COBIT 4.1Kontrolni cilji za informacijsko in sorodno         tehnologijo                     ...
Razumeti COBIT do stopnje, ko ga lahko učinkovitouporabimo v službi za informatiko, zahteva veliko   učenja, logičnega ...
Vsebina•  Predstavitev COBIT-a•  Okvir COBIT-a•  Kako uporabljati COBIT•  Primer COBIT procesa            ...
COBITPREDSTAVITEV        4
Kaj je COBIT?• Angl.: COBIT = Control OBjectives for Information and related Technology• Slo.: COBIT = Kontrolni cilji za ...
Zakaj COBIT• COBIT je mednarodno sprejeto ogrodje za notranji nadzor IT.• COBIT se uporablja v številnih podjetjih kot o...
Komu je COBIT (primarno) namenjen             Pridobitev   Pripomoček pri             vrednost...
Osnovna filozofija COBIT-a                                     Poslovni cilji     ...
Osnovne komponente COBIT-a                                   Kaj potrebujemo   Kaj z...
Dimenzije COBIT-ove kocke              10
Princip delovanja COBIT-a     Načrtovanje in organizacija                              ...
12
COBITOKVIR    13
Osnove COBIT okvirja• Okvir za kontrolo upravljanja IT določa razloge,  – zakaj je upravljanje IT (vodenje informatike) p...
Glavne značilnosti COBIT• Osredotočenost na poslovanje          Osnovno načelo                 ...
COBIT: Osredotočenost na poslovanje       COBIT-ovi informacijski kriteriji• Predstavljajo poslovne zahteve po infor...
COBIT: Osredotočenost na poslovanje             Poslovni cilji in cilji IT                  ...
COBIT: Osredotočenost na poslovanje                          Viri IT•  Aplikacije:   –  avto...
COBIT: Usmerjenost na procese•  Proces je skupek opravil (delovnih nalog,  aktivnosti) z določenim vrstnim redom izvaja...
Domene procesov v COBIT-u            Načrtujte in organizirajte•  Ta domena zajema strategijo in taktike ter s...
Domene procesov v COBIT-u               Nabavite in vpeljite•  Za uresničitev strategije IT je treba poiska...
Domene procesov v COBIT-u              Izvajajte in podpirajte•  Ta domena zajema dejansko izvajanje zahteva...
Domene procesov v COBIT-u            Spremljajte in vrednotite•  Vse procese IT je treba redno ocenjevati, če...
COBIT: Osnovanost na kontrolah• COBIT definira  – Kontrolne cilje za vseh 34 procesov    • Opredeljujejo, kaj mora nar...
COBIT: Osnovanost na kontrolah                Kontrolni model                       ...
COBIT: Osnovanost na kontrolah    Kontrolni cilji procesov PO1   PO1.1  PO1.2  PO1.3   PO1.4  PO1.5  PO1.6 P...
COBIT: Osnovanost na kontrolah   Splošne kontrolne zahteve procesa   • PC1 Cilji procesa     –  Za učinkovito ...
COBIT: Osnovanost na kontrolah       Splošne aplikacijske kontrole• Kontrole, vključene v aplikacije poslovnih proce...
COBIT: Osnovanost na kontrolah           Splošne kontrole• Splošne kontrole so kontrole, vključene v procese in...
COBIT: Vodenje na osnovi metrik• Podjetja morajo meriti, kakšno je njihovo stanje in katere izboljšave so potrebne.• COBI...
COBIT: Vodenje na osnovi metrik             Splošni zrelostni model•  0: Neobstoječe   –  Popolna odsotno...
COBIT: Vodenje na osnovi metrikGrafična predstavitev zrelostnega modela                       32
COBIT: Vodenje na osnovi metrikDimenzije zrelosti procesa           • Ustrezno kontrolno okolje je       ...
Tabela atributov zrelosti upravljanja informacijskih procesovOzaveščanje in           Politike, načrt in postopk...
COBIT: Vodenje na osnovi metrik          Merjenje delovanja• V COBIT-u so cilji in metrike            ...
COBIT: Vodenje na osnovi metrikMerjenje delovanja                  Hierarhija ciljev          ...
COBIT: Vodenje na osnovi metrik       Merjenje delovanjaUsmerjenost                   Domenaopre...
COBIT: Vodenje na osnovi metrikPredstavitev ciljev in metrik                    38
COBITKAKO UPORABLJATI COBIT             39
Osnovno načelo COBIT-aVire IT upravljajo procesi IT z namenom doseganja   ciljev IT, ki izpolnjujejo poslovne zahteve. ...
Sestavni deli COBIT-a• OKVIR COBIT obsega 34 procesov IT, ki opisujejo, kako nadzorovati, upravljati in meriti vsakega iz...
Povezanost COBIT-ovih sestavnih delov                    42
Obveznosti lastnika (skrbnika) procesa           • Vhod v proces je to, kar mora    Vhod           ...
Navigacija po COBIT-ovem okvirju               Vpliv specifičnega               Domena    ...
COBITPRIMER PROCESA DS2           45
DS2: Upravljajte storitve tretje stranke       (DS2-Manage third-party services)                  ...
DS2: Upravljajte storitve tretje stranke               Opis procesa•  Potreba po zagotovitvi, da storitve,...
DS2: Upravljajte storitve tretje stranke   Opis procesa   Povezava “DS2: Upravljajte storitve   tretje stranke” s/z...
DS2: Upravljajte storitve tretje stranke           Opis procesa v kaskadni oblikiNadzor nad procesom IT     ...
DS2: Upravljajte storitve tretje stranke              Kontrolni cilji Zagotavljajo nabor visoko-nivojskih za...
DS2: Upravljajte storitve tretje stranke               Smernice za upravljanje        Vhodi    ...
DS2: Upravljajte storitve tretje strankeSmernice za upravljanje                       Upravljajte st...
DS2: Upravljajte storitve tretje stranke                             Zrelostni modelUpravljanj...
COBITPOENOSTAVLJENAINTERPRETACIJA PROCESNIHPODROČIJ              54
Procesi domene      “Načrtujte in organizirajte”•  PO1 Opredelite strateški načrt za IT•  PO2 Opredelite informaci...
PO1: Opredelite strateški načrt za IT• Upravljanje virov IT skladno s poslovno strategijo.  – Poslovni cilji  IT cilji...
PO2: Opredelite informacijsko arhitekturo• Opredelitev informacijskega vidika podjetja  – Strukturirani podatkovni viri...
PO3: Določite tehnološko usmeritev• Kaj pričakuje poslovanje        kaj lahko tehnologija ponudi• Poslovne zahteve...
PO4: Opredelite procese, organizacijo in         razmerja IT• Opredelitev procesov, ki se       Ime procesa...
PO5: Upravljajte investicije v IT• Proračun za IT      upravljanje                          ...
PO6: Sporočajte cilje in usmeritve vodstva• Vodstvo sporoča poslanstvo, cilje,       Kontrolni aktualne predpise, …...
PO7: Upravljajte človeške vire v sektorju IT• Osebje spada med najpomembnejše (najdražje) IT vire• Upravljanje zaposleni...
PO8: Upravljajte kakovost• Cilj: zagotavljanje stalnega in merljivega izboljševanja kakovosti opravljenih storitev IT• O...
PO9: Ocenjujte in obvladujte tveganja IT• Opredelitev procesa, ki nenehno identificira, spremlja, ocenjuje in minimizira...
PO10: Upravljajte projekte• Kako se bodo upravljali projektu IT (projektni pristop)  – Na primer: Prince2• Orkestracija...
Procesi domene        “Nabavite in vpeljite”•  AI1 Določite avtomatizirane rešitve•  AI2 Nabavite in vzdržujte a...
AI1: Določite avtomatizirane rešitve• Funkcionalne in kontrolne zahteve podjetja  – programske rešitve, storitve  – nab...
AI2: Nabavite in vzdržujte aplikacijske          programe• Proces nabave programske opreme  –  Zahteve (F,N) ...
AI3: Nabavite in vzdržujte tehnološko          infrastrukturo• Opredeljeni procesi  –  Nabavo infrastrukture ...
AI4: Omogočite delovanje in uporabo• Aplikacijske rešitve in storitve (ki temeljijo na ustrezni tehnološki infrastruktur...
AI5: Zagotovite vire IT• Procesi zagotavljanja virov IT  – Postopki nabave  – Izbira dobaviteljev  – Sklenitev in up...
