Nebojša Bulatović, Euridika Banja Luka: „IT governance based on COBIT 5“
-
Upload
goranvranic -
Category
Business
-
view
157 -
download
6
description
Transcript of Nebojša Bulatović, Euridika Banja Luka: „IT governance based on COBIT 5“
IT Governance na bazi COBIT5
Nebojša Bulatović
Euridika d.o.o. Banja Luka
www.euridika.com
IT VLADANJE (IT GOVERNANCE)
• Skup metoda i procesa kojima menadžment “ovladava“ upotrebom informatike u poslovanju i preuzima dio odgovornosti za provođenje informatičkih procesa.
• Sastavni je dio korporativnog upravljanja
4
Upravlljanje resursima
Strateško poravnanje
Dodavanje vrijednosti
Upravljanje rizicima
Mjerenje performansi
EVOLUCIJA SADRŽAJA COBIT-A • Vladanje korporativnom informatikom GEIT
5
MJESTO COBIT OKVIRA U POREĐENJU SA DRUGIMA
Bolje je reći da je COBIT baziran na: • ISO 27000 • TOGAF • PRINCE2 • ITIL
PREDNOSTI
Definiše zajednički
jezik
Procesna orijentacija
Opšta prihvaćenost
Podrška regulatornim zahtjevima
Jasniji poslovni fokus
Netehnički i poslovno razumljiv
Metode procjene, nadzora,
RACI tabele
Vodič za implemen-
taciju
Podrška za najbolje prakse
Najkorišteniji GEIT okvir, potpuno dostupan
RAZDVAJANJE VLADANJA I UPRAVLJANJA
Preuzeto iz COBIT5. Enabling processes
COBIT5 ponudio je jasniju podjelu između vladanja i upravljanja: • Vladanje osigurava ispunjenje potreba i ciljeva zainteresovanih strana određivanjem
balansiranih, usaglašenih ciljeva, prioriteta, donošenjem odluka, nadzorom performansi i usaglašenosti sa dogovorenim ciljevima i smjernicama . Odgovornost preuzima Uprava.
• Upravljanje planira, izgrađuje, izvršava i nadzire aktivnosti u skladu sa smjernicama vladajućih tijela. Odgovornost preuzima izvršni menadžement.
37 „COBIT5“ procesa
Da bi se IT razvijao u skladu sa potrebama poslovanja potreban je sistem internih kontrola koji bi obezbijedio:
• Povezivanje sa poslovnim potrebama i zahtjevima
• Organizovanje IT aktivnosti kroz opšteprihvaćen procesni model
• Identifikovanje glavnih IT resursa koji imaju značaja za sistem
• Definisanje ciljeva kontrola menadžmenta koji će biti praćeni
10
SISTEM INTERNIH KONTROLA
Preuzeto iz COBIT5. Enabling processes
CO
BIT
5
pra
kse
up
ravl
jan
ja i
vlad
anja
Kontrolni ciljevi (COBIT 4.1)
Upravljanje rizicima (RISK IT)
Upravljanje vrijednostima (VAL IT)
resursi
UPOTREBA „KATALIZATORA“
(ENABLER-I)
Principi, politike,
procedure
Organizaciona struktura
Kultura, Etika,
ponašanje
Ljudi,
vještine, kompetencije
Servisi, infrastruktura i
aplikacije
Informacije
Procesi • Praktično upotrebljivi • Omogućavaju
upravljanje kompleksnim interakcijama
• Pomažu dobijanje uspješnih rezultata
• 4 dimenzije: • Stakeholderi • Ciljevi • Životni ciklus • Dobre prakse
• BSC strategijske dimenzije
PUTEVI IMPLEMENTACIJE
Uključiti sve učesnike u implementaciju
Potvrditi shvatanje osnova metodologije
Validacija ciljeva,
izbor komponenti
13
ID Proces vladanja korporativnim IT (GEIT)
Znač
aj
Pe
rfo
rman
se
Form
aln
ost
Rev
idir
an
Ko je odgovoran?
