Cadrul de referinţă Modele de maturitate · Consultant tehnic: Florin Matran-Dan Traducerea şi...

C a d r u l d e r e f e r i n ţ ă O b i e c t i v e l e c o n t r o l u l u i

G h i d u r i p e n t r u m a n a g e m e n t M o d e l e d e m a t u r i t a t e

IT GOVERNANCE INSTITUTE

The IT Governance Institute® The IT Governance Institute (ITGITM) (www.itgi.org) was established in 1998 to advance international thinking and standards in directing and controlling an enterprise’s information technology. Effective IT governance helps ensure that IT supports business goals, optimises business investment in IT, and appropriately manages IT-related risks and opportunities. ITGI offers original research, electronic resources and case studies to assist enterprise leaders and boards of directors in their IT governance responsibilities.

The IT Governance Institute® IT Governance Institute (ITGITM) (www.itgi.org) a fost înfiinţat în 1998 cu scopul de a promova gândirea şi standardele internaţionale din domeniul conducerii/administrării şi controlului tehnologiei informaţiei din cadrul întreprinderilor. O guvernare IT reală ne ajută să ne asigurăm că tehnologiile informaţionale sprijină obiectivele companiei, optimizează investiţiile în tehnologie şi gestionează în mod corespunzător riscurile şi oportunităţile legate de tehnologie. ITGI pune la dispoziţie cercetări originale, resurse în format electronic şi studii de caz pentru a asista atît conducătorii cît şi consiliile directoare în îndeplinirea responsabilităţilor cu privire la guvernarea IT.

Disclaimer ITGI (the “Owner”) has designed and created this publication, ITtled COBIT® 4.1 (the “Work”), primarily as an educational resource for chief information officers (CIOs), senior management, IT management and control professionals. The Owner makes no claim that use of any of the Work will assure a successful outcome. The Work should not be considered inclusive of any proper information, procedures and tests or exclusive of other information, procedures and tests that are reasonably directed to obtaining the same results. In determining the propriety of any specific information, procedure or test, CIOs, senior management, IT management and control professionals should apply their own professional judgement to the specific circumstances presented by the particular systems or IT environment..

Termeni de utilizare ITGI (“Proprietar”) a proiectat si a creat această publicaţie, intitulată COBIT® 4.1 (“Lucrarea”), în primul rând ca o resursă educaţională pentru responsabilii departamentelor IT (CIO), conducerea superioară, manageri IT şi profesionişti din domeniul controlului. Proprietarul nu susţine că utilizarea acestei Lucrări va asigura un rezultat pozitiv. Lucrarea nu ar trebui să fie considerată cuprinzătoare a tuturor informaţiilor, procedurilor şi testelor sau exclusivă a altor informaţii, proceduri şi teste care se îndreaptă în mod rezonabil spre obţinerea aceloraşi rezultate. În determinarea conformităţii unor informaţii specifice, a unor proceduri sau teste, responsabilii departamentelor IT (CIO), conducerea superioară, profesioniştii în managementul şi controlul IT ar trebui să se aplice judecata lor profesională la circumstanţele specifice sistemelor sau mediului IT administrat.

Copyright ©1996-2007 IT Governance Institute (“ITGI”). All rights reserved. No part of this publication may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

Acord de licenţiere ©1996-2007 IT Governance Institute (“ITGI”). Toate drepturile rezervate. Nici o parte a acestei publicaţii nu poate fi utilizată, copiată, reprodusă, modificată, distribuită, afişată, stocată într-un sistem sau transmisă sub orice formă prin orice mijloace (electronice, mecanice, fotocopiere, înregistrare sau în alt mod), fără autorizaţia prealabilă scrisă din partea ITGI. Este permisă reproducerea de selectii ale acestei publicaţii, pentru uz intern şi non-comercial sau academic cu menţionarea completă a sursei materialului. Nu se acordă nici un alt drept sau permisiune cu privire la acestă Lucrare.

IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Phone: +1.847.590.7491 Fax: +1.847.253.1443 E-mail: [email protected] Web site: www.itgi.org

COBIT 4.1

IT GOVERNANCE INSTITUTE 1

COBIT 4.1VERSIUNEA ÎN LIMBA ROMÂNĂ

Prezenta ediţie a versiunii în limba română a cadrului de referinţă COBIT 4.1 a fost realizată voluntar, cu sprijinul echipei condusă de Adrian B. Munteanu, profesor la Facultatea de Economie şi Administrarea Afacerilor (FEAA) din cadrul Universităţii Alexandru Ioan Cuza din Iaşi (UAIC).

Experți și recenzori pentru evaluarea calităţii traducerii şi adaptării: Adrian Munteanu, PhD, CISA, COBIT F, ITIL F Cătălin Dănilă, CISA, CISM, CGEIT, ITIL Expert şi SM, PRINCE2 P, M_o_R P, ISO27K LA, COBIT F, CCNP, CCSP Cătălin Ţigănilă, CISA, CISM, CISSP George Drăguşin, CISA Consultant tehnic: Florin Matran-Dan

Traducerea şi adaptarea a fost realizată de doctoranzi şi studenţi de la specializarea Informatică Economică - FEAA: Mugurel Patrichi Oana Iorga Daniel Andoni Vladislav Ciobanu Lidia Cerneanu Ana Maria Tacu Loredana Bejinariu Diana Călin Elena Moroşanu Andrei Costroş Luiza ITron Oana Corobuţă Lucian Rotaru Oana Mereuţă Andreea Spaiuc Nadejda Cernouţan Andreea Pahomi Ionela Colceriu Andrei Tapalagă Lăcrămioara Baston Anca Ciornei Ancuţa Crâşmariu Flavia Jalaboi Dana Pop Livia Ciobanu Ionuţ Ştefan Anca Moruz Cristian Pânzariu Ana Maria Fociac Andreea Torouş Raluca Lungu Andrei Tudose Petronela Grigoraş Claudia Cazacincu

COBIT 4.1

2 IT GOVERNANCE INSTITUTE

MULŢUMIRI

IT Governance Institute doreşte să mulţumească:

Experţi şi Recenzori Mark Adler, CISA, CISM, CIA, CISSP, Allstate Ins. Co., USA Peter Andrews, CISA, CITP, MCMI, PJA Consulting, UK Georges Ataya, CISA, CISM, CISSP, MSCS, PBA, Solvay Business School, Belgium Gary Austin, CISA, CIA, CISSP, CGFM, KPMG LLP, USA Gary S. Baker, CA, Deloitte & Touche, Canada David H. Barnett, CISM, CISSP, Applera Corp., USA Christine Bellino, CPA, CITP, Jefferson Wells, USA John W. Beveridge, CISA, CISM, CFE, CGFM, CQA, Massachusetts Office of the State Auditor, USA Alan Boardman, CISA, CISM, CA, CISSP, Fox IT, UK David Bonewell, CISA, CISSP-ISSEP, Accomac Consulting LLC, USA Dirk Bruyndonckx, CISA, CISM, KPMG Advisory, Belgium Don Canilglia, CISA, CISM, USA Luis A. Capua, CISM, Sindicatura General de la Nación, Argentina Boyd Carter, PMP, Elegantsolutions.ca, Canada Dan Casciano, CISA, Ernst & Young LLP, USA Sean V. Casey, CISA, CPA, USA Sushil Chatterji, Edutech, Singapore Ed Chavennes, Ernst & Young LLP, USA Christina Cheng, CISA, CISSP, SSCP, Deloitte & Touche LLP, USA Dharmesh Choksey, CISA, CPA, CISSP, PMP, KPMG LLP, USA Jeffrey D. Custer, CISA, CPA, CIA, Ernst & Young LLP, USA Beverly G. Davis, CISA, Federal Home Loan Bank of San Francisco, USA Peter De Bruyne, CISA, Banksys, Belgium Steven De Haes, University of Antwerp Management School, Belgium Peter De Koninck, CISA, CFSA, CIA, SWIFT SC, Belgium Philip De Picker, CISA, MCA, National Bank of Belgium, Belgium Kimberly de Vries, CISA, PMP, Zurich Financial Services, USA Roger S. Debreceny, Ph.D., FCPA, University of Hawaii, USA Zama Dlamini, Deloitte & Touche LLP, South Africa Rupert Dodds, CISA, CISM, FCA, KPMG, New Zealand Troy DuMoulin, Pink Elephant, Canada Bill A. Durrand, CISA, CISM, CA, Ernst & Young LLP, Canada Justus Ekeigwe, CISA, MBCS, Deloitte & Touche LLP, USA Rafael Eduardo Fabius, CISA, Republica AFAP S.A., Uruguay Urs Fischer, CISA, CIA, CPA (Swiss), Swiss Life, Switzerland Christopher Fox, ACA, PricewaterhouseCoopers, USA Bob Frelinger, CISA, Sun Microsystems Inc., USA Zhiwei Fu, Ph. D, Fannie Mae, USA Monique Garsoux, Dexia Bank, Belgium Edson Gin, CISA, CFE, SSCP, USA Sauvik Ghosh, CISA, CIA, CISSP, CPA, Ernst & Young LLP, USA Guy Groner, CISA, CIA, CISSP, USA Erik Guldentops, CISA, CISM, University of Antwerp Management School, Belgium Gary Hardy, IT Winners, South Africa Jimmy Heschl, CISA, CISM, KPMG, Austria Benjamin K. Hsaio, CISA, Federal Deposit Insurance Corp., USA Tom Hughes, Acumen Alliance, Australia Monica Jain, CSQA, Covansys Corp., USA Wayne D. Jones, CISA, Australian National Audit Office, Australia John A. Kay, CISA, USA Lisa Kinyon, CISA, Countrywide, USA Rodney Kocot, Systems Control and Security Inc., USA Luc Kordel, CISA, CISM, CISSP, CIA, RE, RFA, Dexia Bank, Belgium Linda Kostic, CISA, CPA, USA John W. Lainhart IV, CISA, CISM, IBM, USA Philip Le Grand, Capita Education Services, UK.

COBIT 4.1


MULŢUMIRI CONT.

Elsa K. Lee, CISA, CISM, CSQA, AdvanSoft International Inc., USA Kenny K. Lee, CISA, CISSP, Countrywide SMART Governance, USA Debbie Lew, CISA, Ernst & Young LLP, USA Donald Lorete, CPA, Deloitte & Touche LLP, USA Addie C.P. Lui, MCSA, MCSE, First Hawaiian Bank, USA Debra Mallette, CISA, CSSBB, Kaiser Permanente, USA Charles Mansour, CISA, Charles Mansour Audit & Risk Service, UK Mario Micallef, CPAA, FIA, National Australia Bank Group, Australia Niels Thor Mikkelsen, CISA, CIA, Danske Bank, Denmark John Mitchell, CISA, CFE, CITP, FBCS, FIIA, MIIA, QiCA, LHS Business Control, UK Anita Montgomery, CISA, CIA, Countrywide, USA Karl Muise, CISA, City National Bank, USA Jay S. Munnelly, CISA, CIA, CGFM, Federal Deposit Insurance Corp., USA Sang Nguyen, CISA, CISSP, MCSE, Nova Southeastern University, USA Ed O’Donnell, Ph.D., CPA, University of Kansas, USA Sue Owen, Department of Veterans Affairs, Australia Robert G. Parker, CISA, CA, CMC, FCA, Robert G. Parker Consulting, Canada Robert Payne, Trencor Services (Pty) Ltd., South Africa Thomas Phelps IV, CISA, PricewaterhouseCoopers LLP, USA Vitor Prisca, CISM, Novabase, Portugal Martin Rosenberg, Ph.D., IT Business Management, UK Claus Rosenquist, CISA, TrygVesata, Denmark Jaco Sadie, Sasol, South Africa Max Shanahan, CISA, FCPA, Max Shanahan & Associates, Australia Craig W. Silverthorne, CISA, CISM, CPA, IBM Business Consulting Services, USA Chad Smith, Great-West Life, Canada Roger Southgate, CISA, CISM, FCCA, CubeIT Management Ltd., UK Paula Spinner, CSC, USA Mark Stanley, CISA, Toyota Financial Services, USA Dirk E. Steuperaert, CISA, PricewaterhouseCoopers, Belgium Robert E. Stroud, CA Inc., USA Scott L. Summers, Ph.D., Brigham Young University, USA Lance M. Turcato, CISA, CISM, CPA, City of Phoenix IT Audit Division, USA Wim Van Grembergen, Ph.D., University of Antwerp Management School, Belgium Johan Van Grieken, CISA, Deloitte, Belgium Greet Volders, Voquals NV, Belgium Thomas M. Wagner, Gartner Inc., USA Robert M. Walters, CISA, CPA, CGA, Office of the Comptroller General, Canada Freddy Withagels, CISA, Capgemini, Belgium Tom Wong, CISA, CIA, CMA, Ernst & Young LLP, Canada Amanda Xu, CISA, PMP, KPMG LLP, USA

Comitetul de încredere ITGI Everett C. Johnson, CPA, Deloitte & Touche LLP (retired), USA, International President Georges Ataya, CISA, CISM, CISSP, Solvay Business School, Belgium, Vice President William C. Boni, CISM, Motorola, USA, Vice President Avinash Kadam, CISA, CISM, CISSP, CBCP, GSEC, GCIH, Miel e-Security Pvt. Ltd., India, Vice President Jean-Louis Leignel, MAGE Conseil, France, Vice President Lucio Augusto Molina Focazzio, CISA, Colombia, Vice President Howard Nicholson, CISA, City of Salisbury, Australia, Vice President Frank Yam, CISA, FHKIoD, FHKCS, FFA, CIA, CFE, CCP, CFSA, Focus Strategic Group, Hong Kong, Vice President Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young LLP, USA, Past International President Robert S. Roussey, CPA, University of Southern California, USA, Past International President Ronald Saull, CSP, Great-West Life and IGM Financial, Canada, Trustee

COBIT 4.1


Comitetul pentru Guvernare IT Tony Hayes, FCPA, Queensland Government, Australia, Chair Max Blecher, Virtual Alliance, South Africa Sushil Chatterji, Edutech, Singapore Anil Jogani, CISA, FCA, Tally Solutions Limited, UK John W. Lainhart IV, CISA, CISM, IBM, USA Rómulo Lomparte, CISA, Banco de Crédito BCP, Peru Michael Schirmbrand, Ph.D., CISA, CISM, CPA, KPMG LLP, Austria Ronald Saull, CSP, Great-West Life Assurance and IGM Financial, Canada

Comitetul director COBIT Roger Debreceny, Ph.D., FCPA, University of Hawaii, USA, Chair Gary S. Baker, CA, Deloitte & Touche, Canada Dan Casciano, CISA, Ernst & Young LLP, USA Steven De Haes, University of Antwerp Management School, Belgium Peter De Koninck, CISA, CFSA, CIA, SWIFT SC, Belgium Rafael Eduardo Fabius, CISA, República AFAP SA, Uruguay Urs Fischer, CISA, CIA, CPA (Swiss), Swiss Life, Switzerland Erik Guldentops, CISA, CISM, University of Antwerp Management School, Belgium Gary Hardy, IT Winners, South Africa Jimmy Heschl, CISA, CISM, KPMG, Austria Debbie A. Lew, CISA, Ernst & Young LLP, USA Maxwell J. Shanahan, CISA, FCPA, Max Shanahan & Associates, Australia Dirk Steuperaert, CISA, PricewaterhouseCoopers LLC, Belgium Robert E. Stroud, CA Inc., USA

Panelul consultativ ITGI Ronald Saull, CSP, Great-West Life Assurance and IGM Financial, Canada, Chair Roland Bader, F. Hoffmann-La Roche AG, Switzerland Linda Betz, IBM Corporation, USA Jean-Pierre Corniou, Renault, France Rob Clyde, CISM, Symantec, USA Richard Granger, NHS Connecting for Health, UK Howard Schmidt, CISM, R&H Security Consulting LLC, USA Alex Siow Yuen Khong, StarHub Ltd., Singapore Amit Yoran, Yoran Associates, USA

Sponsorii şi companiile afiliate ITGI ISACA chapters American Institute for Certified Public Accountants ASIS International The Center for Internet Security Commonwealth Association of Corporate Governance FIDA Inform Information Security Forum The Information Systems Security Association Institut de la Gouvernance des Systèmes d’Information Institute of Management Accountants ISACA ITGI Japan Solvay Business School University of Antwerp Management School Aldion Consulting Pte. Lte. CA Hewlett-Packard IBM LogLogic Inc. Phoenix Business and Systems Process Inc. Symantec Corporation Wolcott Group LLC World Pass IT Solutions

COBIT 4.1


CUPRINS

Prezentare Generală .......................................................................................................................... 7

Cadrul de Referinţă COBIT ............................................................................................................... 9

Planificare și Organizare ................................................................................................................ 31

Achiziție și Implementare ............................................................................................................... 75

Furnizare și Suport ........................................................................................................................ 103

Monitorizare și Evaluare .............................................................................................................. 155

Anexa I – Tabelele cu legăturile dintre obiective şi procese................................................. 171

Anexa II – Alinierea proceselor IT cu domeniile de interes ale guvernării IT, COSO,

resursele IT și criteriile informațiilor din COBIT ................................................. 175

Anexa III – Model de Maturitate pentru Controlul Intern ....................................................... 177

Anexa IV – COBIT 4.1 Principalul Material Referențiat ......................................................... 179

Anexa V – Comparație între COBIT ediția a 3-a și COBIT 4.1 ............................................... 181

Anexa VI – Abordarea cercetării-dezvoltării ........................................................................... 189

Anexa VII – Glosar de Termeni ................................................................................................ 191

Anexa VIII – COBIT și produse conexe ...................................................................................... 195

Opiniile dumneavoastră sunt bine venite. Pentru comentarii vă rugăm să vizitați www.isaca.org/cobitfeedback

COBIT 4.1


Pagină intenționat liberă stânga

COBIT 4.1


PREZENTARE GENERALĂ

Pentru multe companii, informaţiile şi tehnologia pe care acestea se sprijină reprezintă cele mai valoroase active, dar adesea cel mai puţin înţelese. Companiile de succes recunosc beneficiile tehnologiilor informaţionale şi le folosesc pentru a aduce valoare beneficiarilor săi. De asemenea, aceste companii, înţeleg şi gestionează riscurile asociate tehnologiilor, cum ar fi creşterea cerinţelor de respectare a reglementărilor şi a dependenţei critice a proceselor economice de tehnologia informaţiei.

Nevoia de a avea asigurări cu privire la valoarea tehnologiei informaţiei, managementul riscurilor asociat acestor tehnologii şi cerinţele sporite pentru controlul asupra informaţiilor, sunt acum privite ca un element cheie al guvernării companiilor. Valoare, risc şi control constituie nucleul guvernării IT (Tehnologii Informaţionale).

Guvernarea IT este responsabilitatea directorilor şi a consiliului de administraţie şi este formată din conducerea, structurile organizatorice şi procesele care oferă asigurări că tehnologiile informaţionale susţin şi extind strategiile şi obiectivele organizaţiei.

În plus, guvernarea IT integrează şi instituţionalizează bune practici pentru a se asigura că tehnologia informaţiei sprijină obiectivele economice. Guvernare IT permite organizaţiei să profite din plin de informaţiile deţinute, maximizând beneficiile, capitalizând oportunităţi şi obţinând avantaje competitive. Aceste rezultate necesită un cadru de referinţă pentru asigurarea controlului asupra tehnologiilor informaţiei care să corespundă şi să sprijine atât Committee of Sponsoring Organisations of the Treadway Commission’s (COSO’s) Internal Control—Integrated Framework, dezvoltat de către Committee of Sponsoring Organizations (COSO), cadru de referinţă pentru controlul intern, general acceptat pentru guvernarea întreprinderilor şi managementul riscurilor, cât şi alte cadre asemănătoare.

Organizaţiile ar trebui să satisfacă, atât în ceea ce priveşte informaţiile cât şi celelalte active, cerinţe de calitate, fiduciare şi de securitate. Managementul ar trebui să optimizeze utilizarea resurselor IT disponibile: aplicaţii, informaţii, infrastructură şi resurse umane. Pentru a-şi îndeplini aceste responsabilităţi, precum şi pentru realizarea obiectivelor, managementul ar trebui să înţeleagă statutul arhitecturii IT şi să decidă ce guvernare şi control ar trebui să ofere.

Control Objectives for Information and related Technology (COBIT®) , oferă un set de bune practici prin intermediul unui cadru de referinţă bazat pe domenii şi procese, prezentând activităţile de o manieră logică, uşor de gestionat. Bunele practici prezente în COBIT reprezintă consensul experţilor din industrie. Aceste practici se concentrează mai mult pe control şi mai puţin pe execuţie. Aceste practici vor ajuta la optimizarea investiţiilor IT, vor asigura livrarea serviciilor şi vor furniza un referenţial pe baza căruia se va judeca atunci când lucrurile nu merg bine.

Pentru a asigura succesul tehnologiei în ceea ce priveşte cerinţele afacerii, managementul ar trebui să pună în practică un sistem de control intern sau un cadru de referinţă. Controalele prezentate în cadrul de referinţă COBIT contribuie la aceste nevoi prin:

• Realizarea unei legături între IT şi cerinţele afacerii. • Organizarea activităţilor IT într-ul model bazat pe procese, general acceptat. • Identificarea principalelor resurse IT ce trebuie extinse. • Definirea obiectivelor controlului ce trebuie avute în vedere de management.

Orientarea spre partea economică a COBIT constă în legătura între obiectivele afacerii şi obiectivele IT, furnizarea de metrici/indicatori şi modele de maturitate pentru a cuantifica realizarea acestora, precum şi identificarea responsabilităţilor legate de afacere şi a responsabililor de procese IT.

Orientarea COBIT pe procese este ilustrată de un model care împarte IT în patru domenii şi 34 de procese, în conformitate cu zonele de responsabilităţi pentru planificarea, dezvoltarea, utilizarea şi monitorizarea IT, oferind un punct de vedere final asupra IT. Conceptele cu privire la arhitectura întreprinderii ajută la identificarea resurselor esenţiale pentru asigurarea succesului procesului, cum ar fi aplicaţiile, informaţiile, infrastructura şi resursele umane.

Pe scurt, pentru a oferi informaţiile de care o companie are nevoie pentru atingerea obiectivelor sale, resursele IT trebuie să fie gestionate de un set de procese natural grupate.

Cum poate o întreprindere să controleze IT, astfel încât acestea să ofere informaţiile de care organizaţia are nevoie? Cum pot fi gestionate riscurile şi securizate resursele IT de care este atât de dependentă? Cum poate o întreprindere să se asigure că IT îşi atinge obiectivele şi sprijină afacerea?

În primul rând, managementul are nevoie de obiective ale controlului care să definească obiectivul final de punere în aplicare a politicilor, planurilor şi a procedurilor, precum şi structurile organizatorice concepute pentru a oferi o asigurare rezonabilă în ceea ce priveşte:

• Atingerea obiectivelor economice; • Prevenirea sau detectarea şi corectarea evenimentelor neprevăzute;

PREZENTARE GENERALĂ


În al doilea rând, în mediile complexe de astăzi, managementul se află într-o căutare continuă de informaţii, condensate şi obţinute în timp util, pentru a lua decizii dificile, dar cu rapiditate şi succes cu privire la valoare, risc şi control. Ce ar trebui să fie măsurat şi cum? Organizaţiile au nevoie de o unitate de măsură obiectivă asupra stadiului de dezvoltare şi îmbunătăţirile de care au nevoie, fiind nevoite să pună în aplicare un instrument de management pentru a monitoriza aceste îmbunătăţiri. Figura nr. 1 prezintă câteva întrebări tradiţionale şi instrumente de gestionare a informaţiilor utilizate pentru a găsi răspunsuri, dar aceste tablouri de bord au nevoie de indicatori, indicatorii au nevoie de unităţi de măsură iar evaluările comparative au nevoie de o scală de evaluare pentru asigurarea comparaţiilor.

Un răspuns la aceste cerinţe de determinare şi de monitorizare a adecvării şi performanţelor controalelor IT este dat de definiţiile COBIT: • Analiza comparativă a performanţei şi capabilităţii unui proces IT este exprimată sub forma unui model de maturitate

derivat din Software Engineering Institute’s Capability Maturity Model (CMM) • Obiectivele şi indicatorii unui proces IT definesc şi cuantifică rezultatele şi performanţa acestuia pe baza principiilor

tablourilor cu indicatori agregaţi dezvoltate de Robert Kaplan şi David Norton. • Obiectivele activităţii pentru a ţine procesele sub control, pe baza controalelor COBIT.

Evaluarea capabilității proceselor pe baza modelelor de maturitate COBIT este un element cheie al punerii în aplicare a guvernării IT. După identificarea proceselor şi controalelor IT considerate critice, modelele de maturitate permit identificarea lacunelor capabilităţilor şi argumentarea acestora în faţa managementului. Planurile de acţiune pot fi apoi dezvoltate pentru a aduce aceste procese, până la nivelul dorit de capabilitate.

În concluzie, COBIT sprijină guvernarea (Figura nr. 2) oferind un cadru de referinţă ce asigură că: • Tehnologiile sunt aliniate cu afacerea. • Tehnologiile uşurează procesele economice şi maximizează beneficiile. • Resursele sunt utilizate cu responsabilitate. • Riscurile IT sunt gestionate în mod corespunzător.

Măsurarea performanţelor este esenţială pentru guvernarea IT. Aceasta este oferită de COBIT şi include stabilirea şi monitorizarea unor obiective cuantificabile cu privire la ceea ce procesele IT trebuie să ofere (rezultatul procesului), precum şi modul în care se livrează (capabilităţile şi performanţa procesului). Multe studii au identificat că lipsa de transparenţă a costurilor asociate IT, valorii şi a riscurilor este unul dintre cei mai importanţi factori ce afectează guvernarea IT. În timp ce contribuţia altor zone de interes este clară, transparenţa este obţinută în primul rând prin măsurarea performanţei.

Figura nr. 2 – Zonele de interes pentru Guvernarea IT

• Alinierea strategică se concentrează pe asigurarea legăturii dintre procesele economice şi planurile IT, definind, menţinînd şi validînd valoarea propusă de IT;

• Furnizarea valorii se concentrează pe executarea propunerii de valorizare pe tot parcursul ciclului de livrare, asigurându-se că acesta oferă avantajele promise în conformitate cu strategia adoptată;

• Managementul resurselor are în vedere investiţiile optime în, şi managementul corespunzător al resurselor IT critice: aplicaţii, informaţii, infrastructură şi resurse umane. Aspectele principale vizează optimizarea cunoaşterii şi a infrastructurii

• Managementul riscurilor implică gradul de conştientizare a riscurilor de către managerii superiori, o înţelegere clară a apetenţei întreprinderii faţă de risc, înţelegerea cerinţelor de conformitate, de transparenţă cu privire la riscuri;

• Măsurarea performanţelor urmăreşte şi monitorizează implementarea strategiei, finalizarea proiectului, utilizarea resurselor, performanţa procesului şi livrarea de servicii, utilizând, de exemplu, tablourile cu indicatori agregaţi, care traduc strategia în acţiune pentru a atinge obiective măsurabile dincolo de contabilitatea convenţională;

Figura nr. 1 – Managementul Informaţiilor

COBIT 4.1


Domeniile de interes ale guvernării IT descriu subiectele pe care conducerea executivă trebuie să le abordeze pentru a guverna IT din cadrul organizaţiei. Managementul la nivel operaţional foloseşte procese cu scopul de a organiza şi administra activităţile IT. COBIT oferă un model al proceselor generice ce prezintă toate procesele identificate în mod normal la nivelul funcţiilor IT, oferind în acelaşi timp un model comun de referinţă ce poate fi înţeles atât de către managerii de la nivelul operaţional al IT cât şi de managerii din zona economică. Modelul proceselor COBIT a fost aliniat domeniilor de guvernare IT (a se vedea Anexa II, Alinierea proceselor IT cu domeniile de interes al Guvernării IT, COSO, Resursele IT COBIT şi Criterii pentru Informaţiile COBIT), oferind o punte de legătură între ceea ce managerii operaţionali trebuie să execute şi ce doresc directorii să guverneze.

Pentru a realiza o guvernare eficientă, directorii impun punerea în aplicare a controalelor de către managerii de la nivel operaţional cu ajutorul unui cadru de referinţă al controlului definit pentru toate procesele IT. Obiectivele controlului IT din cadrul COBIT sunt organizate pe procese IT; prin urmare, cadrul de referinţă oferă o legătură clară între cerinţele de guvernare IT, procesele IT şi controalele IT.

COBIT este axat pe ceea ce este necesar pentru managementul şi controlul adecvat al IT, şi este poziţionat la vârful piramidei manageriale. COBIT a fost aliniat şi armonizat cu standarde detaliate şi bune practici IT (a se vedea Anexa IV, COBIT 4.1 - Referenţial principal). COBIT acţionează ca un integrator al acestor materiale sintetizând obiectivele principale sub umbrela unui singur cadru de referinţă ce are legătură în acelaşi timp cu guvernarea şi a cerinţelor afacerii.

COSO (şi alte cadre similare) este în general acceptat ca un cadru de referinţă pentru controlul intern al întreprinderilor. COBIT este cadrul de lucru general acceptat pentru controlul intern al IT.

Produsele COBIT au fost organizate pe trei niveluri (Figura nr. 3) şi au fost concepute pentru a sprijini: • managementul executiv şi

consiliile directoare • managementul IT şi managerii

proceselor economice • profesioniştii din domeniul

guvernării, asigurării controlului şi securităţii IT

Pe scurt, produsele COBIT includ: • Board Briefing on IT

Governance, 2nd Edition - ajută managerii executivi să înţeleagă de ce este importantă guvernarea IT, care sunt problemele sale şi care sunt responsabilităţile lor cu privire la managementul IT

• Ghiduri pentru management / modele de maturitate - Ajută la atribuirea responsabilităţilor, măsurarea performanţelor, precum şi referenţierea şi eliminarea lacunele legate de capacitate

• Cadrele de referinţă – organizează obiectivele guvernării IT şi bunele practici pe domenii şi procese IT şi le pun în corespondenţă cu cerinţele economice

• Obiectivele controlului - oferă un set complet de cerinţe la nivel înalt care urmează să fie luate în considerare de către conducere pentru controlare eficientă a fiecărui proces IT

• IT Governance Implementation Guide Using COBIT ® and Val IT 2nd Edition - oferă un itinerar generic ce trebuie parcurs pentru punerea în aplicare a guvernării IT utilizând COBIT şi Val ITTM

• COBIT® Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition - oferă indicaţii cu privire la controalele ce trebuie puse în aplicare şi mijloacele de punere în aplicare

• IT Assurance Guide: Using COBIT ®— Oferă îndrumări cu privire la modul în care COBIT poate fi folosit pentru a sprijini diferite activităţi de obţinere de asigurări împreună cu sugestii privind paşii de testare a proceselor şi IT şi obiectivelor controlului

Diagrama de conţinut COBIT din Figura nr. 3 prezintă publicului ţintă, întrebările privind guvernarea IT şi produsele, aplicabile în general, care ar oferi răspunsuri la acele întrebări. De asemenea există produse derivate, pentru scopuri specifice, pentru domenii cum ar fi securitatea sau pentru organizaţii cu activităţi specifice.

Figura nr. 3 – Diagrama de conţinut COBIT

Prezentare generală


Toate aceste componente COBIT interrelaţionează, acordând sprijin guvernării, managementului, controlului şi nevoilor unor categorii diversele de public de a obţine asigurări, aşa cum se arată în Figura nr. 4.

Figura nr. 4 – Relaţile dintre componentele COBIT

COBIT este un cadru de referinţă şi un instrument de sprijin ce permite managerilor să elimine decalajele în ceea ce priveşte cerinţele de control, problemele tehnice şi riscurile economice şi să comunice acest nivel de control tuturor părţilor interesate. COBIT permite dezvoltarea unor politici clare şi a unor bune practici pentru controlul IT în întreaga organizaţie. COBIT este actualizat în mod continuu şi armonizat cu alte standarde şi ghiduri. Prin urmare, COBIT a devenit un integrator de bune practici şi cadru de referinţă pentru guvernarea IT care ajută la înţelegerea şi gestionarea riscurilor şi a beneficiilor asociate tehnologiilor informaţionale. Structurarea pe procese şi abordarea orientată pe procese economice oferă un punct de vedere complet al IT şi al deciziilor ce trebuie luate în legătură cu acestea.

Beneficiile rezultate în urma punerii în aplicare a COBIT, ca un cadru de referinţă pentru IT, includ: • O mai bună aliniere a IT, bazată pe accentul pus pe procesele economice. • Un punct de vedere, pe înţelesul managementului, asupra ceea ce fac tehnologiile. • Roluri şi responsabilităţi clare, bazate pe procese. • Acceptabilitate generală din partea terţilor şi a organismelor cu atribuţii de reglementare. • Partajarea cunoştinţelor între toate părţile interesate, pe baza unui limbaj comun. • Îndeplinirea cerinţelor COSO cu privire la mediul controlului în cadrul IT.

În continuare, acest document oferă o descriere a cadrului de referinţă COBIT şi a componentelor sale de bază, organizat pe cele 4 domenii COBIT şi cele 34 procese IT. Acesta poate fi considerat un manual de referinţă pentru toate celelalte ghiduri COBIT. De asemenea sunt prezentate mai multe anexe utile.

Informaţii complete şi actualizate cu privire la COBIT şi produsele conexe, inclusiv instrumente online, ghiduri de implementare, studii de caz, buletine informative şi materiale didactice pot fi găsite la adresa www.isaca.org/cobit.

COBIT 4.1


CADRUL DE REFERINŢĂ COBIT

Misiunea COBIT: Cercetarea, dezvoltarea, publicarea şi promovarea unui cadru de referinţă pentru guvernarea IT, autorizat, actualizat, acceptat la nivel internaţional pentru a fi adoptat de către întreprinderi şi utilizat în activitatea cotidiană a managerilor, profesioniştilor IT şi profesioniştilor în furnizarea de asigurări.

NEVOIA UNUI CADRU DE REFERINłĂ PENTRU GUVERNAREA IT Un cadru de referinţă al controlului pentru guvernarea IT defineşte motivele pentru care este nevoie de guvernare IT, părţile interesate/beneficiarii şi ceea ce este necesar pentru a realiza guvernarea.

De ce Top managementul realizează din ce în ce mai mult impactul semnificativ pe care informaţiile îl pot avea asupra succesului întreprinderii. Managementul se aşteaptă la o înţelegere sporită asupra modului în care este exploatată tehnologia informaţională şi probabilitatea ca aceasta să aibă o influenţă pozitivă asupra avantajului competitiv. În special, top managementul trebuie să ştie dacă informaţia este gestionată de către organizaţie astfel încât aceasta:

• Probabil îşi va atinge obiectivele. • Este suficient de flexibilă pentru a învăţa şi adapta. • Gestionează judicios riscurile cu care se confruntă. • Recunoaşte în mod adecvat oportunităţile şi acţionează în consecinţă.

Întreprinderile de succes înţeleg riscurile şi exploatează beneficiile IT cu scopul de a găsi modalităţi pentru: • Alinierea strategiei IT cu strategia afacerii/organizaţiei. • Asigurarea acţionarilor şi a beneficiarilor cu privire la respectarea unui "standard de diligenţă” corespunzător pentru

reducerea riscurilor IT. • Diseminarea în cascadă a strategiei şi obiectivelor organizaţiei. • Obţinerea de valoare din investiţiile IT. • Furnizarea de structuri organizatorice care să faciliteze punerea în aplicare a strategiei şi a obiectivelor. • Crearea unor relaţii organizatorice constructive şi a unei comunicări eficiente atât între procesele economice şi IT, precum şi

cu partenerii externi. • Măsurarea performanţei IT.

Întreprinderile nu pot asigura eficienţa cerinţelor guvernării şi a celor economice fără adoptarea şi punerea în aplicare a unui cadru de referinţă pentru controlul şi guvernarea IT, cadru care să-i:

• Asigure o legătură cu cerinţele afacerii. • Asigure transparenţa performanţelor comparativ cu aceste cerinţe. • Permită organizarea activităţilor într-un model acceptat, bazat pe procese. • Identificarea resurselor ce trebuie controlate. • Definirea obiectivelor de control pe care managementul trebuie să le aibă în vedere.

Mai mult, guvernarea şi cadrele de referinţă pentru control devin parte a bunelor practici de management IT şi sunt în acelaşi timp un stimulent pentru stabilirea guvernării IT şi asigurarea conformităţii cu cerinţele legale în continuă dezvoltare.

Bunele practici în IT au devenit importante datorită unui număr de factori: • Managerii şi consiliile de administraţie solicită o rată de recuperare mai bună a investiţiilor în IT, de exemplu că IT

corespunde nevoilor afacerii şi sporeşte valoarea părţilor interesate. • Îngrijorarea faţă de nivelul, în general, tot mai mare a cheltuielilor cu IT. • Necesitatea de a îndeplini cerinţele de reglementare a controalelor IT, în domenii cum ar fi viaţa privată şi raportarea

financiară (de exemplu, Legea Sarbanes-Oxley din USA, Basel II), precum şi în sectoare specifice, cum ar fi finanţe, industria farmaceutică sau asistenţa medicală.

• Selecţia furnizorilor de servicii şi gestionarea achiziţiilor de servicii externalizate. • Creşterea complexităţii riscurilor IT, cum ar fi securitatea reţelei. • Iniţiativele de guvernare IT ce includ adoptarea unor cadre de control şi de bune practici cu scopul de a ajuta la

monitorizarea şi îmbunătăţirea activităţilor IT critice pentru a creşte valoarea afacerii şi a reduce riscul economic. • Nevoia de a optimiza costurile prin respectarea, acolo unde este posibil, a unor abordări mai degrabă standardizate decât

special dezvoltate. • Maturitate în creştere şi acceptarea pe scară largă a cadrelor de referinţă, cum ar fi COBIT, IT Infrastructure Library (ITIL),

seria ISO 27000 privind securitatea informaţiilor, standardele de calitate ISO 9001: 2000 Quality Management Systems—Requirements, Capability Maturity Model® Integration (CMMI), Projects in Controlled Environments 2 (PRINCE2) şi A Guide to the Project Management Body of Knowledge (PMBOK).

• Nevoia întreprinderilor de a evalua modul în care acestea funcţionează, comparativ cu standardele general acceptate şi sau alte companii (benchmarking).

Cadrul de referință COBIT


Figura nr. 5 - Principiile de bază ale COBIT

Cine O guvernare şi un cadru de referinţă pentru control trebuie să deservească o varietate de beneficiari, atât interni cât şi externi, fiecare dintre aceştia având nevoi specifice: • Părţi interesate interne, ce au interesul de a genera valoare adăugată din investiţiile în IT:

- cei care decid asupra a investiţiilor; - cei care decid asupra cerinţelor; - cei care folosesc serviciile IT;

• Părţi interesate, interne sau externe, ce oferă servicii IT: - cei care conduc IT şi procesele asociate; - cei ce dezvoltă capabilităţi; - cei care operează serviciile;

• Părţi interesate, interne sau externe, ce au responsabilităţi legate de control sau riscuri: - cei cu responsabilităţi legate de securitate, viaţa privată sau riscuri; - cei care îndeplinesc funcţii legate de conformitate; - cei care solicită sau furnizează servicii de asigurare.

Ce Pentru a satisface cerinţele enumerate în secţiunea precedentă, un cadru de referinţă pentru guvernarea şi controlul IT ar trebui:

• Să ofere o concentrare economică pentru a permite alinierea obiectivelor IT cu cele economice.

• Să instituie orientarea pe procese pentru a defini domeniul de aplicare şi gradul de acoperire, cu o structură bine definită care să permită o navigare uşoară prin conţinut.

• Să fie general acceptat, în concordanţă cu bunele practici şi standarde şi independent tehnologic.

• Să ofere un limbaj comun, cu un set de termeni şi definiţii, care sunt, în general, uşor de înţeles de către toate părţile interesate.

• Să ajute la îndeplinirea cerinţele de reglementare fiind în concordanţă cu standardele general acceptate de guvernare corporativă (de exemplu, COSO), precum şi controalele IT adoptate de autorităţile de reglementare şi auditorii externi.

CUM ACOPERĂ COBIT ACESTE NEVOI Ca răspuns la nevoile descrise în secţiunea anterioară, cadrul de referinţă COBIT a fost creat având ca principale caracteristici concentrarea pe componenta economică, orientat pe procese, bazat pe controale şi conducerea prin indicatori.

Concentrarea pe componenta economică Tema principală a COBIT este orientare pe componenta economică. El este proiectat nu numai pentru a fi adoptat de către furnizorii de servicii IT, utilizatori şi auditori ci şi, mult mai important, pentru a oferi ghiduri complete pentru managerii şi responsabilii de procese economice. Cadrul de referinţă COBIT se bazează pe următorul principiu (Figura nr. 5):

Pentru a furniza informaţiile de care o întreprindere are nevoie pentru a-şi atinge obiectivele, întreprinderea trebuie să investească în şi să-şi gestioneze şi controleze resursele IT, utilizând un set structurat de procese pentru a furniza serviciile care livrează informaţiile solicitate de întreprindere.

Gestionarea şi controlul informaţiilor se află în centrul cadrului de referinţă COBIT şi ajută la asigurarea alinierii cu cerinţele afacerii.

CRITERIILE COBIT PENTRU INFORMAŢII

Pentru a satisface obiectivele afacerii, informaţiile trebuie să se conformeze anumitor criterii de control pe care COBIT le referenţiază sub forma de cerinţe ale afacerii pentru informaţii. Pe baza cerinţelor generale de calitate, fiduciare şi cerinţele de securitate, au fost definite şapte criterii distincte pentru informaţii, după cum urmează: • Eficacitatea impune ca informaţiile să fie relevante şi pertinente pentru procesul economic, precum şi să fie livrate într-un timp

util şi de o manieră corectă, coerentă şi uşor de utilizat. • Eficienţa se referă la furnizarea de informaţii prin utilizarea optimă (cele mai productive si economice) a resurselor. • Confidenţialitatea se referă la protejarea informaţiilor sensibile împotriva divulgării neautorizate.

COBIT 4.1


Figura nr. 6 - Definirea obiectivelor IT şi a arhitecturiii întreprinderii pentru IT

• Integritatea, se referă la acurateţea şi exhaustivitatea informaţiilor, precum şi la valabilitatea acestora, în conformitate cu valorile

şi aşteptările companiei. • Disponibilitatea impune ca informaţiile să fie disponibile atunci când procesul economic o cere, la momentul actual sau în viitor.

De asemenea, se referă la protejarea resurselor necesare şi a capacităţilor asociate. • Conformitatea se referă la conformitate cu legislaţia şi acordurile contractuale la care este supus procesul economic, de exemplu

atât criteriile externe impuse cât şi politicile interne. • Fiabilitatea se referă la furnizarea de informaţii adecvate managementului pentru a opera entitatea şi pentru a-şi exercita

responsabilităţile fiduciare şi de guvernare.

OBIECTIVE ECONOMICE ŞI OBIECTIVE IT

În timp ce criteriile pentru informaţii oferă o metodă generică pentru definirea cerinţelor afacerii, definirea unui set generic de obiective economice şi IT oferă o bază mai rafinată pentru stabilirea cerinţelor economice şi dezvoltarea indicatorilor ce permit cuantificarea acestor obiective. Orice întreprindere utilizează IT pentru a facilita iniţiativele economice, iar acestea pot fi reprezentate ca obiective economice pentru IT. Anexa I oferă o matrice cu obiective economice generice şi obiective IT şi arată modul în care acestea se aliniază cu criteriile pentru informaţii. Aceste exemple generice pot fi folosite ca un ghid pentru a determina cerinţele economice specifice, obiectivele şi indicatorii întreprinderii.

Dacă IT trebuie să livreze servicii de succes pentru a sprijini strategia întreprinderii, atunci ar trebui să existe o responsabilitate şi o direcţie clare din partea economică (clientul), precum şi o înţelegere clară a ceea ce trebuie să fie livrat şi cum trebuie livrat de către IT (furnizorul). Figura nr. 6 ilustrează modul în care strategia ar trebui să fie tradusă de către întreprindere în funcţie de obiectivele legate de iniţiativele IT (obiectivele economice pentru IT). Aceste obiective ar trebui să conducă la o definire clară a obiectivelor proprii IT (obiectivele IT), care, la rândul lor, definesc resursele şi capabilităţile IT (arhitectura întreprinderii pentru IT) necesare pentru a realiza cu succes componenta de IT a strategiei întreprinderii1.

Odată ce obiectivele ce trebuie aliniate au fost definite, acestea trebuie să fie monitorizate pentru a se obţine asigurări că ceea ce se livrează la acel moment corespunde aşteptărilor. Acest lucru se realizează prin indicatori derivaţi din obiective şi care sunt sumarizaţi într-o fişa de punctaje IT (scorecard).

Pentru ca un client să înţeleagă obiectivele şi fişele de punctaje IT , toate aceste obiective şi indicatori asociaţi ar trebui să fie exprimaţi în termeni economici, cu semnificaţie pentru client. Acest lucru, combinat cu o alinierea eficientă a ierarhiei obiectivelor, va asigura că afacerea poate confirma că IT este, probabil, capabil să sprijine obiectivele întreprinderii.

Anexa I, Tabelele cu legăturile dintre obiective şi procese, oferă un punct de vedere general asupra modului în care obiectivele economice generice se asociază cu obiectivele IT, procesele IT şi criteriile pentru informaţii. Aceste tabele ajută la demonstrarea domeniului de aplicare a COBIT şi relaţia economică generală dintre COBIT şi stimulii organizaţiei. Aşa după cum se observă în Figura nr. 6, aceşti determinanţi provin atât de la nivelul administrării afacerii cât şi de la nivelul guvernării acesteia, primul nivel concentrându-se mai mult pe funcţionalitate şi viteza de livrare, iar cel din urmă pe rentabilitate, randamentul investiţiei (ROI) şi conformitate.

1 Trebuie remarcat faptul că definirea şi punerea în aplicare a unei arhitecturi de întreprindere va crea de asemenea obiective TI care să contribuie la

obiectivele economice dar care vor fi derivate în mod direct din acestea

Cadrul de referință COBIT


Figura nr. 7 — Managementul resurselor IT pentru a atinge obeictivele IT

Figura nr. 8 - Legăturile dintre cele 4 domenii COB IT

RESURSELE IT

Funcția IT îşi atinge aceste scopuri printr-o serie bine definită de procese care implică aptitudinile personalului şi infrastructura tehnologică pentru a rula aplicaţii automatizate ce deservesc derularea afacerii, folosind pârghii informaţionale specifice afacerii. Aceste resurse, împreună cu procesele, constituie arhitectura întreprinderii dedicată IT, descrisă în Figura nr. 6.

Pentru a răspunde cerinţelor afacerii din perspectiva tehnologiilor informaţionale necesare, organizaţia este nevoită să investească în resursele corespunzătoare pentru a crea capacitatea tehnică adecvată (cum ar fi, un sistem integrat de gestiune a resurselor întreprinderii - ERP), necesară pentru a susţine o capabilitate aferentă afacerii (cum ar fi, crearea unui sau participarea într-un lanţ de furnizori) care să permită astfel obţinerea rezultatului final dorit (de exemplu, creşterea vânzărilor şi beneficii financiare).

Resursele IT identificate în COBIT pot fi definite după cum urmează: • Aplicaţiile sunt sistemele utilizator automatizate şi procedurile manuale care procesează informaţiile. • Informaţiile reprezintă datele, de toate tipurile, intrate, procesate şi rezultate din sistemele informaţionale, indiferent de forma

sub care sunt utilizate în derularea afacerii • Infrastructura este formată din tehnica şi tehnologiile, rutinele, care permit procesarea şi rularea aplicaţiilor (ex., echipamente

hardware, sisteme de operare, de management al bazelor de date, reţele, multimedia şi întreg mediul de suport în care se găsesc). • Oamenii reprezintă, în fapt, întreg personalul necesar pentru a planifica, organiza, achiziţiona, implementa, furniza, susţine,

monitoriza şi evalua sistemele informaționale şi serviciile. Aceştia pot fi angajaţi permanenţi ai firmei, angajaţi temporar pe bază de contract sau funcţiile lor pot fi închiriate de pe piaţa serviciilor externalizate, după cerinţe.

Figura nr. 7 sumarizează modul în care scopurile afacerii privind IT influenţează modul în care este realizat managementul resurselor IT, de către procesele IT, pentru a atinge scopurile IT.

Orientarea spre proces COBIT defineşte activităţile legate de IT într-un model general al proceselor cu patru domenii: Planificare şi Organizare, Achiziţie şi Implementare, Furnizare şi Suport Monitorizare şi Evaluare, suprapuse pe cele patru arii tradiţionale de responsabilitate: planificare, concepere şi construire, rulare şi monitorizare. Cadrul COBIT oferă un model al proceselor şi un limbaj comun tuturor celor implicaţi în IT, persoane şi domenii asociate afacerii, dintr-o organizaţie pentru a vizualiza şi conduce activităţile legate de IT, ca unul dintre primi paşi şi dintre cei mai importanți către o bună guvernare IT. De asemenea, acest cadru permite măsurarea şi monitorizarea performanţei IT, comunicarea cu furnizorii de servicii şi adoptarea celor mai bune practici de management. Modelul proceselor susţine gestiunea per proces, şi încurajează îndatoririle şi responsabilitatea care vor fi definite.

Pentru o guvernare IT eficientă este important ca, înainte de a se trece la managementul lor, activităţile şi riscurile asociate IT-ului, să fie evaluate. După cum am menţionat, ele sunt ordonate în patru domenii de responsabilitate: planificare, concepere şi realizare, rulare şi monitorizare, iar în cadrul COBIT, expuse în Figura nr. 8, sunt denumite: • Planificare şi Organizare (PO) — direcţionează furnizarea

soluţiilor (AI) şi a serviciilor (FS). • Achiziţie şi Implementare (AI) — oferă soluţiile şi le transmite mai

departe spre a fi transformate în servicii. • Furnizare şi Suport (FS) — primeşte soluţiile şi le face utilizabile

pentru utilizatorii finali. • Monitorizare şi Evaluare (ME) — supervizează toate procesele

pentru a fi asigurat faptul că direcţiile, măsurile decise, sunt întocmai urmate spre îndeplinire.

PLANIFICARE ŞI ORGANIZARE (PO)

Acest domeniul acoperă strategia şi tacticile şi vizează identificarea celor mai potrivite căi prin care IT-ul poate contribui la îndeplinirea obiectivelor afacerii. Implementarea viziunii strategice este necesar a fi planificată, comunicată şi abordată din diverse perspective. Astfel, contribuţia vine atât dintr-un sistem de organizare corespunzătoare, cât şi din asigurarea unei infrastructuri tehnologice aferente. Când este vorba de acest domeniu, următoarele întrebări legate de management îşi aşteaptă răspunsul:

COBIT 4.1


• Strategia IT şi strategia afacerii sunt aliniate? • Atinge organizaţia un nivel optim de utilizare a resurselor disponibile? • Obiectivele IT sunt înţelese de către toţi membrii organizației? • Riscurile IT sunt cunoscute și gestionate? • Calitatea sistemelor IT răspunde în mod corespunzător nevoilor afacerii?

ACHIZIŢIE ŞI IMPLEMENTARE (AI)

În vederea realizării strategiei IT, soluţiile IT trebuie identificate, dezvoltate sau achiziţionate, dar şi implementate şi integrate proceselor afacerii. În plus, schimbările şi mentenanţa sistemelor deja existente sunt acoperite prin acest domeniu pentru a asigura continuitatea în atingerea obiectivelor economice prin aceste soluţii IT. Când este vorba de acest domeniu, următoarele întrebări legate de management îşi aşteaptă răspunsul: • Ce perspective există ca noile proiecte să ofere soluţiile care să răspundă nevoilor afacerii? • Aceste noi proiecte au şanse să fie duse la bun sfârşit, în timpul şi cu bugetul prevăzute? • Vor funcţiona, cel puţin decent, noile sisteme după implementare? • Este posibil ca schimbările să aibă loc fără a perturba operațiile curente ale afacerii/organizaţiei?

FURNIZARE ŞI SUPORT (FS)

Acest domeniu este responsabil de furnizarea efectivă a serviciilor necesare, ceea ce include furnizarea serviciilor, managementul securităţii şi a continuităţii, servicii suport pentru utilizatori şi managementul datelor şi a capabilităţilor operaţionale. Când este vorba de acest domeniu, următoarele întrebări legate de management îşi aşteaptă răspunsul: • Serviciile IT sunt furnizate în conformitate cu priorităţile afacerii? • Costurile IT sunt optimizate? • Personalul poate folosi sistemele IT în mod productiv şi în siguranţă? • Dacă, în vederea asigurării securităţii, confidenţialitatea, integritatea şi disponibilitatea sunt adecvate?

MONITORIZARE ŞI EVALUARE (ME)

De-a lungul timpului, toate procesele IT trebuie evaluate cu regularitate din perspectiva calităţii lor şi a conformităţii cu cerințele controlului. Acest domeniu se preocupă de managementul performanţei, monitorizarea controlului intern, conformarea cu legislaţia (sau/şi regulamentele) şi are în vedere şi guvernarea. Când este vorba de acest domeniu, la următoarele întrebări trebuie să se caute un răspuns: • Este măsurată performanţa IT-ului pentru a detecta problemele înainte de a fi prea târziu? • Asigură managementul eficienţa şi eficacitatea controalelor interne? • Se poate face o conexiune privind impactul performanţei IT-ului asupra ţintelor/scopurilor afacerii? • Dacă, în vederea asigurării securităţii, sunt adecvate confidenţialitatea, integritatea şi disponibilitatea

Traversând cele patru domenii, COBIT a identificat 34 de procese IT a căror utilizare este generalizată. În timp ce majoritatea întreprinderilor atribuie responsabilităţi clare privind planificarea, construirea, rularea şi monitorizarea IT-ului, dar şi aproximativ aceleaşi procese-cheie, doar puţine dintre ele au aceeaşi structură a proceselor sau aplica/ adoptă cele 34 de procese COBIT. Pentru a verifica completitudinea activităţilor şi a responsabilităţilor, COBIT pune la dispoziţie o listă completă a proceselor necesare acestui deziderat. Totuşi, nu este necesar să fie aplicabile toate, oricarei organizaţii şi, mai mult, ele pot fi chiar combinate dupa nevoile fiecărei întreprinderi. Pentru fiecare din aceste 34 de procese se face o trimitere către obiectivele afacerii şi obiectivele IT pe care le susţin. De asemenea, sunt oferite informaţii despre modul în care o pot fi măsurate, care sunt activităţile cheie şi principalele rezultatele şi în responsabilitatea cui cade asigurarea lor.

Orientare pe controale COBIT defineşte obiectivele controlului atât pentru toate cel 34 de procese, cât şi ca proces de ansamblu şi controale aferente aplicaţiilor.

PROCESELE AU NEVOIE DE CONTROALE ASOCIATE

Controlul este definit ca totalitatea politicilor, procedurilor, practicilor şi a structurilor organizaţionale proiectate să ofere o asigurare rezonabilă asupra faptului că obiectivele afacerii vor fi atinse şi evenimentele nedorite vor fi prevenite sau detectate şi corectate.

Obiectivele controlului IT oferă un set complet de cerinţe de nivel înalt care trebuie luate în considerare de către management în vederea unui control eficient al fiecărui proces IT. Ele: • Sunt afirmaţii declarative ale acţiunilor manageriale pentru a spori valoarea sau a reduce riscul. • Constau din politici, proceduri, practici şi structuri organizaţionale. • Sunt concepute spre a asigura în mod acceptabil faptul că obiectivele afacerii vor fi atinse şi evenimentele nedorite vor fi

prevenite sau detectate şi corectate.

Managementul întreprinderii trebuie să facă unele alegeri privind aceste obiective ale controlului: • Selectarea celor care sunt aplicabile. • Decizia privind cele care vor fi puse in practică. • Alegerea modului de a le implementa (frecvenţă, durată, grad de automatizare etc.). • Acceptarea riscului neimplementării celor aplicabile.

Cadrul de referinţă COBIT


Figura nr. 9 — Modelul controlului

Direcţionarea poate fi obținută din modelul standard al controlului (Figura nr. 9). Acesta urmează principiile următoarei analogii, a funcţionării unui termostat: când sistemul de încălzire (procesul) stabilește temperatura unei camere (standardul), sistemul va verifica (compara) în mod constant temperatura ambientală din cameră (controlul informaţional) şi va da un semnal (acţiune) sistemului de încălzire ca acesta să dea mai multă sau mai puţina căldură.

Managementul operaţional foloseşte procesele pentru a organiza şi administra activitățile IT curente. COBIT oferă un model general al proceselor în care sunt reprezentate toate procesele care pot fi găsite în mod uzual în funcţiile IT, oferind un model comun de referinţă, inteligibil pentru managerii operaţionali IT şi cei ai afacerii. Pentru a atinge o guvernate eficace, controalele trebuie implementate de către managerii de la nivel operaţional, folosind un cadru definit al controlului, aferent tuturor proceselor IT. Întrucât obiectivele de control IT ale COBIT sunt organizate după forma proceselor IT, cadrul de referinţă COBIT oferă corespondenţe clare între cerinţele guvernării IT, procesele IT şi controalele IT.

Fiecare dintre procesele IT definite în COBIT are o descriere a procesului şi un număr de obiective legate de controlul aferent. Văzute ca un întreg, ele sunt caracteristicile unor procese bine gestionate.

Obiectivele legate de control sunt identificate prin două caractere (abrevierea domeniului din care fac parte: PO, AI, FS şi ME), un număr al procesului şi un număr al obiectivului controlului. Fiecare proces COBIT are asociate, în afară de obiective ale controalelor, şi cerinţe generale de control, identificate prin numărul controlului de proces CPn. Pentru a avea o viziune completă a cerinţelor privind controlul, acestea trebuie avute în vedere împreună cu obiectivele de control ale proceselor.

CP1 Scopurile și obiectivele proceselor Defineşte şi comunică scopuri şi obiective ale proceselor cu respectarea principiilor SMART: specific, măsurabil, realizabil, realist,orientat spre rezultat şi posibil de realizat în timp pentru execuţia eficientă a fiecărui proces IT. Asigură corespondenţa lor cu obiectivele afacerii şi că acestea sunt susţinute de indicatori relevanţi.

CP2 Responsabilitatea procesului Stabileşte un responsabil al procesului pentru fiecare proces IT şi defineşte clar rolurile şi responsabilităţile sale. Include, de exemplu, responsabilitatea pentru proiectarea procesului, interacţiunea cu alte procese, răspunderea pentru rezultatele finale, măsurarea performanţei procesului şi identificarea oportunităţilor de îmbunătăţire.

CP3 Repetabilitatea procesului Proiectează şi stabileşte fiecare proces cheie spre a fi repetabil şi consecvent în producerea rezultatelor aşteptate. Furnizează o secvenţa logică, dar flexibilă şi scalabilă a activităţilor care vor conduce la rezultatele dorite şi este suficient de agilă pentru a face faţă excepţiilor şi urgenţelor. Utilizează procese compatibile, acolo unde e posibil, şi modifică doar acolo unde nu se poate evita acest lucru.

CP4 Roluri şi responsabilităţi Defineşte activităţile cheie şi livrabilele procesului. Atribuie şi comunică rolurile definite fără ambiguitate şi responsabilităţile pentru o execuţie eficientă şi eficace a activităţilor cheie şi pentru documentarea lor, ca şi răspunderea pentru furnizarea rezultatelor finale ale procesului .

CP5 Politici, planuri şi proceduri Defineşte şi comunică modul în care toate politicile, planurile şi procedurile care conduc un proces IT sunt documentate, revizuite, menţinute, aprobate, păstrate, comunicate şi utilizate pentru instruire. Atribuie responsabilităţile pentru fiecare din aceste activităţi şi, la momentele potrivite, revizuieşte execuţia lor corectă. Se asigură că politicile, planurile şi procedurile sunt accesibile, corecte, înţelese şi înnoite.

CP6 Îmbunătăţirea performanţei procesului Identifică un set de indicatori care oferă o privire internă asupra rezultatelor şi a performanţei procesului. Stabileşte ţinte care se reflectă în scopurile proceselor şi în indicatorii de performanţă ce permit atingerea scopurilor procesului. Defineşte modul în care datele vor fi obţinute. Compară măsurătorile cu ţintele stabilite şi acţionează, acolo unde este cazul, conform deviaţiilor constatate. Aliniază indicatorii, valorile-ţintă şi metodele cu abordarea globală cu privire la monitorizarea performanţei IT-ului.

Controalele eficace reduc riscul, cresc probabilitatea obţinerii de valoare şi îmbunătăţesc eficienţa prin diminuarea numărului de erori şi printr-o abordare manageriala consistentă. În plus, COBIT pune la dispoziţie, pentru fiecare proces, exemple relevante, dar nu prescriptive sau exhaustive, privind: • Intrări şi ieşiri generice; • Activităţi şi ghiduri privind rolurile şi responsabilităţile printr-un grafic IRCI: Însărcinat, Responsabil, Consultat, Informat; • Obiective ale activităţilor cheie (cele mai importante lucruri de făcut); • Indicatori.

COBIT 4.1


În plus faţă de specificarea controalelor necesare, responsabilul de proces trebuie să înţeleagă de ce intrări are nevoie de la alţii şi ce anume cer alţii de la procesul său. COBIT oferă exemple generice de intrări cheie şi ieşiri pentru fiecare proces, inclusiv asupra cererilor externe IT-ului. Există unele rezultate care reprezintă intrări pentru toate celelalte procese, marcate ca “TOATE” în tabelele de ieşiri, dar nu sunt menţionate ca intrări în toate procesele, specificitatea constând în faptul că includ: standarde de calitate şi cerinţe legate de indicatori, cadrul proceselor IT, documentarea rolurilor şi a responsabilităţilor, cadrul de control IT al întreprinderii, politicile IT şi rolurile şi responsabilităţile personalului.

Înţelegerea rolurilor şi a responsabilităţilor fiecărui proces este cheia unei guvernări eficace. COBIT oferă un grafic IRCI pentru fiecare proces. Responsabilitatea înseamnă -‘the buck stops here’— că aceasta este persoana care direcţionează şi autorizează o activitate.

Îndatorirea cuiva este atribuită persoanei care duce la îndeplinire sarcina. Celelalte două roluri (de consultat şi informat) asigură faptul ca toţi cei care trebuie să fie implicaţi într-un proces sunt şi îl susţin.

CONTROALELE IT ŞI CONTROALELE ECONOMICE

Sistemul controalelor interne ale unei întreprinderi produce un impact asupra IT-ului pe trei nivele: • La nivelul managementului executiv, sunt stabilite obiectivele economice, politicile, iar deciziile care se iau vizează modul în care

trebuie dezvoltate şi gestionate resursele întreprinderii pentru a executa strategia acesteia. Abordarea generală către guvernare şi control este concepută de către comitetul director şi este comunicată în întreaga întreprindere. Mediul de control IT este direcţionat prin acest set de obiective si politici de la cel mai înalt nivel.

• La nivelul proceselor afacerii, controalele sunt aplicate anumitor activităţi ale acesteia. Majoritatea proceselor economice sunt automatizate şi integrate cu sistemele de aplicaţii IT astfel că multe din controalele aferente acestui nivel sunt şi ele automatizate. Ele sunt cunoscute sub denumirea de controale ale aplicaţiilor. Totuşi, unele controale ale proceselor economice rămân a fi făcute prin proceduri manuale, cum ar fi: autorizarea tranzacţiilor, segregarea îndatoririlor, reconcilierile manuale. Astfel, controalele la nivelul proceselor economice sunt o combinaţie de controale manuale operate de afacere şi părţi automatizate din afacere şi controale ale aplicaţiilor. Ambele cad în responsabilitatea domeniului afacerii pentru a fi definite şi gestionate, deşi proiectarea şi dezvoltarea controalelor aplicaţiilor impune suportul şi implicarea funcţiei IT.

• Pentru a oferi suport proceselor afacerii, IT-ul pune la dispoziţie serviciile IT, de obicei ca un serviciu partajat între mai multe procese ale afacerii, după cum multe din procesele de dezvoltare şi procesele operaţionale ale IT-ului sunt dedicate întregii întreprinderi, iar o mare parte din infrastructura IT este furnizată ca serviciu comun (partajarea, de ex. a reţelelor, bazelor de date, sistemelor de operare). Controalele aplicate tuturor activităţilor serviciilor IT sunt cunoscute drept controale generale IT. Operarea eficientă a acestor controale generale ale IT-ului este necesară pentru ca să poată fi de încredere controalele de la nivelul aplicaţiilor. De exemplu, un management al schimbărilor defectuos poate periclita (accidental sau intenţionat) încrederea pe care o acordă verificărilor asupra integrităţii.

CONTROALE IT GENERALE ŞI CONTROALE ALE APLICAŢIILOR

Controalele generale sunt incorporate în procesele şi serviciile IT. Exemplele includ: • Dezvoltarea sistemelor • Managementul schimbării • Securitatea • Operarea la calculator

Controalele incorporate în aplicaţiile proceselor economice sunt cunoscute drept controale ale aplicaţiilor. Exemplele includ: • Completitudine • Acurateţe • Validitate • Autorizare • Separarea sarcinilor de serviciu

COBIT admite că proiectarea şi implementarea controalelor automatizate ale aplicaţiilor cade în îndatoririle IT-ului, zonă acoperită de domeniul “Achiziţie şi Implementare”, în baza nevoilor/cerinţelor afacerii definite folosind criteriile COBIT pentru informaţii, după cum este prezentat în Figura nr. 10. Managementul operaţional şi responsabilitatea asupra gestiunii controalelor aplicaţiei nu aparţine IT-ului, ci responsabililul de proces.

De aici, concluzia că responsabilitatea pentru controalele aplicaţiilor este o responsabilitate de la un capăt la altul, comună atât domeniului economic, cât şi IT-ului, dar natura acestor responsabilităţi se schimbă după cum urmează: • domeniul economic este responsabil pentru :

- Definirea corespunzătoare a cerinţelor funcţionale şi de control - Utilizarea serviciilor automatizate în mod potrivit

• IT-ul este responsabil pentru: - Automatizarea si implementarea cerinţelor funcţionale şi de control - Stabilirea elementelor de gestiune pentru a menţine integritatea controalelor aplicaţiilor

Astfel, procesele IT din COBIT acoperă controalele generale IT, dar pe cele ale aplicaţiilor le cuprinde numai sub aspectul dezvoltării lor; responsabilitatea pentru definirea şi utilizarea lor în operaţiile curente aparţine domeniului afacerii.



Figura nr. 10 - Delimitarea dintre procesele economice, controalele generale şi controalele aplicaţiilor

Lista de mai jos conţine o serie recomandată de obiective de control ale activităţilor . Sunt identificate prin “CAn”, adică “controlul aplicaţiei numărul n”. CA1 Pregătirea şi autorizarea surselor de date Asigură faptul că documentele sursă sunt pregătite de personal autorizat si calificat, folosind proceduri anterior stabilite, demonstrând o separare adecvată a îndatoririlor cu privire la generarea şi aprobarea acestor documente. Erorile şi omisiunile pot fi minimizate printr-o bună proiectare a intrărilor. Detectează erorile şi neregulile spre a fi raportate şi corectate. CA2 Colectarea surselor de date şi introducerea în sistem Stabileşte faptul că intrările (datele de intrare) au loc la timp, fiind făcute de către personal autorizat şi calificat. Corectarea şi retrimiterea datelor care au intrat în sistem în mod eronat trebuie să aibă loc fără a compromite nivelurile iniţiale de autorizare privind tranzacţiile (intrările). Când e nevoie de a reconstitui intrarea, trebuie reţinută sursa iniţială pentru o perioadă suficientă de timp. CA3 Verificări privind: acurateţea, completitudinea şi autenticitatea Asigură faptul că tranzacţiile sunt precise (exacte), complete şi valide. Validează datele introduse şi le editează sau le trimite înapoi spre a fi corectate cât mai aproape posibil de punctul de origine (provenienţă). CA4 Integritatea şi validitatea procesului Menţine integritatea şi validitatea datelor de-a lungul ciclului de procesare. Detectarea tranzacţiilor compromise din punct de vedere al erorilor nu întrerupe procesarea celor valide. CA5 Revizuirea rezultatelor, reconcilierea şi tratarea erorilor Stabileşte procedurile şi responsabilităţile asociate pentru a asigura că rezultatul este utilizat într-o manieră autorizată, distribuit destinatarului potrivit şi protejat în timpul transmiterii sale; că se produc: verificarea, detectarea şi corectarea exactităţii rezultatului; şi că informaţia oferită în rezultatul procesării este utilizată. AC6 Autentificarea şi integritatea tranzacţiilor Înainte de a transmite datele tranzacţiei de la aplicaţiile interne către funcţiile operaţionale ale afacerii (sau către exteriorul întreprinderii), trebuie verificate: destinaţia, autenticitatea sursei şi integritatea conţinutului. Menţine autenticitatea şi integritatea transmiterii sau ale transportului.

COBIT 4.1


Orientarea spre evaluare (măsurători) O nevoie de bază pentru orice întreprindere este aceea de a înţelege starea şi statutul propriilor sale sisteme IT şi de a decide asupra nivelului de management şi control ce trebuie furnizat. Pentru a decide asupra nivelului optim, managementul ar trebui să se întrebe şi răspundă la următoarea întrebare: cât de departe ar trebui să mergem şi dacă se justifică prin beneficiul obţinut, costul aferent implementării acestui nivel?

A obţine o opinie obiectivă asupra propriului său nivel de performanţă, nu este uşor. Ce trebuie evaluat şi cum? Organizaţiile au nevoie să evalueze starea în care se află şi unde anume se impune o îmbunătăţire iar, pentru aceasta, au nevoie să pună în practică un ghid de management în vederea monitorizării acestei evoluţii de îmbunătăţire.

