metodika - e-valdžios sąveikumo portalas - titulinis 1-lithuanian.pdfmetodika kontrolĖs tikslai...

4.1

M E T O D I K A

K O N T R O L Ė S T I K S L A I

V A L D Y M O G A I R Ė S

B R A N D O S M O D E L I A I

IT valdymo institutas® IT valdymo institutas (ITVI, angl. The IT Governance Institute (ITGI™, www.itgi.org)) buvo įkurtas 1998 plėtoti tarptautinį vystymą ir standartus organizacijų informacinių technologijų kontrolei. Efektyvus IT valdymas padeda užtikrinti, kad IT palaiko veiklos tikslus, optimizuoja investicijas į IT ir tinkamai valdo su IT susijusią riziką ir galimybes. ITVI pateikia savo tyrimų rezultatus, skaitmeninę biblioteką ir praktikos aprašus, kad organizacijų vadovai ir direktorių tarybos jais vadovautųsi valdant IT.

Taikymo apribojimas – apsidraudimas nuo pretenzijų / atsakomybės„Savininkas“ sumanė ir suredagavo šį produktą, pavadintą CobiT® 4.1 , kaip mokymo priemonę IT vadovams, IT vadybos, valdymo ir kontrolės profesionalams. Savininkas nepretenduoja, kad šio produkto panaudojimas užtikrins sėkmę. Nereikia manyti, kad šis produktas apima visus reikiamus duomenis, procedūras ir testus arba kad jame nėra kitų duomenų, procedūrų bei testų, logiškai galvojant reikalingų pasiekti tokiems patiems rezultatams. Nustatydami konkrečių duomenų, procedūrų ar testų tinkamumą IT vadovai, IT vadybos, valdymo ir kontrolės profesionalai turi vertinti konkrečias aplinkybes, esamas sistemas ir IT aplinką vadovaudamiesi savo profesine nuovoka.Iškilus neaiškumų ar ginčų dėl lietuviškosios CobiT 4.1 versijos dalykinio turinio, pirmenybė teikiama oficialiajai (angliškai) versijai, iš kurios buvo versta.

Teisės į KūrinįVisos teisės priklauso IT valdymo institutui, 2007. Šis Kūrinys (ar jo dalys) negali būti naudojamas, kopijuojamas, pakeistas, platinamas, atvaizduojamas, saugomas ar perduodamas jokia forma ir priemonėmis (elektronine, mechanine, kopijuojant, įrašant ar kitaip) be išankstinio ITVI raštiško sutikimo.Reprodukcija šio Kūrinio dalių vidiniam ir nekomerciniam ar akademiniam naudojimui yra leidžiama, pilnai nurodant medžiagos šaltinį. Nesuteikiamos kitokios teisės šio Kūrinio naudojimui.

IT Governance Institute3701 Algonquin Road, Suite 1010Rolling Meadows, IL 60008 USATel.: +1.847.590.7491Fax: +1.847.253.1443E-mail: [email protected]

Lietuviška versijaIšleista 2011 metais, versija: 2011-09-29Tarptautinės informacinių sistemų audito ir valdymo asociacijos (ISACA) skyrius LietuvojeĮm. kodas 300026101 Subačiaus g. 7LT-01008 Vilnius

CobiT 4.1

i T v a l d y m o i n s T i T u T a s

CobiT 4.1

1i T v a l d y m o i n s T i T u T a s

Padėkos:IT valdymo institutas (ITVI) dėkoja:Ekspertams ir redaktoriamsMark Adler, CISA, CISM, CIA, CISSP, Allstate Ins. Co., USAPeter Andrews, CISA, CITP, MCMI, PJA Consulting, UKGeorges Ataya, CISA, CISM, CISSP, MSCS, PBA, Solvay Business School, BelgiumGary Austin, CISA, CIA, CISSP, CGFM, KPMG LLP, USAGary S. Baker, CA, Deloitte & Touche, CanadaDavid H. Barnett, CISM, CISSP, Applera Corp., USAChristine Bellino, CPA, CITP, Jefferson Wells, USAJohn W. Beveridge, CISA, CISM, CFE, CGFM, CQA, Massachusetts Office of the State Auditor, USAAlan Boardman, CISA, CISM, CA, CISSP, Fox IT, UKDavid Bonewell, CISA, CISSP-ISSEP, Accomac Consulting LLC, USADirk Bruyndonckx, CISA, CISM, KPMG Advisory, BelgiumDon Canilglia, CISA, CISM, USALuis A. Capua, CISM, Sindicatura General de la Nación, ArgentinaBoyd Carter, PMP, Elegantsolutions.ca, CanadaDan Casciano, CISA, Ernst & Young LLP, USASean V. Casey, CISA, CPA, USASushil Chatterji, Edutech, SingaporeEdward Chavannes, CISA, CISSP, Ernst & Young LLP, USAChristina Cheng, CISA, CISSP, SSCP, Deloitte & Touche LLP, USADharmesh Choksey, CISA, CPA, CISSP, PMP, KPMG LLP, USAJeffrey D. Custer, CISA, CPA, CIA, Ernst & Young LLP, USABeverly G. Davis, CISA, Federal Home Loan Bank of San Francisco, USAPeter De Bruyne, CISA, Banksys, BelgiumSteven De Haes, University of Antwerp Management School, BelgiumPeter De Koninck, CISA, CFSA, CIA, SWIFT SC, BelgiumPhilip De Picker, CISA, MCA, National Bank of Belgium, BelgiumKimberly de Vries, CISA, PMP, Zurich Financial Services, USARoger S. Debreceny, Ph.D., FCPA, University of Hawaii, USAZama Dlamini, Deloitte & Touche LLP, South AfricaRupert Dodds, CISA, CISM, FCA, KPMG, New ZealandTroy DuMoulin, Pink Elephant, CanadaBill A. Durrand, CISA, CISM, CA, Ernst & Young LLP, CanadaJustus Ekeigwe, CISA, MBCS, Deloitte & Touche LLP, USARafael Eduardo Fabius, CISA, Republica AFAP S.A., UruguayUrs Fischer, CISA, CIA, CPA (Swiss), Swiss Life, SwitzerlandChristopher Fox, ACA, PricewaterhouseCoopers, USABob Frelinger, CISA, Sun Microsystems Inc., USAZhiwei Fu, Ph. D, Fannie Mae, USAMonique Garsoux, Dexia Bank, BelgiumEdson Gin, CISA, CFE, SSCP, USASauvik Ghosh, CISA, CIA, CISSP, CPA, Ernst & Young LLP, USAGuy Groner, CISA, CIA, CISSP, USAErik Guldentops, CISA, CISM, University of Antwerp Management School, BelgiumGary Hardy, IT Winners, South AfricaJimmy Heschl, CISA, CISM, KPMG, AustriaBenjamin K. Hsaio, CISA, Federal Deposit Insurance Corp., USATom Hughes, Acumen Alliance, AustraliaMonica Jain, CSQA, Covansys Corp., USWayne D. Jones, CISA, Australian National Audit Office, AustraliaJohn A. Kay, CISA, USALisa Kinyon, CISA, Countrywide, USARodney Kocot, Systems Control and Security Inc., USALuc Kordel, CISA, CISM, CISSP, CIA, RE, RFA, Dexia Bank, BelgiumLinda Kostic, CISA, CPA, USAJohn W. Lainhart IV, CISA, CISM, IBM, USAPhilip Le Grand, Capita Education Services, UK.Elsa K. Lee, CISA, CISM, CSQA, AdvanSoft International Inc., USAKenny K. Lee, CISA, CISSP, Countrywide SMART Governance, USADebbie Lew, CISA, Ernst & Young LLP, USADonald Lorete, CPA, Deloitte & Touche LLP, USAAddie C.P. Lui, MCSA, MCSE, First Hawaiian Bank, USA

Debra Mallette, CISA, CSSBB, Kaiser Permanente, USACharles Mansour, CISA, Charles Mansour Audit & Risk Service, UKMario Micallef, CPAA, FIA, National Australia Bank Group, AustraliaNiels Thor Mikkelsen, CISA, CIA, Danske Bank, DenmarkJohn Mitchell, CISA, CFE, CITP, FBCS, FIIA, MIIA, QiCA, LHS Business Control, UKAnita Montgomery, CISA, CIA, Countrywide, USAKarl Muise, CISA, City National Bank, USAJay S. Munnelly, CISA, CIA, CGFM, Federal Deposit Insurance Corp., USASang Nguyen, CISA, CISSP, MCSE, Nova Southeastern University, USAEd O’Donnell, Ph.D., CPA, University of Kansas, USASue Owen, Department of Veterans Affairs, AustraliaRobert G. Parker, CISA, CA, CMC, FCA, Robert G. Parker Consulting, CanadaRobert Payne, Trencor Services (Pty) Ltd., South AfricaThomas Phelps IV, CISA, PricewaterhouseCoopers LLP, USAVitor Prisca, CISM, Novabase, PortugalMartin Rosenberg, Ph.D., IT Business Management, UKClaus Rosenquist, CISA, TrygVesata, DenmarkJaco Sadie, Sasol, South AfricaMax Shanahan, CISA, FCPA, Max Shanahan & Associates, AustraliaCraig W. Silverthorne, CISA, CISM, CPA, IBM Business Consulting Services, USAChad Smith, Great-West Life, CanadaRoger Southgate, CISA, CISM, FCCA, CubeIT Management Ltd., UKPaula Spinner, CSC, USAMark Stanley, CISA, Toyota Financial Services, USADirk E. Steuperaert, CISA, PricewaterhouseCoopers, BelgiumRobert E. Stroud, CA Inc., USAScott L. Summers, Ph.D., Brigham Young University, USALance M. Turcato, CISA, CISM, CPA, City of Phoenix IT Audit Division, USAWim Van Grembergen, Ph.D., University of Antwerp Management School, BelgiumJohan Van Grieken, CISA, Deloitte, BelgiumGreet Volders, Voquals NV, BelgiumThomas M. Wagner, Gartner Inc., USARobert M. Walters, CISA, CPA, CGA, Office of the Comptroller General, CanadaFreddy Withagels, CISA, Capgemini, BelgiumTom Wong, CISA, CIA, CMA, Ernst & Young LLP, CanadaAmanda Xu, CISA, PMP, KPMG LLP, USA

ITVI Pasitikėjimo tarybaiEverett C. Johnson, CPA, Deloitte & Touche LLP (retired), USA, International PresidentGeorges Ataya, CISA, CISM, CISSP, Solvay Business School, Belgium, Vice PresidentWilliam C. Boni, CISM, Motorola, USA, Vice PresidentAvinash Kadam, CISA, CISM, CISSP, CBCP, GSEC, GCIH, Miel e-Security Pvt. Ltd., India, Vice PresidentJean-Louis Leignel, MAGE Conseil, France, Vice PresidentLucio Augusto Molina Focazzio, CISA, Colombia, Vice PresidentHoward Nicholson, CISA, City of Salisbury, Australia, Vice PresidentFrank Yam, CISA, FHKIoD, FHKCS, FFA, CIA, CFE, CCP, CFSA, Focus Strategic Group, Hong Kong, Vice PresidentMarios Damianides, CISA, CISM, CA, CPA, Ernst & Young LLP, USA, Past International PresidentRobert S. Roussey, CPA, University of Southern California, USA, Past International PresidentRonald Saull, CSP, Great-West Life and IGM Financial, Canada, Trustee

ITVI Valdymo tarybaiTony Hayes, FCPA, Queensland Government, Australia, ChairMax Blecher, Virtual Alliance, South AfricaSushil Chatterji, Edutech, SingaporeAnil Jogani, CISA, FCA, Tally Solutions Limited, UKJohn W. Lainhart IV, CISA, CISM, IBM, USARómulo Lomparte, CISA, Banco de Crédito BCP, PeruMichael Schirmbrand, Ph.D., CISA, CISM, CPA, KPMG LLP, AustriaRonald Saull, CSP, Great-West Life Assurance and IGM Financial, Canada

CobiT valdymo komitetuiRoger Debreceny, Ph.D., FCPA, University of Hawaii, USA, ChairGary S. Baker, CA, Deloitte & Touche, Canada

