Embed Size (px)
Citation preview
COBIT® 5
WHITE PAPER
1
COBIT 5
WHITE PAPER
© CTPartners 2014
Dokument stanowi przedmiot prawa autorskiego przysługującego CTPartners S.A. z siedzibą w Warszawie.
Zwielokrotnianie i rozpowszechnianie publikacji jest dozwolone wyłącznie za zgodą CTPartners S.A. Wykorzystanie
fragmentów oraz danych w niej zawartych wymaga podania każdorazowo twórcy oraz źródła. Wszystkie
opracowania i komentarze zawarte w niniejszym raporcie są wyrazem wiedzy oraz poglądów autorów i nie powinny
być interpretowane inaczej.
2
COBIT 5
WHITE PAPER
Wstęp ............................................................................................................................................. 3
Historia COBIT® .............................................................................................................................. 4
Pryncypia COBIT® 5 ........................................................................................................................ 5
Pryncypium 1: Zaspokajanie potrzeb interesariuszy ................................................................ 5
Pryncypium 2: Objęcie całej organizacji ................................................................................... 7
Pryncypium 3: Zastosowanie pojedynczych zintegrowanych ram biznesowych ..................... 8
Pryncypium 4: Umożliwianie holistycznego podejścia ............................................................. 9
Pryncypium 5: Oddzielenie ładu informatycznego od zarządzania IT .................................... 11
Publikacje COBIT® 5 ..................................................................................................................... 12
COBIT® 5 w praktyce .................................................................................................................... 13
O firmie CTPartners S.A. .............................................................................................................. 14
Kompleksowa oferta ............................................................................................................... 14
3
COBIT 5
WHITE PAPER
WSTĘP
Wraz ze wzrostem znaczenia rozwiązań informatycznych w budowaniu wartości biznesowej, kluczowe
dla organizacji staje się zarządzanie IT oraz budowanie ładu informatycznego. Jest to sposób na
zapewnienie optymalnego dopasowania ryzyka i wykorzystywanych zasobów organizacji, w tym
zasobów i procesów IT, do oczekiwanych korzyści i celów całej organizacji. Kierunek ten związany jest
z popularyzacją idei „ładu informatycznego” (ang. IT governance). Ład informatyczny w powiązaniu
z zarządzaniem IT zasadniczo skupia się na dwóch płaszczyznach: zapewnienie dostarczania przez IT
wartości właścicielom i interesariuszom organizacji oraz zapewnienie optymalnego i zbilansowanego
funkcjonowania IT w kontekście realizacji celów organizacji. Pierwszy element uzyskiwany jest przez
strategiczne dopasowanie IT do potrzeb otoczenia właścicielskiego i rynkowego, w którym działa
organizacja. Drugi element jest osiągany przez wprowadzenie skutecznych procesów planowania,
rozwoju i eksploatacji rozwiązań informatycznych oraz monitorowania realizacji celów organizacji. Obie
płaszczyzny muszą być wspierane przez odpowiednie zasoby, struktury organizacyjne, ludzi, procesy
i informacje – oraz mierzone dla zapewnienia kontroli uzyskiwania wyników.
COBIT® 5 stanowi jedyne spójne ramy biznesowe (ang. business framework) w obszarze ładu
informatycznego i zarządzania IT. Standard COBIT® 5 zawiera pryncypia, dobre praktyki, narzędzia
i modele analityczne służące do budowania ładu informatycznego oraz systemu zarządzania IT.
Adaptacja COBIT® 5 w organizacji wspiera maksymalizowanie wartości biznesowej związanej
z wykorzystaniem rozwiązań informatycznych oraz propagowanie zaufania do tych rozwiązań.
COBIT® 5 nie ogranicza się do działów informatycznych, ale obejmuje całą organizację. Jednym z założeń
autorów COBIT® 5 było stworzenie kompletnych ram obejmujących wszystkie zagadnienia związane
z informatyką. Ram, które organizacje będą – zgodnie ze swoimi potrzebami – uzupełniały o standardy
obszarowe, jak np. TOGAF® w obszarze zarządzania architekturą korporacyjną czy ITIL® w obszarze
zarządzania usługami informatycznymi.
