nacini za uslagasavanje it procesa i poslovnih ciljeva cobi t

© 2012 KPMG d.o.o. Beograd, a Serbian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. Printed in Serbia. 0

Načini za usaglašavanje IT procesa i poslovnih ciljeva CobiT okvir

April 2012

Nebojša Janković, CISA Assistant manager KPMG IT Advisory


Informacione tehnologije danas predstavljaju jedan od najbitnijih elemenata u poslovanju.

Obavljanje poslovnih procesa u modernom poslovanju praktično nije moguće bez upotrebe naprednih informacionih tehnologija koje prožimaju sve aspekte današnjeg poslovanja. Uslov opstanka bilo koje organizacije je da raspolaže adekvatnim informacionim sistemom, u kojem su razrađeni postupci informacionih aktivnosti.

Izazovi upravljanja informacionim sistemima


Za procenu svakog elementa vašeg informacionog sistema, koristimo CobiT okvir kao u praksi generalno primenljiv i prihvaćen standard radi dostizanja dobre bezbednosti,

funkcionalnosti i kontrole nad IT procesima.

Osnovni cilj je pomoć vašoj organizaciji da poboljša upravljanje informacionim sistemom, da ga bolje uskladi sa poslovnim procesima kao i da izbalansira rizike i kontrole na troškovno efikasan način.

KPMG pruža pomoć i rešenja vezano za:

■ Poboljšanje sigurnosti vaših IT sistema ■ Umanjenje relevantnih rizika ■ Usklađivanje IT procesa sa poslovnim ciljevima ■ Povećanje funkcionalnosti i efikasnosti ■ Ispunjenje potrebnih standarda i regulatornih zahteva

Pregled informacionih sistema


CobiT (Control Objectives for Information and related Technology) je okvir kreiran od strane međunarodnog udruženja za reviziju i kontrolu informacionih sistema (Information Systems Audit and Control Association (ISACA)), i Instituta za upravljanje IT-em (IT Governance Institute (ITGI)). CobiT je baziran na sledećem principu: Da bi se obezbedile informacije koje su potrebne organizaciji za ostvarenje ciljeva, organizacija mora da investira u IT resurse, da njima upravlja i da ih kontroliše koristeći struktuiran skup procesa. CobiT 4.1 okvir je podeljen na 4 oblasti : o Planiranje i Organizacija o Nabavka i Implementacija o Isporuka i Održavanje o Nadgledanje i Procena Takođe svaka od oblasti sadrži procese koji su detaljnije određeni. Ukupno postoji 34 procesa za proveru. Za svaki proces okvir definiše ulazne podatke, pristup analizi kontrola, izlazne podatke, merenje ciljeva svake kontrole, odgovornost za izvršenje procesa i nivo zrelosti procesa. Svaki od procesa se sastoji od detaljnih kontrola koje se ocenjuju i koje predstavljaju najniži nivo podele u CobiT 4.1 okviru.

Cobit 4.1 okvir – osnovni opis


CobiT

■ je okvir koji se sastoji od standarda i kontrola koje su kreirane da pomognu u primeni, pregledu, administraciji i nadgledanju IT -a,

■ je osnova koji povezuje informacione tehnologije i njene kontrole i pomaže u usklađivanju IT strategije sa poslovnom strategijom,

■ konsoliduje i usaglašava standarde iz više uglednih globalnih izvora u ključni resurs za rukovodstvo, stručnjake kontrolore i revizore,

■ je baziran na filozofiji da se IT resursima mora upravljati skupom prirodno grupisanih procesa kako bi obezbedili primenljive i pouzdane informacije koje su potrebne organizaciji da bi ostvarila svoje ciljeve

■ je orijentisan na poslovne procese i pruža vlasnicima poslovnih procesa okvir koji treba da im omogući kontrolu nad različitim aktivnostima koji su osnov za razvoj informacionih tehnologija

■ pomaže u premošćavanju razlika između poslovnih rizika, potreba kontrole i tehničkih problema prikazujući kontrole na jedinstven način

Cobit 4.1 okvir – karakteristike


CobiT Opšti pregled

Efektivnost Efikasnost Poverljivost Integritet Raspoloživost Dostupnost Usklađenost Pouzdanost

