The development of an integrated framework in order to implement information technology governance principles at a strategic and operational level for medium-to-large sized South African business
Date
2012-03
Authors
Goosen, Riana
Journal Title
Journal ISSN
Volume Title
Publisher
Stellenbosch : Stellenbosch University
Abstract
ENGLISH ABSTRACT: In today's technologically advanced business environments, Information Technology (IT) has become the centre of most, if not all businesses' strategic and operational activities. It is for this reason that the King III report has dedicated a chapter to IT governance principles, in effect making the board of directors and senior management responsible for implementing such principles. King III's guidance on these principles is only described in broad terms and lack sufficient detail as how to implement these principles. Though various guidelines, in the form of IT control frameworks, -models and -standards exist, it remains highly theoretical in nature and companies tend to view these control frameworks, -models and -standards on an individual basis, implementing them in an ad hoc manner, resulting in the implementation of an inefficient IT governance system, that does not address the key strategic areas and risks in a business.
The purpose of this study is to develop an IT best practices integrated framework which can assist management in implementing an effective IT governance system at both a strategic and operational level. The integrated framework was developed by performing a detailed literature review of a best practice control framework, -model and -standard, including its underlying processes.
By combining and aligning the relevant processes of the control framework, -model and -standard to the business' imperatives, a framework was developed to implement IT governance principles at a strategic level. The integrated framework is extended to provide guidance on how to implement good IT controls at an operational level. The control techniques, of the applicable processes identified at a strategic level, are implemented as well as the controls around a company's various access paths, which are affected by a company's business imperatives. These access paths are controlled through the implementation of applicable configuration controls. By making use of the integrated framework which was developed, an effective and efficient IT governance system can be implemented, addressing all applicable IT risks relevant to the key focus areas of a business.
AFRIKAANSE OPSOMMING: In vandag se tegnologies gevorderde besigheids omgewings het Informasie Tegnologie (IT) die middelpunt geraak van die meeste, indien nie elke onderneming se strategiese en operasionele aktiwiteite nie. Dit is vir hierdie rede dat die King III verslag 'n hoofstuk aan die beginsels van IT korporatiewe beheer wy. Dié verslag hou die direkteure en bestuur verantwoordelik vir die implementering van hierdie beginsels. Die King III verslag verskaf egter slegs in breë trekke leiding in verband met die implementering van hierdie beginsels en 'n gebrek aan meer gedetailleerde beskrywings bestaan. Alhoewel verskeie riglyne, in die vorm van IT kontrole raamwerke, -modelle en -standaarde bestaan, bly dit steeds teoreties van aard en is maatskappye geneig om hierdie riglyne op 'n individuele vlak te hanteer en op 'n willekeurige wyse te implementeer. Hierdie proses lei tot die implementering van 'n ondoeltreffende IT korporatiewe beheerstelsel. Die doel van hierdie studie is om 'n geïntegreerde beste praktykraamwerk te ontwikkel wat deur die direkteure en bestuur van 'n onderneming gebruik kan word om op beide 'n strategiese en operasionele vlak 'n doeltreffende IT korporatiewe beheermaatstelsel in plek te stel. 'n Geïntegreerde raamwerk is ontwikkel deur 'n volledige literatuurstudie uit te voer, gebaseer op 'n beste praktyk IT kontrole raamwerk, -model en -standaard en die gepaardgaande prosesse. Deur die toepaslike prosesse van hierdie kontrole raamwerk, -model en -standaard te kombineer en te belyn met 'n besigheid se besigheidsimperatiewe, word IT korporatiewe beheerbeginsels op 'n strategiese vlak in plek gestel. Die geïntegreerde raamwerk sluit riglyne in om goeie IT kontroles op 'n operasionele vlak te implementeer. Die kontrole tegnieke, wat verbind word met die gepaardgaande prosesse wat tydens die strategiese vlak geïdentifiseerd is, word geimplementeer asook die die toepaslike konfigurasie kontroles oor die verskeie toegangspaaie wat beïnvloed word deur 'n besigheids se besigheidsimperatiewe. Deur gebruik te maak van die ontwikkelde geïntegreerde raamwerk kan alle geaffekteerde IT risikos nou aangespreek word en 'n doeltreffende IT korporatiewe beheerstelsel in plek gestel word.
AFRIKAANSE OPSOMMING: In vandag se tegnologies gevorderde besigheids omgewings het Informasie Tegnologie (IT) die middelpunt geraak van die meeste, indien nie elke onderneming se strategiese en operasionele aktiwiteite nie. Dit is vir hierdie rede dat die King III verslag 'n hoofstuk aan die beginsels van IT korporatiewe beheer wy. Dié verslag hou die direkteure en bestuur verantwoordelik vir die implementering van hierdie beginsels. Die King III verslag verskaf egter slegs in breë trekke leiding in verband met die implementering van hierdie beginsels en 'n gebrek aan meer gedetailleerde beskrywings bestaan. Alhoewel verskeie riglyne, in die vorm van IT kontrole raamwerke, -modelle en -standaarde bestaan, bly dit steeds teoreties van aard en is maatskappye geneig om hierdie riglyne op 'n individuele vlak te hanteer en op 'n willekeurige wyse te implementeer. Hierdie proses lei tot die implementering van 'n ondoeltreffende IT korporatiewe beheerstelsel. Die doel van hierdie studie is om 'n geïntegreerde beste praktykraamwerk te ontwikkel wat deur die direkteure en bestuur van 'n onderneming gebruik kan word om op beide 'n strategiese en operasionele vlak 'n doeltreffende IT korporatiewe beheermaatstelsel in plek te stel. 'n Geïntegreerde raamwerk is ontwikkel deur 'n volledige literatuurstudie uit te voer, gebaseer op 'n beste praktyk IT kontrole raamwerk, -model en -standaard en die gepaardgaande prosesse. Deur die toepaslike prosesse van hierdie kontrole raamwerk, -model en -standaard te kombineer en te belyn met 'n besigheid se besigheidsimperatiewe, word IT korporatiewe beheerbeginsels op 'n strategiese vlak in plek gestel. Die geïntegreerde raamwerk sluit riglyne in om goeie IT kontroles op 'n operasionele vlak te implementeer. Die kontrole tegnieke, wat verbind word met die gepaardgaande prosesse wat tydens die strategiese vlak geïdentifiseerd is, word geimplementeer asook die die toepaslike konfigurasie kontroles oor die verskeie toegangspaaie wat beïnvloed word deur 'n besigheids se besigheidsimperatiewe. Deur gebruik te maak van die ontwikkelde geïntegreerde raamwerk kan alle geaffekteerde IT risikos nou aangespreek word en 'n doeltreffende IT korporatiewe beheerstelsel in plek gestel word.
Description
Thesis (MComm)--Stellenbosch University, 2012.
Keywords
Business enterprises -- Computer networks -- South Africa -- Management, Information technology -- South Africa -- Management, Dissertations -- Accountancy, Dissertations -- Computer auditing, Theses -- Computer auditing