Badanie i ocena bezpieczeństwa w systemach informatycznych na przykładzie standardu COBIT

: Autor: Dawid Cholewiński; IT; Opublikowano: 20 wrzesień 2018; Odsłony: 941

3.67 ( 1 głosów )

Wstęp

Standard COBIT 5 (dalej „COBIT) określa kompleksowe ramy mające pomóc przedsiębiorstwu w osiągnięciu jego celów dotyczących zarządzania i nadzoru nad środowiskiem IT. W innych słowach, standard pomaga generować wartość z środowiska IT poprzez pomoc w znalezieniu i utrzymaniu równowagi pomiędzy efektami/korzyściami, wykorzystaniem zasobów/kosztem oraz ryzykiem.

Standard ten zapewnia kompleksowe, holistyczne podejście do środowiska IT w przedsiębiorstwie, zapewnia branie pod uwagę celów różnych interesariuszy przedsiębiorstwa oraz dość szczegółowo przedstawia ramy, jak takie środowisko IT powinno wyglądać. Z uwagi na charakterystykę standardu COBIT może być on efektywnie wykorzystywany przez audyt wewnętrzny jako benchmark, kryterium, w odniesieniu do którego środowisko IT jest oceniane w przedsiębiorstwie. W tym celu należy dobrze zrozumieć standard COBIT oraz to, w jaki sposób można zastosować go do oceny środowiska IT.

Pięć zasad standardu COBIT

Standard COBIT został zbudowany na pięciu podstawowych zasadach zarządzania i nadzoru nad środowiskiem IT w przedsiębiorstwie:

Zasada 1: Zaspokajanie potrzeb interesariuszy (ang. Meeting Stakeholder Needs)
Zasada 2: Obejmowanie całego przedsiębiorstwa (and. Covering the Enterprise End-to-end)
Zasada 3: Stosowanie jednych, zintegrowanych ram (and. Applying a Single, Integrated Framework)
Zasada 4: Umożliwienie holistycznego podejścia (ang. Enabling a Holistic Approach)
Zasada 5: Oddzielenie nadzoru od zarządzania (and. Separating Governance from Management)

Zaspokajanie potrzeb interesariuszy

Podstawowym celem działania każdego przedsiębiorstwa jest generowanie wartości dla swoich interesariuszy (w szerokim rozumieniu tego terminu). Oznacza to, że generowanie wartości jest również jednym z celów nadzorczych, tzn. generowanie wartości poprzez realizację korzyści przy odpowiedniej optymalizacji ryzyka (zgodnie z apetytem na ryzyko) i zasobów. Przedsiębiorstwa mają bardzo wielu interesariuszy, których cele i potrzeby są różne, czasami także sprzeczne. Obowiązkiem nadzoru przedsiębiorstwa jest zapewnienie, że w przedsiębiorstwie odbywają się dyskusje oraz negocjacje nad poszczególnymi korzyściami, które przedsiębiorstwo może generować dla poszczególnych interesariuszy. Potrzeby wszystkich interesariuszy powinny zostać wzięte pod uwagę i odpowiedni kompromis powinien być wypracowany.

Korzyści generowane dla interesariuszy (ich potrzeby) powinny zostać odzwierciedlone w działaniach przedsiębiorstwa. W celu osiągnięcia tego, potrzeby interesariuszy powinny zostać odzwierciedlone w generalnych celach przedsiębiorstwa, które następnie są odzwierciedlone w celach związanych z IT. Cele związane z IT powinny mieć odzwierciedlenie w czynnościach wykonywanych w ramach siedmiu czynników umożliwiających, które są opisane w dalszej części opracowania.

