ernst & young использование cobit
DESCRIPTION
TRANSCRIPT
Использование COBIT для повышения эффекта от внедрения информационных технологий
Кирилл Домнич, CISA, CISMстарший консультант в области информационных технологий и ИТ-рисков[email protected]
Минск, 13 сентября 2012
Использование COBIT для повышения эффекта от внедрения ИТСтраница 2
Результаты исследования Эрнст энд Янг«Инновации для устойчивого развития», 2011
Использование COBIT для повышения эффекта от внедрения ИТСтраница 3
Цель и методология исследования
► Компания Эрнст энд Янг провела опрос ИТ директоров, членов высшего исполнительного руководства различных организаций по всему миру (15 стран, 869 участников), чтобы понять, как ИТ службы отвечают вызовам динамичной и конкурентной бизнес-среды
Количество участников по странам
Использование COBIT для повышения эффекта от внедрения ИТСтраница 4
Недостаточный обмен информацией
► Преобладающее большинство респондентов (81%) считают, что сотрудникам ИТ служб нужно лучше понимать потребности бизнеса, а также улучшать процессы взаимодействия с представителями бизнеса
► При этом 40% респондентов не удовлетворены тем, как происходит обмен информацией между ИТ службой и бизнес-подразделениями в их компаниях
Использование COBIT для повышения эффекта от внедрения ИТСтраница 5
Объемы инвестиций растут, но оценка их рентабельности не проводится
► 42% респондентов заявили, что за последние 12 месяцев, несмотря на нестабильную экономическую ситуацию, расходы их компаний в области ИТ выросли
► Только 39% респондентов указали, что в их организации существует практика оценки рентабельности инвестиций в ИТ
Использование COBIT для повышения эффекта от внедрения ИТСтраница 6
Сложности с цифрами
► Способность ИТ службы управлять бюджетом ставится под сомнение. Лишь 55% респондентов удовлетворены тем, как ИТ служба планирует и контролирует свой бюджет
► При этом 73% самих руководителей ИТ служб довольны своим процессом планирования и контроля ИТ бюджетов. Их представления о том, сколько организация фактически расходует на ИТ, отличаются от мнения их коллег из высшего руководства: директора ИТ служб указывают значительно меньшие суммы
Использование COBIT для повышения эффекта от внедрения ИТСтраница 7
Ключевая позиция ИТ руководителя
► 73% участников исследования считают, что руководитель службы информационных технологий (CIO) мог бы стать ключевой фигурой процесса развития бизнеса
► При этом только 15% отметили, что ИТ службы их компаний очень хорошо подготовлены к требованиям, которые будут предъявлены к ним в будущем
Использование COBIT для повышения эффекта от внедрения ИТСтраница 8
То, что является достижением сегодня - будет нормой завтра
► В прошлом десятилетии ИТ службы внесли огромный вклад в успех компаний, но сегодня от ИТ ожидают еще больше инноваций
► Для того чтобы соответствовать возрастающим ожиданиям бизнеса, ИТ руководители должны повысить квалификацию в ряде областей, включая обмен информацией, бюджетное планирование и управление рисками
Использование COBIT для повышения эффекта от внедрения ИТСтраница 9
На чем необходимо сконцентрироваться ИТ руководителю?