Aplikacije Podaci Infrastruktura Ljudi

VAŽNOST PODATAKA

IT RESURSI

NADGLEDANJE I PROCENA (ME) PLANIRANJE I

ORGANIZACIJA (PO)

NABAVKA I IMPLEMENTACIJA (AI)

ISPORUKA I ODRŽAVANJE (DS)

RUKOVOĐENJE PROCESIMA

RUKOVOĐENJE ORGANIZACIJOM


Planiranje i Organizacija

Nadgledanje i Procena

Isporuka i Održavanje

Nabavka i Implementacija

Planiranje i Organizacija (PO) Oblast pokriva strategiju i taktike i pokušava da odredi način na koji IT može da ispuni i podrži strateške i poslovne ciljeve organizacije.

Nabavka i Implementacija (AI) Da bi se ispunila IT strategija, IT rešenja moraju da se izaberu, razviju ili kupe, implementiraju i objedine sa poslovnim procesima. Ova oblast takođe pokriva promene i održavanje sistema.

Isporuka i Održavanje (DS) Oblast pokriva izvršenje zahteva upućenih IT-u od poslovne strane što uključuje puštanje sistema u pogon, upravljanje sigurnošću sistema, plan oporavka, podršku korisnicima i upravljanje podacima i sistemima na kojima su podaci.

Nadgledanje i Procena (ME) Ova oblast pokriva rukovođenje karakteristikama sistema, kontrolisanje i procenu internih kontrola i usaglašavanje sa spoljašnjim regulativama.

Cobit 4.1 okvir – oblasti


ME1 – Kontrolisanje i procena IT performansi ME2 – Kontrolisanje i procena internih kontrola ME3 – Usaglašavanje sa spoljašnjim zahtevima ME4 – Određivanje rukovođenja IT procesima

DS1 – Određivanje i rukovođenje uslugama DS2 – Rukovođenje uslugama dobavljača DS3 – Upravljanje performansom i kapacitetom DS4 – Održavanje neprekidne podrške DS5 – Održavanje sigurnosti sistema DS6 – Određivanje i raspoređivanje troškova DS7 – Obuka korisnika DS8 – Rukovođenje servisiranjem i kvarovima DS9 – Određivanje konfiguracije DS10 – Rukovođenje problemima DS11 – Kontrola podataka DS12 – Rukovođenje okruženjem DS13 – Rukovođenje dnevnim poslovima

PO1 – Određivanje strateškog plana ITa PO2 – Određivanje strukture podataka PO3 – Određivanje IT smernica PO4 – Određivanje IT procesa, organizacije i odnosa sektora PO5 – Upravljanje IT investicijama PO6 - Komuniciranje ciljeva i smernica rukovodstva PO7 – Upravljanje IT kadrovima PO8 – Upravljanje kvalitetom IT usluga PO9 – Ocena i rukovođenje IT rizicima PO10 – Rukovođenje projektima

AI1 – Određivanje automatizovanog rešenja AI2 – Nabavka i održavanje aplikacija AI3 – Nabavka i održavanja IT infrastrukture AI4 – Osposobljavanje za rad i korišćenje AI5 – Određivanje IT resursa AI6 – Upravljanje promenama AI7 – Instaliranje i potvrda rešenja i promena

ISPORUKA I ODRŽAVANJE

NABAVKA I IMPLEMENTACIJA

NADGLEDANJE I PROCENA

PLANIRANJE I ORGANIZACIJA

Cobit 4.1 procesi


Na osnovu analize dolazi se do nivoa zrelosti svakog procesa u organizaciji koji pokazuje gde je organizacija danas, gde bi želela da bude i ako postoje podaci, vrši se poređenje sa industrijskim prosekom.

Okvir predlaže da se razmatraju samo oni procesi koji su relevantni za vašu organizaciju i koji mogu imati uticaj na IT sigurnost i doprinos IT-a poslovnim ciljevima.

