PETER VOGLAR
FAKULTETA ZA INFORMACIJSKE ŠTUDIJE V NOVEM MESTU MAGISTRSKA NALOGA ŠTUDIJSKEGA PROGRAMA DRUGE STOPNJE PETER VOGLAR Digitally signed by PETER VOGLAR DN: c=SI, o=POSTA, ou=POSTArCA, ou=personal, serialNumber=173444, cn=PETER VOGLAR Date: 2014.09.25 17:13:36 +02'00' PETER VOGLAR FAKULTETA ZA INFORMACIJSKE ŠTUDIJE V NOVEM MESTU MAGISTRSKA NALOGA OBVLADOVANJE IN VREDNOTENJE INFORMACIJSKIH TEHNOLOGIJ V ORGANIZACIJI Z OKVIRJEM COBIT Mentorica: izr. prof. dr. Nadja Damij Novo mesto,september 2014 Peter Voglar IZJAVA O AVTORSTVU Podpisani _Peter Voglar_______ , študent FIŠ Novo mesto, izjavljam: da sem magistrsko nalogo pripravljal samostojno na podlagi virov, ki so navedeni v magistrski nalogi, da dovoljujem objavo magistrske naloge v polnem tekstu, v prostem dostopu, na spletni strani FIŠ oz. v elektronski knjiţnici FIŠ, da je magistrska naloga, ki sem jo oddal v elektronski obliki identična tiskani verziji, da je magistrska naloga lektorirana. V Novem mestu, dne _________________ Podpis avtorja ________________________ POVZETEK Obvladovanje informacijskih tehnologij (v nadaljevanju IT) v organizaciji predstavlja odgovornost in zavezanost vodstva k sprejemanju odločitev za optimizacijo in nadzor rabe IT virov skozi načrtovanje, nadzor, implementacijo in vrednotenje, z namenom dosega zastavljenih ciljev in to s pomočjo določenih mehanizmov. Celovito obvladovanje IT zagotavlja, da IT predstavlja dodano vrednost organizacije, s čim niţjim tveganjem. Za razumevanje raziskave smo predstavili teoretično ozadje COBIT - ovega celovitega okvirja obvladovanja IT, ki vsebuje domene strateške uskladitve, ustvarjanja vrednosti, upravljanje tveganj, upravljanja virov in merjenje procesov. Na podlagi ocenjenih potreb organizacije smo izbrali osemnajst COBIT-ovih procesov, ki smo jih ocenili po zrelostnem modelu, na podlagi intervjujev. Za vsak proces smo izdelali grafični zrelostni model, ki kaţe trenutno stanje organizacije, povprečje v panogi in cilj organizacije (pomembnost procesa). KLJUČNE BESEDE:obvladovanje IT, okvir COBIT, strateško načrtovanje, upravljanje virov, ustvarjanje vrednosti, upravljanje tveganj, merjenje procesov, arhitektura organizacije ABSTRACT IT Governance is the authority and decision making structure of organization leaders, to optimize and control the use of IT resources from planning, implementation, monitoring and evaluation to reach organization's objective, by using certain mechanisms. Good IT governance ensures that IT is delivering the desired value for the organization while minimizing the inhered risk of IT. For purpose of research, we presented theoretical starting point of COBIT's framework for IT governance, which integrates domain's of business alignment, value delivery, risk management, resource management and performance measurement. On valuation principle of organizational requirements, we choose eighteen COBIT's processes, which were graded by maturity model, based on interviews. For every graded process, we draw maturity model, which contains organizational current status, public sector average, and organizational target (depending process importance). KEY WORDS: IT governance, COBIT framework, strategic alignment, resource management, value delivery, risk management, performance measurement, organizational architecture KAZALO 1. 2. UVOD................................................................................................................................. 1 1.1 Opis problema .............................................................................................................. 1 1.2 Cilj raziskave ............................................................................................................... 3 1.3 Hipoteze/raziskovalna vprašanja ................................................................................. 3 1.4 Pričakovani rezultat ..................................................................................................... 3 1.5 Struktura magistrske naloge ......................................................................................... 4 CELOVITO OBVLADOVANJE IT .................................................................................. 5 2.1 Arhitektura organizacije .............................................................................................. 7 2.2 Obvladovanje in upravljanje IT ................................................................................. 10 2.3 Poslovna–IT usmeritev .............................................................................................. 17 2.3.1 Definicija skupne poslovne–IT usmeritve ........................................................... 18 2.3.2 Model skupne poslovne usmeritve ...................................................................... 18 2.3.3 Zmanjšanje prepada med poslovno–IT usmeritvijo ........................................... 19 2.4 Ustvarjanje vrednosti ................................................................................................. 21 2.5 Upravljanje tveganj .................................................................................................... 25 2.6 Upravljanje virov ....................................................................................................... 31 2.6.1 Aplikacijski sistemi ............................................................................................. 33 2.6.2 Informacijski viri ................................................................................................ 33 2.6.3 Upravljanje zaposlenih ....................................................................................... 36 2.7 2.7.1 Implementacija ................................................................................................... 40 2.7.2 Merjenja v IT ...................................................................................................... 43 2.8 3. Implementacija in merjenje obvladovanja IT ............................................................ 39 Zrelost upravljanja IT ................................................................................................ 45 OKVIR COBIT 4.1 .......................................................................................................... 48 3.1 Izhodišča raziskave .................................................................................................... 51 3.2 4. Splošen COBIT-ov okvir ........................................................................................... 54 3.2.1 Postopek izvajanja COBIT–ovega okvirja ......................................................... 57 3.2.2 Izdelava zrelostnega modela .............................................................................. 59 REZULTATI RAZISKAVE............................................................................................. 61 4.1 Načrtujte in organizirajte (PO)................................................................................... 61 4.1.1 Opredelite strateški načrt za IT (PO1) ............................................................... 61 4.1.2 Določite tehnološke usmeritve (PO3) ................................................................. 63 4.1.3 Opredelite procese, organizacijo in razmerja IT (PO4) .................................... 64 4.1.4 Upravljajte človeške vire v sektorju IT (PO7) .................................................... 66 4.1.5 Upravljajte kakovost (PO8) ................................................................................ 67 4.1.6 Ocenjujte in obvladujte tveganja IT (PO9) ........................................................ 68 4.2 Kupite in vpeljite (AI) ................................................................................................ 70 4.2.1 Kupite in vzdržujte aplikacijske programe (AI2)................................................ 70 4.2.2 Kupite in vzdržujte tehnološko infrastrukturo (AI3) ........................................... 71 4.2.3 Omogočite delovanje in uporabo (AI4) .............................................................. 72 4.3 Izvajajte in podpirajte (DS)........................................................................................ 74 4.3.1 Opredelite in upravljajte ravni storitev (DS1) ................................................... 74 4.3.2 Upravljajte storitve tretje stranke (DS2) ............................................................ 75 4.3.3 Upravljajte delovanje in zmogljivost (DS3) ....................................................... 76 4.3.4 Zagotovite varnost sistemov (DS5) ..................................................................... 77 4.3.5 Upravljajte podatke (DS11)................................................................................ 79 4.3.6 Upravljajte fizično okolje (DS12) ....................................................................... 80 4.4 Spremljajte in vrednotite (ME) .................................................................................. 81 4.4.1 Spremljajte in vrednotite delovanje IT (ME1) .................................................... 82 4.4.2 Zagotovite skladnost z zunanjimi zahtevami (ME3) ........................................... 83 4.4.3 Zagotovite upravljanje IT (ME4) ........................................................................ 84 4.5 Analiza raziskave ....................................................................................................... 85 5. ZAKLJUČEK ................................................................................................................... 88 6. LITERATURA IN VIRI................................................................................................... 91 PRILOGA KAZALO SLIK Slika 2.1: Učinkovitost upravljanja arhitekture organizacije ..................................................... 9 Slika 2.2: Upravljanje IT proti obvladovanju IT ...................................................................... 11 Slika 2.3: Zdruţeno vodenje in ključna področja ..................................................................... 13 Slika 2.4:Prednosti obvladovanja IT ........................................................................................ 15 Slika 2.5: Strateški model skupne usmeritve ............................................................................ 19 Slika 2.6: Sinergija upravljanja vrednosti................................................................................. 23 Slika 2.7: Pregled upravljanja tveganj ...................................................................................... 26 Slika 2.8: Cilji upravljanja tveganj ........................................................................................... 28 Slika 2.9: Upravljanje virov za uresničitev ciljev IT ................................................................ 32 Slika 2.10: Upravljanje informacij ........................................................................................... 35 Slika 2.11: Kriteriji informacij za implementacijo sprememb ................................................. 35 Slika 2.12: Proces merjenja obvladovanja IT ........................................................................... 40 Slika 2.13: Sedem faz ţivljenjskega cikla implementacije....................................................... 43 Slika 2.14: Stopnje rasti do organizacijske zrelosti .................................................................. 47 Slika 2.15: Tri dimenzije zrelosti ............................................................................................. 48 Slika 3.1: COBIT 4.1 – pristop od zgoraj navzdol ................................................................... 49 Slika 3.2: Osnovno načelo COBIT-a ........................................................................................ 49 Slika 3.3: COBIT – Dejavnosti in naloge ................................................................................. 51 Slika 3.4: Povezave COBIT domen .......................................................................................... 52 Slika 3.5: Nadzorni model ........................................................................................................ 54 Slika 3.6: COBIT-ova kocka .................................................................................................... 55 Slika 3.7: Splošen COBIT-ov okvir ......................................................................................... 56 Slika 3.8: Navigacija po COBIT-ovem okvirju ........................................................................ 58 Slika 3.9: Grafična predstavitev zrelostnega modela ............................................................... 59 Slika 4.1: Zrelostni model procesa Opredelite strateški načrt za IT ......................................... 63 Slika 4.2: Zrelostni model procesa Določite tehnološko usmeritev ......................................... 64 Slika 4.3: Zrelostni model procesa Opredeli procese, organizacijo in razmerja IT ................. 66 Slika 4.4: Zrelostni model procesa Upravljajte človeške vire v sektorju IT ............................ 67 Slika 4.5: Zrelostni model procesa Upravljajte kakovost ......................................................... 68 Slika 4.6: Zrelostni model procesa Ocenjujte in obvladujte tveganja IT ................................. 70 Slika 4.7: Zrelostni model procesa Kupite in vzdrţujte aplikacijske programe ....................... 71 Slika 4.8: Zrelostni model procesa Kupite in vzdrţujte tehnološko infrastrukturo .................. 72 Slika 4.9: Zrelostni model procesa Omogočite delovanje in uporabo ...................................... 74 Slika 4.10: Zrelostni model procesa Opredelite in upravljajte ravni storitev ........................... 75 Slika 4.11: Zrelostni model procesa Upravljajte storitve tretje stranke ................................... 76 Slika 4.12: Zrelostni model procesa Upravljajte delovanje in zmogljivost .............................. 77 Slika 4.13: Zrelostni model procesa Zagotovite varnost sistemov ........................................... 79 Slika 4.14: Zrelostni model procesa Upravljajte podatke......................................................... 80 Slika 4.15: Zrelostni model procesa Upravljajte fizično okolje ............................................... 81 Slika 4.16: Zrelostni model procesa Spremljajte in vrednotite delovanje IT ........................... 83 Slika 4.17: Zrelostni model procesa Zagotovite skladnost z zunanjimi zahtevami.................. 84 Slika 4.18: Zrelostni model procesa Zagotovite upravljanje IT ............................................... 85 Slika 4.19: Potek procesne zrelosti ........................................................................................... 87 Slika 4.20: Zrelostni razkorak glede na proces ........................................................................ 88 KAZALO TABEL Tabela 2.1: Osem področij učinkovitega obvladovanja IT......................................................... 5 Tabela 2.2: Metode za zmanjšanje prepada med IT in poslovno strategijo v organizaciji....... 20 Tabela 2.3: Upravljanje IT – obvladovanje tveganj ................................................................. 27 Tabela 2.4: Vpliv IT virov na spremembe upravljanja ............................................................. 32 Tabela 2.5: Klasifikacija IT sposobnosti, znanja in spretnosti ................................................. 38 Tabela 2.6: Priporočena področja merjenja .............................................................................. 45 Tabela 3.1: Splošni zrelostni model ......................................................................................... 60 Tabela 4.1: Rezultati procesa Opredelite strateški načrt za IT ................................................. 62 Tabela 4.2: Rezultati procesa Določite tehnološko usmeritev ................................................. 63 Tabela 4.3: Rezultati procesa Opredeli procese, organizacijo in razmerja IT .......................... 65 Tabela 4.4: Rezultati procesa Upravljajte človeške vire v sektorju IT ..................................... 66 Tabela 4.5: Rezultati procesa Upravljajte kakovost ................................................................. 68 Tabela 4.6: Rezultati procesa Ocenjujte in obvladujte tveganja IT .......................................... 69 Tabela 4.7: Rezultati procesa Kupite in vzdrţujte aplikacijske programe ............................... 71 Tabela 4.8: Rezultati procesa Kupite in vzdrţujte tehnološko infrastrukturo .......................... 72 Tabela 4.9: Rezultati procesa Omogočite delovanje in uporabo .............................................. 73 Tabela 4.10: Rezultati procesa Opredelite in upravljajte ravni storitev ................................... 75 Tabela 4.11: Rezultati procesa Upravljajte storitve tretje stranke ............................................ 76 Tabela 4.12: Rezultati procesa Upravljajte delovanje in zmogljivost ...................................... 77 Tabela 4.13: Rezultati procesa Zagotovite varnost sistemov ................................................... 78 Tabela 4.14: Rezultati procesa Upravljajte podatke ................................................................. 80 Tabela 4.15: Rezultati procesa Upravljajte fizično okolje ....................................................... 81 Tabela 4.16: Rezultati procesa Spremljajte in vrednotite delovanje IT ................................... 82 Tabela 4.17: Rezultati procesa Zagotovite skladnost z zunanjimi zahtevami .......................... 83 Tabela 4.18: Rezultati procesa Zagotovite upravljanje IT ....................................................... 85 Tabela 4.19: Rezultati nadzora procesov .................................................................................. 86 1. UVOD Obvladovanje IT postaja vedno bolj pomembnopodročje vsake organizacije ali podjetja za uspešno poslovanje oziroma dosego poslovnih ciljev. Obvladovanje IT potrebuje sinergijo sodelovanja tako poslovnega kot IT področja, ki pa jo organizacije teţko doseţejo. Ker organizacije običajno ne vedo kako se lotiti problema, ţelimo v nalogi na praktičnih primerih predstaviti primere merjenja ključnih procesov, ki so osnova in usmeritev celovitega obvladovanja IT. 1.1 Opis problema Poloţaj informatike v organizaciji je pomemben pokazatelj usmerjenosti in organiziranosti poslovnega okolja, ki ga lahko primerjamo s celotno učinkovitostjo in uspešnostjo organizacije. Ker je pozitivno poslovanje ţelja vsake organizacije, je za uspešnost poslovanja treba slediti tehnološkemu napredku. Tako lahko s sinergijo poslovnih in delovnih procesov, v primernem okolju in s primernimi orodji doseţemo visoko dodano vrednost opravljenim storitvam (Cerovšek 2012, str. 195). Informacijske tehnologije (IT) so za številne organizacije ključnega pomena in jih s pridom izkoriščajo za povečevanje svoje vrednosti. »Konkurenčno prednost lastništva tehnologije je zamenjala pravilna in pravočasna uporaba informacijske tehnologije« (Damij 2010, str. 5). Pri tem pa pri obvladovanju ne smemo pozabiti tveganj povezanih z informacijsko tehnologijo, kot so čedalje zahtevnejša zakonodaja in kritične odvisnosti mnogih poslovnih procesov od informacijskih tehnologij. V okviru obvladovanja IT so potrebe po jamstvu vrednosti IT, upravljanju tveganj, ter vse večje zahteve za nadzor informacij, razumljene kot ključni element pri obvladovanju organizacije. Glavni gradniki jedra obvladovanja so vrednost, tveganja in nadzor obvladovanja IT. »Številne raziskave so pokazale, da je pomanjkanje preglednosti stroškov, vrednosti in tveganja v zvezi z IT, ena najpomembnejših spodbud za obvladovanje IT« (IT Governance Institut 2007, str. 6). Poleg tega IT zdruţuje in institucionalizira dobre prakse za zagotovitev, da IT organizacija podpira poslovne cilje. Obvladovanje IT omogoča organizacijam, da v celoti izkoristijo prednosti svojih informacij, s čimer povečajo koristi, spremenijo priloţnosti v kapital in pridobijo konkurenčno prednost (IT Governance Institut 2007, str. 5). 1 Na drugi strani so naloge organizacij izpolnjevanje zahtev glede kakovosti, upravljanja in varnosti svojih informacij in vseh ostalih sredstev. Skrbeti je treba tudi za stalno optimizacijo razpoloţljivih virov, vključno z aplikacijami, informacijami, infrastrukturo in ljudmi. Da bi organizacija dosegla svoje cilje in opravila dolţnosti, mora vodstvo razumeti okvir arhitekture organizacije za IT ter se opredeliti, kakšno upravljanje in nadzor sta potrebna. Z razvojem informacijskih tehnologij, se povečuje tudi število organizacij in podjetij, ki znatno povečujejo deleţ sredstev namenjenih v implementacijo in razvoj informacijskih sistemov (v nadaljevanju IS) in informacijskih tehnologij, z namenom doseganja konkurenčne prednosti. Mnogi strokovnjaki upravičujejo investicije v IS/IT z vpeljavo organizacijskih sprememb ter s tem povezane prednosti in koristi za različna podjetja in organizacije (Zhu in drugi, 2004). Te prednosti se nanašajo na boljše izvajanje procesov, zmanjšanje stroškov, boljše poslovanje, zmanjšanje človeških napak, itd. (Deveraj in Kohli 2003). V organizaciji (javni zavod), ki opravlja storitveno dejavnost, se vodstvo zaveda problematike, ki nastaja zaradi nepovezanosti med poslovnimi potrebami, zahtevami ministrstva, ki mu organizacija pripada, in delovanjem IT v odnosu z zunanjimi izvajalci. Ločenost sluţbe za informatiko od poslovnih usmeritev organizacije se nakazuje v tem, da vodstvo ne pozna sistema njihovega delovanja niti dobro ne pozna projekte, ki jih financira. Večinoma se odločitve sprejemajo na podlagi trenutnih poslovnih ali tehnoloških potreb brez predhodnih strokovnih analiz. Zato so ti projekti po navadi preplačani, z uporabniškega vidika pomanjkljivi ali celo neuporabni, predvsem zaradi dodatnih obremenitev, ki jih lahko neustrezen informacijski sistem prinese. Vendar se vsa problematika ne navezuje zgolj na sluţbo za informatiko, saj se poslovne odločitve glede informacijskih tehnologij večkrat odvijajo brez navzočnosti IT, kar ima za posledico nepovezanost podatkovnih baz in razdrobljenost informacijskih sistemov. Obstaja še veliko neidentificiranih anomalij tako na relaciji vodstvo – IT kot pri integraciji in obvladovanju IT. Zato je vodilo raziskave ovrednotiti notranji sistem delovanja oziroma pripraviti celovit okvir pomembnejših procesov, s katerimi bi identificirali probleme na relaciji vodstvo – IT (vzpostaviti povezavo s poslovnimi zahtevami), zaznali zrelostno stopnjo obvladovanja IT, identificirali pomembnejše IT vire ter preverili izvajanje vodstvenih nadzorov in njihovo obravnavo. 2 1.2 Cilj raziskave V okviru raziskave vrednotenje obvladovanja IT smo si zadali naslednje cilje. 1.3 Raziskati, ali ima organizacija in v kakšni obliki celovit okvir obvladovanja IT. Ugotoviti, ali je in v kolikšni meri IT usklajena s poslovanjem. Raziskati, ali trenutno stanje IT podpira poslovanje in omogoča dobičke. Raziskati, ali se sredstva in viri IT uporabljajo odgovorno. Preveriti, ali se tveganja IT upravljajo ustrezno. Zaznati večje razkorake obvladovanja IT na posameznih področjih. Hipoteze/raziskovalna vprašanja Za potrebe raziskave smo postavili dve hipotezi. 1. Vodstvo potrebuje kontrolne cilje, ki opredeljujejo končen cilj vpeljave politik, načrtov in postopkov ter organizacijske strukture, saj s tem: uresničimo poslovne cilje zagotovimo takšen nadzor IT, da ta ustvari informacije, ki jih organizacija potrebuje obvladujemo tveganja in vire IT preprečimo ali odkrijemo in odpravimo nezaţelene dogodke uspešno vrednotimo IT investicije 2. Skupna poslovnaIT usmeritev je učinkovit mehanizem, ki omogoča skupnemu timu odkrivati nove poslovne priloţnosti, izboljševati procese, sprejemati boljše informacijsko podprte odločitve in zmanjševati obratovalne stroške. 1.4 Pričakovani rezultat Glede na to, da bomo raziskovali in vrednotili obvladovanje delovanja IT v organizaciji, pričakujemo s pomočjo nadzornih mehanizmov zaznati trenutno stanje IT sektorja. Na podlagi rezultatov raziskave bomo lahko podrobneje analizirali posamezne IT procese v smislu odkrivanja pomanjkljivosti, nevarnosti in kritičnih točk sistema. S pomočjo referenčnih ocen posameznih področij bomo s primerjalno analizo naredili zrelostni model, s katerim bomo pridobili oceno ravni obvladovanja posameznega IT procesa v organizaciji in 3 oceno zrelostnega razkoraka v primerjavi z mednarodnimi merili (CIO Executive Board 2008, str. 61) za isto panogo. Raziskava bo podala osnoven izbor procesov, ki so večjega pomena za organizacijo in jih je treba obvladovati. Podani bosta tudi ocena trenutnega stanja v IT in podlaga, iz katere bo moč v prihodnje načrtno obvladovati IT. 1.5 Struktura magistrske naloge Magistrska naloga bo obravnavala tematiko celovitega obvladovanja IT v organizaciji, zato bomo v uvodu predstavili problematiko, s katero se sooča obravnavana organizacija pri obvladovanju IT. Drugo poglavje je namenjeno teoretični predstavitvi osnovnih gradnikov celovitega obvladovanja IT. Da lahko govorimo o obvladovanju IT, bomo predstavili pomembnost organizacijske arhitekture, razlike med upravljanjem in obvladovanjem IT ter idejo o skupni poslovni-IT usmeritvi. Predstavili bomo tudi pet osnovnih usmeritev, ki jih mora IT izpolniti za dosego poslovnih ciljev, in sicer: ustvarjanje vrednosti, upravljanje tveganj, upravljanje virov, implementacija in merjenje obvladovanja IT ter zrelost upravljanja IT s pomočjo zrelostnih modelov. V tretjem poglavju bomo predstavili izhodišča in strukturo celovitega COBIT-ovega okvirja. Predstavili bomo postopek vrednotenja procesov znotraj štirih domen, ki opisuje kako moramo nadzorovati, upravljati in meriti vsak proces posebej ter kako na podlagi izmerjenih rezultatov izdelamo zrelostni model. Četrto poglavje bo obravnavalo rezultate raziskave. Iz štirih domen COBIT-ovega okvirja celovitega obvladovanja IT bomo ocenili osemnajst procesov, ki so za obravnavano organizacijo ključnega pomena. Na podlagi rezultatov bomo za vsak proces posebej izdelali zrelostne modele obvladovanja IT in podali komentar trenutnega stanja procesa. Izmerjen proces in njegov zrelostni model bosta predstavljala izhodiščno točko za analizo in nadaljnje izboljševanje izbranega procesa. 