Использование методологии COBIT для эффективного управления информационными технологиями Кирилл Домнич, CISA, CISM старший консультант, отдел услуг в области управления информационными технологиями и ИТ-рисками Минск, 21 ноября 2012 Конференция «БанкИТ»

Использование методологии COBIT для эффективного управления ИТСтраница 2 Результаты исследования «Эрнст энд Янг» «Инновации для устойчивого развития», 2011

Использование методологии COBIT для эффективного управления ИТСтраница 3 Цель и методология исследования Компания «Эрнст энд Янг» провела опрос ИТ директоров, членов высшего исполнительного руководства различных организаций по всему миру (15 стран, 869 участников), чтобы понять, как ИТ службы отвечают вызовам динамичной и конкурентной бизнес- среды Количество участников по странам

Использование методологии COBIT для эффективного управления ИТСтраница 4 Недостаточный обмен информацией Преобладающее большинство респондентов (81%) считают, что сотрудникам ИТ служб нужно лучше понимать потребности бизнеса, а также улучшать процессы взаимодействия с представителями бизнеса При этом 40% респондентов не удовлетворены тем, как происходит обмен информацией между ИТ службой и бизнес-подразделениями в их компаниях

Использование методологии COBIT для эффективного управления ИТСтраница 5 Объемы инвестиций растут, но оценка их рентабельности не проводится 42% респондентов заявили, что за последние 12 месяцев, несмотря на нестабильную экономическую ситуацию, расходы их компаний в области ИТ выросли Только 39% респондентов указали, что в их организации существует практика оценки рентабельности инвестиций в ИТ

Использование методологии COBIT для эффективного управления ИТСтраница 6 Сложности с цифрами Способность ИТ службы управлять бюджетом ставится под сомнение. Лишь 55% респондентов удовлетворены тем, как ИТ служба планирует и контролирует свой бюджет При этом 73% самих руководителей ИТ служб довольны своим процессом планирования и контроля ИТ бюджетов. Их представления о том, сколько организация фактически расходует на ИТ, отличаются от мнения их коллег из высшего руководства: директора ИТ служб указывают значительно меньшие суммы

Использование методологии COBIT для эффективного управления ИТСтраница 7 Ключевая позиция ИТ руководителя 73% участников исследования считают, что руководитель службы информационных технологий (CIO) мог бы стать ключевой фигурой процесса развития бизнеса При этом только 15% отметили, что ИТ службы их компаний очень хорошо подготовлены к требованиям, которые будут предъявлены к ним в будущем

Использование методологии COBIT для эффективного управления ИТСтраница 8 То, что является достижением сегодня - будет нормой завтра В прошлом десятилетии ИТ службы внесли огромный вклад в успех компаний, но сегодня от ИТ ожидают еще больше инноваций Для того чтобы соответствовать возрастающим ожиданиям бизнеса, ИТ руководители должны повысить квалификацию в ряде областей, включая обмен информацией, бюджетное планирование и управление рисками

Использование методологии COBIT для эффективного управления ИТСтраница 9 На чем необходимо сконцентрироваться ИТ руководителю? Взаимодействие с бизнесом Связь бизнес-целей с деятельностью ИТ подразделений Эффективные коммуникации Продвижение инноваций Оценка рентабельности инвестиций в ИТ Эффективное управление ИТ бюджетом

Использование методологии COBIT для эффективного управления ИТСтраница 10 Оценочный уровень затрат на ИТ в банках Беларуси за 2011 год

Использование методологии COBIT для эффективного управления ИТСтраница 11 Оценочный уровень затрат на ИТ в банках за 2011 год согласно отчетности по МСФО График составлен на основании опубликованной финансовой отчетности по МСФО за 2011 год. Некоторые статьи затрат, явно не указанные в пояснениях к отчетности, были получены на основании аналитических расчетов.

Использование методологии COBIT для эффективного управления ИТСтраница 12 Отношение расходов на ИТ к чистым процентным и комиссионным доходам График составлен на основании опубликованной финансовой отчетности по МСФО за 2011 год. Некоторые статьи затрат, явно не указанные в пояснениях к отчетности, были получены на основании аналитических расчетов.