Obowiązkiem audytora wewnętrznego wykonującego czynności weryfikacyjne zgodności z tą zasadą standardu COBIT jest sprawdzenie, czy potrzeby i cele wszystkich interesariuszy są brane pod uwagę przez przedsiębiorstwo, a przynajmniej są ujęte w procesie dyskusji i negocjacji. Dodatkowo należy zweryfikować, czy dyskusje i negocjacje nad korzyściami dla interesariuszy są poprzedzające i odpowiednio odzwierciedlone w generalnych, strategicznych celach organizacji. Następnym krokiem jest uzyskanie komfortu, że cele strategiczne mają odpowiednie odzwierciedlenie w celach związanych z IT, które są wypełniane przez siedem czynników umożliwiających. Taka procedura weryfikacyjna zapewnia komfort, że działanie przedsiębiorstwa nakierowane jest na zaspokajanie potrzeb akcjonariuszy.

Obejmowanie całego przedsiębiorstwa

Standard COBIT zapewnia całkowite, systematyczne podejście do nadzoru i zarządzania środowiskiem IT w przedsiębiorstwie i obejmuje całe przedsiębiorstwo od A do Z. Oznacza to, że wszyscy pracownicy na wszystkich poziomach, wszystkie procesy, wewnętrzne i zewnętrzne powinny zostać objęte ramami nadzoru i zarządzania środowiskiem IT określonymi przez standard COBIT.

Model nadzoru zdefiniowany w standardzie COBIT składa się z trzech elementów: nadzorcze czynniki umożliwiające, zakres nadzoru oraz role, aktywności i relacje między nimi.

Czynniki umożliwiające nadzór to wszystkie nadzorcze zasoby i składniki organizacyjne przedsiębiorstwa, takie jak ramy, zasady, struktury, procesy i praktyki, które umożliwiają lub pomagają w osiągnięciu celów organizacji. Czynnikami takimi mogą być także inne możliwości organizacyjne wynikające z infrastruktury, aplikacji, wiedzy, umiejętności, informacji itd. Brak odpowiednich nadzorczych czynników umożliwiających w organizacji może uniemożliwiać organizacji osiąganie jej celów i w efekcie kreowanie wartości.
Nadzór według standardu COBIT stosuje się do całej organizacji, ale można stosować go także do części organizacji (w tym jednego podmiotu) lub nawet aktywa. Dzięki temu można osiągnąć różne spojrzenia na organizację i skupienia na różnych elementach organizacji. Istotne jest, aby zakres był odpowiednio zdefiniowany i komunikowany, tak aby nie było mylnej interpretacji zakresu nadzoru.
Role, aktywności i relacje między nimi w zakresie nadzoru definiują kto i w jakim zakresie jest zaangażowany w ramach modelu nadzoru. Istotne rozróżnienie jest pomiędzy aktywnościami zarządczymi a nadzorczymi. Wg modelu standardu COBIT: pracownicy operacyjni są instruowani szczeblem zarządczym, do którego raportują. Szczebel zarządczy raportuje do ciała nadzorczego, które pomaga w ustaleniu kierunku działania. Ciało nadzorcze jest wydelegowane przez właścicieli i innych interesariuszy, przed którymi jest odpowiedzialne.

Wszystkie opisane powyżej czynniki bezpośrednio lub pośrednią wiążą się z celem generowania wartości dla swoich interesariuszy (równowaga pomiędzy efektami/korzyściami, wykorzystaniem zasobów/kosztem oraz ryzykiem). W ramach audytu audytor powinien sprawdzić czy cała organizacja objęta jest modelem nadzoru nad środowiskiem IT oraz czy wszystkie elementy modelu nadzoru są zdefiniowane i klarownie określone w przedsiębiorstwie.

Stosowanie pojedynczych, zintegrowanych zasad

Standard COBIT można stosować jako jedne, zintegrowane ramy nadzoru nad środowiskiem IT. Możliwość ta wynika z faktu, że COBIT jest zgodny z innymi standardami i zasadami dotyczącymi nadzoru nad środowiskiem IT. Standardami, które są zawarte w ramach COBIT, są między innymi ISO/IEC 38500, ISO/IEW 31000, ISO/IEC 27000, ISO/IEC 20000, TOGAF, PRINCE2/PMBOK, CMMI oraz ITIL V3 2011. Z uwagi na to kompleksowe podejście standardu COBIT oraz pokrycie swoim zakresem całego podmiotu, standard ten może być zastosowany jednolicie we wszystkich obszarach nadzoru nad środowiskiem IT.