COBIT® 5 (ang. Control OBjectives for Information and related Technology) pomaga organizacjom maksymalizować wartość biznesową związaną z wykorzystywaniem rozwiązań IT poprzez utrzymywanie równowagi pomiędzy dostarczanymi korzyściami, ryzykiem i zasobami. COBIT® 5 promuje holistyczne podejście do ładu informatycznego (ang. IT governance) oraz zarządzania IT, wychodząc poza działy informatyczne, obejmując całość przedsiębiorstwa, w szczególności biorąc pod uwagę potrzeby nie tylko wewnętrznych, ale również zewnętrznych interesariuszy.
4
COBIT 5
WHITE PAPER
HISTORIA COBIT®
Autorem i właścicielem COBIT® 5 jest stowarzyszenie ISACA zajmujące się zagadnieniami
bezpieczeństwa, ryzyka, audytu, ładu, zarządzania w obszarze IT. Certyfikaty wydawane przez ISACA
(m.in. CISA, CISM, CRISC, CGEIT) potwierdzają kompleksową wiedzę, umiejętności i doświadczenie ich
posiadaczy oraz są powszechnie uznawane i cenione na całym świecie. Stowarzyszenie działa w 180
krajach i zrzesza ponad 100 000 członków.
Prace nad standardem COBIT® rozpoczęły się w 1992 roku. Pierwszą wersję wydano cztery lata później.
Koncentrowała się ona na audycie IT, a w kolejnych wersjach dodawano obszary kontroli, zarządzania
oraz ładu informatycznego. Tworząc COBIT® 5 ISACA postanowiła połączyć w jednym standardzie wiedzę
wcześniej rozproszoną w różnych opracowaniach stworzonych i rozwijanych przez ISACA, przede
wszystkim zawartą w COBIT® 4.1, Val IT 2.0 oraz Risk IT, ale także w BMIS, ITAF i innych. COBIT® 5 został
opublikowany w 2012 roku.
5
COBIT 5
WHITE PAPER
PRYNCYPIA COBIT® 5
COBIT® 5 opiera się na pięciu kluczowych pryncypiach. Pryncypia te były fundamentem przy tworzeniu
COBIT® 5 i powinny stanowić podstawę budowy ładu informatycznego i zarządzania IT w organizacji.
PRYNCYPIUM 1:
ZASPOKAJANIE POTRZEB INTERESARIUSZY Podstawowym celem ładu korporacyjnego jest tworzenie wartości, co oznacza realizację korzyści czyli
zaspokojenie potrzeb interesariuszy, przy optymalizacji wykorzystania zasobów oraz optymalizacji
ryzyka. Korzyści mogą przyjmować różny kształt, np. mogą być finansowe – zwłaszcza
w przedsiębiorstwach komercyjnych – lub polegać na stabilnym świadczeniu pewnych usług
– np. w administracji publicznej.
Aby przełożyć korzyści biznesowe na rozwiązania IT COBIT® 5 proponuje przyjąć podejście dekompozycji
potrzeb interesariuszy i celów organizacji zobrazowane przez kaskadę celów.
Rys. 1. Kaskada celów
Potrzeby interesariuszy
KROK 1
KROK 2
KROK 3
KROK 4
Prawo, rynek,
technologia, strategia, etc.
Cele organizacji
Cele związane z IT
Cele czynników umożliwiających
Osiąganie
korzyści
Optymalizacja
ryzyka
Optymalizacja
zasobów
6
COBIT 5
WHITE PAPER
Dekompozycja celów odbywa się w 4 krokach:
KROK 1: Identyfikacja potrzeb interesariuszy w kontekście zewnętrznych i wewnętrznych czynników
wpływających na organizację, takich jak np. zmiany prawne, otoczenie rynkowe, nowe technologie,
zmiany strategii.
KROK 2: Sformułowanie celów organizacji na podstawie potrzeb interesariuszy.
KROK 3: Przełożenie celów organizacji na cele związane z IT.
