4.1. Metodyka. Cele kontrolne. Wytyczne zarządzania. Modele dojrzałości. Sponsorzy tłumaczenia: Deloitte, Ernst&Young, Grupa Allegro, KPMG

4.1 Metodyka Cele kontrolne Wytyczne zarządzania Modele dojrzałości Sponsorzy tłumaczenia: Deloitte, Ernst&Young, Grupa Allegro, KPMG

CobiT 4.1 IT Governance Institute Instytut IT Governance Institute (ITGI TM ) (www.itgi.org) powstał w 1998 roku, aby rozwijać międzynarodowe koncepcje i standardy dotyczące kierowania i sprawowania kontroli nad technologią informatyczną (IT) w przedsiębiorstwach. Efektywny nadzór informatyczny pomaga sprawić, by technologia informatyczna wspierała cele biznesowe, pozwala optymalizować inwestycje w IT oraz odpowiednio zarządzać ryzykiem i możliwościami dotyczącymi IT. Instytut ITGI oferuje dostęp do unikalnych badań, zasobów elektronicznych oraz studiów przypadków, aby pomóc osobom kierującym przedsiębiorstwami w sprawowaniu nadzoru informatycznego. Zastrzeżenie Instytut ITGI ( Wydawca ) opracował i wydał tę publikację, noszącą tytuł CobiT 4.1 ( Opracowanie ), głównie jako materiał edukacyjny przeznaczony dla dyrektorów ds. informatyki (CIO), wyższej kadry zarządzającej, osób kierujących działami IT oraz specjalistów ds. kontroli. Wydawca nie gwarantuje, że zastosowanie się do jakichkolwiek wskazówek zawartych w Opracowaniu zapewni korzystne rezultaty. Należy zakładać, że Opracowanie może nie zawierać wszystkich poprawnych informacji, procedur i testów, które są odpowiednio ukierunkowane na uzyskanie takich samych rezultatów. Aby określić stosowność określonych informacji, procedur lub testów, dyrektorzy ds. informatyki (CIO), wyższa kadra zarządzająca, osoby kierujące działami IT i specjaliści ds. kontroli powinni kierować się własną oceną specyficznych warunków działania konkretnych systemów lub środowisk IT. Publikacja Copyright 2007 IT Governance Institute. Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być używana, kopiowana, powielana, modyfikowana, rozpowszechniana, wyświetlana, przechowywana w systemie wyszukiwania i udostępniania informacji ani nadawana w żadnej formie ani przy użyciu żadnych środków (elektronicznych, mechanicznych, poprzez fotokopiowanie, nagrywanie itp.) bez uprzedniej pisemnej zgody instytutu ITGI. Dozwolone jest powielanie wybranych części publikacji wyłącznie do wewnętrznego, niekomercyjnego lub akademickiego użytku pod warunkiem zachowania wszystkich cech wskazujących na źródło materiału. W odniesieniu do niniejszej publikacji nie udziela się żadnych innych praw ani pozwoleń. Polityka jakości Niniejsze Dzieło zostało przełożone na język polski z angielskiej wersji CobiT 4.1 przez Warszawski Oddział ISACA (Stowarzyszenie Audytu, Bezpieczeństwa i Kontroli Systemów Informacyjnych) za zgodą ISACA. ISACA Warszawa bierze na siebie wyłączną odpowiedzialność za wierność i dokładność tłumaczenia. Prawo autorskie 2010 ISACA ( ISACA ). Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być użyta, powielana, odtwarzana, zmieniana, rozpowszechniana, ujawniana, przechowywana w jakimkolwiek systemie przechowywania danych, ani przekazywana w jakiejkolwiek formie (drogą elektroniczną, metodą mechaniczną, kserograficzną, poprzez nagrywanie, ani w żaden inny sposób) bez uprzedniej pisemnej zgody ISACA. Zrzeczenie się odpowiedzialności ISACA stworzyła CobiT 4.1 ( Dzieło ) głównie jako zasoby edukacyjne dla zawodowych kontrolerów. ISACA nie daje gwarancji, że Dzieło przyniesie oczekiwane rezultaty. Nie należy zakładać, że Dzieło zawiera wszystkie stosowne informacje, procedury i testy, ani że pomija inne informacje, procedury i testy, które dawałyby te same rezultaty. Aby stwierdzić poprawność danej informacji, procedury lub testu, kontrolerzy powinni odnieść się do własnego osądu okoliczności stwarzanych przez dany system lub środowisko technologii informacyjnej. Quality Statement This Work is translated into Polish from the English language version of COBIT 4.1 by the ISACA Warsaw Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of ISACA. The ISACA Warsaw Chapter assumes sole responsibility for the accuracy and faithfulness of the translation. Copyright 2010 ISACA ( ISACA ). All rights reserved. No part of this publication may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA. Disclaimer ISACA created COBIT 4.1 ( Work ) primarily as an educational resource for controls professionals. ISACA makes no claim that use of any of the Work will assure a successful outcome. The Work should not be considered inclusive of all proper information, procedures and tests or exclusive of other information, procedures and tests that are reasonably directed to obtaining the same results. In determining the propriety of any specific information, procedure or test, the controls professional should apply his or her own professional judgment to the specific circumstances presented by the particular systems or information technology environment. IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Tel.: +1.847.590.7491 Faks: +1.847.253.1443 E-mail: info@itgi.org Strona internetowa: www.itgi.org

CobiT 4.1 Podziękowania IT Governance Institute pragnie złożyć podziękowania następującym osobom i instytucjom: Eksperci: autorzy i recenzenci Mark Adler, CISA, CISM, CIA, CISSP, Allstate Ins. Co., Stany Zjednoczone Peter Andrews, CISA, CITP, MCMI, PJA Consulting, Wielka Brytania Georges Ataya, CISA, CISM, CISSP, MSCS, PBA, Solvay Business School, Belgia Gary Austin, CISA, CIA, CISSP, CGFM, KPMG LLP, Stany Zjednoczone Gary S. Baker, CA, Deloitte & Touche, Kanada David H. Barnett, CISM, CISSP, Applera Corp., Stany Zjednoczone Christine Bellino, CPA, CITP, Jefferson Wells, Stany Zjednoczone John W. Beveridge, CISA, CISM, CFE, CGFM, CQA, Massachusetts Office of the State Auditor, Stany Zjednoczone Alan Boardman, CISA, CISM, CA, CISSP, Fox IT, Wielka Brytania David Bonewell, CISA, CISSP-ISSEP, Accomac Consulting LLC, Stany Zjednoczone Dirk Bruyndonckx, CISA, CISM, KPMG Advisory, Belgia Don Canilglia, CISA, CISM, Stany Zjednoczone Luis A. Capua, CISM, Sindicatura General de la Nación, Argentyna Boyd Carter, PMP, Elegantsolutions.ca, Kanada Dan Casciano, CISA, Ernst & Young LLP, Stany Zjednoczone Sean V. Casey, CISA, CPA, Stany Zjednoczone Sushil Chatterji, Edutech, Singapur Edward Chavannes, CISA, CISSP, Ernst & Young LLP, Stany Zjednoczone Christina Cheng, CISA, CISSP, SSCP, Deloitte & Touche LLP, Stany Zjednoczone Dharmesh Choksey, CISA, CPA, CISSP, PMP, KPMG LLP, Stany Zjednoczone Jeffrey D. Custer, CISA, CPA, CIA, Ernst & Young LLP, Stany Zjednoczone Beverly G. Davis, CISA, Federal Home Loan Bank of San Francisco, Stany Zjednoczone Peter De Bruyne, CISA, Banksys, Belgia Steven De Haes, University of Antwerp Management School, Belgia Peter De Koninck, CISA, CFSA, CIA, SWIFT SC, Belgia Philip De Picker, CISA, MCA, National Bank of Belgium, Belgia Kimberly de Vries, CISA, PMP, Zurich Financial Services, Stany Zjednoczone Roger S. Debreceny, Ph.D., FCPA, University of Hawaii, Stany Zjednoczone Zama Dlamini, Deloitte & Touche LLP, Republika Południowej Afryki Rupert Dodds, CISA, CISM, FCA, KPMG, Nowa Zelandia Troy DuMoulin, Pink Elephant, Kanada Bill A. Durrand, CISA, CISM, CA, Ernst & Young LLP, Kanada Justus Ekeigwe, CISA, MBCS, Deloitte & Touche LLP, Stany Zjednoczone Rafael Eduardo Fabius, CISA, Republica AFAP S.A., Urugwaj Urs Fischer, CISA, CIA, CPA (Swiss), Swiss Life, Szwajcaria Christopher Fox, ACA, PricewaterhouseCoopers, Stany Zjednoczone Bob Frelinger, CISA, Sun Microsystems Inc., Stany Zjednoczone Zhiwei Fu, Ph. D, Fannie Mae, Stany Zjednoczone Monique Garsoux, Dexia Bank, Belgia Edson Gin, CISA, CFE, SSCP, Stany Zjednoczone Sauvik Ghosh, CISA, CIA, CISSP, CPA, Ernst & Young LLP, Stany Zjednoczone Guy Groner, CISA, CIA, CISSP, Stany Zjednoczone Erik Guldentops, CISA, CISM, University of Antwerp Management School, Belgia Gary Hardy, IT Winners, Republika Południowej Afryki Jimmy Heschl, CISA, CISM, KPMG, Austria Benjamin K. Hsaio, CISA, Federal Deposit Insurance Corp., Stany Zjednoczone Tom Hughes, Acumen Alliance, Australia Monica Jain, CSQA, Covansys Corp., Stany Zjednoczone Wayne D. Jones, CISA, Australian National Audit Office, Australia John A. Kay, CISA, Stany Zjednoczone Lisa Kinyon, CISA, Countrywide, Stany Zjednoczone Rodney Kocot, Systems Control and Security Inc., Stany Zjednoczone Luc Kordel, CISA, CISM, CISSP, CIA, RE, RFA, Dexia Bank, Belgia Linda Kostic, CISA, CPA, Stany Zjednoczone John W. Lainhart IV, CISA, CISM, IBM, Stany Zjednoczone Philip Le Grand, Capita Education Services, Wielka Brytania. Elsa K. Lee, CISA, CISM, CSQA, AdvanSoft International Inc., Stany Zjednoczone Kenny K. Lee, CISA, CISSP, Countrywide SMART Governance, Stany Zjednoczone Debbie Lew, CISA, Ernst & Young LLP, Stany Zjednoczone Donald Lorete, CPA, Deloitte & Touche LLP, Stany Zjednoczone Addie C.P. Lui, MCSA, MCSE, First Hawaiian Bank, Stany Zjednoczone Debra Mallette, CISA, CSSBB, Kaiser Permanente, Stany Zjednoczone I T G o v e r n a n c e I n s t i t u t e 1