Использование методологии COBIT для эффективного управления ИТСтраница 13 Средний показатель отношения расходов на ИТ к общим доходам банков График составлен на основании опубликованной финансовой отчетности по МСФО за 2011 год. Некоторые статьи затрат, явно не указанные в пояснениях к отчетности, были получены на основании аналитических расчетов год Затраты на ИТ 11% Общий доход банка 2010 год Общий доход банка

Использование методологии COBIT для эффективного управления ИТСтраница 14 Усредненная структура расходов на ИТ в банках за 2011 год График составлен на основании опубликованной финансовой отчетности по МСФО за 2011 год. Некоторые статьи затрат, явно не указанные в пояснениях к отчетности, были получены на основании аналитических расчетов. Нематериальные активы 24% Основные средства 25% Операционные расходы 36% Персонал 15%

Использование методологии COBIT для эффективного управления ИТСтраница 15 COBIT - Методология управления информационными технологиями

Использование методологии COBIT для эффективного управления ИТСтраница 16 COBIT - Методология управления информационными технологиями Набор документов в области управления ИТ Принадлежит и разрабатывается некоммерческой ассоциацией ISACA Основан на анализе и гармонизации существующих стандартов и ведущих практик в области управления ИТ Версии 5 (2012), 4.1 (2007), 4 (2005), 3 (2000), 2 (1998), 1 (1996) Имеет связь (mapping) со множеством других стандартов и ведущих практик (ISO 27000, ISO 38500, ISO 31000, ISO 20000, ITIL, CMMI, TOGAF, PCI DSS, NIST SP800-53, Basel II, SOХ 404)

Использование методологии COBIT для эффективного управления ИТСтраница 17 Применимость COBIT как методологии управления ИТ Внедрение Управление Организация Архитектура и проектирование Аудит

Использование методологии COBIT для эффективного управления ИТСтраница 18 Основные цели COBIT в области управления ИТ ИТ ориентируются на нужды бизнеса ИТ помогают максимизировать выгоды для бизнеса ИТ ресурсы используются рационально ИТ риски управляются надлежащим образом

Использование методологии COBIT для эффективного управления ИТСтраница 19 Цели бизнеса 17 типовых целей Определяются бизнес- стратегией Цели ИТ 17 типовых целей Соответствуют целям бизнеса ИТ процессы 37 типовых ИТ процесса Соответствуют целям ИТ Практики управления ИТ процессами 210 практик Сгруппированы по ИТ процессам Система внутренних контролей Цели бизнеса, а также цели, процессы и практики ИТ могут быть стандартизованы

Использование методологии COBIT для эффективного управления ИТСтраница 20 Процессы ИТ в COBIT 5 EDM Оценка, выбор направления и наблюдение EDM01 Обеспечение создания и обновление подхода к руководству EDM02 Обеспечение создания выгоды EDM03 Обеспечение оптимизации рисков EDM04 Обеспечение оптимизации ресурсов EDM05 Обеспечение прозрачности для заинтересованных сторон APO01 Управление подходом к управлению ИТ APO02 Управление стратегией APO03 Управление архитектурой предприятия APO04 Управление инновациями APO05 Управление портфелем APO06 Управление бюджетом и затратами APO07 Управление персоналом APO08 Управление отношениями APO Обеспечение соответствия, планирование и организация APO09 Управление соглашениям и об услугах APO10 Управление подрядчиками APO11 Управление качеством APO12 Управление рисками APO13 Управление безопасностью BAI01 Управление программами и проектами BAI02 Управление выявлением требований BAI03 Управление выбором и внедрением решений BAI04 Управление доступностью и мощностью BAI05 Управление поддержкой организационных изменений BAI06 Управление изменениями BAI07 Управление передачей и приемкой изменений BAI08 Управление знаниями BAI Создание, приобретение и внедрение BAI09 Управление активами BAI10 Управление конфигурациями DSS02 Управление запросами на обслуживание и инцидентами DSS03 Управление проблемами DSS04 Управление непрерывностью DSS05 Управление услугами безопасности DSS06 Управление контролями бизнес- процессов DSS Обслуживание, эксплуатация и сопровождение DSS01 Управление эксплуатацией MEA Отслеживание, измерение и оценка MEA01 Отслеживание, подсчет и оценка производительности и соответствия MEA02 Отслеживание, подсчет и оценка системы внутреннего контроля MEA03 Отслеживание, подсчет и оценка соответствия внешним требованиями