COBIT tratează aceste aspecte oferind:

• Modele de maturitate care sa permită stabilirea unui sistem de indicatori ai performanţei şi identificarea măsurilor de perfecţionare a capabilităţii

• Ţinte ale performanţei (scopuri) şi metrici (indicatori) pentru procesele IT , prin care se demonstrează modul în care procesele susţin şi întâmpină afacerea şi scopurile IT şi modul în care pot fi utilizate în evaluarea performanţei proceselor interne, pe baza principiilor indicatorilor generali de performanţa ai activităţii (balanced scorecard).

• Scopuri ale activităţilor (ţinte) prin care este facilitată, în mod eficace, performanţa procesului.

MODELE DE MATURITATE

Managerilor seniori (directorilor generali) din întreprinderile private şi de stat, listate sau nu la bursă, li se pune din ce în ce mai mult în vedere necesitatea de a lua în considerare gradul de bună gestionare a IT-ului. Venind în sprijinul lor, studiile de caz interne (business cases) necesită dezvoltare pentru atingerea unui nivel propice de management şi control asupra structurii informaţionale. În timp ce unii susţin ca nu e un lucru benefic, ar fi bine să se aibă în vedere echilibrul dintre analiza cost-beneficiu şi următoarele aspecte conexe: • Ce fac colegii de breaslă şi cum ne poziţionăm faţă de ei? • Ce reprezintă practicile specifice sectorului de activitate acceptabile pentru noi şi şi cum ne poziţionăm faţă de ele? • În baza acestor poziţionări, putem spune că facem tot ce ne stă în putere? • Cum identificăm ce se impune a fi făcut pentru a atinge un nivel adecvat de management şi control asupra proceselor noastre IT?

Poate fi destul de dificil de adus răspunsuri satisfăcătoare la aceste întrebări. Managementul IT se află într-o continuă căutare a indicatorilor de performanţă şi a instrumentelor de auto-evaluare, ca răspuns la nevoia de a şti ceea ce e de făcut într-o manieră eficientă. Pornind de la procesele COBIT, responsabilul de proces ar trebui să fie în măsură să atingă, incremental, indicatori în conformitate cu obiectivele de control aferente acelui proces. Aceasta răspunde la trei nevoi: 1. evaluare relativă a stadiului în care se afla întreprinderea 2. modalitate de a decide eficient unde vrea sa ajungă aceasta 3. un instrument pentru compararea progresului cu scopul propus

Modelarea maturităţii pentru managementul şi controlul asupra proceselor IT se bazează pe o metodă de evaluare a organizaţiei, astfel încât să poată fi evaluat de la un nivel de maturitate inexistent (0) la optimizat (5). Această abordare este derivată din modelul de maturitate dezvoltat de către Software Engineering Institute (SEI) folosit pentru evaluarea capabilităţilor în dezvoltare software. Deşi conceptele folosite în abordarea SEI au fost urmate, implementarea în cazul COBIT diferă considerabil de modelul SEI care a fost orientat spre principiile de inginerie software, organizaţiile căutînd excelenţa în acest domeniu şi evaluarea formală a nivelurilor de maturitate, astfel încât dezvoltatorii software să poată fi "certificaţi". În COBIT, pentru scala de maturitate se oferă o definiţie generică, care este similară cu CMM, dar interpretată prin natura proceselor de management IT. Pornind de la această scală este oferit un model generic pentru fiecare din cele 34 procese. Indiferent de model, scalele de evaluare nu trebuie să fie prea granulare deoarece sistemul ar ajunge să fie greu de utilizat, să ofere o precizie care nu este justificată, deoarece, în general, scopul este de a identifica zonele cu probleme şi stabilirea priorităţilor pentru îmbunătăţiri. Scopul nu este de a evalua nivelul de respectare a obiectivelor de control.

Nivelurile de maturitate sunt proiectate ca profile de procese IT pe care o organizaţie le-ar recunoaşte ca descrieri ale posibilelor stări curente sau viitoare ale sale. Intenţia nu este ca ele să devină un model al pragurilor ce trebuie atinse, în care nu se poate trece către următor nivel superior fără îndeplinirea tuturor condiţiilor de pe nivelul inferior. Modelele maturităţii din COBIT, spre deosebire de abordarea originală SEI CMM, nu îşi propun să măsoare precis nivelurile de maturitate sau să încerce să certifice faptul că un anumit nivel a fost atins. O evaluare de tip COBIT are probabilitatea de a conduce la crearea unui profil pentru care condiţii relevante pentru mai multe niveluri de maturitate vor fi atinse, după cum ne arată graficul-exemplu din Figura nr. 11.



Figura nr. 12 — Reprezentarea grafică a modelelor de maturitate

Acest lucru se întâmplă deoarece, atunci când se folosesc modelele COBIT pentru evaluarea maturităţii, de multe ori în practică se întâlneşte cazul în care implementarea va avea grade diferite de finalizare, chiar dacă acest lucru nu este nici suficient nici complet. Pe aceste puncte tari se poate în schimb ameliora ulterior maturitatea. De exemplu, anumite părţi din proces pot fi clar definite şi, chiar dacă nu sunt complete, ar fi o greşeală de apreciere să afirmăm ca procesul nu este definit deloc.

Folosind modelele de maturitate dezvoltate pentru fiecare din cele 34 de procese IT din COBIT, managementul poate identifica: • Performanţa curentă a întreprinderii – unde se află ea azi • Starea domeniului sau a sectorului de activitate— comparaţia • Ţinta pentru îmbunătățire pe care şi-a stabilit-o întreprinderea—unde vrea ea să ajungă • Calea evolutivă necesară trecerii dintre “ce este” şi “ce să fie”

Figura nr. 12 exemplifică nevoia de a prezenta grafic rezultatele, astfel încât ele să fie uşor de perceput şi utilizat în şedinţele şi informările manageriale. În aceste întâlniri, rezultatele modelate vor fi prezentate în cadrul studiilor de caz care oferă viziuni şi/sau modalităţi de susţinere a deciziilor privind planurilor viitoare.

Dezvoltarea reprezentării grafice a avut la bază descrierile modelului general al maturităţii, prezentat în Figura nr. 13.

COBIT este un cadru conceput pentru managementul proceselor IT, cu o puternică concentrare pe control. Pentru a fi aplicate şi utilizate, aceste scale trebuie să fie practice şi destul de uşor sau intuitiv de înţeles. Tema managementului proceselor IT este în mod inevitabil complexă şi subiectivă, astfel că poate fi abordată prin evaluări care sporesc gradul de conştientizare, captează consensul general şi pot motiva îmbunătățirea. Aceste evaluări pot fi făcute comparativ cu descrierile nivelului de maturitate ca un întreg, sau cu mai multă rigoare prin compararea cu fiecare descriere individuală. Oricare ar fi alegerea, ea impune un grad de cunoaştere a proceselor revizuite în cadrul organizaţiei.

Figura nr. 11 — Nivele de maturitate posibile pentru un process IT

COBIT 4.1


Figura nr. 13 — Model generic de maturitate 0 Non-existent — Lipsa totală a oricărui tip de proces recunoscut. Întreprinderea nu a conştientizat că există o problemă ce

trebuie rezolvată 1 Initial/Ad Hoc— Există dovezi că întreprinderea a recunoscut că există probleme şi acestea trebuie să fie abordate. Cu toate acestea, nu există procese standardizate; în schimb, există abordări ad-hoc, care tind să fie aplicate de o persoană sau după caz. Abordarea globală a managementului este dezorganizată. 2 Repeatabil dar intuitiv— Procesele s-au dezvoltat la stadiul în care procedurile similare sunt urmate de persoane diferite ce execută sarcini similare. Nu există nici o instruire formală sau comunicarea de proceduri standard, şi responsabilitatea este lăsată la nivel individual. Există un grad ridicat de încredere în cunoştinţele indivizilor şi, prin urmare, o susceptibilitate mare pentru apariţia erorilor. 3 Proces definit— Procedurile au fost standardizate, documentate şi comunicate prin formarea angajaţilor. Este obligatoriu ca procesele să fie respectate; cu toate acestea, este puţin probabil că abaterile să fie detectate. Procedurile însele nu sunt sofisticate, dar practicile existente sunt. 4 Gestionat şi măsurabil — Managementul monitorizează şi cuantifică conformitatea cu procedurile şi acţionează atunci când procesele nu funcţionează eficient. Procesele sunt îmbunătăţite în mod constant şi oferă bune practici de lucru. Se folosesc instrumente de automatizare, limitat sau fragmentat. 5 Optimizat — Procesele au fost rafinate la nivel de bune practici, pe baza rezultatelor îmbunătăţiri continue şi a modelării maturităţii cu alte întreprinderi. IT-ul este utilizat într-un mod integrat pentru a automatiza fluxul de lucru, oferind instrumente de îmbunătăţire a calităţii şi eficienţei, făcând întreprindere să se adapteze rapid.

Figura nr. 14 — Cele trei dimensiuni ale maturităţii

Avantajul abordării pe baza unui model al maturităţii vine din faptul că este relativ facil pentru management să se poziţioneze pe o scală şi să estimeze ce implică constatarea că e necesară o îmbunătăţire a performanţei. Scala include nivelul zero, fiind posibil ca un proces sa nu existe deloc. Limitele superioară şi inferioară ale scalei, respectiv, 0-5, conferă simplitate evaluării maturităţii şi arată cum evoluează un proces de la o capabilitate zero (un proces inexistent) către una maximă, optimizată.

Cu toate acestea, capacitatea de management al proceselor nu este totuna cu performanţa proceselor. Capabilitatea necesară, impusă de afacere si obiectivele IT, poate să nu fie de acelaşi nivel de-a lungul întregului mediu IT, de ex. nu într-o consistenţă uniformă sau regăsibilă doar la un număr limitat de sisteme sau unităţi. Măsurarea performanţei, după cum vom vedea în paragrafele următoare, este esenţială pentru determinarea precisă a nivelului de performanţă pe care întreprinderea îl are pentru procesele sale IT.

Deşi asigurarea unei capabilităţi performante reduce riscurile, totuşi, o organizaţie tot are nevoie să analizeze controalele necesare pentru a face posibilă diminuarea riscurilor şi obţinerea valorii în acord cu înclinaţia spre risc şi cu obiectivele afacerii. Aceste controale sunt ghidate de obiectivele controalelor COBIT. Anexa III conţine un model al maturităţii controlului intern care ilustrează şi maturitatea unei întreprinderi relativă la gestiunea şi performanţa sa în exercitarea controlului său intern. De obicei, această analiză este iniţiată ca răspuns la factori determinaţi externi, dar ar fi ideal ca ea să fie instituită aşa după cum este documentată în PO6 Comunicarea intenţiilor şi obiectivelor managementului şi ME2 Monitorizarea şi evaluarea controlului intern.

Capabilitatea, aria de acoperire şi controlul sunt, toate, dimensiuni ale maturităţii proceselor, Figura nr. 14.

Modelul maturităţii este o modalitate de a evalua cât de bine sunt dezvoltate procesele de management, de ex., care e capacitatea lor, cât de capabile sunt. Aspectul legat de cât de bine dezvoltate sau capabile sunt, depinde în principal de obiectivele IT şi de nevoile afacerii, pe care ele le susţin. Cât de bine este desfăşurată capabilitatea depinde foarte mult de ceea ce aşteaptă întreprinderea să obţină de la respectiva investiţie.



De exemplu, există procese şi sisteme critice care au nevoie de mai multă atenţie şi un management al securităţii mai bun decât altele care nu sunt mai puţin importante. Pe de-o parte, gradul şi sofisticarea controalelor care trebuie aplicate în cadrul unui proces sunt determinate de apetitul pentru risc, dar şi de cerinţele de conformitate la care aderă. Scalele din modelul maturităţii vor permite profesioniştilor să le explice directorilor unde anume există breşe în managementul proceselor IT şi să propună ţinte privind modul în care ar trebui să arate aceste procese. Nivelul corect de maturitate, dar specific întreprinderii, va fi influenţat de obiectivele sale economice, mediul operaţional şi de practicile din sectorul în care îşi desfăşoară activitatea. În mod particular, nivelul maturităţii va fi corelat cu gradul de dependenţă de IT a întreprinderii, de gradul de sofisticare tehnologică la care a ajuns şi, cel mai important, de valoarea pe care o atribuie informaţilor sale.

Un punct strategic de la care o întreprindere trebuie să pornească pentru a-şi îmbunătăţi managementul şi controlul asupra proceselor IT poate fi găsit privind la noile standarde internaţionale şi bunele practici ale sectorului respectiv. Practicile emergente ale momentului actual pot deveni nivelul aşteptat de performanţă în viitor, astfel că îşi găsesc utilitatea în planificarea ţintei pe care şi-o doreşte întreprinderea în timp.

Modelele de maturitate sunt construite de la modelul general al calităţii (Figura nr. 13) la care sunt adăugate principii provenind din următoarele atribute, într-o manieră ascendentă pe niveluri: • Conştientizare şi comunicare • Politici, planuri şi proceduri • Instrumente şi automatisme • Abilităţi şi expertiză • Sarcini şi responsabilităţi • Stabilirea obiectivelor şi a indicatorilor de evaluare

Tabelul atributelor maturităţii, prezentat în Figura nr. 15 listează caracteristicile modului în care procesele IT sunt gestionate şi descrie modul în care ele evoluează de la un proces inexistent la unul optimizat. Aceste atribute pot fi utilizate pentru o evaluare mai aprofundată, o analiză a diferenţelor constatate şi pentru îmbunătăţirea planificării.

În rezumat, modelul de maturitate oferă un profil general al etapelor prin care întreprinderile evoluează din punctul de vedere al managementului şi controlului asupra proceselor IT. Acestea sunt: • Un set de cerinţe şi aspecte favorabile dezvoltării, la niveluri diverse de maturitate • O scală cu care se poate măsura uşor diferenţa constatată • O scală care se pretează comparaţiilor pragmatice • O bază pentru stabilirea poziţiilor “care sunt” şi “care vor fi” • Suport pentru analiza diferenţelor pentru a determina ce trebuie făcut pentru a atinge un nivel ales. • Luate împreună, reprezintă o viziune asupra modului în care este administrat IT-ul în întreprindere.

Modelul COBIT al maturităţii se focalizează pe maturitate, dar nu neapărat pe aria de acoperire sau adâncimea controlului. Nu reprezintă nişte cifre fixe de atins şi nu sunt proiectate pentru a reprezenta o formalizare a certificării, cu valori abstracte care ar crea praguri de netrecut. Totuşi, ele sunt destinate aplicabilităţii permanente, cu niveluri care oferă o descriere pe care o întreprindere o poate recunoaşte şi adopta ca potrivindu-se cel mai bine proceselor sale. Nivelul corespunzător cel mai potrivit este determinat de tipul, mediul în care activează organizaţia şi de strategia sa.

Aria de întindere, adâncimea controlului şi modul în care capabilitatea este întrebuinţată şi desfăşurată sunt decizii de tip cost-beneficiu. De exemplu, un nivel înalt de management al securităţii poate fi necesar a se focaliza doar asupra celor mai importante sisteme ale întreprinderii (cele critice). Un alt exemplu ar fi alegerea dintre a avea o revizie manuală săptămânală şi un control automatizat continuu.

În final, în timp ce nivelurile superioare ale maturităţii sporesc controlul asupra procesului, organizaţia tot are nevoie să analizeze, pe baza indicatorilor de risc şi obţinere a valorii, care mecanisme de control trebuie aplicate. Obiectivele generice, economice şi ale IT, definite în cadrul COBIT, vor facilita această analiză. Mecanismele de control sunt ghidate de obiectivele de control COBIT şi sunt concentrate pe ceea ce se face în proces; modelele de maturitate se focalizează în mod special pe cât de bine este gestionat acest proces. Anexa III conţine un model general al maturităţii, arătând starea mediului controlului intern şi gradul de punere în practică a controalelor interne dintr-o întreprindere.

Un mediu de control bine implementat este atins atunci când toate cele trei aspecte ale maturităţii (capabilitate, arie de întindere, control) au fost avute în vedere. Prin preocupările pentru îmbunătăţirea maturităţii se reduc riscurile, creşte eficienţa, se ajunge la erori mai puţine, procese mult mai predictibile şi la un echilibru cost-eficienţă în utilizarea resurselor.

MĂSURAREA PERFORMANŢEI

Obiectivele şi indicatorii sunt definiţi în COBIT pe trei niveluri: • Obiectivele IT şi indicatorii care descriu ceea ce afacerea aşteaptă de la IT şi modul în care sunt măsurate aceste aşteptări • Obiectivele proceselor şi indicatorii care descriu ceea ce procesul IT trebuie să ofere pentru a susţine obiectivele IT şi modul în

care sunt măsurate aceste aşteptări. • Obiectivele activităţilor şi indicatorii care stabilesc ceea ce trebuie să aibă loc în cadrul unui proces pentru a atinge gradul de

performanţă cerut şi modul în care sunt măsurate aceste prevederi.

COBIT 4.1


Figura nr. 15 — Tabelul atributelor de maturitate

Sta

bili

rea

ob

iect

ivel

or

şi a

in

dic

ato

rilo

r d

e ev

alu

are

Obi

ectiv

ele

nu s

unt c

lare

şi n

u ex

istă

u n

ităţi

de m

ăsur

ă

Une

le o

biec

tive

sunt

sta

bilit

e; s

unt

stab

iliți

unii

indi

cato

ri fin

anci

ari,

dar

sunt

cun

oscu

te n

umai

de

cătr

e co

nduc

ere.

Mon

itoriz

are

inco

nsis

tent

ă în

zo

ne iz

olat

e.

Sun

t sta

bilit

e ob

iect

ive

de e

ficac

itate

şi

măs

uri a

soci

ate,

dar

nu

sunt

co

mun

icat

e ; e

xist

ă o

legă

tură

cla

ră

cu o

biec

tivel

e ec

onom

ice.

M

ăsur

area

pro

cese

lor

ar

e lo

c, d

ar n

u în

mod

con

stan

t. S

unt

în c

urs

de a

dopt

are

fişe

de p

unct

aj

agre

gate

şi s

e ap

lică

intu

itiv

şi

ocaz

iona

l ana

liza

cauz

ă-ef

ect

Efic

ienţ

a şi

efic

acita

tea

sunt

măs

urat

e,

com

unic

ate

şi a

linia

te c

u

obie

ctiv

ele

econ

omic

e ş

i pla

nul

stra

tegi

c IT

. Fiş

e de

pun

ctaj

agr

egat

e su

nt p

use

în a

plic

are

în u

nele

zon

e,

cu e

xcep

ţii n

omin

aliz

ate

de

man

agem

ent i

ar a

naliz

a ca

uza-

efec

t es

te în

cur

s de

st

anda

rdiz

are.

Dez

volta

rea

cont

inuă

se

apl

ică.

Exi

stă

un s

iste

m in

tegr

at d

e m

ăsur

are

a pe

rfor

man

ţei c

are

alin

iază

per

form

anţa

IT la

ob

iect

ivel

e ec

onom

ice

prin

apl

icar

ea

fişel

or d

e pu

ncta

j agr

egat

e.

Exc

epţii

le s

unt i

dent

ifica

te d

e că

tre

man

agem

ent ş

i se

aplic

ă an

aliz

a ca

uza

- ef

ect.

Îmbu

nătă

ţire

cont

inuă

est

e “u

n m

od d

e vi

aţă”

Res

po

nsa

bili

tate

şi î

nsă

rcin

are

Nu

sunt

def

inite

res

pons

abili

tăţil

e şi

sa

rcin

ile .

Ang

ajaţ

ii au

res

pons

abili

tăţi

din

prop

rie in

iţiat

ivă,

pe

baze

re

activ

e.

Un

indi

vid

îşi a

sum

ă re

spon

sabi

litat

ea ş

i est

e de

obi

cei

tras

la r

ăspu

nder

e,ch

iar

dacă

ace

st

lucr

u nu

est

e în

mod

ofic

ial

stab

ilit.

Exi

stă

o co

nfuz

ie le

gată

de

resp

onsa

bilit

ate

atun

ci c

ând

apar

pro

blem

e, p

recu

m ş

i ten

dinţ

a de

a

da v

ina

pe a

lţii.

Res

pons

abili

tăţil

e şi

sar

cini

le

afer

ente

pro

cese

lor

sunt

def

inite

, au

fost

iden

tific

aţi r

espo

nsab

ili d

e pr

oces

. Res

pons

abilu

l de

proc

es e

ste

puţin

pro

babi

l să

aibă

au

torit

atea

dep

lină

în e

xerc

itare

a re

spon

sabi

lităţ

ilor.

Res

pons

abili

tăţil

e şi

sar

cini

le

asoc

iate

pro

cese

lor

sunt

acc

epta

te

de o

man

ieră

ce

perm

ite

resp

onsa

bilu

lui d

e pr

oces

de

scăr

care

a de

res

pons

abili

tate

. E

xist

ă o

cultu

ră a

rec

ompe

nsăr

ii ce

m

otiv

ează

acţ

iuni

le p

oziti

ve

Res

pons

abili

i de

proc

es a

u pu

tere

de

deci

zie

şi d

e ac

ţiune

. Acc

epta

rea

resp

onsa

bilit

ăţii

a fo

st d

isem

inat

ă în

or

gani

zaţie

de

o m

anie

ră c

onsi

sten

tă.

Ap

titu

din

i şi e

xper

tiză

Apt

itudi

nile

nec

esar

e pr

oces

ului

nu

a u fo

st id

entif

icat

e.

Nu

exis

tă u

n pl

an d

e in

stru

ire ş

i nic

i in

stru

irea

form

ală

nu a

re lo

c.

Pen

tru

zone

le c

ritic

e su

nt id

entif

icat

e ap

titud

inile

min

ime

nece

sare

. In

stru

irea

este

furn

izat

ă m

ai m

ult c

a re

acţie

la n

evoi

dec

ât î

n ba

za u

nui

plan

agr

eat.

Se

face

inst

ruire

in

form

ală.

Pen

tru

toat

e zo

nele

au

fost

def

inite

şi

docu

men

tate

apt

itudi

nile

nec

esar

e.

A fo

st d

ezvo

ltat u

n pl

an d

e in

stru

ire

form

ală.

Dar

inst

ruire

a se

baz

ează

în

că p

e ne

voile

indi

vidu

ale.

Cer

inţe

le c

u pr

ivire

la a

ptitu

dini

se

actu

aliz

ează

con

stan

t pen

tru

toat

e zo

nele

, se

asig

ură

com

pete

nţel

e ne

cesa

re p

entr

u zo

nele

crit

ice

şi s

e în

cura

jeaz

ă ce

rtifi

care

a an

gaja

ţilor

. S

e ap

lică

tehn

ici d

e in

stru

ire

core

spun

zăto

are,

în a

cord

cu

plan

ul

de in

stru

ire ş

i se

încu

raje

ază

dise

min

area

cun

oştin

ţelo

r. E

xper

ţii

inte

rni s

unt i

mpl

icaţ

i şi e

ste

eval

uată

ef

icac

itate

a pl

anul

ui d

e in

stru

ire.

Org

aniz

aţia

încu

raje

ază

în m

od

form

al îm

bună

tăţir

ea c

ontin

uă a

ap

titud

inilo

r pe

baz

a un

or o

biec

tive

orga

niza

ţiona

le ş

i per

sona

le b

ine

defin

ite.

Inst

ruire

a şi

edu

caţia

se

baze

ază

pe

cele

mai

bun

e pr

actic

i şi f

olos

eşte

te

hnic

i şi c

once

pte

mod

erne

. P

arta

jare

a cu

noşt

inţe

lor

face

par

te

din

cultu

ra o

rgan

izaţ

iona

lă. S

unt

impl

emen

tate

sis

tem

e ba

zate

pe

cuno

ştin

ţe. E

xper

ţi şi

lide

ri di

n in

dust

rie s

unt f

olos

iţi c

a su

port

.

Inst

rum

ente

şi a

uto

mat

ism

e

Exi

stă

anum

ite in

stru

men

te.

Util

iza r

ea s

e ba

zeaz

ă pe

in

stru

men

te in

stal

ate

loca

l, de

skto

p N

u ex

istă

o a

bord

are

plan

ifica

tă

cu p

rivire

la u

tiliz

area

in

stru

men

telo

r.

Exi

stă

abor

dări

com

une

pent

ru

uItil

izar

ea d

e in

stru

men

te, d

ar

sunt

baz

ate

pe s

oluţ

ii

dezv

olta

te d

e an

gaja

ţi ch

eie.

Au

fost

ach

iziţi

onat

e in

stru

men

te d

e la

furn

izor

i spe

cial

izaţ

i, da

r nu

su

nt u

tiliz

ate

core

ct,

A fo

st d

ezvo

ltat u

n pl

an p

entr

u uI

tiliz

area

şi s

tand

ardi

zare

a in

stru

men

telo

r pe

ntru

au

tom

atiz

area

pro

cese

lor.

S

e fo

lose

sc d

oar

faci

lităţ

ile d

e ba

ză a

le in

stru

men

telo

r, d

ar n

u în

totd

eaun

a în

aco

rd c

u pl

anul

şi

fără

a fi

inte

grat

e un

ele

cu

alte

le.

Inst

rum

ente

le s

unt

impl

emen

tate

în a

cord

cu

un

plan

sta

ndar

diza

t iar

une

le s

unt

inte

grat

e.

Inst

rum

ente

le s

unt u

tiliz

ate

în

zone

le p

rinci

pale

cu

scop

ul d

e a

auto

mat

iza

man

agem

entu

l pr

oces

elor

şi a

mon

itoriz

a ac

tivită

ţile

şi c

ontr

oale

le

cons

ider

ate

criti

ce

Se

folo

sesc

set

uri d

e in

stru

men

te s

tand

ardi

zate

în

cadr

ul în

trep

rinde

rii.

Inst

rum

ente

le s

unt i

nteg

rate

cu

alte

sol

uţii

pent

ru a

asi

gura

su

port

pen

tru

proc

es d

e la

un

capă

t la

altu

l. In

stru

men

tele

sun

t fol

osite

pe

ntru

a s

priji

ni îm

bună

tăţir

ea

proc

esel

e şi

pen

tru

a de

tect

a în

m

od a

utom

at e

xcep

ţiile

de

la

cont

roal

ele

aplic

ate.

Po

litic

i, p

lan

uri

şi

pro

ced

uri

Abo

rdar

ea p

roce

selo

r şi

p r

actic

ilor

asoc

iate

est

e ad

ho

c. P

roce

sele

şi p

oliti

cile

nu

sunt

def

inite

.

Sun

t ide

ntifi

cate

pro

cese

si

mila

re d

ar s

unt d

e ce

le m

ai

mul

te o

ri in

tuiti

ve, a

vînd

la

baza

exp

erie

nţa

indi

vidu

ală.

A

num

ite a

spec

te a

le

proc

esel

or s

unt r

epet

abile

da

torit

ă ex

pert

izei

indi

vidu

ale

şi p

ot e

xist

a pr

oced

uri,

docu

men

taţii

sau

pol

itici

in

form

ale.

Se

utili

zeaz

ă bu

ne p

ract

ici.

Pro

cese

le, p

oliti

cile

şi

proc

edur

ile p

rinci

pale

lor

activ

ităţi

sunt

def

inite

şi

docu

men

tate

.

Pro

cesu

l est

e co

rect

şi

com

plet

; se

aplic

ă ce

le m

ai

bune

pra

ctic

i int

erne

. T

oate

asp

ecte

le u

nui p

roce

s su

nt d

ocum

enta

te ş

i re

peta

bile

. Pol

itici

le a

u fo

st

apro

bate

şi s

emna

te d

e că

tre

man

agem

ent.

Au

fost

ad

opta

te ş

i sun

t res

pect

ate

stan

dard

e pe

ntru

dez

volta

rea

şi în

treţ

iner

ea p

roce

selo

r şi

pr

oced

urilo

r S

e ap

lică

stan

dard

ele

şi c

ele

mai

bun

e pr

actic

i ext

erne

or

gani

zaţie

i. D

ocum

enta

ţia p

roce

selo

r a

evol

uat c

ătre

flux

uri d

e lu

cru

auto

mat

izat

e. P

roce

sele

, po

litic

ile ş

i pro

cedu

rile

sunt

st

anda

rdiz

ate

şi in

tegr

ate

şi

perm

it m

anag

emen

tul d

e la

un

cap

ăt la

altu

l şi

îmbu

nătă

ţirea

.

Co

nşt

ien

tiza

re ş

i co

mu

nic

are

1 R

e cun

oaşt

erea

nec

esită

ţii

proc

esul

ui e

ste

în c

urs

de

dezv

olta

re.

Exi

stă

o co

mun

icar

e sp

orad

ică

cu p

rivire

la a

cest

asp

ect

2 E

ste

conş

tient

izat

ă ne

voia

un

or a

cţiu

ni.

Man

agem

entu

l com

unic

ă as

pect

ele

gene

rale

.

3 E

ste

înţe

leas

ă ne

voia

de

acţiu

ne.

Man

agem

entu

l com

unic

ă fo

rmal

şi

str

uctu

rat

4 T

oate

cer

inţe

le s

unt î

nţel

ese.

S

e ap

lică

tehn

ici d

e co

mun

icar

e m

atur

e şi

se

folo

sesc

in

stru

men

te s

tand

ardi

zate

în

aces

t sen

s

5 În

ţele

gere

a ce

rinţe

lor

este

pr

ospe

ctiv

ă.

Pro

blem

ele

sunt

com

unic

ate

proa

ctiv

, în

func

ţie d

e te

ndin

ţele

id

entif

icat

e.

Exi

stă

și s

e ap

lică

te

hnic

i de

com

unic

are

mat

ure

şi

se fo

lose

sc in

stru

men

te d

e co

mun

icar

e in

tegr

ate.



Figura nr. 16 - Exemplu de relaţii între obiective

Figura nr. 17 - Posibile măsurători ale rezultatelor pentru exemplul din Figura 16

Obiectivele sunt definite de sus în jos, astfel că, un obiectiv economic va determină un număr de obiective IT ce îi oferă suport. Mai departe, un obiectiv IT este atins ca rezultat al unui proces sau prin interacţiunea unui număr de procese. Astfel, obiectivele IT contribuie la definirea diferitelor obiective ale proceselor. La rândul său, fiecare proces are nevoie de un număr de activităţi, stabilind, în acest mod, obiectivele activităţilor. Figura nr. 16 exemplifică acest tip de relaţie dintre obiectivele economice, IT, ale proceselor şi ale activităţilor.

Termenii “indicator cheie al obiectivului” (key goal indicators KGI) şi “indicator cheie al performanţei” (key performance indicator KPI), utilizaţi în versiunile anterioare ale COBIT, au fost înlocuiţi cu următoarele două tipuri de metrici: • Indicatori de rezultate (pentru ieşiri), denumiţi mai înainte (KGIs), relevă dacă obiectivele au fost atinse. Ei pot fi determinaţi

numai după actul faptic şi de aceea se numesc indicatori “lag indicators’ – „indicatori decalaţi”. • Indicatori de performanţă, denumiţi mai înainte (KPIs), pun în evidenţă faptul că obiectivele ar putea fi atinse. Ei pot fi

determinaţi înainte ca rezultatul să fie cert, şi de aceea se numesc “lead indicators’ – indicatori de ghidare.

Figura nr. 17 prezintă, pe exemplul utilizat mai sus, posibile obiective sau indicatori ai rezultatelor.

Măsurătorile rezultatelor de pe un nivel inferior devin indicatori de performanţă pentru un nivel superior. Dacă luăm exemplul din Figura nr. 16, un indicator care ne spune că detectarea şi soluţionarea accesului neautorizat sunt corecte, indică, în acelaşi timp, şi o probabilitate mai mare că serviciile IT pot rezista atacurilor şi că îşi pot reveni în urma unor atacuri. În acest fel, un indicator de pe un nivel inferior a devenit indicator de performanţă pentru un obiectiv de pe un nivel superior. Figura nr. 18 ilustrează modul în care indicatorii rezultatelor (pe exemplul luat) devin indicatori ai performanţei.

Indicatorii rezultatelor definesc metricii care informează managementul – ulterior producerii evenimentului – dacă o funcţie IT, un proces sau o activitate şi-a atins obiectivele. Indicatorii aferenţi funcţiilor IT sunt foarte des exprimaţi în termeni de criterii informaţionale: • Disponibilitatea informaţiei necesară pentru a susţine nevoile afacerii. • Absenţa riscurilor asociate integrităţii şi confidenţialităţii • Analiza cost-eficienţă pentru procese şi operaţiuni • Confirmarea siguranţei, eficienţei şi conformităţii.

Indicatorii de performanţă definesc dimensiunile sub care afacerea, funcţiile IT, procesele IT performează spre a oferi posibilitatea ca obiectivele să fie atinse. Sunt indicatori de ghidare (lead indicators) asupra probabilităţii ca obiectivele sa fie atinse, conducând şi urmărind, astfel, obiective aferente unor niveluri superioare. În general, ei vorbesc despre disponibilitatea capabilităţilor potrivite, a practicilor şi abilităţilor şi despre rezultatul unor activităţi conexe. De exemplu, un serviciu oferit de IT reprezintă un obiectiv pentru IT, dar este, concomitent, un indicator de performanţă şi o capabilitate a afacerii. De aceea, indicatorii de performanţă sunt numiţi uneori drept generatori ai performanţei, în mod special în cadrul “fişelor cu indicatori agreagaţi”.

COBIT 4.1


Figura nr. 19 - Relaţiile între Proces, Obiective şi Indicatori (FS5)

Figura nr. 18 - Posibili generatori ai performanţei pentru exemplul din figura 16

De aceea, indicatorii oferiţi sunt concomitent un indicator de rezultat pentru obiectivele funcţiei IT, ale procesului sau obiectivului activităţii pe care o evaluează, dar şi un indicator de performanţă prin care este atins obiectivul unui nivel superior al afacerii, al funcţiei IT sau al unui proces IT.

Figura nr. 19 ilustrează relaţia dintre obiectivele economice, ale IT-ului, procesului şi activităţii şi diferitele metrici. Din stânga sus la dreapta sus, obiectivele sunt vizualizate grafic în cascadă. Sub fiecare obiectiv este precizat indicatorul de rezultat aferent. Săgeata mică indică faptul că el reprezintă şi un indicator de performanţă pentru obiectivul aflat pe un nivel superior.

Exemplul oferit este din FS5 Asigurarea securităţii sistemului. COBIT oferă indicatori care acoperă evaluarea atingerii obiectivelor doar în limita liniei punctate din figură. Deşi există indicatori de performanţă pentru obiectivele economice în legătura cu IT-ul, totuşi, COBIT

nu oferă indicatori de rezultate pentru evaluarea obiectivelor economice.

Obiectivele economice şi cele ale IT-ului folosite în secţiunile obiectivelor şi indicatorilor din COBIT, inclusiv relaţia dintre ele pot fi consultate în Anexa I. Pentru fiecare proces IT din COBIT, obiectivele şi indicatorii sunt prezentaţi în Figura nr. 20.

Indicatorii au fost dezvoltaţi ţinând cont de următoarele caracteristici:



Figura nr. 21 — COBIT : Management, Control, Aliniere şi Monitorizare

• Un raport bun între efort şi resursele interne (de ex., o introspecţie cu privire la performanţă şi atingerea obiectivelor comparativ cu

eforturile necesare) • Comparabilitate internă (de ex., procentul dintr-o constantă aleasă sau dintr-un număr de valori înregistrate in timp) • Comparabilitate externă, independentă de mărimea organizaţiei sau de sectorul de activitate • Aprecierea că e mai bine să existe mai puţini indicatori buni (sau chiar doar unul foarte bun care poate fi influenţat prin mijloace

diferite) decât să existe o lista mai lungă de indicatori de slabă calitate • Uşurinţa în măsurare, faptul că nu vor fi confundaţi cu ţintele propuse

Figura nr. 20 - Prezentarea obiectivelor şi indicatorilor

IT Proces Activităţi

Ob

iecI

Tve

Ind

icat

ori

Modelul cadrului de referinŃă COBIT Cadrul de referinţă oferit de COBIT, leagă nevoile informaţionale ale afacerii şi cerinţele legate de guvernare de obiectivele funcţionării serviciilor IT. Modelul proceselor din COBIT permite activităţilor IT şi resurselor aferente care le susţin să fie administrate şi controlate în baza obiectivelor de control definite în COBIT, să se poată alinia şi monitoriza folosind obiectivele şi indicatorii COBIT (Figura nr. 21).

COBIT 4.1

indică

măsoară măsoară măsoară conduce la

indică

conduce la


Figura nr. 22 — Cubul COBIT

În rezumat, procesele IT utilizează şi administrează resursele IT pentru îndeplinirea acelor obiective IT care răspund cerinţelor afacerii. Acesta este principiul de bază a cadrului de referinţă COBIT, ilustrat prin cubul COBIT în Figura nr. 22.

Mai detaliat, o viziune de ansamblu asupra cadrului de referinţă COBIT poate fi vizualizată grafic în Figura nr. 23, în care sunt descrise modelul COBIT al proceselor. Acesta este format din patru domenii ce conţin 34 de procese generale, prin care se realizează managementul resurselor IT în vederea furnizării către afacere a informaţiilor necesare, desigur, în concordanţă cu cerinţele economice şi de guvernare.

Acceptabilitatea generală a COBIT COBIT se bazează pe analiza şi armonizarea standardelor şi bunelor practici IT existente şi este în conformitate cu principiile de guvernare general acceptate. Este poziţionat la cel mai înalt nivel, determinat de cerinţele economice, acoperă întreaga gamă de activităţi IT şi se concentrează pe ceea ce ar trebui să fie realizat, mai degrabă decât cum se asigură o guvernare, un management şi un control eficiente. Prin urmare, acţionează ca un integrator de practici de guvernare IT şi face apel la conducerea executivă; conducerea operaţională şi managementul IT; guvernare, asigurare şi profesionişti din domeniul securităţii, precum şi cei din domeniul auditului şi controlului. Este proiectat pentru a fi complementar cu, şi utilizat împreună cu, alte standarde şi bune practici.

Implementarea bunelor practici ar trebui făcută în corespondenţă cu cadrele de referinţă pentru guvernarea corporativă şi control, croite pe caracteristicile organizaţiei respective şi integrate cu celelalte regulamente, practici si metode existente la nivelul ei. Standardele şi bunele practici nu reprezintă un panaceu, eficacitatea lor depinzând de modul în care au fost adoptate şi puse în practică, dar şi menţinute actuale. Utilitatea cea mai mare şi-o regăsesc în cazul aplicării lor ca un set de principii şi ca un punct de plecare în dezvoltarea procedurilor specifice, proprietare. Pentru a evita ca aceste recomandări să prindă praf pe raft, managementul şi angajaţii ar trebui să conştientizeze şi să înţeleagă ce e de făcut, cum, şi de ce e important să fie făcut.

În vederea alinierii bunelor practici cu nevoile afacerii, cadrul de referinţă COBIT este recomandabil să fie utilizat la cel mai înalt nivel, oferind o viziune holistică asupra cadrului de control în baza modelului proceselor IT, viziune care s-ar putea potrivi, generic, oricărei întreprinderi. Practici specifice şi standarde care acoperă arii distincte pot fi puse în conexiune cu ceea ce oferă COBIT, generând o ierarhie de materiale orientative şi de ghidare.

COBIT are relevanţă pentru următorii utilizatori: • Managementul executiv —pentru a obţine valoare din investiţiile în IT, a echilibra riscul şi controlul investiţiilor într-un mediu

IT care de cele mai multe ori nu e predictibil. • Managementul afacerii —pentru a avea asigurarea asupra managementului şi controlului serviciilor IT furnizate în mod intern

sau de părţi terţe. • Managementul IT —pentru a oferi acele servicii IT de care afacerea are nevoie pentru a susţine strategia de afaceri de o manieră

controlabilă şi organizată. • Auditori—pentru a da substanţă opiniilor lor şi/sau a oferi recomandări managementului în legătură cu controalele interne. COBIT a fost conceput, dezvoltat şi îmbunătăţit de un institut de cercetare independent, fără scop comercial, din expertiza membrilor asociaţi şi afiliaţi, a experţilor din industrii şi a profesioniştilor din domeniul securităţii şi al controlului. Conţinutul său are la bază cercetarea continuă asupra bunelor practici din IT şi este în permanenţă împrospătat, constituindu-se, astfel într-o resursă obiectivă şi practică pentru toate categoriile de utilizatori.



Figura nr. 24 — Cadrul de referinţă COBIT şi zonele de interes ale Guvernării IT

COBIT este orientat către obiectivele şi scopul guvernării IT, preocupându-se ca întreg cadrul în care se realizează controlul să fie inteligibil, în conformitate cu principiile de guvernarea corporativă ale intreprinderii, fiind, în acest mod, adoptabil de către consiliul director, directorii executivi, auditori si legiuitorii în domeniu. În Anexa II, este prezentată o hartă a corespondenţelor dintre obiectivele COBIT legate de control, cele cinci arii centrale ale guvernării IT şi activităţile de control COSO.

Figura nr. 24 sumarizează modul cum diversele elemente ale cadrului oferit de COBIT corespund ariilor centrale ale guvernării IT .

Figura nr. 23 — Cadrul General COBIT

COBIT 4.1


În cadrul fiecărui proces IT, obiectivele de control sînt prezentate ca un enunț generic de acțiune al bunelor practici minimale ale managementului cu scopul de a asigura că procesul este controlat.

Controlul asupra procesului IT

numele procesului

care satisface cerința afacerii pentru IT

sumarul celor mai importante obiective IT

prin concentrarea atenţiei asupra

sumarul celor mai importante obiective ale procesului

se realizează prin

obiectivele activității

şi este măsurat prin

indicatori cheie

Figura nr. 25 — Navigarea în cadrul de referinţă COBIT

CUM SE UTILIZEAZĂ ACEAST MANUAL

Navigarea în interiorul cadrului de referinŃă Pentru fiecare dintre procesele IT definite de COBIT există o descriere, împreună cu obiectivele şi indicatorii cheie, prezentate în cascadă (Figura nr. 25).

Componentele centrale ale COBIT Cadrul de referinţă oferit de COBIT este populat cu următoarele componente importante, oferite în continuare pe parcursul acestei publicaţii şi organizate sub forma celor 34 de procese IT. O imagine completă asupra modului în care trebuie să fie realizate controlul, managementul şi măsurarea fiecărui proces. Fiecare proces este discutat în patru secţiuni şi fiecare secţiune se întinde pe aproximativ o pagină, după cum urmează:

• Secţiunea 1 (Figura nr. 25) conţine o descriere a procesului, subsumându-i obiectivele - organizate vizual sub formă de cascadă. Această pagină mai arată şi corespondenţa dintre proces şi criteriile informaţionale, resursele IT şi ariile de focalizare a guvernării IT – “P”-ul indică relaţionarea de ordin primar, iar “S”-ul indică o relaţie de ordin secundar (de mică importanţă).

• Secţiunea 2 conţine obiectivele controlului pentru acest proces. • Secţiunea 3 conţine intrările şi ieşirile procesului respectiv, matricea IRCI, obiectivele şi indicatorii aferenţi. • Secţiunea 4 conţine modelul de maturitate a procesului.



O altă modalitate de vizualizare a conţinutului performanţei procesului: • Intrările procesului reprezintă ceea ce responsabilul procesului doreşte de la alţii • Obiectivele controlului din descrierea procesului indică ceea ce are de făcut responsabilul procesului • Ieşirile procesului indică ceea ce trebuie să livreze responsabilul procesului • Obiectivele şi indicatorii indică maniera de evaluare a procesului • Matricea IRCI defineşte ce se poate delega şi către cine • Modelul de maturitate indică ce trebuie făcut pentru a îmbunătăţi procesul. Rolurile din matricea IRCI sunt clasificate pentru toate procesele după cum urmează: • Director general (Chief Executive Officer - CEO) • Director economic/financiar (Chief Financial Officer - CFO) • Directori executivi • Director IT (Chief Information Officer - CIO) • Responsabilul procesului economic (Business Process Owner) • Director/Şef operaţional (Head Operations) • Arhitect şef (Chief Architect) • Director/Şef dezvoltare (Head Development) • Director/Şef administrare IT (Head IT Administration) • Manager de proiect (Project Management Officer) sau funcţia asimilată • Conformitate, audit, risc şi securitate (grupul cu responsabilităţi de control dar fără responsabilităţi operaţionale în cadrul IT) Anumite procese au roluri specializate, cum ar fi service desk/manager incidente pentru FS8. Trebuie remarcat faptul că, în timp ce materialele consituente ale COBIT sunt colectate de la sute de experţi, prin cercetare şi revizuire riguroase, intrările, ieşirile, responsabilităţile, indicatorii şi obiectivele sunt ilustrative şi nu prescriptive sau exhaustive. Ele prezintă cunoştinţele experţilor, cunoaştere din care organizaţia poate selecta ceea ce este eficient şi se poate aplica în mod eficace strategiei, obiectivelor şi politicilor proprii.

Utilizatorii componentelor COBIT Managementul poate folosi materialele COBIT în evaluarea proceselor IT folosind obiectivele economice şi pe cele ale IT detaliate în Anexa I, poate clarifica obiectivele proceselor IT, modelele de maturitate ale proceselor pentru a evalua performanţa actuală.

Implementatorii şi auditorii pot identifica cerinţele de control aplicabile pornind de la obiectivele şi responsabilităţile de control ale activităţilor şi matricelor IRCI asociate.

Toţi utilizatorii potenţiali pot beneficia în urma utilizării COBIT ca o abordare generală pentru administrarea şi guvernarea IT, împreună cu alte standarde mai detaliate cum ar fi:

• ITIL pentru furnizarea de servicii

• CMM pentru furnizarea de soluţii

• ISO/IEC 27002:2005 pentru securitatea informaţiilor

• PMBOK sau PRINCE2 pentru managementul proiectelor.

Anexe Următoarele Anexe se regăsesc la finalul acestui manual:

I. Tabelele cu legăturile dintre obiective şi procese II. Alinierea proceselor IT cu domeniile de interes ale guvernării IT, COSO, resursele IT și criteriile informațiilor din COBIT

III. Model de Maturitate pentru Controlul Intern IV. COBIT 4.1 Principalul Material Referențiat V. Comparație între COBIT ediția a 3-a și COBIT 4.1

VI. Abordarea cercetării-dezvoltării VII. Glosar de Termeni

VIII. COBIT și produse conexe

COBIT 4.1


DESCRIEREA PROCESULUI

PO1 Definirea planului strategic IT Planificarea strategică a tehnologiilor informaţionale este necesară pentru a administra şi a direcţiona toate resursele IT în concordanţă cu strategia şi priorităţile organizaţiei. Funcţia IT şi beneficiarii acesteia sunt responsabili pentru asigurarea realizării valorii optime a proiectului şi a portofoliului de servicii. Planul strategic urmăreşte să îmbunătăţească capacitatea de înţelegere a beneficiarilor în ceea ce priveşte oportunităţile şi limitările, stabileşte nivelul de performanţă curentă, identifică cerinţele privind capacitatea şi necesarul de resurse umane şi clarifică nivelul necesar de investiţii. Strategia firmei şi priorităţile trebuie să fie reflectate prin portofolii şi să fie executate prin intermediul planurilor tactice, planuri ce specifică obiective concise, planuri de acţiune şi sarcini. Toate acestea trebuie să fie înţelese şi acceptate de întreprindere şi de departamentul IT.


Definirea unui plan strategic

care satisface cerința afacerii pentru IT de

menţinere sau extindere a strategiei de afaceri şi a cerinţelor privind guvernarea, păstrând în acelaşi timp transparenţa în ceea ce priveşte beneficiile, costurile şi riscurile,


încorporării tehnologiei informaţionale şi a managementului afacerilor în transpunerea cerinţelor economice în oferte de servicii şi dezvoltarea de strategii, care să furnizeze aceste servicii într-un mod transparent şi eficient,

se realizează prin

• Angajarea top managementului şi a managementului proceselor economice în alinierea planificării strategice a IT - ului cu nevoile economice actuale şi viitoare

• Înţelegerea capabilităţilor actuale ale IT-ului • Oferirea unei scheme de ierarhizare pentru obiectivele economice ce cuantifică

cerinţele economice


• Procentul obiectivelor IT din cadrul planului strategic IT care susţin planul strategic al organizaţiei

• Procentul proiectelor IT din cadrul portofoliului de proiecte IT care pot fi direct corelate cu planurile tactice IT

• Întârzieri dintre actualizările planurilor strategice IT şi actualizările planurilor tactice IT

Planificare şi organizare Definirea planului strategic IT PO1


OBIECTIVE DE CONTROL

PO1 Definirea planului strategic IT PO1.1 Managementul valorii IT Colaborează cu departamentele economice pentru a se asigura că portofoliul investiţiilor IT conţin programe ce sunt susţinute de studii de caz temeinice . Aceste investiţii trebuie identificate din punct de vedere al obligativităţii, sustenabilităţii şi caracterului discreţionar. Ele diferă în complexitate şi în gradul de libertate al alocării de fonduri. Procesele IT ar trebui să ofere o metoda eficace şi eficientă pentru livrarea componentelor IT ale proiectelor. De asemenea, ar trebui să ofere o metodă pentru a identifica din timp orice deviere de la program cu privire la costuri, program sau funcţionalitate, devieri ce pot avea impact asupra rezultatelor programului. Serviciile IT ar trebui executate avându-se în vedere clauzele şi prevederile din acordurile privind nivelul de servicii furnizate (Service Level Agreements - SLAs). Responsabilităţile pentru obţinerea de beneficii şi controlul costurilor ar trebui alocate în mod clar şi monitorizate corespunzător. În evaluarea studiilor de caz se va avea în vedere stabilirea de obiective rezonabile, transparente, repetabile şi comparabile, incluzând câştigurile financiare, riscul de a nu a livra o anumite funcţionalitate şi riscul de a nu realiza beneficiile aşteptate.

PO1.2 Alinierea cerinţelor economice cu IT-ul Stabilirea de procese de educare bi-direcţională şi ajutor reciproc în planificarea strategică cu scopul de a alinia şi integra obiectivele economice cu cele IT. Medierea între cerinţele economice şi cerinţele IT obligatorii în vederea stabilirii de comun acord a priorităţilor

PO1.3 Evaluarea capabilităţii şi performanţei curente În vederea stabilirii unui punct de plecare ca bază de comparare pentru viitoarele cerinţe, trebuie evaluate capabilitatea şi performanţele curente pentru a putea soluţiona şi livra serviciile cerute. Performanţa se defineşte în funcţie de contribuţia IT la atingerea obiectivelor economice, funcţionalitate, stabilitate, complexitate, costuri, puncte forte si puncte slabe.

PO1.4 Planul Strategic IT Crearea unui plan strategic ce defineşte, împreuna cu beneficiarii aferenţi, maniera în care obiectivele IT vor contribui la realizarea obiectivelor strategice ale companiei, ţinându-se seama de costuri si riscuri. Planul ar trebui să includă modalitatea în care IT-ul va sprijini programele de investiţii ce ţin de IT, serviciile oferite de IT şi activele aferente . Departamentul IT ar trebui să definească modul în care vor fi atinse obiectivele, indicatorii folosiţi şi care vor fi procedurile necesare în vederea aprobării formale din partea beneficiarilor. Planul strategic IT ar trebui să facă referiri cu privire la bugetul de investiţii/operaţional, sursele de finanţare, strategia asigurării surselor de finanţare, strategia de achiziţii precum şi asupra cerinţelor legale şi de reglementare. Planul strategic ar trebui să fie suficient de detaliat pentru a permite definirea planurilor tactice IT.

PO1.5 Planurile tactice IT Crearea unui portofoliu al planurilor tactice IT, derivat din planul strategic de IT. Planurile tactice ar trebui sa includă programele de investiţii în IT, serviciile IT si activele IT. De asemenea, planurile tactice ar trebui să descrie iniţiativele cu privire la IT, resursele necesare şi modalitatea în care vor fi monitorizate şi gestionate resursele şi obţinute beneficiile. Planurile tactice ar trebui să fie suficient de detaliate pentru a permite definirea planurilor de proiect. Este necesar un management activ asupra planurile tactice IT şi iniţiativele asociate prin analizarea portofoliilor de proiect si servicii.

PO1.6 Managementul portofoliului IT Managementul activ al portofoliului de programe de investiţii IT împreună cu factorii de decizie economici implică atingerea unor obiective economice strategice prin identificarea, definirea, evaluarea, ierarhizarea, selectarea, iniţierea, managementul şi controlul programelor. Aceste acţiuni ar trebui să includă definirea clară a rezultatelor dorite, asigurarea că obiectivele programelor sprijină obţinerea rezultatelor dorite, înţelegerea efortului necesar pentru obţinerea rezultatelor dorite , alocarea de responsabilităţi clare cu măsuri de sprijin aferente, definirea proiectelor în cadrul programului, alocarea de resurse şi fonduri, delegarea autorităţii şi includerea proiectelor necesare în programele lansate.

PO1 Planificare şi organizare Definirea planului strategic IT


GHID PENTRU MANAGEMENT

PO1 Definirea unui plan strategic IT

De la Intrări ulu

Ieşiri Către PO5 Rapoarte cost-beneficiu Plan strategic IT PO2...PO6 PO8 PO9 Al1 FS1 PO9 Evaluarea riscului Planuri tactice IT PO2...PO6 PO9 Al1 FS1

PO10 Actualizarea portofoliului de proiecte Portofoliu proiecte IT PO5 PO6 PO10 Al6 FS1 Cerinţe de lucru noi/actualizate;

actualizarea portofoliului de servicii Portofoliu servicii IT PO5 PO6 PO9 FS1

Strategie de finanţare IT FS2 * Strategie de afaceri şi priorităţi Strategie de achiziţii IT AI5

* Portofoliu programului

ME1 Includerea perfomanţei în planificarea IT ME4 Raport privind statusul guvernării IT;

direcţii strategice în IT * Intrări exterioare COBIT

ObiecITve şi Indicatori


Ob

ieci

tve

� Răspunde cerinţelor de afaceri în aliniere cu strategia de afaceri.

� Răspunde cerinţelor de guvernare în conformitate cu direcţiile conducerii sau consiliului

� Definirea modului în care cerinţele afacerii sunt traduse în oferte de servicii.

� Definirea strategiei de furnizare a ofertelor de servicii.

� Contribuie la managementul portofoliului de investiţii IT.

� Stabilirea clarităţii în ceea ce priveşte impactul economic al asupra obiectivelor şi resurselor IT.

� Asigurarea transparenţei şi înţelegerii costurilor, beneficiilor, strategiei, politicilor și a nivelurilor de servicii IT.

� Angajarea şefilor economici şi a senior managementului în alinierea planificării strategice IT cu nevoile actuale şi curente ale afacerii.

� Înţelegerea capabilităţilor IT actuale. � Asigurarea unui sistem de prioritizare

pentru obiectivele economice care cuantifică cerinţele afacerii.

� Transpunerea planurilor strategice IT în planuri tactice.

Ind

icat

ori

� Gradul de aprobare al planurilor strategice/tactice IT de către responsabilii economici

� Gradul de conformitate cu cerinţele economice şi de guvernare

� Nivelul de satisfacţie în raport cu starea actual a lucrurilor (număr, domeniul de aplicare, etc.) al portofoliului de proiecte şi de aplicaţii.

� Procentul obiectivelor IT în planul strategic IT care sprijină planul strategic de afaceri.

� Procentul iniţiativelor IT în planul tactic IT care sprijină planul tactic de afaceri.

� Procentul de proiecte IT din portofoliul de proiecte IT care pot fi urmărite direct conform cu planurile tactice IT.

� Întîrzirea dintre actualizările planurilor strategice/tactice de afacere şi actualizările planurilor strategice/tactice de IT.

� Procentul şedinţelor despre planurile strategice/tactice IT unde reprezentanţii mediului de afaceri au participat activ.

� Întârzierile între actualizările planului strategic IT şi actualizările planurilor tactice IT.

� Procentul de planuri tactice IT în conformitate cu structura/conţinutul predefinit(ă) a acestora.

� Procentul iniţiativelor/proiectelor IT promovat de către responsabilii economici.

Planificare și organizare Definirea planului strategic IT PO1

indică

măsoară conduce la

indică

conduce la măsoară măsoară


MODEL DE MATURITATE

PO1 Definirea planului strategic IT

Managementul procesului Definirea planului strategic IT, care să îndeplinească cerinţele afacerii pentru IT prin menţinerea

sau extinderea strategiei de afaceri şi a cerinţelor de guvernare, păstrând în acelaşi timp transparenţa în ceea ce priveşte beneficiile, costurile şi riscurile, este definit astfel:

0 Inexistent când: Nu se realizează planificarea strategică a IT. Când nu există o conştientizare din partea managementului că planificarea strategică a IT sprijină atingerea obiectivelor economice

1 Iniţial/Ad Hoc, când: Managementul IT cunoaşte nevoia unei planificări strategice a IT . Planificarea IT este efectuată doar atunci când este necesar, în funcţie de cerinţele economice specifice. Planificarea strategică a IT este adusă în discuţie la şedinţele managerilor ocazional. Alinierea cerinţelor afacerii, aplicaţiilor şi tehnologiei se face reactiv în loc să facă parte din strategia organizaţională. Riscurile strategice sunt identificate informal, de la un proiect la altul.

2 Repetabil, dar intuitiv, când: Planificarea strategică a IT este comunicată managerilor doar atunci când este nevoie. Actualizarea planurilor IT se realizează ca răspuns la cererea managementului. Deciziile strategice sunt determinate de la un proiect la altul, fără consecvenţă cu privire la strategia organizaţională per ansamblu. Riscurile şi beneficiile obţinute ca urmare a unei decizii strategice importante sunt recunoscute într-o manieră intuitivă.

3 Definit, atunci când: Există o politica ce defineşte când şi cum se realizează planificarea strategică a IT. Această planificare este bazată pe o abordare structurată care este documentată şi cunoscută de toţi angajaţii . Procesul de planificare a IT este destul de solid, asigurând realizarea unei planificări adecvate. Totuşi, fiecare manager poate decide cu privire la implementarea procesului, neexistând astfel proceduri cu privire la verificarea procesului. În ansamblul său, strategia IT include o definire extinsă a riscurilor, pe care organizaţia o va îmbunătăţi sau o va urma. Resursele financiare, tehnice si umane cu privire la IT au o influenţă din ce în ce mai mare cu privire la achiziţia de noi produse şi tehnologii. Planificarea strategică cu privire la IT este discutată în şedinţele managementului.

4 Administrat şi măsurabil, atunci când: Planificarea strategică a IT este o practică standard, iar excepţiile sunt observate de management. Planificarea strategică a IT este o funcţie a managementului, cu responsabilităţi aferente managementului de top. Managementul monitorizează procesele planificării strategice a IT, ia decizii informate şi măsoară eficienţa acestor procese. Au loc planificări pe termen scurt şi lung, iar acestea sunt transmise de sus în jos în ierarhia organizaţiei. Actualizările se efectuează atunci când este nevoie. Strategia IT şi strategia generală a organizaţiei devin tot mai coordonate prin luarea în considerare a proceselor economice şi a capabilităţilor cu valoare adăugată. Este încurajată creşterea folosirii aplicaţiilor şi descoperirilor tehnologice prin modificarea şi adaptarea proceselor economice. Există un proces bine definit pentru identificarea folosirii resurselor interne şi externe necesare în dezvoltarea sistemului si operaţiunilor.

5 Optimizat, atunci când: Planificarea strategică a IT este un proces dinamic, bine documentat, de care se ţine seama în stabilirea obiectivelor economice. Acest proces,are ca rezultat valoare economică pentru organizaţie ca urmare a investiţiilor în IT. Riscurile si beneficiile sunt in permanenţă actualizate în procesul de planificare strategica a IT. Pe termen lung sunt dezvoltate şi actualizate planuri realiste ale IT, ce reflectă schimbarea tehnologică şi dezvoltarea economică a organizaţiei. Se stabileşte un punct de referinţă privitor la normele din industrie, punct ce este bine înţeles şi de încredere. Acest reper este integrat în procesul de formare a strategiei. Planul strategic include modul în care dezvoltarea de noi tehnologii poate conduce la crearea de noi oportunităţi economice şi îmbunătăţirea avantajului competitiv al organizaţiei.

PO1 Planificare şi organizare Definirea planului strategic IT



PO2 Definirea arhitecturii informaţionale

Funcţia sistemelor informaţionale creează şi actualizează în mod frecvent un model informaţional pentru organizaţie şi defineşte sistemele potrivite pentru optimizarea folosirii informaţiilor. Permite înglobarea dezvoltării dicţionarului de date al organizaţiei, cu regulile de sintaxă a datelor organizaţiei, cu schemele de clasificare a datelor şi cu nivelele de securitate. Acest proces îmbunătăţeşte calitatea procesului decizional asigurând obţinerea de informaţii de încredere şi sigure. Procesul permite raţionalizarea resurselor sistemelor informaţionale în vederea potrivirii cu strategia economică. De asemenea este nevoie de acest proces pentru a creşte responsabilitatea cu privire la integritatea şi securitatea datelor şi pentru a mări eficacitatea şi controlul asupra informaţiilor partajate între aplicaţii şi entităţi.


Definirea arhitecturii informaţionale

care satisface cerința afacerii pentru IT prin

agilitatea cu care se răspunde cerinţelor, furnizarea de informaţii de încredere şi consistente şi pentru a integra armonios aplicaţiile în procesele economice


stabilirii unui model de date al organizaţiei ce cuprinde o schemă a clasificării datelor în vederea asigurării integrităţii şi consistenţei tuturor datelor

se realizează prin

• Asigurarea exactităţii arhitecturii informaţionale şi a modelului de date • Definirea responsabililor datelor • Clasificarea informaţiilor folosind o schema de clasificare agreată

și este evaluat prin

• Procentul de date redundante/duplicate • Procentul de aplicaţii ce nu corespund cu metodologia

arhitecturii informaţionale a organizaţiei • Frecvenţa activităţilor de validare a datelor

Planificare ăi organizare Definirea arhitecturii informaţionale PO2


OBIECTIVELE CONTROLULUI


PO2.1 Modelul arhitecturii informaţionale a întreprinderii Se stabileşte şi se menţine un model informaţional al întreprinderii care permite dezvoltarea aplicaţiilor şi a activităţilor ce sprijină procesele decizionale, compatibil cu planurile IT, aşa cum sunt descrie în PO1. Modelul ar trebui să faciliteze crearea, folosirea şi diseminarea informaţiilor într-un mod optim, permiţând menţinerea integrităţii, fiind în acelaşi timp flexibil, funcţional şi eficient în ceea ce priveşte costurile şi timpul, sigur şi rezistent la eşecuri.

PO2.2 Dicţionarul de date al întreprinderii şi regulile de sintaxă a datelor Menţinerea unui dicţionar de date al întreprinderii ce include regulile de sintaxă ale datelor organizaţiei. Acest dicţionar ar trebui să permită partajarea datelor între aplicaţii şi sisteme, să promoveze o înţelegere comună intre utilizatorii IT şi cei ai organizaţiei şi să prevină crearea de date incompatibile.

PO2.3 Schema de clasificare a datelor Stabilirea unei scheme de clasificare ce se aplică în întreaga organizaţie, bazată pe riscurile şi sensibilitatea datelor întreprinderii (de ex. publice, confidenţiale, secrete). Această schemă ar trebui să includă detalii despre responsabilii datelor; definirea nivelurilor de securitate şi a controalelor care asigură protejarea lor; o scurtă descriere a cerinţelor cu privire la păstrarea şi distrugerea datelor, nivelul de risc şi sensibilitate. Schema ar trebui să fie folosită ca bază de pornire în aplicarea controalelor, cum ar fi controlul accesului, arhivarea sau criptarea datelor.

PO2.4 Managementul integrităţii Definirea şi implementarea procedurilor ce permit asigurarea integrităţii şi consistenţei tuturor datelor stocate în format electronic, cum ar fi bazele de date, depozitele de date şi arhivele de date.

PO2 Planificare şi organizare Definirea arhitecturii informaţionale




De la Intrări Ieşiri Către PO1 Planuri strategice şi tactice în IT Sistemul de clasificare a datelor AI2

AI1 Studiu de fezabilitate pentru cerinţele afacerii

Planul sistemelor de afaceri optimizat PO3 AI2

Dicţionarul de date AI2 FS11

AI7 Revizia post-implementare Arhitectura informaţională PO3 FS5 FS3 Informaţii despre performanță și calitate Alocarea clasificării datelor FS1 FS4 FS5 FS11 FS12 ME1 Intrări de performanţă pentru planificare în IT Proceduri şi instrumente de clasificare *

* Ieşiri în afara COBIT

Obiective şi Indicatori


Ob

ieci

tve

� Optimizarea utilizării informaţiilor. � Asigurarea integrării unitare a

aplicaţiilor în procesele afacerii � Răspunde cerinţelor afacerii în

conformitate cu srategia organizaţiei � Realizarea agilităţii IT

� Stabilirea unui model de date pentru întreprindere.

� Reducerea redundanţei datelor � Sprijinirea managementului eficient al

informaţiilor. .

� Asigurarea acurateţei structurii informaţiilor şi a modelului de date

� Alocarea responsabilităţilor � Clasificarea informaţiilor folosind o

schemă de clasificare agreată

� Asigurarea consistenţei între componentele infrastructurii (de exemplu arhitectura informaţională, dicţionarul de date,aplicaţii, sintaxa datelor, scheme de clasificare, niveluri de securitate)

� Menţinerea integrităţii datelor

Ind

icat

ori

� Procentul de sadisfacţie al utilizatorilor modelului informaţional (de exemplu, dicţionarul de date este prietenos?).

� Procentul de elemente duplicate/redundante

� Procentul elementelor ce nu aparţin modelului de date al organizaţiei

� Procentul de neconformităţi raportat la schema de clasificare

� Procentul de aplicaţii ce nu respect arhitectura informaţională.

� Frecvenţa actualizărilor modelului de date

� Procentul de elemente ce nu au un responsabil

� Frecvenţa activităţilor de validare a datelor

� Nivelul de participare a utilizatorilor.

Planificare şi organizare Definirea arhitecturii informaţionale PO2

indică


indică



MODEL DE MATURITATE


Managementul procesului Definirea arhitecturii informaţionale, ce satisface cerinţele afacerii pentru IT prin agilitatea cu care se răspunde cerinţelor, pentru a furniza informaţii de încredere şi consistente şi pentru a integra armonios aplicaţiile în procesele economice, este definit astfel:

0 Inexistent, când: Nu există o conştientizare a importanţei arhitecturii informaţionale pentru organizaţie. În organizaţie nu există cunoştinţele, expertiza şi responsabilităţile necesare pentru dezvoltarea acestei arhitecturi.

1 Iniţial/Ad Hoc, când: Managementul recunoaşte nevoia unei arhitecturi informaţionale. Dezvoltarea unor componente pentru o arhitectură informaţională are loc doar când este nevoie, ad hoc. Definiţiile se referă la date, în loc de informaţii şi sunt motivate de ofertele vânzătorilor de aplicaţii software. Comunicarea nevoii pentru o arhitectura informaţionala este inconsistentă şi sporadică.

2 Repetabil,dar intuitiv, când: Apare o arhitectură informaţională şi proceduri similare sunt urmate de diferite persoane din organizaţie, dar într-un mod informal şi intuitiv. Personalul îşi obţine abilităţile de a crea o arhitectură informaţională prin experienţa pracItiă şi prin repetarea aplicării tehnicilor. Cerinţele tactice conduc la dezvoltarea componentelor arhitecturii informaţionale de către unii angajaţi.

3 Definit, când: Importanţa arhitecturii informaţionale este înţeleasă şi acceptată iar responsabilitatea pentru furnizarea ei este nominalizată şi comunicată clar. Procedurile asociate, instrumentele şi tehnicile, deşi nesofisticate, au fost standardizate şi documentate şi fac parte din activităţile de instruire informală. Politicile de bază ale arhitecturii informaţionale au fost dezvoltate, incluzând anumite cerinţe strategice, dar conformitatea cu politicile, standardele şi instrumentele nu se aplică tot timpul . Există definită în mod formal o funcţie de administrare a datelor ce oferă standarde organizaţionale globale şi care începe să raporteze cu privire la livrarea şi folosirea arhitecturii informaţionale. Încep să fie întrebuinţate instrumente automatizate, dar procesele şi regulile folosite sunt definite de ofertele distribuitorilor de software de baze de date. S-a dezvoltat un plan oficial de instruire, dar instruirea formalizată rămâne o iniţiativă individuală.

4 Administrat şi măsurabil, când: Dezvoltarea şi impunerea unei arhitecturii informaţionale sunt sprijinite în totalitate de metode şi tehnici formale. Responsabilitatea pentru performanţa procesului de dezvoltare a arhitecturii este impusă şi succesul arhitecturii informaţionale este măsurat. Există un număr ridicat de instrumente ajutătoare automatizate, dar acestea nu sunt integrate cu arhitectura informaţională. Au fost identificaţi indicatori de măsurare şi s-a înfiinţat un sistem de măsurare. Procesul de definire al arhitecturii informaţionale este proactiv şi focalizat pe identificarea viitoarelor nevoi ale organizaţiei. Organizarea administrării datelor este implicată în mod activ în eforturile de dezvoltare a sistemelor si aplicaţiilor, avându-se în vedere asigurarea consistenţei datelor. Un depozit automatizat este implementat în totalitate în organizaţie. Sunt implementate şi alte modele complexe de date pentru a creşte conţinutul informaţional al bazelor de date. Sistemele informaţionale pentru conducere şi sistemele pentru sprijinirea deciziilor ajută la creşterea valorii informaţiei existente.