CobiT 4.1 Podziękowania (cd.) Charles Mansour, CISA, Charles Mansour Audit & Risk Service, Wielka Brytania Mario Micallef, CPAA, FiA, National Australia Bank Group, Australia Niels Thor Mikkelsen, CISA, CIA, Danske Bank, Dania John Mitchell, CISA, CFE, CITP, FBCS, FiIA, MIIA, QiCA, LHS Business Control, Wielka Brytania Anita Montgomery, CISA, CIA, Countrywide, Stany Zjednoczone Karl Muise, CISA, City National Bank, Stany Zjednoczone Jay S. Munnelly, CISA, CIA, CGFM, Federal Deposit Insurance Corp., Stany Zjednoczone Sang Nguyen, CISA, CISSP, MCSE, Nova Southeastern University, Stany Zjednoczone Ed O Donnell, Ph.D., CPA, University of Kansas, Stany Zjednoczone Sue Owen, Department of Veterans Affairs, Australia Robert G. Parker, CISA, CA, CMC, FCA, Robert G. Parker Consulting, Kanada Robert Payne, Trencor Services (Pty) Ltd., Republika Południowej Afryki Thomas Phelps IV, CISA, PricewaterhouseCoopers LLP, Stany Zjednoczone Vitor Prisca, CISM, Novabase, Portugalia Martin Rosenberg, Ph.D., IT Business Management, Wielka Brytania Claus Rosenquist, CISA, TrygVesata, Dania Jaco Sadie, Sasol, Republika Południowej Afryki Max Shanahan, CISA, FCPA, Max Shanahan & Associates, Australia Craig W. Silverthorne, CISA, CISM, CPA, IBM Business Consulting Services, Stany Zjednoczone Chad Smith, Great-West Life, Kanada Roger Southgate, CISA, CISM, FCCA, CubeIT Management Ltd., Wielka Brytania Paula Spinner, CSC, Stany Zjednoczone Mark Stanley, CISA, Toyota Financial Services, Stany Zjednoczone Dirk E. Steuperaert, CISA, PricewaterhouseCoopers, Belgia Robert E. Stroud, CA Inc., Stany Zjednoczone Scott L. Summers, Ph.D., Brigham Young University, Stany Zjednoczone Lance M. Turcato, CISA, CISM, CPA, City of Phoenix IT Audit Division, Stany Zjednoczone Wim Van Grembergen, Ph.D., University of Antwerp Management School, Belgia Johan Van Grieken, CISA, Deloitte, Belgia Greet Volders, Voquals NV, Belgia Thomas M. Wagner, Gartner Inc., Stany Zjednoczone Robert M. Walters, CISA, CPA, CGA, Office of the Comptroller General, Kanada Freddy Withagels, CISA, Capgemini, Belgia Tom Wong, CISA, CIA, CMA, Ernst & Young LLP, Kanada Amanda Xu, CISA, PMP, KPMG LLP, Stany Zjednoczone Podziękowania za udział w projekcie tłumaczenia na język polski: Mirosław Kaliński - Prezes Stowarzyszenia ISACA Warszawa, CISA, Polska Paweł Popow - Kierownik projektu tłumaczenia, CISA, Proama, Polska Magdalena Szeżyńska - recenzent, Ph.D., CISA, Polska Dominik Miklaszewski - recenzent, CISSP, CISA, Polska Michał Nieżurawski - recenzent, CGEIT, CISM, CISSP, CISA, CRISC, Polska Piotr Dzwonkowski - recenzent, CISA, CISM, CRISC - LINKIES, Management Consulting Polska, Polska Mariusz Piwnik - recenzent, CISA, Stowarzyszenie ISACA Warszawa, Polska Adam Białachowski - recenzent, CISA, B-Act Sp. z o.o., Polska Jakub Bojanowski - CBCP, CFE, CIA, CISA, CISM, Deloitte, Polska Mariusz Ustyjańczuk - CISA, Deloitte, Polska Rada Naukowa ITGI Everett C. Johnson, CPA, Deloitte & Touche LLP (obecnie emerytowany), Stany Zjednoczone Międzynarodowy Przewodniczący Georges Ataya, CISA, CISM, CISSP, Solvay Business School, Belgia Wiceprzewodniczący William C. Boni, CISM, Motorola, Stany Zjednoczone Wiceprzewodniczący Avinash Kadam, CISA, CISM, CISSP, CBCP, GSEC, GCIH, Miel e-security Pvt. Ltd., Indie Wiceprzewodniczący Jean-Louis Leignel, MAGE Conseil, Francja Wiceprzewodniczący Lucio Augusto Molina Focazzio, CISA, Kolumbia Wiceprzewodniczący Howard Nicholson, CISA, City of Salisbury, Australia Wiceprzewodniczący Frank Yam, CISA, FHKIoD, FHKCS, FFA, CIA, CFE, CCP, CFSA, Focus Strategic Group, Hong Kong Wiceprzewodniczący Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young LLP, Stany Zjednoczone były Międzynarodowy Przewodniczący Robert S. Roussey, CPA, University of Southern California, Stany Zjednoczone były Międzynarodowy Przewodniczący Ronald Saull, CSP, Great-West Life and IGM Financial, Kanada Członek Rady Komitet ds. Ładu Informatycznego Tony Hayes, FCPA, Queensland Government, Australia Przewodniczący 2

CobiT 4.1 Max Blecher, Virtual Alliance, Republika Południowej Afryki Sushil Chatterji, Edutech, Singapur Anil Jogani, CISA, FCA, Tally Solutions Limited, Wielka Brytania John W. Lainhart IV, CISA, CISM, IBM, Stany Zjednoczone Rómulo Lomparte, CISA, Banco de Crédito BCP, Peru Michael Schirmbrand, Ph.D., CISA, CISM, CPA, KPMG LLP, Austria Ronald Saull, CSP, Great-West Life Assurance and IGM Financial, Kanada Komitet sterujący ds. metodyki CobiT Roger Debreceny, Ph.D., FCPA, University of Hawaii, Stany Zjednoczone Przewodniczący Gary S. Baker, CA, Deloitte & Touche, Kanada Dan Casciano, CISA, Ernst & Young LLP, Stany Zjednoczone Steven De Haes, University of Antwerp Management School, Belgia Peter De Koninck, CISA, CFSA, CIA, SWIFT SC, Belgia Rafael Eduardo Fabius, CISA, República AFAP SA, Urugwaj Urs Fischer, CISA, CIA, CPA (Swiss), Swiss Life, Szwajcaria Erik Guldentops, CISA, CISM, University of Antwerp Management School, Belgia Gary Hardy, IT Winners, Republika Południowej Afryki Jimmy Heschl, CISA, CISM, KPMG, Austria Debbie A. Lew, CISA, Ernst & Young LLP, Stany Zjednoczone Maxwell J. Shanahan, CISA, FCPA, Max Shanahan & Associates, Australia Dirk Steuperaert, CISA, PricewaterhouseCoopers LLC, Belgia Robert E. Stroud, CA Inc., Stany Zjednoczone Zespół Doradczy ITGI Ronald Saull, CSP, Great-West Life Assurance and IGM Financial, Kanada Przewodniczący Roland Bader, F. Hoffmann-La Roche AG, Szwajcaria Linda Betz, IBM Corporation, Stany Zjednoczone Jean-Pierre Corniou, Renault, Francja Rob Clyde, CISM, Symantec, Stany Zjednoczone Richard Granger, NHS Connecting for Health, Wielka Brytania Howard Schmidt, CISM, R&H Security Consulting LLC, Stany Zjednoczone Alex Siow Yuen Khong, StarHub Ltd., Singapur Amit Yoran, Yoran Associates, Stany Zjednoczone Jednostki powiązane i sponsorzy ITGI Oddziały ISACA American Institute for Certified Public Accountants ASIS International The Center for Internet Security Commonwealth Association of Corporate Governance FiDA Inform Information Security Forum The Information Systems Security Association Institut de la Gouvernance des Systèmes d Information Institute of Management Accountants ISACA ITGI Japan Solvay Business School University of Antwerp Management School Aldion Consulting Pte. Lte. CA Hewlett-Packard IBM LogLogic Inc. Phoenix Business and Systems Process Inc. Symantec Corporation Wolcott Group LLC World Pass IT Solutions 3

CobiT 4.1 Spis treści Wprowadzenie...5 Metodyka CobiT...9 Planowanie i organizacja...29 Nabywanie i wdrażanie...73 Dostarczanie i wsparcie...101 Monitorowanie i ocena...153 Załącznik I Tabele powiązań celów i procesów...169 Załącznik II Przyporządkowanie procesów IT do głównych obszarów ładu informatycznego, struktury ramowej COSO, zasobów informatycznych CobiT i kryteriów informacji CobiT...173 Załącznik III Model dojrzałości kontroli wewnętrznej...175 Załącznik IV CobiT 4.1 najważniejsze materiały źródłowe...177 Załącznik V Wzajemne relacje między metodyką CobiT 3 rd Edition a metodyką CobiT 4.1...179 Załącznik VI Podejście do badań i rozwoju...187 Załącznik VII Terminologia...189 Załącznik VIII Metodyka CobiT i powiązane produkty...195 Będziemy wdzięczni za wszelkie uwagi na temat metodyki CobiT 4.1. Można je zgłaszać na stronie www.isaca.org/cobitfeedback. 4

