4.1. Metodyka. Cele kontrolne. Wytyczne zarządzania. Modele dojrzałości. Sponsorzy tłumaczenia: Deloitte, Ernst&Young, Grupa Allegro, KPMG

Wielkość: px
Rozpocząć pokaz od strony:

Download "4.1. Metodyka. Cele kontrolne. Wytyczne zarządzania. Modele dojrzałości. Sponsorzy tłumaczenia: Deloitte, Ernst&Young, Grupa Allegro, KPMG"

Transkrypt

1 4.1 Metodyka Cele kontrolne Wytyczne zarządzania Modele dojrzałości Sponsorzy tłumaczenia: Deloitte, Ernst&Young, Grupa Allegro, KPMG

2 CobiT 4.1 IT Governance Institute Instytut IT Governance Institute (ITGI TM ) ( powstał w 1998 roku, aby rozwijać międzynarodowe koncepcje i standardy dotyczące kierowania i sprawowania kontroli nad technologią informatyczną (IT) w przedsiębiorstwach. Efektywny nadzór informatyczny pomaga sprawić, by technologia informatyczna wspierała cele biznesowe, pozwala optymalizować inwestycje w IT oraz odpowiednio zarządzać ryzykiem i możliwościami dotyczącymi IT. Instytut ITGI oferuje dostęp do unikalnych badań, zasobów elektronicznych oraz studiów przypadków, aby pomóc osobom kierującym przedsiębiorstwami w sprawowaniu nadzoru informatycznego. Zastrzeżenie Instytut ITGI ( Wydawca ) opracował i wydał tę publikację, noszącą tytuł CobiT 4.1 ( Opracowanie ), głównie jako materiał edukacyjny przeznaczony dla dyrektorów ds. informatyki (CIO), wyższej kadry zarządzającej, osób kierujących działami IT oraz specjalistów ds. kontroli. Wydawca nie gwarantuje, że zastosowanie się do jakichkolwiek wskazówek zawartych w Opracowaniu zapewni korzystne rezultaty. Należy zakładać, że Opracowanie może nie zawierać wszystkich poprawnych informacji, procedur i testów, które są odpowiednio ukierunkowane na uzyskanie takich samych rezultatów. Aby określić stosowność określonych informacji, procedur lub testów, dyrektorzy ds. informatyki (CIO), wyższa kadra zarządzająca, osoby kierujące działami IT i specjaliści ds. kontroli powinni kierować się własną oceną specyficznych warunków działania konkretnych systemów lub środowisk IT. Publikacja Copyright 2007 IT Governance Institute. Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być używana, kopiowana, powielana, modyfikowana, rozpowszechniana, wyświetlana, przechowywana w systemie wyszukiwania i udostępniania informacji ani nadawana w żadnej formie ani przy użyciu żadnych środków (elektronicznych, mechanicznych, poprzez fotokopiowanie, nagrywanie itp.) bez uprzedniej pisemnej zgody instytutu ITGI. Dozwolone jest powielanie wybranych części publikacji wyłącznie do wewnętrznego, niekomercyjnego lub akademickiego użytku pod warunkiem zachowania wszystkich cech wskazujących na źródło materiału. W odniesieniu do niniejszej publikacji nie udziela się żadnych innych praw ani pozwoleń. Polityka jakości Niniejsze Dzieło zostało przełożone na język polski z angielskiej wersji CobiT 4.1 przez Warszawski Oddział ISACA (Stowarzyszenie Audytu, Bezpieczeństwa i Kontroli Systemów Informacyjnych) za zgodą ISACA. ISACA Warszawa bierze na siebie wyłączną odpowiedzialność za wierność i dokładność tłumaczenia. Prawo autorskie 2010 ISACA ( ISACA ). Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być użyta, powielana, odtwarzana, zmieniana, rozpowszechniana, ujawniana, przechowywana w jakimkolwiek systemie przechowywania danych, ani przekazywana w jakiejkolwiek formie (drogą elektroniczną, metodą mechaniczną, kserograficzną, poprzez nagrywanie, ani w żaden inny sposób) bez uprzedniej pisemnej zgody ISACA. Zrzeczenie się odpowiedzialności ISACA stworzyła CobiT 4.1 ( Dzieło ) głównie jako zasoby edukacyjne dla zawodowych kontrolerów. ISACA nie daje gwarancji, że Dzieło przyniesie oczekiwane rezultaty. Nie należy zakładać, że Dzieło zawiera wszystkie stosowne informacje, procedury i testy, ani że pomija inne informacje, procedury i testy, które dawałyby te same rezultaty. Aby stwierdzić poprawność danej informacji, procedury lub testu, kontrolerzy powinni odnieść się do własnego osądu okoliczności stwarzanych przez dany system lub środowisko technologii informacyjnej. Quality Statement This Work is translated into Polish from the English language version of COBIT 4.1 by the ISACA Warsaw Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of ISACA. The ISACA Warsaw Chapter assumes sole responsibility for the accuracy and faithfulness of the translation. Copyright 2010 ISACA ( ISACA ). All rights reserved. No part of this publication may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA. Disclaimer ISACA created COBIT 4.1 ( Work ) primarily as an educational resource for controls professionals. ISACA makes no claim that use of any of the Work will assure a successful outcome. The Work should not be considered inclusive of all proper information, procedures and tests or exclusive of other information, procedures and tests that are reasonably directed to obtaining the same results. In determining the propriety of any specific information, procedure or test, the controls professional should apply his or her own professional judgment to the specific circumstances presented by the particular systems or information technology environment. IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL USA Tel.: Faks: info@itgi.org Strona internetowa:

3 CobiT 4.1 Podziękowania IT Governance Institute pragnie złożyć podziękowania następującym osobom i instytucjom: Eksperci: autorzy i recenzenci Mark Adler, CISA, CISM, CIA, CISSP, Allstate Ins. Co., Stany Zjednoczone Peter Andrews, CISA, CITP, MCMI, PJA Consulting, Wielka Brytania Georges Ataya, CISA, CISM, CISSP, MSCS, PBA, Solvay Business School, Belgia Gary Austin, CISA, CIA, CISSP, CGFM, KPMG LLP, Stany Zjednoczone Gary S. Baker, CA, Deloitte & Touche, Kanada David H. Barnett, CISM, CISSP, Applera Corp., Stany Zjednoczone Christine Bellino, CPA, CITP, Jefferson Wells, Stany Zjednoczone John W. Beveridge, CISA, CISM, CFE, CGFM, CQA, Massachusetts Office of the State Auditor, Stany Zjednoczone Alan Boardman, CISA, CISM, CA, CISSP, Fox IT, Wielka Brytania David Bonewell, CISA, CISSP-ISSEP, Accomac Consulting LLC, Stany Zjednoczone Dirk Bruyndonckx, CISA, CISM, KPMG Advisory, Belgia Don Canilglia, CISA, CISM, Stany Zjednoczone Luis A. Capua, CISM, Sindicatura General de la Nación, Argentyna Boyd Carter, PMP, Elegantsolutions.ca, Kanada Dan Casciano, CISA, Ernst & Young LLP, Stany Zjednoczone Sean V. Casey, CISA, CPA, Stany Zjednoczone Sushil Chatterji, Edutech, Singapur Edward Chavannes, CISA, CISSP, Ernst & Young LLP, Stany Zjednoczone Christina Cheng, CISA, CISSP, SSCP, Deloitte & Touche LLP, Stany Zjednoczone Dharmesh Choksey, CISA, CPA, CISSP, PMP, KPMG LLP, Stany Zjednoczone Jeffrey D. Custer, CISA, CPA, CIA, Ernst & Young LLP, Stany Zjednoczone Beverly G. Davis, CISA, Federal Home Loan Bank of San Francisco, Stany Zjednoczone Peter De Bruyne, CISA, Banksys, Belgia Steven De Haes, University of Antwerp Management School, Belgia Peter De Koninck, CISA, CFSA, CIA, SWIFT SC, Belgia Philip De Picker, CISA, MCA, National Bank of Belgium, Belgia Kimberly de Vries, CISA, PMP, Zurich Financial Services, Stany Zjednoczone Roger S. Debreceny, Ph.D., FCPA, University of Hawaii, Stany Zjednoczone Zama Dlamini, Deloitte & Touche LLP, Republika Południowej Afryki Rupert Dodds, CISA, CISM, FCA, KPMG, Nowa Zelandia Troy DuMoulin, Pink Elephant, Kanada Bill A. Durrand, CISA, CISM, CA, Ernst & Young LLP, Kanada Justus Ekeigwe, CISA, MBCS, Deloitte & Touche LLP, Stany Zjednoczone Rafael Eduardo Fabius, CISA, Republica AFAP S.A., Urugwaj Urs Fischer, CISA, CIA, CPA (Swiss), Swiss Life, Szwajcaria Christopher Fox, ACA, PricewaterhouseCoopers, Stany Zjednoczone Bob Frelinger, CISA, Sun Microsystems Inc., Stany Zjednoczone Zhiwei Fu, Ph. D, Fannie Mae, Stany Zjednoczone Monique Garsoux, Dexia Bank, Belgia Edson Gin, CISA, CFE, SSCP, Stany Zjednoczone Sauvik Ghosh, CISA, CIA, CISSP, CPA, Ernst & Young LLP, Stany Zjednoczone Guy Groner, CISA, CIA, CISSP, Stany Zjednoczone Erik Guldentops, CISA, CISM, University of Antwerp Management School, Belgia Gary Hardy, IT Winners, Republika Południowej Afryki Jimmy Heschl, CISA, CISM, KPMG, Austria Benjamin K. Hsaio, CISA, Federal Deposit Insurance Corp., Stany Zjednoczone Tom Hughes, Acumen Alliance, Australia Monica Jain, CSQA, Covansys Corp., Stany Zjednoczone Wayne D. Jones, CISA, Australian National Audit Office, Australia John A. Kay, CISA, Stany Zjednoczone Lisa Kinyon, CISA, Countrywide, Stany Zjednoczone Rodney Kocot, Systems Control and Security Inc., Stany Zjednoczone Luc Kordel, CISA, CISM, CISSP, CIA, RE, RFA, Dexia Bank, Belgia Linda Kostic, CISA, CPA, Stany Zjednoczone John W. Lainhart IV, CISA, CISM, IBM, Stany Zjednoczone Philip Le Grand, Capita Education Services, Wielka Brytania. Elsa K. Lee, CISA, CISM, CSQA, AdvanSoft International Inc., Stany Zjednoczone Kenny K. Lee, CISA, CISSP, Countrywide SMART Governance, Stany Zjednoczone Debbie Lew, CISA, Ernst & Young LLP, Stany Zjednoczone Donald Lorete, CPA, Deloitte & Touche LLP, Stany Zjednoczone Addie C.P. Lui, MCSA, MCSE, First Hawaiian Bank, Stany Zjednoczone Debra Mallette, CISA, CSSBB, Kaiser Permanente, Stany Zjednoczone I T G o v e r n a n c e I n s t i t u t e 1

4 CobiT 4.1 Podziękowania (cd.) Charles Mansour, CISA, Charles Mansour Audit & Risk Service, Wielka Brytania Mario Micallef, CPAA, FiA, National Australia Bank Group, Australia Niels Thor Mikkelsen, CISA, CIA, Danske Bank, Dania John Mitchell, CISA, CFE, CITP, FBCS, FiIA, MIIA, QiCA, LHS Business Control, Wielka Brytania Anita Montgomery, CISA, CIA, Countrywide, Stany Zjednoczone Karl Muise, CISA, City National Bank, Stany Zjednoczone Jay S. Munnelly, CISA, CIA, CGFM, Federal Deposit Insurance Corp., Stany Zjednoczone Sang Nguyen, CISA, CISSP, MCSE, Nova Southeastern University, Stany Zjednoczone Ed O Donnell, Ph.D., CPA, University of Kansas, Stany Zjednoczone Sue Owen, Department of Veterans Affairs, Australia Robert G. Parker, CISA, CA, CMC, FCA, Robert G. Parker Consulting, Kanada Robert Payne, Trencor Services (Pty) Ltd., Republika Południowej Afryki Thomas Phelps IV, CISA, PricewaterhouseCoopers LLP, Stany Zjednoczone Vitor Prisca, CISM, Novabase, Portugalia Martin Rosenberg, Ph.D., IT Business Management, Wielka Brytania Claus Rosenquist, CISA, TrygVesata, Dania Jaco Sadie, Sasol, Republika Południowej Afryki Max Shanahan, CISA, FCPA, Max Shanahan & Associates, Australia Craig W. Silverthorne, CISA, CISM, CPA, IBM Business Consulting Services, Stany Zjednoczone Chad Smith, Great-West Life, Kanada Roger Southgate, CISA, CISM, FCCA, CubeIT Management Ltd., Wielka Brytania Paula Spinner, CSC, Stany Zjednoczone Mark Stanley, CISA, Toyota Financial Services, Stany Zjednoczone Dirk E. Steuperaert, CISA, PricewaterhouseCoopers, Belgia Robert E. Stroud, CA Inc., Stany Zjednoczone Scott L. Summers, Ph.D., Brigham Young University, Stany Zjednoczone Lance M. Turcato, CISA, CISM, CPA, City of Phoenix IT Audit Division, Stany Zjednoczone Wim Van Grembergen, Ph.D., University of Antwerp Management School, Belgia Johan Van Grieken, CISA, Deloitte, Belgia Greet Volders, Voquals NV, Belgia Thomas M. Wagner, Gartner Inc., Stany Zjednoczone Robert M. Walters, CISA, CPA, CGA, Office of the Comptroller General, Kanada Freddy Withagels, CISA, Capgemini, Belgia Tom Wong, CISA, CIA, CMA, Ernst & Young LLP, Kanada Amanda Xu, CISA, PMP, KPMG LLP, Stany Zjednoczone Podziękowania za udział w projekcie tłumaczenia na język polski: Mirosław Kaliński - Prezes Stowarzyszenia ISACA Warszawa, CISA, Polska Paweł Popow - Kierownik projektu tłumaczenia, CISA, Proama, Polska Magdalena Szeżyńska - recenzent, Ph.D., CISA, Polska Dominik Miklaszewski - recenzent, CISSP, CISA, Polska Michał Nieżurawski - recenzent, CGEIT, CISM, CISSP, CISA, CRISC, Polska Piotr Dzwonkowski - recenzent, CISA, CISM, CRISC - LINKIES, Management Consulting Polska, Polska Mariusz Piwnik - recenzent, CISA, Stowarzyszenie ISACA Warszawa, Polska Adam Białachowski - recenzent, CISA, B-Act Sp. z o.o., Polska Jakub Bojanowski - CBCP, CFE, CIA, CISA, CISM, Deloitte, Polska Mariusz Ustyjańczuk - CISA, Deloitte, Polska Rada Naukowa ITGI Everett C. Johnson, CPA, Deloitte & Touche LLP (obecnie emerytowany), Stany Zjednoczone Międzynarodowy Przewodniczący Georges Ataya, CISA, CISM, CISSP, Solvay Business School, Belgia Wiceprzewodniczący William C. Boni, CISM, Motorola, Stany Zjednoczone Wiceprzewodniczący Avinash Kadam, CISA, CISM, CISSP, CBCP, GSEC, GCIH, Miel e-security Pvt. Ltd., Indie Wiceprzewodniczący Jean-Louis Leignel, MAGE Conseil, Francja Wiceprzewodniczący Lucio Augusto Molina Focazzio, CISA, Kolumbia Wiceprzewodniczący Howard Nicholson, CISA, City of Salisbury, Australia Wiceprzewodniczący Frank Yam, CISA, FHKIoD, FHKCS, FFA, CIA, CFE, CCP, CFSA, Focus Strategic Group, Hong Kong Wiceprzewodniczący Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young LLP, Stany Zjednoczone były Międzynarodowy Przewodniczący Robert S. Roussey, CPA, University of Southern California, Stany Zjednoczone były Międzynarodowy Przewodniczący Ronald Saull, CSP, Great-West Life and IGM Financial, Kanada Członek Rady Komitet ds. Ładu Informatycznego Tony Hayes, FCPA, Queensland Government, Australia Przewodniczący 2

