©2008 IT Governance Institute. All rights reserved. 1 Обзор принципов Корпоративного управления ИТ на основе CobiT и других методологий ITGI Борис Львов Партнер KPMG

©2008 IT Governance Institute. All rights reserved. 2 Организациям необходим структурированный подход для управления этими и другими проблемами. Такой подход позволит гарантировать согласованность целей бизнеса и ИТ, внедрение мер контроля в соответствие с лучшей практикой а также мониторинга эффективности ИТ. Важность Корпоративного управления ИТ Непрерывность ИТ сервисов Безопасность Цена/Качество Управление комплексной средой Соответствие ИТ целям бизнеса Соответствие регуляторным требованиям

©2008 IT Governance Institute. All rights reserved. 3 Корпоративное управление – комплекс управленческих решений и практик, применяемых высшим руководством, с целью: Определения стратегического направления Обеспечения достижения целей Адекватного управления рисками Надлежащего использования корпоративных ресурсов Важность Корпоративного управления ИТ PERFORMANCE MEASUREMENT RESOURCE MANAGEMENT RISK MANAGEMENT VALUE DELIVERY STRATEGIC ALIGNMENT

©2008 IT Governance Institute. All rights reserved. 4 Корпоративное управление ИТ : Ответственность Совета Директоров и высшего руководства Неотъемлемая часть корпоративного управления, состоящая из руководства, организационных структур и процессов, обеспечивающих соответствие ИТ текущим и стратегическим целям организации Корпоративной управление ИТ (определение ITGI) PERFORMANCE MEASUREMENT RESOURCE MANAGEMENT RISK MANAGEMENT VALUE DELIVERY STRATEGIC ALIGNMENT 64% Работают в этом направлении 42% Ничего не делают Source: Surveys by PwC for the IT Governance Institute Sep-Oct 2003 and Sep-Oct % 58%

©2008 IT Governance Institute. All rights reserved. 5 Корпоративное управление: Соответствие требованиям законодательства, внутренним политикам, требованиям аудита, и.т.д. Эффективность Повышение прибыльности, результативности, эффективности, динамики роста, и.т.д. Корпоративное управление определяет управление ИТ Корпоративное управление и управление ИТ требуют баланса между целями, связанными с необходимостью соответствия требованиям и повышения эффективности, установленными высшим руководством. Эффективность Соответствие Требованиям

©2008 IT Governance Institute. All rights reserved. 6 Области корпоративного управления ИТ Value delivery Направлено на обеспечение соответствия бизнес и ИТ планов; определение, поддержание и оценку привносимой ИТ пользы; а также взаимосвязи ИТ операций и бизнес-операций Рассматривает привносимую ИТ пользу как цикл, обеспечивающий достижение декларируемых преимуществ от ИТ в соответствие со стратегией, с учетом оптимизации затрат Рассматривает оптимизацию инвестиций в ИТ и надлежащее управление критичными ИТ ресурсами: приложениями, информацией, инфраструктурой и персоналом. Ключевые проблемы относящиеся к оптимизации знаний и инфраструктуры. Необходимость осведомленности высшего руководства в области рисков, четкого понимания корпоративного подхода в отношении рисков, представления о требованиях законодательства, прозрачности в отношении существенных рисков, а также включение функции управления рисками в практику организации Мониторинг реализации стратегии, осуществления проектов, использования ресурсов, эффективности процессов и сервисов, с использованием, например, системы сбалансированных показателей, которые транслируют стратегию в действия направленные на достижение измеримости достижения целей кроме традиционной отчетности Performance measurement Risk management Resource management Strategic alignment