CobiT 4.1

i T v a l d y m o i n s T i T u T a s2

Padėkos tęsiama


CobiT 4.1

3

Dan Casciano, CISA, Ernst & Young LLP, USASteven De Haes, University of Antwerp Management School, BelgiumPeter De Koninck, CISA, CFSA, CIA, SWIFT SC, BelgiumRafael Eduardo Fabius, CISA, Repśblica AFAP SA, UruguayUrs Fischer, CISA, CIA, CPA (Swiss), Swiss Life, SwitzerlandErik Guldentops, CISA, CISM, University of Antwerp Management School, BelgiumGary Hardy, IT Winners, South AfricaJimmy Heschl, CISA, CISM, KPMG, AustriaDebbie A. Lew, CISA, Ernst & Young LLP, USAMaxwell J. Shanahan, CISA, FCPA, Max Shanahan & Associates, AustraliaDirk Steuperaert, CISA, PricewaterhouseCoopers LLC, BelgiumRobert E. Stroud, CA Inc., USA

ITVI patariamajam komitetuiRonald Saull, CSP, Great-West Life Assurance and IGM Financial, Canada, ChairRoland Bader, F. Hoffmann-La Roche AG, SwitzerlandLinda Betz, IBM Corporation, USAJean-Pierre Corniou, Renault, FranceRob Clyde, CISM, Symantec, USARichard Granger, NHS Connecting for Health, UKHoward Schmidt, CISM, R&H Security Consulting LLC, USAAlex Siow Yuen Khong, StarHub Ltd., SingaporeAmit Yoran, Yoran Associates, USA

ITVI sponsoriams ir afilijuotoms organizacijomsISACA chaptersAmerican Institute for Certified Public AccountantsASIS InternationalThe Center for Internet SecurityCommonwealth Association of Corporate GovernanceFIDA InformInformation Security ForumThe Information Systems Security AssociationInstitut de la Gouvernance des Systčmes d’InformationInstitute of Management AccountantsISACAITGI JapanSolvay Business SchoolUniversity of Antwerp Management SchoolAldion Consulting Pte. Lte.CAHewlett-PackardIBMLogLogic Inc.Phoenix Business and Systems Process Inc.Symantec CorporationWolcott Group LLCWorld Pass IT Solutions

Tarptautinės informacinių sistemų audito ir valdymo asociacijos (ISACA) skyrius Lietuvoje dėkoja prisidėjusiems išleidžiant lietuvišką versiją:Lietuvos Respublikos valstybės kontroleiIrmantui Aleliūnui, informacijos ir komunikacijos mokslų daktarui, CISA, Europos Komisijos Vidaus audito tarnybaBronislovui Balvočiui, OCP, CISA, CRISC, PMP, AB Ūkio bankasMarijui Banaičiui, CISA, UAB Lonus technologiesViliui Benečiui, informatikos ir telekomunikacijų mokslų daktarui, CISA, CRISC, UAB BAIPDainiui Gužiui, CISA, CISM, CISSP, Deutsche Post DHLDainiui Jakimavičiui, matematikos mokslų daktarui, CGEIT, Lietuvos Respublikos valstybės kontrolėIevai Kosaitei, Lietuvos Respublikos valstybės kontrolėIevai Mačiulaitienei, UAB VertimaiHenrikui Šavelai, CISA, CISM, CGEIT, Nacionalinė mokėjimo agentūra prie Žemės ūkio ministerijos

Padėkos tęsiama

CobiT 4.1


Turinys

SANTRAUKA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

CobiT METODIKA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

PLANAVIMAS IR ORGANIZAVIMAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

ĮSIGIJIMAS IR ĮDIEGIMAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

TEIKIMAS IR PALAIKYMAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

STEBĖSENA IR VERTINIMAS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

I PRIEDAS – LENTELĖS, SUSIEJANČIOS TIKSLUS IR PROCESUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

II PRIEDAS – IT PROCESŲ SUSIEJIMAS SU SVARBIAUSIOMIS IT VALDYMO SRITIMIS, COSO, CobiT IT IŠTEKLIAIS IR COBIT INFORMACIJOS KRITERIJAIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

III PRIEDAS – VIDAUS KONTROLĖS BRANDOS MODELIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

IV PRIEDAS – CobiT 4.1 PAGRINDINĖS NUORODOS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

V PRIEDAS – KRYŽMINĖS NUORODOS TARP CobiT 3-IOJO LEIDIMO IR CobiT 4.1 . . . . . . . . . . . . . . . . . 179

VI PRIEDAS – TYRIMŲ IR PLĖTROS METODAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187

VII PRIEDAS – TERMINŲ ŽODYNAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189

VIII PRIEDAS – CobiT IR SUSIJĘ PRODUKTAI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195

Laukiame jūsų atsiliepimų apie CobiT 4.1. Apsilankykite adresu www.isaca.org/cobitfeedback ir pateikite savo komentarus. Lietuviškai versijai komentarus taip pat galite pateikti el. paštu [email protected].

s a n t r a u k a

san

tr

au

ka

sanTraukaDaugeliui organizacijų informacija ir ją palaikančios technologijos yra jų vertingiausias, tačiau dažnai mažiausiai suvokiamas turtas. Sėkmingai veikiančios organizacijos suvokia informacinių technologijų naudą ir pasitelkia jas kurdamos vertę suinteresuotosioms šalims. Šios organizacijos supranta ir valdo susijusias rizikas, pvz., griežtėjančią reguliavimo atitiktį ir kritinę daugelio veiklos procesų priklausomybę nuo informacinių technologijų (IT).

Poreikis užtikrinti IT vertę, su IT susijusios rizikos valdymas ir padidėję informacijos kontrolės reikalavimai dabar laikomi svarbiausiais organizacijos valdymo elementais. Vertė, rizika ir kontrolė sudaro IT valdymo pagrindą.

IT valdymas yra organizacijos vadovybės ir direktorių tarybos atsakomybė, susidedanti iš vadovavimo, organizacinių struktūrų ir procesų, užtikrinančių IT suderinamumą su organizacijos strategijomis ir tikslais.

Be to, IT valdymas integruoja ir įtvirtina organizacijoje gerą praktiką, užtikrindamas, kad IT padės pasiekti organizacijos veiklos tikslus. IT valdymas sudaro organizacijai galimybę pasinaudoti visais informacijos teikiamais pranašumais, ir tokiu būdu didinti pelną, pasinaudoti esamomis galimybėmis ar įgyti konkurencinį pranašumą. Siekiant šių tikslų, turi būti taikoma IT kontrolės metodika, kuri būtų suderinta su plačiai taikomu organizacijos valdymo ir rizikų valdymo kontrolės COSO modeliu, paskelbtu Tredvėjaus (James C. Treadway) komisijos rėmėjų komiteto (COSO) ataskaitoje Vidaus kontrolė – integruota sistema (angl. Committee of Sponsoring Organisations of the Treadway Commission’s (COSO’s) Internal Control—Integrated Framework), ir su kitais panašiais suderinamais modeliais.

Organizacijos turi laikytis informacijos ir viso turto kokybės, pasitikėjimo ir saugumo reikalavimų. Vadovai privalo optimaliai naudoti esamus IT išteklius, įskaitant taikomąsias programas, informaciją, infrastruktūrą ir darbuotojus. Vykdydama šias pareigas ir siekdama nustatytų tikslų, vadovybė turi suprasti savo organizacijos IT architektūros būklę ir nuspręsti, kokius valdymo ar kontrolės metodus reikia pasirinkti.

Informacijos ir susijusių technologijų kontrolės tiksluose (CobiT®) (angl. Control Objectives for Information and related Technology (CobiT®) yra pateikiama gera praktika tiek atskirų procesų, tiek domenų lygmenyje, naudojama lengvai valdoma ir logiška veiksmų seka. CobiT gera praktika yra pagrįsta bendru ekspertų sutarimu, daugiau akcentuojant kontrolę, mažiau – vykdymą. Ši praktika padeda optimizuoti IT investicijas, užtikrinti paslaugų teikimą ir nustatyti vertinimo rodiklius, pagal kuriuos būtų galima vertinti padėtį, ar viskas vyksta gerai.

Kad veiklos poreikius atitinkančios IT paslaugos būtų sėkmingai teikiamos, vadovybė turi sukurti vidaus kontrolės sistemą. CobiT padeda tai pasiekti: • susiedama IT su veiklos poreikiais,• susistemindama IT veiklas į visiems priimtiną procesais pagrįstą modelį, • identifikuodama pagrindinius IT išteklius, kurie turi būti efektyviai valdomi,• nustatydama valdymo kontrolės tikslus.

CobiT kontrolės metodika yra taikoma veiklai, susiejant veiklos tikslus su IT tikslais, aprašant metrikas ir brandos modelius, skirtus pasiektiems tikslams vertinti, nustatant veiklos ir IT procesų savininkų1 atsakomybę.

Kad CobiT skiria daug dėmesio procesams, patvirtina ir procesais pagrįsta CobiT struktūra, kuomet IT veikla yra suskirstoma į 34 procesus, esančius 4 domenuose, skirtus planavimui, kūrimui, vykdymui ir stebėsenai, ir išsamiai aprašančius visus IT veiklos aspektus. Organizacijos architektūros principai padeda nustatyti esminius sėkmingam procesui būtinus išteklius: taikomąsias programas, informaciją, infrastruktūrą ir darbuotojus.

Apibendrinant, kad būtų užtikrinta informacija, reikalinga organizacijos tikslams pasiekti, IT ištekliai turi būti valdomi naudojant modelį, pagrįstą pagal tam tikrą požymį sugrupuotais procesais.

Tačiau kaip organizacija kontroliuoja IT, kad jos teiktų reikiamą informaciją? Kaip organizacija valdo rizikas ir apsaugo IT išteklius, nuo kurių ji taip priklauso? Kaip ji užtikrina, kad IT pasiektų jai keliamus tikslus ir palaikytų veiklą?

Visų pirma, vadovybei reikia kontrolės tikslų, apibrėžiančių pagrindinius vykdomų politikų, planų ir procedūrų, taip pat ir organizacijos struktūrų tikslus, ir skirtų užtikrinti, kad:• veiklos tikslai būtų pasiekti,• nepageidaujamiems įvykiams būtų užkirstas kelias arba tokie įvykiai būtų aptikti ir ištaisyti.

1 Literatūroje IT valdymo klausimais taip pat naudojama sąvoka „proceso valdytojas“, turinti dažniausiai tą pačią prasmę.

sanTrauka


STRA

TEGINI

S

SUDE

RINAM

UMAS

VEIKLOS

VERTINIMAS

VERTĖS KŪRIMAS

RIZI

KOS

VALD

YMAS

IŠTEKLIŲ VALDYMAS

IT VALDYMAS

CobiT 4.1


Antra, sudėtingoje šiandienos aplinkoje vadovybė nuolat ieško glaustos ir laiku prieinamos informacijos, kuri padėtų greitai ir sėkmingai priimti sudėtingus sprendimus dėl vertės, rizikos bei kontrolės. Ką ir kaip reikia vertinti? Organizacijoms reikia objektyvaus vertinimo rodiklio, parodančio jų esamą būklę ir kokie patobulinimai yra reikalingi, joms taip pat reikia valdymo instrumentų šių patobulinimų stebėsenai vykdyti. 1 paveikslėlyje pateikti keli tradiciniai klausimai, taip pat valdymo instrumentai, skirti atsakymams sužinoti. Tačiau šiems rodiklių rinkiniams turi būti nustatyti rodikliai, veiklos rodikliams – vertinimo rodikliai, o lyginamajai analizei – palyginimo mastelis.

Atsakymas į šiuos reikalavimus apibrėžti ir stebėti atitinkamą IT kontrolės ir veiklos efektyvumo lygį yra šie CobiT apibrėžimai:• IT procesų esamo ir potencialaus efektyvumo lyginamoji analizė, naudojanti brandos modelius, palyginamus su Programų

inžinerijos instituto gebėjimų brandos modeliu;• IT procesų tikslai ir metrikos, skirti apibrėžti ir įvertinti šių procesų rezultatus bei efektyvumą remiantis Roberto Kaplano ir

Deivido Nortono subalansuotais veiklos rodikliais;• veiklos tikslai, skirti šių procesų kontrolei, pagrįstai CobiT kontrolės tikslais.

CobiT brandos modeliais pagrįstas proceso gebos vertinimas yra esminė IT valdymo dalis. Identifikavus kritinius IT procesus ir kontrolės priemones, brandos modeliai yra naudojami gebos trūkumams nustatyti ir juos parodyti vadovybei. Tuomet rengiami veiksmų planai, skirti šiems IT procesams tobulinti iki pageidaujamo brandos lygio.

Taigi CobiT palaiko IT valdymą (2 pav.) ir siūlo metodiką, kuri užtikrina, kad:• IT sritis būtų suderinta su veikla,• IT sudarytų sąlygas veiklai ir maksimaliai padidintų gaunamą naudą,• IT ištekliai būtų naudojami atsakingai,• IT rizikos būtų valdomos tinkamai.