KROK 4: Przełożenie celów związanych z IT na cele czynników umożliwiających (ang. enablers)
tworzenie wartości biznesowej w oparciu o rozwiązania IT (czynniki zostały opisane w pryncypium
4 w dalszej części dokumentu).
COBIT® 5 wspiera opisany powyżej proces. Zawiera generyczne listy celów organizacji, celów związanych
z IT oraz celów czynników umożliwiających, a także mapowania między tymi poziomami celów. COBIT® 5
pomaga sformułować wymienione cele również dzięki gotowym listom pytań do różnego rodzaju
interesariuszy wewnętrznych i zewnętrznych.
7
COBIT 5
WHITE PAPER
PRYNCYPIUM 2:
OBJĘCIE CAŁEJ ORGANIZACJI COBIT® 5 traktuje ład informatyczny jako integralną część ładu korporacyjnego. Nie ogranicza się do
działów IT, ale definiuje w całej organizacji (przedsiębiorstwie, instytucji) odpowiedzialności, role
i zadania niezbędne do funkcjonowania ładu informatycznego oraz zarządzania informacją
i rozwiązaniami IT. Tym samym COBIT® 5 odwołuje się do całej organizacji w tym procesów biznesowych,
usług i produktów - zarówno wewnętrznych, jak i zewnętrznych.
Kluczowe role, aktywności oraz relacje warunkujące poprawne funkcjonowanie ładu informatycznego
i zarządzania IT zostały przedstawione na Rys. 2.
Rys. 2. Główne zależności organizacyjne w ładzie informatycznym i zarządzaniu IT
Monitorowanie
Raportowanie
Odpowiedzialność za decyzje Delegowanie
Wyznaczanie kierunku
Instruowanie i dopasowywanie
Właściciele, interesariusze
Organizacja ładu informatycznego
Organizacja zarządzania IT
Wykonawcy, operacje
8
COBIT 5
WHITE PAPER
PRYNCYPIUM 3:
ZASTOSOWANIE POJEDYNCZYCH
ZINTEGROWANYCH RAM BIZNESOWYCH COBIT® 5 w sposób kompletny pokrywa zagadnienia związane z rozwiązaniami oraz metodykami
zarządzania IT. Jest to ujęcie wysokopoziomowe, zgodne z popularnymi standardami w poszczególnych
obszarach funkcjonowania IT, takimi jak np. TOGAF® dla architektury korporacyjnej czy ITIL® dla
zarządzania usługami informatycznymi. Tym samym można go traktować jako kompletne
wysokopoziomowe ramy dla ładu informatycznego, które zgodnie z potrzebami organizacji uzupełnia się
czerpiąc z bardziej specyficznych metodyk w konkretnych obszarach działania IT. Tym samym COBIT® 5,
jako taki stanowi ramy budowania ładu informatycznego i zarządzania IT, a jednocześnie może pełnić
rolę integratora innych metodyk zarządzania IT.
Główne standardy, ramy, metodyki i opisy dobrych praktyk wykorzystane w COBIT® 5, równocześnie
stanowiące potencjalne dobre uzupełnienie COBIT® 5 w różnych obszarach funkcjonowania IT, zostały
przedstawione na Rys. 3.
Rys. 3
Rys. 3. Standardy i dobre praktyki wykorzystane w COBIT® 5
9
COBIT 5
WHITE PAPER
PRYNCYPIUM 4:
UMOŻLIWIANIE HOLISTYCZNEGO PODEJŚCIA Holistyczne (całościowe) zarządzanie IT i ładem informatycznym wymaga uwzględnienia różnych
czynników warunkujących efektywność i skuteczność podejmowanych działań nazwanych w COBIT® 5
„czynnikami umożliwiającymi” (ang. enablers). COBIT® 5 definiuje 7 kategorii czynników
umożliwiających i wspierających osiąganie celów wyznaczonych sobie przez organizację.
