cobit 5 pristup it governance-u 1. svrha cobit -...
Post on 10-Sep-2019
4 Views
Preview:
TRANSCRIPT
1. Svrha COBIT® 5 modela i smjernice za primjenu
COBIT® (Control Objective for IT and Related Technology) jedna je od vodećih svjetskih metodologija za IT Governance. Razvija se već više od 20 godina, kao što se vidi na slici 1.
Slika 1. Dosadašnji razvoj COBIT-a Ciljevi i principi aktualne verzije COBIT® 5 su:
Ostvarivati što veće poslovne vrijednosti IT investicija na način da one podržavaju ostvarenje strateških ciljeva poslovnog sustava i njegovu učinkovitost i inovativnost
Osigurati što kvalitetnije odlučivanje o IT-u, naročito uprave i menadžmenta
Postići operativnu izvrsnost putem učinkovitog i pouzdanog korištenja IT-a
Upravljati IT rizicima i održavati ih na prihvatljivoj razini
Optimizirati troškove IT usluga i tehnologije
Ostvarivati potpunu sukladnost s relevantnim zakonima, propisima, ugovornim obvezama i politikama.
Navedeni ciljevi COBIT® - a 5 prenose se na 5 principa koje je nužno primijeniti u poslovnom sustavu, a koji su prikazani na slici 2.
COBIT® 5 pristup IT Governance-u
aa
Slika 2. Osnovni principi COBIT®-a 5
Princip Ispunjavanje zahtjeva dionika nalaže da se oni ostvare određivanjem ciljeva na razini poslovnog sustava i njihovim kaskadiranjem na IT ciljeve. COBIT® 5 putem BSC (eng. Balanced Score Card) perspektiva definira 17 generičkih poslovnih ciljeva i 17 IT ciljeva, što je prikazano u tablicama 1 i 2. Primjenom ovog principa identificiraju se interni i vanjski dionici i njihove potrebe. Interni dionici su: članovi uprave, izvršni direktori, rukovoditelji poslovnih područja (financija, upravljanja ljudskim potencijalima, informatike, sigurnosti, upravljanja rizicima poslovnog sustava itd.), interni auditori, IT korisnici, rukovoditelji IT odjela itd.), dok su vanjski dionici: državna tijela, regulatorna tijela, vanjski revizori, poslovni partneri, dobavljači, vanjski korisnici, konzultanti itd. Putem COBIT® -a 5 zahtjevi ovih dionika vrlo se učinkovito „poslože“.
Tablica 1. Ciljevi poslovnog sustava po BSC perspektivama (Izvor: (ITGI & ISACA, 2013)
Tablica 2. IT ciljevi po BSC perspektivama (Izvor: (ITGI & ISACA, 2013))
Princip Pokrivanje cjelokupnog poslovanja zahtijeva da se ne fokusira samo IT funkcija poslovnog sustava, već da se oblikuje cjelovita slika svih njegovih poslovnih procesa i IT potpora promatra u tom kontekstu. Inzistira se da se IT i srodne tehnologije promatraju kao imovina poslovnih procesa, vrlo striktno odrede uloge i odgovornosti uprave i menadžmenta i njihovi međusobni odnosi.
Princip Jedinstveni integrirajući okvir nalaže potrebu, ukoliko se u poslovnom sustavu već koriste i drugi okviri / sustavi (Risc IT, ISO/IEC norme 38500, 27001, 20000, 31000 i dr., ITIL, PMBOK, TOGAF itd.), da ih COBIT® 5 integrira u jedinstvenu cjelinu.
Princip Holistički pristup traži da se učinkovito i djelotvorno korištenje IT-a u poslovnom sustavu postigne korištenjem 7 interaktivnih pokretača. To su: 1.) Principi, politike i radni okvir, 2) Procesi, 3.) Organizacijska struktura, 4.) Kultura, etika i ponašanje, 5.) Informacije, 6.) Usluge, infrastruktura i primjena, te 7.) Ljudi, vještine i kompetencije, prikazanih na slici 3.
Slika 4. Pokretači COBIT®-a 5
Princip Odvajanje korporativnog upravljanja od Menadžmenta zahtijeva da se ove dvije razine nadležnosti i odgovornosti striktno odvoje, budući se radi o različitim disciplinama i poslovima, kao što je to prikazano na slici 4.
Slika 4. način odvajanja Governance-a od Menadžmenta
Ne postoji kruto pravilo o tome koje organizacijske funkcije pripadaju Governance-u, a koje Menadžmentu. To ovisi o konkretnom poslovnom sustavu, njegovoj veličini i organizacijskom ustrojstvu. No, može se očekivati da u većim poslovnim sustavima Governance pripada upravi, a Menadžment izvršnom menadžmentu. 2. Poslovni procesi i proizvodi COBIT®-a 5 Navedeni ciljevi i principi COBIT®-a 5 realiziraju se putem njegovih poslovnih procesa, kojih ima 37. Podijeljeni su na procese Governance-a kojih ima 5 (EDM1 – EDM5) i procese Menadžmenta kojih ima 32. Poslovni procesi Menadžmenta se: APO (eng. Align, Plan, Organise) procese, kojih ima 13, BAI (eng. Build, Acquire, Implement) procese kojih ima 10, DSS (eng. Delivery, Service, Support) procese kojih ima 6 i MEA (Monitor, Evaluate, Assess) procese kojih ima 3. Konkretni procesi po ovim cjelinama navedeni su na slici 5.
