PETER VOGLAR

FAKULTETA ZA INFORMACIJSKE ŠTUDIJE
V NOVEM MESTU
MAGISTRSKA NALOGA
ŠTUDIJSKEGA PROGRAMA DRUGE STOPNJE
PETER
VOGLAR
Digitally signed by PETER VOGLAR
DN: c=SI, o=POSTA, ou=POSTArCA,
ou=personal,
serialNumber=173444, cn=PETER
VOGLAR
Date: 2014.09.25 17:13:36 +02'00'
PETER VOGLAR
FAKULTETA ZA INFORMACIJSKE ŠTUDIJE
V NOVEM MESTU
MAGISTRSKA NALOGA
OBVLADOVANJE IN VREDNOTENJE
INFORMACIJSKIH TEHNOLOGIJ V
ORGANIZACIJI Z OKVIRJEM COBIT
Mentorica: izr. prof. dr. Nadja Damij
Novo mesto,september 2014
Peter Voglar
IZJAVA O AVTORSTVU
Podpisani _Peter Voglar_______ , študent FIŠ Novo mesto, izjavljam:

da sem magistrsko nalogo pripravljal samostojno na podlagi virov, ki so navedeni v
magistrski nalogi,

da dovoljujem objavo magistrske naloge v polnem tekstu, v prostem dostopu, na
spletni strani FIŠ oz. v elektronski knjiţnici FIŠ,

da je magistrska naloga, ki sem jo oddal v elektronski obliki identična tiskani verziji,

