close

Вход

Забыли?

вход по аккаунту

Символы в рассказах пантелеймона романова;pdf

код для вставкиСкачать
Виктор Голубев
Директор по IT Governance/COBIT
Московского отделения ISACA,
CISA,TOGAF certified
Школа IT-менеджмента,
28 февраля 2014г.
Немного про ISACA
•
ISACA (http://www.isaca.org)
– Information Systems Audit and Control Association,
основана в 1969
– объединяет более 100 000 профессионалов во
всем мире
•
Сертификации ISACA признаны во всем мире
и имеют аккредитацию ANSI
– CISA- Certified Information Systems Auditor ,
с 1978 г. более 90 000 в мире, 215 в России.
– CISM - Certified Information Security Manager,
с 2002г, более 18 000 в мире, 22 в России
– CGEIT - Certified in the Governance of Enterprise IT,
с 2007 г, более 4 800 в мире, 15 в России
– CRISС- Certified in Risk and Information Systems
Control, с 2010 г, более 16 000 в мире, 38 в
России
27.02.2014
TBS Consulting
2
Содержание
•
•
•
•
•
•
•
•
•
Изменение роли и места ИТ
Предпосылки для IT Governance
Чего хочет Бизнес от ИТ ?
Определение , цели и средства IT Governance
Место IT в Enterprise Governance
Базовые принципы IT Governance
Все про ИТ процессы
ИТ-риски и как с ними бороться
Чем отличаются СВК ИТ и внутренний ИТ-аудит
27.02.2014
TBS Consulting
3
Изменение роли и места ИТ
Результативность
Поддержка бизнеса
Эффективность
Улучшение
управления
Автоматизация
процессов
Business
Business
Управление
информацией
Business
Инновационность
Изменение правил и
порядка
Трансформация
бизнеса
IT
IT
IT
Одновременный рост сложности
и размера инвестиций
27.02.2014
TBS Consulting
4
Предпосылки для IT Governance
•
•
•
•
•
Проникновение ИТ во все сферы современного бизнеса
– Рост влияния ИТ на результаты бизнеса
– Рост бизнес-рисков, связанных с ИТ
Усиление требований – корпоративных и регуляторов
Стремительный рост размера ИТ-инвестиций
и одновременно - их непрозрачность для бизнеса
Длительность и сложность внедрения ИТ решений, рост количества
неуспешных ИТ проектов
Отсутствие общего языка:
– Бизнес не желает понимать ограничения и особенности ИТ,
– ИТ не умеет разговаривать с Бизнесом на его языке
•
" Информационный парадокс состоит в том, что в то время как
•
инвестиции в ИТ продолжают неуклонно расти, обеспечение
ценности ИТ для бизнеса остатся сомнительной"
John Thorp "Information Paradox
"Порой отношение Бизнеса к ИТ такое же как к туалету : он
ничего не хочет об этом знать, до тех пор пока ЭТО не сломается"
Terry White "What Business Really Wants From IT”
27.02.2014
TBS Consulting
5
Под гнетом Compliance…
USA Patriot Act – расширение
законодательства США по борьбе
с терроризмом
Basel II/III – международные требования к
ведению банковской деятельности
FSPA – антикоррупционный
закон США
Health Insurance
Portability and
Accountability Act
(HIPAA) - защита
персональной
медицинской
информации
8 EU Directive
PCI DDS
ФЗ 152…
Graham-Leech-Bliley (GLB) – защита
неприкосновенности частной информации
UK BA – антикоррупционный
закон Великобритании
База данных ITCi содержит более 100 локальных,
национальных и интернациональных законов, актов,
требований..,
http://www.itcinstitute.com
27.02.2014
TBS Consulting
6
Чего хочет Бизнес от ИТ? по-простому
•
"Чтобы все и всегда работало и не "падало"!"
– надежность поддержки текущих
бизнес-процессов, во всех смыслах этого слова
•
"Чтобы ИТ не "тормозил" и
не говорил мне "НЕТ"!"
