PRZEWODNIK AUDYTU TECHNOLOGICZNEGO IPPF PRAKTYCZNY PRZEWODNIK Audytowanie ładu informatycznego
Globalny Przewodnik Audytu Technologicznego (GTAG ) 17: Audytowanie ładu informatycznego Czerwiec 2012 Tłumaczenie na język polski zostało sfinansowane przez IMMUSEC sp. z o.o.
Spis treści Streszczenie... 5 1. Wstęp... 6 1.1. Czym jest ład informatyczny?... 6 1.2. Standardy IIA... 6 1.3. Ład informatyczny zadania i standardy globalne... 6 1.4. Ład informatyczny charakterystyka i ryzyka... 7 Struktury organizacyjne i nadzoru... 7 Przywództwo i wsparcie najwyższego kierownictwa... 7 Planowanie strategiczne i operacyjne... 8 Dostarczanie i mierzenie usług... 8 Organizacja oraz zarządzanie ryzykiem IT... 9 Ład informatyczny cechy i zalety... 9 2. Ryzyka dotyczące ładu informatycznego...11 2.1 Struktury organizacyjne i struktury ładu...11 Organizacja model operacyjny...11 Ład organizacyjny odpowiedzialność za wyniki...11 Działania operacyjne a projekty...12 Outsourcing usług IT...12 2.2 Przywództwo i wsparcie najwyższego kierownictwa...12 2.3 Planowanie strategiczne i operacyjne...13 Strategiczne metrykiprojektów IT...13 Współczynniki strategiczne dla działań operacyjnych IT...13 2.4 Dostarczanie i mierzenie usług...13 2.5 Organizacja oraz zarządzanie ryzykiem IT...14 Architektura organizacyjna...14 Zarządzanie bezpieczeństwem informacji...15 3. Ujednolicenie organizacji i IT kluczowe zagadnienia...16 Optymalizacja ujednolicenia pomiędzy audytem wewnętrznym a ładem informatycznym...16 Model dojrzałości...17 3.1 Mechanizmy kontrolne ładu informatycznego...18 Etyka i wartości ustalane przez nastawienie kierownictwa...18 Standardy, polityki i procedury IT...18 Zarządzanie wydajnością i raportowanie...18 4. Rola audytu wewnętrznego w zapewnieniu ładu informatycznego...19 Opracowanie planu audytu ładu informatycznego...19 Struktury organizacyjne i nadzoru...19 Przywództwo i wsparcie najwyższego kierownictwa...19 Planowanie strategiczne i operacyjne...20 Dostarczanie i mierzenie usług...20 Organizacja oraz zarządzanie ryzykiem IT...21 Podsumowanie...22 Autorzy i recenzenci...22 Dodatek Ocena ryzyka ładu informatycznego/rozważania dotyczące planowania zadań...23 4
Streszczenie Streszczenie Zgodnie z definicją Międzynarodowych Standardów Praktyki Zawodowej Audytu Wewnętrznego Instytutu Audytorów Wewnętrznych (IIA The Institute of Internal Auditors), ład to procesy i struktury wprowadzone przez radę 1 w celu informowania, kierowania, zarządzania i monitorowania działań organizacji, prowadzące do osiągnięcia jej celów. Audyt wewnętrzny jest w szczególny sposób umiejscowiony w organizacji oraz obsadzony kadrowo w taki sposób, aby wnieść znaczący wkład w osiąganie tych celów, poprzez dostarczanie usług zapewniających oraz doradczych związanych z ładem organizacyjnym. Główny wysiłek koncentruje się często na świadczeniu usług dotyczących ładu organizacyjnego, a kwestia IT jest nadal w wielu przypadkach, pomijana lub ignorowana. Ciągły wzrost tempa rozwoju technologicznego, rozpowszechnianie się IT oraz organizacyjna zależność od IT, uzasadniają dlaczego działalność audytu wewnętrznego powinna odnosić się do tego obszaru o naturalnie wysokim ryzyku inherentnym. W związku z tym interpretacja Standardu 2110 IIA: Ład organizacyjny, stwierdza: Audyt wewnętrzny musi oceniać, czy zarządzanie technologią informatyczną wspiera osiąganie celów i realizację strategii organizacji. Podczas, gdy IT jedynie wspiera obszary zarządzania finansami i kapitałem ludzkim, odgrywa ono o wiele bardziej znaczącą rolę w odniesieniu do informacji w ramach całej organizacji. Elementy informacyjne i technologiczne organizacji należą do jej najważniejszych aktywów. Brak odpowiedniego nadzoru nad informacjami przechowywanymi, przetwarzanymi lub wytwarzanymi przez systemy informatyczne może mieć znaczący, negatywny wpływ na organizację, włączając w to kary finansowe oraz utratę reputacji, której odbudowa może wymagać czasu, energii i środków finansowych. W wielu organizacjach istnieje rozdźwięk między wyższym kierownictwem, a IT ze względu na pogląd, że celem istnienia IT jest wyłącznie dostarczenie podstawowych usług IT. Badania 2 wykazują, że właściwe ujednolicenie celów organizacyjnych i IT skutkuje wyższym, nawet o 20%, zwrotem z inwestycji (ROI 3 ). Ujednolicenie celów organizacyjnych i IT polega głównie na zapewnieniu ładu organizacyjnego, a nie rozwiązań technologicznych. Dzięki zapewnieniu ładu organizacyjnego można oceniać różne warianty, odpowiednio ukierunkować realizację celów, a także monitorować wydajność. Takie samo podejście obowiązuje w obszarze ładu informatycznego. W celu wsparcia rosnącego znaczenia zagadnienia zapewnienia ładu informatycznego i obowiązkowego charakteru Międzynarodowych Standardów Profesjonalnej Praktyki Audytu Wewnętrznego, niniejszy Przewodnik zapewnia audytorom wewnętrznym podstawową wiedzę niezbędną do wypełniania obowiązków w dostarczaniu usług zapewniających i doradczych, zarówno w sektorze publicznym, jak i prywatnym. Niektóre z kluczowych obszarów zapewnienia ładu informatycznego, które audytorzy wewnętrzni powinni brać pod uwagę, to: Role i zakresy odpowiedzialności związane z dyrektorem ds. IT (np. dyrektor działu informatyki CIO; dyrektor ds. technologii CTO; dyrektor ds. bezpieczeństwa informacji CISO). Odpowiedzialność i podejmowanie decyzji. Monitorowanie wydajności IT i raportowanie pomiarów, w tym w zakresie zarządzania finansami i projektami IT. Zrozumienie na poziomie CxO sposobu, w jaki IT wspiera i umożliwia realizację strategii organizacji i osiąganie jej celów. Ujednolicenie IT i organizacji. Ryzyka i mechanizmy kontrolne zapewniania ładu informatycznego. Ponadto audytorzy wewnętrzni stoją przed wyzwaniem wspierania i edukowania rady oraz kierownictwa w zakresie roli audytu wewnętrznego w procesie nadzoru i maksymalizowania wartości organizacji. Niniejszy Przewodnik opisuje elementy nadzoru, które powinny być wprowadzone w celu zapewnienia, że IT wspiera strategię i cele organizacji. Opisuje także elementy modeli ramowych skutecznego nadzoru i zarządzania wydajnością, takie jak zrównoważona karta wyników, modele dojrzałości i systemy jakości. Niniejszy przewodnik opisuje przykładowe mechanizmy kontrolne dotyczące ryzyk związanych z ładem informatycznym, planowania audytu, weryfikacji, testowania i raportowania działań przydatnych w opracowywaniu praktycznych programów audytu. Przewodnik zapewnia również wytyczne ułatwiające audytowanie ładu informatycznego poprzez wskazówki na temat tego, jak określić cel i zakres zadań audytowych oraz jak oszacować powiązane ryzyka i mechanizmy kontrolne. Ład informatyczny jest definiowany przez IPPF, jako: Ład informatyczny składa się z przywództwa, struktur organizacyjnych, procesów zapewniających, że IT wspiera strategię i cele organizacji. 1 Termin rada używany jest w tym Przewodniku zgodnie z definicją ze słownika Standardów: Najwyższy organ zarządzający, do obowiązków którego należy kierowanie działaniami i kierownictwem organizacji i/lub nadzór nad nimi. Zazwyczaj w skład rady wchodzi niezależna grupa dyrektorów (np. rada dyrektorów, rada nadzorcza, zarządzająca lub powiernicza). Jeśli taka grupa nie istnieje, «radą» może być kierujący organizacją. Za «radę» można uznać komitet audytu, któremu organ zarządzający przekazał określone obowiązki. 2 Przyp. tłum. Zgodnie z przyjętą terminologią definicja powinna brzmieć Audyt wewnętrzny musi oceniać, czy ład organizacyjny w informatyce wspiera realizację strategii i osiąganie celów organizacji. W celu zachowania spójności z innymi dokumentami IIA postanowiono zachować obecne tłumaczenie. 3 ROI (ang. return on investment - zwrot z inwestycji) wskaźnik rentowności stosowany w celu zmierzenia efektywności działania przedsiębiorstwa, niezależnie od struktury jego majątku czy czynników nadzwyczajnych. 5
