SlideShare a Scribd company logo

IT questions on the Supervisory Board Agenda

Alexey Yankovski
Alexey Yankovski

IT Governance for Supervisory and Executive Boards

Government & Nonprofit
1 of 20
Питання Інформаційних Технологій на порядку денному Правління та Наглядової Ради Червень 2017 Олексій Янковський ISACA Kyiv Chapter
2 Коротко про ISACA • Назалежна міжнарождна професійна асоціація • Місія - створення та просування знань і кращих практик для створення цінності від та довіри до інформаційних технологій організацій • Cobit - еталонна, універсальна модель управління ІТ організації • Настанови з різних питань управління ІТ, ІТ-аудиту та безпеки, а також актуальних технологій - хмари, blockchain, дрони, mobile, та ін. • Міжнародні професійні сертифікації: − Управління корпоративними ІТ - CGEIT® − ІТ Аудит і Ризик Менеджмент - CISA® , CRISC™ − Кібербезпека - CSX® , CISM® • В Україні з 2008р. Перекладено ряд настанов, розроблено законопроект, проведено тренінги з кібербезпеки для державних організацій, організовано підготовку до іспитів, робота в громадських радах з 1969 року понад 200 відділень по всьому світу більше 115 000 членів у 180 країнах світу “СТВОРЕННЯ ЦІННОСТІ ТА ДОВІРИ ДО ІТ”“
3 Зміст • Top-10 операційних ризиків • Приклади катастроф та проблем пов’язаних з ІТ • Неефективність при закупівлях та впровадженні ІТ-систем • Важливі питання які необхідно контролювати • Механізми контролю • Розподіл повноважень • Приклад - централізований процес ІТ-закупівель • Інструменти • Корисні матеріали
4 Тор 10 операційних ризиків згідно risk.net* #1 Кібербезпека та захист даних #2 Регуляторні ризики #3 Аутсорсинг функцій #4 Геополітичні ризики #5 Непрофесійна поведінка #6 Організаційні зміни #7 Відмова ІТ #8 Боротьба з відмиванням коштів #9 Шахрайство #10 Фізична атака * http://www.risk.net/risk-management/operational-risk/2480528/top-10-operational-risks-for-2017
5 Приклади катастроф та проблем пов’язаних з ІТ • Фіаско через нездатність адаптації інновацій (Kodak, Nokia, та ін.) • Відставання від конкурентів через недостатню гнучкість власних ІТ • Вимивання коштів під прикриттям впровадження ERP- системи • Банкрутство компанії через нездатність контролювати витрати, пов’язані із масштабним ІТ-проектом • Екологічна катастрофа • Знищення бізнесу через масштабну кібератаку • Нездатність інтегрувати компанію після її придбання
6 Неефективність при закупівлі та впровадженні ІТ-систем • Впровадження системи не принесе суттєвих бізнес- переваг • Завищена вартість - вендор знав, що альтернативи не розглядаються під час переговорів • Не використовуються механізми мотивації постачальника (відтермінування платежів, прив’язка до етапів тощо) • Закупаються модулі системи, які не потрібні організації • Впровадження починається з найменш потрібного функіоналу • Відсутність виділеної команди, мотивації, недостатнє залучення керівництва, незалежний контроль якості • Відсутність управління організаційними змінами
7 Важливі питання які необхідно контролювати • Отримання конкурентної переваги за допомогою ІТ та використання інновацій • Належна підтримка стратегії бізнесу з боку ІТ • Отримання очікуваних переваг від інвестицій в ІТ • Відповідальне використання ІТ-ресурсів • Контроль ризиків пов’язаних з ІТ Ці питання необхідно контролювати на етапах планування, вибору, впровадження та експлуатації ІТ організації
8 Механізми контролю • Стратегія розвитку ІТ, узгоджена з бізнес-стратегією • Показники ефективності (KPIs) • Принципи, політики і внутрішні стандарти для планування, придбання, впровадження, експлуатації ІТ • Належний розподіл повноважень щодо ключових питань ІТ • Організаційні структури та процеси • Комітети для колегіального напрацювання рішень • Інформованість відповідальних осіб щодо їхніх обов’язків • Культура, етика та поведінка • Система управління ризиками та внутрішнього контролю • Кращі практики проектного управління та контролю • Залучення аудиту та незалежних експертів
9 Традиційно - недостатньо уваги з боку керівництва до питань ІТ-Управління Чому? • Брак необхідних компетенцій • ІТ часто розглядаються відокремлено від бізнесу • Вимагає широких знань для розуміння додаткових можливостей та ризиків, пов’язаних з ІТ для організації Управління ІТ є складовою частиною корпоративного управління. Наглядова рада та вище керівництво організації несуть відповідальність за належне управління ІТ
10 Роль акціонера, наглядової ради, вищого керівництва
11 Розподіл повноважень Наглядова рада • Розуміння поточної ситуації в ІТ, та потенціалу використання ІТ в організації • Визначення пріоритетів та стратегічного напрямку • Затвердження стратегії ІТ • Впевненість щодо відповідального використання ресурсів те ефективного управління ІТ • Контроль ключових ризиків пов’ язаних з ІТ • Загальний контроль відповідності ІТ до цільових показників (KPIs) Керівництво організації • Формування ІТ стратегії у відповідності до бізнес-стратегії • Реалізація бізнес-стратегії, включаючи відповідні плани розвитку ІТ • Приведення ІТ-організації у відповідність до цілей підприємства • Впровадження системи управління ризиками ІТ та системи вимірювання ключових показників ІТ, звітування наглядовій раді • Впровадження ефективних процесів ІТ-менеджменту • Ефективний вибір постачальників ІТ
