IT Governance для управления рисками и...
Transcript of IT Governance для управления рисками и...
Виктор Голубев Директор по IT Governance/COBIT Московского отделения ISACA, Школа IT-менеджмента, CISA,TOGAF certified 28 февраля 2014г.
27.02.2014 TBS Consulting 2
Немного про ISACA
• ISACA (http://www.isaca.org) – Information Systems Audit and Control Association,
основана в 1969
– объединяет более 100 000 профессионалов во всем мире
• Сертификации ISACA признаны во всем мире и имеют аккредитацию ANSI – CISA- Certified Information Systems Auditor ,
с 1978 г. более 90 000 в мире, 215 в России.
– CISM - Certified Information Security Manager, с 2002г, более 18 000 в мире, 22 в России
– CGEIT - Certified in the Governance of Enterprise IT, с 2007 г, более 4 800 в мире, 15 в России
– CRISС- Certified in Risk and Information Systems Control, с 2010 г, более 16 000 в мире, 38 в России
27.02.2014 TBS Consulting 3
Содержание
• Изменение роли и места ИТ
• Предпосылки для IT Governance
• Чего хочет Бизнес от ИТ ?
• Определение , цели и средства IT Governance
• Место IT в Enterprise Governance
• Базовые принципы IT Governance
• Все про ИТ процессы
• ИТ-риски и как с ними бороться
• Чем отличаются СВК ИТ и внутренний ИТ-аудит
27.02.2014 TBS Consulting 4
Изменение роли и места ИТ
Одновременный рост сложности и размера инвестиций
Управление информацией
IT Business
Трансформация бизнеса
Business IT
IT Business
Автоматизация процессов
Результативность Поддержка бизнеса
Эффективность Улучшение управления
ИнновационностьИзменение правил и порядка
27.02.2014 TBS Consulting 5
Предпосылки для IT Governance
• Проникновение ИТ во все сферы современного бизнеса
– Рост влияния ИТ на результаты бизнеса
– Рост бизнес-рисков, связанных с ИТ
• Усиление требований – корпоративных и регуляторов
• Стремительный рост размера ИТ-инвестиций и одновременно - их непрозрачность для бизнеса
• Длительность и сложность внедрения ИТ решений, рост количества неуспешных ИТ проектов
• Отсутствие общего языка:
– Бизнес не желает понимать ограничения и особенности ИТ,
– ИТ не умеет разговаривать с Бизнесом на его языке
• " Информационный парадокс состоит в том, что в то время как инвестиции в ИТ продолжают неуклонно расти, обеспечение ценности ИТ для бизнеса остатся сомнительной"
John Thorp "Information Paradox
• "Порой отношение Бизнеса к ИТ такое же как к туалету : он ничего не хочет об этом знать, до тех пор пока ЭТО не сломается" Terry White "What Business Really Wants From IT”
27.02.2014 TBS Consulting 6
Под гнетом Compliance…
Basel II/III – международные требования к ведению банковской деятельности
Graham-Leech-Bliley (GLB) – защита неприкосновенности частной информации
Health Insurance Portability and Accountability Act (HIPAA) - защита персональной медицинской информации
База данных ITCi содержит более 100 локальных, национальных и интернациональных законов, актов, требований.., http://www.itcinstitute.com
8 EU Directive
PCI DDS ФЗ 152…
USA Patriot Act – расширение законодательства США по борьбе с терроризмом
FSPA – антикоррупционный закон США
UK BA – антикоррупционный закон Великобритании
27.02.2014 TBS Consulting 7
Чего хочет Бизнес от ИТ? по-простому
• "Чтобы все и всегда работало и не "падало"!"
– надежность поддержки текущих
бизнес-процессов, во всех смыслах этого слова
• "Чтобы ИТ не "тормозил" и
не говорил мне "НЕТ"!"
– Гибкость - способность быстрой адаптации ИТ к
изменяющимся условиям
• "Чтобы ИТ обеспечивали бизнес новыми
технологиями, …"
– Новые возможности и конкурентные преимущества
• "Чтобы это мне ничего не стоило!"
– Низкая стоимость владения ИТ
27.02.2014 TBS Consulting 8
«Не можешь предотвратить? Возглавь!»
«IT Governance (Руководство ИТ) –зона ответственности
Высшего Руководства Компании.
IT Governance является неотъемлемой составной частью
системы управления Компанией и состоит в обеспечении
руководящей роли, создании организационных структур
и процессов, обеспечивающих со стороны ИТ поддержку
и реализацию Стратегии и целей Компании»
Источник: IT Governance Institute, «Board Briefing on IT Governance, 2nd Edition»
«ИТ – слишком важная область, чтобы
доверять ее исключительно айтишникам!»