Wstęp 1. Wstęp Celem tego przewodnika jest zwiększenie świadomości i zrozumienia ładu informatycznego przez audytorów wewnętrznych oraz udzielenie wskazówek, w jaki sposób uwzględnić ład informatyczny w zadaniach audytu wewnętrznego wymaganych przez Standard 2110. 1.1 Czym jest ład informatyczny? Ład informatyczny dotyczy zarządzania operacjami IT i projektami informatycznymi, w celu ujednolicenia tych działań z potrzebami organizacji określonymi w planie strategicznym. Prawidłowe ujednolicenie IT i organizacji oznacza, że: 1) rada i kierownictwo rozumie potencjał i ograniczenia IT, 2) funkcja IT rozumie cele i powiązane z nimi potrzeby organizacji, 3) zrozumienie to jest stosowane i monitorowane w całej organizacji poprzez odpowiednią strukturę nadzoru i odpowiedzialności. Zrozumienie wartości i kosztów IT jest ważne dla rady, kierownictwa IT oraz innych członków wyższego kierownictwa. Udane ujednolicenie pomiędzy organizacją i IT ma miejsce wtedy, gdy cele i zadania organizacji są dopasowane do jej potrzeb, a IT jest w stanie zaspokoić te potrzeby we współpracy z radą i kierownictwem. 1.2 Standardy IIA Standard 2110 stwierdza Audyt wewnętrzny musi oceniać procesy kształtujące ład organizacyjny i przedstawiać stosowne zalecenia usprawnienia tych procesów, tak by osiągane były następujące cele: Promowanie odpowiednich zasad etyki i wartości w organizacji. Zapewnianie skutecznego zarządzania wydajnością organizacji oraz odpowiedzialności i rozliczalności. Przekazywanie informacji o ryzykach i mechanizmach kontrolnych do odpowiednich obszarów organizacji. Koordynowanie działań i przekazywanie informacji pomiędzy radą, audytorami zewnętrznymi i wewnętrznymi oraz kierownictwem. Wybrane standardy IIA nawiązują do roli audytora wewnętrznego w odniesieniu do IT, żaden jednak nie jest tak jasno sformułowany, jak Standard 2110.A2, który stanowi, że audyt wewnętrzny musi oceniać, czy zarządzanie technologią informatyczną wspiera osiąganie celów i realizację strategii organizacji 4. Ład informatyczny obejmuje procesy i kombinacje mechanizmów kontrolnych, które pomagają organizacjom lepiej zarządzać środowiskiem IT oraz zrównoważyć ogólny profil ryzyk IT i cele organizacji w ramach apetytu na ryzyko i poziomu tolerancji ryzyka. Ład informatyczny przyczynia się do zwiększenia zdolności organizacji do realizacji jej celów i zadań. Audyt wewnętrzny powinien oceniać strukturę ładu informatycznego i jej zdolność do dostarczania wyników organizacji, a także formułować zalecenia mające na celu poprawę skuteczności i efektywności funkcji IT. 1.3 Ład informatyczny zadania i standardy globalne Rada i kierownictwo wyższego szczebla powinny odgrywać kluczową rolę w kierowaniu, ocenianiu i monitorowaniu IT (patrz poniżej, Rysunek 1: Zadania, standardy i ramy ładu informatycznego). Skuteczność struktury ładu informatycznego i jego procesów jest bezpośrednio zależna od poziomu zaangażowania rady i kierownictwa wyższego szczebla. Rysunek 1 przedstawia przykłady ram i standardów dotyczących poszczególnych szczebli zarządzania, od standardów ładu organizacyjnego do standardów ładu informatycznego i bardziej operacyjnych standardów zarządzania IT. Różne poziomy ram wymagają różnych narzędzi, technik i standardów regulujących specyficzne potrzeby skutecznej struktury ramowej ładu informatycznego. ROLE Zarząd CEO Kadra kierownicza/cio CIO/CTO CTO CISO KIEROWANIE Ład informatyczny: Ujednolicenie IT i przedsiębiorstwa Operacje IT OCENA Ład organizacyjny Ład informatyczny Bezpieczeństwo informacji Nadzór nad przedsiębiorstwem Projekty IT NADZÓR Rysunek 1: Zadania, standardy i struktury ramowe ładu informatycznego STRUKTURY RAMOWE I STANDARDY Cadbury Report OECD Corporate Governance COSO IC/CoCo COSO ERM Strategy Alignment Tools ISO 38500 Balanced Scorecard for IT COBIT ISO 2X000/ITIL PRINCE2/PMBOK ISO 27000 (InfoSec)/NIST/COBIT Security Baseline 4 Przyp. tłum. Zgodnie z przyjętą terminologią definicja powinna brzmieć Audyt wewnętrzny musi oceniać, czy ład (informatyczny) wspiera strategię i cele organizacji. W celu zachowania spójności z innymi dokumentami IIA postanowiono zachować obecne tłumaczenie. 6
ROLE 7 Wstęp Zarząd KIEROWANIE Ład NADZÓR Governance 1.4 Ład CEO informatyczny charakterystyka organizacyjny Istniejące struktury organizacyjne i nadzoru stanowią dobrą COSO IC/CoCo i ryzyka wskazówkę w kwestii określenia, czy IT wspiera organizację Kadra kierownicza/cio COSO ERM i pomaga w osiąganiu celów strategicznych. Strategy Alignment Poniższe Tools pytania Ład informatyczny CIO/CTO składa się ze struktury organizacyjnej, przy-ławództwa i CTO procesów zapewniających wsparcie IT dla strategii stopnia wdrożenia ładu informatycznego: COBIT będą pomocne audytorowi wewnętrznemu ISO w 38500 zrozumieniu informatyczny Balanced Scorecard for IT i celów organizacji. Rysunek 2: Składniki ładu informatycznego, przedstawia pięć najważniejszych elementów skutecznego 1. Czy powołano rolę CIO i czy jest PRINCE2/PMBOK ona członkiem wyż- ISO 2X000/ITIL CISO Bezpieczeństwo Operacje Projekty informacji ładu informatycznego. Są nimi: szego kierownictwa? ISO 27000 IT IT (InfoSec)/NIST/COBIT 2. Czy struktura organizacji i jej elementy Security operacyjne Baseline są Nadzór nad przedsiębiorstwem Struktury organizacyjne i nadzoru. na tyle jednoznacznie zorganizowane, że funkcja IT Przywództwo i wsparcie wyższego kierownictwa. może skutecznie i efektywnie wspierać osiągnięcie celów organizacji? Planowanie strategiczne i operacyjne. Dostarczanie i pomiar usług. Organizacja IT oraz zarządzanie ryzykiem. Rada i wyższe kierownictwo dokonują oceny dostępnych wariantów, wskazują strategiczne kierunki, monitorują realizację strategii i osiąganie celów organizacji. Struktury organizacyjne i nadzoru Planowanie strategiczne i operacyjne Struktury organizacyjne i nadzoru Ład informatyczny: Ujednolicenie IT i przedsiębiorstwa OCENA Jasno określone struktury organizacyjne, operacyjny charakter ich składników, to, w jaki sposób komunikują się ze sobą oraz protokoły odpowiedzialności i rozliczalności są funkcji IT niezbędne aby dostarczyć wymagane rodzaje i poziomy usług, w oparciu o inwestycje w IT. Organizacji pozwalają one natomiast zapewnić realizację postawionych celów. Ponadto struktury nadzoru powinny być ujednolicone ze strukturą organizacyjną. Na przykład, jeśli zarządzanie strategiczne jest skupione w centrali, struktura nadzoru również powinna być scentralizowana. Jednakże, jeżeli organizacja jest zdecentralizowana i oddziały działają bardziej niezależnie lub autonomicznie, struktura nadzoru także powinna być zdecentralizowana. Architektura IT przedsiębiorstwa powinna odzwierciedlać struktury organizacyjne, aby umożliwić lepsze ujednolicenie i zaspokojenie potrzeb organizacji. Rada i kierownictwo wyższego szczebla powinny zapewnić zaangażowanie IT i CIO w procesie podejmowania strategicznych decyzji dotyczących nadzoru, dając informatyce możliwość wniesienia wartości w proces podejmowania kluczowych decyzji. KLIENCI KIEROWANIE OCENA Ład organizacyjny Ład informatyczny Bezpieczeństwo informacji Operacje IT Projekty IT Nadzór nad przedsiębiorstwem Organizacja IT oraz zarządzanie ryzykiem Przywództwo i wsparcie wyższego kierownictwa NADZÓR Dostarczanie i pomiar usług Rysunek 2: Pięć składników ładu informatycznego 3. Jakie organy decyzyjne są odpowiedzialne za ujednolicenie potrzeb organizacji i usług IT. Czy posiadają one odpowiednie uprawnienia i są odpowiedzialne za wyniki? 4. Czy potrzeby organizacyjne i wymagania dotyczące usług IT są określone w planach strategicznych i taktycznych oraz czy są monitorowane? Czy CIO i wyższe kierownictwo spotkają się i regularnie omawiają postępy w realizacji planów? 5. Czy role i obowiązki są jasno zdefiniowane i komunikowane? Czy liderzy Ład organizacji informatyczny: są odpowiednio uprawnieni i odpowiedzialni za Metryka wyniki? wyników biznesowych Przywództwo i wsparcie najwyższego kierownictwa SBU SBU SBU PROCESY BIZNESOWE DANE APLIKACJE INFRASTRUKTURA IT Architektura przedsiębiorstwa Zarządzanie IT: STRUKTURY RAMOWE I STANDARDY Cadbury Report OECD Corporate Ważnym wymaganiem koniecznym do umożliwienia i utrzymania spójności celów IT i organizacji jest nastawienie kierow- Metryka wydajności IT nictwa najwyższego i wykonawczego szczebla. Zarząd, CEO, CIO i inni członkowie wyższego kierownictwa powinni ustalić jasną wizję funkcjonowania organizacji poprzez zrozumienie i komunikowanie sposobu, w jaki IT wspiera i umożliwia organizacji osiąganie jej celów. To z kolei pozwala na zwiększenie skuteczności wydatków i zwrotu z inwestycji w IT. Dzięki dokładnemu ujednoliceniu IT i strategii organizacji, kierownictwo wykonawcze będzie postrzegać i wspierać IT jako część strategii, środek w osiąganiu celu, a nie kolejny koszt dla organizacji. Wizja ta powinna być udokumentowana w formie planu strategicznego, który definiuje zależności z IT. Plan ten powinien być tworzony przez radę i kierownictwo najwyższego szczebla. Ważne jest, aby określić nastawienie wyższego kierownictwa a także to, jak jest ono komunikowane na wszystkich poziomach organizacji oraz wpływ jaki przekaz ten wywiera na funkcję IT. Poniższe pytania pomogą audytorowi wewnętrznemu zrozumieć, w jakim stopniu funkcja IT jest zintegrowana z organizacją: DOSTAWCY 1. Czy wyższe kierownictwo wyraźnie zdefiniowało i zakomunikowało podział ról i odpowiedzialności w funkcji IT, w odniesieniu do osiągania strategicznych i taktycznych celów organizacji?