da je magistrska naloga lektorirana.
V Novem mestu, dne _________________
Podpis avtorja ________________________
POVZETEK
Obvladovanje informacijskih tehnologij (v nadaljevanju IT) v organizaciji predstavlja
odgovornost in zavezanost vodstva k sprejemanju odločitev za optimizacijo in nadzor rabe IT
virov skozi načrtovanje, nadzor, implementacijo in vrednotenje, z namenom dosega
zastavljenih ciljev in to s pomočjo določenih mehanizmov. Celovito obvladovanje IT
zagotavlja, da IT predstavlja dodano vrednost organizacije, s čim niţjim tveganjem. Za
razumevanje raziskave smo predstavili teoretično ozadje COBIT - ovega celovitega okvirja
obvladovanja IT, ki vsebuje domene strateške uskladitve, ustvarjanja vrednosti, upravljanje
tveganj, upravljanja virov in merjenje procesov. Na podlagi ocenjenih potreb organizacije
smo izbrali osemnajst COBIT-ovih procesov, ki smo jih ocenili po zrelostnem modelu, na
podlagi intervjujev. Za vsak proces smo izdelali grafični zrelostni model, ki kaţe trenutno
stanje organizacije, povprečje v panogi in cilj organizacije (pomembnost procesa).
KLJUČNE BESEDE:obvladovanje IT, okvir COBIT, strateško načrtovanje, upravljanje
virov, ustvarjanje vrednosti, upravljanje tveganj, merjenje procesov, arhitektura organizacije
ABSTRACT
IT Governance is the authority and decision making structure of organization leaders, to
optimize and control the use of IT resources from planning, implementation, monitoring and
evaluation to reach organization's objective, by using certain mechanisms. Good IT
governance ensures that IT is delivering the desired value for the organization while
minimizing the inhered risk of IT. For purpose of research, we presented theoretical starting
point of COBIT's framework for IT governance, which integrates domain's of business
alignment, value delivery, risk management, resource management and performance
measurement. On valuation principle of organizational requirements, we choose eighteen
COBIT's processes, which were graded by maturity model, based on interviews. For every
graded process, we draw maturity model, which contains organizational current status, public
sector average, and organizational target (depending process importance).
KEY WORDS: IT governance, COBIT framework, strategic alignment, resource
management, value delivery, risk management, performance measurement, organizational
architecture
KAZALO
1.
2.
UVOD................................................................................................................................. 1
1.1
Opis problema .............................................................................................................. 1
1.2
Cilj raziskave ............................................................................................................... 3
1.3
Hipoteze/raziskovalna vprašanja ................................................................................. 3
1.4
Pričakovani rezultat ..................................................................................................... 3
1.5
Struktura magistrske naloge ......................................................................................... 4
CELOVITO OBVLADOVANJE IT .................................................................................. 5
2.1
Arhitektura organizacije .............................................................................................. 7
2.2
Obvladovanje in upravljanje IT ................................................................................. 10
2.3
Poslovna–IT usmeritev .............................................................................................. 17
2.3.1
Definicija skupne poslovne–IT usmeritve ........................................................... 18
2.3.2
Model skupne poslovne usmeritve ...................................................................... 18
2.3.3
Zmanjšanje prepada med poslovno–IT usmeritvijo ........................................... 19
2.4
Ustvarjanje vrednosti ................................................................................................. 21
2.5
Upravljanje tveganj .................................................................................................... 25
2.6
Upravljanje virov ....................................................................................................... 31
2.6.1
Aplikacijski sistemi ............................................................................................. 33
2.6.2
Informacijski viri ................................................................................................ 33
2.6.3
Upravljanje zaposlenih ....................................................................................... 36
2.7
2.7.1
Implementacija ................................................................................................... 40
2.7.2
Merjenja v IT ...................................................................................................... 43
2.8
3.
Implementacija in merjenje obvladovanja IT ............................................................ 39
Zrelost upravljanja IT ................................................................................................ 45
OKVIR COBIT 4.1 .......................................................................................................... 48
3.1
Izhodišča raziskave .................................................................................................... 51
3.2
4.
Splošen COBIT-ov okvir ........................................................................................... 54
3.2.1
Postopek izvajanja COBIT–ovega okvirja ......................................................... 57
3.2.2
Izdelava zrelostnega modela .............................................................................. 59
REZULTATI RAZISKAVE............................................................................................. 61
4.1
Načrtujte in organizirajte (PO)................................................................................... 61
4.1.1
Opredelite strateški načrt za IT (PO1) ............................................................... 61
4.1.2
Določite tehnološke usmeritve (PO3) ................................................................. 63
4.1.3
Opredelite procese, organizacijo in razmerja IT (PO4) .................................... 64
4.1.4
Upravljajte človeške vire v sektorju IT (PO7) .................................................... 66
4.1.5
Upravljajte kakovost (PO8) ................................................................................ 67
4.1.6
Ocenjujte in obvladujte tveganja IT (PO9) ........................................................ 68
4.2
Kupite in vpeljite (AI) ................................................................................................ 70
4.2.1
Kupite in vzdržujte aplikacijske programe (AI2)................................................ 70
4.2.2
Kupite in vzdržujte tehnološko infrastrukturo (AI3) ........................................... 71
4.2.3
Omogočite delovanje in uporabo (AI4) .............................................................. 72
4.3
Izvajajte in podpirajte (DS)........................................................................................ 74
4.3.1
Opredelite in upravljajte ravni storitev (DS1) ................................................... 74
4.3.2
Upravljajte storitve tretje stranke (DS2) ............................................................ 75
4.3.3
Upravljajte delovanje in zmogljivost (DS3) ....................................................... 76
4.3.4
Zagotovite varnost sistemov (DS5) ..................................................................... 77
4.3.5
Upravljajte podatke (DS11)................................................................................ 79
4.3.6
Upravljajte fizično okolje (DS12) ....................................................................... 80
4.4
Spremljajte in vrednotite (ME) .................................................................................. 81
4.4.1
Spremljajte in vrednotite delovanje IT (ME1) .................................................... 82
4.4.2
Zagotovite skladnost z zunanjimi zahtevami (ME3) ........................................... 83
4.4.3
Zagotovite upravljanje IT (ME4) ........................................................................ 84
4.5
Analiza raziskave ....................................................................................................... 85
5.
ZAKLJUČEK ................................................................................................................... 88
6.
LITERATURA IN VIRI................................................................................................... 91
PRILOGA
KAZALO SLIK
Slika 2.1: Učinkovitost upravljanja arhitekture organizacije ..................................................... 9
Slika 2.2: Upravljanje IT proti obvladovanju IT ...................................................................... 11
Slika 2.3: Zdruţeno vodenje in ključna področja ..................................................................... 13
Slika 2.4:Prednosti obvladovanja IT ........................................................................................ 15
Slika 2.5: Strateški model skupne usmeritve ............................................................................ 19
Slika 2.6: Sinergija upravljanja vrednosti................................................................................. 23
Slika 2.7: Pregled upravljanja tveganj ...................................................................................... 26
Slika 2.8: Cilji upravljanja tveganj ........................................................................................... 28
Slika 2.9: Upravljanje virov za uresničitev ciljev IT ................................................................ 32
Slika 2.10: Upravljanje informacij ........................................................................................... 35
Slika 2.11: Kriteriji informacij za implementacijo sprememb ................................................. 35
Slika 2.12: Proces merjenja obvladovanja IT ........................................................................... 40
Slika 2.13: Sedem faz ţivljenjskega cikla implementacije....................................................... 43
Slika 2.14: Stopnje rasti do organizacijske zrelosti .................................................................. 47
Slika 2.15: Tri dimenzije zrelosti ............................................................................................. 48
Slika 3.1: COBIT 4.1 – pristop od zgoraj navzdol ................................................................... 49
Slika 3.2: Osnovno načelo COBIT-a ........................................................................................ 49
