Berislav Biočić, HP SEE: “HP Cloud za e-Poslovanje”
Nebojša Bulatović, Euridika Banja Luka: „IT governance based on COBIT 5“
1.
2.
3. IT Governance na bazi COBIT5
Nebojša Bulatović
Euridika d.o.o. Banja Luka
www.euridika.com
4. IT VLADANJE (IT GOVERNANCE)
•Skup metoda i procesa kojima menadžment “ovladava“ upotrebom informatike u poslovanju i preuzima dio odgovornosti za provođenje informatičkih procesa.
•Sastavni je dio korporativnog upravljanja
4
Upravlljanje resursima
Strateško poravnanje
Dodavanje vrijednosti
Upravljanje rizicima
Mjerenje performansi
6. MJESTO COBIT OKVIRA U POREĐENJU SA DRUGIMA
Bolje je reći da je COBIT baziran na:
•ISO 27000
•TOGAF
•PRINCE2
•ITIL
7. PREDNOSTI
Definiše zajednički jezik
Procesna orijentacija
Opšta prihvaćenost
Podrška regulatornim zahtjevima
Jasniji poslovni fokus
Netehnički i poslovno razumljiv
Metode procjene, nadzora, RACI tabele
Vodič za implemen- taciju
Podrška za najbolje prakse
Najkorišteniji GEIT okvir, potpuno dostupan
8. RAZDVAJANJE VLADANJA I UPRAVLJANJA
Preuzeto iz COBIT5. Enabling processes
COBIT5 ponudio je jasniju podjelu između vladanja i upravljanja:
•Vladanje osigurava ispunjenje potreba i ciljeva zainteresovanih strana određivanjem balansiranih, usaglašenih ciljeva, prioriteta, donošenjem odluka, nadzorom performansi i usaglašenosti sa dogovorenim ciljevima i smjernicama . Odgovornost preuzima Uprava.
•Upravljanje planira, izgrađuje, izvršava i nadzire aktivnosti u skladu sa smjernicama vladajućih tijela. Odgovornost preuzima izvršni menadžement.
10. Da bi se IT razvijao u skladu sa potrebama poslovanja potreban je sistem internih kontrola koji bi obezbijedio:
•Povezivanje sa poslovnim potrebama i zahtjevima
•Organizovanje IT aktivnosti kroz opšteprihvaćen procesni model
•Identifikovanje glavnih IT resursa koji imaju značaja za sistem
•Definisanje ciljeva kontrola menadžmenta koji će biti praćeni
10
SISTEM INTERNIH KONTROLA
Preuzeto iz COBIT5. Enabling processes
COBIT 5
prakse upravljanja i vladanja
Kontrolni ciljevi (COBIT 4.1)
Upravljanje rizicima (RISK IT)
Upravljanje vrijednostima (VAL IT)
11. resursi
UPOTREBA „KATALIZATORA“ (ENABLER-I)
Principi, politike, procedure
Organizaciona struktura
Kultura, Etika, ponašanje
Ljudi, vještine, kompetencije
Servisi, infrastruktura i aplikacije
Informacije
Procesi
•Praktično upotrebljivi
•Omogućavaju upravljanje kompleksnim interakcijama
•Pomažu dobijanje uspješnih rezultata
•4 dimenzije:
•Stakeholderi
•Ciljevi
•Životni ciklus
•Dobre prakse
•BSC strategijske dimenzije
12. PUTEVI IMPLEMENTACIJE
Uključiti sve učesnike u implementaciju
Potvrditi shvatanje osnova metodologije
Validacija ciljeva, izbor komponenti
13. 13
ID
Proces vladanja korporativnim IT (GEIT)
Značaj
Performanse
Formalnost
Revidiran
Ko je odgovoran?
APO09
Upravljanje servisnim ugovorima
5
5
D
D
nabava, uprava..
APO10
Upravljanje dobavljačima
5
4
D
N
nabava, finansije
BAI10
Upravljanje konfiguracijama
5
5
D
D
IT, sigurnost
DSS02
Upravljanje servisnim zahtjevima i incidentima
4
5
D
D
Sigurnost
DSS03
Upravljanje problemima
5
4
D
D
IT
DSS04
Upravljanje kontinuitetom
5
5
D
D
ORG, IT
DSS05
Upravljanje servisima bezbjednosti
5
5
D
D
Sigurnost
COBIT 5 Procesi
Značaj -Importance = How important it is for the enterprise on a scale from 1 (not at all) to 5 (very)
Performanse Performance = How well it is done from 1 (do not know or badly) to 5 (very well)
Formalnost -Formality = Existence of a contract, an SLA or a clearly documented procedure (Yes, No or ?)
Revidiranje - Audited = Yes, No or ?