5 Optimizat, când: Arhitectura informaţională este aplicată în mod constant la toate nivelurile organizaţionale. Valoarea arhitecturii informaţionale pentru organizaţie este de importanta maximă, într-o continuă solicitare. Personalul responsabil cu IT are expertiza şi abilităţile necesare să dezvolte şi să menţină o arhitectură informaţională puternică şi receptivă, care să reflecte toate cerinţele organizaţiei. Informaţiile furnizate de către arhitectura informaţională sunt aplicate şi corelate în mod constant şi extensiv. În dezvoltarea şi întreţinerea arhitecturii informaţionale sunt utilizate coduri de bune practici specifice industriei, incluzând astfel un proces de îmbunătăţire continuă. Este definită strategia de îmbunătăţire a informaţiilor cu ajutorul depozitelor de date şi a tehnologiilor de data mining. Arhitectura informaţională este îmbunătăţită în mod continuu şi ia în considerare informaţii non-tradiţionale cu privire la procese, organizaţii şi sisteme.

PO2 Planificare şi organizare Definirea arhitecturii informaţionale



PO3 Determinarea direcţiei tehnologice

Funcţia serviciilor informaţionale determină direcţia tehnologică ce vine în sprijinul afacerii. Aceasta necesită crearea unui plan al infrastructurii tehnologice şi al unei conduceri ce stabileşte şi administrează în mod clar şi realist aşteptările cu privire la ceea ce poate oferi tehnologia în materie de produse, servicii şi mecanisme de livrare. Planul este actualizat periodic şi înglobează aspecte cum ar fi arhitectura sistemului, direcţia tehnologică, planuri de achiziţie, standarde, strategii de migrare şi situaţiile neprevăzute. Acestea fac posibile reacţiile în timp util la schimbările din mediul concurenţial, a economiilor de scară cu privire la personalul sistemului informaţional şi a investițiilor, precum şi îmbunătăţirea interoperabilităţii platformelor şi aplicaţiilor.


Determinarea direcţiei tehnologice


sisteme informaţionale stabile, eficiente din punct de vedere al costurilor, integrate şi standardizate, resurse şi capacitaţi care să îndeplinească cerinţele actuale şi viitoare ale organizatiei


definirii şi implementării unui plan al infrastructurii tehnologice, arhitecturii şi standardelor care recunosc şi influenţează dezvoltarea oportunităţilor tehnologice

este realizat prin

• Stabilirea unui forum/consiliu/comitet care să ghideze arhitectura şi să verifice conformitatea

• Stabilirea planului infrastructurii tehnologice echilibrat din punct de vederea al costurilor, riscurilor şi cerinţelor

• Definirea standardelor tehnologice pentru infrastructură, bazate pe cerinţele arhitecturii informaţionale

și este măsurat prin

• Numărul şi tipul abaterilor de la planul infrastructurii tehnologice • Frecvenţa reviziilor/actualizărilor planului infrastructurii tehnologice • Numărul de platforme tehnologice din întreaga organizaţie, din punct de vedere

al functiilor

Planificare şi organizare Determinarea direcţiei tehnologice PO3




PO3.1 Planificarea direcţiei tehnologice Analiza tehnologiilor existente şi în curs de dezvoltare și planificarea direcţiilor tehnologice ce vin în realizarea strategiei cu privire la tehnologia informatiilor şi a arhitecturii sistemelor organizaţionale. De asemenea identificarea prin plan a tehnologiilor ce pot conduce la creearea de noi oportunităţi economice. Planul ar trebui să aibă în vededere arhitectura sistemelor, direcţia tehnologică, strategiile de migrare şi situaţiile neprevazute ale componentelor ce alcătuiesc infrastructura.

PO3.2 Planul infrastructurii tehnologice Crearea şi menţinerea unui plan al infrastructurii tehnologice care este în conformitate cu planul strategic şi planurile tactice ale IT. Planul ar trebui să se bazeze pe direcţia tehnologică şi să includă aranjamente pentru situatiile neprevăzute ce pot apărea şi direcţia de achiziţie a resurselor tehnologice. Acesta trebui să ia în considerare schimbările din mediul concurenţial, a economiilor de scară cu privire la personalul sistemului informaţional şi a investiţiilor, precum şi îmbunătăţirea interoperabilităţii platformelor şi aplicaţiilor.

PO3.3 Monitorizarea tendinţelor viitoare şi a reglementărilor Stabilirea unui proces pentru monitorizarea tendinţelor de reglementare legală din sectorul economic, industrie, tehnologie, infrastructură.Integrarea consecinţelor acestor tendinţe în dezvoltarea planului infrastructurii tehnologice a IT.

PO3.4 Standardele tehnologice Pentru a oferi soluţii tehnologice eficiente şi sigure la nivelul întregii organizaţii se stabileşte un forum/consiliu/comitet tehnologic care oferă orientări tehnologice, sfaturi privind echipamentele/produsele ce alcătuiesc infrastructura precum şi cunatificarea conformităţii cu acestea. Acest forum/consiliu/comitet ar trebui să dezvolte standardele tehnologice şi practicile pe baza relevanţei economice, a riscurilor şi conformităţii cu cerinţele externe.

PO3.5 Forumul/comitetul/consiliul arhitecturii IT Stabilirea unui forum/consiliu/comitet care să ofere orientări cu privire la arhitectura IT, sfaturi cu privire la aplicarea acestora pentru a verifica conformitatea. Această entitate ar trebui să direcţioneze proiectarea arhitecturii IT, să se asigure că aceasta sprijină strategia organizaţiei şi că are in vedere conformitatea cu cerintele de reglementare şi cele privind continuitatea afacerii. Acest proces este în legătură cu PO2 Definirea arhitecturii informaţionale.

PO3 Planificare și organizare Determinarea direcției tehnologice



PO3 Determinarea direcției tehnologice

De la Intrări Ieşiri Către PO1 Planuri strategice și tactice în IT Oportunitățile tehnologiei AI3

PO2 Planul sistemelor de afaceri optimizat, structura informației

Standardele tehnologiei AI1 AI3 AI7 FS5

Actualizările curente a “situației tehnologiei” AI1 AI2 AI3

AI3 Actualizări pentru standarde de tehnologie Planul de infrastructură tehnologică AI3 FS3 Informație de performanță și calitate Cerințele de infrastructură PO5


IT Proces Activități

Ob

iect

ive

� Optimizarea infrastructurii, resurselor și capaptitudinilor IT.

� Dobândirea și menținerea sistemelor de aplicații integrate și standardizate.

� Recunoașterea și îndeplinirea oportunităților tehnologiei.

� Elaborarea și implementarea planului tehnologic de infrastructură.

� Definirea standardelor de structură și tehnologie pentru infrastructura IT.

� Definirea standardelor tehnologice de infrastructură bazate pe cerințele structurii informaționale.

� Stabilirea planului tehnologic de infrastructură, echilibrat față de cost, risc și cerințe.

� Stabilirea unui forum pentru a ghida arhitectura și dovedirea conformității.

Ind

icat

ori

� Numărul și tipul de abateri de la planul tehnologic de infrastructură.

� Procentul de nonconformitate față de

standardele tehnologice. � Numărul de platforme tehnologice prin

funcționarea de-a lungul întregii întreprinderi.

� Frecvența reuniunilor organizate de către forumul tehnologic.

� Frecvența reuniunilor organizate de consiliul pentru arhitectura IT.

� Frecvența verificării/modificării planului tehnologic de infrastructură.

Planificare și organizare Determinarea direcției tehnologice PO3

indică


indică



MODEL DE MATURITATE


Managementul procesului Determinarea direcţiei tehnologice ce satisface cerinţele economice ale IT de a avea stabilitate, costuri eficiente, un sistem de aplicaţii integrat şi standardizat, resurse şi capabilităţi ce corespund cu cerinţele economice actuale şi viitoare este:

0 Inexistent când La nivelul organizaţiei nu există o conştientizare a importanţei planificării infrastructurii tehnologice. Nu există cunoştinţele şi expertiza necesară pentru a dezvolta un plan al infrastructurii tehnologice. Organizatia nu înţelege că planificarea pentru modificările tehnologice este critică pentru alocarea eficienta a resurselor.

1 Initial/Ad Hoc când Conducerea recunoaşte nevoile planificării infrastructurii tehnologice. Dezvoltarea componentelor tehnologice şi implementarea tehnologiei în curs de dezvoltare este ad hoc şi izolată. Abordarea planificării infrastructurii este reactivă şi concentrată la nivel operaţional. Direcţiile tehnologice sunt conduse de planurile, adesea contradictorii, ale evoluţiei produselor hardware, sistemelor de operare şi aplicaţiilor software ale furnizorilor. Comunicarea impactului potenţial al schimbărilor în tehnologie este inconsistentă.

2 Repetabil dar intuitiv când Nevoia pentru şi importanţa planificării tehnologice sunt comunicate. Planificarea este tactică şi focalizată mai mult pe generarea de soluţii pentru problemele tehnice decît spre utilizarea tehnologiei pentru a satisface necesităţile organizaţiei. Evoluţia schimbărilor tehnologice este lăsata pe seama diferiţilor indivizi care urmăresc procesele intuitiv, dar similar. Oamenii îşi obţin abilităţile în planificarea tehnologică prin învăţare din experienţa practică şi aplicarea repetată a tehnicilor. Tehnicile obişnuite şi standardele sunt în curs de dezvoltare pentru evoluţia componentelor infrastructurii.

3 Definit când Conducerea este conştientă de importanţa planului infrastructurii tehnologice. Procesul de dezvoltare a planului infrastructurii tehnologice este în mod rezonabil logic şi aliniat cu planul strategic IT. Planul infrastructurii tehologice este definit, documentat şi comunicat, dar nu este aplicat consistent. Direcţia infrastructurii tehnologice include o înţelegere a organizaţiei cu privire la modul în care trebuie administrată tehnologia sau a decalajului existent în utilizarea acesteia, având la bază riscurile şi alinierea cu strategia. Furnizorii principali sunt selectaţi pe baza înţelegerii planurilor de dezvoltare pe termen lung a produselor şi tehnologiei acestora, compatibile cu direcţiile organizaţiei. Există instruire formală şi se comunică rolurile şi responsabilităţile.

4 Administrat şi măsurabil când Conducerea asigură dezvoltarea şi întreținerea planului infrastructurii tehnologice. Membrii compartimentului IT au experienţa şi abilităţile necesare pentru a dezvolta planul infrastructurii tehnologice. Este luat în calcul impactul potenţial al tehnologiilor în schimbare şi în curs de dezvoltare. Conducerea poate identifica devierea de la plan şi anticipează problemele. Au fost alocate responsabilităţi pentru dezvoltarea şi întreţinerea planului infrastructurii tehnologice. Procesul de dezvoltare a planului infrastructurii tehnologice este sofisticat şi deschis la schimbări. În process au fost incluse bune practice interne. Strategia resurselor umane este aliniată cu direcţia tehnologică pentru a asigura că personalul poate face faţă schimbărilor tehnologice. Sunt definite planuri de migrare pentru introducerea de noi tehnologii. Externalizarea şi parteneriatul sunt îmbunatăţite pentru a accesa expertizele şi abilităţile necesare. Conducerea a analizat acceptarea riscului cu privire la modul în care trebuie administrată tehnologia sau a decalajului existent în utilizarea acesteia, în dezvoltarea de noi oportunităţi sau asigurarea eficienţei operaţionale

5 Optimizat când Există o funcţie de cercetare ce revizuieşte tehnologiilor emergente şi cele în dezvoltare şi care evaluează organizaţia prin analize comparative la nivelul industriei. Direcţia planului infrastructurii tehnologice este ghidată mai mult de standardele şi dezvoltările industriale şi internaţionale decît de furnizorii de tehnologie. Impactul potenţial al schimbărilor tehnologice asupra organizaţiei este revizuit la nivelurile superioare ale conducerii. Noile direcţii tehnologice sunt aprobate formal la nivel executiv. Entitatea are un plan al infrastructurii tehnologice robust, care reflectă cerinţele afacerii, este reactiv şi poate fi modificat pentru a reflecta schimbările din mediul de afaceri. Există un proces continuu şi susţinut pentru a îmbunătăţi planul infrastructurii tehnologice. Bunele practice din industrie sunt folosite pe scară largă pentru determinarea direcţiei tehnologice.

PO3 Planificare și organizare Determinarea direcției tehnologice



PO4 Definirea proceselor IT, a funcției şi a relaţiilor

Structura funcţională IT este definită luând în considerare cerinţele cu privire la personal, abilităţi, funcţii, responsabilităţi, autoritate, roluri şi supraveghere. Această structură funcţională este inclusă într-un cadru de referinţă al procesului IT care asigură transparenţa şi controlul precum şi implicarea atît de la nivel executive cît şi general. Un comitet/comisie responsabil cu stratega asigură supravegherea comitetului ITşi unul sau mai multe comitete directoare, în care reprezentanti ai companiei şi persoane din IT determină ierarhizarea resurselor IT în conformitate cu nevoile organizatiei. Pentru toate funcţiile există procese, politici administrative şi proceduri, cu o atenţie deosebită asupra controlului, asigurării calităţii, managementului riscului, securităţii informaţiilor, identificării responsabililor datelor si sistemelor şi separării functiilor incompatibile. Pentru asigurarea suportului si susţinerii cerinţelor economice IT-ul trebuie să fie implicat în procesele decizionale relevante.


Definirea proceselor IT, a funcției şi a relaţiilor


agilitatea cu care răspunde strategiei organizaţiie în conformitate cu cerintele de guvernare şi furnizarea de puncte de contact bine definite şi competente


stabilirii unor structuri oraganizaţionale IT transparente, flexibile şi reactive şi asupra definirii şi implementării proceselor IT cu responsabili, roluri şi responsabilităţi, integrate în procesele economice şi decizionale

este realizat prin

• Definirea unui cadru de referinţă pentru procesele IT • Stabilirea organismelor şi structurii organizatorice adecvate • Definirea rolurilor şi responsabilităţilor


• Procentul rolurile cu poziţia documentată şi cu descrierea autorităţii • Numărul de unităţi/procese economice care nu primesc suport din partea IT dar ar

trebui, conform strategiei • Numărul activităţilor IT de bază externalizate, care nu sunt aprobate sau care nu

sunt subiectul standardelor organizaţionale IT

Planificare și organizare Definirea proceselor IT, funcției și relațiilor PO4



PO4 Definirea proceselor IT, funcției și relațiilor

PO4.1 Cadrul de referinţă al proceselor IT Definirea unui cadru de referinţă pentru procesele IT care să execute planul IT strategic. Aceste cadru ar trebui să includă structura şi relaţiile procesului IT (ex.administrarea decalajelor şi suprapunerile proceselor), responsabilitatea, maturitatea, măsurarea performanţei, îmbunătăţirea, conformitatea, ţintele privind calitatea şi planurile pentru atingerea lor. Cadrul de referinţă ar trebui să furnizeze integrarea proceselor specifice IT-ului, managementul portofoliului companiei, procesele economice şi procesele privind schimbările organizaţionale. Cadrul de referinţă al procesului IT ar trebui să fie integrat într-un Sistem de Management al Calităţii (SMC) şi în cadrul de referinţă al controlului intern.

PO4.2 Comitetul responsabil cu strategia IT Stabilirea la nivelul conducerii a unui Comitet responsabil cu strategia IT. Acest comitet ar trebui să asigure că guvernarea IT, ca parte a guvernării companiei, este abordată în mod corespunzător; oferă consultanţă cu privire la direcţiile strategice şi revizuieşte investiţiile majore în numele structurii de conducere a organizaţiei.

PO4.3 Comitetul director IT Stabilirea unui comitet director IT (sau echivalent) alcătuit din reprezentanţi de la nivelul executiv, managementul proceselor economice cu scopul de a: • Identifica prioritatea programelor de investiţii IT în acord cu strategia şi priorităţile companiei • Urmarească evoluţia proiectelor şi să rezolve conflictul de resurse • Monitorizeze nivelul serviciilor şi imbunătăţirea acestora

PO4.4 Poziţionarea organizatională a funcţiei IT Funcţia IT trebuie plasată în structura organizaţională generală ca un model economic bazat pe importanţa IT în cadrul companiei, ţinînd cont de importanţa pentru atingerea strategiei economice şi de gradul de dependenţă operaţională faţă de IT. Liniile de raportare ale directorului IT (CIO) ar trebui să fie proporţionale cu importanţa IT-ului în cadrul întregii companii.

PO4.5 Structura organizatorică a IT Stabilirea unei structuri IT, atît internă cît şi externă, care să reflecte nevoile organizaţiei. În completare, trebuie să existe un proces prin care se revizuieşte periodic structura organizatorică cu scopul de a ajusta cerinţele de personal şi strategiile de recrutare pentru a îndeplini obiectivele economice și circumstanţele în schimbare.

PO4.6 Stabilirea rolurilor şi responsabilităţilor Stabilirea şi comunicarea rolurile şi responsabilităţile pentru personalul IT şi utilizatorii finali, care conturează autoritatea între personalul IT şi utilizatorul final, precum şi responsabilităţile şi sarcinile necesare pentru atingerea nevoilor organizaţiei.

PO4.7 Responsabilitatea pentru asigurarea calităţii în IT Alocarea responsabilităţii pentru performanţa funcţiei de asigurare a calităţii (AC) şi oferirea grupului care răspunde de AC de sisteme, a unui sistem de asigurare al calităţii adecvat, expertiză în control şi comunicare. Asigurarea că poziționarea organizațională, responsaptitudinile și numărul membrilor grupului de AC satisfac cerințele organizației.

PO4.8 Responsabilitatea pentru risc, securitate şi conformitate Includerea resaponabilului şi a responsabilităţilor pentru riscurile IT în cadrul afacerii la un nivel superior adecvat. Definirea și alocarea rolurilor critice pentru gestionarea riscurilor IT, incluzând responsabilităţi specifice pentru securitatea informaţiilor, securitatea fizică şi conformitatea cu cerinţele legale şi de reglementare. Stabilirea responsabilităţilor pentru managementul riscului şi a securităţii la nivelul companiei pentru a face faţă problemelor organizaţiei. Responsabilităţi suplimentare pentru managmentul securităţii ar putea fi atribuite la un nivel specific fiecărui sistem în parte, pentru a face faţă problemelor de securiate asociate. Obtinerea indicaţiilor din partea managementului superior în ceea ce priveşte apetitul pentru riscul IT, şi aprobarea riscului rezidual.

PO4.9 Responsabilitatea cu privire la date şi sistem Furnizarea de proceduri şi instrumente care să permită stabilirea răspunderii persoanelor responsabile de date şi sisteme. Aceşti responsabili ar trebui să ia decizii în legatură cu clasificarea informaţiilor şi a sistemului şi să le protejeze ţinând cont de această clasificare.

PO4.10 Supervizarea Implementarea unor practici adecvate de supervizare în carul funcţiei IT pentru a obţine asigurări că rolurile şi responsabilităţile sunt exercitate în mod adecvat, pentru a evalua dacă întreg personalul are suficientă autoritate şi resurse ca să-si execute rolurile şi să îşi îndeplinească responsabilităţile şi pentru o trecere în revista generală ICP/KPI.

PO4.11 Separarea funcţiilor de serviciu Implementarea de roluri şi responsabilităţi care să reducă posibilitatea ca o singură persoană să poată compromite un proces critic. Asigurarea că personalul realizează doar îndatoriri autorizate, relevante pentru funcţia şi poziţia lor.

PO4 Planificare și organizare Definirea proceselor IT, funcției și relațiilor


PO4.12 Personalul IT Evaluarea cu regularitate a cerinţelor de personal sau pe baza schimbărilor majore ale organizaţiei, operaţionale sau ale mediului IT, pentru a obţine asigurări că funcţia IT are resurse suficiente pentru a sprijini în mod adecvat şi potrivit scopurile şi obiectivele organizaţiei.

PO4.13 Personalul IT critic Definirea şi identificarea personalul IT critic (ex. persoanele ce trebuie să aibă un înlocuitor) şi minimizarea încrederii într-un singur angajat responabil pentru realizarea unei funcţii critice.

PO4.14 Politicile şi procedurile personalului contractual Asigurarea că personalul ce lucrează pe bază de contract şi consultanţii care sprijină IT-ul cunosc şi se supun politicilor organizaţiei cu privire la protecţia activelor acesteia, astfel încît să respecte cerinţele contractuale asumate.

PO4.15 Relaţiile Stabilirea şi menţinerea unei structrui optime de coordonare şi comunicare între funcţia IT şi celelalte componente interne şi externe, cum ar fi structura de conducere, managementul executiv, departamentele economice, utilizatorii individuali, furnizorii, responsabilii cu securitate, managerii de risc, grupurile responsabile de asigurarea conformităţii, furnizorii de servicii externalizate şi managementul acestora.

Planificare și organizare Definirea proceselor IT, funcția și relațiile PO4



PO4 Planificare și organizare Definirea proceselor IT, funcției și relațiilor



PO4 Definirea proceselor IT, funcției și relațiilor

De la Intrări Ieşiri Către PO1 Planuri strategice și tactice în IT Cadrul de referință al proceselor IT ME4

PO7 Politica și procedurile privind resursele umane, matricea aptitudinilor IT, fișa postului

Documentarea responsabililor de proces AI7 FS6

Oragnizarea funcției IT și a relațiilor PO7

PO8 Acțiuni pentru îmbuntățirea calității Cadrul de referință al proceselor IT, documentarea rolurilor și responsaptitudinilor

Toate

PO9 Planul acțiunilor de remediere a riscurilor IT Documentarea rolurilor și responsaptitudinilor

PO7

ME1 Planul acțiunilor de remediere

ME2 Raportul asupra eficacității controalelor IT

ME3 Catalogul cerințelor legale și de reglementare pentru furnizarea serviciilor IT

ME4 Îmbunătățirea cadrulului de referință al proceselor IT



Ob

iect

ive

� Răspunsul la cerințele de guvernare în acord cu direcțiile conducerii

� Răspunsul la cerințele economice în acord cu trategia afacerii

� Crearea agilității IT

� Stabilirea unei structuri IT flexibilă și reactivă și a relațiilor acesteia.

� Definirea clară a responsabililor, rolurilor și responaptitudinilor pentru toate procesele IT și a relațiilor cu beneficiarii

� Definirea cadrului de referință IT. � Stabilirea unui corp și a unei structuri

funcționale adecvate

Ind

icat

ori

� Gradul de satisfacție al beneficiarilor (sondaje)

� Numărul inițiativelor economice întîrziate datorită inerției organizatorice a IT sau indisponibilității capaptitudinilor

� Numărul proceselor economice care nu sunt sprijinite de funcția IT dar ar trebui să fie, conform strategiei

� Numărul activităților IT de bază, externalizate dar care nu au fost aprobate sau nu fac obiectul unor standarde organizaționale

� Numărul responsaptitudinilor aflate în conflict în raport cu cerințele de separare a sarcinilor de serviciu

� Numărul de evenimente escaladate sau nerezolvate datorită lipsei sau alocării insuficiente a responsaptitudinilor

� Procentul de beneficiari satisfăcuți de capacitatea de reacție a IT-ului

� Procentul de roluri cu poziții documentate și autoritate descrisă

� Procentul de funcții/procese IT operaționale conectate la structurile operaționale economice

� Frecvența întîlnirilor comitetului director și a celui responsabil cu strategia.

Planificare și organizare Definirea proceselor IT, funcției și relațiilor PO4

indică


indică



MODELUL DE MATURITATE

PO4 Definirea proceselor IT, a structurii funcţionale şi a relaţiilor

Managementul procesului Definirea proceselor IT, a structurii funcţionale şi a relaţiilor care satisface cerinţele organizaţiie pentru IT, pentru a fi agil ca răspuns la strategia organizaţiei, conformându-se în acelaşi timp cu cerinţele conducerii şi furnizând puncte de contact bine definite şi competente este:

0 Inexistent când Nu este definită o structură funcţională IT care să se axeze pe îndeplinirea obiectivelor afacerii.

1 Iniţial/Ad hoc când Activităţile şi funcţiile IT sunt reactive şi implementate inconsistent. IT-ul este implicat în proiectele economice doar în stadiile finale ale acestora. Funcţia IT este considerată o funcţie suport, fără o pespectivă generală a organizării. Există o înţelegere implicită a nevoii pentru organizarea IT dar rolurile şi responsabilităţile nu sunt nici formalizate nici puse în practică.

2 Repetitiv dar Intuitiv când Funcţia IT este organizată să răspundă cerinţelor tactice, dar este inconsistentă cu nevoile clientului şi în relaţiile cu furnizorii. Nevoia unei organizări structurate şi a managementului furnizorilor este comunicată, dar deciziile sunt încă dependente de cunoştinţele şi abilităţile personalului critic. Există o emergenţă a tehnicilor comune pentru a conduce structura funcţională IT şi relaţiile cu furnizorii

3 Definit când Există definite roluri şi responsabilităţi pentru structura funcţională IT şi pentru terţi. Structura funcţională IT este dezvoltată, documentată, comunicată şi aliniată cu strategia IT. Este definit mediul controlului intern. Există o formalizare a relaţiilor cu alte părţi, incluzând comitetele directoare, auditul intern şi managementul furnizorilor. Structura funcţională IT este completă din punct de vedere funcţional. Sunt definite funcţiile care trebuie executate de către personalul IT şi cele care trebuie executate de către utilizatori. Cerinţele esenţiale pentru personalul IT şi pentru experienţa acestuia sunt definite şi satisfăcute. Există o definire formală a relaţiilor cu utilizatorii şi cu terţii. Separarea rolurilor şi responsabilităţilor este definită şi implementată.

4 Administrat şi măsurabil când Structura funcţională IT răspunde în mod proactiv la schimbări şi include toate rolurile necesare pentru a se îndeplini cerinţele afacerii. Sunt definite şi bine proporţionate managementul IT, responsabilii proceselor şi responsabilitatea IT. Au fost aplicate bune practice interne în organizarea funcţiilor IT. Managementul IT are experienţa şi abilităţile corespunzătoare pentru a defini, implementa şi monitoriza organizarea şi relaţiile de colaborare. Sunt standardizaţi indicatori cantitativi pentru a sprijini obiectivele afacerii şi factorii critici de success (CSFs) definiţi de utilizator. Pentru susţinerea necesarului de angajaţi şi a dezvoltării profesionale a acestora sunt disponibile inventare cu abilităţile necesare. Este definit şi pus în practică necesarul de abilităţi şi resurse disponibile intern şi cele necesare din organizaţii externe. Structura funcţională IT reflectă în mod corespunzător nevoile organizaţiei, furnizând servicii aliniate cu procesele strategice, mai degrabă decât cu tehnologii isolate.

5 Optimizat când Structura organizaţională IT este flexibilă şi adaptabilă. Sunt aplicate bunele practice din industria de profil. Există o utilizare vastă a tehnologiei în monitorizarea performanţei structurii funcţionale şi a proceselor IT. Tehnologia sprijină complexitatea şi distribuţia geografică a organizaţiei. Există un process de îmbunătăţire continuă.

PO4 Planificare și organizare Definiți Procesul, Organizația și Relațiile IT



PO5 Managementul investiţiilor IT

Este stabilit şi întreţinut un cadru de referinţă pentru managementul programelor de investiţii IT, cadru ce înglobează costuri, beneficii, priorităţile în cadrul bugetului, un proces formal de bugetare oficial şi administrare conform bugetului. Beneficiarii sunt consultaţi cu scopul de a identifica şi controla costurile totale şi beneficiile în contextul planurilor strategice şi tactice IT şi şă iniţieze acţiunile de corecţie acolo unde este nevoie. Procesul stimulează parteneriatul între beneficiarii IT şi cei din zona economică permiţând folosirea resurselor IT efectiv şi eficient; furnizează transparenţă şi responsabilitate cu privire la costul total de utilizare (Total Cost of Ownership), realizarea beneficiilor economice şi rata de recuperare a investiţiilor (ROI) IT.


Managementul investiţiilor IT


a îmbunătăţi continuu şi demonstrabil eficacitatea costurilor IT şi contribuţia acestora la profitabilitatea organizaţiei cu ajutorul unor servicii integratee şi standardizate care satisfac aşteptările utilizatorului final


investiţiilor IT efective şi eficiente şi a deciziilor din portofoliu, şi stabilirea şi urmărirea bugetelor IT în conformitate cu strategia IT şi deciziile de investiţie

este realizat prin

• Prognozarea şi alocarea bugetelor • Definirea unor criteria formale cu privire la investiţii (ROI, perioada de recuperare a

investiţiei, valoarea netă [NPV]) • Măsurarea şi evaluarea valorii organizaţiei comparativ cu valoarea prognozată


• Procentul reducerii costului unitar pentru serviciile IT livrate • Procentul abaterii valorii bugetului comparat cu bugetul total • Procentul cheltuielilor IT exprimat în termeni de determinanţi economici

Planificare și organizare Managementul investițiilor IT PO5




PO5.1 Cadrul de referinţă pentru managementul financiar Stabilirea şi menţinerea unui cadru de referinţă pentru managementul financiar cu scopul de a gestiona investiţiile şi costul activelor şi serviciilor IT prin intermediul portofoliului investiţiilor IT, al studiilor de caz şi al bugetelor IT.

PO5.2 Stabilirea priorităţilor în cadrul bugetului IT Implementarea unui proces decizional care să stabilească prioritatea alocării resurselor pentru operaţiunile din IT, proiectelor şi întreţinerii, cu scopul de a maximiza contribuţia IT la optimizarea randamentului portofoliului de programe de investiţii IT al întreprinderii precum şi serviciilor şi activelor IT.

PO5.3 Bugetarea IT Stabilirea şi implementarea practicilor pentru elaborarea bugetului care să reflecte priorităţile stabilite de portofoliul progamelor de investiţii IT, incluzând costurile curente de exploatare şi întreţinere a infrastructurii existente. Practicile ar trebui să sprijine dezvoltarea unui buget general IT precum şi dezvoltarea bugetelor pentru programe individuale, cu accent specific pe componentele IT a acelor programe. Practicile ar trebui să permită revizuirea, rafinarea şi aprobarea bugetului general şi a bugetelor pentru programele individuale.

PO5.4 Managementul costurilor Implementarea unui proces de management al costului prin care să se compare costurile actuale cu bugetele aprobate. Costurile trebui să fie monitorizate şi raportate. În cazul în care există abateri, acestea trebuie identificate în timp util şi în acelaşi timp trebuie evaluat impactul acestor abateri asupra programelor. Împreună cu sponsorul acelor programe, trebui să fie luate măsuri adecvate de remediere şi, dacă este necesar, pachetul de programe trebuie actualizat.

PO5.5 Managementul beneficiilor Implementarea unui proces pentru monitorizarea beneficiilor rezultate din furnizarea şi menţinerea corespunzătoare a capabilităţilor IT. Ar trebui identificată contribuţia IT în afacere, fie ca o componentă a programelor de investiţie IT fie ca o parte a sprijinului operaţional periodic şi documentată într-un studiu de caz, asumat, monitorizat şi raportat. Rapoartele ar trebui să fie revizuite şi, unde există oportunităţi de a îmbunătăţi contribuţia IT,ar trebui să fie definite şi puse în practică acţiunile corespunzatoare. În cazul în care schimbările în contribuţia IT afecteaza programul, sau în cazul în care schimbările din alte proiecte asociate afectează programul, studiul de caz al programului ar trebui actualizat.

PO5 Planificare și organizare Managementul investițiilor IT



PO5 Managementul investițiilor IT

De la Intrări Ieşiri Către

PO1 Planul strategic și planurile tactice, proiectul și portofoliile de servicii Analize cost-beneficiu PO1 AI2 FS6 ME1 ME4

PO3 Cerințe de infrastructură Bugete IT FS6

PO10 Portofoliu de proiect IT modificat Portofoliu actualizat de servicii IT FS1

AI1 Studiul de fezabilitate al cerințelor afacerii Portofoliu actualizat de proiecte IT PO10

AI7 Analize post implementare

FS3 Plan (cerințe) de performanță și calitate

FS6 Finanțe pentru IT

ME4 Rezultatul economic așteptat pentru investițiile IT autorizate



Ob

iect

ive

� Îmbunătățirea eficienței costurilor IT și contribuția sa la profitabilitatea afacerii.

� Asigurarea transparenței și înțelegerii costurilor, beneficiilor, strategiei, politicilor și n ivelelor serviciilor IT.

� Asigurarea faptului că IT-ul demonstrează o calitate a serviciului eficientă din punct de vedere al costurilor, îmbunătățiri continue și pregătirea pentru schimbările viitoare.

� Validarea investițiilor și deciziilor de portofoliu IT.

� Stabilirea și urmărirea bugetelor IT în legătură cu strategia IT și deciziile de investiție IT.

� Optimizarea costurilor IT și maximizarea beneficiilor IT.

� Definirea criteriilor formale de investiții (ROI, perioada de returnare, NPV).

� Previzionarea și alocarea bugetelor. � Măsurarea și estimarea valorii afacerii

față de previziuni.

Ind

icat

ori

� Procentul investițiilor IT ce depășesc sau respectă beneficiile economice predefinite.

� Procentul determinanților valorici IT asociați cu determinanții valorici ai afacerii.

� Procentul folosirii IT exprimat sub formă de determinanți valorici pentru afacer (de exemplu: creșterea vânzărilor datorită conectivității crescute).

� Numărul de abateri de la buget. � Procentul de abateri de la buget în

comparație cu bugetul total. � Procentul de reducere a costului unitar al

serviciilor IT furnizate. � Procentul investițiilor IT care furnizează

beneficii predefinite.

� Procentul proiectelor care au beneficiul definit la început.

� Procentul serviciilor IT a căror costuri sunt înregistrate.

� Procentul proiectelor cu o analiză post-proiect.

� Frecvența raportării beneficiilor. � Procentul proiectelor care au disponibile

performanța informației (de exemplu: costul performanței, programul de performanță, profilul de risc).

Planificare și organizare Managementul investițiilor IT PO5

indică


indică



MODEL DE MATURITATE


Managementul procesului de Management al investiţiilor IT ce satisface cerinţele economice ale IT de a îmbunătăţi continuu şi demonstrabil eficacitatea costurilor IT şi contribuţia acestora la profitabilitatea organizaţiei cu ajutorul unor servicii integratee şi standardizate care satisface aşteptările utilizatorului final este:

0 Inexistent când Nu este conştientizată importanţa selectării şi bugetării investiţiilor IT. Investiţiile şi cheltuielile IT nu se urmăresc sau nu se monitorizează.

1 Initial/Ad Hoc când Organizaţia recunoaşte nevoia de gestionare a investiţiilor IT, dar această nevoie este comunicată inconsistent. Alocarea responsabilităţilor pentru selectarea investiţiilor IT şi dezvoltarea bugetului este realizată pe baze ad hoc. Există implementări izolate de selectare a investiţiilor IT şi bugetarea acestora, cu o documentare informală. Investiţiile în IT sunt justificate pe baze ad hoc. Apar decizii reactive şi operaţionale concentrate pe bugetare.

2 Repetabil dar Intuitiv când Există o înţelegere implicită a nevoii de selectare a investiţiilor IT şi a bugetării. Necesitatea unui proces de selectare şi bugetare este comunicată. Conformitatea depinde de iniţiativele individuale din cadrul organizaţiei. Există tehnici comune pentru dezvoltarea componentelor bugetului IT. Apar decizii reactive şi tactice cu privire la bugetare.

3 Definit când Politicile şi procesele pentru realizarea investiţiilor şi bugetelor sunt definite, documentate şi comunicate, şi cuprind aspectele critice din punct de vedere economic şi tehnologic. Bugetul IT este în concordanţă cu planul strategic IT şi planurile de afaceri. Procesele de selectare a investiţiilor IT şi bugetare sunt formalizate, documentate şi comunicate. Se realizează instruire formală, dar mai mult pe baza iniţiativelor individuale. Există o aprobare formal a selectării investiţiilor IT şi a bugetelor. Personalul IT are experienţa şi cunoştinţele necesare pentru a dezvolta bugetul IT şi a recomanda investiţiile IT corespunzătoare.

4 Administrat şi măsurabil când Responsabilităţile şi sarcinile pentru selectarea investiţiei şi a bugetării sunt alocate unor persoane specializate. Diferenţele bugetare sunt identificate şi soluţionate. Se realizează o analiză formal a costurilor acoperind costurile directe şi indirect pentru operaţiunile existente, dar şi costul investiţiilor propuse. Se au în vedere toate costurile pentru întregul ciclu de viaţă. Pentru bugetare se foloseşte un proces proactiv şi standardizat. În planurile de investiţii este prezentat impactul împărţirii costurilor în operaţionale şi de dezvoltare, pornind de la hardware şi software şi terminînd cu integrarea sistemelor, resursele umane. Beneficiile şi veniturile sunt calculate atât în termeni financiari cât şi non-financiari.

5 Optimizat când Bunele practici ale sectorului industrial sunt folosite pentru a compara costurile şi a identifica abordări noi pentru a creşte eficienţa investiţiilor. În procesul de selectare a investiţiilor şi bugetare se foloseşte analiza evoluţiilor tehnologice. Procesul de management a investiţiilor este îmbuntăţit continuu pe baza lecţiilor învaţate din analiza performanţei investiţiilor actuale. Deciziile de investiţie includ tendinţele pentru îmbunătăţirea preţurilor/performanţelor. Sunt investigate şi evaluate formal alternativele de finanţare, luînd în calcul structura capitalului existent şi folosind metode de evaluare formale. Diferenţele sunt identificate proactiv. În deciziile de investiţii este înclusă o analiză a costurilor pe termen lung şi beneficiilor de pe parcursul ciclului de viaţă.

PO5 Planificare și organizare Managementul investițiilor IT



PO6 Comunicarea intenţiilor şi obiectivelor conducerii

Conducerea dezvoltă un cadru de referinţă al controlului ITla nivelul întregii organizaţii, defineşte şi comunică politicile. Este pus în aplicare un program de comunicare cu scopul de a articula misiunea, obiectivele serviciilor, politicile şi procedurile etc., aprobate şi susţinute de către conducere. Comunicarea sprijină realizarea obiectivelor IT şi asigură gradul de conştientizare şi de înţelegere a riscurilor afacerii şi a celor din IT, obiectivele şi intenţiile. Procesul asigură conformitatea cu legile şi reglementările relevante.


Comunicarea intenţiilor şi obiectivelor managementului


furnizarea de informaţii exacte şi actualizate privind serviciile IT actuale şi viitoare şi a riscurilor şi responsabilităţilor asociate,


furnizării către beneficiari de politici, proceduri, ghiduri şi alte documente corecte, uşor de înţeles şi aprobate, încorporate într-un cadru de referinţă al controlului IT

se realizează prin

• Definirea unui cadru de referinţă al controlui IT • Dezvoltarea şi iniţierea politicilor IT • Aplicarea politicilor IT


• Numărul de întreruperi ale proceselor economice din cauza întreruperii serviciilor IT

• Procentul de beneficiari, care înţeleg cadrul de referinţă al controlui IT • Procentul de beneficiari care nu respectă politica organizaţiei

Planificare și organizare Comunicarea intențiilor și obiectivelor conducerii PO6




PO6.1 Politica IT si mediul controlui Definirea elementelor constiuente ale mediului controlului IT, aliniate cu filosofia managerială şi modul de lucru. Aceste elemente ar trebui să includă cerinţele cu privire la transferul de valoare din investiţiile IT, apetitul pentru risc, integritatea, valorile etice, competenţele personalului, răspunderea şi responsabilitatea. Mediul controlului trebuie să fie bazat pe o cultură care susţine transferul de valoare şi, în acelaşi timp, gestionează riscurilor semnificative, încurajează cooperarea inter-departamentală şi munca în echipă, promovează respectarea şi îmbunătăţirea continuă a procesului, şi tratează abaterile procesului (inclusiv eşecurile).

PO6.2 Riscul IT si cadrul de referinţă al controlului Dezvoltarea şi întreţinerea unui cadru de referinţă care defineşte abordarea pe ansamblu a companiei cu privire la riscul şi controlul IT şi care se aliniază cu politica IT, cu mediul controlului şi cu riscul şi cadrul de referinţă al controlui la nivelul întregii organizaţiei.

PO6.3 Managementul politicilor IT Dezvoltarea şi menţinerea unui set de politici care să susţină strategia IT. Aceste politici trebuie să includă intenţia politicii; rolurile şi responsabilităţile; excepţiile; abordarea cu privire la conformitate; trimiteri la proceduri, standarde şi ghiduri de lucru. Relevanţa acestora ar trebui să fie confirmată şi aprobată cu regularitate.

PO6.4 Iniţierea politicii, standardelor şi procedurilor Aducerea la cunoştinţă şi aplicarea politicilor IT personalului relevant, astfel încât acestea să fie parte intergantă a manierei de operare a organizaţiei.

PO6.5 Comunicarea obiectivelor şi intenţiilor IT Comunicarea nivelului de conştientizare şi înţelegere a obiectivelor economice şi a celor IT către beneficiarii organizaţiei.

PO6 Planificare și organizare Comunicarea intențiilor și obiectivelor conducerii



PO6 Comunicarea intențiilor și obiectivelor conducerii


PO1 Planuri strategice și tactice în IT, proiect IT și portofolii de servicii Cadrul de control IT în întreprindere Toate

PO9 Liniile directoare legate de gestionarea riscurilor în IT

Politici IT Toate

ME2 Raport privind eficacitatea controalelor IT



Ob

iect

ive

� Asigurarea transparenței și a înțelegerii privind costurile IT, a beneficiilor, a strategiei, a politicii și a nivelurilor de servicii.

� Asigurarea că tranzacțiile automate și schimbul de informații sunt de încredere.

� Asigurarea că informațiile critice și confidențiale nu sunt accesbile decât persoanelor autorizate.

� Asigurarea unui impact minim asupra afacerii în cazul întreruperii sau a schimbării serviciului IT.

� Asigurarea utilizării corecte și performante a aplicației și a soluțiilor tehnologice.

� Asigurarea faptului că serviciile și infrastructura IT pot rezista în mod corespunzător și se pot recupera de la un eșec datorat unor erori, atac intenționat sau dezastru.

� Elaborarea unui cadru IT de control, comun și comprehensiv.

� Elaborarea unui set de politici IT comun și comprehensiv.

� Comunicarea strategiei IT, politicilor și a cadrului de control.

� Definirea unui cadru de control IT. � Dezvoltarea și diseminarea politicilor IT. � Aplicarea politicilor IT. � Definirea și menținerea unui plan de

comunicații.

Ind

icat

ori

� Numărul de cazuri în care informațiile confidențiale au fost compromise.

� Numărul de întreruperi ale afacerii în cazul întreruperii serviciilor IT.

� Nivelul de înțelegere a costurilor IT, a beneficiilor, a strategiei, politicilor șia a nivelurilor de servicii.

� Procentul părților interesate care înțeleg politica IT.

� Procentul beneficiarilor care înțeleg cadrul de control IT al întreprinderii.

� Procentul beneficiarilor care nu se supun politicii.

� Frecvența de revizuire/actualizare a politicii.

� Promptitudinea și frecvența de comunicare pentru utilizatori.

� Frecvența de revizuire/actualizare a cadrului de referință IT al întreprinderii.

Planificare și organizare Comunicarea intențiilor și obiectivelor conducerii PO6

indică


indică



MODEL DE MATURITATE


Gestionarea procesului de Comunicare a intenţiilor şi obiectivelor conducerii care îndeplinește cerinţele afacerii pentru IT în furnizarea de informaţii exacte şi actualizate privind serviciile IT actuale şi viitoare şi a riscurilor şi responsabilităţilor asociate este:

0 Inexistent când Conducerea nu a stabilit un mediu de control IT corespunzător. Nu este recunoscută nevoia stabilirii unui set de politici, planuri şi proceduri şi un proces pentru asigurarea conformităţii.

1 Iniţial când Conducerea este reactivă în abordarea cerinţelor mediului controlului. Politicile, procedurile şi standardele sunt dezvoltate şi comunicate ad hoc, pe măsură ce apar probleme. Procesele de dezvoltare, comunicare şi de conformitate sunt informale şi inconsecvente.

2 Repetabil dar intuitiv când Nevoile şi cerinţele unui mediu de control eficient sunt înţelese implicit de către conducere, dar practicile sunt în mare parte informale. Necesitatea elaborării unor politici de control, planuri si proceduri este comunicată de către conducere, dar dezvoltarea este lăsată la latitudinea fiecărui manager şi domeniu al afacerii. Calitatea este recunoscută ca o filosofie de urmat, dar practicile sunt lăsate la latitudinea fiecărui manager. Instruirea este realizată individual, la cerere.

3 Definit când Este dezvoltat un mediu de control al informaţiei şi al calităţii, documentat şi comunicat de către conducere şi care include un cadru de referinţă pentru politici, planuri şi proceduri. Procesul dezvoltării politicii este structurat, menţinut şi cunoscut de către toti angajaţii, iar politicile, planurile şi procedurile existente sunt solide şi acoperă aspecte critice. Conducerea evidenţiază importanţa conştientizării securităţii IT şi iniţiază programe de conştientizare. Instruirea formală este disponibilă pentru a susţine mediul de control al informaţiei dar nu este aplicată cu rigoare. Deşi există un cadru general de referinţă pentru dezvoltarea politicilor şi procedurile de control, monitorizarea conformităţii cu aceste politici şi proceduri este inconsistentă. Există un cadru general de dezvoltare. Tehnicile de promovare a gradului de conştientizare asupra securităţii au fost standardizate şi formalizate.

4 Administrat şi măsurabil când Conducerea îşi asumă responsabilitatea pentru comunicarea politicilor de control intern, deleagă responsabilităţi şi alocă suficiente resurse pentru a menţine un mediu în linie cu schimbările semnificative. Este stabilit un mediu de control al informaţiei, pozitiv, proactiv, inclusiv un angajament în ceea ce priveşte conştientizarea asupra calităţii şi securităţii IT. Este dezvoltat, menţinut şi comunicat un set de politici, planuri şi proceduri ce reprezintă un compozit al bunelor practici interne. Este stabilit un cadru pentru aplicarea şi verificarea ulterioară de conformitate.

5 Optimizat când Mediul de control al informaţiei este aliniat cu cadrul strategic şi cu viziunea conducerii şi este revizuit frecvent, actualizat şi îmbunătăţit continuu. Experţii interni şi externi sunt delegaţi să asigure că bunele practici industriale sunt adoptate în conformitate cu orientările în ceea ce priveşte controlul şi tehnicile de comunicare. Monitorizarea, auto-evaluarea şi verificarea de conformitate sunt omniprezente în cadrul organizaţiei. Tehnologia este utilizată pentru a menţine/respecta politica şi gradul de conştientizare asupra bazei de cunoştinţe si pentru a optimiza comunicarea prin intermediul automatizării activităţii de birou si prin utilizarea instrumentelor informatice pentru training.

PO6 Planificare și organizare Comunicarea intențiilor și obiectivelor conducerii



PO7 Managementul resurselor umane în IT

Forţa de muncă competentă este dobândită şi menţinută pentru crearea şi oferirea serviciilor IT unei afacerii. Acest lucru este realizat prin respectarea unor practici definite şi agreate care sprijină recrutarea, instruirea, evaluarea performaţelor, promovarea şi rezilierea contractului de mncă. Acest proces este critic, deoarece oamenii sunt active importante, iar guvernarea şi mediul controlului intern sunt puternic dependente de motivaţia şi competenţa personalului.


Managementul resurselor umane în IT


angajarea de personal competent şi motivat pentru crearea şi oferirea serviciilor IT


angajării şi instruirii personalului, motivării prin intermediul unor direcţii clare în carieră, delegării rolurilor care corespund cu abilităţile, stabilirii unui proces de revizuire, creării fişelor de post şi conştientizării în ceea ce priveşte dependenţele între indivizi

se realizează prin

• Analiza performaţelor angajaţilor • Angajarea şi instruirea personalului din IT pentru a sprijini planurile tactice IT • Reducerea riscului supradependenţei de resursele cheie


• Nivelul de satisfacţie al beneficiarilor față de experiența şi abilităţile personalului din IT

• Cifra de afaceri rezultată din activitatea personalului IT • Procentul din cadrul personalului IT, certificat ţinând cont de cerinţele

locului de munca

Planificare și organizare Managementul resurselor umane în IT PO7




PO7.1 Recrutarea şi retenţia personalului Procesul de recrutare a personalului IT este menţinut în acord cu politicile şi procedurile aplicate întregului personal din organizaţie (de exemplu angajarea, mediul de lucru pozitiv, orientarea în carieră). Sunt implementate procese pentru a asigura că organizaţia deţine forţă de muncă în IT, alocată în mod corespunzator și cu abilităţile necesare pentru atingerea obiectivelor organizaţionale.

PO7.2 Competenţele personalului Se va verifica cu regularitate dacă personalul deține competenţelele necesare pentru îndeplinirea rolurilor în funcţie de pregătirea lor, instruire şi/sau a experienţă. Se definesc cerinţele competențelor esenţiale în IT şi se verifică dacă acestea sunt menţinute folosind programe de calificare si certificare, acolo unde este cazul.

PO7.3 Acoperirea rolurilor din punct de vedere al personalului Definirea, monitorizarea şi supervizarea rolurilor, responsabilităţilor şi schemelor de remunerare pentru personal, inclusiv obligaţia de a adera la politicile şi procedurile managementului, codul etic şi practicile profesionale. Nivelul de supervizare trebui să fie aliniat cu sensibilitatea poziţiei și cu gradul de responsabilităţi atribuit.

PO7.4 Instruirea personalului Oferă angajaţilor din IT orientarea în carieră adecvată, atît la momentul angajaării cît și instruire continuă pentru a menţine nivelul cerut asupra cunoştinţelor, competenţelor, abilităţilor, controalelor interne şi a gradului de conştientizare asupra securităţii pentru îndeplinirea obiectivelor organizaţionale.

PO7.5 Dependenţa de individualităţi Reducere expunerii organizației față de dependenţa critică de anumiţi indivizi cheie prin documentarea cunoştinţelor, schimbul de cunoştinţe, planificarea succesiunii şi a personalului de rezervă.

PO7.6 Proceduri pentru autorizarea personalului Sunt incluse controale de fond în procesul de recrutare în domeniul IT. Amploarea şi frecvenţa revizuirilor periodice a acestor controale ar trebui să depindă de sensibilitatea şi/sau importanţa funcţiei ocupate şi trebuie să se aplice pentru angajaţi, contractanţi şi furnizori

PO7.7 Evaluarea performanţelor angajaţilor Este necesară efectuarea în mod regulat a unei evaluări în timp util, în raport cu obiectivele individuale ce decurg din obiectivele organizaţionale, standardele stabilite şi responsabilităţile specifice locului de munca. Angajaţii ar trebui să primească instruire asupra performanţei şi indicaţii unde este cazul.

PO7.8 Schimbarea locului de muncă şi rezilierea contractului de muncă Se iau măsuri folositoare în ceea ce priveşte schimbarea locului de muncă, în mod special rezilierea contractului. Transferul de cunoştinţe trebuie pus la punct, responsabilităţile trebuie reatribuite şi drepturile de access eliminate, astfel încât riscurile să fie reduse la minim şi continuitatea postului/funcţiei să fie garantată.

PO7 Planificare și organizare Managementul resurselor umane în IT





PO4 Organizarea și legăturile IT; roluri și responsaptitudini documentate

Politici și procedur cu privire la resursele umane IT PO4

AI1 Studiu de fezabilitate privind cerințele afacerii

Matricea aptitudinilor IT PO4 PO10

Fișa postului PO4

Competențele și aptitudinile utilizatorilor, inclusiv instruirile individuale

FS7

Cerințele specifice la instruire FS7

Roluri și responsaptitudini Toate



Ob

iect

ive

� Achiziția și menținerea aptitudinilor care sunt conforme cu strategia IT.

� Crearea agilității IT.

� Formarea practicilor specializate managementului resurselor umane.

� Utilizarea personalului IT în mod eficient în același timp cu minimizarea dependenței de personalul cheie.

� Angajarea și instruirea personalului IT pentru a sprijini planurile tactice IT.

� Atenuarea riscului de supradependență de resursele cheie.

� Analiza performanței personalului.

Ind

icat

ori

� Nivelul satisfacției acționarilor referitor la aptitudinile și expertiza personalului IT.

� Randamentul personalului IT. � Procentul personalului IT satisfăcut

(indice compozit).

� Procentul din membrii personalului IT care întrunesc profilul de competență pentru rolurile necesare așa cum sunt definite în strategie.

� Procentul din rolurile IT ocupate. � Procentul din zilele de lucru pierdute din

cauza absenței neplanificate. � Procentul din membrii personalului IT care

au terminat planul anual de instruire IT. � Actualul coeficient de personal angajat față

de coeficientul planificat. � Procentul de angajați IT care au fost supuși

cerificărilor de cunoștințe. � Procentul de roluri IT cu personalul de

rezervă calificat.

� Procentul de personal IT care a finalizat planurile de dezvoltare profesională.

� Procentul de personal IT cu revizuirea performanței documentată și validată la timp.

� Procentul posturilor IT ce sunt prevăzute cu descrieri și calificatori de angajare.

� Media numărului de instruiri și de punere în practică (inclusiv instruiri) pe persoană pe an.

� Coeficientul de rotație al personalului IT. � Procentul de personal IT certificat

corespunzător cu cerințele postului. � Media numărului de zile pentru a

completa rolurile IT libere.

Planificare și organizare Managementul resurselor umane în IT PO7

indică


indică



MODELUL DE MATURITATE


Managementul procesului de Management al resurselor umane în IT care îndeplineşte cerinţele afacerii pentru IT pentru angajarea de personal competent şi motivat pentru crearea şi oferirea serviciilor IT este:

0 Inexistent când Nu există un grad de conştientizare asupra importanţei alinierii managementului resurselor umane din IT cu procesul de planificare a tehnologiei. Nu există, formal, nici o persoană sau grup responsabil în mod oficial pentru managementul resurselor umane în IT.

1 Iniţial/Ad hoc când Conducerea recunoaşte necesitatea managementului resurselor umane în IT. Procesul de management al resurselor umane în IT este informal şi reactiv. Procesul de management al resurselor umane în IT este orientat din punct de vedere operaţional pe angajarea şi conducerea personalului din IT. Gradul de conştientizare se dezvoltă ţinând cont de impactul pe care îl au schimbările rapide din mediul economic și din tehnologie precum şi soluţiile din ce în ce mai complexe asupra nevoii de competențe și aptitudini noi.

2 Repetitiv dar intuitiv când Există o abordare tactică în angajarea şi managementul personalului IT, condusă mai mult de necesităţi specifice proiectelor decât de înțelegerea echilibrului dintre disponibilitatea internă şi externă a personalului calificat. Instruirea informală se desfăşoară pentru noii angajaţi, care primesc atunci o instruire pe baza nevoilor curente.

3 Definit când Există un proces definit şi documentat pentru managementul resurselor umane în IT. Există un plan de management al resurselor umane în IT. Există o abordare strategică pentru angajarea şi managementul personalului în IT. Este proiectat un plan formal de instruire pentru a satisface necesităţile resurselor umane din IT. Este stabilit un program de rotaţie a funcțiilor, proiectat să lărgească abilităţile tehnice şi de conducere .

4 Administrat şi măsurabil când Responsabilitatea pentru dezvoltarea şi menţinerea unui plan de management al resurselor umane în IT este alocat unei persoane anume sau grup cu experienţa şi aptitudinile necesare pentru a dezvolta şi menţine planul. Procesul de elaborare şi gestionare a planului de management al resurselor umane în IT este receptiv la schimbare. În organizaţie există măsurători standardizate care să permită identificarea abaterilor de la planul de management al resurselor umane în IT, cu accent specific în gestionarea creşterii personalului în IT şi a cifrei de afaceri. Remunerarea şi analiza performanţelor sunt stabilite şi comparate cu alte organizaţii IT şi cu bunele practici din industrie. Managementul resurselor umane în IT este proactiv, luând în considerare modalităţile de dezvoltare a carierei.

5 Optimizat când Planul de management al resurselor umane în IT este actualizat în permanenţă pentru a întruni cerinţele afacerii. Conducerea resurselor umane în IT este integrată cu planificarea tehnologiei, asigurând o dezvoltare optimă şi utilizarea abilităţilor IT disponibile. Managementul resurselor umane în IT este integrat şi responsabil pentru direcţia strategică a entităţii. Componentele de management al resurselor umane în IT sunt în concordanţă cu bunele practici industriale, cum ar fi remunerarea, evaluarea performanţei, participarea la forumuri profesionale, transferul de cunoştinţe, de formare şi îndrumare. Programele de formare sunt dezvoltate pentru toate tehnologiile şi produsele noi înainte de lansarea acestora în cadrul organizaţiei.

PO7 Planificare și organizare Managementul resurselor umane în IT



PO8 Managementul calității

Este dezvoltat și întreținut un Sistem de Management al Calităţii (SMC) incluzând procese şi standarde de dezvoltare și achiziție a sistemelor informaționale, dovedite. Acest lucru este posibil cu ajutorul planificării, implementării şi menţinerii Sistemului de Management al Calităţii, prin furnizarea de cerinţe clare de calitate, proceduri şi politici. Cerințele de calitate sunt formulate şi transpuse în indicatori cuantificabili şi realizabili. Îmbunătăţirea continuă se realizează prin monitorizare permanentă, analiză şi măsurarea abaterilor şi comunicarea rezultatelor către beneficiari. Managementul calităţii este esenţial pentru a asigura că IT- ul oferă valoare afacerii, îmbunătăţire continuă şi transparenţă pentru beneficiari.

Controlul asupra procesului IT de

Management al calitaţii


a asigura îmbunatăţirea continuă și cuantificabilă a serviciilor IT livrate

prin concentrarea atenției asupra

definirii unui SMC, monitorizarea continuă a performanţei în raport cu obiectivele predefinite şi punerea în aplicare a unui program pentru îmbunătăţirea continuă a serviciilor IT

se realizează prin

• Definirea unor standarde şi practici de calitate • Monitorizarea şi analiza performanţei interne şi externe în raport cu standardele şi practicile

de calitate • Imbunătăţirea continuă a SMC


• Procentul beneficiarilor mulţumiţi de calitatea serviciilor IT (ponderat în funcţie de importanţa acestuia)

• Procentul de procese IT care sunt revizuite formal și cu regularitate de către responsabilii cu asigurarea calităţii şi care întrunesc scopurile şi obiectivele de calitate

• Procentul de procese care sunt revizuite de responsabilii cu asigurarea calităţii

Planificare și organizare Managementul calității PO8




PO8.1 Sistemul de Management al Calităţii Stabilirea şi menţinerea unui SMC, care oferă o abordare standardizată, formală şi continuă în ceea ce priveşte managementul calităţii și care este aliniat cu cerinţele afacerii. SMC ar trebui să identifice cerinţe şi criterii de calitate; procesele IT considerate critice, ierhia și interacţiunea dintre acestea; politici, criterii şi metode pentru definirea, detectarea, corectarea şi prevenirea neconformităţilor. SMC-ul ar trebui să definească structura organizaţională pentru managementul calității, acoperind rolurile, sarcinile şi responsabilităţile asociate. Toate domeniile cheie trebuie să îşi elaboreze planuri de calitate în conformitate cu criteriile și politicile adoptate și să înregistreze datele cu privire la calitate. Monitorizarea şi măsurarea eficacității şi acceptanţei Sistemului de Management al Calităţii şi îmbunătăţirea lui atunci când este nevoie.

PO8.2 Standarde şi practici de calitate IT Identificarea şi mentinerea unor standarde, proceduri şi practici pentru procesele IT cheie cu scopul de a ghida organizaţia spre atingerea scopului trasat de SMC. Utilizarea ca referențial a bunelor practici din sectorul industrial atunci când se îmbunătăţesc şi se adaptează practicile legate de calitate.

PO8.3 Standarde de dezvoltare şi achiziţie Adoptarea şi menţinerea unor standarde pentru dezvoltarea şi/sau achiziţia sistemelor infomaționale, standarde ce urmăresc ciclul de viaţă al livrabilului final și includ acceptarea unor jaloane pe baza unor criterii. Luarea în calcul a standardelor de dezvoltare a softwareului, convenţiile de nume, formatele fişierelor, standardele de proiectare pentru schema şi dicţionarul de date, standardele de proiectare a interfeţelor utilizator, interoperabilitatea, eficacitatea performanţei sistemului, scalabilitatea, standarde pentru dezvoltare şi testare, validarea în conformitate cu cerinţele, planuri de testare, si testarea modulelor, testarea de regresie şi testarea integrării.

PO8.4 Orientare spre client Orientarea managementului calităţii spre clienţi prin identificarea cerinţelor acestora şi alinierea la standardele şi practicile IT. Definirea de roluri şi responsabilităţi cu privire la rezolvarea conflictelor dintre utilizator/client și structura funcțională IT.

PO8.5 Imbunătăţire continuă Menţinerea şi comunicarea în mod regulat unui plan general al calității care promovează îmbunătăţirea continuă.

PO8.6 Măsurarea, monitorizarea şi revizuirea calităţii Definirea, planificarea şi punerea în aplicare a unor indicatori pentru a monitoriza în mod continuu conformitatea cu SMC precum și a valorii adusă de SMC. Tehnicile de măsurare, monitorizare şi înregistrare a informaţiilor trebuie utilizate de către responsabilului de proces pentru a întreprinde măsuri corective și prevenitive corespunzătoare.

PO8 Planificare și organizare Managementul calității




De la Intrări Ieşiri Către PO1 Plan strategic pentru IT Standarde de achiziție AI1 AI2 AI3 AI5 FS2

PO10 Planuri detaliate pentru proiect Standarde de dezvoltare PO10 AI1 AI2 AI3 AI7

ME1 Planuri cu acțiuni corective Standarde de calitate și cerințe privind indicatori

Toate

Acțiuni de îmbunătățire a calității PO4 AI6



Ob

iect

ive

� Asigurarea satisfacției utilizatorilor finali prin ceea ce oferă serviciul și nivelele sale.

� Reducere defectelor soluției și serviciilor livrate.

� Livrarea proiectelor la timp și încadrat în buget îndeplinind standardele de calitate.

� Stabilirea culturii și a standardelor de calitate pentru procesele IT.

� Stabilirea unei funcții IT de asigurare a calității eficientă și efectivă.

� Monitorizarea eficienței proceselor și proiectelor IT.

� Definirea standardelor și practicilor de calitate.

� Monitorizarea și revizuirea performanței interne și externe față de standardele și practicile de calitate definite.

Ind

icat

ori

� Procentul de beneficiari satisfăcuți de calitatea IT-ului (ponderată în funcție de importanță).

� Procentul din defectele nedescoperite prioritare producției.

� Procentul de reducere a numărului de incidente de severitate înaltă pe utilizator, pe lună.

� Procentul din proiectele IT revizuite și încheiate de responsabilii cu asigurarea calității ce îndeplinesc scopurile și obiectivele țintă referitoare la calitate.

� Procentul din procesele IT care sunt riguros revizuite de către responsabilii cu asigurarea calității, în mod periodic și care îndeplinesc scopurile și obiectivele țintă referitoare la calitate.

� Procentul din proiectele care sunt revizuite de către responsabilii cu asigurarea calității.

� Procentul din personalul IT care primesc cunoștințe legate de calitate/instruire în management.

� Procentul de procese și proiecte IT la care beneficiarii aprticipă în mod activ la asigurarea calității.

� Procentul din proiectele care sunt revizuite de către responsabilii cu asigurarea calității.

� Procentul din beneficiarii ce participă la expertizele privind calitatea.

nefi

Planificare și organizare Managementul calității PO8

indică


indică



MODEL DE MATURITATE


Managementul procesului de Management al calităţii care îndeplineşte cerinţele afacerii pentru IT ce asigura îmbunatăţirea continuă șșșși cuantificabilă a serviciilor IT livrate este:

0 Inexistent când Organizaţia nu are un process de planificare al SMC şi nici o metodologie pentru ciclul de viaţă al dezvoltării unui sistem. Managementul de la nivelul superior și staful IT nu recunosc necesitatea unui program pentru asigurarea calității. Proiectele și modul de lucru nu sînt revizuite niciodată din punct de vedere al calității.

1 Iniţial/Ad Hoc când Există o conştientizare din partea managementului asupra nevoii existenţei SMC. SMC este determinat de angajații unde acesta se manfestă. Managementul ia decizii informale în ceea ce privește calitatea.

2 Repetabil dar intuitiv când Este stabilit un program pentru a defini şi a monitoriza activităţile SMC-ului în IT. Acţiunile care au loc la nivelul SMC sunt concentrate pe iniţiativele IT orientate proces şi proiect, nu pe toate procesele întregii organizaţii.

3 Definit când Un proces SMC definit este comunicat în întreaga organizaţie de management şi implică managementul IT şi al utilizatorilor finali. Un program de educare şi formare îşi propune să înveţe toate nivelele organizaţiei despre calitate. Aşteptările de bază legate de calitate sunt definite şi sunt împărţite de-a lungul proiectelor și în cadrul structurii funcționale IT. Sunt în curs de dezvoltare instrumente şi practici comune pentru managementul calităţii. Sunt planificate și aplicate ocazional sondaje privind satisfacția faţă de calitate.

4 Administrat şi măsurabil când SMC-ul este avut în vedere în toate procesele, inclusiv în procesele ce presupun încredere faţă de terţi. Este stabilită o bază de cunoştinte standardizată. Metodele de analiză cost beneficiu sunt folosite pentru a justifica iniţiativele SMC-ului. Comparația cu industria şi competitorii este în creştere. Este instituit un program de educare şi formare cu privire la calitate, la toate nivelurile organizaţiei. Instrumentele şi practicile sunt standardizate iar analiza cauzei este aplicată periodic. Sondaje privind satisfacția faţă de calitate sunt efectuate în mod consecvent. Este aplicat un program standardizat și bine structurat de măsurare a calităţii. Managementul IT realizează o bază de cunoştinţe pentru indicatori de calitate.

5 Optimizat când SMC-ul este integrat şi aplicat în toate activităţile IT. Procesele SMC-ului sunt flexibile şi adaptabile la schimbările ce pot avea loc în mediul IT. Baza de cunoştinţe pentru indicatorii de calitate este îmbunătățită cu bune practici externe organizației. Compararea cu standardele externe se realizează în mod curent. Realizarea sondajelor privind satisfacția faţă de calitate reprezintă un proces continuu şi conduce la analiza cauzelor şi la acţiuni de îmbunătățire. Există o asigurare oficială cu privire la procesul de management al calității.

PO8 Planificare și organizare Managementul calității



PO9 Estimare şi managementul riscurilor IT

Este creat şi întreţinut un cadru de referință pentru managementul riscurilor. Acest cadru documentează un nivel comun şi convenit al riscurilor IT, strategiilor de reducere şi a riscurilor reziduale. Orice potenţial impact asupra obiectivelor organizaţiei, cauzat de un eveniment neprevăzut, este identificat, analizat şi evaluat. Strategiile de reducere a riscurilor sunt adoptate pentru a minimiza riscurile reziduale la un nivel acceptat. Rezultatul evaluării este uşor de înţeles de către acţionari şi exprimat în termeni financiari, pentru a permite acţionarilor să alinieze riscul la un nivel de toleranţă acceptabil.


Estimare şi managementul al riscurilor IT


a analiza şi comunica riscurile IT şi potenţialul lor impact asupra proceselor şi obiectivelor afacerii

prin a se concentra asupra

elaborării unui cadru de referinţă pentru managementul riscurilor, integrat în afacere şi la nivel operaţional, de evaluare a riscurilor, de reducere a riscurilor şi comunicare a riscurilor reziduale

se realizează prin

• Asigurarea că managementul riscurilor este complet integrat în procesele de management, pe plan intern şi extern, şi aplicate consecvent.

• Efectuarea evaluării riscurilor • Propunerea şi comunicarea planurilor de acţiune pentru remediere a riscurilor


• Procentul de obiective IT critice care cuprind evaluarea riscurilor • Procentul de riscuri IT critice identificate şi care au dezvoltate planuri de

acţiune • Procentul de planuri de acţiune pentru managementul riscurilor, aprobate

pentru a fi puse în aplicare

Planificare și organizare Estimarea și managementul riscurilor IT PO9



PO9 Estimarea şi managementul riscurilor IT

PO9.1 Cadrul de referinţă pentru managementul riscurilor IT Stabilirea unui cadru de referinţă pentru managementul riscurilor IT, aliniat cadrului de referinţă pentru managementul riscurilor organizaţiei (întreprinderii) .

PO9.2 Stabilirea contextului riscului Stabilirea contextului în care cadrul de referinţă pentru evaluarea riscurilor se aplică pentru a asigura obţinerea de rezultate adecvate. Acest cadru ar trebui să includă determinarea contextului intern şi extern al fiecărei evaluări a riscurilor, scopul evaluării şi criteriile în funcţie de care riscurile sunt evaluate.

PO9.3 Identificarea evenimentului Identificarea evenimentelor (o ameninţare realistă, importantă, care exploatează o vulnerabilitate semnificativă, aplicabilă organizaţiei) cu un impact potenţial negativ asupra obiectivelor şi operaţiunilor întreprinderii, inclusiv proceselor economice, reglementărilor juridice, tehnologiei, partenerilor de afaceri, resurselor umane şi aspectelor operaţionale. Determinarea naturii impactului şi menţinerea la zi a aceastei informaţii. Înregistrarea şi păstrarea riscurilor relevante într-un registru al riscurilor.

PO9.4 Estimarea riscurilor Estimarea în mod recurent a probabilităţii de apariţie şi a impactului tuturor riscurilor identificate, folosind metode calitative şi cantitative. Probabilitatea şi impactul asociate cu riscul inerent şi riscul rezidual trebuie determinate în mod individual, pe categorie şi pe baza unui portofoliu.

PO9.5 Reacția față de risc Dezvoltarea şi menţinerea unui proces de acţiune în cazul apariţiei riscurilor, conceput pentru a asigura că raportul cost-eficienţă micşorează expunerea la risc într-un mod continuu. Procesul de reacție față de risc trebuie să identifice strategii de risc cum sunt: evitarea, reducerea, partajarea sau acceptarea, să determine responsabilităţi asociate, şi să ia în considerare nivelurile de toleranţă ale riscului.