W p r o w a d z e n i e Wprowadzenie

Wprowadzenie Wprowadzenie W wielu przedsiębiorstwach zasoby informacyjne i wspierające je technologie są najcenniejszymi, ale często w niedostatecznym stopniu rozumianymi aktywami. Przedsiębiorstwa odnoszące sukcesy dostrzegają korzyści, jakie zapewniają technologie informatyczne (IT) i wykorzystują je do zwiększania swojej wartości w ocenie interesariuszy. Przedsiębiorstwa te rozumieją również konieczność zarządzania związanymi z tym ryzykami, takimi jak rosnąca potrzeba zachowania zgodności z przepisami czy krytyczna zależność wielu procesów biznesowych od IT. Potrzeba uzyskania zapewnienia co do wartości IT, zarządzanie ryzykami związanymi z IT oraz zwiększone wymogi dotyczące kontroli nad zasobami informacyjnymi są obecnie postrzegane jako kluczowe elementy ładu korporacyjnego. Wartość, ryzyko i kontrola stanowią istotę ładu informatycznego. Ład informatyczny należy do zakresu obowiązków kadry kierowniczej oraz zarządu i obejmuje przywództwo, struktury organizacyjne oraz procesy, dzięki którym IT może wspierać i rozwijać strategię oraz cele organizacji. Ponadto, ład informatyczny integruje i formalizuje dobre praktyki, tak aby działalność informatyczna przedsiębiorstwa wspierała realizację celów biznesowych. Ład informatyczny umożliwia przedsiębiorstwu pełne wykorzystanie jego zasobów informacyjnych, a tym samym maksymalizację korzyści, wykorzystywanie pojawiających się możliwości i zdobywanie przewagi konkurencyjnej. Osiągnięcie tych efektów wymaga stosowania odpowiedniej metodyki kontroli nad technologiami informatycznymi, która jest zgodna ze standardem COSO (ang. Committee of Sponsoring Organisations of the Treadway Commission Komitet Organizacji Sponsorujących Komisję Treadway'a) Internal Control Integrated Framework (Zintegrowana kontrola wewnętrzna struktura ramowa), który zapewnia powszechnie akceptowane ramy systemu kontroli wewnętrznej dla ładu korporacyjnego i zarządzania ryzykiem, lub z innymi, podobnymi metodykami. Organizacje powinny spełniać wymogi dotyczące jakości, zasad powiernictwa i bezpieczeństwa swoich zasobów informacyjnych podobnie jak ma to miejsce w przypadku pozostałych aktywów. Przedstawiciele kadry kierowniczej powinni również dbać o optymalizację wykorzystania dostępnych zasobów IT, w tym aplikacji, informacji, infrastruktury i osób. Aby dopełnić tych obowiązków, a także aby osiągnąć założone cele, kadra kierownicza powinna znać stan architektury IT przedsiębiorstwa i zdecydować, jaki nadzór i kontrolę powinna zapewnić technologia informatyczna. Control Objectives for Information and related Technology (CobiT ), czyli cele kontroli nad technologiami informatycznymi i pokrewnymi, stanowią zbiór dobrych praktyk pogrupowanych w domeny i procesy i prezentujący odpowiednie działania w zrozumiałym i logicznym porządku. Dobre praktyki CobiT odzwierciedlają wspólne stanowisko ekspertów. Koncentrują się one głównie na kontroli, a w mniejszym stopniu na wykonaniu. Praktyki te pomagają optymalizować inwestycje związane z IT, zapewniają dostępność usług oraz dostarczają wskaźników, które pozwalają wykryć ewentualne nieprawidłowości. Aby działalność IT skutecznie spełniała wymagania biznesowe, kierownictwo firmy powinno wdrożyć wewnętrzny system lub metodykę kontroli. Metodyka kontroli CobiT umożliwia zaspokojenie tych potrzeb poprzez: zapewnienie powiązania z wymaganiami biznesowymi; zorganizowanie działalności IT w ramach ogólnie akceptowanego modelu procesów; określenie głównych zasobów IT, które mają być wykorzystywane; zdefiniowanie celów kontroli zarządczej, które należy uwzględnić. Biznesowe ukierunkowanie metodyki CobiT przejawia się w powiązaniu celów biznesowych z celami IT, zapewnieniu mierników i modeli dojrzałości umożliwiających ocenę wyników, a także w określeniu odpowiednich obowiązków właścicieli procesów biznesowych i IT. Ukierunkowanie metodyki CobiT na procesy przejawia się w modelu procesów, który dzieli IT na cztery domeny i 34 procesy związane z obszarami odpowiedzialności w zakresie planowania, budowy, eksploatacji i monitorowania, zapewniając całościowy wgląd w działalność IT. Pojęcia odnoszące się do architektury korporacyjnej pomagają określić zasoby niezbędne do zapewnienia prawidłowego działania procesów, takie jak aplikacje, informacje, infrastruktura czy osoby. Podsumowując: aby zapewnić dostępność informacji, których potrzebuje przedsiębiorstwo do osiągania swoich celów, zarządzanie zasobami IT musi odbywać się w ramach zbioru naturalnie pogrupowanych procesów. W jaki jednak sposób przedsiębiorstwo może sprawować nadzór nad IT, aby zapewnić sobie dostępność potrzebnych informacji? Jak powinno zarządzać ryzykiem i zabezpieczać zasoby IT, od których jest tak zależne? Co powinno zrobić, aby działalność IT osiągała swoje cele i wspierała działalność biznesową? W pierwszej kolejności kierownictwo musi określić cele kontrolne, które definiują ostateczny cel wdrożenia zasad, planów i procedur, a także struktury organizacyjne, które zapewniają: osiąganie celów biznesowych; zapobieganie niepożądanym zdarzeniom lub ich wykrywanie i wprowadzanie odpowiednich poprawek. 5

CobiT 4.1 Ponadto w dzisiejszych złożonych Ilustracja 1 Informacje zarządcze środowiskach biznesowych zarządzający stale poszukują skondensowanych i aktualnych informacji, aby szybko i skutecznie podejmować trudne decyzje dotyczące wartości, ryzyka i kontroli. W jaki sposób odpowiedzialni menedżerowie Co powinno podlegać pomiarowi PANEL KONTROLNY prowadzą działalność przedsiębiorstwa zgodnie z planem? i w jaki sposób? Przedsiębiorstwa potrzebują obiektywnych wskaźników W jaki sposób przedsiębiorstwo może osiągać wyniki mówiących, w którym miejscu się satysfakcjonujące dla największej możliwej liczby KARTY WYNIKÓW znajdują i gdzie niezbędna jest poprawa. interesariuszy? Powinny także wdrożyć zestaw narzędzi zarządzania, aby monitorować osiągany W jaki sposób można w odpowiednim czasie dostosować ANALIZY postęp. przedsiębiorstwo do trendów i rozwoju występujących PORÓWNAWCZEJ Ilustracja 1 przedstawia niektóre w jego otoczeniu? standardowe pytania oraz narzędzia informacyjne wykorzystywane w zarządzaniu w celu uzyskania potrzebnych odpowiedzi. Jednak panele kontrolne wymagają wskaźników, karty wyników pomiarów, a porównania skali porównawczej. Wskaźniki? Miary? Skale? Odpowiedzią na potrzebę ustanowienia i monitorowania odpowiedniego poziomu kontroli i wydajności IT jest definicja CobiT: analizy porównawczej wydajności i potencjału procesów IT wyrażonej w postaci modeli dojrzałości, opartych na modelu dojrzałości CMM (ang. Capability Maturity Model) opracowanym przez Software Engineering Institute; celów i mierników procesów IT służących do definiowania i pomiaru ich wyników oraz wydajności w oparciu o koncepcję zrównoważonej karty wyników biznesowych autorstwa Roberta Kaplana i Davida Nortona; celów czynności niezbędnych do utrzymania tych procesów pod kontrolą w oparciu o cele kontrolne metodyki CobiT. Ocena potencjału procesu w oparciu o modele dojrzałości CobiT jest kluczowym elementem wdrożenia nadzoru informatycznego. Po określeniu krytycznych procesów IT i mechanizmów kontrolnych dalsza analiza w oparciu o modele dojrzałości umożliwia identyfikację braków w ich potencjale i poinformowanie o nich kierownictwa firmy. Na tej postawie mogą zostać opracowane plany działań, które pozwolą osiągnąć pożądany poziom funkcjonalności. Tak więc metodyka CobiT wspomaga sprawowanie nadzoru informatycznego (ilustracja 2) poprzez stworzenie metodyki, która zapewnia, że: działalność IT jest dostosowana do potrzeb firmy; działalność IT wspiera działalność biznesową i maksymalizuje osiągane korzyści; zasoby IT są wykorzystywane w odpowiedzialny sposób; odpowiednio zarządza się ryzykiem informatycznym. Podstawowe znaczenie dla nadzoru informatycznego ma pomiar wydajności. Jest on przewidziany w modelu CobiT i obejmuje ustalenie i monitorowanie mierzalnych celów, jakie mają osiągać procesy IT (wynik procesu), a także określenie, w jaki sposób mają je osiągać (funkcjonalność i wydajność procesu). Wiele badań wykazało, że brak przejrzystości kosztów, wartości i ryzyka informatycznego jest jednym z głównych czynników uzasadniających konieczność nadzoru informatycznego. Choć ważne są również inne obszary działań, przejrzystość uzyskuje się głównie poprzez pomiar wydajności. Ilustracja 2 Obszary nadzoru informatycznego Dopasowanie strategiczne Koncentruje się na zapewnieniu powiązania między planami biznesowymi a planami IT; obejmuje definiowanie, utrzymywanie i weryfikację propozycji tworzenia wartości IT, a także dostosowywanie działalności IT do działalności przedsiębiorstwa. Dostarczanie wartości odnosi się do realizacji propozycji tworzenia wartości poprzez cykl dostawy, tj. zapewnienia, że technologie informatyczne dostarczą obiecane korzyści zgodnie z przyjętą strategią, koncentrując się na optymalizacji kosztów i dostarczaniu wartości nieodłącznie tkwiących w IT. Zarządzanie zasobami odnosi się do optymalizacji inwestycji i prawidłowego zarządzania krytycznymi zasobami IT: aplikacjami, informacjami, infrastrukturą i osobami. Kluczowe znaczenie w tej dziedzinie ma optymalizacja wiedzy i infrastruktury. Zarządzanie ryzykiem wymaga świadomości wyższej kadry zarządzającej o istnieniu ryzyka, właściwego zrozumienia skłonności przedsiębiorstwa do podejmowania ryzyka ( apetytu na ryzyko ), zrozumienia wymagań zachowania zgodności, przejrzystości w sferze znaczącego ryzyka dla przedsiębiorstwa oraz wbudowania odpowiedzialności za zarządzanie ryzykiem w strukturę organizacyjną. Pomiar wydajności obejmuje śledzenie i monitorowanie wdrożenia strategii, realizacji projektów, wykorzystania zasobów, wydajności procesów i dostępności usług za pomocą np. zrównoważonych kart wyników, które umożliwiają przełożenie strategii na działania służące osiąganiu mierzalnych celów (poza konwencjonalną księgowością). 6

