IT Governance2(2)

Copyright dr. M. Spremi*Korporativno upravljanje informatikom i IT revizija (IT Governance, IT Risk Management, IT Audit)PDS Menadment poslovnih sustavaFOI, VaradinKolegij: IS za poslovno upravljanje

Prof. dr. sc. Mario Spremi Ekonomski fakultet Zagreb

Copyright dr. M. Spremi

*Teme Korporativno upravljanje informatikomUpravljanje IT rizicima i kontrole informacijskih sustavaRevizija informacijskih sustavaMetode: CobiT, ITIL, Val IT, SoX, ISO 17799, ISO 27001, IT Balanced Scorecard

*1. Tema: Korporativno upravljanje informatikom

to je IT Governance?Strateko planiranje informatikeKako odrediti optimalnu ulogu informatike u poslovanju?Kako ocijeniti uspjenost provedbe strategije informatike

Metode: CobiT, Val IT, ITIL, IT Balanced Scorecard

*Korporativno upravljanje i informatikaJe li nam IT/IS vana u poslovanju? Zato i u kojoj mjeri nam treba IT/IS?Koja je poslovna vrijednost IT/IS? Koji su rizici koritenja IT/IS?Kakva je kvaliteta usluge koju IT/IS nudi?Kako uinkovito i optimalno koristiti IT/IS u organizaciji?to emo (moemo li) bez IT/IS? Kako (koliko) uloiti u IT/IS?

Koliki je povrat ulaganja u IT/IS?Je li trenutna informacijska infrastruktura usklaena s potrebama i ciljevima poslovanja?Znamo li odrediti prioritetne IT/IS projekte i moemo li procijeniti njihov doprinos poslovanju?Moe li naa informacijska infrastruktura odgovoriti i buduim potrebama poslovanja?Koja IT/IS misija, ciljevi, strategije i arhitektura su nuni da bi IT/IS bio podrka buduem poslovanju?

*to je korporativno upravljanje informatikom (IT Governance)?Skup tehnika i metoda kojima najvii menadment 'ovladava' primjenom informatike u poslovanju, ali i preuzima odgovornost za provedbu informatikih procesa i svih aktivnosti. To je sastavni dio procesa korporativnog upravljanja.

*IT Governance korporativno upravljanje informatikomSarbanes-Oxley zakon, 2002:Izvrni menadment i najvia tijela upravljanja kompanijom postaju odgovorna za sva vana pitanja upravljanja informatikom, poput:

donoenje i implementacije strategije informatike, vrsto povezivanje strategije poslovanja i strategije informatike, odnosno odreivanje optimalne uloge informatike u poslovanju,donoenje metrika kojima se mjeri utjecaj informatike na poslovanje i mjeri poslovna vrijednost informatike, korporacijsko i sveobuhvatno upravljanje informatikim rizicima, uinkovito upravljanje informatikim projektima i ulaganjima, i odgovornost za uinkovitost sustava informatikih kontrola.

*to obuhvaa korporativno upravljanje informatikom? Povezivanje poslovne strategije i strategije informatike (Strategic Alignment)Informatika kao funkcija koja stvara novu vrijednost (Value Delivery)Optimalna ulaganje i dobro upravljanje kritinim informatikih resursima ljudima, mreom, podacima, aplikacijama, projektima, infrastrukturom (Resource Management)Razumijevanje i upravljanje korporativnim rizicima, corporate appetite for risk, sustav stalnog praenja razina rizika, odreivanje protumjera (Risk Management) Praenje performansi poslovanja i mjerenje uspjenosti - provedbe strategije, projekata, praenje performansi poslovnih procesa i/ili usluga, itd. (Performance Measurement)

*to CEOs misle o IT?IT je vie nego ikad kritina za poslovanje87% IT je vaan dio poslovne strategije63% IT je redovita ili stalna tema UpraveCEOs imaju pozitivniji stav o IT-u nego CIOsIT/telekom i financijske usluge imaju bolje rezultate u provedbi IT strategije Upravljanje ljudskim resursima najvei IT problemIT outsourcing je out

*Ciljevi IT ulaganja

*Problemi oko IT ulaganjaSlab ROI, neadekvatno mjerenje produktivnosti IT ulaganjaVie od 30% projekata negativni ROIIT i poslovna strategija nisu usklaeni (40%)

*IT Governance i CEO

*Koje probleme ima CIO?

*Koliko IT doprinosi boljim poslovnim rezultatima (Value of IT)?

*Odgovornost za voenje IT-a

*Korporativno upravljanje informatikom - strategic alignmentNedostaci i problemi postojeeg ISCiljevi, razlozi, oekivani uinci novog ISScenariji, opcije Plan projekta, studija izvedivosti (tehnoloka, financijska, organizacijska)Detaljna financijska analiza svake opcije (TCO, ROI, IRR, CBA)u > 70% IT investicija ne postavlja se pitanje uinkovitostiu > 80% IT investicija CIO ne razumije vezu poslovanje IT83% CIO bavi se samo tehnikom stranom primjene IT-a i interesiraju ih poslovni uinciOdabir optimalne, preporuke za implementaciju i voenje projekta Skladan brak poslovnih ciljeva i ITUsklaivanje ulaganja u IS obzirom na poslovne ciljeveprimjer SPIS-a