12 Інші важливі функції та ролі CIO (Chief Information Officer) • член управлінської команди, відповідальний за ІТ • зв’язуючий ланцюг між бізнесом і ІТ • керівник ІТ-функції CISO (Chief Information Security Officer) та функція інформаційної безпеки Незалежний аудит ІТ Ризик мемеджмент ІТ Кризова команда • Представники вищого керівництва та ключових функцій • Обговорення та прийняття важливих рішень під час інцидентів • Кризові сценарії Комітети для напрацювання та/або затвердження важливих рішень • З ІТ-Розвитку та Архітектури • З ІТ Ризиків • З Інформаційної Безпеки PMO • Проектний офіс
13 Приклад - централізація ІТ-закупівель в групі компаній (1/3) Цілі політики ● Контроль обґрунтованості закупівель і узгодженості із планом розвитку групи підприємств ● Зниження вартості великих проектів та ризиків пов’язаних з їх реалізацією ● Отримання додаткових суттєвих знижок за рахунок обсягів закупівлі та забезпечення оптимальних умов поставки та впровадження ● Попередження можливих зловживань ● Вибір постачальників проводиться ІТ комітетом Групи компаній, який включає в себе CIO, представників підприємств, сдужб безпеки та закупівель
14 Приклад - централізація ІТ-закупівель в групі компаній (2/2) 1 2 3 4 5 1. Перевірка обґрунтованості планів закупівель та виключення необґрунтованих закупівель 2. Консолідація потреб в закупівлях ІТ всіх підприємств групи 3. Визначення групових стандартів обладнання, ПЗ та послуг ІТ, які закупаються 1. Зниження вартості завдяки масштабу закупівлі 2. Забезпечення прозорості процесу, проведення відкритих торгів із залученням представників підприємств 3. Застосування зрілих методологій вибору великих ІТ- рішень 4. Робота напряму ведорами, без посередників 5. Участь кращих постачальників (світових брендів) 1. Зниження рівня початкових інвестицій за рахунок використання аренди/ аутсорсінгу 2. Відтермінування оплати до завершення впровадження системи 3. Рівні дисконтів та стандарти якості зафіксовані в групових рамкових договорах 1. Регулярна оцінка якості закуплених ІТ 2. Відмова працювати з постачальниками неякісного товару 3. Постійний моніторинг ринку та регулярний перегляд цін 4. Незалежний контроль якості великих проектів 1. Контроль строків постачання 2. Стандартизація обліку витрат ІТ 3. Відслідковування фактичного обсягу ІТ-витрат
15 Приклад - централізація ІТ-закупівель в групі компаній (3/3) Матриця відповідальності для великих проектів Етап закупівлі Наглядова рада CIO Підприємство Підготовка техніко-економічного обґрунтування для великих ІТ та ІТ-залежних проектів Затвердження Узгодження Відповідальний Розробка цільової архітектури, вимог та критеріїв вибору постачальника * Затвердження Узгодження Відповідальний Проведення тендеру з вибору ІТ- рішення на основі методології керуючої компанії Затвердження Узгодження Відповідальний Застосування положень договорів, обов’язкових при впровадженні систем Інформується Відповідальний Контроль якості під час спровадження та прийомки * Інформується Узгодження Відповідальний Для проектів млн дол США вимоги критерії вибору та технічне завдання розробляється незалежною стороною яка не залучена до впровадження Контроль якості впровадження проводить
16 Інструменти які можуть допомогти • Cobit - управління та менеджмент ІТ • NIST Cybersecurity Guide - кібербезпека • ISO-27001 - інформаційна безпека • PMBOK - управління проектами • Міжнародні професійні сертифікації для ключового персоналу • Залучення незалежних радників
17 Cobit - еталонна модель процесів ІТ • Управління, Планування, Вибір, Впровадження, Експлуатація, Перевірка • Еталонна модель ризиків ІТ та відповідних механізмів контролю • Універсальний інструмент, розроблений на основі COSO, з урахуванням ISO27001, ITIL та ін. стандартів • Моделі організаційних структур та матриць відповідальності (RACI Charts), KPIs • Доступний безкоштовно, українською
18 Cobit узгоджений з моделлю COSO PO ME AI DS PO PO AI DS ME IT Business Activity 2 Business Activity 1 Business Unit 2 Business Unit 1 MonitoringMonitoring Information & Communicatio n Information & Communicatio n Control ActivitiesControl Activities Risk AssessmentRisk Assessment Control EnvironmentControl Environment COSO Integrated Framework з внутрішнього контролю MonitoringMonitoring Information & Communicatio n Information & Communicatio n Control ActivitiesControl Activities Risk AssessmentRisk Assessment Control EnvironmentControl Environment COBIT Integrated Internal Control Framework IT process 1 IT process 2 IT process 3 IT process 4
19 Корисні матеріали • Cobit http://www.isaca.org/Knowledge-Center/cobit/Documents/COBIT-4-1-Ukr ainian.pdf • Board Briefing on IT Governance https://www.oecd.org/site/ictworkshops/year/2006/37599342.pdf • Настанови з Кібербезпеки від експертів http://www.isaca.org.ua/index.php/press-center/news/191-translation-of-g uidelines-on-cybersecurity • ITAF – Методологія аудиту інформаційних систем - http://www.isaca.org.ua/index.php/homepage/download/category/13-itaf? download=21:itaf-3rd-eng • Впровадження Європейської Кібербезпеки http://www.isaca.org/Knowledge-Center/Research/Documents/European- Cybersecurity-Implementation-Overview_res_Ukr_1215.pdf • Міжнародна сертифікація http://www.isaca.org/certification/pages/default.aspx
20 Контактна інформація Олексій Янковський +38-050-315-7995 a.yankovski@isaca.org.ua https://www.facebook.com/Kyiv.ISACA/