AI6: Upravljajte spremembe• Sodobno poslovanje prilagajanje, posodabljanje (proaktivna informatika)           ...
AI7: Namestite in potrdite rešitve in          spremembe• „Namestite in potrdite rešitve in       Razvoj ...
Procesi domene        “Izvajajte in podpirajte”•  DS1 Opredelite in upravljajte ravni storitve•  DS2 Upravljajte...
DS1: Opredelite in upravljajte ravni storitve• Opredelitev kataloga storitev• Sporazumi o ravni storitev (angl. service l...
DS2: Upravljajte storitve tretje stranke• Določitev in upravljanje odnosov s poslovnimi partnerji  – Dobavitelji, proda...
DS3: Upravljajte delovanje in zmogljivost• Katalog storitev  – Katere vire potrebujemo za   posamezne storitve?  – ...
DS4: Zagotovite neprekinjenost storitev• Sodobno poslovanje je lahko zelo odvisno od IT storitev.  –   Razpoložljivos...
DS5: Zagotovite varnost sistemov• Varnost =~ zaupnost, celovitost razpoložljivost• Potrebno je zagotoviti varnost IT viro...
DS6: Ugotovite in porazdelite stroške• Opredelitev stroškov IT virov (ljudi, aplikacij, informacij, infrastrukture)   s...
DS7: Izobrazite in usposobite uporabnike• Uspešnost programa usposabljanja   povečanje uspešnosti in učinkovitosti up...
DS8: Upravljajte službo za pomoč      uporabnikom in obvladujte incidente• Pravočasen in učinkovit odziv na uporabni...
DS9: Upravljajte konfiguracijo• Specifična različica IT rešitve, ki se ponuja specifični stranki, temelji na unikatni za...
DS10: Upravljajte probleme• Problem predstavlja nepoznan vzrok za eno ali več prekinitev storitev (incidentov).• Prepozn...
DS11: Upravljajte podatke• Potrebno je zagotavljati zanesljive in celovite informacije.• Upravljanje podatkov skladno s...
DS12: Upravljajte fizično okolje• Učinkovito upravljanje fizičnega okolja   zmanjšanje fizičnih prekinitev  povečanj...
DS13: Upravljajte delovanje• Upravljanje delovanja IT infrastrukture popolna in pravilna obdelava podatkov.• Opredelite...
Procesi domene       “Spremljajte in vrednotite”•  ME1 Spremljajte in vrednotite delovanje IT•  ME2 Spremljajte i...
ME1: Spremljajte in vrednotite delovanje IT• Uspešno in učinkovito delovanje IT  spremljanje delovanja IT  – Opredelit...
ME2: Spremljajte in vrednotite notranje          kontrole• Uspešno in učinkovito delovanje IT  notranje kontr...
ME3: Zagotovite skladnost z zunanjimi         zahtevami• Prepoznavanje  – vseh veljavnih zakonov,   predpisov ...
ME4: Zagotovite upravljanje IT• Zagotovitev upravljanja IT  uspešnost in učinkovitost IT• Poročanje upravljanju podjetj...
Uporabljena literatura• COBIT Online. Available at: http://www.isaca.org/Template.cfm?Section=COBIT_Online&Template=/C o...
Upcoming SlideShare
Loading in …5
×

COBIT 4.1

1,637 views

Published on

Slides explaining COBIT framework and COBIT processes

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
 • Be the first to comment

 • Be the first to like this

No Downloads
Views
Total views
1,637
On SlideShare
0
From Embeds
0
Number of Embeds
11
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

COBIT 4.1

 1. 1. COBIT 4.1Kontrolni cilji za informacijsko in sorodno tehnologijo 1 dr. Gregor Polančič ©
 2. 2. Razumeti COBIT do stopnje, ko ga lahko učinkovitouporabimo v službi za informatiko, zahteva veliko učenja, logičnega razmišljanja, izkušenj in temeljnega znanja na področju informatike. 2
 3. 3. Vsebina• Predstavitev COBIT-a• Okvir COBIT-a• Kako uporabljati COBIT• Primer COBIT procesa 3
 4. 4. COBITPREDSTAVITEV 4
 5. 5. Kaj je COBIT?• Angl.: COBIT = Control OBjectives for Information and related Technology• Slo.: COBIT = Kontrolni cilji za informacijsko in sorodno tehnologijo• COBIT podpira vodenje informatike tako, da zagotavlja ogrodje, ki omogoča da: – so IKT usklajene s poslovanjem podjetja, – IKT omogočajo poslovanje in maksimizirajo koristi (prednosti, konkurenčnost, dobiček), – So viri IKT izkoriščeni (aplikacije, infrastruktura, ljudje, storitve, ...), – Tveganja, ki jih prinaša IKT upravljana (identificirana, nadzorovana, odpravljena, ...). 5
 6. 6. Zakaj COBIT• COBIT je mednarodno sprejeto ogrodje za notranji nadzor IT.• COBIT se uporablja v številnih podjetjih kot ogrodje (osnova) za vodenje informatike in implementacijo notranjega nadzora.• COBIT temelji na poslovnih zahtevah.• COBIT vključuje ključne kontrole in cilje poslovnih in IT procesov, ki omogočajo doseganje ciljev organizacije.• COBIT je usklajen z drugimi dobrimi praksami in standardi na področju IT 6
 7. 7. Komu je COBIT (primarno) namenjen Pridobitev Pripomoček pri vrednosti iz notranjih kontrolah naložb v IKT (utemeljitev mnenj) Direktorji Revizorji, presojevalciPoslovno vodstvo Zagotavljanje Pridobitev jamstva potrebnih IT storitev Vodstvo IT glede upravljanja in na ustrezen način nadzora IT storitev 7
 8. 8. Osnovna filozofija COBIT-a Poslovni cilji Poslovni procesi InformacijeIT viri• Razpoložljivi IT viri morajo podjetju dostavljati informacije, ki jih potrebuje, da podjetje dosega želene poslovne cilje.• COBIT se osredotoča na kaj in ne na kako Trenutno Cilj stanje Pot do cilja (kako?) (kaj?) 8
 9. 9. Osnovne komponente COBIT-a Kaj potrebujemo Kaj zaposleni za izvajanje pričakujejo od procesov IT COBIT Poslovni cilj IT viri Kriteriji za informacije IT procesi Kako je IT organiziran daPoslovna strategija izpolnjuje zahteve 9
 10. 10. Dimenzije COBIT-ove kocke 10
 11. 11. Princip delovanja COBIT-a Načrtovanje in organizacija Kaj potrebuje poslovanje Nabava in vpeljava Informacije PoslovanjeIT Viri Izvedba in podpora Kaj prejme poslovanje Spremljanje in vrednotenje • Uspešnost • Učinkovitost • Zaupnost • Aplikacije • Procesi • Celovitost • Informacije • Domene procesov • Razpoložljivost • Infrastruktura • Skladnost • Ljudje 11 • Zanesljivost
 12. 12. 12
 13. 13. COBITOKVIR 13
 14. 14. Osnove COBIT okvirja• Okvir za kontrolo upravljanja IT določa razloge, – zakaj je upravljanje IT (vodenje informatike) potrebno, • Informacije podjetja uspešnost podjetja • Potrebno je razumeti koristi in tveganja IKT • Potrebno je sistematično upravljanje IKT – kdo so udeleženci in • Zainteresirani znotraj podjetja, ki jih zanima ustvarjanje vrednosti iz investicij v IKT • Notranji in zunanji udeleženci, ki izvajajo storitve IKT • Notranji in zunanji udeleženci, ki so zadolženi za nadzor/tveganje – kaj je treba s tem okvirom doseči. • Poslovna usmeritev (poslovni cilji  IT cilji) • Procesna usmeritev (domene in procesi, ki jih okvir pokriva) • Skladnost (s standardi, z dobrimi praksami, z zakonodajo) 14
 15. 15. Glavne značilnosti COBIT• Osredotočenost na poslovanje Osnovno načelo COBIT-a – Poslovni cilji  IT cilji – COBIT-ovi informacijski kriteriji – Viri IT• Usmerjenost na procese – Domene: • načrtujte in organizirajte (Plan and Organize … PO), • nabavite in vpeljite (Acquire and Implement … AI), • izvajajte in podpirajte (Deliver and Support … DS), • spremljajte in vrednotite (Monitor and Evaluate … ME).• Osnovanost na kontrolah – Kontrole procesov, poslovne in IT kontrole, splošne kontrole in aplikacijske kontrole• Vodenje z meritvami – Zrelostni modeli (neobstoječe ad Hoc ponovljivo opredeljeno vodeno in merljivo optimizirano) 15
