Pranešimas "IT strateginis planas ir COBIT 5 tikslų hierarchija" BKA ir ISACA renginyje "Kaip pagerinti IT valdymą?" Balandžio 9 d., 2015 m. Pranešėjas - ISACA Lietuva valdybos pirmininkas Dainius Jakimavičius
2. IT strateginis planas ir COBIT 5 tikslų
hierarchija
Dainius Jakimavičius, CGEIT
Matematikos mokslų daktaras
Lietuvos Respublikos valstybės kontrolės Informacinių
sistemų ir infrastruktūros audito departamento direktorius
Asociacijos ISACA Lietuva pirmininkas
23. Aukščiausiųjų audito institucijų IT savianalizė
Aukščiausiųjų audito institucijų EUROSAI IT darbo grupės (EUROSAI ITWG) IT
savianalizės projektas nuo 2002 m.
Tikslas – nustatyti svarbiausius veiklos ir IT procesus, įvertinti IT procesų
brandą, naudojant COBIT brandos modelius, korekciniai veiksmai
Lietuvoje :
2003 m. spalio mėn. – 1-as IT savianalizės seminaras
2006 m. gegužės - birželio mėn. – 2-as IT savianalizės seminaras
2015 m. kovo 16-17 d. – 3-ias IT savianalizės seminaras
Didelė imtis svarbiausių AAI veiklos procesų ir IT procesų, jų reitingavimas,
tarpusavio ryšių analizė – visa tai leidžia nustatyti tikslesnę tikslų hierarchiją
23
24. Valstybės kontrolės IT strategija: veiklos tikslai
Valstybės kontrolės veiklos tikslai
• Valstybinio audito proceso tobulinimas
• Valstybinių auditų rezultatų sklaida
• Bendravimo ir bendradarbiavimo plėtojimas
• Valstybinių auditų kokybės tobulinimas
• Valstybės kontrolės veiklos procesų
optimizavimas
• Profesinės kompetencijos didinimas
• Tarptautinio bendradarbiavimo plėtra
Tipiniai viešojo sektoriaus veiklos tikslai *
• Improve customer orientation and service (3,
kliento perspektyva)
• Offer competitive products and services (15,
kliento perspektyva)
• Improve and maintain business process
functionality (5, vidaus (procesų) perspektyva)
• Acquire, develop and maintain skilled and
motivated people (8, mokymosi ir augimo
perspektyva)
* žr. 18 skaidrę “Tikslų hierarchija specifinėms sritims – veikla”
24
26. Veiklos tikslų ir IT tikslų sąsajos
26
Figure 10—Prioritised List of IT Goals for the Government, Utilities and Healthcare Sector
Reitingas* IT tikslai (tipiniai) BSC perspektyva Reitingas
... ... ... ...
2 Align the IT strategy to the business strategy Corporate 24
3 Make sure that IT services are reliable and secure User 13
... ... ... ...
6
Provide service offerings and service levels in line with
business requirements User 21
7
Drive commitment and support of executive
management Corporate 12
... ... ... ...
11 Improve IT’s cost-efficiency Corporate 10
... ... ... ...
13
Acquire, develop and maintain IT skills that respond to
the IT strategy Future 10
... ... ... ...
18
Acquire knowledge and expertise in emerging
technologies for business innovation and optimisation
Future 13
* žr. 19 skaidrę “Tikslų hierarchija specifinėms sritims – IT”
27. Valstybės kontrolės IT strategija: IT tikslai
Valstybės kontrolės strateginiai IT tikslai
• Darni informacinių technologijų plėtra
o IT strateginiai tikslai suderinti su Valstybinio audito strategijoje nustatytais veiklos
tikslais
o IT veikla kasmet svarstoma mažiausiai 4 IT valdymo komiteto posėdžiuose
o Išlaidos IT turtui ir paslaugoms nemažesnės negu 4 proc. VK biudžeto
• Vartotojų poreikius tenkinančios IT paslaugos
o 95 proc. IT paslaugų suteikiamos pagal SLA, OLA
o 80 proc. kompiuterinės įrangos ne senesnė kaip 5 metų
o IT paslaugos vartotojų įvertintos 7 (iš 10) balais.
