Model S-P-S-P-R, ITIL

Transkript

1 Model S-P-S-P-R, ITIL Doc.Ing.Miloš Koch,CSc. 35 1

2 MODEL S-P-S-P-R aktuálně vyvíjen prof. Voříškem a kolektivem na katedře informačních technologií, VŠE v Praze. Cílem modelu S-P-S-P-R je nalezení a zajištění optimální informatické podpory podnikových procesů a tím také zajištění co nejvyšší návratnosti investic do IS/ICT. Model řeší vztah mezi řízením Podnikových procesů a řízením podnikových ICT. 35 2

3 Vrstvy modelu Jeho základem je řízení firmy v pěti vzájemně provázaných vrstvách: S Strategy, P Business Processes, S ICT Services, P ICT Processes, R ICT Resources 35 3

4 Cílem rozdělení na vrstvy je: taková struktura podnikových činností a zodpovědnosti, která optimálně odpovídá současným požadavkům na flexibilitu a efektivní podnikové řízení, usnadnění komunikace neinformatiků s informatiky tím, že jejich komunikační rozhranní (označováno jako SLA viz definice dále) není zatíženo technologickými detaily, jasné určení zodpovědnosti různých typů manažerů, případně specialistů v podniku, zprůhlednění způsobu dekompozice podnikových cílů až na úroveň řízení provozu IS/ICT, vytvoření schématu, ze kterého je možné odvodit vhodné metriky úspěšnosti jednotlivých typů procesů a za ně odpovědných manažerů. 35 4

5 pojmy SLA - Service Level Agreement, v českém překladu Smlouva o úrovni poskytovaných služeb, dokument, který přesně vymezuje minimální vlastnosti služeb v definovaném rozsahu, objemu a úrovni a určuje cenu takto vymezené služby proces znamená sled konkrétních činností (aktivit), které zpracovávají určitý požadavek, vstup. Výsledkem takového řetězce činností je přesně definovaný výstup, produkt nebo služba 35 5

6 Model S-P-S-P-R Podniková a informační strategie, vč. strategie zdrojů: cíle, produkty, služby, zákazníci, lokality, partneři, S - Vrstva strategického řízení Trh produktů, služeb dodavatelů Hlavní proces 1 Hlavní proces p P - Vrstva hlavních procesů Trh produktů, a služeb podniku Trh služeb IS/ICT Informatická služba 1 Informatická služba s S - Vrstva informatických služeb Trh služeb IS/ICT Informatický proces 1 Informatický proces 2 Informatický proces j P - Vrstva informatických procesů Trh IS/ICT zdrojů Zdroj 1 Zdroj 2 Zdroj z R Vrstva informat. zdrojů Trh IS/ICT zdrojů Pronájem nebo prodej nadbytečných IS/ICT zdrojů

7 Vrstva S strategické řízení První vrstva je plně v kompetenci vrcholového managementu. Hlavními výstupy této úrovně řízení jsou zejména následující rozhodnutí: stanovení cílů a priorit, které bude podnik sledovat zvolení produktů či služeb a okruhu zákazníků, který bude podnik poskytovat výběr aliancí a kooperačních vztahů, do nichž podnik vstoupí (kompetence a zdroje, jež podnik v kooperaci uplatní a které naopak očekává od svých partnerů) určení hrubé úrovně, na které budou probíhat materiálové a informační toky mezi partnery v řetězci druh lidských, znalostních, informačních a finančních zdrojů, jež budou v podniku zapotřebí, a stanovení jejich získání (případně uvolnění přebytečných) určení metrik pro měření stupně dosažení cílů 35 7

8 VRSTVA P - ŘÍZENÍ HLAVNÍCH PROCESŮ PODNIKU Smysl a cíle své existence naplňuje organizace prostřednictvím hlavního předmětu podnikání, to je prostřednictvím hlavních podnikových procesů. Úlohou druhé vrstvy řízení, hlavních a podpůrných procesů podniku (P), je navrhnout a řídit podnikové procesy tak, aby organizace dosáhla strategických cílů definovaných první úrovní řízení (S). Hlavními aktivitami úrovně řízení podnikových procesů jsou: definice a optimalizace podnikových procesů operativní řízení procesů a kapacit monitoring procesů realizace (vykonávání) procesů 35 8