Recommended

Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)Anastasiia Konoplova
 
Кваліфікаційні характеристики для ІТ-провесій
Кваліфікаційні характеристики для ІТ-провесійКваліфікаційні характеристики для ІТ-провесій
Кваліфікаційні характеристики для ІТ-провесійAlexey Yankovski
 
YVG Consulting - Послуги
YVG Consulting - ПослугиYVG Consulting - Послуги
YVG Consulting - ПослугиYuriy Gudz
 
YVG Consulting - ІТ Аудит
YVG Consulting - ІТ АудитYVG Consulting - ІТ Аудит
YVG Consulting - ІТ АудитYuriy Gudz
 
Uisg itgov 8_i_taudit
Uisg itgov 8_i_tauditUisg itgov 8_i_taudit
Uisg itgov 8_i_taudituisgslide
 
18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna Ivchenko18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna IvchenkoAnastasiia Konoplova
 
Процес розробки ф’ючерсного контракту
Процес розробки ф’ючерсного контрактуПроцес розробки ф’ючерсного контракту
Процес розробки ф’ючерсного контрактуНаціональна комісія з цінних паперів та фондового ринку
 
Проекти в ІТ.pptx
Проекти в ІТ.pptxПроекти в ІТ.pptx
Проекти в ІТ.pptxManagement department, SSU
 

Recommended

Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)Anastasiia Konoplova
 
Кваліфікаційні характеристики для ІТ-провесій
Кваліфікаційні характеристики для ІТ-провесійКваліфікаційні характеристики для ІТ-провесій
Кваліфікаційні характеристики для ІТ-провесійAlexey Yankovski
 
YVG Consulting - Послуги
YVG Consulting - ПослугиYVG Consulting - Послуги
YVG Consulting - ПослугиYuriy Gudz
 
YVG Consulting - ІТ Аудит
YVG Consulting - ІТ АудитYVG Consulting - ІТ Аудит
YVG Consulting - ІТ АудитYuriy Gudz
 
Uisg itgov 8_i_taudit
Uisg itgov 8_i_tauditUisg itgov 8_i_taudit
Uisg itgov 8_i_taudituisgslide
 
18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna Ivchenko18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna IvchenkoAnastasiia Konoplova
 
Процес розробки ф’ючерсного контракту
Процес розробки ф’ючерсного контрактуПроцес розробки ф’ючерсного контракту
Процес розробки ф’ючерсного контрактуНаціональна комісія з цінних паперів та фондового ринку
 
Проекти в ІТ.pptx
Проекти в ІТ.pptxПроекти в ІТ.pptx
Проекти в ІТ.pptxManagement department, SSU
 
ITIL (ukr)
ITIL (ukr)ITIL (ukr)
ITIL (ukr)Anatoliy Okhotnikov
 
Global Compact Communication on progress: basic and advanced levels
Global Compact Communication on progress: basic and advanced levelsGlobal Compact Communication on progress: basic and advanced levels
Global Compact Communication on progress: basic and advanced levelsAnna Danylyuk
 
Корпоративне управління у фінансовому секторі. Сектор професійних учасників р...
Корпоративне управління у фінансовому секторі. Сектор професійних учасників р...Корпоративне управління у фінансовому секторі. Сектор професійних учасників р...
Корпоративне управління у фінансовому секторі. Сектор професійних учасників р...Національна комісія з цінних паперів та фондового ринку
 
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...uisgslide
 
Основні положення професійної практики аудиту та підтвердження довіри до інфо...
Основні положення професійної практики аудиту та підтвердження довіри до інфо...Основні положення професійної практики аудиту та підтвердження довіри до інфо...
Основні положення професійної практики аудиту та підтвердження довіри до інфо...IsacaKyiv
 
стандартизація лекція 4
стандартизація лекція 4стандартизація лекція 4
стандартизація лекція 4galushko29
 
R&D Promo.ppsx
R&D Promo.ppsxR&D Promo.ppsx
R&D Promo.ppsxSerhii Koromyslo
 
Бізнес_процеси_М1_Процесна_структура_підприємства_29.pptx
Бізнес_процеси_М1_Процесна_структура_підприємства_29.pptxБізнес_процеси_М1_Процесна_структура_підприємства_29.pptx
Бізнес_процеси_М1_Процесна_структура_підприємства_29.pptxRostyslavDmytruk
 