• Gerąją praktiką atitinkantis IT valdymas
o 5 (iš 11) svarbiausių COBIT IT procesų branda ne mažesnė už 3,
o 6 iš 11 svarbiausių COBIT IT procesų branda ne mažesnė už 2,
COBIT 4.1: PO1, PO2, PO8, PO10, AI1, AI4, AI5, DS1, DS4, DS11, ME1
• Aukšta darbuotojų kompetencija IT srityje
o xx val. VK IT specialistų profesiniam mokymui per metus
o yy val. VK IT naudotojų mokymui per metus
Tipiniai viešojo sektoriaus IT tikslai
• Align the IT strategy to the business strategy
• Drive commitment and support of executive
management
• Improve IT’s cost-efficiency
• Provide service offerings and service levels in line
with business requirements
• Make sure that IT services are reliable and secure
• Acquire, develop and maintain IT skills that respond
to the IT strategy
• Acquire knowledge and expertise in emerging
technologies for business innovation and optimisation
27
28. Tipiniai viešojo sektoriaus IT tikslai ir COBIT 5
COBIT 5 IT tikslai
• Alignment of IT and business strategy (1)
• Commitment of executive management for making
IT-related decisions (3)
• Realised benefits from IT-enabled investments and
services portfolio (5)
• Delivery of IT services in line with business
requirements (7)
• Security of information, processing infrastructure
and applications (10)
• Knowledge, expertise and initiatives for business
innovation (17)
Tipiniai viešojo sektoriaus IT tikslai
• Align the IT strategy to the business strategy (2)
• Drive commitment and support of executive
management (7)
• Improve IT’s cost-efficiency (11)
• Provide service offerings and service levels in line with
business requirements (6)
• Make sure that IT services are reliable and secure (3)
• Acquire, develop and maintain IT skills that respond to
the IT strategy (13)
• Acquire knowledge and expertise in emerging
technologies for business innovation and optimisation (18)
28
29. Tipiniai viešojo sektoriaus IT tikslai ir COBIT 4.1
COBIT 4.1 IT tikslai
• Respond to business requirements in alignment with
the business strategy (1)
• Respond to governance requirements in line with
board direction (2)
• Improve IT's cost-efficiency and its contribution to
business profitability (24)
• Ensure satisfaction of end users with service offerings
and service levels (3)
• Account for and protect all IT assets (14)
• Acquire and maintain IT skills that respond to the IT
strategy (9)
Tipiniai viešojo sektoriaus IT tikslai
• Align the IT strategy to the business strategy (2)
• Drive commitment and support of executive
management (7)
• Improve IT’s cost-efficiency (11)
• Provide service offerings and service levels in line with
business requirements (6)
• Make sure that IT services are reliable and secure (3)
• Acquire, develop and maintain IT skills that respond to
the IT strategy (13)
• Acquire knowledge and expertise in emerging
technologies for business innovation and optimisation (18)
29
30. COBIT 5 IT tikslų ir procesų sąsajos
COBIT 5 IT tikslai
• Alignment of IT and business strategy (1)
• Commitment of executive management for making
IT-related decisions (3)
• Realised benefits from IT-enabled investments and
services portfolio (5)
• Delivery of IT services in line with business
requirements (7)
• Security of information, processing infrastructure and
applications (10)
• Knowledge, expertise and initiatives for business
innovation (17)
COBIT 5 procesai
EDM01 (19/21) Užtikrinti valdymo sistemos
įdiegimą ir priežiūrą
EDM02 (17/22) Užtikrinti naudos sukūrimą
APO02 (17/20,5) Valdyti strategiją
APO08 (17/20.5) Valdyti ryšius
BAI02 (16/18) Valdyti reikalavimų nustatymą
APO01 (16/18,5) Valdyti IT valdymo sistemą
čia (19/22) – proceso ir IT tikslų sąsajų stiprumo
rodiklis :
19 – (1), (3),(7), (10), (17) IT tikslams; P=5, S=2
21 – papildomi balai IT tikslams (5) ir (17) x0,5
30
32. COBIT 4.1 IT tikslų ir procesų sąsajos*
COBIT 4.1 IT tikslai
• Respond to business requirements in alignment with
the business strategy (1)
• Respond to governance requirements in line with
board direction (2)
• Improve IT's cost-efficiency and its contribution to
business profitability (24)
• Ensure satisfaction of end users with service offerings
and service levels (3)
• Account for and protect all IT assets (14)
• Acquire and maintain IT skills that respond to the IT
strategy (9)
COBIT 4.1 procesai
PO1 (10/10) Strateginio IT plano apibrėžimas
PO4 (10/10) IT procesų, organizacinės struktūros ir
ryšių apibrėžimas
PO10 (10/10) Projektų valdymas
DS1 (10/10) Paslaugų lygių apibrėžimas ir valdymas
ME1 (10/10) IT veiklos stebėsena ir vertinimas
čia (10/10) – proceso ir IT tikslų sąsajų stiprumo rodiklis :
10 – (1), (2),(3), (9), (14) IT tikslams; P=5
10 – papildomi balai IT tikslams (9) ir (24) x0,5
Konkrečiu atveju, PO1, PO4, PO10, DS1, ME1 su (9) ir
(24) tikslais nėra susieti, tai papildomų taškų nėra
* COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 1 priedas “IT tikslų ir IT procesų susiejimas”, 170 psl.
