IT Governance для управления рисками и соответствиямиitm.ranepa.ru/files/_Голубев_Виктор-Принцип процессного...•Сертификации

Виктор Голубев Директор по IT Governance/COBIT Московского отделения ISACA, Школа IT-менеджмента, CISA,TOGAF certified 28 февраля 2014г.

27.02.2014 TBS Consulting 2

Немного про ISACA

• ISACA (http://www.isaca.org) – Information Systems Audit and Control Association,

основана в 1969

– объединяет более 100 000 профессионалов во всем мире

• Сертификации ISACA признаны во всем мире и имеют аккредитацию ANSI – CISA- Certified Information Systems Auditor ,

с 1978 г. более 90 000 в мире, 215 в России.

– CISM - Certified Information Security Manager, с 2002г, более 18 000 в мире, 22 в России

– CGEIT - Certified in the Governance of Enterprise IT, с 2007 г, более 4 800 в мире, 15 в России

– CRISС- Certified in Risk and Information Systems Control, с 2010 г, более 16 000 в мире, 38 в России


Содержание

• Изменение роли и места ИТ

• Предпосылки для IT Governance

• Чего хочет Бизнес от ИТ ?

• Определение , цели и средства IT Governance

• Место IT в Enterprise Governance

• Базовые принципы IT Governance

• Все про ИТ процессы

• ИТ-риски и как с ними бороться

• Чем отличаются СВК ИТ и внутренний ИТ-аудит


Изменение роли и места ИТ

Одновременный рост сложности и размера инвестиций

Управление информацией

IT Business

Трансформация бизнеса

Business IT

IT Business

Автоматизация процессов

Результативность Поддержка бизнеса

Эффективность Улучшение управления

ИнновационностьИзменение правил и порядка


Предпосылки для IT Governance

• Проникновение ИТ во все сферы современного бизнеса

– Рост влияния ИТ на результаты бизнеса

– Рост бизнес-рисков, связанных с ИТ

• Усиление требований – корпоративных и регуляторов

• Стремительный рост размера ИТ-инвестиций и одновременно - их непрозрачность для бизнеса

• Длительность и сложность внедрения ИТ решений, рост количества неуспешных ИТ проектов

• Отсутствие общего языка:

– Бизнес не желает понимать ограничения и особенности ИТ,

– ИТ не умеет разговаривать с Бизнесом на его языке

• " Информационный парадокс состоит в том, что в то время как инвестиции в ИТ продолжают неуклонно расти, обеспечение ценности ИТ для бизнеса остатся сомнительной"

John Thorp "Information Paradox

• "Порой отношение Бизнеса к ИТ такое же как к туалету : он ничего не хочет об этом знать, до тех пор пока ЭТО не сломается" Terry White "What Business Really Wants From IT”


Под гнетом Compliance…

Basel II/III – международные требования к ведению банковской деятельности

Graham-Leech-Bliley (GLB) – защита неприкосновенности частной информации

Health Insurance Portability and Accountability Act (HIPAA) - защита персональной медицинской информации

База данных ITCi содержит более 100 локальных, национальных и интернациональных законов, актов, требований.., http://www.itcinstitute.com

8 EU Directive

PCI DDS ФЗ 152…

USA Patriot Act – расширение законодательства США по борьбе с терроризмом

FSPA – антикоррупционный закон США

UK BA – антикоррупционный закон Великобритании


Чего хочет Бизнес от ИТ? по-простому

• "Чтобы все и всегда работало и не "падало"!"

– надежность поддержки текущих

бизнес-процессов, во всех смыслах этого слова

• "Чтобы ИТ не "тормозил" и

не говорил мне "НЕТ"!"

– Гибкость - способность быстрой адаптации ИТ к

изменяющимся условиям

• "Чтобы ИТ обеспечивали бизнес новыми

технологиями, …"

– Новые возможности и конкурентные преимущества

• "Чтобы это мне ничего не стоило!"

– Низкая стоимость владения ИТ


«Не можешь предотвратить? Возглавь!»

«IT Governance (Руководство ИТ) –зона ответственности

Высшего Руководства Компании.

IT Governance является неотъемлемой составной частью

системы управления Компанией и состоит в обеспечении

руководящей роли, создании организационных структур

и процессов, обеспечивающих со стороны ИТ поддержку

и реализацию Стратегии и целей Компании»

Источник: IT Governance Institute, «Board Briefing on IT Governance, 2nd Edition»

«ИТ – слишком важная область, чтобы

доверять ее исключительно айтишникам!»