9 Vrstva S informatických služeb Informatická služba je rozhraním mezi businessem a informatikou, tj. mezi manažerem podnikového procesu a manažerem IS/ICT. Vztah k předchozí vrstvě potřebné informatické služby nakupuje manažer procesu u manažera informatických služeb - CIO. Při decentralizovaném modelu se manažer procesu může obrátit sám i na externí poskytovatele informatických služeb a nakoupit službu od nich. Je vhodné, aby definice informatické služby měla stejnou strukturu, ať se služba nakupuje interně v podniku, nebo u externího poskytovatele. Vhodná forma je SLA 35 9

10 Vrstva P informatických procesů Informatické procesy (P) produkují informatickou službu. Informatické procesy tedy tvoří čtvrtou vrstvu modelu a jsou řízeny manažery informatických procesů. Význam kvalitní definice informatických procesů roste zejména s jejich následujícím parametry: význam podnikového procesu, pro jehož podporu byla informatická služba vytvořena (kritické podnikové procesy potřebují vysoce kvalitní služby), počet uživatelů služby (například, je-li službou Internet banking, pak bude tuto službu využívat stále více zákazníků banky a celý proces, který ji zajišťuje, musí být řízen tím precizněji), nároky na kvalitu služby (dostupnost, doba odezvy, bezpečnost), celkový počet informatických služeb (s růstem počtu služeb rostou nároky na integraci služeb a integraci souvisejících procesů a zdrojů), celkový rozsah informatických zdrojů, které jsou informatickými procesy konzumovány

11 Rozdělení informačních procesů (10 základních oblastí) (1) Strategické řízení IS/ICT (cíle, architektury, standardy, projekty, harmonogram, rozpočet, organizace a pravidla řízení) Řízení služeb IS/ICT (3) Řízení (definice, nákup, prodej) služeb ve vztahu k zákazníkům a dodavatelům (4) Řízení vlastností služeb (užitečnost, hospodárnost, důvěryhodnost, bezpečnost, spolehlivost, atd.) Taktické řízení IS/ICT (2) Plánování, organizace, integrace, koordinace rozvoje IS/ICT Řízení zdrojů IS/ICT (5) Řízení ekonomiky IS/ICT (6) Řízení personálních zdrojů IS/ICT (7) Řízení datových zdrojů (8) Řízení technologických zdrojů a konfigurací (ASW, ZSW, HW, sítě) Operativní řízení IS/ICT (9) Řízení jednotlivých projektů rozvoje IS/ICT: vývoj či údržba, customizace, implementace (10) Řízení provozu IS/ICT - služeb a zdrojů 35 11

12 Vrstva R informatických zdrojů Poslední vrstvou modelu je řízení (správa) jednotlivých informatických zdrojů (R). Do zdrojů se zahrnuje zejména: technologická infrastruktura (hardware, počítačová síť, základní software), aplikační software, data, spotřební materiál a informatický personál. Manažeři informatických zdrojů mají klasické informatické profese: správce aplikace, správce sítě, správce databází, atd. Jejich zodpovědností je provozovat a udržovat svěřený zdroj s přijatelnými náklady

13 Vztahy mezi jednotlivými typy manažerů v modelu S-P-S-P-R 35 13

14

15 Manažer informatické služby Manažer informatické služby je zodpovědný za dodání a provoz smluvené služby. V případě, že se manažer informatické služby rozhodne informatickou službu nakoupit u externího poskytovatele (formou ASP), problém řízení informatické služby se redukuje na sepsání smlouvy obsahující SLA s externím poskytovatelem a na kontrolu jejího plnění. V případě, že se rozhodne službu zajišťovat vnitropodnikovými zdroji, znamená to povinnost vytvořit odpovídající informatické procesy a zajistit informatické zdroje, které informatické procesy vyžadují

