1 / 52

Использование методологии COBIT для эффективного управления информационными технологиями

Использование методологии COBIT для эффективного управления информационными технологиями. Кирилл Домнич, CISA, CISM старший консультант, отдел услуг в области управления информационными технологиями и ИТ-рисками Kiryl.Domnitch@by.ey.com Минск, 21 ноября 20 12 Конференция « БанкИТ ».

yehudi
Download Presentation

Использование методологии COBIT для эффективного управления информационными технологиями

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Использование методологии COBIT для эффективного управления информационными технологиями • Кирилл Домнич, CISA, CISMстаршийконсультант, отдел услуг в области управления информационными технологиями и ИТ-рисками • Kiryl.Domnitch@by.ey.com • Минск, 21ноября 2012 • Конференция «БанкИТ»

  2. Результаты исследования «Эрнст энд Янг»«Инновации для устойчивого развития», 2011

  3. Цель и методология исследования • Компания «Эрнст энд Янг» провела опрос ИТ директоров, членов высшего исполнительного руководства различных организаций по всему миру (15 стран, 869 участников), чтобы понять, как ИТ службы отвечают вызовам динамичной и конкурентной бизнес-среды Количество участников по странам

  4. Недостаточный обмен информацией • Преобладающее большинство респондентов (81%) считают, что сотрудникам ИТ служб нужно лучше понимать потребности бизнеса, а также улучшать процессы взаимодействия с представителями бизнеса • При этом 40% респондентов не удовлетворены тем, как происходит обмен информацией между ИТ службой и бизнес-подразделениями в их компаниях

  5. Объемы инвестиций растут, но оценка их рентабельности не проводится • 42% респондентов заявили, что за последние 12 месяцев, несмотря на нестабильную экономическую ситуацию, расходы их компаний в области ИТ выросли • Только 39% респондентов указали, что в их организации существует практика оценки рентабельности инвестиций в ИТ

  6. Сложности с цифрами • Способность ИТ службы управлять бюджетом ставится под сомнение. Лишь 55% респондентов удовлетворены тем, как ИТ служба планирует и контролирует свой бюджет • При этом 73% самих руководителей ИТ служб довольны своим процессом планирования и контроля ИТ бюджетов. Их представления о том, сколько организация фактически расходует на ИТ, отличаются от мнения их коллег из высшего руководства: директора ИТ служб указывают значительно меньшие суммы

  7. Ключевая позиция ИТ руководителя • 73% участников исследования считают, что руководитель службы информационных технологий (CIO) мог бы стать ключевой фигурой процесса развития бизнеса • При этом только 15% отметили, что ИТ службы их компаний очень хорошо подготовлены к требованиям, которые будут предъявлены к ним в будущем

  8. То, что является достижением сегодня - будет нормой завтра • В прошлом десятилетии ИТ службы внесли огромный вклад в успех компаний, но сегодня от ИТ ожидают еще больше инноваций • Для того чтобы соответствовать возрастающим ожиданиям бизнеса, ИТ руководители должны повысить квалификацию в ряде областей, включая обмен информацией, бюджетное планирование и управление рисками

  9. На чем необходимо сконцентрироваться ИТ руководителю? • Взаимодействие с бизнесом • Связь бизнес-целей с деятельностью ИТ подразделений • Эффективные коммуникации • Продвижение инноваций • Оценка рентабельности инвестиций в ИТ • Эффективное управление ИТ бюджетом

  10. Оценочный уровень затрат на ИТ в банкахБеларуси за 2011 год

  11. Оценочный уровень затрат на ИТ в банках за 2011 год согласно отчетности по МСФО График составлен на основании опубликованной финансовой отчетности по МСФО за 2011 год. Некоторые статьи затрат, явно не указанные в пояснениях к отчетности, были получены на основании аналитических расчетов.

  12. Отношение расходов на ИТ к чистым процентным и комиссионным доходам График составлен на основании опубликованной финансовой отчетности по МСФО за 2011 год. Некоторые статьи затрат, явно не указанные в пояснениях к отчетности, были получены на основании аналитических расчетов.

  13. Средний показатель отношения расходов на ИТ к общим доходам банков Затраты на ИТ 11% Общий доход банка Общий доход банка 2010 год 2011 год График составлен на основании опубликованной финансовой отчетности по МСФО за 2011 год. Некоторые статьи затрат, явно не указанные в пояснениях к отчетности, были получены на основании аналитических расчетов.

