cobit® 5 - CTPartners
Transkrypt
cobit® 5 - CTPartners
COBIT® 5 WHITE PAPER COBIT 5 WHITE PAPER 1 © CTPartners 2014 Dokument stanowi przedmiot prawa autorskiego przysługującego CTPartners S.A. z siedzibą w Warszawie. Zwielokrotnianie i rozpowszechnianie publikacji jest dozwolone wyłącznie za zgodą CTPartners S.A. Wykorzystanie fragmentów oraz danych w niej zawartych wymaga podania każdorazowo twórcy oraz źródła. Wszystkie opracowania i komentarze zawarte w niniejszym raporcie są wyrazem wiedzy oraz poglądów autorów i nie powinny być interpretowane inaczej. COBIT 5 WHITE PAPER 2 Wstęp............................................................................................................................................. 3 Historia COBIT® .............................................................................................................................. 4 Pryncypia COBIT® 5 ........................................................................................................................ 5 Pryncypium 1: Zaspokajanie potrzeb interesariuszy ................................................................ 5 Pryncypium 2: Objęcie całej organizacji ................................................................................... 7 Pryncypium 3: Zastosowanie pojedynczych zintegrowanych ram biznesowych ..................... 8 Pryncypium 4: Umożliwianie holistycznego podejścia ............................................................. 9 Pryncypium 5: Oddzielenie ładu informatycznego od zarządzania IT .................................... 11 Publikacje COBIT® 5 ..................................................................................................................... 12 COBIT® 5 w praktyce.................................................................................................................... 13 O firmie CTPartners S.A. .............................................................................................................. 14 Kompleksowa oferta............................................................................................................... 14 COBIT 5 WHITE PAPER 3 WSTĘP Wraz ze wzrostem znaczenia rozwiązań informatycznych w budowaniu wartości biznesowej, kluczowe dla organizacji staje się zarządzanie IT oraz budowanie ładu informatycznego. Jest to sposób na zapewnienie optymalnego dopasowania ryzyka i wykorzystywanych zasobów organizacji, w tym zasobów i procesów IT, do oczekiwanych korzyści i celów całej organizacji. Kierunek ten związany jest z popularyzacją idei „ładu informatycznego” (ang. IT governance). Ład informatyczny w powiązaniu z zarządzaniem IT zasadniczo skupia się na dwóch płaszczyznach: zapewnienie dostarczania przez IT wartości właścicielom i interesariuszom organizacji oraz zapewnienie optymalnego i zbilansowanego funkcjonowania IT w kontekście realizacji celów organizacji. Pierwszy element uzyskiwany jest przez strategiczne dopasowanie IT do potrzeb otoczenia właścicielskiego i rynkowego, w którym działa organizacja. Drugi element jest osiągany przez wprowadzenie skutecznych procesów planowania, rozwoju i eksploatacji rozwiązań informatycznych oraz monitorowania realizacji celów organizacji. Obie płaszczyzny muszą być wspierane przez odpowiednie zasoby, struktury organizacyjne, ludzi, procesy