Slika 3.3: COBIT – Dejavnosti in naloge ................................................................................. 51
Slika 3.4: Povezave COBIT domen .......................................................................................... 52
Slika 3.5: Nadzorni model ........................................................................................................ 54
Slika 3.6: COBIT-ova kocka .................................................................................................... 55
Slika 3.7: Splošen COBIT-ov okvir ......................................................................................... 56
Slika 3.8: Navigacija po COBIT-ovem okvirju ........................................................................ 58
Slika 3.9: Grafična predstavitev zrelostnega modela ............................................................... 59
Slika 4.1: Zrelostni model procesa Opredelite strateški načrt za IT ......................................... 63
Slika 4.2: Zrelostni model procesa Določite tehnološko usmeritev ......................................... 64
Slika 4.3: Zrelostni model procesa Opredeli procese, organizacijo in razmerja IT ................. 66
Slika 4.4: Zrelostni model procesa Upravljajte človeške vire v sektorju IT ............................ 67
Slika 4.5: Zrelostni model procesa Upravljajte kakovost ......................................................... 68
Slika 4.6: Zrelostni model procesa Ocenjujte in obvladujte tveganja IT ................................. 70
Slika 4.7: Zrelostni model procesa Kupite in vzdrţujte aplikacijske programe ....................... 71
Slika 4.8: Zrelostni model procesa Kupite in vzdrţujte tehnološko infrastrukturo .................. 72
Slika 4.9: Zrelostni model procesa Omogočite delovanje in uporabo ...................................... 74
Slika 4.10: Zrelostni model procesa Opredelite in upravljajte ravni storitev ........................... 75
Slika 4.11: Zrelostni model procesa Upravljajte storitve tretje stranke ................................... 76
Slika 4.12: Zrelostni model procesa Upravljajte delovanje in zmogljivost .............................. 77
Slika 4.13: Zrelostni model procesa Zagotovite varnost sistemov ........................................... 79
Slika 4.14: Zrelostni model procesa Upravljajte podatke......................................................... 80
Slika 4.15: Zrelostni model procesa Upravljajte fizično okolje ............................................... 81
Slika 4.16: Zrelostni model procesa Spremljajte in vrednotite delovanje IT ........................... 83
Slika 4.17: Zrelostni model procesa Zagotovite skladnost z zunanjimi zahtevami.................. 84
Slika 4.18: Zrelostni model procesa Zagotovite upravljanje IT ............................................... 85
Slika 4.19: Potek procesne zrelosti ........................................................................................... 87
Slika 4.20: Zrelostni razkorak glede na proces ........................................................................ 88
KAZALO TABEL
Tabela 2.1: Osem področij učinkovitega obvladovanja IT......................................................... 5
Tabela 2.2: Metode za zmanjšanje prepada med IT in poslovno strategijo v organizaciji....... 20
Tabela 2.3: Upravljanje IT – obvladovanje tveganj ................................................................. 27
Tabela 2.4: Vpliv IT virov na spremembe upravljanja ............................................................. 32
Tabela 2.5: Klasifikacija IT sposobnosti, znanja in spretnosti ................................................. 38
Tabela 2.6: Priporočena področja merjenja .............................................................................. 45
Tabela 3.1: Splošni zrelostni model ......................................................................................... 60
Tabela 4.1: Rezultati procesa Opredelite strateški načrt za IT ................................................. 62
Tabela 4.2: Rezultati procesa Določite tehnološko usmeritev ................................................. 63
Tabela 4.3: Rezultati procesa Opredeli procese, organizacijo in razmerja IT .......................... 65
Tabela 4.4: Rezultati procesa Upravljajte človeške vire v sektorju IT ..................................... 66
Tabela 4.5: Rezultati procesa Upravljajte kakovost ................................................................. 68
Tabela 4.6: Rezultati procesa Ocenjujte in obvladujte tveganja IT .......................................... 69
Tabela 4.7: Rezultati procesa Kupite in vzdrţujte aplikacijske programe ............................... 71
Tabela 4.8: Rezultati procesa Kupite in vzdrţujte tehnološko infrastrukturo .......................... 72
Tabela 4.9: Rezultati procesa Omogočite delovanje in uporabo .............................................. 73
Tabela 4.10: Rezultati procesa Opredelite in upravljajte ravni storitev ................................... 75
Tabela 4.11: Rezultati procesa Upravljajte storitve tretje stranke ............................................ 76
Tabela 4.12: Rezultati procesa Upravljajte delovanje in zmogljivost ...................................... 77
Tabela 4.13: Rezultati procesa Zagotovite varnost sistemov ................................................... 78
Tabela 4.14: Rezultati procesa Upravljajte podatke ................................................................. 80
Tabela 4.15: Rezultati procesa Upravljajte fizično okolje ....................................................... 81
Tabela 4.16: Rezultati procesa Spremljajte in vrednotite delovanje IT ................................... 82
Tabela 4.17: Rezultati procesa Zagotovite skladnost z zunanjimi zahtevami .......................... 83
Tabela 4.18: Rezultati procesa Zagotovite upravljanje IT ....................................................... 85
Tabela 4.19: Rezultati nadzora procesov .................................................................................. 86
1. UVOD
Obvladovanje IT postaja vedno bolj pomembnopodročje vsake organizacije ali podjetja za
uspešno poslovanje oziroma dosego poslovnih ciljev. Obvladovanje IT potrebuje sinergijo
sodelovanja tako poslovnega kot IT področja, ki pa jo organizacije teţko doseţejo. Ker
organizacije običajno ne vedo kako se lotiti problema, ţelimo v nalogi na praktičnih primerih
predstaviti primere merjenja ključnih procesov, ki so osnova in usmeritev celovitega
obvladovanja IT.
1.1
Opis problema
Poloţaj informatike v organizaciji je pomemben pokazatelj usmerjenosti in organiziranosti
poslovnega okolja, ki ga lahko primerjamo s celotno učinkovitostjo in uspešnostjo
organizacije. Ker je pozitivno poslovanje ţelja vsake organizacije, je za uspešnost poslovanja
treba slediti tehnološkemu napredku. Tako lahko s sinergijo poslovnih in delovnih procesov, v
primernem okolju in s primernimi orodji doseţemo visoko dodano vrednost opravljenim
storitvam (Cerovšek 2012, str. 195).
Informacijske tehnologije (IT) so za številne organizacije ključnega pomena in jih s pridom
izkoriščajo za povečevanje svoje vrednosti. »Konkurenčno prednost lastništva tehnologije je
zamenjala pravilna in pravočasna uporaba informacijske tehnologije« (Damij 2010, str. 5). Pri
tem pa pri obvladovanju ne smemo pozabiti tveganj povezanih z informacijsko tehnologijo,
kot so čedalje zahtevnejša zakonodaja in kritične odvisnosti mnogih poslovnih procesov od
informacijskih tehnologij. V okviru obvladovanja IT so potrebe po jamstvu vrednosti IT,
upravljanju tveganj, ter vse večje zahteve za nadzor informacij, razumljene kot ključni
element pri obvladovanju organizacije. Glavni gradniki jedra obvladovanja so vrednost,
tveganja in nadzor obvladovanja IT.
»Številne raziskave so pokazale, da je pomanjkanje preglednosti stroškov, vrednosti in
tveganja v zvezi z IT, ena najpomembnejših spodbud za obvladovanje IT« (IT Governance
Institut 2007, str. 6). Poleg tega IT zdruţuje in institucionalizira dobre prakse za zagotovitev,
da IT organizacija podpira poslovne cilje. Obvladovanje IT omogoča organizacijam, da v
celoti izkoristijo prednosti svojih informacij, s čimer povečajo koristi, spremenijo priloţnosti
v kapital in pridobijo konkurenčno prednost (IT Governance Institut 2007, str. 5).
1
Na drugi strani so naloge organizacij izpolnjevanje zahtev glede kakovosti, upravljanja in
varnosti svojih informacij in vseh ostalih sredstev. Skrbeti je treba tudi za stalno optimizacijo
razpoloţljivih virov, vključno z aplikacijami, informacijami, infrastrukturo in ljudmi. Da bi
organizacija dosegla svoje cilje in opravila dolţnosti, mora vodstvo razumeti okvir arhitekture
organizacije za IT ter se opredeliti, kakšno upravljanje in nadzor sta potrebna.
Z razvojem informacijskih tehnologij, se povečuje tudi število organizacij in podjetij, ki
znatno povečujejo deleţ sredstev namenjenih v implementacijo in razvoj informacijskih
sistemov (v nadaljevanju IS) in informacijskih tehnologij, z namenom doseganja konkurenčne
prednosti. Mnogi strokovnjaki upravičujejo investicije v IS/IT z vpeljavo organizacijskih
sprememb ter s tem povezane prednosti in koristi za različna podjetja in organizacije (Zhu in
drugi, 2004). Te prednosti se nanašajo na boljše izvajanje procesov, zmanjšanje stroškov,
boljše poslovanje, zmanjšanje človeških napak, itd. (Deveraj in Kohli 2003).
V organizaciji (javni zavod), ki opravlja storitveno dejavnost, se vodstvo zaveda
problematike, ki nastaja zaradi nepovezanosti med poslovnimi potrebami, zahtevami
ministrstva, ki mu organizacija pripada, in delovanjem IT v odnosu z zunanjimi izvajalci.
Ločenost sluţbe za informatiko od poslovnih usmeritev organizacije se nakazuje v tem, da
vodstvo ne pozna sistema njihovega delovanja niti dobro ne pozna projekte, ki jih financira.
Večinoma se odločitve sprejemajo na podlagi trenutnih poslovnih ali tehnoloških potreb brez
predhodnih strokovnih analiz. Zato so ti projekti po navadi preplačani, z uporabniškega vidika
pomanjkljivi ali celo neuporabni, predvsem zaradi dodatnih obremenitev, ki jih lahko
neustrezen informacijski sistem prinese. Vendar se vsa problematika ne navezuje zgolj na
sluţbo za informatiko, saj se poslovne odločitve glede informacijskih tehnologij večkrat
odvijajo brez navzočnosti IT, kar ima za posledico nepovezanost podatkovnih baz in
razdrobljenost informacijskih sistemov.
Obstaja še veliko neidentificiranih anomalij tako na relaciji vodstvo – IT kot pri integraciji in
obvladovanju IT. Zato je vodilo raziskave ovrednotiti notranji sistem delovanja oziroma
pripraviti celovit okvir pomembnejših procesov, s katerimi bi identificirali probleme na
relaciji vodstvo – IT (vzpostaviti povezavo s poslovnimi zahtevami), zaznali zrelostno stopnjo
obvladovanja IT, identificirali pomembnejše IT vire ter preverili izvajanje vodstvenih
nadzorov in njihovo obravnavo.
2
1.2
Cilj raziskave
V okviru raziskave vrednotenje obvladovanja IT smo si zadali naslednje cilje.
1.3