32
33. Pagrindiniai Valstybės kontrolės IT procesai
Galutinis COBIT 4.1 procesų sąrašas
Svarbiausieji
• PO1 Strateginio IT plano apibrėžimas
• PO10 Projektų valdymas
• DS1 Paslaugų lygių apibrėžimas ir valdymas
• DS4 Nepertraukiamo paslaugų teikimo užtikrinimas
• ME1 IT veiklos stebėsena ir vertinimas
Mažiau svarbūs
• PO2 Informacinės architektūros nustatymas
• PO8 Kokybės valdymas
• AI1 Automatizuotų sprendimų nustatymas
• AI4 Pasirengimas naudojimui
• AI5 IT išteklių įsigijimas
• DS11 Duomenų valdymas
PO1, PO10, DS1, DS4, ME1
PO2, PO8, AI1, AI4, AI5, DS11
33
34. COBIT 4.1 procesų modelis: PO1
Kontrolės tikslai (control objectives) – reikalavimai, į kuriuos vadovai turi atsižvelgti siekdami
rezultatyvios kiekvieno IT proceso kontrolės (arba kurių atžvilgiu vertinamas kontrolės rezultatyvumas)
COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 30 psl.
34
35. COBIT 4.1 procesų modelis: PO1
Pagrindinės priemonės, skirtos tikslams pasiekti, ir atsakomybių (RACI) lentelė
COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 31 psl.
35
36. COBIT 4.1 procesų modelis: PO1
COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 31 psl.
IT tikslų, proceso ir priemonių pavyzdžiai ir (tikslo pasiekimo) vertinimo kriterijai
36
43. COBIT 4.1 bendrinis brandos modelis
43
COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 19 psl.
44. COBIT 4.1 brandos modelio 6 perspektyvos
44
COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 19 psl.
45. COBIT 4.1 proceso PO1 brandos modelis (1)
45
COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 32 psl.
PO1 Strateginio IT plano apibrėžimas
Proceso Strateginio IT plano apibrėžimas valdymas, atitinkantis IT veiklos poreikį sustiprinti ar išplėsti veiklos
strategiją ir valdymo reikalavimus skaidriai pateikiant naudą, sąnaudas ir riziką, yra:
0 Neegzistuojantis, kai IT strateginis planavimas nevykdomas. Vadovybė nemano, jog IT strateginis
planavimas reikalingas veiklos tikslams palaikyti.
1 Pirminis / Ad Hoc, kai IT vadovybė supranta IT strateginio planavimo poreikį. IT planavimas
vykdomas esant reikalui pagal konkretų veiklos poreikį. IT strateginis planavimas retkarčiais aptariamas
per IT vadovybės susirinkimus. Veiklos poreikiai, taikomosios programos ir technologijos derinamos
reaguojant į poreikius, o ne pagal visos organizacijos strategiją. Pavieniuose projektuose neformaliu
būdu nustatoma strateginės rizikos pozicija.
2 Pasikartojantis, bet intuityvus, kai IT strateginis planavimas esant reikalui vykdomas kartu su veiklos
vadovais. IT planai atnaujinami vadovybės prašymu. Strateginiai sprendimai įgyvendinami atskirais
projektais nebūtinai suderinus su bendra organizacijos strategija. Pagrindinių strateginių sprendimų
rizika ir nauda naudotojui suprantamos intuityviai.
46. COBIT 4.1 proceso PO1 brandos modelis (2)
46
COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 32 psl.
3 Apibrėžtas, kai politika apibrėžia, kada ir kaip atlikti IT strateginį planavimą. IT strateginis planavimas
vykdomas laikantis struktūrinio metodo, kuris yra dokumentuotas ir žinomas visiems darbuotojams. IT
planavimo procesas yra pagrįstas ir užtikrina, kad planavimas greičiausiai bus atliktas tinkamai. Tačiau
individualiems vadovams suteikiama veiksmų laisvė įgyvendinti procesą ir nėra procedūrų jį patikrinti.
