprawne i optymalne u¿yciezasobów oraz zwiêkszaj¹ce skuteczno�æ procesów IT

l Praktyki organizacyjne umo¿liwiaj¹ce: znacz¹cy nadzór; �rodo-wisko/kulturê kontroln¹; ocenê ryzyka jako standardow¹ prakty-kê; stopieñ zgodno�ci z ustanowionymi standardami; monitoro-wanie i postêpowanie naprawcze dotycz¹ce s³abo�ci i ryzykakontroli

l Praktyki kontrolne unikaj¹ce niedopatrzeñ kontroli wewnêtrznej inadzoru

l Integracja i g³adkie wspó³dzia³anie pomiêdzy bardziej z³o¿onymiprocesami takimi , jak zarz¹dzanie problemami, zmianami ikonfiguracj¹

l Komitet audytowy wyznaczaj¹cy i nadzoruj¹cy niezale¿nychaudytorów, steruj¹cy planem audytu IT oraz przegl¹daj¹cyrezultaty audytu i opinie stron trzecich





P skuteczno�æ

P wydajno�æ

poufno�æ

P integralno�æ

P dostêpno�æ

zgodno�æ

S rzetelno�æ


ü ludzie

ü aplikacje

ü technologia

ü urz¹dzenia

ü dane

Zasoby IT

l Ulepszone zarz¹dzanie wykonaniem i kosztamil Poprawiony zwrot z g³ównych inwestycji ITl Ulepszone zarz¹dzanie jako�ci¹, innowacyjno-

�ci¹ i ryzykieml Odpowiednio zintegrowane i zestandaryzowa-

ne procesy biznesowel Zdobywanie nowych klientów i satysfakcjono-

wanie dotychczasowych klientówl Dostêpno�æ odpowiednio szerokiej mocy oblicze-

nio wej i mechanizmów IT dostarczania wynikówl Spe³nianie wymagañ i oczekiwañ klienta

procesu w ramach okre�lonego bud¿etu i czasul Zgodno�æ z prawem, regulacjami, standardami

przemys³owymi i zobowi¹zaniami wynikaj¹-cymi z umów

l Przejrzysto�æ w podejmowaniu ryzyka izgodno�æ z profilem ryzyka uzgodnionym wramach organizacji

l Porównania dotycz¹ce dojrza³o�ci zarz¹dzania ITl Tworzenie nowych kana³ów dystrybucyjnych

dla us³ug


l Poprawiony wska�nik koszt-sprawno�æ procesówIT (koszt w stosunku do dostarczonych rezultatów)

l Zwiêkszona liczba planów dzia³ania ITdotycz¹cych inicjatyw usprawniania procesów

l Zwiêkszone wykorzystanie infrastruktury ITl Zwiêkszona satysfakcja udzia³owców (ocena

przez badanie i liczba reklamacji)l Poprawiona wydajno�æ personelu (liczba dostarczo-

nych rezultatów) i morale (ocena przez badanie)l Zwiêkszona dostêpno�æ wiedzy i informacji

dla zarz¹dzania firmal Zwiêkszone powi¹zanie pomiêdzy zarz¹dza-

niem firm¹ i ITl Zwiêkszona sprawno�æ (wydajno�æ) mierzona

za pomoc¹ zrównowa¿onej karty wyników IT



127

Dodatek V

Model Dojrza³o�ci Zarz¹dzania ITZarz¹dzanie IT i jej procesami powoduj¹ce dodaniewarto�ci jako cel biznesowy, przy równowa¿eniuryzyka w stosunku do zwrotu z inwestycji

0. Nieistniej¹cy. Wystêpuje zupe³ny brak rozpoznawalne-go procesu. Organizacja nawet nie rozpozna³a, ¿e jestjakie� zagadnienie, którym nale¿y siê zaj¹æ.

