cobit® 5 - CTPartners

COBIT® 5
WHITE PAPER
COBIT 5
WHITE PAPER
1
© CTPartners 2014
Dokument stanowi przedmiot prawa autorskiego przysługującego CTPartners S.A. z siedzibą w Warszawie.
Zwielokrotnianie i rozpowszechnianie publikacji jest dozwolone wyłącznie za zgodą CTPartners S.A. Wykorzystanie
fragmentów oraz danych w niej zawartych wymaga podania każdorazowo twórcy oraz źródła. Wszystkie
opracowania i komentarze zawarte w niniejszym raporcie są wyrazem wiedzy oraz poglądów autorów i nie powinny
być interpretowane inaczej.
COBIT 5
WHITE PAPER
2
Wstęp............................................................................................................................................. 3
Historia COBIT® .............................................................................................................................. 4
Pryncypia COBIT® 5 ........................................................................................................................ 5
Pryncypium 1: Zaspokajanie potrzeb interesariuszy ................................................................ 5
Pryncypium 2: Objęcie całej organizacji ................................................................................... 7
Pryncypium 3: Zastosowanie pojedynczych zintegrowanych ram biznesowych ..................... 8
Pryncypium 4: Umożliwianie holistycznego podejścia ............................................................. 9
Pryncypium 5: Oddzielenie ładu informatycznego od zarządzania IT .................................... 11
Publikacje COBIT® 5 ..................................................................................................................... 12
COBIT® 5 w praktyce.................................................................................................................... 13
O firmie CTPartners S.A. .............................................................................................................. 14
Kompleksowa oferta............................................................................................................... 14
COBIT 5
WHITE PAPER
3
WSTĘP
Wraz ze wzrostem znaczenia rozwiązań informatycznych w budowaniu wartości biznesowej, kluczowe
dla organizacji staje się zarządzanie IT oraz budowanie ładu informatycznego. Jest to sposób na
zapewnienie optymalnego dopasowania ryzyka i wykorzystywanych zasobów organizacji, w tym
zasobów i procesów IT, do oczekiwanych korzyści i celów całej organizacji. Kierunek ten związany jest
z popularyzacją idei „ładu informatycznego” (ang. IT governance). Ład informatyczny w powiązaniu
z zarządzaniem IT zasadniczo skupia się na dwóch płaszczyznach: zapewnienie dostarczania przez IT
wartości właścicielom i interesariuszom organizacji oraz zapewnienie optymalnego i zbilansowanego
funkcjonowania IT w kontekście realizacji celów organizacji. Pierwszy element uzyskiwany jest przez
strategiczne dopasowanie IT do potrzeb otoczenia właścicielskiego i rynkowego, w którym działa
organizacja. Drugi element jest osiągany przez wprowadzenie skutecznych procesów planowania,
rozwoju i eksploatacji rozwiązań informatycznych oraz monitorowania realizacji celów organizacji. Obie
płaszczyzny muszą być wspierane przez odpowiednie zasoby, struktury organizacyjne, ludzi, procesy
i informacje – oraz mierzone dla zapewnienia kontroli uzyskiwania wyników.
COBIT® 5 stanowi jedyne spójne ramy biznesowe (ang. business framework) w obszarze ładu
informatycznego i zarządzania IT. Standard COBIT® 5 zawiera pryncypia, dobre praktyki, narzędzia
i modele analityczne służące do budowania ładu informatycznego oraz systemu zarządzania IT.
Adaptacja COBIT® 5 w organizacji wspiera maksymalizowanie wartości biznesowej związanej
z wykorzystaniem rozwiązań informatycznych oraz propagowanie zaufania do tych rozwiązań.
COBIT® 5 (ang. Control OBjectives for Information and related Technology) pomaga
organizacjom maksymalizować wartość biznesową związaną z wykorzystywaniem
rozwiązań IT poprzez utrzymywanie równowagi pomiędzy dostarczanymi
korzyściami, ryzykiem i zasobami. COBIT® 5 promuje holistyczne podejście do ładu
informatycznego (ang. IT governance) oraz zarządzania IT, wychodząc poza działy
informatyczne, obejmując całość przedsiębiorstwa, w szczególności biorąc pod uwagę
potrzeby nie tylko wewnętrznych, ale również zewnętrznych interesariuszy.