5 CobiT 4.1 Max Blecher, Virtual Alliance, Republika Południowej Afryki Sushil Chatterji, Edutech, Singapur Anil Jogani, CISA, FCA, Tally Solutions Limited, Wielka Brytania John W. Lainhart IV, CISA, CISM, IBM, Stany Zjednoczone Rómulo Lomparte, CISA, Banco de Crédito BCP, Peru Michael Schirmbrand, Ph.D., CISA, CISM, CPA, KPMG LLP, Austria Ronald Saull, CSP, Great-West Life Assurance and IGM Financial, Kanada Komitet sterujący ds. metodyki CobiT Roger Debreceny, Ph.D., FCPA, University of Hawaii, Stany Zjednoczone Przewodniczący Gary S. Baker, CA, Deloitte & Touche, Kanada Dan Casciano, CISA, Ernst & Young LLP, Stany Zjednoczone Steven De Haes, University of Antwerp Management School, Belgia Peter De Koninck, CISA, CFSA, CIA, SWIFT SC, Belgia Rafael Eduardo Fabius, CISA, República AFAP SA, Urugwaj Urs Fischer, CISA, CIA, CPA (Swiss), Swiss Life, Szwajcaria Erik Guldentops, CISA, CISM, University of Antwerp Management School, Belgia Gary Hardy, IT Winners, Republika Południowej Afryki Jimmy Heschl, CISA, CISM, KPMG, Austria Debbie A. Lew, CISA, Ernst & Young LLP, Stany Zjednoczone Maxwell J. Shanahan, CISA, FCPA, Max Shanahan & Associates, Australia Dirk Steuperaert, CISA, PricewaterhouseCoopers LLC, Belgia Robert E. Stroud, CA Inc., Stany Zjednoczone Zespół Doradczy ITGI Ronald Saull, CSP, Great-West Life Assurance and IGM Financial, Kanada Przewodniczący Roland Bader, F. Hoffmann-La Roche AG, Szwajcaria Linda Betz, IBM Corporation, Stany Zjednoczone Jean-Pierre Corniou, Renault, Francja Rob Clyde, CISM, Symantec, Stany Zjednoczone Richard Granger, NHS Connecting for Health, Wielka Brytania Howard Schmidt, CISM, R&H Security Consulting LLC, Stany Zjednoczone Alex Siow Yuen Khong, StarHub Ltd., Singapur Amit Yoran, Yoran Associates, Stany Zjednoczone Jednostki powiązane i sponsorzy ITGI Oddziały ISACA American Institute for Certified Public Accountants ASIS International The Center for Internet Security Commonwealth Association of Corporate Governance FiDA Inform Information Security Forum The Information Systems Security Association Institut de la Gouvernance des Systèmes d Information Institute of Management Accountants ISACA ITGI Japan Solvay Business School University of Antwerp Management School Aldion Consulting Pte. Lte. CA Hewlett-Packard IBM LogLogic Inc. Phoenix Business and Systems Process Inc. Symantec Corporation Wolcott Group LLC World Pass IT Solutions 3

6 CobiT 4.1 Spis treści Wprowadzenie...5 Metodyka CobiT...9 Planowanie i organizacja...29 Nabywanie i wdrażanie...73 Dostarczanie i wsparcie Monitorowanie i ocena Załącznik I Tabele powiązań celów i procesów Załącznik II Przyporządkowanie procesów IT do głównych obszarów ładu informatycznego, struktury ramowej COSO, zasobów informatycznych CobiT i kryteriów informacji CobiT Załącznik III Model dojrzałości kontroli wewnętrznej Załącznik IV CobiT 4.1 najważniejsze materiały źródłowe Załącznik V Wzajemne relacje między metodyką CobiT 3 rd Edition a metodyką CobiT Załącznik VI Podejście do badań i rozwoju Załącznik VII Terminologia Załącznik VIII Metodyka CobiT i powiązane produkty Będziemy wdzięczni za wszelkie uwagi na temat metodyki CobiT 4.1. Można je zgłaszać na stronie 4

7 W p r o w a d z e n i e Wprowadzenie

8 Wprowadzenie Wprowadzenie W wielu przedsiębiorstwach zasoby informacyjne i wspierające je technologie są najcenniejszymi, ale często w niedostatecznym stopniu rozumianymi aktywami. Przedsiębiorstwa odnoszące sukcesy dostrzegają korzyści, jakie zapewniają technologie informatyczne (IT) i wykorzystują je do zwiększania swojej wartości w ocenie interesariuszy. Przedsiębiorstwa te rozumieją również konieczność zarządzania związanymi z tym ryzykami, takimi jak rosnąca potrzeba zachowania zgodności z przepisami czy krytyczna zależność wielu procesów biznesowych od IT. Potrzeba uzyskania zapewnienia co do wartości IT, zarządzanie ryzykami związanymi z IT oraz zwiększone wymogi dotyczące kontroli nad zasobami informacyjnymi są obecnie postrzegane jako kluczowe elementy ładu korporacyjnego. Wartość, ryzyko i kontrola stanowią istotę ładu informatycznego. Ład informatyczny należy do zakresu obowiązków kadry kierowniczej oraz zarządu i obejmuje przywództwo, struktury organizacyjne oraz procesy, dzięki którym IT może wspierać i rozwijać strategię oraz cele organizacji. Ponadto, ład informatyczny integruje i formalizuje dobre praktyki, tak aby działalność informatyczna przedsiębiorstwa wspierała realizację celów biznesowych. Ład informatyczny umożliwia przedsiębiorstwu pełne wykorzystanie jego zasobów informacyjnych, a tym samym maksymalizację korzyści, wykorzystywanie pojawiających się możliwości i zdobywanie przewagi konkurencyjnej. Osiągnięcie tych efektów wymaga stosowania odpowiedniej metodyki kontroli nad technologiami informatycznymi, która jest zgodna ze standardem COSO (ang. Committee of Sponsoring Organisations of the Treadway Commission Komitet Organizacji Sponsorujących Komisję Treadway'a) Internal Control Integrated Framework (Zintegrowana kontrola wewnętrzna struktura ramowa), który zapewnia powszechnie akceptowane ramy systemu kontroli wewnętrznej dla ładu korporacyjnego i zarządzania ryzykiem, lub z innymi, podobnymi metodykami. Organizacje powinny spełniać wymogi dotyczące jakości, zasad powiernictwa i bezpieczeństwa swoich zasobów informacyjnych podobnie jak ma to miejsce w przypadku pozostałych aktywów. Przedstawiciele kadry kierowniczej powinni również dbać o optymalizację wykorzystania dostępnych zasobów IT, w tym aplikacji, informacji, infrastruktury i osób. Aby dopełnić tych obowiązków, a także aby osiągnąć założone cele, kadra kierownicza powinna znać stan architektury IT przedsiębiorstwa i zdecydować, jaki nadzór i kontrolę powinna zapewnić technologia informatyczna. Control Objectives for Information and related Technology (CobiT ), czyli cele kontroli nad technologiami informatycznymi i pokrewnymi, stanowią zbiór dobrych praktyk pogrupowanych w domeny i procesy i prezentujący odpowiednie działania w zrozumiałym i logicznym porządku. Dobre praktyki CobiT odzwierciedlają wspólne stanowisko ekspertów. Koncentrują się one głównie na kontroli, a w mniejszym stopniu na wykonaniu. Praktyki te pomagają optymalizować inwestycje związane z IT, zapewniają dostępność usług oraz dostarczają wskaźników, które pozwalają wykryć ewentualne nieprawidłowości. Aby działalność IT skutecznie spełniała wymagania biznesowe, kierownictwo firmy powinno wdrożyć wewnętrzny system lub metodykę kontroli. Metodyka kontroli CobiT umożliwia zaspokojenie tych potrzeb poprzez: zapewnienie powiązania z wymaganiami biznesowymi; zorganizowanie działalności IT w ramach ogólnie akceptowanego modelu procesów; określenie głównych zasobów IT, które mają być wykorzystywane; zdefiniowanie celów kontroli zarządczej, które należy uwzględnić. Biznesowe ukierunkowanie metodyki CobiT przejawia się w powiązaniu celów biznesowych z celami IT, zapewnieniu mierników i modeli dojrzałości umożliwiających ocenę wyników, a także w określeniu odpowiednich obowiązków właścicieli procesów biznesowych i IT. Ukierunkowanie metodyki CobiT na procesy przejawia się w modelu procesów, który dzieli IT na cztery domeny i 34 procesy związane z obszarami odpowiedzialności w zakresie planowania, budowy, eksploatacji i monitorowania, zapewniając całościowy wgląd w działalność IT. Pojęcia odnoszące się do architektury korporacyjnej pomagają określić zasoby niezbędne do zapewnienia prawidłowego działania procesów, takie jak aplikacje, informacje, infrastruktura czy osoby. Podsumowując: aby zapewnić dostępność informacji, których potrzebuje przedsiębiorstwo do osiągania swoich celów, zarządzanie zasobami IT musi odbywać się w ramach zbioru naturalnie pogrupowanych procesów. W jaki jednak sposób przedsiębiorstwo może sprawować nadzór nad IT, aby zapewnić sobie dostępność potrzebnych informacji? Jak powinno zarządzać ryzykiem i zabezpieczać zasoby IT, od których jest tak zależne? Co powinno zrobić, aby działalność IT osiągała swoje cele i wspierała działalność biznesową? W pierwszej kolejności kierownictwo musi określić cele kontrolne, które definiują ostateczny cel wdrożenia zasad, planów i procedur, a także struktury organizacyjne, które zapewniają: osiąganie celów biznesowych; zapobieganie niepożądanym zdarzeniom lub ich wykrywanie i wprowadzanie odpowiednich poprawek. 5

9 CobiT 4.1 Ponadto w dzisiejszych złożonych Ilustracja 1 Informacje zarządcze środowiskach biznesowych zarządzający stale poszukują skondensowanych i aktualnych informacji, aby szybko i skutecznie podejmować trudne decyzje dotyczące wartości, ryzyka i kontroli. W jaki sposób odpowiedzialni menedżerowie Co powinno podlegać pomiarowi PANEL KONTROLNY prowadzą działalność przedsiębiorstwa zgodnie z planem? i w jaki sposób? Przedsiębiorstwa potrzebują obiektywnych wskaźników W jaki sposób przedsiębiorstwo może osiągać wyniki mówiących, w którym miejscu się satysfakcjonujące dla największej możliwej liczby KARTY WYNIKÓW znajdują i gdzie niezbędna jest poprawa. interesariuszy? Powinny także wdrożyć zestaw narzędzi zarządzania, aby monitorować osiągany W jaki sposób można w odpowiednim czasie dostosować ANALIZY postęp. przedsiębiorstwo do trendów i rozwoju występujących PORÓWNAWCZEJ Ilustracja 1 przedstawia niektóre w jego otoczeniu? standardowe pytania oraz narzędzia informacyjne wykorzystywane w zarządzaniu w celu uzyskania potrzebnych odpowiedzi. Jednak panele kontrolne wymagają wskaźników, karty wyników pomiarów, a porównania skali porównawczej. Wskaźniki? Miary? Skale? Odpowiedzią na potrzebę ustanowienia i monitorowania odpowiedniego poziomu kontroli i wydajności IT jest definicja CobiT: analizy porównawczej wydajności i potencjału procesów IT wyrażonej w postaci modeli dojrzałości, opartych na modelu dojrzałości CMM (ang. Capability Maturity Model) opracowanym przez Software Engineering Institute; celów i mierników procesów IT służących do definiowania i pomiaru ich wyników oraz wydajności w oparciu o koncepcję zrównoważonej karty wyników biznesowych autorstwa Roberta Kaplana i Davida Nortona; celów czynności niezbędnych do utrzymania tych procesów pod kontrolą w oparciu o cele kontrolne metodyki CobiT. Ocena potencjału procesu w oparciu o modele dojrzałości CobiT jest kluczowym elementem wdrożenia nadzoru informatycznego. Po określeniu krytycznych procesów IT i mechanizmów kontrolnych dalsza analiza w oparciu o modele dojrzałości umożliwia identyfikację braków w ich potencjale i poinformowanie o nich kierownictwa firmy. Na tej postawie mogą zostać opracowane plany działań, które pozwolą osiągnąć pożądany poziom funkcjonalności. Tak więc metodyka CobiT wspomaga sprawowanie nadzoru informatycznego (ilustracja 2) poprzez stworzenie metodyki, która zapewnia, że: działalność IT jest dostosowana do potrzeb firmy; działalność IT wspiera działalność biznesową i maksymalizuje osiągane korzyści; zasoby IT są wykorzystywane w odpowiedzialny sposób; odpowiednio zarządza się ryzykiem informatycznym. Podstawowe znaczenie dla nadzoru informatycznego ma pomiar wydajności. Jest on przewidziany w modelu CobiT i obejmuje ustalenie i monitorowanie mierzalnych celów, jakie mają osiągać procesy IT (wynik procesu), a także określenie, w jaki sposób mają je osiągać (funkcjonalność i wydajność procesu). Wiele badań wykazało, że brak przejrzystości kosztów, wartości i ryzyka informatycznego jest jednym z głównych czynników uzasadniających konieczność nadzoru informatycznego. Choć ważne są również inne obszary działań, przejrzystość uzyskuje się głównie poprzez pomiar wydajności. Ilustracja 2 Obszary nadzoru informatycznego Dopasowanie strategiczne Koncentruje się na zapewnieniu powiązania między planami biznesowymi a planami IT; obejmuje definiowanie, utrzymywanie i weryfikację propozycji tworzenia wartości IT, a także dostosowywanie działalności IT do działalności przedsiębiorstwa. Dostarczanie wartości odnosi się do realizacji propozycji tworzenia wartości poprzez cykl dostawy, tj. zapewnienia, że technologie informatyczne dostarczą obiecane korzyści zgodnie z przyjętą strategią, koncentrując się na optymalizacji kosztów i dostarczaniu wartości nieodłącznie tkwiących w IT. Zarządzanie zasobami odnosi się do optymalizacji inwestycji i prawidłowego zarządzania krytycznymi zasobami IT: aplikacjami, informacjami, infrastrukturą i osobami. Kluczowe znaczenie w tej dziedzinie ma optymalizacja wiedzy i infrastruktury. Zarządzanie ryzykiem wymaga świadomości wyższej kadry zarządzającej o istnieniu ryzyka, właściwego zrozumienia skłonności przedsiębiorstwa do podejmowania ryzyka ( apetytu na ryzyko ), zrozumienia wymagań zachowania zgodności, przejrzystości w sferze znaczącego ryzyka dla przedsiębiorstwa oraz wbudowania odpowiedzialności za zarządzanie ryzykiem w strukturę organizacyjną. Pomiar wydajności obejmuje śledzenie i monitorowanie wdrożenia strategii, realizacji projektów, wykorzystania zasobów, wydajności procesów i dostępności usług za pomocą np. zrównoważonych kart wyników, które umożliwiają przełożenie strategii na działania służące osiąganiu mierzalnych celów (poza konwencjonalną księgowością). 6

