nacini za uslagasavanje it procesa i poslovnih ciljeva cobi t
DESCRIPTION
TRANSCRIPT
© 2012 KPMG d.o.o. Beograd, a Serbian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. Printed in Serbia. 0
Načini za usaglašavanje IT procesa i poslovnih ciljeva CobiT okvir
April 2012
Nebojša Janković, CISA Assistant manager KPMG IT Advisory
© 2012 KPMG d.o.o. Beograd, a Serbian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. Printed in Serbia. 1
Informacione tehnologije danas predstavljaju jedan od najbitnijih elemenata u poslovanju.
Obavljanje poslovnih procesa u modernom poslovanju praktično nije moguće bez upotrebe naprednih informacionih tehnologija koje prožimaju sve aspekte današnjeg poslovanja. Uslov opstanka bilo koje organizacije je da raspolaže adekvatnim informacionim sistemom, u kojem su razrađeni postupci informacionih aktivnosti.
Izazovi upravljanja informacionim sistemima
© 2012 KPMG d.o.o. Beograd, a Serbian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. Printed in Serbia. 2
Za procenu svakog elementa vašeg informacionog sistema, koristimo CobiT okvir kao u praksi generalno primenljiv i prihvaćen standard radi dostizanja dobre bezbednosti,
funkcionalnosti i kontrole nad IT procesima.
Osnovni cilj je pomoć vašoj organizaciji da poboljša upravljanje informacionim sistemom, da ga bolje uskladi sa poslovnim procesima kao i da izbalansira rizike i kontrole na troškovno efikasan način.
KPMG pruža pomoć i rešenja vezano za:
■ Poboljšanje sigurnosti vaših IT sistema ■ Umanjenje relevantnih rizika ■ Usklađivanje IT procesa sa poslovnim ciljevima ■ Povećanje funkcionalnosti i efikasnosti ■ Ispunjenje potrebnih standarda i regulatornih zahteva
Pregled informacionih sistema
© 2012 KPMG d.o.o. Beograd, a Serbian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. Printed in Serbia. 3
CobiT (Control Objectives for Information and related Technology) je okvir kreiran od strane međunarodnog udruženja za reviziju i kontrolu informacionih sistema (Information Systems Audit and Control Association (ISACA)), i Instituta za upravljanje IT-em (IT Governance Institute (ITGI)). CobiT je baziran na sledećem principu: Da bi se obezbedile informacije koje su potrebne organizaciji za ostvarenje ciljeva, organizacija mora da investira u IT resurse, da njima upravlja i da ih kontroliše koristeći struktuiran skup procesa. CobiT 4.1 okvir je podeljen na 4 oblasti : o Planiranje i Organizacija o Nabavka i Implementacija o Isporuka i Održavanje o Nadgledanje i Procena Takođe svaka od oblasti sadrži procese koji su detaljnije određeni. Ukupno postoji 34 procesa za proveru. Za svaki proces okvir definiše ulazne podatke, pristup analizi kontrola, izlazne podatke, merenje ciljeva svake kontrole, odgovornost za izvršenje procesa i nivo zrelosti procesa. Svaki od procesa se sastoji od detaljnih kontrola koje se ocenjuju i koje predstavljaju najniži nivo podele u CobiT 4.1 okviru.
Cobit 4.1 okvir – osnovni opis
© 2012 KPMG d.o.o. Beograd, a Serbian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. Printed in Serbia. 4
CobiT
■ je okvir koji se sastoji od standarda i kontrola koje su kreirane da pomognu u primeni, pregledu, administraciji i nadgledanju IT -a,
■ je osnova koji povezuje informacione tehnologije i njene kontrole i pomaže u usklađivanju IT strategije sa poslovnom strategijom,
■ konsoliduje i usaglašava standarde iz više uglednih globalnih izvora u ključni resurs za rukovodstvo, stručnjake kontrolore i revizore,
■ je baziran na filozofiji da se IT resursima mora upravljati skupom prirodno grupisanih procesa kako bi obezbedili primenljive i pouzdane informacije koje su potrebne organizaciji da bi ostvarila svoje ciljeve
■ je orijentisan na poslovne procese i pruža vlasnicima poslovnih procesa okvir koji treba da im omogući kontrolu nad različitim aktivnostima koji su osnov za razvoj informacionih tehnologija
■ pomaže u premošćavanju razlika između poslovnih rizika, potreba kontrole i tehničkih problema prikazujući kontrole na jedinstven način
Cobit 4.1 okvir – karakteristike
© 2012 KPMG d.o.o. Beograd, a Serbian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. Printed in Serbia. 5
CobiT Opšti pregled
Efektivnost Efikasnost Poverljivost Integritet Raspoloživost Dostupnost Usklađenost Pouzdanost
Aplikacije Podaci Infrastruktura Ljudi
VAŽNOST PODATAKA
IT RESURSI
NADGLEDANJE I PROCENA (ME) PLANIRANJE I
ORGANIZACIJA (PO)
NABAVKA I IMPLEMENTACIJA (AI)
ISPORUKA I ODRŽAVANJE (DS)
RUKOVOĐENJE PROCESIMA
RUKOVOĐENJE ORGANIZACIJOM
© 2012 KPMG d.o.o. Beograd, a Serbian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. Printed in Serbia. 6
Planiranje i Organizacija
Nadgledanje i Procena
Isporuka i Održavanje
Nabavka i Implementacija
Planiranje i Organizacija (PO) Oblast pokriva strategiju i taktike i pokušava da odredi način na koji IT može da ispuni i podrži strateške i poslovne ciljeve organizacije.