Rys. 4. Kategorie czynników umożliwiających
Dla poszczególnych kategorii czynników umożliwiających COBIT® 5 określa wspólne generyczne grupy
atrybutów i wytycznych dotyczących zarządzania czynnikami umożliwiającymi oraz mierzenia
efektywności ich funkcjonowania w organizacji. Grupy te to:
interesariusze – podzieleni na wewnętrznych i zewnętrznych,
cele – pogrupowane na dotyczące jakości wewnętrznej, jakości dla otoczenia oraz dostępności
i bezpieczeństwa,
cykl życia – planowanie, projektowanie, implementacja, używanie, monitorowanie,
modyfikacja/usunięcie,
dobre praktyki – dotyczące działań oraz produktów wejściowych i wyjściowych.
Ludzie, umiejętności, kompetencje
Procesy
Struktury organizacyjne
Kultura, etyka, zachowanie
Usługi, infrastruktura,
aplikacje
Informacja
Pryncypia, polityki,
ramy
10
COBIT 5
WHITE PAPER
COBIT® 5 zawiera szereg wskazówek oraz dobrych praktyk dotyczących zarządzania poszczególnymi
czynnikami umożliwiającymi. Każdemu z nich poświęcono osobny rozdział w głównej publikacji, a te
szczególnie istotne zostały omówione w dedykowanych pozycjach książkowych.
11
COBIT 5
WHITE PAPER
PRYNCYPIUM 5:
ODDZIELENIE ŁADU INFORMATYCZNEGO OD
ZARZĄDZANIA IT COBIT® 5 zwraca uwagę na precyzyjne rozróżnianie ładu informatycznego (ang. governance) od
zarządzania IT (ang. management). Każdy z tych obszarów ma swoją specyfikę: inne działania
wymagające innych struktur organizacyjnych, służące innym celom. COBIT® 5 definiuje te obszary
w następujący sposób:
Ład informatyczny zapewnia, że potrzeby interesariuszy są analizowane w celu ustalenia
sposobu realizacji celów, które powinny być zbilansowane i uzgodnione w organizacji;
ustawia kierunek działań poprzez ich priorytetyzację oraz podejmowanie decyzji;
monitoruje efektywność oraz zgodność z przyjętymi kierunkami i celami działań.
Zarządzanie IT planuje, buduje, eksploatuje rozwiązania IT oraz monitoruje działania pod
kątem zapewnienia osiągnięcie celów organizacji wyznaczonych przez ład informatyczny.
Powyższe definicje operują językiem działań. Jednocześnie najwyraźniej różnicę między jednym a drugim
obszarem ilustruje model procesów COBIT® 5 ściśle rozdzielając procesy ładu informatycznego
(5 procesów) od procesów zarządzania IT (32 procesy).
12
COBIT 5
WHITE PAPER
PUBLIKACJE COBIT® 5
Rodzina produktów COBIT® 5 obejmuje szereg publikacji dotyczących czynników umożliwiających oraz
sposobu zastosowania COBIT® 5 w praktyce.
Rys. 5. Główne produkty COBIT® 5
COBIT® 5
– Środowisko współpracy on-line
COBIT® 5: A Business Framework for the Governance and Management of Enterprise IT
COBIT® 5 Implementation
COBIT® 5 for Information Security
COBIT® 5
for Assurance
COBIT® 5
for Risk
PRZEWODNIKI DLA
PROFESJONALISTÓW
COBIT® 5 Implementation
COBIT® 5 for Information Security
COBIT® 5 for Assurance
COBIT® 5 for Risk
PRZEWODNIKI DLA
CZYNNIKÓW UMOŻLIWIAJĄCYCH
COBIT® 5: Enabling Processes
COBIT® 5: Enabling Information
13
COBIT 5
WHITE PAPER
COBIT® 5 W PRAKTYCE
COBIT® 5 pomaga organizacjom z różnych sektorów, o różnej wielkości:
uzyskać najwyższej jakości informacje w procesach i rozwiązaniach IT w celu podejmowania
kluczowych decyzji biznesowych,
osiągać strategiczne cele oraz realizować korzyści biznesowe poprzez efektywne i innowacyjne
wykorzystanie IT,
osiągać doskonałość operacyjną dzięki optymalnemu zastosowaniu technologii IT,
zarządzać ryzykiem związanym z IT,
poprawiać bezpieczeństwo w obszarze IT,
optymalizować koszty IT,
dostosowywać się do wymagań prawnych oraz kontraktowych w obszarze IT.
