Etap ten umożliwia zrozumienie celów biznesowych oraz wskazuje, w jakim zakresie wspiera je informatyka. Głównym obszarem uwagi na tym etapie powinna być analiza, w jaki sposób informatyka dostarcza wartości w uruchamianiu nowych procesów biznesowych, usprawnia efektywność istniejących procesów biznesowych i całej organizacji oraz jak wspiera zarządzanie ryzykiem, bezpieczeństwem informacji i zapewnienie zgodności z przepisami prawa. Na podstawie analizy definiowane są mierzalne cele dla informatyki, które przekładają się na wartość biznesową. Należy przy tym wziąć pod uwagę zarówno wymagania biznesowe dla informacji dostarczanej przez IT, jak i dostępne zasoby. Jednym z najważniejszych zadań we wdrożeniu nadzoru informatycznego jest identyfikacja kluczowych procesów i mechanizmów kontrolnych. Opierając się na wcześniejszych analizach, należy wskazać obszary informatyki, które wymagają usprawnienia dla podniesienia stopnia wsparcia celów biznesowych. Zadanie to pozwala jasno określić zasięg nadzoru informatycznego i wskazać miejsca, które wymagają szczególnej uwagi.

Identyfikacja rodzajów ryzyka jest etapem pozwalającym określić czynniki, które mogą utrudnić realizację założonych celów biznesowych. W ramach tego etapu projektu należy skoncentrować się na takich aspektach, jak:

• określenie skłonności do ryzyka i analiza dotychczasowych zdarzeń;
• identyfikacja rodzajów ryzyka związanych z usługami informatycznymi;
• zdefiniowanie rodzajów ryzyka związanych z dostarczaniem nowych rozwiązań technologicznych;
• korekta zakresu wdrożenia na podstawie zidentyfikowanych rodzajów ryzyka.

Etap ten jest niezwykle istotny dla prawidłowej konstrukcji systemu kontroli wewnętrznej wbudowanego w nadzór informatyczny. Wynika to z faktu, że mechanizmy kontrolne, które należy wdrożyć w procesach zarządzania, powinny stanowić spójną i kompletną odpowiedź na zidentyfikowane rodzaje ryzyka. Błędy popełnione na tym etapie wpływają bowiem negatywnie na całość systemu kontroli wewnętrznej.

Zobacz również:

• 9 cech wielkich liderów IT
• CIO "bumerangi": liderzy IT awansują, powracając
• 6 znaków ostrzegawczych, na które CIO powinni zwrócić uwagę w 2024 roku

Wiedza uzyskana w poprzednich etapach pozwala wstępnie sformułować założenia dla nadzoru informatycznego. Pierwszym krokiem w tym kierunku jest identyfikacja zasobów i określenie wyników systemu nadzoru. Celem tego etapu jest przede wszystkim:

• ustalenie ram nadzoru informatycznego i procesu zarządzania;
• zdefiniowanie organizacji programu;
• określenie oczekiwanych rezultatów programu.

Na tym etapie należy dokonać wyboru modelu ramowego kontroli wewnętrznej, na którego podstawie będą konstruowane lub usprawniane procesy zarządzania. Niezwykle istotna jest tu wiedza na temat obowiązujących już w organizacji standardów. Pozwala to na łatwą integrację rozwiązań nowych z już istniejącymi. Organizacje korzystają po części z modeli wdrożonych na podstawie norm ISO 27001, ITIL czy wreszcie COBIT. Należy wykorzystywać dotychczasowy dorobek, szukając przy tym optymalizacji kosztów wdrożenia nadzoru informatycznego.

Jednocześnie na tym etapie powstają pierwsze struktury zarządzania, wykorzystywane później w fazie eksploatacji i utrzymania systemu kontroli wewnętrznej oraz nadzoru informatycznego. Najważniejszym czynnikiem sukcesu jest zaangażowanie przedstawicieli wszystkich grup interesariuszy, tj. zarządu, kierownictwa biznesowego, kierownictwa IT, audytu i zarządzania ryzykiem. Doskonałą pomoc w określaniu struktur zarządzania, ról i odpowiedzialności poszczególnych osób w procesie nadzoru stanowi dokument "Board Briefing on IT Governance, 2nd Edition", opracowany przez IT Governance Institute.

Produktem tego etapu prac, który określa wiele parametrów programu i projektów, jest definicja oczekiwanych wyników przedsięwzięcia. Należy tu zwrócić szczególną uwagę na takie elementy, jak:

• potwierdzenie oczekiwań interesariuszy;
• ewentualna aktualizacja i korekta studium przypadku;
• zdefiniowanie kryteriów sukcesu programu i projektów wdrożenia nadzoru informatycznego;
• wskazanie priorytetowych obszarów wdrożenia;
• ewentualna korekta celów informatycznych i ostateczna definicja zakresu wdrożenia.

Etapem, który zamyka fazę identyfikowania potrzeb, jest planowanie programu. Celem etapu jest alokacja uzgodnionych zasobów, powołanie struktur projektowych oraz formalna akceptacja budżetu. Jednocześnie teraz powinien zostać opracowany formalny plan obejmujący czas trwania projektu oraz jego poszczególnych etapów i zadań, wskazanie metodyki realizacji projektu. Na zakończenie etapu należy zakomunikować wszystkim zainteresowanym stronom założone cele programu usprawnień, oczekiwania co do zaangażowania zasobów oraz wszelkie elementy, które wpływają na realizację prac. Dzięki temu wyniki działań, które mogą trwać wiele miesięcy, nie miną się z oczekiwaniami interesariuszy.