IT governance
Oproti auditu v oblasti IT governance nejde ani tak o předpisy (i když ty jsou v pozadí stále přítomny), ale o to dělat věci dobře. Žádná z uvedených metodik (COBIT, ITIL apod.) nemůže být použita dogmaticky, formou „tak to udělej“. Jde o soubory doporučení osvědčených postupů. Mimo jiné slouží také k uvědomění souvislostí (tzn. „aby se na něco nezapomnělo“).
Procesy řízení a provozu IT
Plánování a organizace
Pokrývá úroveň strategického a taktického plánování a organizování IT včetně řízení přidané hodnoty IT pro business. V této části řešíme otázky typu:
Jsou business a IT strategie ve vzájemném souladu?
Využívá naše organizace své IT zdroje optimálně?
Jsou zmapována a řízena všechna rizika spojená s IT?
Jsou cíle IT projektů jasně definované a všeobecně známé?
Pořízení a implementace
V této fázi jde o identifikaci IT řešení vhodného pro realizaci zvolené IT strategie. Řešení může být vyvíjeno vlastními silami nebo pořízeno z vnějších zdrojů, následně musí být implementováno a integrováno se stávajícími systémy a procesy. Do této fáze je také zahrnuto potřebné řízení změn, a to jak v nových, tak ve stávajících systémech. Řeší se otázky typu:
Splní plánovaný IT projekt očekávání a požadavky businessu?
Bude nový projekt dokončen v plánovaném čase, bude dodržen rozpočet projektu?
Bude nový systém po implementaci pracovat správně?
Neohrozí plánované změny fungování současných podnikových procesů?
Dodávka služeb a podpora
Tato fáze je zaměřená na řízení IT služeb, což zahrnuje poskytování služeb, řízení bezpečnosti a kontinuity služeb, podporu služeb a správu dat a potřebné infrastruktury. V této části řešíme otázky typu:
Jsou IT služby poskytovány v souladu s prioritami a potřebami businessu?
Jsou IT služby nákladově optimální?
Jsou splněny všechny požadavky na důvěryhodnost, integritu a dostupnost IT služeb?
Monitorování a hodnocení
Všechny IT procesy musí být pravidelně monitorovány a vyhodnocovány – je nutné kontrolovat, zda jejich výstupy jsou v požadované kvalitě a zda splňují definovaná kontrolní kritéria. Tato doména pokrývá oblasti řízení výkonnosti, monitorování, interní kontroly a správy IT. V této části naleznete odpovědi na otázky typu:
Dochází k měření výkonnosti IT, tak aby byly případné problémy řešeny dřív, než skutečně nastanou?
Je systém interních kontrol efektivní a úplný?
Jsou všechna rizika, kontroly a výkonnost měřeny a reportovány?
Podpora business procesů ze strany IT
Hledání odpovědí na otázky efektivity. Dělá IT to, co je pro hlavní business přínosné? Obsluhuje rizika adekvátně? A naopak, uvědomuje si non-IT business, jak a kde je na IT závislý?
Ne vždy je potřeba mít všechno nalinkované a obsloužené do posledního možného detailu. Např. někdy je výhodné vědomě provozovat zastaralou techniku, někdy naopak businessu pomůže přechod na moderní technologie.
Řešíme manažerské otázky typu návratnosti investic, adekvátnosti nařízených opatření, dopadů nedostatků v řízení IT na podnikání firmy.
IT jako business enabler
Zde jsme blízko role „business konzultanta“. Hledáme, zda některé procesy hlavního podnikání firmy nejsou realizovatelné efektivněji s použitím IT (nebo s jiným způsobem nasazení IT). V extrému hledáme návody, jak využitím IT realizovat jinak nemyslitelné podnikatelské záměry.
Řízení rizika
Součástí kvalitního řízení firemního IT je rovněž řízení rizik.
Proces obsluhy rizik zahrnuje:
Identifikaci aktiv, která je potřeba chránit;
Identifikaci hrozeb, pravděpodobnosti jejich výskytu a dopadů, a z toho odvození míry rizika;
Kategorizaci výše zjištěných rizik, určení jejich priorit;
Posouzení existujících protiopatření;
Návrh úpravy protiopatření, ev. jejich zavedení.
Tady trochu postrádám odstavec "co s tím provedeme".