Veiklos vertinimas yra svarbus IT valdymui. CobiT metodai leidžia atlikti tokį vertinimą, kuomet nustatomi ir stebimi tikslai, nurodantys, ką turi pasiekti IT procesai (proceso rezultatas) bei kokiu būdu tai turi būti atlikta (proceso geba ir efektyvumas). Daugeliu tyrimų buvo nustatyta, kad skaidrumo trūkumas IT sąnaudų, vertės ir rizikų srityse, yra vienas iš svarbiausių veiksnių, darančių įtaką IT valdymui. Nors svarbios ir kitos pagrindinės IT valdymo sritys, labiausiai skaidrumo siekti padeda veiklos vertinimas.

Kaip atsakingieji vadovai išlaiko organizacijos kryptį?

Kaip organizacija gali pasiekti rezultatų, patenkinančių kuo didesnį suinteresuotųjų šalių segmentą?

Kaip organizacija gali laiku prisitaikyti prie savo aplinkos tendencijų ir naujovių?

Rodikliai?

Vertinimo rodikliai?

Mastelis?

RODIKLIŲ RINKINYS

VEIKLOS RODIKLIAI

LYGINAMOJI ANALIZĖ

1 pav. Valdymo informacija

2 pav. Pagrindinės IT valdymo sritys

• Strateginis suderinamumas akcentuoja veiklos ir IT planų susiejimą, IT teikiamos vertės siūlymo nustatymą, priežiūrą ir patvirtinimą, taip pat organizacijos veiklos IT procesų suderinamumą.

• Vertės kūrimas yra IT teikiamos vertės siūlymo realizavimas visą paslaugų teikimo ciklą užtikrinant, kad IT teiktų laukiamą naudą, kaip yra numatyta strategijoje, susitelkiant į sąnaudų optimizavimą ir patvirtinant tikrąją IT vertę.

• Išteklių valdymas yra susijęs su optimaliomis investicijomis į ypač svarbius IT išteklius – taikomąsias programas, informaciją, infrastruktūrą ir darbuotojus – ir tinkamu jų valdymu. Svarbiausi dalykai šioje srityje yra žinių ir infrastruktūros optimizavimas.

• Rizikos valdymas reiškia, kad aukščiausio lygio organizacijos vadovai supranta, kas yra rizika, organizacijos darbuotojai aiškiai suvokia, kokio masto rizika organizacijai yra priimtina, išmano atitikties reikalavimus, tiksliai žino, kokia rizika organizacijai yra reikšminga ir prisiima organizacijoje numatytą atsakomybę už rizikos valdymą.

• Veiklos vertinimas atliekamas sekant ir stebint strategijos įgyvendinimą, projektų atlikimą, išteklių naudojimą, procesų vykdymą ir paslaugų teikimą, taikant, pavyzdžiui, subalansuotų veiklos rodiklių sistemas, strategiją paverčiančias veiksmais, skirtais pasiekti tikslus, vertinamus sudėtingiau negu įprastas apskaičiavimas.

Šios pagrindinės IT valdymo sritys apibrėžia klausimus, kuriuos vadovybė turi spręsti valdydama organizacijos IT veiklą. Organizacijos veiklai reikalingi procesai, skirti organizuoti ir valdyti einamąją IT veiklą. CobiT siūlo bendrą procesais pagrįstą modelį, aprašantį visus IT veikloje sutinkamus procesus, kuris gali būti naudojamas kaip etaloninis modelis, suprantamas tiek IT, tiek ir veiklos vadovams. CobiT procesais pagrįstas modelis yra susietas su pagrindinėmis IT valdymo sritimis (žr. II priedą IT procesų susiejimas su pagrindinėmis IT valdymo sritimis, COSO, CobiT IT ištekliais ir CobiT informacijos kriterijais). Šis susiejimas sujungia tai, ką žemesnio lygio vadovai turi vykdyti, ir tai, ką aukštesnio lygio vadovai nori valdyti.

Siekdami rezultatyvaus valdymo, aukštesniojo lygio vadovai reikalauja, kad vadovai, atsakingi už einamosios IT veiklos organizavimą ir valdymą, taikytų kontrolės priemones laikydamiesi visiems IT procesams priimtino kontrolės modelio. CobiT kontrolės tikslai yra susisteminti pagal IT procesus, todėl kontrolės modelis aiškiai susieja IT valdymo reikalavimus, IT procesus ir IT kontrolės priemones.

CobiT yra skirtas užtikrinti tinkamą IT valdymą ir kontrolę, tai yra metodika, taikoma aukščiausiems valdymo lygmenims. CobiT yra sugretintas ir suderintas su kitais išsamesniais IT standartais ir gera praktika (žr. IV priedą CobiT 4.1 Pagrindinės nuorodos, angl. CobiT 4.1 Primary Reference Material). CobiT sujungia šias skirtingas gaires, apibendrina pagrindinius tikslus viena visaapimančia metodika, kuri savo ruožtu susieja valdymą su veiklos poreikiais.

COSO (ar panašūs suderinti modeliai) yra dažnai naudojami organizacijos vidaus kontrolės sistemose. CobiT yra visuotinai pripažintas vidaus kontrolės instrumentas, skirtas IT valdymui.

CobiT produktai yra suskirstyti į tris lygius (3 pav.), skirtus:• vadovams ir direktorių taryboms,• veiklos ir IT vadovams,• valdymo, kokybės užtikrinimo, kontrolės ir

saugos specialistams.

Trumpai apibūdinant, CobiT produktai yra šie:• Informacija vadovybei apie IT valdymą,

2-asis leidimas (angl. Board Briefing on IT Governance, 2nd Edition). Padeda vadovybei suprasti, kuo svarbus yra IT valdymas, kokių problemų kyla šioje srityje ir kokia yra jų pačių su IT valdymu susijusi atsakomybė.

• Valdymo gairės / brandos modeliai. Padeda nustatyti atsakomybę, vertinti veiklą atlikti lyginamąją analizę ir taisyti gebėjimų spragas.

• Struktūros. Susistemina IT valdymo tikslus ir gerą praktiką pagal IT domenus ir procesus bei susieja juos su veiklos poreikiais.

• Kontrolės tikslai. Pateikia išsamų rinkinį aukšto lygio reikalavimų, į kuriuos vadovai turi atsižvelgti siekdami rezultatyvios kiekvieno IT proceso kontrolės.

• IT valdymo įgyvendinimo vadovas: CobiT® ir Val IT™ naudojimas, 2-asis leidimas (angl. IT Governance Implementation Guide:Using CobiT® and Val IT™, 2nd Edition). Pateikia bendrąsias IT valdymo įgyvendinimo gaires taikant CobiT ir Val IT™ išteklius.

• CobiT® kontrolės praktika: patarimai, kaip pasiekti kontrolės tikslus, kad IT valdymas būtų sėkmingas, 2-asis leidimas (angl. CobiT® Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition). Pataria, kodėl yra verta įgyvendinti kontrolės priemones ir kaip tai daryti.

• IT kokybės užtikrinimo vadovas: CobiT® naudojimas (angl. IT Assurance Guide: Using CobiT®). Paaiškina, kaip galima naudoti CobiT prisidedant prie įvairių kokybės užtikrinimo veiksmų, bei siūlo testavimo žingsnius visiems IT procesams ir kontrolės tikslams.

3 paveikslėlyje pavaizduota CobiT turinio schema pristato svarbiausias auditorijas, jų klausimus apie IT valdymą ir visuotinai taikomus produktus, kurie pateikia atsakymus. Schemoje yra ir išvestinių produktų, skirtų konkrečiam tikslui, pavyzdžiui, saugumo sričiai ar specifinėms organizacijoms.

Brandos modeliai

Valdymo gairės

Informacija vadovybei apie IT valdymą, 2-asis leidimasKaip

taryba atlieka savo

pareigas?

Vadovai ir tarybos

Kaip vertiname veiklą?Kaip mes atrodome palyginus su kitais?

Kaip tobulėjame einant laikui?

Veiklos ir technologijų valdymas

Koks yra IT valdymo

modelis?

Kaip vertiname IT valdymo

modelį?

Kaip mes jį organizacijoje įgyvendiname?

Valdymo, kokybės užtikrinimo, kontrolės ir saugos specialistai

IT valdymo įgyvendinimo

vadovas, 2-asis leidimas

COBIT kontrolės praktika, 2-asis leidimas

Kontrolės tikslai

IT kokybės užtikrinimo vadovas

COBIT ir Val ITmodeliai

Pagrindinė valdymo praktika

Ši COBIT produktų schema pristato visuotinai taikomus produktus ir pagrindinę jų auditoriją. Schemoje yra ir išvestinių produktų, skirtų konkrečiam tikslui (IT kontrolės tikslai Sarbanes-Oxley aktui, 2-asis leidimas), (angl. IT Control Objectives for Sarbanes-Oxley, 2nd Edition), konkrečioms, pvz., saugos, sritims (COBIT saugos baziniai rodikliai ir Informacijos saugos valdymas: gairės direktorių taryboms ir vadovybei), (angl. COBIT Security Baseline, Information Security Governance: Guidance for Boards of Directors and Executive Management) ar speci�nėms organizacijoms (COBIT Quickstart mažoms ir vidutinėms organizacijoms arba didelėms organizacijoms, planuojančioms ateityje įdiegti platesnį IT valdymo taikymą).

3 pav. – CobiT turinio schema

sanTrauka


CobiT 4.1


Visi šie CobiT komponentai yra susiję ir, kaip pavaizduota 4 paveikslėlyje, palaiko skirtingų auditorijų valdymo, kontrolės, valdymo ir kokybės užtikrinimo poreikius.

CobiT yra metodika ir instrumentų rinkinys, leidžiantis vadovams sumažinti trūkumus, atsižvelgiant į kontrolės reikalavimus, techninius dalykus ir veiklos riziką, bei informuoti suinteresuotąsias šalis apie tokį kontrolės lygį. CobiT padeda organizacijoms formuoti aiškią IT kontrolės politiką ir gerą praktiką. CobiT nuolat atnaujinamas bei derinamas su kitais standartais ir gairėmis. Taigi CobiT sujungia IT gerą praktiką ir yra IT valdymo visaapimantis modelis, padedantis suprasti ir valdyti su IT susijusią riziką ir naudą. Procesais pagrįsta CobiT struktūra ir į aukšto lygio veiklos valdymą orientuotas metodas taikomas visai IT valdymo sričiai bei su šia sritimi susijusiems sprendimams, kuriuos reikia priimti.

Nauda, kurią organizacija gauna taikydama CobiT kaip IT valdymo modelį, yra:• geresnis veiklos ir IT suderinamumas, pagrįstas IT orientacija į veiklą;• vadovybei suprantamas požiūris į IT srities veiklą;• aiškus valdymas ir atsakomybė, pagrįsti procesais;• visuotinis trečiųjų šalių ir reguliavimo srities atstovų pripažinimas;• vienodas visų suinteresuotųjų šalių supratimas, paremtas bendra kalba;• COSO reikalavimų IT kontrolės aplinkai įvykdymas.

Likusioje šio dokumento dalyje aprašomas CobiT metodas ir visi pagrindiniai CobiT komponentai, sujungti į CobiT keturiuose IT domenuose esančius 34 IT procesus. Tai patogus vadovas visoms pagrindinėms CobiT gairėms. Prie jo pridedama keletas priedų, taip pat suteikiančių naudingų nuorodų.

Išsamiausią ir naujausią informaciją apie CobiT ir su juo susijusius produktus, įskaitant interneto priemones, taikymo instrukcijas, atskirų atvejų tyrimus, informacinius biuletenius ir mokomąją medžiagą, galite rasti adresu www.isaca.org/cobit.

reikalavimai

kontroliuojami

kuriuo

s auditu

oja

vertin

ami

pagal v

eiklą

kuriuo

s atliek

a pagal brandą

kuriuos audituojapag

al re

zulta

tą

informacija

išvesti iš

kuriuos audituoja

Veiklos

Kontrolės tikslai

Kontrolės rezultato

testai

Pagrindiniai veiksmai

Kontrolės praktika

Kontrolės plano testai

Brandos modeliai

Rezultato rodikliai

Veiklos rodikliai

išskaidy

ti į

pagrįsti Atsakomybės ir atskaitingumo

schema

tikslai

IT procesai

IT tikslai

4 pav. CobiT komponentų tarpusavio ryšiai

C o b i t m e t o d i k a meto

dik

a

CobiT meTodika

CobiT misija:tirti, kurti, skelbti autoritetingą, modernią, tarptautiniu mastu pripažintą IT valdymo kontrolės metodiką, skatinti organizacijas ją rinktis, o vadovus, IT srities bei kokybės užtikrinimo specialistus taikyti ją kasdieniame darbe.