©2008 IT Governance Institute. All rights reserved. 7 Для успешного внедрения корпоративного управления ИТ необходимо: Добиться, чтобы управление ИТ работалореагирование на проблемы ИТ. Максимальный фокус на повышение эффективности и достижение конкурентных преимуществ путем предотвращения проблем. Достижение того, чтобы корпоративное управление ИТ стало совместной областью ответственности бизнеса (потребителя услуг) и поставщика ИТ услуг, при полной поддержке и направлении со стороны Совета Директоров. Достижение согласованности управленческой модели ИТ и общего корпоративного управления организации. Совет Директоров и высшее руководство должно расширить принципы общего корпоративное управление путем включения аспектов ИТ, обеспечив необходимое лидерство и организационные структуры, а также требовать внедрения должным образом управляемых и контролируемых процессов. Внедрение корпоративного управления ИТ

©2008 IT Governance Institute. All rights reserved. 8 Корпоративное управление ИТ – Заинтересованные стороны Руководители бизнес- подразделений Определение направлений развития ИТ, оценка результатов и требования по исправлению недостатков Определение бизнес-требований к ИТ, обеспечение достижения пользы от ИТ и управление рисками Обеспечение и совершенствование ИТ сервисов в соответствие с требованиями бизнеса Обеспечение независимой оценки, что ИТ предоставляет требуемые сервисы Оценка соответствия нормативным документам с учетом новых рисков Управление Рисками и Compliance ИТ Аудит Руководство ИТ Служб Совет Директоров и высшее руководство

©2008 IT Governance Institute. All rights reserved. 9 C OBI T: Основывается на требованиях бизнеса Процессно-ориентированный, структурирующий задачи ИТ в общепринятую процессную модель Идентифицирует основные необходимые ИТ ресурсы Определяет необходимые цели контроля Инкорпорирует основные международные стандарты Стал де факто стандартом в области управления и контроля ИТ C OBI T помогает заполнить разрывы между бизнес-рисками, требуемыми мерами контроля и техническими проблемами. Он приводит лучшие практики в различных областях и процессах, а также перечень требуемых задач для ИТ в стройной логической системе. ИТ ресурсы должны управляться в рамках естественным образом сгруппированных процессов. C OBI T предоставляет методику для достижения этой цели. C OBI T предоставляет методологию для корпоративного управления ИТ

©2008 IT Governance Institute. All rights reserved. 10 C OBI T предоставляет следующие преимущества при внедрении корпоративного управления ИТ: Позволяет построить соответствие целей ИТ целям бизнеса и наоборот Лучшее взаимодействие ИТ и бизнеса, основывающаяся на целях бизнеса Представление деятельности ИТ служб на понятном бизнесу языке Четкое определение владельцев и ответственных, основанное на процессном подходе Признаваемый третьими сторонами и регуляторными органами стандарт Взаимопонимание между всеми заинтересованными лицами, основанное на общем языке Соответствие требованиям COSO в отношении среды контроля ИТ Как C OBI T помогает внедрить эффективное корпоративное управление ИТ?

©2008 IT Governance Institute. All rights reserved. 11 Организации используют различные модели ИТ, стандарты и лучшие практики. Данный слайд демонстрирует возможное совместное использование различных стандартов, при этом C OBI T выступает в качестве консолидирующего (зонтичного) стандарта. C OBI T ISO 9000 ISO ITIL COSO ЧТО КАК C OBI T и другие стандарты ОБЛАСТЬ ПРИМЕНЕНИЯ

©2008 IT Governance Institute. All rights reserved. 12 Методология C OBI T Методология C OBI T характеризуется: Ориентация на бизнес Процессный подход Требования к мерам контроля Измеримость Аббревиатура C OBI T – Цели Контроля в области Информационных и смежных Технологий. Основные характеристики C OBI T

©2008 IT Governance Institute. All rights reserved. 13 COBIT Информация о переводе COBIT 4.1 на сайте

©2008 IT Governance Institute. All rights reserved. 14 C OBI T: Общепризнанная мировая лучшая практика Ориентация на высшее руководство Подкреплена инструментариями и учебными курсами Общедоступна,включая возможность загрузки Is freely downloadable Предусматривает совместное использование экспертных знаний Постоянно совершенствуется Поддерживается признанным институтом (ISACA, ITGI) 100 % соответствие COSO Соответствует основным международным стандартам в данной области Представляет собой руководство, а не готовое лекарство Организациям необходимо провести анализ целей и кастомизировать C OBI Tс учетом: Стимулов Профиля рисков Организации, проектов и инфраструктуры ИТ C OBI T: Достоинства и ограничения

