Myter og virkelighet av IT styringskomiteer
Den ITSC utfører en viktig funksjon i å støtte gjennomføringen av bedriftens informasjonsteknologi strategisk plan (ITSP). Videre sikrer komiteen at det minimerer risiko forbundet med implementering av IT-strategier og får en avkastning på investeringen sin. Altfor ofte organisasjoner ikke overvåke aktiviteter og beslutninger av IS-avdelingen. Snarere er de avhengige IS-avdelingen å levere IT-løsninger fordi toppledelsen ikke forstår teknologien. Imidlertid må dette holdningsendring, ellers kan organisasjonen se at vedtak fattet i isolasjon av IS-avdelingen kan føre til at organisasjonen til avfall verdifulle ressurser (både menneskelige og økonomiske) i å gjennomføre teknologisk overlegen løsninger, og ikke forretningsløsninger. Når dette skjer, får organisasjonen en dårlig avkastning på sin investering i IT. Det er kritisk fra begynnelsen at ITSC gis myndighet til å overvåke og styre IT-investeringene i organisasjonen. ISACA har anerkjent behovet for organisasjoner å ha en ITSC. The Control Objectives for Information and Related Technology (CobiT) PO4 - Definer Informasjonsteknologi Organisasjon og relasjoner Control Formål heter det: Organisasjonens øverste ledelse skal oppnevne en planlegging eller styringsgruppe for å overvåke informasjonstjenester funksjon og dens aktiviteter. Komiteen medlemskap bør inkludere representanter fra toppledelsen, brukeradministrasjon, og informasjonstjenester funksjonen. Utvalget skal møtes jevnlig og rapportere til toppledelsen. Imidlertid er revisorer ikke vurdere dette kritisk organisatoriske styre prosessen. Hvis denne kontrollen var en del av systemutvikling livssyklus, ville det bli vurdert. Fordi det er utenfor IT-avdelingen, og blir sett på som en forlengelse av toppledelsen er den ikke vurdert. På grunn av effekten det kan ha på suksessen av organisatoriske investeringer i IT, er det avgjørende at IS revisor tilsyn rolle og effektiviteten av ITSC av organisasjonen. Lede RevisjonskomiteenTilsyn Mål 1. Å fastslå at ansvar og plikter i IT styringskomité er dokumentert og kommunisert i hele organisasjonen 2. Å fastslå effektiviteten av IT Steering Committee i overvåking og styring av aktiviteter av IT i organisasjonen 3. Å fastslå at medlemmene av ITSC forstår det ansvar og plikter for sine posisjoner og er kvalifisert til å påta seg rollen Control Risks Under revisjonen av effektiviteten av ITSC, følgende styre risiko kan oppstå: - Ingen ITSC charter - Det ITSC charter er ikke kommunisert - Det ITSC charter ikke gir en "vaktbikkje" rolle over gjennomføringen og investeringer i informasjonsteknologi - Mangelen på ledelse av ITSC medlemmene til å forstå konsekvensene av manglende overholdelse av godkjente IT-strategisk plan - Dårlig forståelse av ITSC medlemmer av deres rolle og ansvar - Upassende medlemskap ved organisatoriske manager (s) (politisk forum) - Ingen nøkkelindikatorer (KPIer) for å måle effektiviteten av komiteen - Mangel på empowerment for ITSC til å iverksette tiltak (der det er aktuelt) - ITSC krav ikke er kommunisert til linjeledelsen og IS-avdelingen - Ingen overvåking prosesser på IT investme nt i organisasjonen - Ingen rapportering av ITSC til ledende ansatte TRINN 1 - GJENNOMGANG AV IT styringsgruppen CHARTERIS revisor er å få en kopi av ITSC charter. I gjennomgang av charter IS revisor er å fastslå at: - Rollen til ITSC har blitt definert og ansvar klart spesifisert (dette bør støttes av posisjon beskrivelser for sine medlemmer). Der det er plass beskrivelser, IS revisor er å vurdere beskrivelser for å avgjøre om de passer. - Kontrakten på ITSC er på linje med bedriftens strategiske målene i organisasjonen, inkludert IT-mål. - Det ITSC har sørget for kontinuerlig gjennomgang av ITSP å sikre samsvar med bedriftens planer og overordnede krav og at planen holdes gjeldende ved revisjon. - Det ITSC har myndighet til å vurdere (og godkjenne / avvise) alle forslag til IS utviklingen over en