Viktoriia Honcharova: PMO Tools and Technologies (UA)
Viktoriia Honcharova: PMO Tools and Technologies (UA)Viktoriia Honcharova: PMO Tools and Technologies (UA)
Viktoriia Honcharova: PMO Tools and Technologies (UA)Lviv Startup Club
 
Кращі практики ТК 185 в стандартизації
Кращі практики ТК 185 в стандартизаціїКращі практики ТК 185 в стандартизації
Кращі практики ТК 185 в стандартизаціїAPPAU_Ukraine
 
YVG Consulting - Яким має бути Звіт по роботі ІБ для керівництва
YVG Consulting - Яким має бути Звіт по роботі ІБ для керівництваYVG Consulting - Яким має бути Звіт по роботі ІБ для керівництва
YVG Consulting - Яким має бути Звіт по роботі ІБ для керівництваYuriy Gudz
 
контролінг інвестиційних проектів
контролінг інвестиційних проектівконтролінг інвестиційних проектів
контролінг інвестиційних проектівav47840
 
Viktoriia Honcharova: PMO Tools and Technologies (UA)
Viktoriia Honcharova: PMO Tools and Technologies (UA)Viktoriia Honcharova: PMO Tools and Technologies (UA)
Viktoriia Honcharova: PMO Tools and Technologies (UA)Lviv Startup Club
 
Bas consulting for_it_conference_(by_po)
Bas consulting for_it_conference_(by_po)Bas consulting for_it_conference_(by_po)
Bas consulting for_it_conference_(by_po)Nick Turunov
 
Результати проекту aCampus
Результати проекту aCampusРезультати проекту aCampus
Результати проекту aCampusAPPAU_Ukraine
 
Denis Shemyakin: Communication and Stakeholder Engagement (UA)
Denis Shemyakin: Communication and Stakeholder Engagement (UA)Denis Shemyakin: Communication and Stakeholder Engagement (UA)
Denis Shemyakin: Communication and Stakeholder Engagement (UA)Lviv Startup Club
 
Ключові рекомендації для підвищення ефективності операційної моделі НКЦПФР
Ключові рекомендації для підвищення ефективності операційної моделі НКЦПФРКлючові рекомендації для підвищення ефективності операційної моделі НКЦПФР
Ключові рекомендації для підвищення ефективності операційної моделі НКЦПФРНаціональна комісія з цінних паперів та фондового ринку
 
Nikita Zahurdaiev: Developing PMO Services and Functions (UA)
Nikita Zahurdaiev: Developing PMO Services and Functions (UA)Nikita Zahurdaiev: Developing PMO Services and Functions (UA)
Nikita Zahurdaiev: Developing PMO Services and Functions (UA)Lviv Startup Club
 
Shaping future of internal audit with IT
Shaping future of internal audit with ITShaping future of internal audit with IT
Shaping future of internal audit with ITAnastasiia Konoplova
 
СЕРГІЙ РУСІНЧУК «Телефонуйте 911, наша якість погіршується, пан Аудит тут для...
СЕРГІЙ РУСІНЧУК «Телефонуйте 911, наша якість погіршується, пан Аудит тут для...СЕРГІЙ РУСІНЧУК «Телефонуйте 911, наша якість погіршується, пан Аудит тут для...
СЕРГІЙ РУСІНЧУК «Телефонуйте 911, наша якість погіршується, пан Аудит тут для...GoQA
 
Cybersecurity training
Cybersecurity training Cybersecurity training
Cybersecurity training Alexey Yankovski
 
шаблон стримування та відновдення 01 ay
шаблон стримування та відновдення 01 ayшаблон стримування та відновдення 01 ay
шаблон стримування та відновдення 01 ayAlexey Yankovski
 

More Related Content

Similar to IT questions on the Supervisory Board Agenda

Global Compact Communication on progress: basic and advanced levels
Global Compact Communication on progress: basic and advanced levelsGlobal Compact Communication on progress: basic and advanced levels
Global Compact Communication on progress: basic and advanced levelsAnna Danylyuk
 
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...uisgslide
 
Основні положення професійної практики аудиту та підтвердження довіри до інфо...
Основні положення професійної практики аудиту та підтвердження довіри до інфо...Основні положення професійної практики аудиту та підтвердження довіри до інфо...
Основні положення професійної практики аудиту та підтвердження довіри до інфо...IsacaKyiv
 
стандартизація лекція 4
стандартизація лекція 4стандартизація лекція 4
стандартизація лекція 4galushko29
 
Бізнес_процеси_М1_Процесна_структура_підприємства_29.pptx
Бізнес_процеси_М1_Процесна_структура_підприємства_29.pptxБізнес_процеси_М1_Процесна_структура_підприємства_29.pptx
Бізнес_процеси_М1_Процесна_структура_підприємства_29.pptxRostyslavDmytruk
 