PO9.6 Întreţinerea şi monitorizarea unui plan de acţiune împotriva riscului Stabilirea ca prioritate şi planificarea controlului activităţilor la toate nivelurile unde este necesară punerea în aplicare a acţiunii de răspuns împotriva riscului, incluzând identificarea costurilor, beneficiilor şi a responsabilităţii pentru execuţie. Obţinerea aprobării pentru acţiunile recomandate şi acceptarea oricărui risc rezidual. Asigurarea că acţiunile efectuate aparţin responsabililor pentru procesele afectate. Monitorizarea execuţiei planurilor şi raportarea oricărei devieri către managementul superior.

PO9 Planificare și organizare Estimarea și managementul riscurilor IT



PO9 Estimarea și managementul riscurilor IT

De la Intrări Ieşiri Către PO1 Planurile strategice și tactice pentru IT Evaluarea riscului PO1 FS4 FS5 FS12 ME4

PO10 Plan de management al riscurilor unui proiect Raportarea riscului ME4

FS2 Riscurile aprovizionării Principiile managementului legate de

riscurile IT PO6

FS4 Rezultatele testelor neprevăzute Planurile de acțiune pentru remedierea riscului asociate IT-ului

PO4 AI6

FS5 Amenințările și vulneraptitudinile securității

ME1 Evenimentele și tendințele istorice ale riscului

ME4 Disponibilitatea întreprinderii la riscurile IT



Ob

iect

ive

� Asigurarea îndeplinirii obiectivelor IT. � Stabilirea clară a impactului asupra

afacerii pe care îl au riscurile legate de obiectivele și resursele IT.

� Importanța și protejarea bunurilor IT.

� Stabilirea și reducerea probaptitudinii și impactului riscurilor IT.

� Stabilirea planurilor de acțiune eficiente din punct de vedere al costurilor pentru riscurile IT critice.

� Asigurarea faptului că managementul riscurilor este inclus cât mai mult în procesele de management.

� Realizarea cu regularitate a evaluărilor riscului cu senior manageri și membri cheie ai personalului.

� Recomandarea și comunicarea planurilor de acțiune privind reducerea riscurilor.

Ind

icat

ori

� Procentul din obiectivele IT critice acoperite de evaluarea riscurilor.

� Procentul din riscurile IT evaluate și integrate în estimările apropiate ale riscurilor IT.

� Procentul din evenimentele IT critice identificate care au fost estimate.

� Numărul noilor riscuri IT identificate (comparativ cu perioada precedentă).

� Numărul incidentelor semnificative cauzate de riscurile care nu au fost identificate prin procesele de evaluare a riscurilor.

� Procentul din riscurile IT critice identificate ce au un plan de acțiune dezvoltat.

� Procentul din bugetul IT cheltuit pe activitățile managementului riscurilor (evaluarea și minimizarea).

� Frecvența revizuirii procesului de management al riscului IT.

� Procentul de evaluare a riscurilor aprobate.

� Numărul de rapoarte privind monitorizarea riscurilor efectuate raportate la frecvența execuției hotărâtă.

� Procentul din evenimentele IT identificate utilizate în evaluarea riscurilor.

� Procentul din planurile de acțiune a managementului riscurilor aprobat pentru implementare.

Planificare și organizare Estimarea și managementul riscurilor IT PO9

indică


indică



MODEL DE MATURITATE

PO9 Estimarea și managementul riscurilor IT

Managementul procesului de Estimare şi management a riscurilor IT care îndeplineşte cerinţa afacerii pentru IT de a analiza şi comunica riscurile IT şi potenţialul lor impact asupra proceselor şi obiectivelor afacerii este:

0 Inexistent când Nu are loc estimarea riscurilor pentru procesele şi deciziile. Organizaţia nu consideră că vulnerabilitaţile la adresa securității şi incertitudinile de dezvoltare ale unui proiect au impact asupra afacerii. Managemenul riscurilor nu este considerat relevant în procesul de formare a soluţiilor IT şi cel de livrare a serviciilor IT.

1 Iniţial/Ad Hoc când Riscurile IT sunt luate în considerare într-o manieră ad-hoc. Pentru fiecare proiect în parte se realizează estimări informale ale riscurilor. Estimarea riscurilor este, câteodată, realizată în planul unui proiect, dar rareori este atribuită unui anumit manager. Riscurile specifice IT-ului cum sunt securitatea, disponibilitatea şi integritatea, sunt ocazional luate în considerare, în funcţie de proiect. Riscurile ce ţin de IT şi care au efect asupra operaţiunilor de zi cu zi, sunt rareori discutate în şedintele managementului. Unele riscuri sunt luate în considerare dar diminuarea acestora este inconsistentă. Organizaţia înţelege că riscurile IT sunt importante şi trebuie luate în considerare.

2 Repetabil dar intuitiv când Est dezvoltată o abordare pentru estimarea riscurilor dar aceasta este la discreţia managerilor de proiect. Managementul riscurilor este întâlnit de obicei la un nivel înalt din organizaţie şi este aplicat doar asupra proiectelor mari sau ca răspuns la probleme. Este iniţiat procesul de diminuare a riscurilor acolo unde riscurile sunt identificate.

3 Definit când Politica de management al riscului pe întreaga organizaţie defineşte când şi cum să fie efectuate esitmările. Managementul riscului urmează un proces definit şi documentat. Instruirea privind managementul riscului se aplică tuturor membrilor organizaţiie. Deciziile de a urma procesul de management al riscului şi de a organiza instruiri sunt la îndemâna individului. Metodologia de estimare a riscului convinge şi asigură că riscurile cheie pentru afacere sunt identificate. Odată identificate riscurile, este insituit un proces de diminuare a acestora. În fişa postului sunt incluse şi responsabilităţile legate de managementul riscului.

4 Administrat şi măsurabil când Estimarea şi managementul riscurilor reprezintă proceduri standard. Excepţiile de la procesul de management al riscului sunt raportate managementului IT. Managementul riscului IT reprezintă o responsabilitate de nivel înalt. Riscul este estimate şi diminuat la nivelul de proiecte individuale şi, de asemena, la toate operaţiunile IT. Managementul este sfătuit asupra schimbărilor în mediul economic şi IT care pot afecta în mod semnificativ scenariile de risc relaţionate cu IT. Managementul este capabil să monitorizeze poziţia riscului şi să ia decizii pe baza informaţiilor cu privire la expunerea pe care poate să o accepte. Toate riscurile identificate au un responsabil iar managementul superior împreună cu managementul IT determină nivelurile de risc pe care organizaţia le va tolera. Managementul IT dezvoltă măsuri standard pentru evaluarea riscului şi defineşte rapoartele dintre riscuri şi recuperarea investiţiilor. Managementul repartizează din buget sumele necesare pentru realizarea unui proiect privind mangementul riscurilor operaţionale astfel încît acestea să fie reevaluate cu regularitate. A fost realizată o bază de date pentru managementul riscului şi o parte a procesului de management al riscurilor este automatizată. Managementul IT ia în considerare crearea strategiilor de diminuare a riscului.

5 Optimizat când Managementul riscului se dezvoltă la un stadiu la care un proces structurat pe întreaga organizaţie este impus şi bine gestionat. Bunele practici sunt aplicate la nivelul întregii organizaţii. Colectarea, analiza şi raportarea datelor legate de managementul riscului reprezintă operaţiuni puternic automatizate. Orientarea este trasată de la lideri în domeniu iar structura funcţională IT face parte din grupuri de acelaşi fel pentru a face schimb de experienţe. Managementul riscului este cu adevărat integrat în toate operaţiunile de la nivelul afacerii si ale IT-ului, este într-o foarte bune măsură acceptat şi implică in mod extensiv utilizatorii serviciilor IT. Managementul identifică şi acţionaează în consecinţă atunci când deciziile cu privire la investiții şi cele operaţionale ce vizează IT-ul au fost luate fără a ţine cont de planul de management al riscului. Managementul evaluează în mod continuu strategii de diminuare a riscului.

PO9 Planificare și organizare Estimarea și managementul riscurilor IT



PO10 Administrarea proiectelor

Pentru toate proiectele IT este stabilit un program şi un cadru de referinţă pentru managementul proeictelor. Acest cadru garantează o ierarhizare corectă şi şi o bună cordonare a proiectelor. Cadrul de referinţă include un plan general, alocarea resurselor, definirea livrabilelor, aprobarea utilizatorilor, livrarea conform fazelor proiectului, AC(asigurarea calităţii), un plan formal de testare, revizia testării şi revizia post-implementarei cu scopul de a asigura managemnetul riscurilor proiectului şi furnizarea de valoare pentru organizaţie. Această abodare reduce riscul apariţiei unor costuri neaşteptate şi anularea proiectelor, îmbunătăţeşte comunicarea şi colaborarea dintre organizaţie şi utilizatorii finali., asigură valoarea şi calitatea livrabilelor proiectului, şi maximizează contribuţia lor în programele de investiţii IT.


Administrare a proiectelor


a asigura livrarea rezultatelor proiectului în intervalul de timp, cu bugetul şi parametrii calitativi agreaţi


unui program definit şi a unei abordări cu privire la managementul proiectelor, aplicate proiectgelor IT şi care să permită participarea beneficiarilor în cadrul proiectului precum şi monitorizarea riscurilor proiectului şi a progresului acestuia

se realizează prin

• Definirea şi implementarea unui cadru de referinţă pentru managementul proiectelor • Realizarea de ghiduri pentru managementul proiectelor • Planificarea detaliată a fiecărui proiect din cadrul portofoliului de proiecte


• Procent din proiectele ce respectă aşteptările beneficiarilor (timp, încadrare în buget şi îndeplinirea cerinţelor – în funcţie de importanţă)

• Procent din proiectele pentru care s-a realizat revizia post-implementare • Procent din proiectele realizate după standarde sau practici pentru managementul

proiectelor

Planificare și organizare Administrarea proiectelor PO10




PO10.1 Cadrul de referinţă pentru managementul programelor Menţinerea unui program al proiectelor, aflat în legătură cu de portofoliul programelor de investiţii în IT. Acest program trebuie să identifice, definească, evalueze, ierarhizeze, selecteze, iniţializeze, coordoneze și controleze proiectele. Trebuie obţinute asigurări că proiectele sprijină obiectivele programului. Trebuie coordonate activităţile şi interdependenţele dintre proiecte, gestionată contribuţia tuturor proiectelor care fac parte din program pentru a obţine rezultatele dorite precum şi rezolvate cerinţele legate de resurse şi a conflictele.

PO10.2 Cadrul de referinţă pentru managementul proiectelor Stabileşte şi menţine un cadru de referinţă pentru managementul proiectelor. Acest cadru defineşte scopul şi limitele managementului proiectelor precum şi metoda ce poate fi adoptată şi folosită pentru fiecare proiect iniţiat. Cadrul de referinţă şi metoda de lucru asociată trebuie integrate în procesul de management al programelor.

PO10.3 Abordarea managementului proiectelor Trebuie stabilită o abordare a managementului proiectelor, direct proporţională cu mărimea, complexitatea şi cerinţele de bază ale fiecărui proiect. Structura de guvernare a proiectului poate să includă roluri, responsabilităţi şi răspunderea din partea finanţatorului programului şi proiectului, un comitet director, un department al proiectului şi un manager de proiect, precum şi modalitatea prin care toţi aceştia îşi pot realiza sarcinile (cum ar fi cele de raportare şi analiză pe etape). Trebuie obţinute asigurări că toate proiectele IT au finanţatori cu suficientă autoritate astfel încât să deţină controlul asupra desfăşurării proiectului în cadrul programului strategic general.

PO10.4 Implicarea beneficiarilor Trebuie obţinut angajamentul şi participarea directă a beneficiarilor în definirea şi execuţia proiectului în contextul programului de general de investiţii în IT.

PO10.5 Stabilirea scopului proiectului Definirea şi documentarea naturii şi a scopului proiectului pentru a ajunge la un consens cu toţi beneficiarii şi pentru a înţelege scopul proiectului şi modul cum interacţionează cu celelate proiecte din cadrul programului de investiţii IT. Această definire ar trebui să fie aprobată formal de finanţatorii proiectului şi programului, înainte de iniţierea proiectului.

PO10.6 Iniţierea fazelor proiectului Aprobarea fiecărei faze importante din proiect trebuie comunicată beneficiarilor. Faza iniţială trebui aprobată pe baza deciziilor de guvernare a programului. Aprobarea fazelor următoare ar trebui să se bazeze pe revizia şi acceptanţa rezultatelor din fazele anterioare, dar şi pe actualizarea studiului de caz după fiecare revizie majoră a programului. În cazul suprapunerii anumitor faze din proiect, trebuie stabilit un punct de control de către finanţatorii programului şi proiectului care să autorizeze continuarea proiectului.

PO10.7 Planul integrat al proiectului Trebuie stabilit un plan de proiect integrat, formal şi aprobat (care să cuprindă resursele sistemului informaţional şi resursele economice) care să ghideze execuţia proiectului şi să controleze ciclul de viaţă al acestuia. Activităţile şi interdependenţele dintre proiectele aceluiaşi program trebuie înţelese şi documentate. Planul proiectului ar trebui să fie menţinut pe tot parcursul ciclului de viaţă al proiectului. Planul proiectului şi schimbările aduse acestuia ar trebui să fie în concordanţă cu cadrul de guvernare al programului şi proiectului.

PO10.8 Resursele proiectului Trebuie definite responsabilităţile, relaţiile, autoritatea şi criteriile de performanţă ale membrilor echipei şi precizate criteriile de selectare şi desemnare a unor membri competenţi şi/sau contractori pentru proiect. Procurarea produselor şi serviciilor necesare pentru fiecare proiect ar trebui planificată şi administrată în aşa fel încât obiectivele proiectului să poată fi obţinute prin folosirea practicilor de achiziţie ale organizaţiei.

PO10.9 Managementul riscurilor proiectului Riscurile specifice, asociate proiectelor individuale, trebuie eliminate sau minimizate printr-un proces sistematic de planificare, identificare, analiză, raportare, monitorizare şi control al zonelor sau evenimentelor care au un potenţial ridicat de a cauza schimbări nedorite. Riscurile cu care are de a face procesul de management al proiectelor şi livrabilele proiectului trebuie indentificate şi înregistrate centralizat.

PO10 Planificare și organizare Administrarea proiectelor


PO10.10 Planul calităţii proiectului Trebuie întocmit un plan de management al calităţii proiectului care să descrie sistemul de calitate al acestuia şi cum urmează să fie implementat. Planul trebuie revizuit formal şi acceptat de toate părţile implicate apoi inclus în planul integrat al proiectului.

PO10.11 Controlul schimbărilor în cadrul proiectului Trebuie stabilit un sistem de control al schimbărilor pentru fiecare proiect, astfel încât toate modificările care au loc în structura proiectului (ex. cheltuieli, planificare, scop, calitate) să fie analizate asa cum trebuie, aprobate şi incluse în planul proiectului în concordanţă cu cadrul de guvernare al proiectului şi programului.

PO10.12 Metode de planificare a asigurării Trebuie identificate cerinţele de obţinere a asigurării necesară să sprijine recunoaşterea sistemelor noi sau modificate pe durata planificării proiectului şi includerea acestora în planul integrat al proiectului. Sarcinile trebuie să ofere asigurări că mecanismele de securitate şi controalele interne respectă cerinţele definite

PO10.13 Monitorizarea, raportarea şi indicatorii de performanţă ai proiectului Performanţa proiectului trebuie măsurată comparativ cu indicatorii de performanţă ai obiectivului proiectului, planificării calendaristice, calităţii, cheltuielilor şi criteriilor de risc. Trebuie identificate toate abaterile de la plan. Trebui estimat impactul abaterilor de la proiect sau de la program în ansamblu, iar rezultatele analizei trebuie comunicate principalilor beneficiari. Trebuie recomandate, implementate şi monitorizate acţiuni de remediere, atunci cînd este necesar, în concordanţă cu cadrul de guvernare al programului şi proiectului.

PO10.14 Finalizarea proiectului La sfârşitul fiecărui proiect, beneficiarii trebuie să precizeze dacă proiectul a avut finalitatea dorită şi dacă a obţinut rezultatele şi beneficiile dorite iniţial. Trebui identificată şi raportată orice activitate excepţională necesară pentru a obţine rezultatele proiectului şi beneficiile programului. Trebuie să se identifice şi să se documenteze lecţiile învăţate şi care ar putea să fie de ajutor în cadrul proiectelor şi programelor viitoare.








De la Intrări Ieşiri Către PO1 Portofoliu de proiecte IT Rapoarte de performanță pentru proiect ME1

PO5 Actualizarea portofoliului de proiecte IT Raportul de management al riscurilor proiectului PO9

PO7 Matricea de competențe IT Ghiduri pentru managementul proiectelor AI1...AI7

PO8 Standarde de dezvoltare Planurile detaliate ale proiectului PO8 AI1...AI7 FS6

AI7 Revizuirea post-implementare Portofoliul proiectelor IT actualizat PO1 PO5



Ob

iect

ive

� Răspunde cerințelor afacerii în aliniere cu strategia afacerii.

� Furnizarea proiectelor la timp și în limita bugetului disponibil care îndeplinesc standardele de calitate.

� Să răspundă cerințelor de guvernare în conformitate cu direcția departamentului.

� Stabilirea mecanismelor de urmărire a proiectului și a costului / timpului de control.

� Asigurarea transparenței pentru starea proiectului.

� Luarea deciziilor în timp util pentru managementul proiectului, la repere critice.

� Definirea și aplicarea programului, cadrele proiectului și a abordării.

� Elaborarea unor ghiduri pentru managementul proiectelor.

� Efectuarea planificării proiectului pentru fiecare proiect din portofoliul de proiecte.

Ind

icat

ori

� Procentul proiectelor ce satisfac așteptările părților interesate (la timp, în limita bugetului disponibil și îndeplinirea cerințelor – ponderată în funcție de importanță).

� Procentul de proiecte livrate la timp și în limita bugetului disponibil.

� Procentul de proiecte care răspund așteptărilor părților interesate.

� Procentul de proiecte care îndeplinesc standardele și practicile managementului proiectelor.

� Procentul de manageri de proiect cerificați sau instruiți.

� Procentul de proiecte care primesc revizuiri post-implementare.

� Procentul părților interesate care participă la proiecte (indicele de implicare).


indică


indică



MODEL DE MATURITATE


Gestionarea procesului de Administrare a proiectelor, care satisface cerinţele IT ale afacerii de a asigura livrarea rezultatelor proiectului în intervalul de timp, cu bugetul şi parametrii calitativi agreaţi este:

0 Inexistent când Tehnicile de management al proiectului nu sunt folosite iar organizaţia nu ia în calcul impactul pe care îl poate avea asupra organizaţiei coordonarea sau dezvoltarea incorectă a proiectului.

1 Iniţial/Ad-Hoc când Folosirea tehnicilor de management al proiectelor şi a abordările din cadrul IT sunt decizii luate individual, de fiecare manager în parte. Există o lipsă de angajament faţă de proiect din partea beneficiarilor şi managementul proiectului. Deciziile critice din proiect se iau fără a ţine cont sau a cere opinia managerilor sau a clientului din operaţional. Implicarea din partea clientului în definirea proiectelor IT este minimă sau chiar inexistentă. Nu există o organizare clară cu privire la administrarea proiectelor. Rolurile şi responsabilităţile managerilor de proiecte nu sunt definite. Proiectele, programele şi jaloanele sunt slab definite, sau chiar deloc. Personalul şi cheltuielile nu sunt monitorizate şi comparate cu bugetul.

2 Repetabil dar intuitiv când Managementul superior câştigă şi comunică în acelaşi timp cunoştinţele de care are nevoie pentru managementul de proiect în IT. Organizaţia se află într-un proces de dezvoltare şi utilizare a unor tehnici şi metode de la un proiect la altul. Proiectele IT au definite, într-un mod informal, obiectivele afacerii şi cele tehnice. Implicarea beneficiarilor în administrarea proiectului IT este limitată. Ghidurile iniţiale sunt dezvoltate pentru mai multe aspecte ale managementului de proiect. Aplicarea acestor ghiduri este lăsată la dispoziţia managerului de proiect.

3 Definit când Procesul şi metodologia managementului proiectului IT sunt stabilite şi comunicate. Proiectele IT sunt definite în concordanţă cu obiectivele afacerii şi cele tehnice. Mangementul superior începe să se implice în managementul proiectelor IT. Este stabilit un departament care se ocupă de managementul proiectelor IT, care are din start definite roluri şi responsabilităţi. Proiectele IT sunt monitorizate, prin intermediul jaloanelor, programelor, bugetului şi indicatorilor de performanţă definiţi şi actualizaţi. Este disponibilă instruirea în managementul proiectelor ce vine ca o iniţiativă din partea angajaţilor. Procedurile de asigurare a calităţii şi activităţile post-implementare a sistemului sunt definite, dar nu sunt aplicate la scară largă de managerii din IT. Proiectele sunt iniţializate şi sunt gestionate ca şi portofolii.

4 Administrat şi măsurabil când Managementul are nevoie de indicatori formali şi standardizaţi, iar lecţiile învăţate duc la întregirea proiectului. Coordonarea proiectului este evaluată prin prisma întregii organizaţii şi nu doar din cea a IT-ului. Îmbunătăţirile ce ar trebui aduse managementului proiectului sunt organizate şi comunicate echipei care se va ocupa de acest lucru. Managementul din IT implementezaă o structură organizaţională a proiectului ce va include roluri documentate, responsabilităţi şi criterii de performanţă ale angajaţilor. Sunt stabilite criterii de evaluare a reuşitei parcurgerii fiecărui jalon. Valoarea şi riscul sunt analizate şi gestionate înainte, în timpul şi după finalizarea proiectelor. Totodată, proiectele afectează întreaga organizaţie şi nu doar departamentul strict legat de IT. Există un aport susţinut şi activ din partea managementului strategic (finanţatori) dar şi din partea beneficiarilor. Este planificată instruirea cu privire la managementul proiectelor pentru angajaţii din structura de management dar şi pentru cei care au legatură cu IT-ul.

5 Optimizat când Sunt implementate o metodologie a programului şi un proiect complet dezvoltat, impuse şi integrate în cultura întregii organizaţii. S-a implementat o iniţiativă continuă de a identifica şi a instituţionaliza cele mai bune metode de management al proiectelor. S-a definit şi implementat o strategie IT care se ocupă cu dezvoltarea şi proiectele operaţionale. Există o structură organizatorică responsabilă de proiecte şi programe de la iniţializare şi până la post-implementare. Planificarea programelor şi proiectelor la nivelul întregii organizaţii garantează că utilizatorii şi resursele IT sunt folosite în cel mai bun mod pentru a sprijini iniţiativele strategice.




AI1 Identificarea soluțiilor automate

Nevoia unor aplicaţii sau funcţii noi necesită analiză înainte de achiziţie sau creare, pentru a garanta că cerinţele afacerii sunt îndeplinite într-o manieră eficientă şi eficace. Acest proces acoperă definirea necesităţii, considerarea surselor alternative, analiza fezabilităţii tehnologice şi economice, efectuarea analizei riscului, analizei cost-beneficiu şi adoptarea unei decizii finale de a „realiza” sau a „cumpăra”. Toţi aceşti paşi permit organizaţiilor să minimizeze costurile de achiziţie şi implementare a soluţiilor, în acelaşi timp asigurându-se că permit proceselor de afaceri să îşi atingă obiectivele.


Identificare a soluţiilor automate


transformând cerinţele funcţionale şi de control ale afacerii într-un model eficace si eficient de soluţii automate


identificării unor soluţiilor fezabile din punct de vedere tehnic şi cu un cost eficient

se realizează prin

• Definirea unor cerinţe tehnice şi de afaceri • Realizarea studiilor de fezabilitate aşa cum sunt definite în standardele de dezvoltare • Aprobarea (sau respingerea) cerinţelor şi a rezultatelor studiului de fezabilitate


• Numărul de proiecte în care beneficiile declarate nu au fost obţinute din cauza unor ipoteze de fezabilitate incorecte;

• Procent al studiile de fezabilitate acceptate de către responsabilul procesului de afaceri;

• Procent al utilizatorilor mulţumiţi cu funcţionalitatea livrată;

Achiziție și implementare Identificarea soluțiilor automate AI1




AI1.1 Definirea şi întreţinerea cerinţelor funcţionale economice și a cerinţelor tehnice Identifică, acordă prioritate, specifică şi agreează cerinţele funcţionale economice şi cerinţele tehnice care acoperă întregul scop al tuturor iniţiativelor necesare pentru realizarea rezultatelor aşteptate pentru programul de investiţii IT adoptat.

AI1.2 Raportul analizei de risc Identifică, documentează şi analizează riscurile asociate cu cerinţele afacerii şi ale soluţiei de proiectare ca parte a procesului organizaţiei de dezvoltare a cerinţelor.

AI1.3 Studiul de fezabilitate şi formularea de direcții alternative de acţiune Dezvoltă un studiu de fezabilitate care analizează posibilitatea implementării cerinţelor. Managementul afacerii, susţinut de funcţia IT, trebuie să evalueze fezabilitatea şi direcțiile alternative de acţiune şi să facă o recomandare către persoana care asigură finanțarea din partea procesului economic.

AI1.4 Decizia şi aprobarea cerinţelor şi a studiului de fezabilitate Verifică dacă procesul necesită ca persoana responsabilă de asigurarea finanțării să aprobe şi să autorizeze cerinţele tehnice şi funcţionale ale afacerii şi rapoartele studiului de fezabilitate, la momente cheie predeterminate. Finanțatorul ar trebui să ia decizia finală privind alegerea soluţiei şi maniera de achiziţionare.

AI1 Achiziție și implementare Identificarea soluțiilor automate




De la Intrări Ieşiri Către PO1 Planuri IT strategice și tactice Studiu de fezabilitate, cerințele afacerii PO2 PO5 PO7 AI2 AI3 AI4 AI5

PO3 Actualizări obișnuite ale “stărilor tehnologiei”; standarde tehnologice

PO8 Standarde de achiziție și dezvoltare

PO10 Ghiduri pentru managementul proiectelor și plnrile detaliate ale proiectelor

AI6 Descrierea procesului de schimbare

FS1 SLA-uri

FS3 Planul de performanță și capacitate (cerințe)



Ob

iect

ive

� Definirea manierei în care cerințele de control și cele funcționale ale afacerii sunt traduse în soluții automatizate eficiente.

� Răspunderea la cerințele afacerii în concordanță cu strategia afacerii.

� Identifică soluții care corespund cu cerințele utilizatorilor.

� Identifică soluții care sunt fezabile tehnic și financiar.

� Iau o decizie de tip “cumpăr vs. construiesc” care optimizează valoarea și minimizează riscul.

� Definirea cerințelor tehnice și economice.

� Realizarea studiilor de fezabilitate definite în standardele de dezvoltare.

� Luarea în considerare, din timp, a cerințelor de siguranță și control.

� Aprobarea (sau respingerea) cerințelor sau rezultatelor studiului de fezabilitate.

Ind

icat

ori

� Numărul proiectelor în care beneficiile scontate nu au fost obținute datorită supraestimării în cadrul studiului de fezabilitate.

� Procentul părților interesate mulțumite de studiul de fezabilitate.

� Proporția în care un beneficiu definit în studiul de fezabilitate se schimbă ca urmare a implementării.

� Procentul din portofoliul aplicației care nu este în concordanță cu arhitectura.

� Procentul studiilor de fezabilitate livrate la timp și care se încadrează în buget.

� Procentul proiectelor din cadrul planului anual IT supuse studiilor de fezabilitate.

� Procentul studiilor de fezabilitate semnate de responsabilul procesului economic.

Achiziție și implementare Identificarea soluțiilor automate AI1

indică


indică



MODEL DE MATURITATE


Managementul procesului de Identificare a soluţiilor automate care satisfac cerinţele afacerii pentru IT de transformare a cerinţelor funcţionale şi de control ale afacerii într-un model efectiv şi eficient de soluţii automate este:

0 Inexistent când Organizaţia nu necesită identificarea cerinţelor funcţionale şi operaţionale pentru dezvoltarea, implementarea sau modificarea soluţiilor cum ar fi sistemul, serviciul, infrastructura, software-ul şi datele. Organizaţia nu menţine o evidenţă a soluţiilor tehnologice disponibile şi potenţial relevante pentru afacerea sa.

1 Iniţial / Ad Hoc când Există o conştientizare a nevoilor pentru definirea cerinţelor şi identificarea soluţiilor tehnologice. Grupuri individuale se intâlnesc pentru a discuta informal necesităţile, iar uneori cerinţele sunt documentate. Soluţiile sunt identificate de diferite persoane pe baza unei cunoaşteri limitate a pieţei sau ca răspuns la ofertele furnizorilor. Există o minimă analiză sau cercetare structurată a tehnologiilor disponibile.

2 Repetabil dar Intuitiv când Există unele abordări intuitive de identificare a soluţiilor IT dar acestea variază în cadrul activităţilor organizației. Soluţiile sunt identificate informal, pe baza experienţei interne şi cunoştinţelor funcţiei IT. Succesul fiecărui proiect depinde de expertiza câtorva persoane cheie. Calitatea documentaţiei şi a deciziilor variază considerabil. Abordările nestructurate sunt utilizate pentru a defini cerinţele şi pentru a identifica soluţiile tehnologice.

3 Definit când Există abordări clare şi structurate pentru determinarea soluţiilor IT. Abordarea pentru stabilirea soluţiilor IT necesită luarea în considerare a alternativelor evaluate în raport cu cerinţele afacerii sau ale utilizatorilor, oportunităţile tehnologice, fezabilitatea economică, evaluările riscurilor, precum şi alţi factori. Procesul de determinare a soluţiei IT este aplicat pentru unele proiecte pe baza unor factori ca: deciziile luate de către persoanele implicate dintre membrii personalului, timpul total acordat de catre management, precum şi de mărimea şi prioritatea cerinţei iniţiale a afacerii. Abordările structurate sunt utilizate pentru definirea cerinţelor şi identificarea soluţiilor IT.

4 Administrat şi măsurabil când Există stabilită o metodologie pentru identificarea şi evaluarea soluţiilor IT şi aceasta este folosită pentru majoritatea proiectelor. Documentaţia proiectului este de bună calitate şi fiecare etapă este aprobată în mod corespunzător. Cerinţele sunt clare şi în concordanţă cu structuri predefinite. Sunt luate în considerare soluţii alternative, incluzând analiza costurilor şi beneficiilor. Metodologia este clară, definită, general înţeleasă şi măsurabilă. Există o interfaţă clar definită între managementul IT şi activitaţile economice pentru identificarea şi evaluarea soluţiilor IT.

5 Optimizat când Metodologia de identificare şi evaluare a soluţiilor IT este supusă unei îmbunătăţiri continue. Metodologia de achiziţionare şi implementare este aplicabilă flexibil atât pentru proiecte de scară mică cât şi pentru proiecte de scară mare. Metodologia este susţinută de bazele de date de cunoştinţe interne şi externe care conţin materiale de referinţă despre soluţiile tehnologice. Metodologia în sine generează o documentaţie într-o structură predefinită care face producţia şi întreţinerea eficiente. Sunt adesea identificate noi oportunităţi de utilizare a tehnologiei pentru obţinerea avantajelor competitive, pentru a influenţa procesul economic, re-ingineria şi îmbunătăţirea eficienţei generale. Managementul detectează şi acţionează dacă soluţiile IT sunt aprobate fără luarea în considerare a tehnologiilor alternative sau a cerinţelor funcţionale ale afacerii.

AI1 Achiziție și implementare Identificarea soluțiilor automate



AI2 Achiziția și întreținerea aplicațiilor software

Aplicaţiile sunt puse la dispoziţie în conformitate cu cerinţele afacerii. Acest proces ia în considerare arhitectura aplicaţiilor, includerea corectă a cerinţelor de control şi securitate ale aplicaţiei precum şi dezvoltarea şi configurarea în conformitate cu standardele. Acest proces permite organizaţiilor să susţină în mod corespunzător operaţiunile economice cu ajutorul aplicaţiilor automatizate potrivite.

Controlul asupra procesului IT pentru

Achiziţia şi întreţinerea aplicaţiilor software


alinierea aplicaţiilor disponibile cu cerinţele afacerii, şi realizarea acestui lucru în timp util şi la un cost convenabil


asigurării existenţei procesului de dezvoltare în timp util şi la un cost eficient

se realizează prin

• Traducerea cerinţelor afacerii în specificaţii de proiectare • Aderarea la standardele de dezvoltare pentru toate modificările • Separarea dezvoltării, testării şi activităţilor operaţionale


• Numărul problemelor de producţie pe aplicaţie ce cauzează nefuncţionare evidentă • Procent din utilizatorii mulţumiţi cu funţionalitatea livrată

Achiziție și implementare Achiziția și întreținerea aplicațiilor software AI2




AI.2.1 Proiectarea de nivel înalt Transpunerea cerinţele afacerii în specificaţii de proiectare de nivel înalt pentru achiziţia de software, luând în considerare directivele tehnologice şi structura informaţiilor în interiorul organizaţiei. Specificaţiile de proiectare trebuie să fie aprobate de către conducere pentru a avea garanţia că proiectarea de nivel înalt răspunde cerinţelor. Reevaluaarea, pe parcursul dezvoltării şi întreţinerii, când apar discrepanţe semnificative tehnice sau logice.

AI.2.2 Proiectarea detaliată Pregătirea specificațiilor de proiectare detaliate și a cerinţelor de ordin tehnic pentru aplicaţiile software. Definireae criteriilor de acceptare a cerinţelor. Obținerea aprobări cerințelor pentru a avea garanţia că ele corespund proiectării de nivel înalt. Reevaluarea, pe parcursul dezvoltării şi întreţinerii, când apar discrepanţe semnificative tehnice sau logice.

AI.2.3 Controlul şi auditabilitatea aplicaţiilor Controalele pentru procesele economice sunt implementate, atunci când este necesar, în controale automate ale aplicaţiilor, astfel încât procesarea să fie corectă, completă, în timp util, autorizată şi auditabilă.

AI.2.4 Securitatea şi disponibilitatea aplicaţiilor Cerinţele de securitate şi disponibilitate a aplicaţiilor sunt luate în considerare pentru a răspunde riscurilor identificate şi în concordanţă cu clasificarea datelor organizaţiei, cu structura informaţiilor, cu arhitectura de securitate a informaţiilor şi cu toleranţa la risc.

AI.2.5 Configurarea şi implementarea aplicaţiilor software achiziţionate Aplicaţiile achiziţionate sunt configurate şi implementate pentru a atinge obiectivele afacerii.

AI.2.6 Actualizări majore ale sistemelor existente În cazul unor schimbări majore ale sistemelor existente, ce produc modificări semnificative în modelul curent şi/sau în funcţionalitate, se urmează un proces de dezvoltare asemănător celui folosit pentru dezvoltarea de noi sisteme.

AI.2.7 Dezvoltarea aplicaţiilor software Se asigură că funcţionalităţile automate sunt dezvoltate în concordanţă cu specificaţiile de proiectare, standardele de dezvoltare şi documentare, cerinţele de asigurare a calităţii şi standardele de aprobare. Se asigură că toate aspectele legale şi contractuale sunt identificate şi implementate pentru aplicaţiile software dezvoltate de terţi.

AI.2.8 Asigurarea calităţii software Se dezvoltă, alocă resurse şi implementează un plan de asigurarea a calităţii pentru a obţine calitatea menţionată în definirea cerinţelor şi a politicilor şi procedurilor de calitate ale organizaţiei.

AI.2.9 Managementul cerinţelor aplicaţiilor Se urmăreşte situaţia specificaţiilor individuale (inclusiv a tuturor specificaţiilor respinse) pe parcursul etapei de proiectare, a celei de dezvoltare şi a celei de implementare şi se aprobă modificările aduse specificaţiilor printr-un proces de management al schimbărilor prestabilit.

AI.2.10 Întreţinerea aplicaţiilor software Se dezvoltă o strategie şi un plan pentru întreţinere a aplicaţiilor software.

AI2 Achiziție și implementare Achiziția și întreținerea aplicațiilor software





PO2 Dicționarul de date; schema de clasificare a datelor; planul de optimizare a sistemului economic

Specificațiile controalelor de securitate de la nivelul aplicațiilor FS5

Cunoștințe despre aplicație și pachetul software AI4

PO3 Actualizări permanente ale “stării tehnologiei”

PO5 Rapoarte cost-beneficiu Decizia de procurare AI5

PO8 Standarde de achiziție și dezvoltare SLA-ul planificat inițial FS1

PO10 Ghiduri de management a proiectului; planuri de proiect detaliate.

Specificații privind disponibilitatea, continuitate și recuperarea

FS3 FS4

AI1 Studiu de fezabilitate privind cerințele afacerii

AI6 Descrierea procesului schimbărilor



Ob

iect

ive

� Definirea manierei în care cerințele de control și cele funcționale ale afacerii sunt traduse în soluții automatizate, eficiente.

� Achiziția și mentenanța sistemelor integrate și standardizate.

� Achiziția și mentenanța aplicațiilor cu un raport cost-eficiență ridicat, ce întrunesc cerințele afacerii.

� Achiziția și mentenanța aplicațiilor în conformitate cu strategia și arhitectura IT.

� Asigurarea unui proces de dezvoltare, punctual și eficient din privința costurilor.

� Traducerea cerințelor afacerii în specificații de proiectare.

� Aderarea la standarde de dezvoltare pentru toate schimbările..

� Prioritizarea cerințelor bazată pe relevanța pentru afacere.

� Separarea activităților de dezvoltare, testare și cele opoeraționale.

� Focalizarea investițiilor înspre tehnologiile existente.

Ind

icat

ori

� Procentul proiectelor care au furnizat schimbările necesare în timpul alocat.

� Numărul proiectelor în care beneficiile stipulate nu au fost obținute datorită proiectării deficitare a aplicației sau dezvoltării acesteia.

� Procentul utilizatorilor mulțumiți de funcționalitatea adusă.

� Procentul proiectelor de dezvoltare la timp și care se încadrează în buget.

� Procentul din efortul de dezvoltare consumat pe menținerea aplicațiilor existente.

� Numărul problemelor de producție pe aplicație care conduc la nefuncționare.

� Defecțiuni pe lună (pe punct funcțional).

� Procentul proiectelor de aplicații software cu un plan AC dezvoltat și executat.

� Procentul aplicațiilor software analizate și aprobate, ce corespund standardelor de dezvoltare.

� Timpul mediu pentru livrarea de funcționalități bazat pe unități de măsură cum ar fi segmente funcționale sau linii de cod.

� Efortul mediu de programare pentru livrarea de funcționalități bazat pe unități de măsură cum ar fi segmente funcționale sau linii de cod.

Achiziție și implementare Achiziția și întreținerea aplicațiilor software AI2

indică


indică



MODEL DE MATURITATE


Managementul procesului de Achiziţie şi întreţinere a aplicaţiilor software, ce satisface cerinţele IT ale afacerii de aliniere a aplicaţiilor disponibile cu specificaţiile afacerii, la timp şi având un cost rezonabil este:

0 Inexistent când Nu există un proces de proiectare şi specificare a aplicaţiei. În mod normal, aplicaţiile sunt obţinute pe baza ofertelor, a brand-ului sau a familiarităţii angajaţilor IT cu anumite produse, luând în considerare foarte puţin cerinţele reale.

1 Iniţial/Ad-hoc când Se conştietizează că este necesar un proces de achiziţie şi întreţinere a aplicaţiilor. Modul de achiziţie şi întreţinere a aplicaţiilor software variază de la un proiect la altul. Unele soluţii individuale pentru cerinţe particulare ale afacerii au fost probabil achiziţionate independent, având ca rezultat ineficienţe privind întreţinerea şi suportul.

2 Repetabil dar intuitiv când Există procese variate, dar similare pentru achiziţia şi întreţinerea aplicaţiilor bazate pe expertiză IT. Rata de succes pentru aplicaţii depinde foarte mult de calificarea internă şi nivelurile de experienţă în IT. Întreţinerea este, de cele mai multe ori, problematică şi suferă când cunoşterea internă se pierde din organizaţie. Se acordă puţină importanţă în ceea ce priveşte securitatea şi disponibilitatea aplicaţiilor în procesul de proiectare şi achiziţie a aplicaţiilor software.

3 Definit când Există un proces clar, definit şi înţeles pentru achiziţia şi întreţinerea aplicaţiilor software. Acest proces este aliniat cu strategia IT şi a afacerii. Este realizat un efort pentru aplicarea procesele de documentare în mod consistent pentru diferite aplicaţii şi proiecte. Metodologiile sunt, în mod general, inflexibile şi dificil de aplicat în toate cazurile, deci este posibil ca unii paşi să fie săriţi.

Activităţile de întreţinere sunt planificate, programate şi coordonate.

4 Administrat şi măsurabil când Există o metodologie formală şi bine înţeleasă ce include un proces de proiectare şi de definire a specificaţiior, criterii pentru achiziţie, un proces de testare şi cerinţe pentru documentaţie. Există mecanisme de aprobare agreate și documentate pentru a asigura executarea tuturor paşilor şi autorizarea excepţiilor. Practicile şi procedurile evoluează şi sunt bine integrate în organizaţie, fiind folosite de către toţi angajaţii şi aplicate pentru majoritatea cerinţelor aplicaţiilor.

5 Optimizat când Practicile de achiziţie şi întreţinere a aplicaţiilor software sunt aliniate cu procesul definit. Abordarea este bazată pe componente cu aplicaţii predefinite şi standardizate ce se potrivesc nevoilor afacerii. Abordarea este adoptată la nivelul întregii organizatii. Metodologia de achiziţie şi întreţinere este destul de avansată şi dă posibilitatea implementărilor rapide, permiţând un răspuns rapid şi o flexibilitate mare la modificările cerinţelor economice. Metodologia de achiziţie şi implementare a aplicaţiilor software este supusă unei continue îmbunătăţiri şi este susţinută de baze de cunoştinţe interne şi externe ce conţin materiale de referinţă şi bune practici. Metodologia crează documentaţia într-o structură predefinită ce eficientizează producţia şi întreţinerea

AI2 Achiziție și implementare Achiziția și întreținerea aplicațiilor software



AI3 Achiziția și întreținerea infrastructurii tehnologice

Organizaţiile au procese pentru achiziţia, implementarea şi actualizarea infrastructurii tehnologice. Aceasta necesită o abordare planificată pentru achiziţia, întreţinerea şi protecţia infrastructurii, în conformitate cu strategiile tehnologice agreate şi pregătirea mediilor de dezvoltare şi testare. Aceasta asigură existenţa unui suport tehnic continuu pentru aplicaţiile economice.

Controlul procesului IT de

Achiziţie şi întreţinere a infrastructurii tehnologice


achiziţionarea şi întreţinerea unei infrastructuri IT integrată şi standardizată


oferirii de platforme corespunzătoare pentru aplicaţiile economcie, în concordanţă cu arhitectura IT definită şi standardele tehnologice

se realizează prin

• Realizarea unui plan de achiziţii tehnologice ce se aliniază planului de infrastructură tehnologică

• Planificarea întreţinerii infrastructurii • Implementarea de controale interne, a măsurilor de securitate şi auditabilitate


• Procentul de platforme ce nu sunt în conformitate cu standardele definite de arhitectura şi tehnologia IT

• Numărul de procese critice suportate de infrastructura depăşită (sau aproape depăşită)

• Numărul de componente de infrastructură pentru care nu se mai asigura suport (sau pentru care nu se va mai asigura suport în viitorul apropriat)

Achiziție și implementare Achiziția și întreținerea infrastructurii tehnologice AI3




AI3.1 Planul de achiziţie a infrastructurii tehnologice Realizarea unui plan pentru achiziţia, implementarea şi întreţinerea infrastructurii tehnologice ce întruneşte cerinţele funcţionale şi tehnice stabilite ale afacerii şi care este în concordanţă cu direcţia tehnologică a organizaţiei.

AI3.2 Protecţia şi disponibilitatea resurselor infrastructurii Implementarea de măsuri de control intern, de securitate şi auditabilitate, pe parcursul configurării, integrării şi întreţinerii echipamentelor hardware şi a infrastructurii software pentru a proteja resursele şi a asigura disponibilitatea şi integritatea. Responsabilităţile pentru folosirea componentelor de infrastructură sensibile ar trebui definite clar şi înţelese de cei ce dezvoltă şi integrează componentele de infrastructură. Folosirea lor ar trebui monitorizată şi evaluată.

AI3.3 Întreţinerea infrastructurii Dezvoltarea unei strategii şi a unui plan pentru întreţinerea infrastructurii şi asigurarea că schimbările sunt controlate în conformitate cu procedura organizaţiei de management a schimbărilor. Includerea de revizii periodice ale nevoilor afacerii, ale managementului patch-urilor, ale strategiilor de actualizare, a riscurilor, a evaluarii vulnerabilităţilor şi cerinţelor de securitate.

AI3.4 Mediul de testare a fezabilităţii Stabilirea mediilor de dezvoltare şi testare pentru a asigura teste efective şi eficiente de fezabilitate şi de integrare a componentelor infrastructurii.

AI3 Achiziție și implementare Achiziția și Întreținerea Infrastructurii Tehnologice





PO3 Planuri, standarde și oportunități pentru infrastructura tehnologică; actualizări permanente a stării tehnologiei

Decizii de procurare AI5

Sistemul configurat care trebuie testat/instalat AI7

PO8 Standardele de achiziție și dezvoltare Cerințele cu privire la mediul fizic FS12

PO10 Ghiduri pentru managementul proiectelor și planuri detaliate ale acestuia

Actualizarea standardelor tehnologice PO3

AI1 Studiu de fezabilitate pentru cerințele afacerii Cerințele de monitorizare a sistemului FS3

AI6 Descrierea procesului schimbărilor Cunoștințele de infrastructură AI4

FS3 Plan (cerințe) de performanță și calitate Nivelul inițial planificat la nivel operativ (OLA)

FS1



Ob

iect

ive

� Achiziția și menținerea unei infrastructuri IT integrată și standardizată.

� Optimizarea infrastructurii, resurselor și capaptitudinilor IT.

� Crearea “agilității” IT

� Furnizarea de platforme de aplicații compatibile cu arhitectura IT și standardele tehnologice.

� Furnizarea unei arhitecturi IT fiabilă și sigură.

� Crearea unui plan de achiziție de tehnologii în concordanță cu planul infrastructurii.

� Planificarea întreținerii infrastructurii. � Furnizarea infrastructurii pentru

dezvoltare și testare. � Implementarea controlului intern,

securității și a măsurilor de audit.

Ind

icat

ori

� Numărul proceselor economice critice ,susținute de infrastructura depășită (sau în curând depășită).

� Procentul platformelor care nu sunt compatibile cu arhitectura IT definită și standardele tehnologice.

� Numărul distinct de tehnologii, pe fiecare funcție în parte, ce operează în cadrul întreprinderii.

� Procentul componentelor de infrastructură obținute în afara procesului de achiziție.

� Numărul componentelor de infrastructură care nu mai pot fi susținute (sau nu vor mai fi în viitorul apropiat).

� Numărul și tipul schimbărilor de urgență la componentele de infrastructură.

� Numărul cererilor de achiziție nerezolvate.

� Timpul mediu necesar configurării componentelor de infrastructură.


indică


indică



MODEL DE MATURITATE


Managementul procesului de Achiziția și întreținerea infrastructurii tehnologice care îndeplineşte cerinţele afacerii pentru IT de achiziţie şi întreţinere a infrastructurii IT integrate şi standardizate este:

0 Inexistent când Managementul infrastructurii tehnologice nu este privit ca un subiect suficient de important pentru a fi luat în considerare.

1 Iniţial/Ad-hoc când Se aduc modificări infrastructurii pentru fiecare aplicaţie nou creată, fără a avea un plan de ansamblu. Deşi există o conştientizare a faptului că infrastructura IT este importantă, nu există o abordare generala coerentă. Activitatea de întreţinere reacţionează la nevoile pe termen scurt. Mediul de producţie este mediul de testare.

2 Repetabil dar intuitiv când Există o consecvenţă printre demersurile tactice în achiziţia şi întreţinerea infrastructurii IT. Achiziţia şi întreţinerea infrastructurii IT nu sunt bazate pe o strategie definită şi nu iau in considerare necesităţile aplicaţiilor organizației care trebuie spijinite. Este acceptat faptul că infrastructura IT este importantă, fapt susţinut de unele practici formale. Anumite activităţi de întreţinere sunt programate, dar nu sunt programate şi coordonate în totalitate. Pentru unele medii, există un mediu de test separat.

3 Definit când Există un proces clar, definit şi în general înţeles pentru achiziţia şi întreţinerea infrastructurii IT. Procesul sprijină necesităţile aplicaţiilor critice ale organizației şi este aliniat la strategia IT şi strategia organizației, dar nu este consistent aplicat. Întreţinerea este planificată, programată şi coordonată. Există medii separate pentru testare şi producţie.

4 Administrat şi măsurabil când Procesul de achiziţie şi întreţinere pentru infrastructura IT a fost dezvoltat până în punctul în care acesta funcţionează bine pentru aproape toate situaţiile, este realizat consistent şi este concentrat pe refolosire. Infrastructura IT susţine în mod adecvat aplicaţiile afacerii. Procesul este bine organizat şi proactiv. Costul şi timpul total pentru a atinge nivelul aşteptat de adaptabilitate, flexibilitate şi integrare sunt parţial optimizate.

5 Optimizat când Procesul de achiziţie şi întreţinere al infrastructurii IT este proactiv şi riguros aliniat cu aplicaţiile critice ale organizației şi cu arhitectura tehnologică. Bunele practici privind soluţiile tehnologice sunt urmate şi organizaţia este conştientă de ultimele dezvoltări de platforme şi a uneltelor de management. Costurile sunt reduse prin raţionalizarea şi standardizarea componentelor infrastructurii şi prin folosirea automatizării. Un nivel înalt al conştientizării din punct de vedere al tehnologiei poate identifica căi optime pentru a îmbunătăţi proactiv performanţa, incluzând considerarea opţiunilor de externalizare. Infrastructura IT este văzută ca factorul principal ce influenţează utilizarea IT-ului.




AI4 Autorizarea operării și utilizării

Sunt disponibile cunoştinţe despre noile sisteme. Acest proces cere elaborarea de documentaţii şi manuale pentru utilizatori şi IT, şi oferă pregătire profesională pentru a asigura utilizarea corectă şi funcţionarea aplicaţiilor şi a infrastructurii


Facilitare a operării şi utilizării


asigurarea satisfacţiei utilizatorilor finali cu oferte de servicii şi nivele de servicii precum şi de integrare perfectă a aplicaţiilor şi soluţii tehnologice în procesele de afaceri


oferirii de manuale de operare şi utilizare și de materiale de instruire efective pentru transmiterea cunoştinţelor necesare pentru funcţionarea şi utilizarea cu succes a sistemului

este realizat prin

• Dezvoltarea şi furnizarea de documentaţie de transfer a cunoştinţelor • Comunicarea şi instruirea utilizatorilor, a managementului, personalulului de suport şi

personalului operaţional • Elaborarea materialelor de instruire

si este evaluat prin

• Numărul aplicaţiilor în care procedurile IT sunt complet integrate în procesele afacerilor

• Procentul de responsabili de procese economice, mulţumiţi de instruirea practică şi de materialele ajutătoare

• Numărul de aplicaţii pentru care s-a realizat o instruire adecvată de utilizare si operare

Achiziție și implementare Autorizarea operării și utilizării AI4




AI4.1 Planificarea soluţiilor operaționale Dezvoltarea unui plan pentru a identifica şi documenta toate aspectelor tehnice, operaţionale şi de utilizare astfel încât toţi cei care vor opera, utiliza şi întreţine soluţiile automatizate să-şi poată exercita responsabilitatea.

AI4.2 Transferul cunoştinţelor către managementul afacerii Transferarea cunoştinţelor către conducerea afacerii pentru a permite persoanelor de conducere să preia responsabilitatea asupra sistemelor şi datelor şi să-şi exercite responsabilitatea pentru furnizarea de servicii şi calitate, control intern şi gestiune a aplicaţiilor.

AI4.3 Transferul cunoştinţelor către utilizatorii finali Transferarea cunoştinţelor şi abilităţilor pentru a permite utilizatorilor finali să folosească sistemul în mod efectiv şi eficient pentru suportul proceselor economice.

AI4.4 Transferul cunoştinţelor către personalul care operează şi cel care oferă suport Transferarea cunoştinţelor şi abilităţilor pentru a da posibilitatea personalului tehnic şi de operare să furnizeze, susţină şi întreţină sistemul şi infrastructura asociată în mod efectiv şi eficient.

AI4 Achiziție și implementare Autorizarea operării și utilizării





PO10 Ghiduri pentru managementul proiectelor și planuri detaliate pentru proiecte

Manuale pentru utilizatori, operaționale, de susținere, tehnice și administrative AI7 FS4 FS8 FS9 FS11 FS13

AI1 Studiul de fezabilitate al cerințelor afacerii Cerințe de transfer a cunoștințelor pentru implementarea soluțiilor

FS7

AI2 Cunoștințele software ale aplicațiilor și pachetelor

Materiale de instruire FS7

AI3 Cunoștințele infrastructurii

AI7 Erori cunoscute și acceptate

FS7 Actualizările documentației



Ob

iect

ive

� Asigură folosirea corespunzătoare și performanța aplicațiilor și a soluțiilor tehnice folosite.

� Asigură satisfacția utilizatorilor finali prin serviciile oferite și calitatea acestora.

� Asigură integrarea armonioasă în procesele economice.

� Oferă soluții pentru reducerea erorilor la livrare și operațiile de revizuire.

� Furnizează manuale operaționale și manuale de instruire pentru aplicații și soluțiile tehnice.

� Transferul de cunoștințe necesar pentru funcționarea corespunzătoare a sistemului.

� Conceperea și publicarea documentației pentru transferul cunoștințelor.

� Colaborarea și instruirea utilizatorilor, a responsabililor afacerii, personalului pentru suport tehnic și personalul operativ.

� Producerea materialelor de instruire.

Ind

icat

ori

� Numărul de aplicații în care procedurile IT sunt integrate în procesele economice.

� Procentul responsabililor de procese economice, care sunt mulțumiți de instruire în privința aplicației și a materialelor ajutătoare.

� Numărul de incidente cauzate de instruirea și documentarea insuficientă a utilizatorilor și a personalului operativ.

� Numărul apelurilor manipulate de biroul de servicii.

� Gradul de satisfacție al utilizatorilor privind procedurile operative, relative la documentație și instruire.

� Costurile scăzute pentru producerea și întreținerea documentației pentru utilizator, proceduri operative și materiale de training.

� Gradul de participare a utilizatorilor și a operatorilor pentru fiecare aplicație.

� Durata dintre schimbări și actualizări a materialelor de instruire, a procedurilor și a documentației.

� Disponibilitatea, integritatea și acuratețea documentației operative pentru utilizatori.

� Numărul de aplicații cu un training operativ și suficient pentru utilizatori.

Achiziție și implementare Autorizarea operării și utilizării AI4

indică


indică



MODEL DE MATURITATE


Managementul procesului de Autorizarea operării și utilizăriice care satisface cerinţa afacerii pentru IT asigurând satisfacţie utilizatorilor finali cu oferte de servicii şi nivelurile de servicii şi integrând complet aplicaţii şi soluţii tehnologice în procesele de afaceri este:

0 Inexistent când Nu există un proces de elaborare a documentaţiei pentru utilizator, manuale operaţionale şi materiale de instruire. Singurele materiale ce există sunt cele furnizate cu produsele achiziţionate.

1 Iniţial/Ad-hoc când Se conştientizează că documentarea proceselor este necesară. Documentaţia este elaborată ocazional şi este distribuită neomogen către un număr limitat de grupuri. Majoritatea documentaţiei şi multe dintre proceduri nu sunt actualizate. Materialele de instruire tind să fie scheme de unică folosinţă de calitate variabilă. Nu există practic nici o integrare a procedurilor la nivelul diferitelor sisteme şi unităţi de afaceri. Nu există contribuţie din partea unităţilor de afaceri în proiectarea programelor de instruire.

2 Repetabil dar intuitiv când Abordări similare sunt utilizate pentru a dezvolta proceduri şi documentaţii, dar acestea nu se bazează pe o abordare structurată sau pe un cadru prestabilit. Nu există o abordare uniformă în dezvoltarea procedurilor de utilizare şi operare. Materialele de instruire sunt realizate de către diferiţi angajaţi sau de echipele de proiect şi calitatea lor depinde de persoanele implicate. Procedurile şi calitatea suportului utilizatorilor variază de la slab la foarte bun, cu foarte puţină consistenţă şi integrare la nivelul organizaţiei. Programe de instruire pentru afaceri şi utilizatori sunt furnizate sau facilitate, dar nu există nici un plan general pentru declanşarea si realizarea procesului de instruire.

3 Definit când Există un cadru clar definit, acceptat şi înţeles pentru documentaţia utilizatorului, manuale de operaţiuni şi materiale de instruire. Procedurile sunt stocate şi menţinute într-o bibliotecă formală şi pot fi accesate de oricine are nevoie să le cunoască. Corectarea documentaţiei şi a procedurilor sunt efectuate reactiv. Procedurile sunt disponibile nu numai în format electronic şi pot fi accesate şi menţinute în caz de dezastru. Există un proces care specifică că actualizarea procedurilor si materialelor de instruire reprezintă o parte explicită a unui proiect de schimbare. În ciuda existenţei unor abordări definite, conţinutul real variază pentru că nu există nici un control care să asigure respectarea standardelor. Utilizatorii sunt neoficial implicaţi în acest proces. Instrumente automate sunt tot mai folosite în generarea şi distribuirea procedurilor. Instruirea celor din zona economică şi a utilizatorilor este planificată şi programată.

4 Administrat şi măsurabil când Există un cadru definit pentru întreţinerea procedurilor şi a materialelor de instruire care are suportul managementului IT. Abordarea adoptată pentru întreţinerea procedurilor şi a manualelor de instruire acoperă toate sistemele şi unităţile economice, astfel încât procesele pot fi vizualizate dintr-o perspectivă de afaceri. Procedurile şi materialele de instruire sunt integrate pentru a include interdependenţe şi interfeţe. Există controale care asigură aderarea la standarde, iar procedurile sunt dezvoltate şi întreţinute pentru toate procesele. Este colectat și evaluat feedback-ul din partea utilizatorilor si a celor din zona economică în legătură cu documentarea şi instruirea profesională ca parte a unui proces de îmbunătăţire continuă. Documentaţia şi materialele de instruire sunt de obicei la un nivel bun şi previzibil de fiabilitate şi disponibilitate. Este implementat un proces, în curs de dezvoltare, de automatizare a dezvoltării şi managementului procedurilor. Dezvoltarea automată a procedurilor este tot mai mult integrată cu dezvoltarea sistemelor de aplicaţii facilitând consistenţa şi accesul utilizatorilor. Activitatea de instruire a celor din zona economică şi a utilizatorului este receptivă la nevoile afacerii. Managementul IT dezvoltă indicatori pentru evaluarea activităţilor de dezvoltare şi furnizare de documentaţie, materiale şi programe de instruire.

5 Optimizat când Procesul de realizare a documentaţiei utilizatorului şi cea operaţională este constant îmbunătăţit prin adoptarea unor noi instrumente sau metode. Materialele procedurale şi materialele de instruire sunt tratate ca fiind o bază de cunoştinţe în continuă evoluţie, care este întreţinută electronic utilizând managementul cunoaştințelor, fluxului de lucru şi tehnologiile distribuţiei, ceea ce le face accesibile şi uşor de întreţinut. Documentaţia şi materialul de instruire este actualizat pentru a reflecta schimbările organizaţionale, operaţionale şi de software. Dezvoltarea documentaţiei şi materialelor de instruire, precum şi livrarea programe de instruire sunt complet integrate cu afacerile şi cu definiţiile procesului economic, sprijinind astfel cerinţele la nivelul întregii organizaţii, mai bine decât procedurile orientate numai IT.

AI4 Achiziție și implementare Autorizarea operării și utilizării



AI5 Procurarea resurselor

Resursele IT, incluzând personalul, echipamente hardware, software şi serviciile, trebuie să fie achiziţionate. Acest lucru necesită definirea şi punerea în aplicare a procedurilor de achiziţii , selectarea distribuitorilor, configurarea aranjamentelor contractuale, precum şi achiziţia în sine. Se asigură astfel obţinerea de către organizaţie a tuturor resursele IT într-un timp util şi în mod eficient.


Procurare a resurselor


îmbunătăţire a eficienţei costurilor IT şi contribuţia sa la rentabilitatea afacerilor

prin concetrarea atenției asupra

dobândirii şi întreţinerii competențelor IT care răspund strategiei de livrare, o infrastructura integrată şi standardizată, precum şi reducerea riscului de achiziţii IT

este realizat prin

• Obţinerea de consultanţă profesională, legală şi contractuală • Definirea procedurilor şi standardelor de achiziţie • Achiziţia hardware-ului, software-ului şi serviciilor solicitate în conformitate cu procedurile

definite

și este evaluat prin

• Numărul de litigii privind contractele de achiziţii • Valoarea reducerii costurilor de achiziţie • Procentul beneficiarilor cheie mulţumiţi de furnizori

Achiziție și implementare Procurarea resurselor AI5




AI5.1 Controlul achiziţiilor Dezvoltarea şi respectarea unui set de proceduri şi standarde care sunt în concordanţă cu procesul general de achiziţii al organizaţiei şi cu strategia de achiziţii, pentru a procura elemente de infrastructură IT, echipamente, hardware, software şi serviciile necesare afacerii.

AI5.2 Managementul contractelor cu furnizorii Implementarea unei proceduri pentru definirea, modificarea şi rezilierea contractelor pentru toţi furnizorii. Procedura ar trebui să includă cel puţin: responsabilităţi şi obligaţii legale, financiare, organizaţionale, de documentare, performanţă, securitate, proprietate intelectuală şi rezilierea (inclusiv clauze penalizatoare). Toate contractele şi modificările contractuale trebuie să fie revizuite de către consilierii juridici.

AI5.3 Selectarea furnizorilor Selectarea furnizorilor se realizează în conformitate cu o practică corectă şi formală pentru a asigura cea mai bună şi viabilă alegere, bazată pe cerinţele specificate. Cerinţele ar trebui optimizate prin implicarea potenţialilor furnizori .

AI5.4 Achiziţionarea resurselor Protejarea şi impunerea intereselor organizaţiei în toate acordurile contractuale de achiziţiţie, incluzînd drepturile şi obligaţiile tuturor părţilor în termenii şi condiţiile contractelor pentru achiziţia de software, resurse de dezvoltare, infrastructură şi servicii.

AI5 Achiziție și implementare Procurarea resurselor




De la Intrări Ieşiri Către PO1 Strategia de achiziții IT Cerințe relații contractuale cu terții FS2

PO8 Standarde de achiziție Elemente procurate AI7

PO10 Ghiduri pentru managementul proiectelor și planuri detaliate ale proeictelor

Înțelegeri contractuale FS2

AI1 Studiu de fezabilitate a cerințelor business

AI2-3 Decizii de achiziție

FS2 Catalogul furnizorului



Ob

iect

ive

� Achiziția și menținerea unor sisteme de aplicații integrate și standardizate.

� Achiziția și menținerea unei infrastructuri IT standardizate.

� Achiziția și menținerea aptitudinilor IT care corespund strategiei IT.

� Reducerea riscului achizițiilor IT. � Obține valoare din achiziții IT.

� Obținerea de consultanță legală și contractuală profesională.

� Definirea procedurilor și standardelor pentru achiziții.

� Achiziția hardware-ului, software-ului și serviciilor solicitate în conformitate cu procedurile definite.

Ind

icat

ori

� Numărul de litigii legate de contractele de achiziții.

� Valoarea reducerii costurilor de cumpărare.

� Procentul factorilor de decizie mulțumiți de furnizorii.

� Procentul cerințelor inițiale abordate de către soluția selectată.

� Procentul achizițiilor în conformitate cu politicile și procedurile curente de achiziții.

� Costurile unitare reduse ale bunurilor sau serviciilor achiziționate.

� Decalajul de timp dintre cererea de achiziție și semnarea contractului sau cumpărării.

� Numărul cererilor de achiziție îndeplinite de furnizorul preferat.

� Numărul CdA care trebuie îmbunătățite pe baza răspunsului furnizorului.

� Numărul CdA încheiate la timp. � Numărul înlocuitorilor furnizorului pentru

același tip de bunuri sau servicii achiziționate.

� Numărul răspunsurilor primite pentru o cerere de achiziție.

Achiziție și implementare Procurarea resurselor AI5

indică


indică



MODEL DE MATURITATE


Managementul procesului de Procurare a resurselor care satisface cerinţele afacerii pentru IT de creştere a raportului cost-eficienţă în domeniul IT şi a contribuţiei sale asupra profitabilităţii afacerii este:

0 Inexistent când Nu este definit ca atare procesul de achiziţie a resurselor IT. Organizaţia nu recunoaşte necesitatea unor politici si proceduri clare de achiziţie care să asigure că toate resursele IT sunt disponibile în timp şi într-o manieră eficientă din punct de vedere al costurilor.

1 Iniţial / Ad Hoc când Organizaţia recunoaşte necesitatea de a avea politici şi proceduri documentate care să lege achiziţia IT de procesul general de achiziţie al organizaţiei. Contractele de achiziţie pentru resursele IT sunt dezvoltate şi gestionate de către managerii de proiect şi de către alte persoane punând în practică opiniile lor profesionale în locul rezultatului unor proceduri si politici formale. Există doar o relaţie ad-hoc între procesul de achiziţie al organizaţiei şi procesele de management de contract şi IT. Contractele de achiziţie sunt gestionate la finalizarea proiectelor în loc sa fie gestionate pe tot parcursul valabilităţii lor.

2 Repetabil dar intuitiv când Organizaţia este conştientă de necesitatea de a avea politici şi proceduri de bază pentru achiziţii IT. Politicile şi procedurile sunt parţial integrate în procesul general de achiziţii al organizaţiei. Procesele de achiziţii sunt utilizate în mare parte în proiectele mari şi notabile. Responsabilităţile şi obligaţiile pentru achiziţiile IT şi managementul contractelor sunt determinate de experienţa individuală a managerului de contract. Importanţa managementului furnizorului şi managementul relaţiei este înţeleasă însă se realizează pe bază de iniţiative individuale. Procesele privind contractele sunt în mare parte utilizate pentru proiecte mari şi notabile.

3 Definit atunci când Managementul instituie politici şi proceduri pentru achiziţii IT. Politicile şi procedurile sunt dirijate de procesul general de achiziţie al organizaţiei. Achiziţiile IT sunt larg integrate în sistemul general de achiziţii. Există standardele IT pentru achiziţia de resurse IT. Furnizorii de resurse IT sunt integraţi în mecanismele de management de proiect ale organizaţiei din perspectiva managementului de contract. Managementul IT comunică necesitatea unor achiziţii corespunzătoare şi a managementului de contract în cadrul funcţiei IT.

4 Administrat şi măsurabil când Achiziţiile IT sunt deplin integrate în sistemul general de achiziţie al organizaţiei. Standarde IT pentru achiziţia resurselor IT sunt utilizate pentru toate achiziţiile. Indicatorii pentru managementul de contract şi de achiziţii sunt relevanţi pentru necesităţile afacerii cu privire la IT. Este realizată raportarea activităţii de achiziţii IT care sprijină obiectivele afacerii. Managementul este de obicei conştient de abaterile de la politicile şi procedurile de achiziţii IT. Managementul strategic al relaţiilor cu terții este în curs de dezvoltare. Managementul IT impune utilizarea procesului de management al achiziţiilor şi contractelor pentru toate achiziţiile prin revizuirea indicatorilor de performanţă.

5 Optimizat când Managementul implementează procurarea resurselor prin procese de achiziţii IT. Managementul impune respectarea politicilor şi procedurilor pentru achiziţii IT. Indicatorii pentru managementul de contract şi de achiziţii sunt relevanţi pentru necesităţile afacerii. Sunt întemeiate în timp relaţiile bune cu majoritatea furnizorilor şi partenerilor iar calitatea relaţiei este măsurată şi monitorizată. Relaţiile sunt gestionate strategic. Standardele IT, politicile şi procedurile pentru achiziţiile de resurse IT sunt gestionate strategic şi corespund dimensiunii procesului. Managementul IT comunică importanţa strategică a unor achiziţii corespunzătoare şi a managementului de contract în cadrul funcţiei IT.

AI5 Achiziție și implementare Procurarea resurselor



AI6 Managementul schimbărilor

Toate schimbările, incluzând cele de întreţinere urgentă şi patch-urile, referitoare la infrastructura şi aplicaţiile din mediul de producţie sunt administrate formal şi într-o maniera controlată. Schimbările (inclusiv acele ale procedurilor, proceselor, sistemelor şi parametrilor de servicii) sunt înregistrate, evaluate şi autorizate înainte de implementare şi revizuite în comparaţie cu rezultatul aşteptat după implementare. Aceasta asigură reducerea riscurilor de afectare negativă a stabilităţii şi integrităţii mediului de producţie.


Managementul schimbărilor

care satisface cerinţele afacerii pentru IT de

a răspunde cerinţelor afaceri în conformitate cu strategia de afaceri, în timp ce se reduc defectele şi reluările de furnizare a soluţiei şi serviciului


evaluării impactului controlului, autorizării şi implementării tuturor schimbărilor în infrastructura IT, aplicaţii şi soluţii tehnice; minimizarea erorilor datorate specificaţiilor cerute incomplete; şi stopând implementarea schimbărilor neautorizate

este realizat prin

• Definirea şi comunicarea procedurilor de schimbare, inclusiv a schimbărilor urgente

• Evaluarea, stabilirea priorităţilor şi autorizarea schimbărilor • Urmărirea stării şi raportarea schimbărilor


• Numărul de întreruperi sau erori de date cauzate de specificaţii inexacte sau evaluări ale impactului incomplete

• Nivelul de efort suplimentar pentru aplicaţii şi infrastructura datorat specificaţiilor insuficiente

• Procentul schimbărilor care respectă procesul formal și controlat de schimbare

Achiziție și implementare Managementul schimbărilor AI6




AI6.1 Standardele şi procedurile pentru schimbare Stabilirea unor proceduri formale de management al schimbării pentru a gestiona într-un mod standard toate cererile (inclusiv cele de întreţinere şi patch-urile) de schimbăre a aplicaţiilor, procedurilor, proceselor, parametrilor sistemului şi serviciilor şi a platformelor suport.