i informacje – oraz mierzone dla zapewnienia kontroli uzyskiwania wyników. COBIT® 5 stanowi jedyne spójne ramy biznesowe (ang. business framework) w obszarze ładu informatycznego i zarządzania IT. Standard COBIT® 5 zawiera pryncypia, dobre praktyki, narzędzia i modele analityczne służące do budowania ładu informatycznego oraz systemu zarządzania IT. Adaptacja COBIT® 5 w organizacji wspiera maksymalizowanie wartości biznesowej związanej z wykorzystaniem rozwiązań informatycznych oraz propagowanie zaufania do tych rozwiązań. COBIT® 5 (ang. Control OBjectives for Information and related Technology) pomaga organizacjom maksymalizować wartość biznesową związaną z wykorzystywaniem rozwiązań IT poprzez utrzymywanie równowagi pomiędzy dostarczanymi korzyściami, ryzykiem i zasobami. COBIT® 5 promuje holistyczne podejście do ładu informatycznego (ang. IT governance) oraz zarządzania IT, wychodząc poza działy informatyczne, obejmując całość przedsiębiorstwa, w szczególności biorąc pod uwagę potrzeby nie tylko wewnętrznych, ale również zewnętrznych interesariuszy. COBIT® 5 nie ogranicza się do działów informatycznych, ale obejmuje całą organizację. Jednym z założeń autorów COBIT® 5 było stworzenie kompletnych ram obejmujących wszystkie zagadnienia związane z informatyką. Ram, które organizacje będą – zgodnie ze swoimi potrzebami – uzupełniały o standardy obszarowe, jak np. TOGAF® w obszarze zarządzania architekturą korporacyjną czy ITIL® w obszarze zarządzania usługami informatycznymi. COBIT 5 WHITE PAPER 4 HISTORIA COBIT® Autorem i właścicielem COBIT® 5 jest stowarzyszenie ISACA zajmujące się zagadnieniami bezpieczeństwa, ryzyka, audytu, ładu, zarządzania w obszarze IT. Certyfikaty wydawane przez ISACA (m.in. CISA, CISM, CRISC, CGEIT) potwierdzają kompleksową wiedzę, umiejętności i doświadczenie ich posiadaczy oraz są powszechnie uznawane i cenione na całym świecie. Stowarzyszenie działa w 180 krajach i zrzesza ponad 100 000 członków. Prace nad standardem COBIT® rozpoczęły się w 1992 roku. Pierwszą wersję wydano cztery lata później. Koncentrowała się ona na audycie IT, a w kolejnych wersjach dodawano obszary kontroli, zarządzania oraz ładu informatycznego. Tworząc COBIT® 5 ISACA postanowiła połączyć w jednym standardzie wiedzę wcześniej rozproszoną w różnych opracowaniach stworzonych i rozwijanych przez ISACA, przede wszystkim zawartą w COBIT® 4.1, Val IT 2.0 oraz Risk IT, ale także w BMIS, ITAF i innych. COBIT® 5 został opublikowany w 2012 roku. COBIT 5 WHITE PAPER 5 PRYNCYPIA COBIT® 5 COBIT® 5 opiera się na pięciu kluczowych pryncypiach. Pryncypia te były fundamentem przy tworzeniu COBIT® 5 i powinny stanowić podstawę budowy ładu informatycznego i zarządzania IT w organizacji. PRYNCYPIUM 1: ZASPOKAJANIE POTRZEB INTERESARIUSZY Podstawowym celem ładu korporacyjnego jest tworzenie wartości, co oznacza realizację korzyści czyli zaspokojenie potrzeb interesariuszy, przy optymalizacji wykorzystania zasobów oraz optymalizacji ryzyka. Korzyści mogą przyjmować różny kształt, np. mogą być finansowe – zwłaszcza w przedsiębiorstwach komercyjnych – lub polegać na stabilnym świadczeniu pewnych usług – np. w administracji publicznej. Aby przełożyć korzyści biznesowe na rozwiązania IT COBIT® 5 proponuje przyjąć podejście dekompozycji potrzeb interesariuszy i