Strategija poslovanja

Strategija IS

Tehnologija (IT) Ljudi IS procesi

Metrike

Poslovna vrijednost informatike

*

Smjernice

Industrijska analiza

Situacijska analiza

Metrike uspjenosti

Planovi

Financijski modeli

Misija, vizija, ciljevi poslovanja, vrijednosti i prioriteti

Odreuju viziju, misiju i ciljeve IS, uinke i strategije

Dijelovi poslovnog plana

odreuju

Dijelove IS stratekog plana

Struktura djelatnosti, obiljeja trita, financiranje

Odreuju zahtjeve koji se postavljaju pred budue IS, konkurentska prednost i IS

SWOT snage, slabosti, prilike i prijetnje poslovanju

Sposobnost izvravanja IT projekata, odreuju potencijalne IT projekte, SWOT analiza IS

imbenici uspjeha, metrike poslovnih procesa

Odreuju metrike uspjenosti IS

Ciljevi i strategije

Odreuju kljune IT projekte i postavljaju prioritete

Financiranje

IT budet, politika IT ulaganja, ciljevi IT projekata

*Razliite strategije poslovanja i strategije IS

Strategija poslovanja

Strategija IS

Metrike IS

Trokovno vodstvo

Jeftina tehnologija

TCO - Ukupni trokovi (poslovanja i IS)

Odueviti kupca

Kanali pristupa kupcu

Ankete o zadovoljstvu kupaca

Globalno poslovanje

Robusna mrea

Prosjeno vrijeme odziva mrea i sustava

Visoka kvaliteta proizvoda / usluge

Kvaliteta usluge IS, metrike

Broj incidenata, neprekidnost poslovanja, DR

Brzina poslovanja

Fleksibilan sustav

Prosjeno vrijeme za implementaciju promjena

*Problemi u razvoju strategije ISNezainteresiranost menadmentaLo imid IT u kompanijiNedostatak vremenaStrategiju imamo, ali je nismo implementiraliDugotrajan razvoj strategije IS

Ukljuenost i predanost najvieg menadmentaPodrka najvieg menadmentaSponzorstvo menadmentaImamo li poslovnu strategiju?Dobro analizirati poslovanje, a ne samo tehnologijuDobar IT menadment (CIO)Kakav ste (kakav je) CIO?Success factors za SISP

*Kako odrediti strategiju informatike?defensive IT u kojoj mjeri kompanija ovisi o trokovno uinkovitoj, sigurnoj, pouzdanoj tehnolokoj infrastrukturioffensive IT u kojoj mjeri kompanija ovisi o informatici kao sredstvu postizanja i odravanja konkurentske prednosti, stvaranja nove vrijednosti ili ponude bolje usluge kupcima

REAKTIVNA STRATEGIJA INFORMATIKE ('DEFENSIVE IT')

Operativna vanost ('factory mode')

- Ve vrlo kratak prestanak funkcioniranja ('ispad' na minutu ili dulje) sustava znai i prestanak odvijanja kljunih poslovnih procesa- Ako sustav vrlo kratko ne odgovara na zahtjeve ('response time'), to ima ozbiljna utjecaja na rad vanjskih i unutarnjih korisnika- Mnoge kljune poslovne aktivnosti su 'online'- Potrebno je stalno ulagati u odravanje i praenje performansi rada sustava- Sustav omoguuje znatne trokovne utede ali i neznatnu strateku difrencijaciju

PROAKTIVNA STRATEGIJA INFORMATIKE ('OFFENSIVE IT')

Strateka vanost ('strategic mode')

- Ve vrlo kratak prestanak funkcioniranja ('ispad' na minutu ili dulje) sustava znai i prestanak odvijanja kljunih poslovnih procesa- Ako sustav vrlo kratko ne odgovara na zahtjeve ('response time'), to ima ozbiljna utjecaja na rad vanjskih i unutarnjih korisnika- Novi sustavi omoguuju radikalnu promjenu poslovanja (poslovnih procesa) i usluga- Novi sustavi omoguuju veliku utedu trokova- Novi sustavi e omoguiti strateku prednost nad konkurentima (nii trokovi, bolja usluga, bolje performanse poslovnih procesa)

Podrka poslovanju ('support mode')

- ak i ponovljeni ispadi u funkcioniranju sustava (npr. do 12 sati) ne utjeu znaajnije na odvijanje poslovanja- Odziv sustava korisnicima pri provoenju elektronikih transakcija moe biti do 5 sekundi- Unutarnji sustavi nisu dostupni dobavljaima i kupcima. Nema velike potrebe za uvoenjem ekstraneta- Kompanija se vrlo brzo moe 'prebaciti' na runi nain provedbe poslovnih procesa, ak i za do 80% kljunih poslovnih transakcija - Potrebno je ulagati u odravanje i praenje performansi rada sustava

Pretvorbeni nain ('turnaround mode')

- Novi sustavi e promijeniti nain poslovanja kompanije i donijeti odrivu konkurentsku prednost- Novi sustavi omoguuju radikalnu promjenu poslovanja (poslovnih procesa) i usluga- Novi sustavi omoguuju veliku utedu trokova- Novi sustavi e omoguiti strateku prednost nad konkurentima (nii trokovi, bolja usluga, bolje performanse poslovnih procesa)- Ulaganja u informatiku ine vie od 50% kapitalnih ulaganja kompanije- IT budet predstavlja vie od 15% ukupnih trokova kompanije