1. Pocz¹tkuj¹cy / ad hoc. Istnieje dowód, ¿e organizacjarozpozna³a, ¿e istniej¹ zagadnienia do rozpatrzenia.Jednak¿e nie ma zestandaryzowanych procesów, zamiasttego wystêpuje podej�cie ad hoc prowadz¹ce doindywidualnych sytuacji i przypadkowego dzia³ania.Podej�cie kierownictwa jest chaotyczne i wystêpujejedynie sporadyczna i niespójna komunikacja dotycz¹caproblemów i mo¿liwych wariantów ich rozwi¹zania.Mo¿e wystêpowaæ potwierdzenie wychwytywaniawarto�ci IT w dzia³aniu, zorientowanych na wyniki,zwi¹zanych procesów firmy. Nie istnieje standardowyproces oceny. Monitoring IT jest zastosowany jedyniejako reakcja na wypadki powoduj¹ce jak¹� stratê lubproblem dla organizacji.

2. Powtarzalny, lecz intuicyjny. Istnieje ogólna �wiado-mo�æ dotycz¹ca zagadnieñ. Dzia³ania zarz¹dcze IT iwska�niki wydajno�ci s¹ w trakcie rozwoju, z uwzglêd-nieniem procesów planowania, dostarczania i monitoro-wania. Jako czê�æ tych wysi³ków, dzia³ania zarz¹dcze ITs¹ formalnie wprowadzone w proces zarz¹dzaniazmianami w organizacji, z aktywnym udzia³em inadzorem wy¿szego kierownictwa. Wybrane procesy ITs¹ zidentyfikowane dla ulepszania i/lub kontrolowaniag³ównych procesów firmy, s¹ skutecznie zaplanowane imonitorowane jako inwestycje i wywodz¹ siê zezdefiniowanej architektury IT. Kierownictwo zidentyfi-kowa³o podstawowe miary zarz¹dzania IT oraz metody itechniki oceny, jednak¿e ten proces nie zosta³ zastoso-wany w ramach ca³ej organizacji. Nie jest prowadzoneformalne szkolenie i komunikacja na temat standardówzarz¹dzania, a odpowiedzialno�æ jest pozostawionaposzczególnym pracownikom. Wystêpuje indywidualnezarz¹dzanie w ramach ró¿nych projektów i procesów IT.W ograniczonym zakresie wybrano narzêdzia zarz¹dza-nia i zastosowano je dla zbierania metryk zarz¹dzania,lecz mog¹ nie byæ u¿yte w pe³nym wymiarze swoichmo¿liwo�ci z powodu braku wiedzy dotycz¹cej ichfunkcjonalno�ci.

3. Proces zdefiniowany. Potrzeba dzia³ania w odniesieniudo zarz¹dzania IT jest zrozumiana i zaakceptowana.

Ustalony jest podstawowy zestaw wska�ników dotycz¹-cych zarz¹dzania IT, w którym po³¹czenia pomiêdzymiarami wyników a czynnikami wp³ywaj¹cymi nawydajno�æ s¹ zdefiniowane, udokumentowane izintegrowane w procesy planowania strategicznego ioperacyjnego oraz proces monitorowania. Proceduryzosta³y zestandaryzowane, udokumentowane i wdro¿o-ne. Kierownictwo zakomunikowa³o zestandaryzowaneprocedury, a nieformalne szkolenie jest ustalone.Wska�niki wydajno�ci dla wszystkich dzia³añ zarz¹d-czych dotycz¹cych IT s¹ rejestrowane i obserwowane,prowadz¹c do usprawnieñ ca³ej firmy. Pomimo, ¿e s¹mo¿liwe do mierzenia, procedury nie s¹ zbyt wyrafino-wane, ale wystêpuje formalizacja istniej¹cych praktyk.Narzêdzia s¹ zestandaryzowane, stosuj¹c obecniedostêpne techniki. Idea Zrównowa¿onej Karty WynikówBiznesowych IT zosta³a przyjêta w ramach organizacji.Jednak¿e w gestii poszczególnych pracownikówpozostawiono szkolenie siê, �ledzenie standardów ipostêpowanie zgodnie nimi. Dog³êbna analiza przyczynjest stosowana jedynie okazjonalnie. Wiêkszo�æprocesów jest monitorowana w porównaniu z kilkoma(podstawowymi) metrykami, lecz ¿adne odchylenia, wnastêpstwie których dzia³anie pozostaje w gestiiposzczególnych pracowników, nie bêd¹ prawdopodob-nie wykryte przez kierownictwo. Niemniej jednak,ca³o�ciowa odpowiedzialno�æ za wydajno�æ kluczowychprocesów jest jasno okre�lona, a kierownictwo jestwynagradzane w oparciu o kluczowe miary wydajno�ci.