Wspomniane obszary nadzoru informatycznego opisują zagadnienia, którymi powinna zająć się kadra zarządzająca, aby sprawować nadzór informatyczny w przedsiębiorstwie. Kierownictwo operacyjne wykorzystuje procesy do organizacji i zarządzania bieżącą działalnością IT. Metodyka CobiT dostarcza ogólny model procesów, obejmujący wszystkie procesy właściwe funkcjom IT, zapewniając wspólny model odniesienia, zrozumiały dla kierownictwa operacyjnego działu IT i firmy. Model procesów CobiT został przyporządkowany do głównych obszarów ładu informatycznego (patrz Załącznik II Przyporządkowanie procesów IT do głównych obszarów ładu informatycznego, struktury ramowej COSO, zasobów informatycznych CobiT i kryteriów informacji CobiT), zapewniając powiązanie między działaniami wykonawczymi kierowników operacyjnych a tym, co chce nadzorować kierownictwo wyższego szczebla. Aby móc sprawować efektywny nadzór, kierownictwo wyższego szczebla powinno wymagać wprowadzenia przez kierowników operacyjnych mechanizmów kontrolnych (w ramach zdefiniowanej ramowej struktury mechanizmów kontrolnych) dla wszystkich procesów IT. Cele kontrolne IT CobiT są zorganizowane według procesów IT. Tak zdefiniowana struktura zapewnia przejrzyste powiązania między wymaganiami nadzoru informatycznego, procesami IT i mechanizmami kontrolnymi dotyczącymi IT. Metodyka CobiT jest skoncentrowana na tym, co jest niezbędne do prawidłowego zarządzania i sprawowania kontroli nad IT, i dotyczy wysokiego poziomu zarządzania. Metodyka CobiT jest zgodna i zharmonizowana z innymi, bardziej szczegółowymi standardami i dobrymi praktykami dotyczącymi IT (patrz Załącznik IV CobiT 4.1 najważniejsze materiały źródłowe). Metodyka CobiT łączy w sobie wiedzę zawartą w tych materiałach, grupując najważniejsze cele w ramach jednej ramowej struktury, która jest również powiązana z potrzebą nadzoru i wymaganiami biznesowymi. Struktura ramowa COSO (oraz podobne, zgodne z nią struktury) jest ogólnie przyjętą strukturą ramową systemu kontroli wewnętrznej dla przedsiębiorstw. Metodyka CobiT jest ogólnie przyjętą strukturą ramową systemu kontroli wewnętrznej dla IT. Produkty CobiT zostały zostały zorganizowane na trzech poziomach (ilustracja 3), określonych z myślą o zapewnieniu wsparcia dla: kadry zarządzającej i zarządów; kierownictwa firm i działów IT; specjalistów ds. nadzoru, kontroli wewnętrznej, kontroli i bezpieczeństwa. Produkty CobiT obejmują następujące pozycje: Board Briefing on IT Governance, 2 nd Edition pomaga osobom pełniącym funkcje kierownicze zrozumieć, dlaczego ład informatyczny jest ważny, jakich dotyczy zagadnień i na czym polega ich odpowiedzialność za zarządzanie nim. Management guidelines/maturity models pomaga w określaniu odpowiedzialności, pomiarze wydajności oraz analizie porównawczej i eliminowaniu braków w potencjale. Frameworks organizuje cele nadzoru informatycznego i dobre praktyki według domen i procesów IT oraz powiązuje je z potrzebami firmy. Control objectives dostarcza pełen zestaw wymagań wysokiego poziomu, który powinno uwzględnić kierownictwo, aby sprawować efektywną kontrolę nad każdym z procesów IT. IT Governance Implementation Guide: Using CobiT and Val IT TM, 2 nd Edition przedstawia ogólny plan działania w celu wdrożenia nadzoru Co to jest struktura nadzoru informatycznego? Struktury COBIT i Val IT Cele mechanizmów kontrolnych Główne praktyki zarządzania Wprowadzenie Ilustracja 3 Schemat zawartości metodyki CobiT W jaki sposób zarząd wykonuje swoje obowiązki? Kadra zarządzająca i zarządy W jaki sposób mierzymy wydajność? W jaki sposób porównujemy się z innymi? W jaki sposób poprawiamy nasze wyniki na przestrzeni czasu? Kierownictwo firm i działów technologicznych W jaki sposób wdrażamy tę strukturę w przedsiębiorstwie? Board Briefing on IT Governance, 2 nd Edition W jaki sposób dokonujemy oceny struktury nadzoru informatycznego? Specjaliści ds. nadzoru, kontroli wewnętrznej, kontroli i bezpieczeństwa IT Governance Implementation Guide, 2 nd Edition COBIT Control Practices, 2 nd Edition Wytyczne zarządzania IT Assurance Guide Modele dojrzałości Niniejszy schemat oparty na COBIT przedstawia ogólnie stosowane produkty i ich głównych odbiorców. Istnieją również produkty pochodne do szczególnych celów (IT Control Objectives for Sarbanes-Oxley, 2 nd Edition), dla domen, takich jak bezpieczeństwo (COBIT Security Baseline and Information Security Governance: Guidance for Boards of Directors and Executive Management ), lub dla szczególnych przedsiębiorstw (COBIT Quickstart dla małych i średnich przedsiębiorstw lub dla dużych przedsiębiorstw pragnących przejść na poziom bardziej obszernego wdrażania nadzoru informatycznego). informatycznego z wykorzystaniem metodyki CobiT i Val IT TM. CobiT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2 nd Edition tłumaczy, dlaczego warto wdrożyć mechanizmy kontrolne oraz jak je wdrożyć. IT Assurance Guide: Using CobiT dostarcza wskazówek, w jaki sposób metodyka CobiT może służyć do wspierania różnorodnych działań kontrolnych i omawia zalecane etapy testowania dla wszystkich procesów IT i celów kontrolnych. Schemat zawartości metodyki CobiT przedstawiony na ilustracji 3 prezentuje podstawowe grupy odbiorców, ich pytania dotyczące nadzoru informatycznego oraz odpowiednie produkty, które dostarczają odpowiedzi. Dostępne są również produkty uzupełniające, przeznaczone do specjalnych celów i dotyczące takich dziedzin, jak bezpieczeństwo albo określonych przedsiębiorstw. 7

CobiT 4.1 Wszystkie wspomniane komponenty metodyki CobiT są ze sobą wzajemnie powiązane i zapewniają wsparcie w realizacji potrzeb nadzoru, zarządzania, audytu i kontroli wewnętrznej różnych grup odbiorców, jak pokazano na ilustracji 4. Ilustracja 4 Wzajemne powiązania komponentów struktury CobiT Celebadane za pomocą biznesowe wymagania informacje Cele IT Procesy IT z podziałem na mierzone za pomocą kontrolowane za pomocą wykonywane na podstawie Kluczowe czynności w zakresie wydajności w zakresie wyników w zakresie dojrzałości Testy wyników działania mechanizmów kontrolnych uzyskane z badane za pomocą Cele mechanizmów kontrolnych wdrożone za pomocą Tabela odpowiedzialności i rozliczalności Wskaźniki wydajności Miary wyniku Modele dojrzałości Testy w obszarze projektowania mechanizmów kontrolnych oparte na Praktyki w obszarze stosowania mechanizmów kontrolnych CobiT to metodyka wraz z zestawem pomocnych narzędzi, które umożliwiają menedżerom wypełnienie luki w obszarze wymogów kontrolnych, zagadnień technicznych i ryzyka biznesowego oraz poinformowanie interesariuszy o poziomie sprawowanej kontroli. Metodyka CobiT umożliwia rozwój przejrzystej polityki i dobrej praktyki kontroli IT w przedsiębiorstwach. Metodyka CobiT jest nieustannie aktualizowana i uzgadniana z innymi standardami i wytycznymi. Dlatego metodyka CobiT stała się platformą integrującą dobre praktyki w dziedzinie IT i ramową strukturą dla nadzoru informatycznego, która pomaga w zrozumieniu i zarządzaniu ryzykiem i korzyściami związanymi z IT. Struktura procesów w ramach metodyki CobiT i jej odnoszące się do wysokiego poziomu zarządzania, ukierunkowane na biznes podejście zapewnia całościowy wgląd w działalność IT oraz dotyczące jej decyzje, które należy podjąć. Korzyści z wdrożenia CobiT jako metodyki sprawowania nadzoru informatycznego obejmują: Lepsze dopasowanie poprzez ukierunkowanie na biznes. Zrozumiały dla kierownictwa wgląd w to, co robi dział IT. Przejrzyste pojęcia własności i odpowiedzialności dzięki ukierunkowaniu na procesy. Ogólną akceptowalność dla stron trzecich i organów regulacyjnych. Powszechne zrozumienie wszystkich interesariuszy dzięki wspólnemu językowi. Spełnienie wymagań COSO dla środowiska systemu kontroli IT. W dalszej części niniejszego dokumentu znajduje się opis metodyki CobiT oraz wszystkich podstawowych komponentów struktury CobiT, zorganizowanych według czterech domen i 34 procesów IT CobiT. Jest to praktyczny materiał podręczny dla wszystkich korzystających z pełnego wydania metodyki CobiT. Przydatne materiały pomocnicze znajdują się również w załącznikach. Najbardziej wyczerpujące i aktualne informacje na temat metodyki CobiT i powiązanych z nią produktów, włączając narzędzia online, przewodniki wdrożeń, studia przypadków, biuletyny i materiały edukacyjne, są dostępne na stronie www.isaca.org/cobit. 8