NISKA DO VISOKA POTREBA ZA POUZDANOM INFORMATIKOM (IT)

NISKA DO VISOKA POTREBA ZA INOVATIVNOM INFORMATIKOM (IT)

*Defensive IT (support mode) podrka poslovanjuIT vana kao operativna infrastruktura Pouzdanost i dostupnost IT infrastrukture manje vana (nije kritina)IT se koristi kao podrka aktivnostima zaposlenih Zara IT for fast fashion: striktna kontrola lanca nabave (SCM)Kljuni poslovni procesi se odvijaju u skupnoj obradiKorekcije i back-up se odvijaju runoak i dulji ispadi rada IS ne utjeu na odvijanje poslovanja

Kljuna pitanje za Upravu (IT Audit Committee): Trebamo li (moemo li) ostati pri ovoj strategiji primjene informatike?to rade nai trenutni i budui konkurenti po tome pitanju?Koristimo li uinkovito IT infrastrukturu?Kakva je poslovna vrijednost nae informatike? IT ROI?Treba li i kada mijenjati strategiju informatike?Koji su rizici, a koje koristi takve promjene?Troimo li pametno novac koji ulaemo u informatiku? Moemo li bolje, pametnije?Spending mantra: Dont waste money













*Case study: Zara usklaenje poslovne i IS strategije1975. Zaru osnovao Amancio Ortega, koji je 2003. bio najvei dioniar i najbogatiji ovjek u panjolskoj1985. osnovan holding Inditex (www.inditex.com) koji se pored modne marke Zara (www.zara.com) sastoji i od ostalih prodajnih lanaca i mree dobavljaa u svojem vlasnitvuTemelj poslovnog modela (poslovna strategija)brza moda maksimalno skraivanje poslovnog ciklusa (14 dana)este promjena asortimana, stalno privlaenje kupaca u prodavaonicemunjevita reakcija na zahtjeve trita, decentralizacija i autonomija odluivanja na niim razinama, a ne rigidna kontrola trokova bez reklamnih kampanja, bez intenzivnog oglaavanja (2 puta godinje u asopisima),potpuna autonomija odluivanja (svi se krojevi mogu promijeniti u trenutku)

*Zara fast fashion poslovni modelPoslovni ciklus traje 14 dana - 12 puta bri nego kod konkurencije (Gap)Troak promocije 0,3% ukupnog prihoda (H&M, Gap, Benetton oko 10-ak puta vie)75% asortimana u duanima mijenja se svako 3-4 tjedna (svaki tjedan u svaki duan dolazi 200 novih modela)Vie od 1600 prodajnih mjesta u 50-ak zemalja na 4 kontinentaVlastita - centralna proizvodnja u La Coruni, naruivanje robe dva puta tjedno od strane svake poslovne jedinice (handheld raunala)

*Zara fast fashion poslovni modelDostava i distribucija vlastita logistika (zrakoplovi, prijevozna sredstva, DC-i), traje najdulje 48 sati, neprodane robe ima oko 10%, nova roba se prodaje i proizvodi u ogranienim koliinamaFast fashion - odjea u duane stie na vjealicama, s cijenama i spremna za prodaju (jeftinije bi bilo klasino u kutijama, ali to bi usporilo proces)Kontrola opskrbnog lanca Iscrpna analitika ponaanja kupaca (npr. Zarini kupci duane u prosjeku posjeuju 17 puta godinje, dok u centralnom Londonu samo oko 4 puta)

*Zara IT for fast fashionNema formalnog CIO-a Vlasnik i CEO oformili posebni IT Odbor (IT Steering Committee) koji brine o stratekim IT odlukamaSalgado (CIO u Inditexu) i Castellano (Inditex CEO, ali i bivi CIO) gotovo svakodnevno raspravljaju o vanim IT/IS projektima Informacijska (IT/IS) strategija: to vie kljunih aplikacija, dijelova IS imati pod vlastitom kontrolom podrka kljunim prednostima poslovnog modela (brzina i autonomija odluivanja), ak i na utrb 100% tonih podatakajednostavna, pouzdana IT/IS infrastruktura (DOS) koju svi razumiju i prihvaaju, jednostavno odravanje, minimalan broj ljudi na odravanjudomaa IT radna snaga, izrazito motivirana, 50-ak ljudi, 1 ovjek napustio IT odjel u proteklih 10 godinaSalgado (CIO u Inditexu): skupo je odravati 100% tonost podataka u upravljanju zalihama, dovoljno je 95-98% Salgado (CIO u Inditexu): poslovanje kompanije je jedinstveno i teko ga neka vanjska kua moe bolje razumjeti od nas Formalno ne provode cost-benefit analize

*Zara IT for fast fashion50-ak ljudi u IT/IS odjelu koji su samostalno razvili sve aplikacije (raunovodstvo, naruivanje, dostava, veze IS i handheld raunala)IT podrka minimalna i uinkovita (0,5% ljudi radi u IT-u, dok je kod konkurencije taj udio 2,5%)IS odjel ima tri pod-odjela: Store Solutions, Logistics Support, Admistrative SystemsIT podrka svim mjestima prodaje (1600 mjesta prodaje u 50-ak zemalja na 4 kontinenta) je iz centrale, iz La Corune Posebnost: dugo godina su radili na DOS-u, POS terminali i HHT nisu stalno izravno povezani sa sredinjim IS