– Гибкость - способность быстрой адаптации ИТ к
изменяющимся условиям
•
"Чтобы ИТ обеспечивали бизнес новыми
технологиями, …"
– Новые возможности и конкурентные преимущества
•
"Чтобы это мне ничего не стоило!"
– Низкая стоимость владения ИТ
27.02.2014
TBS Consulting
7
«Не можешь предотвратить? Возглавь!»
«IT Governance (Руководство ИТ) –зона ответственности
Высшего Руководства Компании.
IT Governance является неотъемлемой составной частью
системы управления Компанией и состоит в обеспечении
руководящей роли, создании организационных структур
и процессов, обеспечивающих со стороны ИТ поддержку
и реализацию Стратегии и целей Компании»
Источник: IT Governance Institute, «Board Briefing on IT Governance, 2nd Edition»
«ИТ – слишком важная область, чтобы
доверять ее исключительно айтишникам!»
27.02.2014
TBS Consulting
8
Место IT Governance
Enterprise Governance
Business Governance
(performance –
результативность)
Corporate Governance
(conformance соответствие)
IT Governance
*) Источники :
IFAC, «Enterprise Governance: Getting the Balance Right», USA, 2003
ISACA, COBIT (Control Objectives for Information and related Technology) 4.1, USA, 2007
27.02.2014
TBS Consulting
9
IT Governance – цели и средства
•
•
Цели:
- создание ценности для Бизнеса
- управление ИТ-рисками
Средства:
• Соответствие ИТ-стратегии
и бизнес-стратегии
• Управление ресурсами
• Измерение результативности
27.02.2014
TBS Consulting
IT
IT
Governance
Governance
Focus
Areas
Domains
Resource
Resource
Management
Management
10
Методология IT Governance - CobiT
COBIT® =
Control Objectives for Information and related Technology
•
"Де-факто" - международный стандарт по IT
Governance
•
Разработан IT Governance Institute на основе на
проверенных лучших международных практик
•
Взаимосвязан со всеми ведущими методологиями ITIL, PMBOK, TOGAF, CMM, ISO 17799, ISO 38500…
•
•
•
Широкий набор документов свободно доступен
Не догма, но руководство к действию!
Живая и постоянно развивающаяся методология
в апреле 2012 вышла версия 5
в сентябре 2013 – русский перевод
www.isaca.org/cobit
27.02.2014
TBS Consulting
11
Эволюция развития CobiT
Границы
Governance of Enterprise IT
IT Governance
Val IT 2.0
Management
(2008)
Control
Risk IT
(2009)
Audit
COBIT1
1996
27.02.2014
COBIT2
1998
COBIT3
2000
TBS Consulting
COBIT4.0/4.1
2005/7
COBIT 5
2012
12
Основные характеристики CobiT
•
Business-focused
•
•
Process-oriented
•
•
Процессный подход
Controls-based
•
•
Ориентация на бизнес-цели
Контролируемость процессов
Measurement-driven
•
27.02.2014
Измерение продуктивности
TBS Consulting
13
Базовый принцип (Business focused)
Бизнес
Требования
Которая
соответствует…
ИТ
ресурсы
Информация
Обеспечивают
ИТ
процессы
27.02.2014
Определяют
инвестиции в
ИТ
TBS Consulting
Используются
14
"Куб" CobiT
•
Бизнес-требования
•
Результативность (Effectiveness) =
ориентация на бизнес результат, гибкость
•
Эффективность (Efficiency)=
цена результата, КПД
•
•
Конфиденциальность (Confidentiality)
•
Целостность (Integrity)
•
Доступность (Availability )
•
Обеспечение Соответствия (Compliance)
•
Надежность (Reliability)
Ресурсы
•
•
•
•
•
ИТ процессы
•
•
•
27.02.2014
Приложения
Информация
Инфраструктура
Люди+Компетенции
TBS Consulting
Домены
Процессы
Подпроцессы / Контроли
15
CobiT – цикл Деминга для ИТ
P
A
А
P
C
D
P-D-C-A Цикл Деминга
Цели Бизнеса,
Требования соответствия
D
ИНФОРМАЦИЯ
C
Целостность
Эффективность
Результативность
Соответствие
Надежность
Доступность
Конфиденциальность
МОНИТОРИНГ
И ОЦЕНКА
ПЛАНИРОВАНИЕ
И ОРГАНИЗАЦИЯ
ИТ
РЕСУРСЫ
•
Любой правильно
организованный процесс
управления цикличен !