16 Manažer procesu Manažer zodpovědný za definice a optimalizaci podnikového procesu (manažer procesu) je zodpovědný za navržení procesu (jednotlivých činností, jejich návaznosti, zodpovědnosti za jednotlivé činnost, atd.) tak, aby proces produkoval konkurenceschopný produkt či služby v optimálním čase, objemu a kvalitě a s přijatelnými náklady. K měření efektivnosti procesu, a tedy i k efektivnosti práce tohoto manažera mohou sloužit metriky typu: objem dodané produkce nebo služby, zisk z prodeje produktu nebo služby, atd. Součástí návrhu podnikového procesu musí být i návrh takových informatických služeb, které budou optimálně podporovat příslušný proces. Manažer procesu současně musí zkalkulovat, jaká je přijatelná cena požadovaných informatických služeb. Tato cena je jednou z nákladových položek procesu, a kdyby přesáhla určitou výši, výsledný produkt by již nebyl cenově konkurenceschopný na trhu. Zde je jedno z klíčových míst uvedeného modelu. Není-li možné zajistit požadované informatické služby za tuto limitní cenu, je třeba upravit hlavní proces a jeho požadavky na informatické služby

17 VARIANTY OUTSOURCINGU IS/ICT S VAZBOU NA MODEL S-P-S-P-R outsourcing podnikového procesu outsourcing komplexního IS/ICT částečný outsourcing IS/ICT: vybrané informatické služby, vybraného informatického procesu, vybraného informatického zdroje outsourcing vývoje IS/ICT 35 17

18 a) outsourcing podnikového procesu při něm je na externího dodavatele převáděn celý podpůrný podnikový proces, tj. všechny činnosti procesu a související zdroje Vytěsnění se týká i informatických služeb, procesů a zdrojů určených k podpoře vytěsňovaného podnikového procesu. Klasickým příkladem outsourcingu podnikového procesu je např. vytěsnění podnikové dopravy, účetnictví Kritickými faktory úspěchu (CSF) této varianty jsou: Vhodný výběr vytěsněného prostoru. Mělo by se jednat o proces, který z hlediska potřebných zdrojů a znalostí je dosti vzdálen od hlavních podnikových procesů a který nemá velmi těsné a často se měnící vazby na hlavní procesy, SLA. správná definice SLA vytěsňovaného procesu. SLA musí být definována tak, aby kontrola poskytované služby nevyžadovala znalosti a kompetence, které chtěl podnik vytěsnit, a aby se minimalizovaly integrační nároky vytěsněného procesu na ostatní procesy 35 18

19 b) outsourcing komplexního IS/ICT Na poskytovatele se v tomto případě přesouvá vývoj a provoz všech informatických služeb a souvisejících informatických procesů a informatických zdrojů. Na rozdíl od outsourcingu podnikového procesu se ale na externího dodavatele nepřesouvají podnikové procesy, na jejichž podporu IS/ICT slouží. Například podnik vytěsní celé IS/ICT včetně aplikací na podporu účetnictví, samotné účtování zůstává v podniku. V zodpovědnosti poskytovatele je vývoj a provoz IS/ICT (včetně customizací a integrace všech zdrojů, procesů a služeb) tak, aby zákazníkovi byly dodávány všechny informatické služby dle sjednaných SLA. Hlavní výhoda této varianty: podnik se zbaví starostí o IS/ICT a může se více věnovat hlavnímu předmětu podnikání. Zodpovědností podniku je, aby dobře definoval požadované informatické služby (pomocí SLA) a aby kontroloval jejich dodávání. Při komplexním outsourcingu IS/ICT podnik nemusí vlastnit žádné informační technologie, ani nemusí zaměstnávat informatické specialisty. Potřebuje ale velmi zdatné manažery procesů a zdatného manažera informatických služeb

20 b) outsourcing komplexního IS/ICT Kritickými faktory úspěchu v této variantě jsou: definice a řízení dodávky všech informatických služeb tak, aby služby optimálně podporovaly podnikové procesy za přijatelnou cenu, schopnosti vlastníků podnikových procesů jsou také klíčovým faktorem. Musí být schopni určit obsah, objem, kvalitu a limitní cenu informatické služby, která bude podporovat jimi řízený podnikový proces schopnost manažera informatických služeb (CIO) musí být schopen řídit dodávku všech informatických služeb. transformace na míru ušitých, resp. doma vyvinutých aplikací na poskytovatele. Tyto aplikace jsou pro poskytovatele zátěží, protože jejich řízení a provoz vyžadují specifické znalosti a nedají se využít pro služby jiným zákazníkům