 16. 16. COBIT: Osredotočenost na poslovanje COBIT-ovi informacijski kriteriji• Predstavljajo poslovne zahteve po informacijah. – Za izpolnitev poslovnih ciljev morajo biti informacije podjetja skladne s kontrolnimi kriteriji: • Uspešnost (effectiveness) se v prvi vrsti nanaša na informacije, ki vplivajo na uspešnost doseganja poslovnih ciljev. • Učinkovitost (efficiency) se nanaša na zagotavljanje informacij z optimalno (najbolj produktivno in varčno) uporabo virov. • Zaupnost (confidentiality) se nanaša na varovanje občutljivih informacij pred nepooblaščenim razkritjem. • Celovitost (integrity) se nanaša na pravilnost in popolnost informacij. • Razpoložljivost (availability) se nanaša na informacije, ki morajo biti na razpolago, kadar se potrebujejo v poslovnih procesih zdaj in v prihodnosti. • Skladnost (compliance) obravnava uskladitev z zakoni, predpisi in pogodbenimi dogovori. • Zanesljivost (reliability) je povezana z zagotavljanjem ustreznih in zanesljivih informacij za vodstvo. 16
 17. 17. COBIT: Osredotočenost na poslovanje Poslovni cilji in cilji IT Poslovni cilji podjetja Poslovni cilji podjetja, ki jih omogoča IT (Poslovni cilji za IT)• Da bi stranke razumele cilje IT in sistem kazalnikov za IT, je treba vse cilje in sorodne metrike izraziti v poslovnem jeziku, razumljivem strankam.• To bo skupaj z uspešno uskladitvijo hierarhične lestvice ciljev zagotovilo, da lahko poslovni del potrdi, da bo IT (verjetno) podprla cilje podjetja. 17
 18. 18. COBIT: Osredotočenost na poslovanje Viri IT• Aplikacije: – avtomatizirani uporabniški sistemi, – ročni postopki za obdelavo informacij.• Informacije – podatki v vseh oblikah, – vhodni podatki, podatki v obdelavi in izhodni podatki.• Infrastruktura – tehnologija in zmogljivosti, ki omogočajo delovanje aplikacij. – strojna oprema, operacijski sistemi, SUPB, omrežje, multimedijske tehnologije, komunikacijske tehnologije, ERP, HRM, CRM, …• Ljudje – osebje, ki je potrebno za načrtovanje, organizacijo, pridobivanje, vpeljevanje, izvajanje, podporo, spremljanje in vrednotenje informacijskih sistemov in storitev. – lahko so notranji, zunanji ali pogodbeni sodelavci. 18
 19. 19. COBIT: Usmerjenost na procese• Proces je skupek opravil (delovnih nalog, aktivnosti) z določenim vrstnim redom izvajanja, ki pretvarjajo vhode v izhode (energijo, materiale, informacije).• Domene procesov v COBIT-u – Načrtujte in organizirajte – Nabavite in vpeljite – Izvajajte in podpirajte – Spremljajte in vrednotite• 4 domene IT – 34 procesov IT • 210 Kontrolnih ciljev 19
 20. 20. Domene procesov v COBIT-u Načrtujte in organizirajte• Ta domena zajema strategijo in taktike ter se nanaša na prepoznavanje načina, kako lahko IT najbolje prispeva k uresničevanju poslovnih ciljev.• Domena običajno obravnava naslednja vprašanja v zvezi z upravljanjem: PO1 Opredelite strateški načrt za IT – Ali sta IT in poslovna strategija usklajeni? PO2 Opredelite informacijsko arhitekturo – Ali podjetje optimalno uporablja svoje vire? PO3 Določite tehnološko usmeritev – Ali vsi v organizaciji razumejo cilje IT? PO4 Opredelite procese, organizacijo in razmerja IT – Ali podjetje razume tveganja IT in jih upravlja? PO5 Upravljajte investicije v IT – Ali kakovost sistemov IT ustreza poslovnim potrebam? PO6 Sporočajte cilje in usmeritev vodstva PO7 Upravljajte človeške vire v sektorju IT PO8 Upravljajte kakovost PO9 Ocenjujte in obvladujte tveganja IT PO10 Upravljajte projekte 20
 21. 21. Domene procesov v COBIT-u Nabavite in vpeljite• Za uresničitev strategije IT je treba poiskati rešitve IT, jih razviti ali nabaviti ter jih vpeljati in vključiti v poslovne procese.• Razen tega ta domena zajema tudi spremembe in vzdrževanje obstoječih sistemov kot zagotovitev, da rešitve še naprej izpolnjujejo poslovne cilje.• Domena običajno obravnava naslednja vprašanja v zvezi z upravljanjem: – Ali novi projekti zagotavljajo rešitve, ki izpolnjujejo poslovne potrebe? AI1 Določite avtomatizirane rešitve – Ali so novi projekti izvedeni pravočasno, AI2 Nabavite in vzdržujte aplikacijske programe kakovostno in v okviru proračuna? AI3 Nabavite in vzdržujte tehnološko infrastrukturo – Ali novi sistemi delujejo ustrezno, AI4 Omogočite delovanje in uporabo ko so vpeljani? AI5 Zagotovite IT vire – Ali vpeljane spremembe ne bodo AI6 Upravljajte spremembe negativno vplivale na sedanje poslovanje? AI7 Namestite in potrdite rešitve in spremembe 21
 22. 22. Domene procesov v COBIT-u Izvajajte in podpirajte• Ta domena zajema dejansko izvajanje zahtevanih storitev – izvajanje storitev, – upravljanje varnosti in neprekinjenega poslovanja, – podpora storitvam za uporabnike, – upravljanje podatkov in produkcijskih zmogljivosti.• Običajno obravnava naslednja vprašanja v zvezi z DS1 Opredelite in upravljajte ravni storitve upravljanjem: DS2 Upravljajte storitve tretje stranke DS3 Upravljajte delovanje in zmogljivost – Ali se storitve IT izvajajo v skladu s poslovnimi prednostnimi DS4 Zagotovite neprekinjenost storitev nalogami? DS5 Zagotovite varnost sistemov – Ali so stroški IT optimizirani? DS6 Ugotovite in porazdelite stroške – Ali lahko zaposleni sisteme IT uporabljajo produktivno in varno? DS7 Izobrazite in usposobite uporabnike – Ali je pri varovanju informacij ustrezno poskrbljeno za zaupnost, DS8 Upravljajte službo za pomoč celovitost in razpoložljivost? uporabnikom in obvladujte incidente DS9 Upravljajte konfiguracijo DS10 Upravljajte probleme DS11 Upravljajte podatke DS12 Upravljajte fizično okolje DS13 Upravljajte delovanje 22
 23. 23. Domene procesov v COBIT-u Spremljajte in vrednotite• Vse procese IT je treba redno ocenjevati, če zagotavljajo kakovost in skladnost s kontrolnimi zahtevami!• Ta domena obravnava vodenje delovanja, spremljanje notranje kontrole, regulativno skladnost in upravljanje.• Domena obravnava naslednja vprašanja v zvezi z upravljanjem: – Ali se delovanje IT meri, da se problemi odkrijejo, preden je prepozno? – Ali vodstvo zagotavlja uspešne in učinkovite notranje kontrole? – Ali je zmožnost IT mogoče povezati s poslovnimi cilji? – Ali so za varnost informacij zagotovljene kontrole zaupnosti, celovitosti in razpoložljivosti? ME1 Spremljajte in vrednotite delovanje IT ME2 Spremljajte in vrednotite notranje kontrole ME3 Zagotovite skladnost z zunanjimi zahtevami ME4 Zagotovite upravljanje IT 23
 24. 24. COBIT: Osnovanost na kontrolah• COBIT definira – Kontrolne cilje za vseh 34 procesov • Opredeljujejo, kaj mora narediti lastnik procesa. • Zagotavljajo nabor visoko-nivojskih zahtev za vodstvo, ki so namenjene učinkovitem nadzoru COBIT-ovih procesov. • So oblikovani tako, da se zagotovi razumno jamstvo, da bodo poslovni cilji doseženi ter neželeni dogodki preprečeni ali odkriti in popravljeni. • Kontrolni cilji povečujejo vrednosti ali zmanjšujejo tveganja. • Vsak COBIT-ov proces IT ima opis procesa in navedbo kontrolnih ciljev. Na splošno so to značilnosti dobro vodenega procesa. – Splošne procesne in aplikacijske kontrole • Nekatere kontrole se nanašajo na vse procese • Šest splošnih procesnih kontrol • Šest splošnih aplikacijskih kontrol 24