10 Wspomniane obszary nadzoru informatycznego opisują zagadnienia, którymi powinna zająć się kadra zarządzająca, aby sprawować nadzór informatyczny w przedsiębiorstwie. Kierownictwo operacyjne wykorzystuje procesy do organizacji i zarządzania bieżącą działalnością IT. Metodyka CobiT dostarcza ogólny model procesów, obejmujący wszystkie procesy właściwe funkcjom IT, zapewniając wspólny model odniesienia, zrozumiały dla kierownictwa operacyjnego działu IT i firmy. Model procesów CobiT został przyporządkowany do głównych obszarów ładu informatycznego (patrz Załącznik II Przyporządkowanie procesów IT do głównych obszarów ładu informatycznego, struktury ramowej COSO, zasobów informatycznych CobiT i kryteriów informacji CobiT), zapewniając powiązanie między działaniami wykonawczymi kierowników operacyjnych a tym, co chce nadzorować kierownictwo wyższego szczebla. Aby móc sprawować efektywny nadzór, kierownictwo wyższego szczebla powinno wymagać wprowadzenia przez kierowników operacyjnych mechanizmów kontrolnych (w ramach zdefiniowanej ramowej struktury mechanizmów kontrolnych) dla wszystkich procesów IT. Cele kontrolne IT CobiT są zorganizowane według procesów IT. Tak zdefiniowana struktura zapewnia przejrzyste powiązania między wymaganiami nadzoru informatycznego, procesami IT i mechanizmami kontrolnymi dotyczącymi IT. Metodyka CobiT jest skoncentrowana na tym, co jest niezbędne do prawidłowego zarządzania i sprawowania kontroli nad IT, i dotyczy wysokiego poziomu zarządzania. Metodyka CobiT jest zgodna i zharmonizowana z innymi, bardziej szczegółowymi standardami i dobrymi praktykami dotyczącymi IT (patrz Załącznik IV CobiT 4.1 najważniejsze materiały źródłowe). Metodyka CobiT łączy w sobie wiedzę zawartą w tych materiałach, grupując najważniejsze cele w ramach jednej ramowej struktury, która jest również powiązana z potrzebą nadzoru i wymaganiami biznesowymi. Struktura ramowa COSO (oraz podobne, zgodne z nią struktury) jest ogólnie przyjętą strukturą ramową systemu kontroli wewnętrznej dla przedsiębiorstw. Metodyka CobiT jest ogólnie przyjętą strukturą ramową systemu kontroli wewnętrznej dla IT. Produkty CobiT zostały zostały zorganizowane na trzech poziomach (ilustracja 3), określonych z myślą o zapewnieniu wsparcia dla: kadry zarządzającej i zarządów; kierownictwa firm i działów IT; specjalistów ds. nadzoru, kontroli wewnętrznej, kontroli i bezpieczeństwa. Produkty CobiT obejmują następujące pozycje: Board Briefing on IT Governance, 2 nd Edition pomaga osobom pełniącym funkcje kierownicze zrozumieć, dlaczego ład informatyczny jest ważny, jakich dotyczy zagadnień i na czym polega ich odpowiedzialność za zarządzanie nim. Management guidelines/maturity models pomaga w określaniu odpowiedzialności, pomiarze wydajności oraz analizie porównawczej i eliminowaniu braków w potencjale. Frameworks organizuje cele nadzoru informatycznego i dobre praktyki według domen i procesów IT oraz powiązuje je z potrzebami firmy. Control objectives dostarcza pełen zestaw wymagań wysokiego poziomu, który powinno uwzględnić kierownictwo, aby sprawować efektywną kontrolę nad każdym z procesów IT. IT Governance Implementation Guide: Using CobiT and Val IT TM, 2 nd Edition przedstawia ogólny plan działania w celu wdrożenia nadzoru Co to jest struktura nadzoru informatycznego? Struktury COBIT i Val IT Cele mechanizmów kontrolnych Główne praktyki zarządzania Wprowadzenie Ilustracja 3 Schemat zawartości metodyki CobiT W jaki sposób zarząd wykonuje swoje obowiązki? Kadra zarządzająca i zarządy W jaki sposób mierzymy wydajność? W jaki sposób porównujemy się z innymi? W jaki sposób poprawiamy nasze wyniki na przestrzeni czasu? Kierownictwo firm i działów technologicznych W jaki sposób wdrażamy tę strukturę w przedsiębiorstwie? Board Briefing on IT Governance, 2 nd Edition W jaki sposób dokonujemy oceny struktury nadzoru informatycznego? Specjaliści ds. nadzoru, kontroli wewnętrznej, kontroli i bezpieczeństwa IT Governance Implementation Guide, 2 nd Edition COBIT Control Practices, 2 nd Edition Wytyczne zarządzania IT Assurance Guide Modele dojrzałości Niniejszy schemat oparty na COBIT przedstawia ogólnie stosowane produkty i ich głównych odbiorców. Istnieją również produkty pochodne do szczególnych celów (IT Control Objectives for Sarbanes-Oxley, 2 nd Edition), dla domen, takich jak bezpieczeństwo (COBIT Security Baseline and Information Security Governance: Guidance for Boards of Directors and Executive Management ), lub dla szczególnych przedsiębiorstw (COBIT Quickstart dla małych i średnich przedsiębiorstw lub dla dużych przedsiębiorstw pragnących przejść na poziom bardziej obszernego wdrażania nadzoru informatycznego). informatycznego z wykorzystaniem metodyki CobiT i Val IT TM. CobiT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2 nd Edition tłumaczy, dlaczego warto wdrożyć mechanizmy kontrolne oraz jak je wdrożyć. IT Assurance Guide: Using CobiT dostarcza wskazówek, w jaki sposób metodyka CobiT może służyć do wspierania różnorodnych działań kontrolnych i omawia zalecane etapy testowania dla wszystkich procesów IT i celów kontrolnych. Schemat zawartości metodyki CobiT przedstawiony na ilustracji 3 prezentuje podstawowe grupy odbiorców, ich pytania dotyczące nadzoru informatycznego oraz odpowiednie produkty, które dostarczają odpowiedzi. Dostępne są również produkty uzupełniające, przeznaczone do specjalnych celów i dotyczące takich dziedzin, jak bezpieczeństwo albo określonych przedsiębiorstw. 7

11 CobiT 4.1 Wszystkie wspomniane komponenty metodyki CobiT są ze sobą wzajemnie powiązane i zapewniają wsparcie w realizacji potrzeb nadzoru, zarządzania, audytu i kontroli wewnętrznej różnych grup odbiorców, jak pokazano na ilustracji 4. Ilustracja 4 Wzajemne powiązania komponentów struktury CobiT Celebadane za pomocą biznesowe wymagania informacje Cele IT Procesy IT z podziałem na mierzone za pomocą kontrolowane za pomocą wykonywane na podstawie Kluczowe czynności w zakresie wydajności w zakresie wyników w zakresie dojrzałości Testy wyników działania mechanizmów kontrolnych uzyskane z badane za pomocą Cele mechanizmów kontrolnych wdrożone za pomocą Tabela odpowiedzialności i rozliczalności Wskaźniki wydajności Miary wyniku Modele dojrzałości Testy w obszarze projektowania mechanizmów kontrolnych oparte na Praktyki w obszarze stosowania mechanizmów kontrolnych CobiT to metodyka wraz z zestawem pomocnych narzędzi, które umożliwiają menedżerom wypełnienie luki w obszarze wymogów kontrolnych, zagadnień technicznych i ryzyka biznesowego oraz poinformowanie interesariuszy o poziomie sprawowanej kontroli. Metodyka CobiT umożliwia rozwój przejrzystej polityki i dobrej praktyki kontroli IT w przedsiębiorstwach. Metodyka CobiT jest nieustannie aktualizowana i uzgadniana z innymi standardami i wytycznymi. Dlatego metodyka CobiT stała się platformą integrującą dobre praktyki w dziedzinie IT i ramową strukturą dla nadzoru informatycznego, która pomaga w zrozumieniu i zarządzaniu ryzykiem i korzyściami związanymi z IT. Struktura procesów w ramach metodyki CobiT i jej odnoszące się do wysokiego poziomu zarządzania, ukierunkowane na biznes podejście zapewnia całościowy wgląd w działalność IT oraz dotyczące jej decyzje, które należy podjąć. Korzyści z wdrożenia CobiT jako metodyki sprawowania nadzoru informatycznego obejmują: Lepsze dopasowanie poprzez ukierunkowanie na biznes. Zrozumiały dla kierownictwa wgląd w to, co robi dział IT. Przejrzyste pojęcia własności i odpowiedzialności dzięki ukierunkowaniu na procesy. Ogólną akceptowalność dla stron trzecich i organów regulacyjnych. Powszechne zrozumienie wszystkich interesariuszy dzięki wspólnemu językowi. Spełnienie wymagań COSO dla środowiska systemu kontroli IT. W dalszej części niniejszego dokumentu znajduje się opis metodyki CobiT oraz wszystkich podstawowych komponentów struktury CobiT, zorganizowanych według czterech domen i 34 procesów IT CobiT. Jest to praktyczny materiał podręczny dla wszystkich korzystających z pełnego wydania metodyki CobiT. Przydatne materiały pomocnicze znajdują się również w załącznikach. Najbardziej wyczerpujące i aktualne informacje na temat metodyki CobiT i powiązanych z nią produktów, włączając narzędzia online, przewodniki wdrożeń, studia przypadków, biuletyny i materiały edukacyjne, są dostępne na stronie 8

12 M e t o d y k a C o b i T Metodyka CobiT

13 Metodyka CobiT Metodyka CobiT Misja CobiT: Badanie, rozwój, publikowanie i promowanie miarodajnej, aktualnej i powszechnie uznanej struktury ramowej nadzoru informatycznego, do przyjęcia przez przedsiębiorstwa w celu codziennego stosowania przez kierownictwo firm, specjalistów IT oraz specjalistów ds. audytu i kontroli wewnętrznej. POTRZEBA ISTNIENIA STRUKTURY RAMOWEJ SYSTEMU KONTROLI IT DLA ZAPEWNIENIA NADZORU INFORMATYCZNEGO Struktura ramowa systemu kontroli IT na potrzeby zapewnienia nadzoru informatycznego definiuje przyczyny, dla których niezbędny jest nadzór informatyczny, uczestniczących w nim interesariuszy oraz cele, które system kontroli IT powinien osiągać. Dlaczego Kierownictwo najwyższego szczebla w coraz większym stopniu zdaje sobie sprawę ze znaczącego wpływu informacji na sukces przedsiębiorstwa. Kierownictwo oczekuje większego zrozumienia sposobu wykorzystania technologii informatycznych oraz większego prawdopodobieństwa ich skutecznego wykorzystania do uzyskania przewagi konkurencyjnej. W szczególności kierownictwo najwyższego szczebla potrzebuje wiedzy, czy zarządzanie informacjami w przedsiębiorstwie odbywa się w taki sposób, że przedsiębiorstwo: będzie z dużym prawdopodobieństwem osiągać swoje cele; jest wystarczająco odporne, aby uczyć się i adaptować do nowych warunków; rozsądnie zarządza ryzykiem, przed którym staje; prawidłowo rozpoznaje i wykorzystuje pojawiające się możliwości. Przedsiębiorstwa, które osiągają sukcesy, rozumieją ryzyko, wykorzystują zalety technologii informatycznych i znajdują sposoby na: dostosowanie strategii IT do strategii biznesowej; zapewnienie inwestorów i udziałowców, że organizacja spełnia standardy należytej dbałości o minimalizację ryzyka informatycznego; stopniowe wdrożenie w przedsiębiorstwie strategii IT i określenie jej celów; uzyskanie wartości z inwestycji w IT; stworzenie struktur organizacyjnych, które ułatwią wdrożenie strategii i celów; stworzenie konstruktywnych relacji i zapewnienie efektywnej komunikacji między sferą biznesową i informatyczną oraz z zewnętrznymi partnerami; pomiar wydajności IT. Przedsiębiorstwa nie są w stanie radzić sobie efektywnie z powyższymi wymaganiami bez przyjęcia i wdrożenia odpowiedniej struktury mechanizmów kontrolnych i nadzoru informatycznego, aby móc: zapewnić powiązanie z wymaganiami biznesowymi; zapewnić przejrzystość oceny spełniania tych wymagań; zorganizować swoją działalność w ramach ogólnie akceptowanego modelu procesów; określić główne zasoby, które mają być wykorzystywane; zdefiniować cele kontroli zarządczej, które należy uwzględnić. Ponadto struktury nadzoru i mechanizmów kontrolnych stają się częścią dobrej praktyki zarządzania IT i umożliwiają zaprowadzenie ładu informatycznego i zapewnienie zgodności ze stale zwiększającymi się wymaganiami regulacyjnymi. Dobre praktyki w dziedzinie IT stały się istotne za sprawą wielu czynników: Kierownictwa i zarządy firm wymają większego zwrotu z inwestycji w IT, tj. oczekują dostarczania przez IT tego, czego potrzebuje firma, aby zwiększać swoją wartość w oczach interesariuszy. Zaniepokojenie zwiększającymi się nakładami na IT. Potrzeba sprostania wymaganiom regulacyjnym dotyczącym mechanizmów kontrolnych w sferze IT, w takich obszarach, jak ochrona prywatności czy sprawozdawczość finansowa (np. Ustawa Sarbanesa-Oxley'a w Stanach Zjednoczonych) oraz w niektórych branżach, takich jak branża finansowa, farmaceutyczna czy ochrona zdrowia. Wybór dostawców usług oraz zarządzanie outsourcingiem i nabywaniem usług. Rosnąca złożoność ryzyka informatycznego, np. związanego z bezpieczeństwem sieciowym. Inicjatywy dotyczące nadzoru informatycznego, które uwzględniają przyjęcie struktury mechanizmów kontrolnych i dobrych praktyk, aby wspomóc monitorowanie i doskonalenie działalności IT o krytycznym znaczeniu w celu zwiększenia wartości biznesowej i ograniczenia ryzyka biznesowego. Potrzeba optymalizacji kosztów poprzez stosowanie tam, gdzie to możliwe, ustandaryzowanych, a nie specjalnie opracowanych rozwiązań. Zwiększająca się dojrzałość i wynikająca z niej akceptacja dla dobrze ugruntowanych standardów, takich jak CobiT, IT Infrastructure Library (ITIL), ISO serii (standardy dotyczące bezpieczeństwa informacji), ISO 9001:2000 Quality Management Systems Requirements, Capability Maturity Model Integration (CMMI), Projects in Controlled Environments 2 (Prince2) oraz A Guide to the Project Management Body of Knowledge (PMBOK). Potrzeba dokonania oceny przez przedsiębiorstwa, jak radzą sobie z ogólnie przyjętymi standardami i jak wypadają na tle podobnych firm (analiza porównawcza). 9