M e t o d y k a C o b i T Metodyka CobiT

Metodyka CobiT Metodyka CobiT Misja CobiT: Badanie, rozwój, publikowanie i promowanie miarodajnej, aktualnej i powszechnie uznanej struktury ramowej nadzoru informatycznego, do przyjęcia przez przedsiębiorstwa w celu codziennego stosowania przez kierownictwo firm, specjalistów IT oraz specjalistów ds. audytu i kontroli wewnętrznej. POTRZEBA ISTNIENIA STRUKTURY RAMOWEJ SYSTEMU KONTROLI IT DLA ZAPEWNIENIA NADZORU INFORMATYCZNEGO Struktura ramowa systemu kontroli IT na potrzeby zapewnienia nadzoru informatycznego definiuje przyczyny, dla których niezbędny jest nadzór informatyczny, uczestniczących w nim interesariuszy oraz cele, które system kontroli IT powinien osiągać. Dlaczego Kierownictwo najwyższego szczebla w coraz większym stopniu zdaje sobie sprawę ze znaczącego wpływu informacji na sukces przedsiębiorstwa. Kierownictwo oczekuje większego zrozumienia sposobu wykorzystania technologii informatycznych oraz większego prawdopodobieństwa ich skutecznego wykorzystania do uzyskania przewagi konkurencyjnej. W szczególności kierownictwo najwyższego szczebla potrzebuje wiedzy, czy zarządzanie informacjami w przedsiębiorstwie odbywa się w taki sposób, że przedsiębiorstwo: będzie z dużym prawdopodobieństwem osiągać swoje cele; jest wystarczająco odporne, aby uczyć się i adaptować do nowych warunków; rozsądnie zarządza ryzykiem, przed którym staje; prawidłowo rozpoznaje i wykorzystuje pojawiające się możliwości. Przedsiębiorstwa, które osiągają sukcesy, rozumieją ryzyko, wykorzystują zalety technologii informatycznych i znajdują sposoby na: dostosowanie strategii IT do strategii biznesowej; zapewnienie inwestorów i udziałowców, że organizacja spełnia standardy należytej dbałości o minimalizację ryzyka informatycznego; stopniowe wdrożenie w przedsiębiorstwie strategii IT i określenie jej celów; uzyskanie wartości z inwestycji w IT; stworzenie struktur organizacyjnych, które ułatwią wdrożenie strategii i celów; stworzenie konstruktywnych relacji i zapewnienie efektywnej komunikacji między sferą biznesową i informatyczną oraz z zewnętrznymi partnerami; pomiar wydajności IT. Przedsiębiorstwa nie są w stanie radzić sobie efektywnie z powyższymi wymaganiami bez przyjęcia i wdrożenia odpowiedniej struktury mechanizmów kontrolnych i nadzoru informatycznego, aby móc: zapewnić powiązanie z wymaganiami biznesowymi; zapewnić przejrzystość oceny spełniania tych wymagań; zorganizować swoją działalność w ramach ogólnie akceptowanego modelu procesów; określić główne zasoby, które mają być wykorzystywane; zdefiniować cele kontroli zarządczej, które należy uwzględnić. Ponadto struktury nadzoru i mechanizmów kontrolnych stają się częścią dobrej praktyki zarządzania IT i umożliwiają zaprowadzenie ładu informatycznego i zapewnienie zgodności ze stale zwiększającymi się wymaganiami regulacyjnymi. Dobre praktyki w dziedzinie IT stały się istotne za sprawą wielu czynników: Kierownictwa i zarządy firm wymają większego zwrotu z inwestycji w IT, tj. oczekują dostarczania przez IT tego, czego potrzebuje firma, aby zwiększać swoją wartość w oczach interesariuszy. Zaniepokojenie zwiększającymi się nakładami na IT. Potrzeba sprostania wymaganiom regulacyjnym dotyczącym mechanizmów kontrolnych w sferze IT, w takich obszarach, jak ochrona prywatności czy sprawozdawczość finansowa (np. Ustawa Sarbanesa-Oxley'a w Stanach Zjednoczonych) oraz w niektórych branżach, takich jak branża finansowa, farmaceutyczna czy ochrona zdrowia. Wybór dostawców usług oraz zarządzanie outsourcingiem i nabywaniem usług. Rosnąca złożoność ryzyka informatycznego, np. związanego z bezpieczeństwem sieciowym. Inicjatywy dotyczące nadzoru informatycznego, które uwzględniają przyjęcie struktury mechanizmów kontrolnych i dobrych praktyk, aby wspomóc monitorowanie i doskonalenie działalności IT o krytycznym znaczeniu w celu zwiększenia wartości biznesowej i ograniczenia ryzyka biznesowego. Potrzeba optymalizacji kosztów poprzez stosowanie tam, gdzie to możliwe, ustandaryzowanych, a nie specjalnie opracowanych rozwiązań. Zwiększająca się dojrzałość i wynikająca z niej akceptacja dla dobrze ugruntowanych standardów, takich jak CobiT, IT Infrastructure Library (ITIL), ISO serii 27000 (standardy dotyczące bezpieczeństwa informacji), ISO 9001:2000 Quality Management Systems Requirements, Capability Maturity Model Integration (CMMI), Projects in Controlled Environments 2 (Prince2) oraz A Guide to the Project Management Body of Knowledge (PMBOK). Potrzeba dokonania oceny przez przedsiębiorstwa, jak radzą sobie z ogólnie przyjętymi standardami i jak wypadają na tle podobnych firm (analiza porównawcza). 9

CobiT 4.1 Kto Struktura nadzoru i mechanizmów kontrolnych musi służyć wielu wewnętrznym i zewnętrznym interesariuszom, z których każdy ma określone potrzeby: Interesariusze w przedsiębiorstwie, którzy są zainteresowani generowaniem wartości z inwestycji w IT: ci, którzy podejmują decyzje inwestycyjne; ci, którzy decydują o wymaganiach; ci, którzy korzystają z usług IT. Wewnętrzni i zewnętrzni interesariusze, którzy świadczą usługi IT: ci, którzy zarządzają organizacją IT i procesami; ci, którzy rozwijają potencjał; ci, którzy obsługują usługi. Wewnętrzni i zewnętrzni interesariusze odpowiedzialni za kontrolę/zarządzanie ryzykiem: ci, którzy odpowiadają za bezpieczeństwo, ochronę prywatności i/lub zarządzanie ryzykiem; ci, którzy nadzorują zachowanie zgodności; ci, którzy wymagają lub wykonują czynności kontroli wewnętrznej i audytu. Co Aby spełnić powyższe wymagania, metodyka nadzoru informatycznego i kontroli IT powinna: Być ukierunkowana na biznes, aby zapewniać zgodność między celami biznesowymi i celami IT. Zapewniać ukierunkowanie na procesy, aby zdefiniować zakres i stopień pokrycia wraz ze zdefiniowaną strukturą umożliwiającą łatwe poruszanie się po zawartości. Być ogólnie akceptowana dzięki zachowaniu zgodności z przyjętymi dobrymi praktykami i standardami w dziedzinie IT oraz niezależna od określonych technologii. Zapewniać wspólny język komunikacji poprzez wybór i stosowanie zbioru terminów i definicji, które są powszechnie zrozumiałe dla wszystkich interesariuszy. Pomagać w spełnianiu wymagań regulacyjnych poprzez zachowanie zgodności z powszechnie przyjętymi standardami ładu korporacyjnego (np. COSO) i mechanizmami kontroli IT wymaganymi przez organy regulacyjne i zewnętrznych audytorów. W jaki sposób metodyka CobiT zaspokaja te potrzeby W odpowiedzi na powyższe potrzeby opracowano metodykę CobiT, która jest ukierunkowana na biznes, zorientowana na procesy, oparta na mechanizmach kontrolnych oraz pomiarach. Ukierunkowanie na biznes Orientacja biznesowa jest głównym zagadnieniem metodyki CobiT. Opracowano ją nie tylko na potrzeby dostawców i użytkowników usług IT oraz audytorów, ale co ważniejsze także w celu zapewnienia kompleksowego zbioru wskazówek dla zarządzających i właścicieli procesów biznesowych. Ilustracja 5 Podstawowa zasada metodyki CobiT które odpowiadają na Wymagania biznesowe stanowią siłę napędową inwestycji w Projekt CobiT opiera się na następującym założeniu (ilustracja 5): Aby przedsiębiorstwo mogło zapewnić sobie dostępność informacji, których potrzebuje do osiągania swoich celów, musi inwestować w zasoby IT, zarządzać nimi i sprawować nad nimi kontrolę, wykorzystując zorganizowany zbiór procesów, aby zapewnić sobie dostępność usług, które dostarczą mu potrzebnych informacji. Informacje o przedsiębiorstwie w celu dostarczania COBIT Procesy IT Zasoby IT które są wykorzystywane przez Aby zapewnić dostosowanie do wymagań biznesowych, w centrum uwagi metodyki CobiT znajduje się zarządzanie i sprawowanie kontroli nad informacjami. KRYTERIA INFORMACJI CobiT Aby realizować cele biznesowe, informacje muszą spełniać pewne kryteria kontrolne, które w metodyce CobiT określa się jako wymagania biznesowe dla informacji. W oparciu o szersze wymogi dotyczące jakości, zasad powiernictwa i bezpieczeństwa zdefiniowano siedem różnych, częściowo pokrywających się kryteriów informacji: Efektywność odnosi się do informacji, które są adekwatne i istotne dla procesów biznesowych, a także dostarczane w terminowy, prawidłowy, spójny i użyteczny sposób. Wydajność dotyczy dostarczania informacji przy optymalnym (najbardziej wydajnym i ekonomicznym) wykorzystaniu zasobów. Poufność dotyczy ochrony wrażliwych informacji przed nieautoryzowanym użyciem. Integralność odnosi się do dokładności i kompletności informacji, a także ich poprawności w odniesieniu do wartości i oczekiwań biznesowych. 10