IT VALDYMO KONTROLĖS METODIKOS POREIKIS

IT valdymo kontrolės metodika pagrindžia, dėl kokių priežasčių yra reikalingas IT valdymas, kokios yra suinteresuotosios šalys ir kas turi būti atlikta.

Kodėl

Aukščiausio lygio vadovai vis labiau supranta, kokį didelį poveikį informacija gali daryti organizacijos sėkmei. Vadovai tikisi geresnio IT srities išmanymo ir sėkmingo IT valdymo, siekiant konkurencinio pranašumo. Ypač aukščiausiems vadovams reikia žinoti, ar informacija organizacijoje valdoma taip, kad organizacija:• pasiektų savo tikslus,• būtų pakankamai lanksti, kad galėtų mokytis ir prisitaikyti,• protingai valdytų riziką, su kuria susiduria,• tinkamai suprastų galimybes ir imtųsi reikiamų priemonių.

Sėkmingos organizacijos supranta riziką ir išnaudoja IT teikiamą naudą bei randa būdų, kaip:• suderinti IT strategiją su veiklos strategija,• užtikrinti investuotojus ir suinteresuotąsias šalis, kad mažindama IT riziką organizacija laikosi „reikiamo atidumo standarto“, • organizacijai įgyvendinti IT strategiją ir tikslus,• gauti naudą iš IT investicijų,• užtikrinti organizacines struktūras, padedančias įgyvendinti strategiją ir tikslus,• nustatyti konstruktyvius ryšius ir efektyvų komunikavimą tarp veiklos ir IT atstovų, taip pat su išorės partneriais,• vertinti IT veiklą.

Organizacijos negali efektyviai vykdyti šių veiklos ir valdymo reikalavimų, kol nepritaiko ir neįgyvendina IT valdymo ir kontrolės metodikos, leidžiančios:• nustatyti sąsają su veiklos poreikiais,• skaidriai vykdyti veiklą pagal šiuos reikalavimus,• organizuoti savo veiklą visuotinai pripažinto ir procesais pagrįsto modelio pagrindu,• nustatyti pagrindinius išteklius, kuriuos reikia efektyviai valdyti,• apibrėžti valdymo kontrolės tikslus, į kuriuos turi būti atsižvelgta.

Be to, valdymo ir kontrolės sistemos tampa IT valdymo geros praktikos dalimi bei sudaro sąlygas pradėti taikyti IT valdymą ir laikytis nuolat didėjančių reguliavimo reikalavimų.

IT geros praktikos padidėjusią svarbą lėmė šie veiksniai:• vadovų ir tarybų poreikis gauti didesnę IT investicijų grąžą, t. y., kad IT teiktų paslaugas, atitinkančias veiklos poreikį didinti

vertę suinteresuotosioms šalims,• susirūpinimas dėl apskritai augančių IT išlaidų,• poreikis laikytis IT kontrolės priemonėms taikomų reguliavimo reikalavimų, pvz., privatumo ir finansinės atskaitomybės

srityse (JAV paskelbtas Sarbanes-Oxley aktas, Basel II susitarimas) arba specifiniuose sektoriuose, pvz., finansų, farmacijos ir sveikatos apsaugos,

• paslaugų tiekėjų pasirinkimas ir paslaugų pirkimo iš išorės bei įsigijimo valdymas,• vis sudėtingesnė su IT susijusi, pvz., tinklų saugumo, rizika,• IT valdymo iniciatyvos, kuriomis patvirtinami kontrolės modeliai ir gera praktika, padedančios stebėti ir pagerinti ypač

svarbius IT veiklos aspektus, didinančius veiklos vertę ir mažinančius veiklos riziką,• poreikis optimizuoti sąnaudas, kiek įmanoma, taikant standartizuotus, o ne specialiai sukurtus metodus,• gerai vertinamų modelių nuolatinis tobulinimas ir dėl to kylantis pripažinimas, pvz., CobiT, IT infrastruktūros biblioteka (angl.

IT Infrastructure Library (ITIL)), ISO 27000, su informacijos saugumu susiję standartai, ISO 9001:2000 Kokybės valdymo sistemos – reikalavimai, (angl. Quality Management Systems-Requirements), Gebėjimų brandos modelio integravimas (GBMI), (angl. Capability Maturity Model® Integration (CMMI)), „Projektai valdomoje aplinkoje 2“ (PRINCE2), (angl. Projects in Controlled Environments 2 (PRINCE 2)) ir Su projektų valdymu susijusių žinių visumos vadovas (SPVSŽVV), (angl. A Guide to the Project Management Body of Knowledge (PMBOK)),

• organizacijos poreikis vertinti savo veiklą pagal visuotinai pripažintus standartus ir palyginti su panašiomis savo sektoriaus organizacijomis (lyginamoji analizė).

CobiT meTodika


CobiT 4.1


Kas

Valdymo ir kontrolės sistema turi būti naudinga daugeliui vidaus ir išorės suinteresuotųjų šalių, kurių kiekviena turi konkrečius poreikius.• Organizacijos viduje esančios suinteresuotosios šalys, kurias domina, kaip iš IT investicijų gauti naudos: – asmenys, priimantys sprendimus dėl investavimo, – asmenys, priimantys sprendimus dėl reikalavimų, – asmenys, kurie naudojasi IT paslaugomis.• Vidaus ir išorės suinteresuotosios šalys, teikiančios IT paslaugas: – asmenys, valdantys IT organizacinę struktūrą ir procesus, – asmenys, plėtojantys gebėjimus, – asmenys, valdantys IT paslaugas.• Vidaus ir išorės suinteresuotosios šalys, atsakingos už kontrolę / riziką: – asmenys, atsakingi už saugą, privatumą ir / arba riziką, – asmenys, užtikrinantys atitiktį, – asmenys, kuriems reikia kokybės užtikrinimo paslaugų arba kurie patys jas teikia.

Ką

Kad atitiktų ankstesnėje dalyje išvardytus reikalavimus, IT valdymo ir kontrolės metodika turi:• būti orientuota į veiklą, kad sudarytų sąlygas veiklos ir IT tikslams suderinti,• būti orientuota į procesą, kad būtų nustatyta jos taikymo apimtis ir mastas, ir turinti apibrėžtą struktūrą, leidžiančią lengvai

naudotis turiniu, • būti visuotinai priimtina, atitikti pripažintą IT gerą praktiką ir standartus bei nepriklausyti nuo konkrečių technologijų,• naudoti terminus ir apibrėžimus, kuriuos vienodai supranta visos suinteresuotosios šalys,• padėti tenkinti reguliavimo reikalavimus ir atitikti visuotinai pripažintus organizacijos korporacinio valdymo standartus

(pvz., COSO) bei reguliavimo sistemos atstovų ir išorės auditorių numatytas IT kontrolės priemones.

KAIP CobiT METODIKA PATENKINA POREIKIUS

Pagal pirmiau aptartus poreikius buvo sukurta CobiT metodika, pasižyminti tokiomis pagrindinėmis savybėmis – orientuota į veiklą, pagrįsta procesų terminais, kontrolės priemonėmis ir naudojanti metrikas.

Orientuota į veiklą

Orientacija į veiklą yra pagrindinis CobiT principas. CobiT yra skirtas naudoti ne tik IT paslaugų tiekėjams, naudotojams ir auditoriams, bet ir, o tai yra dar svarbiau, teikti išsamias gaires vadovybei ir veiklos procesų savininkams.

CobiT modelis remiasi tokiu principu (5 pav.): kad organizacija gautų informaciją, reikalingą jos

tikslams pasiekti, ji turi investuoti ir valdyti IT išteklius, taikydama struktūrizuotą procesų rinkinį, kuris ir suteikia tas reikalingas informacijos valdymo paslaugas.

Informacijos valdymas ir kontrolė yra CobiT esmė, padedanti užtikrinti suderinimą su veiklos poreikiais.

CobiT INFORMACIJOS KRITERIJAIKad būtų pasiekti veiklos tikslai, informacija turi atitikti tam tikrus kontrolės kriterijus, CobiT vadinamus veiklos poreikiais informacijai. Septyni skirtingi, neabejotinai persidengiantys informacijos kriterijai, pagrįsti platesniais kokybės, pasitikėjimo ir saugos reikalavimais, yra apibrėžti šitaip:• Rezultatyvumas parodo, ar informacija yra aktuali ir tinkama veiklos procesui, ar teikiama laiku, tiksliai, nuosekliai ir

tinkama naudoti forma.• Efektyvumas yra susijęs su informacijos teikimu optimaliai (produktyviausiu ir taupiausiu būdu) naudojant išteklius.• Konfidencialumas yra reikalingas diskretiškos informacijos apsaugai nuo neteisėto atskleidimo.

Veiklos poreikiai

IT procesai

IT ištekliaiOrganizacijos informacijaCOBIT

reaguojančią į skatina investicijas į

kurie pateikia

kuriuos naudoja

5 pav. Pagrindinis CobiT principas

• Vientisumas yra susijęs su informacijos tikslumu ir išsamumu bei jos pagrįstumu pagal veiklos vertę ir lūkesčius.• Prieinamumas yra susijęs su tuo, kad informacija būtų prieinama, kai jos reikia veiklos procesams dabar ir ateityje.

Prieinamumas taip pat reikalingas reikiamiems ištekliams bei susijusiems gebėjimams apsaugoti.• Prieinamumas yra susijęs su tuo, kad informacija būtų prieinama, kai jos reikia veiklos procesams dabar ir ateityje.

Prieinamumas taip pat reikalingas reikiamiems ištekliams bei susijusiems gebėjimams apsaugoti.• Atitiktis reiškia atitiktį įstatymams, taisyklėms ir sutartiniams įsipareigojimams, taikomiems veiklos procesui, t. y. iš

išorės nustatytiems veiklos kriterijams bei vidaus politikai.

VEIKLOS TIKSLAI IR IT TIKSLAIInformacijos kriterijai užtikrina bendrą metodą veiklos poreikiams nustatyti, tačiau bendrų veiklos ir IT tikslų apibrėžimas suteikia patogesnį, su veikla susijusį būdą veiklos poreikiams nustatyti bei metrikoms, leidžiančioms vertinti, kaip pasiekiami šie tikslai, sudaryti. Kiekviena organizacija naudoja IT, kad galėtų vykdyti tam tikras veiklos iniciatyvas, kurios gali būti laikomos IT sričiai nustatytais veiklos tikslais. I priede galima rasti bendrų veiklos ir IT tikslų matricą ir jų sąsajas su informacijos kriterijais. Šiuos apibendrinančius pavyzdžius galima naudoti kaip vadovą, padedantį nustatyti konkrečius organizacijos veiklos poreikius, tikslus ir metrikas.

Norint sėkmingai teikti organizacijos strategiją atitinkančias IT paslaugas, reikia, kad veiklos vykdytojas (klientas) tiksliai nustatytų poreikius ir kryptį, o IT (paslaugų tiekėjas) – ką ir kaip atlikti. 6 paveikslėlyje pavaizduota, kaip veikla turi paversti organizacijos strategiją tikslais, susijusiais su IT palaikomomis iniciatyvomis (veiklos tikslai IT sričiai). Šie tikslai turi paskatinti aiškiai apibrėžti IT srities tikslus (IT tikslai), kurie nustatytų IT išteklius ir gebėjimus (organizacijos IT architektūra), reikalingus sėkmingai vykdyti su IT susijusią organizacijos strategijos dalį2.

Apibrėžus suderintus tikslus, juos reikia stebėti siekiant įsitikinti, kad faktinis veikimas atitiktų lūkesčius. Tam pasitelkiama iš tikslų išvestomis metrikomis, užfiksuotomis IT veiklos rodikliuose.

Kad klientas suprastų IT tikslus ir IT veiklos rodiklius, visi šie tikslai ir susijusios metrikos turi būti išreikšti veiklos terminais, turinčiais prasmę klientui. Tokia išraiška, suderinta su efektyviu tikslų išdėstymu hierarchine tvarka, užtikrins galimą IT paramą siekiant organizacijos tikslų.