©2008 IT Governance Institute. All rights reserved. 15 Компоненты C OBI T Организации зависят от надежной с своевременной информации. Компоненты C OBI T предоставляют комплексную методику для достижения целей организации на основе управления рисками и мер контроля информации. Стратегия Бизнеса Свойства Информа- ции ИТ Ресурсы ИТ Процессы

©2008 IT Governance Institute. All rights reserved. 16 C OBI T: Преимущества Основные преимущества использования C OBI T: C OBI T связан с другими стандартами и лучшими практиками и должен использоваться вместе с ними. Методика C OBI T и соответствующие лучшие практики позволяют внедрить хорошо управляемую и гибкую ИТ среду в организации. C OBI T позволяет построить среду контроля, отвечающую потребностям бизнеса, а также помогающую руководству и аудиторам осуществлять свои контрольные функции. C OBI T предоставляет инструментарий для управления задачами ИТ.

©2008 IT Governance Institute. All rights reserved. 17 C OBI T: Основная предпосылка Методика C OBI T основана на предпосылке, что ИТ необходимо предоставлять информацию, требуемую организации для достижения своих целей. i ИТ Процессы и Ресурсы Информацию Бизнес- Процессов Целей Бизнеса обеспечивают для Для достиже- ния Методика C OBI T помогает связать ИТ и бизнес посредством фокусировки на требованиях бизнеса к информации и организации ИТ ресурсов. C OBI T предоставляет методику и рекомендации для внедрения корпоративного управления ИТ.

©2008 IT Governance Institute. All rights reserved. 18 Отличительной чертой методики C OBI T является взаимосвязь ожиданий высшего руководства от ИТ с ответственностью высшего руководства в области ИТ. Цель-внедрение корпоративного управления ИТ, направленное на повышение пользы от ИТ с учетом ИТ-рисков. Стратегия Бизнеса Критерии Информа- ции ИТ Ресурсы ИТ Процессы C OBI T: Основная предпосылка

©2008 IT Governance Institute. All rights reserved. 19 Методика C OBI T Как методика управления и контроля ИТ, C OBI T фокусируется на двух ключевых областях: Обеспечение информацией, требуемой для поддержки целей и требований бизнеса Рассмотрение информации как результат взаимодействия ИТ-ресурсов, управляемых в рамках ИТ-процессов Процессы Задачи Группы ИТ Процессы Результативность Эффективность Конфиденциальность Целостность Доступность Соответствие требованиям Достоверность ИТ Ресурсы Приложения Информация Инфраструктура Персонал ИТ Процессы Требования Бизнеса Подход на основе контроля Рассмотрение …………………………… ……………………..…….. Критерии Информации

©2008 IT Governance Institute. All rights reserved. 20 Бизнес цели и цели корпоративного управления Эффективность Приложения Информация Инфраструктура Персонал Эксплуатация и Сопровождение Мониторинг и Оценка Приобретение и Внедрение Информация ИТ ресурсы C O B I T Результативность Конфиденциальность Целостность Доступность Соответствие требованиям DS1 Определение и управление уровнем обслуживания DS2 Управление услугами сторонних организаций DS3 Управление производительностью и мощностями DS4 Обеспечение непрерывности ИТ сервисов DS5 Обеспечение безопасности систем DS6 Определение и распределение затрат DS7 Обучение и подготовка пользователей DS8 Управление службой технической поддержки и инцидентами DS9 Управление конфигурацией DS10 Управление проблемами DS11 Управление данными DS12 Управление физической безопасностью и и защитой от воздействия окружающей среды DS13Управление операциями по эксплуатации систем ME1 Мониторинг и оценка эффективности ИТ ME2 Мониторинг и оценка системы внутреннего контроля ME3 Обеспечение соответствия внешним требованиям ME4 Обеспечение корпоративного управления ИТ PO1 Разработка стратегического плана развития ИТ PO2 Определение информационной архитектуры PO3 Определение направления технологического развития PO4 Определение организационной структуры и взаимосвязей PO5 Управление ИТ инвестициями PO6 Информирование о целях и направлениях развития ИТ PO7 Управление персоналом PO8 Управление качеством PO9 Оценка и управление ИТ рисками PO10 Управление проектами AI1 Выбор решений по автоматизации AI2 Приобретение и поддержка программных приложений AI3 Приобретение и обслуживание технологической инфраструктуры AI4 Обеспечение выполнения операций AI5 Поставки ИТ ресурсов AI6 Управление внесением изменений AI7 Внедрение и приемка решений и изменений Планирование и Организация Достоверность Структура C OBI T