*Zara IT for fast fashionKrajnje jednostavna informacijska infrastrukturaStore Solutions: sva Zara mjesta prodaje imaju handhelde (uvedeni 1995.) i POS sustave POS terminali u svakoj prodavaonici su ostali netaknuti gotovo desetljeima: jo uvijek rade na DOS-u, kojega i Microsoft od 2003. vie ne podravaZara ne odustaje od DOS-a jer su samostalno razvili aplikacije koje pouzdano, tono i bez gotovo ikakvog odravanja rade ve godinama Prodajno osoblje samostalno odrava aplikaciju i POS terminalKada se otvori novo prodajno mjesto, njegov manager jednostavno ubaci dvije instalacijske diskete u 'prazan' POS terminal Rezultat: IT podrka minimalna, nema potrebe za zapoljavanjem velikoj broja ljudi koji bi radili na odravanju (0,5% ljudi radi u IT-u, kod konkurencije 2,5%)Pitanja: Moe li jedna brzo rastua kompanija dugorono ouvati ovako jednostavnu informacijsku infrastrukturu temeljenu na DOS-u?Koji su rizici toga? Koja poboljanja biste predloili?

*Defensive IT (factory mode) operativna vanostIT podrava kritine poslovne procese i protee se do dobavljaa, kupaca, okruenjaVeina poslovnih procesa su online, izrazito se koristi ekstranetKompanija treba visoko pouzdanu, sigurnu i uvijek dostupnu ITKompanija treba zrelu, ne pomodnu IT Ako IT nije u funkciji kompanija trpi velike tete i kritine zastoje u raduBusiness continuity kritian Koje kompanije mogu koristiti ovu strategiju informatike?

Kljuna pitanje za Upravu (IT Audit Committee): Pitanja koja vrijede za support mode + Kontroliramo li procedure oporavka poslovanja?Je li se to promijenilo u procedurama oporavka poslovanja to bi moglo utjecati na kontinuitet poslovanja?Pratimo li primjerenost nae IT infrastrukture (hardver, softver, stare aplikacije, mree,..)? Jesu li one aktualne, zrele, adekvatne?Imamo li adekvatne procedure zatite IT-a i upravljamo li IT rizicima?Jesmo li odredili kljune brojke koje znae performanse informatike?Korporativno upravljanje IT rizicima?Imamo li procedure i organizaciju rada koja omoguuje pruanje 24/7 dostupnost sustava i pruanje odgovarajue razine kvalitete usluge?Pratimo li IT trendove, perspektive? Moe li nas neto iznenaditi?Treba li troiti vie novca na informatiku kako bismo smanjili poslovne rizike?Spending mantra: Dont cut corners













*Offensive IT (turnaround mode) pretvorbeni nainIT koristimo kao sredstvo i polugu radikalne promjene poslovanja s ciljem postizanja strateke konkurentske prednosti Koriste ga kompanije koje su usred transformacije poslovanja i provoenja novih ofenzivnih strategija poslovanjaKompanije mogu relativno kratko vrijeme koristiti ovu strategiju Te kompanije intenzivno troe na IT s nadom postizanja znaajne strateke prednostiU tome razdoblju manja je potreba za pouzdanim, neprekidnim sustavom, postojei sustavi su dovoljno jednostavni i mogu se kontrolirati i runim proceduramaKompanije obino ulaze u ovu strategiju informatike kada pokreu velike IT projekte i velike reinenjerske projekte (projekte radikalnih promjena poslovnih procesa, inovacije poslovanja, itd.)Primjeri: SABRE, Ryanair, Metro, Wal-Mart (RFID) Koje kompanije mogu koristiti ovu strategiju informatike?

Kljuna pitanje za Upravu (IT Audit Committee): Pitanja koja vrijede za support mode + Provode li se aktivnosti iz stratekog IT plana? Kontrola provedbe strategije informatike?Jeli naa struktura aplikacija dovoljna za obranu konkurentske pozicije (prijetnje novih konkurenata i iskoritavanje potencijalnih prilika)?Moemo li mi i znamo li prepoznati i iskoristiti strateku IT priliku?Znamo li mi dovoljno o pravoj naravi stratekih IT projekata?Znamo li mi kontrolirati IT rizike?Moemo li kontrolirati trokove, kvalitetu i vrijeme provedbe IT projekta?Jesu li velika ulaganja u informatiku opravdana? Vodi li nas ovaj put prema stratekoj konkurentskoj prednosti?A to ako ne uspijemo?Razumije li Uprava ova pitanja?Spending mantra: Dont screw it up













*Offensive IT (strategic mode) strateka vanostKeep the innovation pace IT se koristi kao sredstvo stalne inovacije poslovanja s ciljem odravanja konkurentske prednosti Uporaba postojeih sustava nam omoguuje konkurentsku prednost, no, o njihovom unaprjeenju ovisi hoemo li je i u budunosti imatiVeliki trokovi, ulaganja u IT Intenzivna IT ulaganja s ciljem postizanja budue strateke prednostiIntenzivna IT ulaganja u pouzdan, neprekidan rad postojeih sustavaNeke kompanije su i prisiljene stalno koristiti ovu strategiju informatike (procesna industrija, auto-industrija, zrakoplovna, )Koje kompanije mogu koristiti ovu strategiju informatike?