► Взаимодействии с бизнесом► Связи бизнес-целей с деятельностью ИТ подразделений
► Эффективных коммуникациях
► Продвижении инноваций
► Оценке рентабельности инвестиций в ИТ► Эффективном управлении ИТ бюджетом
Использование COBIT для повышения эффекта от внедрения ИТСтраница 10
COBIT - Методология управления информационными технологиями
Использование COBIT для повышения эффекта от внедрения ИТСтраница 11
COBIT - Методология управления информационными технологиями
► Набор документов в области управления ИТ► Принадлежит и разрабатывается некоммерческой
ассоциацией ISACA► Основан на анализе и гармонизации существующих
стандартов и ведущих практик в области управления ИТ
► Версии 5 (2012), 4.1 (2007), 4 (2005), 3 (2000), 2 (1998), 1 (1996)
► Имеет связь (mapping) со множеством других стандартов и ведущих практик (ISO 27000, ISO 38500, ISO 31000, ISO 20000, ITIL, CMMI, TOGAF, PCI DSS, NIST SP800-53, Basel II, SOХ 404)
Использование COBIT для повышения эффекта от внедрения ИТСтраница 12
Применимость COBIT как методологии управления ИТ
Внедрение
Управление
Организация
Архитектура ипроектирование
Аудит
Использование COBIT для повышения эффекта от внедрения ИТСтраница 13
Основные цели COBIT в области управления ИТ
►ИТ ориентируются на нужды бизнеса►ИТ помогают максимизировать выгоды для бизнеса►ИТ ресурсы используются рационально►ИТ риски управляются надлежащим образом
Использование COBIT для повышения эффекта от внедрения ИТСтраница 14
17 типовых целей
Определяются бизнес-
стратегией
17 типовых целей
Соответствуют целям бизнеса
37 типовых ИТ процессаСоответствуют целям ИТ
Практики управления ИТ процессами
• 210 практик• Сгруппирова
ны по ИТ процессам
Система внутренних контролей
Цели бизнеса, а также цели, процессы и практики ИТ могут быть стандартизованы
Использование COBIT для повышения эффекта от внедрения ИТСтраница 15
Процессы ИТ в COBIT 5
EDM Оценка, выбор направления и наблюдение
EDM01 Обеспечение создания и обновление подхода к руководству
EDM02 Обеспечение создания выгоды
EDM03 Обеспечение оптимизации рисков
EDM04 Обеспечение оптимизации ресурсов
EDM05 Обеспечение прозрачности для заинтересованных
сторон
APO01 Управление подходом к
управлению ИТ
APO02 Управление стратегией
APO03 Управление
архитектурой предприятия
APO04 Управление
инновациями
APO05 Управление портфелем
APO06 Управление бюджетом и затратами
APO07 Управление персоналом
APO08 Управление
отношениями
APO Обеспечение соответствия, планирование и организация
APO09 Управление
соглашениями об услугах
APO10 Управление
подрядчиками
APO11 Управление качеством
APO12 Управление
рисками
APO13 Управление
безопасностью
BAI01 Управление
программами и проектами
BAI02 Управление выявлением требований
BAI03 Управление выбором и
внедрением решений
BAI04 Управление
доступностью и мощностью
BAI05 Управление поддержкой
организационных изменений
BAI06 Управление
изменениями
BAI07 Управление передачей и
приемкой изменений
BAI08 Управление знаниями
BAI Создание, приобретение и внедрение
BAI09 Управление активами
BAI10 Управление
конфигурациями
DSS02 Управление
запросами на обслуживание
и инцидентами
DSS03 Управление проблемами
DSS04 Управление
непрерывностью
DSS05 Управление
услугами безопасности
DSS06 Управление контролями
бизнес-процессов
DSS Обслуживание, эксплуатация и сопровождение DSS01
Управление эксплуатацией
MEA Отслеживание, измерение и оценка
MEA01 Отслеживание, подсчет и оценка
производительности и соответствия
MEA02 Отслеживание, подсчет и оценка
системы внутреннего контроля
MEA03 Отслеживание, подсчет и оценка
соответствия внешним требованиями
Использование COBIT для повышения эффекта от внедрения ИТСтраница 16
Что можно реализовать с помощью COBIT
► Связать бизнес-цели с непосредственными ИТ процессами
► Получить целостную картину об ИТ процессах компании и их взаимосвязи
► Использовать как источник ведущих практик по организации ИТ процессов
► Оценить текущее состояние процессов управления ИТ► Определить направления для совершенствования► Установить метрики для оценки эффективности ИТ
процессов► Организовать эффективные коммуникации с бизнесом
Использование COBIT для повышения эффекта от внедрения ИТСтраница 17
Пример взаимосвязи бизнес-цели с ИТ процессами по COBIT 5
EDM01EDM02EDM03EDM04EDM05APO01APO02APO03APO04APO05APO06APO07APO08APO09APO10APO11APO12APO13BAI01BAI02BAI03BAI04BAI05BAI06BAI07BAI08BAI09BAI10DSS01DSS02DSS03DSS04DSS05DSS06MEA01MEA02MEA03