14 CobiT 4.1 Kto Struktura nadzoru i mechanizmów kontrolnych musi służyć wielu wewnętrznym i zewnętrznym interesariuszom, z których każdy ma określone potrzeby: Interesariusze w przedsiębiorstwie, którzy są zainteresowani generowaniem wartości z inwestycji w IT: ci, którzy podejmują decyzje inwestycyjne; ci, którzy decydują o wymaganiach; ci, którzy korzystają z usług IT. Wewnętrzni i zewnętrzni interesariusze, którzy świadczą usługi IT: ci, którzy zarządzają organizacją IT i procesami; ci, którzy rozwijają potencjał; ci, którzy obsługują usługi. Wewnętrzni i zewnętrzni interesariusze odpowiedzialni za kontrolę/zarządzanie ryzykiem: ci, którzy odpowiadają za bezpieczeństwo, ochronę prywatności i/lub zarządzanie ryzykiem; ci, którzy nadzorują zachowanie zgodności; ci, którzy wymagają lub wykonują czynności kontroli wewnętrznej i audytu. Co Aby spełnić powyższe wymagania, metodyka nadzoru informatycznego i kontroli IT powinna: Być ukierunkowana na biznes, aby zapewniać zgodność między celami biznesowymi i celami IT. Zapewniać ukierunkowanie na procesy, aby zdefiniować zakres i stopień pokrycia wraz ze zdefiniowaną strukturą umożliwiającą łatwe poruszanie się po zawartości. Być ogólnie akceptowana dzięki zachowaniu zgodności z przyjętymi dobrymi praktykami i standardami w dziedzinie IT oraz niezależna od określonych technologii. Zapewniać wspólny język komunikacji poprzez wybór i stosowanie zbioru terminów i definicji, które są powszechnie zrozumiałe dla wszystkich interesariuszy. Pomagać w spełnianiu wymagań regulacyjnych poprzez zachowanie zgodności z powszechnie przyjętymi standardami ładu korporacyjnego (np. COSO) i mechanizmami kontroli IT wymaganymi przez organy regulacyjne i zewnętrznych audytorów. W jaki sposób metodyka CobiT zaspokaja te potrzeby W odpowiedzi na powyższe potrzeby opracowano metodykę CobiT, która jest ukierunkowana na biznes, zorientowana na procesy, oparta na mechanizmach kontrolnych oraz pomiarach. Ukierunkowanie na biznes Orientacja biznesowa jest głównym zagadnieniem metodyki CobiT. Opracowano ją nie tylko na potrzeby dostawców i użytkowników usług IT oraz audytorów, ale co ważniejsze także w celu zapewnienia kompleksowego zbioru wskazówek dla zarządzających i właścicieli procesów biznesowych. Ilustracja 5 Podstawowa zasada metodyki CobiT które odpowiadają na Wymagania biznesowe stanowią siłę napędową inwestycji w Projekt CobiT opiera się na następującym założeniu (ilustracja 5): Aby przedsiębiorstwo mogło zapewnić sobie dostępność informacji, których potrzebuje do osiągania swoich celów, musi inwestować w zasoby IT, zarządzać nimi i sprawować nad nimi kontrolę, wykorzystując zorganizowany zbiór procesów, aby zapewnić sobie dostępność usług, które dostarczą mu potrzebnych informacji. Informacje o przedsiębiorstwie w celu dostarczania COBIT Procesy IT Zasoby IT które są wykorzystywane przez Aby zapewnić dostosowanie do wymagań biznesowych, w centrum uwagi metodyki CobiT znajduje się zarządzanie i sprawowanie kontroli nad informacjami. KRYTERIA INFORMACJI CobiT Aby realizować cele biznesowe, informacje muszą spełniać pewne kryteria kontrolne, które w metodyce CobiT określa się jako wymagania biznesowe dla informacji. W oparciu o szersze wymogi dotyczące jakości, zasad powiernictwa i bezpieczeństwa zdefiniowano siedem różnych, częściowo pokrywających się kryteriów informacji: Efektywność odnosi się do informacji, które są adekwatne i istotne dla procesów biznesowych, a także dostarczane w terminowy, prawidłowy, spójny i użyteczny sposób. Wydajność dotyczy dostarczania informacji przy optymalnym (najbardziej wydajnym i ekonomicznym) wykorzystaniu zasobów. Poufność dotyczy ochrony wrażliwych informacji przed nieautoryzowanym użyciem. Integralność odnosi się do dokładności i kompletności informacji, a także ich poprawności w odniesieniu do wartości i oczekiwań biznesowych. 10

15 Metodyka CobiT Dostępność odnosi się do informacji, które są dostępne wtedy, gdy są niezbędne dla procesu biznesowego obecnie i w przyszłości. Dotyczy również mechanizmów ochrony niezbędnych zasobów i związanych z nimi możliwości. Zgodność dotyczy zgodności z przepisami prawa, wymaganiami regulacyjnymi i postanowieniami umów, którym podlega proces biznesowy np. narzuconymi z zewnątrz kryteriami biznesowymi czy wewnętrzną polityką firmy. Wiarygodność odnosi się do dostarczania kierownictwu odpowiednich informacji, aby umożliwiać mu prowadzenie firmy i wypełnianie swoich obowiązków powierniczych i nadzorczych. Cele biznesowe i cele IT Podczas gdy kryteria informacji dostarczają ogólnej metody definiowania wymagań biznesowych, zdefiniowanie zbioru ogólnych celów biznesowych i celów IT zapewnia ukierunkowaną biznesowo i bardziej miarodajną podstawę do określenia wymagań biznesowych i mierników, które umożliwią pomiar efektywności w osiąganiu tych celów. Każde przedsiębiorstwo wykorzystuje technologie informatyczne do realizacji inicjatyw biznesowych, co można określić mianem celów biznesowych dla IT. Załącznik I przedstawia macierz ogólnych celów biznesowych i celów IT oraz pokazuje, w jaki sposób są one przyporządkowane do kryteriów informacji. Te ogólne przykłady mogą zostać wykorzystane jako wskazówki do określenia specyficznych wymagań biznesowych, celów i mierników dla danego przedsiębiorstwa. Jeśli IT ma skutecznie świadczyć usługi wspierające realizację strategii przedsiębiorstwa, konieczne jest przejrzyste zdefiniowanie własności i kierunku wymagań biznesowych (klient) oraz pełne zrozumienie, co i w jaki sposób powinien dostarczyć dział IT (dostawca). Ilustracja 6 pokazuje, w jaki sposób strategia przedsiębiorstwa powinna zostać przetransponowana przez firmę na cele odnoszące się do inicjatyw, których realizację umożliwia IT (cele biznesowe dla IT). Cele te powinny prowadzić do precyzyjnego sformułowania własnych celów IT (cele IT), które z kolei definiują zasoby i potencjał IT (architektura korporacyjna systemów informatycznych) niezbędny do pomyślnej realizacji części strategii przedsiębiorstwa przynależnej do IT. 1 Ilustracja 6 Definiowanie celów IT i architektury IT przedsiębiorstwa Strategia przedsiębiorstwa Cele biznesowe IT Cele IT Architektura korporacyjna IT Karta wyników IT Wymagania biznesowe Wymagania dotyczące nadzoru dostarczają Informacje wymagają Usługi informacyjne wpływają na Procesy IT uruchamiają Aplikacje powodują powstanie Kryteria informacji wymagają Infrastruktura i osoby Cele biznesowe IT Architektura korporacyjna IT Gdy zostaną już określone wspólne cele, konieczne jest monitorowanie ich realizacji, aby odpowiadała ona oczekiwaniom. Osiąga się to poprzez mierniki, które odpowiadają poszczególnym celom i są zapisywane na karcie wyników IT. Aby klient mógł zrozumieć cele IT i kartę wyników IT, wszystkie cele i powiązane z nimi mierniki powinny być wyrażone przy użyciu terminologii biznesowej, która jest zrozumiała dla klienta. W połączeniu z efektywnym dopasowaniem hierarchii celów zapewnia to duże prawdopodobieństwo potwierdzenia przez stronę biznesową, że IT wspiera realizację celów przedsiębiorstwa. Załącznik I Tabele powiązań celów i procesów przedstawiają ogólny obraz tego, jak ogólne cele biznesowe odnoszą się do celów IT, procesów IT i kryteriów informacji. Tabele ilustrują zakres metodyki CobiT i ogólne relacje biznesowe między metodyką CobiT a czynnikami wpływającymi na działalność przedsiębiorstwa. Jak pokazano na ilustracji 6, czynniki te pochodzą ze sfery biznesowej i nadzorczej przedsiębiorstwa (pierwsza koncentruje się w większym stopniu na funkcjonalności i szybkości dostarczania rozwiązań, podczas gdy druga na opłacalności, zwrocie z inwestycji (ROI) i zapewnieniu zgodności. 1 Należy zauważyć, że zdefiniowanie i wdrożenie architektury IT przedsiębiorstwa wiąże się również z określeniem wewnętrznych celów IT, które przyczyniają się do realizacji celów biznesowych, ale się z nich bezpośrednio nie wywodzą. 11

16 CobiT 4.1 Zasoby IT Organizacja IT realizuje wyznaczone cele poprzez jasno zdefiniowany zbiór procesów, które wykorzystują ludzkie umiejętności i infrastrukturę techniczną do zapewnienia działania zautomatyzowanych aplikacji biznesowych, jednocześnie wykorzystując informacje biznesowe. Zasoby te wraz z procesami tworzą architekturę korporacyjną systemów informatycznych (jak pokazano na ilustracji 6). Aby móc spełnić wymagania biznesowe wobec IT, przedsiębiorstwo musi zainwestować w zasoby niezbędne do stworzenia adekwatnego potencjału technicznego (np. systemu planowania zasobów przedsiębiorstwa (ERP)), mogącego zapewnić wsparcie dla potencjału biznesowego (np. wdrożenie łańcucha dostaw), czego efektem jest osiągnięcie pożądanego rezultatu (np. zwiększenie sprzedaży i zysków). Zasoby IT określone w ramach metodyki CobiT można zdefiniować w następujący sposób: Aplikacje to zautomatyzowane systemy użytkownika i procedury manualne, które służą do przetwarzania informacji. Informacje to dane we wszystkich postaciach, wprowadzane, przetwarzane i dostarczane przez systemy informatyczne w dowolnej formie wykorzystywanej przez firmę. Infrastruktura to technologia i środki (tj. sprzęt, systemy operacyjne, systemy zarządzania bazami danych, sieci, multimedia oraz środowisko, w którym się one znajdują i które je wspiera), które umożliwiają przetwarzanie danych przez aplikacje. osoby to pracownicy niezbędni do planowania, organizacji, nabywania, wdrażania, dostarczania, zapewniania wsparcia, monitorowania i oceny systemów i usług informatycznych. Zależnie od potrzeb, mogą być to pracownicy wewnętrzni, zewnętrzni lub kontraktowi. Ilustracja 7 pokazuje, jak jaki sposób cele biznesowe dla IT wpływają na to, jak powinno przebiegać zarządzanie zasobami IT przez procesy IT, aby osiągnąć cele IT. Orientacja na procesy Metodyka CobiT definiuje działalność IT w ramach ogólnego modelu procesów w czterech domenach (dziedzinach). Domeny te to Planowanie i organizacja, Nabywanie i wdrażanie, Dostarczanie i wsparcie oraz Monitorowanie i ocena. Domeny odpowiadają tradycyjnym obszarom odpowiedzialności IT: planowania, budowy, obsługi i monitorowania. Metodyka CobiT zapewnia model odniesienia dla procesów i wspólny język komunikacji dla wszystkich osób w przedsiębiorstwie, aby przyglądać się działaniu IT i zarządzać nim. Wprowadzenie modelu operacyjnego i wspólnego języka komunikacji we wszystkich obszarach firmy związanych z IT jest jednym z najważniejszych początkowych kroków w kierunku odpowiedniego nadzoru. Zapewnia to również strukturę ramową dla pomiaru i monitorowania wydajności IT, komunikacji z dostawcami usług oraz wdrażania najlepszych praktyk zarządzania. Model procesów zachęca również do zdefiniowania własności procesów, zakresów odpowiedzialności i rozliczalności. Ilustracja 7 Zarządzanie zasobami IT w celu osiągania celów IT Aplikacje Cele przedsiębiorstwa Czynniki nadzoru Wyniki działalności Informacja Infrastruktura Procesy IT Cele IT Osoby Dla efektywnego nadzoru nad działalnością IT istotne jest określenie rodzajów działalności i ryzyka w obszarze IT, którymi należy zarządzać. Zwykle są one podzielone na obszary odpowiedzialności w zakresie planowania, budowy, obsługi i monitorowania. W metodyce CobiT obszary te (domeny), jak pokazano na ilustracji 8, określane są jako: Planowanie i organizacja (PO) określa kierunek dla dostarczania rozwiązań (AI) i świadczenia usług (DS). Nabywanie i wdrażanie (AI) obejmuje dostarczanie rozwiązań i przekazywanie ich w celu zamiany w usługi. Dostarczanie i wsparcie (DS) obejmuje odbiór rozwiązań i przystosowanie ich, aby były użyteczne dla użytkowników końcowych. Monitorowanie i ocena (ME) obejmuje monitorowanie wszystkich procesów, aby zapewnić podążanie w określonym kierunku. Ilustracja 8 Cztery powiązane domeny metodyki CobiT Planowanie i organizacja Nabywanie i wdrażanie Dostarczanie i wsparcie Monitorowanie i ocena Planowanie i organizacja (PO) Domena ta, obejmująca zagadnienia strategiczne i taktyczne, dotyczy określenia sposobu, w jaki działalność IT mogłaby najlepiej przyczynić się do osiągnięcia celów biznesowych. Realizacja wizji strategicznej powinna być planowana, komunikowana i zarządzana z uwzględnieniem różnych perspektyw. Wymaga również zapewnienia odpowiedniej organizacji i infrastruktury technicznej. Domena ta zwykle odpowiada na następujące pytania związane z zarządzaniem: Czy strategia IT jest dostosowana do strategii biznesowej? Czy przedsiębiorstwo w optymalny sposób wykorzystuje swoje zasoby? Czy wszyscy w organizacji rozumieją cele IT? Czy znane jest ryzyko IT i czy zarządza się nim? Czy jakość systemów informatycznych jest odpowiednia do potrzeb firmy? 12