COBIT® 5 nie ogranicza się do działów informatycznych, ale obejmuje całą organizację. Jednym z założeń
autorów COBIT® 5 było stworzenie kompletnych ram obejmujących wszystkie zagadnienia związane
z informatyką. Ram, które organizacje będą – zgodnie ze swoimi potrzebami – uzupełniały o standardy
obszarowe, jak np. TOGAF® w obszarze zarządzania architekturą korporacyjną czy ITIL® w obszarze
zarządzania usługami informatycznymi.
COBIT 5
WHITE PAPER
4
HISTORIA COBIT®
Autorem i właścicielem COBIT® 5 jest stowarzyszenie ISACA zajmujące się zagadnieniami
bezpieczeństwa, ryzyka, audytu, ładu, zarządzania w obszarze IT. Certyfikaty wydawane przez ISACA
(m.in. CISA, CISM, CRISC, CGEIT) potwierdzają kompleksową wiedzę, umiejętności i doświadczenie ich
posiadaczy oraz są powszechnie uznawane i cenione na całym świecie. Stowarzyszenie działa w 180
krajach i zrzesza ponad 100 000 członków.
Prace nad standardem COBIT® rozpoczęły się w 1992 roku. Pierwszą wersję wydano cztery lata później.
Koncentrowała się ona na audycie IT, a w kolejnych wersjach dodawano obszary kontroli, zarządzania
oraz ładu informatycznego. Tworząc COBIT® 5 ISACA postanowiła połączyć w jednym standardzie wiedzę
wcześniej rozproszoną w różnych opracowaniach stworzonych i rozwijanych przez ISACA, przede
wszystkim zawartą w COBIT® 4.1, Val IT 2.0 oraz Risk IT, ale także w BMIS, ITAF i innych. COBIT® 5 został
opublikowany w 2012 roku.
COBIT 5
WHITE PAPER
5
PRYNCYPIA COBIT® 5
COBIT® 5 opiera się na pięciu kluczowych pryncypiach. Pryncypia te były fundamentem przy tworzeniu
COBIT® 5 i powinny stanowić podstawę budowy ładu informatycznego i zarządzania IT w organizacji.
PRYNCYPIUM 1:
ZASPOKAJANIE POTRZEB INTERESARIUSZY
Podstawowym celem ładu korporacyjnego jest tworzenie wartości, co oznacza realizację korzyści czyli
zaspokojenie potrzeb interesariuszy, przy optymalizacji wykorzystania zasobów oraz optymalizacji
ryzyka. Korzyści mogą przyjmować różny kształt, np. mogą być finansowe – zwłaszcza
w przedsiębiorstwach komercyjnych – lub polegać na stabilnym świadczeniu pewnych usług
– np. w administracji publicznej.
Aby przełożyć korzyści biznesowe na rozwiązania IT COBIT® 5 proponuje przyjąć podejście dekompozycji
potrzeb interesariuszy i celów organizacji zobrazowane przez kaskadę celów.
Prawo, rynek,
technologia, strategia, etc.
KROK 1
Potrzeby interesariuszy
Osiąganie
korzyści
Optymalizacja
ryzyka
Optymalizacja
zasobów
KROK 2
Cele organizacji
KROK 3
Cele związane z IT
KROK 4
Rys. 1. Kaskada celów
Cele czynników umożliwiających
COBIT 5
WHITE PAPER
6
Dekompozycja celów odbywa się w 4 krokach:
KROK 1: Identyfikacja potrzeb interesariuszy w kontekście zewnętrznych i wewnętrznych czynników
wpływających na organizację, takich jak np. zmiany prawne, otoczenie rynkowe, nowe technologie,
zmiany strategii.
KROK 2: Sformułowanie celów organizacji na podstawie potrzeb interesariuszy.
KROK 3: Przełożenie celów organizacji na cele związane z IT.