Raziskati, ali ima organizacija in v kakšni obliki celovit okvir obvladovanja IT.

Ugotoviti, ali je in v kolikšni meri IT usklajena s poslovanjem.

Raziskati, ali trenutno stanje IT podpira poslovanje in omogoča dobičke.

Raziskati, ali se sredstva in viri IT uporabljajo odgovorno.

Preveriti, ali se tveganja IT upravljajo ustrezno.

Zaznati večje razkorake obvladovanja IT na posameznih področjih.
Hipoteze/raziskovalna vprašanja
Za potrebe raziskave smo postavili dve hipotezi.
1. Vodstvo potrebuje kontrolne cilje, ki opredeljujejo končen cilj vpeljave politik,
načrtov in postopkov ter organizacijske strukture, saj s tem:
 uresničimo poslovne cilje
 zagotovimo takšen nadzor IT, da ta ustvari informacije, ki jih organizacija
potrebuje
 obvladujemo tveganja in vire IT
 preprečimo ali odkrijemo in odpravimo nezaţelene dogodke
 uspešno vrednotimo IT investicije
2. Skupna poslovnaIT usmeritev je učinkovit mehanizem, ki omogoča skupnemu timu
odkrivati nove poslovne priloţnosti, izboljševati procese, sprejemati boljše
informacijsko podprte odločitve in zmanjševati obratovalne stroške.
1.4
Pričakovani rezultat
Glede na to, da bomo raziskovali in vrednotili obvladovanje delovanja IT v organizaciji,
pričakujemo s pomočjo nadzornih mehanizmov zaznati trenutno stanje IT sektorja. Na
podlagi rezultatov raziskave bomo lahko podrobneje analizirali posamezne IT procese v
smislu odkrivanja pomanjkljivosti, nevarnosti in kritičnih točk sistema. S pomočjo
referenčnih ocen posameznih področij bomo s primerjalno analizo naredili zrelostni model, s
katerim bomo pridobili oceno ravni obvladovanja posameznega IT procesa v organizaciji in
3
oceno zrelostnega razkoraka v primerjavi z mednarodnimi merili (CIO Executive Board 2008,
str. 61) za isto panogo. Raziskava bo podala osnoven izbor procesov, ki so večjega pomena za
organizacijo in jih je treba obvladovati. Podani bosta tudi ocena trenutnega stanja v IT in
podlaga, iz katere bo moč v prihodnje načrtno obvladovati IT.
1.5
Struktura magistrske naloge
Magistrska naloga bo obravnavala tematiko celovitega obvladovanja IT v organizaciji, zato
bomo v uvodu predstavili problematiko, s katero se sooča obravnavana organizacija pri
obvladovanju IT.
Drugo poglavje je namenjeno teoretični predstavitvi osnovnih gradnikov celovitega
obvladovanja IT. Da lahko govorimo o obvladovanju IT, bomo predstavili pomembnost
organizacijske arhitekture, razlike med upravljanjem in obvladovanjem IT ter idejo o skupni
poslovni-IT usmeritvi. Predstavili bomo tudi pet osnovnih usmeritev, ki jih mora IT izpolniti
za dosego poslovnih ciljev, in sicer: ustvarjanje vrednosti, upravljanje tveganj, upravljanje
virov, implementacija in merjenje obvladovanja IT ter zrelost upravljanja IT s pomočjo
zrelostnih modelov.
V tretjem poglavju bomo predstavili izhodišča in strukturo celovitega COBIT-ovega okvirja.
Predstavili bomo postopek vrednotenja procesov znotraj štirih domen, ki opisuje kako
moramo nadzorovati, upravljati in meriti vsak proces posebej ter kako na podlagi izmerjenih
rezultatov izdelamo zrelostni model.
Četrto poglavje bo obravnavalo rezultate raziskave. Iz štirih domen COBIT-ovega okvirja
celovitega obvladovanja IT bomo ocenili osemnajst procesov, ki so za obravnavano
organizacijo ključnega pomena. Na podlagi rezultatov bomo za vsak proces posebej izdelali
zrelostne modele obvladovanja IT in podali komentar trenutnega stanja procesa. Izmerjen
proces in njegov zrelostni model bosta predstavljala izhodiščno točko za analizo in nadaljnje
izboljševanje izbranega procesa.
4
2. CELOVITO OBVLADOVANJE IT
Organizacije morajo v zdajšnjem obdobju teţkih gospodarskih razmer in vse večje
konkurence pozorno spremljati dogajanje na svetovnih trgih in predvsem čim bolj uspešno
izvajati ustrezno zastavljene načrtovane poslovne načrte. Novi poslovni informacijski sistemi
so lahko eden od ključnih dejavnikov in hkrati izziv vsaki organizaciji, saj lahko močno
vplivajo na izboljšanje procesa načrtovanja, s tem pa tudi na izboljšanje celovitega poslovanja
organizacije v prihodnosti. Vloga informatike je tako kot na vseh drugih poslovnih področjih
ključna tudi v procesu načrtovanja, saj lahko organizacijam v tem procesu prinese številne
izboljšave in prednosti (Babnik in Groznik 2010, str. 168).
Vsaka oblika obvladovanja in upravljanja, pa naj bo korporativna, finančna ali IT, je vedno
neposredno povezana s poslovno-ekonomskimi učinki. Zaradi poslovne vrednosti IT, visokih
tehnoloških stroškov in teţav v poskusni fazi je IT tipičen subjekt v organizaciji, ki ga je treba
obvladovati. Bolj kot obvladovanje IT je pomembno njeno ustvarjanje vrednosti. To se
zagotovi s celovitim obvladovanjem procesov in usmeritev, ki so vključeni in sprejeti v
celotni organizaciji. To pomeni, da je uspešno obvladovanje IT odvisno od organizacijskih
usmeritev, ki jim skupaj merimo finančne in posredne učinke na poslovanje (Bloem in drugi
2006, str. 3).
Obvladovanje IT se mora usmeriti na zagotavljanje preglednosti in nadzora skozi vsa ključna
področja obvladovanja IT. Tabela 2.1 prikazuje tipične prednosti in koristi, ki jih ima
obvladovanje IT na poslovanje skozi različna industrijska področja.
Tabela 2.1: Osem področij učinkovitega obvladovanja IT
Področja obvladovanja IT
1. Strateško obvladovanje IT:
uskladitev IT investicij s poslovnimi
potrebami, skupaj s spremljanjem,
nadzorom in izboljšanjem
poslovnega/IT sodelovanja
Tipične prednosti in koristi
Strateška poslovna/IT usmeritev: od 10% do 15%
izboljšav ima osnovo na zavedanju dodane
vrednosti IT
Dodana vrednost: izboljšanje celovite vrednosti IT
se kaţe skozi boljše upravljanje IT investicij
2. Arhitektura obvladovanja: vpeljava
Upravljanje delovanja in virov: od 15% do 20% se
standardizacije na področja
poveča stopnja izkoriščenosti arhitekture
upravljanja aplikacij in tehnologij ter Upravljanje tveganj: od 5% do 10% se zmanjšajo
vpeljava arhitekturnih rešitev za vso
5
tehnologijo in referenčne arhitekture
3. Obvladovanje projektov: stopenjsko
obvladovanje projektov poveča
operativno učinkovitost ter omogoča
identifikacijo in zmanjšanje tveganj
na projektih
4. Obvladovanje ţivljenjskega cikla
aplikacij: nadzor ključnih delov
aplikacij
5. Obvladovanj infrastrukture in
podatkov: optimizacija stroškov
tehnologij in vzpostavitev nadzorov
na informacijskih in organizacijskih
področjih
6. Prodaja in upravljanje virov: z
ustreznim zagotavljanjem prodaje
ustvarjamo dodano (poslovno)
vrednost in zmanjšamo
tveganja,povezana z zmanjšano
prodajo
7. Obvladovanje ţivljenjskega cikla
delovanja: minimiziramo oziroma
preprečimo neavtorizirane
spremembe v produkcijskem okolju
8. Obvladovanje novodobnih
tehnologij: izboljšanje delovanja z
vpeljavo novih tehnologij in
zmanjšanje tveganj v povezavi z
njimi
tveganja pri uporabi arhitekturnih komponent
Strateška poslovna/IT usmeritev: od 10% do 15%
izboljšav ima osnovo na celovitem upravljanju
projektov
Upravljanje delovanja in virov:
- od 10% do 15% izboljšav na projektih je
posledica rednih nadzorov
- od 15% do 20% izboljšav temelji na ustrezni
finančni podpori projekta
Upravljanje delovanja in virov: od 10% do 15% se
prihrani pri rednem vzdrţevanju in optimizaciji
upravljanja aplikacij
Upravljanje delovanja in virov: zmanjšanje vseh
infrastrukturnih stroškov in stroškov, povezanih z
varnostjo podatkov, s pomočjo izboljšanih
nadzorov.
Upravljanje tveganj: od 5% do 10% manj tveganj
pri upravljanju standardiziranih infrastrukturnih
komponent
Upravljanje delovanja: izboljšanje prodaje skozi
boljše merjenje, sledenje in teţnje po izboljšanju
ponudbe
Upravljanje virov: od 20% do 25% zmanjšanje
časa in dela prodajalca oziroma izvajalca storitev
Upravljanje tveganj: od 10% do 20% zmanjšanje
tveganj s prodajo oziroma storitvami
Upravljanje delovanja: od 20% do 35%
zmanjšanje neavtoriziranih sprememb v
produkcijskem okolju
Upravljanje delovanja in virov: od 20% do 25%
izboljšanje operativne učinkovitosti
Vir: Cognizant (2013, str. 3)
6
2.1
Arhitektura organizacije
Za arhitekturo organizacij obstaja več definicij, ki jih avtorji imenujejo tudi IT, informacijska
ali organizacijska arhitektura. Omenimo le nekatere.

Vodilni globalni standard za arhitekturo podjetij (angl. The Open Group's
Architectural Framework, TOGAF) definira arhitekturo kot arhitekturo dveh
pomenov, ki je odvisna od kontekstualne uporabe, in sicer:
-
je formalen opis ali podroben načrt sistema, ki kot element usmeritve izvaja
implementacijo;
-
je struktura komponent, njihovih povezav in načel. Je usmeritev upravljanja
razvoja in evolucije arhitekture skozi čas.

V francoski mednarodni korporaciji, ki nudi IT svetovanja in storitve (Capgemini,
2007) definirajo arhitekturo kot skupek postopkov, pravil, standardov in usmeritev, s
katerimi izraţamo in vizualiziramo koncept vizije in implementacije z vsebovano
mešanico postopkov, tehnik in načel.