Kljuna pitanje za Upravu (IT Audit Committee): Pitanja za support mode + Pitanja za factory mode + pitanja za turnaround mode + Razumije li Uprava ova pitanja?Spending mantra: Spend what it takes and monitor results results like crazy













*Vizije i analiza utjecaj na ciljeve poslovanjaProfitabilnost, smanjenje trokovaIzvjetajni sustav za izvrne menadere koji sadre svjee podatke o kljunim metrikama poslovanjaAutomatizirani SCM, e-SCM, poboljani alati za prognoziranje Napredna analiza cijena, trokova, mari, prihoda, .Smanjenje IS trokova, standardizirani alati, hardver, Redizajn i poboljanje procesa naruivanjaE-poslovanje i irenje trita, globalni dosegAplikacije robusne da mogu podrati globalno poslovanjeRast poslovanja na svim tritima, globalno poslovanjePodrka procesu razvoja novih proizvodaDocument management, podrka upravljanju projektima, ROIFleksibilni konfiguratori proizvoda, simulatori proizvoda, CAD, ..CRM, e-poslovanje, online servisi, naruivanje i praenje proizv.Dodatni kanali komunikacije s kupcimaDocument management, metrike kvaliteteSoftver za business process mapping, TQM, ISO, .Napredna (statistika) analiza poslovanja Automatizirana kontrola procesa kvaliteteTehnike inovacije, inovacije proizvodaUsluga prema kupcimaKvaliteta proizvoda / uslugePoslovni ciljPrilike za IS

*RadionicaKoja je poslovna strategija kompanije?Koji su strateki ciljevi poslovanja? Kako IS moe pomoi ostvarenju svakog pojedinog cilja (prilike za IS)?Odredite optimalnu ulogu informatike u poslovanjuOdredite prioritetne IT projekteOdredite prioritete ulaganja u informatiku

*IT governance modeli COBITMetoda koja omoguuje procjenu zrelosti poslovnih procesa informatike i procjenu zrelosti upravljanja i voenja IT (ocjena od 0 do 5)Sveukupna ocjena za IT ili parcijalne ocjene za pojedine dijelove (34 IT procesa, odnosno cilja kontrole)34 IT procesa (cilja kontrole) i 318 detaljnih kontrolaCOBIT pregled Case Study CobiT - Revizija IS Coca-Cole Hrvatska prema CobiT-u (.ppt)

*IT governance modeli Val ITMetoda koja omoguuje procjenu poslovne vrijednosti IT-e kroz analizu isplativosti IT ulaganjaTri kljuna procesa:Value governancePortfolio ManagementInvestment Management

*Poslovna vrijednost IT-a Financijski rezultati IT-a, ROI, TCO, IRR, novani tijek IT projekata, transakcijski trokovi prije i poslije implementacije IT projekta, metrika poslovnih procesaRazina zadovoljstva korisnikaAnkete o zadovoljstvu ponuenom uslugom, IT osobljem, odravanjem, pouzdanosti sustava, jednostavnosti uporabe, Performanse procesaMetrika internih procesa, broj sigurnosnih incidenata, .Prilagodljivost i skalabilnostFunkcionalnost aplikacija, jednostavnost nadogradnje, .IT governance modeli IT Balanced Scorecard

*IT governance modeli IT Balanced Scorecard

*2. Tema: Upravljanje IT projektima i ulaganjima

Zato IT projekti ne uspijevaju?Metode upravljanja rizicima IT projekata

Metode: PMBOK, CobiT, Val IT

*IT - strateko oruje poslovanja (raspodjela IT ulaganja)IT productivity paradoxOd ukupnog troka od 20 mil. $ na ERP sustav3 mil. $ dobavljau softvera1 mil. $ kupnja dodatne opreme16 mil. $ - supporting costs - business process redesign, vanjski konzultanti, trening, menadersko vrijeme, .10:1 odnos izmeu ulaganja u IT (tehnologiju) i ulaganje u novi nain rada (supporting costs)Prosjean povrat ulaganja (ROI) je nakon 5 godina

Izvor podataka: Financial Times (2003), MIT

*IT Value Delivery2002 Gartner 20% IT trokova su nepotrebni, rasipni (annual value destruction 600 milijardi USD)2004 IBM Fortune 1000 CIO anketa 40% IT trokova nisu donijeli nikakvu korist organizaciji2004 Standish Group Report 29% IT projekata je uspjeno 80-90% projekata ne postie uinke zbog kojih su pokrenuti,80% projekata prekorai planirano vrijeme i cijenu,40% projekata se zauvijek napusti2002 100 najboljih HR kompanija 30% IT projekata je uspjenoto je uspjean IT projekt?Radionica: Zato IT projekti ne uspijevaju?