viss mengde (for eksempel over $ 10.000) fra bruker / ledere. Den ITSC er å foreskrive den nødvendige formatet av IT forslag, for eksempel, business case format, inkludert en kost / nytte-analyse med en avkastning - intern rentesats (IRR) og netto nåverdi (NPV). Det kan imidlertid i enkelte tilfeller forslag ikke rettferdiggjøres på et avkastningskrav basis, men på et fellesskap eller kundens fordel. - Det ITSC har myndighet til å behandle IS prosjektportefølje, sette prioriteringer for utviklingen av forretningsinformasjon systemutvikling, fordele de nødvendige ressursene og overvåking av utviklingen av hvert prosjekt mot mål og budsjetter. - Det ITSC krever postimplementation vurderinger som skal iverksettes som er uavhengige av IS-avdelingen og krever at funn og anbefalinger av gjennomgangen legges frem for komiteen med et svar fra IS-avdelingen. - Det ITSC oppsyn med og leder aktivitetene til eventuelle underutvalg inkludert prosjektet styringskomiteer. I essensen er rollen til ITSC at av en bedrifts vaktbikkje. Den vaktbikkje rolle vil sørge for at IS departme nt mister ikke fokus på å gi organisasjonen med kostnadseffektive IT-produkter og / eller tjenester og oppfyller sin forpliktelse til å bistå organisasjonen i å nå sine strategiske mål. Altfor ofte IS-avdelingen blir involvert i "tekniske problemer" i stedet for å implementere en "business"-løsning (er) for å oppfylle kravene i organisasjonen. TRINN 2 - fastslå effektiviteten av IT-styringsgruppenFor dette trinnet er det en rekke av revisjonshandlinger som skal utføres. Effektiviteten av ITSC vil bli målt ved følgende. ITSC Dokumentasjon Dette tilsynet prosedyren krever IS revisor til å gjennomgå minutter / rapporter og tilhørende støtte dokumenter av ITSC. Ved gjennomgang av dokumentasjon, er revisors kan avgjøre om ITSC har utført sin rolle og ansvar, ikke bare i samsvar med charter, men også i samsvar med alle prosesser som er etablert. Eksempel på valg av dokumentasjon, f.eks minutter / rapporter, business case (e) er å bli vurdert. Imidlertid vil utvalgsstørrelsen være avhengig - Det har gått tid siden etableringen av ITSC og tilsynet ikke blir gjennomført - Hyppigheten av ITSC møter - Formatet, kvalitet og kvantitet på dokumentasjon - Tilgjengelighet av dokumentene Innholdet i dokumentene skal vurderes. Detaljene må sjekkes mot dokumentasjon, f.eks ITSP, corporate planen forretningsenhet handlingsplaner, prosjektplaner, budsjetter, etc. For eksempel eventuelle avvik eller unntak fra ITSP skal henvises til ITSC leder for avklaring . Det er viktig at alle avvik eller unntak er undersøkt, da det kan være en indikator på at ITSC har enten ikke forstått sin rolle og ansvar, eller at støtte prosesser har intern-kontroll svakheter. Intervju IS Department Management Dette tilsynet prosedyren krever IS revisor å intervjue IS avdelingens ledelse. Målsettingen med denne prosedyren er å identifisere hvilke prosesser brukes til å overvåke, måle og rapportere om resultatene av IS funksjonen ytelse. ITSC er nødvendig for å gi IS-avdelingen med sine krav til rapportering av IT-virksomhet (inkludert ressursutnyttelse, prosjektstatus osv.). Under intervjuene, IS revisor er å avgjøre om IS instituttets ledelse er gitt mulighet til å heve problemer med ITSC, spesielt hvis problemene kan påvirke prosessen eller suksessen implementere IT Strategisk plan. Ofte IS-avdelingen ledelsen mener at ITSC er et påbud om sin virksomhet, fordi det mener at det er i den beste posisjon til å avgjøre hva organisasjonen skal ha i forhold til IT. Hvis IS-avdelingen øker problemer som ikke blir adressert av ITSC, kan det være indikatoren (dvs. KPI) av effekten av komiteen. Imidlertid er revisor må være oppmerksom på eventuelle forsøk på IS-avdelingen til å påvirke utilbørlig den oppfatning av effektiviteten av ITSC uten støtte og overbevisende bevis. Eventuelle spørsmål reist bør følges opp, forutsatt at det er tilstrekkelig bevis for å rettferdiggjøre innsatsen. Intervju