4. Zarz¹dzany i mierzalny. Wystêpuje pe³ne zrozumieniezagadnieñ na wszystkich poziomach organizacyjnych,wspomagane przez formalne szkolenie. Wystêpuje jasnozrozumienie kto jest klientem, a odpowiedzialno�æ jestzdefiniowana i monitorowana z wykorzystaniem umówo poziomie us³ug (ang. SLA - Service Level Agre-ements). Odpowiedzialno�æ jest jasno okre�lona,w³asno�æ procesów jest ustalona. Procesy IT s¹ zestrojo-ne z biznesem i strategi¹ IT. Ulepszanie procesów IT jestzasadniczo oparte na zrozumieniu jako�ciowym i jestmo¿liwe monitorowanie i pomiar zgodno�ci z procedu-rami i metrykami procesu. Wszyscy uczestnicy procesus¹ �wiadomi ryzyka, znaczenia IT i mo¿liwo�ciami,które oferuje. Kierownictwo zdefiniowa³o marginesytolerancji w granicach których proces musi dzia³aæ.Podejmowane jest dzia³anie w wielu, lecz nie wewszystkich przypadkach, gdy proces wydaje siê niedzia³aæ sprawnie i skutecznie. Czasami procesy s¹ulepszane, a najlepsze praktyki wewnêtrzne s¹ wprowa-dzane w ¿ycie. Nastêpuje standaryzacja dog³êbnej

COBIT

128

analizy przyczyn. Rozpoczyna siê podnoszenie kwestiici¹g³ego usprawniania. Wystêpuje ograniczone, g³ównietaktyczne, u¿ycie technologii, oparte na dojrza³ychtechnikach i wprowadzonych w ¿ycie standardowychnarzêdziach. Wystêpuje zaanga¿owanie wszystkichniezbêdnych ekspertów wewnêtrznych. Zarz¹dzanie ITprzekszta³ca siê w proces ogólno-organizacyjny.Dzia³ania zarz¹dcze IT staj¹ siê zintegrowane z proce-sem zarz¹dzania firm¹.

5. Zoptymalizowany. Wystêpuje zaawansowane iuwzglêdniaj¹ce przysz³e potrzeby zrozumienie proble-mów i rozwi¹zañ. Szkolenie i komunikacja jest wspoma-gana najnowszymi koncepcjami i technikami. Procesyzosta³y udoskonalone do poziomu najlepszej zewnêtrz-nej praktyki, w oparciu o rezultaty ci¹g³ego usprawnia-nia i modelowania dojrza³o�ci wykorzystuj¹c porówna-nie z innymi organizacjami. Wdro¿enie polityk dopro-wadzi³o do sytuacji, w której organizacja, ludzie i

Dodatek V

procesy szybko siê adaptuj¹ i w pe³ni wspieraj¹ wyma-gania zarz¹dcze IT. Wszystkie problemy i odstêpstwa s¹analizowane dla ustalenia przyczyn, a wydajne dzia³aniejest wskazane i zainicjowane. IT jest stosowana wintensywny, zintegrowany i zoptymalizowany sposób,aby strategicznie wp³ywaæ na technologiê dla zautoma-tyzowania przep³ywu zadañ i dostarczenia narzêdzipodnosz¹cych jako�æ i efektywno�æ. Ryzyko i zwrot (nainwestycjach) IT jest zdefiniowane, zrównowa¿one izakomunikowane w ramach ca³ej organizacji. W celuuzyskania wskazówek wykorzystuje siê zewnêtrznychekspertów oraz kryteria porównawcze. Monitorowanie,samoocena i komunikacja na temat oczekiwañ zarz¹dus¹ wszechobecne w ramach organizacji oraz wystêpujeoptymalne u¿ycie technologii dla wsparcia pomiarów,analizy, komunikacji i szkolenia. Zarz¹dzanie firm¹ izarz¹dzanie IT jest po³¹czone strategicznie, wp³ywaj¹cna technologiê oraz zasoby ludzkie i finansowe w celuzwiêkszenia konkurencyjnych zalet firmy.


129

Documents

Wydanie trzecie Wytyczne Zarz„dzania - Audyt.com · COBIT ﬁ Wydanie trzecie ... international set of generally accepted information technology control objectives for day-to-day