17 Nabywanie i wdrażanie (AI) Aby możliwa była realizacja strategii IT, konieczne jest określenie i stworzenie lub nabycie rozwiązań informatycznych, a następnie ich wdrożenie i zintegrowanie z procesem biznesowym. Ponadto domena ta obejmuje również zmiany i utrzymanie istniejących systemów, aby mogły one nadal realizować cele biznesowe. Domena ta zwykle odpowiada na następujące pytania związane z zarządzaniem: Czy nowe projekty są w stanie dostarczyć rozwiązania, które będą spełniać potrzeby firmy? Czy nowe projekty mogą być zrealizowane terminowo i w ramach budżetu? Czy nowe systemy po ich wdrożeniu będą działać prawidłowo? Czy można wprowadzić zmiany bez zakłócania bieżącej działalności biznesowej? Dostarczanie i wsparcie (DS) Domena ta dotyczy rzeczywistego dostarczania potrzebnych usług, które obejmuje świadczenie usług, zarządzanie bezpieczeństwem i ciągłością, wsparcie techniczne dla użytkowników oraz zarządzanie danymi i infrastrukturą operacyjną. Zwykle odpowiada ona na następujące pytania związane z zarządzaniem: Czy usługi IT są dostarczane zgodnie z priorytetami biznesowymi? Czy koszty IT są zoptymalizowane? Czy pracownicy są w stanie korzystać z systemów IT w produktywny i bezpieczny sposób? Czy zapewniona jest odpowiednia poufność, integralność i dostępność gwarantująca bezpieczeństwo informacji? Monitorowanie i ocena (ME) Wszystkie procesy IT powinny być regularnie poddawane ocenie pod kątem ich jakości i zgodności z wymaganiami kontrolnymi. Domena ta obejmuje kwestie zarządzania wydajnością, monitorowania systemu kontroli, zgodności z wymaganiami regulacyjnymi i nadzoru. Zwykle odpowiada ona na następujące pytania związane z zarządzaniem: Czy wydajność IT podlega pomiarowi, aby wykrywać problemy zanim jest za późno? Czy kierownictwo dba o to, aby wewnętrzne mechanizmy kontrolne były efektywne i wydajne? Czy efekty działalności IT można powiązać z celami biznesowymi? Czy istnieją odpowiednie mechanizmy kontroli poufności, integralności i dostępności w celu zapewnienia bezpieczeństwa informacji? W ramach tych czterech domen metodyka CobiT wyodrębnia 34 ogólnie stosowane procesy IT (ich pełną listę przedstawiono na ilustracji 23). Podczas gdy większość przedsiębiorstw ma zdefiniowane wymagania dotyczące obowiązków w zakresie planowania, budowy, obsługi i monitorowania w dziedzinie IT i większość wykorzystuje te same kluczowe procesy, niewiele z nich ma taką samą strukturę procesów lub stosuje wszystkie 34 procesy CobiT. Metodyka CobiT obejmuje pełną listę procesów, które mogą zostać wykorzystane w celu weryfikacji kompletności czynności i obowiązków. Nie wszystkie jednak one muszą mieć zastosowanie, a co więcej, każde przedsiębiorstwo może wykorzystywać je w wybranej przez siebie kombinacji. Każdy z 34 procesów został powiązany ze wspieranymi celami biznesowymi i celami IT. Uwzględniono również informacje o tym, w jaki sposób można dokonywać pomiaru realizacji celów, jakie są kluczowe czynności i najważniejsze efekty oraz kto jest za nie odpowiedzialny. Oparcie na mechanizmach kontrolnych Metodyka CobiT definiuje cele kontrolne dla wszystkich 34 procesów, a także cele wspólne dla wszystkich procesów oraz cele dla aplikacyjnych mechanizmów kontrolnych. Procesy wymagają mechanizmów kontrolnych Mechanizmy kontrolne są definiowane jako polityki, procedury, praktyki i struktury organizacyjne stworzone w celu racjonalnego zapewnienia realizacji celów biznesowych oraz zapobiegnięcia lub wykrycia i przeciwdziałania skutkom niepożądanych zdarzeń. Cele kontrolne IT obejmują pełen zestaw wymagań wysokiego poziomu, które powinno uwzględnić kierownictwo, aby sprawować efektywną kontrolę nad poszczególnymi procesami IT. Cele kontrolne: to opisy działań zarządczych mających na celu zwiększenie wartości lub zmniejszenie ryzyka; obejmują polityki, procedury, praktyki i struktury organizacyjne; są określone w celu racjonalnego zapewnienia realizacji celów biznesowych oraz zapobiegnięcia lub wykrycia i przeciwdziałania skutkom niepożądanych zdarzeń. Kierownictwo firmy dokonuje wyborów dotyczących celów kontrolnych poprzez: wybór tych, które są właściwe; podjęcie decyzji, które z nich zostaną wdrożone; wybór sposobu ich wdrożenia (częstotliwość, zakres, automatyzacja itp.); akceptację ryzyka niewdrożenia celów, które mogą mieć zastosowanie. Metodyka CobiT 13

18 CobiT 4.1 Pewną wskazówką może być standardowy model kontroli przedstawiony na ilustracji 9. Ilustruje on zasady rządzące następującą analogią: Gdy zostaje ustawiona temperatura pokojowa (standard) dla systemu ogrzewania (proces), system stale sprawdza (porównuje) temperaturę w pokoju (informacje kontrolne) i przekazuje sygnały (działanie) do systemu ogrzewania, aby ten dostarczył więcej lub mniej ciepła. Ilustracja 9 Model kontroli DZIAŁANIE Kierownictwo operacyjne wykorzystuje procesy do organizacji i zarządzania bieżącą działalnością IT. Metodyka CobiT opisuje ogólny model procesów, obejmujący wszystkie procesy właściwe funkcjom IT, zapewniając wspólny model odniesienia, zrozumiały dla kierownictwa operacyjnego działu IT i firmy. Aby możliwe było sprawowanie efektywnego nadzoru, konieczne jest wprowadzenie przez kierowników operacyjnych mechanizmów kontrolnych (w ramach zdefiniowanego systemu kontroli) dla wszystkich procesów IT. Ponieważ cele kontrolne IT CobiT są zorganizowane według procesów IT, metodyka zapewnia przejrzyste powiązania między wymaganiami nadzoru informatycznego, procesami IT i mechanizmami kontrolnymi dotyczącymi IT. Normy Standardy Cele Porównywanie Proces KONTROLOWANIE INFORMACJI Każdy z procesów IT CobiT ma odpowiedni opis i kilka celów kontrolnych. Razem składają się one na charakterystykę dobrze zarządzanego procesu. Cele kontrolne są oznaczone dwuliterowym kodem domeny (PO, AI, DS i ME) oraz numerem procesu i numerem celu kontrolnego. Oprócz celów kontrolnych każdego procesu IT CobiT określone są również ogólne wymagania kontrolne, które są oznaczone numerami PCn (numery ogólnych mechanizmów kontrolnych wspólne dla każdego procesu). Aby mieć pełny obraz wymagań kontrolnych, należy je rozpatrywać łącznie z celami kontrolnymi procesu. PC1 Cele procesu Zdefiniować i przekazać konkretne, mierzalne, przekładalne na działania, realistyczne, zorientowane na efekty i aktualne (SMARRT) cele procesu, aby zapewnić efektywną realizację każdego z procesów IT. Zapewnić ich powiązanie z celami biznesowymi i wsparcie przez odpowiednie mierniki. PC2 Własność procesu Określić właściciela każdego z procesów IT i jasno zdefiniować jego role i obowiązki. Uwzględnić np. odpowiedzialność za projekt procesu, interakcje z innymi procesami, rozliczalność końcowych efektów, pomiar wydajności procesu oraz określenie możliwości doskonalenia. PC3 Powtarzalność procesu Zaprojektować i wdrożyć każdy z kluczowych procesów IT w taki sposób, aby był on powtarzalny i stale zapewniał oczekiwane rezultaty. Określić logiczną i jednocześnie elastyczną i skalowalną sekwencję czynności, która będzie prowadzić do uzyskania pożądanych rezultatów, będąc przy tym wystarczająco sprawną, aby sprostać różnym oczekiwaniom i zagrożeniom. Tam gdzie to możliwe zastosować jednorodne procesy i dostosowywać je tylko wtedy, gdy jest to nieuniknione. PC4 Role i obowiązki Zdefiniować kluczowe czynności i końcowe efekty procesu. Przydzielić i zakomunikować jednoznaczne role i obowiązki w celu efektywnego i wydajnego wykonywania i udokumentowania kluczowych czynności oraz zapewnienia rozliczalności końcowych efektów procesu. PC5 Polityka, plany i procedury Określić i poinformować, w jaki sposób wszystkie polityki, plany i procedury, które stymulują proces IT, będą dokumentowane, weryfikowane, utrzymywane, zatwierdzane, przechowywane, komunikowane i wykorzystywane do szkolenia. Określić odpowiedzialność za każdą z tych czynności i w odpowiednim czasie zweryfikować, czy są one prawidłowo wykonywane. Zapewnić, by polityki, plany i procedury były dostępne, prawidłowe, zrozumiałe i aktualne. PC6 Doskonalenie wydajności procesu Określić zestaw mierników, które umożliwią ocenę wyników i wydajności procesu. Określić docelowe wartości, które odzwierciedlają cele procesu oraz wskaźniki wydajności, które umożliwiają osiągnięcie celów procesu. Określić, w jaki sposób będą pozyskiwane dane. Porównać rzeczywiste pomiary z docelowymi wartościami i w razie potrzeby podjąć działania w celu wyeliminowania odchyleń. Dostosować mierniki, docelowe wartości i metody do stosowanego podejścia do monitorowania ogólnej wydajności IT. Efektywne mechanizmy kontrolne ograniczają ryzyko, zwiększają prawdopodobieństwo dostarczenia wartości i zapewniają poprawę wydajności dzięki zmniejszeniu liczby błędów i bardziej spójnemu podejściu do zarządzania. Ponadto metodyka CobiT podaje dla każdego procesu przykłady, które go ilustrują, ale nie w normatywny czy wyczerpujący sposób. Zawierają one: Ogólne parametry wejściowe i wyjściowe Czynności i wskazówki dotyczące ról i obowiązków ujęte w ramach modelu RACI (ang. Responsible Odpowiedzialny, Accountable Rozliczany, Consulted Konsultujący, Informed Informowany) Kluczowe cele czynności (najważniejsze rzeczy do zrobienia) Mierniki 14

19 Metodyka CobiT Oprócz świadomości niezbędnych mechanizmów kontrolnych, właściciele procesów powinni wiedzieć, jakiego wkładu potrzebują od innych oraz czego inni potrzebują od ich procesu. Metodyka CobiT zawiera również ogólne przykłady najważniejszych elementów wejściowych i wyjściowych dla każdego procesu, włączając zewnętrzne wymagania IT. Istnieją pewne elementy wyjściowe, które stanowią wkład wejściowy do wszystkich innych procesów (oznaczone jako WSZYSTKIE w tabelach elementów wyjściowych), ale nie są one wymienione jako elementy wejściowe we wszystkich procesach i zwykle obejmują standardy jakościowe i wymagania dotyczące mierników, strukturę procesu IT, udokumentowane role i obowiązki, strukturę mechanizmów kontrolnych IT przedsiębiorstwa, polityki IT oraz role i obowiązki personelu. Zrozumienie ról i obowiązków dla każdego procesu jest kluczem do efektywnego nadzoru. Metodyka CobiT zawiera tabele RACI dla poszczególnych procesów. W modelu tym rozliczany (ang. accountable) oznacza osobę, która wskazuje kierunek i zatwierdza daną czynność. odpowiedzialny (ang. responsible) to natomiast osoba, która wykonuje dane zadanie. Pozostałe dwie role konsultujący (ang. consulted) i informowany (ang. informed) dotyczą wszystkich osób, które są zaangażowane w proces i wspierają go. Biznesowe i informatyczne mechanizmy kontrolne Wewnętrzne mechanizmy kontrolne przedsiębiorstwa mają wpływ na działalność IT na trzech poziomach: Na poziomie kadry zarządzającej ustalane są cele biznesowe i polityki, a także podejmowane decyzje, w jaki sposób rozlokować i zarządzać zasobami przedsiębiorstwa, aby realizować jego strategię. Ogólne podejście do nadzoru i kontroli jest określane przez zarząd i komunikowane w całym przedsiębiorstwie. Te ustalone na najwyższym poziomie cele i polityki mają bezpośredni wpływ na środowisko kontrolne IT. Na poziomie procesów biznesowych mechanizmami kontrolnymi objęte są określone czynności biznesowe. Większość procesów biznesowych jest zautomatyzowana i zintegrowana z systemami aplikacji IT, co oznacza, że wiele mechanizmów kontrolnych na tym poziomie jest także zautomatyzowanych. Te mechanizmy kontrolne określa się mianem aplikacyjnych mechanizmów kontrolnych. Jednak niektóre mechanizmy kontrolne w ramach procesu biznesowego, takie jak autoryzowanie do wykonywania transakcji, rozdzielanie obowiązków czy uzgodnienia stanów, pozostają procedurami manualnymi. Dlatego mechanizmy kontrolne na poziomie procesu biznesowego stanowią połączenie manualnych mechanizmów kontrolnych obsługiwanych przez stronę biznesową oraz zautomatyzowanych biznesowych i aplikacyjnych mechanizmów kontrolnych. Wszystkie one są definiowane i zarządzane przez stronę biznesową, jednak aplikacyjne mechanizmy kontrolne wymagają działań na poziomie IT związanych z ich zaprojektowaniem i zaprogramowaniem w aplikacji. Aby wspierać procesy biznesowe, dział IT świadczy usługi IT zwykle w postaci usługi wspólnej dla wielu procesów biznesowych, ponieważ wiele procesów programistycznych i operacyjnych IT jest przeznaczonych dla całego przedsiębiorstwa, a znaczna część infrastruktury IT jest udostępniana jako usługa wspólna (np. sieci, bazy danych, systemy operacyjne czy pamięć masowa). Mechanizmy kontrolne obejmujące wszystkie czynności usługowe IT określa się mianem ogólnych mechanizmów kontrolnych IT. Niezawodne działanie ogólnych mechanizmów kontrolnych jest niezbędne, aby móc zaufać działaniu aplikacyjnych mechanizmów kontrolnych. Na przykład niewłaściwe Zarządzanie zmianami może zagrażać (przypadkowo lub celowo) niezawodności zautomatyzowanych kontroli integralności. Ogólne mechanizmy kontrolne IT i aplikacyjne mechanizmy kontrolne Ogólne mechanizmy kontrolne to mechanizmy kontrolne wbudowane w procesy i usługi IT. Przykłady adresują: Rozwój systemów Zarządzanie zmianą Bezpieczeństwo Operacje komputerowe Mechanizmy kontrolne wbudowane w aplikacje procesów biznesowych określa się zwykle mianem aplikacyjnych mechanizmów kontrolnych. Ich przykłady to: Kompletność Dokładność Ważność Autoryzacja Rozdzielenie obowiązków Metodyka CobiT zakłada, że projektowanie i wdrażanie zautomatyzowanych aplikacyjnych mechanizmów kontrolnych należy do zakresu obowiązków działu IT i mieści się w domenie Nabywanie i wdrażanie zgodnie z wymaganiami biznesowymi określonymi na podstawie kryteriów informacji CobiT, jak pokazano na ilustracji 10. Zarządzanie operacyjne i odpowiedzialność za nadzorowanie aplikacyjnych mechanizmów kontrolnych nie jest domeną IT, lecz należy do właściciela procesu biznesowego. Dlatego odpowiedzialność za aplikacyjne mechanizmy kontrolne należy od początku do końca do wspólnego zakresu odpowiedzialności sfery biznesowej i IT, ale charakter odpowiedzialności zmienia się w następujący sposób: Sfera biznesowa jest odpowiedzialna za prawidłowe: zdefiniowanie wymagań funkcjonalnych i kontrolnych; korzystanie ze zautomatyzowanych usług. Dział IT jest odpowiedzialny za: zautomatyzowanie i wdrożenie biznesowych wymagań funkcjonalnych i kontrolnych; ustanowienie mechanizmów kontrolnych w celu utrzymywania integralności aplikacyjnych mechanizmów kontrolnych. Dlatego procesy IT CobiT obejmują ogólne mechanizmy kontrolne oraz te aspekty aplikacyjnych mechanizmów kontrolnych, które związane są z ich tworzeniem; odpowiedzialność za ich definiowanie i wykorzystanie operacyjne spoczywa na sferze biznesowej. 15