Bendrojoje IT strategijoje nuosekliai apibrėžiama rizika, kurią organizacija nori prisiimti kaip novatorė
arba sekėja. IT finansinė, techninė ir žmogiškųjų išteklių valdymo strategija daro vis didesnę įtaką
įsigyjant naujus produktus ir technologijas. IT strateginis planavimas aptariamas veiklos vadovybės
susirinkimuose.
4 Valdomas ir vertinamas, kai IT strateginis planavimas yra standartinė veiklos praktika, o netinkamą
jos vykdymą vadovybė tikrai pastebėtų. IT strateginis planavimas yra apibrėžta aukštesnio lygio vadovų
funkcija. Vadovai gali stebėti IT strateginio planavimo procesą, remdamiesi stebėsenos duomenimis,
priimti kompetentingus sprendimus ir vertinti jo rezultatyvumą. Visos organizacijos mastu vykdomas
tiek trumpalaikis, tiek ilgalaikis IT planavimas ir esant reikalui procesas kartojamas. IT strategija ir
organizacijos strategija vis labiau derinamos, atsižvelgiant į veiklos procesus ir pridėtinę vertę
teikiančius gebėjimus bei efektyviai panaudojant taikomąsias programas ir technologijas
perprojektuojant veiklos procesus. Sukurtas gerai apibrėžtas procesas, nustatantis sistemos kūrimui ir
operacijoms reikalingų vidaus ir išorės išteklių naudojimą.
47. COBIT 4.1 proceso PO1 brandos modelis (3)
47
COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 32 psl.
5 Optimalus, kai IT strateginis planavimas yra dokumentuotas, gyvas procesas, į kurį nuolat
atsižvelgiama nustatant veiklos tikslus ir kurio rezultatas – pastebima nauda veiklai per investicijas į IT.
Rizikos ir pridėtinės vertės aptarimas nuolat atnaujinamas IT strateginio
planavimo procese. Realistiniai ilgalaikiai IT planai kuriami ir nuolat atnaujinami, kad atspindėtų
besikeičiančias technologines ir veiklos aplinkybes. Atliekama lyginamoji analizė pagal gerai
suprantamas ir patikimas sektoriaus normas, ji integruojama į strategijos formavimo procesą.
Strateginiame plane aptariama, kaip technologijų naujovės gali skatinti naujų veiklos gebėjimų kūrimą
ir gerinti organizacijos konkurencinį pranašumą.
48. Brandos vertinimas
48
COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 18 psl.
Brandos modelis leidžia įvertinti, kokį kokybės lygį yra pasiekę procesai, t.y., koks
faktinis jų pajėgumas. Kokį kokybės ar pajėgumo lygį jie turi pasiekti, pirmiausia
priklauso nuo IT tikslų ir su jais susijusių veiklos poreikių
49. Brandos vertinimas
49
Pasiekus norimą procesų brandą - žemiausiame - IT strateginio plano
įgyvendinimo priemonių plano lygmenyje, tikslų hierarchija užtikrina, kad :
• įgyvendinus visus numatytus proceso priemonių tikslus, bus tinkamai
įgyvendintas aukštesnis hierarchinis tikslas – proceso tikslas
• įgyvendinus visus numatytus procesų tikslus, bus tinkamai įgyvendinti
aukštesni hierarchiniai tikslai – IT ir veiklos tikslai
54. Daugiau apie COBIT
Asociacijos ISACA Lietuva interneto svetainėje
http://www.isaca.org/chapters1/Lithuania/COBIT/Pages/default.aspx
ISACA interneto svetainėje http://www.isaca.org/cobit/pages/default.aspx
Lietuvių kalba:
• COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, 2011 m.
(nemokamai, reikalinga registracija) http://www.isaca.org/Knowledge-
Center/cobit/Pages/Downloads.aspx
• COBIT 5. Organizacijos IT valdymo ir vadovavimo metodika, 2013 m. (nemokamai,
reikalinga registracija) http://www.isaca.org/COBIT/Pages/COBIT-5-lithuanian.aspx
• COBIT 5. Įgyvendinimas, 2014 m. (nemokamai ISACA nariams)
http://www.isaca.org/COBIT/Pages/COBIT-5-lithuanian.aspx
54