21 c) částečný outsourcing IS/ICT: ( vybrané informatické služby, vybraného informatického procesu,vybraného informatického zdroje) Na poskytovatele se při něm mohou přesouvat: vybrané informatické služby: včetně jejich zajištění, tj. včetně souvisejících informatických procesů a zdrojů. Příkladem může být outsourcing provozu ERP systému, outsourcing provozu elektronické pošty, atd. vybrané informatické procesy: včetně zdrojů, které jsou pro jejich provoz zapotřebí. Například implementace ERP systému externí firmou, outsourcing integrace všech podnikových aplikací, apod. vybrané informatické zdroje: například outsourcing koncových stanic, outsourcing datového centra, apod. V případě outsourcingu zdroje se obvykle vytěsňují i všechny činnosti související s provozem, správou a dalším rozvojem tohoto zdroje. Typickými činnostmi souvisejícími s každým zdrojem jsou: pořízení a vývoj, údržba, upgrade, customizace, integrace s ostatními zdroji, provoz, prodej a likvidace

22 c) částečný outsourcing IS/ICT: Výhodou této varianty je skutečnost, že umožňuje detailní plánování a řízení informatiky. Podnik tak může vytěsnit jen ty informatické služby, procesy nebo zdroje, pro které existuje kvalitní externí nabídka za výhodnější cenu v porovnání s interním řešením. Kritickými faktory úspěchu částečného outsourcingu jsou : kvalitní aplikační a technologická architektura IS/ICT. Tyto architektury jsou základním zdrojem pro řízení IS/ICT, proto musí přesně definovat jednotlivé komponenty a jejich rozhraní, provádění outsourcingu s optimálním počtem subjektů. Nebývá výhodné vytěsnit komponenty technologické architektury na mnoho různých poskytovatelů, protože tím výrazně vzrostou náklady na řízení rozhraní mezi komponenty informačních systémů, integrace celého IS/ICT, která zůstává na odpovědnosti podniku. Nároky na interní specialisty, náročnost dramaticky roste s růstem počtu externích dodavatelů, detailní sledování nákladů, které je jedním z klíčových informačních zdrojů pro výběr komponenty k outsourcingu, detailní informace o trhu, která jsou nutné pro určení nejvhodnějšího dodavatele služeb, procesů či zdrojů

23 d) outsourcing vývoje IS/ICT Poslední popisovaná varianta outsourcingu přesouvá na externí firmu pouze vývoj některých ze zdrojů IS/ICT, které pak podnik sám ve vlastní režii provozuje. Do vytěsněných činností obvykle spadá i údržba, upgrade, customizace a integrace zdroje. Podnik pak zodpovídá jen za provoz zdroje a jeho optimální využití v informatických procesech. Nejtypičtějším příkladem je dle vývoj aplikačního softwaru na zakázku. Kritickými faktory úspěchu pro tuto variantu outsourcingu jsou: kvalitní definice požadavků na vyvíjený zdroj, integrace dodaného zdroje do podnikového IS/ICT, údržba zdroje dle měnících se požadavků a měnících se podmínek provozu IS/ICT

24 ITIL METODIKA ITIL IT INFRASTRUCTURE LIBRARY Zkratka ITIL značí IT Infrastructure Library a v českém překladu znamená knihovnu infrastruktury informačních technologií. Metodika ITIL je rozsáhlý soubor postupů řízení podnikové informatiky, který obsahuje veřejně přístupné dokumenty týkající se plánování, poskytování a podpory ICT služeb

25 Stručná charakteristika ITIL je soubor nezávazných doporučení a nejlepších postupů, umožňujících zefektivnit veškeré služby vázané na podnikovou IT infrastrukturu. Jedná se o taková doporučení, která v rámci dlouhodobé aplikace přinášejí efektivnější fungování interního personálu a vyšší spokojenost uživatelů a zákazníků. Implementace ITIL představuje zavádění nejmodernějších postupů do oblasti řízení kompletní řady podnikových procesů 35 25

