PO6 Komunikace s managementem, cíle a zaměření
PO6.1 IT pravidla a kontrola prostředí
Definuj elementy kontrolního prostředí pro IT v souladu s filozofií podnikového managementu a v souladu s provozními standardy. Tyto prvky mají obsahovat očekávání/požadavky týkající se získání hodnoty z investic do IT, chuť riskovat, integritu, etické hodnoty, způsobilosti zaměstnanců, profitabilitu a odpovědnost. Kontrolní prostředí mají být založeny na kultuře podniku, která kvalitně podporuje dodání hodnoty při správě významných rizik, podporuje mezi-divizní spolupráci a týmové práce. Podporuje dodržování a neustálé zlepšování procesů a zpracovává odchylky v procesu (včetně selhání).
PO6.2 Framework pro firemní IT rizika a interní kontrolu
Rozvíjej a udržuj Framework, který zavede celopodnikový přístup k rizikům a vnitřní kontroly pro kvalitní chránění zdrojů a systémů. Framework by měl být integrován s Frameworkem IT procesů a systémem řízení jakosti a měl by být v souladu s celkovými obchodními cíli. Měl by být zaměřený na maximalizaci úspěchu hodnoty dodávky při minimalizaci rizik do informačních přínosů prostřednictvím preventivních opatření, včasného rozpoznání nesrovnalostí, omezení ztrát a včasné obnovení obchodních přínosů.
PO6.3 IT Management politik
Rozvíjej a udržuj soubor politik pro podporu IT strategií. Tyto politiky by měly zahrnovat politické záměry, role a povinnosti, výjimky procesů, dodržování přístupů a odkazy na postupy, normy a pokyny. Politiky by se měly zabývat klíčovými tématy, jako jsou kvalita, bezpečnost, důvěrnost, vnitřní kontroly a duševního vlastnictví. Jejich relevance by měla být pravidelně potvrzována a pravidelně schvalována.
PO6.4 Zavedení politik
Ujistěte se, že je na všechny příslušné pracovníky zavedena a prosazena politika v oblasti IT, tak že jsou pracovníci začleněni a jsou nedílnou součástí podnikových provozů. Zavádění metod by se měla adresovat zdroje, potřeby povědomí a dopady.
PO6.5 Komunikace IT cílů a směrů
Ujistěte se, že povědomí a porozumění businessu s IT cíli a směry jsou známy v celém podniku. Sdělené informace by měly zahrnovat zřetelně formulovaného poslání, cíle služby, bezpečnost, kvalitu, vnitřní kontrolní mechanismy, etický kodex chování/vedení, politiky a postupy, atd. Navíc musí být zahrnuty do nepřetržitého komunikačního programu s podporou vrcholového managementu a to za pomocí nejen slov ale i činů. Management by měl zvláště dávat pozor na komunikaci povědomí bezpečnosti IT a měl by komunikovat skutečnost, že bezpečnost je odpovědností každého.
Článek ze série COBIT