27.02.2014
Приложения
Информация
Инфраструктура
Люди
ПРЕДОСТАВЛЕНИЕ
И ПОДДЕРЖКА
TBS Consulting
ПРИОБРЕТЕНИЕ
И
ВНЕДРЕНИЕ
16
Домены процессов CobiT (Process oriented)
Мониторинг и оценка
Планирование и организация
ME1Мониторинг и оценка производительности ИТ
ME2 Мониторинг и оценка системы внутреннего
контроля
ME3 Обеспечение соответствия внешним
требованиям
ME4 Организация процесса Управления ИТ
PO1 Разработка ИТ-стратегии
PO2 Разработка и управление ИТ-архитектурой
PO3 Планирование развития инфраструктуры
PO4 Определение ИТ-процессов и оргструктуры
PO5 Управление инвестициями в ИТ
PO6 Передача целей и задач бизнеса
PO7 Управление ИТ-персоналом
PO8 Управление качеством
PO9 Оценка и управление ИТ-рисками
PO10 Управление проектами
Обеспечение и поддержка
DS1 Определение и управление уровнями обслуживания
DS2 Управление услугами третьих сторон
DS3 Управление производительностью и загрузкой
DS4 Обеспечение непрерывности обслуживания
DS5 Обеспечение безопасности
DS6 Установление и распределение стоимости
DS7 Обучение пользователей
DS8 Помощь пользователям и управление инцидентами
DS9 Управление конфигурациями
DS10 Управление проблемами
DS11 Управление данными
DS12 Управление физическим окружением
DS13 Управление операциями
27.02.2014
Приобретение и внедрение
AI1 Идентификация решения для автоматизации
AI2 Приобретение и установка прикладного ПО
AI3 Приобретение и установка технологической
инфраструктуры
AI4 Обеспечение запуска и использования систем
AI5 Обеспечение ИТ-ресурсами
AI6 Управление изменениями
AI7 Прием в эксплуатацию систем изменений
TBS Consulting
17
Требования к процессам (Control based)
•
PC1 Цели и задачи процесса
–
–
•
•
•
PC2 Ответственность за процесс
–
–
Использование стандартных процессов везде, а уникальных только в случае неизбежности
PC4 Закрепление ролей и обязанностей в процессе
Определены основные операции и конечные результаты процесса.
Назначены и коммуницированны непротиворечивые роли и обязанности для эффективного
выполнения и ответственности за конечный результат процесса
PC5 Документированность - политики, процедуры, инструкции
–
•
Назначение владельца, определение его роли и обязанностей
PC3 Повторяемость процесса
–
–
•
Определены, коммуницированы, направлены на эффективное выполнение процесса, привязаны
к бизнес-целям
Снабжены SMARRT метриками- конкретные, измеримые, действенные, реалистичные,
ориентированы на результаты и ограниченны во времени
Определен порядок документирования, анализа, обновления, поддержки, утверждения,
хранения, распространения и использования для обучения базовых ИТ документов
PC6 Постоянная оптимизация процесса
–
–
–
–
Определен набор метрик для измерения результата и ​эффективности процесса.
Установлены целевые показатели, отражающие цели процесса ( KGI – Outcomes) и показателей,
которые позволяют судить о достижимости целей процесса (KPI - Performance)
Определен способ получения этих показателей
Проводится регулярное сравнение фактических измерений и целевых показателей.
Принимаются меры по устранению отклонений
27.02.2014
TBS Consulting
18
ИТ процесс – "и это все о нем!"
•
Описание процесса
•
Контрольные цели
•
Руководство по
управлению
– Входы и выходы процесса
– Матрица ответственности
– Цели и метрики
•
Уровни зрелости
27.02.2014
TBS Consulting
19
RACI Chart –
Матрица ответственности
Activities
Functions
Матрица ответственности
Link business goals to IT goals.