AI6.2 Evaluarea impactului, stabilirea priorităţilor si autorizarea Evaluarea tuturor cererilor de schimbare într-o manieră structurată pentru a determina impactul asupra sistemului operaţional şi a funcţionalităţilor sale. Asigurarea că schimbările sunt clasificate, au priorităţi stabilite şi sunt autorizate.

AI6.3 Schimbările urgente Stabilirea unui proces pentru definirea, ridicarea, testarea, documentarea, evaluarea şi autorizarea schimbărilor urgente care nu respectă procesul de schimbare stabilit.

AI6.4 Urmărirea şi raportarea stării schimbării Implementarea unui sistem de urmărire şi raportare care să documenteze schimbările respinse, să comunice statusul schimbărilor aprobate și în curs de procesare şi schimbările efectuate cu succes. Să se asigure că schimbările efectuate sunt implementate conform planificării.

AI6.5 Finalizarea schimbării şi documentarea Ori de câte ori schimbările sunt implementate, se actualizează corespunzător documentaţia sistemului asociat şi documentaţia utilizatorului, precum şi procedurile.

AI6 Achiziție și implementare Managementul schimbărilor




De la Intrări Ieşiri Către PO1 Portofoliul proiectelor IT Descrierea procesului de schimbare AI1...AI3

PO8 Acțiuni de ameliorare a calității Rapoarte privind starea schimbărilor ME1

PO9 Planul de acțiuni privind remedierea riscurilor IT

Autorizarea schimbării AI7 FS8 FS10

PO10 Ghiduri pentru managementul proeictului și planuri detaliate

FS3 Schimbările necesare

FS5 Schimbări necesare la adresa securității

FS8 Solicitare serviciu/solicitare schimbare

FS9-10 Solicitare pentru schmbare(unde și cum se aplicat corecția)

FS10 Înregistrarea problemelor



Ob

iect

ive

� Răspunde cerințelor în conformitate cu strategia de afaceri.

� Reduce defectele și numărul de revizii ale soluției și serviciului livrat.

� Asigură un impact minim asupra afacerii în cazul unei întreruperi sau schimbări a unui serviciu IT.

� Definește modul în care cerințele funcționale și de control ale afacerii sunt transformate în soluții automatizate eficace și eficiente.

� Menține integritatea informației și a infrastructurii de procesare.

� Realizează schimbări autorizate în infrastructura IT și la aplicații.

� Evaluează impactul schimbărilor infrastructurii IT, a aplicațiilor și soluțiilor tehnice.

� Urmărește și să raportează schimbările către beneficiari.

� Minimizează erorile datorate specificațiilor incomplet formulate.

� Definește și comunică schimbările de procedură, inclusiv modificările de securitate și patch-urile.

� Evaluează, prioritizează și să autorizează schimbările.

� Programează schimbările. � Umrărește și raportează schimbările

Ind

icat

ori

� Numărul întreruperilor sau erorilor de date cauzate de evaluarea impactului specificațiilor greșite sau incomplete.

� Numărul reviziilor aplicației datorate specificațiilor de modificare necorespunzătoare.

� Timp și efort reduse, necesare pentru efectuarea schimbărilor.

� Procentul schimbărilor totale care reprezintă instalări de urgență.

� Procentul schimbărilor nereușite ale infrastructurii datorate specificațiilor de schimbare necorespunzătoare.

� Numărul schimbărilor neurmărite, neraportate sau neautorizate corespunzător.

� Numărul cererilor de schimbare restante

� Procentul schimbărilor înregistrate cu instrumente automate.

� Procentul schimbărilor ce respect un process formal de control al schimbărilor.

� Raportul dintre cererile de schimbare acceptate și cele respinse.

� Numărul diferitelor versiuni ale unei aplicații sau infrastructuri întreținută

� Numărul și tipul schimbărilor de securitate ale componentelor infrastructurii

� Numărul și tipul patch-urilor aplicate componentelor infrastructurii

Achiziție și implementare Managementul schimbărilor AI6

indică


indică



MODEL DE MATURITATE


Managementul procesului de Management al schimbărilor care corespunde cerinţelor afacerii pentru IT de a răspunde cerinţelor afacerii în conformitate cu strategia afacerii, în acelaşi timp reducând defectele soluţiilor şi serviciilor livrate şi revizia acestora, este:

0 Inexistent când Nu este definit procesul de management al schimbărilor, iar modificările pot fi făcute efectiv fără nici un control. Nu există nici o conştientizare a faptului că schimbarea poate provoca întreruperea operaţiunilor IT şi operaţiunilor economice şi nici nu se conştientizează beneficiile unui management al schimbărilor de calitate.

1 Iniţial/Ad-hoc când Se recunoaşte că schimbările ar trebui să fie gestionate şi controlate. Practicile variază şi este probabil ca unele schimbări neautorizate sa aibă loc. Nu există o documentaţie a schimbărilor sau, dacă există, este sărăcăcioasă, iar documentaţia de configuraţie este incompletă şi inconsecventă. Este posibil să apară erori şi întreruperi ale mediului de producţie cauzate de un management al schimbărilor slab.

2 Repetabil dar intuitiv când Există un proces informal de management al schimbărilor şi majoritatea schimbărilor urmăresc această abordare; totuşi, este nestructurat, rudimentar şi predispus la erori. Acurateţea documentaţiei de configurare este inconsecventă şi numai planificarea limitată si evaluarea impactului au loc înaintea unei schimbări.

3 Definit când Există definit un proces formal de management al schimbărilor, iar în curs de dezvoltare sunt: clasificarea, alocarea priorităţilor, procedurile de urgenţă, autorizarea schimbărilor, managementul pachetelor de distribuţie şi conformitatea. Se găsesc soluţii temporare la problemele apărute şi procesele sunt deseori ocolite. Pot apărea erori si ocazional schimbări neautorizate. Analiza impactului schimbărilor informatice asupra proceselor afacerii devine formalizată pentru a susţine distribuţiile planificate ale noilor aplicaţii şi tehnologii.

4 Administrat şi măsurabil când Procesul de management al schimbărilor este bine dezvoltat si este aplicat consistent tuturor schimbărilor. Managementul este convins că mai există un număr foarte mic de excepţii. Procesul este eficient si eficace, dar se bazează pe un număr considerabil de proceduri şi controale manuale pentru a se asigura calitatea dorită. Toate modificările sunt supuse unei planificări riguroase şi unei analize de impact pentru a minimiza probabilitatea de apariţie a unor probleme de post-producţie. Este în vigoare un proces de aprobare a schimbărilor. Documentaţia managementului schimbărilor este actualizată şi corectă, iar modificările sunt urmărite în mod formal. Documentaţia de configurare este, în general, exactă. Planificarea si implementarea managementului schimbărilor IT devin tot mai integrate cu schimbările ce au loc în procesele economice pentru a se asigura că instruirea profesională, schimbările organizaţionale şi continuitatea afacerii sunt avute în vedere. Există o coordonare în creştere între managementul schimbărilor IT şi reproiectarea proceselor afacerii. Există un proces consistent pentru monitorizarea calităţii şi performanţei procesului de management al schimbărilor.

5 Optimizat când Procesul de management al schimbărilor este periodic revizuit şi actualizat pentru a rămâne la nivel cu cele mai bune practici. Procesul de revizie reflectă rezultatul monitorizării. Informaţiile de configurare sunt în formă electronică şi furnizează un control al versiunilor. Urmărirea schimbărilor este sofisticată şi include instrumente pentru a detecta software-ul neautorizat şi fără licenţă. Managementul schimbărilor IT este integrat cu managementul schimbărilor afacerii pentru a se asigura faptul că IT-ul contribuie la creşterea productivităţii şi la crearea de noi oportunităţi pentru organizaţie.

AI6 Achiziție și implementare Managementul schimbărilor



AI7 Instalarea şi acreditarea soluţiilor şi schimbărilor

Noile sisteme trebuie să devină operaţionale odată ce dezvoltarea lor este completă. De aceea, sunt necesare următoarele: testare adecvată într-un mediu dedicat, cu date de test relevante; definirea instrucţiunilor de distribuţie şi migrare; planificarea pachetelor de distribuţie şi promovarea în producţie, precum şi o revizuire post-implementare. Astfel se asigură că sistemele operaţionale răspund aşteptărilor şi rezultatelor agreate.


Instalarea şi acreditarea soluţiilor şi schimbărilor


implementare de sisteme noi sau modificate care funcţionează fără probleme majore după instalare


testării aplicaţiilor şi a soluţiilor de infrastructură pentru a se constata dacă acestea corespund obiectivelor propuse şi nu au erori şi planificării lansării în producţiei

se realizează prin

• Stabilirea metodologiei de testare • Planificarea distribuţie pachetelor • Evaluarea şi aprobarea rezultatelor testelor de către conducere • Efectuarea de revizuiri post-implementare


• Totalul timpului de nefuncţionare al aplicaţiei sau numărul de date corectate, cauzate de testări inadecvate

• Procentul sistemelor care furnizează beneficiile aşteptate, calculat în urma procesului de post-implementare

• Procentul proiectelor care deţin un plan de testare documentat şi aprobat

Achiziție și implementare Instalarea și acreditarea soluțiilor și schimbărilor AI7



AI7 Instalarea şi acreditarea soluţiilor şi schimbărilor

AI7.1 Instruire Instruirea personalului departamentelor afectate şi grupul de operaţiuni al funcţiei IT conform planului definit de instruire şi implementare precum şi a materialelor asociate, ca parte a fiecărui proiect de dezvoltare, implementare sau modificare a unui sistem informatic.

AI7.2 Planul de testare Stabilirea unui plan de testare bazat pe standardele organizaţiei, care să definească rolurile, responsabilităţile şi criteriile de intrare şi ieşire. Asigurarea că planul este aprobat de către părţile implicate relevante.

AI7.3 Planul de implementare Stabilirea unui plan de implementare şi a unui plan de revenire la starea iniţiala. Obţinerea aprobării de la părţile implicate relevante.

AI7.4 Mediul de test Definirea şi stabilirea unui mediu de test securizat, reprezentativ mediului operaţiunilor, planificat în raport cu securitatea, controalele interne, practicile operaţionale, calitatea datelor, cerinţele de confidenţialitate şi volumul de muncă.

AI7.5 Conversia sistemului şi a datelor Planificarea conversiei datelor şi a migrării infrastructurii ca parte a metodelor organizaţiei de dezvoltare, incluzând probe de audit, acţiunile de revenire şi acţiunile de rezervă.

AI7.6 Testarea schimbărilor Testarea independentă a schimbărilor, conform planului de test definit, înainte de migrarea în mediul operaţional. Asigurarea că planul ia în considerare securitatea şi performanţa.

AI7.7 Testul final de acceptare Asigurarea că responsabilii procesului economic şi părţile interesate din IT evaluează rezultatul procesului de testare conform planului de test. Remedierea erorilor semnificative identificate în procesul de testare, completand setul de teste identificate în planul de testare şi alte teste de regresie necesare. În urma evaluării, aprobarea promovării în producţie.

AI7.8 Promovarea în producţie În urma testării, controlarea transferului sistemului modificat către zona operaţională, menţinând conformitatea cu planul de implementare. Obţinerea aprobării principalelor părţi implicate, cum ar fi : utilizatorii, responsabilul sistemului şi managementul operaţional. Unde este cazul, utilizarea sistemului în paralel cu vechiul sistem pentru o perioadă şi compararea comportamentul său şi a rezultatelor.

AI7.9 Revizia post-implementare Stabilirea procedurilor în conformitate cu standardele organizaţionale de management al schimbărilor pentru a solicita o revizie post-implementare, aşa cum este prevăzut în planul de implementare.

AI7 Achiziție și implementare Instalarea și acreditarea soluțiilor și schimbărilor



AI7 Instalarea și acreditarea soluțiilor și schimbărilor

De la Intrări Ieşiri Către PO3 Standardele tehnologice Elemente de configurare adoptate FS8 FS9

PO4 Documentarea responsabililor sistemului Erori cunoscute și acceptate AI4

PO8 Standardele de dezvoltare Promovarea în producție FS13

PO10 Ghiduri pentru managementul proiectului și planul detaliat al proiectului

Versiunea aplicației și planul de distribuție FS13

AI3 Configurarea sistemului care urmează a fi testat/instalat

Monitorizarea post implementare PO2 PO5 PO10

AI4 Manuale operaționale, pentru utilizatori, pentru suport, tehnice și de administrare

Monitorizarea controlului intern ME2

AI5 Itemi procurați

AI6 Autorizarea schimbării



Ob

iect

ive

� Asigură realizarea în siguranță a tranzacțiilor automate și a schimbului de informații.

� Reduce defectele și numărul de revizii a soluției și serviciului livrat.

� Răspunde cerințelor afacerii în conformitate cu strategia de afaceri.

� Asigură o integrare unitară a aplicațiilor în procesele afacerii.

� Asigură utilizarea și performanța corespunzătoare a aplicațiilor și soluțiilor tehnologice.

� Asigură că serviciile și infrastructura IT pot rezista și se pot recupera după căderi datorate erorilor, atacurilor sau dezastrelor.

� Verifică și confirmă că aplicațiile și soluțiile tehnologice sunt potrivite scopului propus.

� Lansează și distribuie corespunzător aplicațiile și soluțiile tehnologice aprobate.

� Pregătește utilizatorii și operațiile pentru utilizarea aplicațiilor și soluțiilor tehnologice.

� Asigură că noua aplicație pentru afaceri și modificările ulterioare sunt lipsite de erori.

� Stabileaște o metodologie de testare care să asigure o acceptare suficientă a testării înaintea exploatării.

� Urmărește schimbările tuturor elementelor � Realizează un plan de lansare � Realizează revizii post-implementare

� Evaluează și aprobă rezultatele testului de către managementul afacerii

Ind

icat

ori

� Procentul beneficiarilor mulțumiți de integritatea datelor noilor sisteme.

� Procentul sistemelor care îndeplinesc beneficiile așteptate, măsurate de procesul post-implementare.

� Numărul erorilor descoperite în timpul auditurilor interne sau externe cu privire la procesul de instalare și acreditare

� Reviziile realizate după implementare datorate acceptării unei testări necorespunzătoare

� Apelarea serviciului de asistență de către utilizatori datorită instruirii neadecvate

� Întreruperi ale aplicației sau reparări de date cauzate de testarea inadecvată

� Gradul de implicare a benficiarilor în procesul de instalare și de acreditare

� Procentul proiectelor cu un plan de testare documentat și aprobat

� Numărul lecțiilor învățate din reviziile post-implementare

� Procentul erorilor descoperite în timpul reviziilor de Asigurare a Calității ale funcțiilor de instalare și acreditare

� Numărul schimbărilor fără acceptul scris al managementului înainte de implementare

Achiziție și implementare Instalarea și acreditarea soluțiilor și schimbărilor AI7

indică


indică



MODEL DE MATURITATE

AI7 Instalarea şi Acreditarea Soluţiilor şi Schimbărilor

Managementul procesului de Instalare şi acreditare a soluţiilor şi modificărilor care îndeplinesc cerinţele informatice ale afacerii care constau în implementarea de sisteme noi sau modificate care funcţionează fără probleme majore după instalare, este:

0 Inexistent când Nu există procese formale de instalare şi acreditare şi nici conducerea sau membrii din departamentul de IT nu recunosc nevoia de a verifica dacă soluţiile sunt potrivite scopului propus.

1 Iniţial/Ad-hoc când Este conştientizată nevoia de a verifica şi confirma faptul că soluţiile implementate servesc scopului propus. Testarea este efectuată pentru câteva proiecte, dar iniţiativa testării este luată de către echipele individuale de proiect şi abordările variază. Acreditările şi aprobările formale sunt rare sau inexistente.

2 Repetabil, dar Intuitiv când Există o oarecare consecvenţă între abordările de testare şi acreditare, dar de obicei nu sunt bazate pe nici o metodologie. Echipele individuale de dezvoltare decid, în mod normal, abordarea testării şi deseori lipseşte testarea integrată. Există un proces informal de aprobare.

3 Definit când Există o metodologie formală pentru instalare, migrare, conversie şi acceptare. Procesele IT de instalare şi acreditare sunt integrate în ciclul de viată al sistemului şi sunt automatizate într-o anumită măsură. Este posibil ca instruirea, testarea şi tranziţia la stadiul de producţie şi acreditarea acesteia să varieze de la procesele definite, pe baza unor decizii individuale. Calitatea sistemelor nou-intrate în producţie este inconsistentă, noile sisteme generând destul de multe probleme de post-implementare.

4 Administrat şi măsurabil când Procedurile sunt formalizate şi dezvoltate pentru a fi bine organizate şi practice, cu medii de test definite şi proceduri de acreditare. În practică, toate schimbările majore pe care le suferă sistemele urmăresc această abordare formalizată. Evaluarea îndeplinirii cerinţelor utilizatorilor este standardizată şi măsurabilă, producând indicatori care pot fi revizuiţi şi analizaţi de către conducere. Calitatea sistemelor nou-intrate în producţie este satisfăcătoare pentru conducere, chiar şi cu nivele rezonabile de probleme de post-implementare. Automatizarea procesului are loc ad-hoc şi este dependentă de proiect. Conducerea ar putea fi satisfăcută de nivelul curent de eficienţă în ciuda lipsei evaluării post-implementare. Sistemul de test reflectă corespunzător mediul de producţie. Testele de stres pentru sistemele noi şi testele de regresie pentru cele existente sunt aplicate pentru proiectele majore.

5 Optimizat când Procesele de instalare şi acreditare au fost rafinate până la nivelul celor mai bune practici, pe baza rezultatelor unei dezvoltări şi rafinări continue. Procesele IT de instalare şi acreditare sunt pe deplin integrate în ciclul de viaţă al sistemului şi automatizate atunci când este cazul, facilitând cea mai eficientă instruire, testare şi tranziţie la stadiul de producţie al noilor sisteme. Mediile de test bine dezvoltate, registrele cu problemele apărute pe parcurs şi procesele rezolvării acestora asigură o tranziţie eficientă şi eficace către mediul de producţie. Acreditarea are loc de obicei fără nici o revizie, iar problemele de post-implementare sunt în mod normal limitate la corecţii minore. Reviziile post-implementare sunt standardizate, iar pe baza rezultatelor se asigură o continuă îmbunătăţire a calităţii. Testele de stres pentru sistemele noi şi testele de regresie pentru cele modificate sunt aplicate în mod consecvent.

AI7 Achiziție și implementare Instalarea și Acreditarea Soluțiilor și Schimbărilor



FS1 Definirea şi administrarea nivelurilor serviciilor

Comunicarea eficientă între managementul IT şi clienţii organizaţiei în ceea ce priveşte serviciile solicitate este asigurată printr-o definire documentată a unui acord legat de serviciile IT şi nivelurile acestor servicii. Acest proces include, de asemenea, monitorizarea şi raportarea în timp util către beneficiari cu privire la realizarea nivelurilor serviciilor. Acest proces permite alinierea serviciilor IT la cerinţele afacerii.


Definirea şi administrarea nivelurilor serviciilor


a asigura alinierea serviciilor IT cheie cu strategia organizaţiei


identificării cerinţelor serviciilor, stabilirii nivelurilor serviciilor si monitorizarea atingerii acestor niveluri

se realizează prin

• formalizarea acordurilor interne şi externe, în conformitate cu cerinţele şi capabilităţile de furnizare

• Raportarea cu privire la realizarea nivelului de servicii (rapoarte şi şedinţe) • Identificarea şi comunicarea cerinţelor noi şi actualizarea planului strategic cu noi

cerinţe


• Procentul de beneficiari mulţumiţi că serviciile furnizate respectă nivelurile agreate

• Numărul de servicii livrate care nu se regasesc în catalogul serviciilor • Numărul de întâlniri oficiale cu clienţii, pe an, pentru revizuirea respectării

Acordului privind Nivelul Serviciilor

Furnizare și Suport Definirea și administrarea nivelurilor serviciului

Servicii FS1




FS1.1 Cadrul de referință pentru Managementul Nivelului Serviciilor Definirea unui cadru de referință care să ofere un proces formalizat de management al nivelului de servicii între client şi furnizorul de servicii. Acest cadru ar trebui să menţină alinierea continuă cu cerinţele de afacerii, să prioritizeze şi să faciliteze înţelegerea între client şi furnizor. Cadrul ar trebui să includă procese pentru crearea cerinţelor de servicii, definirea serviciilor, Acordurilor Nivelurilor Serviciilor, Acordurilor Operaţionale pentru Nivelurile Serviciilor şi surselor de finanţare. Aceste atribute ar trebui să fie organizate într-u n catalog de servicii. Cadrul ar trebui să definească structura organizatorică de management la nivel de servicii, să acopere rolurile, sarcinile şi responsabilităţile furnizorilor de servicii interne şi externe şi ale clienţilor.

FS1.2 Definirea serviciilor Ar trebui fundamentată definirea de bază a serviciilor IT pe caracteristicile serviciilor şi cerinţele afacerii. Ar trebui să se asigure că acestea sunt organizate şi centralizate, prin realizarea unui portofoliu de cataloage de servicii.

FS1.3 Acorduri privind nivelurile serviciilor Definirea şi agrearea contractelor/acordurilor de prestări servicii pentru toate serviciile IT esenţiale, bazate pe cerinţele clientului şi capabilităţile IT. Acest lucru ar trebui să acopere angajamentele clientului; cerinţele de suport pentru servicii; metricii cantitativi şi calitativi de măsurare a serviciului aprobat de către beneficiari; acordurilor comerciale şi de finanţare, dacă este cazul; rolurile şi responsabilităţile, inclusiv cele de supraveghere, a contractelor de prestări de servicii. Luarea în considerare a unor elemente cum ar fi disponibilitatea, fiabilitatea, performanța, capacitatea de dezvoltare, nivelurile de suport, planificare continuă, securitatea şi constrângerile cererii.

FS1.4 Acordurile Operaţionale pentru nivelul serviciilor Definirea Acordurilor operaţionale pentru nivelurile serviciilor care explică modul în care serviciile vor fi livrate din punct de vedere tehnic pentru a sprijini Acordurile nivelurilor serviciilor într-o manieră optimă. Acordurile operaţionale ar trebui să specifice procesele tehnice în termeni semnificativi pentru furnizor şi să poată sprijini mai multe Acorduri de nivel al serviciilor.

FS1.5 Monitorizarea si raportarea privind realizarea nivelului serviciului Monitorizarea continuă a criteriilor specificate de performanţă a nivelului de servicii. Ar trebui să fie furnizate rapoarte privind realizarea nivelului de servicii, într-un format care sa fie semnificativ pentru benficiari. Statisticile de monitorizare ar trebui să fie analizate şi utilizate pentru a identifica tendinţele negative şi pozitive pentru serviciile individuale, precum şi pentru serviciile de ansamblu.

FS1.6 Revizia contractelor şi a acordurilor privind nivelul serviciilor Analizarea în mod regulat a acordurile privind nivelul serviciilor şi contractele care stau la baza lor cu furnizorii de servicii interne şi externe pentru a asigura că acestea sunt eficace şi actualizate şi că schimbările privind cerinţele au fost luate în considerare.

FS1 Furnizare și Suport Definirea şi administrarea nivelurilor serviciilor





PO1 Planurile IT strategice și tactice, portofoliul de servicii IT

Raport de revizuire a contractului FS2

PO2 Alocarea datelor clasificate Rapoarte de performanță a procesului ME1

PO5 Portofoliu de servicii IT actualizat Cerințe de servicii noi/actualizate PO1

AI2 ANS/SLA inițial Acord Nivel Serviciu Agreat AI1 FS2 FS3 FS4 FS6 FS8 FS13

AI3 ANO/OLA inițial Acord Nivel Operațional Agreat FS4 FS5 FS6 FS7 FS8 FS11 FS13

FS4 Cerințe privind serviciile în caz de dezastru, inclusiv roluri și responsaptitudini

Portofoliu actualizat al serviciilor IT PO1

ME1 Date de intrare pentru planificarea IT privind perfoamanța



Ob

iect

ive

� Asigurarea satisfacției utilizatorului final prin oferta de servicii și a nivelului acestora.

� Răspunsul la cerințele economice în conformitate cu strategia de afacere.

� Asigurarea transparenței și înțelegerea costurilor IT, beneficiilor, strategiei, politicilor și nivelurilor de serviciu.

� Stabilirea concordanței în înțelegerea nivelurilor de servicii solicitate.

� Formalizarea și monitorizarea Acordului Serviciu Agreat şi criteriilor de performanţă.

� Alinierea serviciilor furnizate la nivelurile serviciilor stabilite de comun acord.

� Crearea unui catalog al serviciilor actuale aliniate la obiectivele economice

� Definirea serviciilor � Formalizarea acordurilor interne şi externe

în conformitate cu cerinţele şi capacităţile de furnizare

� Raportarea cu privire la realizările nivelului de servicii (raportare şi întâlniri)

� Garantarea faptului că rapoartele sunt adaptate audienţei

� Trimiterea spre sursă a noilor cerinţe de servicii actualizate către planificarea strategică.

Ind

icat

ori

� Procentaj al beneficiarilor afacerii mulţumiţi de faptul că furnizarea serviciilor îndeplinesc nivelurile stabilite de comun acord.

� Procentaj al utilizatorilor mulţumiţi de faptul că serviciile furnizate îdeplinesc nivelurile stabilite de comun acord.

� Numărul serviciilor furnizate inexistente în catalog.

� Procentul serviciilor ce îndeplinesc nivelurile de servicii.

� Procentul nivelurilor de servicii care sunt măsurate.

� Numărul de întâlniri anuale oficiale de revizuire a Acordului Nivel Serviciu Agreat cu mediul de afaceri

� Procentul nivelurilor de servicii raportate � Procentul nivelurilor de servicii raportate în

mod automat � Numărul de zile lucrătoare trecute pentru a

ajusta un nivel al serviciilor de comun acord cu clientul

Furnizare și Suport Definirea şi administrarea nivelurilor serviciilor FS1

indică


indică



MODEL DE MATURITATE


Managementul procesului Definirea şi administrarea nivelurilor serviciilor care satisface cerinţa de afaceri pentru IT de a asigura alinierea serviciilor IT cheie cu strategia afacerii este:

0 Inexistent atunci când Managementul nu a recunoscut nevoia pentru un proces de definire a nivelurilor de servicii. Responsabilităţile şi responsabilii cu supravegherea acestora nu sunt atribuite.

1 Initial/Ad Hoc când Este conştientizată necesitatea de a administra nivelurile de serviciu, dar procesul este informal şi reactiv. Răspunderea şi responsabilii pentru definirea şi gestionarea serviciilor nu sunt definite. În cazul în care măsurătorile de performanţă există, acestea sunt calitative numai cu obiective definite imprecis. Raportarea este informală, rară şi inconsecventă.

2 Repetabil, dar intuitiv când Sunt convenite nivelurile de servicii, dar ele sunt neoficiale şi nu sunt verificate. Raportarea la nivel de serviciu este incompletă şi pot fi irelevanta sau poate induce în eroare clienţii. Raportarea la nivel de serviciu depinde de competenţele şi iniţiativa fiecărui manager in parte. Un coordonator al nivelului de serviciu este numit în funcţie cu responsabilităţi definite, dar autoritate limitată. În cazul în care există un proces pentru respectarea Acordului la Nivel de Servicii, acesta este voluntar şi nu este impus.

3 Definit atunci când Responsabilităţile sunt bine definite, dar cu autoritate deplină. Procesul de dezvoltare a acordului privind nivelul de servicii este în vigoare, cu puncte de control pentru reevaluearea nivelurilor de servicii şi a satisfacţiei clienţilor. Serviciile şi nivelurile de servicii sunt definite, documentate şi aprobate printr-un proces standard. Neajunsurile la nivel de serviciu sunt identificate, dar procedurile privind modul de a rezolva neajunsurile sunt informale. Există o legătură clară între atingerea nivelului de servicii aşteptat şi finanţarea prevăzută. Nivelurile de serviciu sunt aprobate, dar pot sa nu fie adresate nevoilor mediului de afaceri.

4 Administrat şi măsurabil când Nivelul de servicii este definit în special în faza de definire a cerinţelor sistemului şi încorporat în proiectarea aplicaţiilor şi a mediului operaţional. Satisfacţia clientului este măsurată şi evaluată în mod curent. Măsurătorile performanţei reflectă mai degrabă nevoile clientului, decât scopurile IT. Măsurile pentru evaluarea nivelurilor de servicii devin standardizate şi reflectă normele industriei. Criteriile de definire a nivelului serviciilor sunt bazate pe criteriile afacerii şi includ disponibilitatea, fiabilitatea, performanţa, capacitatea de creştere, suportul utilizatorului, planificarea continuităţii şi considerente de securitate. Analiza cauză-efect este realizată în mod curent atunci când nivelurile de servicii nu sunt îndeplinite. Procesul de raportare pentru monitorizarea nivelului de servicii devine din ce în ce în ce mai automatizat. Riscurile operaţionale şi financiare asociate neîndeplinirii nivelului de servicii convenit sunt definite şi în mod clar înţelese. Un sistem oficial de măsurare este instituit şi menţinut.

5 Optimizat când Nivelurile de servicii sunt permanent reevaluate pentru a se asigura alinierea obiectivelor IT cu cele economice, în acelaşi timp, profitând de tehnologie, inclusiv a raportului cost-beneficiu. Toate procesele de administrare a nivelului serviciilor sunt supuse unei continue îmbunătăţiri. Nivelul de satisfacţie a clienţilor este permanent monitorizat şi gestionat. Nivelurile de servicii aşteptate reflectă obiectivele strategice ale unităţilor de afaceri şi sunt evaluate în raport cu normele industriei. Managementul IT are resursele şi responsabilitatea necesare pentru îndeplinirea obiectivelor privind nivelul serviciilor, iar compensarea este structurată să ofere stimulente pentru îndeplinirea acestor obiective. Managementul senior monitorizeaza măsurătorile de performanţă, ca parte a unui proces de îmbunătăţire continuă.

FS1 Furnizare și Suport Definirea şi administrarea nivelurilor serviciilor



FS2 Managementul serviciilor de la terți

Nevoia de siguranţă că serviciile de la terți (furnizori, vânzători şi parteneri) satisfac cerinţele afacerii implică un process efectiv de management al părţii terţe. Acest process este realizat prin definirea clară a rolurilor, reponsabilităţilor şi aşteptărilor în acordurile cu părţile terţe, precum şi revizuirea şi monitorizarea acestor acorduri în vedera efectivităţii şi conformităţii. Managementul efectiv al serviciilor de la terți minimizează riscul afacerii asociat furnizorilor neperformanţi.

Controlul asupra proceselui IT

Managementul serviciilor de la terți


furnizarea de servicii externalizate satisfăcătoare, păstrând transparenţa beneficiilor, costurilor şi a riscurilor


stabilirii acordurilor şi responsabilităţilor bilaterale cu părţi terţe calificate ca furnizoare de servicii şi monitorizarea livrării de servicii pentru a verifica şi asigura respectarea acordurilor

se realizează prin

• Identificarea şi clasificarea furnizorilor de servicii • Idetificarea şi minimizarea riscului asociat furnizorilor • Monitorizarea şi măsurarea performanţei furnizorilor

şi este măsurată prin

• Numărul de plângeri din partea utilizatorilor privind serviciile contractate • Procentul de furnizori principali care îndeplinesc perfect cerinţele definite

şi nivelurile de servicii • Procentul de furnizori prinipali care fac obiectul monitorizării

Furnizare și Suport Managementul serviciilor de la terți FS2




FS2.1 Identificarea relațiilor cu toți furnizorii Identificarea tuturor furnizorilor de servicii şi le clasificara acestora în funcţie de tip, semnificație şi importanță. Întrețienrea unei documentaţii formale asupra relaţiilor tehnice şi organizaţionale care să acopere rolurile şi responsabilităţile, obiectivele, rezultatele aşteptate, precum şi informaţiile de identificare ale reprezentanţilor acestor furnizori.

FS2.2 Managementul relaţiilor cu furnizorii Formalizarea procesului de management al relaţiei cu furnizorii pentru fiecare furnizor in parte. Responsabilii relaţiei ar trebui să menţină legătura cu problemele dintre client şi furnizor şi să asigure calitatea relaţiei bazată pe încredere şi transparenţă (de exemplu, prin intermediul acordului privind nivelul serviciilor).

FS2.3 Managementul riscului asociat furnizorilor Identificarea şi reducerea riscurile legate de capacitatea furnizorilor de a continua furnizarea eficientă de servicii, într-un mod sigur şi eficient.Asigurarea că toate contractele sunt conforme cu standardele de afaceri universale, în conformitate cu cerinţele legale şi de reglementare. Managementul riscului ar trebui să ia în considerare în continuare acordurile de confidentialitate, contractele de custodie, viabilitatea continuă a furnizorul, conformitatea cu cerinţele de securitate, furnizori alternativi, sancţiuni şi recompense, etc.

FS2.4 Monitorizarea performanţei furnizorului Stabilirea unui proces de monitorizare a furnizării de servicii pentru a asigura că furnizorul se încadrează în necesităţile afacerii actuale şi continuă să adere la acordurile contractuale şi acordul privind nivelul serviciilor, iar performanţa este competitivă cu cea a altor posibili furnizori şi cu condiţiile de piaţă.

FS2 Furnizare și Suport Managementul serviciilor de la terți




De la Intrări Ieşiri Către PO1 Strategia IT de aprovizionare Rapoarte ale performanţei proceselor ME1

PO8 Standarde de achiziţie Catalog al furnizorilor AI5

AI5 Aranjamente contractuale, cerinţele gestionării relaţiei cu terţa-parte

Riscurile asociate furnizorilor PO9

FS1 Acord Nivel Serviciu Agreat, raport de revizuire a contractelor

FS4

Cerinţe de serviciu în caz de dezastru, incluzând roluri şi responsabilităţi



Ob

iect

ive

� Asigurarea satisfacţiei reciproce a relaţiilor dintre părţile terţe.

� Asigurarea satisfacţiei utilizatorilor finali prin oferte de servicii şi nivelurile acestora.

� Asigurarea transparenţei şi înţelegerea costurilor IT, a beneficiilor, a serviciilor, strategiei, politicilor şi nivelurilor de servicii.

� Stabilirea relaţiilor şi responsabilităţilor bilaterale cu terţi furnizori caificați de servicii

� Monitorizarea furnizării de servicii şi verificarea respectării acordurilor.

� Asigurarea că furnizorul este în conformitate cu standardele interne şi externe.

� Menţinerea dorinţei furnizorilor de a continua relaţia de afacere.

� Identificarea şi clasificarea serviciilor furnizorului.

� Identificarea şi atenuarea riscurilor furnizorului.

� Monitorizarea şi măsurarea performanţei furnizorului.

Ind

icat

ori

� Numărul de plângeri din partea utilizatorilor legate de serviciile contractate.

� Procentul cheltuielilor efectuate care fac obiectul achiziţiilor competitive.

� Procentul furnizorilor majori care îndeplinesc în mod clar cerinţele definite şi nivelurile de servicii.

� Numărul de dispute formale cu furnizorii � Procentul facturilor aflate în dispută cu

furnizorii.

� Procentul furnizorilor prinipali supuşi unor cerinţe clar definite şi niveluri de servicii

� Procentul furnizorilor principali care fac obiectul monitorizării

� Nivelul de satisfacţie al afacerii cu eficienţă asupra comunicării de la furnizor

� Nivelul de satisfacţie al furnizorului cu eficienţă asupra comunicării în afacere

� Numărul de incidente semnificative de non-conformitate ale furnizorului într-un interval de timp

Furnizare și Suport Managementul serviciilor de la terți FS2

indică


indică



MODEL DE MATURITATE


Managementul procesului Managementul serviciilor de la terți, care satisface cerinţele de afaceri pentru IT de a furniza în mod satisfăcător serviciile terţei părții şi, în acelaşi timp, fiind transparent cu privire la beneficiile, costurile şi riscurile este:

0 Inexistent când Responsabilităţile nu sunt definite. Nu există politici formale şi proceduri de contractare a terţilor. Serviciile terţei părţi nu sunt nici aprobate, nici revizuite de către management. Nu există activităţi de măsurare şi nici de raportare de către terţi. În absenţa unei obligaţii contractuale de raportare, managementul de rang superior nu este conştient de calitatea serviciului furnizat.

1 Initial/Ad Hoc când Managementul este conştient de necesitatea de a avea politici documentate şi proceduri pentru adminsitrarea unei terţe părţi, inclusiv de contracte semnate. Nu există nici un punct de vedere standard de acord cu prestatorii de servicii. Măsurarea serviciilor oferite este informală şi reactivă. Practicile sunt dependente de experienţa (de exemplu, la cerere) individului şi furnizorului.

2 Repetabil, dar intuitiv când Procesul pentru supravegherea furnizorilor de servicii, riscurilor asociate, precum şi furnizarea de servicii este informal. Este folosit un contract pro forma semnat, cu termeni şi condiţii standard ale vânzătorului (de exemplu, descrierea serviciilor care urmează să fie furnizate). Rapoartele referitoare la serviciile oferite sunt disponibile, dar nu pot sprijini obiectivele de afaceri..

3 Definit când Există proceduri bine documentate pentru a reglementa serviciile terţei părţi, cu procese clare pentru verificarea şi negocierea cu furnizorii. Atunci când se face un acord pentru furnizarea de servicii, relaţia cu terţii este doar una contractuala. Natura serviciilor care urmează să fie furnizate este detaliată în contract şi include cerinţele legale, operaţionale şi de control. Este atribuită responsabilitatea pentru supravegherea serviciilor terţei părţi. Clauzele contractuale sunt bazate pe şabloane standardizate. Riscul de afacere asociat cu serviciile terţei părți este evaluat şi raportat.

4 Administrat şi măsurabil când Sunt stabilite criterii standardizate şi formale pentru a defini condiţiile de întelegere, inclusiv scopul lucrării, produseel/serviciile care vor fi furnizate, ipotezele, programul, costurile, modalităţile de facturare şi responsabilităţile. Sunt atribuite responsabilităţi pentru gestionarea contractelor şi furnizorilor. Calificările vanzatoruluii, riscurile şi capabilităţile sunt verificate permanent. Cerinţele de serviciu sunt definite şi legate de obiectivele afacerii. Există un proces pentru a evalua performanţa serviciului, de a respecta clauzele contractuale, asigurând baze pentru evaluarea serviciilor actuale si viitoare ale tertei părți. Modele de transfer a costurilor interne sunt utilizate în procesul de achiziţionare. Toate părţile implicate cunosc aşteptările privind serviciile, costurile şi jaloanele. Sunt stabilite scopuri şi măsurători pentru supravegherea furnizorilor de servicii.

5 Optimizat când Contractele semnate cu terţe părţi sunt revizuite periodic, la intervale predefinite. Este atribuită responsabilitatea pentru gestionarea furnizorilor şi calitatea serviciilor oferite. Este monitorizată evidenţa respectării contractului în ceea ce priveşte prevederile operaţionale, legale şi de control, iar o acţiune corectivă este pusă în aplicare. Partea terţă este obiectul unei revizuiri periodice independentă, iar un feedback asupra performanţelor este furnizat şi utilizat pentru a îmbunătăţi furnizarea de servicii. Măsurătorile variază ca răspuns la schimbarea condiţiilor economice. Măsurătorile ajută la depistarea precoce a problemelor potenţiale cu serviciile terţei părţi. Un raport clar , bine definit privind realizările la nivel de serviciu este legat de compensaţia tertei părți. Managementul ajustează procesul de achiziţie şi monitorizare a serviciilor terţei părţi pe baza măsurătorilor.

FS2 Furnizare și Suport Managementul serviciilor de la terți



FS3 Managementul performanței și capacității

Nevoia de a gestiona performanţa şi capacitatea resurselor IT necesită un proces de revizuire periodică a performanţei actuale şi a capacităţii resurselor IT. Acest proces include previziunea nevoilor viitoare bazate pe volumul de muncă, stocare şi cerinţele de urgenţă. Acest proces oferă siguranţa că resursele informaţionale care susţin cerinţele afacerii sunt disponibile continuu.


Managementul performanței și capacității


optimizarea performanţei infrastructurii IT, resurselor şi capabilităţilor conform cu necesităţile afacerii


respectării cerinţelor timpului de răspuns a acordului privind nivelul de servicii, reducând timpul pierdut şi realizând îmbunătăţiri continue ale performanţei şi capacităţii IT prin monitorizari si măsuratori

se realizează prin

• Planificarea şi asigurarea capacitatăţii şi disponibilităţii sistemului • Monitorizarea si raportarea performantei sistemului • Modelarea şi prognozarea asupra performanţei sistemului


• Numărul de ore pierdute per utilizator pe lună, datorită planificării insuficiente a capacității

• Procentul vârfurilor în care utilizarea dorită este depăşită • Procentul timpilor de răspuns neîndepliniţi de acordul privind nivelul

serviciilor

Furnizare și Suport Managementul performanței și capacității FS3




FS3.1 Planificarea performanţei şi capacităţii Stabilirea unui proces de planificare pentru revizuirea performanţei şi a capacităţii resurselor IT, care să asigure că performanţa şi capacitatea ce îşi justifică costul sunt disponibile pentru a prelucra sarcinile de lucru convenite în Acordul Nivelului de Servicii. Capacitatea şi planurile de performanţă ar trebui să influenţeze tehnicile de modelare adecvate pentru a produce un model corespunzător performanţei actuale şi preconizate, capacităţii şi randamentului resurselor IT.

FS3.2 Performanţa şi capacitatea actuală Evaluarea performanţei şi capacității actuale a resurselor IT pentru a stabili dacă există un nivel suficient al acestora pentru a fi livrate conform acordului stabilit pentru nivelul de servicii.

FS3.3 Performanţa şi capacitatea viitoare Realizarea unei previziuni a performanţei şi capacităţii resurselor IT la intervale regulate de timp, pentru a minimiza riscul de întrerupere a serviciilor, datorită capacităţii insuficiente sau a diminuării performanţei şi identificarea excesului de capacitate pentru o eventuală redistribuire. Identificarea tendințelor încărcării şi realizarea de previziuni pentru a fi incluse în planul de performanţă şi capacitate.

FS3.4 Disponibilitatea resurselor IT Asigurarea performanţei şi capacității cerute, luând în considerare aspecte precum încărcări, contingenţe, cerinţe de stocare şi ciclul de viaţă al resurselor IT. Ar trebui luate măsuri precum prioritizarea sarcinilor, stabilirea mecanismelor de toleranţă a greşelilor şi de alocare a resurselor. Managementul ar trebui să asigure că planurile pentru situaţii neprevăzute includ disponibilitatea, capacitatea şi performanţa resurselor IT individuale.

FS3.5 Monitorizare şi raportare Monitorizarea în permanenţă a performanţei şi a capacități resurselor IT. Datele obţinute au doua scopuri: • De a menţine şi îmbunătăţi performanţa curentă din IT şi de a ridica probleme precum rezistenţa, contingenţa, încărcări curente şi

previzionate, planuri de stocare şi achiziţia resurselor. • De a raporta disponibilitatea serviciilor livrate pentru afacere, conform cerinţelor Acordului Nivel Serviciu Agreat. Rapoartele excepţiilor trebuie să aibă atașate recomandări pentru acţiuni corective.

FS3 Furnizare și Suport Managementul performanței și capacității





AI2 Specificații de disponibilitate, continuitate și recuperare

Informații despre performanță și capacitate PO2 PO3

AI3 Cerințe de monitorizare a sistemului Cerințele (planul) de performanță și capacitate

PO5 AI1 AI3 ME1

FS1 Acord Nivel Serviciu Agreat Schimbări necesare AI6

Rapoarte de performanță ME1



Ob

iect

ive

� Răspunsul pentru cerințele economice să fie în conformitate cu strategia afacerii.

� Siguranța că serviciile IT sunt disponibile în starea în care sunt cerute.

� Optimizarea infrastructurii IT, a resurselor și capaptitudinilor

� Monitorizarea și măsurarea sarcinii maxime și timpului de răspuns al tranzacțiilor.

� Îndeplinirea timpului de răspuns din Acordul Nivel Serviciu Agreat.

� Minimizarea eșecului tranzacțiilor. � Reducerea timpului de nefuncționare. � Optimizarea utilizării resurselor IT

� Planificarea și asigurarea capacității și disponibilității unui sistem.

� Monitorizarea și raportarea performanței sistemului.

� Modelarea și prognozarea performanței sistemului.

Ind

icat

ori

� Numărul orelor pierdute lunar de fiecare utilizator din cauza planificării insuficiente a capacității.

� Numărul de procese economice critice neacoperite de un plan definit de disponibilitate al serviciului.

� Sarcina maximă și ratele de utilizare generală. � Procentul sarcinilor maxime în cazul în care

rata de utilizare este depășită. � Procentul timpului de răspuns al Acordului

Nivel Serviciu Agreat care nu este îndeplinit. � Rata eșecului tranzacțiilor.

� Frecvența efectuării previziunilor de performanță și capacitate.

� Procentul activelor incluse în analizele capacității.

� Procentul activelor monitorizate prin instrumente centralizate.

Furnizare și Suport Managementul performanței și capacității FS3

indică


indică



MODEL DE MATURITATE


Managementul procesului de Management al performanței și capacității ce satisface cerinţele afacerii pentru IT de optimizare a performanţelor din cadrul infrastructurii IT, resurselor şi capabilităţilor ca răspuns la nevoile afacerii este:

0 Inexistent când Managementul nu recunoaşte că procesele economice cheie pot necesita nivele de performanţă ridicată din partea IT-ului sau că necesitatea totală a afacerii pentru serviciile IT poate depăşi capacitatea. Nu există un proces de planificare a capacităţilor în desfăşurare.

1 Iniţial/Ad Hoc când Utilizatorii inventează soluţii temporare pentru constrângerile de performanţă şi capacitate. Responsabilii proceselor economice nu consideră importantă nevoia de planificare a capacităţii şi performanţei. Acţiunile întreprinse pentru gestionarea performanţei şi capacităţii sunt tipic reactive. Procesul de planificare a capacităţii şi performanţei este informal. Înţelegerea capacităţii şi performanţei prezente şi viitoare a resurselor IT este limitată.

2 Repetitiv dar Intuitiv când Managementul afacerii şi cel IT este conştient de impactul generat de lipsa gestionării performanţei şi capacităţii. Nevoile de performanţă sunt în general îndeplinite şi se bazează pe evaluările sistemelor individuale şi ale cunoştinţelor echipelor de proiect şi de suport. Câteva instrumente individuale pot fi folosite pentru a diagnostica problemele de performanţă şi capacitate, dar consistenţa rezultatelor depinde de expertiza unor persoane cheie. Nu există o evaluare generală a performanţelor şi capabilităţilor IT sau consideraţii privind situaţiile critice. Problemele de disponibilitate au o probabilitate mare de apariţie, se manifestă într-o manieră neaşteptată şi aleatoare şi necesită o perioadă considerabilă pentru a fi diagnosticate şi corectate. Orice măsurare a performanţei este bazată în principal pe nevoile IT şi nu pe cele ale clienţilor.

3 Definit când Cerinţele de performanţă şi capacitate sunt definite pe întreg ciclul de viaţă al sistemelor. Sunt definite cerinţele privind nivelul serviciilor şi metrici care pot fi folosite la măsurarea performanţei operaţionale. Cerinţele viitoare privind performanţa şi capacitatea sunt modelate urmărind un proces definit. Sunt generate rapoarte ce oferă statistici de performanţă. Problemele legate de performanţă şi capacitate mai pot apărea şi necesită timp pentru a fi corectate. În ciuda publicării nivelurilor serviciilor, utilizatorii şi clienţii pot manifesta scepticism în privinţa capabilităţii serviciilor.

4 Administrat şi măsurabil când Sunt disponibile procese şi instrumente pentru măsurarea utilizării sistemului, performanţei şi capacităţii, iar rezultatele sunt comparate cu scopurile definite. Există informaţii actualizate ce oferă statistici de performanţă standardizate şi incidente de alertare cauzate de insuficienţa performanţei şi capacităţii. Problemele privind insuficienţa performanţei şi capacităţii sunt tratate în conformitate cu proceduri definite şi standardizate. Sunt utilizate instrumente automate pentru monitorizarea anumitor resurse, cum ar fi spaţiul pe disc, reţele, servere şi gateway-uri. Statisticile privind performanţa şi capacitatea sunt raportate în termeni de procese de economice astfel încât utilizatorii şi clienţii să înţeleagă nivelurile serviciilor. Utilizatorii sunt în general mulţumiţi de capabilitatea prezentă a serviciilor şi pot solicita niveluri noi şi îmbunătăţite de disponibilitate. Metricile pentru măsurarea performanţei şi capacităţii IT sunt acceptate, dar pot fi aplicate doar sporadic şi inconsistent.

5 Optimizat când Planurile de capacitate şi performanţă sunt sincronizate în întregime cu cerinţele economice prognozate. Infrastructura IT şi cea economică sunt subiectul verificărilor permanente în asigurarea capacităţii optime pentru cel mai mic cost posibil. Instrumentele pentru monitorizarea resurselor IT critice sunt standardizate şi utilizate pe toate platformele şi legate la un sistem de management al incidentelor al întregii companii. Instrumentele de monitorizare detectează şi pot modifica automat problemele legate de performanţă şi capacitate. Sunt efectuate analize de trend ce subliniază problemele iminente de performanţă cauzate de volume crescute de business permiţând planificarea şi evitarea evenimentelor neaşteptate. Metricile pentru măsurarea performanţei şi capacităţii IT au fost definite în factori de rezultat şi indicatori de performanţă pentru toate procesele critice de business şi sunt permanent actualizate. Managementul ajustează planificarea performanţei şi capacităţii urmărind analiza acestor măsurători.

FS3 Furnizare și Suport Managementul performanței și capacității



FS4 Asigurarea continuității serviciilor

Nevoia asigurării continuității serviciilor IT necesită dezvoltarea, menţinerea şi testarea planurilor de continuitate IT, utilizarea amplsamentelor externe de stocare a backup-ului şi oferirea unui plan de instruire continuu. Un proces eficient de asigurare a continuităţii serviciilor reduce probabilitatea şi impactul unei întreruperi majore a serviciilor IT asupra funcţiilor şi proceselor cheie ale afacerii.


Asigurare a continuităţii serviciilor


asigurare a impactului minim asupra afacerii în cazul întreruperii unui serviciu IT


realizării unor soluţii automatizate elastice şi dezvoltarea, menţinerea şi testarea planurilor de continuitate IT

se realizează prin

• Dezvoltarea şi menţinerea (îmbunătăţirea) situațiilor de urgență în IT • Instruirea şi testarea planurilor de contingenţă IT • Depozitarea copiilor planurilor de contingenţă şi datelor în amplasamente externe

şi este măsurată prin

• Numărul de ore pierdute de fiecare utilizator, pe lună, datorită întreruperilor neprevăzute

• Numărul proceselor critice ale afacerii bazate pe IT, neacoperite de planul de continuitate IT

Furnizare și Suport Asigurarea continuității serviciilor FS4




FS4.1 Cadrul de referință pentru continuitatea IT Dezvoltarea unui cadru de referință pentru continuitatea IT pentru a sprijini administrarea continuităţii afacerii în cadrul întregii companii, utilizând un proces consistent. Obiectivul cadrului de referință este oferirea sprijinului în determinarea necesarului de elasticitate a infrastructurii şi determinarea dezvoltării planurilor de recuperare după dezastre şi a planurilor de contingenţă. Cadrul de referință ar trebui să aibă în vedere structura organizaţională pentru managementul continuităţii, înglobarea rolurilor, sarcinilor şi responsabilităţilor furnizorilor de servicii interni şi externi, managementului şi clienţilor şi planificarea proceselor ce creează reguli şi structuri pentru documentarea, testarea şi executarea planurilor de recuperare după dezastre şi a planurilor de contingenţă IT. Planul ar trebui să aibă în vedere elemente precum identificarea resurselor critice, notarea dependenţelor cheie, monitorizarea şi raportarea disponibilităţii resurselor critice, procesarea alternativă şi principiile de backup şi recuperare.

FS4.2 Planurile de continuitate IT Dezvoltarea planurilor de continuitate IT bazate pe cadrul de referință şi destinate reducerii impactului unei întreruperi în funcţiile şi procesele economice cheie. Planurile ar trebui bazate pe înţelegerea riscurilor şi impactului lor potenţial pentru afacere şi să aibă în vedere cerinţe pentru elasticitate, capabilităţi de recuperare şi procesare alternativă pentru toate serviciile IT critice. Acestea ar trebui de asemenea să conţină principii de utilizare, roluri şi responsabilităţi, proceduri, procese de comunicare şi abordarea testării.

FS4.3 Resursele IT critice Îndreptarea atenţiei către elementele specificate şi critice din planul de continuitate IT pentru a construi elastic şi stabili priorităţi în situaţiile de recuperare. Evitarea distragerii atenției de a recupera elemente mai puţin critice şi asigurarea răspunsului şi recuperării în concordanţă cu nevoile prioritare ale afacerii în timp ce se asigură menținerea costurilor la un nivel acceptabil şi respectarea cerinţelor contractuale. Luarea în considerare a cerinţelor de răspuns şi recuperare pentru diferite nivele , de exemplu de la o oră la patru ore, patru la 24 ore, mai mult de 24 ore, cât şi perioadele operaţionale critice.

FS4.4 Întreţinerea planului de continuitate IT Încurajarea managementul IT să definească şi să execute proceduri de control a schimbărilor prin care planul de continuitate IT este menţinut la zi şi reflectă în mod continuu cerinţele actuale ale afacerii. Comunicarea schimbărilor în proceduri şi responsabilităţile clar, într-o manieră oportună.

FS4.5 Testarea Planului de continuitate IT Testarea planului de continuitate în mod regulat pentru a obține asigurări că sistemele IT pot fi recuperate eficient, că lipsurile sunt luate în calcul şi că planurile rămân relevante. Acest lucru presupune o pregătire atentă, documentare, raportarea rezultatelor testelor şi, în funcţie de rezultate, implementarea unui plan de acţiune. Luarea în considerare a gradului de testare al recuperării aplicaţiilor simple, testarea integrată a scenariilor, chiar a testării de la un capăt la altul şi a testării integrate.

FS4.6 Instruirea privind planul de continuitate IT Asigurarea pentru toate părţile implicate de sesiuni regulate de instruire cu privire la proceduri, roluri şi responsabilităţi în cazul unui incident sau al unui dezastru. Verificarea şi îmbunătățirea instruirii în funcţie de rezultate şi de testele de contingenţă.

FS4.7 Distribuirea planului de continuitate IT Asigurarea că există o strategie definită şi gestionată de distribuţie pentru a fi siguri că planurile sunt distribuite în mod sigur şi că sunt disponibile părţilor autorizate şi interesate, la momentul şi locul potrivit. Ar trebui acordată atenţie elaborării de planuri accesibile pentru toate scenariile de dezastre.

FS4.8 Recuperarea şi reluarea serviciilor IT Planificarea acţiunilor de întreprins pentru perioada în care IT-ul recuperează şi reia servicii. Acest lucru poate presupune activarea ampalsamentelor secundare/backup, iniţierea procesărilor alternative, comunicarea cu părţile interesate şi clienţii şi reluarea procedurilor. Asigurarea că afacerea înţelege perioadele de recuperare IT şi investiţiile în tehnologie necesare susţinerii nevoilor de recuperare şi reluare.

FS4.9 Stocarea externă a copiilor de siguranță Stocarea externă, în afara companiei, a copiilor de siguranță, documentaţie şi a altor resurse IT necesare planurilor de continuitate a afacerii şi recuperare IT. Determinarea conţinutului stocării copiilor de siguranță în colaborare cu rsponsabilii proceselor economice şi personalul IT. Administrarea amplasamentului de stocare ar trebui să corespundă politicilor de clasificare a datelor şi practicilor de stocare din cadrul companiei. Managementul IT ar trebui să se asigure că angajamentele de acest tip sunt evaluate periodic, cel puţin anual, pentru conţinut, protecţie de mediu şi securitate. Asigurarea compatibilității hardware şi software pentru restaurarea datelor arhivate, testarea peridociă și actualizarea datelor arhivate.

FS4.10 Revizia post-reluare Identificarea dacă managementul IT a stabilit proceduri pentru evaluarea compatibilităţii planului cu privire la reluarea funcţiei IT în urma unui dezastru şi actualizarea planului în mod corespunzător.

FS4 Furnizare și Suport Asigurarea continuității serviciilor





PO2 Atribuirea clasificării datelor Rezultatele testelor în cazul

evenimentelor neprevăzute PO9

PO9 Evaluarea riscului Criticitatea elementelor de configurație IT FS9

AI2 Specificațiile de disponibilitate, continuitate și recuperare

Planul pentru protecție și stocarea copiilor de siguranță FS11 FS13

AI4 Manuale pentru utilizatori, administrare, operaționale, suport și tehnice

Limite în cazul incidentelor/dezastrelor FS8

FS1 Acord Nivel Serviciu Agreat și Acord Nivel Operațional Agreat

Cerințe de serviciu în caz de dezastru, incluzând roluri și responsaptitudini

FS1 FS2

Rapoarte de performanță a proceselor ME1



Ob

iect

ive

� Asigurarea că serviciile It critice sunt disponibile conform cererii

� Asigurarea unui impact minim asupra afacerii în cazul întreruperii unui serviciu IT sau al unei schimbări

� ASigurarea că infrastructura și serviciile IT pot rezista și pot fi recuperate în urma întreruperilor datorate erorilor, dezastrelor sau atacurilor deliberate

� Stabilirea unui plan de continuitate IT care să spijine palnurile de continuitate ale afacerii

� Dezvoltarea unor planuri de continuitate IT care să fie executate, testate și întreținute

� Reducerea probaptitudinii întreruperii serviciilor IT

� Dezvoltarea și întreținerea (îmbunătățirea) planurilor de contingentare IT

� Instruirea cu privire la și testarea planurilor de contingentare IT

� Stocarea copiilor de siguranță ale panurilor și datelor în amplasmentul extern organizației

Ind

icat

ori

� Număruld eore pierdute pe utilizator, pe lună, datorită întreruperilor neplanificate

� Procentul de de disponibilitate din SLA, respectat

� Numărul de procese economice critice care se bazează pe IT, dar care nu sînt cuprinse în planurile de continuitate

� Procentul de teste care și-au atins obiectivele de recuperare

� Frecvența întreurperii serviciilor pentru sistemele critice.

� Timpul dintre estatrea elementelor constituent ale planului de continuitate

� Numărul de ore de instruire, pe an, pe anagjat important

� Procentul de component critice de infrastructură cu monitorizare automată

� Frecevența reviziilor palnului de continuitate.

Furnizare și Suport Asigurarea continuității serviciilor FS4

indică


indică



MODEL DE MATURITATE

FS4 Asigurarea continuităţii serviciilor

Managementul procesului de Asigurare a continuităţii serviciilor ce satisface cerinţele afacerii pentru IT prin asigurarea impactului de business minim în eventualitatea întreruperii unui serviciu IT este:

0 Inexistent când Nu sunt înţelese riscurile, vulnerabilităţile şi ameninţările operaţiilor IT sau impactul şi pierderea serviciilor IT pentru afacere. Nu se consideră necesară îndreptarea atenţiei conducerii către continuitatea serviciilor.

1 Iniţial/Ad Hoc când Responsabilităţile pentru continuitatea serviciilor sunt informale, iar autoritatea necesară exercitării responsabilităţilor este limitată. Conducerea devine conştientă de riscurile relaţionate cu nevoia de continuitate a serviciilor. Atenţia conducerii legată de continuitatea serviciilor se referă la resursele de infrastructură, mai degrabă decât la serviciile IT. Utilizatorii implementează soluţii temporare ca reacţie la întreruperea serviciilor. Reacţia la întreruperile majore în IT este reactivă şi nepregătită. Întreruperile planificate sunt proiectate să răspundă nevoilor IT, dar nu iau în considerare cerinţele de business.

2 Repetitiv, dar intuitiv când Responsabilitatea pentru asigurarea continuităţii serviciilor este atribuită. Abordările pentru asigurarea continuităţii serviciilor sunt fragmentate. Raportarea privind disponibilitatea sistemului este sporadică, poate fi incompletă şi nu ia în considerare impactul asupra afacerii. Nu există un plan de continuitate IT documentat, deşi există angajamentul pentru disponibilitatea continuităţii serviciilor şi principiile majore sunt cunoscute. Există un inventar al sistemelor critice, dar nu poate fi de încredere. Apar practicile de continuitate a serviciilor, dar succesul ţine de indivizi.

3 Definit când Răspunderea pentru continuitatea serviciilor este lipsită de ambiguitate. Responsabilităţile pentru planificarea şi testarea continuităţii serviciilor sunt clar definite şi atribuite. Planul de asigurare a continuităţii IT este documentat şi se bazează pe gradul de importanţă al sistemului şi pe impactul asupra afacerii. Există raportări periodice cu privire la testarea continuităţii serviciilor. Indivizii iau iniţiativa în respectarea standardelor şi urmarea cursurilor de instruire pentru a face faţă incidentelor majore sau dezastrelor. Conducerea comunică în mod continuu nevoia de planificare pentru asigurarea continuităţii serviciilor. Componentele ultra-accesibile şi redundanţa sistemului sunt aplicate. Există un inventar al sistemelor şi componentelor critice.

4 Administrat şi măsurabil când Responsabilităţile şi standardele pentru continuitatea serviciilor sunt impuse. Responsabilitatea întreţinerii planului de continuitate a serviciilor este atribuit. Activităţile de întreţinere sunt bazate pe rezultatele testării continuităţii serviciilor, a bunelor practici interne, a schimbărilor în IT şi a mediului de afaceri. Datele privind continuitatea serviciilor sunt culese, analizate, raportate şi respectate întocmai. Se asigură instruire formală şi obligatorie cu privire la procesele de continuitate a serviciilor. Bunele practici privind disponibilitatea sistemului sunt desfăşurate în mod continuu. Procedurile de disponibilitate şi de planificare a continuităţii serviciilor se influenţează reciproc. Incidentele de discontinuitate sunt clasificate, iar extinderea efectelor este binecunoscută tuturor celor implicaţi. Scopurile şi metricile pentru continuitatea serviciilor au fost dezvoltate şi acceptate, dar pot fi cuantificate incorect.

5 Optimizat când Procesele integrate privind continuitatea serviciilor sunt definite conform standardelor şi bunelor practici externe. Planul de continuitate IT este integrat cu planurile de continuitate ale afacerii şi este întreţinut continuu. Solicitarea pentru asigurarea continuităţii serviciilor este asigurată de vânzătorii şi furnizorii principali. Testarea globală a planului de continuitate IT este desfăşurată, iar rezultatele testului sunt date de intrare pentru actualizarea planului. Culegerea şi analizarea datelor sunt folosite la îmbunătăţirea continuă a procesului. Practicile de disponibilitate şi planificarea continuităţii serviciilor sunt aliniate în totalitate. Conducerea asigură că un dezastru sau un incident major nu se va produce ca urmare a unui singur eşec. Extinderea acestor practici este înţeleasă şi aplicată în întregime. Scopurile şi metricile privind asigurarea continuităţii serviciilor sunt măsurate într-o manieră sistematică. Conducerea ajustează planificarea continuităţii serviciilor ca răspuns la măsurile luate.

FS4 Furnizare și Suport Asigurarea continuității serviciilor



FS5 Asigurarea securităţii sistemului

Nevoia de menţinere a integrităţii informaţiilor şi protejarea bunurilor IT necesită un proces de management a securităţii. Acest proces include stabilirea şi menţinerea rolurilor de securitate în IT şi responsabilităţilor, politicilor, standardelor şi procedurilor. Gestionarea securităţii mai include şi efectuarea monitorizărilor periodice de securitate, testarea periodică şi implementarea acţiunilor corective pentru identificarea punctelor slabe în securitate şi incidentelor. Gestionarea eficientă a securităţii protejează toate bunurile IT pentru minimalizarea impactului asupra afacerii a vulnerabilităţilor în securitate şi incidentelor.


Asigurare a securităţii sistemelor


menţinere a integrităţii informaţiilor, procesăriilor infrastructurii şi minimizării impactului vulnerabilităţilor securității şi incidentelor


definirii politicilor de securitate IT, planurilor şi procedurilor, monitorizarea, detectarea, raportarea şi soluţionarea vulnerabilităţilor în securitate şi incidentelor

se realizează prin

• Înţelegerea necesităţilor de securitate, a vulnerabilităţilor şi ameninţărilor • Gestionarea identităţilor utilizatorilor şi a autorizărilor într-o manieră standardizată • Testarea regulată a securităţii


• Numărul de incidente ce afectează reputaţia organizaţiei în ochii publicului • Numărul de sisteme în care cerinţele de securitate nu sunt îndeplinite • Numărul de încălcări ale separări sarcinilor de serviciu

Furnizare și Suport Asigurarea securității sistemului FS5




FS5.1 Managementul securităţii IT Adminsitrarea securității IT la cel mai înalt nivel organizaţional astfel încât managementul acţiunilor de securitate să fie în concordanţă cu cerinţele afacerii.

FS5.2 Planul de securitate IT Transpunerea cerințelor economice, a riscurilor şi a cerinţele de conformitate într-un plan de securitate IT general, luând în considerare infrastructura IT şi cultura în privinţa securităţii. Asigurarea că planul este implementat în politici şi proceduri de securitate, împreună cu investiţiile corespunzătoare în servicii, personal, software şi hardware. Comunicarea politicilor şi procedurilor de securitate părţilor interesate şi utilizatorilor.

FS5.3 Managementul identității Asigurarea că toţi utilizatorii (interni, externi şi temporari) şi activităţile acestora în cadrul sistemelor IT (aplicaţii economcie, mediul IT, operaţiuni de sistem, dezvoltare şi întreţinere) sunt identificabile în mod unic. Instaurarea identificării utilizatorilor prin mecanisme de autentificare. Confirmarea că drepturile de acces ale utilizatorilor asupra sistemelor şi datelor sunt în concordanţă cu nevoile definite și documentate ale afacerii, dar şi că cerinţele posturilor sunt ataşate identităţilor utilizatorilor. Asigurarea că drepturile de acces ale utilizatorilor sunt solicitate de către conducere, aprobate de responsabilii sistemului şi implementate de persoana responsabilă cu securitatea. Păstrarea identităţile utilizatorilor şi a drepturilor de acces într-un depozit central. Lansarea măsurilor procedurale şi tehnice eficiente din punct de vedere al costurilor şi actualizarea acestora pentru identificarea utilizatorilor, implementarea autentificării și impunerea drepturilor de acces.

FS5.4 Managementul conturilor utilizatorilor Administrarea cererilor, stabilirea, publicarea, suspendarea, modificarea şi încetarea conturilor utilizatorilor şi a altor privilegii asociate cu un set de proceduri privind managementul conturilor utilizatorilor. Includerea unei proceduri de aprobare, evidenţiind responsabilul sistemului sau datelor ce oferă privilegiile de acces. Aceste proceduri ar trebui aplicate pentru toţi utilizatorii, inclusiv administratori (utilizatori privilegiaţi), utilizatori interni şi externi, pentru cazuri normale şi de urgenţă. Drepturile şi obligaţiile în privinţa accesului la sistemele şi informaţiile companiei ar trebui stabilite contractual pentru toate tipurile de utilizatori. Realizarea de verificări pentru toate conturile şi privilegiile asociate.

FS5.5 Testarea securităţii, inspecţia şi monitorizarea Testarea şi monitorizarea implementării securităţii IT într-o manieră proactivă. Securitatea IT ar trebui reacreditată într-o manieră actuală pentru a obține asigurări că regulile privind securitatea informaţiilor în cadrul companiei sunt respectate. O funcţie de jurnalizare şi monitorizare va permite prevenirea precoce şi/sau detectarea, cât şi raportarea succesivă a unor activităţi anormale şi/sau neobişnuite ce necesită atenție.

FS5.6 Definirea incidentelor de securitate Comunicarea şi definirea clară a caracteristicilor incidentelor de securitate potenţiale pentru ca acestea să poată fi clasificate şi tratate de procesul de management al problemelor şi incidentelor.

FS5.7 Protecţia tehnologiei de securitate Asigurarea rezistenţei tehnologiei implicată în securitate şi nedivulgarea documentaţiilor de securitate, dacă acest lucru nu este necesar.

FS5.8 Managementul cheilor criptografice Se determină dacă politicile şi procedurile sunt eficiente în organizarea generării, modificării, revocării, distrugerii, distribuirii, certificării, stocării, intrării, utilizării şi arhivării cheilor criptografice pentru a se asigura protecţia cheilor împotriva modificării şi publicării neautorizate.

FS5.9 Prevenirea, detectarea şi neutralizarea software-ului malițios Punerea în practică de măsuri preventive, detective şi corective (în special patch-uri de securitate la zi şi controlul viruşilor) în cadrul întregii organizaţii pentru a proteja sistemele informaţionale şi tehnologia de intruşi (ex. viruşi, viermi, spyware, spam).

FS5.10 Securitatea reţelei Folosirea de tehnici de securitate şi proceduri de management conexe (ex. firewall-uri, dispozitive de securitate, segmentarea reţelei, detectarea intruşilor) pentru a autoriza accesul şi a controla fluxurile informaţionale de la şi către reţele.

FS5.11 Schimbul datelor sensibile Desfăşurarea tranzacţiilor cu date sensibile numai în cadrul unei căi sau unui mediu controlat pentru a oferi autenticitate conţinutului, dovada trimiterii, dovada primirii şi non-repudierea originii.