©2008 IT Governance Institute. All rights reserved. 21 Пример оценки уровней зрелости ИТ процессов

©2008 IT Governance Institute. All rights reserved. 22 Val IT Цель: Обеспечение ценности для бизнеса от инвестиций в ИТ при разумных затратах и приемлемом уровне рисков

©2008 IT Governance Institute. All rights reserved. 23 Области Val IT Вопрос стратегического развития. Инвестиции в ИТ: соответствуют ли стратегическому видению нашей Компании? соответствуют ли принципам нашей Компании? привносят ли вклад в достижение стратегических целей нашей Компании? обеспечивают ли оптимальную выгоду при допустимых затратах и на приемлемом уровне рисков для нашей Компании? Делаем ли мы правильные вещи? Выполняем ли их хорошо? Получаем ли мы выгоду? Выполняем ли мы их правильно? Вопрос организаци. Инвестиции в ИТ: соответствуют ли организации процессов нашей Компании? согласуются ли с организационными принципами нашей Компании? привносят вклад в развитие организации нашей Компании? согласуются ли с другими планируемыми задачами и инициативами? Вопрос ценности. Существует ли у нас: ясное и взаимное понимание ожидаемых выгод от инвестиций в ИТ? четкая ответственность за достижением выгод от инвестиций в ИТ? метрики оценки достижения выгод от инвестиций в ИТ? эффективный процесс достижения ценностей от ИТ? Вопрос получения результата. Существует ли у нас: эффективное и формализованное управление, а также процессы управления изменениями и предоставлением сервисов? достаточные технические и административные ресурсы для достижения: - требуемых производительности? - организационных изменений с целью улучшения производительности?

©2008 IT Governance Institute. All rights reserved. 24 Корпоративное управление ценностью (VG) PM1Утверждение направления стратегического развития и целевых инвестиционных показателей PM2Определение источников финансирования PM3Управление персоналом PM4Оценка и выбор инвестиционных решений PM5Мониторинг и отчетность по исполнению инвестиционного портфеля PM6Оптимизация исполнения инвестиционного портфеля Управление инвестициями (IM) Управление инвестиционным портфелем (PM) VG1Формирование эффективной структуры руководства VG2Определение и внедрение процессов VG3Определение характеристик инвестиционного портфеля VG4Обеспечение соответствия и интеграции корпоративного управления ценностью с процессами финансового планирования VG5Создание эффективного управленческого мониторинга VG6Непрерывное совершенствование корпоративного управления ценностью IM1Разработка и оценка обоснования программ инвестирования IM2Осмысление приемлемой программы инвестирования и альтернативных вариантов инвестирования IM3Разработка плана программы инвестирования IM4Разработка модели затрат и выгод на всех этапах жизненного цикла программы инвестирования IM5Разработка детального обоснования для приемлемой программы инвестирования IM6Запуск и управление программой инвестирования IM7Корректировка ИТ портфеля IM8Корректировка обоснования программы инвестирования IM9Мониторинг и отчетность по исполнению программы инвестирования IM10Завершение программы Процессы Val IT версии 2.0

©2008 IT Governance Institute. All rights reserved. 25 Вопросы Борис Львов, CISA, CPA, CIA Президент Московского отделения ISACA Партнер KPMG +7(495)