it governance
DESCRIPTION
IT GovernanceTRANSCRIPT
Implementarea uneiGuvernante IT de
succes
Definitie
Guvernanta IT este structura de relatii si procese care asigura utilizarea eficace si eficienta a resurselor IT sustinand compania in vederea realizarii strategiei si obiectivelor acesteia prin crearea de valoare adaugata odata cu balansarea si echilibrarea riscurilor
Este parte a guvernantei corporative
Governanta IT este preocupata ca:- IT livreaza valoare catre business- Riscurile IT sunt administrate
Domenii ale Guvernantei IT Managementul executiv pentru a
guverna IT trebuie sa se concentreze pe urmatoarele domenii:1. Aliniamentul strategic se concentreaza
pe legatura dintre business si planurile IT aliniind operatiunile IT cu operatiunile organizatiei
2. Livrarea de valoare asigura ca IT livreaza beneficiile promise in conformitate cu strategia
3. Managementul riscului cere constientizarea riscurilor de catre managerii seniori ai companiei
Domenii ale Guvernantei IT Managementul executiv pentru a
guverna IT trebuie sase concentreze pe urmatoarele domenii:4. Managementul resurselor se concentreaza pe optimizarea investitiilor si pe administrarea resurselor IT critice: aplicatii, informatii, infrastructura si oameni.5. Masurarea performantelor monitorizeaza si urmareste implementarea strategiei, stadiul proiectelor, utilizarea resurselor, procesarea performantei si livrarii de servicii
Strategia sistemelor informatice
Elementul fundamental al implementarii Guvernantei IT este schimbarea: fiecarui stakeholder trebuie transmis un mesaj specific
Exemple de stiluri de influentaafirmand convingand trecand peste atragand
precizand asteptarile clare avute in urma implementarii
Guvernatei IT si specificand consecintele neadoptarii
acesteia
propunand o noua abordare a activitatii IT bazata pe cele
mai bune practici si standarde
implicand business-ul in procesul de luare de decizii IT
prin spargerea barierelor tehnice
elaborand cu suportul BoD declaratiile si politicile despre
Guvernanta IT
creind stimulente pentru atingerea obiectivelor bazate pe
prioritatile de business
rationand ca schimbarile sunt necesare, educand top
managementul ca Guvernanta IT poate furniza multe
beneficii
divulgand incidentele si problemele IT si cautand solutii, nu acoperindu-le
elaborarand strategii si planuri comune impreuna cu
business-ul
Planul strategic IT trebuie sa balanseze costul de mentenanta a sistemelor existente cu costul noilor initiative sau sisteme care sa suporte strategiile de business
Strategia sistemelor informaticePentru inițiativele de guvernare IT, experiența arată că cea mai bună
abordare este o schimbare incrementală prin evoluție și adaptare a practicilor actuale într-o nouă abordare coalaborativa a managementului IT
Rezultate finale
Natura schimbarii
Incrementala EVOLUTIE ADOPTARE
Big Bang REVOLUTIE RECONSTRUCTIE
cea mai buna abordare
Maturitatea capabilitatilor IT
Imbunatatind maturitatea capabilitatilor IT se reduc atat riscurile si creste eficienta cat si se economisesc costuri
Monitorizarea si evaluarea resurselor IT este un aspect cheie in Guvernanta IT: cat sunt de potrivite pentru a fi capabile sa suporte strategia curenta si cea propusa
Maturitatea capabilitatilor ITCapability Maturity Modelling (CMM a fost creat de Software Engineering Institute with
Carnegie Mellon) a fost adoptata de multe organizatii pentru a evalua capabilitatile IT
Nivelul 1 - Initial
Nivelul 2 – Administrat si
Repetabil
Nivelul 3 - Definit
Nivelul 4 – Administrat
cantitativ
Nivelul 5 - Optimizare
Evolutia Procesului
Productivitate, calitate
RiscProcese nepredictive, necontrolate si reactive
Proces characteristic pentru proiecte, adesea reactiv
Proces characteristic pentru organizatie, proactiv
Procesul este masurat si controlat
Conentrare pe procesul de imbunatatire continua
Managementul riscurilor IT
Cuprinde:- Identificarea - Analiza - Evaluarea- Tratarea - Monitorizarea - Comunicareaimpactul riscului in procesele de IT
Procesul de identificare a vulnerabilitatilor si amenintarilor pentru resursele informatice utilizate de organizatie in scopul atingerii obiectivelor de business si de decizie in ceea ce priveste contramasurile ce trebuie luate in vederea reducerii riscului la un nivel acceptabil (risc residual), bazat pe valoarea resurselor informatice ale organizatiei
3 linii de aparare pentru o Guvernanta IT eficaceCrearea valorii/
Asumarea riscului3 linii defensive Apetitul pentru risc
Executie Guvernanta si management Strategia RisculuiSt
abili
rea
echi
libru
lui i
ntre
Cap
acita
tea
riscu
lui,
Apeti
tul r
iscu
lui s
i Bug
etul
de
risc
Prima linie defensiva: Identificarea si evaluarea riscului.Responsabilitate: Operatiunile business executa zilnic procese de administrare a riscului. Functie: organizarea unui mediu stabil si controlat din punct de vedere al riscului.
A doua linie defensiva: Administrarea Riscului.Responsabilitate: Functie de supraveghere a activitatiilor, cum ar fi, resursele umane, operatiuni financiare, asigurarea calitatii si managementul riscului, definesc politica si furnizarea siguranta. Functie: Management strategic, stabilirea de politici si proceduri, supraveghere functionala.