Использование методологии COBIT для эффективного управления ИТСтраница 21 Что можно реализовать с помощью COBIT Связать бизнес-цели с непосредственными ИТ процессами Получить целостную картину об ИТ процессах компании и их взаимосвязи Использовать как источник ведущих практик по организации ИТ процессов Оценить текущее состояние процессов управления ИТ Определить направления для совершенствования Установить метрики для оценки эффективности ИТ процессов Организовать эффективные коммуникации с бизнесом

Использование методологии COBIT для эффективного управления ИТСтраница 22 Пример взаимосвязи бизнес-цели с ИТ процессами по COBIT 5 EDM01 EDM02 EDM03 EDM04 EDM05 APO01 APO02 APO03 APO04 APO05 APO06 APO07 APO08 APO09 APO10 APO11 APO12 APO13 BAI01 BAI02 BAI03 BAI04 BAI05 BAI06 BAI07 BAI08 BAI09 BAI10 DSS01 DSS02 DSS03 DSS04 DSS05 DSS06 MEA01 MEA02 MEA03 Цели ИТ COBIT Бизнес-цели COBIT Бизнес-цели компании ИТ процессы COBIT Управляемые ИТ риски Квалифицированный и мотивированный персонал Управляемые бизнес-риски (защита активов) Рост чистых активов компании Развитие дистанционного обслуживания клиентов Рост рыночной доли компании Оптимизация затрат на предоставление услуг Прозрачность ИТ затрат, выгод и рисков Безопасность информации, обрабатывающей инфраструктуры и приложений

Использование методологии COBIT для эффективного управления ИТСтраница 23 Оптимизация затрат бизнес- процессов Пример взаимосвязи ИТ процесса с целями бизнеса по COBIT 5 Соответствие между ИТ- и бизнес- стратегиями Клиенто- ориентированная культура Извлечение выгоды из программ и проектов, выполняемых в рамках сроков, бюджета и соответствующих требований к качеству Рост рыночной доли компании Рост чистых активов компании Цели ИТ COBIT Бизнес-цели COBIT Бизнес-цели компании ИТ процессы COBIT EDM01 EDM02 EDM03 EDM04 EDM05 APO01 APO02 APO03 APO04 APO05 APO06 APO07 APO08 APO09 APO10 APO11 APO12 APO13 BAI01 BAI02 BAI03 BAI04 BAI05 BAI06 BAI07 BAI08 BAI09 BAI10 DSS01 DSS02 DSS03 DSS04 DSS05 DSS06 MEA01 MEA02 MEA03 Получение выгод от инвестиций с использованием ИТ и портфеля услуг Развитие дистанционного обслуживания клиентов Портфель конкурентоспособ- ных товаров и услуг Управление программами бизнес-изменений

Использование методологии COBIT для эффективного управления ИТСтраница 24 Пример оценки процессов по COBIT 4.1

Использование методологии COBIT для эффективного управления ИТСтраница 25 Интеграционный подход COBIT 5 Risk IT Val IT 2.0 COBIT 4.1 COBIT 5 управление рисками ИТ управление инвестициями в ИТ управление ИТ

Использование методологии COBIT для эффективного управления ИТСтраница 26 Домен APO. Процесс APO05. Управление портфелем инвестиций Обеспечение соответствия, планирование и организация (APO) Создание, приобретение и Внедрение (BAI) Обслуживание, эксплуатация и сопровождение (DSS) Отслеживание, измерение и оценка (MEA) Оценка, выбор направления и наблюдение (EDM)

Использование методологии COBIT для эффективного управления ИТСтраница 27 Структура описания ИТ процесса в COBIT 5 Описание ИТ процесса Назначение ИТ процесса Связанные типовые цели ИТ по COBIT (несколько) Цели ИТ процесса (несколько) Матрица распределения ролей в рамках процесса Практики управления ИТ процессом (несколько) Описание Входные и выходные данные Действия в рамках практики управления ИТ процессом Дополнительные источники информации по ИТ процессу