26 Vznik Metodika ITIL je vyvíjena od osmdesátých let minulého století v reakci na vzrůstající závislost firem na ICT technologiích a z toho plynoucího růstu požadavků na kvalitu služeb ICT. Britskou vládu k tomu, že pověřila vládní agenturu Central Computer and Telecommunications Agency (ve zkratce CCTA) k vypracování metodiky, podle které by organizace (jak vládní, tak soukromé) podílející se na dodávkách informačních služeb pro britskou vládu musely závazně postupovat. CCTA postupně vydává 46 svazků shrnujících nejlepší zkušenosti (Best Practices) z oblasti řízení ICT služeb pro potřeby britských vládních úřadů a podnikatelských subjektů dodávajících ICT služby vládě. Na přelomu minulého století je původních 46 svazků knihovny přepracováno do současné podoby, kde základem knihovny ITIL jsou tituly Service Support a Service Delivery, které obsahují podstatnou část z původních 46 svazků. Toto přepracované vydání vzniká ve sdružení Office of Government Commerce (ve zkratce OGC), které vzniklo sloučením britských vládních agentur včetně zmíněné CCTA a stává se autoritou pro re-edice a vydávání dalších publikací ITIL 35 26

27 CHARAKTERISTIKY A VÝHODY procesní řízení ITIL používá procesně orientovaný přístup k řízení IT služeb. Celý proces je řízen, monitorován, měřen, vyhodnocován a neustále vylepšován, což je odpovědností vlastníka procesu. zákaznicky orientovaný přístup tento rys vyplývá přímo ze samotné podstaty metodiky, všechny procesy jsou definovány s ohledem na potřeby zákazníka, tzn. každá aktivita, každý úkon v každém procesu musí v konečném důsledku přinášet nějakou přidanou hodnotu pro zákazníka. Pokud ne, je taková činnost považována za nadbytečnou. jednoznačná terminologie metodika ITIL definuje a používá ve všech svých svazcích jednoznačnou terminologii, která přispívá k jasnosti ITIL a samozřejmě také k předcházení nedorozuměním. nezávislost na platformě přístup ITIL k procesům je nezávislý na jakékoliv HW nebo SW platformě. volná dostupnost knihovny ITIL knihovna je volně dostupná, což znamená, že si kdokoliv může knihy ITIL koupit. Metodika ITIL není tedy skrývána před odbornou veřejností, jak je tomu u některých jiných metodik a přístupů pro řízení informačních systémů. Skutečnost otevřenosti metodiky mj. přispěla k rychlému celosvětovému rozšíření ITIL

28 Metodika ITIL neřeší konkrétní podobu organizační struktury podniků, způsob obsazení rolí u procesů konkrétními pracovními pozicemi (pouze dává doporučení, které role by měly nebo neměly být kumulovány u jedné konkrétní osoby), podobu a obsah pracovních procedur (pracovních postupů) 35 28

29 3 úrovně procesů IT služeb Strategická úroveň řízení IT služeb. Zahrnuje řízení kvality, bezpečnosti, organizační řízení, apod. Taktická úroveň plánování a kontrola IS služeb zajišťující splnění požadavků zákazníka, Operační úroveň podpora IT služeb zajišťující efektivní poskytování IT služeb ze strany servisní organizace. U jednotlivých procesů jsou identifikovány jejich výstupy (i s uvedenými konkrétními příklady), které slouží jako základ pro tvorbu metrik podnikové informatiky

30 ITIL Metodika ITIL sestává v současné době z osmi svazků. Cena uvedených osmi publikací dosahuje částky 470 GBP (srpen 2004) Odborná veřejnost má plný přístup k této metodice 35 30