Wstęp 2. Czy role i obowiązki CIO są wyraźnie zdefiniowane i zakomunikowane? 3. Czy organizacja uznaje w swojej strategii, że funkcja IT jest znaczącym czynnikiem, który umożliwia osiągnięcie celów, jednocześnie na bieżąco wspierając organizację? 4. Czy CIO jest członkiem wyższego kierownictwa? Czy CIO spotyka się regularnie z radą i kierownictwem wyższego szczebla, aby omówić dostarczanie usług IT związanych z realizacją planów strategicznych i taktycznych? 5. Czy funkcja IT jest wystarczająco finansowana, aby zaspokajać potrzeby organizacji? Planowanie strategiczne i operacyjne Ważnym elementem skutecznego ładu informatycznego jest plan strategiczny. Powinien on określać zależności organizacyjne IT oraz role i odpowiedzialności funkcji IT w osiąganiu celów określonych w planie. CIO powinien stworzyć taktyczny plan operacyjny, który będzie ujednolicony ze strategicznym planem organizacji. Plan operacyjny stanowi mechanizm, dzięki któremu funkcja IT może być mierzona w zakresie wspierania i umożliwiania osiągnięcia celów określonych w planie strategicznym. Brak właściwej definicji i identyfikacji celów IT w ramach planu strategicznego może wskazywać na nieprawidłowe ujednolicenie celów organizacji z celami IT. Zaniedbanie to może zwiększyć ryzyko, że organizacja nie osiągnie swoich celów w sposób skuteczny i efektywny kosztowo. Karty wyników lub podobne narzędzia zarządzania mogą być używane do monitorowania działań IT podejmowanych w kierunku realizacji celów zawartych w planie strategicznym. Należy dokonywać pomiarów w jakim stopniu IT przyczynia się do osiągnięcia strategicznych celów organizacji. Strategiczne zarządzanie wydajnością jest integralną częścią skutecznego ładu informatycznego, zapewniającą odpowiednie mechanizmy kierowania potrzebami organizacji i dostarczania usług IT. Zadając poniższe pytania audytor wewnętrzny może dowiedzieć się, w jaki sposób strategiczne zarządzanie wydajnością zostało wdrożone przez wyższe kierownictwo: 1. Czy rada i wyższe kierownictwo postrzegają IT jako partnera strategicznego w organizacji? 2. Czy plan strategiczny organizacji uwzględnia sposób, w jaki IT ma wspierać i umożliwiać kreowanie wartości organizacji? 3. Czy plan strategiczny jest wspomagany przez poszczególne plany taktyczne, które uwzględniają wymagania i dostawy usług IT? 4. Czy kluczowe wskaźniki wydajności (KPI) są stosowane przez kierownictwo wyższego szczebla do pomiaru i monitorowania skuteczności funkcji IT? 5. Czy strategiczne decyzje inwestycyjne dotyczące IT oparte są na dokładnych analizach kosztów i korzyści oraz są oceniane po wdrożeniu, w celu ustalenia, czy przewidywany ROI został osiągnięty? Czy wnioski z analizy zostają uwzględnione w przyszłych decyzjach inwestycyjnych? 6. Czy organizacja IT jest skutecznie skonstruowana w stosunku do wielkości i składu organizacji? 7. Czy CIO oraz kadra zarządzająca IT jest wykwalifikowana i doświadczona? Dostarczanie i mierzenie usług Proaktywne zarządzanie wydatkami IT oraz pomiar otrzymanej wartości zwiększa prawdopodobieństwo większego ROI z inwestycji w IT. Model finansowy powinien być częścią systemu zarządzania wydajnością obowiązującego w organizacji, który powinien uwzględniać metryki IT. Ważnym aspektem zarządzania wydajnością jest uzyskanie odpowiednich danych i ich pomiar. Pomiar danych finansowych wymaga odpowiednich informacji na właściwym poziomie szczegółowości. Skuteczne struktury ramowe zarządzania wydajnością wychwytują właściwe dane ilościowe i jakościowe, umożliwiając proaktywny pomiar, analizę, przejrzystość oraz zapewniają ład organizacyjny w informatyce. Metryki te zazwyczaj dotyczą usług świadczonych użytkownikom/klientom, poziomu zadowolenia użytkowników technicznych i nietechnicznych. Metryki finansowe związane z IT odgrywają ważną rolę w pomiarze wyników strategicznych, operacyjnych i technicznych. Wyniki uzyskane dzięki IT powinny być mierzone, aby pokazać wkład wartości tak na poziomie strategicznym, jak i taktycznym. Pomiary te umożliwiają kadrze zarządzającej IT zrozumienie, jak IT działa w stosunku do planu strategicznego oraz pozwala lepiej zrozumieć, jak skutecznie zarządzać kosztami świadczenia usług IT na poziomie jednostki organizacyjnej, linii biznesowej itp. Metryki związane ze świadczeniem usług IT obejmują również zarządzanie finansami. Jest to istotny element kontrolowania i monitorowania pomiaru kosztów/korzyści IT. Odpowiedzi na poniższe pytania mogą dostarczyć wskazówek, jak funkcjonuje zarządzanie finansami w IT: 1. Czy rada i wyższe kierownictwo w pełni rozumieją koszty IT oraz to jak przyczyniają się one do osiągnięcia celów strategicznych organizacji? 2. Czy liderzy organizacji mierzą wartość i wyniki IT? W jaki sposób? 3. Jaki jest poziom kosztów IT w porównaniu do innych podobnych organizacji? 4. Czy cele CIO mierzone są za pomocą danych finansowych i niefinansowych? 5. Jakie są ustalenia dotyczące zaopatrzenia i zapewnienia zasobów oraz jak są one mierzone i monitorowane? 8
Wstęp Organizacja oraz zarządzanie ryzykiem IT Jak są zarządzane ryzyka i zasoby IT (zarówno ludzkie, jak i techniczne)? Sukces IT jest w wysokim stopniu zależny od kierunku wyznaczonego przez radę, prezesa oraz pozostałych członków wyższego kierownictwa. Ten kierunek jest integralnym elementem planu strategicznego i struktury organizacji i za ich pomocą jest komunikowany. Chociaż składniki IT mają charakter techniczny sam pomiar ładu informatycznego taki nie jest. Audytorzy wewnętrzni mogą uzyskać wysoki poziom zrozumienia środowiska ładu informatycznego, zadając następujące pytania: 1. Jaki jest stopień automatyzacji procesów organizacyjnych? 2. Jak bardzo złożona jest infrastruktura IT i jak wiele aplikacji jest w użyciu? 3. Czy dane są ustandaryzowane i łatwo współdzielone pomiędzy aplikacjami (i infrastrukturą)? 4. Czy istnieją standardowe polityki, procedury i mechanizmy kontrolne w zakresie nabywania sprzętu, oprogramowania i usług IT? 5. Jak dojrzałe są procesy zarządzania IT, jak są rozpoznane i wykorzystywane struktury ramowe zarządzania (np. COBIT IT Governance Framework, ITIL IT Service Management Framework, ISO 20000, itd.)? 6. Jak zarządza się ryzykiem w odniesieniu do potrzeb organizacji, bezpieczeństwa i zgodności? 7. Jakie jest znaczenie strategiczne IT? Odpowiedzi na te kluczowe pytania dostarczają audytorowi wewnętrznemu niezbędnej wiedzy, na bazie której można zrozumieć, w jaki sposób najlepiej określić zakres i przeprowadzić audyt ładu informatycznego. Ład informatyczny cechy i zalety Ład informatyczny może wpływać na całą organizację. Poprawa relacji między organizacją i IT. Struktury i procesy ładu informatycznego dostarczają mechanizmów łączących wykorzystanie IT z ogólną strategią i celami organizacji. Relacja pomiędzy organizacją i IT pomaga zapewnić, że ograniczone zasoby są skoncentrowane na robieniu właściwych rzeczy we właściwym czasie. Komunikacja pomiędzy IT, a organizacją powinna być swobodna i pełna treści, zapewniając wgląd w to co IT dostarcza, aby pomóc w osiągnięciu celów organizacji oraz umożliwiać wgląd w stan tych działań. Audyt wewnętrzny powinien dokonywać przeglądów poziomu ujednolicenia i ustalić, czy funkcjonują silne procesy zarządzania portfelowego, umożliwiające organizacji i IT współpracę w zakresie ustalania priorytetów dla zasobów, inicjatyw i ogólnych decyzji inwestycyjnych. Zintegrowane zarządzanie ryzykiem w organizacji i IT. Zarządzanie ryzykiem jest kluczowym elementem skutecznej struktury ładu informatycznego w organizacji. Utrzymanie ładu informatycznego pomaga zapewnić ścisłe powiązanie z zarządzaniem ryzykiem w organizacji, w tym z systemem zintegrowanego zarządzania ryzykiem (ERM Enterprise Risk Management). Utrzymanie ładu informatycznego powinno być integralną częścią całościowych działań organizacji w zakresie zarządzania ryzykiem, tak aby odpowiednie techniki zarządzania zostały włączone do działań IT, w tym komunikowanie statusu kluczowym interesariuszom. Audyt wewnętrzny powinien dokonać przeglądów wykorzystywanych przez organizację działań związanych z zarządzaniem ryzykiem i określić, czy istnieje odpowiednie powiązanie pomiędzy zarządzaniem ryzykiem w IT i systemem zarządzania ryzykiem w organizacji oraz czy przywiązuje się odpowiednią wagę do profilu ryzyka IT. Risk IT Practitioner Guide (Przewodnik praktyka zarządzania ryzykiem IT) opracowany przez IT Governance Institute (ITGI Instytut Ładu Informatycznego) stanowi strukturę ramową dla identyfikacji i oceny zagrożeń IT, a jednocześnie zapewnia bezpośrednie powiązanie z przygotowaną przez ISACA strukturą ramową COBIT. Wgląd w zdolność kierownictwa IT do osiągania celów. Funkcja IT powinna określić swoją strategię i taktykę w taki sposób, aby wspierać organizację poprzez skuteczną realizację bieżących zadań. Metryki i cele są określane po to, aby wspierać działanie IT na gruncie taktycznym, a także ukierunkować zaangażowanie personelu w poprawę dojrzałości stosowanych praktyk. Wyniki pomiaru pozwalają funkcji IT na realizację własnej strategii i osiągnięcie celów ustalonych przy aprobacie osób kierujących organizacją. Audyt wewnętrzny może ustalić, czy metryki i cele IT są powiązane i zgodne z celami organizacji, może właściwie ocenić postęp realizacji zatwierdzonych przedsięwzięć i wyrazić opinię na temat tego, czy metryki są właściwe i przydatne. Dodatkowo, audyt wewnętrzny może pomóc w potwierdzeniu, czy metryki są stosowane we właściwy sposób oraz czy realnie odzwierciedlają działania i nadzór nad IT w ujęciu taktycznym i strategicznym. Ład informatyczny poprawia zdolności adaptacyjne IT do zmian w ramach całej organizacji i środowiska IT. Ład informatyczny stanowi podstawę dla IT do lepszego zarządzania odpowiedzialnością i wsparciem organizacji przez zdefiniowanie procesów zarządzania i ról/odpowiedzialności personelu IT. Dzięki takim formalnościom, poprzez obserwację codziennych działań i trendów, uzyskuje możliwość identyfikacji potencjalnych anomalii oraz ustalenia rzeczywistych przyczyn tych anomalii. Dodatkowo, może w ten sposób łatwiej 9