APO09 Upravljanje servisnim ugovorima 5
5
D
D
nabava, uprava..
APO10 Upravljanje dobavljačima 5
4
D
N
nabava, finansije
BAI10 Upravljanje konfiguracijama 5 5 D D IT, sigurnost
DSS02 Upravljanje servisnim zahtjevima i incidentima 4 5 D D Sigurnost
DSS03 Upravljanje problemima 5 4 D D IT
DSS04 Upravljanje kontinuitetom 5 5 D D ORG, IT
DSS05 Upravljanje servisima bezbjednosti 5 5 D D Sigurnost
COBIT 5 Procesi Značaj -Importance = How important it is for the enterprise on a scale from 1 (not at all) to 5 (very)
Performanse Performance = How well it is done from 1 (do not know or badly) to 5 (very well)
Formalnost -Formality = Existence of a contract, an SLA or a clearly documented procedure (Yes, No or ?)
Revidiranje - Audited = Yes, No or ?
Ko je odgovoran? - Accountable = Name or ‘do not know’
Primjer: procjena važnosti procesa, izbor područja
14
IMPLEMENTACIJA
7 FAZA: ŽIVOTNI CIKLUSI
PROCESA
Preuzeto iz COBIT 5 Implementation Guide
15
Naše viđenje
regulatorno obaveznih
područja implementacije
po propisima
Agencije za bankarstvo
Republike Srpske :
crveno –
odluka o min.st.upravljanja
Informacionim sistemom
narandžasta
odluka o min.st.upravljanja
eksternalizacijom
PRIMJER GAP ANALIZE Scope zatečeni nivo maj 2014
Ime procesa Obuhvać
en Mogućnosti unap.sa
prioritetom Nivo 1 Nivo 2 Nivo 3 Nivo 4 Nivo 5 ciljani nivo
Poravnanje, planiranje i organizacija procesa (Align, Plan and Organize ) 3
APO01 Okvir za upravljanje DA
ABRS, zatim grupni okvir
3
APO02 Strategijsko planiranje DA
ABRS, zatim grupni okvir
3
APO03 Korporativna arhitektura DA
ABRS, zatim grupni okvir 3
APO06 Budžetiranje DA
ABRS, zatim grupni okvir
3
APO07 Upravljanje ljudskim resursima DA
ABRS, zatim grupni okvir
3
APO09 Ugovaranje vanjskih dobavljača i nivoa servisa
DA ABRS, zatim grupni okvir
4
APO10 Upravljanje dobavljačima DA
ABRS, zatim grupni okvir
4
APO11 Upravljanje kvalitetom DA
ABRS, zatim grupni okvir
3
APO13 Upravljanje bezbjednošću DA
ABRS, zatim grupni okvir
3
Izgradnja, nabavka i implementiranje procesa (Build, Acquire and Iplement)
BAI01 Upravljanje projektima ABRS, zatim grupni okvir
3
BAI02 Definisanje zahtjeva ABRS, zatim grupni okvir
3
BAI03 Izgradnja rješenja ABRS, zatim grupni okvir
3
BAI04 Raspoloživost i kapacitet ABRS, zatim grupni okvir 3
BAI06 Upravljanje promjenama ABRS, zatim grupni okvir
3
BAI07 Usaglašavanje i prihvatanje promjena
ABRS, zatim grupni okvir
3
BAI10 Upravljanje konfiguracijama ABRS, zatim grupni okvir
3
Isporuka, servisiranje i podrška procesa (Deliver, Service and Support)
DSS01 Upravljanje operacijama þ 3
DSS02 Servisni zahtjevi i incidenti þ
ABRS, zatim grupni okvir
3
DSS03 Upravljanje problemima þ
ABRS, zatim grupni okvir
3
DSS04 Kontinuitet poslovanja þ
ABRS, zatim grupni okvir
3
DSS05 Servisi bezbjednosti þ
ABRS, zatim grupni okvir
3
DSS06 Kontrole procesa þ
ABRS, zatim grupni okvir
3
Praćenje, ocjenjivanje i procjena (Monitor, Evaluate and Assess)
MEA01 Nadzor performansi þ