Podstawowym zastosowaniem COBIT® 5 jest budowa i doskonalenie w organizacji ładu
informatycznego. Ponadto standard COBIT® 5 można wykorzystać m.in. w następujących obszarach i
przedsięwzięciach:
budowa/aktualizacja strategii IT dostosowanej do celów i potrzeb biznesowych,
rozwój struktury organizacyjnej i przypisanie kluczowych odpowiedzialności związanych
z zarządzaniem i rozwiązaniami IT,
redukcja kosztów poprzez zapewnienie spójności działań i rozwiązań po stronie IT oraz biznesu,
tworzenie uzasadnienia biznesowego dla projektów w obszarze ładu informatycznego
i zarządzania IT oraz zarządzanie takimi projektami,
formalne audyty procesów IT,
przeglądy i budowa dojrzałości procesów IT ukierunkowane na identyfikację pożądanych
usprawnień i realizację celów organizacji.
14
COBIT 5
WHITE PAPER
O FIRMIE CTPARTNERS S.A.
CTPartners S.A. jest polską firmą szkoleniowo-doradczą, obecną na rynku od 2000 roku, należącą
do Grupy Kapitałowej Infovide-Matrix. Jest liderem polskiego rynku usług szkoleniowych i doradczych
dostarczającym usługi dla menedżerów i specjalistów w organizacjach opartych na wiedzy. Jako
akredytowany partner międzynarodowych organizacji świadczy usługi oparte na światowych
standardach m.in.: ITIL®, Lean IT, Devops, PRINCE2
®, PMBOK
®Guide, HDI
®, ISTQB, MSP
®, Agile Project
Management, SCRUM, ISO, TOGAF®9, COBIT®
®. W profesjonalny sposób zajmuje się: organizacją
i prowadzeniem programów szkoleniowych, przeglądami i audytami organizacji IT, tworzeniem
kompletnych rozwiązań IT, coachingiem, zarządzaniem projektami, wyborem narzędzi informatycznych.
KOMPLEKSOWA OFERTA
ŁAD PROJEKTOWY
(SPÓJNE ZARZĄDZANIE PROJEKTAMI, PROGRAMAMI I
PORTFELAMI)
(PRINCE2®, MSP®, PMBOK®,
STANDARDY PMI®, AGILE,
SCRUM)
Zarządzanie Inicjatywami
Metody tradycyjne i zwinne
Kompetencje dla realizacji ładu projektowego
Zarządzanie Zasobami
BEZPIECZEŃSTWO
INFORMACJI
(ISO 27001, ISO 22301,
ISO 31000, CISA)
Bezpieczeństwo informacji
Ciągłość działania
Zarządzanie Ryzykiem
Dane osobowe
USŁUGI IT
(ITSM)
(ITIL®, HDI®, ISO 20000,
LEAN IT, DEVOPS)
Usługi IT i umowy SLA
Wsparcie użytkowników
Procesy IT
Wskaźniki efektywności IT
Transformacja Lean IT
Integracja rozwoju i utrzymania
Zarządzanie wiedzą
ARCHITEKTURA
BIZNESU I IT
(TOGAF® 9, COBIT®, BISL,
OBASHI)
Architektura korporacyjna
Dopasowanie IT do strategii Biznesowej
Digitalizacja Biznesu
Wsparcie transformacji IT
Architektura Rozwiązań IT
Analiza biznesowa
Zarządzanie Informacją
SZKOLENIA AUDYTY/PRZEGLĄDY NARZĘDZIA
ZARZĄDZANIE
SUCCESS FEE
SYMULACJE BIZNESOWE DORADZTWO
15
COBIT 5
WHITE PAPER
ul. Gottlieba Daimlera 2 t +48 22 576 80 80
02-460 Warszawa f +48 22 576 80 81
www.ctpartners.pl