I priedas Lentelės, susiejančios tikslus ir procesus pateikia visaapimantį vaizdą, kaip bendrieji veiklos tikslai yra susieti su IT tikslais, IT procesais ir informacijos kriterijais. Šios lentelės padeda suprasti CobiT taikymo apimtį ir bendrus veiklos ryšius tarp CobiT ir organizacijos veiklą skatinančių veiksnių. Kaip parodyta 6 paveikslėlyje, šie veiksniai kyla iš organizacijos veiklos ir valdymo lygmenų, iš kurių pirmasis yra labiau orientuotas į funkcionalumą ir veiklos greitį, o antrasis – į rentabilumą, investicijų grąžą (IG, angl. return on investment (ROI)) ir atitiktį.

2 Pažymėtina, kad organizacijos IT architektūros apibrėžimas ir įgyvendinimas taip pat sukurs vidinius IT tikslus, prisidedančius prie veiklos tikslų, bet ne tiesiogiai iš jų išvestus.


CobiT meTodika

11

reikalauja daro įtaką

susieja su

Veiklos poreikiai

Informacijos kriterijai

Informacijos paslaugos

Valdymo reikalavimai

teikia

reikalauja

vykdoIT procesai

Infrastruktūra ir žmonės

Taikomosios programos

Informacija

Veiklos tikslai IT sričiai Organizacijos IT architektūra

IT veiklos rodikliai

Veiklos tikslaiIT sričiai IT tikslai

OrganizacijosIT architektūra

Organizacijos strategija

6 pav. IT tikslų ir organizacijos IT architektūros apibrėžimas

CobiT 4.1


IT IŠTEKLIAIIT organizacija įgyvendina šiuos tikslus aiškiai apibrėžtais procesais, kurie savo ruožtu naudoja žmonių įgūdžius ir technologinę infrastruktūrą automatizuotoms veiklos taikomosioms programoms valdyti, efektyviai pritaikant veiklos informaciją. Šie ištekliai kartu su procesais sudaro organizacijos IT architektūrą, kaip parodyta 6 paveikslėlyje.

Reaguodama į IT sričiai keliamus reikalavimus, organizacija turi investuoti į išteklius, kurių reikia, kad būtų sukurti adekvatūs technologiniai gebėjimai (pvz., organizacijos išteklių planavimo (OIP) sistema, (angl. enterprise resource planning (ERP) system), skirti veiklos gebėjimams (pvz., sukurti tiekimo grandį), duodantiems norimą rezultatą (pvz., išaugę pardavimai ir finansinė nauda), stiprinti.

CobiT nustatytus IT išteklius galima apibrėžti taip:• taikomosios programos yra automatinės naudotojų sistemos ir rankinės procedūros, apdorojančios informaciją;• informacija yra bet kokios formos duomenys, informacijos sistemų įvesti, apdoroti ir išvesti bet kokia forma, kokia jie naudojami

vykdant veiklą;• infrastruktūra – tai technologijos ir įranga (t. y. techninė įranga, operacinės sistemos, duomenų bazių valdymo sistemos, darbas

tinkle, daugialypė terpė bei aplinka, kuri tokią įrangą talpina ir palaiko), kurių aplinkoje vykdomos taikomosios programos;• žmonės – tai darbuotojai, turintys planuoti, organizuoti, įsigyti, įgyvendinti, teikti, palaikyti, stebėti ir vertinti informacijos

sistemas ir paslaugas. Jie gali būti organizacijos vidaus darbuotojai, iš išorės samdomi žmonės ar esant reikalui pagal sutartį dirbantys darbuotojai.

7 paveikslėlyje apibendrinama, kaip veiklos tikslai IT sričiai veikia IT procesais vykdomą IT išteklių valdymą, siekiant įgyvendinti IT tikslus.

Pagrįsta procesų terminaisCobiT aprašo IT veiklą bendriniu procesų pagrindu sudarytu modeliu keturiuose domenuose. Šie domenai yra Planavimas ir organizavimas, Įsigijimas ir įdiegimas, Teikimas ir palaikymas, Stebėsena ir vertinimas. Jie yra analogiški tradicinėms IT planavimo, kūrimo, vykdymo ir stebėsenos atsakomybės sritimis.

CobiT metodika leidžia naudoti procesų pagrindu sudarytą modelį ir bendrą kalbą visiems organizacijos atstovams stebint ir valdant IT veiklą. Valdymui skirto modelio ir bendros kalbos įvedimas visoms su IT susijusioms veiklos sritims yra vienas iš pačių svarbiausių pradinių žingsnių gero valdymo link. Be to, šių elementų įvedimas leidžia vertinti ir stebėti IT veiklą, bendrauti su paslaugų tiekėjais ir įvesti geriausią valdymo praktiką. Procesais pagrįstas modelis skatina atsakomybės už procesus priskyrimą, leidžia apibrėžti atsakomybę ir atskaitomybę.

Siekiant rezultatyvaus IT valdymo, svarbu įvertinti priemones ir riziką, kuriuos reikia valdyti IT srityje. Paprastai jos sugrupuojamos į planavimo, kūrimo, vykdymo ir stebėsenos atsakomybės domenus. CobiT metodikoje, kaip parodyta 8 paveikslėlyje, šie domenai vadinami šitaip:• Planavimas ir organizavimas (PO)3. Nustatoma sprendimo (AI) ir

paslaugų (DS) teikimo kryptis;• Įsigijimas ir įdiegimas (AI). Pateikiami sprendimai ir perduodami,

kad būtų teikiamos paslaugos;• Teokimas ir palaikymas (DS). Gaunami sprendimai ir pritaikomi

galutiniams naudotojams;• Stebėsena ir vertinimas (ME). Stebimi visi procesai, siekiant

įsitikinti, kad laikomasi nustatytos krypties.

PLANAVIMAS IR ORGANIZAVIMAS (PO)Šis domenas apima strategiją ir taktiką bei nustato, kaip IT galėtų geriausiai prisidėti prie veiklos tikslų įvykdymo. Strateginės vizijos įgyvendinimą reikia planuoti, paaiškinti ir valdyti, pritaikant skirtingoms perspektyvoms. Turi būti užtikrintas tinkamas organizavimas ir sukurta tinkama technologinė infrastruktūra. Šis domenas paprastai atsako į tokius valdymo klausimus:• Ar IT ir veiklos strategijos yra suderintos?• Ar organizacija optimaliai naudoja savo išteklius?• Ar visi organizacijos nariai supranta IT tikslus?• Ar IT rizikos yra suprantamos ir valdomos?• Ar IT sistemų kokybė atitinka veiklos poreikius?

3 Dėl nusistovėjusios vartojimo praktikos toliau tekste sritys įvardijamos akronimais pagal angliškus jų pavadinimus: Planavimas ir organizavimas (PO), (angl. Plan and Organise), Įsigijimas ir įdiegimas (AI), (angl. Acquire and Implement), Teikimas ir palaikymas (DS), (angl. Deliver and Support), Stebėsena ir vertinimas (ME), (angl. Monitor and Evaluate).

Organizacijos tikslai

IT procesai

IT tikslai

Valdymo veiksniai

Veiklos rezultatai

Žmon

ės

Infra

stru

ktūr

a

Info

rmac

ija

Taik

omos

ios p

rogr

amos

7 pav. IT išteklių valdymas siekiant įgyvendinti IT tikslus

Planavimas ir organizavimas

Įsigijimas ir

įdiegimas

Teikimas ir

palaikymas

Stebėsena ir vertinimas

8 pav. Keturi tarpusavyje susiję CobiT domenai

ĮSIGIJIMAS IR ĮDIEGIMAS (AI)Siekiant įgyvendinti IT strategiją, reikia nustatyti, kurti ar įsigyti IT sprendimus bei juos taikyti ir integruoti į veiklos procesą. Be to, šis domenas apima esamų sistemų pokyčius ir priežiūrą, taip užtikrinama, kad sprendimai nuolatos atitiktų veiklos poreikius. Šiame domene paprastai užduodami šie valdymo klausimai:• Ar tikėtina, kad nauji projektai teiks sprendimus, atitinkančius veiklos poreikius?• Ar tikėtina, kad nauji projektai bus įvykdyti laiku pagal nustatytą biudžetą?• Ar įdiegtos naujos sistemos veiks tinkamai?• Ar pokyčių įvedimas netrukdys įprastinės veiklos vykdymui?

TEIKIMAS IR PALAIKYMAS (DS)Šis domenas yra susijęs su faktiniu reikiamų paslaugų teikimu, apimančiu paslaugų teikimą, saugos ir tęstinumo valdymą, paslaugų teikimą naudotojams bei duomenų ir eksploatavimo įrangos valdymą. Įprastiniai valdymo klausimai šiame domene:• Ar teikiamos IT paslaugos atitinka veiklos prioritetus?• Ar optimizuotos IT sąnaudos?• Ar darbuotojai sugeba naudoti IT sistemas produktyviai ir saugiai?• Ar užtikrintas tinkamas informacijos saugos konfidencialumas, vientisumas ir prieinamumas?

STEBĖSENA IR VERTINIMAS (ME)Visų IT procesų kokybė ir atitiktis kontrolės reikalavimams turi būti reguliariai vertinama. Šis domenas apima veiklos valdymą, vidaus kontrolės stebėseną, reguliavimo atitiktį ir valdymą. Su šiuo domenu paprastai siejami tokie valdymo klausimai:• Ar vertinama IT veikla siekiant aptikti problemas, kol dar ne per vėlu?• Ar vadovai užtikrina, kad vidaus kontrolės priemonės būtų rezultatyvios ir efektyvios?• Kaip nustatyti atgalinį ryšį tarp IT veiklos rezultatyvumo ir veiklos tikslų?• Ar informacijos saugai užtikrintos tinkamos konfidencialumo, vientisumo ir prieinamumo kontrolės priemonės?

Šiuose keturiuose domenuose CobiT naudoja 34 visuotinai taikomus IT procesus (visą sąrašą žr. 23 pav.). Nors dauguma organizacijų savo IT funkcijai yra priskyrusios pareigą planuoti, kurti, vykdyti ir stebėti bei taiko tuos pačius pagrindinius procesus, tik nedaugelis jų turės tokią pačią proceso struktūrą ar taikys visus 34 CobiT procesus. CobiT pateikia išsamų sąrašą procesų, kuriuos galima naudoti siekiant patikrinti veiklos ir atsakomybės visumą, tačiau nebūtina jų visų taikyti ir– netgi galima juos sujungti atsižvelgiant į kiekvienos organizacijos poreikius.

Visuose 34 procesuose pateikta sąsaja su veikla ir su ja susijusiais IT tikslais. Taip pat pateikiama informacija apie tai, kaip galima įvertinti tikslus, kokios yra pagrindinės priemonės ir svarbiausi rezultatai bei kas už juos atsakingas.

Pagrįsta kontrolės priemonėmis

CobiT apibrėžia visų 34 procesų kontrolės tikslus bei visas juos apimančias proceso ir taikomųjų programų kontrolės priemones.

PROCESAMS REIKIA KONTROLĖS PRIEMONIŲKontrolė yra apibrėžiama kaip politika, procedūros, praktika ir organizacinės struktūros, skirtos užtikrinti, kad būtų pasiekti veiklos tikslai, o nepageidaujamiems įvykiams būtų užkirstas kelias ar jie būtų aptikti ir ištaisyti.

IT kontrolės tikslai nustato išsamų rinkinį aukšto lygio reikalavimų, į kuriuos vadovai turi atsižvelgti siekdami rezultatyvios kiekvieno IT proceso kontrolės. Šie reikalavimai:• yra vadovavimo priemonių, skirti padidinti vertę ar sumažinti riziką, išraiška;• susideda iš politikos, procedūrų, praktikos ir organizacinių struktūrų;• yra skirti užtikrinti, kad būtų pasiekti veiklos tikslai, o nepageidaujamiems įvykiams būtų užkirstas kelias ar jie būtų aptikti ir

ištaisyti.

Organizacijos vadovai turi priimti sprendimus, susijusius su šiais kontrolės tikslais:• pasirinkdami taikytinas kontrolės priemones;• nuspręsdami, kurias pasirinktas priemones įgyvendinti;• pasirinkdami, kaip jas vykdyti (dažnumas, apimtis, automatizavimas ir t.t.);• prisiimdami riziką, jeigu nebus įgyvendinamos tos kontrolės priemonės, kurios gali būti taikomos.


CobiT meTodika

13

CobiT 4.1


Kaip vadovautis standartiniu kontrolės modeliu parodyta 9 paveikslėlyje. Šiam modeliui taikomi principai, akivaizdūs tokioje analogijoje: nustačius kambario temperatūrą (standartą) šildymo sistemoje (procese), ši sistema nuolat tikrins (lygins) aplinkos temperatūrą (kontrolės informaciją) kambaryje ir duos ženklą (veiks) šildymo sistemai teikti daugiau ar mažiau šilumos.