ABRS, zatim grupni okvir
3
MEA02 Nadzor internih kontrola þ
ABRS, zatim grupni okvir
3
MEA03 Nadzor usklađenosti þ
ABRS, zatim grupni okvir
3
Procjena, direktnost i nadgledanje (Evaluate, Direct and Monitor)
EDM01 Održavanje okvira vladanja þ
ABRS, zatim grupni okvir 3
NIVO OSTVARENJA -ZRELOSTI PROCESA Nivo ocjene izvršavanja procesa zavisi od rezultata procesa status procesa prema ISO/IEC 15504I:
• U toku skoping procesa organizacija bira koji je nivo primjeren za njene potrebe Preuzeto iz Self Assessment Guide COBIT 5
Oznaka Status Osobine
5 Optimizovan proces
Predvidljiv proces koji se kontinuirano unapređuje i usklađuje sa projektovanim ciljevima
4 Predvidljiv proces
Uspostavljeni proces funkcioniše u definisanim okvirima i ostvaruje zacrtane rezultate
3 Podešen proces
Upravljan proces koji je implementiran definisanim okvirima i može ostvariti zacratne rezultate
2 Upravljan proces
Proces je upravljan – planiran, nadziran i prilagođavan – rezultati su adekvatno zadani, nadzirani, održavani
1 Funkcionalan proces
Proces ostvaruje svoju namjenu
0 Nekompletan proces
Odnosi se na na implementirane procese ili procese koji ne daju rezultate ili nema dokaza ili je malo dokaza da proces ostvaruje zadate ciljeve
i SPICE - Software Process Improvement and Capability Determination
Izbor ciljeva ?
Preuzeto iz Self Assessment Guide COBIT 5
6 nivoa ostvarenja
procesa
9 atributa procesa
Primjer izvršene procjene procesa
Preuzeto iz Self Assessment Guide COBIT 5
ŠTA PROCESIMA NEDOSTAJE? Izbor kontrolnih ciljeva..
Preuzeto iz Process Assessment Model using COBIT 5
GAP ANALIZA
1. provjera dokumentacije
2. Inicijalni dokumenti
IZBOR
KONTROLNIH CILJEVA
1 obavlja se izbor kontrola
2. Priprema dokumenata i izvještaja
USAGLAŠAVANJE
1. Priprema RACI tabela i automatizacija
2. Izmjene dokumenata
3. Revizijski trag
pretraživanje
Na slici su prikazane neke od posebnosti naše metodologije implementacije
uključene su sve zainteresovane strane
21
PRIMJER ZA JEDAN PROCES
RACI DIJAGRAMI Uloga Oznaka
Uprava - CEO C
CFO C
COO C
Menadžeri poslovnih funkcija C
Nosioci poslovnih funkcija - Strategijski odbor I Steering/Projektni/IT odbor - Organizacija-PMO C
Finansije - Kontroling - Direktor rizika - CISO - Odbor za rizike - Direktor ljudskih resursa R
Usklađenost I Revizija I CIO – Direktor informatike A Glavni dizajner C
Rukovodilac razvoja C
Rukovodilac IT operacija C
Rukovodilac IT administracije R
Rukovodilac servisa C
Informaciona sigurnost C
Rukovodilac kontinuiteta poslovanja C Službenik za privatnost
Alati za dizajniranje rasporeda uloga i odgovornosti u organizaciji, tzv. RACI matrice:
R – izvršavanje - odgovornost za operativno izvršavanje zadataka
A – odobravanje – menadžerska odgovornost za pravilno izvršavanje zadatka
C – konsultovanje– konsultantska pomoć prije odluke o izvršenju zadatka
I - informisanje – pružanje informacija o toku i napredovanju zadataka i projekata
OSNOVNA LITERATURA
Hvala na pažnji!