 25. 25. COBIT: Osnovanost na kontrolah Kontrolni model • Ko se nastavi sobnaKontrolni cilj temperatura (standard) za sistem ogrevanja (proces), bo sistem ves čas preverjal (primerjava) sobno 22ºC temperaturo prostora (kontrolni podatek) ter opozoril (ukrepanje) sistem za ogrevanje, naj proizvaja več ali manj toplote. Kontrolni Proces podatek 25
 26. 26. COBIT: Osnovanost na kontrolah Kontrolni cilji procesov PO1 PO1.1 PO1.2 PO1.3 PO1.4 PO1.5 PO1.6 PO2 PO2.1 PO2.2 PO2.3 PO2.4 PO3 PO3.1 PO3.2 PO3.3 PO3.4 PO3.5 … Peti kontrolni cilj procesa PO3 v PO10.1 domeni POPO10 PO10.1 PO10.2 PO10.3 … 4 AI1 AI1.1 AI1.2 AI1.3 AI1.4 … ME4 ME4.1 ME4.2 ME4.3 ME4.4 ME4.5 ME4.6 ME4.7 SplošnePC1PC2PC3PC4PC5PC6 kontrolne zahteve procesa 26
 27. 27. COBIT: Osnovanost na kontrolah Splošne kontrolne zahteve procesa • PC1 Cilji procesa – Za učinkovito izvajanje vsakega procesa IT opredelite in posredujte posebne, merljive, izvedljive, realne, k rezultatom usmerjene in pravočasne cilje procesa. Poskrbite, da so povezani s poslovnimi cilji ter da jih podpirajo ustrezne metrike. • PC2 Lastništvo oz. skrbništvo procesa – Določite lastnika vsakega procesa IT in jasno opredelite vloge in zadolžitve lastnika procesa. • PC3 Ponovljivost procesa – Zasnujte in vzpostavite vsak ključni proces IT tako, da je ponovljiv in da vedno daje pričakovane rezultate. • PC4 Vloge in zadolžitve – Opredelite ključne dejavnosti in končne rezultate procesa. • PC5 Politika, načrti in postopki – Opredelite in posredujte, kako so vse politike, načrti in postopki, ki poganjajo proces IT, dokumentirani, pregledani, vzdrževani, odobreni, shranjeni, sporočeni in kako se uporabljajo za usposabljanje.PC1PC2PC3PC4PC5PC6 • PC6 Izboljšanje zmogljivosti procesa – Določite sklop metrik, ki omogočajo vpogled v rezultate in delovanje procesa. 27
 28. 28. COBIT: Osnovanost na kontrolah Splošne aplikacijske kontrole• Kontrole, vključene v aplikacije poslovnih procesov, se imenujejo aplikacijske kontrole. Primeri vključujejo: – popolnost, – pravilnost, – veljavnost, – avtorizacijo, – ločevanje nalog.• Seznam aplikacijskih kontrolnih ciljev – AC1 Priprava in odobritev izvornih podatkov – AC2 Zbiranje in vnos izvornih podatkov – AC3 Preverjanje pravilnosti, popolnosti in verodostojnosti – AC4 Veljavnost in celovitost obdelave – AC5 Pregled in uskladitev rezultatov ter odprava napak – AC6 Overjanje in celovitost transakcije 28
 29. 29. COBIT: Osnovanost na kontrolah Splošne kontrole• Splošne kontrole so kontrole, vključene v procese in storitve IT. Primeri vključujejo: – razvoj sistemov, – upravljanje sprememb, – varovanje, – delovanje računalnikov. 29
 30. 30. COBIT: Vodenje na osnovi metrik• Podjetja morajo meriti, kakšno je njihovo stanje in katere izboljšave so potrebne.• COBIT obravnava vodenje na osnovi metrik z/s: – zrelostnimi modeli, ki omogočajo primerjalno analizo in prepoznavanje potrebnih izboljšav zmožnosti. – Za vsakega izmed 34 COBIT-ovih procesov je podan specifičen model zrelosti na osnovi splošne lestvice zrelosti procesov (vzet iz CMM) – cilji izvedbe in metrik za procese IT, ki kažejo, kako procesi uresničujejo poslovne cilje in cilje IT, ter se uporabljajo za merjenje delovanja notranjih procesov na podlagi principov uravnoteženih kazalnikov. – cilji aktivnosti (dejavnosti) za omogočanje uspešne izvedbe procesov. 30
 31. 31. COBIT: Vodenje na osnovi metrik Splošni zrelostni model• 0: Neobstoječe – Popolna odsotnost kakršnih koli prepoznavnih procesov. Podjetje se niti ne zaveda, da obstajajo procesi.• 1: Začetno/ Ad Hoc – Obstajajo dokazi, da se podjetje zaveda, da procesi obstajajo in da jih je treba obravnavati. Vendar pa ni standardiziranih procesov, temveč ad hoc pristopi, ki se uporabljajo za posamezne primere ali od primera do primera.• 2: Ponovljivo, vendar intuitivno – Podjetje je razvilo procese do stopnje, ko različni ljudje, ki opravljajo enako nalogo, uporabljajo podobne postopke. Obstaja visoka stopnja zanašanja na znanje posameznikov, zato so verjetne napake.• 3: Opredeljeno – Postopki so standardizirani in dokumentirani ter sporočeni prek usposabljanja. Postopke je treba obvezno upoštevati, vendar je malo verjetno, da bodo odstopanja ugotovljena.• 4 :Vodeno in merljivo – Vodstvo spremlja in meri skladnost s postopki ter ukrepa, kadar procesi ne delujejo uspešno. Procesi se stalno izboljšujejo in zagotavljajo dobro prakso. Avtomatizacija in orodja se uporabljajo omejeno ali razdrobljeno.• 5: Optimizirano – Procesi so izboljšani na raven dobre prakse na podlagi rezultatov nenehnega izboljševanja in primerjanja zrelostnih ravni z drugimi podjetji. IT se uporablja celovito za avtomatizacijo delovnega toka. 31
 32. 32. COBIT: Vodenje na osnovi metrikGrafična predstavitev zrelostnega modela 32
 33. 33. COBIT: Vodenje na osnovi metrikDimenzije zrelosti procesa • Ustrezno kontrolno okolje je doseženo, če so bili obravnavani vsi trije vidiki zrelosti • Kako? – Kako dobro se proces upravlja – Splošni zrelostni model – Primer: proces je definiran. • Kaj? – Kaj se dogaja v procesu – COBIT-ovi kontrolni cilji – Primer: poslovanje in IT je usklajeno • Koliko? – Koliko (delež, globina) so procesi v podjetju upravljani – Primer: pod-proces “usklajevanja” še ni vključen v upravljanje procesa 33
 34. 34. Tabela atributov zrelosti upravljanja informacijskih procesovOzaveščanje in Politike, načrt in postopki Orodja in Sposobnosti in strokovno Zadolžitev in Postavljanje ciljev insporočanje avtomatizacija znanje odgovornost merjenje1. Organizacija priznava Organizacija uporablja ad hoc Organizacija uporablja Sposobnosti, potrebne za proces, niso Cilji niso jasni, prav tako Cilji niso jasni, prav tako organizacijapotrebo po procesu. pristope k procesom in praksam. nekatera orodja; uporaba opredeljene. organizacija ne opravlja ne opravlja nobenih meritev. temelji na standardnih namiznih nobenih meritev.Občasno se obvešča o tej Procesi in politike niso opredeljeni. orodjih. Organizacija nima načrta za usposabljanje,temi. prav tako ne izvaja nobenega formalnega usposabljanja.2. Organizacija se zaveda Pojavljajo se podobni in skupni Organizacija uporablja skupne Organizacija je opredelila minimalne Posameznik prevzame Pojavlja se postavljanje ciljev, Izvajajo sepotrebe po ukrepanju. postopki, vendar so večinoma pristope k uporabi orodij, zahteve glede sposobnosti za kritična zadolžitve in je običajno nekatere finančne meritve, vendar so intuitivni zaradi strokovnega znanja vendar ti temeljijo na rešitvah, področja. odgovoren za proces, tudi če rezultati znani le višjemu vodstvu.Vodstvo zaposlene obvešča posameznikov. ki jih je razvilo ključno osebje. to ni formalno dogovorjeno. V Spremljanje je izolirano na posameznao splošnih