Nabavka i Implementacija (AI) Da bi se ispunila IT strategija, IT rešenja moraju da se izaberu, razviju ili kupe, implementiraju i objedine sa poslovnim procesima. Ova oblast takođe pokriva promene i održavanje sistema.
Isporuka i Održavanje (DS) Oblast pokriva izvršenje zahteva upućenih IT-u od poslovne strane što uključuje puštanje sistema u pogon, upravljanje sigurnošću sistema, plan oporavka, podršku korisnicima i upravljanje podacima i sistemima na kojima su podaci.
Nadgledanje i Procena (ME) Ova oblast pokriva rukovođenje karakteristikama sistema, kontrolisanje i procenu internih kontrola i usaglašavanje sa spoljašnjim regulativama.
Cobit 4.1 okvir – oblasti
© 2012 KPMG d.o.o. Beograd, a Serbian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. Printed in Serbia. 7
ME1 – Kontrolisanje i procena IT performansi ME2 – Kontrolisanje i procena internih kontrola ME3 – Usaglašavanje sa spoljašnjim zahtevima ME4 – Određivanje rukovođenja IT procesima
DS1 – Određivanje i rukovođenje uslugama DS2 – Rukovođenje uslugama dobavljača DS3 – Upravljanje performansom i kapacitetom DS4 – Održavanje neprekidne podrške DS5 – Održavanje sigurnosti sistema DS6 – Određivanje i raspoređivanje troškova DS7 – Obuka korisnika DS8 – Rukovođenje servisiranjem i kvarovima DS9 – Određivanje konfiguracije DS10 – Rukovođenje problemima DS11 – Kontrola podataka DS12 – Rukovođenje okruženjem DS13 – Rukovođenje dnevnim poslovima
PO1 – Određivanje strateškog plana ITa PO2 – Određivanje strukture podataka PO3 – Određivanje IT smernica PO4 – Određivanje IT procesa, organizacije i odnosa sektora PO5 – Upravljanje IT investicijama PO6 - Komuniciranje ciljeva i smernica rukovodstva PO7 – Upravljanje IT kadrovima PO8 – Upravljanje kvalitetom IT usluga PO9 – Ocena i rukovođenje IT rizicima PO10 – Rukovođenje projektima
AI1 – Određivanje automatizovanog rešenja AI2 – Nabavka i održavanje aplikacija AI3 – Nabavka i održavanja IT infrastrukture AI4 – Osposobljavanje za rad i korišćenje AI5 – Određivanje IT resursa AI6 – Upravljanje promenama AI7 – Instaliranje i potvrda rešenja i promena
ISPORUKA I ODRŽAVANJE
NABAVKA I IMPLEMENTACIJA
NADGLEDANJE I PROCENA
PLANIRANJE I ORGANIZACIJA
Cobit 4.1 procesi
© 2012 KPMG d.o.o. Beograd, a Serbian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. Printed in Serbia. 8
Na osnovu analize dolazi se do nivoa zrelosti svakog procesa u organizaciji koji pokazuje gde je organizacija danas, gde bi želela da bude i ako postoje podaci, vrši se poređenje sa industrijskim prosekom.
Okvir predlaže da se razmatraju samo oni procesi koji su relevantni za vašu organizaciju i koji mogu imati uticaj na IT sigurnost i doprinos IT-a poslovnim ciljevima.