Wstęp dostosować się do niespodziewanego zapotrzebowania na nowe lub ulepszone zdolności organizacyjne. Audyt wewnętrzny, w celu oceny sposobu rozwiązywania znanych problemów przez IT, może oceniać takie źródła danych jak helpdesk i proces zarządzania problemami. Audyt wewnętrzny może również dokonać przeglądu procesu zarządzania portfelowego IT, aby zrozumieć w jaki sposób nadawane są priorytety nowo pojawiającym się potrzebom oraz aby sprawdzić czy można elastycznie zmienić istniejące priorytety IT na skutek zmieniających się głównych priorytetów organizacji. W ramach przeglądu struktur i praktyk ładu informatycznego, wykonywanego przez audyt wewnętrzny można przeprowadzić ocenę kluczowych komponentów, które prowadzą do skutecznego nadzoru nad IT. Przywództwo. Oceń zależności pomiędzy celami IT i aktualnymi/strategicznymi potrzebami organizacji oraz zdolność kierownictwa IT do skutecznego komunikowania tej relacji pracownikom IT i reszcie organizacji. Oceń zaangażowanie kierownictwa IT w rozwój i bieżącą realizację celów strategicznych organizacji. Określ, w jaki sposób będzie mierzone wsparcie IT w osiąganiu przez organizację tych celów. Sprawdź, jak przydzielane są role i obowiązki w ramach organizacji IT oraz w jaki sposób są one wykonywane. Oceń rolę kierownictwa i rady w ustanowieniu i utrzymaniu sprawnego ładu informatycznego. Struktura organizacyjna. Oceń, jak kierownictwo organizacji i personel IT współpracują i komunikują aktualne i przyszłe potrzeby w organizacji. Należy uwzględnić istnienie niezbędnych ról i struktur raportowania, umożliwiających IT realizację potrzeb organizacji, zapewniając jednocześnie możliwość spełnienia wymagań dzięki formalnej ocenie i ustalaniu priorytetów. Należy uwzględnić sposób odzwierciedlenia struktury organizacyjnej przez architekturę organizacyjną IT. Procesy. Oceń działania w procesach IT i mechanizmy kontrolne potrzebne do ograniczenia ryzyka dla organizacji oraz to czy dostarczają one niezbędnego zapewnienia w zakresie procesów i wspierających je systemów. Jakie procesy są wykorzystywane przez organizację IT do wspierania środowiska IT oraz konsekwentnej realizacji wymaganych usług? Ryzyka. Przejrzyj procesy stosowane przez organizację IT do określenia, oszacowania i monitorowania/ograniczania ryzyka w zakresie środowiska IT. Dodatkowo, należy określić odpowiedzialność za wyniki personelu zarządzającego ryzykiem, sposób i stopień spełnienia wymagań w zakresie zarządzania ryzykiem. Mechanizmy kontrolne. Oceń kluczowe mechanizmy kontrolne, które są zdefiniowane przez IT do zarządzania swoją działalnością oraz wspierania całej organizacji. Własność, dokumentacja i raportowanie kwestii dotyczących mechanizmów samo-walidujących powinny być elementem przeglądu wykonywanego przez audyt wewnętrzny. Dodatkowo, zakres mechanizmów kontrolnych powinien być wystarczająco szeroki, aby obejmował zidentyfikowane zagrożenia w oparciu o apetyt na ryzyko i poziom tolerancji ryzyka w organizacji, jak również o wszelkie wymagania dotyczące zgodności. Pomiar/monitoring wydajności. Oceń strukturę ramową i systemy odpowiedzialne za pomiar oraz monitorowanie wyników organizacyjnych tam, gdzie wsparcie IT odgrywa ważną rolę. Oceń wewnętrzne wyniki i rezultaty działań w ramach zarządzania operacyjnego IT i w pracach rozwojowych. 10
Ryzyka dotyczące ładu informatycznego 2. Ryzyka dotyczące ładu informatycznego Badanie dotyczące ładu informatycznego wykonane przez ITGI 5 ujawniło, że ze strategicznego punktu widzenia, wysokowydajne organizacje posiadają bardziej skuteczne programy i procesy ładu informatycznego wtedy, gdy funkcja IT i organizacja są ujednolicone. W wynikach badań odnotowano następujące kluczowe ustalenia i wnioski, które powinny być uwzględnione przez organizacje w celu wzmocnienia ładu informatycznego: Odpowiedzialność za rozliczanie IT oraz ład informatyczny. Linia raportowania CIO powinna prowadzić do wyższego kierownictwa w możliwie najprostszy sposób. Powinno się zwracać większą uwagę na potencjalne innowacje, które może zaoferować IT. Pomiar wartości IT powinien zostać wdrożony w całej organizacji. Jak wskazano w Rozdziałach 1 i 2, ujednolicenie IT z misją organizacji powinno być zawarte w pięciu kluczowych elementach, które są wskaźnikami skutecznego ładu informatycznego. To dopasowanie wymaga skutecznego zarządzania strategicznego i struktur organizacyjnych, które pozwalają IT zapewniać, że funkcja IT wspiera realizację celów organizacji. Zarządzanie finansami i zarządzanie wydajnością oferują narzędzia do takiego kierowania, zarządzania i monitorowania działań IT, które zapewnią osiągnięcie celów organizacji. Struktura organizacyjna powinna być brana pod uwagę wraz z aspektami architektury technologicznej. Architektura technologiczna wymaga dużych inwestycji, które mogą prowadzić organizację w kierunku, który nie wspiera odpowiednio potrzeb organizacji i jest zbyt kosztowny, żeby go zmienić. W celu zapewnienia ujednolicenia między organizacją i IT, tak na szczeblu zarządu, jak i pośród kierownictwa wyższego szczebla, powinna mieć miejsce dyskusja na temat analizy kosztów i korzyści. Wszystkie te najważniejsze elementy mają swój początek w przywództwie. Kierownictwo wyższego szczebla i inni kluczowi członkowie kierownictwa ustalają odpowiednie nastawienie i nadają kierunek temu, w jaki sposób IT i organizacja powinny być ujednolicone, żeby optymalnie realizować cele strategiczne i osiągnąć oczekiwany ROI. Wymaga to od kierownictwa zrozumienia IT: charakterystyki i inherentnego ryzyka. Poniższy rozdział zawiera szczegółowe informacje na temat pięciu elementów ładu informatycznego, pokazuje przykłady braku ujednolicenia pomiędzy IT a organizacją, a także wynikające z tego ryzyka. 2.1 Struktury organizacyjne i struktury ładu Jasno określone struktury organizacyjne i odpowiedzialność za wyniki są dla IT najważniejsze, aby dostarczać wartość i umożliwić organizacji osiągnięcie jej celów strategicznych. Ponieważ ROI w IT ma charakter długoterminowy, a jego wpływ jest odczuwalny przez określony czas, ważne jest jasne określenie struktury organizacyjnej oraz ujednolicenie z nią funkcji IT. Rola funkcji IT powinna być jasno określona w ramach planu strategicznego, a kierownictwo powinno być uprawnione do podejmowania niezbędnych decyzji oraz odpowiedzialne za wyniki. Organizacja model operacyjny Dzięki scentralizowanemu modelowi operacyjnemu, standardy i procesy mogą być łatwiej wdrażane przez wszystkie jednostki organizacyjne. Z punktu widzenia technologii, komponenty takie jak infrastruktura i aplikacje, włączając w to wspierające je standardy i procedury, mogą być jednolicie stosowane. Ponadto ważne jest, żeby rada i wyższe kierownictwo zapewniły, że CIO rozumie jak funkcjonuje struktura organizacyjna i jakie ryzyka są z nią związane, w celu optymalizacji nakładów inwestycyjnych w zakresie infrastruktury IT oraz aplikacji. Zdecentralizowana struktura organizacyjna zmniejsza skalowalność ponieważ zazwyczaj oznacza, że jednostki operacyjne (podmioty wydzielone pod względem prawnym lub geograficznym) mogą mieć różne infrastruktury IT i aplikacje. To często ogranicza możliwości zoptymalizowania inwestycji w IT i współdzielenia informacji oraz standardów w całym przedsiębiorstwie. Mogą jednak istnieć ważne powody do działania w strukturze zdecentralizowanej, która z założenia nie wnosi negatywnego wpływu na zarządzanie i inwestycje zarówno organizacyjne jak i IT. Ład organizacyjny odpowiedzialność za wyniki Jednym z aspektów skutecznego ładu informatycznego jest odpowiedzialność liderów organizacji za wyniki. Struktury organizacyjne powinny mieć wyraźnie określone linie raportowania i zakresy obowiązków. Cele strategiczne i cele organizacji powinny determinować cele operacyjne, a odpowiedzialność za ich osiągnięcie powinna ciążyć na liderach poszczególnych jednostek. Sprzyja to jasnej odpowiedzialności za wyniki, szczególnie jeśli takie podejście jest powiązane z monitorowaniem wydajności. Liderzy jednostek powinni być uprawnieni do zarządzania zasobami w swoim obszarze odpowiedzialności, tak aby posiadali możliwość realizacji oczekiwanych celów i wyników. 5 Global Status Report on the Governance of Enterprise IT (2011), Unlocking Value: An Executive Primer on the Critical Role of IT Governance (2008), oraz Understanding How Business Goals Drive IT Goals Executive Briefing (2008), opublikowane przez ISACA i ITGI. 11