Metodyka CobiT Dostępność odnosi się do informacji, które są dostępne wtedy, gdy są niezbędne dla procesu biznesowego obecnie i w przyszłości. Dotyczy również mechanizmów ochrony niezbędnych zasobów i związanych z nimi możliwości. Zgodność dotyczy zgodności z przepisami prawa, wymaganiami regulacyjnymi i postanowieniami umów, którym podlega proces biznesowy np. narzuconymi z zewnątrz kryteriami biznesowymi czy wewnętrzną polityką firmy. Wiarygodność odnosi się do dostarczania kierownictwu odpowiednich informacji, aby umożliwiać mu prowadzenie firmy i wypełnianie swoich obowiązków powierniczych i nadzorczych. Cele biznesowe i cele IT Podczas gdy kryteria informacji dostarczają ogólnej metody definiowania wymagań biznesowych, zdefiniowanie zbioru ogólnych celów biznesowych i celów IT zapewnia ukierunkowaną biznesowo i bardziej miarodajną podstawę do określenia wymagań biznesowych i mierników, które umożliwią pomiar efektywności w osiąganiu tych celów. Każde przedsiębiorstwo wykorzystuje technologie informatyczne do realizacji inicjatyw biznesowych, co można określić mianem celów biznesowych dla IT. Załącznik I przedstawia macierz ogólnych celów biznesowych i celów IT oraz pokazuje, w jaki sposób są one przyporządkowane do kryteriów informacji. Te ogólne przykłady mogą zostać wykorzystane jako wskazówki do określenia specyficznych wymagań biznesowych, celów i mierników dla danego przedsiębiorstwa. Jeśli IT ma skutecznie świadczyć usługi wspierające realizację strategii przedsiębiorstwa, konieczne jest przejrzyste zdefiniowanie własności i kierunku wymagań biznesowych (klient) oraz pełne zrozumienie, co i w jaki sposób powinien dostarczyć dział IT (dostawca). Ilustracja 6 pokazuje, w jaki sposób strategia przedsiębiorstwa powinna zostać przetransponowana przez firmę na cele odnoszące się do inicjatyw, których realizację umożliwia IT (cele biznesowe dla IT). Cele te powinny prowadzić do precyzyjnego sformułowania własnych celów IT (cele IT), które z kolei definiują zasoby i potencjał IT (architektura korporacyjna systemów informatycznych) niezbędny do pomyślnej realizacji części strategii przedsiębiorstwa przynależnej do IT. 1 Ilustracja 6 Definiowanie celów IT i architektury IT przedsiębiorstwa Strategia przedsiębiorstwa Cele biznesowe IT Cele IT Architektura korporacyjna IT Karta wyników IT Wymagania biznesowe Wymagania dotyczące nadzoru dostarczają Informacje wymagają Usługi informacyjne wpływają na Procesy IT uruchamiają Aplikacje powodują powstanie Kryteria informacji wymagają Infrastruktura i osoby Cele biznesowe IT Architektura korporacyjna IT Gdy zostaną już określone wspólne cele, konieczne jest monitorowanie ich realizacji, aby odpowiadała ona oczekiwaniom. Osiąga się to poprzez mierniki, które odpowiadają poszczególnym celom i są zapisywane na karcie wyników IT. Aby klient mógł zrozumieć cele IT i kartę wyników IT, wszystkie cele i powiązane z nimi mierniki powinny być wyrażone przy użyciu terminologii biznesowej, która jest zrozumiała dla klienta. W połączeniu z efektywnym dopasowaniem hierarchii celów zapewnia to duże prawdopodobieństwo potwierdzenia przez stronę biznesową, że IT wspiera realizację celów przedsiębiorstwa. Załącznik I Tabele powiązań celów i procesów przedstawiają ogólny obraz tego, jak ogólne cele biznesowe odnoszą się do celów IT, procesów IT i kryteriów informacji. Tabele ilustrują zakres metodyki CobiT i ogólne relacje biznesowe między metodyką CobiT a czynnikami wpływającymi na działalność przedsiębiorstwa. Jak pokazano na ilustracji 6, czynniki te pochodzą ze sfery biznesowej i nadzorczej przedsiębiorstwa (pierwsza koncentruje się w większym stopniu na funkcjonalności i szybkości dostarczania rozwiązań, podczas gdy druga na opłacalności, zwrocie z inwestycji (ROI) i zapewnieniu zgodności. 1 Należy zauważyć, że zdefiniowanie i wdrożenie architektury IT przedsiębiorstwa wiąże się również z określeniem wewnętrznych celów IT, które przyczyniają się do realizacji celów biznesowych, ale się z nich bezpośrednio nie wywodzą. 11

CobiT 4.1 Zasoby IT Organizacja IT realizuje wyznaczone cele poprzez jasno zdefiniowany zbiór procesów, które wykorzystują ludzkie umiejętności i infrastrukturę techniczną do zapewnienia działania zautomatyzowanych aplikacji biznesowych, jednocześnie wykorzystując informacje biznesowe. Zasoby te wraz z procesami tworzą architekturę korporacyjną systemów informatycznych (jak pokazano na ilustracji 6). Aby móc spełnić wymagania biznesowe wobec IT, przedsiębiorstwo musi zainwestować w zasoby niezbędne do stworzenia adekwatnego potencjału technicznego (np. systemu planowania zasobów przedsiębiorstwa (ERP)), mogącego zapewnić wsparcie dla potencjału biznesowego (np. wdrożenie łańcucha dostaw), czego efektem jest osiągnięcie pożądanego rezultatu (np. zwiększenie sprzedaży i zysków). Zasoby IT określone w ramach metodyki CobiT można zdefiniować w następujący sposób: Aplikacje to zautomatyzowane systemy użytkownika i procedury manualne, które służą do przetwarzania informacji. Informacje to dane we wszystkich postaciach, wprowadzane, przetwarzane i dostarczane przez systemy informatyczne w dowolnej formie wykorzystywanej przez firmę. Infrastruktura to technologia i środki (tj. sprzęt, systemy operacyjne, systemy zarządzania bazami danych, sieci, multimedia oraz środowisko, w którym się one znajdują i które je wspiera), które umożliwiają przetwarzanie danych przez aplikacje. osoby to pracownicy niezbędni do planowania, organizacji, nabywania, wdrażania, dostarczania, zapewniania wsparcia, monitorowania i oceny systemów i usług informatycznych. Zależnie od potrzeb, mogą być to pracownicy wewnętrzni, zewnętrzni lub kontraktowi. Ilustracja 7 pokazuje, jak jaki sposób cele biznesowe dla IT wpływają na to, jak powinno przebiegać zarządzanie zasobami IT przez procesy IT, aby osiągnąć cele IT. Orientacja na procesy Metodyka CobiT definiuje działalność IT w ramach ogólnego modelu procesów w czterech domenach (dziedzinach). Domeny te to Planowanie i organizacja, Nabywanie i wdrażanie, Dostarczanie i wsparcie oraz Monitorowanie i ocena. Domeny odpowiadają tradycyjnym obszarom odpowiedzialności IT: planowania, budowy, obsługi i monitorowania. Metodyka CobiT zapewnia model odniesienia dla procesów i wspólny język komunikacji dla wszystkich osób w przedsiębiorstwie, aby przyglądać się działaniu IT i zarządzać nim. Wprowadzenie modelu operacyjnego i wspólnego języka komunikacji we wszystkich obszarach firmy związanych z IT jest jednym z najważniejszych początkowych kroków w kierunku odpowiedniego nadzoru. Zapewnia to również strukturę ramową dla pomiaru i monitorowania wydajności IT, komunikacji z dostawcami usług oraz wdrażania najlepszych praktyk zarządzania. Model procesów zachęca również do zdefiniowania własności procesów, zakresów odpowiedzialności i rozliczalności. Ilustracja 7 Zarządzanie zasobami IT w celu osiągania celów IT Aplikacje Cele przedsiębiorstwa Czynniki nadzoru Wyniki działalności Informacja Infrastruktura Procesy IT Cele IT Osoby Dla efektywnego nadzoru nad działalnością IT istotne jest określenie rodzajów działalności i ryzyka w obszarze IT, którymi należy zarządzać. Zwykle są one podzielone na obszary odpowiedzialności w zakresie planowania, budowy, obsługi i monitorowania. W metodyce CobiT obszary te (domeny), jak pokazano na ilustracji 8, określane są jako: Planowanie i organizacja (PO) określa kierunek dla dostarczania rozwiązań (AI) i świadczenia usług (DS). Nabywanie i wdrażanie (AI) obejmuje dostarczanie rozwiązań i przekazywanie ich w celu zamiany w usługi. Dostarczanie i wsparcie (DS) obejmuje odbiór rozwiązań i przystosowanie ich, aby były użyteczne dla użytkowników końcowych. Monitorowanie i ocena (ME) obejmuje monitorowanie wszystkich procesów, aby zapewnić podążanie w określonym kierunku. Ilustracja 8 Cztery powiązane domeny metodyki CobiT Planowanie i organizacja Nabywanie i wdrażanie Dostarczanie i wsparcie Monitorowanie i ocena Planowanie i organizacja (PO) Domena ta, obejmująca zagadnienia strategiczne i taktyczne, dotyczy określenia sposobu, w jaki działalność IT mogłaby najlepiej przyczynić się do osiągnięcia celów biznesowych. Realizacja wizji strategicznej powinna być planowana, komunikowana i zarządzana z uwzględnieniem różnych perspektyw. Wymaga również zapewnienia odpowiedniej organizacji i infrastruktury technicznej. Domena ta zwykle odpowiada na następujące pytania związane z zarządzaniem: Czy strategia IT jest dostosowana do strategii biznesowej? Czy przedsiębiorstwo w optymalny sposób wykorzystuje swoje zasoby? Czy wszyscy w organizacji rozumieją cele IT? Czy znane jest ryzyko IT i czy zarządza się nim? Czy jakość systemów informatycznych jest odpowiednia do potrzeb firmy? 12