IT resurse
Poslovni zahtevi
Informacije preduzeća
IT procesi
utiču na investicije u
koje koriste
da bi dostavili
koje odgovaraju
Oblasti
Procesi
Aktivnosti
IT P
roce
si
Poslovni zahtevi
Aplik
acije
In
form
acije
Infr
astr
uktu
ra
Ljud
i
Cobit 4.1 okvir – poslovna orijentacija
© 2012 KPMG d.o.o. Beograd, a Serbian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. Printed in Serbia. 9
Karakteristike za ocenu zrelosti Objašnjenje
Obaveštenost i komunikacija Da li je zahtev za proces prepoznat i saopšten u celoj organizaciji ?
Politike, standardi i procedure Da li je trenutna dokumentacija kompletna i upotrebljiva? Da li su odgovarajuće procedure i politike prihvaćene i primenjene? Da li se poboljšanja primenjuju u politikama, procedurama i standardima, i da li je proces zbog toga efikasniji?
Alati i automatizacija Koji je nivo automatizacije procesa? Da li alati (aplikacije itd) postoje da podrže proces i da li su svi alati integrisani radi veće efikasnost procesa?
Znanje i stručnost Da li su dokumentovani zahtevi za obuku i unapređenje stručnosti kadrova? Da li obučavanje kadrova uključuje napredne koncepte i tehnike?
Odgovornost i izvršenje zadataka Da li je određeno i prihvaćeno ko je odgovoran za proces, a ko izvršava zadatke? Da li vlasnici poslovnih procesa imaju moć određivanja konačnih odluka?
Određivanje i merenje ciljeva Da li su određeni tačni ciljevi za proces i sve aktivnosti? Da li ispunjavanje ciljeva može da se izmeri, i da li se ta mera trajno koristi za poboljšanje procesa i efikasno izveštavanje o rezultatima procesa?
Određivanje nivoa zrelosti procesa Pri ocenjivanju zrelosti svakog od 34 procesa, oslanja se na CMM- Control Maturity Model. Model zrelosti određuje karakteristike za proveru i dodeljuje ocene za svaku karakteristiku. CobiT 4.1 definiše sledeće karakteristike koje se koriste pri proceni:
Zrelost procesa
© 2012 KPMG d.o.o. Beograd, a Serbian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. Printed in Serbia. 10
CobiT 4.1 zatim definiše sledeće ocene zrelosti koje se koriste pri ocenjivanju 6 karakteristika: Ocena nivoa zrelosti Objašnjenje
0 Nepostojeći proces Ne postoji bilo kakav prepoznatljiv proces. Organizacija ne prepoznaje da postoji problem koji treba da se reši.
1 Početni / Povremeni proces
Organizacija je prepoznala da problemi postoje i treba da se reše. Međutim, proces nije standardizovan. Rešenja individualnih problema su po potrebi (ad-hoc) ili se rešenje nalazi samo kada se problem dogodi.
2 Proces se ponavlja ali je neposredan
Zaposleni iz raznih sektora počinju da koriste slične procedure za rešavanje istog problema. Nema zvanične obuke ili saopštenja o standardnim procedurama, i odgovornost je individualna. Organizacija se dosta oslanja na lično znanje zaposlenih, i prema tome, greške su česte.
3 Definisan proces Procedure su standardizovane i dokumentovane, i saopštene zaposlenima kroz obuku. Zaposlenima je saopšten nalog da se proces prati, ali se ne prate odstupanja zaposlenih od procesa. Same procedure nisu previše napredne nego samo predstavljaju dosadašnje procedure koje su dokumentovane.
4 Rukovođen i merljiv proces
Rukovodstvo prati i meri usaglašenost zaposlenih sa procedurama i preduzima odgovarajuće mere prema zaposlenima ako proces ne funkcioniše kako je predviđeno. Neprekidno se radi na unapređivanju procesa i procesi se pravilno upotrebljavaju. Korišćenje automatizacije i alata je ograničeno ili po potrebi.
5 Optimizovan proces Procesi su usavršeni do nivoa naprednog upotrebljavanja uz neprekidno usavršavanje i korišćenje ocene zrelosti procesa radi poređenja sa drugim organizacijama. Informacione tehnologije se koriste za objedinjavanje i automatizaciju procesa i postoje alati koji unapređuju kvalitet i efikasnost procesa. Organizacija se zbog toga brzo prilagođava promenama.