IT resurse

Poslovni zahtevi

Informacije preduzeća

IT procesi

utiču na investicije u

koje koriste

da bi dostavili

koje odgovaraju

Oblasti

Procesi

Aktivnosti

IT P

roce

si

Poslovni zahtevi

Aplik

acije

In

form

acije

Infr

astr

uktu

ra

Ljud

i

Cobit 4.1 okvir – poslovna orijentacija


Karakteristike za ocenu zrelosti Objašnjenje

Obaveštenost i komunikacija Da li je zahtev za proces prepoznat i saopšten u celoj organizaciji ?

Politike, standardi i procedure Da li je trenutna dokumentacija kompletna i upotrebljiva? Da li su odgovarajuće procedure i politike prihvaćene i primenjene? Da li se poboljšanja primenjuju u politikama, procedurama i standardima, i da li je proces zbog toga efikasniji?

Alati i automatizacija Koji je nivo automatizacije procesa? Da li alati (aplikacije itd) postoje da podrže proces i da li su svi alati integrisani radi veće efikasnost procesa?

Znanje i stručnost Da li su dokumentovani zahtevi za obuku i unapređenje stručnosti kadrova? Da li obučavanje kadrova uključuje napredne koncepte i tehnike?

Odgovornost i izvršenje zadataka Da li je određeno i prihvaćeno ko je odgovoran za proces, a ko izvršava zadatke? Da li vlasnici poslovnih procesa imaju moć određivanja konačnih odluka?

Određivanje i merenje ciljeva Da li su određeni tačni ciljevi za proces i sve aktivnosti? Da li ispunjavanje ciljeva može da se izmeri, i da li se ta mera trajno koristi za poboljšanje procesa i efikasno izveštavanje o rezultatima procesa?

Određivanje nivoa zrelosti procesa Pri ocenjivanju zrelosti svakog od 34 procesa, oslanja se na CMM- Control Maturity Model. Model zrelosti određuje karakteristike za proveru i dodeljuje ocene za svaku karakteristiku. CobiT 4.1 definiše sledeće karakteristike koje se koriste pri proceni:

Zrelost procesa


CobiT 4.1 zatim definiše sledeće ocene zrelosti koje se koriste pri ocenjivanju 6 karakteristika: Ocena nivoa zrelosti Objašnjenje

0 Nepostojeći proces Ne postoji bilo kakav prepoznatljiv proces. Organizacija ne prepoznaje da postoji problem koji treba da se reši.

1 Početni / Povremeni proces

Organizacija je prepoznala da problemi postoje i treba da se reše. Međutim, proces nije standardizovan. Rešenja individualnih problema su po potrebi (ad-hoc) ili se rešenje nalazi samo kada se problem dogodi.

2 Proces se ponavlja ali je neposredan

Zaposleni iz raznih sektora počinju da koriste slične procedure za rešavanje istog problema. Nema zvanične obuke ili saopštenja o standardnim procedurama, i odgovornost je individualna. Organizacija se dosta oslanja na lično znanje zaposlenih, i prema tome, greške su česte.

3 Definisan proces Procedure su standardizovane i dokumentovane, i saopštene zaposlenima kroz obuku. Zaposlenima je saopšten nalog da se proces prati, ali se ne prate odstupanja zaposlenih od procesa. Same procedure nisu previše napredne nego samo predstavljaju dosadašnje procedure koje su dokumentovane.

4 Rukovođen i merljiv proces

Rukovodstvo prati i meri usaglašenost zaposlenih sa procedurama i preduzima odgovarajuće mere prema zaposlenima ako proces ne funkcioniše kako je predviđeno. Neprekidno se radi na unapređivanju procesa i procesi se pravilno upotrebljavaju. Korišćenje automatizacije i alata je ograničeno ili po potrebi.

5 Optimizovan proces Procesi su usavršeni do nivoa naprednog upotrebljavanja uz neprekidno usavršavanje i korišćenje ocene zrelosti procesa radi poređenja sa drugim organizacijama. Informacione tehnologije se koriste za objedinjavanje i automatizaciju procesa i postoje alati koji unapređuju kvalitet i efikasnost procesa. Organizacija se zbog toga brzo prilagođava promenama.