Ryzyka dotyczące ładu informatycznego Działania operacyjne a projekty Interakcja między jednostkami organizacyjnymi i IT powinna mieć charakter formalny i nieformalny. Z formalnego punktu widzenia, regularna komunikacja powinna następować poprzez komitet składający się z liderów jednostek organizacyjnych i IT. W ramach tej struktury, liderzy jednostek organizacji spotykają się z CIO i innymi liderami IT w celu określenia najbardziej skutecznych metod wspierania i dalszego umożliwiania osiągnięcia celów każdego lidera. W przypadku, gdy konieczne jest wprowadzenie istotnych zmian w środowisku IT, prace organizowane są zazwyczaj w ramach projektu z oddzielnym komitetem projektowym odpowiedzialnym przed kierownictwem wyższego szczebla (patrz GTAG 12: Auditing IT Projects [Audytowanie projektów IT]). Struktury organizacyjne i struktury ładu Brak upoważnienia lub odpowiedzialności za wyniki Niejasno określone struktury organizacyjne IT i struktury operacyjne Niejasne kanały komunikacji między liderami IT i liderami jednostek organizacyjnych Outsourcing usług IT Aktualnie wiele organizacji zleca na zewnętrz prowadzenie części lub całości funkcji IT. Chociaż istnieje wiele korzyści takiego rozwiązania, nie są one pozbawione ryzyka, jeśli chodzi o strategiczne wykorzystanie IT. Zarządzanie usługodawcą wymaga odpowiedniej struktury, która nie tylko monitoruje wydajność, ale także dotyczy liderów w samej organizacji, którzy powinni mieć odpowiedni poziom uprawnień do rozliczania dostawców z osiągniętych wyników. Narzędzia wykorzystywane do zarządzania i monitorowania dostawców usług IT obejmują m.in. definiowanie celów wydajnościowych, umowy o poziomie świadczonych usług (SLA) oraz karty wyników. Ważne jest, aby zrozumieć i zapamiętać, że wyższe kierownictwo nie może pozbyć się odpowiedzialności za dostarczanie usług IT, tylko dlatego, że zostało to komuś zlecone. W poniższej tabeli przedstawiono niektóre z wyznaczników ewentualnego niedopasowania pomiędzy organizacją i IT. Konsekwencje niedopasowania (ryzyka) Powoduje bezskuteczność przywództwa i potencjalnie utratę możliwości i szans Powoduje niegospodarność zasobami i sprzeczne działania Możliwe niedopasowanie zasobów i celów operacyjnych Brak skutecznego systemu planowania i monitorowania 2.2 Przywództwo i wsparcie najwyższego kierownictwa Inwestycje w IT mogą być znaczącą pozycją w budżecie całej organizacji i wymagają przeprowadzenia analizy kosztów i korzyści oraz obliczenia ROI jako podstawy do podjęcia przez radę i wyższe kierownictwo najlepszych możliwych decyzji. W celu ograniczenia ryzyka wynikającego z podjęcia niewłaściwych decyzji inwestycyjnych w IT, kierownictwo organizacji powinno rozumieć charakterystykę IT. Architektura IT organizacji jest bezpośrednim odbiciem jej misji, wizji i strategii. Przywództwo i wsparcie najwyższego kierownictwa Brak jasnej, spójnej wizji wyższego kierownictwa i kierownictwa IT w zakresie całej organizacji Wyższe kierownictwo nie jest właściwie włączane w procesy decyzyjne w IT Brak ukierunkowania wyższego kierownictwa IT na istotę organizacji Wyższe kierownictwo i liderzy jednostek organizacyjnych nie posiadają prawdziwego zrozumienia IT Strategiczne znaczenie IT dla organizacji nie podlega ocenie W poniższej tabeli przedstawiono niektóre z przesłanek możliwego rozdźwięku pomiędzy organizacją i IT, w odniesieniu do przywództwa i wiedzy. Dla CIO podjęcie odpowiednich decyzji inwestycyjnych w IT, opiera się bardzo mocno na wizji, misji i powiązanej z nimi strategii organizacji. Łącznie tworzą one kierunek, w którym skupiają się inwestycje w IT. Brak jasnej wizji, misji i planu strategicznego dla organizacji i funkcji IT może skutkować nieefektywnym wykorzystaniem kapitału IT i innych zasobów, zmniejszając zdolność organizacji do osiągania swoich celów. Konsekwencje niedopasowania (ryzyka) Brak zdolności do wypełniania misji organizacji Pozwala na niewłaściwe wykorzystanie zasobów Brak nadzoru i niewłaściwa delegacja uprawnień IT nie jest w stanie ukierunkować swoich działań lub zidentyfikować przypadków nieefektywnego wykorzystania zasobów Możliwość niewykorzystania szans i niższy zwrot z inwestycji IT Niewłaściwe zrozumienie, jaką rolę w organizacji odgrywa IT 12
rganizacyjny Ład formatyczny ezpieczeństwo informacji d przedsiębiorstwem Projekty IT 2.3 Planowanie strategiczne i operacyjne Zapewnienie ładu informatycznego odnosi się do osiągnięcia celów organizacyjnych (wyników), natomiast zarządzanie IT koncentruje się na aspektach operacyjnych i zapewnieniu, że usługi są świadczone na czas, z zachowaniem odpowiedniego poziomu jakości, co mierzone jest parametrami technicznymi. W modelowej strukturze ładu informatycznego, funkcję IT mierzy się nie tylko poprzez jej działania związane z planami operacyjnymi/taktycznymi, ale również poprzez wpływ na osiąganie celów organizacyjnych udokumentowanych w planie strategicznym. Strategiczne metryki projektów IT COSO IC/CoCo COSO ERM Strategy Alignment Tools ISO 38500 Balanced Scorecard for IT COBIT ISO 2X000/ITIL PRINCE2/PMBOK ISO 27000 (InfoSec)/NIST/COBIT Security Baseline Ład informatyczny: Metryka wyników biznesowych Zarządzanie IT: Metryka wydajności IT W przypadku projektów IT powinny istnieć metryki służące do pomiaru skuteczności projektu IT pod względem terminowości realizacji, zgodności wydatków z budżetem oraz oceniające czy dostarczane rozwiązania przyczyniły się do osiągnięcia celów organizacyjnych, w takim stopniu, jaki był założony w analizie ich kosztów i korzyści (więcej szczegółów w: GTAG Ryzyka dotyczące ładu informatycznego 12: Auditing IT Projects [Audytowanie Projektów IT]). Analiza kosztów i korzyści dla każdej potencjalnej inwestycji IT powinna zawierać analizę zwrotu z inwestycji, koszty transformacji oraz korzyści. Ważne jest również, aby dokonać rozróżnienia rezultatów od wyników oraz dokonywać pomiaru jednych i drugich. Choć metryki rezultatów mogą być przydatnym, a możliwe, że jedynym sposobem pomiaru, audytor wewnętrzny powinien analizować je w odniesieniu do rzeczywistych wyników. Dodatkowo, w celu zapewnienia odpowiedniego nadzoru należy dokonać przeglądu umów, w których wynagrodzenie zależy od wyników. Przeglądy powdrożeniowe są przydatnym narzędziem do nauki i zwiększenia wiedzy na temat tego, co działa, a co nie. Współczynniki strategiczne dla działań operacyjnych IT Należy stosować metryki, które pozwalają na pomiar skuteczności codziennych aspektów operacyjnych funkcji IT. Z perspektywy wewnętrznej, zarządzanie IT będzie wymagać bardziej technicznych metryk, takich jak czas uruchomienia/ przestoju systemów, stosunek otwartych do zamkniętych zgłoszeń w helpdesku, okresy szczytowego obciążenia, pojemność i obciążenie. W celu umożliwienia łatwiejszego pomiaru wpływu IT na osiągnięcie celów strategicznych organizacji, pomocne może być rozbicie tych celów na składowe cele operacyjne niższego poziomu i korzystanie z różnych metryk, takich jak SLA i umowy o świadczenie usług wewnętrznych (OLA). Poniższa tabela przedstawia niektóre symptomy rozbieżności organizacji i IT. Jasno określona strategia, która obejmuje IT wraz z odpowiednimi wskaźnikami wydajności, jest jednym z kluczowych elementów skutecznego ładu informatycznego. SBU Y BIZNESOWE DANE LIKACJE TRUKTURA IT przedsiębiorstwa Planowanie strategiczne i operacyjne SBU Strategia organizacji nie odnosi się do IT Usprawnienia organizacji wynikające z wykorzystania zasobów IT nie podlegają ocenie Niejasne strategie pozyskiwania zasobów i brak SLA Brak uprawnień i odpowiedzialności za wyniki Nieskuteczne zarządzanie finansami IT DOSTAWCY 2.4 Dostarczanie i mierzenie usług Skuteczne zarządzanie kosztami IT zwiększa prawdopodobieństwo uzyskania wartości z działania IT przy jednoczesnym zapewnieniu właściwego wydatkowania zabudżetowanych środków. Metryki finansowe IT odgrywają ważną rolę na poziomach strategicznym, operacyjnym i technicznym. Usługi IT powinny być mierzone w celu zaprezentowania ich wartości i lepszego zrozumienia oraz zarządzania kosztami usług IT na poziomie jednostki organizacyjnej. Ważne jest również, że metryki finansowe IT współdziałają z metrykami zarządzania strategicznego i zarządzania wydajnością. Świadczenie usług IT Konsekwencje niedopasowania (ryzyka) Strategiczne cele IT nie zostaną osiągnięte Potencjał dla nieefektywności w organizacji Niespełnienie wymagań organizacyjnych Powoduje nieskuteczność przywództwa i potencjalnie utratę możliwości i szans Niewłaściwe użycie środków finansowych IT wymaga czegoś więcej niż tylko metryk finansowych, ale zapewnienie zwrotu z inwestycji w IT będzie wymagało skupienia się na metrykach finansowych. Ważnym aspektem zarządzania finansami jest możliwość wyodrębnienia właściwej informacji, a także poprawnego zmierzenia jej poszczególnych składników. Dla skutecznej analizy metryk finansowych niezbędne są szczegółowe informacje. 13