celów organizacji zobrazowane przez kaskadę celów. Prawo, rynek, technologia, strategia, etc. KROK 1 Potrzeby interesariuszy Osiąganie korzyści Optymalizacja ryzyka Optymalizacja zasobów KROK 2 Cele organizacji KROK 3 Cele związane z IT KROK 4 Rys. 1. Kaskada celów Cele czynników umożliwiających COBIT 5 WHITE PAPER 6 Dekompozycja celów odbywa się w 4 krokach: KROK 1: Identyfikacja potrzeb interesariuszy w kontekście zewnętrznych i wewnętrznych czynników wpływających na organizację, takich jak np. zmiany prawne, otoczenie rynkowe, nowe technologie, zmiany strategii. KROK 2: Sformułowanie celów organizacji na podstawie potrzeb interesariuszy. KROK 3: Przełożenie celów organizacji na cele związane z IT. KROK 4: Przełożenie celów związanych z IT na cele czynników umożliwiających (ang. enablers) tworzenie wartości biznesowej w oparciu o rozwiązania IT (czynniki zostały opisane w pryncypium 4 w dalszej części dokumentu). COBIT® 5 wspiera opisany powyżej proces. Zawiera generyczne listy celów organizacji, celów związanych z IT oraz celów czynników umożliwiających, a także mapowania między tymi poziomami celów. COBIT® 5 pomaga sformułować wymienione cele również dzięki gotowym listom pytań do różnego rodzaju interesariuszy wewnętrznych i zewnętrznych. COBIT 5 WHITE PAPER 7 PRYNCYPIUM 2: OBJĘCIE CAŁEJ ORGANIZACJI COBIT® 5 traktuje ład informatyczny jako integralną część ładu korporacyjnego. Nie ogranicza się do działów IT, ale definiuje w całej organizacji (przedsiębiorstwie, instytucji) odpowiedzialności, role i zadania niezbędne do funkcjonowania ładu informatycznego oraz zarządzania informacją i rozwiązaniami IT. Tym samym COBIT® 5 odwołuje się do całej organizacji w tym procesów biznesowych, usług i produktów - zarówno wewnętrznych, jak i zewnętrznych. Kluczowe role, aktywności oraz relacje warunkujące poprawne funkcjonowanie ładu informatycznego i zarządzania IT zostały przedstawione na Rys. 2. Właściciele, interesariusze Delegowanie Odpowiedzialność za decyzje Organizacja ładu informatycznego Wyznaczanie kierunku Monitorowanie Organizacja zarządzania IT Instruowanie i dopasowywanie Raportowanie Wykonawcy, operacje Rys. 2. Główne zależności organizacyjne w ładzie informatycznym i zarządzaniu IT COBIT 5 WHITE PAPER 8 PRYNCYPIUM 3: ZASTOSOWANIE POJEDYNCZYCH ZINTEGROWANYCH RAM BIZNESOWYCH COBIT® 5 w sposób kompletny pokrywa zagadnienia związane z rozwiązaniami oraz metodykami zarządzania IT. Jest to ujęcie wysokopoziomowe, zgodne z popularnymi standardami w poszczególnych obszarach funkcjonowania IT, takimi jak np. TOGAF® dla architektury korporacyjnej czy ITIL® dla zarządzania usługami informatycznymi. Tym samym można go traktować jako kompletne wysokopoziomowe ramy dla ładu informatycznego, które zgodnie z potrzebami organizacji uzupełnia się czerpiąc z bardziej specyficznych metodyk w konkretnych obszarach działania IT. Tym samym COBIT® 5, jako taki stanowi ramy budowania ładu informatycznego i zarządzania IT, a jednocześnie może pełnić rolę integratora innych metodyk zarządzania IT. Główne standardy, ramy, metodyki i opisy dobrych praktyk wykorzystane w COBIT® 5, równocześnie stanowiące potencjalne dobre uzupełnienie COBIT® 5 w różnych obszarach funkcjonowania IT, zostały przedstawione na Rys. 3. Rys. 3 Rys. 3. Standardy i dobre praktyki wykorzystane w