4 2. CELOVITO OBVLADOVANJE IT Organizacije morajo v zdajšnjem obdobju teţkih gospodarskih razmer in vse večje konkurence pozorno spremljati dogajanje na svetovnih trgih in predvsem čim bolj uspešno izvajati ustrezno zastavljene načrtovane poslovne načrte. Novi poslovni informacijski sistemi so lahko eden od ključnih dejavnikov in hkrati izziv vsaki organizaciji, saj lahko močno vplivajo na izboljšanje procesa načrtovanja, s tem pa tudi na izboljšanje celovitega poslovanja organizacije v prihodnosti. Vloga informatike je tako kot na vseh drugih poslovnih področjih ključna tudi v procesu načrtovanja, saj lahko organizacijam v tem procesu prinese številne izboljšave in prednosti (Babnik in Groznik 2010, str. 168). Vsaka oblika obvladovanja in upravljanja, pa naj bo korporativna, finančna ali IT, je vedno neposredno povezana s poslovno-ekonomskimi učinki. Zaradi poslovne vrednosti IT, visokih tehnoloških stroškov in teţav v poskusni fazi je IT tipičen subjekt v organizaciji, ki ga je treba obvladovati. Bolj kot obvladovanje IT je pomembno njeno ustvarjanje vrednosti. To se zagotovi s celovitim obvladovanjem procesov in usmeritev, ki so vključeni in sprejeti v celotni organizaciji. To pomeni, da je uspešno obvladovanje IT odvisno od organizacijskih usmeritev, ki jim skupaj merimo finančne in posredne učinke na poslovanje (Bloem in drugi 2006, str. 3). Obvladovanje IT se mora usmeriti na zagotavljanje preglednosti in nadzora skozi vsa ključna področja obvladovanja IT. Tabela 2.1 prikazuje tipične prednosti in koristi, ki jih ima obvladovanje IT na poslovanje skozi različna industrijska področja. Tabela 2.1: Osem področij učinkovitega obvladovanja IT Področja obvladovanja IT 1. Strateško obvladovanje IT: uskladitev IT investicij s poslovnimi potrebami, skupaj s spremljanjem, nadzorom in izboljšanjem poslovnega/IT sodelovanja Tipične prednosti in koristi Strateška poslovna/IT usmeritev: od 10% do 15% izboljšav ima osnovo na zavedanju dodane vrednosti IT Dodana vrednost: izboljšanje celovite vrednosti IT se kaţe skozi boljše upravljanje IT investicij 2. Arhitektura obvladovanja: vpeljava Upravljanje delovanja in virov: od 15% do 20% se standardizacije na področja poveča stopnja izkoriščenosti arhitekture upravljanja aplikacij in tehnologij ter Upravljanje tveganj: od 5% do 10% se zmanjšajo vpeljava arhitekturnih rešitev za vso 5 tehnologijo in referenčne arhitekture 3. Obvladovanje projektov: stopenjsko obvladovanje projektov poveča operativno učinkovitost ter omogoča identifikacijo in zmanjšanje tveganj na projektih 4. Obvladovanje ţivljenjskega cikla aplikacij: nadzor ključnih delov aplikacij 5. Obvladovanj infrastrukture in podatkov: optimizacija stroškov tehnologij in vzpostavitev nadzorov na informacijskih in organizacijskih področjih 6. Prodaja in upravljanje virov: z ustreznim zagotavljanjem prodaje ustvarjamo dodano (poslovno) vrednost in zmanjšamo tveganja,povezana z zmanjšano prodajo 7. Obvladovanje ţivljenjskega cikla delovanja: minimiziramo oziroma preprečimo neavtorizirane spremembe v produkcijskem okolju 8. Obvladovanje novodobnih tehnologij: izboljšanje delovanja z vpeljavo novih tehnologij in zmanjšanje tveganj v povezavi z njimi tveganja pri uporabi arhitekturnih komponent Strateška poslovna/IT usmeritev: od 10% do 15% izboljšav ima osnovo na celovitem upravljanju projektov Upravljanje delovanja in virov: - od 10% do 15% izboljšav na projektih je posledica rednih nadzorov - od 15% do 20% izboljšav temelji na ustrezni finančni podpori projekta Upravljanje delovanja in virov: od 10% do 15% se prihrani pri rednem vzdrţevanju in optimizaciji upravljanja aplikacij Upravljanje delovanja in virov: zmanjšanje vseh infrastrukturnih stroškov in stroškov, povezanih z varnostjo podatkov, s pomočjo izboljšanih nadzorov. Upravljanje tveganj: od 5% do 10% manj tveganj pri upravljanju standardiziranih infrastrukturnih komponent Upravljanje delovanja: izboljšanje prodaje skozi boljše merjenje, sledenje in teţnje po izboljšanju ponudbe Upravljanje virov: od 20% do 25% zmanjšanje časa in dela prodajalca oziroma izvajalca storitev Upravljanje tveganj: od 10% do 20% zmanjšanje tveganj s prodajo oziroma storitvami Upravljanje delovanja: od 20% do 35% zmanjšanje neavtoriziranih sprememb v produkcijskem okolju Upravljanje delovanja in virov: od 20% do 25% izboljšanje operativne učinkovitosti Vir: Cognizant (2013, str. 3) 6 2.1 Arhitektura organizacije Za arhitekturo organizacij obstaja več definicij, ki jih avtorji imenujejo tudi IT, informacijska ali organizacijska arhitektura. Omenimo le nekatere. Vodilni globalni standard za arhitekturo podjetij (angl. The Open Group's Architectural Framework, TOGAF) definira arhitekturo kot arhitekturo dveh pomenov, ki je odvisna od kontekstualne uporabe, in sicer: - je formalen opis ali podroben načrt sistema, ki kot element usmeritve izvaja implementacijo; - je struktura komponent, njihovih povezav in načel. Je usmeritev upravljanja razvoja in evolucije arhitekture skozi čas. V francoski mednarodni korporaciji, ki nudi IT svetovanja in storitve (Capgemini, 2007) definirajo arhitekturo kot skupek postopkov, pravil, standardov in usmeritev, s katerimi izraţamo in vizualiziramo koncept vizije in implementacije z vsebovano mešanico postopkov, tehnik in načel. Kot zadnjo definicijo arhitekture skupina Gartner navaja, da je arhitektura organizacije proces pretvorbe vizije in poslovne strategije v učinkovite poslovne spremembe z ustvarjanjem izboljšav na ključnih aktivnostih in modelih, ki predstavljajo usmerjenost organizacije v prihodnosti in omogočajo njeno evolucijo. Čeprav se definicije med sabo nekoliko razlikujejo, vseeno vse govorijo o neki strukturi in odnosih med postopki upravljanja, ki nudijo usmeritev in podporo vodenju in odločanju. »Arhitektura organizacije je orientirana na oblikovanje in upravljanje načel, ki razvijejo postopke, usmeritve in modele za prihodnost organizacije. Obstajajo tri pomembnejše perspektive za vlogo organizacijske arhitekture« (Op 't Land in drugi 2009, str. 34): zakonsko usmerjena perspektiva se kaţe kot perspektiva upravljanja razvoja organizacije. Ta perspektiva se orientira na načela, ki potrebujejo pravila, usmeritve in standarde, ki usmerjajo organizacijo v razvoj v smeri uspeha; razvojno usmerjena perspektiva poudarja jasno in povezovalno usmerjeno organizacijo z visoko stopnjo razvojne usmerjenosti. Ta perspektiva temelji na razvojnih odločitvah in na vseh ključnih strukturah; 7 modelno usmerjena perspektiva je osredotočena na razvojne modele. Predstavlja vez med zakonsko in razvojno perspektivo. Ko upravljamo zakonsko perspektivo skozi razvojne aktivnosti, lahko razvijemo prilagojene modele upravljanja organizacijske arhitekture. Z dobro organizacijsko arhitekturo lahko hitro identificiramo odvisnosti subjektov. Organizacijska arhitektura nam da specifičen pogled na usklajenost organizacijskih komponent na različnih ravneh, ki imajo opravka s procesi, informacijami in IT-jem. Arhitektura organizacije je osnovana vsaj na štirih ključnih arhitekturah (Bloem in drugi 2006, str. 101): poslovna arhitektura vključuje poslovne dejavnosti, strategijo, poslovne komponente, organizacijsko strukturo, poslovno procesno shemo, poslovne funkcije, itd.; informacijska arhitektura (imenovana tudi podatkovna arhitektura) odkriva, kdo potrebuje kakšno informacijo in kako je informacija dostopna; aplikacijska arhitektura (imenovana tudi funkcionalna arhitektura) vključuje aplikacije, ki so nujne za izvajanje poslovnih dejavnosti, in informacije, ki jih organizacija potrebuje. Vključuje tudi vpogled v poslovna področja in poslovne storitve, ki jih je mogoče podpreti z aplikacijami; IT arhitektura prikazuje, kako so IT storitve pomembne za poslovanje in dokumentiranje programske, strojne in mreţne opreme. Organizacije so obsojene na spremembe. Te vplivajo na vsa področja v organizaciji, od izdelkov in storitev, skupnih sredstev, partnerstva, dobavitelje in stranke. Čeprav naj bi spremembe krepile konkurenčno prednost, imajo spremembe nemalokrat veliko negativnih stranskih učinkov. Kljub investiranju in organizacijskim spremembam včasih ni pozitivnih učinkov, saj lahko spremembe pripeljejo do nenadzorovane arhitekturne kompleksnosti. Ahlemann in drugi (2012, str. 6) navajajo naslednje primere. Izguba transparentnosti. S povečanjem kompleksnosti menedţerji lahko izgubijo pregled nad organizacijo, kar lahko vpliva na odločanje. Treba je vloţiti več truda v pridobivanje informacij o trenutni situaciji in postopkih uvajanja sprememb. Kompleksnost povečuje stroške. Kompleksna struktura je draţja za upravljanje kot enostavna. Na primer, različne tehnologije se uporabljajo v različnih enotah. Te 8 tehnologije so draţje za upravljanje, nadgradnjo in poznejšo integracijo. To se še posebej pogosto kaţe v organizacijah, ki imajo dislocirane enote. Povečano tveganje. Visoko kompleksna organizacijska arhitektura (veliko število arhitekturnih komponent, različni vmesniki, poslovna pravila in postopki) lahko poveča operativna tveganja in onemogoča učinkovito celovito upravljanje kritičnih poslovnih in IT tveganj. Nezmoţnost uvajanja skupne strateške usmeritve v organizaciji. Bolj kot je organizacija kompleksna, teţe je izvesti strateške spremembe delovanja. V najslabšem primeru se mora organizacija zaradi kompleksnosti odpovedati spremembam in s tem tudi razvoju. Teţave pri reševanju poslovnih problemov. Kompleksne organizacije dušijo razvoj strokovnjakov. Namesto da bi se ukvarjali z zagotavljanjem razvoja in sledenju konkurenci, se ukvarjajo s tem, kako reševati lastne probleme, ki so posledica kompleksnosti. Tovrstne organizacije običajno stagnirajo ali celo tonejo v propad. Slika 2.1: Učinkovitost upravljanja arhitekture organizacije Učinkovito upravljanje virov Transparentnost v arhitekturi organizacije Obvladovanje stroškov Ustvarjanje sinergije Upravljanje arhitekture v organizaciji Dokumentiranje Upravljanje arhitekture vizije v arhitekture organizaciji Upravljanje Podpora arhitekture poslovni v organizaciji strategiji Boljša skupna usmeritev Hitrejše strateške spremembe Arhitekturni postopki in standardi Zmanjšanje kompleksnosti Vir: Ahlemann in drugi (2012, str. 10) 9 Boljše poslovanje Kot vidimo iz Slike 2.1, nam celovito upravljanje arhitekture organizacije pomaga izboljšati (Ahlemann in drugi 2012, str. 10): transparentnost arhitekture. Transparentnost arhitekture doseţemo z dokumentiranjem glavnih komponent organizacije in njihovih odnosov. Arhitektura v organizaciji je pogosto sestavljena iz informacij o varnosti, stroških, prednostih in tveganjih. S pomočjo teh podatkov arhitektura organizacije ustvari koristno bazo informacij za upravljanje organizacije. Transparentnost pa sluţi za laţjo identifikacijo sinergij, učinkovitost virov, podpira sprejemanje odločitev, implementacijo strategije in operativno delovanje; dokumentiranje arhitekturne vizije organizacije. S pomočjo transparentnega vpogleda v organizacijo se deleţniki laţe odločajo o razvoju delov ali celotne organizacije. Dokumentirana arhitektura omogoča deleţnikom skupen pogled in boljšo skupno usmeritev pri odločanju na različnih področjih in na različnih ravneh (boljša skupna uskladitev informacijskih sistemov s poslovnimi zahtevami, izboljšani poslovni učinki itd.). Oziroma, šibkejša ko je skupna usmeritev, več je ročnega dela, več sistemov je potrebnih za eno nalogo, kakovost podatkov je slaba in poslovni učinki so posledično skromnejši. To seveda drţi ob predpostavki, da je tehnologija na ustrezni ravni (topologija omreţja, aplikacijska oprema itd.) in da gledamo na arhitekturo zgolj iz organizacijskega vidika; arhitekturne postopke in usmeritve. Za razvoj moramo imeti jasno definirane postopke in usmeritve. Avtorji navajajo modularnost kot zelo močen koncept urejenosti arhitekture. Modularnost definira standardne postopke, poveča strateško fleksibilnost, saj lahko module po potrebi kombiniramo v nov poslovni model ali nove poslovne procese. 2.2 Obvladovanje in upravljanje IT Information Security Audit and Control Association (ISACA) je globalna organizacija, ustanovljena v začetku 60. let minulega stoletja. V sodelovanju z mednarodnimi strokovnjaki (vključuje jih prek 70 000) definira obvladovanje IT kot skupek odgovornosti in dobrih praks vodstva in izvršnih direktorjev, ki s strateško usmeritvijo zagotovijo izvedbo ciljev z obvladovanjem tveganj in racionalno rabo sredstev. 10 Symons (2005, str. 3) definira obvladovanje IT kot proces, v katerem se izvajajo odločitve o investiranju v IT. Kako nastanejo odločitve, kdo jih sprejema, kdo je pristojen in kako so rezultati odločitev merjeni in nadzorovani, je vse del obvladovanja IT. Na ţalost je v številnih organizacijah proces obvladovanja stvar formalnih, ad hoc odločitev. Po navadi ni konsistentnega delovanja znotraj organizacije oziroma je odgovornost na nizki ravni, če je sploh prisotna. Posledično tudi formalni mehanizmi za merjenje in nadzor delovanja ne delujejo. Ker obstaja veliko razlag in definicij obvladovanja IT, naj omenimo, da sta izraz »obvladovanje IT« v časopisu IBM Systems Journal prvič uporabila Henderson in Venkatraman (1999) kot izbiro in uporabo mehanizmov za pridobivanje in razvijanje kompetenc. V istem časopisu so Luftman in drugi (1993) definirali »obvladovanje IT« kot razširjeno upravljanje s tehnologijami z moţnostjo tehnološko-poslovnega sodelovanja. Brown in Magill (1994) sta definirala obvladovanje IT kot koncept, ki opisuje območje odgovornosti. Sodobnejša definicija obvladovanja IT (ISACA, 2007) govori o odgovornosti izvršnih direktorjev in uprave ter zajema vodenje, organizacijske sisteme in procese, ki zagotavljajo, da IT organizacije vzdrţujejo in nadgrajujejo poslovne strategije in cilje. Slika 2.2: Upravljanje IT proti obvladovanju IT Poslovna usmeritev Zunanja Notranja Obvladovanje IT Upravljanje IT Čas Danes Prihodnost Vir: Peterson v Van Grembergen (2004, str. 22) Če povzamemo in poskušamo definicije obvladovanja IT poenostaviti, lahko v grobem rečemo, da gre za povezavo med IT cilji in cilji poslovanja. Podobna problematika se pojavlja 11 pri določitvi jasne meje med upravljanjem IT (angl. IT Management) in obvladovanjem (angl. IT Governance). Peterson v Van Grembergen (2004, str. 21) pravi (glej Sliko 2.2), da je »IT Management« omejen na notranjo učinkovito podporo IT storitvam in izdelkom ter upravljanju tekočih IT dejavnosti. Termin »IT Governance« je zastavljen bistveno širše in zajema delovanje in transformacijo IT za podporo zdajšnjim in prihodnjim poslovnim zahtevam (notranja podpora) ter podporo upravljanja s kupci (zunanja podpora). To seveda ne more pomeniti, da zanikamo pomembnost in kompleksnost upravljanja IT. Sicer lahko določene segmente upravljanja IT (storitev) prenesemo na zunanje izvajalce, vendar pa morata vodenje in nadzor IT ostati v organizaciji. Analitiki se strinjajo, da vrhnjemu menedţmentu predstavlja največje tveganje in skrb, neuspešno vključevanje IT za dosego poslovnih potreb in s tem neuspešno ustvarjanje dodane vrednosti poslovanju. Od kar ima IT tako dramatičen vpliv na poslovne rezultate in konkurenčnost, lahko ima neuspešno obvladovanje IT negativen vpliv na delovanje podjetja v celoti. Skupno upravljanje se je pokazalo kot zelo uspešno. Ugotovili so, da ima IT ključno vlogo pri izvajanju in izboljševanju skupnih praks obvladovanja, saj so ključni poslovni procesi informatizirani. Zato so izvršni direktorji pri svojih odločitvah odvisni od informacij, pridobljenih iz informacijskih sistemov. Z rastjo povezanosti med organizacijo, dobavitelji in strankami ter usmerjenostjo v to, kako IT predstavlja dodatno vrednost v poslovni strategiji ter potrebi po upravljanju IT virov in preprečevanju IT napak in okvar, lahko pričakujemo odlične poslovne rezultate (National Computer Center 2005, str. 4). Čas je, da informatika sporoči in jasno pove podjetju, katera so področja njenega delovanja, zaradi katerih je podjetje uspešnejše in učinkovitejše. Informatika je v tem kontekstu najprej dolţna podjetju jasno predstaviti svoje poslanstvo, potem pa ga je dolţna tudi opraviti in ovrednotiti. To je zahtevna in zelo ambiciozna naloga, ki jo laţe sprejme in opravi sposobna, motivirana informatika, ki se bolj kot s tehnologijo ukvarja s poslovanjem podjetja (Cerovšek 2012, str. 196). Weill in Ross (2004, str. 5–7) predlagata okvir skupnega sodelovanja in upravljanja IT. Na vrhu okvirja (glej Sliko 2.3) so opisane relacije odbora. Izvršni odbor kot predstavnik odbora zdruţuje strategije in izvršuje naloge odbora. »Ţeleno stanje vključuje prepričanje in kulturo organizacije ne samo skozi strategijo, ampak vključuje tudi skupne poslovne postopke, skupno upravljanje vrednosti, običajev in struktur« (Weill in Aral v Weill in Ross 2004, str. 6). 12 Slika 2.3: Zdruţeno vodenje in ključna področja Vir: MIT Sloan School Center for Information Systems Research v Weill in Ross (2004, str. 5) Spodnja polovica (glej Sliko 2.3) identificira šest ključnih področij, skozi katera organizacija izvaja svojo strategijo in ustvarja poslovno vrednost. Izvršni odbor ustvari mehanizme za vodenje in uporabo teh področij neodvisno in skupno. Ključna področja zajemajo: kadre (zaposleni, spretnosti, kariere, izobraţevanja, poročanja, nadzor, kompetence, itd.) finance (denar, investicije, pasivo, tok denarja itd.) fizična sredstva (stavbe, oprema, vzdrţevanje, varovanje itd.) intelektualno lastnino (izdelki, storitve, patentirani procesi, sistemi, zaščitene pravice itd.) informacije in IT sredstva (digitalni podatki, informacije, podatki o strankah, delovanje procesov, informacijski sistemi itd.) relacije (relacije v organizaciji, ugled pri strankah, dobavitelji, poslovne enote, konkurenca itd. 13 Vodenje ključnih področij vključuje številne organizacijske mehanizme (strukture, procese, postopke itd.). Nekateri mehanizmi so specifični za posamezna področja (npr. odbor za IT arhitekturo), medtem ko ostala področja s prepletanjem in integracijo ustvarjajo sinergijo med področji. Upravljanje teh šestih področij se v organizacijah zelo razlikuje. Večina organizacij še kar uspešno upravlja finančno in fizično področje, medtem ko je upravljanje informacij še vedno na zelo nizki ravni. Za organizacije, ki uporabljajo vsa področja enako, je značilno, da poslujejo bolje. Na primer, če izvršni odbor upravlja finančno in IT področje skupaj, lahko organizacija doseţe boljšo integracijo in ustvari dodano vrednost (Weill in Ross 2004, str. 9). Med glavne elemente obvladovanja IT, Hutton (2012) in ISACA v National Computer Center (2005, str. 6) navajata: strateško usmeritev: izvedba strateške usmeritve IT in poslovno/IT sodelovanje v odnosu do projektov in storitev; upravljanje tveganja: zagotoviti ustreznost procesov z vidika upravljanja tveganja, vključno z oceno tveganja investicij v IT; ustvarjanje vrednosti: naloga (IT/poslovne) organizacije je zagotoviti najvišji moţni poslovni učinek IT. Učinek se nadzira in oceni se dobiček na investicijo (angl. return on investment, ROI); upravljanje, optimizacija virov: izvesti strokovno usmerjeno uporabo IT virov. Pregledati stopnjo IT-ja v podjetju. Zagotoviti ustrezne IT zmogljivosti in infrastrukturo za podporo zdajšnjih in novih poslovnih zahtev; implementacija in vrednotenje upravljanja: preveri strateško sodelovanje oziroma dosego IT ciljev. Preverjaj rezultate IT delovanja in prispevek IT k poslovanju. Za izboljšanje in razvoj obvladovanja IT potrebujemo določena investicijska sredstva. Zato je potrebno za pridobitev sredstev narediti natančno oceno potencialnih koristi v poslovanju. Pričakovane koristi tako sluţijo kot kriterij uspeha investicije, ki ga je moţno meriti. Pozitivne učinke celovitega obvladovanja nakazuje Stroud (2005, str. 11) na petih področjih. Kot prikazuje Slika 2.4, se povečujejo kakovost storitev in učinki skupnega sodelovanja, hkrati pa zniţamo stroške storitev, jih hitreje izvedemo in kar je najpomembneje, da z uvedbo notranjih nadzorov, zmanjšamo tveganja na minimum. 14 Podpora poslovanju Slika 2.4:Prednosti obvladovanja IT Skupna usmeritev IT tveganja Kvaliteta storitev čas Bolje Kontrola varnosti čas čas Čas izvedbe Stroški storitev Vrednost deležnikov Ceneje čas Hitreje čas Vir: Stroud (2005, str.11) National Computer Center (2005, str. 6–7) navaja naslednje koristi pri poslovanju v primeru dobrega obvladovanja IT. Transparentnost in odgovornost. Izboljša se transparentnost IT stroškov, procesov, projektov in storitev. Odgovornosti in vloge so jasno določene. ROI/Vrednost deleţnikov. Izboljša razumevanje vseh IT stroškov in predstavlja osnovo za ROI. Vzpostavi ravnoteţje med rezanjem stroškov in investicijami. Deleţniki imajo vpogled na IT tveganja glede na ROI. Izboljšana zunanja podoba podjetja. Priloţnosti in poslovna sodelovanja. Z vpeljanimi postopki identificiramo priloţnosti, ki jih drugače ne bi zaznali. S sprejetjem IT-ja kot partnerja (na ta način vemo, kakšen partner je IT) in s tem delitvijo tveganja s poslovnim partnerjem doseţemo konsistenten pristop upravljanja tveganja. Omogočimo udeleţbo IT-ja v poslovni strategiji (kar se odraţa v IT strategiji) in obratno. Izboljšamo odzivnost na priloţnosti in spremembe na trgu. Izboljšanje delovanja.Jasna identifikacija IT delovanja (ali gre za običajno podporo poslovanju ali za projektno podporo s poznejšo dodatno vrednostjo). S povečano transparentnostjo izboljšamo postopke delovanja in ustvarimo okolje za nadaljevanje rasti. Z orientacijo na izboljšanje poslovanja nam je omogočeno doseganje najboljših praks. Izogibati se moramo stroškom, ki niso povezani s cilji. Zunanja skladnost. Vzpostaviti integriran pristop do zakonsko predpisanih zahtev. 15 Kot navaja ISACA (2009a, str. 8), je celovito obvladovanje IT odvisno od številnih pogojev, kot so: sposobnosti spremembe upravljanja, komunikacije, pravilnega pristopa in identifikacije dosegljivih ciljev. Kot rezultat uspešne implementacije ISACA (2011, str. 8) navaja dva pozitivna vidika. Na eni strani kratkoročne koristi v smislu zniţanja stroškov in na drugi strani dolgoročni učinki v smislu boljšega upravljanja IT, zmanjšujemo tveganja. Obvladovanje IT sluţbe v organizaciji je danes soočeno z mnogimi izzivi in teţavami, kot so (Kadre 2011, str. 40): veliki in ločeni informacijski sistemi – aplikacije so relativno izolirane med sabo, veliko število aplikacij na različnih platformah z različnimi tehnologijami zajema različne poslovne informacijske sisteme in »doma« razvite informacijske rešitve, manjkata pomembna oprema in dokumentacija, togi in neprilagodljivi IS, ki teţko sledijo ciljem in izboljšavam v organizacij, veliko zunanjih izvajalcev zahteva veliko nadzora, s tem pa so povezani stroški, veliko aplikacijskega znanja je pri zunanjih izvajalcih, ki vzdrţujejo sisteme, visoki stroški vzdrţevanja starih aplikacij segajo do 80 % celega IT proračuna. Čeprav bomo pri obvladovanju in implementaciji IT v naši raziskavi osredotočeni na okvir COBIT 4.1, Bentley in William (2010, str. 51) navajata, da obstaja veliko drugih okvirjev obvladovanja IT. Nekateri pomembnejši izmed teh so: AS 8015-2005 (www.saiglobal.com) je avstralski standard za obvladovanje informacijske in komunikacijske tehnologije; ISO/IEC 27001 (www.iso.org) je skupek organizacijskih najboljših praks za implementacijo in vzdrţevanje varovanja informacij. Običajno ISO 27001 organizacije uporabljajo skupaj s standardom ISO 27002; ISO/IEC 38500:2008 (www.iso.org) je še en okvir za učinkovito obvladovanje IT. Namenjen je vodilnim v organizaciji, da laţe razumejo in opravljajo svoje naloge skladno z zakoni, usmeritvami in etičnimi zavezami. ISO/IEC 38500 je primeren za mala in velika podjetja, profitne in neprofitne organizacije ter ostale pravne subjekte. Je vodič postopkov za učinkovito, veljavno in sprejemljivo rabo IT znotraj organizacije; Information Security Management Maturity Model (ISM3; www.ism3.com) je ISM procesni zrelostni model upravljanja varnosti; 16 IT Infrastructure Library (ITIL; www.itil-officialsite.com) je podroben okvir, kako upravljati IT; 2.3 Val IT (www.itgi.org) je organizacijski okvir upravljanja IT investicij. Poslovna–IT usmeritev V literaturi je uporabljeno veliko različnih izrazov za pojasnjevanje odnosov na relaciji poslovanja in delovanja IT. V nalogi bomo osredotočeni na izraz skupne poslovno-IT usmeritve (angl. Business-IT Alignment, BITA), medtem ko v literaturah zasledimo še pojme, kot so strateška usmeritev (angl. Strategic Alignment), IT usmeritev (angl. Information Technology Alignment), strateška skladnost (angl. Strategic Fit), poslovna-IT skladnost (angl. Business IT Fit) itd. Kljub velikim investicijam v informacijske tehnologije veliko podjetij ni uspelo izvesti izboljšav v delovanju organizacije. Številne raziskave kaţejo, da je teţava v pomanjkanju sodelovanja med poslovno in IT strategijo (Henderson in Sifonis, 1988; Henderson in Venkatraman, 1999). Pomembnost skupne usmeritve za izboljšanje delovanja organizacije so potrdili tudi IT strokovnjaki in vodstva organizacij, pri katerih je zadnja desetletja razvoj skupne usmeritve glavna prednostna naloga (Luftman in drugi, 2005). Te rezultate praktične učinkovitosti skupne usmeritve so v zadnjih letih podprle številne raziskave in študije primerov (Chan in drugi, 1997; Irani, 2002; Kearns in Lederer, 2003). Rezultati kaţejo na pozitivno povezavo med skupno poslovno-IT usmeritvijo in poslovanjem organizacije. Najbolje poslujejo organizacije, ki najučinkoviteje prilagajajo poslovanje svoji IT strategiji (Chan in drugi, 2006). Kljub temu nekateri strokovnjaki pravijo, da v teh raziskavah niso bili zajeti bistvo in ostali pomembni elementi skupne usmeritve. Tudi če se v nekaterih primerih kaţejo pozitivni učinki usmeritve, skupna usmeritev sama po sebi ne prinaša pozitivnih poslovnih učinkov. Na primer tam, kjer je poslovna-IT usmeritev breme oziroma neţeleno stanje, vključno z nejasno poslovno strategijo. V teh primerih ni jasno, ali organizacije investirajo v IT in ali jim potencialne koristi sploh predstavljajo izziv. Kljub argumentom, ki govorijo proti nujnosti skupne usmeritve, ima veliko IT strokovnjakov in menedţerjev skupne usmeritve za eno najpomembnejših dejavnosti v organizaciji (Luftman in drugi, 2005; 2009). 