temah. Usposabljanje je zagotovljeno kot odziv na organizaciji vlada zmeda področja in nedosledno. Nekateri vidiki procesa so ponovljivi Organizacija je morda kupila potrebe in ne na podlagi dogovorjenega glede zadolžitev. Kadar pride zaradi znanja posameznikov, prav standardna orodja, vendar jih načrta, pojavlja se neformalno do problemov, se običajno išče tako morda obstajajo dokumenti o verjetno ne uporablja pravilno usposabljanje na delovnem mestu. krivce. tem in neformalno razumevanje ali pa jih sploh ne uporablja. politike in postopkov.3. Organizacija razume Organizacija občasno uporablja Organizacija je opredelila načrt Zahteve glede sposobnosti so opredeljene Zadolžitev in odgovornost za Nekateri cilji in merila glede uspešnostipotrebo po ukrepanju dobre prakse. za uporabo in standardizacijo in dokumentirane za vsa področja. proces sta opredeljeni, prav so določeni, vendar niso sporočeni po orodij za avtomatizacijo tako so določeni lastniki organizaciji, prav tako obstaja jasnaSporočila vodstva so bolj Za vse ključne dejavnosti so procesa. Organizacija je razvila formalen načrt za procesa. Malo verjetno je, da povezava s poslovnimi cilji. Pojavljajo dokumentirani procesi, politike in usposabljanje, vendar formalno ima lastnik zadostna se procesi merjenja, vendar se neformalna in strukturirana. postopki. Orodja se uporabljajo za njihov usposabljanje še vedno poteka na podlagi pooblastila za opravljanje uporabljajo dosledno. Organizacija je osnovni namen, vendar morda posameznih pobud. zadolžitev. sprejela zamisel sistema uravnoteženih niso v skladu z dogovorjenim kazalnikov za IT ter občasno na načrtom in niso med seboj pobudo posameznikov izvaja analizo povezana. osnovnega vzroka.4. Organizacija razume vse Proces je trden in celovit, uporabljajo Orodja so vpeljana na podlagi Zahteve glede sposobnosti se redno Zadolžitev in odgovornost za Uspešnost in učinkovitost se merita,zahteve. se najboljše notranje prakse. standardiziranega načrta, posodabljajo za vsa področja, za vsa proces sta sprejeti ter se sporočata in sta povezana s poslovnimi nekatera so bila integrirana s kritična področja je zagotovljena zadostna izvajata na način, ki lastniku cilji ter strateškim načrtom za IT. NaOrganizacija oblikuje Vsi vidiki procesa so dokumentirani in drugimi zadevnimi orodji. strokovnost, spodbuja se certifikacija. procesa omogoči, da v celoti nekaterih področjih je vpeljan sistemtehnike sporočanja, ponovljivi. Vodstvo je odobrilo in izpolni svoje zadolžitve. uravnoteženih kazalnikov za IT, izjemeuporabljajo se standardna podpisalo politike. Standardi za Orodja se uporabljajo na Organizacija uporablja izdelane tehnike za Organizacija uporablja sistem ugotavlja vodstvo, analiza osnovnegakomunikacijska orodja. razvoj in vzdrževanje procesov in glavnih področjih za usposabljanje, ki jih izvaja v skladu z nagrajevanja, da motivira vzroka pa je standardizirana. Izvaja se postopkov so sprejeti in se avtomatizacijo upravljanja načrtom usposabljanja, spodbuja se delitev zaposlene k pozitivnemu stalno izboljševanje. uporabljajo. procesa in spremljanje kritičnih znanja. Pri tem sodelujejo strokovnjaki za ukrepanju. dejavnosti in kontrol. vsa notranja področja, prav tako se ocenjuje uspešnost načrta usposabljanja.5. Organizacija razume Uporabljajo se zunanje najboljše Po organizaciji se uporablja Organizacija formalno spodbuja stalno Lastniki procesov so Organizacija ima integriran sistem zazahteve na višji ravni in prakse in standardi. standardiziran sklop orodij. izboljševanje sposobnosti na podlagi jasno pooblaščeni za sprejemanje merjenje izvedbe, ki delovanje ITupošteva prihodnje možnosti. opredeljenih osebnih ciljev in ciljev odločitev in ukrepanje. povezuje s poslovnimi cilji prek splošne Orodja so v celoti integrirana z organizacije. Prevzemanje zadolžitev je uporabe sistema uravnoteženih Dokumentacija o procesih je drugimi sorodnimi orodji, da seV organizaciji poteka prilagojena avtomatiziranemu porazdeljeno konsistentno po kazalnikov za IT. Vodstvo ves čas omogoči celovita podpora Usposabljanje in izobraževanja podpirata vseh nivojih v organizaciji. ugotavlja izjeme v vsej organizaciji terdejavno obveščanje o raznih delovnemu toku. Procesi, politike in procesu. zunanje najboljše prakse in uporabotemah na podlagi postopki so standardizirani in izvaja analizo osnovnega vzroka. najsodobnejših konceptov in tehnik. Delitev Stalno izboljševanje je način življenja.najnovejših trendov, integrirani, da omogočajo celovito znanja je kultura v podjetju, uporabljajo seuporabljajo se zrele tehnike upravljanje in izboljševanje. Orodja se uporabljajo zasporočanja in integrirana podporo izboljšanja procesa in sistemi, ki temeljijo na znanju. Nasveti seorodja za komuniciranje. za avtomatizirano odkrivanje poiščejo pri zunanjih strokovnjakih in vodilnih v industriji. 34 izjem pri kontroli.
 35. 35. COBIT: Vodenje na osnovi metrik Merjenje delovanja• V COBIT-u so cilji in metrike Podjetje opredeljeni na treh ravneh: 1 – Cilji IT in metrike, ki opredelijo, * kaj podjetje pričakuje od IT in Poslovni cilji kako to meriti. 1..* – Procesni cilji in metrike, ki * opredelijo, kaj morajo ustvariti procesi IT za podporo ciljev IT in Cilji IT kako to meriti. 1 – Cilji aktivnosti in metrike, ki * opredelijo, kaj se mora zgoditi Procesni cilji znotraj procesa, da se doseže 1 zahtevana storilnost in kako to meriti. * Cilji aktivnosti 35
 36. 36. COBIT: Vodenje na osnovi metrikMerjenje delovanja Hierarhija ciljev Merila ciljev Kazalniki delovanja 36
 37. 37. COBIT: Vodenje na osnovi metrik Merjenje delovanjaUsmerjenost Domenaopredelitve COBIT-a ciljev(top-down) Kazalniki delovanjaUsmerjenost kazalnikov delovanja(bottom-up) 37
 38. 38. COBIT: Vodenje na osnovi metrikPredstavitev ciljev in metrik 38
 39. 39. COBITKAKO UPORABLJATI COBIT 39
 40. 40. Osnovno načelo COBIT-aVire IT upravljajo procesi IT z namenom doseganja ciljev IT, ki izpolnjujejo poslovne zahteve. 40
 41. 41. Sestavni deli COBIT-a• OKVIR COBIT obsega 34 procesov IT, ki opisujejo, kako nadzorovati, upravljati in meriti vsakega izmed njih.• Vsak proces se obravnava v štirih delih (~ 4×A4): – 1. del: • opis procesa prikazan v kaskadni obliki • prekrivanje procesa z informacijskimi kriteriji • sredstva IT in • ciljna področja upravljanja IT (s črko P za primarni pomen in črko S za sekundarni pomen). – 2. del vsebuje kontrolne cilje za proces – 3. del vsebuje smernice za upravljanje, ki vsebujejo: • vhode in izhode procesa, • matriko ZOPS, • cilje in • metrike. – 4. del vsebuje zrelostni model za proces 41
 42. 42. Povezanost COBIT-ovih sestavnih delov 42
 43. 43. Obveznosti lastnika (skrbnika) procesa • Vhod v proces je to, kar mora Vhod lastnik procesa pridobiti od drugih. • Kontrolni cilji procesa opisujejo, kaj mora storiti lastnik procesa. • Izhodi iz procesa so to, kar mora lastnik procesa ustvariti. • Cilji in metrike kažejo, kako je treba proces meriti. • Matrika ZOPS opredeljuje, za kaj Izhod je treba koga zadolžiti in na kakšen način. • Zrelostni model kaže, kaj je treba storiti za izboljšavo. 43