27.02.2014 TBS Consulting 9
Enterprise Governance
Corporate Governance (conformance -
соответствие)
Business Governance (performance –
результативность)
IT Governance
*) Источники :
IFAC, «Enterprise Governance: Getting the Balance Right», USA, 2003
ISACA, COBIT (Control Objectives for Information and related Technology) 4.1, USA, 2007
Место IT Governance
27.02.2014 TBS Consulting 10
IT Governance – цели и средства
• Цели: - создание ценности для Бизнеса - управление ИТ-рисками
• Средства:
• Соответствие ИТ-стратегии и бизнес-стратегии
• Управление ресурсами
• Измерение результативности
Resource Management
IT IT Governance Governance Domains Domains
Resource Management
IT Governance Focus Areas
27.02.2014 TBS Consulting 11
Методология IT Governance - CobiT
COBIT® = Control Objectives for Information and related Technology
• "Де-факто" - международный стандарт по IT Governance
• Разработан IT Governance Institute на основе на проверенных лучших международных практик
• Взаимосвязан со всеми ведущими методологиями - ITIL, PMBOK, TOGAF, CMM, ISO 17799, ISO 38500…
• Широкий набор документов свободно доступен
• Не догма, но руководство к действию!
• Живая и постоянно развивающаяся методология в апреле 2012 вышла версия 5 в сентябре 2013 – русский перевод
www.isaca.org/cobit
27.02.2014 TBS Consulting 12
Эволюция развития CobiT
2005/7 2000 1998
Гран
иц
ы
1996
Governance of Enterprise IT
COBIT 5
IT Governance
COBIT4.0/4.1
Management
COBIT3
Control
COBIT2
Audit
COBIT1
2012
Val IT 2.0 (2008)
Risk IT (2009)
27.02.2014 TBS Consulting 13
Основные характеристики CobiT
• Business-focused
• Ориентация на бизнес-цели
• Process-oriented
• Процессный подход
• Controls-based
• Контролируемость процессов
• Measurement-driven
• Измерение продуктивности
27.02.2014 TBS Consulting 14
Базовый принцип (Business focused)
Определяют инвестиции в
ИТ
Используются
Обеспечивают
Которая соответствует…
Бизнес Требования
Информация
ИТ ресурсы
ИТ процессы
27.02.2014 TBS Consulting 15
"Куб" CobiT
• Бизнес-требования
• Результативность (Effectiveness) =
ориентация на бизнес результат, гибкость
• Эффективность (Efficiency)=
цена результата, КПД
• Конфиденциальность (Confidentiality)
• Целостность (Integrity)
• Доступность (Availability )
• Обеспечение Соответствия (Compliance)
• Надежность (Reliability)
• Ресурсы
• Приложения
• Информация
• Инфраструктура
• Люди+Компетенции
• ИТ процессы
• Домены
• Процессы
• Подпроцессы / Контроли
27.02.2014 TBS Consulting 16
CobiT – цикл Деминга для ИТ
Цели Бизнеса,
Требования соответствия
Эффективность
Приложения
Информация
Инфраструктура
Люди
ПРЕДОСТАВЛЕНИЕ
И ПОДДЕРЖКА
МОНИТОРИНГ И ОЦЕНКА
ПРИОБРЕТЕНИЕ
И
ВНЕДРЕНИЕ
ИНФОРМАЦИЯ
ИТ
РЕСУРСЫ
Результативность
Конфиденциальность
Целостность
Доступность
Соответствие
ПЛАНИРОВАНИЕ
И ОРГАНИЗАЦИЯ
Надежность
А P
D C
P
D
C
A
P-D-C-A Цикл Деминга
• Любой правильно организованный процесс управления цикличен !
27.02.2014 TBS Consulting 17
Домены процессов CobiT (Process oriented)
Планирование и организация PO1 Разработка ИТ-стратегии
PO2 Разработка и управление ИТ-архитектурой
PO3 Планирование развития инфраструктуры
PO4 Определение ИТ-процессов и оргструктуры
PO5 Управление инвестициями в ИТ
PO6 Передача целей и задач бизнеса
PO7 Управление ИТ-персоналом
PO8 Управление качеством
PO9 Оценка и управление ИТ-рисками
PO10 Управление проектами
Обеспечение и поддержка DS1 Определение и управление уровнями обслуживания
DS2 Управление услугами третьих сторон
DS3 Управление производительностью и загрузкой
DS4 Обеспечение непрерывности обслуживания
DS5 Обеспечение безопасности
DS6 Установление и распределение стоимости
DS7 Обучение пользователей
DS8 Помощь пользователям и управление инцидентами
DS9 Управление конфигурациями
DS10 Управление проблемами
DS11 Управление данными
DS12 Управление физическим окружением
DS13 Управление операциями
Мониторинг и оценка ME1Мониторинг и оценка производительности ИТ
ME2 Мониторинг и оценка системы внутреннего контроля
ME3 Обеспечение соответствия внешним требованиям
ME4 Организация процесса Управления ИТ
Приобретение и внедрение AI1 Идентификация решения для автоматизации
AI2 Приобретение и установка прикладного ПО
AI3 Приобретение и установка технологической инфраструктуры
AI4 Обеспечение запуска и использования систем
AI5 Обеспечение ИТ-ресурсами
AI6 Управление изменениями
AI7 Прием в эксплуатацию систем изменений
27.02.2014 TBS Consulting 18
Требования к процессам (Control based)
• PC1 Цели и задачи процесса – Определены, коммуницированы, направлены на эффективное выполнение процесса, привязаны
к бизнес-целям
– Снабжены SMARRT метриками- конкретные, измеримые, действенные, реалистичные, ориентированы на результаты и ограниченны во времени
• PC2 Ответственность за процесс – Назначение владельца, определение его роли и обязанностей
• PC3 Повторяемость процесса – Использование стандартных процессов везде, а уникальных только в случае неизбежности
• PC4 Закрепление ролей и обязанностей в процессе – Определены основные операции и конечные результаты процесса.