17 2.3.1 Definicija skupne poslovne–IT usmeritve Eno prvih definicij skupne poslovne usmeritve sta podala Henderson in Venkatraman. Definirala sta jo kot stopnjo zdravih in integriranih štirih področij: poslovne strategije, IT strategije, poslovne infrastrukture in IT infrastrukture (Henderson in Venkatraman, 1999). Reich in Benbasat sta oblikovala skupno usmeritev kot misijo, cilje in načrte v poslovni strategiji, deljene in podprte z IT strategijo (Reich in Benbasat, 1996). V svojih zapiskih Luftman in Brier (1999) argumentirata skupno usmeritev v primernem in časovno ustreznem upravljanju IT, v harmoniji s poslovno strategijo, cilji in potrebami. Leto pozneje isti avtor v svojem članku dopolni svojo definicijo, ki poleg tega, da je IT v harmoniji s poslovanjem, mora tudi s poslovne strani obstajati harmonija z IT (Luftman, 2000), kar nakazuje na enakopravnost poslovne in IT strategije. Na vprašanje, kaj je skupna usmeritev v kontekstu teh definicij, Curtin (1999, str. 3) navaja, da je to trajni proces, v katerem skupen tim odlično sodeluje pri izvajanju nalog in: prepoznava, na katerih področjih je organizacija močna in kje šibka (in zakaj), razvije akcijski načrt upravljanja vplivnih področij ter razvije in upravlja ključna področja skupne usmeritve in njihovih notranjih povezav. 2.3.2 Model skupne poslovne usmeritve Eden največkrat omenjenih modelov skupne poslovne usmeritve, je model Hendersona in Venkatramana. Njun model je sestavljen (glej Sliko 2.5) iz štirih osnovnih področij. To so : poslovna strategija, IT strategija, organizacijska infrastruktura in procesi IT (Henderson in Venkatraman, 1999). Model poskuša integrirati poslovno in IT področje, s povezavami zunanje perspektive in notranjega fokusa na IT. Zgornji integraciji temeljita na strateški (zunanji) integraciji poslovne in IT strategije. Spodnja integracija je interno usmerjenater povezuje organizacijsko infrastrukturo in procese z IT infrastrukturo in procesi. 18 Slika 2.5: Strateški model skupne usmeritve Zunanji pogled POSLOVNA POSLOVNASTRATEGIJA STRATEGIJA Tehnološko področje Poslovno področje Poslovne kompetence Poslovno upravljanje Strateška usmeritev Notranji pogled ITITSTRATEGIJA STRATEGIJA Avtomatska Sistemske kompetence povezava Poslovno infrastruktura Procesi IT upravljanje Arhitektura Spretnosti ORGANIZACIJSKA INFRASTRUKTURA ORGANIZACIJSKA INFRASTRUKTURA IN PROCESI IN PROCESI Procesi Spretnosti IT INFRASTRUKTURA IT INFRASTRUKTURA IN PROCESI IN PROCESI Poslovanje Informacijske tehnologije Vir: Henderson in Venkatraman v Mikalef (2010, str. 33) 2.3.3 Zmanjšanje prepada med poslovno–IT usmeritvijo Ratnham in drugi (2005, str. 4) so s pomočjo raziskav (intervjujev z odgovornimi v podjetjih) prišli do naslednjih predlogov za zmanjšanje prepada med poslovno in IT strategijo. Močna poslovna potreba za strateško sodelovanje. Potrebuje se vplivni poslovni vodja (direktor), ki je pripravljen prisluhniti novim idejam. Potrebna je vodilna osebnost z jasno vizijo. Dojetje vodilnih, da je IT ključen partner za izvedbo poslovne strategije. Visoko usposobljene strokovnjake s poslovnega in IT področja je treba vključiti v snovanje skupne poslovne-IT usmeritve. Potrebujeta se pogum in zaveza vseh udeleţencev za delovanje v korist organizacije. 19 Za zmanjšanje prepada sta potrebna jasna vizija in splošno razumevanje, kaj je treba narediti s poslovnega vidika in kako to izvesti s pomočjo tehnologije (vzpostaviti vizijo in jo nato izvesti). Kot izboljšanje odnosa avtorji predlagajo še: izboljšanje procesa ustvarjanja strategije, izboljšati komunikacijo, ustvariti skupen izvršni tehnološki tim, razviti poslovno arhitekturo, bolje definirati poslovne zahteve in skupno izobraţevanje zaposlenih z obeh področij. Na podlagi raziskave v organizacijah, ki so jo izvedli Ratnham in drugi (2005, str. 6), so izdelali metodo (glej Tabelo 2.2) za minimiziranje prepada med poslovno in IT strategijo v organizaciji. Tabela 2.2: Metode za zmanjšanje prepada med IT in poslovno strategijo v organizaciji Strategija Izboljšati proces razvoja poslovne strategije. Povečati stopnjo sodelovanja med IT in poslovnim sektorjem. Definirati kdaj in kako vpeljati nove tehnologije. Zgraditi poslovno arhitekturo. Vključitev IT sluţbe v organizaciji v poslovne procese. Vključitev vodje IT v poslovni odbor. Taktika Vzpostaviti nevtralno skupino strokovnjakov, ki bo identificirala in predlagala predloge skupne usmeritve. Prioriteta IT pobud. Prioriteta vseh organizacijskih pobud. Skupna obravnava IT pobud. Izboljšati razvoj poslovnih procesov. Definirati procese za zagotovitev prenove procesov na podlagi IT pobud. Upravljanje pregledov (revizij) po implementaciji. Povečati odgovornost menedţerjev. Zagotoviti privolitev vodstva v sprejetje IT predlogov. Zagotovitev virov za izvedbo skupne usmeritve. Uporaba inovativnega in ponovljivega razvoja. Zagotoviti pobudam močno podporo IT vodstva. Komunikacije Izboljšati komunikacije poslovne strategije. Razviti razumljive tehnološke definicije. Izboljšati komuniciranje znotraj celotne organizacije. Vzpostaviti poslovni-IT odbor, za razpravljanje o mogočih rešitvah, novih tehnologijah, strategiji, itd.. Izobraževanje Ustvariti jasen in kompetenten okvir razumevanja delovanja IT. Izobraziti vodilne o potrebi po skupni poslovni-IT usmeritvi. Podati priloţnost zaposlenim v IT, da spoznajo delovanje proces poslovanja in obratno. Vir: Ratnham in drugi (2005, str. 6) 20 2.4 Ustvarjanje vrednosti Eden zelo pomembnih dejavnikov dobrega IT-ja, je razumevanje vodstva, da IT ni samemu sebi namen, ampak orodje za dosego poslovnih ciljev. Namen IT ni več zgolj implementacija tehnologij, temveč orodje za omogočanje organizacijskih sprememb in s tem pridobivanje dodatne vrednosti za podjetje. Enako strateško pomembna je zaveza vodstva po vzpostavitvi celovitega obvladovanja IT. Ključna naloga IT je zagotavljanje dodane vrednosti podjetja. Ta vključuje natančno izbiro investicije in ekonomsko spremljanje celotnega cikla, od začetka do konca. V BTM Institute (2007) so v raziskavi potrdili, da so podjetja, ki so uspela zdruţiti tehnološke in poslovne zahteve, dosegla večjo rast in boljše poslovne rezultate, od konkurence v panogi. V zadnjem obdobju so številne organizacije dokazale, da so sodobni informacijski sistemi lahko generator novih poslovnih priloţnosti, da lahko predstavljajo gonilno silo napredka organizacije in s tem pripomorejo k boljšemu poslovanju organizacije. Celoviti informacijski sistemi za načrtovanje v organizaciji pomenijo orodje, s katerim si organizacija lahko zagotovi konkurenčno prednost, predvsem pa pripomorejo k laţjemu doseganju izzivov, kot so (Gartner, 2009): izboljšanje poslovnih procesov, zmanjšanje poslovnih stroškov, povečanje učinkovitosti zaposlenih, pridobivanje novih strank, večja uporaba analitičnih orodij pri odločanju in ustvarjanje novih izdelkov ter priloţnosti. ISACA (2008b, str. 10) poudarja, da ustvarjenje vrednosti ni vedno lahko. Večina podjetjih se sooča vsaj z enim od šestih tipičnih izzivov. Problem pri zagotovitvi tehničnih zahtev. IT pogosto nima ali ne zmore zadostiti tehničnim pogojem za ustrezno podporo poslovnih dejavnosti in njihovih sprememb. Ta izziv je priloţnost izboljšanja IT in procesnega upravljanja v skladu z dobrimi praksami upravljanja vrednosti. Omejeno razumevanje ali nerazumevanje IT stroškov. Redko se zgodi, da IT vodstvu transparentno prikaţe izdatke o tekočem poslovanju, investicijah, opremi in ostalih 21 virov. Zato vodstva lahko le okvirno ocenjujejo potrebna vlaganja, kakšne koristi bodo glede na vloţek in kakšen poslovni učinek naj bi dosegli. Stroški po navadi izhajajo iz različnih virov, zato prihaja do podvojitve stroškov in konfliktov pri angaţiranju virov. Poslovna abdikcija sprejemanja IT odločitev. Ko so vloge, odgovornosti in dolţnosti IT in ostalih poslovnih funkcij nejasne, IT prevzame krmilo in odreja, katere IT dejavnosti bodo podpirale poslovne potrebe in kakšne naj bodo investicije v IT. S tem navidezno razbremenijo vodilne pri odgovornosti in zagovarjajo vsako odobreno IT dejavnost, kot racionalno in potrebno za delovanje podjetja. Komunikacijski prepad med vodstvom in IT. Skupno sodelovanje je ključno za ustvarjanje vrednosti. Kadar ni sodelovanja, trpi komunikacija, poveča se neučinkovitost in v delovnem okolju prevlada kultura obtoţevanja. V mnogih primerih je vloga IT zasledovanje poslovnih odločitev namesto inovativnosti. Zato je IT večkrat predmet neupravičenega investiranja. Kakšna je vrednost IT. Podjetja še naprej veliko vlagajo v tehnologije, zato odgovorne zanima proizvedena vrednost iz vloţka v investicijo. Običajno je pozornost usmerjena na upravljanje IT stroškov v smislu, razumeti, obvladovati in vplivati na vlogo IT v procesu ustvarjanja poslovne vrednosti. Ker investicije v IT vključujejo tudi organizacijske spremembe, bo ozko gledanje (stroški/vrednost) na rezultate, še naprej predmet neuspeha mnogih investicij. Velike napake investiranja – Ko IT projekt propade, nastanejo izjemno visoki stroški. Propad projekta lahko ključno vpliva na poslovanje. Škoda se šteje v milijonih evrih in zmanjšanje sredstev za obstoječi projekt lahko ogrozi ostale projekte. Najpogostejša neuspela projekta sta uvedba poslovnega informacijskega sistema (ERP) in sistema za upravljanje s strankami (CRM). Slika 2.6 nam prikaţe moţnost pogleda na upravljanje vrednosti z dveh strani. Na eni strani imamo pogled vodstva (strateško vprašanje in vprašanje upravljanja vrednosti) in na drugi strani IT pogled, ki pomaga vodstvu odgovoriti, ali IT dela učinkovito in na pravilen način. 22 Slika 2.6: Sinergija upravljanja vrednosti Vprašanje upravljanja vrednosti. Strateško vprašanje. Ali je upravljanje: Ali je investicija: ● Skladna z vizijo. ● Konsistentna s poslovnimi postopki. ● ● Ali izvajamo prave poteze? Ali ustvarjamo dodano vrednost? ● Jasno in skupno razumevanje pričakovanih koristi. ● Jasne odgovornosti za realizacijo dodane vrednosti. Podpira strateške cilje. Je dodana vrednost, za sprejemljive stroške in za sprejemljivo tveganje. ● ● Ali je realizacija: Ali je investicija: Skladna z arhitekturo. ● Konsistentna s arhitekturnimi postopki. ● Doprinese k razvoju arhitekture. ● V sodelovanju z ostalimi iniciativami. Učinkovita realizacija procesov skozi celoten cikel investicije. Vprašanje realizacije. Arhitekturno vprašanje. ● Relevantno merjenje učinkov. Ali stvari izvajamo na pravilen način? Ali je izvedba ustrezna? ● ● Učinkovito in dosledno upravljanje, prenos in spremembe upravljanja procesov. Zagotovitev kompetentnih in dosegljivih tehničnih in poslovnih storitev: - zahtevane kapacitete - Sposobnost vpliva na organizacijske spremembe Vir: ISACA (2008c, str. 14) Mnogo laţje je voditi veliko podjetje, v katerem zaposleni razumejo ţelene cilje. Idealno stanje ustvarjanja vrednosti z IT lahko okarakteriziramo kot (ISACA 2008b, str. 12): 1. Zavedanje in komunikacija Obstaja zaupanje v IT, saj izpolnjuje pričakovanja. Upravljanje vrednosti je razumljeno in organizacijsko sprejeto ter se opravlja na najvišjiravni. Vodstvo razume in sprejema dobre prakse upravljanja vrednosti. 2. Odgovornosti in obveznosti Zaposleni identificirajo priloţnosti, nadrejeni izberejo in nagradijo zasluţne ter pravočasno obravnavajo problematične. Odgovorni izvajajo investicije skladno z uravnoteţenostjo procesov. Vodje se vključujejo v procese na osnovi dejanskega stanja in ne na osnovi notranjih politik. Vsako investicijo odobri za to strokovno usposobljeno osebje. Dobro so definirane odgovornosti investitorjev za vsako investicijo. 23 Sodelovanje, podprto z javnimi vlogami, odgovornostmi in procesi, omogoča preprečitev organizacijskih tveganj. Organizacijska tveganja zmanjšamo z jasnim definiranjem, kakšne so poslovne potrebe in kako jih izvedemo. Vodstvo, podprto z IT, določa ključne investicijske kriterije, čas povrnitve investicije in odobri individualne investicije. 3. Določitev in merjenje ciljev Stalen nadzor usklajenosti investicije s strategijo. Vrnitev investicijskih sredstev je stabilnejši in laţe predvidljiv. Vsi IT stroški v okviru poslovne strategije so internega značaja. Vloga IT pri ustvarjanju vrednosti in IT stroški niso stvar izvršnega vodstva, saj je vse transparentno, predvidljivo, skratka obvladljivo. Z merjenjem se občutno poveča odstotek uspešnih investicij v smislu realizacije in ustvarjanja vrednosti. Z revizijo investicijskih programov in projektov merimo učinek realizacije, strateškega sodelovanja, stroškov in tveganj. Informacije upravljanja in napovedi so konsistentne, relevantne, točne, pravočasne in dostopne. Vzpostavljeni so ključni pogoji za vzpostavitev zrelostne stopnje upravljanja procesov in dobrih praks. 4. Politike, standardi in postopki Investicijsko procesno investiranje se začne z razmislekom o ciljih za poslovno korist. Upravljanje vrednosti postane del dnevnih opravil. Sodelovanje med poslovnimi koristmi in potrebami virov je vzpostavljeno in uspešno vodeno. Jasna meja mora biti med investicijskimi stroški in tekočimi operativnimi stroški. Tako bolje spremljamo ves njihov ekonomski oziroma investicijski cikel. Investicije so kategorizirane med obvezne in tiste, ki so na voljo. Izbira investicij temelji na objektivnih kriterijih, ki so merljivi, preverljivi in ponovljivi. Zgodovina sprememb investicijskih programov se obnavlja in dopolnjuje, odvisno od potreb podjetja. 24 Obstaja formalen proces opustitve investicije, kadar so koristi doseţene oziroma ni več moţnosti za napredek. 5. Spretnosti in prakse Kakovostni programi in projektno vodeni procesi so osnova dobrih praks ustvarjanja vrednosti. Skupek poslovnih praks in različnih struktur, je v uporabi skozi različne investicijske strukture, vključno s tistimi, ki nimajo osnove na tehnologiji. 6. Orodja V podjetju se uporabljajo standardna orodja za ocenjevanje investicij, odkrivanje posebnosti in identifikacijo pozitivnih trendov, kot tudi za vrednotenje in spremljanje učinkovitosti investicij. 2.5 Upravljanje tveganj Vodstva, analitiki, poznavalci tveganj in ostali se vse bolj zavedajo potrebe za bolj učinkovito, od zgoraj navzdol, upravljanje tveganj. Zato menijo, da mora upravljanje tveganj postati integralen del poslovanja in to ne samo občasno, temveč mora v času globalnih ekonomij sprotno spremljati dogajanja in se na njih odzivati. Skozi takšen pristop je mogoče tveganja ustrezno opredeliti, meriti, predvsem pa spremljati učinkovitost upravljanj tveganj (IBM, 2012). Filozofija tveganja ima pogosto osnovo na verjetnosti pričakovanih dogodkov v določenem časovnem obdobju. Ta tveganja so seveda še vedno prisotna, vendar pa se veliko manj zavedamo »tihih« tveganj, ki imajo osnovo na odločitvah in imajo lahko enak negativni učinek (Brown in Yarberry 2009, str. 24). Slika 2.7 prikazuje postopek upravljanja tveganj, ki se začne z določitvijo področij, ki so za organizacijo pomembna, do določitve postopkov identifikacije tveganj in sprejetja strategij za njihovo obvladovanje. Za uspešnost upravljanja tveganj, moramo redno nadzorovati tveganja ter temu prilagajati strategijo in postopke. 25 Slika 2.7: Pregled upravljanja tveganj 2. Identifikacija in analiza tveganj 1. Področje tveganj • Identifikacija faktorjev tveganja • Prioritete faktorjev tveganja • Profili tveganj • Identifikacija faktorjev tveganja • Ublažitev identificiranega tveganja • Upoštevanje finančnih faktorjev 4. Nadzor tveganj 3. Razvoj strategij upravljanja tveganj • Analiza dogodkov • Razvoj strategije upravljanja tveganj • Implementacija strategije Vir: Moeller (2013, str. 42) Westerman in Turner (2004) menita, da tveganje nima usmerjeno na področja transakcij, denarja in dogodkov, ampak izključno na strateške cilje podjetja. V ta namen sta identificirala štiri ključne poslovne zahteve, ki jih mora izpolniti IT za uspešnost podjetja: uporabnost; sistem mora biti pripravljen in v delovanju. Odprava okvar mora biti hitra in skladna s poslovnimi zahtevami; dostopnost; sistem mora biti dovolj zaščiten pred izgubo podatkov, vendar vseeno dovolj fleksibilen pri njihovi uporabi; natančnost; informacija mora biti pravočasna, celotna in pravilna, ko je predstavljena notranjim in zunanjim uporabnikom.; fleksibilnost; zmoţnost spreminjanja IT sistema za poslovne potrebe s sprejemljivo hitrostjo in razumnimi stroški. Litten (2011, str. 8) loči tveganja na dveh ravneh. Na eni ravni so tveganja v okviru servisiranja in upravljanja procesov, na drugi ravni pa obravnava tveganja, ki so del obvladovanja IT. Sicer je tveganja uvrstil v tri kategorije: operativno tveganja: opredelitev tveganja na relaciji organizacija–dobavitelji v smislu obvladovanja informacij; tehnološko tveganje; tehnološke spremembe lahko negativno vplivajo na ostale procese. Če so tehnološke spremembe načrtovane, lahko izboljšamo storitve; storitveno tveganje; storitve je treba prilagajati poslovnim potrebam. Zato je raven tveganja odvisen od zrelosti servisnih storitev, zanesljivosti dobaviteljev, sposobnosti integracije in sposobnosti upravljanja informacij. 26 Kot nas opozarjajo Herman in drugi (2012), upravljanje tveganj nikakor ni rutina. Različnost tveganj je prej pravilo kot izjema. Zato Van Dijk in drugi (2011) predlagajo uravnoteţeno »razumno previdnost« glede upravljanja tveganj. Če smo pri upravljanju tveganja preveč rigorozni, lahko to privede do zaviranja inovativnosti in kreativnosti zaposlenih, in če smo pri ukrepih preohlapni, smo lahko deleţni neprijetnih presenečenj. Z namenom dobrih praks obvladovanja IT mora imeti organizacija učinkovit program obravnave in upravljanja splošnih tveganj, pomembnih tveganj in specifičnih tveganj, ki nastanejo med obratovanjem. Tabela 2.3 predstavlja nekatere rešitve tveganj in predstavi ustrezne strategije za upravljanje teh tveganj. Tabela 2.3: Upravljanje IT – obvladovanje tveganj Organizacijske zahteve upravljanja tveganja Strategija odziva na tveganje Razumevanje organizacijskih tveganj Ko se soočimo s potencialnim tveganjem, je naloga organizacije oceniti stopnjo tveganja. Ko bo organizacija sposobna prepoznati in sprejeti tveganja za dosego ciljev, lahko govorimo o organizaciji, ki obvladuje tveganja. Razumevanje tveganja in sprejetje posledic Organizacija se sooča z mnogimi tveganji, zato mora biti popolnoma jasno, katera tveganja sprejmemo, oziroma prevzamemo odgovornost za njih. Vzpostavitev tima za upravljanje tveganj Za identifikacijo tveganj bi moral biti vzpostavljen organizacijski tim. Naloga tima je sprejemanje ustreznih ukrepov za obvladovanje tveganj. Sprejetje ostalih tveganj Pod ostala tveganja štejemo tveganja, ki so posledica človeškega dejavnika. Na primer, avtor dokumenta spregleda nekatere finančne rezultate, kar privede do napačne ocene stanja. Menedţment lahko spregleda napako in potrdi poročilo. Razumevanje nadzorov obravnave tveganj Organizacija mora sprejeti stroške in potencialne zaplete pri identifikaciji tveganj. Razumeti stroške odpravljanja tveganj Organizacija se sooča z mnogimi tveganji, zato mora predvideti sredstva za odpravo nastalih tveganj. Sprejetje posledic preohlapne strategije Organizacija mora definirati in sprejeti strategijo za primere, ko se tveganje pojavi. Razumevanje procesa upravljanja tveganj Kaj storiti, če se tveganje pojavi? Organizacija mora razviti nadzorne mehanizme za preprečitev in odpravo tveganj, in sicer na osnovi preverjenih dobrih praks. Vir: Moeller (2013, str. 31) 27 Upravitelji so še posebej zaskrbljeni glede operativnih in sistemskih tveganj, ki so močno vpeta v tehnološka tveganja in sistemske rešitve. ISACA v Romero (2011, str. 37) predlaga vodstvu upravljanje tveganj v podjetjih na naslednje načine. Zagotoviti transparentnost glede posameznih tveganj v podjetju in razjasnitev politike sprejemanja oziroma izogibanja tveganja. Zavedati se, da je največja odgovornost upravljanja tveganja na vodstvu, zato je treba podrejenim posredovati informacije jasno razumljive in nedvoumne. Z uspešnim notranjim nadzorom upravljanja tveganja lahko izboljšamo tudi stroškovno učinkovitost. Upoštevajoč transparentno in proaktivno upravljanje tveganja lahko prinese konkurenčno prednost. Z vztrajanjem vključitve upravljanja tveganja v dejavnosti podjetja lahko tveganja hitro zaznamo in z ustreznim pristopom tudi hitro odpravimo (kakšno je tveganje, kdaj, kje in kako je nastalo). Glede na tip tveganja in vpliva na poslovanje se vodstvo in upravitelji tveganja odločijo za (Romero 2011, str. 37): zmanjšanje tveganj (implementacija vzvodov za zmanjšanje tveganj), prenos tveganj (delitev tveganj s partnerji oziroma prenos tveganja na zavarovalnico), sprejetje tveganj (sprejmemo, da tveganje obstaja in ga nadziramo). Slika 2.8: Cilji upravljanja tveganj Vsa tveganja povezana s stroški Optimalno Stroški Stroški škod Stroški kontrol Stopnja kontrole Vir: Brotby (2009, str. 76) 28 Brotby (2009, str. 75) navaja, da so za upravljanje tveganj odgovorni vsi zaposleni, glede na vlogo v podjetju. Pri tem je treba za dosego ciljev razmisliti, če je moţno spremeniti kulturo v podjetju, če je to potrebno. Cilji (glej Sliko 2.8) morajo biti realni, če jih ţelimo doseči. Pri uvajanju ukrepov upravljanja tveganja na različnih ravneh je pričakovati določeno stopnjo odpora pri zaposlenih, kar predstavlja poseben izziv. Zato je še kako potrebna podpora uprave podjetja. Kot menita Kiely in Benzel (2006), je na varnost treba pogledati širše, saj v globalnem svetu ni več dovolj védenje, zakaj obstajamo in kaj je razlog uspeha, temveč kako bomo obvarovali naš obstoj. Varnost informacij lahko enačimo s standardno definicijo varnosti, ki vsebuje (Brotby 2009, str. 6): zaupnost: informacija je dostopna samo pooblaščenim osebam, popolnost: informacija ni predmet nepooblaščenega spreminjanja. dostopnost: informacija mora biti dostopna tistim, ki jo potrebujejo in kadar koli jo potrebujejo, neodvisnost in nedvoumnost: za elektronsko poslovanje mora biti informacija neodvisna in nedvoumna. Informacija kot del znanja je ključna za delovanje organizacije in lahko predstavlja pomemben del njene vrednosti. »Mnoge organizacije lahko preţivijo izgubo ljudi, zmogljivosti in opreme, vendar le redke lahko preţivijo z izgubo ključnih notranjih informacij, znanja o delovnih procesih in postopkih dela, informacij o strankah itd.« (Brotby, 2006). Študije so pokazale, da je izguba informacij v organizaciji v večini primerov ena največjih nevarnosti za organizacijo. To potrjuje raziskava TexaS A&M University, ki je pokazala, da je (Moskal 2006): 93 % podjetij, ki so izgubili podatkovne centre zaradi različnih nesreč za 10 dni ali več, propadlo v enem letu po nesreči; 50 % podjetij, ki se je znašlo v poloţaju brez upravljanja informacij, v istem času tudi propadlo. Z namenom iskanja specifičnih rešitev se organizacija sooča s širokim spektrom zunanjih in notranjih tveganj. Med zunanja tveganja štejemo teroristične napade, vohunjenje, tveganja v oblaku itd. Zunanja tveganja se pojavljajo tudi na področjih IT virov in osnovnih poslovnih 29 operacij. Danes morajo izvršni direktorji zagotoviti primerna orodja za nadzor in primerne strokovnjake za izvajanje nadzora in sprejemanja ustreznih ukrepov. Notranja tveganja pri upravljanju procesov je načeloma laţe nadzirati. Ker nikoli ne vemo, kdaj naš IT sistem nepričakovano napade vsiljivec, lahko z vzpostavitvijo strogih notranjih nadzorov in postopkov, močnega tima deleţnikov, ko vsak pozna svojo vlogo in odgovornosti, uspešno kljubujemo napadom (Moeller 2013, str. 35). Kljub obvladovanju glavnih tveganj, kot so izguba podatkov in prekinitev proizvodnje oziroma poslovanja, Schacklett (2012) opozarja na deset manjših tveganj, ki lahko prerastejo v velika in jih vodilni ne bi smeli spregledati. Izguba zaposlenega za pomoč končnim uporabnikom. Če odgovorni za podporo končnemu uporabniku zapusti podjetje ali preide na drugi poloţaj, lahko to vpliva na uspešnost ali neuspešnost implementacije. Slabo sodelovanje in skupno odločanje. Tveganje se pojavi, kadar dve ali več organizacij delajo na istem projektu in različnih sistemih. Zaposleni se sprašujejo, ali bodo imeli sluţbe ob zaključku skupnega projekta in kaj vse lahko gre narobe pri zdruţevanju različnih organizacij. Slaba komunikacija. Pri dajanju nalog, usmeritev in vodenju projektov moramo skrbeti za jasno komunikacijo. Vendar organizacije običajno sprejemajo hitre odločitve. Zato so posledično informacije razdrobljene, nekompletne in dvoumne. Previdnost pri dobaviteljih. Običajno se pred podpisom pogodbe preverijo finančne zmogljivosti dobavitelja. Prevečkrat pa se pozabi preveriti usmeritve, ki jih dobavitelj predvideva v prihodnosti. Odgovornost vodstva pri sprejemanju odločitev. Od vodstva je odvisno, kolikšen bo prispevek IT-ja k poslovanju. Na strani IT-ja pa je, da se vodstva pretirano ne obremenjuje s tehnologijami. Streţniška distribucija in lokacije upravljanja. Zaradi teţav z zagotavljanjem ustreznega streţniškega okolja vse več organizacij seli fizično opremo na virtualne streţnike in ustvarja svoje storitve v oblaku. Najem znanja strokovnjakov. Za izvedbo projektov potrebujemo strokovnjake, zato se moramo odločiti, ali najeti strokovnjaka, ki je prezaseden in nemotiviran, ali pa nadobudneţa, ki je poln energije in poleg tega še timski igralec. 