COBIT® 5 COBIT 5 WHITE PAPER 9 PRYNCYPIUM 4: UMOŻLIWIANIE HOLISTYCZNEGO PODEJŚCIA Holistyczne (całościowe) zarządzanie IT i ładem informatycznym wymaga uwzględnienia różnych czynników warunkujących efektywność i skuteczność podejmowanych działań nazwanych w COBIT® 5 „czynnikami umożliwiającymi” (ang. enablers). COBIT® 5 definiuje 7 kategorii czynników umożliwiających i wspierających osiąganie celów wyznaczonych sobie przez organizację. Procesy Ludzie, umiejętności, kompetencje Struktury organizacyjne Pryncypia, polityki, ramy Usługi, infrastruktura, aplikacje Kultura, etyka, zachowanie Informacja Rys. 4. Kategorie czynników umożliwiających Dla poszczególnych kategorii czynników umożliwiających COBIT® 5 określa wspólne generyczne grupy atrybutów i wytycznych dotyczących zarządzania czynnikami umożliwiającymi oraz mierzenia efektywności ich funkcjonowania w organizacji. Grupy te to: interesariusze – podzieleni na wewnętrznych i zewnętrznych, cele – pogrupowane na dotyczące jakości wewnętrznej, jakości dla otoczenia oraz dostępności i bezpieczeństwa, cykl życia – planowanie, projektowanie, implementacja, używanie, monitorowanie, modyfikacja/usunięcie, dobre praktyki – dotyczące działań oraz produktów wejściowych i wyjściowych. COBIT 5 WHITE PAPER 10 COBIT® 5 zawiera szereg wskazówek oraz dobrych praktyk dotyczących zarządzania poszczególnymi czynnikami umożliwiającymi. Każdemu z nich poświęcono osobny rozdział w głównej publikacji, a te szczególnie istotne zostały omówione w dedykowanych pozycjach książkowych. COBIT 5 WHITE PAPER 11 PRYNCYPIUM 5: ODDZIELENIE ŁADU INFORMATYCZNEGO OD ZARZĄDZANIA IT COBIT® 5 zwraca uwagę na precyzyjne rozróżnianie ładu informatycznego (ang. governance) od zarządzania IT (ang. management). Każdy z tych obszarów ma swoją specyfikę: inne działania wymagające innych struktur organizacyjnych, służące innym celom. COBIT® 5 definiuje te obszary w następujący sposób: Ład informatyczny zapewnia, że potrzeby interesariuszy są analizowane w celu ustalenia sposobu realizacji celów, które powinny być zbilansowane i uzgodnione w organizacji; ustawia kierunek działań poprzez ich priorytetyzację oraz podejmowanie decyzji; monitoruje efektywność oraz zgodność z przyjętymi kierunkami i celami działań. Zarządzanie IT planuje, buduje, eksploatuje rozwiązania IT oraz monitoruje działania pod kątem zapewnienia osiągnięcie celów organizacji wyznaczonych przez ład informatyczny. Powyższe definicje operują językiem działań. Jednocześnie najwyraźniej różnicę między jednym a drugim obszarem ilustruje model procesów COBIT® 5 ściśle rozdzielając procesy ładu informatycznego (5 procesów) od procesów zarządzania IT (32 procesy). COBIT 5 WHITE PAPER 12 PUBLIKACJE COBIT® 5 Rodzina produktów COBIT® 5 obejmuje szereg publikacji dotyczących czynników umożliwiających oraz sposobu zastosowania COBIT® 5 w praktyce. COBIT® 5: A Business Framework for the Governance and Management of Enterprise IT PRZEWODNIKI DLA CZYNNIKÓW UMOŻLIWIAJĄCYCH COBIT® 5 Implementation PRZEWODNIKI DLA PROFESJONALISTÓW COBIT® 5 for Information Security COBIT® 5 COBIT® 5: Enabling Processes for Assurance COBIT® 5: Enabling Information COBIT® 5 for Risk COBIT® 5 Implementation COBIT® 5 for Information Security COBIT® 5 for Assurance COBIT® 5 for Risk COBIT® 5 – Środowisko współpracy on-line