Viktoriia Honcharova: PMO Tools and Technologies (UA)
Viktoriia Honcharova: PMO Tools and Technologies (UA)Viktoriia Honcharova: PMO Tools and Technologies (UA)
Viktoriia Honcharova: PMO Tools and Technologies (UA)Lviv Startup Club
 
Кращі практики ТК 185 в стандартизації
Кращі практики ТК 185 в стандартизаціїКращі практики ТК 185 в стандартизації
Кращі практики ТК 185 в стандартизаціїAPPAU_Ukraine
 
YVG Consulting - Яким має бути Звіт по роботі ІБ для керівництва
YVG Consulting - Яким має бути Звіт по роботі ІБ для керівництваYVG Consulting - Яким має бути Звіт по роботі ІБ для керівництва
YVG Consulting - Яким має бути Звіт по роботі ІБ для керівництваYuriy Gudz
 
контролінг інвестиційних проектів
контролінг інвестиційних проектівконтролінг інвестиційних проектів
контролінг інвестиційних проектівav47840
 
Viktoriia Honcharova: PMO Tools and Technologies (UA)
Viktoriia Honcharova: PMO Tools and Technologies (UA)Viktoriia Honcharova: PMO Tools and Technologies (UA)
Viktoriia Honcharova: PMO Tools and Technologies (UA)Lviv Startup Club
 
Bas consulting for_it_conference_(by_po)
Bas consulting for_it_conference_(by_po)Bas consulting for_it_conference_(by_po)
Bas consulting for_it_conference_(by_po)Nick Turunov
 
Результати проекту aCampus
Результати проекту aCampusРезультати проекту aCampus
Результати проекту aCampusAPPAU_Ukraine
 
Denis Shemyakin: Communication and Stakeholder Engagement (UA)
Denis Shemyakin: Communication and Stakeholder Engagement (UA)Denis Shemyakin: Communication and Stakeholder Engagement (UA)
Denis Shemyakin: Communication and Stakeholder Engagement (UA)Lviv Startup Club
 
Nikita Zahurdaiev: Developing PMO Services and Functions (UA)
Nikita Zahurdaiev: Developing PMO Services and Functions (UA)Nikita Zahurdaiev: Developing PMO Services and Functions (UA)
Nikita Zahurdaiev: Developing PMO Services and Functions (UA)Lviv Startup Club
 
Shaping future of internal audit with IT
Shaping future of internal audit with ITShaping future of internal audit with IT
Shaping future of internal audit with ITAnastasiia Konoplova
 
СЕРГІЙ РУСІНЧУК «Телефонуйте 911, наша якість погіршується, пан Аудит тут для...
СЕРГІЙ РУСІНЧУК «Телефонуйте 911, наша якість погіршується, пан Аудит тут для...СЕРГІЙ РУСІНЧУК «Телефонуйте 911, наша якість погіршується, пан Аудит тут для...
СЕРГІЙ РУСІНЧУК «Телефонуйте 911, наша якість погіршується, пан Аудит тут для...GoQA
 

Similar to IT questions on the Supervisory Board Agenda (20)

ITIL (ukr)
ITIL (ukr)ITIL (ukr)
ITIL (ukr)
 
Global Compact Communication on progress: basic and advanced levels
Global Compact Communication on progress: basic and advanced levelsGlobal Compact Communication on progress: basic and advanced levels
Global Compact Communication on progress: basic and advanced levels
 
Корпоративне управління у фінансовому секторі. Сектор професійних учасників р...
Корпоративне управління у фінансовому секторі. Сектор професійних учасників р...Корпоративне управління у фінансовому секторі. Сектор професійних учасників р...
Корпоративне управління у фінансовому секторі. Сектор професійних учасників р...
 
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
 
Основні положення професійної практики аудиту та підтвердження довіри до інфо...
Основні положення професійної практики аудиту та підтвердження довіри до інфо...Основні положення професійної практики аудиту та підтвердження довіри до інфо...
Основні положення професійної практики аудиту та підтвердження довіри до інфо...
 
стандартизація лекція 4
стандартизація лекція 4стандартизація лекція 4
стандартизація лекція 4
 
R&D Promo.ppsx
R&D Promo.ppsxR&D Promo.ppsx
R&D Promo.ppsx
 
Бізнес_процеси_М1_Процесна_структура_підприємства_29.pptx
Бізнес_процеси_М1_Процесна_структура_підприємства_29.pptxБізнес_процеси_М1_Процесна_структура_підприємства_29.pptx
Бізнес_процеси_М1_Процесна_структура_підприємства_29.pptx
 
Viktoriia Honcharova: PMO Tools and Technologies (UA)
Viktoriia Honcharova: PMO Tools and Technologies (UA)Viktoriia Honcharova: PMO Tools and Technologies (UA)
Viktoriia Honcharova: PMO Tools and Technologies (UA)
 
Кращі практики ТК 185 в стандартизації
Кращі практики ТК 185 в стандартизаціїКращі практики ТК 185 в стандартизації
Кращі практики ТК 185 в стандартизації
 
YVG Consulting - Яким має бути Звіт по роботі ІБ для керівництва
YVG Consulting - Яким має бути Звіт по роботі ІБ для керівництваYVG Consulting - Яким має бути Звіт по роботі ІБ для керівництва
YVG Consulting - Яким має бути Звіт по роботі ІБ для керівництва
 
