2. 2
Коротко про ISACA
• Назалежна міжнарождна професійна асоціація
• Місія - створення та просування знань і кращих практик для створення
цінності від та довіри до інформаційних технологій організацій
• Cobit - еталонна, універсальна модель управління ІТ організації
• Настанови з різних питань управління ІТ, ІТ-аудиту та безпеки, а також
актуальних технологій - хмари, blockchain, дрони, mobile, та ін.
• Міжнародні професійні сертифікації:
− Управління корпоративними ІТ - CGEIT®
− ІТ Аудит і Ризик Менеджмент - CISA®
, CRISC™
− Кібербезпека - CSX®
, CISM®
• В Україні з 2008р. Перекладено ряд настанов, розроблено
законопроект, проведено тренінги з кібербезпеки для державних
організацій, організовано підготовку до іспитів, робота в громадських
радах
з 1969 року
понад 200 відділень по всьому світу
більше 115 000 членів у 180 країнах світу
“СТВОРЕННЯ ЦІННОСТІ ТА ДОВІРИ ДО ІТ”“
3. 3
Зміст
• Top-10 операційних ризиків
• Приклади катастроф та проблем пов’язаних з ІТ
• Неефективність при закупівлях та впровадженні ІТ-систем
• Важливі питання які необхідно контролювати
• Механізми контролю
• Розподіл повноважень
• Приклад - централізований процес ІТ-закупівель
• Інструменти
• Корисні матеріали
4. 4
Тор 10 операційних ризиків згідно risk.net*
#1 Кібербезпека та захист даних
#2 Регуляторні ризики
#3 Аутсорсинг функцій
#4 Геополітичні ризики
#5 Непрофесійна поведінка
#6 Організаційні зміни
#7 Відмова ІТ
#8 Боротьба з відмиванням коштів
#9 Шахрайство
#10 Фізична атака
* http://www.risk.net/risk-management/operational-risk/2480528/top-10-operational-risks-for-2017
5. 5
Приклади катастроф та проблем пов’язаних з ІТ
• Фіаско через нездатність адаптації інновацій (Kodak, Nokia,
та ін.)
• Відставання від конкурентів через недостатню гнучкість
власних ІТ
• Вимивання коштів під прикриттям впровадження ERP-
системи
• Банкрутство компанії через нездатність контролювати
витрати, пов’язані із масштабним ІТ-проектом
• Екологічна катастрофа
• Знищення бізнесу через масштабну кібератаку
• Нездатність інтегрувати компанію після її придбання
6. 6
Неефективність при закупівлі та впровадженні ІТ-систем
• Впровадження системи не принесе суттєвих бізнес-
переваг
• Завищена вартість - вендор знав, що альтернативи не
розглядаються під час переговорів
• Не використовуються механізми мотивації постачальника
(відтермінування платежів, прив’язка до етапів тощо)
• Закупаються модулі системи, які не потрібні організації
• Впровадження починається з найменш потрібного
функіоналу
• Відсутність виділеної команди, мотивації, недостатнє
залучення керівництва, незалежний контроль якості
• Відсутність управління організаційними змінами
7. 7
Важливі питання які необхідно контролювати
• Отримання конкурентної переваги за допомогою ІТ та
використання інновацій
• Належна підтримка стратегії бізнесу з боку ІТ
• Отримання очікуваних переваг від інвестицій в ІТ
• Відповідальне використання ІТ-ресурсів
• Контроль ризиків пов’язаних з ІТ
Ці питання необхідно контролювати на етапах планування,
вибору, впровадження та експлуатації ІТ організації
8. 8
Механізми контролю
• Стратегія розвитку ІТ, узгоджена з бізнес-стратегією
• Показники ефективності (KPIs)
• Принципи, політики і внутрішні стандарти для планування,
придбання, впровадження, експлуатації ІТ
• Належний розподіл повноважень щодо ключових питань ІТ
• Організаційні структури та процеси
• Комітети для колегіального напрацювання рішень
• Інформованість відповідальних осіб щодо їхніх обов’язків
• Культура, етика та поведінка
• Система управління ризиками та внутрішнього контролю
• Кращі практики проектного управління та контролю
• Залучення аудиту та незалежних експертів
9. 9
Традиційно - недостатньо уваги з боку керівництва до
питань ІТ-Управління
Чому?