Цели ИТ COBIT
Бизнес-цели COBIT
Бизнес-цели компании
ИТ процессыCOBIT
Управляемые ИТ риски
Квалифицированный и мотивированный персонал
Управляемые бизнес-риски (защита активов)
Рост чистых активов компании
Развитие дистанционного обслуживания клиентов
Рост рыночной доли компании
Оптимизация затрат на предоставление услуг
Прозрачность ИТ затрат, выгод и рисков
Безопасность информации, обрабатывающей инфраструктуры и приложений
Использование COBIT для повышения эффекта от внедрения ИТСтраница 18
Оптимизация затрат бизнес-процессов
Пример взаимосвязи ИТ процесса с целями бизнеса по COBIT 5
Соответствие между ИТ- и бизнес-стратегиями
Клиенто-ориентированная культура
Извлечение выгоды из программ и проектов, выполняемых в рамках сроков, бюджета и соответствующих требований к качеству
Рост рыночной доли компании
Рост чистых активов компании
Цели ИТ COBIT
Бизнес-цели COBIT
Бизнес-цели компании
ИТ процессыCOBIT
EDM01EDM02EDM03EDM04EDM05APO01APO02APO03APO04APO05APO06APO07APO08APO09APO10APO11APO12APO13BAI01BAI02BAI03BAI04BAI05BAI06BAI07BAI08BAI09BAI10DSS01DSS02DSS03DSS04DSS05DSS06MEA01MEA02MEA03
Получение выгод от инвестиций с использованием ИТ и портфеля услуг
Развитие дистанционного обслуживания клиентов Портфель
конкурентоспособ-ных товаров и услуг
Управление программами бизнес-изменений
Использование COBIT для повышения эффекта от внедрения ИТСтраница 19
PO1. Разработка стратегического плана развития ИТPO3. Определение направления технологического развития
PO4. Определение ИТ процессов, организационной структуры и взаимосвязей
PO7. Управление персоналом
PO9. Оценка и управление ИТ рисками
AI2. Приобретение и поддержка программных приложений
AI4. Обеспечение выполнения операций
AI5. Поставки ИТ ресурсов
DS1. Определение и управление уровнем обслуживания
DS2. Управление услугами сторонних организацийDS3. Управление производительностью и мощностями
DS4. Обеспечение непрерывности ИТ сервисов
DS5. Обеспечение безопасности систем
DS7. Обучение и подготовка пользователей
DS10. Управление проблемами
DS11. Управление данными
DS13. Управление операциями по эксплуатации систем
M1. Мониторинг и оценка эффективности ИТ
M4. Обеспечение корпоративного управления ИТ
0
5
Оценка зрелости Рекомендуемое значение
Пример оценки процессов по COBIT 4.1
Использование COBIT для повышения эффекта от внедрения ИТСтраница 20
Интеграционный подход COBIT 5
Risk IT
Val IT 2.0
COBIT 4.1
COBIT 5
управление рисками ИТ
управление инвестициями в ИТ
управление ИТ
Использование COBIT для повышения эффекта от внедрения ИТСтраница 21
Домен APO. Процесс APO05. Управление портфелем инвестиций
Обеспечение соответствия, планирование и
организация (APO)
Создание, приобретение и Внедрение (BAI)
Обслуживание, эксплуатация и
сопровождение (DSS)
Отслеживание, измерение и оценка (MEA)
Оценка, выбор направления и
наблюдение (EDM)
Использование COBIT для повышения эффекта от внедрения ИТСтраница 22
Структура описания ИТ процесса в COBIT 5
► Описание ИТ процесса► Назначение ИТ процесса► Связанные типовые цели ИТ по COBIT (несколько)► Цели ИТ процесса (несколько)► Матрица распределения ролей в рамках процесса► Практики управления ИТ процессом (несколько)
► Описание
► Входные и выходные данные
► Действия в рамках практики управления ИТ процессом
► Дополнительные источники информации по ИТ процессу
Использование COBIT для повышения эффекта от внедрения ИТСтраница 23
APO05. Управление портфелем инвестицийОписание процесса
► Осуществление стратегического управления инвестициями в соответствии с видением архитектуры предприятия и необходимыми характеристиками инвестиционного портфеля, с учетом различных категорий инвестиций и возможностями ресурсов и финансирования
► Оценка, определение приоритетов и сопоставление программ и услуг. Управление спросом в рамках возможностей ресурсов и финансирования, основанное на их соответствии стратегическим целям, рискам и пользе для предприятия
► Мониторинг эффективности портфеля услуг и программ, с предложением необходимых поправок в зависимости от результатов или изменения приоритетов предприятия
Использование COBIT для повышения эффекта от внедрения ИТСтраница 24
APO05. Управление портфелем инвестицийНазначение и практики управления ИТ процессом
► Оптимизация эффективности общего портфеля программ и услуг с учетом показателей их результативности, а также меняющихся приоритетов и потребностей предприятия