Už IT operacijas atsakingų padalinių vadovai taiko procesus einamajai IT veiklai organizuoti ir valdyti. CobiT pateikia bendrinį procesais grindžiamą modelį, aprašantį visus įprastus IT veiklos procesus, kuris gali būti naudojamas kaip etaloninis modelis, suprantamas IT ir veiklos vadovams. Siekiant rezultatyvaus valdymo, už IT operacijas atsakingų padalinių vadovai pagal apibrėžtą kontrolės modelį visiems IT procesams turi taikyti kontrolės priemones. Kadangi CobiT IT kontrolės tikslai yra susisteminti pagal IT procesus, kontrolės modelis nurodo aiškias sąsajas tarp IT valdymo reikalavimų, IT procesų ir IT kontrolės priemonių.

Kiekvienas CobiT IT procesas yra aprašytas ir turi keletą kontrolės tikslų. Visa tai yra tinkamai valdomo proceso charakteristikos.

Kontrolės tikslai atpažįstami pagal dviejų raidžių nuorodą į domeną (PO, AI, DS ir ME), proceso numerį ir kontrolės tikslo numerį. Be kontrolės tikslų, kiekvienas CobiT procesas turi bendrinius kontrolės reikalavimus, nustatomus pagal PKn (angl. PCn, process control number), proceso kontrolės numerį. Siekiant susidaryti išsamų kontrolės reikalavimų vaizdą, juos reikia nagrinėti kartu su proceso kontrolės tikslais.

PC1 Proceso tikslaiApibrėžkite ir komunikuokite apie konkrečius, išmatuojamus, veiksmus numatančius, realius, orientuotus į rezultatus ir laiku pasiekiamus (angl. specific, measurable, actionable, realistic, results-oriented and timely (SMARRT)) proceso uždavinius bei tikslus, kuriuos kiekvienas IT procesas efektyviai įvykdytų. Įsitikinkite, kad jie būtų susieti su veiklos tikslais ir palaikomi tinkamos metrikos.

PC2 Proceso savininkaiKiekvienam IT procesui skirkite savininką bei aiškiai apibrėžkite savininko funkcijas ir atsakomybę. Įtraukite, pavyzdžiui, atsakomybę už proceso projektavimą, sąveiką su kitais procesais, atskaitomybę už galutinius rezultatus, proceso vykdymo vertinimą bei tobulinimo galimybių nustatymą.

PC3 Proceso kartotinumasSuprojektuokite ir nustatykite kiekvieną pagrindinį IT procesą, kad jis būtų pasikartojantis bei nuolat teiktų numatytus rezultatus. Numatykite logišką, tačiau prisitaikančią ir įvertinamą priemonių seką, kuri duotų laukiamų rezultatų ir lanksčiai reaguotų į išimtinius ir kritinius atvejus. Kiek įmanoma, stenkitės, kad procesai būtų nuoseklūs, ir pritaikykite juos pagal poreikius tik tada, kai tai yra neišvengiama.

PC4 Funkcijos ir atsakomybėApibrėžkite proceso pagrindines priemones ir galutinius rezultatus. Paskirkite ir informuokite apie aiškias funkcijas ir atsakomybę už pagrindinių priemonių rezultatyvų ir efektyvų įgyvendinimą bei jų dokumentavimą ir atskaitomybę už proceso galutinius rezultatus.

PC5 Politika, planai ir procedūrosApibrėžkite ir informuokite, kaip visa IT veiklą veikianti politika, planai ir procedūros yra dokumentuojamos, peržiūrimos, prižiūrimos, tvirtinamos, saugomos, skelbiamios ir naudojamos mokymuose. Kiekvienai šiai veiklai skirkite atsakingus darbuotojus ir atitinkamu metu peržiūrėkite, ar jos vykdomos tinkamai. Įsitikinkite, kad politika, planai ir procedūros būtų prieinamos, tinkamos, suprantamos ir laiku atnaujintos.

PC6 Proceso veiklos tobulinimasNustatykite metrikų, padedančių suprasti proceso vykdymą ir rezultatus, rinkinį. Numatykite planinius rodiklius, susietus su proceso tikslais ir juos įvertinti skirtais veiklos vertinimo rodikliais. Apibrėžkite, kaip reikės gauti duomenis. Lyginkite faktinius vertinimo rodiklius su planiniais rodikliais ir, esant reikalui, taisykite nuokrypius. Derinkite metrikas, planinius rodiklius bei metodus su IT visos veiklos stebėsenos metodu.

Efektyvios kontrolės priemonės mažina riziką, didina naudos gavimo tikimybę ir gerina efektyvumą, nes sumažėja klaidų skaičius ir yra užtikrinamas nuoseklesnis valdymo metodas.

Be to, kiekvieno CobiT proceso atveju yra pateikiami pavyzdžiai, kurie nėra nei privalomi, nei pernelyg išsamūs, tačiau aprašantys:• procesus, kurie teikia informaciją duotajam procesui ir procesus, kurie naudoja duotojo proceso informaciją, • priemones ir rekomendacijass, būdingas RACI (angl. Responsible, Accountable, Consulted and /or Informed, RACI) lentelėje

nustatytoms funkcijoms ir atsakomybei,• pagrindinius tikslus (svarbiausius dalykus, kuriuos reikia atlikti),• metrikas.

VEIKTI

KONTROLĖS INFORMACIJA

NormosStandartaiTikslai

ProcesasLyginti

9 pav. Kontrolės modelis

Įvertinę reikalingas kontrolės priemones, proceso savininkai turi suprasti, ką jie turi gauti iš kitų procesų bei ko kitiems reikia iš jų proceso. Kiekvienam procesui CobiT pateikia pagrindinius gaunamos ir teikiamos informacijos pavyzdžius, apimančius ir išorės reikalavimus IT sričiai. Kai kuri informacija teikiama visiems procesams, išvedamų duomenų lentelėse juos pažymint žodžiu „VISI“, tačiau ši informacija nėra pažymėta visuose procesuose kaip įvedami duomenys ir paprastai apima kokybės standartus ir metrikų reikalavimus, IT procesų modelį, dokumentuotas funkcijas ir atsakomybę, organizacijos IT kontrolės sistemą, IT politiką bei darbuotojų funkcijas ir atsakomybę.

Efektyvaus valdymo sėkmės esmė yra suprasti kiekvieno proceso paskirtį ir jo taikymo sritį. Kiekvienam CobiT procesui sudaroma RACI lentelė. Atskaitingas toje lentelėje reiškia, kad „atsakomybė tenka nurodytam asmeniui“: tai yra darbuotojas, duodantis nurodymus ir leidžiantis veikti. Atsakomybė priskiriama asmeniui, vykdančiam užduotis. Likusios dvi funkcijos (konsultavimo ir informacijos gavimo) užtikrina, kad visi, kurie turi dalyvauti, dalyvauja ir palaiko procesą.

VEIKLOS IR IT KONTROLĖS PRIEMONĖSOrganizacijos vidaus kontrolės sistema IT sričiai įtaką daro trimis lygiais:• Vadovybės lygiu nustatomi veiklos tikslai, formuojama politika ir priimami sprendimai, kaip paskirstyti ir valdyti organizacijos

išteklius, kad būtų įgyvendinta organizacijos strategija. Taryba nustato bendruosius valdymo ir kontrolės principus ir juos komunikuoja visai organizacijai. IT kontrolės aplinkai taikomi šie aukščiausio lygio tikslai ir politika.

• Veiklos procesų lygiu kontrolės priemonės taikomos konkretiems veiklos veiksmams. Didžioji dalis veiklos procesų yra automatizuoti ir integruoti į IT taikomųjų programų sistemas, todėl dauguma šio lygio kontrolės priemonių irgi yra automatizuotos. Šios kontrolės priemonės vadinamos taikomųjų programų kontrolės priemonėmis (lygiavertis apibrėžimas „taikomosios kontrolės priemonės“). Vis dėlto kai kurios kontrolės priemonės veiklos procese išlieka kaip rankinės procedūros, pvz., leidimas atlikti ūkines operacijas, pareigų atskyrimas ir rankinis derinimas. Todėl kontrolės priemonės veiklos proceso lygiu yra veiklos atstovų taikomų rankinių veiklos kontrolės priemonių ir automatinių veiklos ir taikomųjų programų kontrolės priemonių derinys. Už jų visų nustatymą ir valdymą atsakingi veiklos atstovai, tačiau projektuojant ir kuriant taikomųjų programų kontrolės priemones yra reikalinga IT pagalba.

• IT sritis veiklos procesams padeda teikdama IT paslaugas – paprastai kaip bendras paslaugas daugeliui veiklos procesų, nes nemažai IT kūrimo ir eksploatavimo procesų teikiami visai organizacijai, ir didžioji dalis IT infrastruktūros yra bendra (pvz., tinklai, duomenų bazės, operacinės sistemos ir saugykla). Kontrolės priemonės, taikomos visai IT paslaugų veiklai, vadinamos IT bendrosios kontrolės priemonėmis. Patikimas šių bendrosios kontrolės priemonių veikimas reikalingas norint pasikliauti taikomųjų programų kontrolės priemonėmis. Pavyzdžiui, prastas pokyčių valdymas gali sukelti grėsmę (atsitiktinai ar tyčia) automatizuoto vientisumo tikrinimo patikimumui.

IT BENDROSIOS KONTROLĖS PRIEMONĖS IR TAIKOMŲJŲ PROGRAMŲ KONTROLĖS PRIEMONĖSBendrosios kontrolės priemonės yra kontrolės priemonės, integruotos į IT procesus ir paslaugas. Šių kontrolės priemonių pavyzdžiai yra:• sistemų kūrimas,• pokyčių valdymas,• apsauga,• kompiuterių operacijos.

Kontrolės priemonės, integruotos į veiklos proceso taikomąsias programas, paprastai vadinamos taikomųjų programų kontrolės priemonėmis. Jų pavyzdžiai yra:• išsamumas,• tikslumas,• teisėtumas,• įgaliojimų suteikimas,• pareigų atskyrimas.

Pagal CobiT metodiką atsakomybė už automatizuotų taikomųjų programų kontrolės priemonių planavimą ir įgyvendinimą tenka IT sričiai, kaip išdėstyta CobiT domene „Įsigijimas ir įdiegimas“, remiantis veiklos poreikiais, apibrėžtais taikant CobiT informacijos kriterijus, kaip parodyta 10 paveikslėlyje. Už taikomųjų programų kontrolės priemonių valdymą ir kontrolę atsako ne IT, bet veiklos proceso savininkas.

Taigi atsakomybė už taikomųjų programų kontrolės priemones yra tiesioginė bendra veiklos ir IT srities atsakomybė, tačiau šios atsakomybės pobūdis kinta šitaip:• veiklos sritis privalo tinkamai: – apibrėžti funkcinius ir kontrolės reikalavimus, – naudotis automatizuotomis paslaugomis,• IT sritis privalo: – automatizuoti ir įgyvendinti veiklos funkcinius ir kontrolės reikalavimus, – sukurti kontrolės priemones, skirtas užtikrinti taikomųjų programų kontrolės priemonių vientisumą.

Dėl to CobiT IT procesai visapusiškai apima IT bendrosios kontrolės priemones, o taikomųjų programų kontrolės priemonių – tik kūrimo aspektus. Atsakomybė už nustatymą ir valdymą yra priskiriama veiklos sričiai.


CobiT meTodika

15

CobiT 4.1


Toliau pateiktame sąraše yra pateikiami rekomendaciniai taikomųjų programų kontrolės priemonių tikslai. Jie žymimi pagal TKn (angl. ACn, application control number), taikomųjų programų kontrolės priemonės numerį.

AC1 Pirminių duomenų parengimas ir įgaliojimų suteikimasĮsitikinkite, kad pirminius dokumentus rengia įgalioti kompetentingi darbuotojai, kurie laikosi nustatytų procedūrų ir atsižvelgia į tinkamą pareigų atskyrimą rengiant ir tvirtinant šiuos dokumentus. Gerai suprojektuota įvedimo forma leidžia iki minimumo sumažinti klaidas ir praleidimus. Aptikite klaidas ir pažeidimus, kad apie juos būtų galima pranešti ir ištaisyti.