20 CobiT 4.1 Ilustracja 10 Granice między mechanizmami kontroli wewnętrznej, aplikacyjnej oraz ogólnymi mechanizmami kontroli IT w przedsiębiorstwie Odpowiedzialność w sferze biznesu Odpowiedzialność w obszarze IT Odpowiedzialność w sferze biznesu Biznesowe mechanizmy kontrolne Ogólne mechanizmy kontroli IT Biznesowe mechanizmy kontrolne Planowanie i organizacja Wymagania funkcjonalne Wymagania kontrolne Nabywanie i wdrażanie Dostarczanie i wsparcie Zautomatyzowane usługi Monitorowanie i ocena Aplikacyjne mechanizmy kontrolne Poniższa lista zawiera zbiór zalecanych celów dla aplikacyjnych mechanizmów kontrolnych. Są one oznaczone numerami ACn (numery aplikacyjnych mechanizmów kontrolnych). AC1 Przygotowanie i autoryzacja danych źródłowych Zapewnić, by dokumenty źródłowe były przygotowywane przez upoważniony i wykwalifikowany personel zgodnie z ustalonymi procedurami i z uwzględnieniem odpowiedniego rozdziału obowiązków wobec pochodzenia i zatwierdzania tychże dokumentów. Błędy i przeoczenia można zminimalizować poprzez zaprojektowanie odpowiedniego formularza wprowadzania danych. Wykrywać błędy i odstępstwa, aby można było je zgłosić i poprawić. AC2 Gromadzenie i wprowadzanie danych źródłowych Zapewnić, by dane były wprowadzane w odpowiednim czasie przez upoważniony i wykwalifikowany personel. Korygowanie i ponowne wprowadzanie danych, które zostały błędnie wprowadzone, powinno odbywać się bez obniżania pierwotnych poziomów autoryzacji transakcji. Jeśli jest to konieczne do rekonstrukcji, należy zachować przez odpowiednio długi czas oryginalne dokumenty źródłowe. AC3 Kontrola dokładności, kompletności i autentyczności Zapewnić, by transakcje były dokładne, kompletne i poprawne. Zweryfikować poprawność wprowadzonych danych i zmodyfikować je lub odesłać je do poprawy możliwie jak najbliżej punktu powstania. AC4 Integralność i poprawność przetwarzania Zachować integralność i poprawność danych przez cały cykl przetwarzania. Wykrycie błędnych transakcji nie powinno zakłócać przetwarzania prawidłowych transakcji. AC5 Ocena efektów, uzgadnianie i postępowanie z błędami Ustanowić procedury i powiązane obowiązki, aby zapewnić: uprawnione obchodzenie się z danymi wyjściowymi, dostarczanie ich właściwym odbiorcom oraz ich ochronę podczas przesyłania; weryfikację, wykrywanie i korygowanie niedokładności danych wyjściowych; właściwe wykorzystanie informacji zawartych w danych wyjściowych. AC6 Uwierzytelnianie i integralność transakcji Przed przekazaniem danych transakcyjnych między wewnętrznymi aplikacjami a funkcjami biznesowymi/operacyjnymi (lub na zewnątrz przedsiębiorstwa) należy sprawdzić poprawność ich adresowania, autentyczność pochodzenia oraz integralność zawartości. Zapewnić zachowanie autentyczności i integralności podczas przesyłania lub transportu. 16

COBIT 5 I I N N E S TA N D A R D Y. Sylwia Wystub, CISA, ABCP

COBIT 5 I I N N E S TA N D A R D Y. Sylwia Wystub, CISA, ABCP COBIT 5 I I N N E S TA N D A R D Y Sylwia Wystub, CISA, ABCP COBIT 5 HISTORIA ROZWOJU Control OBjectices for IT and related solutions Początek prac nad standardem w roku 1992 Najnowsze wydanie standardu,

Bardziej szczegółowo

Bezpieczeństwo dziś i jutro Security InsideOut

Bezpieczeństwo dziś i jutro Security InsideOut Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle

Bardziej szczegółowo

Zarządzanie ryzykiem teoria i praktyka. Ewa Szczepańska Centrum Projektów Informatycznych Warszawa, dnia 31 stycznia 2012 r.

Zarządzanie ryzykiem teoria i praktyka. Ewa Szczepańska Centrum Projektów Informatycznych Warszawa, dnia 31 stycznia 2012 r. Zarządzanie ryzykiem teoria i praktyka Ewa Szczepańska Centrum Projektów Informatycznych Warszawa, dnia 31 stycznia 2012 r. Zarządzanie ryzykiem - agenda Zarządzanie ryzykiem - definicje Ryzyko - niepewne

Bardziej szczegółowo

Zarządzanie projektami a zarządzanie ryzykiem

Zarządzanie projektami a zarządzanie ryzykiem Ewa Szczepańska Zarządzanie projektami a zarządzanie ryzykiem Warszawa, dnia 9 kwietnia 2013 r. Agenda Definicje Wytyczne dla zarządzania projektami Wytyczne dla zarządzania ryzykiem Miejsce ryzyka w zarządzaniu

Bardziej szczegółowo

Dopasowanie IT/biznes

Dopasowanie IT/biznes Dopasowanie IT/biznes Dlaczego trzeba mówić o dopasowaniu IT-biznes HARVARD BUSINESS REVIEW, 2008-11-01 Dlaczego trzeba mówić o dopasowaniu IT-biznes http://ceo.cxo.pl/artykuly/51237_2/zarzadzanie.it.a.wzrost.wartosci.html

Bardziej szczegółowo

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska

Bardziej szczegółowo

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011 Architektura informacji w ochronie zdrowia Warszawa, 29 listopada 2011 Potrzeba Pomiędzy 17 a 19 kwietnia 2011 roku zostały wykradzione dane z 77 milionów kont Sony PlayStation Network. 2 tygodnie 25 milionów

Bardziej szczegółowo

Audyt systemów informatycznych w świetle standardów ISACA

Audyt systemów informatycznych w świetle standardów ISACA Audyt systemów informatycznych w świetle standardów ISACA Radosław Kaczorek, CISSP, CISA, CIA Warszawa, 7 września 2010 r. 1 Zawartość prezentacji Wstęp Ryzyko i strategia postępowania z ryzykiem Mechanizmy

Bardziej szczegółowo

COBIT 5 WHITE PAPER WSTĘP

COBIT 5 WHITE PAPER WSTĘP COBIT 5 1 CTPartners 2014 Dokument stanowi przedmiot prawa autorskiego przysługującego CTPartners S.A. z siedzibą w Warszawie. Zwielokrotnianie i rozpowszechnianie publikacji jest dozwolone wyłącznie za

Bardziej szczegółowo

Dopasowanie IT/biznes

Dopasowanie IT/biznes Dopasowanie IT/biznes Dlaczego trzeba mówić o dopasowaniu IT-biznes HARVARD BUSINESS REVIEW, 2008-11-01 Dlaczego trzeba mówić o dopasowaniu IT-biznes http://ceo.cxo.pl/artykuly/51237_2/zarzadzanie.it.a.wzrost.wartosci.html

Bardziej szczegółowo

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy

Bardziej szczegółowo

BAKER TILLY POLAND CONSULTING

BAKER TILLY POLAND CONSULTING BAKER TILLY POLAND CONSULTING Wytyczne KNF dla firm ubezpieczeniowych i towarzystw reasekuracyjnych w obszarze bezpieczeństwa informatycznego An independent member of Baker Tilly International Objaśnienie

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT CTPARTNERS W LICZBACH 15 osób przeszkolonych z zakresu IT lat na rynku 40 000 4 kompleksowe obszary zarządzania IT w ofercie ~100% Zdawalności egzaminów po naszych szkoleniach szkoleń otwartych i zamkniętych

Bardziej szczegółowo

ISO 9001:2015 przegląd wymagań

ISO 9001:2015 przegląd wymagań ISO 9001:2015 przegląd wymagań dr Inż. Tomasz Greber (www.greber.com.pl) Normy systemowe - historia MIL-Q-9858 (1959 r.) ANSI-N 45-2 (1971 r.) BS 4891 (1972 r.) PN-N 18001 ISO 14001 BS 5750 (1979 r.) EN

Bardziej szczegółowo

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak

Bardziej szczegółowo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014 1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)

Bardziej szczegółowo

Wsparcie narzędziowe zarządzania ryzykiem w projektach

Wsparcie narzędziowe zarządzania ryzykiem w projektach Wsparcie narzędziowe zarządzania ryzykiem w projektach Spotkanie 1 Zbigniew Misiak (BOC IT Consulting) Podyplomowe Studia Menedżerskie Zarządzanie projektami informatycznymi Czym się będziemy zajmować?

Bardziej szczegółowo

System Kontroli Wewnętrznej w Banku BPH S.A.

System Kontroli Wewnętrznej w Banku BPH S.A. System Kontroli Wewnętrznej w Banku BPH S.A. Cel i elementy systemu kontroli wewnętrznej 1. System kontroli wewnętrznej umożliwia sprawowanie nadzoru nad działalnością Banku. System kontroli wewnętrznej

Bardziej szczegółowo

Szkolenie 2. Zarządzanie programami

Szkolenie 2. Zarządzanie programami UNIWERSYTET MARII CURIE-SKŁODOWSKIEJ W LUBLINIE Projekt Nowoczesny model zarządzania w UMCS umowa nr UDA-POKL.04.01.01-00-036/11-00 Pl. Marii Curie-Skłodowskiej 5, 20-031 Lublin, www.nowoczesny.umcs.lublin.pl

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

Kryteria oceny Systemu Kontroli Zarządczej

Kryteria oceny Systemu Kontroli Zarządczej Załącznik nr 2 do Zasad kontroli zarządczej w gminnych jednostkach organizacyjnych oraz zobowiązania kierowników tych jednostek do ich stosowania Kryteria oceny Systemu Kontroli Zarządczej Ocena Środowisko

Bardziej szczegółowo

Kontrola zarządcza IT

Kontrola zarządcza IT Kontrola zarządcza IT Spotkanie audytorów wewnętrznych w Ministerstwie Finansów w dniu 26.08.2010r. Przygotowała: mgr inŝ. Joanna Karczewska CISA j.karczewska@poczta.onet.pl Ustawa o finansach publicznych

Bardziej szczegółowo

ISTOTNYCH. o COBIT 5

ISTOTNYCH. o COBIT 5 ISTOTNYCH 5FAKTÓW o COBIT 5 Informacja jest kluczowym zasobem wszystkich organizacji. Od momentu powstania informacji do jej zniszczenia, technologie informatyczne odgrywają znaczącą rolę w jej przetwarzaniu

Bardziej szczegółowo

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,

Bardziej szczegółowo

Robert Meller, Nowoczesny audyt wewnętrzny

Robert Meller, Nowoczesny audyt wewnętrzny Robert Meller, Nowoczesny audyt wewnętrzny Spis treści: O autorze Przedmowa CZĘŚĆ I. PODSTAWY WSPÓŁCZESNEGO AUDYTU WEWNĘTRZNEGO Rozdział 1. Podstawy audytu 1.1. Historia i początki audytu 1.2. Struktura

Bardziej szczegółowo

Rodzaje audytu. Artur Sierszeń asiersz@kis.p.lodz.pl http://bzyczek.kis.p.lodz.pl

Rodzaje audytu. Artur Sierszeń asiersz@kis.p.lodz.pl http://bzyczek.kis.p.lodz.pl Rodzaje audytu Artur Sierszeń asiersz@kis.p.lodz.pl http://bzyczek.kis.p.lodz.pl Rodzaje audytu audyt finansowy audyt operacyjny audyt wynagrodzeń audyt personalny audyt menedżerski audyt komunikacyjny

Bardziej szczegółowo

POLITYKA JAKOŚCI. Polityka jakości to formalna i ogólna deklaracja firmy, jak zamierza traktować sprawy zarządzania jakością.

POLITYKA JAKOŚCI. Polityka jakości to formalna i ogólna deklaracja firmy, jak zamierza traktować sprawy zarządzania jakością. POLITYKA JAKOŚCI Polityka jakości jest zestawem nadrzędnych celów, zamiarów oraz orientacji organizacji na jakość. Stanowi ona dowód na to, że przedsiębiorca wie, czego chce i kieruje swoim przedsiębiorstwem

Bardziej szczegółowo

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej Michał Kurek, Partner KPMG, Cyber Security Forum Bezpieczeństwo Sieci Technologicznych Konstancin-Jeziorna, 21 listopada

Bardziej szczegółowo

ISO 9000/9001. Jarosław Kuchta Jakość Oprogramowania

ISO 9000/9001. Jarosław Kuchta Jakość Oprogramowania ISO 9000/9001 Jarosław Kuchta Jakość Oprogramowania Co to jest ISO International Organization for Standardization największa międzynarodowa organizacja opracowująca standardy 13700 standardów zrzesza narodowe

Bardziej szczegółowo

Projekt współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego. 1. Cel szkolenia

Projekt współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego. 1. Cel szkolenia 1. Cel szkolenia m szkolenia jest nauczenie uczestników stosowania standardu PRINCE2 do Zarządzania Projektami Informatycznymi. Metodyka PRINCE2 jest jednym z najbardziej znanych na świecie standardów

Bardziej szczegółowo

Data Governance jako część ładu korporacyjnego

Data Governance jako część ładu korporacyjnego Data Governance jako część ładu korporacyjnego Prof. SGH, dr hab. Andrzej Sobczak Kurs: Wprowadzenie do problematyki Data Governance Zakres tematyczny kursu Data Governance jako część ładu korporacyjnego

Bardziej szczegółowo

Ocena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej.