 44. 44. Navigacija po COBIT-ovem okvirju Vpliv specifičnega Domena procesa na specifičnega informacijske procesa kriterije Opis procesa v kaskadni obliki Sredstva IT potrebna za specifični procesVpliv specifičnegaprocesa na ciljna področja upravljanja IT 44
 45. 45. COBITPRIMER PROCESA DS2 45
 46. 46. DS2: Upravljajte storitve tretje stranke (DS2-Manage third-party services) PartnerjiDobavitelji Storitve, ki jih podjetju zagotavljajo drugi, morajo izpolnjevati poslovne zahteve Potrebujemo uspešen proces upravljanja s takšnimi storitvami Prodajalci 46
 47. 47. DS2: Upravljajte storitve tretje stranke Opis procesa• Potreba po zagotovitvi, da storitve, ki jih zagotavljajo tretje strani (dobavitelji, prodajalci in partnerji), izpolnjujejo poslovne zahteve, zahteva uspešen proces za upravljanje storitve tretje stranke.• Ta proces se doseže z jasno opredelitvijo vlog, zadolžitev in pričakovanj v sporazumih s tretjo stranko ter pregled in spremljanje takšnih sporazumov glede uspešnosti in skladnosti.• Uspešno upravljanje storitev tretje stranke zmanjšuje poslovna tveganja, povezana z dobavitelji, ki ne izpolnjujejo svojih nalog. 47
 48. 48. DS2: Upravljajte storitve tretje stranke Opis procesa Povezava “DS2: Upravljajte storitve tretje stranke” s/z: • informacijskimi kriteriji • IT viri • ključnimi področji vodenja informatike 48
 49. 49. DS2: Upravljajte storitve tretje stranke Opis procesa v kaskadni oblikiNadzor nad procesom IT Ime procesaUpravljajte storitve tretje stranke ki izpolnjuje poslovno zahtevo za IT glede zagotavljanja zadovoljivih storitev tretje stranke, pri čemer morajo biti Najpomembnejši IT cilji pregledne glede koristi, stroškov in tveganj z usmerjanjem na vzpostavitev odnosov in dvostranskih odgovornosti s kvalificiranimi ponudniki storitev tretje stranke ter spremljanje izvajanja storitev, da se potrdi in zagotovi upoštevanje sporazumov, kar se doseže – s prepoznavanjem in kategorizacijo storitev dobavitelja, – s prepoznavanjem in zmanjševanjem tveganja dobavitelja, – s spremljanjem in merjenjem uspešnosti dela dobavitelja ter se meri • s številom pritožb uporabnikov glede pogodbenega izvajanja storitev, • z odstotkom glavnih dobaviteljev, ki izpolnjujejo jasno opredeljene zahteve in ravni storitev, • z odstotkom glavnih dobaviteljev, ki se spremljajo. 49
 50. 50. DS2: Upravljajte storitve tretje stranke Kontrolni cilji Zagotavljajo nabor visoko-nivojskih zahtev, ki so namenjene učinkovitem nadzoru COBIT-ovih procesov.So oblikovani tako, da se zagotovi razumno jamstvo, da bodo poslovni cilji doseženi ter neželeni dogodki preprečeni ali odkriti in popravljeni. 50
 51. 51. DS2: Upravljajte storitve tretje stranke Smernice za upravljanje Vhodi Matrika ZOPS določa, kdo je: •Zadolžen (tisti ki izvedejo aktivnosti, lahko več oseb)Upravljajte storitve tretje stranke •Odgovoren (za kakovost, rezultate, samo ena oseba) •Posvetovan (vključen z informacijami) Izhodi •Seznanjen (informiran) 51
 52. 52. DS2: Upravljajte storitve tretje strankeSmernice za upravljanje Upravljajte storitve tretje stranke Kaj so cilji in metrike na nivojih IT, procesa in aktivnosti
 53. 53. DS2: Upravljajte storitve tretje stranke Zrelostni modelUpravljanje procesa Upravljajte storitve tretje stranke, ki izpolnjuje poslovno zahtevo za IT glede zagotavljanja zadovoljivih storitev tretje stranke, pričemer morajo biti storitve pregledne glede koristi, stroškov in tveganj, je:0 Neobstoječe, kadarZadolžitve in odgovornosti niso opredeljene. Organizacija nima formalnih politik in postopkov za sklepanje pogodb s tretjimi strankami. Storitve tretje stranke sene odobravajo, niti jih vodstvo ne pregleduje. Organizacija nima nobenih dejavnosti za merjenje, prav tako ne zahteva poročanja tretjih strank. Zaradi odsotnostipogodbenih obveznosti o poročanju se višje vodstvo ne zaveda kakovosti opravljenih storitev.1 Začetno/ Ad Hoc, kadarVodstvo se zaveda potrebe po dokumentiranih politikah in postopkih za upravljanje tretje stranke, vključno s podpisanimi pogodbami. Organizacija nimanobenih standardnih pogodbenih pogojev za ponudnike storitev. Merjenje dobavljenih storitev je neformalno in reaktivno. Prakse so odvisne od izkušenj (npr. nazahtevo) posameznika in dobavitelja.2 Ponovljivo, vendar intuitivno, kadarProces za nadzor ponudnikov storitev tretje stranke, zadevnega tveganja in izvajanja storitev je neformalen. Uporablja se podpisana standardna predlogapogodbe s standardnimi pogoji prodaje (tj. opis storitev, ki bodo zagotovljene). Na voljo so poročila o dobavljenih storitvah, vendar ne podpirajo poslovnih ciljev.3 Opredeljeno, kadarOrganizacija ima dobro dokumentirane postopke za upravljanje storitev tretje stranke z jasnimi procesi za preverjanje in pogajanje s ponudniki. Kadarorganizacija sklene sporazum o izvajanju storitev, je razmerje s tretjo stranko povsem pogodbeno. Narava storitev, ki se bodo izvajale, je natančno določena vpogodbi in vključuje pravne, produkcijske in kontrolne zahteve. Določena je zadolžitev za nadzor storitev tretje stranke. Pogodbeni pogoji temeljijo nastandardnih predlogah. Poslovno tveganje, povezano s storitvami tretje stranke, je ocenjeno in o njem se poroča.4 Vodeno in merljivo, kadarOrganizacija je določila formalna in standardizirana merila za pogoje izvedbe, vključno z obsegom dela, storitvami/rezultati dela, predpostavkami, roki dobave,stroški, dogovori glede plačevanja in zadolžitvami. Zadolžitve za upravljanje pogodbe in sodelovanje s prodajalcem so dodeljene. Kvalifikacije, tveganja in deloponudnika storitve se redno preverjajo. Zahteve glede storitev so opredeljene in povezane s poslovnimi cilji. Organizacija ima proces za pregledovanje izvedbestoritev glede na pogodbene pogoje, s čimer zagotovi prispevke za ocenjevanje sedanjih in prihodnjih storitev tretje stranke. V procesu nabave seuporabljajo transferne cene. Vse sodelujoče stranke poznajo pričakovanja v zvezi s storitvami, stroški in ključnimi točkami. Organizacija ima dogovorjene cilje inmetrike za nadzor ponudnikov storitev.5 Optimizirano, kadarOrganizacija redno po vnaprej določenem razporedu pregleduje pogodbe, podpisane s tretjimi strankami. Zadolžitev za upravljanje dobaviteljev in kakovostiopravljenih storitev je dodeljena. Organizacija spremlja dokazila o pogodbeni skladnosti s produkcijskimi, pravnimi in kontrolnimi določbami ter izvaja popravneukrepe. Tretja stranka je podvržena rednim neodvisnim pregledom, odziv na njeno delovanje je zagotovljen in se uporablja za izboljšanje izvajanja storitev.Meritve se spreminjajo kot odziv na spreminjajoče se pogoje poslovanja. Merila podpirajo zgodnje odkrivanje morebitnih težav s storitvami tretje stranke. Izčrpnoin opredeljeno poročanje o doseganju ravni storitev je povezano s plačilom tretji stranki. Vodstvo prilagaja proces pridobivanja in spremljanja storitev tretjestranke na podlagi meril.