Nivoi zrelosti


Aplikacije Informacije

Infrastruktura

Ljudi

a) Informacioni kriterijumi b) IT resursi c) Fokus upravljanja

d) RACI matrica Utvrđuje se ko je odgovoran za proces (A), ko taj proces operativno izvršava (R) po nalogu osobe (A), ko se pita za mišljenje u vezi procesa (C) i ko je sve informisan o dobijenim rezultatima (I).

Prikaz ciljeva i metrika procesa


Pri ocenjivanju kontrola za svaki od procesa, koriste se nivoi kontrola koji su definisani. Okvir definiše kontrole kao politike, procedure, standarde i organizacione strukture za koje se može opravdano reći da podržavaju ciljeve jedne organizacije i koji sprečavaju, otkrivaju ili ispravljaju nepredviđene događaje u poslovanju. Svaki CobiT 4.1 proces ima mnogobrojne kontrole koje se koriste da bi se proces proverio. CobiT 4.1 definiše sledeći nivo ocene kontrola:

Nivo ocene kontrola Objašnjenje A Nepostojeća kontrola Nema nagoveštaja da je cilj kontrole uopšte postignut.

B Primetna kontrola Izvođenje kontrola se nazire, ali je slabo formalizovano.

C Naprednija kontrola Neke kontrole su definisane, ali ne postoji periodično ili organizovano praćenje kontrola.

D Definisana kontrola Definisano je solidno izvođenje kontrola koje podržavaju određene ciljeve. Kontrole se nezvanično prate.

E Procenjena kontrola Kontrola je definisana na taj način da može da se periodično prati i procenjuje.

F Optimizovana kontrola Izvršenje kontrole je integrisano u informacioni sistem rukovođenja, uključujuću neprekidno usavršavanje kontrole, i sigurnost u određenu kontrolu postoji.

Ocena kontrola u procesu


Izbor procesa i kontrola za pregled Usaglašavanje o dinamici i planu rada

Analiza IT organizacije, procesa i sistema

Pregled politika, procedura, uputstava, ugovora i ostale dokumentacije

Procena adekvatnosti sigurnosnih kontrola na IT procesima i rizika IS

Ocena zrelosti kontrola, procesa i oblasti Razmatranje preporuka za smanjenje

rizika i unapređenje zrelosti IT procesa

RACI matrica i razumevanje trenutne IT organizacije

Uočeni nedostaci vezano za IT procese, dokumentaciju, opremu i aplikacije

Detaljni nalazi, identifikovani rizici i preporuke za rešavanje uočenih nedostataka

Ocena nivoa zrelosti po svim procesima i oblastima kao i za organizaciju u celini

Pregled procesa i kontrola Pregled nalaza Određivanje preporuka za

implementaciju

Predavanje finalne verzije izveštaja Prezentacija za rukovodstvo Razmatranje sledećih koraka

1.

Pregled procesa

2.

Rad na terenu i

testiranje

3.

Izveštavanje

Aktivnosti Rezultati

Naš pristup se sastoji od tri koraka koji će omogućiti postizanje ciljeva projekta

Pregled sigurnosti i zrelosti informacionih sistema


buduće trenutno

Obaveštenost i komunikacija

Politike, standardi i procedure

Alati i automatizacija

Znanje i s tručnost Odgovornost i izvršenje zadataka

Određivanje i merenje ciljeva

5

4

3

2

1

0.0 1.0 2.0 3.0 4.0 5.0

PO1

PO3

PO4

PO5

PO6

PO7

PO9

PO10

Planiranje i organizacija (PO)

Primer ocenjivanja

© 2012 KPMG d.o.o. Beograd, a Serbian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (KPMG International), a Swiss entity. All rights reserved.

The KPMG name, logo and ‘cutting through complexity’ are registered trademarks or trademarks of KPMG International Cooperative (KPMG International).

Dušan Tomić Partner, FS Kraljice Natalije 11 11000 Beograd [email protected] Tel. +381 (11) 20 50 521 Mob +381 (60) 20 55 521

Nebojša Janković Assistant Manager, FS Kraljice Natalije 11 11000 Beograd [email protected] Tel. +381 (11) 20 50 603 Mob +381 (60) 20 55 603

mailto:[email protected]�

mailto:[email protected]�

nacini za uslagasavanje it procesa i poslovnih ciljeva cobi t

Documents