Z punktu widzenia audytora istotna jest weryfikacja, czy zasady zostały zaimplementowane w całości, kompleksowo dla całego podmiotu (czy są może jakieś inne standardy zaimplementowane?), korzystając z faktu, że COBIT może być jedynymi, zintegrowanymi ramami nadzoru nad środowiskiem IT.

Umożliwienie holistycznego podejścia

COBIT definiuje siedem czynników umożliwiających, które to poprzez odpowiednie kaskadowanie celów, zaczynając od interesariuszy, pomagają organizacji w uzyskaniu odpowiedniego nadzoru oraz zarządzania środowiskiem IT. Z poziomu samych czynników, generalne cele IT (cele wysokiego poziomu) zaczynają definiować, co poszczególne czynniki powinny umożliwiać/osiągać.

Siedem czynników umożliwiających zgodnie z standardem COBIT to: 1) zasady, polityki i ramy 2) procesy 3) struktury organizacyjne 4) kultura, etyka i zachowania 5) informacje 6) usługi, infrastruktura i aplikacje 7) ludzie, umiejętności i kompetencje. Dzięki szerokiemu zakresowi czynników oraz ich klarownemu powiązaniu z celami strategicznymi przedsiębiorstwa, umożliwiają one holistyczne podejście do nadzoru oraz zarządzania środowiskiem IT w przedsiębiorstwie. Wszystkie z tych czynników są szczegółowo opisane w dalszej części opracowania.

Oddzielenie nadzoru od zarządzania

Bardzo istotnym aspektem modelu nadzoru i zarządzania środowiskiem IT w przedsiębiorstwie jest rozdzielenie tych dwóch funkcji, zarządzania i nadzoru. Nadzór ma za zadanie zapewnić, że potrzeby, opcje, przy uwzględnieniu możliwości interesariuszy, są analizowane w celu wypracowania kompromisowych celów organizacji. Ciała nadzorcze mogą być także zaangażowane w procesie zarządzania (oczywiście zależy od uwarunkowań prawnych) do wytaczania kierunków organizacji, a także monitorowania czy podmiot działa zgodnie z ustalonym kierunkiem w celu osiągnięcia ustalonych celów. Zarządzanie natomiast polega na planowaniu, wykonywaniu oraz monitorowaniu działań zgodnych z ustalonym kierunkiem oraz celami ustalonymi przez ciało nadzorcze. Oczywiście, w zależności od uwarunkowań prawnych, ciała zarządcze mogą mieć także odpowiedzialność za ustalanie kierunku oraz celu organizacji, a ciała nadzorcze za monitorowanie i ocenianie tych aktywności (oraz akceptowanie działań przekraczających normalny zarząd) – tak, jak jest to w polskich ramach prawnych. W Polsce funkcję zarządczą pełni Zarząd kierowany przez Prezesa, a ciałem nadzorczym jest Rada Nadzorcza.

Jednym z czynników umożliwiających standardu COBIT są procesy (które szczegółowo opisano w dalszej części opracowania). W modelu COBIT procesy zarządzania i nadzoru nad środowiskiem IT w przedsiębiorstwie podzielone są na pięć grup. W ramach zarządzania wyodrębnione zostały następujące grupy: 1) dostosowanie, planowanie i organizacja 2) tworzenie, nabywanie i wdrożenie 3) dostarczanie, wykonywanie i wspieranie 4) monitorowanie i ocenianie, natomiast w ramach nadzoru procesy zostały przyporządkowane do grupy: 5) ocenianie, nakierowanie i monitorowanie.

Z punktu widzenia audytora, istotna jest weryfikacja, czy role nadzorcze i zarządcze są niezależne i rozdzielne, a także czy mają odpowiednio zdefiniowane obowiązki. Warto jednocześnie zweryfikować, czy te obowiązki mogą być efektywnie wykonywane.