KROK 4: Przełożenie celów związanych z IT na cele czynników umożliwiających (ang. enablers)
tworzenie wartości biznesowej w oparciu o rozwiązania IT (czynniki zostały opisane w pryncypium
4 w dalszej części dokumentu).
COBIT® 5 wspiera opisany powyżej proces. Zawiera generyczne listy celów organizacji, celów związanych
z IT oraz celów czynników umożliwiających, a także mapowania między tymi poziomami celów. COBIT® 5
pomaga sformułować wymienione cele również dzięki gotowym listom pytań do różnego rodzaju
interesariuszy wewnętrznych i zewnętrznych.
COBIT 5
WHITE PAPER
7
PRYNCYPIUM 2:
OBJĘCIE CAŁEJ ORGANIZACJI
COBIT® 5 traktuje ład informatyczny jako integralną część ładu korporacyjnego. Nie ogranicza się do
działów IT, ale definiuje w całej organizacji (przedsiębiorstwie, instytucji) odpowiedzialności, role
i zadania niezbędne do funkcjonowania ładu informatycznego oraz zarządzania informacją
i rozwiązaniami IT. Tym samym COBIT® 5 odwołuje się do całej organizacji w tym procesów biznesowych,
usług i produktów - zarówno wewnętrznych, jak i zewnętrznych.
Kluczowe role, aktywności oraz relacje warunkujące poprawne funkcjonowanie ładu informatycznego
i zarządzania IT zostały przedstawione na Rys. 2.
Właściciele, interesariusze
Delegowanie
Odpowiedzialność za decyzje
Organizacja ładu informatycznego
Wyznaczanie kierunku
Monitorowanie
Organizacja zarządzania IT
Instruowanie i dopasowywanie
Raportowanie
Wykonawcy, operacje
Rys. 2. Główne zależności organizacyjne w ładzie informatycznym i zarządzaniu IT
COBIT 5
WHITE PAPER
8
PRYNCYPIUM 3:
ZASTOSOWANIE POJEDYNCZYCH
ZINTEGROWANYCH RAM BIZNESOWYCH
COBIT® 5 w sposób kompletny pokrywa zagadnienia związane z rozwiązaniami oraz metodykami
zarządzania IT. Jest to ujęcie wysokopoziomowe, zgodne z popularnymi standardami w poszczególnych
obszarach funkcjonowania IT, takimi jak np. TOGAF® dla architektury korporacyjnej czy ITIL® dla
zarządzania usługami informatycznymi. Tym samym można go traktować jako kompletne
wysokopoziomowe ramy dla ładu informatycznego, które zgodnie z potrzebami organizacji uzupełnia się
czerpiąc z bardziej specyficznych metodyk w konkretnych obszarach działania IT. Tym samym COBIT® 5,
jako taki stanowi ramy budowania ładu informatycznego i zarządzania IT, a jednocześnie może pełnić
rolę integratora innych metodyk zarządzania IT.
Główne standardy, ramy, metodyki i opisy dobrych praktyk wykorzystane w COBIT® 5, równocześnie
stanowiące potencjalne dobre uzupełnienie COBIT® 5 w różnych obszarach funkcjonowania IT, zostały
przedstawione na Rys. 3.
Rys. 3
Rys. 3. Standardy i dobre praktyki wykorzystane w COBIT® 5
COBIT 5
WHITE PAPER
9
PRYNCYPIUM 4:
UMOŻLIWIANIE HOLISTYCZNEGO PODEJŚCIA
Holistyczne (całościowe) zarządzanie IT i ładem informatycznym wymaga uwzględnienia różnych
czynników warunkujących efektywność i skuteczność podejmowanych działań nazwanych w COBIT® 5
„czynnikami umożliwiającymi” (ang. enablers). COBIT® 5 definiuje 7 kategorii czynników
umożliwiających i wspierających osiąganie celów wyznaczonych sobie przez organizację.