FS5 Furnizare și Suport Asigurarea securității sistemului



FS5 Asigurarea securității sistemului


PO2 Arhitectura informatică; alocarea clasificărea datelor

Definirea incidentelor de securitate FS8

PO3 Standarde tehnologice Cerințe de instruire specifice pentru conștientizarea securității

FS7

PO9 Evaluarea riscului Rapoarte de performanță a proceselor ME1

AI2 Specificațiile controalelor de securitate ale aplicațiilor

Cerințe de securitate necesare AI6

FS1 Acord Nivel Operațional Agreat Vulneraptitudini și amenințări de securitate

PO9

Plan și politici de securitate FS11



Ob

iect

ive

� Garantarea că informațiile critice și confidențiale sunt protejate față de cei care nu ar trebui să aibă acces la ele

� Asigurarea că tranzacțiile automate ale firmei și schimburile de informații pot fi de încredere

� Menținerea integrității informațiilor și pregătirea infrastructurii

� Să răspundă și să protejeze toate activele IT

� Siguranța că serviciile și infrastructura IT pot rezista și pot fi recuperate în urma defecțiunilor datorate unei erori, unui atac plănuit sau a unei catastrofe

� Permiterea accesului la datele critice și sensibile doar persoanelor autorizate

� Identificarea, monitorizarea și raportarea vulneraptitudinilor și incidentelor de securitate

� Detectarea și rezolvarea accesului neautorizat la informații, aplicații și infrastructură

� Minimizarea impactului vulneraptitudinilor și incidentelor de securitate

� Înțelegerea cerințelor de securitate, vulneraptitudinilor și amenințărilor

� Gestionarea identității utilizatorilor și a autorizațiilor într-o manieră standardizată.

� Definirea incidentelor de securitate � Testarea securității cu regularitate.

Ind

icat

ori

� Numărul de incidente cu impact asupra afacerii

� Numărul sistemelor unde cerințele de securitate nu sunt întâlnite

� Timpul necesar pentru a acorda, a modifica și elimina privilegiile de acces.

� Numărul și tipul încălcărilor de acces suspecte și reale.

� Numărul încălcărilor în segmentarea atribuțiilor � Numărul de utilizatori a căror parolă nu

îndeplinește standardele. � Numărul și tipul de cod malițios implicat

� Frecvența și analiza tipurilor de evenimente de securitate care trebuiesc monitorizate.

� Numărul și tipul înregistrărilor vechi � Numărul adreselor IP neautorizate, a

porturilor și traficului refuzat � Procentul cheilor de criptare compromise și

revocate � Numărul de drepturi de acces autorizate,

revocate, corectate sau modificate

Furnizare și Suport Asigurarea securității sistemului FS5

indică


indică



MODEL DE MATURITATE


Managementul procesului de Asigurare a securităţii sistemului ce satisface cerinţele afacerii pentru IT de menţinere a integrităţii informaţiei şi procesăriilor infrastructurii, minimizării impactului incidentelor şi vulnerabilităţilor securității este:

0 Inexistent când Organizaţia nu recunoaşte nevoia pentru securitate IT. Responsabilităţile şi răspunderile nu sunt atribuite pentru asigurarea securităţii. Măsurile de susţinere în gestionarea securităţii IT nu sunt implementate. Nu există raportări privind securitatea IT şi nici procese de răspuns la breşele în securitatea IT. Se constată lipsa unui proces recunoscut de administrare a sistemului de securitate.

1 Iniţial/Ad Hoc când Organizaţia recunoaşte nevoia pentru securitate IT. Conştientizarea nevoii de securitate depinde în principal de individ. Securitatea IT este avută în vedere într-o manieră reactivă. Securitatea IT nu este măsurată. Breşele detectate în securitatea IT implică răspunsuri neclare deoarece responsabilităţile nu sunt atribuite. Răspunsurile la breşele în securitatea IT sunt imprevizibile.

2 Repetitiv dar intuitiv când Responsabilităţile şi răspunderile pentru securitatea IT sunt atribuite unui coordonator/responsabil cu securitatea IT, deşi autoritatea în conducere a acestuia este limitată. Conştientizarea nevoii de securitate este fragmentată şi limitată. Deşi sistemul produce informaţii relevante pentru securitate, acestea nu sunt analizate. Serviciile terţilor nu se adresează nevoilor specifice de securitate ale organizaţiei. Politicile de securitate sunt dezvoltate, dar aptitudinile şi instrumentele sunt inadecvate. Raportarea securităţii IT este incompletă, înşelătoare şi deloc pertinentă. Instruirea în securitate este disponibilă, dar întreprinsă în general la iniţiativa individuală. Securitatea IT este privită în principal ca o responsabilitate, iar domeniul IT şi afacerea nu consideră securitatea IT ca aparţinând domeniului.

3 Definit când Conştientizarea securităţii există şi este promovată de conducere. Procedurile de securitate IT sunt definite şi aliniate cu politicile de securitate IT. Responsabilitatea pentru securitatea IT este atribuită şi înţeleasă, dar nu este impusă consistent. Un plan de securitate IT şi soluţii privind securitatea există şi sunt generate de analiza riscurilor. Raportarea privind securitatea nu conţine o orientare clară de business. Se efectuează testarea securităţii Ad hoc (ex. detectarea intruşilor). Instruirea în privinţa securităţii este disponibilă pentru IT şi afacere, dar este planificată şi gestionată într-o manieră informală.

4 Administrat şi măsurabil când Responsabilităţile privind securitatea IT sunt clar atribuite, gestionate şi impuse. Analiza impactului şi riscurilor securităţii IT este efectuată într-o manieră consistentă. Politicile şi procedurile de securitate sunt completate cu reguli de securitate specifice. Expunerea la metode destinate conştientizării securităţii este obligatorie. Identificarea utilizatorilor, autentificarea şi autorizarea sunt standardizate. Certificarea în securitate este urmărită pentru membrii personalului responsabili cu auditul şi gestionarea securităţii. Testarea securităţii este îndeplinită utilizând procese standardizate şi formale, fapt ce determină îmbunătăţirea nivelurilor de securitate. Procesele de securitate IT sunt coordonate cu ajutorul unei funcţii de securitate la nivelul întregii organizaţii. Raportarea privind securitatea IT este legată de obiectivele afacerii. Instruirea în privinţa securităţii IT este desfăşurată la nivelul IT, dar şi la cel al afacerii. Aceasta este planificată şi gestionată într-o manieră ce corespunde nevoilor afacerii şi profilurilor definite de riscuri privind securitatea. Scopurile şi metricile pentru gestionarea securităţii au fost definite, dar nu şi cuantificate.

5 Optimizat când Securitatea IT este o responsabilitate comună a afacerii şi a conducerii IT şi este integrată cu obiectivele corporative de securitate a afacerii. Cerinţele de securitate IT sunt clar definite, optimizate şi incluse într-un plan de securitate aprobat. Utilizatorii şi clienţii sunt din ce în ce mai răspunzători în definirea cerinţelor de securitate, iar funcţiile de securitate sunt integrate cu aplicaţiile încă din faza de proiectare. Incidentele de securitate sunt adresate prompt prin intermediul procedurilor formale de răspuns, susţinute de instrumente automate. Sunt efectuate evaluări periodice de securitate pentru evaluarea eficienţei implementării planului de securitate. Informaţii privind ameninţările şi vulnerabilităţile sunt colectate şi analizate în mod sistematic. Sunt implementate şi comunicate într-o manieră promptă controalele adecvate pentru diminuarea riscurilor. Testare securităţii, analiza rădăcinii cauzei incidentelor de securitate şi identificarea proactivă a riscurilor sunt utilizate pentru îmbunătăţirea continuă a proceselor. Procesele de securitate şi tehnologiile sunt integrate în cadrul întregii organizaţii. Metricile pentru gestionarea securităţii sunt cuantificate, colectate şi comunicate. Conducerea utilizează aceste măsurători pentru a ajusta planul de securitate într-un proces de îmbunătăţire continuă.

FS5 Furnizare și Suport Asigurarea securității sistemului



FS6 Identificarea şi alocarea costurilor

Nevoia de a avea un sistem just şi echitabil de alocare a costurilor IT în bugetul companiei necesita o măsurare cât mai exactă a acestora dar şi o colaborare permanentă cu angajaţii din IT pentru a le împarţi cât mai judicios. Procesul include construirea şi utilizarea unui sistem care să identifice, să aloce şi să raporteze costurile IT către utilizatorii de servicii. Un sistem just de alocare permite managementului să ia decizii mai bine întemeiate cu privire la utilizarea serviciilor IT.


identificare şi alocare a costurilor,


asigurând transparenţa şi o bună înţelegere a cheltuielilor cu tehnologiile informaţionale, îmbunătăţind mereu balanţa dintre cost şi eficienţă printr-o utilizare bine planificată a serviciilor IT


unei reflectări complete şi corecte a costurilor IT şi a unui un sistem echitabil de alocare, aprobat de utilizatori, dar şi unul de raportare în timp a costurilor şi a gradului de utilizare a serviciilor

se realizează prin

• Alinierea cheltuielilor la calitatea şi cantitatea de servicii oferite • Crearea şi aprobarea unui model complet al costurilor • Implementarea taxelor conform politicilor stabilite

şi se măsoară prin

• Procentul de facturi ale serviciilor IT acceptate / plătite de management • Nivelul de variaţie a bugetelor IT, predicţii şi costuri curente • Procentul costurilor globale cu tehnologiile informaţionale aprobate prin

intermediul modelului de costuri implementat.

Furnizare și Suport Identificarea și alocarea costurilor FS6




FS6.1 Definirea serviciilor Identificarea tuturor costurilor cu tehnologiile informaţionale şi alinierea acestora cu serviciile IT pentru a permite crearea unui model de costuri transparent. Serviciile IT ar trebui să fie corelate cu procesele afacerii astfel încât nivelurile conexe de facturat să poată fi uşor identificabile.

FS6.2 Contabilitatea IT Identificarea şi alocarea costurilor actuale în conformitate cu modelul global de costuri al intreprinderii. Diferenţele între costurile previzionate şi costurile reale actuale ar trebui să fie analizate şi raportate în conformitate cu sistemul de măsurare a indicatorilor financiari ai firmei.

FS6.3 Modelul costurilor şi taxarea Stabilirea şi utilizarea unui model de costuri pentru IT bazat pe definirea serviciilor, care să permită calcularea ratei de acoperire a costului prin cheltuieli per serviciu. Acest model ar trebui să asigure identificarea exactă, măsurabilă şi predictibilă a cheltuielilor cu fiecare serviciu în parte şi să încurajeze folosirea eficientă a resurselor.

FS6.4 Mentenanţa modelului costurilor Măsurarea şi revizuirea adecvării modelului de costuri/taxare pentru a-i menţine relevanţa şi corespondenţa cu evoluția afacerii şi cu activităţile IT care sunt în continuă schimbare.

FS6 Furnizare și Suport Identificarea și alocarea costurilor



FS6 Identificarea și alocarea costurilor

De la Intrări Ieşiri Către PO4 Responsabili ai sistemului Rapoarte financiare IT PO5

PO5 Rapoarte cost-beneficii, bugete IT Rapoarte privind perfomanța procesului ME1

PO10 Planurile detaliate ale proiectului




Ob

iect

ive

� Asigurarea transparenței și înțelegerii asupra costurilor IT, beneficiilor, strategiilor, politicilor și nivelurilor de servicii

� Îmbunătățirea eficienței costurilor IT și a contribuției acestora la profitabilitatea firmei

� Să se asigure că departamentul IT justifică eficiența costurilor din punctul de vedere al calității serviciilor, a îmbunătățirilor constante și a promptitudinii pentru modificările viitoare

� Definirea clară și echitabilă a costurilor și serviciilor IT

� Captarea cu exactitate a costurilor serviciilor IT � Alocarea clară și echitabilă a costurilor pentru

serviciile IT ale clientului

� Trecerea în revistă a costurilor de către administratorii afacerii.

� Alinierea costurilor la calitatea serviciilor furnizate

� Crearea și aprobarea unui model complet al costurilor

� Implementarea costurilor pe baza politicilor agreate

� Verificarea costurilor cu regularitat

Ind

icat

ori

� Procentul serviciilor IT cu facturile acceptate/plătite de administratorii afacerii.

� Costul unitar pe serviciu de-a lungul timpului

� Procent al satisfacției afacerii (expertiză) cu modelul costului pentru serviciile IT

� Procentajul de variație între bugete, prognoze și prețuri actuale.

� Procentul de ansamblu al costurilor IT care sunt alocate în conformitate cu modelele de cost agreate.

� Procentul costurilor aflate în dispută

� Procentul utilizatorilor afacerii implicați în definirea modelului de cost

� Frecvența analizelor asupra modelului de alocare a costurilor

� Procentul costurilor care sunt alocate automat/manual

Furnizare și Suport Identificarea și alocarea costurilor FS6

indică


indică



MODEL DE MATURITATE


Managementul procesului de Identificare şi alocare a costurilor care să satisfacă cerinţele afacerii pentru IT de asigurare a transparenţei, de înţelegere a costurilor departamentului IT şi de îmbunătăţire a raportului cost-eficienţă prin folosirea judicioasă (bazată pe informaţii veridice) este:

0 Inexistent când Se resimte strident lipsa unui proces clar de identificare şi alocare a costurilor în concordanţă cu serviciile IT folosite. Organizaţia nici măcar nu sesizează apariţia unei probleme care ar trebui rezolvata prin prisma contabilităţii costurilor, drept urmare nu se deschide nici o discuţie pe această temă.

1 Iniţial / Ad Hoc când Costurile sistemului informaţional sunt înţelese per ansamblu, dar nu sunt defalcate pe utilizator, client, departament, grup de utilizatori, funcţii ale întreprinderii, proiecte sau produse finite. Costurile nu sunt monitorizate şi managementului îi este raportat doar un cost agregat. Costurile IT sunt alocate ca fiind indirecte. În concluzie managementul nu primeşte nici o informaţie despre costurile sau beneficiile serviciilor folosite.

2 Repetabil dar intuitiv când Nevoia de identificare şi alocare a costurilor este resimţită general în toată organizaţia. Alocarea lor se bazează pe nişte prezumţii rudimentare, informale referitoare la costul echipamentelor (hardware) şi nu se realizează nici o corelaţie cu valoarea oferită ulterior de acestea. Procesele de alocare a costurilor sunt repetabile. Nu există instruire şi comunicare formală cu privire la procedurile de identificare şi alocare a costurilor standard. Nu există nici un responsabil de identificarea şi alocarea costurilor.

3 Definit când Modelul costurilor serviciilor IT este definit şi documentat. De asemenea există definit şi un proces cu privire la asocierea costurilor IT serviciilor primite de utilizatori. Costurile atribuibile serviciilor IT sunt conştientizate la un nivel convenabil/ potrivit . Managementul primeşte informaţii rudimentare despre costuri.

4 Administrat şi măsurabil când Responsabilităţile cu privire la managementul costurilor serviciilor IT sunt transmise pe baza unor sesiuni de învăţare. Costurile directe şi indirecte sunt identificare şi raportate cu regularitate, într-o manieră automată către management, utilizatori şi responsabilii proceselor economice. În general există procese de monitorizare şi evaluare a costurilor iar în cazul apariţiei unor devieri sunt luate măsuri exacte de corecţie. Raportarea costurilor serviciilor informaţionale se bazează pe obiective şi pe acordul de furnizare a serviciilor şi este monitorizată de către responsabilii proceselor afacerii. Pertinenţa alocării costurilor este examinată cu ajutorul unei funcţii financiare. Există un sistem automat de contabilitate a costurilor care se bazează însă, mai mult pe funcţiile serviciilor informaţionale decât pe procesele afacerii. Se stabilesc obiective şi metrici pentru evaluarea costurilor dar procesul de măsurare în sine este inconsistent.

5 Optimizat când Costurile serviciilor folosite sunt identificate, înregistrate, sumarizate şi raportate către management, responsabilii proceselor economice şi utilizatori. Costurile sunt identificate ca fiind taxabile şi pot suferi redistribuiri care să ofere un mecanism de calcul bazat pe folosirea serviciilor IT de către fiecare utilizator. Costurile sunt detaliate în acordul de furnizare a serviciilor. Monitorizarea şi evaluarea lor se foloseşte pentru optimizarea costului resurselor IT. Rapoartele obţinute sunt utilizate pentru a verifica atingerea obiectivelor propuse la realizarea bugetelor. Există posibilitatea atenţionării în cazul nevoii de a schimba cerinţele afacerii dacă se foloseşte un sistem inteligent de raportare. Se utilizează un model de cost variabil derivat din volumul de servicii utilizate per furnizor. Managementul costurilor este rafinat la nivelul celor mai bune practici din ramură, bazat pe rezultatul îmbunătăţirii continue şi a raportării la alte organizaţii. Optimizarea costurilor este un proces continuu. Managerii revizuiesc periodic obiectivele şi metricile ca parte a procesului continuu de îmbunătăţire a sistemului de măsurare a costurilor.

FS6 Furnizare și Suport Identificarea și alocarea costurilor



FS7 Educarea şi instruirea utilizatorilor

Educarea eficientă a tuturor utilizatorilor, incluzând pe cei din departamentul IT, necesită identificarea nevoilor de învăţare a fiecărui grup de utilizatori. În afara definirii nevoilor, procesul ar trebui să includă definirea şi implementarea unei strategii de creare a unor programe de învăţare eficiente cu rezultate cuantificabile. Un program de training eficient duce la eficientizarea folosirii tehnologiei prin reducerea erorilor cauzate de utilizatori, crescând productivitatea şi conformitatea cu controalele cheie, cum ar fi măsurile de securitate.


Educare şi instruire a utilizatorilor


utilizare eficientă şi eficace a aplicaţiilor şi tehnologiei și care să asigure conformitatea cu politicile şi procedurile


unei bune înţelegeri a nevoilor d einstruire a utilizatorilor, executarea unei strategii efective de instruire şi măsurarea rezultatelor

se realizează prin

• Stabilirea materialelor de instruire: • Organizarea sesiunilor de instruire • Realizarea sesiunilor de instruire • Monitorizarea şi raportarea eficienţei instruirii


• Numărul de apeluri către Service Desk datorat lipsei de instruire • Nivelul de satisfacţie a beneficiarilor ce au urmat instruire • Întârzierea dintre momentul identificării nevoii de instruire şi cel de

acordare a acesteia.

Furnizare și Suport Educarea și instruirea utilizatorilor FS7




FS7.1 Identificarea nevoilor de educare şi instruire Stabilirea şi actualizarea în mod regulat a unui suport de curs pentru fiecare grup ţintă de angajaţi, considerând: • Cerinţele actuale şi viitoare ale afacerii • Valoarea informaţiei ca un bun • Valorile firmei (etice, culturale, de securitate, etc.) • Implementarea unei noi infrastructuri IT şi a unor noi programe ( de ex. pachete, aplicaţii) • Aptitudini actuale şi viitoare, competenţe, certificări şi / sau nevoi de calificare precum şi re-înnoiri ale certificărilor • Metode de realizare a cursurilor (de ex. în săli de clasă, e-learning ), mărimea grupului, timp şi accesibilitate.

FS7.2 Realizarea sesiunilor de instruire şi educare Pe baza nevoilor de instruire şi învăţare se identifică grupurile ţintă şi componenţa acestora, un mecanism eficient de educare, profesori, instructori şi mentori. Se aleg profesorii şi se organizează un calendar al sesiunilor de învăţare. Se înregistrează membrii care s-au înscris (incluzând disciplinele prealabile), gradul de participare şi evaluările de performanţă a sesiunilor de învăţare.

FS7.3 Evaluarea instruirii primite La sfârşitul cursurilor se evaluează conţinutul cursului şi rezultatul obţinut prin educare, calitatea, eficienţa, nivelul de reţinere a cunoştinţelor costul şi valoarea acestuia. Rezultatul acestei evaluări ar trebui să servească drept dată de intrare în definirea cursurilor viitoare şi pentru definirea modului de transmitere a informaţiilor.

FS7 Furnizare și Suport Educarea și instruirea utilizatorilor



FS7 Educarea și instruirea utilizatorilor


PO7 Aptitudinile și competențele utilizatorilor, inclusiv training-urile individuale; cerințe de training specifice


Modificările necesare aduse documentației AI4

AI4 Materiale educare, cerințe de transfer al cunoștințelor pentru implementarea soluțiilor

FS1 Acord Nivel Operațional Agreat

FS5 Cerințe de training specific pentru conștientizarea securității

FS8 Feedback-ul utilizatorilor



Ob

iect

ive

� Să se asigure satisfacția utilizatorului final cu ofertele de servicii și nivelul acestora

� Să se asigure folosirea corectă și performanța aplicațiilor și soluțiilor tehnologice

� Optimizarea infrastructurii IT, a resurselor și a productivității

� Stabilirea unui program de formare pentru utilizatorii de la toate nivelurile folosind cele mai rentabile metode

� Transferarea cunoștințelor la utilizatorii aplicațiilor și soluțiilor tehnologice

� Creșterea gradului de conștientizare a riscurilor și responsaptitudinilor implicate în utilizarea de aplicații și soluții tehnologice

� Stabilirea programelor de formare � Organizarea instruirii � Efectuarea instruirii � Monitorizarea și raportarea eficacității

instruirii

Ind

icat

ori

� Sporirea productivității angajaților ca urmare a unei bune înțelegeri a sistemelor

� Procentul de creștere a satisfacției utilizatorilor odată cu dezvoltarea serviciilor, sistemelor și tehnologiilor

� Numărul birourilor de servicii solicitate pentru instruire sau pentru a răspunde la întrebări

� Procentul de satisfacție al prsoanelor interesate cu trainingurilor oferite

� Procentul angajaților instruiți

� Frecvența actualizării programului de instruire

� Intervalul de timp între identificarea necesității unei instruiri și oferirea sa

Furnizare și Suport Educarea și instruirea utilizatorilor FS7

indică


indică



MODEL DE MATURITATE


Managementul procesului de Educare şi instruire a utilizatorilor care satisface cerinţele afacerii pentru IT de utilizare eficientă şi eficace a aplicaţiilor şi tehnologiei și care să asigure conformitatea cu politicile şi procedurile este:

0 Inexistent când Nu există nici un fel de program de educare sau instruire. Organizaţia nu recunoaşte apariţia unei probleme legată de educarea personalului şi nici nu există comunicare pe această temă.

1 Iniţial/Ad Hoc când Există dovada că organizaţia a resimţit nevoia unui program de instruire şi educare, dar nu există procese standard de implementare. În absenţa unui program bine organizat, angajaţii găsesc şi participă la cursuri pe cont propriu. Parte din aceste programe de instruire se referă la probleme de conduită etică, conştientizarea nevoii de securitate a sistemului informatic şi a practicilor de securitate. Managementul nu este bine informat cu privire la necesităţile de învăţare iar comunicarea pe această temă este sporadică şi inconsistentă.

2 Repetabil dar intuitiv când Nevoia de învăţare şi de programe educaţionale este conştientizată în interiorul organizaţiei. Planul individual de performanţă al fiecărui angajat permite identificarea instruirii primite. Procesul este dezvoltat până la nivelul la care diferiţi instructori predau sesiuni de învăţare informale şi de educare, acoperind subiecte asemănătoare din perspective diferite. Unele cursuri se referă la conduita etică, altele la politici de securitate şi practici în securitatea sistemelor. Există un grad mare de încredere în cunoştinţele fiecărui angajat în parte. Există o comunicare consistentă pe această temă.

3 Definit când Este instituit un program de instruire şi educare, comunicat angajaţilor şi managerilor care îşi descriu nevoile de învăţare. Procesul de educare şi învăţare este standardizat şi documentat. Pentru a susţine acest program se alocă parţi speciale din buget, resurse, o locaţie şi personal calificat. Cursurile sunt formale şi privesc conduita etica şi securitatea sistemului: conştientizare şi practici. Procesul de învăţare este monitorizat, dar managementul nu poate detecta toate abaterile de la cursul normal. Analiza procesului se realizează doar în mod ocazional.

4 Administrat şi măsurabil când Există un program cuprinzător de educare şi instruire care duce la rezultate măsurabile. Responsabilităţile sunt clar definite de asemenea şi persoanele responsabile. Instruirea şi educarea fac parte din cariera oricărui angajat. Managementul susţine şi chiar participă la asemenea sesiuni de învăţare. Fiecare angajat primeşte instruire în domeniul securităţii sistemelor şi al conduitei etice. Fiecare angajat, depinzând de poziţia lui în firmă, primeşte instruire pentru practici de securitate pentru a se proteja de erori ce ar putea pune în pericol disponibilitatea, confidenţialitatea şi integritatea datelor. Monitorizarea se realizează printr-o permanentă analiză, inspecţie şi îmbunătăţire a programelor şi procedurilor de învăţare. Procesul este în continuă îmbunătăţire şi foloseşte cele mai buni practici.

5 Optimizat când Rezultatul instruirii şi al educării se poate urmări în performanţele individuale. Instruirea şi educarea sunt elemente cheie ale carierei unui angajat. Programele de educare au un buget suficient, resurse, locaţii şi instructori adecvaţi. Procesul este rafinat şi se aduc îmbunătăţiri continue, prin alinierea la cele mai buni practici din domeniu, adoptarea modelelor de maturitate şi prin compararea cu alte organizaţii. Fiecare problemă sau abatere ce apare este analizată, pentru a-i fi descoperită cauza, iar apoi se iau măsurile necesare rezolvării. Există o atitudine pozitivă cu privire la conduita etică şi la securitatea sistemului. IT-ul este folosit într-o manieră extensivă integrată şi optimizată pentru a automatiza şi a oferi instrumente folosite în procesul de învăţare. Sunt folosiţi şi experţi externi iar pentru o mai bună ghidare se face raportarea la alte firme.

FS7 Furnizare și Suport Educarea și instruirea utilizatorilor



FS8 Coordonarea Service Desk-ului şi a incidentelor

Pentru a răspunde la timp şi eficient cerinţelor utilizatorilor din IT este nevoie de un proces bine structurat de management al incidentelor şi de suport tehnic. Acest proces include stabilirea unei funcţiuni de Service Desk pentru înregistrarea incidentelor, analiza tendinţei şi rădăcinilor problemelor şi rezolvarea lor. Beneficiile obţinute includ creşterea productivităţii prin rezolvarea mai rapidă a cerinţelor utilizatorilor. Mai mult, se pot evidenţia cauzele problemelor (cum ar fi lipsa de traning) printr-o raportare eficientă.


Întreţinere a service desk-ului şi incidentelor


permiţând utilizarea eficace a sistemelor IT prin asigurarea rezolvării şi analizării problemelor utilizatorilor şi a diferitelor incidente,


unui service desk profesionist, care să ofere răspunsuri rapide şi proceduri clare de rezolvare a problemelor şi de asemenea o analiză a tendințelor

se realizează prin prin

• Instalarea şi operarea unui service desk • Monitorizarea şi raportarea tendințelor • Definirea clară a criteriilor şi procedurilor de escaladare


• Numărul utilizatorilor satisfăcuţi de suportul acordat de angajaţii din linia întâi

• Procentul de incidente rezolvate intr-o perioadă acceptabilă de timp • Rata cazurilor abandonate

Furnizare și Suport Coordonarea Service Desk-ului și a incidentelor FS8



FS8 Managementul Service Desk-ului/biroului de servicii şi a incidentelor

FS8.1 Service Desk Creaţi un birou de Service Desk care să reprezinte legătura dintre utilizatori şi departamentul IT-ul, pentru a înregistra, comunica, trimite şi analiza toate apelurile telefonice, toate incidentele raportate, cerinţele utilizatorilor şi nevoia de informaţii suplimentare. Ar trebui să existe proceduri de monitorizare şi înregistrare bazate pe diferitele nivele de asigurare a suportului tehnic definite în Acordul de furnizare de servicii care să permită clasificarea şi prioritizarea oricărui incident raportat, oricărei probleme sau necesităţi de informare suplimentară. Măsuraţi mulţumirea utilizatorilor cu privire la serviciile IT şi la service desk.

FS8.2 Înregistrarea cerinţelor clienţilor Stabiliţi o funcţie şi un sistem care să permită (înregistrarea în loguri şi urmărirea apelurilor telefonice ale clienţilor, incidentelor, nevoilor utilizatorilor şi cererilor de informaţii suplimentare. Ar trebui ca acesta să lucreze asemănător managementului incidentelor, managementului problemelor, managementului schimbărilor, managementului încărcărilor de capacităţii şi managementului disponibilităţii serviciilor IT. Incidentele ar trebui clasificate în conformitate cu prioritatea de business şi de oferire a service-ului, şi direcţionate către echipa însărcinată cu acea problemă, dacă este necesar. Clienţii ar trebui să fie mereu informaţi cu privire la status-ul cererilor acestora.

FS8.3 Înregistrarea incidentelor Stabiliţi o procedură de Service Desk pentru incidentele care nu pot fi rezolvate imediat astfel încât să fie înregistrate într-un mod corespunzător în conformitate cu termenii aprobaţi în documentaţia de prestări servicii, şi dacă se poate realizaţi o soluţie temporară pentru rezolvarea lor. Asiguraţi-vă că Service Desk-ul rămâne răspunzător de incidente şi monitorizarea ciclului lor de viaţă indiferent de grupul IT care lucrează la rezolvarea lor.

FS8.4 Închiderea unui incident Stabiliţi proceduri de monitorizare în timp a modului de rezolvare şi închidere a problemelor ridicate de clienţi. Atunci când incidentul este închis, asiguraţi-vă că Service Desk-ul a înregistrat procedura de rezolvare şi obţineţi confirmarea clientului asupra modalităţii de rezolvare. De asemenea înregistraţi şi raportaţi incidentele rămase încă nerezolvate (erori deja ştiute şi soluţii temporare) pentru a furniza informaţii sporite cu privire la coordonarea acestor probleme.

FS8.5 Raportarea şi analiza tendințelor Creaţi rapoarte care să prezinte activitatea biroului de Service Desk pentru a ajuta managementul să măsoare performanţa şi răspunsul în timp al acestui birou, pentru a identifica trend-ul, problemele repetitive astfel încât activitatea de rezolvare a problemelor utilizatorilor să fie mereu îmbunătăţită.

FS8 Furnizare și Suport Coordonarea Service Desk-ului și a incidentelor



FS8 Coordonarea Service Desk-ului și a incidentelor


AI4 Materiale pentru educare, cerințe de transfer al cunoștințelor pentru implementarea soluțiilor

Cerere de schimbare/modificare a serviciilor (RFC)

AI6

AI6 Autorizarea modificărilor Rapoarte ale incidentelor FS10

AI7 Elemente de configurare Rapoarte de performanță a proceselor ME1

FS1 Acord nivel serviciu agregat și Acord Nivel Operațional Agreat

Feedback-uri utilizatorilor FS7 ME1

FS4 Limite în cazul incidentelor/dezastrelor

FS5 Definirea incidentelor de securitate

FS9 Definirea configurării/activelor IT

FS10 Probeleme cunoscute, erori cunoscute și soluții temporare

FS13 Dovada incidentelor



Ob

iect

ive


� Să se asigure folosirea corectă și performanța aplicațiilor și soluții tehnologice

� Să se asigure că serviciile sunt disponibile în conformitate cu cerințele

� Analizarea, documentarea și extinderea incidentelor în timp util

� Răspunderea cu acuratețe la întrebări și într-un timp util

� Efectuarea de analize regulate a incidentelor și obiecțiilor

� Instalarea și utilizarea unui departament de suport

� Monitorizarea și raportarea tendințelor � Alinierea priorității incidentelor de rezolvat

cu cerințele afacerii � Definirea clară a criteriului de extindere și a

procedurilor

Ind

icat

ori

� Numărul utilizatorilor mulțumiți cu primul punct de suport (departament de suport sau bază de cunoștințe)

� Procentul incidentelor rezolvate conform perioadei de timp stabilite și acceptate de comun acord

� Procentajul rezolvărilor de primă linie bazat pe numărul total al cererilor

� Procentajul problemelor redeschide � Solicitarea ratei de abandonare � Durata medie a incidentelor în funcție de

gravitate � Viteza medie de răspuns la solicitările prin

telefon sau e-mail

� Procentajul incidentelor și cererilor de servicii raportate și înregistrate folosind instrumente automate

� Numărul de zile de instruire pe membru al personalului din departamentul de suport pe an

� Numărul sesizărilor pe membru al personalului din departamentul de suport pe oră

� Procentajul problemelor care necesită suport local (deplasări pe teren, vizite personale)

� Numărul obiecțiunilor nerezolvate

Furnizare și Suport Coordonarea Service Desk-ului și a incidentelor FS8

indică


indică



MODEL DE MATURITATE

FS8 Managementul Service Desk şi a incidentelor

Managementul procesului Managementul incidentelor şi a componentei Service Desk ce satisface cerinţele afacerii pentru IT de a permite folosirea eficientă a sistemelor IT prin asigurarea rezolvării şi analizei cererilor, întrebărilor şi incidentelor semnalate de utilizatorii finali este:

0 Non-existent când Nu există suport în rezolvarea problemelor şi întrebărilor utilizatorilor. Procesul de management al incidentelor lipseşte cu desăvârşire. Organizaţia nu priveşte acest proces ca o problemă de rezolvat.

1 Iniţial/Ad Hoc când Managementul conştientizează că este nevoie de un proces, sprijinit de instrumente şi personal, pentru a raspunde la cerinţele utilizatorilor şi pentru a gestiona rezolvarea incidentelor. Nu există, totuşi, un proces standardizat iar suportul este doar de tip reactiv. Managementul nu monitorizeaza cererile, incidentele şi tendintele asociate utilizatorilor. Nu există un proces de escaladare care să asigure rezolvarea problemei.

2 Repetabil dar intuitiv când Organizaţia este conştientă de nevoia unei funcţii de suport IT (Service Desk) şi a unui proces pentru managementul incidentelor. Suportul este disponibil pe o bază informală prin intermediul unei reţele de indivizi experimentaţi. Aceşti indivizi au o serie de instrumente comune disponibile pentru rezolvarea incidentelor. Nu există o instruire şi o comunicare formală în cadrul unor proceduri standard iar responsabilitatea este delegată individului.

3 Definit când Nevoia unei funcţii de suport IT (Service Desk) şi a unui proces pentru managementul incidentelor este recunoscută şi acceptată. Procedurile au fost standardizate şi documentate şi apare instruirea informală. Este, totuşi, lasată la latitudinea individului decizia de a primi instruire şi de a urma standardele. Întrebarile puse frecvent (FAQs) şi manualele utilizatorilor sunt dezvoltate dar indivizii trebuie să şi le procure singuri şi s-ar putea să nu le respecte. Cererile şi incidentele sunt urmărite manual şi monitorizate individual dar nu există un sistem formal de raportare. Intervalul de timp în care se răspunde la o cerere sau în care un incident este rezolvat nu este măsurat astfel că incidentele pot rămâne nerezolvate. Utilizatorii au primit informatii clare despre unde şi cum sa raporteze problemele şi incidentele.

4 Administrat şi măsurabil când Exista o înţelegere completă a beneficiilor unui proces de management al incidentelor la toate nivelurile organizaţiei şi funcţia Service Desk se regăseşte în unităţile organizaţionale potrivite. Instrumentele şi tehnicile sunt automatizate şi legate de o bază de cunoştinţe centralizată. Personalul ce aparţine de componenta Service Desk interacţionează puternic cu personalul din management ce se ocupă de situaţiile dificile (probleme). Responsabilităţile sunt clare iar eficacitatea este monitorizată. Procedurile pentru comunicarea, transferul la un nivel superior şi rezolvarea incidentelor sunt stabilite şi communicate. Personalul Service Desk este instruit iar procesele sunt imbunătăţite prin intermediul software-ului bazat pe sarcini. Managementul foloseşte indicatori pentru a stabili performanţa componentei Service Desk.

5 Optimizat când Procesul de management al incidentelor şi funcţia de Service Desk (de suport IT) sunt conturate şi bine organizate şi susţin orientarea pe serviciile cu clientii, fiind bine informate, focalizate pe client şi de ajutor. Indicatorii sunt analizaţi şi raportaţi sistematic. Întrebările (FAQs) extinse şi cuprinzătoare sunt o parte integrată a bazei de cunoştinţe. Instrumentele sunt plasate pentru a ajuta utilizatorul să se autodiagnosticheze şi să îşi rezolve incidentele. Sfaturile sunt documentate iar incidentele sunt rezolvate rapid printr-un proces de transfer de escaladare. Managementul utilizeaza un instrument integrat pentru statisticile ce privesc performanţa procesului de management al incidentelor şi a funcţiei de suport IT (Service Desk). Procesele au fost imbunatăţite la nivelul celor mai bune practici din industrie folosind rezultatele din analiza indicatorilor de performanţă, perfecţionarea continuă şi luând ca reper alte organizaţii.

FS8 Furnizare și Suport Coordonarea Service Desk-ului și a incidentelor



FS9 Managementul configuraţiei

Asigurarea integrităţii configuraţiilor hardware şi software presupune constituirea şi întreţinerea unei baze de date a configuraţiilor corectă şi completă. Acest proces include colectarea informaţiilor iniţiale ale configuraţiei, stabilirea liniilor de bază (baseline), verificarea şi auditarea informaţiilor de configurare şi actualizarea bazei de date a configuraţiilor atunci când este nevoie. Gestionarea efectivă a configuraţiilor facilitează o disponibilitate mai mare a sistemului, minimizează dificultăţile ce ţin de producţie şi rezolvă problemele mai repede.


Managementul configuraţiei

care satisface cerința afacerii pentru IT de a

optimiza infrastructura, resursele şi capabilităţile IT şi de a contabiliza activele IT


stabilirii şi menţinerii unei baze de date corecte şi complete, ce contine informaţii despre atributele şi liniile de bază ale configuraţiilor activelor şi compararea lor cu situaţia reală a configuraţiilor

se realizează prin

• Constituirea unui depozit central ce contine toate elementele legate de configuraţii • Identificarea elementelor ce trebuie configurate şi întreținerea lor • Revizia integrităţii datelor de configurare


• Numărul de probleme legate de conformitatea cu afacerea cauzate de configurarea inadecvata a activelor

• Numărul de abateri identificate, între baza de date de configuraţii şi configuraţia reală a activelor

• Procentul de licenţe achiziţionate şi de care nu s-a ţinut cont în baza de date.

Furnizare și Suport Managementul configurației FS9




FS9.1 Depozitul configuraţiei şi liniile de bază Stabilirea unui instrument pentru suport şi un depozit central care să conţină toate informaţiile relevante despre elementele de configurare. Monitorizarea şi înregistrarea tuturor activelor şi schimbărilor pe care acestea le-au suferit. Menținerea unei linii de referinţă cu privire la elementele de configurare pentru fiecare sistem şi serviciu, care să constituie un punct de verificare la care să se poată reveni după realizarea schimbărilor.

FS9.2 Identificarea şi întreținerea articolelor de configurat Stabilirea unor proceduri de configurare care să permită gestiunea şi înregistrarea tuturor schimbărilor în baza de date a configuraţiilor. Aceste proceduri se vor integra cu cele ce privesc managementul schimbării, al incidentelor şi al problemelor.

FS9.3 Revizia integrităţii configuraţiei Analizarea periodică a datelor de configurare pentru a verifica şi confirma integritatea configuraţiei curente şi istorice. Revizia periodică a software-ul instalat conform politicii de utilizare a software-ului, pentru a identifica software-ul personal sau fără licenţă sau orice software în plus faţă de cel curent ce dispune de licenţă. Raportarea, acţionarea şi corectarea erorilor şi abaterilor.

FS9 Furnizare și Suport Managementul configurației



FS9 Managementul configurației


AI4 Manuale pentru utilizatori, administrare, operaţionale, suport şi tehnice

Detaliile configurării/activelor IT FS8 FS10 FS13

AI7 Elemente de configurt Cerere de schimbare/modificare (RFC) (unde şi când să se aplice schimbarea)

AI4

FS4 Criticitatea elementelor de configurat Rapoarte de performanţă a proceselor



Ob

iect

ive

� Optimizarea infrastructurii IT, a resurselor și a productivității

� Răspunderea pentru și protejarea activelor IT

� Stabilirea unui depozit al activelor, al atributelor de configurat și al liniilor de bază

� Menținerea integrității depozitelor de configurare

� Revizuirea activelor actuale pentru conformitatea cu liniile de bază, în depozit

� Stabilirea unui depozit centrala l tuturor elementelor de conifigurat

� Identificarea elementelor de configurat și menținerea datelor de configurare

� Revizuirea integrității datelor de configurare

Ind

icat

ori

� Numărul problemelor cauzate de configurarea inadecvată a activelor

� Decalajele identificate între depozitul de configurare și configurările actuale ale activelor

� Procentul de licențe cumpărate și nereprezentate în depozit

� Durata medie de timp (întârziere) între identificarea unei discrepanțe și rectificarea ei

� Numărul de discrepanțe referitor la informațiile de configurare incomplete sau lipsă

� Procentajul elementelor de configurare în conformitate cu nivelurile serviciilor pentru performanță, securitate și disponibilitate

Furnizare și Suport Managementul configurației FS9

indică


indică



MODEL DE MATURITATE


Managementul procesului de Management a configuraţiei care satisface cerinţele afacerii pentru IT de a optimiza infrastructura IT, resursele şi capabilitățile şi de a contabiliza activele IT este:

0 Non-existent când Managementul nu apreciază beneficiile pe care le-ar putea aduce un proces care este capabil să gestioneze şi să raporteze asupra infrastructurii IT, pentru configuraţiile hardware şi software.

1 Iniţial/Ad Hoc când Nevoia unui management al configurării este recunoscută. Sarcini manageriale de bază privind configurarea, cum ar fi ţinerea evidenţei obiectelor de inventar hardware şi software, sunt realizate individual. Nu sunt definite practici standard.

2 Repetabil dar intuitiv când Managementul este conştient de nevoia controlului configuraţiei IT şi înţelege beneficiile pe care le aduc informaţiile complete şi corecte despre aceasta, dar există un sprijin implicit pe cunoştinţele tehnice şi expertiza personalului. Instrumentele de gestiune a configuraţiilor sunt utilizate într-un anumit grad, dar diferă de la platformă la platformă. În plus, nu sunt definite standarde de lucru. Conţinutul datelor de configurare este limitat şi nu este folosit de procesele interconectate, cum ar fi managementul schimbării sau managementul problemelor.

3 Definit când Procedurile şi practicile de lucru sunt documentate, standardizate şi comunicate, dar instruirea şi aplicarea standardelor depinde de individ. De asemenea, instrumente similare de gestionare a configuraţiilor sunt implementate de pe o platformă pe alta. Abaterile de la proceduri sunt greu de detectat iar verificările fizice sunt efectuate inconsistent. Automatizarea apare uneori pentru a asista procesul de urmărire a schimbărilor de echipament sau de software. Datele de configurare sunt folosite de procese interconectate.

4 Administrat şi măsurabil când Nevoia de a gestiona configuraţia este recunoscută la toate nivelurile organizaţiei iar bunele practici continuă să se dezvolte. Procedurile şi standardele sunt communicate şi încorporate în procesul de instruire iar abaterile sunt monitorizate, urmărite şi raportate. Instrumentele automatizate, cum ar fi tehnologia “push”, sunt utilizate pentru a impune standardele şi a îmbunătăţi stabilitatea. Sistemele de gestiune a configuraţiilor acoperă majoritatea bunurilor IT şi permit un management al pachetelor d edisgtribuție şi un control al distribuţiei adecvat. Analiza excepțiilor precum şi verificările fizice sunt aplicate în mod constant şi cauzele lor primare sunt investigate.

5 Optimizat când Toate bunurile IT sunt gestionate prin intermediul unui sistem central de gestiune a configuraţiilor care conţine toate informaţiile necesare cu privire la componente, relaţiile şi evenimentele dintre ele. Datele de configurare sunt în acord cu manualele furnizorilor. Există o integrare completă a proceselor interconectate iar datele de configurare sunt utilizate şi actualizate într-o manieră automatizată. Principalele rapoartele de audit asigură date hardware şi software esenţiale pentru reparaţii, service, garanţie, upgrade şi evaluări tehnice ale fiecărei unităţi în parte. Sunt impuse reguli pentru limitarea instalarii software-ului neautorizat. Managementul prognozează reparaţiile şi upgrade-urile cu ajutorul rapoartelor de analiză, asigurând upgrade-uri planificate şi actualizarea tehnologiei. Urmărirea şi monitorizarea individuală a fiecărui bun IT le protejează şi previne furtul, utilizarea greşită sau abuzul.

FS9 Furnizare și Suport Managementul configurației



FS10 Managementul problemelor

Managementul eficace al problemelor cere identificarea şi clasificarea problemelor, analiza cauzelor primare şi a soluţiilor propuse pentru acestea. Procesul de management al problemelor include de asemenea formularea recomandărilor pentru îmbunătățire, păstrarea înregistrărilor cu privire la probleme şi analiza stării acţiunilor corective. Un management eficace al problemelor maximizează disponibilitatea sistemului, îmbunătăţeşte nivelul serviciilor, reduce costurile şi sporeşte confortul şi satisfacţia clientilor.


Management al problemelor


de a asigura satisfacţia utilizatorilor finali în ceea ce priveşte oferta de servicii şi nivelul serviciilor şi de a reduce defectele și munca suplimentară din cadrul soluţiilor şi din cadrul livrărilor de servicii


înregistrării, urmăririi şi rezolvării problemelor operationale; investigarea cauzelor principale a tuturor problemelor importante; şi definirea soluţiilor pentru problemele operaţionale identificate

se realizează prin

• Efectuarea de analize ale cauzei principale asupra problemelor raportate • Analiza tendințelor • Responsabilitatea pentru probleme şi progresul în ceea ce priveşte rezolvarea lor


• Numărul de probleme care se repetă, cu impact asupra afacerii • Procentul de probleme rezolvate în perioada de timp cerută • Frecvenţa rapoartelor şi actualizărilor asupra unei probleme în curs, bazată pe

gravitatea problemei.

Furnizare și Suport Managementul problemelor FS10




FS10.1 Identificarea şi clasificarea problemelor Implementarea proceselor pentru a raporta şi clasifica problemele care au fost identificate ca parte a managementului incidentelor. Paşii implicaţi în clasificarea problemelor sunt similari paşilor din clasificarea incidentelor; ei vor determina categoria, impactul, importanţa şi prioritatea. Clasificarea problemelor, după caz, în grupuri sau domenii corelate (ex. , hardware, software, software suport). Aceste grupuri pot să corespundă responsabilităţilor organizaţionale ale grupurilor de utilizatori şi clienţi şi ar trebui să fie baza alocării problemelor către personalul de suport.

FS10.2 Urmărirea şi rezolvarea problemelor Asigurarea că sistemul de management al problemelor dispune de facilităţi de auditare adecvate care permit urmărirea, analizarea şi determinarea cauzelor principale ale tuturor problemelor raportate, luând în considerare: • Toate elementele de configurare asociate • Probleme şi incidente nesoluţionate • Erori cunoscute şi suspectate de a apărea • Urmărirea tendinţelor pe care le urmează problemele Identificarea și iniţierea soluţiilor durabile, abordând cauzele principale, ridicând cereri de schimbare prin intermediul procesului de management al schimbării existent. Pe parcursul procesului de analiză, managementul problemelor ar trebui să obţină rapoarte regulate din partea managementului schimbării cu privire la progresele în rezolvarea problemelor şi erorilor. Managementul problemelor ar trebui să monitorizeze impactul continuu al problemelor şi al erorilor cunoscute (familiare) asupra serviciilor utilizatorilor. În eventualitatea în care impactul devine serios, managementul problemelor ar trebui să dea prioritate problemei, o variantă fiind referirea ei într-o comisie adecvată pentru a-i creşte prioritatea în ceea ce privește schimarea necesară sau implementarea unei schimbări rapide, după caz.Monitorizarea progresului în rezolvarea problemei în conformitate cu Acordurilor de Nivel Serviciu Agreat..

FS10.3 Închiderea problemei Punerea în aplicare a unei proceduri care să închidă înregistrările referitoare la problemă, după confirmarea eliminării cu succes a erorii cunoscute sau după acordul managementului de a rezolva alternativ problema.

FS10.4 Integrarea Managementului configuraţiei, incidentelor şi al problemelor Integrarea proceselor asociate ce aparţin managementului configuraţiei, incidentelor şi problemelor pentru a asigura gestiunea eficace a problemelor şi a permite îmbunătăţiri.

FS10 Furnizare și Suport Managementul problemelor





AI6 Autorizarea schimbărilor Cerere de schimbare/modificare (RFC)

(unde și când să se aplice modificarea) AI6

FS8 Rapoartele incidentelor Înregistrările problemelor AI6

FS9 Detaliile configurării/activelor IT Rapoarte de performanță a proceselor ME1

FS13 Jurnalele erorilor Probleme cunoscute, erori cunoscute și

soluții temporare FS8



Ob

iect

ive

� Să se asigure satisfacția utilizatorului cu ofertele de servicii și nivelul acestora

� Să se reducă soluția și defectele în livrarea serviciilor

� Să se protejeze realizarea obiectivelor IT

� Înregistrarea și urmărirea cu claritate a problemelor operaționale

� Investigarea cauzei principale a tuturor problemelor semnificative

� Definirea de soluții pentru problemele operaționale identificate

� Alocarea de autoritate suficientă managerului problemelor

� Efectuarea analizei asupra cauzei principale a problemelor raportate

� Analizarea tendințelor � Stăpânirea problemelor și avansarea în

vederea rezolvării lor

Ind

icat

ori

� Numărul problemelor frecvente cu impact asupra afacerii

� Numărul proceselor întrerupte cauzate de problemele operaționale

� Procentul de probleme înregistrate și urmărite � Procentul problemelor grave care reapar (într-

o perioadă de timp) � Procentul problemelor rezolvate în perioada de

timp necesară � Procentul problemelor în lucru/noi/rezolvate, în

funcție de gravitate � Media și deviația standard a decalajului de

timp între identificarea și rezolvarea problemei � Media și deviația standard a decalajului de

timp între rezolvarea și închiderea problemei

� Durata medie între înregistrarea unei probleme și identificarea cauzei principale

� Procentul investițiilor hardware incluse în planurile preventive de mentenanță

� Procentul problemelor pentru care analiza cauzei principale a fost inițiată

� Frecvența de raportare sau de actualizări la o problemă în curs de rezolvare, bazată pe severitatea problemei

Furnizare și Suport Managementul problemelor FS10

indică


indică



MODEL DE MATURITATE


Managementul procesului Managementul problemelor care satisface cerinţele afacerii pentru IT de a de a asigura satisfacţia utilizatorilor finali în ceea ce priveşte oferta de servicii şi nivelul serviciilor şi de a reduce defectele și munca suplimentară din cadrul soluţiilor şi din cadrul livrărilor de servicii este:

0 Non-existent când Nu este conştientizată nevoia de a gestiona problemele şi nu se face diferenţierea problemelor şi a incidentelor. Prin urmare, nu există nici o tentativă de identificare a cauzelor principale ale incidentelor.

1 Iniţial/Ad Hoc când Personalul recunoaşte nevoia de a gestiona problemele şi de a determina cauzele implicite ale acestora. Personalul cheie expert asigură într-o anumită măsură ajutor în problemele legate de aria lor de expertiză, dar responsabilitatea pentru managementul problemelor nu este atribuită. Informaţiile nu sunt partajate, ceea ce genereaza probleme suplimentare şi pierderea de timp productiv în căutarea răspunsurilor.

2 Repetabil dar Intuitiv când Există o recunoaştere largă a nevoii de şi a beneficiilor managentului problemelor legate de IT, atât în cadrul unităţilor economice cât şi a funcţiilor legate de servicii informaţionale. Procesul de soluţionare evoluează până la punctul în care câţiva indivizi cheie sunt responsabili de identificarea şi rezolvarea problemelor. Informaţiile sunt partajate în rândul personalului într-o manieră informală şi reactivă. Nivelul serviciilor pentru comunitatea de utilizatori variază şi este diminuat de cunoştinţele insuficiente, structurate disponibile managerului ce se ocupă cu problemele.

3 Definit când Nevoia unui sistem de management al problemelor, eficient şi integrat, este acceptată şi evidenţiată de suportul managementului iar bugetele pentru personal şi instruire sunt disponibile. Procesele de rezolvare şi escaladare a problemelor au fost standardizate. Înregistrarea şi urmărirea problemelor şi a soluţiilor acestora sunt divizate în interiorul echipei de răspuns folosind instrumentele disponibile, fără centralizare. Abaterile de la normele şi standardele stabilite sunt puţin probabil detectate. Informaţiile sunt partajate în cadrul personalului într-o manieră proactivă şi formală. Revizia managementului incidentelor şi analiza identificării problemelor şi a soluţiilor sunt limitate şi informale.

4 Administrat şi măsurabil când Procesul de management al problemelor este înteles la toate nivelurile din organizatie. Responsabilităţile şi sarcinile sunt clare şi stabilite. Metodele şi procedurile sunt documentate, comunicate şi măsurate în ceea ce priveşte eficacitatea. Majoritatea problemelor sunt identificate, înregistrate şi raportate iar procesul de soluţionare iniţiat. Cunoştinţele şi expertiza sunt cultivate, întreţinute şi dezvoltate către nivelurile superioare deoarece funcţia este văzută ca un bun şi ca o contribuţie majoră la îndeplinirea obiectivelor de IT şi la îmbunătăţirea serviciilor IT. Managementul problemelor este bine integrat cu procesele interconectate, cum ar fi managementul incidentelor, al schimbării, al disponibilităţii şi al configuraţiilor şi sprijină clienții în gestionarea datelor, facilităţilor şi operaţiilor. Obiectivele şi indicatorii au fost stabiliți pe baza procesului de management al problemelor.

5 Optimizat când Procesul de management al problemelor a evoluat într-unul modern şi proactiv, contribuind la obiectivele IT. Problemele sunt anticipate şi prevenite. Datele privind şabloane ale problemelor, trecute şi viitoare, sunt menţinute prin contacte regulate cu furnizorii şi experţii. Înregistrarea, raportarea şi analiza problemelor şi a soluţiilor sunt automatizate şi complet integrate cu managementul configurării datelor. Obiectivele sunt măsurate constant. Majoritatea sistemelor au fost echipate cu mecanisme de detecţie şi de avertizare automate, ce sunt urmărite şi evaluate în mod continuu. Procesul de management al problemelor este revizuit pentru o îmbunătăţire continuă pe baza analizei indicatorilor şi este raportat beneficiarilor.

FS10 Furnizare și Suport Managementul problemelor



FS11 Managementul datelor

Managementul eficient al datelor presupune identificarea cerinţelor de date. Procesul de management al datelor include de asemenea stabilirea procedurilor eficiente pentru a gestiona biblioteca de date, copiile de siguranță/backup-ul şi recuperarea datelor precum şi distribuirea eficientă a acestora pe suporturile de informaţii. Un management eficient al datelor ajută la asigurarea calităţii, aranjării cronologice şi disponibilităţii datelor.


Managementul datelor


de a optimiza exploatarea informaţiilor şi de a asigura că informaţiile sunt disponibile precum s-a cerut


menţinerii completitudinii, acurateţei, disponibilităţii şi protecţiei datelor

se realizează prin

• Copii de siguranță/backup-ul datelor şi testarea restaurării acestora • Managementul depozitării datelor on-site şi off-site • Aranjarea în siguranţă a datelor şi echipamentelor


• Procentul de utilizatori satisfăcuţi de disponibilitatea datelor • Procentul de restaurări cu succes ale datelor • Numărul de incidente în care date sensibile au fost recuperate după ce

suporturile de informaţii au fost schimbate.

Furnizare și Suport Managementul datelor FS11




FS11.1 Cerinţele afacerii pentru managementul datelor Verificarea că toate datele estimate pentru prelucrare sunt primite şi procesate complet, corect şi în timp util şi toată producţia este livrată în conformitate cu cerinţele afacerii. Sprijinirea nevoilor de reprelucrare a datelor.

FS11.2 Aranjamente privind depozitarea şi păstrarea Definirea și implementarea unor proceduri eficace și eficiente de stocare a datelor, de păstare și arhivare pentru a îndeplinii obiectivele afacerii, politica de securitate a organizaţiei şi cerinţele de reglementare.

FS11.3 Sistemul de management al bibliotecii media Definirea și implementarea procedurilor pentru a obține un inventar al media stocate și arhivate pentru a asigura utilitatea și integritatea ei.

FS11.4 Eliminarea Definirea şi implementarea procedurilor pentru a asigura că cerinţele afacerii pentru protecția datelor sensibile şi a software-ul sunt îndeplinite atunci când datele şi hardware-ul sunt eliminate sau transferate.

FS11.5 Copie de siguranţă șșșși restaurare Definirea şi implementareai procedurilor pentru realizarea copiilor de siguranță/backup şi restaurare a sistemelor, aplicaţiilor, datelor şi documentaţiilor în conformitate cu cerinţele afacerii şi a planului de continuitate.

FS11.6 Cerinţe de securitate pentru managementul datelor Definirea şi implementarea politicilor şi procedurilor pentru a identifica şi aplica cerinţele de securitate folosite la primirea, prelucrarea, stocarea şi ieşirea datelor pentru a atinge obiectivele afacerii, politica de securitate a organizaţiei şi cerinţele de reglementare.

FS11 Furnizare și Suport Managementul datelor





PO2 Dicționarul de date,alocarea clasificării datelor



Instrucțiunile administratorului privind gestionarea datelor

FS13

FS1 Acord Nivel Operațional Agreat

FS4 Planul pentru protecție și stocarea copiilor de siguranță

FS5 Plan și politici de securitate IT



Ob

iect

ive

� Optimizarea folosirii informațiilor � Să se asigure că informațiile critice și

confidențiale sunt protejate față de cei care nu ar trebui să aibă acces la ele

� Să se asigure conformitatea IT cu legislația în vigoare, regulamantele și contractele

� Menținerea completitudinii, acurateței, corectitudinii și accesului datelor stocate

� Asigurarea datelor pe parcursul depozitării pe mediul de stocare

� Gestionarea efectivă a depozitelor media

� Crearea de copii de siguranță a datelor și reluarea testelor

� Gestionarea onsite și offsite a depozitelor de date

� Folosirea în siguranță a datelor și a echipamentelor

Ind

icat

ori

� Numărul cazurilor de incapacitate în recuperarea datelor critice pentru procesul economic

� Procentul de satisfacție al utilizatorilor în legătură cu disponibilitatea datelor

� Numărul de incidente de nerespectare a legilor datorită unor aspecte de administrare a mediilor de stocare

� Procentul din recuperarea cu succes a datelor � Numărul de incidente în care date precise au

fost extrase după ce suportul media a fost folosit

� Numărul de nefuncționări sau incidente legate de integritatea datelor datorate capacității insuficiente de acumulare

� Frecvența de testare a copiei de siguranță a suportului media

� Durata medie pentru restaurarea datelor

Furnizare și Suport Managementul datelor FS11

indică


indică



MODEL DE MATURITATE


Managementul procesului de Management al datelor, care satisface cerința afacerii pentru IT pentru a optimiza exploatarea informaţiilor şi de a asigura că informaţiile sunt disponibile precum s-a cerut este:

0 Non-existent când Datele nu sunt recunoscute ca resurse corporative și mijloace fixe. În managementul datelor nu este atribuită nici responsabilitatea asupra datelor, nici responsabilități individuale. Calitatea și securitatea datelor sunt slabe sau inexistente.

1 Iniţial/Ad Hoc când Organizația recunoaşte o necesitate de management eficient al datelor. Există o abordare ad-hoc pentru a preciza cerinţele de securitate pentru gestionarea datelor, dar procedurile formale de comunicare nu sunt puse în aplicare. Nu are loc o instruire specifică pentru gestionarea datelor. Responsabilitatea pentru gestionarea datelor nu este clară. Procedurile de backup/restaurare şi modalităţile de eliminare sunt în vigoare.

2 Repetabil dar intuitiv când Gradul de conştientizare a nevoii pentru managementul eficient al datelor există în întreaga organizaţie. Responsabilitatea asupra datelor începe să apară la un nivel ridicat. Cerințele de securitate pentru gestionarea datelor sunt documentate de către persoane-cheie. Sunt efectuate unele monitorizări în cadrul tehnologiilor informaționale cu privire la activităţile de gestionare a datelor cheie (de exemplu, de backup, restaurare, de eliminare). Responsabilităţile pentru gestionarea datelor sunt atribuite în mod informal personalului cheie din IT.

3 Definit când Nevoia de management al datelor în cadrul IT și în întreaga organizație este înțeleasă și acceptată. Responsabilitatea pentru gestionarea datelor este stabilită. Responsabilitatea asupra datelor este desemnată părții responsabile cu integritatea și securitatea. Procedurile de gestionare a datelor sunt formalizate în cadrul IT, şi sunt utilizate unele instrumente pentru backup/restaurare şi de eliminare a echipamentelor. Are loc monitorizarea managementului datelor. Măsurătorile de performanță de bază sunt definite. Instruirea personalului privind managementul datelor este în curs de dezvoltare.

4 Administrat şi măsurabil când Nevoia de management al datelor este înțeleasă și acțiunile necesare sunt acceptate în cadrul organizației. Responsabilitatea pentru proprietatea şi gestionarea datelor este clar definită, atribuită şi comunicată în cadrul organizaţiei. Procedurile sunt formalizate și cunoscute pe scară largă, și cunoștințele sunt împărtășite. Utilizarea instrumentelor curente este în curs de dezvoltare. Scopul şi indicatorii de performanţă sunt acceptate de clienţi și monitorizate printr-un proces bine definit. Instruirea formală pentru personalul gestionarii datelor este în vigoare.

5 Optimizat când Nevoia de management al datelor şi de înţelegere a tuturor acţiunilor necesare este înţelesă și acceptată în cadrul organizației. Nevoile și cerințele viitoare sunt analizate într-un mod proactiv. Responsabilitatea pentru proprietatea şi gestionarea datelor este clar stabilită, cunoscută în întreaga organizaţie şi actualizată în timp util. Procedurile sunt formalizate şi cunoscute pe scară largă. Schimbul de cunoştinţe este o practică standard. Sunt folosite instrumente sofisticate, cu un grad de automatizare maxim a managementului datelor. Scopul și indicatorii de performanță sunt agreați de clienți, au legătură cu obiectivele afacerii și sunt monitorizați în mod constant cu ajutorul unui proces bine definit. Oportunităţile de îmbunătăţire sunt în mod constant explorate. Membrii personalului de management al datelor sunt instruiți.

FS11 Furnizare și Suport Managementul datelor



FS12 Managementul mediului fizic

Protecția echipamentelor electronice și a personalului necesită o bună concepere și o bună gestionare a facilităților fizice. Procesul de management al mediului fizic include definirea cerințelor fizice ale amplasamentului, selectarea mijloacelor adecvate şi proiectarea proceselor eficiente pentru monitorizarea factorilor de mediu şi gestionarea accesului fizic. Managementul eficient al mediului fizic reduce întreruperile proceselor economice cauzate de deteriorarea echipamentelor informatice şi a personalului.


Management al mediului fizic


protejare activelor fizice şi a datelor afacerii şi reducerea la minim a riscului de întrerupere a afacerii


creării şi menţinerii unui mediu fizic adecvat pentru a proteja activele IT împotriva accesului neaturizat, deterioarare sau furt

se realizează prin

• Punerea în aplicare a măsurilor de securitate fizică • Selectarea și managementul facilităților


• Durata timpului de întrerupere cauzată de incidente din mediul fizic • Numărul de incidente datorate încălcării securităţii fizice sau

disfuncţionalităţi • Frecvenţa evaluării riscului fizic şi revizii

Furnizare și Suport Managementul mediului fizic FS12




FS12.1 Selectarea șșșși proiectarea amplasamentului Definirea şi selectarea amplasamentelor fizice pentru echipamentele IT, pentru a sprijini strategia tehnologică legată de strategia afacerii. Selectarea şi proiectarea planului general al amplsamentului ar trebui să ia în considerare riscul ascociat cu dezastrele naturale și cele provocate de om, în acelaşi timp luând în considerare legile şi reglementările relevante, cum ar fi sănătatea şi securitatea la locul de muncă.

FS12.2 Măsuri de securitate fizică Definirea şi implementarea măsurilor de securitate fizică, în conformitate cu cerinţele afacerii pentru a securiza locul și bunurile fizice. Măsurile de securitate fizică trebuie să poată preveni, detecta sau atenua în mod eficient riscurile legate de furt, temperatură ridicată, foc, fum, apă, vibraţii, acte de terorism, acte de vandalism, întreruperile de alimentare cu energie electrică, produse chimice sau explosive.

FS12.3 Accesul fizic Definirea şi implementarea procedurilor de acordare, limitare şi retragere a accesului la sediul clădirilor şi zonelor în funcţie de nevoile afacerii, inclusiv situațiile de urgență. Accesul la spaţii, clădiri şi zone ar trebui să fie justificat, autorizat, înregistrat şi monitorizat. Acest lucru ar trebui să se aplice tuturor persoanelor care intră în sedii, inclusiv personalului, personalului temporar, clientilor, furnizorilor, vizitatorilor sau orice altă parte terță.

FS12.4 Protecțțțția împotriva factorilor de mediu Proiectarea si implementarea măsurilor de protecţie împotriva factorilor de mediu. Instalarea de echipamente specializate şi dispozitive de monitorizare şi control al mediului.

FS12.5 Managementul facilităţilor fizice Administrarea facilităţilor, incluzând capacitatea şi echipamentele de comunicaţii, în conformitate cu legile şi reglementările, specificaţiile tehnice şi cerinţele afacerii, specificațiile furnizorului, precum şi îndrumările privind sănătatea și siguranța.

FS12 Furnizare și Suport Managementul mediului fizic




De la Intrări Ieşiri Către PO2 Alocarea clasificării datelor Rapoarte de performanță a proceselor ME1

PO9 Evaluarea riscului

AI3 Cerințe fizice de mediu



Ob

iect

ive

� Să se asigure că serviciile IT și infrastructura pot rezista în mod adecvat și se pot reface în urma defecțiunilor datorate unei erori, unui atac planificat sau a unei calamități

� Să se asigure că informațiile critice și confidențiale sunt protejate față de cei care nu ar trebui să aibă acces la ele

� Să asigure un impact minim asupra afacerii în cazul întreruperii sau modificării unui serviciu IT

� Să se răspundă și să se protejeze toate investițiile IT

� Asigurarea și menținerea unui mediu fizic adecvat pentru infrastructura și resursele IT

� Restricționarea accesului la mediul fizic pentru cei care nu au nevoie de acces

� Implementarea măsurilor de securitate fizică

� Selectarea riguroasă și gestionarea facilităților

Ind

icat

ori

� Numărul întreruperilor care decurg din incidentele mediului fizic

� Numărul de accidente cauzate de mediul fizic

� Numărul expunerilor de securitate care decurg din incidentele mediului fizic

� Numărul de incidente datorate încălcării securității fizice sau a disfuncționalităților

� Numărul incidentelor de acces neautorizat la facilitățile informatice

� Frecvența instruirii personalului în măsuri de protecție, securitate și facilități

� Procentul de angajați instruiți cu privire la măsurile de protecție fizică

� Numărul testelor de reducere a riscurilor, realizate în ultimul an

� Frecvența evaluărilor și reviziilor riscurilor fizice

Furnizare și Suport Managementul mediului fizic FS12

indică


indică



MODEL DE MATURITATE


Managementul procesului de Management al mediului fizic care satisface cerinţele afacerii pentru IT de a proteja activele fizice şi datele afacerii şi reducerea la minim a riscului de întrerupere a afacerii este:

0 Non-existent când Nu există nici o conştientizare a necesităţii de a proteja facilităţiile sau investiţia în resursele IT. Factorii de mediu, incluzând protecţia împotriva incendiilor, prafului, căderilor de tensiune, căldurii excesive şi umiditătii, nu sunt nici monitorizați, nici controlați.

1 Iniţial/Ad Hoc când Organizația recunoaşte cerinţa de a oferi un mediu fizic adecvat care protejează resursele şi personalul faţă de de riscurile naturale și cele datorate omului. Gestionarea facilitățiilor și a echipamentelor depinde de competențele și abilitățile persoanelor cheie. Personalul are acces la mai multe facilitati fără restricţii. Managementul nu monitorizează controalele de mediu sau circulaţia personalului.

2 Repetabil dar Intuitiv când Controalele de mediu sunt puse în aplicare şi monitorizate de către personalul operaţional. Securitatea fizică este un proces informal, condus de un grup mic de angajaţi care posedă un nivel înalt de interes cu privire la securizarea facilităţilor fizice. Procedurile de întreținere a facilităților fizice nu sunt bine documentate și se bazează pe bunele practici ale câtorva indivizi. Obiectivele securității fizice nu sunt bazate pe standarde oficiale iar managementul nu se asigură că obiectivele de securitate sunt atinse.

3 Definit când Necesitatea de a menţine un mediu de calcul controlat este înţeleasă şi acceptată în organizație. Controalele de mediu, de întreţinere preventivă şi securitate fizică sunt posturi bugetare în bugetul aprobat şi urmărite de către management. Restricţiile de acces se aplică, doar personaluli autorizat permițându-i-se accesul la facilităţile electronice. Vizitatorii sunt înregistrați şi însoțiți, în funcţie de scopul vizitei. Facilitățile fizice au un profil redus şi nu sunt uşor de identificat. Autorităţile civile monitorizează conformitatea cu reglementările de sănătate şi securitate. Riscurile sunt asigurate cu un efort minim pentru a optimiza costurile de asigurare.