1. Разработка целевой структуры инвестиций
2. Определение источников финансирования и их доступности
3. Оценка и выбор направлений для финансирования
4. Мониторинг, оптимизация и отчётность об эффективности инвестиционного портфеля
5. Актуализация портфеля
6. Управление полученными выгодами
Назначение процесса
Практики управления ИТ процессом
Использование COBIT для повышения эффекта от внедрения ИТСтраница 25
APO05. Управление портфелем инвестиций
Матрица распределения ролей (часть)
Совет
Директиоров
Председатель правления
Финансовы
й директор
Операционный директор
Исполнительные директора
Владелец бизнес процесса
Стратегичес
кий исполнительный комит
ет
Проектный офис
Аудит
Директор по ИТ
APO05.01 Разработка целевой структуры инвестиций У О О К К К
APO05.02 Определение источников финансирования и их доступности К У О О
AP005.03 Оценка и выбор направлений для финансирования К У О О О О
APO05.04 Мониторинг, оптимизация и отчётность об эффективности инвестиционного портфеля
И К К К К К О К К
APO05.05 Актуализация портфеля И И О К У О ОAPO05.06 Управление полученными выгодами К К К У О И К О
О – ответственный, У – утверждающий, К – консультирующий, И - информированный
Использование COBIT для повышения эффекта от внедрения ИТСтраница 26
APO05. Управление портфелем инвестиций Связанные метрики (часть)
► Количество программ/проектов, выполненных в срок и в рамках выделенного бюджета
► Доля инвестиций в ИТ, которые привязаны к стратегии предприятия
► Степень удовлетворенности менеджмента предприятия вкладом ИТ в стратегию предприятия
► Доля инвестиций в ИТ, в которых достижение результатов отслеживается на протяжении полного экономического жизненного цикла
Использование COBIT для повышения эффекта от внедрения ИТСтраница 27
APO05. Управление портфелем инвестиций
Дополнительные источники информацииСвязанный
стандартСсылка
ISO/IEC 20000
3.1. Управление ответственностью
4.0. Планирование и внедрение управления услугами
5.0. Планирование и внедрение новых или измененных услуг
ITIL V3 2011 Стратегия услуг. 4.2. Управление портфелем услуг
Использование COBIT для повышения эффекта от внедрения ИТСтраница 28
APO05. Управление портфелем инвестицийПрактика управления ИТ процессом
► Оценка и обеспечение прозрачности стратегий предприятия, ИТ и текущих услуг
► Определение подходящей структуры инвестиций, основанной на издержках, соответствии стратегии и финансовых показателях, таких как затраты и ожидаемый ROI на протяжении полного экономического жизненного цикла, степень риска и преимущества для программ в портфеле
► Корректировка стратегий предприятия и ИТ в случае необходимости
APO05.01. Разработка целевой структуры инвестиций
Описание
Использование COBIT для повышения эффекта от внедрения ИТСтраница 29
APO05. Управление портфелем инвестицийПрактика управления ИТ процессом
1. Проконтролировать, что инвестиции в ИТ и текущие ИТ услуги соответствуют видению предприятия, принципам предприятия, стратегическим целям и задачам, архитектуре предприятия и его приоритетам
2. Достигнуть взаимопонимания между ИТ и другими бизнес функциями, чтобы выявить потенциальные возможности для ИТ поддерживать стратегию предприятия
3. Разработать структуру инвестиций, которая позволит достичь необходимого равновесия между рядом факторов, включая подходящее соотношение между краткосрочным и долгосрочным результатом, финансовыми и нефинансовыми выгодами, а также высоко- и никзорисковыми инвестициями
APO05.01. Разработка целевой структуры инвестицийДействия (1/2)
Использование COBIT для повышения эффекта от внедрения ИТСтраница 30
APO05. Управление портфелем инвестицийПрактика управления ИТ процессом
4. Идентифицировать широкие категории информационных систем, приложений, данных, ИТ услуг, инфраструктуры, ИТ активов, ресурсов, навыков, практик контролей и отношений, необходимых для поддержки стратегии предприятия
5. Согласовать ИТ стратегию и цели, принимая во внимание взаимосвязь между стратегией предприятия и ИТ услугами, активами и другими ресурсами. Определить и оценить взаимный положительный эффект, который может быть достигнут
APO05.01. Разработка целевой структуры инвестицийДействия (2/2)
Использование COBIT для повышения эффекта от внедрения ИТСтраница 31
APO05. Управление портфелем инвестицийПрактика управления ИТ процессом
Входы
EDM02.02 Типы и условия инвестиций
APO02.05 • Стратегический план развития• Инициативы по оценке рисков• Определение стратегических инициатив