AC2 Pirminių duomenų surinkimas ir įvedimasNustatykite, kad duomenis tinkamu laiku įvedinėtų įgalioti ir kompetentingi darbuotojai. Klaidingai įvestų duomenų taisymas ir pateikimas iš naujo turi būti atliekamas išlaikant įgaliojimo procedūras, kurios buvo taikytos pirminei operacijai. Jeigu to reikia atkūrimui pirminius dokumentus išsaugokite reikiamą laikotarpį.

AC3 Tikslumo, išsamumo ir autentiškumo tikrinimasĮsitikinkite, kad operacijos yra tikslios, išsamios ir teisėtos. Tikrinkite įvestus duomenis bei redaguokite juos ir siųskite pataisyti kiek įmanoma labiau su jų parengimu susijusiam darbuotojui.

AC4 Apdorojimo vientisumas ir tikrumasIšlaikykite duomenų vientisumą ir tikrumą viso apdorojimo ciklo metu. Klaidingų operacijų aptikimas nenutraukia teisėtų operacijų apdorojimo.

AC5 Išvedimo duomenų peržiūra, derinimas ir klaidų taisymasNustatykite procedūras ir su jomis susijusią atsakomybę, padedančias užtikrinti, kad išvedamus duomenis tvarko įgalioti asmenys, duomenys pristatomi tinkamam gavėjui ir yra apsaugoti perdavimo metu. Įsitikinkite, kad išvedamų duomenų tikslumas yra tikrinamas, klaidos aptinkamos ir ištaisomos, o išvedamuose duomenyse pateikta informacija yra naudojama.

AC6 Operacijų autentiškumo nustatymas ir vientisumasPrieš perduodami operacijų duomenis iš vidaus taikomųjų programų į veiklos padalinius (organizacijos viduje ar išorėje), patikrinkite perduodamų duomenų adresavimą, šaltinio autentiškumą ir duomenų vientisumą. Perdavimo ar persiuntimo metu užtikrinkite autentiškumą ir vientisumą.

Planavimas ir organizavimas

IT bendrosios kontrolės priemonės

IT atsakomybėVeiklos atsakomybė Veiklos atsakomybė

Automatizuotos paslaugos

Įsigijimas ir

įdiegimas

Teikimas ir

palaikymas

Stebėsena ir vertinimas

Taikomųjų programų kontrolės priemonės

Funkciniai reikalavimai

Kontrolės reikalavimai

Veiklos kontrolės priemonės

Veiklos kontrolės priemonės

10 pav. Veiklos, bendrosios kontrolės ir taikomųjų programų kontrolės priemonių ribos

Naudojanti metrikas

Kiekvienai organizacijai svarbiausia yra suprasti savo IT sistemų būklę ir nuspręsti, kokio lygio valdymą ir kontrolę ji turi užtikrinti. Kad nuspręstų, koks lygis yra tinkamas, vadovybė turi atsakyti į klausimą: kiek reikia įdėti pastangų ir ar nauda pateisina kainą?

Organizacijai nelengva pačiai objektyviai įvertinti savo veiklos lygį. Kas ir kaip turi būti vertinama? Organizacijos turi įvertinti savo esamą būklę ir apsispręsti, ką reikia tobulinti, bei taikyti valdymo priemones tiems tobulinimams stebėti. Šiems tikslams spręsti CobiT siūlo:• brandos modelius, leidžiančius atlikti lyginamąją analizę ir nustatyti, kur reikia tobulinti gebėjimus;• IT procesų tikslus ir metrikas, parodančius, kaip procesai atitinka veiklos ir IT tikslus ir taikomus vidaus procesams vertinti,

remiantis subalansuotų veiklos rodiklių sistemos principais;• veiklos tikslus, sudarančius sąlygas efektyviam proceso vykdymui.

BRANDOS MODELIAIAukščiausio lygio verslo ir viešojo sektoriaus vadovai vis dažniau skatinami analizuoti, ar gerai valdoma IT sritis. Dėl to ekonominiai argumentai skatina tobulinti ir pasiekti tinkamą informacinės architektūros valdymo ir kontrolės lygį. Nors tai ir akivaizdu, tačiau reikia įvertinti kainos ir naudos santykį bei atsakyti į šiuos klausimus:• Ką veikia mūsų sektoriaus kolegos ir kokia mūsų padėtis palyginus su jais?• Kokia sektoriaus gera praktika yra priimtina, ir kokia mūsų padėtis šios praktikos atžvilgiu?• Ar remiantis šiais palyginimais galima teigti, kad imamės pakankamai veiksmų?• Kaip mes nustatome, ką reikia daryti norint pasiekti tinkamą savo IT procesų valdymo ir kontrolės lygį?

Gali būti sunku aiškiai atsakyti į šiuos klausimus. Norėdami žinoti, ką daryti ir kaip tai padaryti efektyviai, IT vadovai nuolat ieško lyginamosios analizės ir savianalizės priemonių. CobiT IT procesų savininkas turi sugebėti analizuoti kaip yra artėjama prie kontrolės tikslo. Tai patenkina tris poreikius:• santykinį esamos organizacijos būklės vertinimą,• būdą efektyviai nuspręsti, kur link eiti toliau,• priemonę tikslo siekimo pažangai matuoti.

IT procesų valdymo ir kontrolės brandos modeliavimas yra paremtas organizacijos įvertinimo metodu, taigi organizacijos brandos lygį galima įvertinti nuo neegzistuojančio (0) iki optimalaus (5). Šis metodas palyginamas su brandos modeliu, kuriuo Programų inžinerijos institutas (PII) apibrėžė programinių produktų kūrimo gebos brandą. Nors buvo laikytasi PII metodo principų, CobiT taikomas metodas labai skiriasi nuo pradinio PII metodo, kuris buvo orientuotas į programinių produktų inžinerijos principus, organizacijas, siekiančias meistriškumo šioje srityje ir į formaliai patvirtintą brandos lygių įvertinimą, kad programinių produktų kūrėjai galėtų gauti sertifikatus. CobiT nustato bendrą CobiT brandos skalę, panašią į GBM, tačiau sudarytą atsižvelgiant į CobiT IT valdymo procesų pobūdį. Kiekvienam iš 34 CobiT procesų šios skalės pagrindu sudaromas konkretus modelis. Bet kurio modelio skalė neturi būti pernelyg smulki, nes tai apsunkintų sistemos naudojimą ir siūlytų nepateisinamą tikslumą, nes bendras tikslas yra nustatyti problemas ir tobulinimo prioritetus. Nėra siekiama įvertinti kontrolės tikslų laikymosi.

Brandos lygiai yra sudaryti kaip IT procesų profiliai, kurie organizacijai būtų dabartinės ir būsimos būklės aprašymai. Jie neturėtų būti naudojami kaip slenksčio modeliai, kuriuos taikant negalima pakilti į aukštesnį lygį neįvykdžius visų žemesniojo lygio sąlygų. Skirtingai nei pirminis PII GBM metodas, CobiT brandos modeliai nesiekia tiksliai išmatuoti brandos lygių ar mėginti patvirtinti, kad buvo tiksliai įvykdyti tam tikro lygio reikalavimai. CobiT brandos vertinimas greičiausiai pateiks proceso profilį, kuriame bus keleto skirtingų brandos lygių elementų, kaip tai parodyta grafike 11 paveikslėlyje.


CobiT meTodika

17

Taip yra todėl, kad vertinant brandą CobiT modeliais dažnai susiduriama su atvejais, kai tam tikri procesai, nepaisant to, kad jie neužbaigti ar nepakankami, yra įgyvendinami skirtinguose lygiuose. Šiomis stipriosiomis vietomis galima paremti tolesnį brandos tobulinimą. Pavyzdžiui, jei kai kurios proceso dalys yra tinkamai apibrėžtos, tačiau tai netaikoma visoms proceso dalims, būtų klaidinga teigti, kad procesas visai nepasiekia „apibrėžto proceso“ brandos lygio.

Naudodama brandos modelius, sudarytus kiekvienam iš 34 CobiT IT procesų, vadovybė gali nustatyti:• faktinį organizacijos veiklos efektyvumą, t. y. kokia šiandieninė organizacijos būklė;• dabartinę sektoriaus būklę, t. y. palyginimas;• organizacijos planinį tobulėjimo rodiklį, t. y. kuo organizacija nori tapti;• reikalingas priemones augimui tarp esamos padėties ir siekinio.

Siekiant, kad brandos vertinimo rezultatai būtų lengvai naudojami vadovybės pasitarimuose, kur rezultatai bus pristatomi kaip priemonės paremti ateityje planuojamą veiklą, patogu naudoti tokį grafinį brandos modelių pavaizdavimą (12 pav.).

Grafinis pavaizdavimas kurtas remiantis bendrojo brandos modelio aprašymais, pateiktais 13 paveikslėlyje.

CobiT yra IT procesų valdymui skirtas modelis, daugiausiai dėmesio teikiantis kontrolei. Skalė turi būti patogi naudoti ir pakankamai lengvai suprantama. IT procesų valdymas yra iš esmės sudėtinga ir subjektyvi tema, todėl ją geriausia nagrinėti taikant supaprastintus vertinimus, kurie padėtų ją geriau suvokti, prieiti bendros nuomonės ir skatintų tobulėti. Tokius vertinimus galima bendrai taikyti visam brandos lygio aprašymui arba tiksliai kiekvienam atskiram aprašymo teiginiui. Bet kuriuo atveju reikia gerai išmanyti peržiūrimus organizacijos procesus.

Brandos modelio privalumas yra tas, kad jį naudodami vadovai gali gana lengvai įvertinti savo organizacijos veiklą brandos skalėje ir suprasti, ko reikia imtis norint ją pagerinti. Skalė prasideda nuo 0, nes gali būti taip, kad joks procesas nevyksta. Skalė nuo 0 iki 5 yra pagrįsta paprasta brandos skale, parodančia, kaip plėtojami proceso gebėjimai nuo neegzistuojančių iki optimalių.

CobiT 4.1


NAUDOTŲ SIMBOLIŲ PAAIŠKINIMAS NAUDOTO KLASIFIKAVIMO PAAIŠKINIMAS

Neegzistuojantis

0

Pirminis / Ad Hoc

1

Pasikartojantis, bet intuityvus

2

Apibrėžtas procesas

3

Valdomas ir vertinamas

4

Optimalus

5

0 – Valdymo procesai visai netaikomi.1 – Procesai vyksta ad hoc ir be sistemos.2 – Procesai vyksta pagal įprastinį modelį.3 – Procesai yra dokumentuojami ir apie juos yra informuojama.4 – Procesai yra stebimi ir vertinami.5 – Laikomasi geros praktikos, ir ji yra automatizuojama.

Dabartinė organizacijos būklė

Sektoriaus vidurkis

Organizacijos planinis rodiklis

12 pav. Grafinis brandos modelių pavaizdavimas

0.7

0.6

0.5

0.4

0.3

0.2

0.1

0BM 1 lygis BM 2 lygis BM 3 lygis BM 4 lygis BM 5 lygis

Galimas IT proceso brandos lygis: pavyzdyje parodytas procesas, kurio branda daugiausiai atitinka 3 lygį, nors dar yra neišspręstų atitikties žemesnio lygio reikalavimams klausimų ir jau yra atitikimų valdomame ir vertiname (4 lygis) ir optimaliame (5 lygis) lygiuose.

11 pav. Galimas IT proceso brandos lygis

Vis dėlto proceso valdymo geba yra ne tas pats kaip proceso efektyvumas. Gali būti, kad tam tikro lygio gebos, kurią apibrėžia veiklos ir IT tikslai, nereikės taikyti visai IT aplinkai, pvz., tai gali būti taikoma nenuosekliai ar tik ribotam sistemų ar padalinių skaičiui. Veiklos vertinimas, apie kurį kalbama tolesnėse pastraipose, yra būtinas nusprendžiant, kokia yra faktinė organizacijos įtaka IT procesams.

Nors tinkamas gebėjimas valdyti IT procesus sumažina riziką, organizacija vis tiek turi analizuoti kontrolės priemones, kurias reikia taikyti, norint užtikrinti, kad rizika būtų sumažinta, o vertė būtų kuriama laikantis organizacijos nustatytų rizikos toleravimo ribų ir veiklos tikslų. Šios kontrolės priemonės atitinka CobiT kontrolės tikslus. III priede pateikiamas vidaus kontrolės brandos modelis, iliustruojantis organizacijos brandą, susijusią su vidaus kontrolės nustatymu ir vykdymu. Dažnai tokia analizė inicijuojama reaguojant į išorinius skatinimo veiksnius, tačiau geriausia būtų ją pradėti taikyti taip, kaip siūloma CobiT procesuose PO6 Vadovybės tikslų ir krypties komunikavimas bei ME2 Vidaus kontrolės stebėsena ir vertinimas.