– Назначены и коммуницированны непротиворечивые роли и обязанности для эффективного выполнения и ответственности за конечный результат процесса
• PC5 Документированность - политики, процедуры, инструкции – Определен порядок документирования, анализа, обновления, поддержки, утверждения,
хранения, распространения и использования для обучения базовых ИТ документов
• PC6 Постоянная оптимизация процесса – Определен набор метрик для измерения результата и эффективности процесса.
– Установлены целевые показатели, отражающие цели процесса ( KGI – Outcomes) и показателей, которые позволяют судить о достижимости целей процесса (KPI - Performance)
– Определен способ получения этих показателей
– Проводится регулярное сравнение фактических измерений и целевых показателей. Принимаются меры по устранению отклонений
27.02.2014 TBS Consulting 19
ИТ процесс – "и это все о нем!"
• Описание процесса
• Контрольные цели
• Руководство по управлению
– Входы и выходы процесса
– Матрица ответственности
– Цели и метрики
• Уровни зрелости
27.02.2014 TBS Consulting 20
Матрица ответственности
• RACI chart рекомендует распределение ответственности для каждого процесса:
– Responsible - выполняет,
– Accountable – отвечает за конечный результат,
– Consulted - консультирует
– Informed – должен быть проинформирован
Link business goals to IT goals. C I A/R
I C
Identify critical dependencies and current performance.
C C R A/R
C C C C C C
Build an IT strategic plan. A C C R I C C C C I C
Build IT tactical plans. C I A C C C C C R I
Analyse programme portfolios and manage project and service portfolios.
C I I A R R C R C C I
RACI Chart – Матрица ответственности
Activities Fun
ctio
ns
27.02.2014 TBS Consulting 21
Шкала зрелости процессов (Measurement driven)
0 - Не существуют 1 – Хаотичны и неорганизованны 2 - Повторяемы 3- Документированы и доведены до участником 4- Управляемы и измеряемы 5- Оптимизированны
27.02.2014 TBS Consulting 22
Управление ИТ-рисками
• ИТ-риски – это бизнес риски, связанные с использованием, владением, вовлечением, влиянием ИТ
• Источник ИТ-рисков – отсутсвие, низкая зрелость или неэффективность ИТ-процессов
Не получение ценности Срыв программ/проектов Сбои ИТ-поддержки БП
27.02.2014 TBS Consulting 23
Контроль - гарантия качества!
• «Качество ИТ» = ценность ИТ для бизнеса + минимизация ИТ-рисков
• Качество ИТ обеспечивается наличием стандартных, зрелых, результативных и эффективных процессов руководства и управления ИТ!
• Инструменты обеспечения Качества ИТ – эффективная контрольная среда, – Система Внутреннего Контроля в ИТ (СВК ИТ) (preventive)
– Внутренний ИТ-аудит (detective)
• Контрольная среда – совокупность политик, процедур, практик и оргструктур, призванная обеспечить обоснованную уверенность, что бизнес-цели будут достигнуты, а нежелательные события будут предотвращены или вовремя обнаружены и исправлены." CobiT4.1
27.02.2014 TBS Consulting 24
СВК ИТ и ИТ-аудит – место в организации
Совет
директоров
Генеральный директор
CFO
Финансовый директор
Отдел ВК - финансы
COO
Операционный директор
… директор CIO
ИТ директор
Отдел ИБ и ВКИТ
CxO
Комитет по аудиту
Внутренний Аудит
27.02.2014 TBS Consulting 25
Цели и Задачи
• Цель – Обеспечение качества ИТ
процессов
• Задачи – внутренняя экспертиза по ИТ-
процессам, – идентификация ИТ-рисков, – поддержка разработки, внедрение
и тестировании контрольных процедур в ИТ-процессах,
– согласование и утверждение с бизнесом зон ответственности,
– управление процессом внутреннего самотестирования,
– Управление документацией СВК ИТ
– поддержка прохождения внешних ИТ-аудитов
• Цель
– Обеспечение руководства компании достоверной и актуальной информацией об уровне ИТ-рисков
• Задачи
– выработка и внедрение внутренней методологии ИТ аудита
– планирование, подготовка и проведение аудитов
– подготовка заключений и доведение результатов до проверяемых и Руководства
– подготовка отчетности по состоянию ИТ рисков для высшего руководства
Внутренний ИТ-аудит СВК ИТ
27.02.2014 TBS Consulting 26
Если Вас заинтересовала эта тема…
• Есть шанс «углубить и расширить»:
• авторский 3х-дневный курс
• «Введение в Руководство ИТ
современной компании (IT Governance)»
• Где? - в Академии Информационных Систем
• Когда ? – с 26 по 28 марта с.г.