30 Odnosi med zaposlenimi. Na primer, kadar imamo zakonske pare v timih, je treba biti pozoren, da se zasebne teţave ne prenašajo na izvajanje projektov. Pomanjkanje dokumentacije. To je še posebej pomembno pri vodenju projektov. Če je dokumentacija pomanjkljiva, je teţko revidirati takšen sistem in mnogi programski postopki postanejo nekakšen »black box« sistema. Rezervni načrt (angl. Disaster recovery plann). Vsaka organizacija potrebuje načrt v primeru nepredvidenih dogodkov. Priporočata se letna obnova in preskus njegovega delovanja. 2.6 Upravljanje virov Strateško načrtovanje spada med ključne procese v informatiki, saj je potrebno za upravljanje vseh informacijskih virov in za zagotavljanje njihove skladnosti s poslovno strategijo, kar pripomore k doseganju dolgoročne uspešnosti organizacije (Roţanec in Krisper 2009, str. 123–127). »Toda celotno poslovno načrtovanje je brezpredmetno, če organizacija nima ustreznih virov, s pomočjo katerih lahko doseţe opredeljene poslovne cilje« (Townsend, 2009, str. 1–2). ISACA (2007, str. 12) opredeljuje vire kot: aplikacije – uporabniški sistemi s postopki obdelave informacij, informacije – podatki v vseh oblikah, ki jih uporablja podjetje, infrastruktura (arhitektura) – zajema tehnologijo in zmogljivosti, ki omogočajo delovanje aplikacij, ljudje – so osebje, ki je potrebno za načrtovanje, organizacijo, pridobivanje, vpeljevanje, podporo, spremljanje in vrednotenje informacijskih sistemov (IS) in storitev. Da je organizacija kos vse večjim poslovnim zahtevam, mora vlagati v vire, ki so potrebni za vzpostavitev tehnološkega okolja, ki je osnova za podporo poslovnih zmoţnosti. Slika 2.9 nam prikaţe kako poslovni cilji za IT vplivajo na to, kako z IT procesi upravljati vire, ki pomagajo uresničiti cilje IT. 31 Slika 2.9: Upravljanje virov za uresničitev ciljev IT Vir: ISACA (2007, str. 12) Dosegljivi viri predstavljajo ključno komponento za izvedbo sprememb v organizaciji. Tabela 2.4predstavlja ključne vire in njihov vpliv na upravljanje sprememb, kako te pri implementaciji sprememb procesov različno vplivajo na posamezen vir in kakšne so posledice v primeru, ko spremembe niso skrbno načrtovane. Tabela 2.4: Vpliv IT virov na spremembe upravljanja Pritisk na IT vire pri upravljanju sprememb IT viri Ljudje Aplikacijski sistemi Tehnologije Podatki Pripomočki Narava sprememb Različna pričakovanja na različnih ravneh vodenja, privedejo do komunikacijskega prepada Obnova sprememb delovnega okolja, temelji na aplikacijskih sistemih Kratkoročni cilji vplivajo na predhodne dolgoročne cilje Nekompatibilnost podatkovnega modela, podatkovnih struktur, podatkovnih vsebin, overitev in njihovih podsistemov Nekompatibilni s tehnologijo in podatkovnimi potrebami Vir: Kulkarni (2003, str. 1) 32 Posledice Pričakovano upravljanje delovanja Kompleksna prilagoditev mora ohraniti kompatibilnost Tehnološka arhitektura ni vzdrţna na dolgi rok Delovni nadzori in finančna tveganja Operativna tveganja 2.6.1 Aplikacijski sistemi Zadolţitev za aplikacijske sisteme in njihove nadzore je porazdeljena med poslovni del in IT sluţbo. Pri tem moramo vedeti, da se narava zadolţenosti spreminja in sicer (ISACA 2007, str. 15): poslovni del je odgovoren za ustrezno opredelitev funkcionalnih in nadzornih zahtev ter uporabo avtomatiziranih storitev, IT sluţba je odgovorna za avtomatizacijo in vpeljavo poslovnih funkcionalnosti in nadzornih zahtev ter vzpostavitev nadzorov za vzdrţevanje celovitosti aplikacijskih nadzorov. V tipičnem spreminjajočem se okolju je teţko razviti polno funkcionalen aplikacijski sistem, ki podpira ločeno tako kratkoročne kot dolgoročne cilje. Takšen način povečuje tveganja na informacijskih sistemih in varnosti podatkov. Na primer, pri reorganizaciji je vodstvo naklonjeno spremembam, ki prinašajo takojšnje učinke. Čeprav je takšen pristop običajen, ima za posledico, da so delovni sistemi pomanjkljivi, brez jasnih postopkov in brez dokumentiranja dogodkov. Zato se morajo organizacije orientirati vsaj na delne nadzore, kot so vhodni podatki, kalkulacije pretoka podatkov, obseg delovanja, tehnološka platforma ali transakcijski zapisi. V fazi delovanja je treba preverjati varnost informacij, postopkov in nadzor avtentičnosti, smiselnosti in pravilnosti. To organizaciji pomaga k širšemu pogledu na delovne obveznosti glede aplikacijskih sistemov in na učinkovite delovne nadzore v skladu s poslovnimi cilji (Kulkarni 2003, str. 2). 2.6.2 Informacijski viri Pri izpolnjevanju poslovnih ciljev so informacije ključnega pomena. Na podlagi potreb in zahtev po kakovosti, fiduciarnosti in varnosti COBIT določa sedem kriterijev za informacije, ki se med seboj prepletajo (ISACA 2007, str. 10): uspešnost; nanaša se na informacije, ki so pomemben del procesa. Informacije morajo biti pravočasno zagotovljene, pravilne, skladne in uporabne; učinkovitost; predvideva zagotovitev informacij z optimalno (najbolj produktivno in varčno) rabo virov; 33 zaupnost; zagotoviti moramo varovanje občutljivih informacij pred nepooblaščenimi osebami; celovitost; zajema pravilnost in popolnost informacij ter njihovo veljavnost v skladu s poslovno vrednostjo in pričakovanji; razpoloţljivost; kadar v procesu delovanja potrebujemo informacije, morajo te biti na voljo; skladnost; informacija mora biti skladna z zakoni, predpisi in pogodbenimi dogovori, ki veljajo za poslovni proces; zanesljivost; se nanaša na zagotavljanje ustreznih informacij za vodstvo, da lahko uspešno upravlja podjetje oziroma organizacijo. Informacija je od vsega začetka ključen vir za razvoj tehnologij v organizacijah in podjetjih. Informacijske tehnologije so ravno na račun informacij v organizacijah najbolj napredovale v javnem, socialnem in poslovnem okolju. Kot rezultat tega organizacije in njihovo vodstvo bolj kot kadar koli prej teţijo k (ISACA 2012, str. 13): vzdrţevanju visoko kakovostnih informacij v podporo poslovnemu odločanju ustvarjanju poslovne vrednosti skozi IT investicije (uresničitev strateških ciljev in uresničitev poslovne učinkovitosti skozi učinkovito in inovativno rabo IT) doseganju operativne odličnosti skozi zanesljivo in učinkovito rabo tehnologije vzdrţevanju tveganj, povezanih z IT na sprejemljivi ravni optimiziranju stroškov IT storitev in tehnologij izpolnjevanju potrebnih zakonov, pravilnikov, pogodb in ostalih pravil Danes vodstva organizacij za hitro in uspešno sprejemanje odločitev potrebujejo strnjene in pravočasne informacije. Pojavi se vprašanje merjenja teh informacij, saj organizacije potrebujejo merilo, s pomočjo katerega lahko spremljajo stanje, izboljšave in način, kako vpeljati orodja za spremljanje tega napredka. Slika 2.10prikazuje klasična orodja za upravljanje informacij, ki se uporabljajo za iskanje odgovorov, vendar te nadzorne tabele zahtevajo sistem kazalnikov, ki jih je mogoče meriti in primerjati. Meritve lahko izvajamo s (ISACA 2007, str. 6): primerjalno analizo delovanja in zmoţnosti procesov IT, izraţeno kot zrelostni model, pripravljen na podlagi zrelostno zmoţnostnega modela (angl. Capability Maturity Model, CMM); 34 cilji in matrikami procesov IT za opredelitev in merjenje njihovih rezultatov in zmogljivosti na podlagi sistema uravnoteţenih kazalnikov; cilji dejavnosti, ki za vzpostavitev nadzora nad procesi temeljijo na COBIT-ovih nadzornih ciljih. Slika 2.10: Upravljanje informacij Kako odgovorni menedžerji ohranjajo pravo usmeritev organizacije? KONTROLNA TABELA Kazalniki? Kako lahko organizacija doseže rezultate, ki so zadovoljili najširši krog zainteresiranih? SISTEM KAZALNIKOV Meritve? Kako se lahko organizacija pravočasno prilagodi trendom in razvojem v svojem okolju? PRIMERJALNA ANALIZA Lestvice? Vir: ISACA (2007, str. 6) Vsebina informacij je ključna pri poslovanju, pa naj gre za enostavne procese, ali zahtevnejše poslovne tranzicije. Informacijski kriteriji (glej Sliko 2.11) definirajo kakovostne, fiduciarne in varnostnenadzore, ki morajo zadostiti ciljem upravljanja virov. Slika 2.11: Kriteriji informacij za implementacijo sprememb Varnostna kontrola Vključenost standardov kakovosti primernih spremembam Kontrola kvalitete Stanje Stanje Sprememb sprememb Ocena varnostnega tveganja glede na spremembe Oblikovanje podatkovnega modela za podporo fiduciarnih kontrol Kontrola fiduciarnosti Vir: Kulkami (2003, str. 2) 35 Nadzor kvalitete informacij je ključen za upravljanje organizacij. Na strani vodstva je izbira, kako te informacije uporabiti skozi tehnološke procese. Pogosto se zgodi, da kratkoročne odločitve večkrat temeljijo na abstraktnih kot na kakovostnih prečiščenih informacijah. Ne glede na velikost in kompleksnosti podatkovnih sistemov organizacija ne sme opustiti fiduciarnih nadzorov. Ti nadzori se nanašajo predvsem na obvladovanje notranjega upravljanja, davčne informacije, informacije strank, klasifikacijske informacije in informacije o cenah, ki jih je treba obvladovati iz centralne lokacije. Glede na pomembnost informacij moramo prilagoditi varnostne nadzore. Na primer, ko je organizacija na novo ustanovljena, so človeška tveganja zelo velika, vloge in odgovornosti so v nejasnem stanju in izvajanje nadzorov postane vprašljivo (Kulkami 2003, str. 3). 2.6.3 Upravljanje zaposlenih Uspešnost poslovanja in povečevanje konkurenčnosti sta pogosto povezana s prilagajanjem ali tudi s korenito spremembo poslovne strategije, ki se udejanja v spremembi poslovnega modela in poslovnih procesov podjetja. To lahko opravijo le ustrezno usposobljeni in zelo motivirani kadri ob uporabi sodobne informacijske tehnologije (Groznik in drugi 2005, str. 216). Informatika mora s svojim delovanjem povečevati uspešnost in učinkovitost celega podjetja. Investirati ne sme brezciljno (po načelu malo tu, malo tam), pač pa predvsem strateško. Negativne posledice nepremišljenega investiranja se lahko posledično kaţejo v izdelkih, ki ne podpirajo poslovnih usmeritev podjetja, v nepovezanih aplikacijah, nejasnih prednostnih nalogah pri projektih, slabem vrednotenju projektov, pogostih spremembah načrtov in nezadostnih infrastrukturnih investicijah (Ward in Peppard 2002). Z vidika proučevanja znanj vodje sluţbe za informatiko oziroma osebe, odgovorne za informatiko, je zaznati bistveno povečanje pomembnosti poslovnih in menedţerskih znanj, medtem ko so tehnološka znanja zanje manj pomembna. To je smiselno, saj je bila informatika tradicionalno predvsem sredstvo za zniţevanje stroškov; danes pa naj bi imela pro-aktivno vlogo pri povečevanju učinkovitosti in doseganju konkurenčne prednosti (Olugbode in drugi, 2007). Prav tako Manfreda in Štemberger (2011) ugotavljata, da kljub znanemu dejstvu o dveh različnih svetovih (poslovno okolje, tehnološko okolje) še obstaja precejšen razkorak med 36 poslovnim in informacijskim svetom podjetja, kar posledično vodi v številne neuspešne in nekoristne zaključke informacijskih projektov. Eden odločilnih faktorjev uspešnega delovanja IT tima so njegovi zaposleni. Največji problem predstavlja nemotiviranost zaposlenih, ki lahko odločilno vpliva na delovanje, zato se je treba motiviranju zaposlenih posebej posvetiti. Drugi največji problem predstavljajo zaposleni, ki so vajeni individualnega dela in imajo zaradi tega teţave v timskem delu. Trend menedţmenta in IT teţi k timskemu delu, zato so dejavnosti individualistov še toliko bolj škodljive. Lientz in Larssen (2004, str. 107) navajata številne razlike v načinu dela med zaposlenimi v IT in vodstvu, in sicer: določeno področje IT zahteva kreativnost namesto rutinskega dela. To vključuje reševanje problemov, nujna popravila in oblikovanje (aplikacij, spletnih strani); veliko IT dejavnosti ni mogoče zaključiti v dnevu ali dveh. Delo IT je projektno usmerjeno, zato so nekatere dejavnosti lahko opravljene v nekaj minutah ali pa zahtevajo več ur; IT običajno opravljajo več različnih del hkrati. Pri tipičnem delu IT programer naenkrat izvaja več dejavnosti na sistemu, od oblikovanja, ustvarjanja in pregledovanja, medtem ko vodstveni delavci večinoma opravljajo eno dejavnost naenkrat. Da dobimo ustrezno predstavo o zaposlenih v IT, moramo oceniti njihove spretnosti, znanje in njihovo prilagodljivost. S tem lahko prepoznamo prednosti in slabosti IT tima, ki se pozneje pokaţejo pri izvajanju storitev. Z ocenjevanjem doseţemo naslednje prednosti (Lientz in Larssen 2004, str. 108): identificiramo odvisnost od specifičnega kadra odprava prepada med spretnostmi in znanjem vzpostavimo odnos med zaposlenimi v IT in poslovnem sektorju Tabela 2.5prikazuje večplastno IT znanje, sposobnosti in spretnosti. Tehnične sposobnosti vključujejo specifična znanja o metodah, procesih in tehnikah. Organizacijske spretnosti omogočajo zaposlenim načrtovati in uspešno izvajati dejavnosti. Človeške spretnosti opisujejo človeško vedenje, njihove medosebne odnose in konceptualne spretnosti, kreativnosti, učinkovitosti za prepoznavanje in reševanje problemov. 37 Tabela 2.5: Klasifikacija IT sposobnosti, znanja in spretnosti Spretnosti Kategorije/ Elementi Tehnične spretnosti Analize in oblikovanja, programski jeziki, specifične aplikacije in osnovna IS znanja, IS izdelki, baze podatkov in podatkovne komunikacije, napredne aplikacije, računalniški sistemi, sistemske teorije in koncepti, funkcionalno poslovno znanje, upravljanje tehnološkega znanja, operacijski sistemi, omreţje, osebna računalniška orodja Organizacijske spretnosti Upravljanje časa in prioritet, organizacija informatike Človeške spretnosti Organizacijske spretnosti, organizacijske enote, komuniciranje, medosebni odnosi, menedţment, profesionalizem, poslovne, socialne, osebnostne spretnosti in poslovno znanje Konceptualne spretnosti Reševanje problemov, strateško načrtovanje, abstrakcija Vir: Ku Bahador in Haider (2012, str. 83) Namen ocenjevanja ni zgolj pridobivanje trenutnih ocen o zaposlenih, ampak osnova za usmerjanje zaposlenega v nadaljnji razvoj. Mnogokrat se zgodi, da zaposleni dobi generalno oceno, brez usmeritev za izboljšanje. Ocena sluţi zaposlenemu kot mnenje in vodilo za naprej, lahko pa tudi pozitivno vpliva na učinkovitost in dvig motivacije. Motivacija je glavna povezava z moralo. Nekatere organizacije menijo, da so finančne stimulacije dobra kompenzacija za motiviranje zaposlenih. Lientz in Larssen (2004, str. 114) opozarjata, da moramo biti pri tem zelo previdni. Na primer, če začnemo z deljenjem stimulacij, pride med zaposlenimi takoj do primerjanja in posledično postane stimulacija predmet demoraliziranja. Pri tem ne smemo pozabiti na tveganja. V mnogih IT timih sloni delo na majhnem številu ljudi, zato si vodje IT zaradi omejenih sredstev ne morejo privoščiti podpornega osebja. Da se laţe soočimo s tveganji, moramo poznati (Lientz in Larssen 2004, str. 118): starost in zanesljivost zaposlenega, pomembnost specifičnih znanj, ki jih ta zaposleni ima, pomembnost procesov, ki jih podpira. Zaposleni se med sabo veliko pogovarjajo, zato v timu pogosto prihaja do širjenja govoric, ki jim vodje morajo prisluhniti, se z njimi soočiti in zaposlenim razloţiti dvome, ki se jim 38 porajajo. Naslednji problem lahko predstavljajo pristnejši odnosi med člani poslovnih in IT timov, saj nekateri izkoristijo te odnose za neposredno sodelovanje in reševanje problemov z določeno osebo. Za te probleme običajno vodja IT ne ve, zato je naloga vodje, da tovrstna dejanja pravočasno prepozna in vzpostavi ravnoteţje v timu. 2.7 Implementacija in merjenje obvladovanja IT Eden največjih izzivov obvladovanja IT v hitro spreminjajočem se ekonomskem in tehničnem kompleksnem okolju je sposobnost predvidevanja in izogibanja pastem, še preden je prepozno. Podobno kot pri voţnji avta ali vodenju plovila potrebujemo dobre instrumente. Zato so mnogi opisovali obvladovanje IT kot voţnjo z avtomobilom, iz katerega nič ne vidimo in nam ne delajo nobeni instrumenti. Če je teţko strokovnjakom, ki upravljajo tehnologije, si lahko samo predstavljamo, kako je vodstvenim ljudem, ki, kot prvo, ne razumejo tehničnega jezika in, kot drugo, niso deleţni vseh informacij, da bi sploh lahko razumeli. Ni dvoma, da je s praktičnega vidika merjenje delovanja IT prav tako element obvladovanja IT kot transparentnost in zanesljivost finančnih rezultatov. Obvladovanje delovanja je pomembno zaradi ugotavljanja doseganja IT ciljev ter izvajanja delovanja in prispevka k poslovanju. Pomembno je tudi zaradi transparentnosti in sposobnosti IT-ja zaznati potencialna tveganja, ki bi jih drugače spregledali. Merjenje delovanja nam torej omogoča transparentnost glede IT stroškov, kar pripomore k verodostojnosti obvladovanja vseh organizacijskih stroškov. Da bi bilo merjenje delovanja IT uspešno, je treba razumeti, kdo so deleţniki, kakšne so njihove zahteve in pogoji, da lahko izvedemo meritve, ki bodo za deleţnike uporabne. Najboljše prakse obvladovanja IT poudarjajo pomembnost merjenja z vidika deleţnikov (glejSliko 2.12). Sistem merjenja delovanja je učinkovit le, če sluţi komunikaciji med tisti, ki vedo, kaj je pomembno, in zastavljenimi cilji. Meritve niso same sebi namen, temveč osnova za odpravljanje napak in pridobivanje novih izkušenj. Pomanjkljiva, nerazumljiva komunikacija in nejasne odgovornosti so ključni faktorji, ki jih je treba meriti, če ţelimo doseči ţelene učinke (National Computing Centre 2005, str. 9). 39 Slika 2.12: Proces merjenja obvladovanja IT Ukrepaj Določi cilje Primerjaj IT aktivnosti Meri delovanje Vir: ISACA v National Computer Centre (2005, str. 13) 2.7.1 Implementacija Implementacija obvladovanja se začne z jasnimi in realno postavljenimi cilji z namenom doseganja realnih potreb organizacije podpirati pričakovanja in zagotavljanje nadaljevanja izvedbe v prihodnje. Načrt implementacije vsebuje dejavnosti za izvedbo, podprte z nalogami za implementacijo ter predlaganimi vlogami in odgovornostmi. Obvladovanje IT je trajen proces, zato je načrt implementacije le začetna faza, ki jo treba izvesti za trajnostni pristop obvladovanja IT. Implementacija obvladovanja IT pomeni za mnoge organizacije velike spremembe. Ni pomembna zgolj podpora vodstva, temveč tudi njihova dejavna vloga v procesu. Načrt obvladovanja je ponavljajoči se ţivljenjski cikel z začetno fazo definiranja splošnih ciljev in podprt z zavezo vrhnjega menedţmenta, kar omogoča uspešno obvladovanje IT in izvedbo z njimi povezanih dejavnosti. ISACA (2012, str. 35) obravnava implementacijo kot ponavljajoči se ţivljenjski cikel na štirih pomembnih področjih, in sicer: implementacija in izboljševanje obvladovanja in upravljanja IT postane del poslovanja, prepoznavanje tipičnih kritičnih točk in nepredvidenih dogodkov, priprava ustreznega okolja za implementacijo, s pomočjo okvirja COBIT identificirati vrzeli in usmerjati razvoj ključnih faktorjev kot so pravila, procesi, principi, organizacijske strukture, vloge posameznikov in odgovornosti. 40 Podpora ključnih deleţnikov je ključna za uspešno vpeljavo in vzdrţevanje implementacije, nasploh v organizacijah z nestabilnim in nejasnim okoljem. Ko je zagotovljena podpora, morajo pristojni zagotoviti vire za izvedbo programa. Nato je treba določiti in dodeliti ključne vloge in odgovornosti glede izvajanja programa. Skrb za izvedbo se nanaša na vse vpletene deleţnike. Obstaja veliko kazalcev, ki kaţejo na potrebo po izboljšanju obvladovanja in upravljanja IT v organizaciji. Nekateri tipični faktorji, ki jih zaznamo na novo ali ob reviziji obvladovanja in upravljanja IT, lahko predstavljajo rešitve (ali del rešitve), ki jih ISACA (2012, str. 36) pri implementaciji navaja kot: poslovne frustracije zaradi neuspelih iniciativ, povečanih IT stroških in percepcije nizke poslovne vrednosti, številne incidente, povezane z IT tveganji, kot sta izguba podatkov ali propad projekta, teţave z zunanjimi izvajalci v smislu stalnih nesoglasij glede izvajanja storitev, teţave z izvajanjem predpisov in pogodbenih obveznosti, nezmoţnost zagotavljanja podpore poslovnim zahtevam in inovativnostim s strani IT, redne reklamacije o slabem delovanju IT in nekakovostnih servisnih storitvah, prikrito in neracionalno trošenje IT proračuna, podvajanje in prekomerno rabo virov, nezadostno število zaposlenih. Imamo zaposlene s premalo znanja oziroma prezaposlene ali nezadovoljne, podporo IT spremembam, ki ne podpirajo poslovnih potreb, so prepozne ali presegajo predvidene stroške, nezadovoljstvo oziroma nepripravljenost vodstva in odgovornih za sodelovanje pri obvladovanju IT, kompleksen IT sistem delovanja. Uspešna implementacija je odvisna od implementacije ustreznih sprememb na ustrezen način. V mnogih organizacijah je ţarišče implementacije usmerjen na osnovno obvladovanje in upravljanje, medtem ko se pozablja na človeški dejavnik, druţbeni in kulturni vidik, ki motivira deleţnike za spremembe. Pri implementaciji moramo računati na vključenost in vpliv različnih deleţnikov, ki morajo sprejeti in prevzeti spremembe. Moţnosti ignoriranja in odpora do implementacije morajo biti vodene skozi strukturiran in proaktiven pristop. Prav tako mora biti zavedanje programa implementacije doseţeno s pomočjo komunikacijskega 41 načrta, ki definira, kako se bo komuniciralo, na kakšen način in kako bo potekala komunikacija skozi faze programa implementacije (ISACA 2012, str. 37). Sedem faz ţivljenjskega cikla (glejSliko 2.13) implementacije predstavlja smer, kako se organizacije, ki uporabljajo COBIT, soočijo z izzivi in s kompleksnostjo, ki običajno nastajajo med implementacijo. Posamezna faza predstavlja (ISACA 2012, str. 37): faza 1: začne se s prepoznavanjem in strinjanjem s potrebo po implementaciji ali izboljšavi. Faza 1 prepozna kritične točke sistema in ustvari potrebo po spremembah na izvršni ravni organizacije; faza 2: je usmerjena na implementacijo oziroma izboljšavo v okviru COBIT, in sicer z dokumentiranjem poslovnih ciljev v relaciji z IT cilji in z upoštevanjem tveganja v ključnih procesih; faza 3: cilj izboljšave je določen na podlagi natančne analize COBIT ob identifikaciji potencialnih nevarnosti in njihovih rešitev; faza 4: priprava praktičnih rešitev izbranih projektov na podlagi poslovnih zahtev. Pripravi se tudi načrt moţnih sprememb. Dobro razvite poslovne zahteve omogočajo identifikacijo in meritve učinkovitosti projekta; faza 5: predlagane rešitve so implementirane v dnevnih delovnih praksah. Tako lahko izvajamo meritve in izvajamo nadzor. Uspeh predlaganih rešitev zahteva podporo in pripadnost vrhnjega menedţmenta kot IT deleţnikov; faza 6: je usmerjena na implementacijo podprtih rešitev in k nadzoru uspešnosti pričakovanih koristi; faza 7: analiza celotne uspešnosti projekta. Identificirajo se potencialne nove zahteve obvladovanja in upravljanja IT in vzpostavi se nova potreba po izboljšavah. 