Organizarea și Conducerea Funcțiunii de Audit Informatic într-o Organizație

I. GUVERNANŢA IT

1.1 Concept

Lumea afacerilor a devenit din ce în ce mai complexă şi mai dinamică sub influenţa a numeroşi factori , inclusiv globalizarea şi Internetul. Acţionariatul firmelor care a devenit rapid unul internaţional, comerţul electronic şi afacerile electronice, noile relaţii cu furnizorii şi clienţii şi enumerarea ar putea continua, au determinat schimbări în conţinutul şi formele managementului, care a înregistrat un salt calitativ fiind acum recunoscut sub denumirea de Guvernanţă Corporativă. Una din importantele provocări căreia trebuie să-i facă faţă guvernarea corporatistă o reprezintă şi optimizarea resurselor IT şi anume: informaţiile, infrastructura IT &C, procesele IT şi resursele umane asociate. Această clasă de probleme manageriale poartă denumirea de guvernanţă IT.

Guvernanţa IT a devenit o necesitate datorită creşterii dependenţei, care uneori este critică, faţă de resursele IT ale firmei dar şi datorită creşterii şi diversificării riscurilor IT pe care trebuie să le soluţioneze managementul întreprinderilor, care funcţionează de acum într-un mediu puternic informatizat.

Guvernanţa IT este un subset al guvernanţei corporative. Conducerea organizaţiei trebuie să cunoască, să înţeleagă arhitectura sistemului IT, portofoliul de aplicaţii şi resursele informatice ale firmei precum şi ce rol îi revine conducerii, cum şi cât trebuie să se implice în deciziile ce privesc sectorul IT al organizaţiei.

Guvernanţa IT , în sensul cel mai larg trebuie acceptată ca fiind activitatea de conducere şi coordonare a activităţilor IT dintr-o organizaţie.

IT Governance Institut defineşte acest concept ca reprezentând „ totalitatea structurilor de conducere, organizatorice precum şi procedurile prin care funcţionarea sistemului IT susţine îndeplinirii obiectivelor şi a strategilor organizaţiei”.

Guvernanţa IT este mai mult decât managementul clasic al informaţiilor. Guvernanţa IT are în vedere în primul rând corelarea strategiei şi obiectivelor IT cu strategia şi obiectivele economice ale întreprinderii, apoi organizarea proceselor IT într-un model general acceptat şi integrat organizaţiei, prin legarea proceselor IT de procesele de business. Este principala condiţie prin care sistemul IT susţine creşterea eficienţei, a valorii adăugate pe care o produce întreprinderea.

Din acest punct de vedere, guvernanţa IT obligă managementul organizaţiei să se implice în deciziile strategice privind segmentul IT, ce au în vedere şi investiţiile în IT. Guvernanţa IT asigură participarea la deciziile strategice a acţionarilor,a partenerilor de afaceri, furnizori sau clienţi şi a compartimentelor funcţionale din firmă, financiar, marketing, resurse umane etc. În acest fel se previne situaţia în care unicul responsabil pentru deciziile inadecvate luate să fie doar managerul IT.

Nu în ultimul rând guvernanţa IT are în vedere controlul, prevenirea şi soluţionarea riscurilor datorate erorilor şi disfuncţionalităţilor din sistemul IT.

În sinteză, valoarea adăugată, riscul şi controlul reprezintă nucleul guvernanţei IT.

1.2 Obiective

Guvernanţa IT integrează şi instituţionalizează cele mai bune practici prin care ne asigurăm că sistemul informatic contribuie la realizarea obiectivelor întreprinderii. În acest fel, prin valorificarea eficientă şi operativă a informaţiilor furnizate de sistemul IT, întreprinderea îşi maximizează beneficiile, îşi creează şi valorifică oportunităţile de afaceri şi obţine avantaje competitive.

Aşa cum se specifică în literatura de specialitate , principalele obiective ale guvernanţei IT sunt:

- alinierea activităţilor IT cu cerinţele proceselor de business, asigurând continuitatea şi dezvoltarea afacerilor întreprinderii;

- activităţile IT trebuie să susţină maximizarea beneficiilor;

- utilizarea resurselor IT cu responsabilitate, respectând principiile eficienţei şi eficacităţii;

- administrarea corespunzătoare, corectă a riscurilor IT.

Pornind de la aceste principii, în spiritul metodologiei CobiT – Control Objectives for Information and Related Techology se pot individualiza următoarele arii de probleme asupra cărora se focalizează guvernanţa IT:alinierea strategiilor, creşterea valorii adăugate, managementul resurselor, managementul riscului, măsurarea performanţelor.

Alinierea strategiilor se concentrează pe corelarea strategiei IT în relaţie cu strategia de business a întreprinderii, aliniere care trebuie să se reflecte în definirea, validarea şi materializarea ofertei IT şi legarea proceselor IT de procesele de afaceri ale întreprinderii.

Creşterea valorii adăugate urmăreşte ca prin cantitatea şi calitatea informaţiilor livrate de sistemul IT, conform ofertei de servicii IT pliate pe nevoile managementului, să se asigure o optimizare a costurilor şi o creştere a beneficiilor.

Măsurarea performanţelor urmăreşte o cuantificare a performanţelor proceselor IT şi a furnizării de servicii IT în cadrul sistemului informatic. Măsurătorile se pot realiza cu diverse tehnici – scorecards, maturity models, monitorizându-se implementarea proceselor şi utilizarea resurselor informatice.

Pentru a obţine o guvernanţă efectivă şi eficientă este necesar să se implementeze un cadru de control al activităţilor/proceselor IT conform cerinţelor standardelor.

II. CONTROL ŞI AUDIT

2.1 Relaţia control intern - audit

Guvernanţa IT ca orice sistem de management, pentru domeniile sale de activităţi, teoretic vorbind, utilizează funcţia de evaluare-control pentru a urmări şi corecta funcţionarea acestui ansamblu de activităţi.

Funcţia de evaluare – control urmăreşte:

- evaluarea activităţilor specifice, rezultatelor

- compararea rezultatelor cu cele planificate planificate,

- respectarea standardelor, a normelor, a prevederilor legale pe plan intern şi internaţional;

- identificarea abaterilor, erorilor, comunicarea şi urmărirea soluţionării acestora.

Prin funcţia de evaluare – control se asigură fundamentarea deciziilor operative de modificare a unor acţiuni, procese economice sau procese IT, sau a unor obiective dacă se dovedeşte că acestea nu au fost fundamentate corect şi în consecinţă nu pot fi îndeplinite.

Controlul intern instituit prin această funcţie are menirea de a preveni producerea unor disfuncţionalităţi, de a sesiza erorile produse de ceva ce trebuie să meargă bine şi merge sau a mers rău, WCGR – What Could Go Wrong. Producerea unor astfel de erori reprezintă un risc al cărui impact se poate repercuta printr-o pierdere, o pierdere materială, financiară sau de imagine.

Controlul intern are ca scop identificarea şi evaluarea riscurilor în vederea eliminării, prevenirii sau minimizării acestora Se vorbeşte acum, tocmai datorită importanţei acestui domeniu, de managementul riscurilor ca parte integrantă a guvernanţei IT şi implicit a managementului general al firmei alături de menţinerea şi creşterea performanţei.