Procesy
Ludzie,
umiejętności,
kompetencje
Struktury
organizacyjne
Pryncypia,
polityki,
ramy
Usługi,
infrastruktura,
aplikacje
Kultura, etyka,
zachowanie
Informacja
Rys. 4. Kategorie czynników umożliwiających
Dla poszczególnych kategorii czynników umożliwiających COBIT® 5 określa wspólne generyczne grupy
atrybutów i wytycznych dotyczących zarządzania czynnikami umożliwiającymi oraz mierzenia
efektywności ich funkcjonowania w organizacji. Grupy te to:




interesariusze – podzieleni na wewnętrznych i zewnętrznych,
cele – pogrupowane na dotyczące jakości wewnętrznej, jakości dla otoczenia oraz dostępności
i bezpieczeństwa,
cykl życia – planowanie, projektowanie, implementacja, używanie, monitorowanie,
modyfikacja/usunięcie,
dobre praktyki – dotyczące działań oraz produktów wejściowych i wyjściowych.
COBIT 5
WHITE PAPER
10
COBIT® 5 zawiera szereg wskazówek oraz dobrych praktyk dotyczących zarządzania poszczególnymi
czynnikami umożliwiającymi. Każdemu z nich poświęcono osobny rozdział w głównej publikacji, a te
szczególnie istotne zostały omówione w dedykowanych pozycjach książkowych.
COBIT 5
WHITE PAPER
11
PRYNCYPIUM 5:
ODDZIELENIE ŁADU INFORMATYCZNEGO OD
ZARZĄDZANIA IT
COBIT® 5 zwraca uwagę na precyzyjne rozróżnianie ładu informatycznego (ang. governance) od
zarządzania IT (ang. management). Każdy z tych obszarów ma swoją specyfikę: inne działania
wymagające innych struktur organizacyjnych, służące innym celom. COBIT® 5 definiuje te obszary
w następujący sposób:


Ład informatyczny zapewnia, że potrzeby interesariuszy są analizowane w celu ustalenia
sposobu realizacji celów, które powinny być zbilansowane i uzgodnione w organizacji;
ustawia kierunek działań poprzez ich priorytetyzację oraz podejmowanie decyzji;
monitoruje efektywność oraz zgodność z przyjętymi kierunkami i celami działań.
Zarządzanie IT planuje, buduje, eksploatuje rozwiązania IT oraz monitoruje działania pod
kątem zapewnienia osiągnięcie celów organizacji wyznaczonych przez ład informatyczny.
Powyższe definicje operują językiem działań. Jednocześnie najwyraźniej różnicę między jednym a drugim
obszarem ilustruje model procesów COBIT® 5 ściśle rozdzielając procesy ładu informatycznego
(5 procesów) od procesów zarządzania IT (32 procesy).
COBIT 5
WHITE PAPER
12
PUBLIKACJE COBIT® 5
Rodzina produktów COBIT® 5 obejmuje szereg publikacji dotyczących czynników umożliwiających oraz
sposobu zastosowania COBIT® 5 w praktyce.
COBIT® 5: A Business Framework for
the Governance and Management of Enterprise IT
PRZEWODNIKI DLA
CZYNNIKÓW
UMOŻLIWIAJĄCYCH
COBIT®
5 Implementation
PRZEWODNIKI DLA
PROFESJONALISTÓW
COBIT® 5 for Information Security
COBIT® 5
COBIT® 5: Enabling Processes
for Assurance
COBIT® 5: Enabling Information
COBIT® 5
for Risk
COBIT® 5 Implementation
COBIT® 5 for Information Security
COBIT® 5 for Assurance
COBIT® 5 for Risk
COBIT® 5
– Środowisko współpracy on-line
Rys. 5. Główne produkty COBIT® 5
COBIT 5
WHITE PAPER
13
COBIT® 5 W PRAKTYCE
COBIT® 5 pomaga organizacjom z różnych sektorów, o różnej wielkości:







uzyskać najwyższej jakości informacje w procesach i rozwiązaniach IT w celu podejmowania
kluczowych decyzji biznesowych,
osiągać strategiczne cele oraz realizować korzyści biznesowe poprzez efektywne i innowacyjne
wykorzystanie IT,
osiągać doskonałość operacyjną dzięki optymalnemu zastosowaniu technologii IT,
zarządzać ryzykiem związanym z IT,
poprawiać bezpieczeństwo w obszarze IT,
optymalizować koszty IT,
dostosowywać się do wymagań prawnych oraz kontraktowych w obszarze IT.