42 Slika 2.13: Sedem faz ţivljenjskega cikla implementacije ilji ? ic šn is o na š ira po j c t iljn o ak gli se do De Definiraj vloge akterjev fin De izh fin od iraj e ji el ve Vp ljša o izb Planiraj program 3K o om ob ak i ed Izv èrt na c 5 Kilje? j in j aja blja Izv ora up Pripravi izboljšave De že fini sta len raj nje o Izvaja j in meri re j po pozn tre oru b aj dz u a k N in rep o po anj oti n u d vre tanje? utno s je tren Vklju èi n pristo ove pe Vz p za osta sp vi o rem ko em lje be P e in oblem iraj pr sti no prilož 6 - Cikel trajnih izboljšav (notranji krog) uj Oblik cijsko a ment imple kipo e Prepo zn predno aj sti V - Izvajanje sprememb (srednji krog) Pri pro prav gra i m Defin žuj zdr - Programski management (zunanji krog) do so izv aja lci ? no 2 Kakš ver st Pre ovito ink uè 1K i Ocen o tn trenu je stan Ali s rezult mo dosegli at? želen i mo e? uje tacij ž r n vzd eme ako impl K 7 oces i pr 4 Kaj je potrebno narediti? Vir: ISACA (2012, str. 37) 2.7.2 Merjenja v IT Da bo obvladovanje IT učinkovito, je treba proces obvladovanja meriti in širiti skozi celotno organizacijo. Pri širjenju zavedanja o pomembnosti IT je treba zaposlene izobraziti o tem, kaj je namen obvladovanja IT, zakaj je IT pomemben in kakšna je uporabnost IT v praksi. Izobraţevanje zaposlenih o vlogi IT, mora postati stalna praksa. Merjenje obvladovanja je enako pomembno kot strategija osveščanja. Glavni cilj obvladovanja IT je optimizacija investicij v IT tehnologije skozi skupno IT-poslovno sodelovanje, z zagotovitvijo čim večje dodane vrednosti in čim manjšega tveganja. To Symons (2005, str. 13) pojasnjuje z: IT sistemom uravnoteženih kazalnikov. Ko je model obvladovanja razvit, ga je treba implementirati in nato meriti. Sistem uravnoteţenih kazalnikov je priznano orodje, ki za obvladovanje IT obravnava štiri dejavnike: vrednost IT, uporabnike, operativno odličnost in usmerjenost naprej. Merljiva in pomembna dejavnika za dva 43 ključna cilja sta, vrednost IT in upravljanje tveganja. Koncept IT vrednosti je specifičen z vidika merjenja za poslovno-IT sodelovanje in IT vrednost, medtem ko operativna odličnost, zajema tudi področje upravljanja tveganja; IT Portalom. Portali so postali glavna metoda zbiranja informacij o organizaciji. IT organizacija potrebuje svojo spletno stran, ki je lahko uporabljena za posredovanje informacij o obvladovanju IT. Stran lahko posreduje tudi poročila in informacije o statusu projektov. Poleg tega spletna stran lahko kaţe pot pomembnih informativnih dokumentov (ROI modeli, arhitekturni dokumenti, poslovni obrazci itd.). Merjenje izvedbe je bistveno za obvladovanje IT. Merjenje vključuje postavitev in spremljanje merljivih ciljev tega, kar morajo IT procesi ustvariti (rezultat procesa) in kako morajo to dostaviti (zmogljivost in izvedbo procesa). Merjenje izvedbe sledi in spremlja uresničevanje strategije, zaključevanje projektov, uporabo virov, izvedbo in dobavo storitev, z uporabo sistema uravnoteţenih kazalnikov, ki strategijo prevaja v dejanja za doseganje ciljev (ISACA 2007, str. 6). Merjenje delovanja IT je vitalen člen organizacije. Rezultati nam pokaţejo ali dejavnosti v procesih dosegajo zastavljene cilje. Rezultati meritev povedo zaposlenim tudi, kaj in kako delajo kot del celote. Komunikacija v organizaciji poteka: od zgoraj navzdol, nadzor procesov od spodaj navzgor, nadzor in izboljšave pa skladno s procesi. Samo s konsistentnim pogledom na ključne točke lahko opravila opravljamo skladno s strategijo, z zastavljenimi cilji in izboljšavami za organizacijo. Dober sistem merjenja obvladovanja IT nam pomaga (Hronec v National Computer Centre 2005, str. 10): usmeriti se na stranke za povečanje zadovoljstva strank, izboljšati procese z namenom odkrivanja in preprečevanja problemov, razumeti in s tem zmanjševati stroške, spodbujati in omogočati spremembe o trenutnem, ţelenem stanju in prepadom med njima, določiti realne primerjalne rezultate. Skrbništvo o merjenju in odgovornosti bi moralo biti jasno določeno. Še več, zbiranje merilnih rezultatov ne bo in ne more biti vedno v domeni IT, tako kot merjenje upravljanja s strankami. Jasno mora biti, kdo je za kaj odgovoren. Meritve morajo biti formalizirane (angl. Servise Level Agreements, SLA), bazirane na servisnih navodilih in v jeziku, ki je razumljiv 44 strankam. Izvajalci storitev morajo vnesti SLA kot del sporazuma, da se zagotovi hranjenje rezultatov, za primere teţav v delovanju. V podporo obvladovanja IT je priporočenih petnajst najpomembnejših področij (glej Tabelo 2.6), ki jih je priporočljivo meriti skupaj z indikacijo primarnega interesa in kdo jih mora potrditi. Tabela 2.6: Priporočena področja merjenja Poslovno-IT sodelovanje Glavni »ustvarjalci« dodane vrednosti (cilji, čas in finančna sredstva) Splošno finančno stanje (prihodki/odhodki) ROI za IT investicije (poslovne prednosti) Status tveganj Delovanje z zavedanjem zanesljivosti in dosegljivosti kritičnih storitev Pritoţbe in predlogi strank Število posegov za odpravo napak SLA delovanje Poslovno sodelovanje z dobavitelji (kakovost in vrednost) Procesna zrelost Ocena sodelujočih v IT dejavnosti Notranji in zunanji preizkusi Identifikacija slabosti Poslovni status poslovanja Investitorji x Nadzorniki x x x x Izvajalci x x x x x x x x x x x x x x x x x x x x x x Vir: National Computer Centre (2005, str. 12) 2.8 Zrelost upravljanja IT V preteklosti je bilo izvedenih veliko raziskav o potencialu informacijskih tehnologij in njihovem pozitivnem učinku na poslovanje. V večini primerov so strokovnjaki z vpeljavo IT pričakovali povečanje produktivnosti, dobička in kakovost dejavnosti (Devaraj in Kohli, 2003). V ta namen je bilo izdelanih veliko poslovnih okvirjev in modelov, ki bi upraviteljem omogočali strateški pristop pri ugotavljanju koristi njihovih investicij (Keen, 1991). Kljub tehnološkemu razvoju in velikih vlaganj je zaznano pomanjkanje konkretnih evidenc in študij, ki bi potrdile pozitivne učinke investiranja v IT v smislu večje produktivnosti ali drugih finančnih kazalnikov (Loveman, 1994; Lee in Barua, 1999; Papp, 1999). Na drugi strani nekatere študije ugotavljajo, da kljub povečanim investicijam v IT produktivnost stagnira (Roach, 1987; Morrison in Berndt, 1991), medtem ko nekateri potrjujejo tezo o pozitivnih 45 učinkih investiranja v IT (Brynjolfsson, 1993; Dewan in Min, 1997). Nekateri menijo, da ne bi smeli meriti koristi IT le skozi stroške, ampak skozi uporabnost vpeljane tehnologije (Devaraj in Kohli, 2003). Kljub vsem študijam in vključitvi strokovnjakov je bilo mnogo študij pri ocenjevanju prave vrednosti IT neuspešnih predvsem zaradi različnih tehnologij v različnih organizacijah (Kelley, 1994). Iz zgoraj opisanega je razvidno, da obstaja veliko moţnosti pri vrednotenju IT, in sicer ločeno ali v odnosu s poslovanjem. Menedţerji in IT strokovnjaki se soočajo s problemom vrednotenja, ko poskušajo realizirati in predstaviti prednosti IKT, zato predlagajo uvedbo različnih stopenj evolucije IT, odvisne od področij delovanja. To so poimenovali »IT zrelost«, s katero so opisali stopnje evolucije IT. Anthony (1965) je predlagal tri stopnje evolucije: strateška, upraviteljska in operativna. Ta klasifikacija sicer ni zagotovila razvoja kakršnih koli stopenj evolucije IT, vendar pa je pomenila prvi poskus pogleda na IT na različni organizacijski stopnji, za razliko od prejšnjih celostnih pogledov. Na tej podlagi so akademiki razvijali različne evolucijske modele za ocenjevanje zrelosti, za specifično ali splošno rabo IT. Nolan (1979) je tako razvil prvi model, (na šestih stopnjah) za elektronsko obdelavo podatkov (angl. Electronic Data Processing, EDP). Zadnja različica Nolanovega modela (glejSliko 2.14) vpeljave in evolucije IT v organizacijah narekuje izvedbo po korakih, in sicer: inicializacija: prva faza vključuje predstavitev IT organizacije. Glavni razlog vpeljave IT je odprava ročnega dela. Nolan predlaga, da organizacije najprej investirajo v enostavne informacijske sisteme, da rešijo osnovne teţave in doseţejo prve prihranke; vpeljava: je naslednik prve faze, in sicer je večji poudarek na zahtevnejših sistemih v okviru organizacije. Z velikimi finančnimi vloţki v te sisteme se pojavljajo vprašanja, kdaj in kako se bodo investicije povrnile; nadzor: je posledica predhodnih področij. Izvaja se nadzor morebitnih prekomernih vlaganj v IT tako s finančnega kot s časovnega vidika. Usmeritev te stopnje se je spremenila iz upravljanja računalniških sistemov v upravljanje oziroma obvladovanje vseh virov v organizaciji. Rezultata sta bolj gibljivo upravljanje in obdelava podatkov, kar posledično poveča učinkovitost; integracija: gre za integracijo obstoječih IT sistemov in baz podatkov z novimi. Stroški na tem področju so podobni tistim iz faze 2, saj gre za investicije in obdelave podatkov; 46 urejanje podatkov: s spreminjanjem poslovnega okolja se spreminjajo tudi IT sistemi. Faza urejanja podatkov sledi prejšnjim. Večji poudarek je na varovanju podatkov kot IT sistemu; zrelost: pojmuje organizacijo, ki vlaga v razvoj in integracijo IT sistemov, ki zadostijo informacijskim potrebam. Slika 2.14: Stopnje rasti do organizacijske zrelosti Vir: Nolan v Mikalef (2010, str. 18) Kljub visoki stopnji zrelosti mora organizacija za zmanjšanje tveganja vseeno analizirati nadzore, ki morajo biti skladni z ravnijo tveganja in poslovnimi cilji. Nadzori nam skozi zrelostni model (glejSliko 2.15) pokaţejo dejanske zmoţnosti upravljanja procesov. Zmoţnost je odvisna od ciljev IT in poslovnih potreb in se vpelje glede na donos, ki ga ţeli organizacija od investicije. Kaj bomo nadzorovali, pa je domena sprejemljive ravni tveganja in veljavnih zahtev po skladnosti. 47 Slika 2.15: Tri dimenzije zrelosti KAKO (zmožnost) 5 4 Poslanstvo in cilji IT 3 2 Tveganja in skladnost 1 KOLIKO (pokritje) 0 100% Donosnost naložb in stroškovna učinkovitost KAJ (kontrola) Vir: ISACA (2007, str. 19) 3. OKVIR COBIT 4.1 Mnogo študij preučuje koristi in slabosti vrednotenja (angl. Evaluation). Glavni cilj organizacije je povečanje dobička. Za ocenitev dobička ali izgube potrebujemo preverjene tradicionalne metode, ki so dobro znane, razumljive in temeljijo na znanih konceptih. Vendar nekatere študije nakazujejo, da stare metode vrednotenja v nekaterih primerih niso več najprimernejše, zato so razvili dva različna pristopa. Prvi pristop še vedno temelji na izboljšanem tradicionalnem pristopu (konceptualni in operativni pristop), ki z izboljšavami zavrača slabosti, drugi pristop pa zavrača tradicionalnega in uporablja nove metode celovitega vrednotenja delovanja (Clemons in Weber, 1990). Obvladovanje IT omogoča organizacijam, da v celoti izkoristijo prednosti svojih informacij, s čimer povečajo koristi, spremenijo priloţnosti v kapital in pridobijo konkurenčno prednost. Ti rezultati zahtevajo okvir za nadzor IT (glejSliko 3.1), ki ustreza in podpira okvir Notranji nadzor – Integriran okvir, ki ga je postavil Committee of Sponsoring Organisations of the Treadway Commission (COSO) in je splošno sprejet nadzorni okvir za obvladovanje IT v podjetjih in upravljanje tveganj (ISACA 2007, str. 7). 48 Slika 3.1: COBIT 4.1 – pristop od zgoraj navzdol Vir: Stroud (2005, str. 22) V ta namen je bila razvita metodologija vrednotenja nadzornih ciljev za informacijsko in sorodno tehnologijo (angl. Control Objectives for Information and Related Technology, COBIT), kjer opisujejo dobre prakse celotne domene in procesnega okvirja ter predstavljajo aktivnosti na obvladljiv in logičen način.Okvir COBIT (glej Sliko 3.2) je oblikovan tako, da so njegove glavne značilnosti (ISACA 2007, str. 10): osredotočenost na poslovanje: osredotočeno na poslovne cilje in cilje IT. Informacijski kriteriji predstavljajo splošno metodo za opredelitev poslovnih zahtev in ciljev, medtem ko IT predstavlja natančnejšo podlago za vzpostavitev poslovnih zahtev in razvoj metrik, ki omogočajo merjenje uspešnosti glede na zastavljene cilje; usmerjenost na procese: procesni model spodbuja lastništvo procesov, s čimer omogoča opredelitev zadolţitev in dolţnosti. Podan je v okviru štirih domen. Prva govori o načrtovanju in organiziranju, ki zagotavlja usmeritev k iskanju rešitev in izvajanju storitev. Druga govori o nabavi in vpeljavi, ki zagotavlja rešitve in jih posreduje, da se pretvorijo v storitve. Tretja se nanaša na izvajanje in podpiranje, ki sprejema rešitve in poskrbi, da so koristne uporabnikom. Četrta vpeljuje spremljanje in vrednotenje, ki sledi procesom v izvajanju usmeritev; osredotočenost na nadzore: nadzorni cilji zagotavljajo nabor zahtev, ki jih moramo upoštevati pri nadzoru vsakega procesa IT. Sistem nadzora deluje po principu primerjave merjenega procesa s kontrolnim podatkom in na podlagi rezultata izdamo 49 potrebne ukrepe ali priporočila. Kontrolni cilji so opredeljeni po referenčnih domenah s številko procesa in številko kontrolnega cilja. Splošne kontrole in aplikacijske kontrole vsebujejo razvoj sistemov, upravljanje sprememb, varovanje in delovanje računalnikov; izvajanje meritev: potreba vsake organizacije je razumevanje stanja lastnih sistemov, na podlagi katerega se mora vodstvo odločiti za raven upravljanja in nadzora. COBIT vpeljuje orodja za upravljanje spremljanja izboljšanja s pomočjo zrelostnih modelov, ki omogočajo primerjalno analizo, izvedbe ciljev in metrik za procese IT. Orodja nam nato kaţejo, kako procesi uresničujejo cilje in postopke za definiranje ciljev dejavnosti, ki omogočajo uspešne izvedbe procesov. Slika 3.2: Osnovno načelo COBIT-a ki izpolnjujejo Informacije podjetja zagotovijo Poslovne zahteve COBIT Procesi IT usmerjajo investicije v Viri IT so uporabljeni v Vir: ISACA (2007, str. 10) Z metodologijo COBIT se pri raziskavi upravljanj in vrednotenj IT-ja v organizaciji (glej Sliko 3.3) izvajajo naslednje ključne dejavnosti (Government of Alberta Education 2013, str. 69): vzpostavitev okvirja: definiranje okvirja in postopkov vrednotenja upravljanja IT ter merjenje prispevka IT k doseganju zastavljenih ciljev; definiranje in zbiranje merilnih rezultatov: s potrditvijo vodstva definirati ključna področja vrednotenja, določiti kriterije, po katerih je mogoče vrednotiti upravljanje, identificirati podatke za vrednotenje IT in določiti proces zbiranja podatkov za potrebe vrednotenja; 50 implementiranje metodologije: implementirati proces zbiranja podatkov (točke preverjanja, opravljeno vrednotenje in povzetek vpogleda IT delovanja) in zagotoviti verodostojnost opravljenih vrednotenj; ocenitev in izboljšanje delovanja: primerjava delovanja s postavljenimi cilji, analiza odstopanj in ukrepanje za odpravo pomanjkljivosti; priprava poročila o upravljanju: poročilo o uspešnosti uresničitve ciljev, investicij, servisiranja, virov itd. Slika 3.3: COBIT – Dejavnosti in naloge Vir: Stroud (2005, str. 23) 3.1 Izhodišča raziskave Raziskavo bomo izvajali v okviru COBIT-ovega splošnega procesnega modela znotraj štirih domen. Domene opisujejo tradicionalna področja zadolţitev v zvezi z IT. COBIT-ov okvir podaja referenčni procesni model in skupen jezik za vse, ki se ukvarjajo z dejavnostmi IT. Implementacija produkcijskega modela in skupen jezik za vse dele organizacije je eden najpomembnejših začetnih korakov k dobremu obvladovanju IT. Poleg tega zagotavlja okvir za merjenje in spremljanje delovanja IT komunikacijo s ponudniki storitev in zdruţevanje najboljših praks upravljanja. Procesni model pa spodbuja lastništvo procesov, ki omogoča opredelitev zadolţitev in odgovornosti. 51 Zadolţitve in odgovornosti so razdeljene na področja štirih domen (glej Sliko 3.4), ki jih delimo na (ISACA 2007, str. 12): načrtujte in organizirajte (angl. Plan and Organise, PO), ki zagotavlja usmeritev k iskanju rešitev (AI) in izvajanju storitev (DS); kupite in vpeljite (angl. Acquire and Implement, AI), ki zagotavlja rešitve in jih posreduje, da se pretvorijo v storitve; izvajajte in podpirajte (angl. Delivery and Support, DS), ki sprejema rešitve in poskrbi, da so uporabne za končne uporabnike; spremljajte in vrednotite (angl. Monitor and Evaluate, ME), ki spremlja vse procese z namenom upoštevanja določenih usmeritev. Slika 3.4: Povezave COBIT domen Načrtujte in organizirajte Kupite in vpeljite Izvajajte in podpirajte Spremljajte in vrednotite Vir: ISACA (2007, str. 12) Domena Načrtujte in organizirajte nam pove, kako lahko IT najbolje prispeva k uresničevanju poslovnih ciljev. Ta domena obravnava naslednja vprašanja v zvezi z upravljanjem (ISACA 2007, str. 12): Ali sta poslovna in IT strategija usklajeni? Ali podjetje optimalno uporablja svoje vire? Ali vsi v organizaciji razumejo cilje IT? Ali podjetje razume tveganja IT in jih upravlja? Ali kakovost sistemov IT ustreza poslovnim potrebam? 52 Domena Kupite in vpeljite obravnava IT rešitve, ki jih je treba razviti in vključiti v poslovni proces. Pomemben del te domene predstavljajo tudi spremembe in vzdrţevanje obstoječih sistemov, z namenom preverjanja, ali sistemi še podpirajo poslovne odločitve. Pri tem se običajno ukvarjamo z naslednjimi vprašanji (ISACA 2007, str. 13): Ali novi projekti zagotavljajo rešitve, ki podpirajo poslovne potrebe? Ali so novi projekti izvedeni pravočasno in v okviru proračuna? Ali na novo vpeljani sistemi ustrezno delujejo? Ali vpeljane spremembe ne bodo negativno vplivale na zdajšnje poslovanje? Domena Izvajajte in podpirajte zajema dejansko izvajanje zahtevanih storitev, ki vključujejo izvajanje storitev, upravljanje varnosti, neprekinjenost poslovanja, podporo storitvam uporabnikom, upravljanje podatkov in produkcijskih zmogljivosti. V zvezi z upravljanjem, se zastavljajo naslednja vprašanja (ISACA 2007, str. 13): Ali se storitve izvajajo skladno s poslovnimi prednostnimi nalogami? Ali so stroški optimizirani? Ali lahko zaposleni IT sisteme uporabljajo produktivno in varno? Ali je pri varovanju informacij ustrezno poskrbljeno za zaupnost, celovitost in razpoloţljivost? Domena Spremljajte in vrednotite obravnava vodenje delovanja, spremljanja notranjega nadzora, regulativno skladnost in upravljanje. Pri upravljanju te domene se običajno obravnava naslednja vprašanja (ISACA 2007, str. 13): Ali se delovanje IT meri, da se problemi odkrijejo, preden je prepozno? Ali vodstvo zagotavlja uspešne in učinkovite notranje nadzore? Ali je mogoče IT povezati s poslovnimi cilji? Ali so za varnost informacij zagotovljeni nadzori zaupnosti, celovitosti in razpoloţljivosti? Raziskava temelji na aplikativnem in procesnem nadzoru. Odločitev v zvezi nadzornih ciljev je odvisna od (ISACA 2007, str. 13): nadzorov, ki so primerni za uporabo v organizaciji, odločitev, ki jih ţelimo vpeljati, načina, kako jih bomo vpeljali, in sprejetja tveganja, če ne vpeljemo tistih, ki so primerni. 53 Nadzori se izvajajo po nadzornem modelu (glej Sliko 3.5), v katerem na podlagi norm, standardov in ciljev primerjamo vhodne in izhodne podatke procesov v organizaciji. Slika 3.5: Nadzorni model Vir: ISACA (2007, str. 14) 3.2 Splošen COBIT-ov okvir COBIT-ov model povezuje zahteve podjetij po informacijah in upravljanju s cilji funkcij storitev IT in omogoča, da se dejavnosti in viri IT, ki te dejavnosti podpirajo, ustrezno upravljajo in nadzirajo na podlagi COBIT-ovih nadzornih ciljev. Aktivnosti in pripadajoči viri se prikazujejo z uporabo COBIT-ovih ciljev in metrik. Viri IT se upravljajo s procesi IT z namenom doseganja ciljev IT, ki izpolnjujejo poslovne zahteve. To osnovno načelo COBITovega okvirja (Slika 3.6) je prikazano v COBIT-ovi kocki (ISACA 2007, str. 24). 54 Slika 3.6: COBIT-ova kocka Vir: ISACA (2007, str. 25) Slika 3.7prikazuje celoten COBIT-ov procesni model štirih domen, ki vsebujejo 34 splošnih procesov za upravljanje virov IT. Njihov namen je zagotoviti informacije, ki izpolnjujejo zahteve poslovanja in upravljanja. 55 Slika 3.7: Splošen COBIT-ov okvir POSLOVNI CILJI CILJI UPRAVLJANJA PO 1 Opredelite strateški načrt za IT PO 2 Opredelite informacijsko arhitekturo PO 3 Določite tehnološko usmeritev PO 4 Opredelite procese, organizacijo in razmerja IT PO 5 Upravljajte investicije v IT PO 6 Sporočajte cilje in usmeritve vodstva PO 7 Upravljajte človeške vire v sektorju IT PO 8 Upravljajte kakovost PO 9 Ocenjujte in obvladujte tveganja IT PO 10 Upravljajte projekte ME 1 Spremljajte in vrednotite delovanje IT ME 2 Spremljajte in vrednotite notranje kontrole ME 3 Določite tehnološko usmeritev ME 4 Opredelite procese, organizacijo in razmerja IT INFORMACIJSKI KRITERIJI Uspešnost Učinkovitost Zaupnost Celovitost Razpoložljivost Skladnost Zanesljivost SPREMLJAJTE IN VREDNOTITE NAČRTUJTE IN ORGANIZIRAJTE SREDSTVA IT Aplikacije Informacije Infrastruktura Ljudje IZVAJAJTE IN PODPIRAJTE KUPITE IN VPELJITE DS 1 Opredelite in upravljajte ravni storitev DS 2 Upravljajte storitve tretje stranke DS 3 Upravljajte delovanje in zmogljivosti DS 4 Zagotovite neprekinjenost storitev DS 5 Zagotovite varnost sistemov DS 6 Ugotovite in porazdelite stroške DS 7 Izobrazite in usposobite uporabnike DS 8 Upravljajte službo za pomoč uporabnikom in obvladujte incidente DS 9 Upravljajte konfiguracijo DS 10 Upravljajte probleme DS 11 Upravljajte podatke DS 12 Upravljajte fizično okolje DS 13 Upravljajte delovanje AI 1 Določite avtomatizirane rešitve AI 2 Kupite in vzdržujte aplikacijske programe AI 3 Kupite in vzdržujte tehnološko infrastrukturo AI 4 Omogočite delovanje in uporabo AI 5 Zagotovite vire IT AI 6 Upravljajte spremembe AI 7 Namestite in potrdite rešitve in spremembe Vir: ISACA (2007, str. 26) Čeprav imajo organizacije enake ključne procese, imajo le nekatere takšno strukturo, da bi uporabile vseh 34 splošnih procesov. COBIT sicer zagotavlja popoln seznam procesov, s pomočjo katerih je moţno preverjati popolnost dejavnosti in zadolţitev, vendar je na strani 56 organizacije, da se odloči, kako so procesi vpeljani, razdruţeni ali zdruţeni, odvisno od njihovih potreb. 3.2.1 Postopek izvajanja COBIT–ovega okvirja COBIT–ov okvir opisuje, kako nadzorovati, upravljati in meriti vsak proces posebej. COBIT, verzija 4.1, dopušča dva pristopa za uporabo COBIT–ovega okvirja. Vsak proces je obravnavan v štirih delih in ga lahko tolmačimo kot (ISACA 2007, str. 27–28): Primer 1 - 1. del (glej Sliko 3.8) vsebuje opis procesa, ki povzema cilje procesa, pri čemer je opis procesa prikazan v kaskadni obliki. Na tej sliki so navedeni tudi prekrivanje procesa z informacijskimi kriteriji, sredstva IT in ciljna področja upravljanja IT s črko P za primarni pomen in črko S za sekundarni pomen; - 2. del vsebuje kontrolne cilje za ta proces; - 3. del vsebuje smernice za upravljanje, ki vsebujejo vhode in izhode procesa, matriko ZOPS (zadolţen, odgovoren, posvetovan in/ali seznanjen); - 4. del vsebuje zrelostni model za proces. Primer 2 - vhod v proces je to, kar mora lastnik pridobiti od drugih; - nadzorni cilji procesa opisujejo, kaj mora storiti lastnik procesa; - izhodi iz procesa so to, kar mora lastnik procesa ustvariti; - cilji in metrike kaţejo, kako je treba proces meriti; - metrika ZOPS opredeljuje, za kaj je treba koga zadolţiti; - zrelostni model kaţe, kaj je treba storiti za izboljšavo. 57 Slika 3.8: Navigacija po COBIT-ovem okvirju Vir: ISACA (2007, str. 27) 58 3.2.2 Izdelava zrelostnega modela Potreba vse več podjetij je, preverjanje uspešnosti obvladovanja IT, ki zajema ustreznost ravni upravljanja in nadzora nad informacijsko infrastrukturo. V ta namen bomo v nalogi izdelali zrelostne modele, ki zadostijo naslednjim potrebam (ISACA 2007, str. 17): relativno merilo stanja podjetja način za učinkovito določitev nadaljnje usmeritve orodje za merjenje napredovanja proti cilju Slika 3.9: Grafična predstavitev zrelostnega modela Ne obstaja 0 Začetno/ Ad Hoc Ponovljivo Procesno Vodeno vendar definirano in intuitivno merljivo 1 2 Legenda uporabljenih simbolov: Trenutno stanje organizacije Povprečje v panogi 3 4 Optimizirano 5 Legenda uporabljene ravni: 0 - Vodenje procesov se ne izvaja 1 - Procesi so »Ad Hoc« in neorganizirani 2 - Procesi se spremljajo po predpisanih postopkih 3 - Procesi so dokumentirani in sprejeti 4 - Procesi se nadzirajo in merijo 5 – Dobrim praksam se sledi in se jih avtomatizira Cilj organizacije Vir: ISACA (2007, str. 18) Iz Slike 3.9 vidimo preprostost zrelostnega modela, v katerem vodstvo na sorazmerno lahek način ugotovi uvrščenost posameznega procesa in kaj je pri katerem procesu treba izboljšati. Zrelostni model je zgrajen iz petih ravni, pri čemer 0 pomeni, da se proces upravljanja ne uporablja ali pa ga sploh ni, in 5, pri čemer gre za visoko avtomatiziran sistem, temelječ na sistemu dobrih praks (glej Tabelo 3.1). Posamezne ravni nam torej kaţejo, kako se proces razvija iz neobstoječe zmoţnosti do optimizirane avtomatizacije. 59 Tabela 3.1: Splošni zrelostni model Popolna odsotnost kakršnih koli prepoznavnih procesov. Podjetje se ne 0 Neobstoječe zaveda zadev, ki bi jih bilo treba obravnavati. Obstajajo indikatorji, da se podjetje zaveda, da obstajajo zadeve, ki jih je 1 Začetno/ad treba obravnavati. Vendar ni standardiziranih procesov (večinoma ad hoc hoc pristopi), ki se uporabljajo različno od primera do primera. Splošen pristop k vodenju je neorganiziran. 2 Ponovljivo, Procesi so razviti do stopnje, kjer različni ljudje, ki opravljajo naloge, vendar uporabljajo podobne postopke. Podjetje ne izvaja nobenega formalnega intuitivno usposabljanja glede standardnih postopkov, niti jih ne sporoča zaposlenim, zadolţitve pa so prepuščene posameznikom. Zaradi visoke stopnje zanašanja na posameznika, obstaja velika verjetnost napak. 3 Opredeljeno Postopki so standardizirani in dokumentirani ter posredovani preko usposabljanja. Postopke je treba upoštevati, vendar je malo verjetno, da bodo odstopanja ugotovljena. Postopki niso dodelani, ampak so zgolj formalizacija obstoječih praks. 4 Vodeno in Vodstvo spremlja in meri skladnost s postopki ter ukrepa, kadar procesi merljivo ne delujejo uspešno. Procesi se stalno izboljšujejo in zagotavljajo dobro prakso. Avtomatizacija in orodja se uporabljajo omejeno ali razdrobljeno. 5 Optimizirano Procesi so izboljšani na raven dobre prakse na podlagi nenehnega izboljševanja in primerjanja zrelostnih ravni z drugimi podjetji. IT se uporablja celovito za avtomatizacijo delovnega toka, ter zagotavlja orodja za izboljšanje kakovosti in uspešnosti, ki omogočajo podjetju, da se hitro prilagodi. Vir: ISACA (2007, str. 18) Izmed 34 COBIT-ovih procesov IT bomo za izbrane procese izdelali zrelostni model, s pomočjo katerega lahko vodstvo ugotovi (ISACA 2007, str. 18): dejansko zmogljivost podjetja, kakšen je trenutni poloţaj podjetja, trenutno stanje v industriji – primerjava, 60 cilje podjetja glede izboljšav, kje ţeli podjetje biti, zahtevano pot rasti med »kot je« in »kot naj bo«. Za izvedbo zrelostnega modela (po COBIT kriterijih) bomo za primerjavo pridobili podatke iz kataloga CIO (2008), ki za področja izobraţevanja in upravljanja javnega sektorja navaja povprečne rezultate procesne zrelosti. Nato bomo primerjali izmerjeno zrelost za posamezen proces in povprečno vrednost iz kataloga CIO ter na podlagi razlike ugotovili ustreznost oziroma prepad med ţeleno in dejansko zrelostjo. 