Enterprise Governance

Corporate Governance (conformance -

соответствие)

Business Governance (performance –

результативность)

IT Governance

*) Источники :

IFAC, «Enterprise Governance: Getting the Balance Right», USA, 2003

ISACA, COBIT (Control Objectives for Information and related Technology) 4.1, USA, 2007

Место IT Governance


IT Governance – цели и средства

• Цели: - создание ценности для Бизнеса - управление ИТ-рисками

• Средства:

• Соответствие ИТ-стратегии и бизнес-стратегии

• Управление ресурсами

• Измерение результативности

Resource Management

IT IT Governance Governance Domains Domains

Resource Management

IT Governance Focus Areas


Методология IT Governance - CobiT

COBIT® = Control Objectives for Information and related Technology

• "Де-факто" - международный стандарт по IT Governance

• Разработан IT Governance Institute на основе на проверенных лучших международных практик

• Взаимосвязан со всеми ведущими методологиями - ITIL, PMBOK, TOGAF, CMM, ISO 17799, ISO 38500…

• Широкий набор документов свободно доступен

• Не догма, но руководство к действию!

• Живая и постоянно развивающаяся методология в апреле 2012 вышла версия 5 в сентябре 2013 – русский перевод

www.isaca.org/cobit

http://www.isaca.org/cobit


Эволюция развития CobiT

2005/7 2000 1998

Гран

иц

ы

1996

Governance of Enterprise IT

COBIT 5

IT Governance

COBIT4.0/4.1

Management

COBIT3

Control

COBIT2

Audit

COBIT1

2012

Val IT 2.0 (2008)

Risk IT (2009)


Основные характеристики CobiT

• Business-focused

• Ориентация на бизнес-цели

• Process-oriented

• Процессный подход

• Controls-based

• Контролируемость процессов

• Measurement-driven

• Измерение продуктивности


Базовый принцип (Business focused)

Определяют инвестиции в

ИТ

Используются

Обеспечивают

Которая соответствует…

Бизнес Требования

Информация

ИТ ресурсы

ИТ процессы


"Куб" CobiT

• Бизнес-требования

• Результативность (Effectiveness) =

ориентация на бизнес результат, гибкость

• Эффективность (Efficiency)=

цена результата, КПД

• Конфиденциальность (Confidentiality)

• Целостность (Integrity)

• Доступность (Availability )

• Обеспечение Соответствия (Compliance)

• Надежность (Reliability)

• Ресурсы

• Приложения

• Информация

• Инфраструктура

• Люди+Компетенции

• ИТ процессы

• Домены

• Процессы

• Подпроцессы / Контроли


CobiT – цикл Деминга для ИТ

Цели Бизнеса,

Требования соответствия

Эффективность

Приложения

Информация

Инфраструктура

Люди

ПРЕДОСТАВЛЕНИЕ

И ПОДДЕРЖКА

МОНИТОРИНГ И ОЦЕНКА

ПРИОБРЕТЕНИЕ

И

ВНЕДРЕНИЕ

ИНФОРМАЦИЯ

ИТ

РЕСУРСЫ

Результативность

Конфиденциальность

Целостность

Доступность

Соответствие

ПЛАНИРОВАНИЕ

И ОРГАНИЗАЦИЯ

Надежность

А P

D C

P

D

C

A

P-D-C-A Цикл Деминга

• Любой правильно организованный процесс управления цикличен !


Домены процессов CobiT (Process oriented)

Планирование и организация PO1 Разработка ИТ-стратегии

PO2 Разработка и управление ИТ-архитектурой

PO3 Планирование развития инфраструктуры

PO4 Определение ИТ-процессов и оргструктуры

PO5 Управление инвестициями в ИТ

PO6 Передача целей и задач бизнеса

PO7 Управление ИТ-персоналом

PO8 Управление качеством

PO9 Оценка и управление ИТ-рисками

PO10 Управление проектами

Обеспечение и поддержка DS1 Определение и управление уровнями обслуживания

DS2 Управление услугами третьих сторон

DS3 Управление производительностью и загрузкой

DS4 Обеспечение непрерывности обслуживания

DS5 Обеспечение безопасности

DS6 Установление и распределение стоимости

DS7 Обучение пользователей

DS8 Помощь пользователям и управление инцидентами

DS9 Управление конфигурациями

DS10 Управление проблемами

DS11 Управление данными

DS12 Управление физическим окружением

DS13 Управление операциями

Мониторинг и оценка ME1Мониторинг и оценка производительности ИТ

ME2 Мониторинг и оценка системы внутреннего контроля

ME3 Обеспечение соответствия внешним требованиям

ME4 Организация процесса Управления ИТ

Приобретение и внедрение AI1 Идентификация решения для автоматизации

AI2 Приобретение и установка прикладного ПО

AI3 Приобретение и установка технологической инфраструктуры

AI4 Обеспечение запуска и использования систем

AI5 Обеспечение ИТ-ресурсами

AI6 Управление изменениями

AI7 Прием в эксплуатацию систем изменений


Требования к процессам (Control based)

• PC1 Цели и задачи процесса – Определены, коммуницированы, направлены на эффективное выполнение процесса, привязаны

к бизнес-целям

– Снабжены SMARRT метриками- конкретные, измеримые, действенные, реалистичные, ориентированы на результаты и ограниченны во времени

• PC2 Ответственность за процесс – Назначение владельца, определение его роли и обязанностей

• PC3 Повторяемость процесса – Использование стандартных процессов везде, а уникальных только в случае неизбежности

• PC4 Закрепление ролей и обязанностей в процессе – Определены основные операции и конечные результаты процесса.