• Брак необхідних компетенцій
• ІТ часто розглядаються відокремлено від бізнесу
• Вимагає широких знань для розуміння додаткових
можливостей та ризиків, пов’язаних з ІТ для організації
Управління ІТ є складовою частиною корпоративного
управління. Наглядова рада та вище керівництво
організації несуть відповідальність за належне управління ІТ
11. 11
Розподіл повноважень
Наглядова рада
• Розуміння поточної ситуації в ІТ,
та потенціалу використання ІТ в
організації
• Визначення пріоритетів та
стратегічного напрямку
• Затвердження стратегії ІТ
• Впевненість щодо
відповідального використання
ресурсів те ефективного
управління ІТ
• Контроль ключових ризиків пов’
язаних з ІТ
• Загальний контроль
відповідності ІТ до цільових
показників (KPIs)
Керівництво організації
• Формування ІТ стратегії у
відповідності до бізнес-стратегії
• Реалізація бізнес-стратегії,
включаючи відповідні плани
розвитку ІТ
• Приведення ІТ-організації у
відповідність до цілей підприємства
• Впровадження системи управління
ризиками ІТ та системи
вимірювання ключових показників
ІТ, звітування наглядовій раді
• Впровадження ефективних процесів
ІТ-менеджменту
• Ефективний вибір постачальників ІТ
12. 12
Інші важливі функції та ролі
CIO (Chief Information Officer)
• член управлінської команди,
відповідальний за ІТ
• зв’язуючий ланцюг між бізнесом
і ІТ
• керівник ІТ-функції
CISO (Chief Information Security
Officer) та функція інформаційної
безпеки
Незалежний аудит ІТ
Ризик мемеджмент ІТ
Кризова команда
• Представники вищого керівництва
та ключових функцій
• Обговорення та прийняття
важливих рішень під час
інцидентів
• Кризові сценарії
Комітети для напрацювання та/або
затвердження важливих рішень
• З ІТ-Розвитку та Архітектури
• З ІТ Ризиків
• З Інформаційної Безпеки
PMO
• Проектний офіс
13. 13
Приклад - централізація ІТ-закупівель в групі компаній
(1/3)
Цілі політики
● Контроль обґрунтованості закупівель і узгодженості із планом
розвитку групи підприємств
● Зниження вартості великих проектів та ризиків пов’язаних з їх
реалізацією
● Отримання додаткових суттєвих знижок за рахунок обсягів
закупівлі та забезпечення оптимальних умов поставки та
впровадження
● Попередження можливих зловживань
● Вибір постачальників проводиться ІТ комітетом Групи
компаній, який включає в себе CIO, представників підприємств,
сдужб безпеки та закупівель
14. 14
Приклад - централізація ІТ-закупівель в групі компаній
(2/2)
1 2 3 4 5
1. Перевірка
обґрунтованості
планів закупівель
та виключення
необґрунтованих
закупівель
2. Консолідація
потреб в закупівлях
ІТ всіх підприємств
групи
3. Визначення
групових
стандартів
обладнання, ПЗ та
послуг ІТ, які
закупаються
1. Зниження вартості
завдяки масштабу
закупівлі
2. Забезпечення
прозорості процесу,
проведення
відкритих торгів із
залученням
представників
підприємств
3. Застосування
зрілих методологій
вибору великих ІТ-
рішень
4. Робота напряму
ведорами, без
посередників
5. Участь кращих
постачальників
(світових брендів)
1. Зниження рівня
початкових
інвестицій за
рахунок
використання
аренди/
аутсорсінгу
2. Відтермінування
оплати до
завершення
впровадження
системи
3. Рівні дисконтів та
стандарти якості
зафіксовані в
групових
рамкових
договорах
1. Регулярна оцінка
якості закуплених
ІТ
2. Відмова