APO06.02 Определение приоритетов и ранжирование ИТ инициатив
APO09.01 Определение стандартных услуг
BAI03.11 Определение услуг
Выходы
Определенная структура инвестиций
Внутренний
Определенные ресурсы и средства, необходимые для поддержки стратегии
Внутренний
Отзывы о стратегии и целях APO02.05
APO05.01. Разработка целевой структуры инвестиций
Входные и выходные данные ИТ процесса
Использование COBIT для повышения эффекта от внедрения ИТСтраница 32
APO05. Управление портфелем инвестицийПрактика управления ИТ процессом
► Мониторинг выгод от предоставления и поддержки средств и услуг ИТ, основанный на текущих согласованных бизнес задачах
APO05.06. Управление полученными выгодами
Описание
Использование COBIT для повышения эффекта от внедрения ИТСтраница 33
APO05. Управление портфелем инвестицийПрактика управления ИТ процессом
1. Использовать утвержденные метрики, чтобы отслеживать, как реализуются преимущества, полученные от ИТ услуг, как данные преимущества изменяются в течение жизненного цикла программ и проектов, и насколько они сопоставимы с внутренними и отраслевыми показателями
2. Осуществлять корректирующие действия, когда полученные преимущества существенно отличаются от ожидаемых. Пересмотреть потребности бизнеса с учетом новых инициатив и осуществить требуемые улучшения бизнес процессов и услуг
3. Рассмотреть возможность получения рекомендаций от внешних экспертов, произвести оценку относительно статистических показателей, чтобы сравнить и улучшить метрики и цели
APO05.06. Управление полученными выгодамиДействия
Использование COBIT для повышения эффекта от внедрения ИТСтраница 34
APO05. Управление портфелем инвестицийПрактика управления ИТ процессом
Входы
BAI01.04 Бюджеты программ и перечни преимуществ
BAI01.05 Результаты мониторинга достижения преимуществ
Выходы
Результаты реализации преимуществ
EDM02.01APO09.04BAI01.05
Корректирующие действия для улучшения реализации преимуществ
APO09.04BAI01.06
APO05.06. Управление полученными выгодами
Входные и выходные данные ИТ процесса
Использование COBIT для повышения эффекта от внедрения ИТСтраница 35
Заключение
Использование COBIT для повышения эффекта от внедрения ИТСтраница 36
На чем необходимо сконцентрироваться ИТ руководителю?
Взаимодействие с бизнесом Связь бизнес-целей с деятельностью ИТ
подразделений Эффективные коммуникации Продвижение инноваций
Оценка рентабельности инвестиций в ИТ Эффективное управление ИТ бюджетом
Использование COBIT для повышения эффекта от внедрения ИТСтраница 37
Методология COBIT предоставляет инструменты, для совершенствования в указанных областях
COBIT 5
Взаимодействие с бизнесом Связь бизнес-целей с деятельностью ИТ
подразделений Эффективные коммуникации Продвижение инноваций
Оценка рентабельности инвестиций в ИТ Эффективное управление ИТ бюджетом
Использование COBIT для повышения эффекта от внедрения ИТСтраница 38
Как получить COBIT?
► Основной документ COBIT framework бесплатен и доступен на www.isaca.org
► Дополнительные документы можно купить онлайн (руководства по внедрению, программы аудита технологий, исследования, инструменты для оценки и бенчмаркинга)
► Членство в ISACA открывает доступ к большому количеству полезных документов бесплатно
► Существует изданная платная русскоязычная версия COBIT 4.1
► Ведется работа над бесплатным русскоязычным переводом COBIT 5, который будет доступен до конца 2012 года на www.isaca.org
Спасибо за внимание!
Кирилл Домнич, CISA, [email protected]+375 17 209 4535www.ey.com/belarus
Использование COBIT для повышения эффекта от внедрения ИТСтраница 40
Важная информация
► Данная презентация содержит лишь общие сведения касательно представленной темы. Информация из этой презентации не должна рассматриваться в качестве исчерпывающей или достаточной для принятия каких-либо решений, а также использоваться для оказания профессиональных консультаций
► Ernst & Young не несет ответственности за какие-либо убытки вызванные действием/бездействием касательно вопросов, освещенных в данной презентации
► Информация в данной презентации дополняется устными пояснениями докладчика и должна рассматриваться только в свете этих устных пояснений
► Если Вам требуются какие-либо разъяснения, дополнительная информация или конкретная консультация по вопросам, связанным с темой доклада, свяжитесь с нами, и мы будем рады обсудить интересующие Вас вопросы