Kot zadnjo definicijo arhitekture skupina Gartner navaja, da je arhitektura organizacije
proces pretvorbe vizije in poslovne strategije v učinkovite poslovne spremembe z
ustvarjanjem izboljšav na ključnih aktivnostih in modelih, ki predstavljajo usmerjenost
organizacije v prihodnosti in omogočajo njeno evolucijo.
Čeprav se definicije med sabo nekoliko razlikujejo, vseeno vse govorijo o neki strukturi in
odnosih med postopki upravljanja, ki nudijo usmeritev in podporo vodenju in odločanju.
»Arhitektura organizacije je orientirana na oblikovanje in upravljanje načel, ki razvijejo
postopke, usmeritve in modele za prihodnost organizacije. Obstajajo tri pomembnejše
perspektive za vlogo organizacijske arhitekture« (Op 't Land in drugi 2009, str. 34):

zakonsko usmerjena perspektiva se kaţe kot perspektiva upravljanja razvoja
organizacije. Ta perspektiva se orientira na načela, ki potrebujejo pravila,
usmeritve in standarde, ki usmerjajo organizacijo v razvoj v smeri uspeha;

razvojno usmerjena perspektiva poudarja jasno in povezovalno usmerjeno
organizacijo z visoko stopnjo razvojne usmerjenosti. Ta perspektiva temelji na
razvojnih odločitvah in na vseh ključnih strukturah;
7

modelno usmerjena perspektiva je osredotočena na razvojne modele. Predstavlja
vez med zakonsko in razvojno perspektivo. Ko upravljamo zakonsko perspektivo
skozi razvojne aktivnosti, lahko razvijemo prilagojene modele upravljanja
organizacijske arhitekture.
Z dobro organizacijsko arhitekturo lahko hitro identificiramo odvisnosti subjektov.
Organizacijska arhitektura nam da specifičen pogled na usklajenost organizacijskih
komponent na različnih ravneh, ki imajo opravka s procesi, informacijami in IT-jem.
Arhitektura organizacije je osnovana vsaj na štirih ključnih arhitekturah (Bloem in drugi
2006, str. 101):

poslovna arhitektura vključuje poslovne dejavnosti, strategijo, poslovne komponente,
organizacijsko strukturo, poslovno procesno shemo, poslovne funkcije, itd.;

informacijska arhitektura (imenovana tudi podatkovna arhitektura) odkriva, kdo
potrebuje kakšno informacijo in kako je informacija dostopna;

aplikacijska arhitektura (imenovana tudi funkcionalna arhitektura) vključuje
aplikacije, ki so nujne za izvajanje poslovnih dejavnosti, in informacije, ki jih
organizacija potrebuje. Vključuje tudi vpogled v poslovna področja in poslovne
storitve, ki jih je mogoče podpreti z aplikacijami;

IT arhitektura prikazuje, kako so IT storitve pomembne za poslovanje in
dokumentiranje programske, strojne in mreţne opreme.
Organizacije so obsojene na spremembe. Te vplivajo na vsa področja v organizaciji, od
izdelkov in storitev, skupnih sredstev, partnerstva, dobavitelje in stranke. Čeprav naj bi
spremembe krepile konkurenčno prednost, imajo spremembe nemalokrat veliko negativnih
stranskih učinkov. Kljub investiranju in organizacijskim spremembam včasih ni pozitivnih
učinkov, saj lahko spremembe pripeljejo do nenadzorovane arhitekturne kompleksnosti.
Ahlemann in drugi (2012, str. 6) navajajo naslednje primere.

Izguba transparentnosti. S povečanjem kompleksnosti menedţerji lahko izgubijo
pregled nad organizacijo, kar lahko vpliva na odločanje. Treba je vloţiti več truda v
pridobivanje informacij o trenutni situaciji in postopkih uvajanja sprememb.

Kompleksnost povečuje stroške. Kompleksna struktura je draţja za upravljanje kot
enostavna. Na primer, različne tehnologije se uporabljajo v različnih enotah. Te
8
tehnologije so draţje za upravljanje, nadgradnjo in poznejšo integracijo. To se še
posebej pogosto kaţe v organizacijah, ki imajo dislocirane enote.

Povečano tveganje. Visoko kompleksna organizacijska arhitektura (veliko število
arhitekturnih komponent, različni vmesniki, poslovna pravila in postopki) lahko
poveča operativna tveganja in onemogoča učinkovito celovito upravljanje kritičnih
poslovnih in IT tveganj.

Nezmoţnost uvajanja skupne strateške usmeritve v organizaciji. Bolj kot je
organizacija kompleksna, teţe je izvesti strateške spremembe delovanja. V najslabšem
primeru se mora organizacija zaradi kompleksnosti odpovedati spremembam in s tem
tudi razvoju.

Teţave pri reševanju poslovnih problemov. Kompleksne organizacije dušijo razvoj
strokovnjakov. Namesto da bi se ukvarjali z zagotavljanjem razvoja in sledenju
konkurenci, se ukvarjajo s tem, kako reševati lastne probleme, ki so posledica
kompleksnosti. Tovrstne organizacije običajno stagnirajo ali celo tonejo v propad.
Slika 2.1: Učinkovitost upravljanja arhitekture organizacije
Učinkovito
upravljanje
virov
Transparentnost
v arhitekturi
organizacije
Obvladovanje
stroškov
Ustvarjanje
sinergije
Upravljanje
arhitekture
v organizaciji
Dokumentiranje
Upravljanje
arhitekture
vizije
v arhitekture
organizaciji
Upravljanje
Podpora
arhitekture
poslovni
v organizaciji
strategiji
Boljša skupna
usmeritev
Hitrejše
strateške
spremembe
Arhitekturni
postopki in
standardi
Zmanjšanje
kompleksnosti
Vir: Ahlemann in drugi (2012, str. 10)
9
Boljše
poslovanje
Kot vidimo iz Slike 2.1, nam celovito upravljanje arhitekture organizacije pomaga izboljšati
(Ahlemann in drugi 2012, str. 10):

transparentnost arhitekture. Transparentnost arhitekture doseţemo z dokumentiranjem
glavnih komponent organizacije in njihovih odnosov. Arhitektura v organizaciji je
pogosto sestavljena iz informacij o varnosti, stroških, prednostih in tveganjih. S
pomočjo teh podatkov arhitektura organizacije ustvari koristno bazo informacij za
upravljanje organizacije. Transparentnost pa sluţi za laţjo identifikacijo sinergij,
učinkovitost virov, podpira sprejemanje odločitev, implementacijo strategije in
operativno delovanje;

dokumentiranje arhitekturne vizije organizacije. S pomočjo transparentnega vpogleda
v organizacijo se deleţniki laţe odločajo o razvoju delov ali celotne organizacije.
Dokumentirana arhitektura omogoča deleţnikom skupen pogled in boljšo skupno
usmeritev pri odločanju na različnih področjih in na različnih ravneh (boljša skupna
uskladitev informacijskih sistemov s poslovnimi zahtevami, izboljšani poslovni učinki
itd.). Oziroma, šibkejša ko je skupna usmeritev, več je ročnega dela, več sistemov je
potrebnih za eno nalogo, kakovost podatkov je slaba in poslovni učinki so posledično
skromnejši. To seveda drţi ob predpostavki, da je tehnologija na ustrezni ravni
(topologija omreţja, aplikacijska oprema itd.) in da gledamo na arhitekturo zgolj iz
organizacijskega vidika;

