PO4 Definice IT procesů, organizací a vztahů
PO4.1 IT Framework procesů
Jako podporu strategického IT plánu definuj IT Framework procesů. Tento Framework musí zahrnovat strukturu IT procesů jejich vztahy (např. pro řízení procesů kritických míst), vlastnictví, vyspělost, měření výkonnosti, zlepšení, soulad, cíle kvality a plány k jejich dosažení. Framework poskytne integraci mezi procesy, které jsou specifické pro IT, podnikové řízení portfolia, obchodní procesy a procesy změny ve firmě. IT Framework procesů by měl být integrován do systému řízení kvality a vnitřního kontrolního Frameworku.
PO4.2 IT Výbor pro strategii
Na úrovni vedení zřiď IT výbor pro strategii. Tento výbor musí zajistit, aby bylo řízení IT odpovídajícím způsobem zavedeno, v rámci správy a řízení společnosti, doporučovalo strategický směr a hodnotilo strategické investice jménem kompletního vedení.
PO4.3 IT Řídící výbor
Zřiďte IT řídící výbor (nebo ekvivalent) složený z výkonného vedení, obchodu a IT managementu pro:
• Určování priorit IT investičních programů v souladu s podnikovou obchodní strategií a prioritami firmy
• Sledování stavů projektů a řešení konfliktů zdrojů
• Sledování úrovně služeb a zlepšování služeb
PO4.4 Organizační umístění IT funkcí
Umístěte IT funkce do celé organizační struktury v rámci business modelu závislém na podnikovém významu IT, konkrétně zviditelněte kritičnost obchodní strategie na úrovni provozní závislosti na IT. Reportovací linie těchto organizací pro CIO je úměrná důležitosti IT v rámci podniku.
PO4.5 IT Organizační struktura
Vytvoř interní a externí IT organizační strukturu, která bude odrážet obchodní potřeby. Navíc zaveď proces pro pravidelný přezkum IT organizační struktury pro správu personálních požadavků a pro strategii nabírání zdrojů tak, abys splnil očekávané obchodní cíle a měnících se okolnosti.
PO4.6 Role a zodpovědnosti
Definuj a komunikuj role a povinnosti pro všechny pracovníky v organizaci ve vztahu k informačním systémům, tak abys umožnil vykonávat patřičné autoritě její roli a zodpovědnosti k ní přiřazené. Vytvoř popis rolí a pravidelně je aktualizuj. Tyto popisy vymezí pravomoce a odpovědnosti, včetně definice potřebných dovedností a zkušeností pro danou pozici, navíc musí být vhodné pro hodnocení pracovní výkonnosti. Popisy role by měly obsahovat odpovědnosti pro vnitřní kontroly.
PO4.7 Zodpovědnost za IT Quality Assurance
Přiřaďte odpovědnosti za výkon funkce zabezpečování kvality a zajistěte zabezpečování kvality, a vytvořte skupinu s vhodným systémem zajišťování kvality, kontrolou a komunikačních znalostí. Organizační umístění, odpovědnosti a velikost skupiny zabezpečování kvality musí splňovat požadavky organizace.
PO4.8 Zodpovědnost za rizika, bezpečnost a dodržování předpisů
Zaveď vlastnictví a odpovědnost za IT rizika souvisejících s businessem na odpovídající úrovni patřičné role. Definuj a přiřaď role kritické pro řízení IT rizik, včetně specifikace odpovědností za informační bezpečnost, fyzickou bezpečnost a dodržování předpisů. Stanov rizika a odpovědnost řízení bezpečnosti na úrovni organizace pro řešení organizačních problémů. Pro vrcholové vedení zajisti postup na schvalování IT rizik.
PO4.9 Datové a systémové vlastnictví
Poskytni businessu postupy a nástroje, jež umožní adresovat odpovědnosti vlastnictví dat a informačních systémů. Majitelé rozhodují o klasifikaci informací a systémů a chrání je v souladu s touto klasifikací.
PO4.10 Dohled
Implementuj adekvátní praktiky dohledu na IT funkce pro ujištění správného užívání rolí a zodpovědností. Ujisti se, zda všechny osoby mají odpovídající autoritu a zdroje pro vykonávání jejich rolí a zodpovědnosti, a také pro kompletní revizi klíčových indikátorů výkonu.
PO4.11 Segregace povinností
Implementuj divizi rolí a zodpovědností pro redukci rizika porušení procesu jedinou osobou. Management se musí ujistit, že osoby vykonávají pouze autorizované povinnosti relevantní k jejich pozici.
PO4.12 IT Zajištění pracovníků
Vyhodnocuj pravidelně, po významné změně business provozu nebo IT prostředí, požadavky na lidské zdroje tak, aby ses ujistil, že IT funkce má dostatečný počet kompetentních zdrojů. Ber v potaz vzdělání, rotaci zaměstnanců a outsourcing.
PO4.13 Klíčové IT osobnosti
Definuj a identifikuj klíčové IT osobnosti a minimalizuj na nich závislost. Pro případy nouze připrav plán pro kontaktování klíčových osob.
PO4.14 Smluvní zaměstnanci jejich pravidla a postupy
Definuj a implementuj pravidla a postupy pro kontrolu aktivit konzultantů a jejich smluv tak, abys zajistil bezpečnost informací organizace a pro plnění smluvních podmínek.
PO4.15 Vztahy
Vytvoř a udržuj optimální koordinaci, komunikaci a spojení mezi IT funkcemi a různými dalšími členy uvnitř i vně IT funkcí, jako například vedení, vedoucích pracovníků, obchodních jednotek, jednotlivých uživatelů, dodavatelů, bezpečnostních pracovníků, řízením rizika, dodavateli a offset managementem.
Článek ze série COBIT