nebojša bulatović, euridika banja luka: „it governance based on cobit 5“

IT Governance na bazi COBIT5

Nebojša Bulatović

Euridika d.o.o. Banja Luka

www.euridika.com

IT VLADANJE (IT GOVERNANCE)

• Skup metoda i procesa kojima menadžment “ovladava“ upotrebom informatike u poslovanju i preuzima dio odgovornosti za provođenje informatičkih procesa.

• Sastavni je dio korporativnog upravljanja

4

Upravlljanje resursima

Strateško poravnanje

Dodavanje vrijednosti

Upravljanje rizicima

Mjerenje performansi

EVOLUCIJA SADRŽAJA COBIT-A • Vladanje korporativnom informatikom GEIT

5

MJESTO COBIT OKVIRA U POREĐENJU SA DRUGIMA

Bolje je reći da je COBIT baziran na: • ISO 27000 • TOGAF • PRINCE2 • ITIL

PREDNOSTI

Definiše zajednički

jezik

Procesna orijentacija

Opšta prihvaćenost

Podrška regulatornim zahtjevima

Jasniji poslovni fokus

Netehnički i poslovno razumljiv

Metode procjene, nadzora,

RACI tabele

Vodič za implemen-

taciju

Podrška za najbolje prakse

Najkorišteniji GEIT okvir, potpuno dostupan

RAZDVAJANJE VLADANJA I UPRAVLJANJA

Preuzeto iz COBIT5. Enabling processes

COBIT5 ponudio je jasniju podjelu između vladanja i upravljanja: • Vladanje osigurava ispunjenje potreba i ciljeva zainteresovanih strana određivanjem

balansiranih, usaglašenih ciljeva, prioriteta, donošenjem odluka, nadzorom performansi i usaglašenosti sa dogovorenim ciljevima i smjernicama . Odgovornost preuzima Uprava.

• Upravljanje planira, izgrađuje, izvršava i nadzire aktivnosti u skladu sa smjernicama vladajućih tijela. Odgovornost preuzima izvršni menadžement.

37 „COBIT5“ procesa

Da bi se IT razvijao u skladu sa potrebama poslovanja potreban je sistem internih kontrola koji bi obezbijedio:

• Povezivanje sa poslovnim potrebama i zahtjevima

• Organizovanje IT aktivnosti kroz opšteprihvaćen procesni model

• Identifikovanje glavnih IT resursa koji imaju značaja za sistem

• Definisanje ciljeva kontrola menadžmenta koji će biti praćeni

10

SISTEM INTERNIH KONTROLA

Preuzeto iz COBIT5. Enabling processes

CO

BIT

5

pra

kse

up

ravl

jan

ja i

vlad

anja

Kontrolni ciljevi (COBIT 4.1)

Upravljanje rizicima (RISK IT)

Upravljanje vrijednostima (VAL IT)

resursi

UPOTREBA „KATALIZATORA“

(ENABLER-I)

Principi, politike,

procedure

Organizaciona struktura

Kultura, Etika,

ponašanje

Ljudi,

vještine, kompetencije

Servisi, infrastruktura i

aplikacije

Informacije

Procesi • Praktično upotrebljivi • Omogućavaju

upravljanje kompleksnim interakcijama

• Pomažu dobijanje uspješnih rezultata

• 4 dimenzije: • Stakeholderi • Ciljevi • Životni ciklus • Dobre prakse

• BSC strategijske dimenzije

PUTEVI IMPLEMENTACIJE

Uključiti sve učesnike u implementaciju

Potvrditi shvatanje osnova metodologije

Validacija ciljeva,

izbor komponenti

13

ID Proces vladanja korporativnim IT (GEIT)

Znač

aj

Pe

rfo

rman

se

Form

aln

ost

Rev

idir

an

Ko je odgovoran?

APO09 Upravljanje servisnim ugovorima 5

5

D

D

nabava, uprava..

APO10 Upravljanje dobavljačima 5

4

D

N

nabava, finansije

BAI10 Upravljanje konfiguracijama 5 5 D D IT, sigurnost

DSS02 Upravljanje servisnim zahtjevima i incidentima 4 5 D D Sigurnost

DSS03 Upravljanje problemima 5 4 D D IT

DSS04 Upravljanje kontinuitetom 5 5 D D ORG, IT

DSS05 Upravljanje servisima bezbjednosti 5 5 D D Sigurnost

COBIT 5 Procesi Značaj -Importance = How important it is for the enterprise on a scale from 1 (not at all) to 5 (very)

Performanse Performance = How well it is done from 1 (do not know or badly) to 5 (very well)

Formalnost -Formality = Existence of a contract, an SLA or a clearly documented procedure (Yes, No or ?)

Revidiranje - Audited = Yes, No or ?

Ko je odgovoran? - Accountable = Name or ‘do not know’

Primjer: procjena važnosti procesa, izbor područja

14

IMPLEMENTACIJA

7 FAZA: ŽIVOTNI CIKLUSI

PROCESA

Preuzeto iz COBIT 5 Implementation Guide

15

Naše viđenje

regulatorno obaveznih

područja implementacije

po propisima

Agencije za bankarstvo

Republike Srpske :

crveno –

odluka o min.st.upravljanja

Informacionim sistemom

narandžasta

odluka o min.st.upravljanja

eksternalizacijom

PRIMJER GAP ANALIZE Scope zatečeni nivo maj 2014

Ime procesa Obuhvać

en Mogućnosti unap.sa

prioritetom Nivo 1 Nivo 2 Nivo 3 Nivo 4 Nivo 5 ciljani nivo

Poravnanje, planiranje i organizacija procesa (Align, Plan and Organize ) 3

APO01 Okvir za upravljanje DA

ABRS, zatim grupni okvir

3

APO02 Strategijsko planiranje DA


3

APO03 Korporativna arhitektura DA

ABRS, zatim grupni okvir 3

APO06 Budžetiranje DA


3

APO07 Upravljanje ljudskim resursima DA


3

APO09 Ugovaranje vanjskih dobavljača i nivoa servisa

DA ABRS, zatim grupni okvir

4

APO10 Upravljanje dobavljačima DA


4

APO11 Upravljanje kvalitetom DA


3

APO13 Upravljanje bezbjednošću DA


3

Izgradnja, nabavka i implementiranje procesa (Build, Acquire and Iplement)