ROLE Ryzyka dotyczące ładu informatycznego Brak śledzenia wartości dostarczonych przez inicjatywy IT Brak miarodajnych metryk lub zbyt wiele metryk Brak odpowiedzialności za wyniki Wynagrodzenie kierownictwa wyższego szczebla nie jest powiązane z wynikami organizacji Brak pomiarów wydajności technicznej/operacyjnej oraz finansowej w IT Ład informatyczny: Ujednolicenie IT i przedsiębiorstwa STRUKTURY RAMOWE OCENA I STANDARDY Cadbury Report Zarząd OECD Corporate KIEROWANIE Ład NADZÓR Governance CEO organizacyjny Poniższa tabela przedstawia niektóre przesłanki niedopasowania IT i organizacji z perspektywy zarządzania COSO finansami. IC/CoCo Kadra kierownicza/cio COSO ERM Strategy Alignment Tools Dostarczanie CIO/CTO i mierzenie usług Ład Konsekwencje niedopasowania (ryzyka) ISO 38500 informatyczny Balanced Scorecard for IT Koszty są wyższe CTOniż w porównywalnych podmiotach Nieefektywność jest normą, a nie wyjątkiem COBIT ISO 2X000/ITIL Brak możliwości CISO analizy wskaźników na niższych poziomach Bezpieczeństwo Brak możliwości wypełnienia misji organizacji PRINCE2/PMBOK Operacje Projekty informacji ISO 27000 IT Koszty IT nie są znane lub nie są wystarczająco Zwrot z inwestycji IT w IT nie jest monitorowany (InfoSec)/NIST/COBIT szczegółowe Security Baseline Nadzór nad przedsiębiorstwem Brak informacji niezbędnej do podejmowania decyzji Struktury organizacyjne i nadzoru OCENA 2.5 Organizacja oraz zarządzanie Ład KIEROWANIE organizacyjny NADZÓR ryzykiem IT Przywództwo i wsparcie wyższego kierownictwa Informacje i techniczne elementy Ład środowiska IT powinny informatyczny być bardzo dobrze zorganizowane, aby obejmować metodyki i standardy związane z doborem, nabywaniem i implementacją Planowanie strategiczne i operacyjne Bezpieczeństwo informacji Dostarczanie i pomiar usług Operacje IT Projekty IT rozwiązań technologicznych. Jednak ostateczny sukces funkcji IT opiera się na kierunku przewidzianym Nadzór nad przedsiębiorstwem przez radę i wyższe kierownictwo w formie planu strategicznego i odpowiednio zaprojektowanych struktur organizacyjnych. Organizacja IT oraz zarządzanie ryzykiem Architektura organizacyjna Brak dokładnych danych finansowych Niezdolność do osiągnięcia celów finansowych i zarządczych Brak możliwości egzekwowania odpowiedzialności za inicjatywy lub wyniki Rozbieżności wyników organizacyjnych z celami strategicznymi Brak ujednolicenia z celami i misją SBU SBU SBU Techniczna architektura organizacyjna powinna być opracowana w oparciu o model działania organizacji i ujednolicona z jej strategią. Scentralizowany model operacyjny może być korzystny, ponieważ pozwala IT na bardziej jednorodną infrastrukturę i mniej aplikacji wspomagających procesy zachodzące w organizacji. Ład Umożliwia informatyczny: on również łatwiejsze udostępnianie i standaryzację Metryka wyników informacji oraz powinien umożliwiać lepsze i bardziej kompletne biznesowychraporty z różnych obszarów organizacji dla celów monitorowania i podejmowania decyzji. Zmiany w organizacji lub ambitne założenia rozwoju wymagają silnych interakcji Zarządzanie z IT, aby opracować IT: odpowiednią techniczną architekturę Metryka organizacyjną wydajności ITw celu wspierania i umożliwienia zmian i wzrostu. Kiedy organizacja dostarcza jednolitych usług i produktów dla klientów, oczekuje się bardziej scentralizowanego nadzoru nad organizacją oraz modelu operacyjnego. W innych przypadkach również mogą istnieć dobre powody dla zastosowania tego modelu, nie mające wpływu na skuteczność ładu informatycznego. PROCESY BIZNESOWE KLIENCI DANE APLIKACJE DOSTAWCY INFRASTRUKTURA IT Architektura przedsiębiorstwa SBU (ang. Strategic Business Units) - strategiczne jednostki biznesowe. 14
Ryzyka dotyczące ładu informatycznego W zdecentralizowanym modelu operacyjnym strategiczne jednostki biznesowe (SBU Strategic Business Units) mogą działać niezależnie i samodzielnie z własnymi budżetami IT i przy użyciu różnych aplikacji i infrastruktury IT. W efekcie organizacja prawdopodobnie nie będzie potrafiła skutecznie wdrożyć jednolitego zestawu standardów IT w odniesieniu do aplikacji, infrastruktury, procesów i procedur. Skalowalność organizacji jest mniejsza, ale mogą istnieć uzasadnione powody zastosowania zdecentralizowanej struktury, które dadzą założone efekty i ROI z inwestycji w IT. Zarządzanie bezpieczeństwem informacji Właściwe zarządzanie bezpieczeństwem informacji zależy od operacyjnego modelu organizacji. W scentralizowanej strukturze zarządzania, polityki i procedury bezpieczeństwa informacji są łatwiejsze do wdrożenia w całej organizacji, natomiast struktura zdecentralizowana wymaga innego podejścia. Bez względu na model operacyjny, akceptowalny poziom ryzyka dotyczącego bezpieczeństwa informacji i poziom tolerancji ryzyka odgrywają istotną rolę, tak samo, jak różnice techniczne między różnymi środowiskami IT i ich częściami. Organizacja oraz zarządzanie ryzykiem IT Infrastruktura i aplikacje są zbyt skomplikowane, niedojrzałe lub nie zostały zweryfikowane Brak standardu doboru technologii Procesy organizacyjne nie są zintegrowane ani zautomatyzowane Systemy nie są ustandaryzowane Dane nie są udostępniane Dane nie są ustandaryzowane W celu wdrożenia odpowiedniego i skutecznego programu zarządzania bezpieczeństwem informacji, kierownictwo IT musi najpierw zidentyfikować i zrozumieć obszary największego ryzyka wbudowanego. Poprzez zastosowanie oceny ryzyka oraz różnych metod i technik reakcji na ryzyko, kierownictwo IT powinno potrafić je zmniejszyć do poziomu akceptowalnego ryzyka szczątkowego. Jest bardzo prawdopodobne, że bez odpowiedniej oceny ryzyka kierownictwo IT nie posiada wiedzy na temat istotnych podatności wykorzystywanych zasobów IT, w tym m.in. infrastruktury i informacji. Ważne jest, żeby kierownictwo IT reagowało na ustalenia związane z oceną ryzyka. Jeśli kierownictwo IT tego nie robi, to prawdopodobnie ryzyko nie będzie odpowiednio zarządzane, a programy i procesy zapewnienia ładu informatycznego będą zagrożone. Poniższa tabela zawiera niektóre przesłanki wskazujące na brak ładu informatycznego lub że nie działa on skutecznie w odniesieniu do informacji i elementów technologicznych ze względu na rozbieżności w organizacji oraz IT. Zbyt skomplikowana infrastruktura IT, stosunkowo wysoka liczba aplikacji i brak standardów są oznakami takiego niedopasowania. Konsekwencje niedopasowania (ryzyka) Możliwość utraty wiedzy korporacyjnej Nieskuteczne lub nieefektywne wykorzystanie nowych technologii Potencjał dla projektowania nieefektywnych rozwiązań oraz brak możliwości porównywania się do innych organizacji (benchmarking) Niedopasowanie kluczowych mechanizmów kontrolnych Nieefektywność nie jest ograniczana Powielanie działań Brak możliwości zwiększenia efektywności w kluczowych procesach IT 15
Ujednolicenie organizacji i IT kluczowe zagadnienia 3. Ujednolicenie organizacji i IT kluczowe zagadnienia Rozdział 2 pokazał zagrożenia, które mogą wyniknąć z powodu nieodpowiedniego powiązania pomiędzy organizacją, a IT. W niniejszym rozdziale opisano, jak ujednolicić organizację i IT. Optymalizacja ujednolicenia pomiędzy audytem wewnętrznym a ładem informatycznym Proces transformacji z pozycji nieskutecznego ładu informatycznego do modelu bardziej skutecznego lub optymalnego wymaga ciągłego doskonalenia. Nie ma jednego, uniwersalnego lub modelowego rozwiązania pasującego do wszystkich organizacji. Procesu optymalizacji nie da się zrealizować z dnia na dzień. Optymalne ujednolicenie organizacji i IT może być trudne jeśli rada i wyższe kierownictwo nie rozumieją podstawowych relacji pomiędzy ładem informatycznym i ogólną koncepcją ładu organizacyjnego. Rada i wyższe kierownictwo muszą również zrozumieć podstawowe aspekty mechanizmów kontrolnych IT w organizacji. Mechanizmy kontrolne są właśnie tymi, które wspierają zarządzanie i nadzór, jak również dostarczają ogólnych i technicznych zabezpieczeń infrastruktury IT, takich jak aplikacje, informacje i ludzie. Audytor wewnętrzny, żeby mógł wspierać organizację w zakresie ujednolicenia z IT oraz wzmocnienia ładu informatycznego, powinien rozpocząć proces od oceny aktualnego stanu organizacji w odniesieniu do komponentów ładu informatycznego wprowadzonych w Rozdziale 1. Dokładne ujednolicenie organizacyjne IT jest kluczowym wskaźnikiem ładu informatycznego, napędzającym wzrost wydajności, który obejmuje poniższe ogólne wskaźniki skutecznego ładu informatycznego: Skuteczne zarządzanie finansami IT. Ulepszenia, które można osiągnąć poprzez IT. Zwrot z inwestycji IT. Wartość organizacyjna dostarczana przez inicjatywy IT. Wynagrodzenie wyższego kierownictwa powiązane z osiąganymi wynikami. Skuteczny ład informatyczny pojawia się, gdy kierownictwo wyższego szczebla odgrywa istotną rolę w całym cyklu życia inwestycji IT, a odpowiedzialność za wyniki jest egzekwowana. Najwyższe kierownictwo wspiera tę odpowiedzialność za wyniki poprzez aktywny udział w podejmowaniu istotnych decyzji, wdrażanie i stosowanie metryk, a cały proces przebiega od najwyższego szczebla zarządzania w dół organizacji. Badania wskazują również, że najbardziej skuteczni decydenci skupiają się na grupie 5 do 7 najważniejszych metryk, z możliwością ich dalszego rozwijania, w miarę potrzeb, do niskopoziomowych metryk. Rysunek 1 przedstawiony w Rozdziale 1 ilustruje role, struktury ramowe i standardy, które są najbardziej odpowiednie na różnych szczeblach struktury ramowej ładu informatycznego. Jak przedstawiono w innych rozdziałach tego Przewodnika, w idei ładu informatycznego chodzi bardziej o nadzór niż o technologię, ale rada i wyższe kierownictwo powinny rozumieć IT i jej wpływ na organizację na tyle dobrze, by istniało dopasowanie pomiędzy IT i organizacją oraz żeby IT było odpowiednio nadzorowane. W poprzednich