  14. Усредненная структура расходов на ИТ в банках за 2011 год Основные средства 25% Операционные расходы 36% Персонал 15% Нематериальные активы 24% График составлен на основании опубликованной финансовой отчетности по МСФО за 2011 год. Некоторые статьи затрат, явно не указанные в пояснениях к отчетности, были получены на основании аналитических расчетов.

  15. COBIT - Методология управления информационными технологиями

  16. COBIT - Методология управления информационными технологиями • Набор документов в области управления ИТ • Принадлежит и разрабатывается некоммерческой ассоциацией ISACA • Основан на анализе и гармонизации существующих стандартов и ведущих практик в области управления ИТ • Версии 5 (2012), 4.1(2007), 4(2005), 3 (2000), 2 (1998), 1 (1996) • Имеет связь (mapping) со множеством других стандартов и ведущих практик (ISO 27000, ISO 38500, ISO 31000, ISO 20000, ITIL, CMMI, TOGAF, PCI DSS,NIST SP800-53, Basel II, SOХ 404)

  17. Применимость COBIT как методологии управления ИТ Внедрение Архитектура и проектирование Организация Управление Аудит

  18. Основные цели COBIT в области управления ИТ • ИТ ориентируются на нужды бизнеса • ИТ помогают максимизировать выгоды для бизнеса • ИТ ресурсы используются рационально • ИТ риски управляются надлежащим образом

  19. Цели бизнеса, а также цели, процессы и практики ИТ могут быть стандартизованы

  20. Процессы ИТ в COBIT 5 EDMОценка, выбор направления и наблюдение EDM01 Обеспечение создания и обновление подхода к руководству EDM02 Обеспечение создания выгоды EDM03 Обеспечение оптимизации рисков EDM04 Обеспечение оптимизации ресурсов EDM05 Обеспечение прозрачности для заинтересованных сторон MEA Отслеживание, измерение и оценка APOОбеспечение соответствия, планирование и организация APO01 Управление подходом к управлению ИТ APO02 Управление стратегией APO03 Управление архитектурой предприятия APO04 Управление инновациями APO05 Управление портфелем APO06 Управление бюджетом и затратами APO07 Управление персоналом APO08 Управление отношениями APO09 Управление соглашениями об услугах APO10 Управление подрядчиками APO11 Управление качеством APO12 Управление рисками APO13 Управление безопасностью MEA01 Отслеживание, подсчет и оценка производительности и соответствия BAI Создание, приобретение и внедрение BAI01 Управление программами и проектами BAI02 Управление выявлением требований BAI03 Управление выбором и внедрением решений BAI04 Управление доступностью и мощностью BAI05 Управление поддержкой организационных изменений BAI06 Управление изменениями BAI07 Управление передачей и приемкой изменений MEA02 Отслеживание, подсчет и оценка системы внутреннего контроля BAI08 Управление знаниями BAI09 Управление активами BAI10 Управление конфигурациями DSS Обслуживание, эксплуатация и сопровождение DSS01 Управление эксплуатацией MEA03 Отслеживание, подсчет и оценка соответствия внешним требованиями DSS02 Управление запросами на обслуживание и инцидентами DSS03 Управление проблемами DSS04 Управление непрерывностью DSS05 Управление услугами безопасности DSS06 Управление контролями бизнес-процессов

  21. Что можно реализовать с помощью COBIT • Связать бизнес-цели с непосредственными ИТ процессами • Получить целостную картину об ИТ процессах компании и их взаимосвязи • Использовать как источник ведущих практик по организации ИТ процессов • Оценить текущее состояние процессов управления ИТ • Определить направления для совершенствования • Установить метрики для оценки эффективности ИТ процессов • Организовать эффективные коммуникации с бизнесом

  22. Пример взаимосвязи бизнес-цели с ИТ процессамипо COBIT 5 Бизнес-цели компании Бизнес-цели COBIT ИТ процессы COBIT Цели ИТ COBIT EDM01 EDM02 EDM03 EDM04 EDM05 APO01 APO02 APO03 APO04 APO05 APO06 APO07 APO08 APO09 APO10 APO11 APO12 APO13 BAI01 BAI02 BAI03 BAI04 BAI05 BAI06 BAI07 BAI08 BAI09 BAI10 DSS01 DSS02 DSS03 DSS04 DSS05 DSS06 MEA01 MEA02 MEA03 Квалифицированный и мотивированный персонал Развитие дистанционного обслуживания клиентов Управляемые бизнес-риски (защита активов) Безопасность информации, обрабатывающей инфраструктуры и приложений Рост чистых активов компании Управляемые ИТ риски Оптимизация затрат на предоставление услуг Рост рыночной доли компании Прозрачность ИТ затрат, выгод и рисков