Siedem czynników umożliwiających standardu COBIT

Siedem czynników umożliwiających standardu COBIT można określić w wymiarze stworzonym z czterech elementów: 1) interesariusze 2) cele 3) cykl życia i 4) dobre praktyki. Każdy czynnik ma interesariuszy, którzy działają w ramach tych czynników (np. procesy, struktura itd.) lub są zainteresowani efektami działania tych czynników. Każdy z czynników ma cele (zgodnie z kaskadowaniem celów organizacji zaczynając od interesariuszy), których spełnianie pozwala czynnikom generować wartość dodaną. Osiąganie celów jest wspierane przez dobre praktyki, które mogą być określone dla każdego z czynników umożliwiających. Każdy z czynników ma również cykl życia, składający się z planu, tworzenia, budowania, działania, oceny oraz skasowania lub modyfikacji. W organizacji czynniki umożliwiające powinny podlegać ocenie, aby zweryfikować czy zgodnie z oczekiwaniem, implementacja czynników umożliwiających w organizacji przynosi dodatkową wartość. W tym celu następujące cztery pytania powinny być zadawane: czy potrzeby interesariuszy są zaadresowanie, czy cele czynników umożliwiających są osiągnięte, czy cykl życia czynników umożliwiających jest odpowiednio zarządzany oraz czy odpowiednie dobre praktyki są wdrożone do czynników umożliwiających.

Zasady, polityki i ramy

Interesariuszami zasad, polityk i ram są interesariusze wewnętrzni, jak i zewnętrzni podmiotu, ci, którzy decydują oraz tworzą zasady, polityki i ramy oraz ci, którzy mają zgodnie z nimi działać. Celem zasad, polityk i ram jest komunikowanie zasad w ramach podmiotu, które wspierają osiągnięcie celów organizacji. Zasady, ograniczone w ilości, powinny w sposób jasny i klarowny określać kluczowe wartości organizacji. Polityki w sposób bardziej szczegółowy określają, w jaki sposób zasady są wprowadzane w życie (poprzez decyzje i działania). Ramy powinny określać struktury, narzędzia itd., które umożliwiają odpowiednie zarządzanie i nadzór nad środowiskiem IT. Zasady, polityki i ramy mają swój cykl życia w zależności od dynamiki zmian w organizacji oraz środowiska, w jakim podmiot działa. Jeżeli ilość zmian jest znacząca, to zasady, polityki i ramy muszą być częściej zmieniane lub zastępowane. Jednocześnie, jeżeli środowisko jest silnie regulowane i wymaga od podmiotu opisania wielu procesów w organizacji, nadzór nad zmianami i utrzymywanie ich w wersji aktualnej jest bardzo istotne.

Audytor w ramach swoich weryfikacji powinien skupić się na tym, czy zasady, polityki i odpowiednie ramy zostały w organizacji określone oraz szeroko zakomunikowane wszystkim odpowiednim osobom. Jednocześnie istotne jest, czy zostały one stworzone z odpowiednią szczegółowością, nie tracąc przy tym na swojej prostocie. Warto zweryfikować również, czy wszyscy w organizacji mają odpowiedni dostęp do zasad, polityk i ram oraz czy je rozumieją.

Procesy

Proces jest to zbiór działań (co do zasady powinien być opisany lub działać zgodnie z politykami i procedurami w przedsiębiorstwie), które pobierają wkład z różnych źródeł, przetwarzają oraz wydają produkt. Wkładem mogą być różne środki i zasoby przedsiębiorstwa, włączając w to także efekty innych procesów. Procesy mają interesariuszy wewnętrznych, jak i zewnętrznych i każdy z nich ma jakieś role i odpowiedzialności w ramach procesów. Interesariusze mogą być zaangażowani do wykonywania czynności w ramach procesu, dostarczania wkładu do procesu lub odbierania efektu procesu. Celem procesów jest osiąganie odpowiednich efektów, tak jak jest to zdefiniowane w każdym z procesów. Dzięki osiąganiu odpowiednich efektów w odpowiedni sposób, cele procesów są spełnione, a w efekcie, zgodnie z kaskadowaniem celów od interesariuszy, potrzeby interesariuszy są również adresowane. Procesy mają swój cykl życia produktów, zdefiniowanie, stworzenie, działanie, monitorowanie oraz zmiana lub zastąpienie, dzięki czemu każdy z procesów może zostać przyporządkowany do odpowiedniego etapu życia w organizacji (i jeżeli istnieje potrzeba, mapa procesów może być analizowana dla całej organizacji).