Business Unit Agenturer Fra informasjon samlet i § 2.1 IS revisor er å velge et utvalg av IS-prosjekter (akseptert eller avvist av ITSC) og intervju ansvarlig prosjektet sponsorer, dvs. forretningsenheten ledere. Under intervju og en undersøkelse av noen dokumentasjon fra prosjektet sponsorer, IS revisor er å identifisere: - Avvik fra de prosesser som gjennomføres av ITSC med hensyn til - Krav i å utarbeide en business case - Innlevering og presentasjon av virksomheten saken - Prosjekt overvåking og rapportering - Kommunikasjon fra komiteen med hensyn til endringer i prosjektgjennomføring status, dvs. prioriteringer, ressursfordeling og målsettinger, etc. som er viktig ettersom det kan ha en innvirkning på forretningsenhet nå sine strategiske forretningsmål godkjent av bedriftens ledere - Årsaker til avvisningen av business case (s) Intervjuene skal også være en mulighet for bedriftsledere å uttrykke noen meninger om effektiviteten av ITSC i å oppfylle sin rolle som per i charter. Intervjuene kan gi tilstrekkelig bevis som vil støtte tilsynet anbefalinger å endre - The charter - Medlemskap i ITSC - ITSC prosesser Benchmarking Den fjerde Tilsynet prosedyren krever IS revisor til referanseporteføljen på ITSC mot lignende organisasjoner eller aktuelle internasjonale standarder eller anerkjent bransjens beste praksis. Referanseporteføljen øvelsen er gjennomført for å gi overbevisende bevis på at struktur, rolle, ansvar og støtter prosesser av ITSC er lyden. Til referanseporteføljen på ITSC, IS revisor vil være nødvendig å kontakte en rekke av lignende organisasjoner for å få nødvendig informasjon. For eksempel - ITSC charter - Medlem posisjon beskrivelser - Antall medlemmer - Komposisjon - Rapportering struktur - Prosesser - Kopi av "redigert" minutter / rapporter (hvis mulig) Fra denne informasjonen, er revisors kan referanseporteføljen organisasjonen ITSC. Referansemålingstjenesten øvelsen vil gi bevis hvis formen på organisasjonen ITSC er passende. TRINN 3 - Intervju IT styringsgruppen MEDLEMMERIS revisor er å intervjue medlemmer av ITSC å avgjøre om medlemmene forstår sine plikter og ansvar i overvåking og gir et veiledningsforhold rolle i IT-virksomhet i organisasjonen. Under intervjuene, IS revisor er å konstatere at - Komiteens medlemmer har relevant erfaring, ferdigheter og tilgjengelig tid til å gjennomføre denne viktige rollen. - Utvalget er "balansert" for å sikre at det ikke er noen "bias" av komiteens medlemmer eller ett medlem. - Lederen har delegert myndighet til daglig leder av organisasjonen til å iverksette nødvendige tiltak på hans eller hennes vegne. - Ressurser har fått tildelt av organisasjonen for å støtte funksjoner eller prosesser i komiteen. - Kontrakten er støttet av prosesser for å øke bevissthet, forståelse, og IT-ferdigheter på ITSC medlemmer. - Det finnes prosesser (dvs. regler og prosedyrer) for å støtte drift og avgjørelser av ITSC. - Komiteen har utarbeidet, dokumentert og kommunisert retningslinjer og prosedyrer for utarbeidelse og innsending av virksomheten saker til komiteen, Krav til rapportering, dvs. format, innhold (f.eks faktiske resultater mot planlagt leverte), og tidspunktet for rapporter, ITSC møter, dvs. format, struktur og timing. - Key Performance Indicators (dvs. KPI) har vært fast bestemt på å måle effektiviteten av komiteen. - Prosesser (dvs. prosedyrer) for gjennomgang innleveringer, rapporter og presentasjoner til komiteen har vært formalisert og avtalt av komiteens medlemmer. - IS-avdelingen ledelsen gis enhver anledning til å forklare varianser eller unntak. - Beslutninger og tiltak ved ITSC er dokumentert og kommunisert til alle interessenter. - Referat og dokumentasjon av ITSC møtene er utarbeidet og distribuert til alle interesserte parter. Ideelt sett er utvalget til å omfatte et medlem som er uavhengig av enhver linje funksjon som skal gi leder av komiteen med en upartisk utsikt. IS revisor er å bekrefte, eventuelt informasjon