Nivoi zrelosti
© 2012 KPMG d.o.o. Beograd, a Serbian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. Printed in Serbia. 11
Aplikacije Informacije
Infrastruktura
Ljudi
a) Informacioni kriterijumi b) IT resursi c) Fokus upravljanja
d) RACI matrica Utvrđuje se ko je odgovoran za proces (A), ko taj proces operativno izvršava (R) po nalogu osobe (A), ko se pita za mišljenje u vezi procesa (C) i ko je sve informisan o dobijenim rezultatima (I).
Prikaz ciljeva i metrika procesa
© 2012 KPMG d.o.o. Beograd, a Serbian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. Printed in Serbia. 12
Pri ocenjivanju kontrola za svaki od procesa, koriste se nivoi kontrola koji su definisani. Okvir definiše kontrole kao politike, procedure, standarde i organizacione strukture za koje se može opravdano reći da podržavaju ciljeve jedne organizacije i koji sprečavaju, otkrivaju ili ispravljaju nepredviđene događaje u poslovanju. Svaki CobiT 4.1 proces ima mnogobrojne kontrole koje se koriste da bi se proces proverio. CobiT 4.1 definiše sledeći nivo ocene kontrola:
Nivo ocene kontrola Objašnjenje A Nepostojeća kontrola Nema nagoveštaja da je cilj kontrole uopšte postignut.
B Primetna kontrola Izvođenje kontrola se nazire, ali je slabo formalizovano.
C Naprednija kontrola Neke kontrole su definisane, ali ne postoji periodično ili organizovano praćenje kontrola.
D Definisana kontrola Definisano je solidno izvođenje kontrola koje podržavaju određene ciljeve. Kontrole se nezvanično prate.
E Procenjena kontrola Kontrola je definisana na taj način da može da se periodično prati i procenjuje.
F Optimizovana kontrola Izvršenje kontrole je integrisano u informacioni sistem rukovođenja, uključujuću neprekidno usavršavanje kontrole, i sigurnost u određenu kontrolu postoji.
Ocena kontrola u procesu
© 2012 KPMG d.o.o. Beograd, a Serbian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. Printed in Serbia. 13
Izbor procesa i kontrola za pregled Usaglašavanje o dinamici i planu rada
Analiza IT organizacije, procesa i sistema
Pregled politika, procedura, uputstava, ugovora i ostale dokumentacije
Procena adekvatnosti sigurnosnih kontrola na IT procesima i rizika IS
Ocena zrelosti kontrola, procesa i oblasti Razmatranje preporuka za smanjenje
rizika i unapređenje zrelosti IT procesa
RACI matrica i razumevanje trenutne IT organizacije
Uočeni nedostaci vezano za IT procese, dokumentaciju, opremu i aplikacije
Detaljni nalazi, identifikovani rizici i preporuke za rešavanje uočenih nedostataka
Ocena nivoa zrelosti po svim procesima i oblastima kao i za organizaciju u celini
Pregled procesa i kontrola Pregled nalaza Određivanje preporuka za
implementaciju
Predavanje finalne verzije izveštaja Prezentacija za rukovodstvo Razmatranje sledećih koraka
1.
Pregled procesa
2.
Rad na terenu i
testiranje
3.
Izveštavanje
Aktivnosti Rezultati
Naš pristup se sastoji od tri koraka koji će omogućiti postizanje ciljeva projekta
Pregled sigurnosti i zrelosti informacionih sistema
© 2012 KPMG d.o.o. Beograd, a Serbian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. Printed in Serbia. 14
buduće trenutno
Obaveštenost i komunikacija
Politike, standardi i procedure
Alati i automatizacija
Znanje i s tručnost Odgovornost i izvršenje zadataka
Određivanje i merenje ciljeva
5
4
3
2
1
0.0 1.0 2.0 3.0 4.0 5.0
PO1
PO3
PO4
PO5
PO6
PO7
PO9
PO10
Planiranje i organizacija (PO)
Primer ocenjivanja
© 2012 KPMG d.o.o. Beograd, a Serbian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (KPMG International), a Swiss entity. All rights reserved.
The KPMG name, logo and ‘cutting through complexity’ are registered trademarks or trademarks of KPMG International Cooperative (KPMG International).
Dušan Tomić Partner, FS Kraljice Natalije 11 11000 Beograd [email protected] Tel. +381 (11) 20 50 521 Mob +381 (60) 20 55 521
Nebojša Janković Assistant Manager, FS Kraljice Natalije 11 11000 Beograd [email protected] Tel. +381 (11) 20 50 603 Mob +381 (60) 20 55 603