Nabywanie i wdrażanie (AI) Aby możliwa była realizacja strategii IT, konieczne jest określenie i stworzenie lub nabycie rozwiązań informatycznych, a następnie ich wdrożenie i zintegrowanie z procesem biznesowym. Ponadto domena ta obejmuje również zmiany i utrzymanie istniejących systemów, aby mogły one nadal realizować cele biznesowe. Domena ta zwykle odpowiada na następujące pytania związane z zarządzaniem: Czy nowe projekty są w stanie dostarczyć rozwiązania, które będą spełniać potrzeby firmy? Czy nowe projekty mogą być zrealizowane terminowo i w ramach budżetu? Czy nowe systemy po ich wdrożeniu będą działać prawidłowo? Czy można wprowadzić zmiany bez zakłócania bieżącej działalności biznesowej? Dostarczanie i wsparcie (DS) Domena ta dotyczy rzeczywistego dostarczania potrzebnych usług, które obejmuje świadczenie usług, zarządzanie bezpieczeństwem i ciągłością, wsparcie techniczne dla użytkowników oraz zarządzanie danymi i infrastrukturą operacyjną. Zwykle odpowiada ona na następujące pytania związane z zarządzaniem: Czy usługi IT są dostarczane zgodnie z priorytetami biznesowymi? Czy koszty IT są zoptymalizowane? Czy pracownicy są w stanie korzystać z systemów IT w produktywny i bezpieczny sposób? Czy zapewniona jest odpowiednia poufność, integralność i dostępność gwarantująca bezpieczeństwo informacji? Monitorowanie i ocena (ME) Wszystkie procesy IT powinny być regularnie poddawane ocenie pod kątem ich jakości i zgodności z wymaganiami kontrolnymi. Domena ta obejmuje kwestie zarządzania wydajnością, monitorowania systemu kontroli, zgodności z wymaganiami regulacyjnymi i nadzoru. Zwykle odpowiada ona na następujące pytania związane z zarządzaniem: Czy wydajność IT podlega pomiarowi, aby wykrywać problemy zanim jest za późno? Czy kierownictwo dba o to, aby wewnętrzne mechanizmy kontrolne były efektywne i wydajne? Czy efekty działalności IT można powiązać z celami biznesowymi? Czy istnieją odpowiednie mechanizmy kontroli poufności, integralności i dostępności w celu zapewnienia bezpieczeństwa informacji? W ramach tych czterech domen metodyka CobiT wyodrębnia 34 ogólnie stosowane procesy IT (ich pełną listę przedstawiono na ilustracji 23). Podczas gdy większość przedsiębiorstw ma zdefiniowane wymagania dotyczące obowiązków w zakresie planowania, budowy, obsługi i monitorowania w dziedzinie IT i większość wykorzystuje te same kluczowe procesy, niewiele z nich ma taką samą strukturę procesów lub stosuje wszystkie 34 procesy CobiT. Metodyka CobiT obejmuje pełną listę procesów, które mogą zostać wykorzystane w celu weryfikacji kompletności czynności i obowiązków. Nie wszystkie jednak one muszą mieć zastosowanie, a co więcej, każde przedsiębiorstwo może wykorzystywać je w wybranej przez siebie kombinacji. Każdy z 34 procesów został powiązany ze wspieranymi celami biznesowymi i celami IT. Uwzględniono również informacje o tym, w jaki sposób można dokonywać pomiaru realizacji celów, jakie są kluczowe czynności i najważniejsze efekty oraz kto jest za nie odpowiedzialny. Oparcie na mechanizmach kontrolnych Metodyka CobiT definiuje cele kontrolne dla wszystkich 34 procesów, a także cele wspólne dla wszystkich procesów oraz cele dla aplikacyjnych mechanizmów kontrolnych. Procesy wymagają mechanizmów kontrolnych Mechanizmy kontrolne są definiowane jako polityki, procedury, praktyki i struktury organizacyjne stworzone w celu racjonalnego zapewnienia realizacji celów biznesowych oraz zapobiegnięcia lub wykrycia i przeciwdziałania skutkom niepożądanych zdarzeń. Cele kontrolne IT obejmują pełen zestaw wymagań wysokiego poziomu, które powinno uwzględnić kierownictwo, aby sprawować efektywną kontrolę nad poszczególnymi procesami IT. Cele kontrolne: to opisy działań zarządczych mających na celu zwiększenie wartości lub zmniejszenie ryzyka; obejmują polityki, procedury, praktyki i struktury organizacyjne; są określone w celu racjonalnego zapewnienia realizacji celów biznesowych oraz zapobiegnięcia lub wykrycia i przeciwdziałania skutkom niepożądanych zdarzeń. Kierownictwo firmy dokonuje wyborów dotyczących celów kontrolnych poprzez: wybór tych, które są właściwe; podjęcie decyzji, które z nich zostaną wdrożone; wybór sposobu ich wdrożenia (częstotliwość, zakres, automatyzacja itp.); akceptację ryzyka niewdrożenia celów, które mogą mieć zastosowanie. Metodyka CobiT 13

CobiT 4.1 Pewną wskazówką może być standardowy model kontroli przedstawiony na ilustracji 9. Ilustruje on zasady rządzące następującą analogią: Gdy zostaje ustawiona temperatura pokojowa (standard) dla systemu ogrzewania (proces), system stale sprawdza (porównuje) temperaturę w pokoju (informacje kontrolne) i przekazuje sygnały (działanie) do systemu ogrzewania, aby ten dostarczył więcej lub mniej ciepła. Ilustracja 9 Model kontroli DZIAŁANIE Kierownictwo operacyjne wykorzystuje procesy do organizacji i zarządzania bieżącą działalnością IT. Metodyka CobiT opisuje ogólny model procesów, obejmujący wszystkie procesy właściwe funkcjom IT, zapewniając wspólny model odniesienia, zrozumiały dla kierownictwa operacyjnego działu IT i firmy. Aby możliwe było sprawowanie efektywnego nadzoru, konieczne jest wprowadzenie przez kierowników operacyjnych mechanizmów kontrolnych (w ramach zdefiniowanego systemu kontroli) dla wszystkich procesów IT. Ponieważ cele kontrolne IT CobiT są zorganizowane według procesów IT, metodyka zapewnia przejrzyste powiązania między wymaganiami nadzoru informatycznego, procesami IT i mechanizmami kontrolnymi dotyczącymi IT. Normy Standardy Cele Porównywanie Proces KONTROLOWANIE INFORMACJI Każdy z procesów IT CobiT ma odpowiedni opis i kilka celów kontrolnych. Razem składają się one na charakterystykę dobrze zarządzanego procesu. Cele kontrolne są oznaczone dwuliterowym kodem domeny (PO, AI, DS i ME) oraz numerem procesu i numerem celu kontrolnego. Oprócz celów kontrolnych każdego procesu IT CobiT określone są również ogólne wymagania kontrolne, które są oznaczone numerami PCn (numery ogólnych mechanizmów kontrolnych wspólne dla każdego procesu). Aby mieć pełny obraz wymagań kontrolnych, należy je rozpatrywać łącznie z celami kontrolnymi procesu. PC1 Cele procesu Zdefiniować i przekazać konkretne, mierzalne, przekładalne na działania, realistyczne, zorientowane na efekty i aktualne (SMARRT) cele procesu, aby zapewnić efektywną realizację każdego z procesów IT. Zapewnić ich powiązanie z celami biznesowymi i wsparcie przez odpowiednie mierniki. PC2 Własność procesu Określić właściciela każdego z procesów IT i jasno zdefiniować jego role i obowiązki. Uwzględnić np. odpowiedzialność za projekt procesu, interakcje z innymi procesami, rozliczalność końcowych efektów, pomiar wydajności procesu oraz określenie możliwości doskonalenia. PC3 Powtarzalność procesu Zaprojektować i wdrożyć każdy z kluczowych procesów IT w taki sposób, aby był on powtarzalny i stale zapewniał oczekiwane rezultaty. Określić logiczną i jednocześnie elastyczną i skalowalną sekwencję czynności, która będzie prowadzić do uzyskania pożądanych rezultatów, będąc przy tym wystarczająco sprawną, aby sprostać różnym oczekiwaniom i zagrożeniom. Tam gdzie to możliwe zastosować jednorodne procesy i dostosowywać je tylko wtedy, gdy jest to nieuniknione. PC4 Role i obowiązki Zdefiniować kluczowe czynności i końcowe efekty procesu. Przydzielić i zakomunikować jednoznaczne role i obowiązki w celu efektywnego i wydajnego wykonywania i udokumentowania kluczowych czynności oraz zapewnienia rozliczalności końcowych efektów procesu. PC5 Polityka, plany i procedury Określić i poinformować, w jaki sposób wszystkie polityki, plany i procedury, które stymulują proces IT, będą dokumentowane, weryfikowane, utrzymywane, zatwierdzane, przechowywane, komunikowane i wykorzystywane do szkolenia. Określić odpowiedzialność za każdą z tych czynności i w odpowiednim czasie zweryfikować, czy są one prawidłowo wykonywane. Zapewnić, by polityki, plany i procedury były dostępne, prawidłowe, zrozumiałe i aktualne. PC6 Doskonalenie wydajności procesu Określić zestaw mierników, które umożliwią ocenę wyników i wydajności procesu. Określić docelowe wartości, które odzwierciedlają cele procesu oraz wskaźniki wydajności, które umożliwiają osiągnięcie celów procesu. Określić, w jaki sposób będą pozyskiwane dane. Porównać rzeczywiste pomiary z docelowymi wartościami i w razie potrzeby podjąć działania w celu wyeliminowania odchyleń. Dostosować mierniki, docelowe wartości i metody do stosowanego podejścia do monitorowania ogólnej wydajności IT. Efektywne mechanizmy kontrolne ograniczają ryzyko, zwiększają prawdopodobieństwo dostarczenia wartości i zapewniają poprawę wydajności dzięki zmniejszeniu liczby błędów i bardziej spójnemu podejściu do zarządzania. Ponadto metodyka CobiT podaje dla każdego procesu przykłady, które go ilustrują, ale nie w normatywny czy wyczerpujący sposób. Zawierają one: Ogólne parametry wejściowe i wyjściowe Czynności i wskazówki dotyczące ról i obowiązków ujęte w ramach modelu RACI (ang. Responsible Odpowiedzialny, Accountable Rozliczany, Consulted Konsultujący, Informed Informowany) Kluczowe cele czynności (najważniejsze rzeczy do zrobienia) Mierniki 14