 54. 54. COBITPOENOSTAVLJENAINTERPRETACIJA PROCESNIHPODROČIJ 54
 55. 55. Procesi domene “Načrtujte in organizirajte”• PO1 Opredelite strateški načrt za IT• PO2 Opredelite informacijsko arhitekturo• PO3 Določite tehnološko usmeritev• PO4 Opredelite procese, organizacijo in razmerja IT• PO5 Upravljajte investicije v IT• PO6 Sporočajte cilje in usmeritev vodstva• PO7 Upravljajte človeške vire v sektorju IT• PO8 Upravljajte kakovost• PO9 Ocenjujte in obvladujte tveganja IT• PO10 Upravljajte projekte 55
 56. 56. PO1: Opredelite strateški načrt za IT• Upravljanje virov IT skladno s poslovno strategijo. – Poslovni cilji IT cilji strategija IT• Trenutne zmogljivost IT investicije v IT želene zmogljivosti IT• Maksimizacija uspešnosti IT s kar se da učinkovitim delovanjem IT 56
 57. 57. PO2: Opredelite informacijsko arhitekturo• Opredelitev informacijskega vidika podjetja – Strukturirani podatkovni viri – Nestrukturirani podatkovni viri• Kakovost informacij kakovost odločanja uspešnost poslovanja• Organizacija hranjenih informacij – ponovna uporaba informacij (poveča se učinkovitost) – boljša normalizacija informacij (izboljša se celovitost informacij) 57
 58. 58. PO3: Določite tehnološko usmeritev• Kaj pričakuje poslovanje  kaj lahko tehnologija ponudi• Poslovne zahteve informacijske rešitve in storitve tehnološke usmeritve• Ustrezne tehnološke usmeritve – izboljšanje poslovanja (uspešnost) – optimizacija poslovanja (učinkovitost)• Nenehno spremljanje trendov in standardov na področju IT 58
 59. 59. PO4: Opredelite procese, organizacijo in razmerja IT• Opredelitev procesov, ki se Ime procesa Odvisni procesi Zrelostni nivo izvajajo v IT Odgovoren Skladnost – Procesi, ki pomagajo izvrševati strategijo podjetja 1. Pomoč uporabnikom AB 3 ISO 3,8, – Podporni procesi v IT 7 2. Zagotavljanje CD 3 ISO 4,6, neprekinjenega delovanja HW 8• Opredelitev organizacije IT – Odbor za opredelitev strategije IT – Nadzorna skupina sektorja IT – Organizacijska struktura IT• Vloge, zadolžitve zaposlenih v IT – ZOPS • Zadolžen • Odgovoren • Posvetovan • Seznanjen 59
 60. 60. PO5: Upravljajte investicije v IT• Proračun za IT upravljanje Potrebe po IT investicij v IT investicijah (IT virih) – maksimizacija ustvarjanja vrednosti – izboljšanje stroškovne učinkovitosti IT• Upravljanje investicij – Stroški investicij – Koristi (donosnost) investicij Stroški Koristi – Tveganja investicij – Prioritete investicij Opredelitev smiselnosti in prioritet naložb 60
 61. 61. PO6: Sporočajte cilje in usmeritve vodstva• Vodstvo sporoča poslanstvo, cilje, Kontrolni aktualne predpise, … Strateška okvir usklajenost IT s poslovanjem• Tveganja poslovanja  Vodstvo tveganja IT IT oddelek 61
 62. 62. PO7: Upravljajte človeške vire v sektorju IT• Osebje spada med najpomembnejše (najdražje) IT vire• Upravljanje zaposlenih – Zaposlovanje – Ugotavljanje sposobnosti in usposabljanje – Motivacijski mehanizmi – Vrednotenje dela – Odvisnosti od posameznikov – Spremembe in preklic zaposlitve• Upravljanje zaposlenih – učinkovitost in uspešnost 62
 63. 63. PO8: Upravljajte kakovost• Cilj: zagotavljanje stalnega in merljivega izboljševanja kakovosti opravljenih storitev IT• Osredotočenost na stranke  opredelitev kakovosti  merljivi kazalniki kakovosti• Opredelitev standardov kakovosti 63
 64. 64. PO9: Ocenjujte in obvladujte tveganja IT• Opredelitev procesa, ki nenehno identificira, spremlja, ocenjuje in minimizira tveganja IT.• Tveganje  vzroki za tveganje Tveganja• Analiza tveganja – Opis – Verjetnost – Vpliv – Rešitev Poslovni cilji Izguba 64
 65. 65. PO10: Upravljajte projekte• Kako se bodo upravljali projektu IT (projektni pristop) – Na primer: Prince2• Orkestracija projektov IT – Odvisnosti med projekti – Vrstni red izvajanja projektov – Prioritete projektov• Zagotavljanje rezultatov projektov v okviru dogovorjenih rokov, stroškov in kakovosti 65
 66. 66. Procesi domene “Nabavite in vpeljite”• AI1 Določite avtomatizirane rešitve• AI2 Nabavite in vzdržujte aplikacijske programe• AI3 Nabavite in vzdržujte tehnološko infrastrukturo• AI4 Omogočite delovanje in uporabo• AI5 Zagotovite vire IT• AI6 Upravljajte spremembe• AI7 Namestite in potrdite rešitve in spremembe 66
 67. 67. AI1: Določite avtomatizirane rešitve• Funkcionalne in kontrolne zahteve podjetja – programske rešitve, storitve – nabava obstoječih rešitev ali razvoj lastnih rešitev• Študije izvedljivosti ustrezne rešitve ali storitve – Uspešno zagotavljanje informacij – Učinkovito pridobivanje informacij 67
 68. 68. AI2: Nabavite in vzdržujte aplikacijske programe• Proces nabave programske opreme – Zahteve (F,N) – Nabava – Konfiguriranje – Namestitev• Proces razvoja programske opreme – Zahteve (F,N) – Načrtovanje – Razvoj – Namestitev• Proces vzdrževanja programske opreme – Upravljanje sprememb – Nadgradnje 68
 69. 69. AI3: Nabavite in vzdržujte tehnološko infrastrukturo• Opredeljeni procesi – Nabavo infrastrukture – Vpeljavo infrastrukture – Vzdrževanje infrastrukture – Testiranje zmogljivosti infrastrukture• Kakovostna nabava in vzdrževanje tehnološke infrastrukture nemoteno in zanesljivo delovanje aplikacij 69
 70. 70. AI4: Omogočite delovanje in uporabo• Aplikacijske rešitve in storitve (ki temeljijo na ustrezni tehnološki infrastrukturi) morajo biti uporabljane.• Enostavne za uporabo – znanje o novih sistemih mora biti razpoložljivo (dokumentacija, priročniki, forumi, …) – usposabljanje 70
 71. 71. AI5: Zagotovite vire IT• Procesi zagotavljanja virov IT – Postopki nabave – Izbira dobaviteljev – Sklenitev in upravljanje pogodb, SLA• Zahteva po IT virih Procesi zagotavljanja IT virov – Pravočasna dostava zahtevanih virov – Učinkovita dostava zahtevanih virov 71
 72. 72. AI6: Upravljajte spremembe• Sodobno poslovanje prilagajanje, posodabljanje (proaktivna informatika) Stabilnost Prilagodljivost spremembe poslovanja poslovanja – Povečanje uspešnosti in učinkovitosti – Zagotavljanje stabilnosti• Upravljanje sprememb – Zahteva po spremembi – Ocena spremembe in njenega vpliva – Odobritev – Izvedba – Analiza rezultatov spremembe 72
 73. 73. AI7: Namestite in potrdite rešitve in spremembe• „Namestite in potrdite rešitve in Razvoj ali spremembe“ vključuje naslednje nabava ali (pod)procese sprememba – Usposabljanje – Postopki testiranja in testna okolja – Postopki vpeljave – Postopki migracije podatkov Testiranje – Sprejemni test – Analiza vpeljanega sistema Produkcijsko okolje 73
 74. 74. Procesi domene “Izvajajte in podpirajte”• DS1 Opredelite in upravljajte ravni storitve• DS2 Upravljajte storitve tretje stranke• DS3 Upravljajte delovanje in zmogljivost• DS4 Zagotovite neprekinjenost storitev• DS5 Zagotovite varnost sistemov• DS6 Ugotovite in porazdelite stroške• DS7 Izobrazite in usposobite uporabnike• DS8 Upravljajte službo za pomoč uporabnikom in obvladujte incidente• DS9 Upravljajte konfiguracijo• DS10 Upravljajte probleme• DS11 Upravljajte podatke• DS12 Upravljajte fizično okolje• DS13 Upravljajte delovanje 74