Rys. 5. Główne produkty COBIT® 5 COBIT 5 WHITE PAPER 13 COBIT® 5 W PRAKTYCE COBIT® 5 pomaga organizacjom z różnych sektorów, o różnej wielkości: uzyskać najwyższej jakości informacje w procesach i rozwiązaniach IT w celu podejmowania kluczowych decyzji biznesowych, osiągać strategiczne cele oraz realizować korzyści biznesowe poprzez efektywne i innowacyjne wykorzystanie IT, osiągać doskonałość operacyjną dzięki optymalnemu zastosowaniu technologii IT, zarządzać ryzykiem związanym z IT, poprawiać bezpieczeństwo w obszarze IT, optymalizować koszty IT, dostosowywać się do wymagań prawnych oraz kontraktowych w obszarze IT. Podstawowym zastosowaniem COBIT® 5 jest budowa i doskonalenie w organizacji ładu informatycznego. Ponadto standard COBIT® 5 można wykorzystać m.in. w następujących obszarach i przedsięwzięciach: budowa/aktualizacja strategii IT dostosowanej do celów i potrzeb biznesowych, rozwój struktury organizacyjnej i przypisanie kluczowych odpowiedzialności związanych z zarządzaniem i rozwiązaniami IT, redukcja kosztów poprzez zapewnienie spójności działań i rozwiązań po stronie IT oraz biznesu, tworzenie uzasadnienia biznesowego dla projektów w obszarze ładu informatycznego i zarządzania IT oraz zarządzanie takimi projektami, formalne audyty procesów IT, przeglądy i budowa dojrzałości procesów IT ukierunkowane na identyfikację pożądanych usprawnień i realizację celów organizacji. COBIT 5 WHITE PAPER 14 O FIRMIE CTPARTNERS S.A. CTPartners S.A. jest polską firmą szkoleniowo-doradczą, obecną na rynku od 2000 roku, należącą do Grupy Kapitałowej Infovide-Matrix. Jest liderem polskiego rynku usług szkoleniowych i doradczych dostarczającym usługi dla menedżerów i specjalistów w organizacjach opartych na wiedzy. Jako akredytowany partner międzynarodowych organizacji świadczy usługi oparte na światowych ® ® ® ® ® standardach m.in.: ITIL , Lean IT, Devops, PRINCE2 , PMBOK Guide, HDI , ISTQB, MSP , Agile Project ® ® Management, SCRUM, ISO, TOGAF 9, COBIT® . W profesjonalny sposób zajmuje się: organizacją i prowadzeniem programów szkoleniowych, przeglądami i audytami organizacji IT, tworzeniem kompletnych rozwiązań IT, coachingiem, zarządzaniem projektami, wyborem narzędzi informatycznych. KOMPLEKSOWA OFERTA ARCHITEKTURA BIZNESU I IT USŁUGI IT (TOGAF® 9, COBIT®, BISL, OBASHI) (ITIL®, HDI®, ISO 20000, LEAN IT, DEVOPS) (ISO 27001, ISO 22301, ISO 31000, CISA) Zarządzanie Inicjatywami Metody tradycyjne i zwinne Kompetencje dla realizacji ładu projektowego Zarządzanie Zasobami Architektura korporacyjna Usługi IT i umowy SLA Wsparcie użytkowników Procesy IT Wskaźniki efektywności IT Transformacja Lean IT Integracja rozwoju i utrzymania Zarządzanie wiedzą Bezpieczeństwo informacji Ciągłość działania Zarządzanie Ryzykiem Dane osobowe ŁAD PROJEKTOWY (SPÓJNE ZARZĄDZANIE PROJEKTAMI, PROGRAMAMI I PORTFELAMI) (PRINCE2®, MSP®, PMBOK®, STANDARDY PMI®, AGILE, SCRUM) Dopasowanie IT do strategii Biznesowej Digitalizacja Biznesu Wsparcie transformacji IT Architektura Rozwiązań IT Analiza biznesowa BEZPIECZEŃSTWO INFORMACJI (ITSM) Zarządzanie Informacją SZKOLENIA AUDYTY/PRZEGLĄDY SYMULACJE BIZNESOWE DORADZTWO NARZĘDZIA ZARZĄDZANIE SUCCESS FEE COBIT 5 WHITE PAPER 15 ul. Gottlieba Daimlera 2 t +48 22 576 80 80 02-460 Warszawa f +48 22 576 80 81 [email protected] www.ctpartners.pl