Kaip parodyta 14 paveikslėlyje, gebėjimas, apimtis ir kontrolė yra proceso brandos matmenys.

Brandos modelis leidžia įvertinti, kokį kokybės lygį yra pasiekę valdymo procesai, t. y. koks jų faktinis pajėgumas. Kokį kokybės ar pajėgumo lygį jie turi pasiekti, pirmiausia priklauso nuo IT tikslų ir su jais susietų veiklos poreikių. Kiek tas potencialas yra iš tiesų panaudojamas, daugiausia priklauso nuo to, kokią grąžą organizacija siekia gauti iš investicijų. Pavyzdžiui, kritiniams procesams ir sistemoms reikės griežtesnio saugos valdymo nei tiems, kurie yra mažiau svarbūs. Antra vertus, kontrolės priemonių, kurias reikia taikyti vykstant procesui, laipsnį ir sudėtingumą labiau veikia organizacijos rizikos toleravimo mastas bei taikomi atitikties reikalavimai.

Brandos modelio skalė padės specialistams paaiškinti vadovams, kur yra IT procesų valdymo trūkumai, ir nustatyti reikiamus planinius rodiklius. Pasirenkant tinkamą brandos lygį įtakos turės organizacijos veiklos tikslai, veiklos aplinka ir sektoriaus praktika. Valdymo brandos lygis taip pat priklausys nuo organizacijos priklausomybės nuo IT, technologinio sudėtingumo lygio ir, svarbiausia, nuo jos informacijos vertės.


13 pav. Bendrasis brandos modelis

0 Neegzistuojantis – Visiškai nevyksta jokie atpažįstami procesai. Organizacija net nesupranta, kad reikia spręsti šį klausimą.

1 Pirminis / Ad Hoc – Yra faktų, rodančių, kad organizacija suprato, jog yra problemų, kurias reikia spręsti. Vis dėlto nevyksta standartizuoti procesai. Vietoj jų suformuoti ad hoc metodai, paprastai taikomi skirtingai kiekvienu individualiu atveju. Bendras požiūris į valdymą nesistemiškas.

2 Pasikartojantis, bet intuityvus – Procesai tiek išplėtoti, kad skirtingi žmonės, atliekantys tą pačią užduotį, laikosi panašių procedūrų. Nevyksta formaliai patvirtinti standartinių procedūrų mokymai arba informavimas apie jas, atsakomybė paliekama individualiems darbuotojams. Didelė priklausomybė nuo individualių asmenų žinių, todėl tikėtinos klaidos.

3 Apibrėžtas procesas – Procedūros yra standartizuotos ir dokumentuotos, apie tai komunikuojama per mokymus. Įpareigojama šių procesų laikytis. Nėra tikėtina, kad bus aptikti nuokrypiai. Pačios procedūros nesudėtingos, jos tik įformina esamą praktiką.

4 Valdomas ir vertinamas – Vadovybė stebi ir vertina procedūrų laikymąsi bei imasi priemonių, kai atrodo, kad procesai neveikia efektyviai. Procesai nuolat tobulinami, jie teikia gerą praktiką. Automatizavimas ir instrumentai taikomi tik ribotai ar fragmentiškai.

5 Optimalus – Dėl nuolatinio gerinimo ir brandos modeliavimo su kitomis organizacijomis procesai ištobulinti iki geros praktikos lygio. Kad darbo eiga būtų automatizuota, IT naudojamos integruotu būdu, suteikiant priemones kokybei ir efektyvumui gerinti bei sudarant sąlygas organizacijai greitai prisitaikyti.

CobiT meTodika

19

0

1

2

3

4

5

100%

KAIP (gebėjimas)

KIEK (apimtis)

KĄ (kontrolė) Pirminiai skatinantys veiksniai

IT misija ir tikslai

Investicijų grąža ir rentabilumas

Rizika ir atitiktis

14 pav. Trys brandos matmenys

CobiT 4.1


Strateginį atskaitos tašką, kaip gerinti IT procesų valdymą ir kontrolę, organizacija gali rasti įvairiuose tarptautiniuose standartuose ir aukščiausio lygio praktikoje. Šiandien formuojama praktika gali tapti ateities veiklos valdymo standartu, todėl ji yra svarbi planuojant, kokį lygį organizacija nori pasiekti po tam tikro laiko.

Brandos modeliai suformuoti pradedant nuo bendrojo kokybinio modelio (žr. 13 pav.), į kurį didėjimo tvarka visuose lygiuose pridedami tokių požymių principai:• supratimas ir komunikavimas,• politika, planai ir procedūros,• priemonės ir automatizavimas,• įgūdžiai ir kompetencija,• atsakomybė ir atskaitomybė,• tikslų nustatymas ir vertinimas.

15 paveikslėlyje pateiktoje brandos požymių lentelėje pateikiamos IT procesų valdymo charakteristikos ir aprašyta jų raida nuo neegzistuojančių iki optimalių procesų. Šie požymiai gali būti naudojami išsamesniam vertinimui, trūkumų analizei bei tobulėjimo planavimui.

Brandos modeliai nustato apibendrintą schemą, pagrįstą etapais, kuriais vyksta organizacijos IT procesų valdymo ir kontrolės raida. Šie etapai yra tokie:• skirtingus brandos lygius nusakantys reikalavimai ir jiems įgyvendinti sąlygas sudarantys aspektai, • skalė, pagal kurią galima lengvai įvertinti skirtumą,• skalė, tinkanti praktiškam palyginimui,• pagrindas nustatyti esamą ir siekiamą padėtį,• parama trūkumų analizei, kuri nustatytų, ką reikia daryti, kad būtų pasiektas pasirinktas lygis,• ir bendras vaizdas, kaip organizacija valdo IT.

CobiT brandos modeliai yra orientuoti į brandą, bet nebūtinai į kontrolės priemonių apimtį ir išsamumą. Tai nėra nei skaičiai, kurių reikėtų siekti, nei formalus sertifikavimo pagrindas su diskrečiais lygiais, sukuriančiais sunkiai įveikiamus slenksčius. Jie yra skirti naudoti visais atvejais ir apima lygius, kurių aprašymus organizacija gali taikyti kaip geriausiai atitinkančius jos procesus. Tinkamą brandos lygį nulemia organizacijos tipas, aplinka ir strategija.

Sprendimai dėl apimties, kontrolės išsamumo ir gebėjimų naudojimo bei paskirstymo yra susiję su sąnaudomis ir nauda. Pavyzdžiui, gali būti, kad aukšto lygio saugos valdymą reikia skirti tik kritinėms organizacijos sistemoms. Kitas pavyzdys – skirtingų kontrolės priemonių pasirinkimas, ar atlikti savaitines rankines peržiūras, ar nuolatinę automatinę kontrolę.

Galiausiai, nors aukštesnio lygio branda padidina proceso kontrolę, organizacija vis tiek turi atlikti rizika ir vertės veiksniais grįstą analizę, kokius kontrolės mechanizmus reikia taikyti. Šiame modelyje nustatyti bendrieji veiklos ir IT tikslai padės atlikti šią analizę. Kontrolės mechanizmai yra susieti su CobiT kontrolės tikslais ir sutelkti į tai, kas vyksta procesuose. Brandos modelių paskirtis – atkreipti dėmesį į tai, kaip gerai procesai yra valdomi. III priede pateikiamas bendras brandos modelis, parodantis vidaus kontrolės aplinkos būklę ir vidaus kontrolės priemonių nustatymą organizacijoje.

Tinkama kontrolės aplinka pasiekiama, kai atsižvelgiama į visus tris brandos aspektus (gebėjimą, apimtį ir kontrolę). Brandos tobulinimas mažina riziką ir gerina efektyvumą, dėl to sumažėja klaidų, lengviau nuspėjami procesai, o ištekliai naudojami rentabiliau.

VEIKLOS VERTINIMASCobiT nustato trijų lygių tikslus ir metrikas:• IT tikslai ir metrikos, apibrėžiantys, ko vykdant veiklą tikimasi iš IT ir kaip tai įvertinti;• proceso tikslai ir metrikos, apibrėžiantys, ką IT procesas turi atlikti, kad būtų siekiama IT tikslų, ir kaip tai įvertinti;• priemonės tikslai ir metrikos, nustatantys, kas turi vykti proceso viduje, kad būtų pasiektas reikiamas našumas, ir kaip tai įvertinti.


15 pav. Brandos požymių lentelė

CobiT meTodika

21

Su

prat

imas

ir

Polit

ika,

pla

nai

Inst

rum

enta

i ir

Įgūd

žiai i

r At

sako

myb

ė ir

Ti

kslų

nus

taty

mas

info

rmav

imas

ir

proc

edūr

os

auto

mat

izavi

mas

ko

mpe

tenc

ija

atsk

aito

myb

ė ir

vert

inim

as 1

At

siran

da pr

oces

o Pr

oces

ams i

r pra

ktika

i Ka

i kur

ie in

strum

enta

i Ne

nusta

tyti

proc

esam

s vald

yti

Atsk

aitom

ybė i

r atsa

kom

ybė

Tiksla

i yra

nea

iškūs

,

pore

ikio p

ripaž

inim

as.

taiko

mi a

d hoc

met

odai.

ga

li būt

i suk

urti.

re

ikalin

gi įg

ūdžia

i. ne

apib

rėžto

s.

verti

nim

as n

evyk

sta.

Na

udoja

mas

i sta

ndar

tiniai

s

Darb

uoto

jai sa

vo

Pa

vieni

ais at

vejai

s Pr

oces

ai ir

polit

ika

elem

enta

riais

isntru

men

tais.

Nė

ra m

okym

ų plan

o,

inici

atyv

a im

asi

in

form

acija

tam

ne

apib

rėžti

. Nė

ra su

plan

uoto

ne

vyks

ta fo

rmali

ai

sprę

sti ta

m

tik

rais

klaus

imais

.

instr

umen

tų n

audo

jimo m

etod

o.

patv

irtin

ti m

okym

ai.

tikru

s klau

simus

. 2

Su

vokia

mas

pore

ikis

Atsir

anda

pana

šių be

ndrų

Nu

staty

ti be

ndri

instr

umen

tų

Ypač

svar

biom

s srit

ims

Indi

vidua

lus d

arbu

otoja

s pris

iima

Nusta

tom

i kai

kurie

tiks

lai,

ve

ikti.

proc

esų,

tačia

u jie

daug

iausia

na

udoji

mo m

etod

ai,

nusta

tyti

min

imalū

s įgū

džių

sa

vo at

sako

myb

ę ir p

apra

stai

taip

pat t

am ti

kri fi

nans

iniai

in

tuity

vūs,

nes p

agrįs

ti

tačia

u jie

pagr

įsti p

agrin

dini

ų re

ikalav

imai.

lai

kom

as at

skait

ingu

, net

jei

vetin

imo r

odikl

iai, k

urie

yra

Va

dovy

bė in

form

uoja

in

divid

ualių

darb

uoto

jų pa

tirtis

. da

rbuo

tojų

suku

rtais

ta

i for

mali

ai ir

nesu

tarta

. žin

omi t

ik au

kščia

usiem

s vad

ovam

s.

ap

ie be

ndru

s klau

simus

.

spre

ndim

ais.

Mok

ymai

vykd

omi la

biau

At

sirad

us pr

oblem

ų, dė

l va

dova

ms.

Dė

l indi

vidua

lių da

rbuo

tojų

atsiž

velg

iant į

pore

ikius

, o

atsa

kom

ybės

kyla

pain

iava,

At

skirų

sriči

ų ste

bėse

na

kom

pete

ncijo

s kai

kurie

proc

eso

Gam

into

jų si

ūlom

i instr

umen

tai

ne į s

utar

tą pl

aną,

vyks

ta

darb

uoto

jai lin

kę ka

ltint

i yr

a nen

uose

kli.

aspe

ktai

pasik

arto

ja, po

litika

ir

gali b

ūti įs

igyt

i, bet

ne

form

alūs m

okym

ai vie

ni ki

tus.

proc

edūr

os ga

li būt

iįtvir

tinto

s gr

eičiau

siai t

aikom

i net

inka

mai,

da

rbo v

ietoje

.

doku

men

tuos

e bei

vyra

uti

ir ne

tgi t

ai ga

metodika - e-valdžios sąveikumo portalas - titulinis 1-lithuanian.pdfmetodika kontrolĖs tikslai...

Documents