4. REZULTATI RAZISKAVE Rezultati raziskave so plod skupinskega intervjuja z vodjo informatike in vodilnim sistemskim inţenirjem v organizaciji. Iz štirih domen (glejSliko 3.7) smo izbrali 18 nadzornih procesov, s katerimi smo identificirali probleme v organizaciji in postavili izhodišča za nadaljnje delo. Za vsak proces smo na podlagi nadzornih ciljev pripravili vprašanja za intervju (glej Prilogo). Na podlagi pridobljenih odgovorov smo glede na splošni zrelostni model (glejSliko 3.9) izbranemu procesu dali oceno od 0 do 5. Za vsak proces smo nato izračunali povprečno oceno, ki sluţi za izdelavo zrelostnega modela. Grafični zrelostni model podaja oceno procesa, povprečno oceno procesa v isti panogi in cilj, ki smo si ga zadali v organizaciji. Zadani cilj sovpada s pomembnostjo procesa. Namen predstavitve in ocene posameznega procesa je predstaviti izhodiščno točko (kjer smo na kratko opisali izvajanje procesov glede na nadzorne cilje), iz katere lahko skozi nadzorne cilje načrtujemo prihodnje delovanje in izvajanje predvidenih ukrepov za dosego ciljev obvladovanja IT. 4.1 Načrtujte in organizirajte (PO) 4.1.1 Opredelite strateški načrt za IT (PO1) Strateško načrtovanje IT je temelj dobrega upravljanja IT. Je strateški dokument, ki povezuje poslovno strategijo in delovanje IT sluţbe. S tem dokumentom skupaj s poslovnimi udeleţenci zagotavljamo najboljšo moţno uresničitev projektov, boljše razumevanje IT in njenih omejitev, ocenjujemo trenutne zmogljivosti, tveganja in človeške vire. 61 Proces Opredelite strateški načrt za IT zajema naslednje nadzorne cilje: 1. upravljanje vrednosti IT 2. uskladitev med poslovanjem in IT 3. ocena trenutne zmoţnosti delovanja 4. strateški načrt za IT 5. taktični načrti IT 6. upravljanje portfelja IT Tabela 4.1: Rezultati procesa Opredelite strateški načrt za IT Vprašanje (nadzorni cilj): Ocena: 1 2 2 0 3 0 4 0 5 1 6 1 Povprečna Povprečna zrelost Pomembnost ocena: v panogi: procesa: 0,67 2,51 3,71 Vir: Voglar, lastni prikaz (2014) Ugotovitev: Sodelovanje z vodstvom deluje po principu podajanja argumentiranih predlogov IT, ki jim vodstvo prisluhne glede na finančne in tehnične zmoţnosti. Nekatere naloge upravljanja vrednosti (potek investicij, finančna izvedba) so poleg IT tudi v domeni drugih sluţb (vodstvo, pravna sluţba, finančna sluţba). Načeloma večjih odstopanj v investicijah ni. V primeru odstopanj se pripravita strokovna obrazloţitev in zahtevek za dodatna sredstva. Prav tako je finančna sluţba odgovorna za doseganje koristi in nadzor stroškov. Vrednotenje poslovnih primerov, vključno s finančno vrednostjo in tveganji, je določeno z zakonom o javnem naročanju. Organizacija nima veljavne strategije in ni dokumentiranega strateškega usklajevanja, s katerim bi ocenjevali zmoţnosti IT, njenega upravljanja in potencialnega izvajanja strateškega načrta. Postopki upravljanja virov, projektnih načrtov itd. se izvajajo na osnovi letnega načrta. Vsebina portfelja IT je zajeta v organizacijskem predpisu in se izvaja glede na vsebovane kazalnike. 62 Slika 4.1: Zrelostni model procesa Opredelite strateški načrt za IT Ne obstaja Začetno/ Ad Hoc 0 1 Ponovljivo Procesno Vodeno vendar definirano in intuitivno merljivo 2 3 Legenda uporabljenih simbolov: Optimizirano 4 5 Legenda uporabljene ravni: 0 - Vodenje procesov se ne izvaja 1 - Procesi so »Ad Hoc« in neorganizirani 2 - Procesi se spremljajo po predpisanih postopkih 3 - Procesi so dokumentirani in sprejeti 4 - Procesi se nadzirajo in merijo 5 – Dobrim praksam se sledi in se jih avtomatizira Trenutno stanje organizacije Povprečje v panogi Cilj organizacije Vir: Voglar, lastni prikaz (2014) 4.1.2 Določite tehnološke usmeritve (PO3) Za tehnološko podporo poslovanju potrebujemo celovit načrt tehnološke infrastrukture in vzpostavitev skupine, ki bo skrbela za arhitekturo sistemov, tehnološko usmeritev, načrte za nabavo, standarde, migracijske strategije in neprekinjeno delovanje. Proces Določite tehnološko usmeritev zajema naslednje nadzorne cilje: 1. načrtovanje tehnološke usmeritve 2. načrt za tehnološko infrastrukturo 3. spremljanje prihodnjih trendov, predpisov in tehnoloških standardov 4. odbor za arhitekturo IT Tabela 4.2: Rezultati procesa Določite tehnološko usmeritev Vprašanje (nadzorni cilj): Ocena: 1 2 3 1 2 2 Povprečna Povprečna Pomembnost ocena: zrelost v panogi: procesa: 1 1,50 3,9 2,26 4 Vir: Voglar, lastni prikaz (2014) Ugotovitev: Načrt tehnološke usmeritve kot tak ne obstaja. Del usmeritev je v osnutku nove strategije. Prav tako ne obstaja načrt za tehnološko infrastrukturo, ampak se ta upravlja na podlagi potreb in finančnih zmoţnosti. Prihodnjim trendom IT sluţba sledi s pomočjo 63 ponudnikov IT rešitev, ki predstavljajo nove tehnologije. Tehnološki standardi se obnavljajo z izobraţevanji in smernicami pristojnega ministrstva. Stalni odbor za arhitekturo ne obstaja, ampak se po potrebi ustanovi komisija, ki preveri arhitekturno skladnost za posamezen primer. Sprejetih smernic se ne preverja. Slika 4.2: Zrelostni model procesaDoločite tehnološko usmeritev Ne obstaja Začetno/ Ad Hoc 0 1 Ponovljivo Procesno Vodeno vendar definirano in intuitivno merljivo 2 Legenda uporabljenih simbolov: Trenutno stanje organizacije Povprečje v panogi 3 4 Optimizirano 5 Legenda uporabljene ravni: 0 - Vodenje procesov se ne izvaja 1 - Procesi so »Ad Hoc« in neorganizirani 2 - Procesi se spremljajo po predpisanih postopkih 3 - Procesi so dokumentirani in sprejeti 4 - Procesi se nadzirajo in merijo 5 – Dobrim praksam se sledi in se jih avtomatizira Cilj organizacije Vir: Voglar, lastni prikaz (2014) 4.1.3 Opredelite procese, organizacijo in razmerja IT (PO4) V tem IT procesu so opredeljene vloge osebja, njihove sposobnosti, funkcije, odgovornosti, zadolţitve in nadzor. Strateški odbor zagotavlja nadzor uprave nad IT, določa prednostni seznam virov in skladnost s poslovnimi potrebami. Proces Opredeli procese, organizacijo in razmerja IT zajema naslednje nadzorne cilje: 1. procesni okvir za IT 2. odbor za strategijo IT 3. nadzorna skupina za IT 4. organizacijska umestitev funkcije IT 5. organizacijska struktura IT 6. določitev vlog in zadolţitev 64 7. zadolţitev in ločevanje nalog za zagotavljanje kakovosti IT, tveganja, varnost in skladnost 8. lastništvo podatkov in sistema 9. nadzor 10. ključno in ostalo osebje v sektorju IT 11. politike in postopki za pogodbeno osebje 12. razmerja v IT Tabela 4.3: Rezultati procesa Opredeli procese, organizacijo in razmerja IT Vprašanje Povpr. Povpr. Pomembnost (nadzorni 1 2 3 4 5 6 7 8 9 10 11 12 zrelost v procesa: ocena: cilj): panogi: Ocena: 1 0 1 1 1 1 0 1 0 1 4 4 1,25 1,82 3,57 Vir: Voglar, lastni prikaz (2014) Ugotovitev: Procesni okvir obvladovanja IT je podan v organizacijskem predpisu. Odbor za strategijo IT ne obstaja, nadzorna skupina izvaja nadzor v okviru skupine za kakovost. V organizacijski strukturi je funkcija IT umeščena pod upravno-poslovno dejavnost. Organizacijska struktura IT je odvisna od gibanja zaposlenih in trendov, ki jih določa pristojno ministrstvo. Vloge so razdeljene, vendar se zaradi okrnjenega kadra prepletajo. V IT sluţbi ni posebej določene osebe za zagotavljanje kakovosti, obvladovanje tveganja, varnosti in skladnosti. Lastništvo podatkov in sistema se določa glede na informacijsko in področno rešitev. Da je IT sluţba čim manj odvisna od ključnega osebja, so naloge prekrivajo. Za iste naloge so usposobljeni tudi zunanji partnerji. S podpisom pogodbe se pogodbeno osebje zaveţe k spoštovanju protokolov in pravil, ki veljajo v organizaciji. Razmerja v IT se upravljajo pogodbeno po predpisanih zakonih (zakon o javnem naročanju, varovanje osebnih podatkov itd.). 65 Slika 4.3: Zrelostni model procesa Opredeli procese, organizacijo in razmerja IT Ne obstaja Začetno/ Ad Hoc 0 1 Ponovljivo Procesno Vodeno vendar definirano in intuitivno merljivo 2 3 Legenda uporabljenih simbolov: Optimizirano 5 4 Legenda uporabljene ravni: 0 - Vodenje procesov se ne izvaja 1 - Procesi so »Ad Hoc« in neorganizirani 2 - Procesi se spremljajo po predpisanih postopkih 3 - Procesi so dokumentirani in sprejeti 4 - Procesi se nadzirajo in merijo 5 – Dobrim praksam se sledi in se jih avtomatizira Trenutno stanje organizacije Povprečje v panogi Cilj organizacije Vir: Voglar, lastni prikaz (2014) 4.1.4 Upravljajte človeške vire v sektorju IT (PO7) Zaradi kritičnosti procesa moramo upravljanje človeških virov spremljati od zaposlitve do spremembe oziroma prekinitve delovnega razmerja. Proces Upravljajte človeške vire v sektorju IT zajema naslednje nadzorne cilje: 1. zaposlovanje in razporejanje delovne sile 2. preverjanje in vzdrţevanje sposobnosti osebja 3. dodelitev, spremljanje in nadzor vlog 4. usposabljanje osebja 5. odvisnost od posameznikov 6. postopki za preverjanje osebja 7. ocenjevanje dela zaposlenih 8. sprememba ali prekinitev delovnega razmerja Tabela 4.4: Rezultati procesa Upravljajte človeške vire v sektorju IT Vprašanje (nadzorni cilj): 1 2 3 4 5 6 7 8 Ocena: 1 1 1 1 2 1 3 1 Vir: Voglar, lastni prikaz (2014) 66 Povprečna Pomembnost zrelost v procesa: panogi: 1,38 1,95 3,94 Povprečna ocena: Ugotovitev: Zaposlovanje v sektorju IT poteka v skladu s kadrovsko politiko. Sposobnosti osebja se ne preverja. Njihove sposobnosti se vzdrţujejo prek aktualnih izobraţevanj. Zadolţitve in pristojnosti zaposlenih se dodeljujejo glede na profil zaposlenih. Od zaposlenih se pričakuje samoizobraţevanje. Izobraţevanja so vezana tudi na aktualne nakupe informacijskih sistemov, strojne in programske opreme itd. Odvisnost od posameznikov je urejena s prekrivanjem nalog in pogodbami z zunanjimi izvajalci. Postopki za preverjanje osebja se izvajajo pri zunanjih izvajalcih (reference, certifikati), potencialnega zaposlitvenega osebja se ne preverja. Zaposlene se ocenjuje skozi zakonsko predpisane letne razgovore. Ob spremembi oziroma prekinitvi delovnega razmerja se glede na potrebe dodelijo oziroma odvzamejo pravice. Slika 4.4: Zrelostni model procesa Upravljajte človeške vire v sektorju IT Ne obstaja Začetno/ Ad Hoc 0 1 Ponovljivo Procesno Vodeno vendar definirano in intuitivno merljivo 2 Legenda uporabljenih simbolov: Trenutno stanje organizacije Povprečje v panogi 3 4 Optimizirano 5 Legenda uporabljene ravni: 0 - Vodenje procesov se ne izvaja 1 - Procesi so »Ad Hoc« in neorganizirani 2 - Procesi se spremljajo po predpisanih postopkih 3 - Procesi so dokumentirani in sprejeti 4 - Procesi se nadzirajo in merijo 5 – Dobrim praksam se sledi in se jih avtomatizira Cilj organizacije Vir: Voglar, lastni prikaz (2014) 4.1.5 Upravljajte kakovost (PO8) Upravljanje kakovosti sektorja IT je del celovitega sistema upravljanja kakovosti v organizaciji. Ta zajema razvoj, vpeljavo in vzdrţevanje kakovosti. Zahteve glede kakovosti morajo biti sporočene v obliki merljivih in ovrednotenih kazalnikov. Proces Upravljajte kakovost zajema naslednje nadzorne cilje: 1. sistem za upravljanje kakovosti 2. standardi in prakse za kakovost IT 67 3. standardi za razvoj in nabavo 4. osredotočenost na stranke 5. stalno izboljševanje 6. merjenje, spremljanje in pregledovanje kakovosti Tabela 4.5: Rezultati procesa Upravljajte kakovost Vprašanje (nadzorni cilj): Ocena: 1 2 3 4 5 2 1 1 2 2 Povprečna Povprečna Pomembnost ocena: zrelost v panogi: procesa: 2 1,67 2,05 3,82 6 Vir: Voglar, lastni prikaz (2014) Ugotovitev: Sistem upravljanja kakovosti je vzpostavljen s sistemom ISO 9001 in ISO 27001. Za ključne procese se organizacijsko uporabljajo dobre prakse standarda ISO 9001, za ključne IT procese pa varnostne politike sistema ISO 27001. S sprejemom standardov za razvoj in nabavo je IT sektorju omogočena preglednejša in varnejša nabava. Za osredotočenost na stranke je sektor IT razvil formalizirane postopke. Postopki in način izvajanja kakovosti se zagotavlja z notranjo presojo in spremljanjem uresničitve kazalnikov iz organizacijskega predpisa. Slika 4.5: Zrelostni model procesa Upravljajte kakovost Ne obstaja Začetno/ Ad Hoc 0 1 Ponovljivo Procesno Vodeno vendar definirano in intuitivno merljivo 2 Legenda uporabljenih simbolov: Trenutno stanje organizacije Povprečje v panogi 3 4 Optimizirano 5 Legenda uporabljene ravni: 0 - Vodenje procesov se ne izvaja 1 - Procesi so »Ad Hoc« in neorganizirani 2 - Procesi se spremljajo po predpisanih postopkih 3 - Procesi so dokumentirani in sprejeti 4 - Procesi se nadzirajo in merijo 5 – Dobrim praksam se sledi in se jih avtomatizira Cilj organizacije Vir: Voglar, lastni prikaz (2014) 68 4.1.6 Ocenjujte in obvladujte tveganja IT (PO9) Celovit okvir ocenjevanja in obvladovanja tveganj obsega dokumentirano dogovorjeno raven tveganj, strategijo za zmanjševanje tveganj in obvladovanje ostalih tveganj. Osnovni namen obvladovanja tveganj je v nekem dogodku prepoznati tveganje, ga analizirati, oceniti in v prihodnje preprečiti oziroma sprejeti. Proces Ocenjujte in obvladujte tveganja IT zajema naslednje nadzorne cilje: 1. okvir obvladovanja tveganj IT 2. določanje okoliščin tveganja 3. prepoznavanje dogodka 4. ocena tveganja 5. odziv na tveganje 6. vzdrţevanje in spremljanje načrta za tveganje Tabela 4.6: Rezultati procesa Ocenjujte in obvladujte tveganja IT Vprašanje (nadzorni cilj): Ocena: 1 2 3 4 5 0 1 1 0 1 Povprečna Povprečna Pomembnost ocena: zrelost v panogi: procesa: 1 0,67 2,27 3,96 6 Vir: Voglar, lastni prikaz (2014) Ugotovitev: V organizaciji ni formalnega okvirja obvladovanja tveganj IT. Tveganja se glede na identificirane okoliščine obravnavajo le v okviru aplikacij in strojne opreme, ki same beleţijo dogodke in prikazujejo trenuten status. Zapis se opravlja v sistem centralnega nadzora tveganj. Identificirana tveganja se zaradi potreb delovanja odpravi, vendar se jih,če niso shranjena v sistemu, ne dokumentira. Ocena verjetnosti tveganja se ne izvaja. Postopki za odziv na tveganje niso formalizirani in se prilagajo vsakemu identificiranemu tveganju posebej. Akcijski načrt za tveganja ne obstaja. Obravnava tveganj je omenjena le v organizacijskem predpisu. 69 Slika 4.6: Zrelostni model procesa Ocenjujte in obvladujte tveganja IT Ne obstaja Začetno/ Ad Hoc 0 1 Ponovljivo Procesno Vodeno vendar definirano in intuitivno merljivo 2 Legenda uporabljenih simbolov: Trenutno stanje organizacije Povprečje v panogi 3 Optimizirano 4 5 Legenda uporabljene ravni: 0 - Vodenje procesov se ne izvaja 1 - Procesi so »Ad Hoc« in neorganizirani 2 - Procesi se spremljajo po predpisanih postopkih 3 - Procesi so dokumentirani in sprejeti 4 - Procesi se nadzirajo in merijo 5 – Dobrim praksam se sledi in se jih avtomatizira Cilj organizacije Vir: Voglar, lastni prikaz (2014) 4.2 Kupite in vpeljite (AI) 4.2.1 Kupite in vzdržujte aplikacijske programe (AI2) Proces upravljanja aplikacij zajema zasnovo aplikacij, ustrezno vključitev nadzorov ter razvoj in konfiguracijo aplikacij skladno s standardi. Aplikacije morajo nuditi pomoč pri delu uporabnikom, predvsem pa morajo biti skladne s poslovnimi zahtevami. Proces Kupite in vzdrţujte aplikacijske programe zajema naslednje nadzorne cilje: 1. visokonivojska zasnova 2. podrobna zasnova 3. aplikacijskinadzor in primernost za revidiranje 4. varnost aplikacij in razpoloţljivost 5. konfiguracija in vpeljava pridobljene aplikacijske opreme 6. večja nadgradnja obstoječih sistemov 7. razvoj aplikacijske programske opreme 8. zagotovitev kakovosti programske opreme 9. upravljanje zahtev aplikacij 10. vzdrţevanje aplikacijske programske opreme 70 Tabela 4.7: Rezultati procesa Kupite in vzdrţujte aplikacijske programe Vprašanje (nadzorni cilj): 1 2 3 4 5 6 7 8 9 Povprečna Povprečna Pomembnost 10 zrelost v ocena: procesa: panogi: Ocena: 1 1 2 2 2 2 1 2 2 1 1,60 1,82 3,57 Vir: Voglar, lastni prikaz (2014) Ugotovitev: Strategija pridobivanja aplikacijske opreme temelji na potrebah uporabnikov in potrebah po posodobitvah informacijskih sistemov. Na podlagi podrobno definirane zasnove (tehnološke in ekonomske) direktor potrdi oziroma ne potrdi zasnove. Aplikacijskinadzor za novo programsko opremo se izvaja pred podpisom pogodbe, in sicer se pri ponudniku izvede testiranje. Nadzor varnosti in razpoloţljivosti se izvajajo le po nakupu opreme in je določen s pogodbenimi členi. Konfiguracije, nadgradnje in vpeljave aplikacij se izvajajo po predhodni odobritvi direktorja in po dogovoru z uporabnikom, in sicer v času, ko so delovni procesi čim manj moteni. Razvoj aplikacijske opreme se glede na uporabnikove zahteve izvaja v organizaciji oziroma pri pogodbenem zunanjem izvajalcu. Kakovost aplikacij se preverja po dogovorjenih členih v pogodbi. Tudi morebitne spremembe se predvidijo v pogodbi. Dobavitelj aplikacije skrbi za vzdrţevanje in pripravo dokumentacije za aplikacijsko opremo. Slika 4.7: Zrelostni model procesa Kupite in vzdrţujte aplikacijske programe Ne obstaja Začetno/ Ad Hoc 0 1 Ponovljivo Procesno Vodeno vendar definirano in intuitivno merljivo 2 Legenda uporabljenih simbolov: Trenutno stanje organizacije Povprečje v panogi 3 4 Optimizirano 5 Legenda uporabljene ravni: 0 - Vodenje procesov se ne izvaja 1 - Procesi so »Ad Hoc« in neorganizirani 2 - Procesi se spremljajo po predpisanih postopkih 3 - Procesi so dokumentirani in sprejeti 4 - Procesi se nadzirajo in merijo 5 – Dobrim praksam se sledi in se jih avtomatizira Cilj organizacije Vir: Voglar, lastni prikaz (2014) 71 4.2.2 Kupite in vzdržujte tehnološko infrastrukturo (AI3) Organizacija vzpostavi proces nabave, vzdrţevanja in zaščite infrastrukture, ki je skladen s tehnološkimi strategijami ter zagotovljenim razvojnim in testnim okoljem. Proces Kupite in vzdrţujte tehnološko infrastrukturo zajema naslednje nadzorne cilje: 1. načrt za nabavo tehnološke infrastrukture 2. zaščita in razpoloţljivost infrastrukturnih virov 3. vzdrţevanje infrastrukture 4. okolje za testiranje izvedljivosti Tabela 4.8: Rezultati procesa Kupite in vzdrţujte tehnološko infrastrukturo Vprašanje (nadzorni cilj): Ocena: 1 2 3 0 1 0 Povprečna Povprečna Pomembnost ocena: zrelost v panogi: procesa: 1 0,50 1,82 3,57 4 Vir: Voglar, lastni prikaz (2014) Ugotovitev: Organizacija nima posebnega načrta za nabavo, vpeljavo in vzdrţevanje tehnološke infrastrukture, ampak so te dejavnosti delno zajete v letnem načrtu. Zaščita in razpoloţljivost se zagotavljata v okviru vzdrţevanja. Komponente infrastrukture se običajno razvijajo pri ponudniku komponent. Domače testno okolje se izvaja zgolj na manjših sistemih, ki se načrtujejo glede na trenutne potrebe. Slika 4.8: Zrelostni model procesa Kupite in vzdrţujte tehnološko infrastrukturo Ne obstaja Začetno/ Ad Hoc 0 1 Ponovljivo Procesno Vodeno vendar definirano in intuitivno merljivo 2 Legenda uporabljenih simbolov: Trenutno stanje organizacije Povprečje v panogi 3 4 Optimizirano 5 Legenda uporabljene ravni: 0 - Vodenje procesov se ne izvaja 1 - Procesi so »Ad Hoc« in neorganizirani 2 - Procesi se spremljajo po predpisanih postopkih 3 - Procesi so dokumentirani in sprejeti 4 - Procesi se nadzirajo in merijo 5 – Dobrim praksam se sledi in se jih avtomatizira Cilj organizacije Vir: Voglar, lastni prikaz (2014) 72 4.2.3 Omogočite delovanje in uporabo (AI4) Ta proces zahteva pripravo dokumentacije in priročnikov za pravilno uporabo aplikacij in infrastrukture. Namenjen je uporabnikom in zaposlenim v IT. Proces Omogočite delovanje in uporabo zajema naslednje nadzorne cilje: 1. načrtovanje operativnih rešitev 2. prenos znanja poslovnemu vodstvu 3. prenos znanja končnim uporabnikom 4. prenos znanja operativnemu in podpornemu osebju Tabela 4.9: Rezultati procesa Omogočite delovanje in uporabo Vprašanje (nadzorni cilj): Ocena: 1 2 3 4 0 1 2 1 Povprečna Povprečna Pomembnost ocena: zrelost v panogi: procesa: 1,00 2,25 3,78 Vir: Voglar, lastni prikaz (2014) Ugotovitev: Organizacija nima dokumentiranega načrta za upravljanje operativnih rešitev, vendar se skozi celoten dan zagotavlja podpora delovanju. V primeru večjih teţav, obstajajo pogodbeni roki, v katerih se morajo zunanji izvajalci odzvati na problem. Prenos znanja poslovnemu vodstvu se posreduje preko predstavitev in strokovne podpore. Končnim uporabnikom se znanje posreduje preko klasičnih izobraţevanj in organizirane podpore. Prenos znanja operativnemu in podpornemu osebju se izvaja pri dobavitelju in organiziranih izobraţevanjih znotraj organizacije. 73 Slika 4.9: Zrelostni model procesa Omogočite delovanje in uporabo Ne obstaja Začetno/ Ad Hoc 0 1 Ponovljivo Procesno Vodeno vendar definirano in intuitivno merljivo 2 Legenda uporabljenih simbolov: Trenutno stanje organizacije Povprečje v panogi 3 4 Optimizirano 5 Legenda uporabljene ravni: 0 - Vodenje procesov se ne izvaja 1 - Procesi so »Ad Hoc« in neorganizirani 2 - Procesi se spremljajo po predpisanih postopkih 3 - Procesi so dokumentirani in sprejeti 4 - Procesi se nadzirajo in merijo 5 – Dobrim praksam se sledi in se jih avtomatizira Cilj organizacije Vir: Voglar, lastni prikaz (2014) 4.3 Izvajajte in podpirajte (DS) 4.3.1 Opredelite in upravljajte ravni storitev (DS1) Komunikacijo med vodstvom IT in poslovnimi strankami je treba opredeliti s skupnim dokumentom in sporazumom glede storitev IT in ravni storitev. S tem procesom omogočamo usklajevanje med storitvami in povezanimi poslovnimi zahtevami. Proces Opredelite in upravljajte ravni storitev zajema naslednje nadzorne cilje: 1. okvir za upravljanje ravni storitev 2. opredelitev storitev 3. sporazumi o ravni storitev 4. dogovori o izvedbenih ravneh 5. spremljanje in poročanje o doseţenih ravneh storitev 6. pregled sporazumov o ravni storitev in pogodb 74 Tabela 4.10: Rezultati procesa Opredelite in upravljajte ravni storitev Vprašanje (nadzorni cilj): Ocena: 1 2 3 4 5 6 1 1 3 3 2 2 Povprečna Povprečna Pomembnost ocena: zrelost v panogi: procesa: 2,00 1,65 3,22 Vir: Voglar, lastni prikaz (2014) Ugotovitev: Okvir za upravljanje ravni storitev med stranko in ponudnikom je definiran izključno s pogodbo. Glede na nivo ravni storitev se oblikuje tudi pogodba s ponudnikom. Prav tako so izvedbena raven in načina spremljanja in poročanja določeni s pogodbenimi členi. Pregled sporazumov o ravni storitev in pogodb se izvaja letno, pri čemer se pripravljajo in podaljšujejo pogodbe o izvajanju storitev in poznejši podpori. Slika 4.10: Zrelostni model procesa Opredelite in upravljajte ravni storitev Ne obstaja Začetno/ Ad Hoc 0 1 Ponovljivo Procesno Vodeno vendar definirano in intuitivno merljivo 2 Legenda uporabljenih simbolov: Trenutno stanje organizacije Povprečje v panogi 3 4 Optimizirano 5 Legenda uporabljene ravni: 0 - Vodenje procesov se ne izvaja 1 - Procesi so »Ad Hoc« in neorganizirani 2 - Procesi se spremljajo po predpisanih postopkih 3 - Procesi so dokumentirani in sprejeti 4 - Procesi se nadzirajo in merijo 5 – Dobrim praksam se sledi in se jih avtomatizira Cilj organizacije Vir: Voglar, lastni prikaz (2014) 4.3.2 Upravljajte storitve tretje stranke (DS2) Proces upravljanja storitve tretje stranke zajema jasno opredeljene vloge, zadolţitve in pričakovanja za storitve tretje stranke (dobavitelji, partnerji). S tem sporazumom se zaščitimo pred strankami, ki ne izpolnjujejo svojih obveznosti (zmanjšujemo tveganja). Proces Upravljajte storitve tretje stranke zajema naslednje nadzorne cilje: 1. določitev vseh odnosov z dobavitelji 2. upravljanje odnosa z dobavitelji 75 3. obvladovanje tveganja dobavitelja 4. spremljanje dela dobavitelja Tabela 4.11: Rezultati procesa Upravljajte storitve tretje stranke Vprašanje (nadzorni cilj): Ocena: 1 2 3 4 3 3 2 1 Povprečna Povprečna zrelost v Pomembnost ocena: panogi: procesa: 2,25 1,91 3,34 Vir: Voglar, lastni prikaz (2014) Ugotovitev: Upravljanje in določitev odnosov z dobavitelji se izvedeta s pogodbo (v sodelovanju s pravno in nabavno sluţbo). Pogodba običajno zajema ekonomski in tehnični vidik (odzivni čas, protokol dostopa, nadzor). Tveganja z dobavitelji se zmanjšujejo z ustreznimi pogodbenimi členi in stalnim nadzorom. Zaradi odvisnosti od nekaterih dobaviteljev je nekatera tveganja teţko preprečiti. Spremljanje in merjenje izvajanja ravni storitev se izvaja sprotno, vendar se ne beleţi. Slika 4.11: Zrelostni model procesa Upravljajte storitve tretje stranke Ne obstaja Začetno/ Ad Hoc 0 1 Ponovljivo Procesno Vodeno vendar definirano in intuitivno merljivo 2 Legenda uporabljenih simbolov: Trenutno stanje organizacije Povprečje v panogi 3 4 Optimizirano 5 Legenda uporabljene ravni: 0 - Vodenje procesov se ne izvaja 1 - Procesi so »Ad Hoc« in neorganizirani 2 - Procesi se spremljajo po predpisanih postopkih 3 - Procesi so dokumentirani in sprejeti 4 - Procesi se nadzirajo in merijo 5 – Dobrim praksam se sledi in se jih avtomatizira Cilj organizacije Vir: Voglar, lastni prikaz (2014) 4.3.3 Upravljajte delovanje in zmogljivost (DS3) Redno pregledovanje trenutnega delovanja in zmogljivosti sredstev IT zagotavlja, da so sredstva, ki podpirajo poslovne zahteve, ves čas na voljo. 