Procesy w organizacji można oceniać zgodnie z modelem opartym o standard ISO/IEC 15504, który określa 6 (od 0 do 5) poziomów dojrzałości procesowej:

Poziom 0 (proces niekompletny) - proces nie został zaimplementowany lub cel procesu nie jest osiągany,
Poziom 1 (proces wykonywany) – cel procesu jest osiągany,
Poziom 2 (proces zarządzany) – opisany wcześniej proces wykonywany jest zarządzany, tzn. podlega planowaniu, monitorowaniu oraz korygowaniu, a efekty procesu są odpowiednio ustalone, kontrolowane i utrzymywane,
Poziom 3 (proces ustalony) – opisany wcześniej proces zarządzany jest zaimplementowany z wykorzystaniem procesu, który jest w stanie osiągnąć odpowiednie efekty procesu,
Poziom 4 (proces przewidywalny) – opisany wcześniej proces ustalony działa w odpowiednich warunkach i limitach i osiąga swoje efekty,
Poziom 5 (proces optymalny) – opisany wcześniej proces przewidywalny jest stale poprawiany w celu osiągnięcia bieżących oraz oczekiwanych, przyszłych celów organizacji.

Każdy etap może zostać osiągnięty tylko pod warunkiem spełnienia warunków wszystkich wcześniejszych poziomów dojrzałości.

Tak, jak już wcześniej zostało opisane, procesy w ramach modelu zarządzania i nadzoru środowiskiem IT w organizacji zostały podzielone na 5 grup, w domenie zarządzania (4 grupy) oraz nadzoru (1 grupa). Do poszczególnych grup przyporządkowane zostały następujące procesy:

(zarządzanie) dostosowanie, planowanie i organizacja
- APO01 Zarządzanie ramami zarządzania środowiskiem IT
- APO02 Zarządzanie strategią
- APO03 Zarządzanie architekturą korporacyjną
- APO04 Zarządzanie innowacjami
- APO05 Zarządzanie portfelami
- APO06 Zarządzanie budżetami i kosztami
- APO07 Zarządzanie zasobami ludzkimi
- APO08 Zarządzanie relacjami
- APO09 Zarządzanie umowami serwisowymi
- APO010 Zarządzanie dostawcami
- APO011 Zarządzanie jakością
- APO012 Zarządzanie ryzykiem
- APO013 Zarządzanie bezpieczeństwem
(zarządzanie) tworzenie, nabywanie i wdrożenie
- BAI01 Zarządzanie programami i projektami
- BAI02 Zarządzanie definicją wymagań
- BAI03 Zarządzanie identyfikacją rozwiązań oraz ich tworzeniem
- BAI04 Zarządzanie dostępnością i przepustowością/możliwościami
- BAI05 Zarządzanie umożliwianiem zmiany organizacyjnej
- BAI06 Zarządzanie zmianą
- BAI07 Zarządzanie akceptacją zmiany i jej przeprowadzaniem
- BAI08 Zarządzanie wiedzą
- BAI09 Zarządzanie aktywami
- BAI010 Zarządzanie konfiguracjami
(zarządzanie) dostarczanie, wykonywanie i wspieranie
- DSS01 Zarządzanie operacjami
- DSS02 Zarządzanie zgłoszeniami serwisowymi i incydentami
- DSS03 Zarządzanie problemami
- DSS04 Zarządzanie ciągłością
- DSS05 Zarządzanie departamentem bezpieczeństwa
- DSS06 Zarządzanie kontrolami w ramach procesów biznesowych
(zarządzanie) monitorowanie i ocenianie
- MEA01 Monitorowanie i ocenianie wydajności i zgodności
- MEA02 Monitorowanie i ocenianie systemu kontroli wewnętrznej
- MEA03 Monitorowanie i ocenianie zgodności z wymogami zewnętrznymi
(nadzór) ocenianie, nakierowanie i monitorowanie
- EDM01 Zapewnienie ustanowienia i utrzymywania ram nadzorczych w organizacji
- EDM02 Zapewnienie dostarczenia oczekiwanych korzyści
- EDM03 Zapewnienie optymalizacji ryzyka
- EDM04 Zapewnienie optymalizacji wykorzystania zasobów
- EDM05 Zapewnienie transparentności interesariuszy