arhitekturne postopke in usmeritve. Za razvoj moramo imeti jasno definirane postopke
in usmeritve. Avtorji navajajo modularnost kot zelo močen koncept urejenosti
arhitekture. Modularnost definira standardne postopke, poveča strateško fleksibilnost,
saj lahko module po potrebi kombiniramo v nov poslovni model ali nove poslovne
procese.
2.2
Obvladovanje in upravljanje IT
Information Security Audit and Control Association (ISACA) je globalna organizacija,
ustanovljena v začetku 60. let minulega stoletja. V sodelovanju z mednarodnimi strokovnjaki
(vključuje jih prek 70 000) definira obvladovanje IT kot skupek odgovornosti in dobrih praks
vodstva in izvršnih direktorjev, ki s strateško usmeritvijo zagotovijo izvedbo ciljev z
obvladovanjem tveganj in racionalno rabo sredstev.
10
Symons (2005, str. 3) definira obvladovanje IT kot proces, v katerem se izvajajo odločitve o
investiranju v IT. Kako nastanejo odločitve, kdo jih sprejema, kdo je pristojen in kako so
rezultati odločitev merjeni in nadzorovani, je vse del obvladovanja IT. Na ţalost je v številnih
organizacijah proces obvladovanja stvar formalnih, ad hoc odločitev. Po navadi ni
konsistentnega delovanja znotraj organizacije oziroma je odgovornost na nizki ravni, če je
sploh prisotna. Posledično tudi formalni mehanizmi za merjenje in nadzor delovanja ne
delujejo.
Ker obstaja veliko razlag in definicij obvladovanja IT, naj omenimo, da sta izraz
»obvladovanje IT« v časopisu IBM Systems Journal prvič uporabila Henderson in
Venkatraman (1999) kot izbiro in uporabo mehanizmov za pridobivanje in razvijanje
kompetenc. V istem časopisu so Luftman in drugi (1993) definirali »obvladovanje IT« kot
razširjeno upravljanje s tehnologijami z moţnostjo tehnološko-poslovnega sodelovanja.
Brown in Magill (1994) sta definirala obvladovanje IT kot koncept, ki opisuje območje
odgovornosti. Sodobnejša definicija obvladovanja IT (ISACA, 2007) govori o odgovornosti
izvršnih direktorjev in uprave ter zajema vodenje, organizacijske sisteme in procese, ki
zagotavljajo, da IT organizacije vzdrţujejo in nadgrajujejo poslovne strategije in cilje.
Slika 2.2: Upravljanje IT proti obvladovanju IT
Poslovna
usmeritev
Zunanja
Notranja
Obvladovanje
IT
Upravljanje
IT
Čas
Danes
Prihodnost
Vir: Peterson v Van Grembergen (2004, str. 22)
Če povzamemo in poskušamo definicije obvladovanja IT poenostaviti, lahko v grobem
rečemo, da gre za povezavo med IT cilji in cilji poslovanja. Podobna problematika se pojavlja
11
pri določitvi jasne meje med upravljanjem IT (angl. IT Management) in obvladovanjem (angl.
IT Governance). Peterson v Van Grembergen (2004, str. 21) pravi (glej Sliko 2.2), da je »IT
Management« omejen na notranjo učinkovito podporo IT storitvam in izdelkom ter
upravljanju tekočih IT dejavnosti. Termin »IT Governance« je zastavljen bistveno širše in
zajema delovanje in transformacijo IT za podporo zdajšnjim in prihodnjim poslovnim
zahtevam (notranja podpora) ter podporo upravljanja s kupci (zunanja podpora). To seveda ne
more pomeniti, da zanikamo pomembnost in kompleksnost upravljanja IT. Sicer lahko
določene segmente upravljanja IT (storitev) prenesemo na zunanje izvajalce, vendar pa
morata vodenje in nadzor IT ostati v organizaciji.
Analitiki se strinjajo, da vrhnjemu menedţmentu predstavlja največje tveganje in skrb,
neuspešno vključevanje IT za dosego poslovnih potreb in s tem neuspešno ustvarjanje dodane
vrednosti poslovanju. Od kar ima IT tako dramatičen vpliv na poslovne rezultate in
konkurenčnost, lahko ima neuspešno obvladovanje IT negativen vpliv na delovanje podjetja v
celoti. Skupno upravljanje se je pokazalo kot zelo uspešno. Ugotovili so, da ima IT ključno
vlogo pri izvajanju in izboljševanju skupnih praks obvladovanja, saj so ključni poslovni
procesi informatizirani. Zato so izvršni direktorji pri svojih odločitvah odvisni od informacij,
pridobljenih iz informacijskih sistemov. Z rastjo povezanosti med organizacijo, dobavitelji in
strankami ter usmerjenostjo v to, kako IT predstavlja dodatno vrednost v poslovni strategiji
ter potrebi po upravljanju IT virov in preprečevanju IT napak in okvar, lahko pričakujemo
odlične poslovne rezultate (National Computer Center 2005, str. 4).
Čas je, da informatika sporoči in jasno pove podjetju, katera so področja njenega delovanja,
zaradi katerih je podjetje uspešnejše in učinkovitejše. Informatika je v tem kontekstu najprej
dolţna podjetju jasno predstaviti svoje poslanstvo, potem pa ga je dolţna tudi opraviti in
ovrednotiti. To je zahtevna in zelo ambiciozna naloga, ki jo laţe sprejme in opravi sposobna,
motivirana informatika, ki se bolj kot s tehnologijo ukvarja s poslovanjem podjetja (Cerovšek
2012, str. 196).
Weill in Ross (2004, str. 5–7) predlagata okvir skupnega sodelovanja in upravljanja IT. Na
vrhu okvirja (glej Sliko 2.3) so opisane relacije odbora. Izvršni odbor kot predstavnik odbora
zdruţuje strategije in izvršuje naloge odbora. »Ţeleno stanje vključuje prepričanje in kulturo
organizacije ne samo skozi strategijo, ampak vključuje tudi skupne poslovne postopke,
skupno upravljanje vrednosti, običajev in struktur« (Weill in Aral v Weill in Ross 2004, str.
6).
12
Slika 2.3: Zdruţeno vodenje in ključna področja
Vir: MIT Sloan School Center for Information Systems Research v Weill in Ross (2004, str.
5)
Spodnja polovica (glej Sliko 2.3) identificira šest ključnih področij, skozi katera organizacija
izvaja svojo strategijo in ustvarja poslovno vrednost. Izvršni odbor ustvari mehanizme za
vodenje in uporabo teh področij neodvisno in skupno. Ključna področja zajemajo:

kadre (zaposleni, spretnosti, kariere, izobraţevanja, poročanja, nadzor, kompetence,
itd.)

finance (denar, investicije, pasivo, tok denarja itd.)

fizična sredstva (stavbe, oprema, vzdrţevanje, varovanje itd.)

intelektualno lastnino (izdelki, storitve, patentirani procesi, sistemi, zaščitene pravice
itd.)

informacije in IT sredstva (digitalni podatki, informacije, podatki o strankah,
delovanje procesov, informacijski sistemi itd.)

relacije (relacije v organizaciji, ugled pri strankah, dobavitelji, poslovne enote,
konkurenca itd.
13
Vodenje ključnih področij vključuje številne organizacijske mehanizme (strukture, procese,
postopke itd.). Nekateri mehanizmi so specifični za posamezna področja (npr. odbor za IT
arhitekturo), medtem ko ostala področja s prepletanjem in integracijo ustvarjajo sinergijo med
področji. Upravljanje teh šestih področij se v organizacijah zelo razlikuje. Večina organizacij
še kar uspešno upravlja finančno in fizično področje, medtem ko je upravljanje informacij še
vedno na zelo nizki ravni. Za organizacije, ki uporabljajo vsa področja enako, je značilno, da
poslujejo bolje. Na primer, če izvršni odbor upravlja finančno in IT področje skupaj, lahko
organizacija doseţe boljšo integracijo in ustvari dodano vrednost (Weill in Ross 2004, str. 9).
Med glavne elemente obvladovanja IT, Hutton (2012) in ISACA v National Computer Center
(2005, str. 6) navajata:

strateško usmeritev: izvedba strateške usmeritve IT in poslovno/IT sodelovanje v
odnosu do projektov in storitev;

upravljanje tveganja: zagotoviti ustreznost procesov z vidika upravljanja tveganja,
vključno z oceno tveganja investicij v IT;