– Назначены и коммуницированны непротиворечивые роли и обязанности для эффективного выполнения и ответственности за конечный результат процесса

• PC5 Документированность - политики, процедуры, инструкции – Определен порядок документирования, анализа, обновления, поддержки, утверждения,

хранения, распространения и использования для обучения базовых ИТ документов

• PC6 Постоянная оптимизация процесса – Определен набор метрик для измерения результата и эффективности процесса.

– Установлены целевые показатели, отражающие цели процесса ( KGI – Outcomes) и показателей, которые позволяют судить о достижимости целей процесса (KPI - Performance)

– Определен способ получения этих показателей

– Проводится регулярное сравнение фактических измерений и целевых показателей. Принимаются меры по устранению отклонений


ИТ процесс – "и это все о нем!"

• Описание процесса

• Контрольные цели

• Руководство по управлению

– Входы и выходы процесса

– Матрица ответственности

– Цели и метрики

• Уровни зрелости


Матрица ответственности

• RACI chart рекомендует распределение ответственности для каждого процесса:

– Responsible - выполняет,

– Accountable – отвечает за конечный результат,

– Consulted - консультирует

– Informed – должен быть проинформирован

Link business goals to IT goals. C I A/R

I C

Identify critical dependencies and current performance.

C C R A/R

C C C C C C

Build an IT strategic plan. A C C R I C C C C I C

Build IT tactical plans. C I A C C C C C R I

Analyse programme portfolios and manage project and service portfolios.

C I I A R R C R C C I

RACI Chart – Матрица ответственности

Activities Fun

ctio

ns


Шкала зрелости процессов (Measurement driven)

0 - Не существуют 1 – Хаотичны и неорганизованны 2 - Повторяемы 3- Документированы и доведены до участником 4- Управляемы и измеряемы 5- Оптимизированны


Управление ИТ-рисками

• ИТ-риски – это бизнес риски, связанные с использованием, владением, вовлечением, влиянием ИТ

• Источник ИТ-рисков – отсутсвие, низкая зрелость или неэффективность ИТ-процессов

Не получение ценности Срыв программ/проектов Сбои ИТ-поддержки БП


Контроль - гарантия качества!

• «Качество ИТ» = ценность ИТ для бизнеса + минимизация ИТ-рисков

• Качество ИТ обеспечивается наличием стандартных, зрелых, результативных и эффективных процессов руководства и управления ИТ!

• Инструменты обеспечения Качества ИТ – эффективная контрольная среда, – Система Внутреннего Контроля в ИТ (СВК ИТ) (preventive)

– Внутренний ИТ-аудит (detective)

• Контрольная среда – совокупность политик, процедур, практик и оргструктур, призванная обеспечить обоснованную уверенность, что бизнес-цели будут достигнуты, а нежелательные события будут предотвращены или вовремя обнаружены и исправлены." CobiT4.1


СВК ИТ и ИТ-аудит – место в организации

Совет

директоров

Генеральный директор

CFO

Финансовый директор

Отдел ВК - финансы

COO

Операционный директор

… директор CIO

ИТ директор

Отдел ИБ и ВКИТ

CxO

Комитет по аудиту

Внутренний Аудит


Цели и Задачи

• Цель – Обеспечение качества ИТ

процессов

• Задачи – внутренняя экспертиза по ИТ-

процессам, – идентификация ИТ-рисков, – поддержка разработки, внедрение

и тестировании контрольных процедур в ИТ-процессах,

– согласование и утверждение с бизнесом зон ответственности,

– управление процессом внутреннего самотестирования,

– Управление документацией СВК ИТ

– поддержка прохождения внешних ИТ-аудитов

• Цель

– Обеспечение руководства компании достоверной и актуальной информацией об уровне ИТ-рисков

• Задачи

– выработка и внедрение внутренней методологии ИТ аудита

– планирование, подготовка и проведение аудитов

– подготовка заключений и доведение результатов до проверяемых и Руководства

– подготовка отчетности по состоянию ИТ рисков для высшего руководства

Внутренний ИТ-аудит СВК ИТ


Если Вас заинтересовала эта тема…

• Есть шанс «углубить и расширить»:

• авторский 3х-дневный курс

• «Введение в Руководство ИТ

современной компании (IT Governance)»

• Где? - в Академии Информационных Систем

• Когда ? – с 26 по 28 марта с.г.

[email protected]

[email protected]

Documents

IT Governance для управления рисками и соответствиямиitm.ranepa.ru/files/_Голубев_Виктор-Принцип процессного...•Сертификации