Использование методологии COBIT для эффективного управления ИТСтраница 28 APO05. Управление портфелем инвестиций Описание процесса Осуществление стратегического управления инвестициями в соответствии с видением архитектуры предприятия и необходимыми характеристиками инвестиционного портфеля, с учетом различных категорий инвестиций и возможностями ресурсов и финансирования Оценка, определение приоритетов и сопоставление программ и услуг. Управление спросом в рамках возможностей ресурсов и финансирования, основанное на их соответствии стратегическим целям, рискам и пользе для предприятия Мониторинг эффективности портфеля услуг и программ, с предложением необходимых поправок в зависимости от результатов или изменения приоритетов предприятия

Использование методологии COBIT для эффективного управления ИТСтраница 29 APO05. Управление портфелем инвестиций Назначение и практики управления ИТ процессом Оптимизация эффективности общего портфеля программ и услуг с учетом показателей их результативности, а также меняющихся приоритетов и потребностей предприятия 1.Разработка целевой структуры инвестиций 2.Определение источников финансирования и их доступности 3.Оценка и выбор направлений для финансирования 4.Мониторинг, оптимизация и отчётность об эффективности инвестиционного портфеля 5.Актуализация портфеля 6.Управление полученными выгодами Назначение процесса Практики управления ИТ процессом

Использование методологии COBIT для эффективного управления ИТСтраница 30 APO05. Управление портфелем инвестиций Матрица распределения ролей (часть) Совет Директиоров Председатель правления Финансовый директор Операционный директор Исполнительные директора Владелец бизнес процесса Стратегический исполнительный комитет Проектный офис Аудит Директор по ИТ APO05.01 Разработка целевой структуры инвестиций УООККК APO05.02 Определение источников финансирования и их доступности КУОО AP Оценка и выбор направлений для финансирования КУОООО APO05.04 Мониторинг, оптимизация и отчётность об эффективности инвестиционного портфеля ИКККККОКК APO05.05 Актуализация портфеля ИИОКУОО APO05.06 Управление полученными выгодами КККУОИКО О – ответственный, У – утверждающий, К – консультирующий, И - информированный

Использование методологии COBIT для эффективного управления ИТСтраница 31 APO05. Управление портфелем инвестиций Связанные метрики (часть) Количество программ/проектов, выполненных в срок и в рамках выделенного бюджета Доля инвестиций в ИТ, которые привязаны к стратегии предприятия Степень удовлетворенности менеджмента предприятия вкладом ИТ в стратегию предприятия Доля инвестиций в ИТ, в которых достижение результатов отслеживается на протяжении полного экономического жизненного цикла

Использование методологии COBIT для эффективного управления ИТСтраница 32 APO05. Управление портфелем инвестиций Дополнительные источники информации Связанный стандарт Ссылка ISO/IEC Управление ответственностью 4.0. Планирование и внедрение управления услугами 5.0. Планирование и внедрение новых или измененных услуг ITIL V Стратегия услуг Управление портфелем услуг

Использование методологии COBIT для эффективного управления ИТСтраница 33 APO05. Управление портфелем инвестиций Практика управления ИТ процессом Оценка и обеспечение прозрачности стратегий предприятия, ИТ и текущих услуг Определение подходящей структуры инвестиций, основанной на издержках, соответствии стратегии и финансовых показателях, таких как затраты и ожидаемый ROI на протяжении полного экономического жизненного цикла, степень риска и преимущества для программ в портфеле Корректировка стратегий предприятия и ИТ в случае необходимости APO Разработка целевой структуры инвестиций Описание

Использование методологии COBIT для эффективного управления ИТСтраница 34 APO05. Управление портфелем инвестиций Практика управления ИТ процессом 1.Проконтролировать, что инвестиции в ИТ и текущие ИТ услуги соответствуют видению предприятия, принципам предприятия, стратегическим целям и задачам, архитектуре предприятия и его приоритетам 2.Достигнуть взаимопонимания между ИТ и другими бизнес функциями, чтобы выявить потенциальные возможности для ИТ поддерживать стратегию предприятия 3.Разработать структуру инвестиций, которая позволит достичь необходимого равновесия между рядом факторов, включая подходящее соотношение между краткосрочным и долгосрочным результатом, финансовыми и нефинансовыми выгодами, а также высоко- и никзорисковыми инвестициями APO Разработка целевой структуры инвестиций Действия (1/2)