fra ITSC medlemmene for å sikre at den er fullstendig og korrekt, og å dokumentere sine funn. TRINN 4 - revisjonsrapportEtter å utføre revisjon av ITSC, IS revisor er å forberede en revisjonsrapport detaljering hans eller hennes funn og revisjon anbefalinger. IS revisor må være oppmerksomme på organisatoriske "politikk" ved utarbeidelsen av utkastet funn og anbefalinger. Spesielt kan det ITSC leder har betydelig "politisk" makt i organisasjonen. Derfor, fra begynnelsen, er revisors må "selge" innholdet i revisjonsberetningen og sikre at alle funn og anbefalinger er drøftet med alle interessenter. Funnene må støttes av dokumentasjon (der det passer) for å sikre aksept av anbefalingene fra ITSC og ledelsen. Eventuelle feil faktum vil skjemme målet om å gi toppledelsen en detaljert analyse av effektiviteten av ITSC. Tilsynet Rapporten skal gi tilstrekkelig detalj til at ledelsen å ta konkrete tiltak for å løse problemene funnet under tilsynet. SammendragI dag, organisasjoner er svært avhengig av IT for å bistå organisasjonen i å nå sine organisasjonens målsettinger. Ledergruppen, derfor krever IS revisor å gi en uavhengig vurdering av effektiviteten av ITSC på overvåking og kontroll med investeringer i IT. Effektiviteten av ITSC er av strategisk betydning for den samlede suksess for organisasjonen for å nå ikke bare IT-strategiske mål, men også i å få et konkurransefortrinn fra sin investering i IT. IS revisor må formidle til ledende ansatte betydningen av å ha en effektiv ITSC og dens verdi til styret i organisasjonen i utslipp av sitt forvaltningsansvar. Det finnes overveldende bevis som støtter påstanden om at svikt i ITSC av en organisasjon for å overvåke og føre tilsyn IT investeringsbeslutninger og drift har vært en av de viktigste bidragsyterne til svikt i en organisasjon i unnlater å nå sine bedriftens strategiske mål. INFORMATION TECHNOLOGY Steering Committee CHARTERDer det er politikken til organisasjonen å ha en komité som skal overvåke og kontrollere gjennomføringen av informasjonsbehandling-relaterte retningslinjer og prosedyrer, en Information Technology Steering Committee (ITSC) har delegert myndighet til å iverksette informasjonsbehandling relaterte policyer og rutiner i hele organisasjonen . Role of ITSC komité Det overordnede ansvaret for utvalget er overvåking og håndheving av informasjon styringsmessige retningslinjer og prosedyrer som er formidlet gjennom ulike former, for eksempel bedriftens plan, bedriftspolicyer, executive direktiver, osv.. Spesielt rollen til komiteen er å: - Nytt på en kontinuerlig basis av informasjonsteknologien strategiske plan (ITSP) for å sikre samsvar med bedriftens planer og overordnede krav - Initiere og overvåke informasjonssystemer og-teknologi utviklingsplaner og stor forretning prosjekter - Tenk på alle forslag til informasjon systemutvikling fra brukere / forvaltere og godkjenne deres adopsjon eller annet i form av kostnader, ressursbehov, netto nytte, organisatorisk påvirkning og teknologi innvirkning. - Administrer informasjonssystemer prosjektportefølje, sette prioriteringer for utviklingen av forretningsinformasjon systemutvikling, fordele de nødvendige ressursene og overvåking av utviklingen av hvert prosjekt mot mål og budsjett - Føre tilsyn med utøvelsen av postimplementation vurderinger for å vurdere om de forventede fordelene er oppnådd - Overvåke og kontrollere "end-user computing" eller ad hoc informasjonssystemer eller teknologiutvikling som er planlagt, har potensial til å skape overdreven datamaskin etterspørsel, duplikater innsats, eller ikkje lage en "delt" business eller bedriftens ressurs - Overvåke og direkte aktivitetene til eventuelle underutvalg inkludert prosjekt styringskomiteer - Kontroller at ITSP opprettholdes up-to-date, og at alle endringer er godkjent før de blir implementert - Bestem policy på temaer som forskning og utvikling, bruker lading og data custodianship en artikkel presentert av Jean Sedane
|
|||||
|