працювати з
постачальниками
неякісного товару
3. Постійний
моніторинг ринку
та регулярний
перегляд цін
4. Незалежний
контроль якості
великих проектів
1. Контроль строків
постачання
2. Стандартизація
обліку витрат ІТ
3. Відслідковування
фактичного
обсягу ІТ-витрат
15. 15
Приклад - централізація ІТ-закупівель в групі компаній
(3/3)
Матриця відповідальності для великих проектів
Етап закупівлі
Наглядова
рада
CIO Підприємство
Підготовка техніко-економічного
обґрунтування для великих ІТ та
ІТ-залежних проектів
Затвердження Узгодження Відповідальний
Розробка цільової архітектури,
вимог та критеріїв вибору
постачальника *
Затвердження Узгодження Відповідальний
Проведення тендеру з вибору ІТ-
рішення на основі методології
керуючої компанії
Затвердження Узгодження Відповідальний
Застосування положень
договорів, обов’язкових при
впровадженні систем
Інформується Відповідальний
Контроль якості під час
спровадження та прийомки *
Інформується Узгодження Відповідальний
Для проектів млн дол США вимоги критерії вибору та технічне завдання розробляється
незалежною стороною яка не залучена до впровадження Контроль якості впровадження проводить
16. 16
Інструменти які можуть допомогти
• Cobit - управління та менеджмент ІТ
• NIST Cybersecurity Guide - кібербезпека
• ISO-27001 - інформаційна безпека
• PMBOK - управління проектами
• Міжнародні професійні сертифікації для ключового
персоналу
• Залучення незалежних радників
17. 17
Cobit - еталонна модель процесів ІТ
• Управління, Планування, Вибір, Впровадження, Експлуатація,
Перевірка
• Еталонна модель ризиків ІТ та відповідних механізмів контролю
• Універсальний інструмент, розроблений на основі COSO, з
урахуванням ISO27001, ITIL та ін. стандартів
• Моделі організаційних структур та матриць відповідальності (RACI
Charts), KPIs
• Доступний безкоштовно, українською
18. 18
Cobit узгоджений з моделлю COSO
PO
ME
AI
DS
PO
PO
AI
DS
ME
IT
Business Activity 2
Business Activity 1
Business Unit 2
Business Unit 1
MonitoringMonitoring
Information &
Communicatio
n
Information &
Communicatio
n
Control ActivitiesControl Activities
Risk AssessmentRisk Assessment
Control EnvironmentControl Environment
COSO Integrated
Framework з внутрішнього
контролю
MonitoringMonitoring
Information &
Communicatio
n
Information &
Communicatio
n
Control ActivitiesControl Activities
Risk AssessmentRisk Assessment
Control EnvironmentControl Environment
COBIT Integrated
Internal Control
Framework
IT process 1
IT process 2
IT process 3
IT process 4
19. 19
Корисні матеріали
• Cobit
http://www.isaca.org/Knowledge-Center/cobit/Documents/COBIT-4-1-Ukr
ainian.pdf
• Board Briefing on IT Governance
https://www.oecd.org/site/ictworkshops/year/2006/37599342.pdf
• Настанови з Кібербезпеки від експертів
http://www.isaca.org.ua/index.php/press-center/news/191-translation-of-g
uidelines-on-cybersecurity
• ITAF – Методологія аудиту інформаційних систем -
http://www.isaca.org.ua/index.php/homepage/download/category/13-itaf?
download=21:itaf-3rd-eng
• Впровадження Європейської Кібербезпеки
http://www.isaca.org/Knowledge-Center/Research/Documents/European-
Cybersecurity-Implementation-Overview_res_Ukr_1215.pdf
• Міжнародна сертифікація
http://www.isaca.org/certification/pages/default.aspx