Использование методологии COBIT для эффективного управления ИТСтраница 35 APO05. Управление портфелем инвестиций Практика управления ИТ процессом 4.Идентифицировать широкие категории информационных систем, приложений, данных, ИТ услуг, инфраструктуры, ИТ активов, ресурсов, навыков, практик контролей и отношений, необходимых для поддержки стратегии предприятия 5.Согласовать ИТ стратегию и цели, принимая во внимание взаимосвязь между стратегией предприятия и ИТ услугами, активами и другими ресурсами. Определить и оценить взаимный положительный эффект, который может быть достигнут APO Разработка целевой структуры инвестиций Действия (2/2)

Использование методологии COBIT для эффективного управления ИТСтраница 36 APO05. Управление портфелем инвестиций Практика управления ИТ процессом Входы EDM02.02Типы и условия инвестиций APO02.05 Стратегический план развития Инициативы по оценке рисков Определение стратегических инициатив APO06.02Определение приоритетов и ранжирование ИТ инициатив APO09.01Определение стандартных услуг BAI03.11Определение услуг Выходы Определенная структура инвестиций Внутренний Определенные ресурсы и средства, необходимые для поддержки стратегии Внутренний Отзывы о стратегии и целяхAPO02.05 APO Разработка целевой структуры инвестиций Входные и выходные данные ИТ процесса

Использование методологии COBIT для эффективного управления ИТСтраница 37 APO05. Управление портфелем инвестиций Практика управления ИТ процессом Мониторинг выгод от предоставления и поддержки средств и услуг ИТ, основанный на текущих согласованных бизнес задачах APO Управление полученными выгодами Описание

Использование методологии COBIT для эффективного управления ИТСтраница 38 APO05. Управление портфелем инвестиций Практика управления ИТ процессом 1.Использовать утвержденные метрики, чтобы отслеживать, как реализуются преимущества, полученные от ИТ услуг, как данные преимущества изменяются в течение жизненного цикла программ и проектов, и насколько они сопоставимы с внутренними и отраслевыми показателями 2.Осуществлять корректирующие действия, когда полученные преимущества существенно отличаются от ожидаемых. Пересмотреть потребности бизнеса с учетом новых инициатив и осуществить требуемые улучшения бизнес процессов и услуг 3.Рассмотреть возможность получения рекомендаций от внешних экспертов, произвести оценку относительно статистических показателей, чтобы сравнить и улучшить метрики и цели APO Управление полученными выгодами Действия

Использование методологии COBIT для эффективного управления ИТСтраница 39 APO05. Управление портфелем инвестиций Практика управления ИТ процессом Входы BAI01.04Бюджеты программ и перечни преимуществ BAI01.05Результаты мониторинга достижения преимуществ Выходы Результаты реализации преимуществ EDM02.01 APO09.04 BAI01.05 Корректирующие действия для улучшения реализации преимуществ APO09.04 BAI01.06 APO Управление полученными выгодами Входные и выходные данные ИТ процесса

Использование методологии COBIT для эффективного управления ИТСтраница 40 Заключение

Использование методологии COBIT для эффективного управления ИТСтраница 41 На чем необходимо сконцентрироваться ИТ руководителю? Взаимодействие с бизнесом Связь бизнес-целей с деятельностью ИТ подразделений Эффективные коммуникации Продвижение инноваций Оценка рентабельности инвестиций в ИТ Эффективное управление ИТ бюджетом

Использование методологии COBIT для эффективного управления ИТСтраница 42 Методология COBIT предоставляет инструменты, для совершенствования в указанных областях COBIT 5 Взаимодействие с бизнесом Связь бизнес-целей с деятельностью ИТ подразделений Эффективные коммуникации Продвижение инноваций Оценка рентабельности инвестиций в ИТ Эффективное управление ИТ бюджетом

Использование методологии COBIT для эффективного управления ИТСтраница 43 Как получить COBIT? Основной документ COBIT framework бесплатен и доступен на Дополнительные документы можно купить онлайн (руководства по внедрению, программы аудита технологий, исследования, инструменты для оценки и бенчмаркинга) Членство в ISACA открывает доступ к большому количеству полезных документов бесплатно Существует изданная платная русскоязычная версия COBIT 4.1 Ведется работа над бесплатным русскоязычным переводом COBIT 5, который будет доступен до конца 2012 года на

Использование методологии COBIT для эффективного управления ИТСтраница 44 Консультационные услуги «Эрнст энд Янг»