31 Svazky knihovny ITIL knihy Service Support a Service Delivery, tedy Podpora služeb a Dodávka služeb jsou dvě základní publikace z knihovny ITIL. Tyto knihy tvoří rámec IT Service Managementu, tzn. jsou to knihy o řízení, dodávce a podpoře IT služeb. Obsahují podstatnou část z původních 46 svazků vydaných agenturou CCTA. kniha Business Perspective, tedy Obchodní perspektiva je určena vedoucím pracovníkům obchodních a provozních úseků podniku. Jsou zde představeny základní prvky a principy řízení ICT infrastruktury, IT Service managementu a Application managementu, které jsou nezbytné pro podporu obchodních procesů. Tato kniha má za cíl pomoci obchodním manažerům lépe porozumět přínosům Best Practices pro IT service management a získat schopnost lépe řídit vzájemné vztahy s poskytovatelem služeb. kniha ICT Infrastructure Management, přeloženo jako Správa infrastruktury ICT - pokrývá všechny aspekty řízení ICT infrastruktury od identifikace obchodních požadavků přes nabídkové řízení až po testování, instalaci, nasazení a následnou pravidelnou údržbu a podporu ICT komponent a IT služeb

32 Svazky knihovny ITIL kniha Application Management, přeloženo jako Správa aplikací zahrnuje procesy celého životního cyklu aplikačního softwaru od prvotní studie proveditelnosti, přes vývoj, testování, vytváření aplikační dokumentace a školení uživatelů, implementaci do produkčního prostředí, provoz aplikace, změnová řízení během provozu aplikace až po stažení aplikace z používání. kniha Planning to Implement Service Management, Plánování implementace správy služeb popisuje aktivity, úkoly a problémy související s plánováním, implementací a zlepšováním procesů IT Service Managementu v podnikovém prostředí. Je určena především členům implementačních týmů. kniha Security Management, tedy Řízení bezpečnosti - obsahuje popis a organizaci řízení bezpečnosti ICT infrastruktury z pohledu manažera ICT a dále popis plánování a řízení definované úrovně bezpečnosti informací a IT služeb včetně všech aspektů souvisejících s reakcí na bezpečností incidenty. kniha Software Asset Management, přeloženo jako Řízení softwarových aktiv obsahuje popis procesů řízení, kontroly a ochrany softwarového majetku ve všech stadiích jeho životního cyklu

33 Výhody ITIL obsahuje jeden z nejucelenějších referenčních modelů řízení podnikové informatiky. Přestože není tak strukturován (jako např. COBIT), je napsán velmi čtivým jazykem. Všechny procesy jsou velmi podrobně popsány s uvedením konkrétních příkladů řešení a případně vzorových metrik. ITIL je vhodná pro různé podniky, bez ohledu na jejich velikost či jiné subjekty pracující s IT (jako ministerstva, obecní úřady, atd.) či bez ohledu na počet uživatelů, které ICT infrastruktura podporuje. Jelikož je ITIL procesně orientovaná, může být aplikována na procesy malých subjektů i nadnárodních firem 35 33

34 Výhody Lepší podpora obchodních procesů, definice funkcí, rolí a zodpovědnosti v sektoru služeb, pomoc s ustavením IT služeb, které splňují požadavky zákazníků, vyšší spokojenost zákazníků vzhledem k vyšší dostupnosti a kvalitě IT služeb, vyšší produktivita a efektivita vzhledem k cílevědomému využití znalostí a zkušeností, vyšší spokojenost zaměstnanců a snížení fluktuace na personální úrovni, zlepšení komunikace a informovanosti mezi IT pracovníky a zákazníky, mezinárodní výměna zkušeností (např. na již zmíněném fóru itsmf), zavedení jednotné terminologie v sektoru poskytování IT služeb