C
I
A/
R
I
C
Identify critical dependencies and current
performance.
C
C
R
A/
R
C
C
C
C
C
Build an IT strategic plan.
A
C
C
R
I
C
C
C
C
I
C
Build IT tactical plans.
C
I
A
C
C
C
C
C
R
I
Analyse programme portfolios and manage
project and service portfolios.
C
I
A
R
R
C
R
C
C
I
•
I
C
RACI chart рекомендует распределение ответственности для каждого
процесса:
–
–
–
–
Responsible - выполняет,
Accountable – отвечает за конечный результат,
Consulted - консультирует
Informed – должен быть проинформирован
27.02.2014
TBS Consulting
20
Шкала зрелости процессов
(Measurement driven)
0 - Не существуют
1 – Хаотичны и неорганизованны
2 - Повторяемы
3- Документированы и доведены до
участником
4- Управляемы и измеряемы
5- Оптимизированны
27.02.2014
TBS Consulting
21
Управление ИТ-рисками
Не получение ценности
•
•
Срыв программ/проектов
Сбои ИТ-поддержки БП
ИТ-риски – это бизнес риски, связанные с использованием,
владением, вовлечением, влиянием ИТ
Источник ИТ-рисков – отсутсвие, низкая зрелость или
неэффективность ИТ-процессов
27.02.2014
TBS Consulting
22
Контроль - гарантия качества!
• «Качество ИТ» =
ценность ИТ для бизнеса + минимизация ИТ-рисков
27.02.2014
•
Качество ИТ обеспечивается наличием стандартных,
зрелых, результативных и эффективных процессов
руководства и управления ИТ!
•
Инструменты обеспечения Качества ИТ
•
Контрольная среда – совокупность политик,
процедур, практик и оргструктур, призванная
обеспечить обоснованную уверенность,
что бизнес-цели будут достигнуты,
а нежелательные события будут предотвращены
или вовремя обнаружены и исправлены." CobiT4.1
– эффективная контрольная среда,
– Система Внутреннего Контроля в ИТ (СВК ИТ) (preventive)
– Внутренний ИТ-аудит (detective)
TBS Consulting
23
СВК ИТ и ИТ-аудит – место в организации
Совет
директоров
Комитет по
аудиту
Генеральный
директор
CFO
COO
Финансовый
директор
Операционный
директор
Отдел ВК финансы
27.02.2014
CIO
… директор
ИТ директор
CxO
Внутренний
Аудит
Отдел
ИБ и ВКИТ
TBS Consulting
24
Цели и Задачи
СВК ИТ
•
•
Цель
– Обеспечение качества ИТ
процессов
Задачи
– внутренняя экспертиза по ИТпроцессам,
– идентификация ИТ-рисков,
– поддержка разработки, внедрение
и тестировании контрольных
процедур в ИТ-процессах,
– согласование и утверждение с
бизнесом зон ответственности,
– управление процессом
внутреннего самотестирования,
– Управление документацией СВК
ИТ
– поддержка прохождения внешних
ИТ-аудитов
27.02.2014
Внутренний ИТ-аудит
•
Цель
– Обеспечение руководства компании
достоверной и актуальной
информацией об уровне ИТ-рисков
• Задачи
– выработка и внедрение внутренней
методологии ИТ аудита
– планирование, подготовка и
проведение аудитов
– подготовка заключений и
доведение результатов до
проверяемых и Руководства
– подготовка отчетности по
состоянию ИТ рисков для
высшего руководства
TBS Consulting
25
Если Вас заинтересовала эта тема…
•
Есть шанс «углубить и расширить»:
•
авторский 3х-дневный курс
•
«Введение в Руководство ИТ
современной компании (IT Governance)»
•
Где? - в Академии Информационных Систем
•
Когда ? – с 26 по 28 марта с.г.
27.02.2014
TBS Consulting
26
[email protected]
[email protected]
1/--страниц
Пожаловаться на содержимое документа