Ocena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej. dojrzałości jednostki Kryteria oceny Systemu Kontroli Zarządczej. Zgodnie z zapisanym w Komunikacie Nr 23 Ministra Finansów z dnia 16 grudnia 2009r. standardem nr 20 1 : Zaleca się przeprowadzenie co najmniej

Bardziej szczegółowo

Wprowadzenie w tematykę zarządzania przedsięwzięciami/projektami. dr inż. Agata Klaus-Rosińska

Wprowadzenie w tematykę zarządzania przedsięwzięciami/projektami. dr inż. Agata Klaus-Rosińska Wprowadzenie w tematykę zarządzania przedsięwzięciami/projektami dr inż. Agata Klaus-Rosińska 1 DEFINICJA PROJEKTU Zbiór działań podejmowanych dla zrealizowania określonego celu i uzyskania konkretnego,

Bardziej szczegółowo

Informacja Banku Spółdzielczego w Chojnowie

Informacja Banku Spółdzielczego w Chojnowie BANK SPÓŁDZIELCZY W CHOJNOWIE Grupa BPS Informacja Banku Spółdzielczego w Chojnowie wynikająca z art. 111a ustawy Prawo Bankowe według stanu na dzień 31.12.2016 r. 1. Informacja o działalności Banku Spółdzielczego

Bardziej szczegółowo

Zarządzanie ryzykiem w IT

Zarządzanie ryzykiem w IT Global Information Security sp. z o.o. bezpieczeństwo informacji zarządzanie ryzykiem ochrona danych osobowych optymalizacja procesów biznesowych Zarządzanie ryzykiem w IT Co osiągniesz przez udziałów

Bardziej szczegółowo

Solvency II. Filar II - Wymogi systemu zarządzania. Polska Izba Ubezpieczeń Deloitte Advisory Sp. z o.o. Jakub Bojanowski. 10 grudnia 2008 roku

Solvency II. Filar II - Wymogi systemu zarządzania. Polska Izba Ubezpieczeń Deloitte Advisory Sp. z o.o. Jakub Bojanowski. 10 grudnia 2008 roku Solvency II Filar II - Wymogi systemu zarządzania. Polska Izba Ubezpieczeń Deloitte Advisory Sp. z o.o Jakub Bojanowski 10 grudnia 2008 roku 1 Filar II System Zarządzania System zarządzania ryzykiem opisany

Bardziej szczegółowo

STANOWISKO IIA DLACZEGO ZGODNOŚĆ MA ZNACZENIE

STANOWISKO IIA DLACZEGO ZGODNOŚĆ MA ZNACZENIE STANOWISKO IIA DLACZEGO ZGODNOŚĆ MA ZNACZENIE Wstęp Audyt wewnętrzny jest przeprowadzany w różnych środowiskach prawnych i kulturowych, w organizacjach różniących się pod względem rodzaju działalności,

Bardziej szczegółowo

PYTANIA PRÓBNE DO EGZAMINU NA CERTYFIKAT ZAAWANSOWANY REQB KLUCZ ODPOWIEDZI. Część DODATEK

PYTANIA PRÓBNE DO EGZAMINU NA CERTYFIKAT ZAAWANSOWANY REQB KLUCZ ODPOWIEDZI. Część DODATEK KLUCZ ODPOWIEDZI Część DODATEK 8.1 9.4 PYTANIA PRÓBNE DO EGZAMINU NA CERTYFIKAT ZAAWANSOWANY REQB Na podstawie: Syllabus REQB Certified Professional for Requirements Engineering, Advanced Level, Requirements

Bardziej szczegółowo

ROLA KADRY ZARZĄDZAJĄCEJ W KSZTAŁTOWANIU BEZPIECZEŃSTWA PRACY. dr inż. Zofia Pawłowska

ROLA KADRY ZARZĄDZAJĄCEJ W KSZTAŁTOWANIU BEZPIECZEŃSTWA PRACY. dr inż. Zofia Pawłowska ROLA KADRY ZARZĄDZAJĄCEJ W KSZTAŁTOWANIU BEZPIECZEŃSTWA PRACY dr inż. Zofia Pawłowska 1. Ład organizacyjny jako element społecznej odpowiedzialności 2. Podstawowe zadania kierownictwa w zakresie BHP wynikające

Bardziej szczegółowo

Nie o narzędziach a o rezultatach. czyli skuteczny sposób dokonywania uzgodnień pomiędzy biznesem i IT. Władysławowo, 6 października 2011 r.

Nie o narzędziach a o rezultatach. czyli skuteczny sposób dokonywania uzgodnień pomiędzy biznesem i IT. Władysławowo, 6 października 2011 r. Nie o narzędziach a o rezultatach czyli skuteczny sposób dokonywania uzgodnień pomiędzy biznesem i IT Władysławowo, 6 października 2011 r. Dlaczego taki temat? Ci którzy wykorzystują technologie informacyjne

Bardziej szczegółowo

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku Kraśnik grudzień 2017 CELE I ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ 1 Cele systemu kontroli wewnętrznej 1. W Banku Spółdzielczym

Bardziej szczegółowo

ALLPLAN SERIA PODSTAWY BIM PRZEWODNIK ZARZĄDZANIA BIM

ALLPLAN SERIA PODSTAWY BIM PRZEWODNIK ZARZĄDZANIA BIM ALLPLAN SERIA PODSTAWY BIM PRZEWODNIK ZARZĄDZANIA BIM CZYM JEST BIM? Building Information Modeling (BIM) Building information modeling to wizualizacja procesowa, która w całym cyklu życia projektu tworzy

Bardziej szczegółowo

Zarządzanie zmianą - rozwój zarządzania procesowego wg ISO 9001:2015

Zarządzanie zmianą - rozwój zarządzania procesowego wg ISO 9001:2015 Zarządzanie zmianą - rozwój zarządzania procesowego wg ISO 9001:2015 ZAPEWNIAMY BEZPIECZEŃSTWO Piotr Błoński, Warszawa, 17.03.2016 r. Program 1. Zarządzanie zmianą - zmiany w normie ISO 9001:2015 2. Zarządzanie

Bardziej szczegółowo

Maciej Byczkowski ENSI 2017 ENSI 2017

Maciej Byczkowski ENSI 2017 ENSI 2017 Znaczenie norm ISO we wdrażaniu bezpieczeństwa technicznego i organizacyjnego wymaganego w RODO Maciej Byczkowski Nowe podejście do ochrony danych osobowych w RODO Risk based approach podejście oparte

Bardziej szczegółowo

Analityk i współczesna analiza

Analityk i współczesna analiza Analityk i współczesna analiza 1. Motywacje 2. Analitycy w IBM RUP 3. Kompetencje analityka według IIBA BABOK Materiały pomocnicze do wykładu z Modelowania i Analizy Systemów na Wydziale ETI PG. Ich lektura

Bardziej szczegółowo

Cele kluczowe W dziedzinie inwestowania w zasoby ludzkie W zakresie wzmacniania sfery zdrowia i bezpieczeństwa

Cele kluczowe W dziedzinie inwestowania w zasoby ludzkie W zakresie wzmacniania sfery zdrowia i bezpieczeństwa Cele kluczowe Idea społecznej odpowiedzialności biznesu jest wpisana w wizję prowadzenia działalności przez Grupę Kapitałową LOTOS. Zagadnienia te mają swoje odzwierciedlenie w strategii biznesowej, a

Bardziej szczegółowo

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A. Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A. Jednym z elementów zarządzania Bankiem jest system kontroli wewnętrznej (SKW), którego podstawy, zasady i cele wynikają

Bardziej szczegółowo

Skrócone opisy pryncypiów architektury korporacyjnej podmiotów publicznych

Skrócone opisy pryncypiów architektury korporacyjnej podmiotów publicznych Skrócone opisy pryncypiów architektury korporacyjnej podmiotów publicznych Wersja: 1.0 17.06.2015 r. Wstęp W dokumencie przedstawiono skróconą wersję pryncypiów architektury korporacyjnej podmiotów publicznych.

Bardziej szczegółowo

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów RAPORT OCENA KONTROLI ZARZĄDCZEJ Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów raport za rok: 2015 Strona 1 z 12 I. WSTĘP: Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi

Bardziej szczegółowo

Przedszkole Nr 30 - Śródmieście

Przedszkole Nr 30 - Śródmieście RAPORT OCENA KONTROLI ZARZĄDCZEJ Przedszkole Nr 30 - Śródmieście raport za rok: 2016 Strona 1 z 12 I. WSTĘP: Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi ogół działań podejmowanych

Bardziej szczegółowo

Zarządzanie kompetencjami

Zarządzanie kompetencjami Zarządzanie kompetencjami Zarządzanie kompetencjami reprezentuje jeden z najnowszych nurtów zarządzania zasobami ludzkimi. Jako datę początku zainteresowania zarządzaniem kompetencjami w literaturze wskazuje

Bardziej szczegółowo

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Zarządzanie ryzykiem Klasyfikacja Edukacja Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 5.4.

Bardziej szczegółowo

Wprowadzenie w tematykę zarządzania projektami/przedsięwzięciami

Wprowadzenie w tematykę zarządzania projektami/przedsięwzięciami Wprowadzenie w tematykę zarządzania projektami/przedsięwzięciami punkt 2 planu zajęć dr inż. Agata Klaus-Rosińska 1 DEFINICJA PROJEKTU Zbiór działań podejmowanych dla zrealizowania określonego celu i uzyskania

Bardziej szczegółowo

Balanced Scorecard. Zaprogramuj swoją strategię. wyceny i doradztwo finansowe modelowanie i analizy business excellence

Balanced Scorecard. Zaprogramuj swoją strategię. wyceny i doradztwo finansowe modelowanie i analizy business excellence Balanced Scorecard Zaprogramuj swoją strategię wyceny i doradztwo finansowe modelowanie i analizy business excellence Agenda Koncepcja Strategicznej Karty Wyników Mapa strategii Narzędzia ICT dla wdrożenia

Bardziej szczegółowo

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM Strategia i Polityka Bezpieczeństwa Systemów Informatycznych Wykład Aleksander Poniewierski 1 Plan wykładu Informacja w firmie Bezpieczeństwo w firmie Zarządzanie

Bardziej szczegółowo

Jak zaprojektować firmę aby mogła się skalować i odnosić trwałe sukcesy? Warszawa, 13 listopada 2018 r.

Jak zaprojektować firmę aby mogła się skalować i odnosić trwałe sukcesy? Warszawa, 13 listopada 2018 r. Jak zaprojektować firmę aby mogła się skalować i odnosić trwałe sukcesy? Warszawa, 13 listopada 2018 r. Budowanie Organizacji Odnoszących Trwałe Sukcesy - Tezy 1. Zbudowanie organizacji odnoszącej trwałe

Bardziej szczegółowo

PROBLEMY WIELOKRYTERIALNE W ZARZĄDZANIU PROGRAMAMI INFORMATYCZNYMI

PROBLEMY WIELOKRYTERIALNE W ZARZĄDZANIU PROGRAMAMI INFORMATYCZNYMI POZNAN UNIVE RSITY OF TE CHNOLOGY ACADE MIC JOURNALS No 80 Electrical Engineering 2014 Michał SZYMACZEK* Sławomir ISKIERKA** PROBLEMY WIELOKRYTERIALNE W ZARZĄDZANIU PROGRAMAMI INFORMATYCZNYMI Autorzy identyfikują

Bardziej szczegółowo

Zarządzenie Nr 5 / 2011 Dyrektora Miejskiego Ośrodka Pomocy Społecznej w Lipnie z dnia 27 kwietnia 2011 roku

Zarządzenie Nr 5 / 2011 Dyrektora Miejskiego Ośrodka Pomocy Społecznej w Lipnie z dnia 27 kwietnia 2011 roku Zarządzenie Nr 5 / 2011 Dyrektora Miejskiego Ośrodka Pomocy Społecznej w Lipnie z dnia 27 kwietnia 2011 roku w sprawie: ustalenia regulaminu kontroli zarządczej i zasad jej prowadzenia. Na podstawie art.

Bardziej szczegółowo

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Certified IT Manager Training (CITM ) Dni: 3. Opis: Kod szkolenia: Tytuł szkolenia: HK333S Certified IT Manager Training (CITM ) Dni: 3 Opis: Jest to trzydniowe szkolenie przeznaczone dla kierowników działów informatycznych oraz osób, które ubiegają się

Bardziej szczegółowo

BAKER TILLY POLAND CONSULTING

BAKER TILLY POLAND CONSULTING BAKER TILLY POLAND CONSULTING Kontrola zarządcza oraz wsparcie administratora bezpieczeństwa informacji An independent member of Baker Tilly International Baker Tilly Poland Consulting Baker Tilly Poland

Bardziej szczegółowo

Polityka Zarządzania Ryzykiem

Polityka Zarządzania Ryzykiem Polityka Zarządzania Ryzykiem Spis treści 1. Wprowadzenie 3 2. Cel 3 3. Zakres wewnętrzny 3 4. Identyfikacja Ryzyka 4 5. Analiza ryzyka 4 6. Reakcja na ryzyko 4 7. Mechanizmy kontroli 4 8. Nadzór 5 9.