Использование методологии COBIT для эффективного управления ИТСтраница 45 Услуги «Эрнст энд Янг» в области информационных технологий и ИТ-рисков Основные направления Эффективность ИТ Аудит ИТ Информационная безопасность Управление непрерывностью бизнеса Управление ИТ-проектами Около 300 консультантов в области ИТ в странах СНГ Глобальная методологическая база Отраслевой и технический опыт Независимость от поставщиков технических решений

Использование методологии COBIT для эффективного управления ИТСтраница 46 Услуги «Эрнст энд Янг» в области ИТ (1/5) Эффективность ИТ Обзор текущего состояния ИТ на предмет соответствия требованиям бизнеса, ведущим методологиям и стандартам, выявление возможностей совершенствования ИТ Трансформация ИТ, включая определение целевого состояния ИТ и уровня зрелости ИТ-процессов, разработка инициатив по совершенствованию управления ИТ Разработка и помощь в реализации стратегии ИТ Построение и реинжиниринг ИТ-процессов, включая разработку или актуализацию ИТ-политик и процедур Разработка системы показателей для оценки эффективности ИТ-процессов (KPIs) Сравнительный анализ показателей ИТ с ведущими организациями отрасли

Использование методологии COBIT для эффективного управления ИТСтраница 47 Услуги «Эрнст энд Янг» в области ИТ (2/5) Аудит ИТ Оценка состояния ИТ, включая проверку соответствия мировым и региональным стандартам и методологиям (в том числе COBIT, ITIL и др.) Организация работы и оценка эффективности служб внутреннего ИТ-аудита и ИТ-контроля Косорсинг/аутсорсинг внутреннего аудита ИТ Аудит сервисных организаций по международным стандартам (ISAE 3402/SSAE 16, ISO и др.) Оценка приложений и поддерживающей ИТ- инфраструктуры с точки зрения обеспечения доступности, производительности и безопасности

Использование методологии COBIT для эффективного управления ИТСтраница 48 Услуги «Эрнст энд Янг» в области ИТ (3/5) Информационная безопасность Создание системы управления информационной безопасностью, включая разработку необходимых политик, регламентов и процедур Аудит информационной безопасности и проверка соответствия требованиям международных стандартов (ISO 27000, COBIT, ISF, NIST и др.) Комплексный анализ уровня защищенности информационных ресурсов, в том числе тестирование возможности несанкционированного проникновения через внутренние и внешние сети

Использование методологии COBIT для эффективного управления ИТСтраница 49 Услуги «Эрнст энд Янг» в области ИТ (4/5) Управление ИТ-проектами Независимый контроль качества проектов по внедрению информационных систем Сопровождение проектов по реализации крупномасштабных ИТ-преобразований Помощь в формировании требований к новым системам Помощь в проведении тестирования информационных систем перед их вводом в эксплуатацию

Использование методологии COBIT для эффективного управления ИТСтраница 50 Услуги «Эрнст энд Янг» в области ИТ (5/5) Управление непрерывностью бизнеса Реализация и сопровождение проектов разработки и внедрения планов непрерывности бизнеса, в том числе: анализ воздействия на бизнес сбоев и прерываний в работе ИТ-систем разработка стратегии обеспечения непрерывности бизнеса, необходимых планов и процедур разработка требований к резервным решениям, площадям, системам и центрам обработки данных Независимая оценка системы управления непрерывностью бизнеса на соответствие передовой практике, стандартам и законодательным требованиям, включая разработку практических рекомендаций по ее улучшению

Спасибо за внимание! Кирилл Домнич, CISA, CISM

Использование методологии COBIT для эффективного управления ИТСтраница 52 Важная информация Данная презентация содержит лишь общие сведения касательно представленной темы. Информация из этой презентации не должна рассматриваться в качестве исчерпывающей или достаточной для принятия каких-либо решений, а также использоваться для оказания профессиональных консультаций Ernst & Young не несет ответственности за какие-либо убытки вызванные действием/бездействием касательно вопросов, освещенных в данной презентации Информация в данной презентации дополняется устными пояснениями докладчика и должна рассматриваться только в свете этих устных пояснений Если Вам требуются какие-либо разъяснения, дополнительная информация или конкретная консультация по вопросам, связанным с темой доклада, свяжитесь с нами, и мы будем рады обсудить интересующие Вас вопросы