76 Proces Upravljajte delovanje in zmogljivost zajema naslednje nadzorne cilje: 1. načrtovanje delovanja in zmogljivosti 2. trenutno delovanje in zmogljivosti 3. prihodnje delovanje in zmogljivosti 4. razpoloţljivost sredstev IT 5. spremljanje in poročanje Tabela 4.12: Rezultati procesa Upravljajte delovanje in zmogljivost Vprašanje (nadzorni cilj): Ocena: 1 2 3 4 1 1 2 1 Povprečna Povprečna Pomembnost ocena: zrelost v panogi: procesa: 2 1,40 1,82 3,57 5 Vir: Voglar, lastni prikaz (2014) Ugotovitev: V organizaciji ni izdelanega načrta delovanja in zmogljivosti, vendar se zmoţnost delovanja preverja glede na potrebe, ki bi jih bilo trebauresničiti v prihodnje. Trenutna zmogljivost se preverja s stanjem (statusom) strojne in programske opreme. Usmerjenost v prihodnje delovanje in zmogljivosti so načrtovane v letnem načrtu, ki pa je odvisen od finančnih zmoţnosti. Razpoloţljivost se zagotavlja z redundanco sistemov in predvidenimi sredstvi v finančnem načrtu. Spremljanje delovanja je zagotovljeno le s centralno nadzorno konzolo, ki generira avtomatska sporočila. Ostala sredstva in zmogljivosti se preverjajo priloţnostno, vendar se ne beleţijo. Slika 4.12: Zrelostni model procesa Upravljajte delovanje in zmogljivost Ne obstaja Začetno/ Ad Hoc 0 1 Ponovljivo Procesno Vodeno vendar definirano in intuitivno merljivo 2 Legenda uporabljenih simbolov: Trenutno stanje organizacije Povprečje v panogi 3 4 Optimizirano 5 Legenda uporabljene ravni: 0 - Vodenje procesov se ne izvaja 1 - Procesi so »Ad Hoc« in neorganizirani 2 - Procesi se spremljajo po predpisanih postopkih 3 - Procesi so dokumentirani in sprejeti 4 - Procesi se nadzirajo in merijo 5 – Dobrim praksam se sledi in se jih avtomatizira Cilj organizacije Vir: Voglar, lastni prikaz (2014) 77 4.3.4 Zagotovite varnost sistemov (DS5) Varnost sistemov zagotavljamo z vzpostavitvijo in vzdrţevanjem vlog, politik, standardov, in postopkov varovanja IT. Z rednim spremljanjem delovanja in rednim testiranjem, lahko identificiramo varnostne slabosti oziroma varnostne incidente. Proces Zagotovite varnost sistemov zajema naslednje nadzorne cilje: 1. upravljanje varnostnih sistemov 2. načrt varovanja IT 3. upravljanje identitete 4. upravljanje uporabniških računov 5. testiranje, spremljanje in nadzor varovanja 6. opredelitev varnostnega incidenta 7. zaščita varnostne tehnologije 8. upravljanje kriptografskih ključev 9. preprečevanje in odkrivanje zlonamernih programov 10. omreţna varnost 11. izmenjava občutljivih podatkov Tabela 4.13: Rezultati procesa Zagotovite varnost sistemov Vprašanje (nadzorni 1 cilj): 2 3 4 5 6 7 8 9 10 11 0 0 2 2 2 0 2 3 2 2 Ocena: 3 Povpr. Povpr. Pomembnost zrelost v ocena: procesa: panogi: 1,64 2,27 3,96 Vir: Voglar, lastni prikaz (2014) Ugotovitev: Organizacija nima celovitega dokumenta upravljanja tveganja. Tveganja v IT se upravljajo zgolj na izpostavljenih področjih. Eden izmed teh področij je upravljanje identitete zaposlenih, kjer ima organizacija izdelan protokol o upravljanju notranjih, zunanjih in začasnih uporabniških računov. Osnovne podatke o uporabniku zagotovi kadrovska sluţba, IT sluţba pa omogoči dostope glede na izdelan protokol. Spremljanje in nadzor varovanja se spremljata skozi dogodke v aplikacijah in omreţju. Dogodke se posebej ne dokumentira, prav tako niso opredeljeni varnostni incidenti. Varnostne tehnologije so zaščitene z omejenimi dostopi in mesečnimi spreminjanji gesel. Varnostni ključi se varujejo po internem pravilniku. Preprečevanje in odkrivanje zlonamernih programov se izvajata z redno posodobljenimi 78 protivirusnimi programi, poţarnimi zidovi itd. Omreţna varnost je vezana na opremo, ki ima vgrajene varnostne mehanizme. Varnost postopkov pri izmenjavi občutljivih podatkov zagotavlja z ločenim in nadzorovanim omreţjem. Slika 4.13: Zrelostni model procesa Zagotovite varnost sistemov Ne obstaja Začetno/ Ad Hoc 0 1 Ponovljivo Procesno Vodeno vendar definirano in intuitivno merljivo 2 Legenda uporabljenih simbolov: Trenutno stanje organizacije Povprečje v panogi 3 Optimizirano 4 5 Legenda uporabljene ravni: 0 - Vodenje procesov se ne izvaja 1 - Procesi so »Ad Hoc« in neorganizirani 2 - Procesi se spremljajo po predpisanih postopkih 3 - Procesi so dokumentirani in sprejeti 4 - Procesi se nadzirajo in merijo 5 – Dobrim praksam se sledi in se jih avtomatizira Cilj organizacije Vir: Voglar, lastni prikaz (2014) 4.3.5 Upravljajte podatke (DS11) Proces upravljanja podatkov zahteva vzpostavitev postopkov za upravljanje knjiţnice podatkov, varnostno shranjevanje in obnovo podatkov ter nadzorovano odstranitev nosilcev podatkov. Proces Upravljajte podatke zajema naslednje nadzorne cilje: 1. poslovne zahteve za upravljanje podatkov 2. dogovori za shranjevanje in hrambo 3. sistem za upravljanje knjiţnice nosilcev podatkov 4. odstranjevanje 5. varno kopiranje in obnova 6. varnostne zahteve za upravljanje podatkov 79 Tabela 4.14: Rezultati procesa Upravljajte podatke Vprašanje (nadzorni cilj): Ocena: 1 2 3 4 5 1 1 2 2 2 Povprečna Povprečna zrelost Pomembnost ocena: v panogi: procesa: 2 1,67 2,22 3,85 6 Vir: Voglar, lastni prikaz (2014) Ugotovitev: Organizacija upravljanje podatkov ne obravnava posebej. Postopki za shranjevanje in hrambo podatkov se določijo glede na navodila za uporabo posameznega informacijskega sistema. Sistem za upravljanje knjiţnice nosilcev podatkov se izvaja po ustnem dogovoru in ni dokumentiran. Odstranjevanje oziroma prenos podatkov se izvajata po trenutni interni odločitvi za posamezne podatke. Postopki varnostnega kopiranja so avtomatizirani in določeni s poslovnimi zahtevami. Varnostne zahteve za upravljanje so določene v pogodbi pri nakupu oziroma upravljanju sistemov. Slika 4.14: Zrelostni model procesa Upravljajte podatke Ne obstaja Začetno/ Ad Hoc 0 1 Ponovljivo Procesno Vodeno vendar definirano in intuitivno merljivo 2 Legenda uporabljenih simbolov: Trenutno stanje organizacije Povprečje v panogi 3 4 Optimizirano 5 Legenda uporabljene ravni: 0 - Vodenje procesov se ne izvaja 1 - Procesi so »Ad Hoc« in neorganizirani 2 - Procesi se spremljajo po predpisanih postopkih 3 - Procesi so dokumentirani in sprejeti 4 - Procesi se nadzirajo in merijo 5 – Dobrim praksam se sledi in se jih avtomatizira Cilj organizacije Vir: Voglar, lastni prikaz (2014) 4.3.6 Upravljajte fizično okolje (DS12) Vodilo upravljanja fizičnega okolja je zagotoviti varnost računalniške opreme in osebja. Zato je treba zagotoviti varen fizični prostor, ki mu moramo opredeliti zahteve glede zmogljivosti, spremljanja dejavnikov okolja ter upravljanja fizičnega dostopa. 80 Proces Upravljajte fizično okolje zajema naslednje nadzorne cilje: 1. izbor prostora in načrt 2. ukrepi za fizično varnost 3. fizični dostop 4. zaščita pred okoljskimi dejavniki 5. upravljanje fizičnih zmogljivosti Tabela 4.15: Rezultati procesa Upravljajte fizično okolje Vprašanje (nadzorni cilj): Ocena: 1 2 3 4 5 1 1 2 2 2 Povprečna Povprečna Pomembnost ocena: zrelost v panogi: procesa: 2 1,40 2,26 3,9 6 Vir: Voglar, lastni prikaz (2014) Ugotovitev: Prostori so določeni glede na prostorske in tehnološke zmoţnosti. Ukrepi za fizično varnost so zajeti v okviru poţarnega varstva in tehnoloških usmeritev. Fizični dostopi se elektronsko urejajo s sistemom nadzora dostopa in z odobritvijo ter dokumentiranjem dovoljenih dostopov. Zaščita pred okoljskimi dejavniki je urejena s klasifikacijo zahtevnosti prostorov. Glede na zahteve prostorov se prostor opremi z napravami za spremljanje in nadzor okolja. Organizacija nima posebnega načrta upravljanja fizičnih zmogljivosti, temveč se upravljanje porazdeli na različne sluţbe znotraj organizacije. Slika 4.15: Zrelostni model procesa Upravljajte fizično okolje Ne obstaja Začetno/ Ad Hoc 0 1 Ponovljivo Procesno Vodeno vendar definirano in intuitivno merljivo 2 Legenda uporabljenih simbolov: Trenutno stanje organizacije Povprečje v panogi 3 4 Optimizirano 5 Legenda uporabljene ravni: 0 - Vodenje procesov se ne izvaja 1 - Procesi so »Ad Hoc« in neorganizirani 2 - Procesi se spremljajo po predpisanih postopkih 3 - Procesi so dokumentirani in sprejeti 4 - Procesi se nadzirajo in merijo 5 – Dobrim praksam se sledi in se jih avtomatizira Cilj organizacije Vir: Voglar, lastni prikaz (2014) 81 4.4 Spremljajte in vrednotite (ME) 4.4.1 Spremljajte in vrednotite delovanje IT (ME1) Da lahko ocenimo uspešnost delovanja IT, ga moramo spremljati in meriti. Zato moramo razviti ustrezne kazalnike delovanja, na podlagi katerih izvajamo ukrepe v primerih odstopanja od postavljenih usmeritev in politik. Proces Spremljajte in vrednotite delovanje IT zajema naslednje nadzorne cilje: 1. opredelitev in zbiranje podatkov za spremljanje 2. metode spremljanja 3. ocena delovanja 4. poročanje upravi in izvršnim direktorjem 5. korektivni ukrepi Tabela 4.16: Rezultati procesa Spremljajte in vrednotite delovanje IT Vprašanje (nadzorni cilj): Ocena: 1 2 3 4 2 1 2 2 Povprečna Povprečna Pomembnost ocena: zrelost v panogi: procesa: 1 1,60 2,25 3,78 5 Vir: Voglar, lastni prikaz (2014) Ugotovitev: Spremljanje in vrednotenje delovanja IT je določeno v organizacijskem predpisu (merljivi kazalniki). Ocenjevanje se izvaja 1-krat mesečno in temelji na realizaciji zastavljenih kazalnikov. Vodja 3-krat letno pripravi kratko poročilo o delovanju in rezultatih posameznih programov. Če se v poročilu pojavijo prevelika odstopanja v načrtu (glede na nujnost), pride do korektivnih ukrepov. 82 Slika 4.16: Zrelostni model procesa Spremljajte in vrednotite delovanje IT Ne obstaja Začetno/ Ad Hoc 0 1 Ponovljivo Procesno Vodeno vendar definirano in intuitivno merljivo 2 3 Legenda uporabljenih simbolov: 4 Optimizirano 5 Legenda uporabljene ravni: 0 - Vodenje procesov se ne izvaja 1 - Procesi so »Ad Hoc« in neorganizirani 2 - Procesi se spremljajo po predpisanih postopkih 3 - Procesi so dokumentirani in sprejeti 4 - Procesi se nadzirajo in merijo 5 – Dobrim praksam se sledi in se jih avtomatizira Trenutno stanje organizacije Povprečje v panogi Cilj organizacije Vir: Voglar, lastni prikaz (2014) 4.4.2 Zagotovite skladnost z zunanjimi zahtevami (ME3) V procesu pregledovanja delovanja je pomembno, da je zagotovljena skladnost z zakoni, predpisi in pogodbenimi zahtevami, zato so potrebni prepoznavanje zahtev skladnosti, pridobitev jamstva skladnosti glede na zahteve ter skupno poročanje IT sluţbe in ostalega poslovanja o skladnosti. Proces Zagotovite skladnost z zunanjimi zahtevami zajema naslednje nadzorne cilje: 1. prepoznavanje zunanjih pravnih, regulativnih in pogodbenih zahtev glede skladnosti 2. optimizacija odziva na zunanje zahteve 3. ocenjevanje skladnosti z zunanjimi zahtevami 4. pozitivno jamstvo skladnosti 5. zdruţeno poročanje Tabela 4.17: Rezultati procesa Zagotovite skladnost z zunanjimi zahtevami Vprašanje (nadzorni cilj): Ocena: 1 2 3 4 1 1 2 1 Povprečna Povprečna Pomembnost ocena: zrelost v panogi: procesa: 1 1,20 2,25 3,78 5 Vir: Voglar, lastni prikaz (2014) 83 Ugotovitev:IT sluţba spremlja spremembe zakonodaje s področja IT. Poleg tega mora spremljati spremembe zakonov s področja nabave (javnih naročil), računovodstva in prava (pogodbe). Optimizacija glede na zunanje zahteve poteka z usklajevanjem med sluţbami znotraj organizacije in povezovanjem z zunanjimi partnerji. Jamstvo za skladnost delovanja se zagotavlja s podpisanimi izjavami, certifikati, zakonskimi obveznostmi, večkrat pa temelji na zaupanju partnerjev. Spremembe zunanjih zahtev se pravočasno uvedejo, vendar se ne dokumentirajo. Slika 4.17: Zrelostni model procesa Zagotovite skladnost z zunanjimi zahtevami Ne obstaja Začetno/ Ad Hoc 0 1 Ponovljivo Procesno Vodeno vendar definirano in intuitivno merljivo 2 Legenda uporabljenih simbolov: Trenutno stanje organizacije Povprečje v panogi 3 4 Optimizirano 5 Legenda uporabljene ravni: 0 - Vodenje procesov se ne izvaja 1 - Procesi so »Ad Hoc« in neorganizirani 2 - Procesi se spremljajo po predpisanih postopkih 3 - Procesi so dokumentirani in sprejeti 4 - Procesi se nadzirajo in merijo 5 – Dobrim praksam se sledi in se jih avtomatizira Cilj organizacije Vir: Voglar, lastni prikaz (2014) 4.4.3 Zagotovite upravljanje IT (ME4) Proces upravljanja IT vključuje opredelitev organizacijskih struktur, procesov, vodenja, vlog in zadolţitev z namenom, da so investicije v IT usklajene in skladne s strategijo in cilji organizacije. Proces Zagotovite upravljanje IT zajema naslednje nadzorne cilje: 1. vzpostavitev okvira za upravljanje IT 2. strateško usklajevanje 3. ustvarjanje vrednosti 4. upravljanje sredstev 84 5. upravljanje tveganja 6. merjenje izvedbe 7. neodvisno jamstvo Tabela 4.18: Rezultati procesa Zagotovite upravljanje IT Vprašanje (nadzorni cilj): Ocena: 1 2 3 4 5 6 1 1 1 1 1 1 Povprečna Povprečna zrelost Pomembnost ocena: v panogi: procesa: 1 1,00 2,25 3,78 7 Vir: Voglar, lastni prikaz (2014) Ugotovitev: Organizacija nima vzpostavljenega okvirja obvladovanja IT, prav tako se ne izvaja strateško usklajevanje IT z ostalimi sluţbami. Ker se ne meri delovanje IT, tudi ni identificiranih učinkov ustvarjanja vrednosti. Upravljanje sredstev se ne meri, ampak se oceni skozi naloţbe. Tveganj se ne upravlja, zato ni določenih postopkov sprejemljivih tveganj. Izvedba se ocenjuje, vendar se ne meri. Organizacija nima notranje ali zunanje neodvisne skupine, ki bi preverjala skladnost IT. Slika 4.18: Zrelostni model procesa Zagotovite upravljanje IT Ne obstaja Začetno/ Ad Hoc 0 1 Ponovljivo Procesno Vodeno vendar definirano in intuitivno merljivo 2 Legenda uporabljenih simbolov: Trenutno stanje organizacije Povprečje v panogi 3 4 Optimizirano 5 Legenda uporabljene ravni: 0 - Vodenje procesov se ne izvaja 1 - Procesi so »Ad Hoc« in neorganizirani 2 - Procesi se spremljajo po predpisanih postopkih 3 - Procesi so dokumentirani in sprejeti 4 - Procesi se nadzirajo in merijo 5 – Dobrim praksam se sledi in se jih avtomatizira Cilj organizacije Vir: Voglar, lastni prikaz (2014) 4.5 Analiza raziskave V okviru raziskave smo preverjali 18 procesov celovitega okvirja COBIT, ki so za organizacijo ključnega pomena. Tabela 4.19 nam prikazuje povprečne ocene procesov, ki smo 85 jih pridobili na osnovi ocen nadzornih ciljev, za posamezen proces. Pri vsakem procesu lahko pridobljen rezultat primerjamo s povprečno oceno procesa v isti panogi, kako pomemben je ta proces v tej panogi in razkorak (prepad) procesne zrelosti glede na povprečje v panogi. Tabela 4.19: Rezultati nadzora procesov Proces št.: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. Naziv procesa: PO 1 - Opredelitev strateškega načrta za IT PO 3 - Določitev tehnološke usmeritve PO4 - Opredelitev procesov, organizacije in razmerja v IT PO7 - Upravljanje človeških virov v IT PO8 - Upravljanje kakovosti PO9 - Ocenjevanje in obvladovanje tveganja v IT AI 2 - Kupite in vzdrževanje aplikacijske opreme AI 3 - Kupite in vzdrževanje tehnološke infrastrukture AI 4 - Omogočanje delovanja in uporabe DS 1 - Opredelitev in upravljanje ravni storitev DS 2 - Upravljanje storitev tretje stranke DS 3 - Upravljanje delovanja in zmogljivosti DS 5 - Zagotovitev varnost sistemov DS 11 - Upravljanje podatkov DS 12 - Upravljanje fizičnega okolja ME 1 - Spremljanje in vrednotenje delovanja IT ME 3 - Zagotovitev skladnosti z zunanjimi zahtevami ME 4 - Zagotovitev upravljanja IT Povprečna Povprečna Pomembnost Zrelostni ocena zrelost v procesa (cilj razkorak: procesa: panogi: organizacije): 0,67 2,51 3,71 -3,04 1,50 3,9 2,26 -0,76 1,25 1,82 3,57 -2,32 1,38 1,67 1,95 2,05 3,94 3,82 -2,56 -2,15 0,67 2,27 3,96 -3,29 1,60 1,82 3,57 -1,97 0,50 1,82 3,57 -3,07 1,00 2,25 3,78 -2,78 2,00 1,65 3,22 -1,22 2,25 1,91 3,34 -1,09 1,40 1,82 3,57 -2,17 1,64 1,67 2,27 2,22 3,96 3,85 -2,32 -2,18 1,40 2,26 3,90 -2,50 1,60 2,25 3,78 -2,18 1,20 1,00 2,25 2,25 3,78 3,78 -2,58 -2,78 Vir: Voglar, lastni prikaz (2014) Če analiziramo trend gibanja rezultatov raziskave glede na oceno procesa (glejSliko 4.19), procesi številka 1, 6 in 8 (PO1, PO9 in AI3) izstopajo po nizki procesni zrelosti. Vzrok za nizko oceno procesa št. 1 (PO1 – Opredelitev strateškega načrta) se kaţe v tem, da 86 organizacija nima veljavne strategije obvladovanja IT, zato niti ni moţno vzpostaviti mehanizmov za ocenjevanje trenutnih zmoţnosti delovanja IT sluţbe. Organizacija sicer pozna potrebo po strateškem načrtovanju, saj so ţe izdelani določeni členi prihodnje skupne strategije, vendar je zdajšnje obvladovanje IT bolj kot strategija odraz odziva na posamezne poslovne zahteve. Proces št. 6 (PO9 – Ocenjujte in obvladujte tveganja IT) je ocenjen z oceno 0,67, saj organizacija ne obravnava tveganj za IT procese in z njimi povezane poslovne odločitve. Tveganja so prepuščena obravnavi v posameznih projektih ali pa v kontekstu varovanja in zagotavljana razpoloţljivosti podatkov oziroma informacijskih sistemov. Najniţje ocenjen proces je proces št. 8 (AI3 – Kupite in vzdrţujte tehnološko infrastrukturo). Organizacija tehnološki infrastrukturi ne posveča posebne pozornosti. Za vsako novo aplikacijo se izvajajo spremembe infrastrukture brez celovitega načrta. Dejavnosti glede tehnološke infrastrukture so obravnavane v letnem načrtu v okviru predvidenih projektov. Vzdrţevanje je posledica kratkoročnih potreb, zato je tudi testno okolje kar proizvodno okolje. Slika 4.19: Potek procesne zrelosti Procesna zrelost Stopnja zrelosti 4.50 4.00 3.50 Povprečna ocena procesa 3.00 2.50 Povprečna zrelost v panogi 2.00 1.50 Pomembnost procesa (cilj organizacije) 1.00 0.50 0.00 1 3 5 7 9 11 13 15 17 Vir: Voglar, lastni prikaz (2014) Na drugi strani imamo procesa 10 in 11 (DS1 in DS2), ki glede na procesno zrelost pozitivno izstopata tudi v primerjavi s povprečjem v panogi. Proces št. 10 (DS1 – Opredelite in upravljajte ravni storitev) rezultatsko izstopa zaradi zavedanja in zakonske zavezanosti organizacije k ureditvi upravljanja ravni storitev. Organizacija ima opredeljen postopek za vzpostavitev sporazuma. Izvajanje nadzornih točk je zagotovljeno v pogodbenih členih. 87 Podobno kot proces upravljanja ravni storitev se upravlja tudi proces št. 11 (DS2 – Upravljajte storitve tretje stranke). Odnosi med dobaviteljem in organizacijo so določeni s pogodbo, ki mora biti skladna z zakonodajo. Zato lahko nadpovprečne ocene procesne zrelosti procesov 10 in 11 pripišemo obvezujoči zakonodaji in z njo povezanimi rednimi nadzori. Drugi pomemben dejavnik celovitega obvladovanja IT je zrelostni razkorak procesne zrelosti (glejSliko 4.20). Če smo procesno zrelost ocenjevali glede na povprečje v panogi, zrelostni razkorak ocenjujemo glede na pomembnost procesa v panogi. Kot vidimo iz slike, je pri procesu številka 2 (PO 3 – Določitev tehnološke usmeritve) zaznati najniţji zrelostni razkorak, ki pa je posledica nizke pomembnosti procesa v panogi. Glede zrelostnega razkoraka je najbolj kritičen proces št. 6 (PO9 – Ocenjevanje in obvladovanje tveganja v IT), ki je tudi eden najpomembnejših v panogi. Med najbolj kritičnimi procesi velja omeniti še procese opredelitve strateškega načrta, nabave in vzdrţevanja tehnološke infrastrukture ter proces zagotovitve upravljanja IT. Slika 4.20: Zrelostni razkorak glede na proces Zrelostni razkorak 4.00 3.00 Povprečna ocena procesa Stopnja zrelosti 2.00 Povprečna zrelost v panogi: 1.00 0.00 -1.00 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 Pomembnost procesa (cilj organizacije): -2.00 -3.00 -4.00 Zrelostni razkorak: Proces Vir: Voglar, lastni prikaz (2014) 88 5. ZAKLJUČEK Celovito obvladovanje IT po COBIT-ovem okvirju zajema 34 nadzornih procesov, ki so razvrščeni v štiri domene. Domene tvorijo zaključen krog obvladovanja IT, ki se začne z načrtovanjem in organiziranjem IT, nabavo in vpeljavo sistemov, izvajanjem ter podpiranjem storitev in se zaključi s spremljanjem in vrednotenjem delovanja. Prav zaradi obseţnosti celovitega obvladovanja IT, prepletanja ter odvisnosti od poslovnih dejavnikov, kadrovskih in finančnih omejitev je obvladovanje IT posebej zahtevno. Teţave pri obvladovanju IT se v obravnavani organizaciji kaţejo predvsem v pomanjkljivem sodelovanju poslovnega in IT sektorja, slabem načrtovanju skupnih poslovnih in tehnoloških potreb, preplačanih projektih in razdrobljenosti informacijskih sistemov. Zato smo si v okviru raziskave zadali cilje, s katerimi smo ţeleli raziskati ali ima organizacija ţe vzpostavljen kakšen sistem celovitega obvladovanja IT, v kolikšni meri je IT sluţba usklajena s poslovanjem in ali IT podpira poslovanje. Zanimala nas je tudi odgovorna raba sredstev in virov, predvsem pa s COBIT–ovim okvirjem preveriti ustreznost upravljanja tveganj in zaznati večje razkorake obvladovanja IT pri posameznih procesih. Skozi intervjuje smo v organizaciji zaznali veliko ţeljo po celovitem obvladovanju IT, vendar zaradi obseţnosti obvladovanja odgovorni ne vedo, kje in kako začeti. V organizaciji se je zaradi različnih poslovnih in tehničnih potreb razvilo veliko postopkov in neformalnih pravil, ki pa niso dokumentirani. Delovanje IT se trenutno usklajuje s poslovnimi potrebami le na podlagi trenutnih tehnoloških potreb v organizaciji. Skupen strateški načrt je v izdelavi, zato se pričakuje, da bodo s potrditvijo strategije relacije na področju vodstva in IT bolje urejene. IT sluţba glede na potrebe podpira poslovanje po svojih finančnih zmoţnostih. Poslovnih učinkov svojega delovanja ne preverjajo, saj so storitve, ki jih organizacija opravlja, vezane na točno določeno ceno, ki je odvisna od storitev in se ne glede na vpeljane tehnologije ne spreminja. IT sluţba upravlja s sredstvi, ki so bila potrjena z letnim načrtom (še vedno so ta sredstva odvisna od trenutnih finančnih zmoţnosti) ali s sredstvi, ki se zagotovijo zaradi trenutnih potreb organizacije. Običajno gre za namenska sredstva, zato je znotraj organizacije vzpostavljenih več nadzorov (nabavni, inventarninadzor, potrditev direktorja, odgovorne osebe posameznih stroškovnih mest itd.), ki preverjajo njihovo odgovorno rabo. 89 Med raziskavo smo zaznali večje zrelostne razkorake na področjih strateškega načrtovanja, ocenjevanja in obvladovanja tveganj ter nabave in vzdrţevanje tehnološke infrastrukture. Ker gre za zelo pomembne, tudi temeljne procese tako s poslovnega kot varnostnega vidika bo morala organizacija temu posvetiti posebno pozornost. Veliko dejavnosti v procesih se spontano ustrezno izvaja, vendar ker se jih ne dokumentira, je njihovo izvajanje teţko realno ovrednotiti. S celovitim COBIT-ovim okvirjem obvladovanja IT smo uspeli preveriti vse zastavljene cilje, s tem da smo na podlagi nadzornih ciljev in zrelostnih modelov prišli do realnega trenutnega stanja obvladovanja IT v organizaciji. Za potrebe raziskave smo postavili dve hipotezi. Prva hipoteza govori o tem, da vodstvo potrebuje nadzorne cilje, saj s tem uresniči poslovne cilje, zagotovi nadzor IT, obvladuje tveganja, vire IT, preprečuje nezaţelene dogodke in uspešno vrednoti IT investicije. Druga hipoteza govori o IT-poslovni usmeritvi kot učinkovitem mehanizmu, ki omogoča skupnemu timu odkrivati nove poslovne priloţnosti, izboljševati procese, sprejemati boljše skupne odločitve in zmanjševati obratovalne stroške. Z raziskavo smo preverili 18 ključnih procesov za organizacijo in ugotovili, da lahko obema hipotezama pritrdimo, saj smo s postavitvijo nadzornih ciljev (prva hipoteza) prišli do rezultatov, ki kaţejo trenutno stanje obvladovanja IT in kaj je treba narediti za njegovo izboljšanje. Pri testiranju druge hipoteze smo iz primerov dobrih praks in nadzornih ciljev ugotovili, da obvladovanje IT ţe dolgo ni več le v domeni IT sluţbe in da ključni procesi v organizaciji za optimalno delovanje potrebujejo skupno IT-poslovno usmeritev, saj so poslovni rezultati odgovornost obeh akterjev v organizaciji. Da je procese obvladovanja IT laţe predstaviti vodstvu organizacije, smo za vsak izbrani proces izdelali zrelostni model, kjer lahko vodstvo vidi pomembnost procesa za panogo, ki ji pripada, in na podlagi tega ugotovi stanje procesne zrelosti organizacije glede na povprečno zrelost procesov v isti panogi. Na podlagi zrelostnih procesov se lahko vodstvo skupaj z vodstvom IT sluţbe dogovori o ukrepih za izboljšanje. Zrelostni modeli lahko pozneje sluţijo kot pokazatelj (merilo) napredka oziroma uspešnosti obvladovanja IT. 90 6. LITERATURA IN VIRI 1. AHLEMANN FREDERIK, LEGNER CHRISTINE in SCHAFCZUK DANIEL (2012) Introduction V: AHLEMANN FREDERIK, STETTINER ERIC, MESSERSCHMIDT in LEGNER CHRISTINE (ur.) Strategic Enterprise Arhitecture Management. Challenges, Best Practices and Future Developments. Springer – Verlag Berlin Heidelberg, str. 3–33. 2. ANTHONY R. N. (1965) Planning in control: A framework for analysis. Cambridge MA: Harvard University Press. 3. BABNIK LUKA in GROZNIK ALEŠ (2010) Vloga informatike pri izboljšanju procesa poslovnega planiranja. Uporabna informatika, 21 (3)str. 168–174. 4. BENTLEY WILLIAM in DAVIS T. PETER (2010) Lean Six Sigma Secrets for the CIO. CRC Press: Taylor & Francis Group. 5. BLOEM JAAP, VAN DOORN MENNO in MITTAL PIYUSH (2006) Make IT Governance Work in a Sarbanes-Oxley World. Canada: John Wiley & Sons. 6. BRYNJOLFSSON E. (1993) The productivity paradox of information tehnology. Communications of the ACM, 36(12)str. 67–77. 7. BROTBY KRAG (2009) Information Security Governance. A Practical Development and Implementation Approach. Canada: John Wiley & Sons. 8. BROTBY KRAG (2006) Information Security Governance: A Guide for Boards of Directors and Senior Management. IT Governance Institute. 9. BROWN J. ERIC in YARBERRY A. WILLIAM, Jr (2009) CIO How to Achive Outstanding Success through Strategic Alignment, Financial Management and IT Governance. Boca Raton: Auerbach Publications, Taylor & Francis Group. 10. BROWN C.V. in MAGILL S.L. (1994) Alignment of the IS function with the enterprise: Toward a model of antecedents. MIS Quarterly, 18(4) str. 371–403. 11. BTM INSTITUTE (2007) The Role of Business Technology Convergance in Innovation and Adaptility and its Effect on Financial Performance. Business technology Cnvergence Index. 12. CAPGEMINI (2007) Enterprise, Business and IT Architecture and the Integrated Architecture Framework. Service Oriented Architecture – The Way We See It. Nizozemska: Utrecht. 91 92 13. CEROVŠEK MITJA (2012) Informatika mora pokazati svojo poslovno vrednost. Uporabna informatika, 10 (3)str. 195–201. 14. CHAN Y.E., HUFF S. L., BARCLAY D.W. in COPELAND D.G. (1997) Business strategic orientation, information systems strategic orientation and strategic alignment. Information Systems Research, 8(2)str. 125–150. 15. CHAN Y.E., SABHERWAL R. in THATCHER J.B. (2006) Antecedents and outcomes of strategic IS alignment: An empirical investegation. IEEE Transactions on Engineering Management, 51(3)str. 27–47. 16. CIO Executive Board (2008) Optimizing IT Governance: Prioritizing Critical Capabilities for Demand Management and Value Delivery. Washington: CIO Executive Board. 17. CLEMONS E.K. in WEBER B.W. (1990) Strategic information technology investments: guidlines for decision making. Journal of Management Information Systems 7(2)str. 10–31. 18. COGNIZANT (2013) Maximizing Business Value Through Effective IT Governance. Dostopno prek: http://www.cognizant.com/InsightsWhitepapers/Maximizing- Business-Value-Through-Effective-IT-Governance.pdf (21. 3. 2014). 19. CURTIN E. THOMAS (1999) Business-IT Alignment – Understanding Your Position. IBM: Advanced Business Institute. 20. DAMIJ NADJA (2010) Revizija informacijskih sistemov. Ljubljana: Zaloţba Vega. 21. DE HAES STEVEN in VAN GREMBERGEN WIM (2010) Prioritising and linking business goals and IT goals in the financial sector. International Journal of IT/Business Alignment and Governance 1(2)str. 47–67. 