4 Administrat şi măsurabil când Necesitatea de a menţine un mediu informatic controlat este pe deplin înţeleasă, după cum este evident în structura organizaţională şi în alocările bugetare. Cerințele de securitate fizică și a mediului de lucru sunt documentate, iar accesul este strict controlat și monitorizat. Responsabilitatea şi sarcinile sunt stabilite şi comunicate. Personalul angajat este instruit pentru a reacționa în situații de urgență precum şi în domeniul securității muncii. Sunt puse în practică mecanisme de control standardizate pentru restricșionarea accesului la facilitățile fizice și țin cont de factorii fizici și de mediu.. Managementul monitorizează eficienţa controalelor şi a conformităţii cu standardele stabilite. Managementul a stabilit obiective şi unităţii de măsură pentru cuantificarea managementului mediului de lucru. Recuperarea resurselor electronice este încorporată într-un proces de management al riscurilor la nivel de organizație. Informaţiile integrate sunt utilizate pentru a optimiza acoperirea asigurării şi costurile aferente.

5 Optimizat când Există o convenție, un plan pe termen lung pentru facilitățile necesare pentru a susţine mediul electonic al organizaţiei. Sunt defintie standarde pentru toate facilităţile, care să acopere selectarea amplsamentului, construcţia, pază și supraveghere, personalul de securitate, sisteme mecanice şi electrice, precum şi protecţia împotriva factorilor de mediu (de exemplu, incendiu, aprindere, inundaţii). Toate facilităţiile sunt inventariate şi clasificate în funcţie de procesul de management al riscurilor din cadrul organizaţiei. Accesul este strict controlat pe baza necesității funcției și monitorizat continuu iar vizitatorii sunt însoțiți tot timpul. Mediul de lucru este monitorizat şi controlat prin intermediul echipamentului de specialitate, și sălile de echipament au devenit ”fără pilot”. Obiectivele sunt în mod constant măsurate şi evaluate. Programele de întreţinere preventivă se execută cu respectarea strictă a orarelor iar testele regulate sunt aplicate echipamentelor sensibile. Strategia cu privire la facilități şi standardele sunt aliniate cu disponibilitatea serviciilor IT şi integrate cu planificarea continuării activităţii şi managementul situațiilor de criză. Revizile adminsitrative și optimizarea facilităților folosesc obiectivele și unitățile de măsură pe o bază permanentă, capitalizând oportunităţile de a îmbunătăţind contribuţia în cadrul organizației.

FS12 Furnizare și Suport Managementul mediului fizic



FS13 Managementul operațiunilor

Procesarea completă și exactă a datelor necesită un management eficient al procedurilor de prelucrare a datelor și o întreținere temeinică a hardware-ului. Acest proces include definirea politicilor de operare și a procedurilor pentru gestionarea eficientă prelucrărilor programate, protejând datele de ieşire sensibile, monitorizând performanţa infrastructurii şi asigurând întreținerea preventivă a hardware-ului. Gestionarea eficientă a operaţiunilor ajută la menţinerea integrităţii datelor şi reduce întârzierile şi costurile de exploatare IT.


Management al operațiunilor


menţinere a integrităţii datelor şi asigurarea faptului că infrastructura IT poate rezista şi recupera erorile și eșecurile


respectării nivelurilor serviciilor operaționale pentru prelucrarea programată a datelor, protejând ieşirele sensibile, monitorizând și întreținând infrastructura

se realizează prin

• Operarea în mediul IT, în conformitate cu nivelurile de servicii agreate şi instrucțiunile definite

• Menținerea infrastructurii IT


• Numărul nivelurilor de servicii afectate de astfel de incidente operaţionale • Ore de nefuncționare neplanificate, cauzate de astfel de incidente

operaţionale • Procentul de active hardware incluse în programele de întreţinere preventivă

Furnizare și Suport Managementul operațiunilor FS13




FS13.1 Proceduri șșșși instrucțțțțiuni operațțțționale Definirea, implementarea şi întreținerea procedurilor pentru operaţiunile IT prin care să se asigure că membrii personalului operațional sunt familiarizaţi cu toate sarcinile operaţionale relevante pentru ei. Procedurile operaţionale ar trebui să acopere predarea-primirea (predarea oficială a activității, actualizări la status, probleme operaţionale, proceduri de escaladare şi rapoarte prinvind responsabiliățile curente) pentru a sprijini nivelele de servicii convenite şi pentru a asigura operarea continuă.

FS13.2 Planificarea muncii Organizarea planificării muncii, a proceselor și sarcinilor în cel mai eficient mod, maximizând ieșirile și utilizarea resurselor în conformitate cu cerințele afacerii.

FS13.3 Monitorizarea infrastructurii IT Definirea şi implementarea procedurilor de monitorizare a infrastructurii IT şi a evenimentelor aflate în legătură cu aceasta. Asigurarea că în jurnalele operaționale sunt stocate suficiente informații tehnice care să permită recosntrucția, revizia şi examinarea secvenţelor de timp operaţionale, şi a altor activităţi care sprijină operațiunile.

FS13.4 Documente sensibile şi dispozitive de ieşire Stabilirea unor măsuri de siguranţă fizică, practici de contabilitate şi gestionarea inventarului pentru bunurile IT sensibile cum ar fi formulare speciale, instrumente negociabile, imprimante cu destinaţie specială sau dispozitive de securitate.

FS13.5 Întreţinere preventivă pentru componentele hardware Definirea şi implementarea unor proceduri pentru a asigura o întreţinere corespunzătoare a infrastructurii pentru a reduce frecvenţa şi impactul eşecurilor sau degradarea performanţei.

FS13 Furnizare și Suport Managementul operațiunilor






Tichete incidente FS8

AI7 Promovarea în producției și lansarea pachetelor d edistribuție a software-ului și distribuția planurilor

Jurnalele erorilor FS10



FS4 Planul pentru protecție și stocarea copiilor de siguranță

FS9 Detaliile configurării/activelor IT

FS11 Instrucțiunile administratorului privind gestionarea datelor



Ob

iect

ive

� Să se asigure că serviciile IT și infrastructura pot rezista în mod adecvat și se pot reface în urma defecțiunilor datorate unei erori, unui atac planificat sau a unei calamități


� Să se asigure că serviciile sunt disponibile în conformitate cu cerințele

� Definirea procedurilor operaționale și alinierea lor la nivelurile serviciilor stabilite de comun acord

� Planificarea completă și procesarea cerințelor speciale conform nivelurilor serviciilor stabilite de comun acord

� Furnizarea dispozitivelor de securitate fizică pentru informații precise

� Administrarea mediului IT în conformitate cu nivelurile serviciilor stabilite de comun acord, cu instrucțiuni definite și supravegherea detaliată

� Mentenanța preventivă și modernizarea infrastructurii IT

Ind

icat

ori

� Numărul nivelurilor de servicii afectate de incidentele operaționale

� Ore de întreruperi neplanificate cauzate de incidentele operaționale

� Numărul incidentelor de nefuncționare și întârzierilor cauzate de abaterile de la procedurile operaționale

� Procentul muncii programate și a întârzierilor cauzate de procedurile neadecvate

� Numărul zilelor de instruire per personal de operare anual

� Procentul investițiilor hardware incluse în planurile preventive de mentenanță

� Procentajul programelor de muncă care sunt automatizate

� Frecvența actualizărilor asupra procedurilor operaționale

Furnizare și Suport Managementul operațiunilor FS13

indică


indică



MODEL DE MATURITATE


Managementul procesului de Managementul operațiunilor care satisface cerințțțța afacerii pentru IT de menţinere a integrităţii datelor şi asigurarea faptului că infrastructura IT poate rezista şi recupera erorile și eșecurile este:

0 Non-existent când Organizaţia nu dedică timp şi resurse necesare pentru stabilirea suportului IT de bază și activităților operaționale.

1 Iniţial/Ad Hoc când Organizația recunoaște nevoia pentru structurarea funcțiilor de suport IT. Sunt stabilite puține proceduri standard iar activitățile operaționale sunt de natură reactivă. Majoritatea proceselor operaționale sunt neoficial programate și cererile de transformare sunt acceptate fără validare prealabilă. Calculatoarele, sistemele şi aplicaţiile care sprijină procesele economice sunt frecvent întrerupte, întârziate și indisponibile.

2 Repetabil dar Intuitiv când Organizația este conștientă de rolul cheie pe care activitățile operaționale le joacă în furnizarea funcțiilor de suport IT. Bugetele pentru instrumente sunt alocate de la caz la caz. Operațiunile de suport IT sunt informale și intuitive. Există o dependenţă ridicată cu privire la competenţele şi abilităţile persoanelor. Instrucţiunile care acoperă ce săse facă, când şi în ce ordine nu sunt documentate. Există instruire profesională pentru operatori și anumite standarde formale de operare.

3 Definit când Nevoia pentru managementul operării este înțeleasă și acceptată în organizație. Resursele sunt alocate și personalul este instruit. Funcţiile repetabile sunt defintie în mod formal, standardizate, documentate şi comunicate. Evenimentele și rezultatele sarcinilor complete sunt înregistrate, cu raportare limitată la management. Utilizarea de programare automate şi alte instrumente sunt introduse pentru a limita intervenţia operatorului. Controalele sunt introduse pentru plasarea de noi sarcini de muncă în operare. Este dezvoltată o politică oficială pentru a reduce numărul de evenimente neprogramate. Întreţinerea şi acordurile cu furnizorii de servicii sunt încă informale.

4 Administrat şi măsurabil când Operarea la calculator şi responsabilităţile pentru suport sunt clar definite şi este stabilit un responsabil. Operaţiunile sunt sprijinite prin bugetarea resurselor pentru cheltuieli de capital şi resurse umane. Instruirea este formalizată şi în curs de desfăşurare. Orarele şi sarcinile sunt documentate şi comunicate, atât pe plan intern pentru funcția IT cît și pentru clienții afacerii. Este posibil să se măsoare şi să se monitorizeze activităţile de zi cu zi cu acordurile de performanţă standardizate și nivelurile de servicii stabilite. Orice abatere de la normele stabilite este abordată rapid şi corectată. Managementul monitorizează utilizarea resurselor electronice şi finalizarea lucrărilor sau sarcinile atribuite. Există un efort continuu pentru a creşte nivelul procesului de automatizare ca un mijloc de îmbunătățire continuuă. Întreținerea oficială și acordurile privind serviciile sunt stabilite cu furnizorii. Există o aliniere completă cu problemele, capacitatea și disponibilitatea proceselor de management, susţinută de revizia cauzelor erorilor şi defecțiunilor.

5 Optimizat când Operaţiunile de suport IT sunt eficace, eficiente şi suficient de flexibile pentru a răspunde nevoilor nivelului de servicii cu pierderea minimă a productivității. Procesele operaţionale IT de management sunt standardizate şi documentate într-o bază de cunoştinţe și sunt supuse unor îmbunățiri continue. Procesele automatizate care asista sistemele funcţionează fără probleme şi contribuie la un mediu stabil. Toate problemele şi eşecurile sunt analizate pentru a identifica cauza. Reuniunile periodice cu managementul schimbărilor asigură includerea în timp util a schimbărilor în programele de producţie. În cooperare cu furnizorii, echipamentul este analizat în ceea ce privește durata de funcționare și simptomele de funcționare defectuoasă iar întreţinerea este în principal preventivă.

FS13 Furnizare și Suport Managementul operațiunilor



ME1 Monitorizarea și evaluarea performanței IT

Managementul eficace al performanţei IT necesită un proces de monitorizare. Acest proces include definirea unor indicatori de performanţă relevanţi, raportări sistematice şi cu regularitate cu privire la performanţă şi acţionarea promptă în cazul abaterilor. Monitorizarea este necesară pentru a asigura că lucrurile sunt facute bine şi sunt in conformitate cu setul de direcţii şi politici.

Controlul asupra procesului ITl

Monitorizarea şi evaluarea performanţei IT


asigurare a transparenţei şi întelegerii costurilor IT, beneficiilor, strategiei, politicilor şi nivelurile agreate ale serviciilor în conformitate cu cerinţele guvernării


monitorizării şi raportării indicatorilor proceselor și identificarea și implementarea acțiunilor de îmbunătățire a performanței

se realizează prin

• Cofruntarea și transpunerea raportelor cu privire la perfomanța proceselor în rapoarte pentru management.

• Revizia performanţei faţă de obiectivele convenite şi iniţierea acţiunilor necesare de remediere


• Satisfacţia managementului şi a entității ce guvernează cu raportările performanţei • Numărul de acţiuni de îmbunătăţire determinate de activităţile monitorizate • Procentul de procese critice monitorizate

Monitorizare și Evaluare Monitorizarea și evaluarea performanței IT ME1



ME1 Monitorizarea şi evaluarea performanţei IT

ME1.1 Abordarea monitorizării Instituirea unui cadru general de monitorizare şi a unei abordări pentru a defini scopul, metodologia şi procesul care trebuiesc urmate pentru a măsura soluţia și serviciile IT furnizate, şi monitorizarea contribuţiei IT la afacere. Integrarea acestui cadru general cu sistemul corporativ de management al performanţei.

ME1.2 Definirea şi colectarea datelor monitorizate Definriea împreună cu responsabilii funcțiilor economice a unui set echilibrat de obiective de performanţă aprobate de către management și alți beneficiari semnificativi. Definirea unor valori de referinţă cu care se compară obiectivele şi identificarea datelor disponibile a fi colectate pentru a măsura obiectivele. Stabilirea proceselor necesare pentru colectarea datelor cu regularitate şi precizie, pentru a raporta progresele înregistrate față de țintele stabilite.

ME1.3 Metoda de monitorizare Implementarea unei metode de monitorizare a performanţei (de exemplu, tabloul indicatorilor agregați), care să înregistreze obiectivele; capteze indicatorii; să ofere o privire succintă şi de ansamblu a performanţei IT; şi se încadrează în sistemul de monitorizare al întreprinderii.

ME1.4 Evaluarea performanţei Revizuirea periodică a performanţei comparativ cu ţintele stabilite, analizarea cauzei oricărei abateri şi iniţierea acţiunilor de remediere pentru a aborda cauzele care stau la bază abaterilor. Efectuarea, la momentul potrivit, a unei analize cauză - efect pentru toate abaterile.

ME1.5 Raportarea la nivelul Comitetelor și la nivel executiv Dezvoltarea de rapoarte pentru conducerea superioară privind contribuţia IT la afacere, în special în termeni de performanţă a portofoliului întreprinderii, programele de investiții IT, perfomanța soluţiilor şi serviciilor livrabile. Includerea în rapoarte a măsurii în care obiectivele planificate au fost atinse, resursele financiare utilizate, obiectivele de performanţă atinse şi riscurile identificate au fost atenuate. Anticiparea reviziilor managementului prin sugerarea unor acţiuni de remediere pentru abaterile majore idnetificate. Furnizarea raportului conducerii superioare şi solicitarea feedback-ului în urma reviziei.

ME1.6 Acțiuni de remediere Identificarea şi iniţierea acţiunilor de remediere, bazate pe monitorizarea performanţei, evaluare şi raportare. Aceasta include urmărirea tuturor monitorizărilor, raportărilor şi evaluărilor prin intermediul:

• Revizuirii, negocierii şi stabilirii răspunsurilor managementului • Atribuirii responsabilităţii pentru remediere • Urmăririi rezultatelor acţiunilor realizate

ME1 Furnizare și Suport Monitorizarea și evaluarea performanței IT





PO5 Rapoarte cost-beneficiu Performanţa intrărilor pentru planificarea

IT PO1 PO1 FS1

PO10 Rapoarte de performanţă a proiectului Planuri pentru acţiunile de remediere PO4 PO8

AI6 Rapoarte cu privire la statusul schimbărilor Tendinţe de risc şi evenimente istorice PO9

FS1-13 Rapoarte de performanţă a proceselor Raport de performanţă a proceselor ME2

FS3 Plan de performanţă şi capacitate (cerinţe)

FS8 Rapoarte despre utilizatorii mulţumiţi

ME2 Rapoarte despre eficacitatea proceselor IT

ME3 Raport de conformitatecu cerințele juridice şi de reglementare externe

ME4 Raport privind starea guvernării IT



Ob

iect

ive

� Să răspundă cerințelor de guvernare conform directivelor conducerii.

� Să răspundă cerințelor afacerii conform strategiei afacerii.

� Să asigure IT-ul demonstrează servicii e calitate eficeinte din punct de vedere al costurilor, îmbunătățirea continuă și pregătirea pentru schimbările viitoare.

� Asigurarea transparenței și înțelegerii costurilor IT, beneficiilor, strategiei, politicile și nivelele de servicii.

� Stabilirea obiectivelor măsurabile pentru IT și procesele cheie.

� Măsurarea, monitorizarea și raportarea indicatorilor proceselor.

� Identificarea și implementarea acțiunilor de creștere a performanței

� Captarea, confruntarea și transpunerea rapoartelor de performanță în rapoarte pentru management

� Examinarea performanței în comparație cu obiectivele stabilite și inițierea acțiunilor necesare remedierei

Ind

icat

ori

� Numărul modificărilor obiectivelor pentru procesele IT, eficacitate și eficiența indicatorilor.

� Nivelul satisfacției managementului și persoanelor cu atribuții de guvernare în raport cu performanța.

� Nivelul reducerii numărului de procese deficiente nerezolvate.

� Nivelul de satisfacție al beneficiarilor cu procesul de măsurare.

� Procentul proceselor critice monitorizate. � Numărul acțiunilor de îmbunătățire ca effect al

activităților de monitorizare. � Numărul obiectivelor de performanță întâlnite.

� Intervalul de timp dintre raportarea deficiențelor și inițierea acțiunilor.

� Intervalul de întârziere pentru actualizarea măsurătorilor pentru a reflecta obiectivele de performanță actuale, măsurile, obiectivele și criteriile de referință.

� Numărul de indicatori (pe proces) � Numărul relațiilor cauză-efect identificate și

încorporate în monitorizare. � Cantitatea de efort necesară pentru

obținerea datelor de măsurare. � Numărul de probleme neidentificate prin

procesul de măsurare. � Procentul de indicatori care pot fi evaluați la

standardele industriei și la stabilirea obiectivelor.

Furnizare și Suport Monitorizarea și evaluarea performanței IT ME1

indică


indică



MODEL DE MATURITATE


Gestionarea procesului de Monitorizare și evaluare a performanței IT care satisface cerința afacerii pentru IT de asigurare a transparenţei şi întelegerii costurilor IT, beneficiilor, strategiei, politicilor şi nivelurile agreate ale serviciilor în conformitate cu cerinţele guvernării este:

0 Inexistent când Organizația nu are implementat nici un proces de monitorizaret. IT-ul nu efectuează independent monitorizarea proiectelor sau proceselor. Nu sunt disponibile în timp util rapoarte utile. Nu este recunoscută nevoia de a întelege în mod clar obiectivele procesului.

1 Inițial/Ad Hoc când Conducerea recunoaște nevoia de a colecta si de a evalua informațiile despre procesele de monitorizare. Nu au fost identificate procese standardizate de colectare și evaluare. Monitorizarea este implemantată și unitățile de măsură sunt alese de la caz la caz, în funcție de nevoile specifice proiectelor și proceselor IT. Monitorizarea este implementată în general reactiv, ca răspuns la un incident ce a prvocat anumite pierderi organizației. Funcția contabilă monitorizează indicatorii financiari de bază pentru IT.

2 Repetabil dar intuitiv când Sunt identificate măsurătorile de bază ce urmează să fie monitorizate. Există metode și tehnici de evaluare și colectare, dar procesele nu sunt adoptate în întreaga organizație. Interpretarea rezultatelor monitorizării se bazează pe expertiza persoanelor cheie. Instrumentele alese și implementate pentru coletcarea datelor sunt limitate iar colectarea informatiilor nu se bazeaza pe o abordare planificată.

3 Definit când Conducerea comunică și instituie un proces standard de monitorizare. Sunt puse în aplicare programe de instruire si educare. Este dezvoltată o bază de cunostințe formalizatată cu informații despre performanță. Evaluarea se realizează încă la nivel de proces IT individual și la nivel de proiect dar nu este integrată în randul tuturor proceselor. Sunt definite instrumentele de monitorizare a proceselor IT și a nivelurilor serviciilor. Sunt defintie măsurători cu privire la contribuția funcției serviciilor informaționale la perfomanța organizațională, pe baza criteriilor traditionale financiare și operaționale. Sunt definite măsuratori de performanță IT specifice, indicatori nonfinanciare, indicatori stategici, indicatori cu privire la satisfacția clientilor si nivelul serviciilor. Este stabilit un cadru de lcuru pentru evaluarea performanței.

4 Administrat şi măsurabil când Conducerea definește limitele de toleranță între care sistemul trebuie să funcționeze. Raportarea rezultatelor monitorizării este în curs de standardizare și normalizare. Există o integrare a unităților de măsură pentru toate proiectele și procesele IT. Sistemul de raportare către conducerea este formalizat. Instrumentele automate sunt integrate și permit organizației să colecteze și să monitorizeze informații operaționale despre aplicații, sisteme și procese. Conducerea este în masură să evalueze performanța pe baza criteriilor convenite, aprobate de catre beneficiari. Indicatorii funcției IT se aliniază la obiectivele organizatiei.

5 Optimizat când Este dezvoltat un proces continuu de imbunătățirie a calității pentru actualizarea, la nivel de organizație, a standardelor și a politicilor de monitorizare încorporănd cele mai bune practici din industrie. Toate procesele de monitorizare sunt optimizate și pot sprijini obiectivele organizatiei. Indicatori determinați de cerințele economice sunt utilizați în mod curent pentru măsurarea performanței și sunt integrați în cadre de evaluare strategice, cum ar fi tabloul de indicatori IT agregați. Procesul de monitorizare și revizuirea pe parcurs sunt în concordanță cu planurile de îmbunatațire a proceselor la nivelul organizației. Sistemul de comparare cu standardele industriei și competitorii cheie devine formalizat, cu criterii de comparație bine intelese.

ME1 Furnizare și Suport Monitorizarea și evaluarea performanței IT



ME2 Monitorizarea și evaluarea controlului intern

Stabilirea unui program eficient de control intern pentru IT necesită un proces de monitorizare bine definit. Acest proces include monitorizarea și raportarea excepțiilor de la control, rezultatele auto-evaluării și reviziile unor terțe părți. Un beneficiu-cheie al monitorizării controlului intern este oferirea unei asigurări în ceea ce privește eficiența și eficacitatea operațiunile și conformitatea cu legile și reglementările aplicabile.


Monitorizarea și evaluarea controlului intern


de a proteja realizarea obiectivelor IT și conformitate cu legile, reglementările și contractele înrudite cu IT-ul


monitorizării proceselor de control intern pentru activitățile legate de IT și identificarea acțiunilor de îmbunătățire

se realizează prin

• Definirea unui sistem de controale interne încorporate în cadrul proceselor IT • Monitorizarea și raportarea cu privire la eficiența controalelor interne asupra IT • Raportarea către management a excepțiilor de la control pentru a se acționa în

concesință


• Numărul de încălcări majore ale controlului intern • Numărul de inițiative de îmbunătățire a controlului • Numărul și acoperirea auto-evaluării controlului

Monitorizare și Evaluare Monitorizarea și evaluarea controlului intern ME2




ME2.1 Monitorizarea cadrului general al controlului intern Monitorizarea, compararea și îmbunătățirea continuă a mediului controlului IT și a cadrului controlului pentru a îndeplini obiectivele organizaționale.

ME2.2 Revizia de supraveghere Monitorizarea și evaluarea eficienței și eficacității controalelor reviziilor manageriale asupra controalelor interne IT.

ME2.3 Excepții de la control Identificarea excepțiilor controlului, analizarea și identificarea cauzelor care stau la baza lor. Escaladarea excepțiilor de la control și raportarea către beneficiari. Instituirea acțiunilor corective necesare.

ME2.4 Auto-evaluarea controlului Evaluarea completitudinii și a eficacității controlului conducerii asupra proceselor IT, politicilor și contractelelor prin intermediul unui program continuu de auto-evaluare.

ME2.5 Asigurarea controlului intern Obținerea, la nevoie, de asigurări cu privire la completitudinea și eficacitatea controalelor interne prin revizii de la terțe părți.

ME2.6 Controlul intern la terțe părți Evaluarea stării controalelor interne ale furnizorilor de servicii externe. Confirmarea că furnizorii de servicii externe sunt în conformitate cu cerințele legale și de reglementare și cu obligațiile contractuale.

ME2.7 Acțiuni de remediere Identificarea, inițializarea și implementarea acțiunilor de remediere care decurg din evaluările controlului și raportări.

ME2 Monitorizare și Evaluare Monitorizarea și evaluarea controlului intern




De la Intrări Ieşiri Către AI7 Monitorizarea controlului intern Raport privind eficacitatea controalelor IT PO4 PO6 ME1 ME4

ME1 Raportarea performanței proceselor



Ob

iect

ive

� Asigurarea că serviciile și infrastructura IT pot rezista și se pot recupera în mod adecvat în urma unui eșec cauzat de o eroare, atac deliberat sau o catastrofă

� Protejarea realizării obiectivelor IT � Asigurarea ca IT-ul este în conformitate

cu legile, proiectele de lege și contractele � Responsabilitatea pentru și protejarea

tuturor activelor IT

� Monitorizarea realizării setului de obiective de control intern pentru procesul IT

� Identificarea îmbunătățirii acțiunilor controlului intern.

� Definirea unui sistem de controale interne încorporate în cadrul procesului IT.

� Monitorizarea și raportarea cu privire la eficacitatea controalelor interne care nu țin de IT.

� Raportarea excepțiilor controlului la management pentrua se acționa.

Ind

icat

ori

� Gradul de satisfacție și confort a managementului superior, cu raportarea monitorizării controlului intern.

� Numărul încălcărilor majore ale controlului intern.

� Frecvența incidentelor controlului intern. � Numărul de puncte slabe identificate de către

rapoartele cu calificative și certificări externe. � Numărul de inițiative pentru îmbunătățirea

controlului. � Numărul de evenimente de neconformitate cu

reglementările � Numărul de acțiuni în timp util cu privire la

aspectele de control intern

� Numărul și acoperirea autoevaluărilor controlului

� Numărul și acoperirea controalelor interne care fac obiectul procesului de revizuire din partea managementului

� Timpul dintre apariția deficienței controlului intern și raportare

� Numărul, frecvența și acoperirea unor rapoarte de conformitate interne.

Monitorizare și Evlauare Monitorizarea și evaluarea controlului intern ME2

indică


indică



MODEL DE MATURITATE

ME2 Monitorizarea și evaluarea controlului intern Managementul procesului de Monitorizare și evaluare a controlului intern care îndeplinește cerința afacerii pentru IT de a proteja realizarea obiectivelor IT și conformitate cu legile, reglementările și contractele înrudite cu IT-ul este:

0 Inexistent când Organizația nu dispune de proceduri pentru a monitoriza eficacitatea controalelor interne. Metodele de raportare ale managementului controlului intern sunt absente. Există doar o prezentare generală a securității operaționale și de asigurare a controlului intern. Managementul și angajații au o lipsă generală de conștientizare a controalelor interne.

1 Inițial / Ad Hoc când Managementul recunoaşte nevoia periodică de gestionare și asigurare a controlului. Expertiza individuală în evaluarea caracterului adecvat al controlului intern se aplică după un fundament ad-hoc. Conducerea IT, în mod formal, nu a atribuit responsabilitatea pentru monitorizarea eficacităţii controalelor interne. Evaluările IT ale controlului intern sunt efectuate ca parte a auditurilor financiare tradiţionale, cu metodologii şi seturi de competenţe care nu reflectă nevoile funcțiilor serviciilor informaționale.

2 Repetabil dar intuitiv când Organizația folosește rapoartele de control neoficiale pentru a iniţia acţiuni corective. Evaluarea controlului intern este dependentă de seturile de competențe a persoanelor fizice cheie. Organizaţia prezintă un grad crescut de conștientizare a monitorizării controlului intern. Managementul serviciilor informaționale efectuează monitorizarea asupra eficacităţii controalelor interne considerate de regulă critice. Metodologiile şi instrumentele de monitorizare ale controalelor interne au început să fie utilizate, dar nu se bazează pe un plan. Factorii de risc specifici mediului IT sunt identificați pe baza aptitudinilor individuale.

3 Definit când Managementul sprijină şi instituie monitorizarea controlului intern. Sunt dezvoltate politici şi proceduri pentru evaluarea şi raportarea activităţilor de monitorizare ale controlului intern. Este definit un program de educaţie şi formare profesională pentru monitorizarea controlul intern. Este definit un process pentru auto-evaluări şi verificări ale asigurării controlului intern, cu roluri pentru mediul de afaceri responsabil şi managerii IT. Instrumentele sunt utilizate, dar nu sunt neapărat integrate în toate procesele. Politicile de evaluare a riscului procesului IT sunt utilizate în cadrele de control dezvoltate special pentru funcția IT. Sunt definite riscurile specifice procesului și politicile de atenuare.

4 Administrat şi măsurabil când Managementul pune în aplicare un cadru IT de monitorizare a controlului intern. Organizaţia stabileşte nivelurile de toleranţă pentru procesul de monitorizare a controlului intern. Instrumentele sunt puse în aplicare pentru a standardiza evaluările şi a detecta automat excepţii ale controlului. Este stabilit un specialist în funcţia de control intern IT, dintre profesioniști specializați şi certificați, care utilizează un cadru oficial de control aprobat de conducere. Membrii personalului IT calificați participă în mod curent la evaluările controlului intern. Este stabilită o bază de cunoştinţe pentru măsurarea informaţiilor istorice privind monitorizarea controlului intern. Sunt stabilite revizii colegiale pentru monitorizarea controlului intern..

5 Optimizat când Managementul stabileşte un program de îmbunătăţire continuă, pe nivele organizaționale, care să ia în considerare lecţiile învăţate şi bunele practici actuale pentru monitorizarea controlului intern. Organizația folosește instrumente integrate şi actualizate, după caz, care să permită evaluarea eficientă a controalelor critice şi detectarea rapidă a incidentelor cu privire la monitorizarea controalelor. Schimbul de cunoştinţe, specific pentru funcția serviciilor informaționale, este pus în aplicare în mod oficial. Compararea cu standardele industriale şi bunele practici este formalizată.

ME2 Monitorizare și Evaluare Monitorizarea și evaluarea controlului intern



ME3 Asigurarea conformității cu cerințele externe

Supravegherea eficientă a conformității impune stabilirea unui proces de revizuire pentru a se asigura concordanța cu legile, regulamentele şi cerinţele contractuale. Acest proces include identificarea cerinţelor de conformitate, optimizarea şi evaluarea răspunsului, obținerea asigurării că cerinţele au fost respectate şi, în sfârşit, integrarea conformității IT raportată la restul afacerii.


Asigurarea conformității cu cerințele externe


asigurare a conformității cu legile, regulamentele și cerințele contractuale


identificării tuturor legilor aplicabile, regulamentelor, contractelor şi nivelului corespunzător de conformitate precum şi optimizării proceselor IT pentru reducerea riscului neconformității

se realizează prin

• Identificarea cerințelor legale, de reglementare și contractuale legate de IT • Evaluarea impactului cerințelor de conformitate • Monitorizarea şi raportarea cu privire la respectarea acestor cerinţe


• Costul neconformității, incluzând aranjamentele și amenzile • Decalajul mediu între indentificarea problemelor de conformitate și

rezolvarea acesteia • Frecvența reviziei conformității

Monitorizare și Evaluare Asigurarea conformității cu cerințele externe ME3




ME3.1 Identificarea cerințelor de conformitate externă, legală, contractuală sau de reglementare Identificarea, în mod continuu, a legilor locale și internaționale, regulamentelor și a altor cerințe externe cu care organizația trebuie să fie conformă și includerea acestora în politicile, standardele, procedurile și metodologiile IT.

ME3.2 Optimizarea răspunsului la cerințțțțele externe Revizuirea și ajustarea politicilor, standardelor, procedurilor și metodologiilor IT pentru a asigura că cerințele legale, de reglementare și contractuale sunt luate în considerare și comunicate.

ME3.3 Evaluarea conformității cu cerințțțțele externe Confirmarea conformității politicilor, standardelor, procedurilor și metodologiilor IT cu cerințele legale și de reglementare.

ME3.4 Asigurarea pozitivă a conformitățțțții Obținerea și raportarea asigurării conformității și aderarea tuturor politicilor interne derivate din directivele interne sau externe, cerințelor de reglementare și contractuale, confirmând că oricare acțiuni corective asupra unor lipsuri de conformitate au fost luate de către responsabilul procesului în timp util.

ME3.5 Raportare integrată Integrarea raportării IT privind cerințele legale, de reglementare și contractuale cu rapoarte similare din alte funcții ale afacerii.

ME3 Furnizare și Suport Asigurarea conformității cu cerințele externe





* Cerințe de confirmitate legală și reglementare

Catalogul cerințelor legale și de reglementare legate de furnizarea serviciilor IT

PO4 ME4

PO6 Politicile IT Raport privind conformitatea activităților

IT cu cerințele externe din punct de vedere juridic și al reglementărilor

ME1

* Intrări din exteriorul COBIT


IT Proces Actvități

Ob

iect

ive

� Asigurarea că IT-ul este în conformitate cu legile, reglementările și contractele.

� Identificarea tuturor legilor, reglementărilor și contractelor care pot fi aplicate, și identificarea nivelului de conformitate IT.

� Furnizarea, pentru alinierea politicilor IT de planuri și proceduri pentru a gestiona eficient riscurile lipsei de conformitate.

� Minimizarea impactului asupra afacerii în cazul identificării problemelor de conformitate în cadrul IT-ului.

� Identificarea cerințelor legale, de reglementare și contractual legate de domeniul IT.

� Educarea personalului IT în responsabilitatea lor pentru confirmitate

� Evaluarea impactului cerințelor externe � Monitorizarea și raportarea conformității cu

privire la respectarea cerințelor externe.

Ind

icat

ori

� Costul de non-conformitate IT, incluzând instalările și amenzile.

� Numărul problemelor de non-conformitate raportate conducerii sau care au cauzat comentarii publice sau jenă

� Numărul problemelor de non-conformitate critice identificate pe an.

� Frecvența analizelor privind conformitatea.

� Intervalul mediu de timp între identificarea problemelor externe de conformitate și rezoluția.

� Intervalul mediu de timp între publicarea unei noi legi sau reglementări și inițierea unui control al conformității.

� Zilele de formare a angajaților IT pe an legate de respectarea conformității.

Furnizare și Suport Asigurarea conformității cu cerințele externe ME3

indică


indică



MODEL DE MATURITATE


Gestiunea procesului de Asigurarea conformității cu cerințele externe care satisface cerința afacerii pentru IT de asigurare a conformității cu legile, regulamentele și cerințele contractuale este:

0 Inexistent când Nu există o conștientizare a cerințelor externe care afectează IT-ul, fără procese cu privire la conformitatea cu cerințele de reglementare, legale și contractuale.

1 Inițial/Ad hoc când Există o conștientizare a cerințelor de conformare cu reglementările, contractele și legile cu impact asupra organizației. Procesele informale sunt urmate pentru a se asigura conformitatea, dar numai atunci când este necesar în noile proiecte sau ca răspuns pentru audituri sau revizii.

2 Repetabil dar Intuitiv când Există o înțelegere a nevoii de a îndeplini cerințele externe și această nevoie este comunicată. În cazul în care conformitatea este o cerință periodică, ca și în reglementările financiare sau legislația privind intimitatea, procedurile de conformitate individuale au fost dezvoltate și sunt urmate an de an. Nu există totuși, o abordare standard. Există o mare încredere în cunoștințele și responsabilitatea persoanelor dar și erorile sunt probabile. Există o instruire informală în ceea ce privește cerințele externe și problemele de conformitate.

3 Definit când Politicile, planurile și procedurile sunt dezvoltate, documentate și comunicate să asigure conformitatea cu reglementările și obligațiile contractuale și legale, dar unele nu pot fi întotdeauna urmate iar altele pot fi depășite sau imposibil de implementat. Există prea puțină monitorizare și există cerințe de conformitate care nu au fost abordate. Instruirea este prevăzută în cerințele externe legale și de reglementare care afectează organizația și procesele de conformitate definite. Contractele standard pro forma și procesele legale există pentru a reduce riscurile asociate cu răspunderea contractuală.

4 Administrat şi măsurabil când Problemele și expunerile la cerințele externe precum și nevoia de a asigura conformitatea la toate nivelurile sunt pe deplin înțelese. Un sistem de instruire formal este în măsură să asigure că toți membrii personalului sunt conștienți de respectarea obligațiilor lor. Responsabilitățile sunt clare și responsabilitatea asupra procesului este înțeleasă. Procesul include o revizuire a sistemului pentru a identifica cerințele externe și schimbările de pe parcurs. Există un mecanism pentru a verifica neconformitatea cu cerințele externe, punând în aplicare practicile interne și implementarea măsurilor corective. Problemele de neconformitate sunt analizate pentru a afla cauzele de la care provin într-o manieră standard, cu obiectivul identificării soluțiilor durabile. Bunele practici interne standardizate sunt utilizate pentru nevoile specifice, cum ar fi regulamentele stabilite și contractele de servicii periodice.

5 Optimizat când Un proces bine organizat, eficient și pus în practică este în vigoare pentru a satisface cerințele externe, bazat pe o funcție centrală unică care oferă îndrumare și coordonare a întregii organizații. Cunoașterea vastă a cerințelor externe aplicabile, inclusiv evoluțiile lor viitoare și schimbările anticipate precum și existența nevoii pentru soluții noi. Organizația ia parte la discuțiile externe cu grupuri de reglementare și industrii pentru a înțelege și a influența cerințele externe care îi afectează. Bunele practici sunt dezvoltate pentru a asigura eficient conformitatea cu cerințele externe, rezultând în foarte puține cazuri excepții de conformitate. Central, există un sistem de urmărire la nivelul organizație, permițând conducerii să documenteze fluxul de lucru, să măsoare și să îmbunătățească calitatea și eficiența procesului de monitorizare a conformității. Un proces extern de auto-evaluare a cerințelor este implementat și rafinat la un nivel de bune practici. Stilul de gestionare a organizației și cultura referitoare la conformitate sunt suficient de puternice și procesele sunt dezvoltate destul de bine pentru ca instruirea să fie limitată la noul personal și ori de câte ori există o schimbare semnificativă.

ME3 Furnizare și Suport Asigurarea conformității cu cerințele externe



ME4 Furnizarea guvernării IT

Instituirea unui cadru de guvernare eficientă include definirea structuri organizaţionale, a proceselor, conducerea, rolurile şi responsabilităţile pentru a se asigura că investiţiile IT ale întreprinderii sunt aliniate şi livrate în conformitate cu strategiile şi obiectivele întreprinderii.


Furnizarea guvernanţei IT

care satisface cerinţa afacerii pentru IT

integrarea guvernării IT cu obiectivele guvernării corporative şi în conformitate cu legile, regulamentele şi controalele


pregătirii rapoartelor comitetului director privitoare la strategia, performanţa şi riscurile IT, care să răspundă cerinţelor de guvernare, în conformitate cu direcţiile comitetului director

se realizează prin

• Instituirea unui cadru de guvernare IT integrat cu guvernarea corporativă • Obtinerea de asigurări independente asupra stării guvernării IT


• Frecvenţa de raportare asupra IT către beneficiari (inclusiv maturitatea) • Frecvenţa de raportare de la IT către comitetul director (inclusiv maturitatea) • Frecvenţa evaluării independente a conformității IT.

Monitorizare și Evaluare Furnizarea guvernării IT ME4


OBIECTIVE DE CONTROL


ME4.1 Stabilirea cadrului de guvernare IT Definirea, stabilirea și alinierea cadrului de guvernare IT cu guvernarea întreprinderii şi mediul controlului.Cadrul de referință se bazează pe un procesul IT şi un model al controlului adecvat, pentru a se asigura lipsa de ambiguitate în ceea ce privește responsabilitatea și practicile și pentru a evita neresușitele controlului intern. Confirmarea că, cadrul de guvernare IT asigură conformitatea şi este aliniat cu legile şi regulamentele în vigoare şi confirmă livrarea strategiilor întreprinderii şi obiectivelor. Rapportarea stării guvernării IT.

ME4.2 Alinierea strategică Înţelegerea de către comitetul director a aspectelor strategice, cum ar fi rolul IT-ului, a tehnologiei şi a capabilităţilor.Asigurarea că există o înţelegere clară între sectoarele afacerii şi IT în ceea ce priveşte contribuţia potenţială a celei din urmă în strategia afacerii. Colaborarea cu comitetul director şi stabilirea unui corp pentru guvernare, cum ar fi un comitet pentru strategia IT care să ofere managementului direcții strategice cu privire la IT, care să asigure că strategia și obiectivele sunt diseminate la nivelul unităților funcționale economice și IT și care să dezvolte încrederea între zonele economice și IT.Alinierea IT-ului cu strategia afacerii modul de operare, încurajând co-responsabilitatea între sectoarele de afaceri şi IT pentru luarea deciziilor strategice şi pentru obţinerea unor beneficii de la investițiile în IT.

ME4.3 Furnizarea valorii Managemetul administrează programele de investiţii IT şi alte bunuri şi servicii pentru a se asigura că acestea oferă cea mai mare valoare posibilă în sprijinirea strategiei întreprinderii şi a obiectivelor.Trebuie să se asigure că rezultatele investiţiilor IT sunt cele aşteptate precum şi că domeniul de aplicare pentru atingerea rezultatelor este înţeles. Sunt create studii de caz consistente și aprboate de către beneficiari. Activele și investiţiile sunt adminsitrate pe tot parcursul ciclului de viaţă și există o gestionare activă în realizarea beneficiilor, cum ar fi contribuţia la noi servicii, sporirea eficienţei şi capacităţii de reacţie la cerinţele clientului. Punerea în aplicare a unei abordări disciplinată cu privire la managementul portofoliului, programului şi proiectului, insistând că afacerea are responsabilitatea asupra tuturor investiţiilor şi asigură optimizarea costurilor de livrare a serviciilor IT.

ME4.4 Managementul resurselor Supraveghează investiţiile, utilizarea şi alocarea resurselor IT, prin evaluări periodice destinate să asigure resursele adecvate pentru alinierea obiectivelor strategice actuale şi viitoare ale afacerii.

ME4.5 Managementul riscurilor Împreună cu comitetul director se definește apetitul întreprinderii pentru riscurile IT și obținerea unei asigurări rezonabile cu privire la practicile de management al riscurilor astfel încît nivelul actual al riscului să nu depășească apetitul pentru risc.. Responsabilitățile pentru managementul riscurilor trebuie incluse în cadrul organizației asigurând că afacere și IT-ul sunt evaluate cu regularitate iar riscurile ce au legătură cu IT-ul, impactul acestora și poziția organizației sunt raportate în mod transparent către toți beneficiarii.

ME4.6 Masura performanței Confirmarea că obiectivele IT agreate au fost atinse sau depăşite, sau progresul în ceea ce prvește aceste obiective corespunde așteptărilor. În cazul în care obiectivele nu sunt îndeplinite sau progresul nu este cel aşteptat, se încearcă o acţiune de remediere. Se raportează comitetului director rezultatele programului, susţinut de rapoarte care permit conducerii să evalueze progresul firmei faţă de obiectivele identificate.

ME4.7 Asigurarea independentă Obţinerea unei asigurări independente (internă sau externă) cu privire la conformitatea IT cu legile şi reglementările relevante; politicile organizaţiei, standardele şi procedurile, practicile general acceptate, precum şi performanţa efectivă şi eficientă IT.

ME4 Monitorizare și Evaluare Furnizarea guvernării IT




De la Intrări Ieşiri Către PO4 Cadrul procesului IT Îmbunătățiri ale cadrului procesului PO4

PO5 Rapoarte cost-beneficiu Raport privind statusul guvernării IT PO1 ME4

PO9 Evaluarea și raportarea riscurilor Rezultatul așteptat al afacerii datorită investițiilor realizate în IT

PO5

ME2 Rapoarte asupra eficacității proceselor IT Direcția strategică a IT-ului pentru firmă PO1

ME3 Catalogul cerințelor legale și de reglementare legate de furnizarea de servicii IT

Cadrul procesului IT PO9



Ob

iect

ive

� Să răspundă cerințelor de guvernare în conformitate cu directivele conducerii.

� Asigurarea transparenței și înțelegerii costurilor IT, a beneficiilor, a strategiei, politicilor și nivelurilor serviciilor.

� Asigurarea că IT-ul este în conformitate cu legile, reglementările și contractele.

� Asigurarea că IT-ul demonstrează eficeință a costurilor serviciilor, îmbunătățirea continuă și pregătirea pentru schimbările viitoare

� Integrarea guvernării IT cu obiectivele guvernării corporative.

� Pregătirea completă și în timp util a rapoartelor conducerii privind strategia IT, performanțele și riscurile

� Să răspundă preocupărilor conducerii și interogărilor privind strategia IT, performanțele și riscurile.

� Oferirea de planuri și proceduri pentru asigurarea independenței privind respectarea politicilor IT.

� Crearea unui cadru de guvernare IT integrat în guvernarea corporativă.

� Obținerea asigurării independenței peste statusul guvernării IT.

Ind

icat

ori

� De câte ori IT-ul apare în agenda conducerii într-un mod proactiv.

� Frecvența raportărilor conducerii pentru părțile interesate, privind IT-ul (incluzând datele scadente).

� Numărul problemelor de recurență IT care apar în agendele conducerii.

� Frecvența de raportare de la IT către conducere (incluzând termenele limită).

� Numărul încălcărilor regulilor guvernării. � Frecvența evaluărilor independente asupra

conformității IT.

� Procentul membrilor din echipa de conducere instruiți în guvernare (de exemplu, codurile de conduită).

� Numărul responsabililor de etică pe departament.

� Frecvența guvernării IT ca element în agenda întâlnirilor privind direcția/strategia.

� Procentul membrilor din echipa de conducere instruiți sau care au experiență în guvernarea IT.

� Vechimea recomandărilor prestabilite. � Frecvența de raportare către conducere

privind anchetele referitoare la satisfacția părților interesate.

Monitorizare și Evaluare Furnizarea guvernării IT ME4

indică


indică



MODEL DE MATURITATE


Managementul procesului de Furnizare a guvernării IT care satisface cerința afacerii pentru IT de integrare a guvernării IT cu obiectivele guvernării corporative şi în conformitate cu legile, regulamentele şi controalele este:

0 Inexistent când Există o lipsă completă a oricărui proces recunoscut de guvernare IT. Organizația nici nu recunoaște existența unei probleme ce trebuie abordată; prin urmare, nu există nicio comunicare despre aceasta.

1 Inițial/Ad hoc când Se recunoaște faptul că problemele guvernării IT există și că trebuie să fie abordate. Există abordări ad hoc aplicate de o persoană sau de la caz la caz. Abordarea conducerii este reactivă și doar sporadică, comunicare inconsistentă pe problemele și abordările adoptate de ei. Conducerea indică cu aproximație cu cât contribuie IT-ul la performanța afacerii. Aceasta răspunde prompt în cazul unui incident care cauzează unele pierderi sau probleme ale organizației.

2 Repetabil dar intuitiv când Există o conștientizare a problemelor legate de guvernarea IT. Activitățile guvernării IT și indicatorii de performanță care includ planificarea IT, livrarea serviciilor și procesele de monitorizare sunt în curs de dezvoltare. Procesele IT selectate sunt identificate pentru îmbunătățire pe baza deciziilor personale. Conducerea identifică pe baza măsurilor guvernării IT și a metodelor și tehnicilor de evaluare; cu toate acestea, procesul nu este adoptat de întreaga organizație. Comunicarea privind standardele și responsabilitățile guvernăriii este lăsată persoanei. Indivizii sunt cei care determină procesele guvernării IT în cadrul diverselor procese și proiecte IT. Procesele, instrumentele și metricile de măsurare a guvernării IT sunt limitate și nu pot fi folosite la întreaga lor capacitate din cauza lipsei de expertiză în funcționalitatea lor.

3 Definit când Importanța nevoii pentru guvernare IT este înțeleasă de conducere și este comunicată organizației. Este dezvoltat un set de referință a indicatorilor guvernării IT în cazul în care legăturile dintre masurile rezultate și indicatorii de performanță sunt definite și documentate. Procedurile sunt standardizate și documentate. Conducerea comunică procedurile standardizate și instruirea este stabilită. Sunt identificate instrumentele care asistă guvernarea IT. Tablourile de bord sunt definite ca parte a unui instrument de evaluare a performanței afacerii IT. Cu toate acestea, persoanele sunt lăsate să primească instruire conform standardelor și să le aplice. Procesele pot fi monitorizate, dar de către management.

4 Administrat și măsurabil când Există o înțelegere deplină a problemelor guvernării IT la toate nivelurile. Există o înțelegere clară cu privire la cine este clientul și responsabilitățile sunt definite și monitorizate prin intermediul SLA. Responsabilitățile sunt clare și este stabilit un responsabil de proces. Procesele și guvernarea IT sunt aliniate și integrate în afacere și în strategia IT. Îmbunătățirea în procesele IT se bazează în primul rând pe o înțelegere cantitativă și este posibil de a monitoriza și de a măsura conformitate cu metricile procedurilor și proceselor. Toți beneficiarii procesului sunt conștienți de riscuri, de importanța IT și de oportunitățile care sunt oferite. Conducerea definește toleranțele sub care procesele trebuie să funcționeze. Există o limită, în primul rând tactică, în utilizarea tehnologiei, bazată pe tehnici mature și asigurarea instrumentelor standard. Guvernarea IT a fost integrată într-o planificare strategică și operațională și în procese de monitorizare. Indicatorii de performanță pentru toate activitățile guvernării IT sunt înregistrați și urmăriți , conducând la îmbunătățiri ale întregii organizații. Responsabilitatea generală a procesului de performanță cheie este clară și conducerea este recompensată pe baza indicatorilor de performanță.

5 Optimizat când Există o avansare și o perspectivă de înțelegere a problemelor guvernări IT. Instruirea și comunicarea sunt susținute de conceptele și tehnicile de vârf. Procesele sunt rafinate la nivelul bunelor practici ale industriei, bazate pe rezultatele unei continue îmbunătățiri și modelarea matură cu alte organizații. Implementarea politicilor IT conduce la o organizație, oameni și procese care sunt se adaptează rapid și susțin pe deplin cerințele guvernării IT. Toate problemele și abaterile sunt analizate de la rădăcină și acțiunea eficientă este identificată și inițiată în mod convenabil. IT-ul este utilizat într-o manieră extensivă, integrată și optimizată pentru a automatiza fluxul de lucru și de a oferi instrumente pentru a îmbunătăți calitate și eficiența. Riscurile și recompensele proceselor IT sunt definite, echilibrate și comunicate în întreaga întreprindere. Experții externi sunt ca efect al pârghiilor și ca sistem de referință sunt folosiți pentru orientare. Monitorizarea, auto-evaluarea și comunicarea despre așteptările guvernării sunt omniprezente în cadrul organizației și există o utilizare optimă a tehnologiei pentru a sprijini măsurarea, analiza, comunicarea și instruirea. Guvernarea întreprinderii și guvernarea IT sunt legate din punct de vedere strategic folosind resursele tehnologice, umane și financiare pentru a crește avantajul competitiv al întreprinderii. Activitățile guvernării IT sunt integrate cu procesul guvernării întreprinderii.

ME4 Monitorizare și Evaluare Furnizarea guvernării IT


ANEXA I A

NE

XA

I - T

AB

EL

EL

E C

U L

EG

ĂT

UR

ILE

DIN

TR

E O

BIE

CT

IVE

ŞI

PR

OC

ES

E

ALIN

IERE

A O

BIEC

TIVE

LOR

IT C

U O

BIEC

TIVE

LE E

CONO

MIC

E


COBIT 4.1 AL

INIE

REA

OBI

ECTI

VELO

R IT

CU

PRO

CESE

LE IT

COBIT 4.1 ANEXA I

MATRICEA PROCESELOR ȘI OBIECTIVELOR IT



ANEXA II A

NE

XA

II -

AL

INIE

RE

A P

RO

CE

SE

LO

R IT

CU

DO

ME

NII

LE

DE

IN

TE

RE

S A

LE

GU

VE

RN

ĂR

II IT

,

CO

SO

, RE

SU

RS

EL

E IT

ȘI

CR

ITE

RII

LE

IN

FO

RM

AȚ

IIL

OR

DIN

CO

BIT



COBIT 4.1


ANEXA III – MODEL DE MATURITATE PENTRU CONTROLUL INTERN

Nivelul de maturitate Starea Mediului Controlui Intern Stabilirea controalelor interne

0 Inexistent

Nu este recunoscută nevoia de control intern. Controlul nu este parte din cultura organizaţională sau din misiune. Există un risc ridicat de incidente şi deficienţe ale controlului.

Nu există nici o intenţie de a evalua nevoia de controale interne. Incidentele sunt rezolvate pe măsură ce apar.

1 Iniţial/ad hoc

Este oarecum recunoscută nevoia de control intern. Abordarea riscurilor şi cerinţele necesare controlului sunt ad hoc şi dezorganizate, fără comunicare sau monitorizare. Deficienţele nu sunt identificate. Angajaţii nu îşi cunosc responsabilităţile.

Nu există o conştientizare a nevoii de evaluare a cerințelor în termeni de controale IT. Când se desfăşoară, este doar în mod ad hoc, la un nivel înalt şi ca reacţie la incidente semnificative. Evaluarea se adresează numai incidentului în cauză.

2 Repetabil, dar intuitiv

Controalele se desfăşoară, dar nu sunt documentate. Operarea lor depinde de luarea la cunoştinţă sau de motivaţia indivizilor. Eficacitatea nu este evaluată adecvat. Multe puncte slabe ale controlului există şi nu sunt tratate adecvat; impactul poate fi dur. Acţiunile managementului destinate rezolvării problemelor de control nu sunt prioritizate sau constante. Este posibil ca angajaţii să nu fie conştienţi de responsabilităţile lor.

Evaluarea nevoilor de controale are loc doar când este nevoie pentru procese IT selectate pentru a determina nivelul curent al maturităţii controlului, nivelul ţintă care ar trebui atins şi lipsurile care există. Este folosită o abordare informală, tip seminar, pentru a defini abordarea adecvată în ceea ce priveşte controlul procesului şi pentru a motiva un plan de acţiune pre-stabilit, implicându-i pe managerii IT şi pe membrii echipei

3 Definit

Controalele se desfăşoară şi sunt documentate adecvat. Eficacitatea operaţională este evaluată în mod periodic şi există un număr mediu de probleme. Cu toate acestea, procesul de evaluare nu este documentat. Deşi conducerea este capabilă să rezolve în mod previzibil majoritatea problemele de control, unele puncte slabe ale controlului persistă şi impactul poate încă fi dur. Angajaţii sunt conştienţi de responsabilităţile lor în ceea ce priveşte controlul.

Procese critice IT sunt identificate pe baza determinanților riscului şi valorii. O analiză detaliată este realizată pentru a identifica cerinţele de control şi cauza primară a golurilor şi pentru a dezvolta oportunităţi de îmbunătăţire. În plus pentru a ușura seminariile, sunt folosite instrumente şi sunt desfăşurate interviuri pentru a sprijini analiza şi pentru a asigura faptul că un proprietar de procese IT deţine şi conduce evaluarea şi procesul de îmbunătăţire.

4 Administrat şi măsurabil

Există un control intern eficient şi un mediu de management al riscului. O evaluare a controalelor, formală şi documentată, are loc frecvent. Multe controale sunt automatizate şi revizuite în mod regulat. Conducerea poate detecta majoritatea problemelor de control, dar nu toate sunt definite în mod regulat. Există o etapă următoare în care se abordează punctele slabe ale controlului, care au fost identificate. O folosire tactică, dar limitată a tehnologiei este aplicată controalelor automate.

Criticitatea proceselor IT este definită în mod regulat cu sprijin total şi acord din partea responsabililor de procese economice relevante. Evaluarea cerinţelor de control se bazează pe o politică existentă şi pe maturitatea actuală a acestor procese, în urma unei analize complete şi măsurate, implicându-i pe beneficiarii cheie. Răspunderea pentru aceste evaluări este clară şi impusă. Strategiile de îmbunătăţire sunt sprijinite prin studii de caz din mediul afacerilor. Se monitorizează intens desfăşurarea proceselor pentru obţinerea rezultatului dorit. Revizii externe ale controlului intern sunt organizate ocazional.

5 Optimizat

Un program pentru control şi riscuri, extins în toată compania, asigură controlul eficient şi continuu şi rezolvarea problematicii riscurilor. Controlul intern şi managementul riscului sunt incluse în practicile întreprinderii, sprijinite de monitorizare automatizată în timp real, ce presupune luarea întregii răspunderi pentru monitorizarea controlului, managementul riscului şi impunerea respectării sarcinilor. Evaluarea controlului este un proces continuu, bazat pe auto-evaluare şi analiză a golurilot şi a cauzelor primare. Angajaţii sunt implicaţi proactiv în îmbunătăţirea controlului.

Schimbările în afaceri iau în considerare urgenţa proceselor IT şi acoperă orice nevoie de a reevalua capacitatea de control a proceselor. Responsabilii de procese IT realizează în mod regulat auto-evaluări pentru a confirma faptul că aceste controale sunt la nivelul corect de maturaritate pentru a răspunde nevoilor de afaceri. Ei iau în considerare atributele maturității pentru a găsi moduri de a face controalele mai eficient şi mai eficace. Organizaţia îşi ia ca repere practicile bune externe şi caută consiliere externă referitor la eficacitatea controalelor interne. Pentru procesele critice, se realizează rapoarte independente pentru a se asigura că respectivele controale sunt la nivelul de maturitate dorit şi că fncționează aşa cum fusese planificat.

ANEXA III



COBIT 4.1


ANEXA IV - COBIT 4.1 PRINCIPALUL MATERIAL REFERINȚIAT

Pentru activităţile anterioare de dezvoltare şi actualizare COBIT a fost folosită o bază de date extinsă, internaţională, cu peste 40 de standarde, scheme, linii directoare şi coduri de bună practică în IT, pentru a asigura capacitatea totală a COBIT de a referi toate domeniile controlului şi guvernării IT. Deoarece COBIT pune accent pe ce este necesar pentru a atinge masuri adecvate de management şi control a IT-ului, este poziţionat la un nivel înalt. Standardele şi codurile de bună practică detaliate care se referă la IT sunt pe un nivel mai jos de detaliere, descriind cum să gestionezi şi să controlezi aspecte particulare ale IT-ului. COBIT actionează ca un integrator al acestor documentaţii, sumarizând obiectivele principale într-o structură-umbrelă care face legătură cu guvernarea şi cu cerinţele afacerii. Pentru această actualizare a COBIT (COBIT 4.1), au fost focalizate şase din principalele standarde, cadre de referință şi proceduri globale în legătură cu IT, fiind folosite ca referinţe majore pentru a asigura acoperirea, consistenţa şi compatibilitatea necesare. Acestea sunt:

• COSO: Internal Control—Integrated Framework, 1994 Enterprise Risk Management—Integrated Framework, 2004 • Office of Government Commerce (OGC

®

): IT Infrastructure Library®

(ITIL®

), 1999-2004 • International Organisation for Standardisation: ISO/IEC 27000 • Software Engineering Institute (SEI

®

): SEI Capability Maturity Model (CMM®

), 1993 SEI Capability Maturity Model Integration (CMMI

®

), 2000 • Project Management Institute (PMI

®

): A Guide to the Project Management Body of Knowledge (PMBOK®

), 2004 • Information Security Forum (ISF): The Standard of Good Practice for Information Security, 2003

Referinţe suplimentare utilizate în dezvoltarea COBIT 4.1 includ:

• IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2

nd

Edition, IT Governance Institute, USA, 2006 • CISA Review Manual, ISACA, 2006

ANEXA IV



COBIT 4.1


ANEXA V - COMPARAȚIE ÎNTRE COBIT EDIȚIA A 3-A ȘI COBIT 4.1

SCHIMBĂRI LA NIVELUL CADRULUI DE REFERINȚĂ Schimbările majore aduse cadrului de referință COBIT ca urmare a actualizării COBIT 4.0 sunt: • Domeniul M a devenit ME, de la Monitorizare şi Evaluare. • M3 şi M4 erau procese de auditare, nu procese IT. Au fost eliminate, deoarece erau tratate adecvat de mai multe standarde de audit IT, dar referinţe la ele au fost introduse în versiunea actualizată pentru a evidenţia nevoia managementului de, şi utilizarea de către acesta a, funcţiilor de asigurare. • ME3 este procesul legat de supravegherea reglementată, care era anterior tratat de PO8 • ME4 tratează procesul de supraveghere a guvernării IT, în concordanţă cu rolul COBIT de cadru de referințăpentru guvernare IT. Prin plasarea acestui proces la capatul lanţului, se evidenţiază asistenţa pe care fiecare proces anterior o acordă scopului final de a implementa o guvernare IT eficientă în organizaţie. • Odată cu eliminarea PO8 şi cu nevoia de a păstra numerotarea pentru PO9 Evaluează riscul şi PO10 Gestionează proiectele în concordanţă cu COBIT Ediţia a treia, PO8 a devenit Gestionează calitatea, vechiul proces PO11. Domeniul PO are acum 10 procese, în loc de 11. • Domeniul AI a necesitat două modificări: adăugarea unui proces de procurare, şi nevoia de a include în AI5 elementele de management al pachetelor de distribuție. Această ultimă modificare sugerează că acesta ar trebui să fie ultimul proces în domeniul AI, astfel încât a devenit AI7. Poziţia rămasă liberă AI5 a fost utilizată pentru a adăuga noul proces de achiziție. Domeniul AI are acum şapte procese, în loc de şase. COBIT 4.1, o actualizare incrementală a COBIT 4.0, include: • Un rezumat îmbuntatpțit pentru pentru conducerea executivă • Explicarea obiectivelor şi metricilor în secțiunea cadrului de referință • O definirea mai bună a conceptelor de bază. Este important de menţionat că definiţia unui obiectiv de control s-a modificat către o

declaraţie de practică managerială • Îmbunătăţirea obiectivelor controlului, ca urmare a actualizării unor practici de control şi a activităţii de dezvoltare Val IT. Unele

obiective de control au fost grupate şi/sau regândite pentru a evita suprapunerile şi pentru a face lista obiectivelor de control dintr-un proces mai consecventă. Aceste schimbări au dus la renumerotarea obiectivelor de control rămase. Alte obiective de control au fost modificate pentru a le face mai orientate spre actiuni şi mai consecvente în exprimare. Modificări punctuale: • AI5.5 şi AI5.6 au fost combinate cu AI5.4 • AI7.9, AI7.10 şi AI7.11 au fost combinate cu AI7.8 • ME3 a fost mofdificat astfel încât să includă conformitatea cu cerinţele contractuale, suplimentar faţă de cerinţele legale şi

ale reglementărilor. • Controalele aplicaţiilor au fost regîndite pentru a fi mai eficiente, pe baza muncii depuse pentru îmbunătăţirea evaluării şi raportării eficacităţii. De aici a rezultat o listă cu şase controale la nivel de aplicaţii care au înlocuit cele 18 controale de aplicaţii din COBIT 4.0, mai multe detalii fiind incluse în COBIT Control Practices, 2nd Edition. • Lista obiectivelor afacerii şi obiectivelor IT din Anexa 1 a fost îmbunătăţită, pe baza concluziilor trase în timpul unei cercetări de validare realizată de Universitatea din Antwerp — Şcoala de Management (Belgia). • Plicul cu foi a fost extins pentru a include o listă de referinţe a proceselor COBIT, iar diagrama generală cu domeniile a fost revizuită pentru a include referinţe la procesele şi elementele de control a aplicaţiilor din cadrul de referință COBIT • Îmbunătăţiri propuse de utilizatorii COBIT (COBIT 4.0 şi COBIT Online) au fost revizuite şi încorporate acolo unde a fost cazul.

OBIECTIVELE CONTROLULUI După cum se poate observa din descrierea de mai sus a modificărilor la nivel de cadru de referință şi a muncii depuse pentru a clarifica şi concentra continutul legat de obiectivele controlului, actualizarea cadrului de referință COBIT a modificat semnificativ obiectivele controlului pe care le cuprindea. Aceste componente au fost reduse de la 215 la 210, deoarece toate materialele generice sunt reţinute la nivelul cadrului de referință şi nu se mai repetă în fiecare proces. De asemenea, toate referinţele la controalele aplicaţiilor au fost mutate în cadrul de referință şi obiective de control specifice au fost colportate în noi declaraţii. Pentru a asista tranziţia legată de obiectivele controlului, următoarele doua seturi de tabele prezintă legăturile între obiectivele de control vechi şi cel noi.

GHIDURI PENTRU MANAGEMENT Au fost adăugate intrări şi ieșiri pentru a ilustra care procese au nevoie de altele şi ce ieșiri generează acestea de obicei. Au fost trecute şi activităţile, cu responsabilităţile asociate. Intrările şi obiectivele activităţii înlocuiesc factorii de succes critici din COBIT 3. Dimensiunile scalelor se bazează acum pe o succesiune consecventă de obiective ale afacerii, obiective IT, obiective ale proceselor şi ale activităţilor. Dimensiunile din COBIT 3 au fost revizuite şi modificate pentru a le face mai reprezentative şi mai măsurabile.

ANEXA V


Comparație între CobiT ediția a 3-a și CobiT 4.1 COBIT 3 COBIT 4.1 PO1 Definirea planului strategic IT. 1.1 IT este parte a planurilor organizaţiei pe termen scurt şi lung

1.4

1.2 Plan IT pe termen lung 1.4 1.3 Planificare IT pe termen lung—abordare şi structură

1.4

1.4 Schimbări în planul IT pe termen lung

1.4

1.5 Planificare pe termen scurt pentru funcţia IT

1.5

1.6 Comunicarea planurilor IT 1.4 1.7 Monitorizarea şi evaluarea planurilor IT

1.3

1.8 Evaluarea sistemelor existente

1.3

PO2 Definirea arhitecturii informaţionale 2.1 Modelul arhitecturii informaţionale

2.1

2.2 Dicţionarul de date al organizaţiei şi regulile sintactice al datelor

2,2

2.3 Schema de clasificare a datelor

2,3

2.4 Niveluri de securitate 2,4 PO3 Determinarea direcţiei tehnologice

3.1 Planificarea infrastructurii tehnologice

3,1

3,2 Monitorizarea tendinţelor şi reglementarilor viitoare

3,3

3,3 Plan de siguranţă pentru infrastructura tehnologică

3,1

3,4 Planuri de achiziţii hardware şi software

3,1, AI3,1

PO4 Definirea oraganizării IT și a relaţiilor 4.1 Comitet de planificare sau direcţie în IT

4.3

4.2 Plasarea în organizaţie a funcţiei IT

4.4

4.3 Revizuirea rezultatelor organizației

4.5

4.4 Roluri şi responsabilităţi 4.6 4.5 Responsabilitatea pentru asigurarea calităţii

4.7

4.6 Responsabilitatea pentru securitatea logică şi fizică

4.8

4.7 Responsabilitate şi custodie

4.9

4.8 Responsabilitatea datelor și sistemului

4.9

4.9 Supervizare 4.10 4.10 Separarea sarcinilor 4.11 4.11 Personal IT 4.12 4.12 Fişa postului sau a poziţiei pentru personalul IT

4.6

4.13 Personal cheie IT 4.13 4.14 Politici și proceduri pentru personalul contractant

4.14

4.15 Relaţii 4.15 PO5 Managementul investiţilor IT 5.1 Buget operaţional anual pentru IT

5.3

5.2 Monitorizarea costurilor şi beneficiilor

5.4

5.3 Justificarea costurilor şi beneficiilor

1.1, 5.3, 5.4, 5.5

COBIT 3 COBIT 4.1 PO6 Comunicarea scopului şi direcţiei stabilite de management 6.1 Mediu potrivit pentru controlarea informaţiei

6.1

6.2 Responsabilitatea managementului pentru politici

6.3, 6.4, 6.5

6.3 Comunicarea politicilor organizaţiei

6.3, 6.4, 6.5

6.4 Resurse pentru implementarea politicii

6.4

6.5 Mentenanţa politicilor 6.3, 6.4, 6.5 6.6 Conformitatea cu politici, proceduri şi standarde

6.3, 6.4, 6.5

6.7 Angajamenetul pentru calitate

6.3, 6.4, 6.5

6.8 Cadrul de referință pentru controlul intern și securitate

6.2

6.9 Drepturi de proprietate intelectuală

6.3, 6.4, 6.5

6.10 Politici pentru cazuri particulare

6.3, 6.4, 6.5

6.11 Comunicarea conştientizării problemelor de securitate IT

6.3, 6.4, 6.5

PO7 Managementul resurselor umane 7.1 Recrutarea şi promovarea personalului

7.1

7.2 Calificarea personalului 7.2 7.3 Roluri şi responsabilităţi 7.4 7.4 Instruirea personalului 7.5 7.5 Instruirea încrucişată sau rezerve de personal

7.6

7.6 Proceduri de aprobare a accesului pentru personal

7.7

7.7 Evaluarea activităţii angajaţilor

7.8

7.8 Schimbarea şi încheirea activităţii personalului

7.8.