35 Příklad Jako příklad podniku, který v ČR implementoval metodiku ITIL je možné uvést společnost T-Mobile CZ. Motivace pro zavedení metodiky ITIL byly interní (snaha vylepšit celkové řízení procesů v provozu IT, zvýšit produktivitu pracovníků a stále náročnější požadavky zákazníků) a externí (členství v celosvětové skupině mobilních operátorů, nutnost shodnosti hlavních procesů u všech dcer T-Mobile a dokonce i globální upgrady systému SAP R/3). V T-Mobile byly již dříve vytvořeny určité návody na to, jak správně provozovat procesy tak, aby každý člověk z provozu IT uměl správně reagovat na vzniklé situace. Pracovníci byli sice schopni tyto informace udržet a využívat, nicméně pouze několik málo lidí vědělo, kde tyto informace hledat. A to představovalo pro firmu značné riziko. Dalším cílem bylo také měřit a vyhodnocovat procesy tak, aby existoval přehled o nakládání se zdroji (lidskými, technickými i finančními) a následně tyto procesy zlepšovat. Z celkového pohledu přineslo zavedení metodiky ITIL možnost kompletní evidence všech incidentů, zvolených řešení, jejich úspěšnosti a vytíženosti pracovníků T-Mobile CZ. Pod pojmem incident se chápou situace, které mají na společnost vysoký obchodní dopad bez ohledu na to, zda se týkají zákazníků či interních pracovníků např. určitý problém systému pro vystavování faktur. Získaná data je možné vyhodnocovat a volit správná operativní i strategická rozhodnutí do budoucna. Díky ITIL byla vytvořena spolehlivá a objektivní zpětná vazba, která umožňuje neustále zkvalitňovat IT služby zákazníkům

36 Metodika COBIT METODIKA COBIT CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY Metodika COBIT představuje v současnosti jednu z nejkomplexnějších metodik formalizující řízení a hodnocení IS/ICT. Vznikla ve sdružení ISACF (Information Systems Audit and Control Foundation), která byla založena v roce 1969 (mezi známé členy patří např. Gartner Group, Deloitte&Touche, Price Waterhouse-Coopers, atd.)

37 COBIT obsahuje komplexní systém cílů a metrik podnikové informatiky, který reprezentuje ucelený pohled na řízení podnikové informatiky a je dobře použitelný pro provádění auditů. COBIT definuje řízení IT jako korelační vazbu mezi souborem požadavků (kritérií), IT zdroji a IT procesy 35 37

38 Struktura COBIT Základem metodiky je procesní přístup k ICT, procesy jsou dle metodiky COBIT popsány ve členění na 4 logické skupiny, tzn. domény. Tyto domény jsou: - Plánování a organizování (zkratka PO) 11 procesů - Akvizice a implementace (zkratka AI), 6 procesů - Dodávka a podpora (zkratka DS) 13 procesů - Měření a hodnocení (zkratka M). 4 procesy Domény svou strukturou vytváří v COBIT smyčku, která odpovídá základním prvkům životního cyklu informačních systémů. Pro každou z těchto domén jsou definovány procesy:celkem tedy COBIT definuje v těchto čtyřech doménách 34 ICT procesů 35 38

39 Procesy Každý z procesů jednotlivých domén se rozpadá na detailní činnosti (Activities), jejich vstupy a výstupy. Pro každý proces je rovněž navržen referenční soubor cílů (tzv. CSF Kritické faktory úspěšnosti), výsledkových metrik (KGI Key goal indicators) a výkonnostních metrik (KPI Key performance indicators). Dále jsou ke každému ze 34 procesů k dispozici konkrétní kritéria a metoda hodnocení celkové kvality procesu. Hodnotící škála pro všechny procesy má 6 stupňů, od 0 (proces neexistuje) po 5 (proces je zcela optimalizován)

40 Podniková (obchodní strategie), její cíle a obchodní procesy Vedení (řízení) IS/IT COBIT M1 monitoring procesů M2 ocenění dosažené úrovně řízení M3 hodnocení (nezávislá kontrola) M4 hodnocení (interní/externí audit) Měření a hodnocení IS/IT kritéria účelnost účinnost důvěryhodnost integrita dostupnost soulad spolehlivost IT zdroje Plánování a organizování PO1 definice strategického plánu IS/IT PO2 definice architektury IS/IT PO3 determinace technologických trendů PO4 definice organizace a vztahů IS/IT PO5 řízení IT investic PO6 řízení lidských zdrojů PO7 komunikace strategie a směru rozvoje PO8 řízení shody s externími požadavky PO9 řízení rizik PO10 řízení projektů PO11 řízení kvality DS1 definice a správa servisních úrovní DS2 správa služeb třetích stran DS3 řízení výkonnosti a kapacit lidé AI1 identifikace automatizovaných řešení DS4 kontrola kontinuity služeb aplikace AI2 akvizice aplikačního prog. vybavení DS5 kontrola bezpečnosti systému technologie AI3 akvizice technologické infrastruktury DS6 identifikace a alokace provoz. nákl. prostředí, vybavení, AI4 vývoj a správa provozních procesů DS7 vzdělávání a osvěta uživatelů podmínky AI5 instalace a certifikace systémů DS8 asistenční služba zákazníkům data AI6 řízení změn DS9 řízení konfigurací DS10 řízení událostí a mezních stavů DS11 správa dat DS12 správa vybavení a prostředí Dodávka a podpora Akvizice a implementace DS13 správa provozních 35 procedur 40