контролінг інвестиційних проектів
контролінг інвестиційних проектівконтролінг інвестиційних проектів
контролінг інвестиційних проектів
 
Viktoriia Honcharova: PMO Tools and Technologies (UA)
Viktoriia Honcharova: PMO Tools and Technologies (UA)Viktoriia Honcharova: PMO Tools and Technologies (UA)
Viktoriia Honcharova: PMO Tools and Technologies (UA)
 
Bas consulting for_it_conference_(by_po)
Bas consulting for_it_conference_(by_po)Bas consulting for_it_conference_(by_po)
Bas consulting for_it_conference_(by_po)
 
Результати проекту aCampus
Результати проекту aCampusРезультати проекту aCampus
Результати проекту aCampus
 
Denis Shemyakin: Communication and Stakeholder Engagement (UA)
Denis Shemyakin: Communication and Stakeholder Engagement (UA)Denis Shemyakin: Communication and Stakeholder Engagement (UA)
Denis Shemyakin: Communication and Stakeholder Engagement (UA)
 
Ключові рекомендації для підвищення ефективності операційної моделі НКЦПФР
Ключові рекомендації для підвищення ефективності операційної моделі НКЦПФРКлючові рекомендації для підвищення ефективності операційної моделі НКЦПФР
Ключові рекомендації для підвищення ефективності операційної моделі НКЦПФР
 
Nikita Zahurdaiev: Developing PMO Services and Functions (UA)
Nikita Zahurdaiev: Developing PMO Services and Functions (UA)Nikita Zahurdaiev: Developing PMO Services and Functions (UA)
Nikita Zahurdaiev: Developing PMO Services and Functions (UA)
 
Shaping future of internal audit with IT
Shaping future of internal audit with ITShaping future of internal audit with IT
Shaping future of internal audit with IT
 
СЕРГІЙ РУСІНЧУК «Телефонуйте 911, наша якість погіршується, пан Аудит тут для...
СЕРГІЙ РУСІНЧУК «Телефонуйте 911, наша якість погіршується, пан Аудит тут для...СЕРГІЙ РУСІНЧУК «Телефонуйте 911, наша якість погіршується, пан Аудит тут для...
СЕРГІЙ РУСІНЧУК «Телефонуйте 911, наша якість погіршується, пан Аудит тут для...
 

More from Alexey Yankovski

шаблон стримування та відновдення 01 ay
шаблон стримування та відновдення 01 ayшаблон стримування та відновдення 01 ay
шаблон стримування та відновдення 01 ayAlexey Yankovski
 
Comments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of UkraineComments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of UkraineAlexey Yankovski
 
Existing situation and proposed solutions to improve Cybersecurity in Ukraine
Existing situation and proposed solutions to improve Cybersecurity in UkraineExisting situation and proposed solutions to improve Cybersecurity in Ukraine
Existing situation and proposed solutions to improve Cybersecurity in UkraineAlexey Yankovski
 
Настанови з кібербезпеки
Настанови з кібербезпекиНастанови з кібербезпеки
Настанови з кібербезпекиAlexey Yankovski
 
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Alexey Yankovski
 
Isaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vvIsaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vvAlexey Yankovski
 

More from Alexey Yankovski (8)

Cybersecurity training
Cybersecurity training Cybersecurity training
Cybersecurity training
 
шаблон стримування та відновдення 01 ay
шаблон стримування та відновдення 01 ayшаблон стримування та відновдення 01 ay
шаблон стримування та відновдення 01 ay
 
Comments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of UkraineComments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of Ukraine
 
Existing situation and proposed solutions to improve Cybersecurity in Ukraine
Existing situation and proposed solutions to improve Cybersecurity in UkraineExisting situation and proposed solutions to improve Cybersecurity in Ukraine
Existing situation and proposed solutions to improve Cybersecurity in Ukraine
 
Настанови з кібербезпеки
Настанови з кібербезпекиНастанови з кібербезпеки
Настанови з кібербезпеки
 
Energy security v02_vv
Energy security v02_vvEnergy security v02_vv
Energy security v02_vv
 
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
 
Isaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vvIsaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vv
 