PO8 Asigură conformității cu cerinţele externe 8.1 Revizuirea cerinţelor externe

ME3.1

8.2 Practici şi proceduri pentru conformarea cu cerinţe externe

ME3.2

8.3 Conformitatea cu reglementările de siguranţă şi ergonomie

ME3.1

8.4 Informaţii private, propritate intelectuală şi flux de date

ME3.1

8.5 Comerţ electronic ME3.1 8.6 Conformitatea cu contractele de asigurare

ME3.1

PO9 Evaluarea riscurilor 9.1 Evaluarea riscurilor afacerii

9.1, 9.2, 9.4

9.2 Abordarea evaluării riscurilor

9.4

9.3 Identificarea riscurilor 9.3 9.4 Măsurarea riscurilor 9.1, 9.2, 9.3,

9.4 9.5 Plan de acţiune asupra riscurilor

9.5

9.6 Acceptarea riscurilor 9.5 9.7 Selecţia măsurilor de siguranţă

9.5

9.8 Angajamentul de evaluare a riscurilor

9.1

COBIT 3 COBIT 4.1 PO10 Adminsitrarea proiectelor 10.1 Structura de management al proiectelor

10.2

10.2 Participarea departamentului care îl va utiliza în iniţierea proiectului

10.4

10.3 Participanţii şi responsabilităţile echipei de proiect

10.8

10.4 Definirea proiectului 10.5 10.5 Aprobarea proiectului 10.6 10.6 Aprobarea fazelor proiectului

10.6

10.7 Planul general al proiectului

10.7

10.8 Planul de asigurare a calităţii sistemului

10.10

10.9 Planificarea metodelor de asigurare

10.12

10.10 Managementul formal al riscurilor proiectului

10.9

10.11 Planul testării AI7.2 10.12 Planul instruirii AI7.1 10.13 Planificarea revizuirii post-implementare

10.14 (parţial)

PO11 Managementul calității 11.1 Planul general al calităţii

8.5

11.2 Abordarea asigurării calităţii

8.1

11.3 Planificarea asigurării calităţii

8.1

11.4 Analiza asigurării calităţii din punct de vedere al conformităţii cu standardele şi procedurile IT

8.1, 8.2

11.5 Metodologia ciclului de viaţă al dezvoltării sistemelor (SDLC)

8.2, 8.3

11.6 Metodologia SDLC pentru schimbări majore aduse tehnologiei existente

8.2, 8.3

11.7 Actualizarea metodologiei SDLC

8.2, 8.3

11. 8 Coordonarea şi comunicarea

8.2

11.9 Cadrul de achiziţie şi întreţinere a infrastructurii tehnologice

8.2

11.10 Relaţiile cu implementatorii third-party/externi

8.2, DS2.3

11.11 Standarde de documentare a programului

AI4.2, AI4.3, AI4.4

11.12 Standardele de testare a programului

AI7.2, AI7.4

11.13 Standarde de testare a sistemelor

AI7.2, AI7.4

11.14 Testare paralelă/pilot AI7.2, AI7.4

11.15 Documentarea testării sistemelor

AI7.2, AI7.4

11.16 Evaluarea asigurării calităţii de conformitate cu standardele de dezvoltare

8.2

11.17 Revizuirea pentru asigurarea calităţii a gradului de realizare a obiectivelor IT

8.2

11.18 Indicatori ai calităţii 8.6 11.19 Raportări ale analizelor de asigurare a calităţii

8.2

COBIT 4.1


COBIT 3 COBIT 4.1 AI1 Identificarea soluţiilor automate 1.1 Definirea cerinţelor informaţionale

1.1

1.2 Formularea căilor de acţiune alternative

1.3, 5.1, PO1.4

1.3 Formularea strategiilor de achiziţie

1.3, 5.1, PO1.4

1.4 Cerinţele de service third party

5.1, 5.3

1.5 Studiul de fezabilitate tehnologică

1.3

1.6 Studiul de fezabilitate economică

1.3

1.7 Arhitectură informaţională

1.3

1.8 Raport al anlizei riscurilor

1.2

1.9 Controale de securitate rentabile

1.1, 1.2

1.10 Design-ul căilor de auditare

1.1, 1.2

1.11 Ergonomie 1.1 1.12 Selecţia soft-ului de sistem

1.1, 1.3

1.13 Controlul furnizărilor xx 5.1 1.14 Achiziţia produselor software

5.1

1.15 Întreţinerea soft-ului de la terți

5.4

1.16 Programarea aplicării contractelor

5.4

1.17 Aprobarea instalaţiilor 5.4 1.18 Aprobarea tehnologiilor 3.1, 3.2,

3.3, 5.4 AI2 Achiziţia şi întreţinerea software-ul de aplicaţii 2.1 Metode de proiectare 2.1 2.2 Schimbări majore aduse sistemelor existente

2.1, 2.2, 2.6

2.3 Aprobarea proiectului 2.1 2.4 Definirea şi documentarea cerinţelor pentru fişiere

2.2

2.5 Specificţii de program 2.2 2.6 Proiectarea sursei colecţiei de date

2.2

COBIT 3 COBIT 4.1 2.7 Definirea şi documentarea cerinţelor de input

2.2

2.8 Definirea inerfeţelor 2.2 2.9 Interfaţa utilizator-maşină

2.2

2.10 Procesarea definiţiilor şi documentaţiei cerinţelor

2.2

2.11 Definirea şi documentarea cerinţelor de output

2.2

2.12 Controlabilitatea 2.3, 2.4 2.13 Disponibilitatea, ca factor principal de design

2.2

2.14 Provizioane legate de integritatea sistemului IT introduse în software-ul de aplicaţii

2.3, DS11.5

2.15 Testarea software-ului de aplicaţii

2.8, 7.4

2.16 Materiale de referinţă şi de asistare a utilizatorului

4.3, 4.4

2.17 Reevaluarea designului sistemului

2.2

AI3 Achiziţia şi întreţinerea infrastructurii tehnologice. 3.1 Evaluarea unui nou sistem hardware şi software

3.1,3.2,3.3

3.2 Întreţinerea preventivă a echipamentelor hardware

DS13.5

3.3 Securitatea software-ului de sistem

3.1, 3.2, 3.3

3.4 Instalarea software-ului de sistem

3.1, 3.2, 3.3

3.5 Mentenanţa software-ului de sistem

3.3

3.6 Controale care gestionează schimbările aduse software-ului de sistem

6.1, 7.3

3.7 Utilizarea şi monitorizarea utilitarelor de sistem

3.2, 3.3, DS9.3

COBIT 3 COBIT 4.1 AI4 Dezvoltarea şi întreţinerea procedurilor 4.1 Cerinţe operaţionale şi niveluri de servicii

4.1

4.2 Manual de proceduri pentru utilizatori

4.2

4.3 Manual de operaţiuni 4.4 4.4 Materiale pentru instruire 4.3, 4.4 AI5 Instalarea şi acreditarea sistemelor 5.1 Instructaj 7.1 5.2 Dimensionarea indicatorilor de performanţă a software-ului de aplicaţii

7.6, DS3.1

5.3 Planul de implementare 7.2, 7.3 5.4 Conversia sistemului 7.5 5.5 Conversia datelor 7.5 5.6 Strategii şi planuri de testare

7.2

5.7 Testarea schimbărilor 7.4, 7.6 5.8 Criterii şi indicatori de testare paralelă/pilot

7.6

5.9 Test final de acceptare 7.7 5.10 Testarea şi acreditarea securităţii

7.6

5.11 Test operaţional 7.6 5.12 Promovarea în producţie

7.8

5.13 Evaluarea îndeplinirii cerinţelor utilizatorilor

7.9

5.14 Analiza post-implementare realizată de managament

7.9

AI6 Managementul schimbărilor 6.1 Iniţierea şi controlul solicitărilor de schimbare

6.1, 6.4

6.2 Evaluarea impactului 6.2 6.3 Controlul schimbărilor 7.9 6.4 Schimbări de urgenţă 7.3 6.5 Documentaţie şi proceduri

6.5

6.6 Mentenanţă autorizată DS5.3 6.7 Politica de lansare a software-ului

7.9

6.8 Distribuirea software-ului 7.9

COBIT 3 COBIT 4.1 FS1 Definirea şi administrarea nivelurile de servicii 1.1 Cadrul SLA 1.1 1.2 Aspecte ale SLA-urilor 1.3 1.3 Proceduri de performanţă

1.1

1.4 Monitorizare şi raportare 1.5 1.5 Revizuirea contractelor şi SLA-urilor

1.6

1.6 Elemente care pot fi plătite/facturate

1.3

1.7 Programul de îmbunătăţire a serviciilor

1.6

FS2 Managementul serviciilor externe 2.1 Interfaţa cu furnizorii 2.1 2.2 Relaţii de proprietate 2.2 2.3 Contracte cu third-party AI5.2 2.4 Calificări pentru third-party

AI5.3

2.5 Contracte de externalizare

AI5.2

2.6 Asigurarea continuităţii serviciilor

2.3

COBIT 3 COBIT 4.1 2.7 Relaţii de securitate 2.3 2.8 Monitorizare 2.4 FS3 Managementul perfomanței și capacității. 3.1 Cerinţe leagate de disponibilitate şi indicatorii de performanţă

3.1

3.2 Planificarea disponibilităţii

3.4

3.3 Monitorizarea şi raportarea

3.5

3.4 Instrumente de modelare 3.1 3.5 Managementul proactiv al performanţei

3.3

3.6 Previzionarea sarcinilor de lucru

3.3

3.7 Managementul resurselor din punct de vedere al capacităţilor

3.2

3.8 Disponibilitatea resurselor

3.4

3.9 Programarea resurselor 3.4

COBIT 3 COBIT 4.1 FS4 Asigurarea continuității serviciilor 4.1 Schema generală de asigurare a continuităţii IT

4.1

4.2 Strategia şi filosofia planului de continuitate IT

4.1

4.3 Conţinutul planului de continuitate IT

4.2

4.4 Minimalizarea cerinţelor de asigurare a continuităţii IT

4.3

4.5 Mentenanţa planului de asigurare a continuităţii IT

4.4

4.6 Testarea planului de asigurare a continuităţii IT

4.5

4.7 Instructajul aferent planului de asigurare a continuităţii IT

4.6

4.8 Distribuirea planului de asigurare a continuităţii IT

4.7

4.9 Proceduri de back-up aferente proceselor alternative pe departament utilizator

4.8

4.10 Resurse IT critice 4.3

ANEXA V


COBIT 3 COBIT 4.1 4.11 Locaţie şi hardware de siguranţă

4.8

4.12 Stocare de siguranţă în altă locaţie

4.9

4.13 Proceduri de împachetare a echipamentelor

4.10

FS5 Asigurarea securității sistemelor 5.1 Managementul măsurilor de securitate

5.1

5.2 Identificare, autentificare şi accesare

5.3

5.3 Securitatea accesului on-line la date

5.3

5.4 Managementul conturilor utilizatorilor

5.4

5.5 Managementul analizei conturilor utilizatorilor

5.4

5.6 Controlul utilizatorilor asupra conturilor

5.4, 5.5

5.7 Supravegherea de securitate

5.5

5.8 Clasificarea datelor PO23 5.9 Managementul centralizat al identificării şi acordării drepturilor de acces

5.3

5.10 Rapoarte legate de securitate şi abateri

5.5

5.11 Gestiunea incidentelor 5.6 5.12 Reacreditare 5.1 5.13 Încrederea în contrapartidă

5.3, AC6

5.14 Autorizarea tranzacţiilor 5.3 5.15 Nerepudierea 5.11 5.16 Calea sigură 5.11 5.17 Protecţia funcţiilor de securitate

5.7

5.18 Gestiunea cheilor criptografice

5.8

5.19 Prevenirea, detectarea şi corectarea software-ului viral

5.9

5.20 Arhitectura firewall-ului şi conexiuni cu reţele publice

5.10

5.21 Protejarea valorilor electronice

13.4

FS6 Identificarea şi repartizarea costuri 6.1 Elemente cu costuri asociate

6.1

6.2 Proceduri legate de costuri

6.3

6.3 Facturarea utilizatorilor şi proceduri legate de costuri inverse

6.2, 6.4

FS7 Educarea şi instruirea utilizatorilor 7.1 Identificarea nevoilor de instruire

7.1

7.2 Organizarea instructajului

7.2

7.3 Instructaj privind probleme şi principii de securitate

PO7.4

COBIT 3 COBIT 4.1 FS8 Asistarea şi consilierea cliențilori 8.1 Help-desk 8.1, 8.5 8.2 Înregistrarea solicitărilor clienţilor

8.2, 8.3, 8.4

8.3 Prioritizarea solicitărilor clienţilor

8.3

8.4 Monitorizarea rezolvărilor

10.3

8.5 Raportare şi analize de trend

10.1

FS9 Managementul configuraţiilor 9.1 Înregistrarea configurărilor

9.1

9.2 Structura de bază a configurărilor

9.1

9.3 Evaluarea/ Dare de seamă situaţiei curente

9.3

9.4 Controlul configuraţiilor 9.3 9.5 Software-ul neautorizat 9.3 9.6 Depozitarea software-ului

AI3.4

9.7 Proceduri de manage-ment a configuraţiilor

9.2

9.8 Răspunderi legate de software

9.1, 9.2

FS10 Managemetnul problemelor şi incidentelor 10.1 Sistem de gestiune a problemelor

10.1, 10.2, 10.3, 10.4

10.2 Prioritizarea problemelor

10.2

10.3 Urmărirea problemelor şi căi de auditare

8.2, 10.2

10.4 Autorizaţii de acces temporar şi de urgenţă

5.4, 12.3, AI6.3

10.5 Prorităţi de procesare în caz de urgenţă

10.1, 8.3

FS11 Managementul datele 11.1 Proceduri de pregătirea a datelor

AC1

11.2 Proceduri de autorizare a documentelor sursă

AC1

11.3 Colectarea datelor din documentele sursă

AC1

11.4 Gestionarea erorilor din documentul sursă

AC1

11.5 Păstrarea documentelor sursă

DS11.2

11.6 Proceduri de autorizare a introducerii datelor

AC2

11.7 Verificarea acurateţii, totalităţii şi autorizării

AC3

11.8 Gestiunea erorilor lega-te de introducerea datelor

AC2, AC4

11.9 Integritatea procesărilor de date

AC4

11.10 Validarea şi editarea procesărilor de date

AC4

11.11 Gestiunea erorilor datelor procesate

AC4

11.12 Păstrarea şi gestiunea output-urilor

AC5, 11.2

11.12 Distribuţia output-ului AC5, AC6

COBIT 3 COBIT 4.1 11.14 Echilibrarea cantitativă a output-urilor şi rezolvarea neconcordanţelor

AC5

11.15 Analiza şi gestionarea erorilor în cazul output-ului

AC5

11.16 Măsuri de securitate pentru raporturile legate de output

11.6

11.17 Protecţia informaţiilor cu acces restricţionat în timpul transmiterii şi transportului

AC6, 11.6

11.18 Măsuri de protecţie în cazul informaţiilor cu acces restricţionat eliminate

11.4, AC6

11.19 Managementul depozitelor de date

11.2

11.20 Perioade de păstrare şi condiţii de stocare

11.2

11.21 Sistem de gestiune a bibliotecilor media

11.3

11.22 Responsabilităţi legate de gestiunea bibliotecilor media

11.3

11.23 Backup-uri şi restaurare

11.5

11.24 Sarcini legate de backup-uri

11.4

11.25 Stocarea copiilor de siguranţă

4.9, 11.3

11.26 Arhivarea 11.2 11.27 Protecţia mesajelor cu acces restricţionat

11.6

11.28 Autentificare şi integritate

AC6

11.29 Integritatea tranzacţiilor electronice

5.11

11.30 Asigurarea continuităţii integrităţii datelor stocate

11.2

FS12 Managementul mediul fizic 12.1 Securitate fizică 12.1, 12.2 12.2 Se asigură că locaţia nu iese in evidenţă ca posibilă ţintă

12.1, 12.2

12.3 Escortarea vizitatorilor 12.3 12.4 Sănătatea şi siguranţa personalului

12.1, 12.5, ME3.1

12.5 Protecţie împotriva factorilor de mediu

12.4, 12.9

12.6 Sursă neîntreruptă de curent

12.5

FS13 Managementul operaţiunilor 13.1 Proceduri legate de operaţiunile de procesare şi manual de instrucţiuni

13.1

13.2 Documentarea proceselor de start şi a altor operaţiuni

13.1

13.3 Programarea sarcinilor 13.2 13.4 Abateri de la programarea standard a sarcinilor

13.3

13.5 Asigurarea continuităţii procesărilor

13.1

13.6 Jurnalizarea operaţiunilor

13.1

13.7 Formulare speciale de siguranţă şi echipamente de output

13.4

13.8 Operaţiuni la distanţă 5.11

COBIT 4.1


COBIT 3 COBIT 4.1 M1 Monitorizarea proceselor 1.1 Colectarea datelor de monitorizare

1.2

1.2 Evaluarea indicatorilor de performanţă

1.4

1.3 Evaluarea satisfacţiei clienţilor

1.2

1.4 Raportari către management

1.5

M2 Evaluarea gradului de suficienţă a controlul intern 2.1 Monitorizarea controalelor interne

2.2

2.2 Operarea la timp a controalelor interne

2.1

2.3 Raportarea nivelului controalelor interne

2.2, 2.3

2.4 Asigurarea securităţii operaţionale şi a controalelor interne

2.4

COBIT 3 COBIT 4.1 M3 Obţinerea evaluării externe asupra conformităţii 3.1 Certificarea/Acreditarea independentă a securităţii şi a controalelor interne a serviciilor IT

2.5, 4.7

3.2 Certificarea/Acreditarea independentă a securităţii şi a controalelor interne a furnizorilor externi de servicii

2.5, 4.7

3.3 Evaluarea independentă a efectivităţii serviciilor IT

2.5, 4.7

3.4 Evaluarea independentă a efectivităţii furnizorilor externi de servicii

2.5, 4.7

3.5 Evaluarea independentă a conformităţii cu legislaţia, reglementări sau angajamente contractuale.

2.5, 4.7

COBIT 3 COBIT 4.1 3.6 Evaluarea independentă a conformităţii furnizorilor externi cu legislaţia, reglementări sau angajamente contractuale

2.5, 2.6, 4.7

3.7 Competenţe legate de funcţia de asigurare independentă a conformităţii

2.5, 4.7

3.8 Implicarea proactivă în audit

2.5, 4.7

M4 Oferă un audit independent 4.1 Carta de audit 2.5, 4.7 4.2 Independenţa 2.5, 4.7 4.3 Etica şi standarde profesionale

2.5, 4.7

4.4 Competenţa 2.5, 4.7 4.5 Planificarea 2.5, 4.7 4.6 Indicatori de perfor-manţă a activităţii de audit

2.5, 4.7

4.7 Raportarea 2.5, 4.7 4.8 Activităţi ulterioare 2.5, 4.7

ANEXA V


Comparație între CobiT 4.1 și CobiT ediția a 3-a COBIT 4.1 COBIT 3 PO1 Definirea unui plan strategic IT. 1.1 Managementul valorii IT 5.3 1.2 Alinierea cerinţelor economice cu IT-ul

Nou

1.3 Evaluarea capabilităţii şi performanţei curente

1.7, 1.8

1.4 Planul Strategic IT 1.1, 1.2, 1.3, 1.4,

1.6, AI1.2, AI1.3

1.5 5 Planurile tactice IT 1.5 1.6 Managementul portofoliului IT

nou

PO2 Definirea arhitecturii informaţionale 2.1 1 Modelul arhitecturii informaţionale a întreprinderii

2.1

2. Dicţionarul de date al întreprinderii şi regulile de sintaxă a datelor

2.2

2.3 Schema de clasificare a datelor

2.3, 2.4, DS5.8

2.4 Managementul integrităţii

nou

PO3 Determinarea direcţiei tehnologice 3.1 Planificarea direcţiei tehnologice

3.1, 3.3, 3.4

3.2 Planul infrastructurii tehnologice

nou

3.3 Monitorizarea tendinţelor viitoare şi a reglementărilor

3.2

3.4 Standarde tehnologice 3.5 3.5 5 Forumul/comitetul/consiliul arhitecturii IT

3.5

PO4 Definirea proceselor IT, a funcției şi a relaţiilor 4.1 Cadrul de referinţă al proceselor IT

nou

4.2 Comitetul responsabil cu strategia IT

nou

4.3 Comitetul director IT 4.1 4.4 Poziţionarea organizatională a funcţiei IT

4.2

4.5 Structura organizatorică a IT

4.3

4.6 6 Stabilirea rolurilor şi responsabilităţilor

4.4, 4.12

4.7 Responsabilitatea pentru asigurarea calităţii în IT

4.5

4. Responsabilitatea pentru risc, securitate şi conformitate

4.6

4.9 Responsabilitatea cu privire la date şi sistem

4.7, 4.8

4.10 Supervizarea 4.9 4.11 Separarea funcţiilor de serviciu

4.10

COBIT 4.1 COBIT 3 4.12 Personalul IT 4.11 4.13 Personalul IT critic 4.13 4.14 Politicile şi procedurile personalului contractual

4.14

4.15 Relaţiile 4.15 PO5 Managementul investiţiilor IT 5.1 Cadrul de referinţă pentru managementul financiar

nou

5.2 Stabilirea priorităţilor în cadrul bugetului IT

nou

5.3 Bugetarea IT 5.1, 5.3 5.4 Managementul costurilor 5.2, 5.3 5.5 Managementul beneficiilor

5.3

PO6 Comunicarea intenţiilor şi obiectivelor conducerii 6.1 Politica IT si mediul controlui

6.1

6.2 Riscul IT si cadrul de referinţă al controlului

6.8

6.3 Managementul politicilor IT

6.2, 6.3, 6.5, 6.6, 6.7, 6.9,

6.10, 6.11 6.4 Iniţierea politicii, standardelor şi procedurilor

6.2, 6.3, 6.4, 6.5, 6.6, 6.7,

6.9, 6.10, 6.11

6.5 Comunicarea obiectivelor şi intenţiilor IT

6.2, 6.3, 6.5, 6.6, 6.7, 6.9,

6.10, 6.11 PO7 Managementul resurselor umane în IT 7.1 Recrutarea şi retenţia personalului

7.1

7.2 Competenţele personalului

7.2

7.3 Acoperirea rolurilor din punct de vedere al personalului

nou

7.4 Instruirea personalului 7.3, DS7.3 7.5 Dependenţa de individualităţi

7.4

7.6 Proceduri pentru autorizarea personalului

7.5

7.7 Evaluarea performanţelor angajaţilor

7.6

7.8 Schimbarea locului de muncă şi rezilierea contractului de muncă

7.7, 7.8

PO8 Managementul calității 8.1 Sistemul de Management al Calităţii

11.2, 11.3, 11.4

COBIT 4.1 COBIT 3 8.2 Standarde şi practici de calitate IT

11.5, 11.6, 11.7, 11.8,

11.9, 11.10, 11.16, 11.17, 11.19

8.3 Standarde de dezvoltare şi achiziţie

11.5, 11.6, 1.7

8.4 Orientare spre client nou 8.5 Imbunătăţire continuă nou 8.6 Măsurarea, monitorizarea şi revizuirea calităţii

11.18

PO9 Estimare şi managementul riscurilor IT 9.1 Cadrul de referinţă pentru managementul riscurilor IT

9.1, 9.4, 9.8

9.2 Stabilirea contextului riscului

9.1, 9.4

9.3 Identificarea evenimentului

9.3, 9.4

9.4 Estimarea riscurilor 9.1, 9.2, 9.4

9.5 Reacția față de risc 9.5, 9.6, 9.7

9.6 6 Întreţinerea şi monitorizarea unui plan de acţiune împotriva riscului

Nou

PO10 Administrarea proiectelor 10.1 Cadrul de referinţă pentru managementul programelor

nou

10.2 Cadrul de referinţă pentru managementul proiectelor

10.1

10.3 Abordarea managementului proiectelor

nou

10.4 Implicarea beneficiarilor 10.2 10.5 Stabilirea scopului proiectului

10.4

10.6 Iniţierea fazelor proiectului

10.5, 10.6

10.7 Planul integrat al proiectului

10.7

10.8 Resursele proiectului 10.3 10.9 Managementul riscurilor proiectului

10.10

10.10 Planul calităţii proiectului

10.8

10.11 Controlul schimbărilor în cadrul proiectului

nou

10. Metode de planificare a asigurării

10.9

10.13 Monitorizarea, raportarea şi indicatorii de performanţă ai proiectului

nou

10. Finalizarea proiectului 10.13 (parţial)

COBIT 4.1


COBIT 4.1 COBIT 3 AI1 Identificarea soluțiilor automate 1.1 Definirea şi întreţinerea cerinţelor funcţionale economice și a cerinţelor tehnice

1.1, 1.9, 1.10,

1.11, 1.12

1.2 Raportul analizei de risc 1.8, 1.9, 1.10

1.3 Studiul de fezabilitate şi formularea de direcții alternative de acţiune

1.3, 1.7, 1.12

1.4 Decizia şi aprobarea cerinţelor şi a studiului de fezabilitate

nou

AI2 Achiziția și întreținerea aplicațiilor software 2.1 Proiectarea de nivel înalt 2.1, 2.2 2.2 Proiectarea detaliată 2.2, 2.4,

2.5, 2.6, 2.7, 2.8,

2.9, 2.10, 2.11, 2.13,

2.17 2.3 Controlul şi auditabilitatea aplicaţiilor

2.12, 2.14

2.4 Securitatea şi disponibilitatea aplicaţiilor

2.12

2.5 Configurarea şi implementarea aplicaţiilor software achiziţionate

nou

2.6 Actualizări majore ale sistemelor existente

2.2

2.7 Dezvoltarea aplicaţiilor software

nou

2.8 Asigurarea calităţii software

2.15

2. Managementul cerinţelor aplicaţiilor

nou

COBIT 4.1 COBIT 3 2.10 Întreţinerea aplicaţiilor software

nou

AI3 Achiziția și întreținerea infrastructurii ehnologice 3.1 Planul de achiziţie a infrastructurii tehnologice

PO3.4, 1.18, 3.1, 3.3, 3.4

3.2 Protecţia şi disponibilitatea resurselor infrastructurii

1.18, 3.1, 3.3, 3.4,

3.7 3.3 Întreţinerea infrastructurii 1.18, 3.1,

3.3, 3.4, 3.5, 3.7

3.4 Mediul de testare a fezabilităţii

nou

AI4 Autorizarea operării și utilizării 4.1 Planificarea soluţiilor operaționale

4.1

4.2 Transferul cunoştinţelor către managementul afacerii

PO11.11, 4.2

4.3 Transferul cunoştinţelor către utilizatorii finali

PO11.11, 2.16, 4.4

4.4 Transferul cunoştinţelor către personalul care operează şi oferă suport

PO11.11, 2.16, 4.3,

4.4 AI5 Procurarea resurselor 5.1 Controlul achiziţiilor 1.2, 1.3,

1.4, 1.13, 1.14

5.2 Managementul contractelor cu furnizorii

DS2.3, DS2.5

5.3 Selectarea furnizorilor 1.4, DS2.4 5.4 Achiziţia resurselor IT 1.15, 1.16,

1.17, 1.18 AI6 Managementul schimbărilor 6.1 Standarde şi proceduri pentru schimbarei

3.6, 6.1

COBIT 4.1 COBIT 3 6.2 Evaluarea impactului, stabilirea priorităţilor si autorizarea

6.2

6.3 Schimbările urgente DS10.4, 6.4

6.4 Urmărirea şi raportarea stării schimbării

6.1

6. Finalizarea schimbării şi documentarea

6.5

AI7 Instalarea şi acreditarea soluţiilor şi schimbărilor 7.1 Instruire Po10.11,

PO10.12, 5.1

7.2 Planul de testare PO10.11, PO11.12,PO11.13, PO11.14, PO11.15, 5.3, 5.6

7.3 Planul de implementare 3.6, 5.3 7.4 Mediul de test PO11.12,

PO11.13, PO11.14, PO11.15, 2.15, 5.7

7.5 Conversia sistemului şi a datelor

5.4, 5.5

7.6 Testarea schimbărilor 5.2, 5.7, 5.8, 5.10,

5.11 7.7 Testul de acceptare 5.9 7.8 Promovarea în producţie 5.12 7.9 Revizia post-implementare

5.13, 5.14

COBIT 4.1 COBIT 3 FS1 Definirea şi administrarea nivelurilor serviciilor 1.1 Cadrul de referință pentru Managementul Nivelului Serviciilor

1.1, 1.3

1.2 Definirea serviciilor nou 1.3 Acorduri privind nivelurile serviciilor

1.2, 1.6

1.4 Acordurile Operaţionale pentru nivelul serviciilor

nou

1.5 Monitorizarea si raportarea privind realizarea nivelului serviciului

1.4

1.6 Revizia contractelor şi a acordurilor privind nivelul serviciilor

1.5, 1.7

FS2 Managementul serviciilor de la terți 2. Identificarea relațiilor cu toți furnizorii

2.1

2.2 Managementul relaţiilor cu furnizorii

2.2

2.3 Managementul riscului asociat furnizorilor

PO11.10, 2.6, 2.7

2.4 Monitorizarea performanţei furnizorului

2.8

COBIT 4.1 COBIT 3 FS3 Managementul performanței și capacității 3.1 Planificarea performanţei şi capacităţii

AI5.2, 3.1, 3.4

3.2 Performanţa şi capacitatea actuală

3.7

3.3 Performanţa şi capacitatea viitoare

3.5, 3.6

3.4 Disponibilitatea resurselor IT

3.2, 3.8, 3.9

3.5 Monitorizare şi raportare 3.3 FS4 Asigurarea continuității serviciilor 4.1 Cadrul de referință pentru continuitatea IT

4.1, 4.2

4.2 Planuri de continuitate IT 4.3 4.3 Resurse IT critice 4.4, 4.10 4.4 Întreţinerea planului de continuitate IT

4.5

4.5 Testarea planului de continuitate IT

4.6

4.6 Instruirea privind planul de continuitate IT

4.7

4.7 Distribuirea planului de continuitate IT

4.8

COBIT 4.1 COBIT 3 4.8 Recuperarea şi reluarea serviciilor IT

4.9, 4.11

4.9 Stocarea externă a copiilor de siguranță

4.12, 11.25

4.10 Revizia post-reluare 4.13 FS5 Asigurarea securităţii sistemului. 5.1 Managementul securităţii IT

5.1, 5.12

5.2 Planul de securitate IT nou 5.3 Managementul identității 5.2, 5.3,

5.9, 5.14, AI6.6

5.4 Managementul conturilor utilizatorilor

5.4, 5.5, 5.6, 5.13,

10.4 5.5 Testarea securităţii, inspecţia şi monitorizarea

5.6, 5.7, 5.10

5.6 Definirea incidentelor de securitate

5.11

5.7 Protecţia tehnologiei de securitate

5.17

5.8 Managementul cheilor criptografice

5.18

ANEXA V


COBIT 4.1 COBIT 3 5.9 Prevenirea, detectarea şi corectarea software-ului viral

5.19

5.10 Securitatea reţelei 5.20 5.11 Schimbul de date cu sensibil

5.15, 5.16, 11.29, 13.8

FS6 Identificarea şi alocarea costurilor 6.1 Definirea serviciilor 6.1 6.2 Contabilitatea IT 6.3 6.3 Modelarea costurilor şi taxarea

6.2

6.4 Mentenanţa modelului costurilor

6.3

FS7 Educarea şi instruirea utilizatorilor 7.1 Identificarea nevoilor de educare şi instruire

7.1

7. Realizarea sesiunilor de instruire şi educare

7.2

7.3 Evaluarea instruirii primite

nou

FS8 Managementul Service Desk-ului/biroului de servicii şi a incidentelor 8.1 Service desk 8.1 8.2 Înregistrarea solicitărilor clienţilor

8.2, 10.3

8.3 Înregistrarea incidentelor 8.2, 8.3, 10.5

8.4 Închiderea incidentelor 8.2

COBIT 4.1 COBIT 3 8.5 Raportare şi analiza tendințelor

8.1

FS9 Managementul configuraţiei 9.1 Depozitul configuraţiei şi liniile de bază

9.1, 9.2, 9.8

9.2 Identificarea şi întreținerea articolelor de configurt

9.7, 9.8

9.3 Revizia integrităţii configuraţiei

9.3, 9.4, 9.5

FS10 Managementul problemelor 10.1 Identificarea şi clasificarea problemelor

8.5, 10.1, 10.5

10.2 Urmărirea şi rezolvarea problemelor

Nou

10.3 Închiderea problemei 8.4, 10.1 10.4 Integrarea Managementului configuraţiei, incidentelor şi al problemelor

Nou, 10.1

FS11 Managementul datelor 11.1 Cerinţele afacerii pentru managementul datelor

Nou

11.2 Aranjamente privind depozitarea şi păstrarea

11.12, 11.19, 11.20, 11.26, 11.30

COBIT 4.1 COBIT 3 11.3 Sistemul de management al bibliotecii media

11.21, 11.22, 11.25

11.4 Eliminarea 11.18, 11.24

11.5 Copie de siguranţă şi restaurare

AI2.14, 11.23

11.6 Cerinţe de securitate pentru managementul datelor

11.16, 11.17, 11.27

FS12 Managementul mediului fizic 12.1 Selectarea și proiectarea amplasament

12.1, 12.2, 12.4

12.2 Măsuri de securitate fizică

12.1, 12.2

12.3 Accesul fizic 10.4, 12.3 12.4 Protecţie împotriva factorilor de mediu

12.5

12. Managementul facilităţilor fizice

12.4, 12.6, 12.9

FS13 Managementul operațiunilor 13.1 1 Proceduri și instrucțiuni operaționale

13.1, 13.2, 13.5, 13.6

13.2 Planificarea muncii 13.3, 13.4 13.3 Monitorizarea infrastructurii IT

Nou

13.4 Documente sensibile şi dispozitive de ieşire

5.21, 13.7

13.5 Întreţinere preventivă pentru componentele hardware

AI3.2

COBIT 4.1 COBIT 3 ME1 Monitorizarea şi evaluarea performanţei IT 1.1 Abordarea monitorizării 1.0* 1.2 Definirea şi colectarea datelor de monitorizare

1.1, 1.3

1.3 Metoda de monitorizare nou 1.4 Evaluarea performanţelor

1.2

1.5 Raportarea la nivelul Comitetelor și la nivel executiv

1.4

1.6 Acţiuni de remediere nou ME2 Monitorizarea și evaluarea controlului intern 2.1 Monitorizarea cadrului general al controlului intern

2.0*, 2.2

2.2 Revizia de supraveghere 2.1, 2.3 2.3 Excepţii de la control nou

COBIT 4.1 COBIT 3 2.4 Autoevaluarea controlului

2.4

2.5 Asigurarea controlului intern

nou

2.6 Control intern la terţi 3.6 2.7 Acţiuni de remediere nou ME3 Asigurarea conformității cu cerințele externe 3.1 Identificarea cerințelor de conformitate externă, legală, contractuală sau de reglementare

PO8.1, PO8.3, PO8.4, PO8.5, PO8.6, DS12.4

3.2 Optimizarea răspunsului la cerințele externe

PO8.2

3.3 Evaluarea conformității cu cerințele externe

nou

COBIT 4.1 COBIT 3 3.4 Asigurarea pozitivă a conformității

Nou

3.5 Raportare integrată Nou ME4 Furnizarea guvernării IT 4.1 Stabilirea cadrului de guvernare IT

Nou

4.2 Aliniere strategică Nou 4.3 Furnizarea valorii Nou 4.4 Managementul resurselor

Nou

4.5 Managementul riscului Nou 4.6 Masurători de performană

Nou

4.7 Asigurare independentă nou

* ME1.0 şi ME2.0 au fost introduse în ediţia Control Practices publicată de ITGI în 2004

COBIT 4.1


ANEXA VI ABORDAREA CERCETĂRII-DEZVOLTĂRII

Dezvoltarea cadrului de referință COBIT este supervizată de către Comitetul Director COBIT/COBIT Steering Committee, format din reprezentanţi internaţionali din industrie, educaţie, guvern, precum şi profesionişti ai guvernării, asigurării, controlului şi securităţii IT. Au fost stabilite grupuri de lucru internaţionale cu scopul de a asigura calitatatea şi a revizuirea cercetărilor intermediare ale proiectului de către experţi. Coordonarea generală a proiectului este realizată de către ITGI.

EDIŢIILE COBIT ANTERIOARE

Începând cu cadrul de referință COBIT definit în prima ediţie, aplicarea standardelor internaţionale, a liniilor directoare şi a cercetării bunelor practici a dus la dezvoltarea obiectivelor de control. Apoi au fost dezvoltate liniile directoare pentru audit, cu scopul de a evalua dacă aceste obiective de control sunt implementate corespunzător. Cercetarea din prima şi a doua ediţie a inclus colectarea şi analizarea surselor internaţionale identificate, şi a fost realizată de echipe din Europa (Universitatea Liberă din Amsterdam/Free University of Amsterdam), Statele Unite (Universitatea Politehnică din California/California Polytechnic University) şi Australia (Universitatea din New South Wales). Cercetătorii au fost însărcinaţi cu compilarea, revizuirea, evaluarea şi, după caz, încorporarea standardelor tehnice internaţionale, a codurilor de conduită, a standardelor de calitate, a standardelor profesionale de audit, şi a cerinţelor şi practicilor industriale, în funcţie de cum se legau de schema şi de obiectivele de control individuale. După colectare şi analizare, cercetătorii au avut de examinat în amănunt fiecare domeniu şi proces, si au avut de propus obiective de control noi sau modificate, aplicabile respectivului proces IT. Unificarea rezultatelor a fost realizată de către Comitetul Director COBIT.

Ediția COBIT 3 a constat în dezvoltarea liniilor directoare pentru management şi actualizarea COBIT 2 pe baza unor referinţe internaţionale, noi sau revizuite. Mai mult, carul de referință COBIT a fost revizuit şi îmbunătăţit pentru a gestiona controlul managerial crescut, introducerea managementului performanţei şi pentru dezvoltarea în continuare a guvernării IT. Ghidurile pentru management includ modele de maturitate, factori critici de succes, KGI-uri şi KPI-uri legate de obiectivele controlului, astfel încât managementul să aibă la dispoziţie o aplicabilitate a cadrului de referință pentru a evalua şi a decide implementarea controalelor şi/sau îmbunătăţirile aduse informaţiilor şi tehnologiilor legate de acestea, precum şi pentru a măsura eficienţa. Ghidurile pentru pentru management au fost dezvoltate utilizând o echipa internaţională de 40 de experţi din educaţie, sectorul guvernamental, precum şi profesionişti ai guvernării, asigurării, controlului şi securităţii IT. Aceşti experţi au participat la un workshop sub îndrumarea profesioniştilor şi bazându-se pe îndrumări de dezvoltare definite de Comitetul Director. Workshop-ul a fost susţinut puternic de către Gartner Group şi PricewaterhouseCoopers, care nu doar au furnizat consultanţă pe leadership, dar au trimis şi câţiva experţi proprii pe teme de control, managementul performaţei şi securitatea informaţiilor. Rezultatele worshop-ului s-au concretizat în draft-urile modelelor de maturitate, CSF-uri, KGI-uri şi KPI-uri pentru fiecare din cele 34 de descrieri ale proceselor din COBIT. Asigurarea calităţii în cazul primelor materiale a fost asigurată de Comitetul Director, iar rezultatele au fost postate spre consultare pe site-ul ISACA. Documentul conţinând liniile directoare pentru management au oferit un noi set de instrumente orientate către management, asigurând, în acelaşi timp, integrare şi compatibilitate cu schema COBIT.

Actualizarea obiectivelor controlului în ediţia a 3-a COBIT, bazată pe referinţe internaţionale noi şi revizuite, a fost relizată de membrii birourilor ISACA, sub îndrumarea membrilor Comitetului Director COBIT. Intenţia nu era realizarea unei analize globale a tuturor materialelor sau o redezvoltare a obiectivelor controlului, ci asigurarea unui proces de actualizare incremental. Rezultatele dezvoltării ghidurilor pentru management erau folosite atunci pentru a revizui schema COBIT, în special consideraţiile generale, scopurile şi declaraţiile autorizate ale descrierilor de procese. Ediţia a 3-a COBIT a fost publicată în iulie 2000.

ULTIMA ACTUALIZARE A ACTIVITĂȚII PROIECTULUI

În efortul său de a îmbunătăţi continuu pachetul de cunoştinţe COBIT, Comitetului Director COBIT a iniţiat în ultimii doi ani cercetarea în mai multe aspecte detaliate ale COBIT. Aceste proiecte de cercetare focalizată se adresau componentelor obiectivelor controlului şi ghidurilor pentrumanagement. Câteva domenii specifice care au fost abordate urmează a fi prezentate.

Cercetarea obiectivelor controlului

• Alinierea de jos în sus a guvernării IT cu COBIT • Alinierea de sus în jos a guvernării IT cu COBIT • COBIT şi alte standarde detaliate – Mapare detaliată între COBIT şi ITIL, CMM, COSO, PMBOK, Standarde de bune practici

pentru securitatea informaţiilor ale ISF şi ISO 27000 pentru a permite armonizarea cu standardele lingvistice, cu definiţiile şi conceptele respective.

ANEXA VI


Cercetarea privind ghidurile manageriale

• Analiza relaţiei cauzale KGI-KPI • Revizuirea calităţii KGI-urilor/KPI-urilor/CSF-urilor – bazat pe analiza relaţiei cauzale KPI/KGI, împărirea CSF-urilor în „ceea

ce ai nevoie de la alţii”şi „ceea ce e nevoie să faci singur” • Analiza detaliată a conceptelor dimensionării – dezvoltarea detaliată cu experţi în dimensionare pentru a evidenţia conceptele

dimensionării, a construi o cascadă de dimensionări ale „afacerilor IT de proces” şi pentru a defini criterii de calitate pentru dimensionare.

• Conexiuni între ţelurile afacerilor, cele ale IT-ului şi procese IT – Cercetare amănunţită în 8 industrii diferite rezultând o privire detaliată a modului în care procesele COBIT sprijină atingerea ţelurilor IT specifice şi prin extensie a ţelurilor afacerilor; rezultatele sunt apoi generalizate

• Revizuirea conţinutului modelului de maturitate – Coerenţă asigurată şi calitate a nivelelor de maturitate între şi în cadrul proceselor, incluzând definiţii mai bune ale atributelor modelului de maturitate

Toate aceste proiecte au fost iniţiate şi supervizate de Comitetul Director COBIT, în timp ce gestionarea activităţilor de zi cu zi şi a celor ce au urmat au fost executate de o echipă de bază COBIT, mai mică. Execuţia majorităţii proiectelor de cercetare menţionate mai sus s-a bazat foarte mult pe expertiza şi pe echipa voluntară a membrilor ISACA, utilizatorilor COBIT, consilierilor experţi şi mediului academic. Grupuri de dezvoltare locale au fost stabilite în Bruxelles (Belgia), Londra (Anglia), Chicago (Illinois, SUA), Canberra (capitala Australiei), Cape Town (Africa de Sud), Washington (DC, SUA) şi Copenhaga (Danemarca), în care de la 5 la 10 utilizatori COBIT se adunau în medie de 2 sau 3 ori pe an pentru a lucra la o anumită cercetare sau sarcini de revizuire trasate de echipa de bază COBIT. În plus, unele proiecte de cercetare specifice erau delagate şcolilor de afaceri cum ar fi Universitatea din Antwerp – Şcoala de Management şi Universitatea din Hawaii.

Rezultatele acestor eforturi de cercetare, împreună cu feedback-ul oferit de utilizatorii COBIT de-a lungul anilor şi problemele observate în urma dezvoltării noilor produse cum are fi practicile de control, au fost incluse în proiectul principal COBIT pentru a actualiza şi îmbunătăţi obiectivele de control COBIT, liniile directoare manageriale şi structura. Două laboratoare mari de dezvoltare, fiecare implicând mai mult de 40 de experţi în guvernare IT, management şi control (manageri, consultanţi, profesori şi auditori) din toată lumea, au fost reţinute pentru a revizui şi actualiza în întregime obiectivele controlului şi conţinutul ghidurilor manageriale. După aceea, grupuri mai mici au lucrat la rafinarea sau finalizarea rezultatelor semnificative produse de aceste două evenimente majore.

Ultima schiţă a fost obiectul unui proces deschis de revizuire cu aproximativ 100 de participanţi. Comentariile extinse primite au fost analizate de către Comitetul Director COBIT într-un seminar final de revizuire.

Rezultatele acestor seminarii au fost procesate de Comitetul Director COBIT, de echipa de bază COBIT şi ITGI pentru a crea noul material COBIT disponibil în acest volum. Existenţa COBIT online înseamnă că există astăzi tehnologia necesară pentru a menţine la zi mai uşor conţinutul de bază COBIT şi această resursă va fi folosită ca depozit principal de date COBIT. Va fi menţinut prin feedback de la grupul de utilizatori şi prin revizuiri periodice ale zonelor de conţinut specific. Publicaţii periodice (pe hârtie şi electronice) vor fi realizate pentru a sprijini referinţele offline la conţinutul COBIT.

COBIT 4.1


ANEXA VII— GLOSAR DE TERMENI

Controlul accesului — Procesul prin care se limitează și se controlează accesul la resursele unui sistem informatic; un control logic sau fizic proiectat cu scopul de a oferi protecți împotriva accesului sau utilizării neautorizate.

Responsabil— Într-o matrice ÎRCI, se referă la persoana sau grupul ce are autoritatea de a aproba sau accepta executarea unei activități.

Activitate — Principala acțiune întreprinsă pentru a opera un proces COBIT.

Aplicație program — Un program ce procesează datele ale organizației cu ajutorul unor activități cum ar fi: introducerea datelor, actualizarea sau interogarea. Este în contrast, programele sistem, cum sînt sistemele de operare sau programele pentru controlul rețelei și cu programele utilitare, cum ar fi cele de copiere sau sortare.

Carta auditului — un document aprobat de conducere ce definșete scopul, autoritatea și responsbailitățile activității de audit intern

Autentificare — Acțiunea de verificare a identității unei entități a sistemului (utilizator, sistem, nod de rețea) și eligibilitatea acesteia de a accesa informații. Este proiectată cu scopul de a oferi protecție împotriva activităților frauduloase dar se poate referi și la verificarea corectitudinii unor date..

Control automatizat la nivel de aplicație — un set de controale încapsulate în aplicațiile informatice

Fișe de scor echilibrate — un set coerent de măsurători ale perfomanței organizat în patru categorii. Include indicatorii financiari tradiționali dar adaugă și clientul, procesul economic și perspectivele de creștere și învățare. A fost dezvoltat de Robert S. Kaplan și David P . Norton în 1992.

Analiza comparativă/Benchmarking — O abordare sistematică prin care se compară perfomanța organizației cu perfomanța unor organizații indentice sau cu perfomanța competitorilor in efortul de a conduce afacerea cît mai bine cu putință (ex. Compaarea calității, a eficienței logistice)

Bună practică — O activitate sau un proces dovedit de mai multe organizații ca fiind de succes

Proces economic — Vezi Proces

Capabilitate — A deține atributele necesare pentru a realiza sau a îndeplini

Capability Maturity Model (CMM) —CMM pentru Software, de la Software Engineering Institute (SEI). Un model A model folosit de multe organizații pentru a identifica cele mai bune practici ce pot fi de ajutor în evaluarea și îmbunătățirea maturității procesului de dezvoltare software.

CEO — (Chief executive office) Director general, persoana cu cel mai înalt rang din organizație

CFO — (Chief financial officer) Director financiar/economic, persoana principală responsabilă de managementul riscurilor financiare din organizație.

CIO — (Chief information officer) Director IT, persoana responsabilă de conducerea grupului IT în cadrul organizației. În unele cazuri acest rol a fost extins și a devenit Chief knowledge officer (CKO) ce se ocupă de cunoaștere nu doar de informații.

CTO — (Chief technology officer) Responsabil cu tehnologia, se concentrează pe aspectele tehnice din organizație. De multe ori este văzut ca sinonim cu CIO

Element de configurare (EC) - componentă a unei infrastructuri sau un element, cum ar fi o cerere de schimbare, asociată unei infrastructuri, care este (sau ar trebui să fie) sub controlul managementului configuraţiei. EC pot varia foarte mult în complexitatea, mărimea şi tip, de la un întreg sistem (inclusiv toate componentele hardware, software şi documentaţiela un singur modul o componentă hardware minoră.

Managementul configuraţiei - controlul schimărilor asupra unui set de elemente de configurare pe tot ciclul de viață al sistemului

Consultat - Într-o diagramă ÎRCI, se referă la acele persoane ale căror opinii despre o activitate sunt luate în considerare (comunicare în dublu sens)

Continuitate - Prevenirea, atenuarea şi recuperarea în urma uei întreruperi. Termenii "palnificarea reluări afacerii", "recuperare în caz de dezastre "şi " planuri de urgență" pot fi utilizate de asemenea în acest context; toate acestea se concentrează asupra aspectelor legate de recuperarea..

Cadru de referinţă pentru control - un set de controale fundamentale, care facilitează descărcarea de resposabilități a unui responsabil al unui proces economic cu scopul de pierederile financiare sau de informații.

Obiectivul controlului - o declaraţie cu privire la rezultatul dorit sau scopul ce ar trebui atins prin aplicarea procedurilor de control într-un anumit proces

Practică/ mecanism de control – control principal ce sprijină realizarea obiectivelor controlului prin utilizarea responsabilă a resurselor, gestionarea corespunzătoare a riscurilor şi alinierea IT cu mediul de afaceri

ANEXA VII


COSO – Committe of Sponsoring Organisations of the Treadway Commission. Din 1992 raportul său Internal Control – Integrated Framework a devenit un standard pentru guvernarea întreprdnerilor, acceptat la nivel internaţional. A se vedea www.coso.org.

FCS - Factor critic de succes; cele mai importante aspecte sau acţiuni pentru management cu scopul de a realiza controlul asupra şi în cadrul proceselor IT

Tabloul de bord - Un instrument pentru stabilirea aşteptărilor pentru o organizaţie, la fiecare nivel de responsabilitate şi monitorizarea continuă a performanţelor în raport cu obiectivele stabilite.

Schema de clasificare a datelor - O schemă de clasificare a datelor la nivelul organizației, schemă ce ia în calcul factori, cum ar fi nivelul de importanță, sensibilitatea şi responsabilitatea.

Dictionarul datelor - o bază de date care conţine numele, tipul, intervalul de valori, sursa şi autorizarea de acces pentru fiecare element dintr-o bază de date. Acesta indică, de asemenea ce programe utilizează aceste date, astfel încât atunci când o structură de date este avută în vedere, poate fi generată o listă a programelor afectate. Dicţionarul de date poate fi un sistem de informare de sine stătător utilizat pentru management sau în scopul documentării, sau poate controla exploatarea unei baze de date.

Responsabilii datelor - persoane fizice, în mod normal, manageri sau directori, care au responsabilitatea asupra integrității, raportării corecte şi utilizării datelor în format electronic.

Control detectiv - Un control care se utilizează pentru a identifica evenimente (nedorite sau dorite), erori şi alte evenimente pe care o întreprindere le-a ida avînd un efect semnificativ asupra unui proces sau a unui produs final.

Domeniu – În cadrul COBIT, gruparea obiectivelor de control în etape logice în ciclul de viaţă al investițiilor IT, care implică IT (Planificare și Organizare, Achiziție și Implementare, Furnizare și Suport, Monitorizare și Evaluare)

Intreprindere - un grup de persoane care lucrează împreună pentru un scop comun, de obicei, în contextul unei forme de organizare cum ar fi o firmă, agenţie publică, sau un trust de caritate

Arhitectura întreprinderii - Descrierea modelului de bază, fundamental, al componentelor sistemului organizației, sau a unui element al sistemului organizației (de exemplu, tehnologia), relaţiile dintre acestea şi modul în care acestea sprijină obiectivele organizaţiei

Arhitectura întreprinderii pentru IT - Descrierea modelului de bază, fundamental, al componentelor IT, relaţiile dintre acestea şi modul în care acestea sprijină obiectivele organizaţiei.

Guvernarea întreprinderii - un set de responsabilităţi şi practicile exercitate de către consiliul de administraţie şi conducerea executivă, cu scopul de a asigura conducerea strategică, asigurându-se în același timp că obiectivele sunt atinse, verificarea că riscurile sunt gestionate în mod corespunzător şi verificarea că resursele întreprinderii sunt utilizate în mod responsabil

Cadru de referinţă - a se vedea cadru de control.

Controale generale - Controale, altele decât controalele aplicațiilor și care se referă la modul în care sunt dezvoltate, întreţinute şi exploatate aplicațiile, şi care sunt, prin urmare, aplicabile tuturor aplicaților informatice. Obiectivele controalelor generale sunt de a asigura dezvoltarea adecvată şi punerea în aplicare a aplicațiilor informatice, integritatea programelor şi a fişierelor, a operaţiunilor realizate. Ca și în cazul controalelor aplicațiilor, controalele generale pot fi manuale sau programate. Exemple de controale generale includ: dezvoltarea şi punerea în aplicare a unei strategii şi a unui sistem informațional, politica de securitate, organizarea angajaților astefel încît să se elimene conflictul de interese, precum şi planificarea preveniri sau a recuperării în caz de dezastre

Ghid - O descriere a unui mod particular de a realiza ceva. Este mai puţin riguros decât o procedură.

Arhitectura informaţiilor - o componentă a arhitecturii IT (împreună cu aplicaţiile şi tehnologie). A se vedea arhitectura IT.

Informat - Într-o diagramă ÎRCI se referă la anagajtul ce este ținut la curent cu progresul înregistrat de o activitate (comunicare într-un singur sens)

Control intern - politici, planuri şi proceduri, precum şi structurile organizatorice menite să ofere asigurări rezonabile că obiectivele afacerii vor fi realizate iar evenimentele nedorite vor fi prevenite sau detectate şi corectate

ISO / IEC 27002:2005 - un standard internaţional care defineşte controalele la adresa confidenţialității, integrității şi disponibilității informațiilor.

ISO 27001 – Managementul Securitatii Informatiei - Specificaţii şi ghiduri de utilizare; este standardul ce înlocuiește standardul BS7799-2. Este destinat să ofere baza pentru auditul de terţă parte și este armonizat cu alte standarde de management, cum ar fi standardul ISO / IEC 9001 şi 14001.

ISO 9001:2000 Codul de practică pentru managementul calităţii de la Organizaţia Internaţională de Standardizare (ISO). ISO 9001:2000, precizează cerinţele pentru un sistem de management al calitatii, pentru orice organizatie care trebuie să demonstreze capacitatea de a oferi în mod constant produse sau serviciu care îndeplinesc obiectivele speciale ale calităţii.

IT - Tehnologia Informaţiei; hardware, software, comunicatii si alte facilitati utilizate pentru introducere, stocaarea, prelucrarea, transmiterea şi obținerea datelor de ieșire sub orice formă

COBIT 4.1


Arhitectura IT - Descrierea modelului de bază, fundamental, al componentelor IT ale organizației, relatiile dintre acestea şi modul în care acestea sprijină obiectivele organizației.

ITIL - Office of Government Commerce din Regatul Unit (OGC) IT Infrastructure Library, un set de ghiduri privind managementul furnizării de servicii IT operaţionale.

Incident IT - Orice eveniment care nu este parte a unei operări obişnuite a unui serviciu şi care provoacă sau poate provoca, o întrerupere sau o reducere a calității serviciului respectiv (aliniat la ITIL)

Tablou de bord pentru investiţiile IT - Un instrument pentru stabilirea aşteptărilor pentru o organizaţie, la fiecare nivel şi monitorizarea continuă a performanţelor în raport cu obiectivele stabilite pentru cheltuielile şi profitul investițiilor IT. Exprimă valoarea pentru afacere

Planul strategic IT - un plan pe termen lung,pe un orizont de 3-5 ani, în care managementul organizației și cel de la nive IT descriu modul în care resursele IT vor la atingerea obiectivelor strategice ale întreprinderii.

Comitet pentru strategia IT – Comitet la nivelul consiliului de administraţie care se asigura că acest consiliu este implicat în principalele decizii cu privire la IT. Comitetul este respnsabil în principal pentru gestionarea portofoliilor de investiții IT, servicii IT şi alte resurse IT. Comitetul este responsabilul portofoliului.

Plan tactic IT - un plan pe termen mediu, adică un orizont de 18 luni, care traduce directivele IT strategice în iniţiative, cerinţe de resurse, precum şi modul în care resursele şi beneficiile vor fi monitorizate şi gestionate.

Utilizator IT - O persoana care foloseşte resurse IT pentru a sprijini sau a atinge un obiectiv al afacerii.

Practicii de management principale - practicile de management necesare pentru a executa cu succes procesele economcice

Indicator cheie al obiectivului (key goal indicators KGI) – măsură care indică managementului, dacă un proces IT a realizat cerințele economice; de obicei este exprimat în termeni de criterii pentru informaţii.

Indicator cheie al performanţei (key performance indicator KPI) – măsură ce indică managementului cât de bine se desfăşoară procesul în atingerea scopulu propus. Ele sunt indicatori de ghidare arătând cdacă un un obiectiv va fi probabil atins şi de asemenea sunt indicatori buni pentru capabilităţi, practici şi competenţe. Ei măsoară obiectivele activității, care sunt acţiunile pe care respnsabilul trebuie să le ia pentru a atinge o performanţa procesului.

Maturitate - in afaceri, indică gradul de fiabilitate sau dependenţa pe care organizația o poate asuma pe un proces ce realizează obiectivele dorite

Măsură - un standard utilizat pentru a evalua şi a comunica performanţa pe baza rezultatelor aşteptate. Măsurile sunt în mod normal cantitative în natură: numere, valori financiare, procente, etc, dar pot fi și calitative cum ar fi satisfacția clientului. Raportarea şi monitorizarea măsurilor ajuta organizaţia să pună în aplicare strategia

Indicator/Metrica - descriere specifică a modului în care o evaluare periodică cantitativă este măsurată. Un indicator complet defineşte unitatea de măsură folosită, frecvenţa, valoarea ţintă ideală, procedura pentru efectuarea măsurătorii şi procedura pentru interpretare a evaluării.

Acord Nivel Operațional Agreat - un acord intern care acoperă furnizarea de servicii care sprijină funcția IT în furnizarea serviciilor.

Organizare - modul în care o întreprindere este structurată; poate însemna, de asemenea, entitatea

Măsuri rezultate - Măsuri care reprezintă consecinţe ale acţiunilor luate anterior şi sunt adesea menţionate ca indicatori decalați. Ele se concentrează asupra rezultatelor de la sfârşitul unei perioade de timp și caracterizează perfoamanța istorică. Acestea sunt, de asemenea, menţionate ca Indicatori cheie al obiectivului (KGIs) şi sunt utilizate pentru a indica dacă obiectivele au fost îndeplinite. Acestea pot fi măsurate numai după realizarea acțiuniit şi, prin urmare, sunt denumite "indicatori decalați"

Performanţă - În IT reprezintă implementarea efectivă sau realizarea unui proces

Determinanți ai perfomanței - Măsurile care sunt considerate determinate de indicatorii decalați. Aceștia pot fi măsurați înainte de rezultatul să fie cert, prin urmare, sunt denumite "indicatori de ghidare". Există o relaţie între cele două, relații ce sugerează că îmbunătăţirea performanţei într-un indicator de ghidare va conduce la o performanţă mai bună în indicatorul decalat. Aceștia sunt, de asemenea, menţionați ca fiind Indicatori cheie al performanţei” şi sunt utilizați pentru a indica dacă obiectivele sunt susceptibile de a fi îndeplinite.

Managementul performanței - In IT, capacitatea de a gestiona orice tip de măsurare, inclusiv angajații, echipa, procesul, măsurători financiare sau operaţionale. Termenul are conotație de control în buclă închisă de control şi de monitorizare regulată măsurătorilor.

PMBOK - Project Management Body of Knowledge, un standard de management de proiect dezvoltat de Project Management Institute (PMI)

PMO – Responsabil cu managentul proeictului; funcţia individuală responsabilă pentru punerea în aplicare a unei iniţiative specificată pentru sprijinirea rolului managementului de proiect şi promovarea disciplinei de management de proiect

ANEXA VII


Politica – în general, un document care înregistrează un principiu la nivel înalt sau un curs de acţiune care a fost decis. Scopul declarat al unei politici este de a influenţa şi de a ghida, luarea deciziilor prezente și viitoare în concordanţă cu filozofia, obiectivele şi planurilor strategice stabilite de întreprindere. . În plus politicile trebuie să descrie consecinţele nerespectării, mijloacele de tratare a excepţiilor şi modul în care se va realiza conformitatea

Portofoliu - O grupare de programe, proiecte, servicii sau active selectat, gestionate şi monitorizate pentru a optimiza profitul afacerii.

Control preventiv - un control intern, care este folosit pentru a preveni evenimente nedorite, erori şi alte evenimente pe care o organizaţie a stabilit că ar putea avea un efect semnificativ negativ asupra unui proces sau a uni produs.

PRINCE2 – Project in a Controlled Environment, dezvoltat de OGC, o metodă de management de proiect, care acoperă managementul, controlul şi organizarea unui proiect.

Problemă - In IT, cauza necunoscuta care stă la baza unuia sau mai multor incidente.

Procedură - un document care conţine paşii care specifica modul de a realiza o activitate. Procedurile sunt definite ca parte a proceselor.

Procesul – în general, o colecţie de proceduri influenţate de către politicile și procedurile organizaţie și care preia date de intrare din surse diferite, inclusiv alte procese, manipuleaza intrările și produce ieşiri şi produce, inclusiv alte procese. Procesele au motive clare de existență, reposnabili însărcinați, roluri şi esponsabilităţi clare în jurul execuție şi mijloacele de măsurare a performanţei.

Programul - un grup structurat de proiecte interdependente, care include întreaga sferă de activitate, proces, oameni, tehnologie şi activităţi organizatorice care sunt necesare (necesare şi suficiente) pentru a obţine un rezultat clar specificat.

Proiect - Un set structurat de activităţi ce constau în livrarea de capabilități către organizație (este necesar, dar nu suficient pentru a obţine un rezultat dorit) pe baza unui program și aunui buget convenite

Sistem de management al calității - un sistem care descrie politicile şi procedurile necesare pentru a îmbunătăţi şi a controla diferite procese, care vor duce în final la îmbunătăţirea perfomanței organizației

Matrice ÎRCI - Ilustrează, cine însărcinat, reponsabil, consultat și informat ntr-un cadru organizatoric.

Elasticitate - In afaceri, capacitatea unui sistem sau a unei rețele de se recupera în mod automat de la orice perturbare, de obicei, cu un efort recunoscut minim.

Responsabil - Într-o diagramă RACI, se referă la persoana care trebuie să se asigure că activităţile sunt finalizate cu succes.

Risc - in afaceri, potenţialul ca o ameninţare dată să exploateze vulnerabilităţile unui activ sau grup de active pentru a provoca pierderea şi / sau deteriorarea acestora; de obicei, măsurată printr-o combinaţie de impact şi probabilitatea apariţiei

Analiza cauzelor - Procesul de diagnosticare ce are drept scop stabilirea originii evenimentelor, folosită pentru a învăţa din consecinţe, erori sau probleme tipice

SDLC - Ciclu de viaţă al sistemului; etape desfăşurate în dezvoltarea sau achiziţionarea unui sistem. Fazele tipice includ studiul de fezabilitate, analiza cerinţelor, definirea cerințelor, proiectarea detaliată, programare, testare, instalare şi revizie post-implementare de revizuire, dar nu şi furnizarea de servicii sau activităţile necesare realizării beneficiilor.

Segregarea / separarea atribuţiilor de serviciu - o bază de control intern care previne sau detectează erori şi nereguli prin atribuirea separată, a responsabilităților anagjaților pentru iniţierea şi înregistrarea tranzacţiilor, custodia activelor. De obicei este utilizată în organizațiile IT mari, astfel încât nici o persoană, singură, nu este în măsură să introduc cod malițios, fără detectarea acestuia.

Service desk/birou servicii - un punct de contact în cadrul funcției IT pentru utilizatorii de servicii IT.

Furnizor de servicii externe - o entitate care oferă servicii organizației

Acordurile privind nivelul de servicii furnizate (SLA) - un acord, de preferinţă documentatat, între un furnizor de servicii şi clientul / utilizatorul prin care se definesc obeictivele minime de perfoamnță pentru un serviciu şi modul în care acestea vor fi măsurate

Standard - cerinţă obligatorie. Exemplele includ ISO / IEC 20000 (un standard internaţional), un standard de securitate internă pentru configurarea serverelor UNIX sau un standard guvernamental pentru maniera de înregistrare a datelor fianciare. Termenul „ standard "este de asemenea utilizat pentru a se referi la un cod de practică sau de specificaţii publicate de către o organizaţie de standardizare, cum ar fi ISO sau BSI.

TCO - cost total de aparetenţă; în IT include:

• costul iniţial al computerului şi software • hardware şi actualizări de software • Întreţinere • Suport tehnic • Formare • Anumite activităţi efectuate de către utilizatori Planul infrastructurii tehnologice - un plan pentru tehnologie, resurse umane şi facilităţi care să permită procesarea şi utlizarea actuală şi viitoare a aplicaţiilor

COBIT 4.1


ANEXA VIII — COBIT ȘI PRODUSE CONEXE

Cadrul de referință COBIT, versiunea 4.0 și următoarele include:

•Cadrul de referință – explică maniera în care COBIT organzează guvernarea IT, obiectivele controlului și bunele practici pe domenii IT și procese și legătura acestora cu cerințele afacerii. •Descrierea proceselor – include 34 de procese IT ce acoepră întreg spectrul de responsabilități IT •Obiectivele controlului – oferă, pentru procesele IT cele mai bune practici de management •Ghiduri pentru management - oferă instrumentele necesare atriburii sarcinilor, măsurării perfomanței și comparării și de asemenea luarea în calcul a lipsurilor capabilităților • Modele de maturitate – oferă profile pentru procesle IT descriind stările posibile actuale și viitoare. De la începuturile sale, conținutul COBIT a evoluat în mod continuu iar numărul lucrărilor derivate din COBIT a crescut. Următoarele publicații sînt derivate din COBIT: • Board Briefing on IT Governance, 2nd Edition – Proiectat cu scopul de a ajuta conducerea executivă să înțeleagă importanța guvernării IT, cu ce probleme se confruntă aceasta și care sînt responsabilitățile pentru administrarea acesteia. • COBIT Online – Permite utilizatorlor să particularizeze o versiune a COBIT în conformitate cu caracteristile organizației și apoi să lucreze cu aceasta după propriile nevoi. Oferă chestionare on line, răspunsuri la întrebări frecvente, un sistem de comparare și posibilitatea de a discuta și împărtăși experiențe. • COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition – Oferă un ghid cu privire la riscurile ce trebuie evitate și valaorea ce trebuie obținută ca efect al implementării obiectivelor controlului precum și instrucțiuni cu privire la implementarea acestor obiective. Practicile controlului se recomandă a fi utilizate împreună cu IT Governance Implementation Guide:Using COBIT and Val IT, 2nd Edition. • IT Assurance Guide: Using COBIT – Oferă un ghid cu privire la modul în care COBIT poate fi folsoit pentru a sprijini o varietate largă de activități de asigurare și oferă pașii necesari testării tuturor proceselor și obiectivelor controlului. Înlocuiește informațiile din Audit Guidelines ce erau folosite pentru autoevaluarea obeictivelor controlului din COBIT 4.1. • IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2nd Edition – Oferă un ghid pentru asigurarea conformităţii mediului IT cu obiectivele controlului. • IT Governance Implementation Guide: Using COBIT and Val IT, 2nd Edition – Oferă o abordare structurată pentru implementarea guvernării IT folosind resursele COBIT şi Val IT şi instrumentele suport asociate. • COBIT Quickstart – Oferă controalele de bază pentru organizații mici și medii și pașii de început pentru organizațiile mari. • COBIT Security Baseline – Se concentrează pe etapele esențiale în implementarea securității informațiilor în cadrul întreprinderilor. Este în dezvoltare ediția a 2 a. • COBIT Mappings - Postate la adresa www.isaca.org/downloads: – Aligning COBIT, ITIL and ISO 17799 for Business Benefit – COBIT Mapping: Overview of International IT Guidance, 2nd Edition – COBIT Mapping: Mapping of ISO/IEC 17799:2000 With COBIT, 2nd Edition – COBIT Mapping: Mapping of PMBOK With COBIT 4.0 – COBIT Mapping: Mapping of SEI’s CMM for Software With COBIT 4.0 – COBIT Mapping: Mapping of ITIL With COBIT 4.0 – COBIT Mapping: Mapping of PRINCE2 With COBIT 4.0 • Information Security Governance: Guidance for Boards of Directors and Executive Management, 2nd Edition – Prezintă securitatea informațiilor în termeni economici și conține instrumente și tehnici suplimentare ce ajută la identificarea problemelor legate de securitate. Val IT este un termen-umbrelă folosit pentru publicațiile și produsele viitoare ce au în vedere cadrul de referință Val IT. Publicațiile actuale Val IT: • Enterprise Value: Governance of IT Investments—The Val IT Framework, explică cum poate o întreprindere să extragă valoarea optimă din investițiile IT. Se bazează pe cadrul de referință COBIT. Este organizat în: – Trei procese – Guvernarea Valorii, Managementul protofoliului și Managementul Investițiilor – Practici manageriale de bază pentru IT- practici manageriale esențiale ce pot influența în mod pozitiv obținerea rezultatelor dorite sau atingerea scopului unei anumite activități. Sprijină procesele Val IT și joacă același rol ca și obiectivele controlului din COBIT. • Enterprise Value: Governance of IT Investments—The Business Case, se concentrează npe elementele de bază ale procesului de management al investițiilor IT. • Enterprise Value: Governance of IT Investments—The ING Case Study, descrie modul în care o companie de servicii financiare își administrează portofoliul de investiții IT în contextul cadrului de referință Val IT. Pentru informații complete și actualizate cu privire la COBIT, Val IT și celelalte produse, studii, oportunități de instruire, noutăți și alte informații specifice cadrelor de referință vizitatți www.isaca.org/cobit și www.isaca.org/valit.

ANEXA VIII



COBIT 4.1

3701 ALGONQUIN ROAD, SUITE 1010

ROLLING MEADOWS, IL 60008 USA

PHONE: +1.847.590.7491

FAX: +1.847.253.1443

E-MAIL: [email protected]

WEB SITE: www.itgi.org

Date post:	31-Dec-2019
Category:	Documents
Upload:	others
View:	5 times
Download:	0 times

Cadrul de referinţă Modele de maturitate · Consultant tehnic: Florin Matran-Dan Traducerea şi...

Documents