41 Cíle COBIT si klade za cíl přinášet odpovědi na požadavky podniků a současně být nezávislý na technologických platformách použitých v podniku. Referenční model COBIT se skládá z modelu procesů, ke kterým jsou připojeny metriky jejich efektivnosti. Další součástí modelu řízení podnikové informatiky nejsou zahrnuty. Řízení informatiky je v COBIT vzájemně propojeným souborem požadavků podnikání, zdrojů a procesů podnikové informatiky a tomu také odpovídá jeho základní členění

42 Vazba domén, procesů a aktivit v metodice COBIT Doména AI DS M PO Proces AI1 Proces AI2 Proces AIn Aktivita 1 Aktivita 2 Aktivita 3 Aktivita n Pro procesy: Referenční soubor cílů (CSF Kritické faktory úspěšnosti), výsledkové metriky (KGI Key Goal Indicators), výkonnostní metriky (KPI Key performance indicators), atd

43 Požadavky na informace v COBIT účelnost požadavky na včasné doručování relevantních informací ve správném, konzistentním a použitelném tvaru, účinnost požadavky na zpracování informací (nejekonomičtějším a nejproduktivnějším způsobem) prostřednictvím optimálního využívání zdrojů, důvěryhodnost požadavky zahrnující oblast ochrany důležitých informací proti neautorizovanému použití (prozrazení), integrita požadavky týkající se přesnosti a kompletnosti informace ve vztahu k požadavkům podnikání a jeho očekáváním, dostupnost požadavky vztahující se k dostupnosti informace pro podnikání (nyní, ale i v budoucnosti). Týkají se také ochrany potřebných zdrojů (např. datových, technologických), soulad požadavky týkající se udržování souladu se zákony, regulacemi, směrnicemi a kontraktačními podmínkami, které se týkají procesů podnikání (hlavních podnikových procesů), spolehlivost požadavky vztahující se k přínosu informatiky pro rozhodování manažerů 35 43

44 Výhody a nevýhody Celkem lze tedy v metodice COBIT najít komplexní systém stovek cílů a metrik pro všechny oblasti ICT. Právě vysoká komplexnost je hlavní silnou stránkou, ale z jiného pohledu i slabou stránkou metodiky COBIT, který je dobře uplatnitelný u velkých podniků. Pro malé a střední podniky je však jeho komplexnost a složitost příliš vysoká. I střední podniky však mohou z této metodiky profitovat, pokud si např. nechají provést audit pomocí metodiky COBIT od firmy specializované na ICT poradenství

45 Shrnutí Metodika COBIT má oproti ITIL jednu zdánlivou výhodu téměř všechny základní publikace jsou k dispozici volně ke stažení na Internetu. Metodika ITIL je taktéž otevřená veřejnosti, ale ve formě publikací, které je třeba zakoupit. Rozdíl obou metodik je však v počátečním směru jejich vývoje. COBIT je dílem několika profesionálních auditorských firem a do praxe vešel až po jeho důkladné teoretické definici. Pokud není osoba do metodiky COBIT plně zaškolena, je pro ni pojetí procesů podle COBIT méně čitelné a přehledné než procesy podle ITIL Naopak metodika ITIL vzešla z praxe a je odvozena od postupů Best Practices. Její jazyk považován za přehlednější a snadněji pochopitelný než jazyk metodiky COBIT [60]. Metodika COBIT je rozšířena především na amerických kontinentech, metodika ITIL naopak především v Evropě