22. DE HAES STEVEN in VAN GREMBERGEN WIM (2012) Enterprise Governance of IT and Evolutions in COBIT: An Academic Perspective. V: ABRAMOWICS WITOLD, DOMINQUE JOHN in WECES KRZYSZTOF (ur.) Busines Information Systems Workshop. BIS 2012 International Workshops and Future Internet Symposium. Springer – Verlag Berlin Heidelberg, str. 88–103. 23. DEVERAJ S. in KOHLI R. (2003) Performance impact of information technology: Is actual usage the missing link? Management Science, 49(3)str. 273–289. 24. DEWAN S. in MIN C. (1997) The substitution of information technology for other factors of production: A firm level analisys. Management Science, 43(12)str. 1660– 1675. 93 94 25. DE WIT B. in MEYER R. (2005) Strategy Synthesis: Revolving Strategy Paradoxes to Create Competative Advantage. Cengage Learning EMEA. 26. GARTNER (2009) Top 10 Business and Technology Priorities in 2009. Gartner Executive Program. 27. GOVERMENT OF ALBERTA EDUCATION (2012) Monitor Performance. School Technology Services Online. and Evaluate IT Dostopno prek: http://www4.education.alberta.ca/media/4754/STS_SEG_gov-8_monitor-andevaluate-IT-performance.pdf(19.11.2013). 28. GROZNIK A., ŠTEMBERGER I. M. in KOVAČIČ A. (2005) Vloga menedžmenta pri zagotavljanju poslovne vrednosti informatike. Uporabna informatika, 13(4) str. 213222. 29. HENDERSON J. C. in SIFONIS J. G. (1988) The value of strategic IS planning: Understanding consistency, validity and IS markets. MIS Quaterly, 12(2)str. 187–200. 30. HENDERSON J. C. in VENKATRAMAN N. (1999) Strategic alignment: Leveraging Information Tehnology for transforming organization. IBM Systems Journal, 38(2–3) str. 472–484. 31. HERMANS A. MARIJKE, TESSA FOX in VAN ASSELT B.A. MARJOLEIN (2012) Risk Governance. V: ROESER S., HILLERBRAND R., SANDIN P. in PETERSON M. (ur.) Handbook of Risk Theory. Springer Science+Business Media B.V., str. 1094–1112. 32. HUTTON AUSTIN (2012) What's Driving Adoption of IT Governance? ISACA North Texas Chapter, oktober 11, 2012. 33. IBM (2012) Rethink risk management with strategic business planning. USA, october 2012. 34. IRANI Z. (2002) Information systems evaluation: Navigating through the problem domain. Information Management, 40(1)str. 11–24. 35. ISACA (2007) COBIT 4.1.USA: IT Governance Institut. 36. ISACA (2008a) Val IT 2.0.USA: IT Governance Institut. Dostopno prek: https://www.isaca.org/Pages/default.aspx (16. 1.2014). 37. ISACA (2008b) Enterprise Value: Governance of IT Investments. Getting Started With Value Management. USA: IT Governance Institut. 38. ISACA (2008c) Enterprise Value: Governance of IT Investments. The Val IT Framework 2.0 Extract. USA: IT Governance Institut. 95 96 39. ISACA (2009a) Risk IT. USA: IT Governance Institut. Dostopno prek: https://www.isaca.org/Pages/default.aspx (16. 1.2014). 40. ISACA (2009b) Implementing and Continually Improving IT Governance. USA: IT Governance Institut. 41. ISACA (2011) Global Status Report on the Governance of Enterprise IT.USA: IT Governance Institut. 42. ISACA (2012) COBIT 5. USA: IT Governance Institut. 43. ISO/IEC 38500:2008 (2008) Corporate governance of information technology. Dostopno prek: http://www.iso.org/iso/home.html (20. 1.2014). 44. KADRE SHAILENDRA (2011) Going Corporate: a Geek's Guide. New York: Springer-Verlag. 45. KAPLAN R. in NORTON D. (1992) The balanced scorecard – measures that drive performance. Harvard Business Review 70 (1)str. 71–79. 46. KEARNS G. S. in LEDERER A. L. (2003) A resource-based view of strategic IT alignment. How knowledge sharing creates competative advantage. Decision Science, 34(1)str. 1–29. 47. KEEN P. W. (1991) Shaping the future: Business design through information tehnology. Boston: Harvard Business School Press. 48. KIELY L. in BENZEL T. (2006) Systemic Security Management. Libertas Press. 49. KELLEY M. (1994) Productivity and information technology: The elusive connection. Management Science, 40(11), str. 1406–1425. 50. KU BAHADOR KU MAISURAH in HAIDER ABRAR (2012) Information Technology Skills and Competences – A Case for Professional Accountants. V: ABRAMOWICS WITOLD, DOMINQUE JOHN in WECES KRZYSZTOF (ur.) Busines Information Systems Workshop. BIS 2012 International Workshops and Future Internet Symposium. Springer – Verlag Berlin Heidelberg, str. 81–88. 51. KULKARNI MADHAV (2003) Applying COBIT Framework in Change Management. ISACA: Information Systems Control Journal, Volume 5. 52. LIENTZ P. BENNET in LARSEN LEE (2004) Manage IT as a Business: How to Achieve Alignment and Add Value to the Company. Elsevier Butterworth-Heineman. 53. LITTEN KERRY (2011) Adapting IT Governance for Today's IT Solutions. Colt IT Managed Services. 97 98 54. LEE B. in BARUA A. (1999) An integrated assessment of productivity and efficency impacts of information technology investments: Old data, new analysis and evidence. J. Productivity Anal, 12(1)str.21–43. 55. LOVEMAN G.W. (1994) An Assessment of the productivity impact of the Information Technologies. New York: Oxford University Press. 56. LUFTMAN J. (2000) Assessing business-IT alignment maturity. Communications of AIS, 4(14)str. 1–50. 57. LUFTMAN J. in BRIER T. (1999) Achiving and sustaining business-IT alignment. California Management Review, 42(1)str. 109–122. 58. LUFTMAN J. JERRY, LEWIS R. PAUL in OLDACH H. SCOTT (1993) Transforming the enterprise: The alignment of business ant information technology. IBM Systems Journal, 32(11)str. 198–221. 59. LUFTMAN J., KEMPAIAH R. in NASH E. (2005) Key issues for IT executives. MIS Quaterly Executive, 5(2)str. 81–101. 60. LUFTMAN J., KEMPAIAH R. in RIGONI E. H. (2009) Key Issues for IT Executives 2008. MISS Quarterly Executive, 8(3)str. 151–159. 61. MANFREDA A. in ŠTEMBERGER I., M. (2011) Partnership between top management and IT personel - is it really beyond the reach?. European, Meditteranean & Middle Eastern Conference of Information Systems 2011 (EMOIS2011), Athens, Greece, 30.- 31. maj 2011, str. 523–530. 62. MIKALEF PATRICK (2010) Business/IT Maturity and Alignment Issues. Utrecht University: Institute of Information and Computing Science. 63. MOELLER R. ROBERT (2013) Executive's Guide to IT Governance. Improving Systems Processes with Service Management, COBIT in ITIL. John Wiley & Sons. 64. MOSKAL E. (2006) Business Coutinuity Management Post 9/11 Disaster Recovery Methodology. Disaster Recovery Journal, Vol. 19, Issue 2. 65. MORRISON C. in BERNDT E. (1991) Assessing the productivity of information tehnology equipment in U.S. manufactoring industries. Washington: National Bureau of Economic Research working paper, 3582. 66. NATIONAL COMPUTING CENTER (2005) IT Governance: Developing a successfull governance strategy. A best Practice Guide for decision makers IT. London: The IMPACT Programme. 67. NOLAN R. L. (1979) Managing the crisis in data processing. Harvard Business Review, 52(7)str. 115–126. 99 100 68. OLUGBODE M., RICHARDS R., in BISS T. (2007) The role of information technology in achieving the organisation’s strategic development goals: A case study.Information Systems, 32(5) str.641–648. 69. OP 'T LAND MARTIN, PROPER ERIK, WAAGE MAARTEN, CLOO JEROEN in STEGHUIS CLAUDIA (2007) Enterprise Architecture. Creating Value by Informed Governance. New York: Springer-Verlag. 70. PAPP R. (1999) Business-IT alignment: Productivity paradox payoff? Management Data Systems, 99(7-8) str. 367–373. 71. RATHNAM R.G., JOHNSEN JUSTIN in WEN H. JOSEPH (2005) Alignment of Business Strategy and IT Strategy: A Case Study of a Fortune 50 Financial Services Company. ProQuest Central: The Journal of Computer Information Systems. 72. REICH B. H. in BENBASAT I. (1996) Measuring the linkage between business and information technology objectives. MISS Quarterly, 20(1)str. 55–58. 73. ROACH S. (1987) America's tehnology dilemma: A profile of the information economy. Special Economic Study. New York: Morgan Stanley. 74. ROMERO STEVEN (2011) Eliminating »Us and Them«, using IT Governance, Process and Behavioral Management to make it and Business »one«. New York: Springer-Verlag. 75. ROŢANEC ALENKA in KRISPER MARJAN (2009) Kako meriti uspešnost procesa strateškega planiranja informatike in kako povečati njegovo uspešnost.Uporabna informatika, 17(3) str. 123–136. 76. SHACKLETT MARRY (2012) 10 IT risk management issues that are often overlooked. TechRepublic. Dostopno prek: http://www.techrepublic.com/blog/10things/10-it-risk-management-issues-that-are-often-overlooked/ (22. 3.2014). 77. SYMONS CRAIG (2005) IT Governance framework. Structures, Processes and Communication. Forrester Research. 78. STROUD E. ROBERT (2005) Case Study Using Cobit and ITIL to Implent IT Governance. Computer Associates International. 79. TOGAF (2005) The Open Group Architectural Framework. Dostopno prek: www.togaf.org (10. 2.2014). 80. TOWNSEND GERALD (2009) Financial Planning - Setting Goals. Boom Magazine, str. 2. 101 102 81. VAN DIJK H., VAN RONGEN E., EGGERMONT G., LEBRET E., BIJKER W. in TIMMERMANS D. (2011) The role of scientific advisory bodies in precaution-based risk governance illustrated with the issue of uncertain health effect of elektromagnetic fields. JRisk Res 14 (4) str.451–456. 82. VAN GREMBERGEN W., SAULL R. in DE HAES S. (2003) Linking the Balanced Scorecard to the Business Objectives at a major Canadian Financial Group. Journal for Information Technology Cases and Aplications, 5(1)str. 23–50. 83. VAN GREMBERGEN WIM (2004) Strategies for Information Technology Governance. Idea Group Publishing. 84. VAN GREMBERGEN WIM, DE HAES STEVEN in Van BREMPT H. (2008) Understanding how business goals drive IT goals. New York: Springer. 85. VAN GREMBERGEN WIN in DE HAES STEVEN (2009) Enterprise Governance of IT: Achieving Strategic Alignment and Value. New York: Springer. 86. WARD, J. in PEPPARD, J. (2002) Strategic Planning for Information Systems. New York: John Wiley & Sons, Third Edition. 87. WEILL PETER in ROSS W. JEANNE (2004) IT Governance: How Top Performers Manage IT Decision Rights for Superior Results.USA:Harward Business School Press. 88. WEILL PETER in ROSS W. JEANNE (2009) IT Savvy: What Top Executives Must Know to Go from Pain to Gain. Boston: Harvard Business Press. 89. WESTERMAN GEORGE IN TURNER RICHARD (2004) IT Risk, Turning Business Threats into Competitive Advantage. Boston: Harvard Business School Press. 90. ZHU K., KRAEMER K.L. in DEDRICK J. (2004) Information Technology Payoff in E-Business Environments: An International Perspective on Value Creative of EBusiness in Financial Services Industry. Journal of Management Information System, 21 (1)str. 17–54. 103 PRILOGA Vprašanja za nadzor in obvladovanje IT Priloga : Vprašanja za nadzor in obvladovanje IT NAČRTUJTE IN ORGANIZIRAJTE (PO) PO 1 Opredelite strateški načrt za IT Potrebni dokumenti: Poročila o stroških in koristih Ocena tveganja Posodobljen portfelj projektov IT Posodobljen portfelj storitev Poslovna strategija in prioritete Portfelj programov izvajanja IT Dokument obstoječega delovanja k načrtovanju IT Poročilo o stanju obvladovanja IT (strateška usmeritev podjetja v zvezi IT) Vprašanja PO 1: 1.1 Kako je urejeno sodelovanje IT – ja s poslovnim delom glede investicij, ki vsebujejo IT komponento? 1.2 Kakšen je postopek upravljanja investicij v primeru večjih odstopanj v načrtu, stroških, rokih, funkcionalnostjo? 1.3 Kako so razdeljene odgovornosti za doseganje koristi in nadzor stroškov? 1.4 Kako je vzpostavljeno vrednotenje poslovnih primerov, vključno s finančno vrednostjo in tveganji? 2. Kako poteka sodelovanje pri usklajevanju strateškega načrtovanja glede poslovnih potreb in potreb IT? 3. Na kakšen način ocenjujete zmoţnosti delovanja IT in izvajanja storitev v smislu prispevanja IT k poslovnim ciljem, funkcionalnosti, stabilnosti, kompleksnosti, stroškom, itd.? 4. Kako se upravlja in izvaja strateški načrt (prisotnost ključnih komponent)? 5. Kako se upravlja in izvaja vsebina porfelja taktičnih načrtov (postopki upravljanje virov, projektnih načrtov itd.)? 6. Na kakšen način se upravlja vsebina portfelja IT? PO 3 Določite tehnološko usmeritev Potrebni dokumenti: Strateški in taktični načrti za IT. Optimiziran načrt poslovnih sistemov in načrt informacijske arhitekture. Tehnološki standardi. Dokument o delovanju in zmogljivostih. Vprašanja PO 3: 1. Kako načrtujete tehnološke usmeritve? 2. Kako načrtujete in upravljate tehnološko infrastrukturo? 3. Kako sledite prihodnjim trendom,predpisom in tehnološkim standardom ter kako jih vključujete v tehnološko infrastrukturo? 4. Kako deluje odbor za arhitekturo in kako zagotavljate vpeljevanje arhitekturnih smernic ter kako preverjate njihovo skladnost? PO 4 Opredelite procese, organizacijo in razmerja IT Potrebni dokumenti: Strateški in taktični načrti za IT. Politika in postopki za osebje v sektorju IT, matrika sposobnosti in opisi del. Ukrepi za izboljšanje kakovosti. Načrti za odpravo tveganja v zvezi z IT. Akcijski načrt za popravo. Poročilo o uspešnosti nadzor IT. Katalog pravnih in regulativnih zahtev v zvezi z upravljanjem storitev IT. Izboljšave procesnega okvira. Vprašanja PO 4: 1. Kako je zastavljen procesni okvir obvladovanja IT (procesna struktura IT, lastništvo, zrelost, meritve izvedbe, cilji glede kakovosti itd.)? 2. Kako deluje odbor oziroma skupina za upravljanje strategije IT? 3. Kako deluje nadzorna skupina za IT? 4. Kako je funkcija IT umeščena v organizacijsko strukturo? 5. Kako se oblikuje organizacijska struktura IT? 6. Kako so določene vloge in zadolţitve v sluţbi IT? 7. Kako so porazdeljene zadolţitve za upravljanje kakovosti, tveganj, varnosti in skladnosti? 8. Kako je urejeno lastništvo podatkov in sistema? 9. Kdo je pristojen za nadzor upravljanja IT storitev in kako se izvaja? 10. Kako je definirano in upravljano ključno osebje v IT? 11. Kakšne so politike in postopki za pogodbeno osebje? 12. Kako so definirana razmerja med zaposlenimi v IT in zunanjimi funkcijami (uprava, uporabniki, dobavitelji, varnostni inţenirji, zunanji sodelavci, itd.)? PO 7 Upravljajte človeške vire v IT Potrebni dokumenti: Dokument o razmerjih in organizaciji v IT. Študija izvedljivosti poslovnih zahtev. Vprašanja PO 7: 1. Kako je zagotovljena ustreznost razporejenosti delovne sile v sektorju IT, ki ima sposobnosti potrebne za uresničitev ciljev organizacije? 2. Na kakšen način so določene zahtevane sposobnosti na področju IT in kako se te sposobnosti vzdrţujejo? 3. Kako je izvedeno spremljanje in nadzor vlog, zadolţitev in pristojnosti zaposlenih v IT? 4. Kako je poskrbljeno za stalno izobraţevanje zaposlenih, da bodo ohranili znanje, sposobnosti upravljanja notranjih nadzor in varovanja, skladna s cilji organizacije? 5. Kako je poskrbljeno za zmanjšanje kritične odvisnosti od posameznikov in s tem povezanim zajemom (dokumentiranjem) in prenosom znanja, v primeru nadomeščanj in morebitnih odpovedi? 6. Kako se izvaja preverjanje preteklosti zaposlitvenih kandidatov, zaposlenih, pogodbenikov in dobaviteljev? 7. Kako poteka ocenjevanje zaposlenih oziroma zadolţitev posameznega delovnega mesta? 8. Ali so pripravljeni ukrepi glede sprememb delovnega mesta, zlasti glede prekinitev delovnega razmerja (odvzem pravic do dostopa)? PO 8 Upravljanje kakovosti Potrebni dokumenti: Strateški in taktični načrti IT. Podrobni načrt upravljanja kakovosti. Akcijski načrt za obnovo postopkov upravljanja IT. Vprašanja PO 8: 1. Kako je vzpostavljen sistem upravljanja kakovosti v IT? 2. Kateri postopki, standardi in dobre prakse se uporabljajo za ključne procese IT (za upravljanje kakovosti)? 3. Kako se upravljanje kakovosti odraţa na razvoj storitev in nabavo opreme? 4. V kolikšni meri se odraţa osredotočenost na stranke v procesu upravljanja kakovosti? 5. Kako se zagotavlja izvajanje načrta kakovosti in njegovo stalno izboljševanje? 6. Na kakšen način se merijo učinki izvajanja upravljanja kakovosti? PO 9 Ocenjujte in obvladujte tveganja IT Potrebni dokumenti: Strateški in taktični načrti IT. Načrt obvladovanja tveganj pri projektu. Dokument tveganj dobavitelja. Rezultati preskusa neprekinjenega delovanja. Dokument varnostnih groţenj in ranljivosti. Dokument preteklih trendov in dogodkov v zvezi tveganj. Dokument, ki obravnava raven sprejemljivega tveganja za IT. Vprašanja PO 9: 1. Kako je vzpostavljen okvir upravljanja tveganj? 2. Na kakšen način so identificirane okoliščine tveganja? 3. Kakšni so mehanizmi prepoznavanja tveganj? 4. Kako je voden portfelj ocenjevanja tveganj? 5. Kakšen je postopek odziva na tveganje? 6. Kako se vzdrţuje in spremlja akcijski načrt za tveganje? KUPITE IN VPELJITE (AI) AI 2 Kupite in vzdržujte aplikacijske programe Potrebni dokumenti: Podatkovni slovar, shema za razvrstitev podatkov, optimiziran načrt poslovnega sistema. Načrt redne posodobitve tehnologije. Poročilo o stroških in koristih. Standardi in smernice za nabavo in razvoj. Smernice za vodenje projektov in evidentirani natančni projektni načrti. Študije izvedljivosti poslovnih zahtev. Dokumentiran opis procesa za spremembe. Vprašanja AI 2: 1. Kako je zasnovana strategija pridobivanja programske opreme? 2. Kdo in na kakšen način definira podrobno zasnovo in tehnične zahteve programskih aplikacij? 3. Kakšni so kriteriji za sprejem zahtev? 4. Kako se izvaja aplikacijskinadzor (ali je njena usmeritev skladna z zahtevami revidiranja)? 5. Na kakšen način se preverja varnost in razpoloţljivost aplikacij? 6. Kakšen je postopek konfiguracije in vpeljave aplikacij? 7. Kakšen je postopek nadgradnje večjih obstoječih sistemov? 8. Kako poteka razvoj aplikacijske programske opreme? 9. Kakšni so vzvodi zagotavljanja kakovosti programske opreme? 10. Kako se upravljajo zahteve glede sprememb aplikacij? 11. Kako se dokumentira vzdrţevanje programske opreme? AI 3 Kupite in vzdržujte tehnološko infrastrukturo Potrebni dokumenti: Načrt tehnološke infrastrukture, standardi in priloţnosti (redne posodobitve tehnologije). Standardi za nabavo in razvoj. Smernice za vodenje projektov in podrobni projektni načrti. Študija izvedljivosti poslovnih zahtev. Opis procesa za spremembe. Načrt delovanja in zmogljivosti (zahteve). Vprašanja AI 3: 1. Kaj vsebuje načrt za nabavo, vpeljavo in vzdrţevanje informacijske infrastrukture in kako ga izvajate? 2. Na kakšen način je izvedena zaščite in hkrati razpoloţljivost infrastrukturnih virov? 3. Kaj zajema strategija vzdrţevanja infrastrukture in na kakšen način se izvaja? 4. Ali se v organizaciji vzpostavljajo razvojna in testna okolja za testiranja komponent infrastrukture in če, na kakšen način? AI 4 Omogočite delovanje in uporabo Potrebni dokumenti: Smernice za vodenje projektov in podrobni projektni načrti. Študija izvedljivosti poslovnih zahtev. Dokument o potrditvi usposobljenosti upravljanja aplikacijskih programov in paketov programske opreme. Dokument o usposobljenosti upravljanja infrastrukture. Dokument o identificiranih in obravnavanih napakah. Dokumentacija o potrebnih posodobitvah. Vprašanja AI 4: 1. Kako omogočate delovanje in uporabo operativnih rešitev (sistemov)? 2. Na kakšen način se izvaja prenos znanja iz lastništva procesov na poslovno vodstvo? 3. Na kakšen način se izvaja prenos znanja h končnemu uporabniku? 4. Na kakšen način se izvaja prenos znanja operativnemu in podpornemu osebju? IZVAJAJTE IN PODPIRAJTE (DS) DS 1 Opredelite in upravljajte ravni storitev Potrebni dokumenti: Strateški in taktični načrti za IT, portfelj storitev IT. Opredeljena razvrstitev podatkov. Začetni načrtovani sporazum o ravni storitev. Začetni načrtovani dogovor o izvedbenih ravneh. Dokument zahtev za ukrepanje v primeru katastrofe, vključno z vlogami in zadolţitvami. Dokument o prispevku obstoječega delovanja k načrtovanju IT. Vprašanja DS 1: 1. Kako je dokumentiran okvir za formaliziran proces med stranko in ponudnikom za upravljanje ravni storitev? 2. Kako so opredeljene in dokumentirane storitve IT, glede na značilnost storitev in poslovne zahteve? 3. Kako so opredeljeni sporazumi za različne ravni storitev (ponudnik storitev – stranke)? 4. Kako so dogovorjeni in dokumentirani dogovori o izvedbenih ravneh? 5. Kako so dogovorjeni in dokumentirani dogovori o nadzoru in poročanju o doseţenih ravneh storitev? 6. Kakšna je periodika pregledov sporazumov o ravni storitev in pogodb? DS 2 Upravljajte storitve tretje stranke Potrebni dokumenti: Strategija zagotavljanja sredstev IT. Standardi nabave. Pogodbeni sporazumi, zahteva glede upravljanja odnosov s tretjimi strankami (dobavitelji, prodajalci in partnerji). Začetni načrtovani dogovor o izvedbenih ravneh. Dokument za primer nesreče, vključno z vlogami in zadolţitvami. Vprašanja DS 2: 1. Kako so določeni in dokumentirani odnosi z dobavitelji? 2. Kako se upravljajo odnosi z dobavitelji (formaliziran proces)? 3. Na kakšen način se obvladujejo tveganja povezana z dobavitelji? 4. Kako se spremlja in meri izvajanja storitev? DS 3 Upravljajte delovanje in zmogljivost Potrebni dokumenti: Dokument o opredelitvah razpoloţljivosti, neprekinjenosti in obnove. Dokument o zahtevah za spremljanje sistema. Sporazum o ravni storitev. Vprašanja DS 3: 1. Kako je vzpostavljen proces načrtovanja delovanja in zmogljivosti? 2. Po kakšnem postopku ocenjujete trenutno delovanje in zmogljivosti? 3. Kako načrtujete prihodnje delovanje in zmogljivosti? 4. Kako zagotavljate razpoloţljivost sredstev IT (delovna obremenitev, neprekinjenost delovanja, ţivljenjski cikel sredstev IT itd.)? 5. Kako spremljate, merite in dokumentirate upravljanje delovanja in razpoloţljivosti? DS 5 Zagotovite varnost sistemov Potrebni dokumenti: Dokument o informacijski arhitekturi (izvedena razvrstitev podatkov). Tehnološki standardi varovanja IT sistemov. Ocena tveganja. Dokument o opredelitvi aplikacijskega varnostneganadzora. Dnevnik o izvedenih ravneh varovanja. Vprašanja DS 5: 1. Kako zagotavljate upravljanje tveganj IT, v skladu s poslovnimi zahtevami? 2. Kaj vsebuje in kako izvajate načrt varovanja IT? 3. Kako upravljate identitete (notranje, zunanje, začasne)? 4. Kako upravljate uporabniške račune? 5. Kako izvajate testiranja, nadzor in spremljanje varovanja? 6. Kako opredeljujete varnostni incidenti, da jih je mogoče pozneje ustrezno razvrstiti in obravnavati skladno s procesom obvladovanja incidentov? 7. Kako so zaščitene varnostne tehnologije pred nepooblaščenim spreminjanjem? 8. Kakšen je protokol upravljanja varnostnih ključev? 9. Kako se lotevate preprečevanja in odkrivanja zlonamernih programov? 10. Kako se upravlja mreţna varnost? 11. Kakšni so varnostni postopki pri izmenjavi občutljivih podatkov? DS 11 Upravljajte podatke Potrebni dokumenti: Podatkovni slovar, dodeljena klasifikacija podatkov. Uporabniški, produkcijski, podporni, tehnični in upravljalni priročniki. Dogovor o ravni izvedbe. Hranjenje varnostnih kopij in načrt zaščite. Varnostni načrt in varnostne politike IT. Vprašanja DS 11: 1. Kako je urejeno upravljanje podatkov s poslovnimi zahtevami? 2. Kako so dokumentirani postopki shranjevanja in hrambe podatkov? 3. Kako je vpeljan sistem za upravljanje nosilcev podatkov, da zagotovite njihovo uporabnost in celovitost? 4. Kakšni so predpisani postopki odstranjevanja oziroma prenosa podatkov? 5. Kakšni so predpisani postopki varnostnega kopiranja in obnove podatkov? 6. Kako so opredeljene zahteve za upravljanje podatkov? DS 12 Upravljajte fizično okolje Potrebni dokumenti: Dokument klasifikacije podatkov. Ocena tveganja. Dokument opredelitev fizičnega okolja Vprašanja DS 12: 1. Na podlagi katerih kriterijev se izbirajo prostori za nameščanje in shranjevanje IT opreme? 2. Kako so definirani in zavedeni ukrepi za fizično varnost (lokacija in fizična sredstva)? 3. Kakšni so postopki odobritve dostopov v IT prostore (tudi v primeru sile)? 4. Kakšni so postopki zaščite pred okoljskimi dejavniki? 5. Kako upravljate fizične zmogljivosti (vključno z električno in komunikacijsko opremo)? SPREMLJAJTE IN VREDNOTITE (ME) ME 1 Spremljajte in vrednotite delovanje IT Potrebni dokumenti: Poročila o stroških in koristih. Poročila o izvedbi projekta. Poročila o stanju sprememb. Poročila o delovanju procesov. Načrt (zahteve) delovanja in zmoţnosti. Poročila o zadovoljstvu uporabnikov. Poročilo o uspešnosti nadzora IT. Poročilo o skladnosti dejavnosti IT z zunanjimi pravnimi in regulativnimi zahtevami. Poročilo o stanju upravljanja IT. Vprašanja ME 1: 1. Kako pristopate k spremljanju in vrednotenju delovanja IT? 2. Na podlagi katerih kriterijev oziroma metode opredelite in zbirate podatke za spremljanje delovanja IT? 3. Kako pogosto in na kakšen način ocenjujete delovanje IT? 4. Kako pogosto in na kakšen način poročate vodstvu o delovanju IT? 5. Kako se lotevate morebitnih korektivnih ukrepov upravljanja IT? ME 3 Zagotovite skladnost z zunanjimi zahtevami Potrebni dokumenti: Zahteve glede pravne in regulativne skladnosti. Politika IT. Vprašanja ME 3: 1. Kako spremljate spremembe pravnih, regulativnih in pogodbenih zahtev glede skladnosti delovanja IT? 2. Kako optimalno vpeljujete novosti glede pravnih, regulativnih in pogodbenih zahtev? 3. Na kakšen način ocenjujete skladnost delovanja z zunanjimi zahtevami? 4. Kako si zagotovite jamstvo za skladnost vašega delovanja? 5. Kako poročate oziroma dokumentirate spremembe zunanjih zahtev? ME 4 Zagotovite upravljanje IT Potrebni dokumenti: Procesni okvir IT. Poročila o stroških in koristih. Ocena tveganja in poročanje. Poročilo o uspešnosti nadzora IT. Katalog pravnih in regulativnih zahtev v zvezi z izvajanjem storitev IT. Vprašanja ME 4: 1. Kako je vzpostavljen in kako izvajate okvir upravljanja IT? 2. Kako poteka strateško usklajevanje IT s poslovno strategijo? 3. Kakšen je pristop sluţbe IT k ustvarjanju vrednosti? 4. Kako nadzorujete naloţbe, uporabo in dodelitev sredstva? 5. Kako zagotavljate sprejemljivo raven tveganja? 6. Kako merite izvedbo IT storitev? 7. Kako preverjate skladnost delovanja IT z zakoni in predpisi?
© Copyright 2024