nezávislá podpora a poradenství s vazbou na ICT procesy projekty strategie informatika KRITICKÉ FAKTORY ÚSPĚCHU BUDOVÁNÍ SYSTÉMU ŘÍZENÍ PODNIKOVÉ INFORMATIKY NA ZÁKLADĚ COBITU Nadpis presentace Petr Hujňák CGEIT, CRISC, CSPM CEO Per Partes Consulting President ISACA Czech Rep. www.perpartes.cz 2014 Per Partes Consulting 1
KRITICKÉ FAKTORY ÚSPĚCHU A NOVÉ METODICKÉ MYŠLENÍ V ŘÍZENÍ ICT 1. Jaké standardy využít pro řízení ICT? Kompatibilita standardů a přístupů 2. Co řídit a jak zadefinovat cíle řízení? Řízení hodnoty ICT pro organizaci 3. Jaký systém řízení nastavit? Metodická kostra systému řízení ICT 4. Jak zajistit integritu detailů s celkem? Vyjádření detailů pomocí pohledů na systém 5. Jak realizovat to, co je zatím vymyšleno jen na papíře? Implementace systému řízení ICT Nové metodické myšlení se objevuje ve vazbě na probíhající přechod společnosti do znalostní ekonomiky. Postindustriální metodická paradigmata přestávají být při řízení znalostních aktiv aplikovatelná.
1. Na který standard vsadit při řízení ICT? Je možné vzít jen jeden z nich??
1. COBIT 5: Pokrytí jiných standardů a rámců C5 Principle: Applying a Single Integrated Framework: COBIT 5 is aligned with other major frameworks and standards in the marketplace, such as ITIL, TOGAF, PMBOK, PRINCE2 and the ISO standards.
1. COBIT 5 FRAMEWORK INTEGRATOR: Connector & Navigator to Other Standards
1. Který standard? Vrcholové vedení informatiky musí stanovit ITG rámec, kterým definuje využití dílčích metodických standardů tak, aby se vzájemně nepřekrývaly a nebyly postaveny na nekompatibilních přístupech. Tam, kde je absence standardu či chaos přístupů, nezbývá než vydat vlastní jednoznačné doporučení. Základním znakem provádění IT Governance je výběr a aplikace vhodných metodik a standardů. Pro zájemce o oblast řízení rizik doporučuji nezávislou studii Řízení rizik a příležitostí probírající standardy RISK IT, PMI, ISO 27005/31000/10006 a IPMA poukazující na nekompatibilitu standardů. Obdržíte ji zdarma na www.perpartes.cz ve stahovací sekci. Rovněž zde naleznete Doporučenou praxi SPŘ pro oblast řízení rizik nebo materiály z mnohahodinových workshopů.
2. Co řídit a jak zadefinovat cíle řízení? IT Governance = vrcholové směrování IT (doslova panování v IT oblasti) 1. Každá organizace, bez ohledu na to, zda je komerční či nikoliv, má vytváření hodnoty jako svůj hlavní vrcholový (governance) cíl. 2. JAK? Organizace vytváří hodnotu pro zainteresované strany, pokud realizuje jimi požadované přínosy s optimálními náklady na zdroje a za optimálně nastavených rizik high quality benefit Ve skutečnosti jde při IT Governance o balancování ve známém trojimperativu risk resource fast cheap Účelem a přínosem správného vrcholového řízení (IT Governance) je vytváření jasných a udržitelných podmínek pro výkonný management (IT Management). Jde o známou vazbu dělat správné věci a dělat věci správně.
2. Řízení hodnoty pro organizaci CHAOSICT HODNOT: Konfikt zájmů Problém č. 1 : Konfliktní požadavky Zkoumání síly zainteresovaných stran (stakeholders) podle The Open Group Architecture Framework,version 9 / TOGAF vysoká nízká Udržení shody Keep Satisfied Klíčová osoba Key Player Minimum úsilí Minimal Effort Informovaná osoba Keep Informed nízká úroveň zájmu Governance is about negotatng and deciding amongst diferent stakeholders value interests. vysoká TOGAF - The Open Group Architecture Framework, version 9 TOGAF doporučuje klasifikovat zainteresované strany podle pozice a síly, kterou mohou v dané organizaci nařídit, změnit či blokovat směrování architektury a podle toho, zda je v jejich zájmu se do prací v dané oblasti aktivně zapojit či nikoliv. PMBOK Guide Fifth Edition nově zahrnuje oblast Project Stakeholder Management jako klíčovou oblast řízení.