ustvarjanje vrednosti: naloga (IT/poslovne) organizacije je zagotoviti najvišji moţni
poslovni učinek IT. Učinek se nadzira in oceni se dobiček na investicijo (angl. return
on investment, ROI);

upravljanje, optimizacija virov: izvesti strokovno usmerjeno uporabo IT virov.
Pregledati stopnjo IT-ja v podjetju. Zagotoviti ustrezne IT zmogljivosti in
infrastrukturo za podporo zdajšnjih in novih poslovnih zahtev;

implementacija in vrednotenje upravljanja: preveri strateško sodelovanje oziroma
dosego IT ciljev. Preverjaj rezultate IT delovanja in prispevek IT k poslovanju.
Za izboljšanje in razvoj obvladovanja IT potrebujemo določena investicijska sredstva. Zato je
potrebno za pridobitev sredstev narediti natančno oceno potencialnih koristi v poslovanju.
Pričakovane koristi tako sluţijo kot kriterij uspeha investicije, ki ga je moţno meriti.
Pozitivne učinke celovitega obvladovanja nakazuje Stroud (2005, str. 11) na petih področjih.
Kot prikazuje Slika 2.4, se povečujejo kakovost storitev in učinki skupnega sodelovanja,
hkrati pa zniţamo stroške storitev, jih hitreje izvedemo in kar je najpomembneje, da z uvedbo
notranjih nadzorov, zmanjšamo tveganja na minimum.
14
Podpora
poslovanju
Slika 2.4:Prednosti obvladovanja IT
Skupna
usmeritev
IT
tveganja
Kvaliteta
storitev
čas
Bolje
Kontrola
varnosti
čas
čas
Čas
izvedbe
Stroški
storitev
Vrednost
deležnikov
Ceneje
čas
Hitreje
čas
Vir: Stroud (2005, str.11)
National Computer Center (2005, str. 6–7) navaja naslednje koristi pri poslovanju v primeru
dobrega obvladovanja IT.

Transparentnost in odgovornost. Izboljša se transparentnost IT stroškov, procesov,
projektov in storitev. Odgovornosti in vloge so jasno določene.

ROI/Vrednost deleţnikov. Izboljša razumevanje vseh IT stroškov in predstavlja
osnovo za ROI. Vzpostavi ravnoteţje med rezanjem stroškov in investicijami.
Deleţniki imajo vpogled na IT tveganja glede na ROI. Izboljšana zunanja podoba
podjetja.

Priloţnosti in poslovna sodelovanja. Z vpeljanimi postopki identificiramo priloţnosti,
ki jih drugače ne bi zaznali. S sprejetjem IT-ja kot partnerja (na ta način vemo, kakšen
partner je IT) in s tem delitvijo tveganja s poslovnim partnerjem doseţemo
konsistenten pristop upravljanja tveganja. Omogočimo udeleţbo IT-ja v poslovni
strategiji (kar se odraţa v IT strategiji) in obratno. Izboljšamo odzivnost na priloţnosti
in spremembe na trgu.

Izboljšanje delovanja.Jasna identifikacija IT delovanja (ali gre za običajno podporo
poslovanju ali za projektno podporo s poznejšo dodatno vrednostjo). S povečano
transparentnostjo izboljšamo postopke delovanja in ustvarimo okolje za nadaljevanje
rasti. Z orientacijo na izboljšanje poslovanja nam je omogočeno doseganje najboljših
praks. Izogibati se moramo stroškom, ki niso povezani s cilji.

Zunanja skladnost. Vzpostaviti integriran pristop do zakonsko predpisanih zahtev.
15
Kot navaja ISACA (2009a, str. 8), je celovito obvladovanje IT odvisno od številnih pogojev,
kot so: sposobnosti spremembe upravljanja, komunikacije, pravilnega pristopa in
identifikacije dosegljivih ciljev. Kot rezultat uspešne implementacije ISACA (2011, str. 8)
navaja dva pozitivna vidika. Na eni strani kratkoročne koristi v smislu zniţanja stroškov in na
drugi strani dolgoročni učinki v smislu boljšega upravljanja IT, zmanjšujemo tveganja.
Obvladovanje IT sluţbe v organizaciji je danes soočeno z mnogimi izzivi in teţavami, kot so
(Kadre 2011, str. 40):

veliki in ločeni informacijski sistemi – aplikacije so relativno izolirane med sabo,

veliko število aplikacij na različnih platformah z različnimi tehnologijami zajema
različne poslovne informacijske sisteme in »doma« razvite informacijske rešitve,

manjkata pomembna oprema in dokumentacija,

togi in neprilagodljivi IS, ki teţko sledijo ciljem in izboljšavam v organizacij,

veliko zunanjih izvajalcev zahteva veliko nadzora, s tem pa so povezani stroški,

veliko aplikacijskega znanja je pri zunanjih izvajalcih, ki vzdrţujejo sisteme,

visoki stroški vzdrţevanja starih aplikacij segajo do 80 % celega IT proračuna.
Čeprav bomo pri obvladovanju in implementaciji IT v naši raziskavi osredotočeni na okvir
COBIT 4.1, Bentley in William (2010, str. 51) navajata, da obstaja veliko drugih okvirjev
obvladovanja IT. Nekateri pomembnejši izmed teh so:

AS 8015-2005 (www.saiglobal.com) je avstralski standard za obvladovanje
informacijske in komunikacijske tehnologije;

ISO/IEC 27001 (www.iso.org) je skupek organizacijskih najboljših praks za
implementacijo in vzdrţevanje varovanja informacij. Običajno ISO 27001
organizacije uporabljajo skupaj s standardom ISO 27002;

ISO/IEC 38500:2008 (www.iso.org) je še en okvir za učinkovito obvladovanje IT.
Namenjen je vodilnim v organizaciji, da laţe razumejo in opravljajo svoje naloge
skladno z zakoni, usmeritvami in etičnimi zavezami. ISO/IEC 38500 je primeren za
mala in velika podjetja, profitne in neprofitne organizacije ter ostale pravne subjekte.
Je vodič postopkov za učinkovito, veljavno in sprejemljivo rabo IT znotraj
organizacije;

Information Security Management Maturity Model (ISM3; www.ism3.com) je ISM
procesni zrelostni model upravljanja varnosti;
16

IT Infrastructure Library (ITIL; www.itil-officialsite.com) je podroben okvir, kako
upravljati IT;