Metodyka CobiT Oprócz świadomości niezbędnych mechanizmów kontrolnych, właściciele procesów powinni wiedzieć, jakiego wkładu potrzebują od innych oraz czego inni potrzebują od ich procesu. Metodyka CobiT zawiera również ogólne przykłady najważniejszych elementów wejściowych i wyjściowych dla każdego procesu, włączając zewnętrzne wymagania IT. Istnieją pewne elementy wyjściowe, które stanowią wkład wejściowy do wszystkich innych procesów (oznaczone jako WSZYSTKIE w tabelach elementów wyjściowych), ale nie są one wymienione jako elementy wejściowe we wszystkich procesach i zwykle obejmują standardy jakościowe i wymagania dotyczące mierników, strukturę procesu IT, udokumentowane role i obowiązki, strukturę mechanizmów kontrolnych IT przedsiębiorstwa, polityki IT oraz role i obowiązki personelu. Zrozumienie ról i obowiązków dla każdego procesu jest kluczem do efektywnego nadzoru. Metodyka CobiT zawiera tabele RACI dla poszczególnych procesów. W modelu tym rozliczany (ang. accountable) oznacza osobę, która wskazuje kierunek i zatwierdza daną czynność. odpowiedzialny (ang. responsible) to natomiast osoba, która wykonuje dane zadanie. Pozostałe dwie role konsultujący (ang. consulted) i informowany (ang. informed) dotyczą wszystkich osób, które są zaangażowane w proces i wspierają go. Biznesowe i informatyczne mechanizmy kontrolne Wewnętrzne mechanizmy kontrolne przedsiębiorstwa mają wpływ na działalność IT na trzech poziomach: Na poziomie kadry zarządzającej ustalane są cele biznesowe i polityki, a także podejmowane decyzje, w jaki sposób rozlokować i zarządzać zasobami przedsiębiorstwa, aby realizować jego strategię. Ogólne podejście do nadzoru i kontroli jest określane przez zarząd i komunikowane w całym przedsiębiorstwie. Te ustalone na najwyższym poziomie cele i polityki mają bezpośredni wpływ na środowisko kontrolne IT. Na poziomie procesów biznesowych mechanizmami kontrolnymi objęte są określone czynności biznesowe. Większość procesów biznesowych jest zautomatyzowana i zintegrowana z systemami aplikacji IT, co oznacza, że wiele mechanizmów kontrolnych na tym poziomie jest także zautomatyzowanych. Te mechanizmy kontrolne określa się mianem aplikacyjnych mechanizmów kontrolnych. Jednak niektóre mechanizmy kontrolne w ramach procesu biznesowego, takie jak autoryzowanie do wykonywania transakcji, rozdzielanie obowiązków czy uzgodnienia stanów, pozostają procedurami manualnymi. Dlatego mechanizmy kontrolne na poziomie procesu biznesowego stanowią połączenie manualnych mechanizmów kontrolnych obsługiwanych przez stronę biznesową oraz zautomatyzowanych biznesowych i aplikacyjnych mechanizmów kontrolnych. Wszystkie one są definiowane i zarządzane przez stronę biznesową, jednak aplikacyjne mechanizmy kontrolne wymagają działań na poziomie IT związanych z ich zaprojektowaniem i zaprogramowaniem w aplikacji. Aby wspierać procesy biznesowe, dział IT świadczy usługi IT zwykle w postaci usługi wspólnej dla wielu procesów biznesowych, ponieważ wiele procesów programistycznych i operacyjnych IT jest przeznaczonych dla całego przedsiębiorstwa, a znaczna część infrastruktury IT jest udostępniana jako usługa wspólna (np. sieci, bazy danych, systemy operacyjne czy pamięć masowa). Mechanizmy kontrolne obejmujące wszystkie czynności usługowe IT określa się mianem ogólnych mechanizmów kontrolnych IT. Niezawodne działanie ogólnych mechanizmów kontrolnych jest niezbędne, aby móc zaufać działaniu aplikacyjnych mechanizmów kontrolnych. Na przykład niewłaściwe Zarządzanie zmianami może zagrażać (przypadkowo lub celowo) niezawodności zautomatyzowanych kontroli integralności. Ogólne mechanizmy kontrolne IT i aplikacyjne mechanizmy kontrolne Ogólne mechanizmy kontrolne to mechanizmy kontrolne wbudowane w procesy i usługi IT. Przykłady adresują: Rozwój systemów Zarządzanie zmianą Bezpieczeństwo Operacje komputerowe Mechanizmy kontrolne wbudowane w aplikacje procesów biznesowych określa się zwykle mianem aplikacyjnych mechanizmów kontrolnych. Ich przykłady to: Kompletność Dokładność Ważność Autoryzacja Rozdzielenie obowiązków Metodyka CobiT zakłada, że projektowanie i wdrażanie zautomatyzowanych aplikacyjnych mechanizmów kontrolnych należy do zakresu obowiązków działu IT i mieści się w domenie Nabywanie i wdrażanie zgodnie z wymaganiami biznesowymi określonymi na podstawie kryteriów informacji CobiT, jak pokazano na ilustracji 10. Zarządzanie operacyjne i odpowiedzialność za nadzorowanie aplikacyjnych mechanizmów kontrolnych nie jest domeną IT, lecz należy do właściciela procesu biznesowego. Dlatego odpowiedzialność za aplikacyjne mechanizmy kontrolne należy od początku do końca do wspólnego zakresu odpowiedzialności sfery biznesowej i IT, ale charakter odpowiedzialności zmienia się w następujący sposób: Sfera biznesowa jest odpowiedzialna za prawidłowe: zdefiniowanie wymagań funkcjonalnych i kontrolnych; korzystanie ze zautomatyzowanych usług. Dział IT jest odpowiedzialny za: zautomatyzowanie i wdrożenie biznesowych wymagań funkcjonalnych i kontrolnych; ustanowienie mechanizmów kontrolnych w celu utrzymywania integralności aplikacyjnych mechanizmów kontrolnych. Dlatego procesy IT CobiT obejmują ogólne mechanizmy kontrolne oraz te aspekty aplikacyjnych mechanizmów kontrolnych, które związane są z ich tworzeniem; odpowiedzialność za ich definiowanie i wykorzystanie operacyjne spoczywa na sferze biznesowej. 15

CobiT 4.1 Ilustracja 10 Granice między mechanizmami kontroli wewnętrznej, aplikacyjnej oraz ogólnymi mechanizmami kontroli IT w przedsiębiorstwie Odpowiedzialność w sferze biznesu Odpowiedzialność w obszarze IT Odpowiedzialność w sferze biznesu Biznesowe mechanizmy kontrolne Ogólne mechanizmy kontroli IT Biznesowe mechanizmy kontrolne Planowanie i organizacja Wymagania funkcjonalne Wymagania kontrolne Nabywanie i wdrażanie Dostarczanie i wsparcie Zautomatyzowane usługi Monitorowanie i ocena Aplikacyjne mechanizmy kontrolne Poniższa lista zawiera zbiór zalecanych celów dla aplikacyjnych mechanizmów kontrolnych. Są one oznaczone numerami ACn (numery aplikacyjnych mechanizmów kontrolnych). AC1 Przygotowanie i autoryzacja danych źródłowych Zapewnić, by dokumenty źródłowe były przygotowywane przez upoważniony i wykwalifikowany personel zgodnie z ustalonymi procedurami i z uwzględnieniem odpowiedniego rozdziału obowiązków wobec pochodzenia i zatwierdzania tychże dokumentów. Błędy i przeoczenia można zminimalizować poprzez zaprojektowanie odpowiedniego formularza wprowadzania danych. Wykrywać błędy i odstępstwa, aby można było je zgłosić i poprawić. AC2 Gromadzenie i wprowadzanie danych źródłowych Zapewnić, by dane były wprowadzane w odpowiednim czasie przez upoważniony i wykwalifikowany personel. Korygowanie i ponowne wprowadzanie danych, które zostały błędnie wprowadzone, powinno odbywać się bez obniżania pierwotnych poziomów autoryzacji transakcji. Jeśli jest to konieczne do rekonstrukcji, należy zachować przez odpowiednio długi czas oryginalne dokumenty źródłowe. AC3 Kontrola dokładności, kompletności i autentyczności Zapewnić, by transakcje były dokładne, kompletne i poprawne. Zweryfikować poprawność wprowadzonych danych i zmodyfikować je lub odesłać je do poprawy możliwie jak najbliżej punktu powstania. AC4 Integralność i poprawność przetwarzania Zachować integralność i poprawność danych przez cały cykl przetwarzania. Wykrycie błędnych transakcji nie powinno zakłócać przetwarzania prawidłowych transakcji. AC5 Ocena efektów, uzgadnianie i postępowanie z błędami Ustanowić procedury i powiązane obowiązki, aby zapewnić: uprawnione obchodzenie się z danymi wyjściowymi, dostarczanie ich właściwym odbiorcom oraz ich ochronę podczas przesyłania; weryfikację, wykrywanie i korygowanie niedokładności danych wyjściowych; właściwe wykorzystanie informacji zawartych w danych wyjściowych. AC6 Uwierzytelnianie i integralność transakcji Przed przekazaniem danych transakcyjnych między wewnętrznymi aplikacjami a funkcjami biznesowymi/operacyjnymi (lub na zewnątrz przedsiębiorstwa) należy sprawdzić poprawność ich adresowania, autentyczność pochodzenia oraz integralność zawartości. Zapewnić zachowanie autentyczności i integralności podczas przesyłania lub transportu. 16