2. Řízení hodnoty ICT pro organizaci Problém č. 2: Nevyřčené požadavky Je zřejmé, že dobře navržený systém přímo souvisí s úplností a bezrozporností požadavků zainteresovaných stran na předmětný systém. Návod na zjišťování a práci s požadavky dávají normy ISO pro řízení kvality. Základním předpokladem dosažení kvality systému a jeho architektonického návrhu je identifikace a zapracování tzv. nevyřčených požadavků na systém. Schopnost architekta převést nevyřčené požadavky do specifikovaných (zdokumentovaných) požadavků silně determinuje kvalitu architektonického návrhu a tím i úspěšnost realizace celého systému. [Hujňák] Příklady nevyřčených požadavků: ICT musí být řízeno v souladu s legislativou. Systém musí být následně provozovatelný se stávajícími pracovníky. Outsourcing musí být (rychle) převoditelný na provoz vlastními silami. Zdrojem nevyřčených požadavků zainteresovaných stran bývá znalost předmětné oblasti a zkušenosti z realizace obdobných systémů.
2. P1 Meeting Stakeholder Needs Stakeholder needs can be related to a set of generic enterprise goals. Business Value creation as a governance objective
2. Řízení hodnoty ICT pro organizaci The COBIT 5 goals cascade 19 x Stakeholder needs have to be transformed into an enterprise s actonable strategy. 17 x 17 x The COBIT 5 goals cascade translates stakeholder needs into specifc, actonable and customised goals within the context of the enterprise, ITrelated goals and enabler goals.
2. Řízení hodnoty ICT pro organizaci Value is an intangible asset Value = The end business outcome(s) expected from an ITenabled business investment where such outcomes may be fnancial, non-fnancial or a combinaton of the two. Value is not a simple concept. Value is complex, context specifc and dynamic. The nature of value difers for diferent types of organisatons. The means of value creaton has shifed from tangible to intangible assets, and intangible assets generally are not measurable through traditonal fnancial means.
2. Řízení hodnoty ICT pro organizaci Cíle jsou formulovány pomocí BSC ISACA Board Briefing on IT Governance 2 nd Ed. Zdroj: Robert Kaplan, David Norton, The Balanced Scorecard Measures that Drive Performance, 1992 Robert Kaplan, David Norton, The Balanced Scorecard: Translating Strategy into Action, 1996 Balanced Scorecard doporučuje pracovat se 4 strategickými perspektivami vytvářejícími 4 kauzálně provázané pohledy na strategii organizace.
2. Řízení hodnoty ICTŘÍZENÍ: pro organizaci CHAOS Kdo odpovídá za IT Kdo odpovídá za governance? Governance? EDM PBRM ISACA v COBITu 5 (2012) začala striktně odlišovat pravomoc, odpovědnost a procesy pro IT Governance od pravomoci, odpovědnosti a procesů pro IT Management. Praxe totiž - proti předpokladům v COBITu 4 - ukázala, že koncepce vše v jednom nepřináší výsledky.
2. Covering the Enerprise End-to-end Strategic Alignment In COBIT 5, alignment is considered to be the result of all governance and management activities. COBIT 4.1 Control Objectives Mapped to COBIT 5
2. Řízení hodnoty ICT pro organizaci Moderní metodické myšlení vychází z filozofie příčina následek nastavené v kaskádě provázaných cílů. Základem systému řízení ICT se stávají transformované požadavky a očekávání zainteresovaných stran do konkrétních akčních cílů. Aplikace metody Balanced Scorecard se ukazuje jako vhodná nejen na úrovni celé organizace, ale též na úrovni ICT. Provázanost cílů směrem k řízení hodnoty je hlavní náplní vrcholového řízení (governance).
3. Jak postavit metodickou kostra systému řízení ICT? Kostka COBITu Cobit Cube Zdroj: ISACA, COBIT 4.1
3. Metodická kostra systému řízení postavená na architektuře Architekturou rozumíme fundamentální organizaci systému ztělesněnou prvky systému, jejich vzájemnými vazbami vč. vazeb na okolí a principy vedoucími k návrhu a postupnému rozvoji systému. [ISO/IEC 4210] [TOGAF] vedoucími INTEGRITU návrhu a postupného rozvoje systému. [Hujňák] Integritou rozumíme konzistenci (nerozpornost) a kompatibilitu (schopnost fungovat dohromady) očekávání, hodnot, zásad, principů, měřítek, metod, procesů / činností, technologií, produktů a řešení. Architekturou rozumíme množinu vytčených zásad a principů užívaných k dosažení integrity dílčích návrhů / řešení přes více vzájemně souvisejících oblastí zájmu. Architektura ovlivňuje individuální řešení vyžadováním společných zásad a principů, poukazováním na vazby k jiným systémům a požadováním zavedení těchto principů a vazeb. [Hujňák] Architektonickým managementem se zavádí návrhové zásady a principy za hranicemi řešení jedné oblasti či jednoho projektu a architektura má tak integritní účinek na řešení všech začleněných oblastí zájmu. Hlavním motivem architektonického managementu je uřízení integrity komplexního systému. Pomáháme si množinou integritních principů.