BAI01 Upravljanje projektima ABRS, zatim grupni okvir

3

BAI02 Definisanje zahtjeva ABRS, zatim grupni okvir

3

BAI03 Izgradnja rješenja ABRS, zatim grupni okvir

3

BAI04 Raspoloživost i kapacitet ABRS, zatim grupni okvir 3

BAI06 Upravljanje promjenama ABRS, zatim grupni okvir

3

BAI07 Usaglašavanje i prihvatanje promjena


3

BAI10 Upravljanje konfiguracijama ABRS, zatim grupni okvir

3

Isporuka, servisiranje i podrška procesa (Deliver, Service and Support)

DSS01 Upravljanje operacijama þ 3

DSS02 Servisni zahtjevi i incidenti þ


3

DSS03 Upravljanje problemima þ


3

DSS04 Kontinuitet poslovanja þ


3

DSS05 Servisi bezbjednosti þ


3

DSS06 Kontrole procesa þ


3

Praćenje, ocjenjivanje i procjena (Monitor, Evaluate and Assess)

MEA01 Nadzor performansi þ


3

MEA02 Nadzor internih kontrola þ


3

MEA03 Nadzor usklađenosti þ


3

Procjena, direktnost i nadgledanje (Evaluate, Direct and Monitor)

EDM01 Održavanje okvira vladanja þ

ABRS, zatim grupni okvir 3

NIVO OSTVARENJA -ZRELOSTI PROCESA Nivo ocjene izvršavanja procesa zavisi od rezultata procesa status procesa prema ISO/IEC 15504I:

• U toku skoping procesa organizacija bira koji je nivo primjeren za njene potrebe Preuzeto iz Self Assessment Guide COBIT 5

Oznaka Status Osobine

5 Optimizovan proces

Predvidljiv proces koji se kontinuirano unapređuje i usklađuje sa projektovanim ciljevima

4 Predvidljiv proces

Uspostavljeni proces funkcioniše u definisanim okvirima i ostvaruje zacrtane rezultate

3 Podešen proces

Upravljan proces koji je implementiran definisanim okvirima i može ostvariti zacratne rezultate

2 Upravljan proces

Proces je upravljan – planiran, nadziran i prilagođavan – rezultati su adekvatno zadani, nadzirani, održavani

1 Funkcionalan proces

Proces ostvaruje svoju namjenu

0 Nekompletan proces

Odnosi se na na implementirane procese ili procese koji ne daju rezultate ili nema dokaza ili je malo dokaza da proces ostvaruje zadate ciljeve

i SPICE - Software Process Improvement and Capability Determination

Izbor ciljeva ?

Preuzeto iz Self Assessment Guide COBIT 5

6 nivoa ostvarenja

procesa

9 atributa procesa

Primjer izvršene procjene procesa

Preuzeto iz Self Assessment Guide COBIT 5

ŠTA PROCESIMA NEDOSTAJE? Izbor kontrolnih ciljeva..

Preuzeto iz Process Assessment Model using COBIT 5

GAP ANALIZA

1. provjera dokumentacije

2. Inicijalni dokumenti

IZBOR

KONTROLNIH CILJEVA

1 obavlja se izbor kontrola

2. Priprema dokumenata i izvještaja

USAGLAŠAVANJE

1. Priprema RACI tabela i automatizacija

2. Izmjene dokumenata

3. Revizijski trag

pretraživanje

Na slici su prikazane neke od posebnosti naše metodologije implementacije

uključene su sve zainteresovane strane

21

PRIMJER ZA JEDAN PROCES

RACI DIJAGRAMI Uloga Oznaka

Uprava - CEO C

CFO C

COO C

Menadžeri poslovnih funkcija C

Nosioci poslovnih funkcija - Strategijski odbor I Steering/Projektni/IT odbor - Organizacija-PMO C

Finansije - Kontroling - Direktor rizika - CISO - Odbor za rizike - Direktor ljudskih resursa R

Usklađenost I Revizija I CIO – Direktor informatike A Glavni dizajner C

Rukovodilac razvoja C

Rukovodilac IT operacija C

Rukovodilac IT administracije R

Rukovodilac servisa C

Informaciona sigurnost C

Rukovodilac kontinuiteta poslovanja C Službenik za privatnost

Alati za dizajniranje rasporeda uloga i odgovornosti u organizaciji, tzv. RACI matrice:

R – izvršavanje - odgovornost za operativno izvršavanje zadataka

A – odobravanje – menadžerska odgovornost za pravilno izvršavanje zadatka

C – konsultovanje– konsultantska pomoć prije odluke o izvršenju zadatka

I - informisanje – pružanje informacija o toku i napredovanju zadataka i projekata

OSNOVNA LITERATURA

Hvala na pažnji!

nebojša bulatović, euridika banja luka: „it governance based on cobit 5“

Business

nadziran i

zatim grupni okvir3izgradnja

cobit5 procesa

je cobit baziran na

upravljanje planira

razvijao u skladu

procjena vanosti procesa

nadzire aktivnosti u