Slika 5. COBIT® 5 procesni model
U ovom trenutku COBIT® 5 ima razvijene slijedeće proizvode:
Za upravu i izvršni menadžment:
o COBIT 5 Business Framework o COBIT 5 Enabling Processes o COBIT 5 Enabling Information o COBIT 5 Implementation
Za IT stručnjake:
o COBIT 5 for Information Security o COBIT 5 for Assurance o COBIT 5 for Risk o COBIT 5 for Self-assessment o COBIT 5 for Assurance i o COBIT 5 for Assessors
Naslovne stranice ovih proizvoda prikazane su na slici 6.
Slika 6. Naslovnice najvažnijih proizvoda COBIT-a 5. 3. Način korištenja COBIT®-a 5
Prema naputcima navedenim u COBIT® 5 Framework-u, postoji 7 koraka njegove primjene:
Inicijalizacija: prepoznavanje potrebe
Definiranje problema: procjena sadašnjeg stanja, određivanje područja, povezivanje poslovnih i IT ciljeva, izrada scenarija rizika, identifikacija ključnih procesa
Određivanje putokaza za realizaciju primjene: prepoznavanje ciljeva poboljšanja i njihovih prioriteta
Planiranje izvedbe: izrada plana projekta, prepoznavanje ključnih sudionika, izrada analiza slučajeva, planiranje promjena
Realizacija plana: postupanje prema planu projekta, nadzor ostvarenja plana
Realizacija benefita i
Procjena učinaka Određivanje razina sposobnosti
Primjena COBIT®-a verzije 4.1 temelji se na procjeni zrelosti poslovnih procesa, ali ju je moguće koristiti i za procjene tzv. sposobnosti, dok COBIT® 5 preferira procjene razine sposobnosti, čiji je postupak određen normom ISO/IEC 15504-2.
Razine sposobnosti bilo kojeg od 34 procesa prema COBIT®-u 4.1 ili 37 procesa prema COBIT®-u 5, čini se na način da se analiziraju indikatori sposobnosti za generičku praksu, generički resursi i generički proizvodi. Način povezivanja ovih ISO i COBIT® pogleda, prikazan je na slici 7.
Slika 7. Način povezivanja norme ISO/IEC 15504-2 i COBIT®-a za određivanje
sposobnosti procesa
4. Učinci korištenja COBIT®-a 5
Postoje studije i analize koje ukazuju na značajnu pozitivnu korelaciju između IT Governance & i poslovnih učinaka. Najčešće se navodi da su to:
Bolji poslovni rezultati „zrelijim“ iskorištenjem IT potencijala (poboljšanje poslovnih procesa, povećanje kvalitete proizvoda /usluga, sniženje troškova poslovanja, razvoj novih proizvoda, osvajanje novih tržišta)
Djelotvornije upravljanje,
Smanjenje poslovnih rizika uzrokovanih zbog IT-a
Prerastanje informatike u stratešku poslovnu funkciju orijentiranu poslovnim inovacijama
Podizanje kompetencija za digitalno orijentiran poslovni sustav
Konkurentska prednost kao rezultanta gornjih učinaka.
U tablici 3 je prikazan konkretniji pregled ovih učinaka načinjen iz nekoliko izvora.
Područje IT Governance-a
Učinak
Strategija & Governance
Poboljšane komunikacije Uprava - izvršni
menadžment – vodstvo IT-a
Razvoj IT-a postao sastavni dio strategije poslovnog
sustava
15 – 20 % unapređenja poslovnih procesa
15 % porast prodaje zbog učinkovitijeg IT-a
Oko 20 % manji poslovni rizici čiji je uzročnik bio IT
Bitno unapređeno usklađivanje s glavnim dionicima
Oko 20 % povećano zadovoljstvo korisnika
Oko 15 % porast broja poslovnih inovacija
Upravljanje financijama
Bitno bolje upravljanje portfeljem financija
Oko 15 % sniženi direktni IT troškovi
Povećana kvaliteta odlučivanja o prioritetima IT
projekata
Oko 20 % smanjeni rizici zbog dobavljača
Ljudi & Resursi
Uspostavljena učinkovita IT organizacija
Oblikovan sustav planiranja razvoja karijere
Porast osobnih kompetencija IT djelatnika
Osobna produktivnost porasla za 15 – 25 %
Osobno zadovoljstvo djelatnika poraslo za 20 %
Značajan porast organizacijske kulture
Arhitektura & Planiranje IT usluga
Bitno unapređeno odlučivanje o razvoju poslovne i
IT arhitekture
Poslovna arhitektura postala neovisna od IT
dobavljača
Upravljanje IT uslugama podignuto na visoku
profesionalnu razinu
Kvaliteta IT usluga podignuta za 10 – 30 %, u
ovisnosti o vrsti usluga
Ugovaranje IT usluga postalo identično svakom
drugom poslovnom pregovaranju
IT Infrastruktura & IT Operativa