rozdziałach wprowadzono pewne pojęcia niezbędne do zrozumienia kontekstu, celów i organizacyjnych zagrożeń związanych z ładem informatycznym. Niniejszy rozdział dostarcza szefom audytu wewnętrznego (CAE 6 ), audytorom wewnętrznym i osobom odpowiedzialnym za kontrolę wewnętrzną w organizacji przykłady kluczowych mechanizmów kontrolnych oraz formalnych i nieformalnych mechanizmów, które powinny istnieć w organizacji w celu ograniczenia ryzyka związanego z ładem informatycznym. Miękkie (nieformalne) mechanizmy kontrolne zazwyczaj dotyczą elementów niematerialnych, takich jak kompetencje, wartości, otwartość, przywództwo i oczekiwania. Twarde mechanizmy, lub mechanizmy formalne, odnoszą się do zbioru udokumentowanych lub materialnych mechanizmów kontrolnych stosowanych przez organizację, takich jak polityki i procedury, struktury organizacyjne, mechanizmy raportowania i ustalone procesy przeglądów wewnętrznych. Zrozumienie różnicy między twardymi i miękkimi mechanizmami kontrolnymi może ułatwić audytorom wewnętrznym zrozumienie wielowymiarowego zestawu mechanizmów potrzebnych do poradzenia sobie ze złożonością zagadnienia ładu informatycznego. Istnieją co najmniej trzy różne elementy ładu, które muszą być skutecznie zarządzane: ludzie, procesy i technologie. W tym ujęciu, by móc zapewnić skuteczny nadzór nad tymi trzema elementami, właściwa struktura ramowa ładu informatycznego powinna zawierać odgórny zestaw zarówno twardych, jak i miękkich mechanizmów kontrolnych dla każdego z tych elementów. Ponadto, niezbędne są szczegółowe testy efektywności i skuteczności dla każdego z kluczowych mechanizmów kontrolnych ładu informatycznego, które zapewniają audytorom wewnętrznym informacje potrzebne do oceny procesów regulujących technologię w organizacji. Model dojrzałości W celu przekazania radzie i wyższemu kierownictwu aktualnego stanu środowiska ładu informatycznego, szef audytu wewnętrznego (CAE), obok struktury ramowej wybranej dla poprawy skuteczności nadzoru informatycznego, może dla celów porównawczych posłużyć się modelem dojrzałości 7. 6 CAE Chief Audit Executive Szef Audytu Wewnętrznego 7 COBIT Process Assessment Model (PAM) Using COBIT 4.1, 2011, ISACA. 16
Ujednolicenie organizacji i IT kluczowe zagadnienia Po tym, jak ocena poziomu dojrzałości ładu informatycznego w organizacji zostanie przeprowadzona i udokumentowana, wyższe kierownictwo, przy wsparciu i ukierunkowaniu ze strony rady, może zacząć zmieniać i/lub wdrażać praktyki, zasady i procedury, które będą wspierać organizację w optymalizacji ładu informatycznego. Ze względu na złożoność ładu informatycznego, szef audytu wewnętrznego (CAE) i zespół audytorów wewnętrznych są w stanie dostarczyć radzie i wyższemu kierownictwu wartościowych spostrzeżeń na temat obszarów, które mogą nie być uznane przez niektórych decydentów za priorytetowe. Szef audytu wewnętrznego (CAE) może dostarczyć informacji, w jaki sposób można poprawić niektóre z istniejących narzędzi wykorzystywanych przez radę i wyższe kierownictwo w ramach ładu informatycznego. Jak wcześniej zauważono, ład informatyczny powinien być oparty na solidnych i skutecznych praktykach oraz rozpoznanych modelach ramowych. Stosowanie tych praktyk ładu informatycznego powinno obejmować mechanizmy kontrolne, które pomagają organizacji w realizacji jej celów strategicznych. Poniższy rozdział zawiera kilka dodatkowych uwag o niektórych z tych mechanizmów. Szczególnie ważne jest zrozumienie i wykorzystanie struktury ramowej punktów kontrolnych ładu informatycznego przedstawionego w Tabeli 1: Punkty kontrolne ładu informatycznego. Ta struktura ramowa może być stosowana jako metoda komunikowania i rozumienia ról i relacji, które istnieją w ramach struktury ładu informatycznego na poziomie zarówno strategicznym, jak i taktycznym. 3.1 Mechanizmy kontrolne ładu informatycznego Skuteczny ład informatyczny obejmuje mechanizmy kontrolne, które umożliwiają realizację strategii i celów organizacji. W celu zapewnienia właściwego nadzoru IT, i do pewnego stopnia kapitału wiedzy w organizacji, proces zapewnienia ładu informatycznego powinien obejmować zestaw twardych i miękkich mechanizmów kontrolnych, które powinny wspólnie nadzorować ludzi, procesy i technologie. W nadzorze chodzi o ocenę dostępnych opcji, kierowanie, monitorowanie i reagowanie na osiągane rezultaty. Zestaw mechanizmów kontrolnych może być przedstawiony jako wielowymiarowa siatka, jak pokazano w Tabeli 1. Tabela 1: Punkty kontrolne ładu informatycznego LUDZIE PROCESY TECHNOLOGIA KAPITAŁ LUDZKI Organy organizacji Role organizacyjne Narzędzia organizacyjne Technologie i narzędzia Ład informatyczny Poziom strategiczny Kultura organizacyjna Wartości Wierzenia Zachowania Rada Wyższe kierownictwo prezes zarządu, dyrektor finansowy, wiceprezesi, dyrektor ds. operacyjnych, dyrektor ds. informatyki Strategia IT Polityki IT Architektura informacji Architektura bezpieczeństwa informacji Plany organizacyjne Zrównoważona karta wyników IT Nadzór nad poziomem usług Zarządzanie IT Poziom taktyczny Zestaw umiejętności Strategie nabywania zasobów Komitet sterujący IT Inne zbiorowe organa taktyczne IT Dyrektor ds. informatyki Dyrektor ds. aplikacji Manager Programu/Projektu Kierownicy Standardy i polityki IT Minimalne wymagania bezpieczeństwa Metody zarządzania projektami Zarządzanie poziomem usług Liczne wydziałowe zrównoważone karty wyników IT Miary projektu Miary systemów aplikacyjnych Umowy o poziomie świadczenia usług Operacje codzienne Szkolenie Świadomość Zgodność Ciągłe doskonalenie Inne zbiorowe jednostki zarządzania Projekty i inicjatywy IT Procedury i wytyczne IT Zadania i inicjatywy Monitorowanie poziomu usług Pulpity operacyjne Narzędzia do monitorowania sieci i infrastruktury Monitorowanie projektu Monitorowanie systemów aplikacyjnych 17
Ujednolicenie organizacji i IT kluczowe zagadnienia Etyka i wartości ustalane przez nastawienie kierownictwa Ład informatyczny funkcjonuje w kontekście ogólnego środowiska kontroli wewnętrznej w organizacji. Raport King III na temat ładu organizacyjnego 8 dostarcza większy stopień zrozumienia i świadomości obowiązków związanych z wykorzystywaniem IT, wprowadzając, w szczególności, nacisk na etyczne aspekty ładu informatycznego: 5.1.3. Rada powinna zapewnić promowanie etycznej kultury ładu informatycznego i świadomość wspólnego języka IT. Wydajność komitetu w zakresie przeglądu działalności IT jest monitorowana. Komitet jest na bieżąco z zagadnieniami dotyczącymi zewnętrznych regulacji dotyczących nadzoru, które mogą mieć wpływ na organizację. Komitet ds. ładu informatycznego dokonuje regularnych przeglądów polityk IT. Spotkania komitetu ds. ładu informatycznego są przeprowadzane regularnie. Co więcej, w swoim wprowadzeniu, King III stwierdza: Wykonując swoje obowiązki nadzorcze, rada powinna zapewnić podjęcie rozważnych i rozsądnych kroków w odniesieniu do ładu informatycznego. Standardy, polityki i procedury IT Z taktycznego punktu widzenia, audytor wewnętrzny powinien zastanowić się, jak wykorzystywane są narzędzia, takie jak standardy IT, polityki IT i minimalne wymagania bezpieczeństwa. Są one zwykle zarządzane i zatwierdzone przez menedżerów spoza IT, a CIO lub jego odpowiednik jest odpowiedzialny za ich realizację. Jednocześnie plany IT, strategie IT, polityki IT i architektury powinny być rozważane lub zatwierdzane przez CIO lub jego odpowiednika, który powinien ponosić pełną odpowiedzialność za te narzędzia organizacyjne. Zarządzanie wydajnością i raportowanie Interesariusze ładu informatycznego powinni w pełni rozumieć cele i inicjatywy IT w organizacji, aby nadzorować, monitorować, zarządzać i zapewnić oczekiwane wyniki. Techniki i narzędzia, takie jak zrównoważone karty wyników mogą przyczynić się do spełnienia tej potrzeby. Audyt wewnętrzny powinien być w stanie dostarczyć radzie i wyższemu kierownictwu zapewnienia i porad dotyczących struktur i procesów nadzoru. Szef audytu wewnętrznego (CAE) stoi na wyjątkowej pozycji jeśli chodzi o zrozumienie relacji w środowisku ładu informatycznego, powinien mieć także świadomość pojawiających się tam problemów, które powinny być komunikowane podmiotom odpowiedzialnym za ład informatyczny. W celu zapewnienia odpowiedniego poziomu usług doradczych, szef audytu wewnętrznego (CAE) powinien stosować strategiczne narzędzia i techniki rozwoju, które pomagają organizacji zachować pełny przegląd sytuacji. Co więcej, komitet ds. ładu organizacyjnego lub podobna grupa wśród wyższego kierownictwa powinna zapewnić, że: Aktualni i potencjalni członkowie komitetu ds. ładu informatycznego mają odpowiednią wiedzę lub doświadczenie w IT. 8 King III Report on Corporate Governance (2009). 18