 75. 75. DS1: Opredelite in upravljajte ravni storitve• Opredelitev kataloga storitev• Sporazumi o ravni storitev (angl. service level agreement – SLA) – Uvod v SLA – Opis storitve SLA – Odgovornosti strank Stranka 1 – Obseg SLA – Dosegljivost storitve – Zanesljivost storitve – Zmogljivosti storitve IT oddelek – Varnost – Finančni vidik, …• Izvajanje storitev z optimalno uporabo virov• Spremljanje in poročanje o izvajanju storitev SLA Stranka 2 75
 76. 76. DS2: Upravljajte storitve tretje stranke• Določitev in upravljanje odnosov s poslovnimi partnerji – Dobavitelji, prodajalci, partnerji, …• SLA med IT oddelkom in partnerji SLA Poslovni ki nudijo storitve. partner 1 IT oddelek• Obvladovanje tveganj partnerja – Izpad storitve partnerja težave pri delu IT težave pri naših storitvah• Spremljanje in poročanje o izvajanju storitev partnerja. – Stroški, koristi, tveganja SLA Poslovni partner 2 76
 77. 77. DS3: Upravljajte delovanje in zmogljivost• Katalog storitev – Katere vire potrebujemo za posamezne storitve? – Koliko strankam lahko zagotovimo določeno storitev? SLA Stranka 1• IT oddelek nudi storitve stranke povprašujejo in zahtevajo storitve IT oddelek mora zagotavljati vire za razpoložljivost storitev. – Razpoložljivost je opredeljena v SLA• Upravljanje delovanja in zmogljivosti – Analiza trenutnega stanja in SLA Stranka 2 zmogljivosti IT virov – Napovedi prihodnjih potreb 77
 78. 78. DS4: Zagotovite neprekinjenost storitev• Sodobno poslovanje je lahko zelo odvisno od IT storitev. – Razpoložljivost Razpoložljivost• Upravljanje neprekinjenega storitve izvajanja storitev pomaga zagotavljati razpoložljivost in hitro obnovo storitev v primeru izpada. Aktivnosti, ki jih obravnava, so: – analiza in upravljanje tveganja Stranka 1 – upravljanje in testiranje načrta postopkov ob izpadih Razpoložljivost• Fokusiranje na storitve, ki lahko v storitve primeru izpada pomenijo katastrofo za uporabnikov posel. Stranka od naše stranke 78
 79. 79. DS5: Zagotovite varnost sistemov• Varnost =~ zaupnost, celovitost razpoložljivost• Potrebno je zagotoviti varnost IT virov (ljudi, aplikacij, informacij, infrastrukture) – Zaupnost informacij – Celovitost informacij• Identifikacija in razumevanje varnostnih zadev, ranljivosti in groženj.• Upravljanje avtentikacije in avtorizacije.• Testiranje varovanja, upravljanje incidentov. 79
 80. 80. DS6: Ugotovite in porazdelite stroške• Opredelitev stroškov IT virov (ljudi, aplikacij, informacij, infrastrukture) stroški posameznih IT storitev zaračunavanje IT storitev• Opredelitev modela zaračunavanja stroškov – Pavšalno zaračunavanje, zaračunavanje po uporabi, … 80
 81. 81. DS7: Izobrazite in usposobite uporabnike• Uspešnost programa usposabljanja povečanje uspešnosti in učinkovitosti uporabe IT storitev• Identifikacija in analiza potreb po izobraževanju• Priprava programa izobraževanja• Organizacija in izvajanje posameznih usposabljanj• Preizkusi in vrednotenje znanja 81
 82. 82. DS8: Upravljajte službo za pomoč uporabnikom in obvladujte incidente• Pravočasen in učinkovit odziv na uporabnike IT storitev opredelitev “Help desk-a”.• Služba za pomoč uporabnikom – Organizacija – Beleženje poizvedb strank – Postopki reševanja incidentov• Incident predstavlja nenačrtovano prekinitev storitve ali zmanjšanje nivoja njene kakovosti. 82
 83. 83. DS9: Upravljajte konfiguracijo• Specifična različica IT rešitve, ki se ponuja specifični stranki, temelji na unikatni zasnovi elementov konfiguracije (strojna oprema, programska oprema, informacije)• Poznati je potrebno konfiguracijo vsake različine vsake IT rešitve.• Upravljanje konfiguracije – Repozitorij – Elementi konfiguracije – Osnovne verzije – Revizije 83
 84. 84. DS10: Upravljajte probleme• Problem predstavlja nepoznan vzrok za eno ali več prekinitev storitev (incidentov).• Prepoznavanje in razvrščanje problemov – Kategorija – Vpliv – Nujnost – Prednost• Identifikacija vzrokov za težave• Sledenje problemov in reševanje problemov. 84
 85. 85. DS11: Upravljajte podatke• Potrebno je zagotavljati zanesljive in celovite informacije.• Upravljanje podatkov skladno s poslovnimi zahtevami – Opredelitev hranjenja, varnostnih kopiranj in odstranjevanja podatkov – Postopki uničenja podatkov – Postopki arhiviranja in restavriranja podatkov – Varnostni vidik upravljanja s podatki 85
 86. 86. DS12: Upravljajte fizično okolje• Učinkovito upravljanje fizičnega okolja zmanjšanje fizičnih prekinitev povečanje razpoložljivosti IT virov• Opredelitev in izbira prostorov za opremo IT.• Ukrepi za fizično varnost (kraja, požar, voda, vibracije, …).• Odobritev in omejevanje fizičnega dostopa do IT virov.• Upravljanje zmogljivosti električne in komunikacijske infrastrukture. 86
 87. 87. DS13: Upravljajte delovanje• Upravljanje delovanja IT infrastrukture popolna in pravilna obdelava podatkov.• Opredelitev postopkov za delovanje IT.• Razporejanje nalog v najbolj učinkovito zaporedje.• Spremljanje delovanja IT infrastrukture in aplikacij.• Preventivna vzdrževanja. 87
 88. 88. Procesi domene “Spremljajte in vrednotite”• ME1 Spremljajte in vrednotite delovanje IT• ME2 Spremljajte in vrednotite notranje kontrole• ME3 Zagotovite skladnost z zunanjimi zahtevami• ME4 Zagotovite upravljanje IT 88
 89. 89. ME1: Spremljajte in vrednotite delovanje IT• Uspešno in učinkovito delovanje IT  spremljanje delovanja IT – Opredelitev kazalnikov delovanja – Procesi nadzorovanja, poročanja in ukrepanja• Nenehno izboljševanje delovanja 89
 90. 90. ME2: Spremljajte in vrednotite notranje kontrole• Uspešno in učinkovito delovanje IT  notranje kontrole (presoje) procesov v IT – Samokontrole – Kontrole tretje strani Skladnost izvajanja s• Notranje kontrole kontrolami (z opisi) skladnost z opisi procesov, predpisi, zakonodajo 90
 91. 91. ME3: Zagotovite skladnost z zunanjimi zahtevami• Prepoznavanje – vseh veljavnih zakonov, predpisov in pogodb – ustreznih ravni skladnosti IT• Optimizacija procesov IT za zmanjšanje tveganja Skladnost izvajanja z neskladnosti. zakoni, predpisi, pogodbenimi zahtevami 91
 92. 92. ME4: Zagotovite upravljanje IT• Zagotovitev upravljanja IT uspešnost in učinkovitost IT• Poročanje upravljanju podjetja o upravljanju IT – IT strategija – Tveganja, zmogljivosti• Opredelitev okvirja upravljanja IT Podjetje IT 92
 93. 93. Uporabljena literatura• COBIT Online. Available at: http://www.isaca.org/Template.cfm?Section=COBIT_Online&Template=/C ontentManagement/ContentDisplay.cfm&ContentID=15633 [Accessed March 15, 2010].• Publishing, V.H., 2007. IT Governance based on Cobit 4.1 - A Management Guide 3. ed., Van Haren Publishing.• Hardy, G., 2006. Using IT governance and COBIT to deliver value with IT and respond to legal, regulatory and compliance challenges. Information Security Technical Report, 11(1), 55-61. 93

×