A treia linie defensiva: Monitorizarea riscului.Responsabilitate : Asigurarea independenta contine audituri interne si externe, precum si alti furnizori independenti de asigurari, si ofera provocari independente conform nivelelor de asigurare furnizate de functiile operationale si de supraveghere. Functie: Furnizeaza asigurari independente si siguranta. Ca
drul
de
guve
rnan
ta a
risc
ului
(fra
mew
ork)
Risc
ITCO
BIT
3 linii de aparare pentru o Guvernanta IT eficace
Analiza riscului si definirea raspunsuluiIn functie de tipul riscului si importanta pentru business managementul poate decide sa:- Evite riscul – eliminarea riscului prin eliminarea cauzei, de exemplu sa aleaga sa nu implementeze anumite activitati si procese care presupun aparitia riscului- Diminueze riscul – micsorarea probabilitatii aparitiei sau impactului
riscului prin definirea, implementarea si monitorizarea controalelor adecvate
- Transfere riscul – impartirea partial sau totala a riscului cu parteneri (asigurari)
- Accepte riscul – nu este planificata nici o actiune, pierderile sunt acceptate atunci cand intervin, se stie de existenta riscului si este monitorizat
Analiza riscului si definirea raspunsuluiEstimarea frecventei si a impactului Riscul
Toleranta de risc
Analiza de risc
Analiza de risc
Risc care depaseste toleranta
Selectarea optiunilor de raspuns
1.Diminuare 2.Evitare
3. Transfer 4.Acceptare
Costul raspunsului pentru reducerea riscului in cadrul
tolerantei
Importanta riscului
Capabilitatea de implementare a raspunsului
Eficacitatea raspunsuluiPrioritizare optiuni de raspuns
Plan de actiune
Optiuni de raspuns
Eficienta raspunsului
Cadrul COBIT
Cadrul de control IT
Parametrii pentru selectia raspunsului la risc
Atenuarea riscului
Analiza riscului si definirea raspunsului
Separarea sarcinilor
Sarcinile ce trebuie segregate:- Custodia activelor- Autorizarea- Inregistrarea tranzactiilor
Scopul este de a reduce sau elimina riscurile
(Segregation of Duties) evita posibilitatea ca o singura persoana sa fie responsabila pentru diverse functiuni critice in asa fel incat erorile ce pot aparea sa nu poata fi detectate in timp util si in mod normal in cadrul procesului de business
COBIT 5 (Alinierea la modelul de business)
Cerinte de business
Resurse IT
Procese IT
Informatii Companie COBIT
…conduc si directioneaza investitiile in…
…care sunt folosite in…
…pentru a furniza…
…pentru a raspunde la…
COBIT 5 (Control Objectives for Information and Related
Technology)Este un model-cadru (framework) pentru controlul mediului IT care asista si ajuta implementarea Guvernantei ITAdreseaza: - domeniul business
- domeniul functionalIa in considerare interesele: - stakeholder-ilor interni
- stakeholder-ilor externi
Principii de baza
•Intampinarea nevoilor stakeholderilor;•Acoperire completa a companiei;•Aplicarea unui cadrul unitar;•Permiterea unei abordari holistice;•Separarea guvernantei de management;
Categorii de facilitatori
•Principii, politici si cadre generale;•Procese;•Structuri organizatorice;•Culturi, etici si comportament individuale;•Informatie;•Servicii, infrastructura si aplicatii;•Personal, aptitudini si competente;
Dimensiunile•Stakeholderi;•Obiective;•Ciclu de viata;•Cele mai bune practici;
Guvernanta IT si Managementul ITObiectivele stabilite :- Alinierea IT - business;- IT da posibilitatea sa functioneze business-ul si maximizeaza beneficiile;- Resursele IT sunt utilizate responsabil;- Riscurile de tip IT sunt gestionate corespunzator;
Furnizeaza directiaEvaluarea performantelor
Transpunerea directiei in strategieMasurarea si raportarea performantelor
Transpunerea strategiei in actiune:- Creste gradul de automatizare (face afacerea eficace);- Micsoreaza costurile (cresterea eficientei)- Administreaza riscurile(securitate, fiabilitate si conformitate);
GUVERNANTA IT
MANAGEMENT IT
Guvernanta IT si Managementul IT
Guvernanta IT ucide inovatia?Provocari:- Companiile nu identifica cele mai bune idei pentru investitii pentru ca se bazeaza doar pe
vechii parteneri strategici care nu au cunostinte despre noile tendinte care duc la cresterea productivitatii
- Companiile aloca in mod gresit capital datorita analizei traditionale a ROI ce submineaza abilitatea IT in investitiile in domenii cu profituri-mari-dar-greu-de-masurat
- Companiile tind sa-si aloce capitalul in parti subtiri catre mai multe grupuri sau functiuni, din ratiuni politice “mentinand pacea”, dar pierzand oportunitati
Fii agil…Extinde-te in primul rand, apoi filtreaza
Prioritizeaza capabilitatile, nu proiectele… …Concentreaza-te pe produse, nu pe proiecte
Opreste-te sa administrezi dispozitive, administreaza date si aplicatii
Preocupa-te nu numai sa minimizezi riscul, ci sa-l controlezi si administrezi
MULTUMESC !