*Standish Group CHAOS ReportIstraivanje karakteristika 30.000 IT projekata u malim, srednjim i velikim poduzeima u SAD-u od 1994 do danasKlasifikacija projekata:successful projekt je zavren na vrijeme, unutar zadanog budeta sa svim traenim funkcijama i obiljejima challenged projekt je zavren i operativan je, ali je probio budet i rokove i nema sve unaprijed traene funkcije i obiljejafailed projekt je naputen prije dovretka ili nije nikad implementiran

SuccessfulChallengedFailed 1994 16% 53% 31%1996 27% 33% 40%1998 26% 46% 28%2000 28% 49% 23%

*imbenici uspjeha IT projekataPodrka managementaUkljuenost (kljunih) korisnika Sposobnosti voditelja projektaIskustvo voditelja projekta s tom vrstom projekta (Standish Group 97% uspjenih projekata je imalo iskusnog voditelja)Jasni (poslovni) ciljevi projektaJasan djelokrug (granice) projekta Standardna softverska infrastrukturaUdovoljavanje prvo osnovnim zahtjevima (Standish Group preporuka)Formalna metodologija (Standish Group 46% uspjenih projekata je koristilo formalnu metodologiju)Realne procjene

1996 KPMG istraivanje neuspjenih IT projekata 55% nije imalo plan upravljanja rizicima IT projekta 38% je imalo formalan plan koji nije radio 7% nisu znali jesu li imali plan ili ne

*Metode upravljanja rizicima IT projektaStandish Group ModelKategorije rizika IT projekataTrini rizik (hoe li korisnici prihvatiti IT projekt?)Financijski rizik (ROI, NPV, )Tehnoloki rizik (studija izvedivosti IT projekta)ljudski rizik Procesni rizik PMBOK (Project Management Body of Knowledge)Integracija - kvalitetaDjelokrug- ljudski resursiVrijeme - komuniciranje u projektnom timuTrokovi - isporuka

*Radionica procjena rizika IT projektaSponzorstvo projekta od strane (najvieg) managementaMetodologija upravljanja projektimaUkljuenost korisnikaPodjela projekta na manje zadatke, odreivanje kontrolnih toaka (milestones) i odobravanje pojedinih fazaJasno odreivanje odgovornostiRigorozno praenje kontrolnih toaka i onoga to je napravljenoRigorozno praenje trokova (ROI, NPV, ) Planovi i metode za osiguravanje kvalitete konanog proizvoda Procjene rizika projekta i programaTranzicija iz razvojne faze u fazu implementacije

*3. Tema: Upravljanje IT rizicima i kontrola i revizija IS-a

Plan upravljanja IT rizicimaKako odrediti prioritetne IT rizike i IT kontroleto je revizija IS-a i emu slui?Revizija IS-a kao savjetodavna funkcija

Metode: CobiT, ITIL, SoX, ISO 17799, ISO 27001

*Informacijski sustavi koji grijee

Kako je nastao pojam bug Zrakoplov iz 1989. koji je zbog pogreke raunala pri utvrivanju preletnih koordinata udario u planinu na AntarkticiSlom australskog sustava socijalnog osiguranja 1992. (zbog pogreke u IS odobrena su neka prava osiguranicima to je porezne obveznike stajalo 126 milijuna australskih dolara)Britanski umirovljenici su bili godinama prikraivani za 300 GBP mjeseno radi pogreke u projektiranju ISSlom burze tehnolokih dionica iz 1995.sluba socijalnog osiguranja SAD-a isplatila vie od 60 milijuna $ na raune oko 8.000 pokojnika u toku 15 godina Giant Food Inc. umjesto 25 centi, dioniarima isplaena dividenda od 2,5 $ - ukupno vie isplaeno 11 milijuna nepostojeih dolaraStanley Mark Rifkin provalio u EFT (Electronic Funds Transfer) sustav velike banke i napravio transfer 10,2 milijuna $ na raun u vicarskoj, te kupio 250.000 dijamanata kazna 8 godina strogog zatvora.

*

Zrakoplovna kompanija ComAir

Otkazao transakcijski IS zrakoplovne kompanije za vrijeme boinih blagdana 2004. Taj se sustav sastojao od prastarih IBM-ovih AIX posluitelja. Sustav nije otkazao zbog starosti posluitelja nego zbog SBS-ova softvera koji nije bio predvien za vie od 32.000 odgoda letova, koliko ih je bilo tog mjeseca zbog brojnih oluja. Problemi: Tisue Amerikanaca boine je blagdane provelo ekajui u zranim lukama, tete, tube, naruen ugled. Razlozi?

Zato informacijski sustavi grijee?

*Zato informacijski sustavi grijee?

Rijeka Banka d.d.Neuinkovit kontrolni sustav, jedna osoba imala pristupa velikom broju korisnikih imena i lozinkiGrubo naruavanje podjela obveza i odgovornosti i katastrofalni propusti u ISteta: skoro 100 milijuna USDRazlozi?

*Potreba za revizijom ISUobiajene vrste revizije:Revizija financijskih izvjetajaRevizija podudarnosti Revizija poslovanja Revizija informacijskih sustavaInterna revizija Eksterna revizijaInterna revizija IS, eksterna revizija IS

Kako izgleda i emu (kome) slui izvjetaj revizora IS-a (primjer)

*to je revizija informacijskih sustava? Organizacijska funkcija koja omoguuje neovisno i objektivno testiranje funkcija, ciljeva i dijelova informacijskog sustava kako bi se prikupili dokazi koji se mogu neovisno razmatrati ili biti dobrom podlogom za ostale vrste revizije

Revizija informacijskih sustava predstavlja proces prikupljanja i procjene dokaza na temelju kojih se moe utvrditi djeluje li informacijski sustav u funkciji ouvanja imovine, odrava li se cjelovitost (integritet) podataka, omoguuje li se djelotvorno ostvarivanje ciljeva poslovanja i koriste li se resursi poslovanja na uinkovit nain