Rola audytu wewnętrznego w zapewnieniu ładu informatycznego 4. Rola audytu wewnętrznego w zapewnieniu ładu informatycznego Główna odpowiedzialność za ład informatyczny spoczywa na radzie i wyższym kierownictwie. Audyt wewnętrzny jest odpowiedzialny za ocenę, czy ład informatyczny w organizacji wspiera strategie i cele organizacji, jak wskazano w Standardzie 2110. Wydajność kontra zgodność Audytorzy wewnętrzni przeprowadzają zarówno audyty operacyjne, jak i audyty zgodności. Audyty zgodności zazwyczaj koncentrują się na przestrzeganiu zewnętrznych wymagań prawnych i związanych z nimi wewnętrznych zasad i procedur. Audyty operacyjne, w celu opracowania skutecznego programu audytu, wymagają więcej analiz i ocen dotyczących tego, co wpływa na wydajność w organizacji. Ocena skuteczności i efektywności organizacji jest bardziej wymagająca, ale musi być przeprowadzona, żeby określić, czy ład informatyczny w organizacji wspomaga, wspiera strategie i cele organizacji. Podczas przeprowadzania audytu ładu informatycznego, działania audytu wewnętrznego powinny zapewnić utrzymanie niezależności oraz dostarczenie radzie obiektywnego zapewnienia, co do skuteczności ładu informatycznego. Jeszcze przed rozpoczęciem audytu, audytorzy wewnętrzni powinni zapewnić, że posiadają wiedzę, umiejętności i inne kompetencje potrzebne do przeprowadzenia audytu. Podczas określania zakresu i wykonywania audytu ładu informatycznego zespół audytorów wewnętrznych powinien: Określić, czy funkcja IT jest ujednolicona z celami i strategią oraz rozumie główne zadania organizacji. Określić skuteczność zarządzania zasobami IT i wydajnością. Ocenić ryzyka, które mogą mieć negatywny wpływ na środowisko IT. Opracowanie planu audytu ładu informatycznego Audyt wewnętrzny powinien przestrzegać ustalonych norm wykonania, przedstawionych w serii standardów 2200, które obejmują planowanie zadania. Standard 2200: Planowanie zadania, stwierdza: Audytorzy wewnętrzni muszą opracować i udokumentować plan (program) każdego zadania, obejmujący cele i zakres zadania, czas potrzebny do jego realizacji oraz niezbędne zasoby». Ponadto, w ramach planowania audytu ładu informatycznego, należy również wziąć pod uwagę serię 2200 Poradniki Praktyczne (Practice Advisories), ponieważ oferują one bardziej szczegółowe wskazówki w tym zakresie. Narzędzia te mają na celu dostarczenie ekspertowi ram koncepcyjnych pomocnych w zrozumieniu i realizacji planu audytu ładu informatycznego. Szef audytu wewnętrznego (CAE) powinien używać profesjonalnego osądu podczas rozwijania własnych planów audytów ładu informatycznego i być otwarty na unikalność środowiska kontroli wewnętrznej, strategii i celów ich organizacji. Informacje przedstawione w dalszej części dostarczają audytorowi wewnętrznemu wytycznych dla każdego z pięciu komponentów ładu informatycznego zaprezentowanych wcześniej. Struktury organizacyjne i nadzoru Chociaż działania audytu wewnętrznego nie mogą ustanowić struktur organizacyjnych, zatwierdzić metodyk lub stworzyć polityk, to powinny poddać je przeglądowi pod względem kompletności, dokładności i trafności, wspierając jednocześnie działania zapewniające ład informatyczny, w granicach określonych przez kartę audytu wewnętrznego i Międzynarodowe Standardy Praktyki Zawodowej Audytu Wewnętrznego. Zadania audytu wewnętrznego będą prawdopodobnie obejmować: Przegląd struktury organizacyjnej w celu zidentyfikowania czy rola CIO istnieje i czy jest członkiem wyższego kierownictwa. Ocena stopnia w jakim czynności nadzoru i standardy są zgodne z apetytem organizacji na ryzyko rozumianym w świetle działań audytu wewnętrznego. Działania doradcze, dopuszczone w karcie audytu wewnętrznego oraz zatwierdzone przez zarząd. Bieżąca komunikacja w ramach ładu informatycznego, mająca na celu zapewnienie niezwłocznej reakcji na istotne zmiany organizacyjne i ryzyka. Formalne audyty ładu informatycznego zgodnie ze Standardem 2110 IIA. Przywództwo i wsparcie najwyższego kierownictwa Jak już wspomniano wcześniej, skuteczność przywództwa w tworzeniu i komunikowaniu właściwego nastawienia jest dla skutecznego programu nadzoru najważniejsza. Co więcej, jest niezwykle istotne, żeby rada i wyższe kierownictwo zapewniały, że funkcja IT jest ujednolicona i włączona do planu strategicznego organizacji. Z punktu widzenia audytu, jak zauważono w interpretacji Standardu 2130.A1: Audyt wewnętrzny musi oceniać, czy mechanizmy kontrolne odpowiednio i skutecznie reagują na ryzyka dotyczące ładu organizacyjnego, działalności operacyjnej i systemów informatycznych w zakresie 9 : 9 Przyp. tłum. Zgodnie z przyjętą terminologią definicja powinna brzmieć: Wiarygodności i rzetelności informacji finansowych i operacyjnych. Skuteczności i efektywności działalności operacyjnej. Ochrony aktywów. Zgodności z prawem, przepisami i umowami W celu zachowania spójności z innymi dokumentami IIA postanowiono zachować obecne tłumaczenie. 19
Rola audytu wewnętrznego w zapewnieniu ładu informatycznego Osiągnięcia celów strategicznych organizacji; Wiarygodności i rzetelności informacji finansowych i operacyjnych; Skuteczności i wydajności działalności operacyjnej i programów; Ochrony aktywów; Zgodności z prawem, przepisami, zasadami, procedurami i umowami Niezawodność, integralność, efektywność, skuteczność, ochrona i zgodność są zazwyczaj związane z ładem informatycznym i powiązanymi mechanizmami kontrolnymi oraz niezbędnymi umiejętnościami w zakresie audytu wewnętrznego. Jednak, do przeprowadzenia skutecznego audytu działań związanych z ładem i nadzorem, potrzeba bardzo doświadczonego audytora wewnętrznego, z dogłębnym zrozumieniem mechanizmów kontrolnych i koncepcji nadzoru. Przeprowadzenie audytu ładu informatycznego wymagać będzie od audytora wewnętrznego zinterpretowania i zrozumienia działań podejmowanych w ramach ładu informatycznego w organizacji. Szef audytu wewnętrznego (CAE) powinien zapewnić zasoby i kompetencje niezbędne do oceny programu ładu informatycznego i związanego z nim ryzyka, w tym wewnętrznych i zewnętrznych ryzyk odnoszących się do relacji z podmiotami zewnętrznymi, zgodnie z wymaganiami Standardu 2130. Szefowie audytu wewnętrznego (CAE) mogą polegać na personelu, który ma doświadczenie w pracy z bezpieczeństwem IT i wyższym kierownictwem, ale bez doświadczenia, czy wiedzy w zakresie koncepcji ładu informatycznego. Personel zajmujący się audytem wewnętrznym powinien rozumieć istniejącą strukturę nadzoru i posiadać odpowiednie umiejętności zarządzania relacjami, tworząc skuteczne robocze stosunki z kierownictwem zarządzającym bezpieczeństwem oraz w ramach struktur nadzoru. W przypadku mniejszych funkcji audytu wewnętrznego, szef audytu wewnętrznego (CAE) może aktywnie uczestniczyć w realizacji audytu ładu informatycznego lub audyt nadzoru może być współprowadzony lub zlecony usługodawcy zewnętrznemu. Planowanie strategiczne i operacyjne Strategiczne zarządzanie IT i zarządzanie wydajnością IT (taktyczne) oraz powiązane z nimi pomiary są kluczowymi elementami skutecznego programu ładu informatycznego. Jak wskazano w Standardzie 2110.A2: Audyt wewnętrzny musi oceniać, czy zarządzanie technologią informatyczną wspiera osiąganie celów i realizację strategii organizacji 10 Działania audytu wewnętrznego powinny, zgodnie ze Standardem 2110, obejmować audyty związane z nadzorem, włączając w to ocenę, czy ład informatyczny odnosi się i wspiera strategie i cele organizacji. Audytor wewnętrzny może stwierdzić, że program ładu informatycznego nie istnieje, w innych przypadkach może stwierdzić, że programy takie istnieją i są odpowiednio zaprojektowane i kontrolowane lub nadmiernie oraz niedostatecznie kontrolowane. Program ładu informatycznego dla każdej organizacji jest inny, każdy powinien mieć jednak wystarczające elementy zarządzania wydajnością, które mówią kierownictwu, czy IT jest nadzorowane tak, by cele strategiczne były osiągane. Dostarczanie i mierzenie usług Audytowanie elementów finansowych programu ładu informatycznego może różnić się w przypadku różnych organizacji, czego powodem jest kierunek wskazywany przez rady i wyższe kierownictwo, naciski i warunki w branży oraz konkurencję. Zarządzanie finansami jest jednak w każdym przypadku ważnym elementem kontrolowania i monitorowania kosztów oraz realizacji korzyści z IT. Audyt wewnętrzny, jako minimum, powinien mieć wiedzę o tym, jak dobrze zostało zaprojektowane i wdrożone przez wyższe kierownictwo zarządzanie finansami IT. Audyt wewnętrzny powinien zacząć od poznania i zrozumienia polityki zarządzania finansami IT, zadając pytania: Czy rada i wyższe kierownictwo w pełni rozumieją koszty ponoszone przez IT oraz to w jaki sposób przyczynia się to do osiągnięcia celów strategicznych i celów organizacji, wyników, przychodów i zysków firmy? Czy liderzy jednostek organizacyjnych mierzą usługi IT i otrzymaną wartość? Jak? Jak wygląda porównanie kosztów IT w odniesieniu do innych organizacji o podobnej wielkości i z tej samej branży? Czy przeprowadzono analizy finansowe w ramach analiz kosztów i korzyści dla większych inwestycji w IT? Czy liderzy jednostek organizacyjnych i CIO są oceniani w ramach wyników finansowych jak i pozafinansowych? Jak stwierdzono w części dotyczącej ryzyka niedopasowania, jednym z ważnych aspektów zarządzania finansami jest możliwość wyodrębnienia właściwych informacji, a także zmierzenia właściwych rzeczy. Do skutecznej analizy danych finansowych powinny być dostępne szczegółowe dane. Budowa struktury ramowej dla pomiaru wydajności dla środków zarówno finansowych, jak i pozafinansowych jest jednym z kluczowych elementów skutecznego ładu informatycznego. 10 Przyp. tłum. Zgodnie z przyjętą terminologią definicja powinna brzmieć Audyt wewnętrzny musi oceniać, czy ład [informatyczny] wspiera strategię i cele organizacji. W celu zachowania spójności z innymi dokumentami IIA postanowiono zachować obecne tłumaczenie. 20