IT questions on the Supervisory Board Agenda

  • 1. Питання Інформаційних Технологій на порядку денному Правління та Наглядової Ради Червень 2017 Олексій Янковський ISACA Kyiv Chapter
  • 2. 2 Коротко про ISACA • Назалежна міжнарождна професійна асоціація • Місія - створення та просування знань і кращих практик для створення цінності від та довіри до інформаційних технологій організацій • Cobit - еталонна, універсальна модель управління ІТ організації • Настанови з різних питань управління ІТ, ІТ-аудиту та безпеки, а також актуальних технологій - хмари, blockchain, дрони, mobile, та ін. • Міжнародні професійні сертифікації: − Управління корпоративними ІТ - CGEIT® − ІТ Аудит і Ризик Менеджмент - CISA® , CRISC™ − Кібербезпека - CSX® , CISM® • В Україні з 2008р. Перекладено ряд настанов, розроблено законопроект, проведено тренінги з кібербезпеки для державних організацій, організовано підготовку до іспитів, робота в громадських радах з 1969 року понад 200 відділень по всьому світу більше 115 000 членів у 180 країнах світу “СТВОРЕННЯ ЦІННОСТІ ТА ДОВІРИ ДО ІТ”“
  • 3. 3 Зміст • Top-10 операційних ризиків • Приклади катастроф та проблем пов’язаних з ІТ • Неефективність при закупівлях та впровадженні ІТ-систем • Важливі питання які необхідно контролювати • Механізми контролю • Розподіл повноважень • Приклад - централізований процес ІТ-закупівель • Інструменти • Корисні матеріали
  • 4. 4 Тор 10 операційних ризиків згідно risk.net* #1 Кібербезпека та захист даних #2 Регуляторні ризики #3 Аутсорсинг функцій #4 Геополітичні ризики #5 Непрофесійна поведінка #6 Організаційні зміни #7 Відмова ІТ #8 Боротьба з відмиванням коштів #9 Шахрайство #10 Фізична атака * http://www.risk.net/risk-management/operational-risk/2480528/top-10-operational-risks-for-2017
  • 5. 5 Приклади катастроф та проблем пов’язаних з ІТ • Фіаско через нездатність адаптації інновацій (Kodak, Nokia, та ін.) • Відставання від конкурентів через недостатню гнучкість власних ІТ • Вимивання коштів під прикриттям впровадження ERP- системи • Банкрутство компанії через нездатність контролювати витрати, пов’язані із масштабним ІТ-проектом • Екологічна катастрофа • Знищення бізнесу через масштабну кібератаку • Нездатність інтегрувати компанію після її придбання
  • 6. 6 Неефективність при закупівлі та впровадженні ІТ-систем • Впровадження системи не принесе суттєвих бізнес- переваг • Завищена вартість - вендор знав, що альтернативи не розглядаються під час переговорів • Не використовуються механізми мотивації постачальника (відтермінування платежів, прив’язка до етапів тощо) • Закупаються модулі системи, які не потрібні організації • Впровадження починається з найменш потрібного функіоналу • Відсутність виділеної команди, мотивації, недостатнє залучення керівництва, незалежний контроль якості • Відсутність управління організаційними змінами
  • 7. 7 Важливі питання які необхідно контролювати • Отримання конкурентної переваги за допомогою ІТ та використання інновацій • Належна підтримка стратегії бізнесу з боку ІТ • Отримання очікуваних переваг від інвестицій в ІТ • Відповідальне використання ІТ-ресурсів • Контроль ризиків пов’язаних з ІТ Ці питання необхідно контролювати на етапах планування, вибору, впровадження та експлуатації ІТ організації
  • 8. 8 Механізми контролю • Стратегія розвитку ІТ, узгоджена з бізнес-стратегією • Показники ефективності (KPIs) • Принципи, політики і внутрішні стандарти для планування, придбання, впровадження, експлуатації ІТ • Належний розподіл повноважень щодо ключових питань ІТ • Організаційні структури та процеси • Комітети для колегіального напрацювання рішень • Інформованість відповідальних осіб щодо їхніх обов’язків • Культура, етика та поведінка • Система управління ризиками та внутрішнього контролю • Кращі практики проектного управління та контролю • Залучення аудиту та незалежних експертів
  • 9. 9 Традиційно - недостатньо уваги з боку керівництва до питань ІТ-Управління Чому? • Брак необхідних компетенцій • ІТ часто розглядаються відокремлено від бізнесу • Вимагає широких знань для розуміння додаткових можливостей та ризиків, пов’язаних з ІТ для організації Управління ІТ є складовою частиною корпоративного управління. Наглядова рада та вище керівництво організації несуть відповідальність за належне управління ІТ
  • 10. 10 Роль акціонера, наглядової ради, вищого керівництва
  • 11. 11 Розподіл повноважень Наглядова рада • Розуміння поточної ситуації в ІТ, та потенціалу використання ІТ в організації • Визначення пріоритетів та стратегічного напрямку • Затвердження стратегії ІТ • Впевненість щодо відповідального використання ресурсів те ефективного управління ІТ • Контроль ключових ризиків пов’ язаних з ІТ • Загальний контроль відповідності ІТ до цільових показників (KPIs) Керівництво організації • Формування ІТ стратегії у відповідності до бізнес-стратегії • Реалізація бізнес-стратегії, включаючи відповідні плани розвитку ІТ • Приведення ІТ-організації у відповідність до цілей підприємства • Впровадження системи управління ризиками ІТ та системи вимірювання ключових показників ІТ, звітування наглядовій раді • Впровадження ефективних процесів ІТ-менеджменту • Ефективний вибір постачальників ІТ