Bardziej szczegółowo

Szkolenie Stowarzyszenia Polskie Forum ISO 14000 Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 16.04.2015

Szkolenie Stowarzyszenia Polskie Forum ISO 14000 Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 16.04.2015 Wykorzystanie elementów systemu EMAS w SZŚ według ISO 14001:2015 dr hab. inż. Alina Matuszak-Flejszman, prof. nadzw. UEP Agenda Elementy SZŚ według EMAS (Rozporządzenie UE 1221/2009) i odpowiadające im

Bardziej szczegółowo

Opis systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Poznańskim Banku Spółdzielczym

Opis systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Poznańskim Banku Spółdzielczym Opis systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Poznańskim Banku Spółdzielczym SPIS TREŚCI 1. Opis systemu zarządzania ryzykiem i systemu kontroli wewnętrznej...3 1.1. Informacje o systemie

Bardziej szczegółowo

Projekt. Prince2 PRoject. IN Controlled Environments PROCESY KOMPONENTY TECHNIKI

Projekt. Prince2 PRoject. IN Controlled Environments PROCESY KOMPONENTY TECHNIKI 4 Kilka słów o metodyce Prince2 Do czego słuŝy? 5 Kilka słów o metodyce Prince2 Skąd się wzięła? Prince2 PRoject IN Controlled Environments Metodyka zarządzania projektem, nie realizacji projektu!!! Projekty

Bardziej szczegółowo

Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 2015-04-16

Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 2015-04-16 Zmiany w istniejących systemach zarządzania środowiskowego zbudowanych wg normy ISO 14001:2004, wynikające z nowego wydania ISO 14001 (wybrane przykłady) Grzegorz Ścibisz Warszawa, 16. kwietnia 2015 Niniejsza

Bardziej szczegółowo

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz. KONTROLA ZARZĄDCZA Podstawa prawna Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2013 r. poz. 885, ze zm.) Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny

Bardziej szczegółowo

Społeczna odpowiedzialność biznesu podejście strategiczne i operacyjne. Maciej Bieńkiewicz

Społeczna odpowiedzialność biznesu podejście strategiczne i operacyjne. Maciej Bieńkiewicz 2012 Społeczna odpowiedzialność biznesu podejście strategiczne i operacyjne Maciej Bieńkiewicz Społeczna Odpowiedzialność Biznesu - istota koncepcji - Nowa definicja CSR: CSR - Odpowiedzialność przedsiębiorstw

Bardziej szczegółowo

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach Załącznik nr 3 do Regulaminu systemu kontroli wewnętrznej B S w Łubnianach Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Łubnianach Rozdział 1. Postanowienia ogólne 1 Zasady systemu kontroli

Bardziej szczegółowo

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT CTPARTNERS W LICZBACH 15 osób przeszkolonych z zakresu IT lat na rynku 40 000 4 kompleksowe obszary zarządzania IT w ofercie ~100% Zdawalności egzaminów po naszych szkoleniach szkoleń otwartych i zamkniętych

Bardziej szczegółowo

Wprowadzenie. Przedstawiciel kierownictwa (Zgodnie z PN-EN ISO 9001:2009, pkt )

Wprowadzenie. Przedstawiciel kierownictwa (Zgodnie z PN-EN ISO 9001:2009, pkt ) Ośrodek Kwalifikacji Jakości Wyrobów SIMPTEST Sp. z o.o. Sp. k. ul. Przemysłowa 34 A, 61-579 Poznań, tel. 61-833-68-78 biuro@simptest.poznan.pl www.simptest.poznan.pl 1 Seminarium nt. Zarządzanie ryzykiem

Bardziej szczegółowo

Zarządzanie projektami. Porównanie podstawowych metodyk

Zarządzanie projektami. Porównanie podstawowych metodyk Zarządzanie projektami Porównanie podstawowych metodyk Porównanie podstawowych metodyk w zarządzaniu projektami PRINCE 2 PMBOK TENSTEP AGILE METODYKA PRINCE 2 Istota metodyki PRINCE 2 Project IN Controlled

Bardziej szczegółowo

Jak skutecznie rozwijać kwalifikacje kadry zarządzającej w zarządzaniu projektami i portfelem projektów?

Jak skutecznie rozwijać kwalifikacje kadry zarządzającej w zarządzaniu projektami i portfelem projektów? Jak skutecznie rozwijać kwalifikacje kadry zarządzającej w zarządzaniu projektami i portfelem projektów? Adam Bondarczuk - Inter Partner Assistance Polska S. A. Tomasz Nędzi skills sp. z o.o. W jakim celu

Bardziej szczegółowo

Opis Systemu Kontroli Wewnętrznej w Toyota Bank Polska S.A.

Opis Systemu Kontroli Wewnętrznej w Toyota Bank Polska S.A. Opis Systemu Kontroli Wewnętrznej w Toyota Bank Polska S.A. Niniejszy dokument przedstawia następujące elementy dotyczące Systemu Kontroli Wewnętrznej w Toyota Bank Polska S.A. (dalej Bank ): I. Cele Systemu

Bardziej szczegółowo

ZARZĄDZANIE STRATEGICZNE OPRACOWANIE

ZARZĄDZANIE STRATEGICZNE OPRACOWANIE Przykładowy program ZARZĄDZANIE STRATEGICZNE OPRACOWANIE I WDROŻENIE STRATEGII Beata Kozyra 2017 3 dni Poniższy program może być skrócony do 2-1 dnia lub kilkugodzinnej prezentacji. Znikający Kocie, Alicja

Bardziej szczegółowo

KODEKS POSTĘPOWANIA DLA DOSTAWCÓW GRUPY KAPITAŁOWEJ ORLEN

KODEKS POSTĘPOWANIA DLA DOSTAWCÓW GRUPY KAPITAŁOWEJ ORLEN KODEKS POSTĘPOWANIA DLA DOSTAWCÓW GRUPY KAPITAŁOWEJ ORLEN WPROWADZENIE Grupa Kapitałowa ORLEN jest czołową firmą w branży paliwowo-energetycznej w Europie Centralnej i Wschodniej. Ze względu na znaczącą

Bardziej szczegółowo

Rekomendacja D w obszarze zarządzania projektami na przykładzie rozwiązań w Banku Polskiej Spółdzielczości S.A.

Rekomendacja D w obszarze zarządzania projektami na przykładzie rozwiązań w Banku Polskiej Spółdzielczości S.A. Rekomendacja D w obszarze zarządzania projektami na przykładzie rozwiązań w Banku Polskiej Spółdzielczości S.A. Rekomendacja D UKNF SPIS TREŚCI Rekomendacja Nr 4: Zasady współpracy obszarów biznesowych

Bardziej szczegółowo

ustalenia Regulaminu Kontroli Zarządczej

ustalenia Regulaminu Kontroli Zarządczej Zarządzenie Nr 1 /2010/2011 Dyrektora Specjalnego Ośrodka Szkolno-Wychowawczego w Toruniu z dnia 30 sierpnia 2010 r. w sprawie : ustalenia Regulaminu Kontroli Zarządczej Na podstawie art. 69, ust. 1 pkt.

Bardziej szczegółowo

Cechy charakterystyczne tworzenia oprogramowania w Inżynierii Biomedycznej. Wykładowca Dr inż. Zofia Kruczkiewicz

Cechy charakterystyczne tworzenia oprogramowania w Inżynierii Biomedycznej. Wykładowca Dr inż. Zofia Kruczkiewicz Cechy charakterystyczne tworzenia oprogramowania w Inżynierii Biomedycznej. Wykładowca Dr inż. Zofia Kruczkiewicz Zofia Kruczkiewicz Wyklad_INP002017_3 1 CMMI (Capability Maturity Model Integration ) -

Bardziej szczegółowo

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A. Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A. I. Informacje ogólne 1. Zgodnie z postanowieniami Ustawy Prawo bankowe z dnia 29 sierpnia 1997 r. (Dz.U. 1997 Nr 140 poz. 939), w ramach

Bardziej szczegółowo

Nie tylko partner. Pozyskiwanie kompetencji IT poza strukturami własnej organizacji

Nie tylko partner. Pozyskiwanie kompetencji IT poza strukturami własnej organizacji Nie tylko partner Pozyskiwanie kompetencji IT poza strukturami własnej organizacji Carrywater Consulting Sp. z o.o. Al. Jerozolimskie 65/79, Centrum LIM, XV piętro, 00-697 Warszawa, (22) 630 66 55, ul.

Bardziej szczegółowo

PRINCE2 Foundation & Practitioner - szkolenie z egzaminem certyfikacyjnym

PRINCE2 Foundation & Practitioner - szkolenie z egzaminem certyfikacyjnym Kod szkolenia: Tytuł szkolenia: H6C26S PRINCE2 Foundation & Practitioner - szkolenie z egzaminem certyfikacyjnym Dni: 5 Opis: Metodyka PRINCE2 jest akceptowana na poziomie międzynarodowym i uznana za wiodące

Bardziej szczegółowo

CZĘŚĆ I. PODSTAWY WSPÓŁCZESNEGO AUDYTU WEWNĘTRZNEGO str. 23

CZĘŚĆ I. PODSTAWY WSPÓŁCZESNEGO AUDYTU WEWNĘTRZNEGO str. 23 Spis treści O autorze str. 13 Przedmowa str. 15 CZĘŚĆ I. PODSTAWY WSPÓŁCZESNEGO AUDYTU WEWNĘTRZNEGO str. 23 Rozdział 1. Podstawy audytu str. 25 1.1. Historia i początki audytu str. 27 1.2. Struktura książki

Bardziej szczegółowo

Egzamin ITIL Foundation

Egzamin ITIL Foundation Egzamin ITIL Foundation Przykładowy arkusz egzaminacyjny A, wersja 5.1 Test wielokrotnego wyboru (tylko jedna odpowiedź jest prawidłowa) Instrukcja 1. Należy udzielić odpowiedzi na wszystkie 40 pytań.

Bardziej szczegółowo

Część I. Kryteria oceny programowej

Część I. Kryteria oceny programowej Część I Kryteria oceny programowej 1. Jednostka formułuje koncepcję rozwoju ocenianego kierunku. 1) Koncepcja kształcenia nawiązuje do misji Uczelni oraz odpowiada celom określonym w strategii jednostki,

Bardziej szczegółowo

ZASADY ŁADU KORPORACYJNEGO W BANKU SPÓŁDZIELCZYM W GŁOGOWIE

ZASADY ŁADU KORPORACYJNEGO W BANKU SPÓŁDZIELCZYM W GŁOGOWIE Załącznik nr 1 do Uchwały Zarządu Banku z dnia 18.12.2014r Załącznik nr 1 do Uchwały Rady Nadzorczej z dnia 18.12.2014r ZASADY ŁADU KORPORACYJNEGO W BANKU SPÓŁDZIELCZYM W GŁOGOWIE Głogów, 2014r W Banku

Bardziej szczegółowo

Zmiana zasad rynkowych. Duża dynamika zmian. Brak ograniczeń związanych z lokalizacją organizacji. Brak ograniczeń w dostępie do technologii

Zmiana zasad rynkowych. Duża dynamika zmian. Brak ograniczeń związanych z lokalizacją organizacji. Brak ograniczeń w dostępie do technologii Strategiczna Karta Wyników jako element systemu zarządzania efektywnością przedsiębiorstwa Piotr Białowąs Dyrektor Departamentu Strategii Pełnomocnik Zarządu EnergiaPro Koncern Energetyczny SA Przyczyny

Bardziej szczegółowo

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka Zmiany w standardzie ISO 9001 dr inż. Ilona Błaszczyk Politechnika Łódzka 1 W prezentacji przedstawiono zmiany w normie ISO 9001 w oparciu o projekt komitetu. 2 3 4 5 6 Zmiany w zakresie terminów używanych

Bardziej szczegółowo

INFORMACJA BANKU SPÓŁDZIELCZEGO W KOŻUCHOWIE

INFORMACJA BANKU SPÓŁDZIELCZEGO W KOŻUCHOWIE INFORMACJA BANKU SPÓŁDZIELCZEGO W KOŻUCHOWIE wynikająca z art. 111a ustawy Prawo bankowe według stanu na dzień 31.12.2016 roku Spis treści 1. Informacja o działalności Banku Spółdzielczego w Kożuchowie

Bardziej szczegółowo

Wstęp do zarządzania projektami

Wstęp do zarządzania projektami Wstęp do zarządzania projektami Definicja projektu Projekt to tymczasowe przedsięwzięcie podejmowane w celu wytworzenia unikalnego wyrobu, dostarczenia unikalnej usługi lub uzyskania unikalnego rezultatu.

Bardziej szczegółowo

ZARZĄDZENIE Nr 21/11 MARSZAŁKA WOJEWÓDZTWA ZACHODNIOPOMORSKIEGO z dnia 10 marca 2011 r.

ZARZĄDZENIE Nr 21/11 MARSZAŁKA WOJEWÓDZTWA ZACHODNIOPOMORSKIEGO z dnia 10 marca 2011 r. ZARZĄDZENIE Nr 21/11 MARSZAŁKA WOJEWÓDZTWA ZACHODNIOPOMORSKIEGO z dnia 10 marca 2011 r. w sprawie wprowadzenia Regulaminu Kontroli Zarządczej w Urzędzie Marszałkowskim Województwa Zachodniopomorskiego

Bardziej szczegółowo

Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu

Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu Postanowienia ogólne 1 1. Kontrolę zarządczą w PUP stanowi ogół działań podejmowanych dla zapewnienia

Bardziej szczegółowo

Dokument obowiązkowy IAF

Dokument obowiązkowy IAF IAF MD 4:2008 International Accreditation Forum, Inc. Dokument obowiązkowy IAF Dokument obowiązkowy IAF dotyczący stosowania wspomaganych komputerowo technik auditowania ( CAAT ) w akredytowanej certyfikacji

Bardziej szczegółowo

Wartość audytu wewnętrznego dla organizacji. Warszawa, 11.03.2013

Wartość audytu wewnętrznego dla organizacji. Warszawa, 11.03.2013 Wartość audytu wewnętrznego dla organizacji Warszawa, 11.03.2013 Informacje o Grupie MDDP Kim jesteśmy Jedna z największych polskich firm świadczących kompleksowe usługi doradcze 6 wyspecjalizowanych linii

Bardziej szczegółowo

Usprawnienia zarządzania organizacjami (normy zarzadzania)

Usprawnienia zarządzania organizacjami (normy zarzadzania) (normy zarzadzania) Grażyna Żarlicka Loxxess Polska Sp. z o. o. www.loxxess.pl AS-QUAL Szkolenia Doradztwo Audity www.as-qual.iso9000.pl email:g_zarlicka@interia.pl Klub POLSKIE FORUM ISO 9000 www.pfiso9000.pl

Bardziej szczegółowo

ZARZĄDZANIE TALENTAMI. Agata Wąsowska

ZARZĄDZANIE TALENTAMI. Agata Wąsowska ZARZĄDZANIE TALENTAMI Agata Wąsowska Co rozumiemy pod pojęciem TALENT? Definicje talentu Talent: w przypowieści ewangelicznej jest symbolem daru bożego danego każdemu według jego zdolności Ewangelia wg

Bardziej szczegółowo

I. Cele systemu kontroli wewnętrznej.

I. Cele systemu kontroli wewnętrznej. Opis systemu kontroli wewnętrznej Międzypowiatowego Banku Spółdzielczego w Myszkowie stanowiący wypełnienie zapisów Rekomendacji H KNF dotyczącej systemu kontroli wewnętrznej w bankach. I. Cele systemu

Bardziej szczegółowo

KWESTIONARIUSZ SAMOOCENY KONTROLI ZARZĄDCZEJ dla pracowników. Komórka organizacyjna:... A. Środowisko wewnętrzne

KWESTIONARIUSZ SAMOOCENY KONTROLI ZARZĄDCZEJ dla pracowników. Komórka organizacyjna:... A. Środowisko wewnętrzne KWESTIONARIUSZ SAMOOCENY KONTROLI ZARZĄDCZEJ dla pracowników Komórka organizacyjna:... A. Środowisko wewnętrzne Środowisko wewnętrzne to: zarówno struktury wspierające zarządzanie (odpowiednia struktura

Bardziej szczegółowo