3. Metodická kostra systému řízení ICT 5 principů metodického rámce COBIT 5 Architektonickým principem rozumíme kvantitativní vyjádření záměru, kterému má být vyhověno v architektuře. [TOGAF] Architektonické principy vyžaduje aplikovat do systému řízení ICT nový metodický rámec COBIT 5 od ISACA.
3. Metodická kostra systému řízení ICT Aby bylo možné zachytit systémové vlastnosti v jejich komplexitě, je výstavba moderních systémů pro řízení ICT postavena na architektonické kostře umožňující pracovat s integritními principy formujícími přípustné chování systému.
4. Jak zajistit integritu detailů s celkem? Vyjádření detailů pomocí pohledů na systém Zainteresované strany představují zájmy pozorovatelů systému dané zpravidla jejich odpovědnostmi. Typické zájmy zahrnují funkcionalitu, integrovanost, modifikovatelnost, výkonnost, bezpečnost a spolehlivost nebo třeba také náklady, termíny či kvalitu systému. Architektonickým pohledem (architectural view) rozumíme reprezentaci systému z perspektivy identifikované množiny architektonických zájmů. Obsah architektonického pohledu je znázorněn v architektonickém modelu. [ISO/IEC 4210] Architektonickým hlediskem (architectural viewpoint) rozumíme konvenci pro vytvoření, interpretaci a užití architektonického pohledu a k němu vytvořenému architektonickému modelu. [ISO/IEC 4210]
4. Vyjádření detailů pomocí pohledů na systém Integrated framework Cobit 5 Product Family Source: ISACA, COBIT 5 Design Paper, Exposure Draft COBIT 5 jako de facto standard pro IT Governance pracuje z hlediska úhlu pohledu s pěti základními doménami architektonického zájmu : cíle, umožnění, kritéria, organizace, odpovědnost.
4. Vyjádření detailů pomocí pohledů na systém Pro vyjádření detailů systému řízení ICT slouží v moderních systémech pohledy (views) vedené z určitého hlediska preferovaného danou zájmovou skupinou. Tento přístup známý ze softwarového inženýrství umožňuje lepší komunikaci napříč zájmovými skupinami při zachování integrity celku. Základním znakem provádění IT Governance je architektonická integrace aktiv. Pro zájemce doporučuji nezávislou studii Architektura komplexních systémů, architektonická aktiva & integrační management (30 stran), ke stažení je na www.perpartes.cz.
5. Implementace systému řízení ICT Holistic systems thinking Systems thinking is now a widely recognized term that refers to the examinaton of how systems interact, how complex systems work and why the whole is more than the sum of its parts. L. von Bertalanfy : General System Theory, 1976 System is an organized collecton of parts that are highly integrated to accomplish an overall goal. The essence of systems theory is that a system needs to be viewed holistcally - not merely as a sum of its parts - to be accurately understood. A holistc approach examines the system as a complete functoning unit. Another tenet of systems theory is that one part of the system enables understanding of other parts of the system.
5. Implementace systému řízení ICT 37 x
5. Implementace systému řízení ICT
5. Implementace systému řízení ICT Chceme-li být úspěšní s implementací systému řízení ICT, je v moderním myšlení nezbytné zařadit mezi umožňující faktory vedle procesů i další faktory, které vyplývají z potřeby řízení nehmotných aktiv a tyto faktory řídit holisticky jako jeden provázaný systém. Základním znakem řízení hodnot v rámci IT Governance je je řízení cesty od požadavků zainteresovaných stran až ke konkrétním cílům na aktiva. Pro zájemce doporučuji prezentaci Hodnocení přínosů IT pro business, ke stažení jse na www.perpartes.cz (volně v sekci publikace/prezentace a články)
Nové metodické myšlení - závěr IT Management je prováděn z úrovně výkonného vedení (executive) a představuje např. v COBITu 5 řízení skupiny 32 procesů seskupených do čtyř procesních domén zaměřených na management. IT Governance je prováděn z pozice vůdcovství (leadership) vrcholových řídících struktur společnosti (zpravidla představenstva) a představuje v COBITu řízení skupiny 5 procesů začleněných do jedné vrcholové domény. Governance of Enterprise IT (GEIT) je prováděn obdobně a stejnými procesy jako ITG, ale je kladen důraz na integrované vrcholové řízení celé organizace, při kterém se k informatice přistupuje z hlediska řízení úplně stejně, jako k jiným organizačním částem.
Petr Hujňák CGEIT, CRISC, CSPM petr.hujnak@perpartes.cz