  • 12. 12 Інші важливі функції та ролі CIO (Chief Information Officer) • член управлінської команди, відповідальний за ІТ • зв’язуючий ланцюг між бізнесом і ІТ • керівник ІТ-функції CISO (Chief Information Security Officer) та функція інформаційної безпеки Незалежний аудит ІТ Ризик мемеджмент ІТ Кризова команда • Представники вищого керівництва та ключових функцій • Обговорення та прийняття важливих рішень під час інцидентів • Кризові сценарії Комітети для напрацювання та/або затвердження важливих рішень • З ІТ-Розвитку та Архітектури • З ІТ Ризиків • З Інформаційної Безпеки PMO • Проектний офіс
  • 13. 13 Приклад - централізація ІТ-закупівель в групі компаній (1/3) Цілі політики ● Контроль обґрунтованості закупівель і узгодженості із планом розвитку групи підприємств ● Зниження вартості великих проектів та ризиків пов’язаних з їх реалізацією ● Отримання додаткових суттєвих знижок за рахунок обсягів закупівлі та забезпечення оптимальних умов поставки та впровадження ● Попередження можливих зловживань ● Вибір постачальників проводиться ІТ комітетом Групи компаній, який включає в себе CIO, представників підприємств, сдужб безпеки та закупівель
  • 14. 14 Приклад - централізація ІТ-закупівель в групі компаній (2/2) 1 2 3 4 5 1. Перевірка обґрунтованості планів закупівель та виключення необґрунтованих закупівель 2. Консолідація потреб в закупівлях ІТ всіх підприємств групи 3. Визначення групових стандартів обладнання, ПЗ та послуг ІТ, які закупаються 1. Зниження вартості завдяки масштабу закупівлі 2. Забезпечення прозорості процесу, проведення відкритих торгів із залученням представників підприємств 3. Застосування зрілих методологій вибору великих ІТ- рішень 4. Робота напряму ведорами, без посередників 5. Участь кращих постачальників (світових брендів) 1. Зниження рівня початкових інвестицій за рахунок використання аренди/ аутсорсінгу 2. Відтермінування оплати до завершення впровадження системи 3. Рівні дисконтів та стандарти якості зафіксовані в групових рамкових договорах 1. Регулярна оцінка якості закуплених ІТ 2. Відмова працювати з постачальниками неякісного товару 3. Постійний моніторинг ринку та регулярний перегляд цін 4. Незалежний контроль якості великих проектів 1. Контроль строків постачання 2. Стандартизація обліку витрат ІТ 3. Відслідковування фактичного обсягу ІТ-витрат
  • 15. 15 Приклад - централізація ІТ-закупівель в групі компаній (3/3) Матриця відповідальності для великих проектів Етап закупівлі Наглядова рада CIO Підприємство Підготовка техніко-економічного обґрунтування для великих ІТ та ІТ-залежних проектів Затвердження Узгодження Відповідальний Розробка цільової архітектури, вимог та критеріїв вибору постачальника * Затвердження Узгодження Відповідальний Проведення тендеру з вибору ІТ- рішення на основі методології керуючої компанії Затвердження Узгодження Відповідальний Застосування положень договорів, обов’язкових при впровадженні систем Інформується Відповідальний Контроль якості під час спровадження та прийомки * Інформується Узгодження Відповідальний Для проектів млн дол США вимоги критерії вибору та технічне завдання розробляється незалежною стороною яка не залучена до впровадження Контроль якості впровадження проводить
  • 16. 16 Інструменти які можуть допомогти • Cobit - управління та менеджмент ІТ • NIST Cybersecurity Guide - кібербезпека • ISO-27001 - інформаційна безпека • PMBOK - управління проектами • Міжнародні професійні сертифікації для ключового персоналу • Залучення незалежних радників
  • 17. 17 Cobit - еталонна модель процесів ІТ • Управління, Планування, Вибір, Впровадження, Експлуатація, Перевірка • Еталонна модель ризиків ІТ та відповідних механізмів контролю • Універсальний інструмент, розроблений на основі COSO, з урахуванням ISO27001, ITIL та ін. стандартів • Моделі організаційних структур та матриць відповідальності (RACI Charts), KPIs • Доступний безкоштовно, українською
  • 18. 18 Cobit узгоджений з моделлю COSO PO ME AI DS PO PO AI DS ME IT Business Activity 2 Business Activity 1 Business Unit 2 Business Unit 1 MonitoringMonitoring Information & Communicatio n Information & Communicatio n Control ActivitiesControl Activities Risk AssessmentRisk Assessment Control EnvironmentControl Environment COSO Integrated Framework з внутрішнього контролю MonitoringMonitoring Information & Communicatio n Information & Communicatio n Control ActivitiesControl Activities Risk AssessmentRisk Assessment Control EnvironmentControl Environment COBIT Integrated Internal Control Framework IT process 1 IT process 2 IT process 3 IT process 4
  • 19. 19 Корисні матеріали • Cobit http://www.isaca.org/Knowledge-Center/cobit/Documents/COBIT-4-1-Ukr ainian.pdf • Board Briefing on IT Governance https://www.oecd.org/site/ictworkshops/year/2006/37599342.pdf • Настанови з Кібербезпеки від експертів http://www.isaca.org.ua/index.php/press-center/news/191-translation-of-g uidelines-on-cybersecurity • ITAF – Методологія аудиту інформаційних систем - http://www.isaca.org.ua/index.php/homepage/download/category/13-itaf? download=21:itaf-3rd-eng • Впровадження Європейської Кібербезпеки http://www.isaca.org/Knowledge-Center/Research/Documents/European- Cybersecurity-Implementation-Overview_res_Ukr_1215.pdf • Міжнародна сертифікація http://www.isaca.org/certification/pages/default.aspx