  23. Пример взаимосвязи ИТ процесса с целями бизнесапо COBIT 5 Бизнес-цели компании Бизнес-цели COBIT Цели ИТ COBIT ИТ процессы COBIT Соответствие между ИТ- и бизнес-стратегиями EDM01 EDM02 EDM03 EDM04 EDM05 APO01 APO02 APO03 APO04 APO05 APO06 APO07 APO08 APO09 APO10 APO11 APO12 APO13 BAI01 BAI02 BAI03 BAI04 BAI05 BAI06 BAI07 BAI08 BAI09 BAI10 DSS01 DSS02 DSS03 DSS04 DSS05 DSS06 MEA01 MEA02 MEA03 Клиенто-ориентированная культура Развитие дистанционного обслуживания клиентов Портфель конкурентоспособ-ных товаров и услуг Извлечение выгоды из программ и проектов, выполняемых в рамках сроков, бюджета и соответствующих требований к качеству Рост рыночной доли компании Оптимизация затрат бизнес-процессов Получение выгод от инвестиций с использованием ИТ и портфеля услуг Управление программами бизнес-изменений Рост чистых активов компании

  24. Пример оценки процессов по COBIT 4.1

  25. Интеграционный подход COBIT 5 COBIT 4.1 управление ИТ Val IT 2.0 COBIT 5 управление инвестициями в ИТ Risk IT управление рисками ИТ

  26. Домен APO. Процесс APO05.Управление портфелем инвестиций Оценка, выбор направления и наблюдение(EDM) Обеспечение соответствия, планирование и организация(APO) Создание, приобретение и Внедрение(BAI) Обслуживание, эксплуатацияи сопровождение(DSS) Отслеживание, измерение и оценка(MEA)

  27. Структура описания ИТ процесса в COBIT 5 • Описание ИТ процесса • Назначение ИТ процесса • Связанные типовые цели ИТ по COBIT (несколько) • Цели ИТ процесса (несколько) • Матрица распределения ролейв рамках процесса • Практики управления ИТ процессом (несколько) • Описание • Входные и выходные данные • Действия в рамках практики управления ИТ процессом • Дополнительные источники информациипо ИТ процессу

  28. APO05. Управление портфелем инвестицийОписание процесса

  29. APO05. Управление портфелем инвестицийНазначение и практики управления ИТ процессом Назначение процесса Практики управления ИТ процессом

  30. APO05.Управление портфелем инвестиций Матрица распределения ролей (часть) О – ответственный, У – утверждающий, К – консультирующий, И - информированный

  31. APO05. Управление портфелем инвестиций Связанные метрики (часть)

  32. APO05.Управление портфелем инвестиций Дополнительные источники информации

  33. APO05. Управление портфелем инвестицийПрактика управления ИТ процессом APO05.01.Разработка целевой структуры инвестиций Описание

  34. APO05. Управление портфелем инвестицийПрактика управления ИТ процессом APO05.01.Разработка целевой структуры инвестиций Действия (1/2)

  35. APO05. Управление портфелем инвестицийПрактика управления ИТ процессом APO05.01.Разработка целевой структуры инвестиций Действия (2/2)

  36. APO05.Управление портфелем инвестицийПрактика управления ИТ процессом APO05.01.Разработка целевой структуры инвестиций Входные и выходные данные ИТ процесса

  37. APO05. Управление портфелем инвестицийПрактика управления ИТ процессом APO05.06.Управление полученными выгодами Описание

  38. APO05. Управление портфелем инвестицийПрактика управления ИТ процессом APO05.06.Управление полученными выгодами Действия

  39. APO05.Управление портфелем инвестицийПрактика управления ИТ процессом APO05.06.Управление полученными выгодами Входные и выходные данные ИТ процесса

