guvernanţă IT, Reguli de bună practică pentru guvernanţa IT Guvernanţa securităţii IT, Strategia SI. Guvernanţă corporativă şi guvernanţă IT
• setul de responsabilităţi şi practici de conducere a
unei entităţi în vederea realizării obiectivelor strategice ale acesteia, prin gestionarea corespunzătoare a riscurilor şi a resurselor materiale şi umane ale societăţii, constituie conceptul de bază al managementului tuturor activităţilor sociale. • conducerea activităţilor societăţii în condiţii de transparenţă totală asupra riscurilor asociate activităţii acesteia, în condiţiile protecţiei totale a tuturor drepturilor asociaţilor Principiile guvernanţei corporative se referă în principal la: • crearea condiţiilor de bază pentru o guvernanţă corporativă funcţională; • drepturile acţionarilor şi funcţiile-cheie ale dreptului de proprietate; • tratamentul echitabil al acţionarilor; • rolul acţionarilor în guvernanţa corporativă; • raportare şi transparenţă; • responsabilităţile consiliului de administraţie. Reguli de bună practică în guvernanţa corporativă (extras din ghidul international) Ethics: a clearly ethical basis to the • ethical approach - culture, society; business organisational paradigm Align Business Goals: appropriate • balanced objectives - congruence of goals of all interested parties goals, arrived at through the creation • each party plays his part - roles of of a suitable stakeholder decision key players: owners/directors/staff making model • decision-making process in place - Strategic management: an effective reflecting the first three principles strategy process which incorporates and giving due weight to all stakeholder value stakeholders Organisation: an organisation suitably • equal concern for all stakeholders - albeit some have greater weight structured to effect good corporate than others governance • accountability and transparency - Reporting: reporting systems to all stakeholders structured to provide transparency and accountability CISA defineşte guvernanţa corporativă ca fiind • „comportamentul etic al organizaţiei asigurat de directori sau alte persoane cu responsabilităţi pe linia conducerii în crearea şi prezentarea bogăţiei/averii organizaţiei pentru toate persoanele deţinătoare de interese legate de organizaţie”. • Guvernare corporativă este un set de reguli conform cărora firmele sunt conduse și controlate, este rezultatul unor norme, tradiții și modele comportamentale dezvoltate de fiecare sistem legislativ. [Preda Report, Italia, 1999] • Guvernare corporativă poate fi definită ca ansamblul relațiilor unei companii cu acționarii săi, sau mai pe larg, cu societatea pe ansamblu. [Financial Times, 1997] Organisation for Economic Co-operation and Development • „distribuţia drepturilor şi responsabilităţilor între diferiţii participanţi în cadrul organizaţiei, cum ar fi consiliul de administraţie, managerii, acţionarii, deţinătorii de interese, care stabilesc reguli şi proceduri în vederea luării deciziilor privind activitatea organizaţiei”. Guvernanţa IT • tehnologia informaţională este considerată o parte integrantă a afacerii şi este privită ca un factor de susţinere şi dezvoltare a acesteia. • tehnologia informaţională creşte valoarea afacerii • „activitatea de conducere şi coordonare a activităţii IT dintr-o organizaţie” devine o parte componentă a guvernanţei corporative. • un concept care include sisteme informaţionale, tehnologie şi comunicaţii, probleme vizând businessul, aspecte legale, toate acestea privind deţinătorii de interese, directorii, managementul superior, proprietarii proceselor, furnizorii IT, utilizatorii finali şi auditorii. • asigură alinierea funcţiei IT la obiectivele organizaţiei • In trecut guvernanta IT a fost o componentă- suport pentru strategia organizaţiei • o parte integrantă a strategiei, apreciindu-se că alinierea strategică dintre IT şi obiectivele organizaţiei reprezintă un factor critic de succes Guvernanţa IT priveşte două aspecte: • IT creează valoare pentru organizaţie, ca urmare a susţinerii strategiei prin funcţia IT; • riscurile IT sunt cunoscute şi monitorizate, urmărindu-se limitarea lor. Principalele obiective ale guvernanţei IT sunt: • alinierea activităţii IT la cerinţele de continuitate şi dezvoltare a afacerii; • IT trebuie să genereze posibilitatea ca afacerea să îşi maximizeze profiturile; • utilizarea cu responsabilitate a resurselor IT; • managementul eficient al riscurilor legate de IT. Guvernanţa IT Pentru a sigura implementarea unei guvernanţe IT eficiente este necesară întocmirea unor planuri care să vizeze următoarele elemente: • o listă a activităţilor pentru asignarea responsabilităţilor