*to je revizija informacijskih sustava? Sveobuhvatni pojam koji sadri sljedea podruja:Voenje IT/IS, strategija IT/ISProcjena rizika koritenja IT/ISProcjena uinaka ulaganja u IT/IS, utvrivanje poslovne vrijednosti ISProcjena IS-a i poslovnih procesa, utjecaj na kljune poslovne proceseKontrola IS (interna kontrola IS, kontrolni mehanizmi)Upravljanje kontinuitetom poslovanja Sigurnosna politika IS i organizacijeKvaliteta IS (quality assurance)IT forenzikaPrognostika pogreaka IS/ITProvedba specifinih kontrola IS (tonost podataka, informacija, neprekidnost poslovanja, oporavak nakon nesree, itd.) Usklaenost s normama i standardima (ISO 27001, ISO 17799, SoX kontrole, CMM, CobiT, ITIL,), itd

*Ciljevi i rezultat revizije ISProcjena stanja IS, izvjetaj menadmentu s preporukama za poboljanje prakse upravljanja IS (primjer ISO17799, primjer - ITIL)Osiguranje to viega stupnja cjelovitosti podatakaUnaprjeenje djelotvornosti informacijskog sustavaUnaprjeenje uinkovitosti informacijskog sustava (otkrivanje rizinih podruja, preporuke menadmentu za bolje i uinkovitije upravljanje radom IS) primjer - COBIT

*IT rizici i kontrole Odreivanje rizika primjene IT/ISPoslovni rizik (strateki rizik, rizik za financijska izvjea, operativni rizik, pravni rizik, financijski rizik, rizik nesukladnosti s normama, ..) Rizik revizije (inherentni, kontrolni, detekcijski, ukupni revizijski rizik)Sigurnosni rizici (pristup podacima, fizika, logika sigurnost, integritet podataka, tonost, pouzdanost, dostupnost, itd.)Rizici neprekidnosti poslovanja (dostupnost IS-a, arhiviranje back-up, oporavak)Analiza stanja procjena rizika odreivanje kontrola testiranje kontrola

*Vrste IT rizika Company-level IT risksStrat. IT plan, IT project management praksa, IT politike, procedure, pravilnik o sigurnosti IS, politika IT ulaganja, rizik nepotivanja standarda, zakonskih obveza, rizik IT ovisnosti o dobavljaima, rizici iz vanjskog okruenja, itd. Process-level IT risks (opi IT rizik)Razvoj i kupnja aplikacija, promjena softvera, pristup programima i podacima, sigurnosni rizici, rizik neprekidnosti poslovanja (business continuity), rizik oporavka nakon prekida rada (disaster recovery), itd.Aplikacijski IT rizici i rizici IT servisaRizici provedbe IT operacija (jesu li transakcije tone, potpune, cjelovite, podjela dunosti i kontrola, autorizacija, itd.) i rizici IT servisa (dostupnost i funkcionalnost mree, podataka, itd..) (primjer rizik IT servisa ITIL)

Mentalitet upravljanja IT rizicimaLjudi (npr. podjela posla)Podaci (spreavanje neovlatenog pristupa, neovlatenih promjena)Infrastruktura (neprekidnost poslovnih procesa, automatizirane kontrole)

*Proces upravljanja IT rizikomAnaliza stanja Identificiranje svih IT rizika i prijetnji Procjena IT rizika i ranjivosti na prijetnjeUtvrivanje vjerojatnosti pojave nekog IT rizikaProcjena utjecaja na poslovanje (business impact analysis)Analiza uestalosti pojavljivanja (IT risk ranking)Procjena teine vrijednosti rizika i strategija odgovoraStrategije odgovora na IT rizikePraenje razine IT rizikaSmanjenje razine IT rizika Izbjegavanje IT rizikaPodjela IT rizika, prebacivanje IT rizika na nekoga drugogaOdreivanje IT kontrolaDokumentiranje IT kontrola Portfolio pristup IT rizicima i utjecaj na poslovnu strategiju

*Primjer i radionica: izraunavanje IT rizika

Utjecaj Financijski gubitak Kategorija rizika Dostupnost Industrija Telekomunikacije Uzrok U lipnju 1999, dionice eBay-a, online aukcijske kue, su pale za 30 % (nekoliko milijardi dolara ukupno) nakon 21 satnog pada web stranice. Uprava eBay-a se izjasnila da im je to utjecalo na smanjenje prodaje u tom kvartalu za 10 posto. eBay je javno okrivio dobavljaa softvera Sun Microsystems za sljedei gubitak dostupnosti, od 37 minuta, koji se dogodio u oujku 2001., i utjecao je na pad dionica u iznosu od 5%.