Weryfikacja audytu powinna zweryfikować, czy odpowiednie procesy zostały zaimplementowane na różnych etapach zarządzania jak i nadzoru, tak aby były one adekwatne dla podmiotu. Jednocześnie należy zweryfikować, czy procesy są dojrzałe lub czy planowane są działania, aby osiągnąć dojrzałość procesową organizacji.

Struktury organizacyjne

Struktura organizacyjna to układ stanowisk i składających się z nich komórek organizacyjnych. Interesariuszami tego czynnika są zewnętrzni jak i wewnętrzni interesariusze. Celem struktury organizacyjnej jest wspieranie celów podmiotu, natomiast nie ma to bezpośredniego przełożenia. Cykl życia struktury organizacyjnej jest zależny od decyzji ciała zarządczego, gdyż zmiana struktury musi być podparta odpowiednią decyzją.

Z uwagi na nie bezpośrednie przełożenie struktury organizacyjnej na osiąganie celów organizacyjnych, audytor powinien zweryfikować, czy odpowiednia zależność występuje oraz czy struktura wspiera osiąganie tych celów.

Kultura, etyka i zachowania

Kultura, etyka i zachowania to zbiór indywidualnych oraz kolegialnych zachowań w ramach organizacji. Ten czynnik umożliwiający dotyczy wewnętrznych jak i zewnętrznych interesariuszy. Relacje z interesariuszami są dwojakie: niektórzy interesariusze definiują, wprowadzają oraz egzekwują oczekiwane zachowania, inni interesariusze mają obowiązek zachowywania się w zgodzie z zdefiniowanymi zasadami i normami. Celami kultury, etyki i zachowań jest stworzenie odpowiednich uwarunkowań dla wypełniania celów organizacji. Istotne jest, aby kultura, etyka i zachowania oczekiwane w ramach organizacji nie były sprzeczne z tym, czego oczekują pracownicy, gdyż będą oni musieli poświęcić dużo energii do dostosowania się, która mogłaby zostać spożytkowana w inny sposób. Kultura organizacyjna może ewoluować w ramach organizacji (lub celowo być zmieniana) i w ten sposób znajdować się w różnych etapach cyklu życia.

W ramach weryfikacji audytor powinien sprawdzić, czy kultura organizacyjna (w tym etyka i zachowania) są odpowiednio zaimplementowane w całej organizacji, zgodne z strategią podmiotu oraz innymi czynnikami umożliwiającymi. Dodatkowo istotne jest, aby kultura organizacyjna nie była diametralnie różna od kultury i etyki pracowników, gdyż powinny być one zbliżone.

Informacje

Ten czynnik umożliwiający jest definiowany jako wszystkie informacje adekwatne dla przedsiębiorstwa. W ramach cyklu informacyjnego w przedsiębiorstwie zdefiniowanego w ramach standardu COBIT, dane są przetwarzane w ramach procesu biznesowego, z którego powstaje informacja, która następnie transformowana jest w wiedzę, z której powstaje wiedza tworząc wartość dla przedsiębiorstwa. Taki uproszczony model pokazuje, jak istotna jest informacja dla przedsiębiorstwa oraz jaka jest różnica pomiędzy informacją a danymi. Wszyscy interesariusze przedsiębiorstwa powiązani są z nim poprzez informacje, którą wykorzystują w ramach przedsiębiorstwa lub którą uzyskują z przedsiębiorstwa. Cele informacji w ramach standardu COBIT określone są z punktu widzenia jej jakości oraz celów, do których wykorzystywane są przez decydentów/interesariuszy. W szerokim rozumieniu celów informacji, informacje są wykorzystywane do osiągania celów przedsiębiorstwa, czyli dla zapewnienia określonych korzyści dla interesariuszy. Informacje na różnych etapach rozwoju są w różnym stadium życia, począwszy od planowania, zdobywania i wykorzystania, wykorzystywania, przetwarzania aż do decyzji czy informacja powinna być dalej utrzymywana, archiwizowana czy usuwana.