Podstawowym zastosowaniem COBIT® 5 jest budowa i doskonalenie w organizacji ładu
informatycznego. Ponadto standard COBIT® 5 można wykorzystać m.in. w następujących obszarach i
przedsięwzięciach:






budowa/aktualizacja strategii IT dostosowanej do celów i potrzeb biznesowych,
rozwój struktury organizacyjnej i przypisanie kluczowych odpowiedzialności związanych
z zarządzaniem i rozwiązaniami IT,
redukcja kosztów poprzez zapewnienie spójności działań i rozwiązań po stronie IT oraz biznesu,
tworzenie uzasadnienia biznesowego dla projektów w obszarze ładu informatycznego
i zarządzania IT oraz zarządzanie takimi projektami,
formalne audyty procesów IT,
przeglądy i budowa dojrzałości procesów IT ukierunkowane na identyfikację pożądanych
usprawnień i realizację celów organizacji.
COBIT 5
WHITE PAPER
14
O FIRMIE CTPARTNERS S.A.
CTPartners S.A. jest polską firmą szkoleniowo-doradczą, obecną na rynku od 2000 roku, należącą
do Grupy Kapitałowej Infovide-Matrix. Jest liderem polskiego rynku usług szkoleniowych i doradczych
dostarczającym usługi dla menedżerów i specjalistów w organizacjach opartych na wiedzy. Jako
akredytowany partner międzynarodowych organizacji świadczy usługi oparte na światowych
®
®
®
®
®
standardach m.in.: ITIL , Lean IT, Devops, PRINCE2 , PMBOK Guide, HDI , ISTQB, MSP , Agile Project
®
®
Management, SCRUM, ISO, TOGAF 9, COBIT® . W profesjonalny sposób zajmuje się: organizacją
i prowadzeniem programów szkoleniowych, przeglądami i audytami organizacji IT, tworzeniem
kompletnych rozwiązań IT, coachingiem, zarządzaniem projektami, wyborem narzędzi informatycznych.
KOMPLEKSOWA OFERTA
ARCHITEKTURA
BIZNESU I IT
USŁUGI IT
(TOGAF® 9, COBIT®, BISL,
OBASHI)
(ITIL®, HDI®, ISO 20000,
LEAN IT, DEVOPS)
(ISO 27001, ISO 22301,
ISO 31000, CISA)




Zarządzanie Inicjatywami
Metody tradycyjne
i zwinne
Kompetencje dla realizacji
ładu projektowego
Zarządzanie Zasobami
Architektura korporacyjna
Usługi IT i umowy SLA
Wsparcie użytkowników
Procesy IT
Wskaźniki efektywności IT
Transformacja Lean IT
Integracja rozwoju
i utrzymania
Zarządzanie wiedzą
Bezpieczeństwo informacji
Ciągłość działania
Zarządzanie Ryzykiem
Dane osobowe
ŁAD PROJEKTOWY
(SPÓJNE ZARZĄDZANIE
PROJEKTAMI, PROGRAMAMI I
PORTFELAMI)
(PRINCE2®, MSP®, PMBOK®,
STANDARDY PMI®, AGILE,
SCRUM)
Dopasowanie IT do
strategii Biznesowej
Digitalizacja Biznesu
Wsparcie transformacji IT
Architektura Rozwiązań IT
Analiza biznesowa
BEZPIECZEŃSTWO
INFORMACJI
(ITSM)
Zarządzanie Informacją
 SZKOLENIA
 AUDYTY/PRZEGLĄDY
 SYMULACJE BIZNESOWE
 DORADZTWO
 NARZĘDZIA
 ZARZĄDZANIE
 SUCCESS FEE

COBIT 5
WHITE PAPER
15
ul. Gottlieba Daimlera 2
t +48 22 576 80 80
02-460 Warszawa
f +48 22 576 80 81
[email protected]
www.ctpartners.pl