Ko je odgovoran? - Accountable = Name or ‘do not know’
Primjer: procjena važnosti procesa, izbor područja
14. 14
IMPLEMENTACIJA 7 FAZA: ŽIVOTNI CIKLUSI PROCESA
Preuzeto iz COBIT 5 Implementation Guide
15. 15
Naše viđenje regulatorno obaveznih područja implementacije po propisima Agencije za bankarstvo Republike Srpske : crveno – odluka o min.st.upravljanja Informacionim sistemom narandžasta odluka o min.st.upravljanja eksternalizacijom
16. PRIMJER GAP ANALIZE
Scope
zatečeni nivo maj 2014
Ime procesa
Obuhvaćen
Mogućnosti unap.sa prioritetom
Nivo 1
Nivo 2
Nivo 3
Nivo 4
Nivo 5
ciljani nivo
Poravnanje, planiranje i organizacija procesa
(Align, Plan and Organize )
3
APO01 Okvir za upravljanje
DA
ABRS, zatim grupni okvir
3
APO02 Strategijsko planiranje
DA
ABRS, zatim grupni okvir
3
APO03 Korporativna arhitektura
DA
ABRS, zatim grupni okvir
3
APO06 Budžetiranje
DA
ABRS, zatim grupni okvir
3
APO07 Upravljanje ljudskim resursima
DA
ABRS, zatim grupni okvir
3
APO09 Ugovaranje vanjskih dobavljača i nivoa servisa
DA
ABRS, zatim grupni okvir
4
APO10 Upravljanje dobavljačima
DA
ABRS, zatim grupni okvir
4
APO11 Upravljanje kvalitetom
DA
ABRS, zatim grupni okvir
3
APO13 Upravljanje bezbjednošću
DA
ABRS, zatim grupni okvir
3
Izgradnja, nabavka i implementiranje procesa
(Build, Acquire and Iplement)
17. NIVO OSTVARENJA -ZRELOSTI PROCESA
Nivo ocjene izvršavanja procesa zavisi od rezultata procesa status procesa prema ISO/IEC 15504I:
•U toku skoping procesa organizacija bira koji je nivo primjeren za njene potrebe
Preuzeto iz Self Assessment Guide COBIT 5
Oznaka
Status
Osobine
5
Optimizovan proces
Predvidljiv proces koji se kontinuirano unapređuje i usklađuje sa projektovanim ciljevima
4
Predvidljiv proces
Uspostavljeni proces funkcioniše u definisanim okvirima i ostvaruje zacrtane rezultate
3
Podešen proces
Upravljan proces koji je implementiran definisanim okvirima i može ostvariti zacratne rezultate
2
Upravljan proces
Proces je upravljan – planiran, nadziran i prilagođavan – rezultati su adekvatno zadani, nadzirani, održavani
1
Funkcionalan proces
Proces ostvaruje svoju namjenu
0
Nekompletan proces
Odnosi se na na implementirane procese ili procese koji ne daju rezultate ili nema dokaza ili je malo dokaza da proces ostvaruje zadate ciljeve
i SPICE - Software Process Improvement and Capability Determination
18. Izbor ciljeva ?
Preuzeto iz Self Assessment Guide COBIT 5
6 nivoa ostvarenja procesa
9 atributa procesa
20. ŠTA PROCESIMA NEDOSTAJE?
Izbor kontrolnih ciljeva..
Preuzeto iz Process Assessment Model using COBIT 5
21. GAP ANALIZA 1. provjera dokumentacije 2. Inicijalni dokumenti
IZBOR
KONTROLNIH CILJEVA
1 obavlja se izbor kontrola
2. Priprema dokumenata i izvještaja
USAGLAŠAVANJE
1. Priprema RACI tabela i automatizacija
2. Izmjene dokumenata
3. Revizijski trag
pretraživanje
Na slici su prikazane neke od posebnosti naše metodologije implementacije
uključene su sve zainteresovane strane
21
PRIMJER ZA JEDAN PROCES
22. RACI DIJAGRAMI
Uloga
Oznaka
Uprava
-
CEO
C
CFO
C
COO
C
Menadžeri poslovnih funkcija
C
Nosioci poslovnih funkcija
-
Strategijski odbor
I
Steering/Projektni/IT odbor
-
Organizacija-PMO
C
Finansije - Kontroling
-
Direktor rizika
-
CISO
-
Odbor za rizike
-
Direktor ljudskih resursa
R
Usklađenost
I
Revizija
I
CIO – Direktor informatike
A
Glavni dizajner
C
Rukovodilac razvoja
C
Rukovodilac IT operacija
C
Rukovodilac IT administracije
R
Rukovodilac servisa
C
Informaciona sigurnost
C
Rukovodilac kontinuiteta poslovanja
C
Službenik za privatnost
Alati za dizajniranje rasporeda uloga i odgovornosti u organizaciji, tzv. RACI matrice:
R – izvršavanje - odgovornost za operativno izvršavanje zadataka
A – odobravanje – menadžerska odgovornost za pravilno izvršavanje zadatka
C – konsultovanje– konsultantska pomoć prije odluke o izvršenju zadatka
I - informisanje – pružanje informacija o toku i napredovanju zadataka i projekata