Z punktu widzenia audytora, najistotniejsze dla weryfikacji jest sprawdzenie, czy podmiot efektywnie korzysta z dostępnych informacji oraz czy informacje, z których korzysta, są prawidłowe.

Usługi, infrastruktura i aplikacje

Infrastruktura i aplikacje są bardzo często wykorzystywane przez organizację w celu wykonywania usług związanych z środowiskiem IT. Interesariuszami tego czynnika umożliwiającego mogą być podmioty wewnętrzne, jak i zewnętrzne. Dodatkowo, w zależności od potrzeb, czynnik ten może dotyczyć wykonywania usług, jak i weryfikacji zgodności wykonywanej usługi przez dostawcę z umową/zamówieniem (jako odbiorca). Celami tego czynnika natomiast będą cele wykonywanej i/lub zamawianej usługi. Cykl życia w ramach oferowanych usług jest bardzo łatwy do zidentyfikowania, gdyż są usługi zaplanowane (do wykonania) lub nawet jeszcze nie zaplanowane, ale żyjące jako koncepcja nowej usługi. Następnym etapem jest wykonywanie usługi, a dalej monitorowanie oraz poprawianie/modyfikowanie.

W ramach weryfikacji tego czynnika należy zweryfikować, czy usługi wykonywane lub dostarczane do podmiotu są zgodne w szerokim rozumieniu z celami strategicznymi podmiotu.

Ludzie, umiejętności i kompetencje

Ludzie, umiejętności i kompetencje są czynnikiem umożliwiającym związanym z różnymi rolami w ramach modelu zarządzania i nadzoru nad środowiskiem IT w przedsiębiorstwie oraz różnymi umiejętnościami, kompetencjami i różną wiedzą, które są potrzebne do efektywnego wykonywania swoich obowiązków. Interesariuszami tego czynnika są interesariusze wewnętrzni, jak i zewnętrzni. Celem w ramach tego czynnika jest posiadanie odpowiedniej wiedzy, kompetencji i umiejętności, aby efektywnie wykonywać procesy, tak aby wspierały one osiąganie celów przedsiębiorstwa. Jednocześnie z punktu widzenia ludzi, celami są dostępność odpowiednich zasobów kapitału ludzkiego oraz niska rotacja pracowników. Cyklem życia w tym aspekcie jest różny etap rozwoju posiadanych umiejętności oraz umiejętności, które są dopiero nowymi umiejętnościami do rozwinięcia, związanymi z rozwojem rynku, środowiska IT lub innych dziedzin działalności podmiotu.

Audytor podczas swoich weryfikacji powinien zweryfikować czy w podmiocie nie ma luki kompetencyjnej oraz czy podmiot rozwija kompetencje i umiejętności. Jednocześnie należy zweryfikować, czy rotacja pracowników nie jest nieoczekiwanie duża, gdyż jest to bardzo dobry indykator nieodpowiedniego działania podmiotu.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Pellentesque convallis erat sed egestas convallis. Quisque eget venenatis odio. Suspendisse sollicitudin, ex ut bibendum semper, urna dolor ultrices erat, sit amet ultrices justo eros sit amet ipsum. Fusce lacinia augue libero, at ullamcorper risus porttitor sed. Mauris eget mauris sapien. Nullam feugiat ornare sem ac rutrum. Pellentesque semper augue vitae odio dictum placerat.

Dawid Cholewiński

Ocena

Pomocne

4.00

Rzetelne

2.00

Interesujące

5.00

Oceny użytkowników

3.67

test test test

Dodana 25-09-2018 13:31 przez Super User

test test test test test test test test test test test test test test test test test test test test test test test test test test test test test test test test test

Zaloguj się aby ocenić

Asystent