Upravljanje IT imovinom podignuto na razinu
upravljanja s drugom poslovnom imovinom
Značajno unapređeni odnosi s korisnicima IT usluga
Povećani su raspoloživost i IT kapaciteti,
zahvaljujući boljem planiranju
Olakšano upravljanje promjenama, unatoč bitno
pooštrenim odgovornostima
Pogreške u upravljanju konfiguracijom smanjene za
30 %
40 % pritužaba korisnika riješi se u službi potpore,
uz vrijeme smanjeno za 20 %
Sigurnost &
kontinuitet rada
Sigurnosni rizici smanjeni za oko 20%
Trajanje zastoja zbog sigurnosnih incidenata
smanjeno za 40 %
Dijagnostika neautoriziranih pristupa povečana za
200 %
Uvedene sigurnosne kontrole koje su učinkovitost
sustava sigurnosti povećale za 40 %
Razvijene kontrole koje zadovoljavaju zahtjeve
Cyber Security-a
Sigurnosni auditi postali pokretač neprekidnih
poboljšanja u cijelom području sigurnosti
Upravljanje aplikacijama
Razvijen efikasan sustav upravljanja portfeljem
aplikacija
Znatno unapređeno odlučivanje o prioritetima
razvoja novih aplikacija
Troškovi održavanja aplikacija smanjeni 25 %
Redundantne funkcionalnosti u aplikacijama
snižene za oko 20 %
10 % nepotrebnih aplikacija izbačeno iz portfelja
Za 15 – 20 % sniženi rizici zbog aplikacija
Programi & projekti
Bitno unapređena veza između novih zahtjeva,
portfelja financija i novih projekata
10 – 20 % sniženi troškovi IT projekata uslijed
boljeg planiranja i efikasnijeg nadzora
Probijanja vremena trajanja projekata smanjena za
18 %
Data Governance
Neusporedivo snažnije dubinske analize vanjskog
poslovnog okruženja (tržišta, novih tehnologija,
kupaca, financijske industrije itd.)
Napredna poslovna analitika o mogućnostima
poboljšanja vlastitih poslovnih procesa, upravljanja
ljudskim potencijalima, analitika informacijske i
cyber sigurnosti, upravljanja troškovima itd.
5. Usluge ZIH-a
5.1. Konzultantske usluge
1. Dijagnostika postojećeg stanja IT Governance-a i izrada programa
poboljšanja
Predmet dijagnostike može biti bilo koji dio IT Governance sustava ili cijeli ovaj
sustav. Dijagnostika se provodi ispitivanjem zadovoljenja pripadajućih zahtjeva,
postupaka kojima se oni ostvaruju, te procjenjivanjem odgovornosti,
dokumentiranosti i prakse. Postoji više načina na koje ZIH može načiniti ovu
dijagnostiku (Self-Assessment, putem vlastitog alata itd.). Vrlo je važno znati da je
komercijalno korištenje COBIT®-a 5 zaštićeno intelektualnim vlasništvom, te da je
nužno od njegovog nositelja tražiti suglasnost (www.ipinfo@isaca.com).
2. Razvoj i implementacija pojedinih dijelova IT Governance sustava. Na osnovi
načinjene dijagnostike postojećeg stanja i usvojenog programa poboljšanja, temeljem
odlučenih prioriteta, svako od područja IT Governance-a potencijalno može biti
poseban projekt.
Slika 8 prikazuje rezultate 9 najslabijih područja IT Governance-a, do kojih se došlo
dijagnostikom početnog stanja (RZ_Početno), te rezultate nakon provedenih
poboljšanja.
Slika 8. Razine zrelosti početnih stanja i stanja nakon provedenih poboljšanja
5.2. Seminari, treninzi, radionice
Motivacijska prezentacija članovima uprava, izvršnom menadžmentu
poslovnih sustava i vodstvu IT funkcije o razlozima, načinima i učincima IT
Governance sustava
Za izvođenje COBIT®-a 5 vrijede navedena opaska o obveznoj zaštiti
autorskih prava čiji je nositelj ISACA
Treninzi iz pojedinih dijelova IT Governance sustava
Svrha, ciljevi, sadržaj i način održavanja ovih treninga posebno je razrađen za svaku
od ovih tema. Seminari se izvode prema planu seminara (otvoreni) ili prema
posebnim dogovorima s naručiteljima (zatvoreni).
0,4 0,5
1,2
0,9 0,6
1,2 1,3
0,7 0,3
1,3 1,9
2,1
2,5
2,8 2,5
2
2
1
0
1
2
3IT Strategy
Risk Management
People & ResourceManagement
IT Service Management
Application PortfolioManagement
Security & Continuity
IT Innovation Management
IT Financial Manaagement
IT Asset Management
RZ_Početno
RZ_Nakonpoboljšanja
RZ = Razina RZ = Razina
Priredio: Prof.dr.sc. Zdravko Krakar temeljem dozvole za korištenje
autorskog prava dobivene od ISACA-e
top related