  40. Заключение

  41. На чем необходимо сконцентрироваться ИТ руководителю? • Взаимодействие с бизнесом • Связь бизнес-целей с деятельностью ИТ подразделений • Эффективные коммуникации • Продвижение инноваций • Оценка рентабельности инвестиций в ИТ • Эффективное управление ИТ бюджетом

  42. Методология COBIT предоставляет инструменты, для совершенствования в указанных областях • Взаимодействие с бизнесом • Связь бизнес-целей с деятельностью ИТ подразделений • Эффективные коммуникации • Продвижение инноваций • Оценка рентабельности инвестиций в ИТ • Эффективное управление ИТ бюджетом COBIT 5

  43. Как получить COBIT? • Основной документ COBITframework бесплатен и доступен на www.isaca.org • Дополнительные документы можно купитьонлайн(руководства по внедрению, программы аудита технологий, исследования, инструменты для оценки и бенчмаркинга) • Членство в ISACA открывает доступ к большому количеству полезных документов бесплатно • Существует изданная платная русскоязычная версия COBIT 4.1 • Ведется работа над бесплатным русскоязычным переводом COBIT 5, который будет доступен до конца 2012 года на www.isaca.org

  44. Консультационные услуги «Эрнст энд Янг»

  45. Услуги «Эрнст энд Янг» в области информационных технологий и ИТ-рисков • Основные направления • Эффективность ИТ • Аудит ИТ • Информационная безопасность • Управление непрерывностью бизнеса • Управление ИТ-проектами • Около 300 консультантов в области ИТ в странах СНГ • Глобальная методологическая база • Отраслевой и технический опыт • Независимость от поставщиков технических решений

  46. Услуги «Эрнст энд Янг» в области ИТ (1/5)Эффективность ИТ • Обзор текущего состояния ИТ на предмет соответствия требованиям бизнеса, ведущим методологиям и стандартам, выявление возможностей совершенствования ИТ • Трансформация ИТ, включая определение целевого состояния ИТ и уровня зрелости ИТ-процессов, разработка инициатив по совершенствованию управления ИТ • Разработка и помощь в реализации стратегии ИТ • Построение и реинжиниринг ИТ-процессов, включая разработку или актуализацию ИТ-политик и процедур • Разработка системы показателей для оценки эффективности ИТ-процессов (KPIs) • Сравнительный анализ показателей ИТ с ведущими организациями отрасли

  47. Услуги «Эрнст энд Янг» в области ИТ (2/5)Аудит ИТ • Оценка состояния ИТ, включая проверку соответствия мировым и региональным стандартам и методологиям (в том числе COBIT, ITIL и др.) • Организация работы и оценка эффективности служб внутреннего ИТ-аудита и ИТ-контроля • Косорсинг/аутсорсинг внутреннего аудита ИТ • Аудит сервисных организаций по международным стандартам (ISAE 3402/SSAE 16, ISO 27001 и др.) • Оценка приложений и поддерживающей ИТ-инфраструктуры с точки зрения обеспечения доступности, производительности и безопасности

  48. Услуги «Эрнст энд Янг» в области ИТ (3/5)Информационная безопасность • Создание системы управления информационной безопасностью, включая разработку необходимых политик, регламентов и процедур • Аудит информационной безопасности и проверка соответствия требованиям международных стандартов (ISO 27000, COBIT, ISF, NIST и др.) • Комплексный анализ уровня защищенности информационных ресурсов, в том числе тестирование возможности несанкционированного проникновения через внутренние и внешние сети

  49. Услуги «Эрнст энд Янг» в области ИТ (4/5)Управление ИТ-проектами • Независимый контроль качества проектов по внедрению информационных систем • Сопровождение проектов по реализации крупномасштабных ИТ-преобразований • Помощь в формировании требований к новым системам • Помощь в проведении тестирования информационных систем перед их вводом в эксплуатацию

  50. Услуги «Эрнст энд Янг» в области ИТ (5/5)Управление непрерывностью бизнеса • Реализация и сопровождение проектов разработки и внедрения планов непрерывности бизнеса, в том числе: • анализ воздействия на бизнес сбоев и прерываний в работе ИТ-систем • разработка стратегии обеспечения непрерывности бизнеса, необходимых планов и процедур • разработка требований к резервным решениям, площадям, системам и центрам обработки данных • Независимая оценка системы управления непрерывностью бизнеса на соответствие передовой практике, стандартам и законодательным требованиям, включая разработку практических рекомендаций по ее улучшению

More Related