*Procjena IT rizika Identificiranje prijetnjiNpr. pouzdanost podatakaDostupnost podataka Integritet podatakaPravodobnost, tonost podatakaProcjena ranjivosti na prijetnjePouzdanost podataka (udaljeni pristup od strane neautoriziranih korisnika, ..)Odreivanje prihvatljive razine rizika (procjena vjerojatnosti nastanka neeljenog dogaaja)

Oekivana vrijednost rizika = Procjena gubitka x vjerojatnost nastanka

*Vrste kontrola ISUpravljake kontrole (politike kompanije, nain i stil voenja, strateki plan IT, organizacija posla, nain razmjene informacija, )Ope IT kontrole (cilj: siguran, pouzdan i neometan IS)Uinkovitost i provedba sigurnosne politike ISProcjena sustava internih kontrola, Kontrole voenja i organiziranja ISKontrole pri razvoju IS, Kontrole pri promjeni postojeeg IS (softvera)Kontrole pri redovitom radu IS i opremeKontrole pristupa podacima i programimaOsiguravanje kontinuiteta poslovanjaFizike sigurnosne kontrole, Logike sigurnosne kontroleKontrole rada IS (podjela dunosti)Kontrole podataka, kontrole obrade podatakaKomunikacijske kontrole, U/I kontroleAplikacijske kontrole (cilj: otkriti/sprijeiti neautorizirane transakcije)PotpunostTonostAutorizacijaValidacijaPodjela posla

*Vrste kontrola IS Sigurnosne kontroleFizike i logike kontroleKontrole pristupaKontrole praenjaKontrole pregleda stanjaPenetrating tests kontroleInformacijske (podatkovne) kontroleKontrole ulazaProcesne kontroleKontrole baza podataka Izlazne kontroleKontrole aplikacijeKontrole neprekidnosti Backup kontroleBackup podatakaBackup hardveraKontrole oporavka nakon neeljenog dogaaja

*Vrste kontrola IS

Klasifikacija kontrolaVrstaNamjenaPrimjerPreventivnaOtkriva problem prije nego se on pojaviNadzire i djelovanje i unosPokuava predvidjeti potencijalni problem prije njegova pojavljivanja i napraviti prilagodbeSprjeava nastajanje greke, izostavljanje potrebnog ili maliciozan in Zapoljavanje samo kvalitetnog osobljaPodjela odgovornostiKontrola fizikog pristupaKoritenje dobro osmiljene dokumentacijeUspostavljanje prikladnih procedura za autorizaciju transakcijaProgramska kontrola unosaKontrola pristupa osjetljivim podacimaDetekcijskaKontrola koja otkriva i izvjeuje pojavljivanje greke, izostavljanja potrebnog ili malicioznog inaHash vrijednostiKontrolne toke na poslovima u produkcijskoj okoliniDvostruka provjera kalkulacijaIzvjetavanje o grekamaKorektivnaMinimiziraju utjecaj prijetnjeIspravlja probleme pronaene zahvaljujui detekcijskim kontrolamaIdentificiraju uzrok problemaIspravljaju greke prouzrokovane problemomModificiraju sustave kako bi se umanjila mogunost pojavljivanja u budunostiPlaniranje neoekivanih situacijaProcedure oporavkaProcedure ponovnog pokretanja

*Primjeri provedbe testova kontrola ISTestiranje opih IT kontrola Uinkovitost i standardi sigurnosne politike ISPolitika korisnikih imena i lozinki (lozinke se trebaju mijenjati pri instalaciji sustava, minimal password lenght > 8, kombinacija brojeva i slova, lozinka se ne vidi pri unosu, datoteka s lozinkama je enkriptirana tako da je NITKO ne moe itati, lozinke se mijenjaju svako 30 dana, itd.Osiguravanje kontinuiteta poslovanja (primjer: BC and DR at Dell)Odreivanje kritinih poslovnih procesa, kritinih aplikacija i utvrivanje prioritetaProcjena njihova utjecaja na poslovanje (Business Impact Analysis)Procjena rizika i kontrola (RTO)Razvoj strategije kontinuiteta poslovanjaRazrada operativnog plana osiguranja kontinuiteta poslovanja Testiranje i implementacija plana kontinuiteta poslovanja

*Primjeri provedbe testova kontrola ISKontrola i revizija rada IS (IT procesa)Kontrola podataka (ulaza, obrade, prijenosa, izlaza, )Ulazne kontrole Testovi integriteta, potpunosti, logiki testovihash total, provjera brojevaKontrole sistemskog softveraPodjela dunosti i odgovornostiKontrole uinkovitosti Automatske i rune kontroleKontrole podrke aplikacijama

*Metode upravljanja informatikom i IT rizicima

COBIT metodologija upravljanja IT (pregled) SoX kontrole (.ppt)ISO 27001:2005 (.ppt) ITIL (www.itil.co.uk) (pregled)

*Radionica: Procjena IT rizika poslovnih procesaIzdvojite dva-tri najvanija poslovna procesa za koje ste odgovorniProcijenite IT rizike koji mogu ugroziti odvijanje tih poslovnih procesaProcijenite vjerojatnost nastanka tih rizika i dogaaje koji ih mogu uzrokovatiProcijenite kakvu bi tetu kompanija mogla pretrpjeti takvim potencijalnim dogaajimaKakve su IT kontrole prisutne da bi se ti rizici smanjiliKako su se te IT kontrole testirale?

*Zadatak revizije IS u procjeni rizika Identificirati rizike na osnovu provedenih revizija, dokaza, nalaza i preporuka (primjer)Pomoi managementu poduzea svesti razinu rizika s kojom je poduzee suoeno na najmanju, odnosno prihvatljivu mjeru, implementacijom zatitnih (sigurnosnih) kontrola (primjer)Implementacija politike zatite informacijskog sustava u poduzeu je jedan od naina kako zatititi IS od potencijalnih ranjivosti

Copyright dr. Mario [email protected]

www.efzg.hr/mspremic Hvala na pozornosti Pitanja, komentari, prijedlozi, sugestije

Copyright dr. Mario Spremi

Documents

IT Governance2(2)