legate de guvernanţa IT şi problemelor ce trebuie să fie incluse în agenda guvernanţei IT; • rezultatele măsurilor luate legate de problemele de guvernanţă IT cum ar fi alinierea obiectivelor de business şi respectiv IT, raportul cost-eficienţă realizat de IT, capabilităţi şi competenţe generate, riscuri specifice, oportunităţi valorificate; cerinţele de bună practică privesc modul în care activităţile trebuie realizate de persoanele numite de management. În aceste cerinţe se regăsesc: • crearea în cadrul organizaţiei a unei structuri credibile, eficiente şi transparente cu activităţi şi obiective definite pentru care sunt stabilite responsabilităţi clare; • crearea unui comitet de audit care să stabilească riscurile semnificative şi care să evalueze modul în care acestea sunt identificate, evaluate şi administrate, şi să-şi exprime opinia privind eficienţa sistemului de control intern în administrarea riscurilor; • alinierea strategiilor şi obiectivelor organizaţiei şi funcţiei IT; • sporirea cunoştinţelor privind clienţii, produsele, piaţa şi procesele; factorii critici de succes. Aceştia reprezintă condiţii, competenţe şi atitudini critice pentru succesul organizaţiei. Aceşti factori sunt reprezentaţi de: • conştientizarea faptului că IT este parte integrantă a organizaţiei, şi nu doar o componentă răspunzătoare de probleme tehnice; • înţelegerea importanţei componentei IT şi asumarea responsabilităţilor de către management privitoare la acesta, solicitând şi sprijinul unor specialişti în domeniu; • crearea unei culturi organizaţionale care să încurajeze cooperarea interdepartamentală şi lucrul în echipă, să promoveze permanenta îmbunătăţire a proceselor şi să asigure o corectă abordare şi soluţionare a erorilor şi eşecurilor; vectorii de performanţă au rolul de a evidenţia modul în care guvernanţa IT este asigurată. De cele mai multe ori, ei sunt legaţi de factorii critici de succes şi se referă la următoarele aspecte: • extinderea şi frecvenţa riscurilor, precum şi modul de raportare către management; • îmbunătăţirea raportului cost-beneficii pentru procesele IT; • întreruperea funcţionării sistemelor; • timpul de răspuns al sistemelor. Rolul auditului în guvernanţa IT • Auditul joacă un rol deosebit de important în implementarea guvernanţei IT în cadrul organizaţiei. Auditul poate oferi senior-managementului recomandările necesare pentru îmbunătăţirea calităţii şi eficienţei guvernanţei IT. • Auditorul IT trebuie să prezinte: • scopul auditului, incluzând o definiţie clară a ariilor funcţionale şi problemele de acoperit; • linia de raportare folosită, atunci când problemele de guvernanţă sunt identificate la cel mai înalt nivel al organizaţiei; • dreptul auditorului privind accesul la informaţie. • În conformitate cu rolul auditorului IT, este bine să precizăm necesitatea de a se audita următoarele probleme legate de guvernanţa IT: • alinierea funcţiei IT la misiunea, viziunea, valorile, obiectivele şi strategiile organizaţiei; • atingerea de către funcţia IT a obiectivelor de eficienţă şi eficacitate cerute de natura activităţii organizaţiei; • cerinţele legale, de mediu, de calitate a informaţiei, financiare şi de securitate; • mediul de control în cadrul organizaţiei; • riscurile inerente în cadrul mediului IT. Guvernanţa securităţii IT • integritatea informaţiei, continuitatea serviciilor şi protecţia activelor. • The IT Governance Institute defines security governance as “the set of responsibilities and practices exercised by the board and executive management with the goal of providing strategic direction, ensuring that objectives are achieved, ascertaining that risks are managed appropriately and verifying that the enterprise’s resources are used responsibly.” (IT Governance Institute, Board Briefing on IT Governance, 2nd Edition). Strategia sistemelor informaţionale • În realizarea planurilor strategice, acoperind de la trei la cinci ani, organizaţia trebuie să se asigure că aceste soluţii IT se aliniază şi respectă ţelurile şi obiectivele de ansamblu ale organizaţiei. • Este important ca procesul de planificare strategică să aibă în vedere nu doar achiziţionarea de noi sisteme şi tehnologii, ci şi considerarea beneficiilor asigurate de aceste investiţii IT. • Auditorul SI va trebui să acorde toată atenţia planificării strategice IT, luând în considerare practicile de control ale managementului • Obiectivele de guvernanţă IT cer ca planurile de strategie IT să fie sincronizate cu celelalte strategii de afaceri • Politicile şi procedurile reflectă modalitatea de dirijare a managementului în crearea de controale asupra sistemelor informaţionale şi resursele acestora.