2.3
Val IT (www.itgi.org) je organizacijski okvir upravljanja IT investicij.
Poslovna–IT usmeritev
V literaturi je uporabljeno veliko različnih izrazov za pojasnjevanje odnosov na relaciji
poslovanja in delovanja IT. V nalogi bomo osredotočeni na izraz skupne poslovno-IT
usmeritve (angl. Business-IT Alignment, BITA), medtem ko v literaturah zasledimo še pojme,
kot so strateška usmeritev (angl. Strategic Alignment), IT usmeritev (angl. Information
Technology Alignment), strateška skladnost (angl. Strategic Fit), poslovna-IT skladnost (angl.
Business IT Fit) itd.
Kljub velikim investicijam v informacijske tehnologije veliko podjetij ni uspelo izvesti
izboljšav v delovanju organizacije. Številne raziskave kaţejo, da je teţava v pomanjkanju
sodelovanja med poslovno in IT strategijo (Henderson in Sifonis, 1988; Henderson in
Venkatraman, 1999). Pomembnost skupne usmeritve za izboljšanje delovanja organizacije so
potrdili tudi IT strokovnjaki in vodstva organizacij, pri katerih je zadnja desetletja razvoj
skupne usmeritve glavna prednostna naloga (Luftman in drugi, 2005). Te rezultate praktične
učinkovitosti skupne usmeritve so v zadnjih letih podprle številne raziskave in študije
primerov (Chan in drugi, 1997; Irani, 2002; Kearns in Lederer, 2003). Rezultati kaţejo na
pozitivno povezavo med skupno poslovno-IT usmeritvijo in poslovanjem organizacije.
Najbolje poslujejo organizacije, ki najučinkoviteje prilagajajo poslovanje svoji IT strategiji
(Chan in drugi, 2006). Kljub temu nekateri strokovnjaki pravijo, da v teh raziskavah niso bili
zajeti bistvo in ostali pomembni elementi skupne usmeritve. Tudi če se v nekaterih primerih
kaţejo pozitivni učinki usmeritve, skupna usmeritev sama po sebi ne prinaša pozitivnih
poslovnih učinkov. Na primer tam, kjer je poslovna-IT usmeritev breme oziroma neţeleno
stanje, vključno z nejasno poslovno strategijo. V teh primerih ni jasno, ali organizacije
investirajo v IT in ali jim potencialne koristi sploh predstavljajo izziv. Kljub argumentom, ki
govorijo proti nujnosti skupne usmeritve, ima veliko IT strokovnjakov in menedţerjev skupne
usmeritve za eno najpomembnejših dejavnosti v organizaciji (Luftman in drugi, 2005; 2009).
17
2.3.1
Definicija skupne poslovne–IT usmeritve
Eno prvih definicij skupne poslovne usmeritve sta podala Henderson in Venkatraman.
Definirala sta jo kot stopnjo zdravih in integriranih štirih področij: poslovne strategije, IT
strategije, poslovne infrastrukture in IT infrastrukture (Henderson in Venkatraman, 1999).
Reich in Benbasat sta oblikovala skupno usmeritev kot misijo, cilje in načrte v poslovni
strategiji, deljene in podprte z IT strategijo (Reich in Benbasat, 1996). V svojih zapiskih
Luftman in Brier (1999) argumentirata skupno usmeritev v primernem in časovno ustreznem
upravljanju IT, v harmoniji s poslovno strategijo, cilji in potrebami. Leto pozneje isti avtor v
svojem članku dopolni svojo definicijo, ki poleg tega, da je IT v harmoniji s poslovanjem,
mora tudi s poslovne strani obstajati harmonija z IT (Luftman, 2000), kar nakazuje na
enakopravnost poslovne in IT strategije.
Na vprašanje, kaj je skupna usmeritev v kontekstu teh definicij, Curtin (1999, str. 3) navaja,
da je to trajni proces, v katerem skupen tim odlično sodeluje pri izvajanju nalog in:

prepoznava, na katerih področjih je organizacija močna in kje šibka (in zakaj),

razvije akcijski načrt upravljanja vplivnih področij ter

razvije in upravlja ključna področja skupne usmeritve in njihovih notranjih povezav.
2.3.2
Model skupne poslovne usmeritve
Eden največkrat omenjenih modelov skupne poslovne usmeritve, je model Hendersona in
Venkatramana. Njun model je sestavljen (glej Sliko 2.5) iz štirih osnovnih področij. To so :
poslovna strategija, IT strategija, organizacijska infrastruktura in procesi IT (Henderson in
Venkatraman, 1999). Model poskuša integrirati poslovno in IT področje, s povezavami
zunanje perspektive in notranjega fokusa na IT. Zgornji integraciji temeljita na strateški
(zunanji) integraciji poslovne in IT strategije. Spodnja integracija je interno usmerjenater
povezuje organizacijsko infrastrukturo in procese z IT infrastrukturo in procesi.
18
Slika 2.5: Strateški model skupne usmeritve
Zunanji pogled
POSLOVNA
POSLOVNASTRATEGIJA
STRATEGIJA
Tehnološko
področje
Poslovno
področje
Poslovne
kompetence
Poslovno
upravljanje
Strateška
usmeritev
Notranji pogled
ITITSTRATEGIJA
STRATEGIJA
Avtomatska
Sistemske
kompetence
povezava
Poslovno
infrastruktura
Procesi
IT
upravljanje
Arhitektura
Spretnosti
ORGANIZACIJSKA INFRASTRUKTURA
ORGANIZACIJSKA INFRASTRUKTURA
IN PROCESI
IN PROCESI
Procesi
Spretnosti
IT INFRASTRUKTURA
IT INFRASTRUKTURA
IN PROCESI
IN PROCESI
Poslovanje
Informacijske tehnologije
Vir: Henderson in Venkatraman v Mikalef (2010, str. 33)
2.3.3 Zmanjšanje prepada med poslovno–IT usmeritvijo
Ratnham in drugi (2005, str. 4) so s pomočjo raziskav (intervjujev z odgovornimi v podjetjih)
prišli do naslednjih predlogov za zmanjšanje prepada med poslovno in IT strategijo.

Močna poslovna potreba za strateško sodelovanje.

Potrebuje se vplivni poslovni vodja (direktor), ki je pripravljen prisluhniti novim
idejam.

Potrebna je vodilna osebnost z jasno vizijo.

Dojetje vodilnih, da je IT ključen partner za izvedbo poslovne strategije.

Visoko usposobljene strokovnjake s poslovnega in IT področja je treba vključiti v
snovanje skupne poslovne-IT usmeritve.

Potrebujeta se pogum in zaveza vseh udeleţencev za delovanje v korist organizacije.
19
Za zmanjšanje prepada sta potrebna jasna vizija in splošno razumevanje, kaj je treba narediti s
poslovnega vidika in kako to izvesti s pomočjo tehnologije (vzpostaviti vizijo in jo nato
izvesti). Kot izboljšanje odnosa avtorji predlagajo še: izboljšanje procesa ustvarjanja
strategije, izboljšati komunikacijo, ustvariti skupen izvršni tehnološki tim, razviti poslovno
arhitekturo, bolje definirati poslovne zahteve in skupno izobraţevanje zaposlenih z obeh
področij.
Na podlagi raziskave v organizacijah, ki so jo izvedli Ratnham in drugi (2005, str. 6), so
izdelali metodo (glej Tabelo 2.2) za minimiziranje prepada med poslovno in IT strategijo v
organizaciji.
Tabela 2.2: Metode za zmanjšanje prepada med IT in poslovno strategijo v organizaciji
Strategija
Izboljšati proces razvoja poslovne strategije.
Povečati stopnjo sodelovanja med IT in poslovnim sektorjem.
Definirati kdaj in kako vpeljati nove tehnologije.
Zgraditi poslovno arhitekturo.
Vključitev IT sluţbe v organizaciji v poslovne procese.
Vključitev vodje IT v poslovni odbor.
Taktika
Vzpostaviti nevtralno skupino strokovnjakov, ki bo identificirala in predlagala predloge skupne usmeritve.
Prioriteta IT pobud.
Prioriteta vseh organizacijskih pobud.
Skupna obravnava IT pobud.
Izboljšati razvoj poslovnih procesov.
Definirati procese za zagotovitev prenove procesov na podlagi IT pobud.
Upravljanje pregledov (revizij) po implementaciji.
Povečati odgovornost menedţerjev.
Zagotoviti privolitev vodstva v sprejetje IT predlogov.
Zagotovitev virov za izvedbo skupne usmeritve.
Uporaba inovativnega in ponovljivega razvoja.
Zagotoviti pobudam močno podporo IT vodstva.
Komunikacije
Izboljšati komunikacije poslovne strategije.
Razviti razumljive tehnološke definicije.
Izboljšati komuniciranje znotraj celotne organizacije.
Vzpostaviti poslovni-IT odbor, za razpravljanje o mogočih rešitvah, novih tehnologijah, strategiji, itd..
Izobraževanje
Ustvariti jasen in kompetenten okvir razumevanja delovanja IT.
Izobraziti vodilne o potrebi po skupni poslovni-IT usmeritvi.
Podati priloţnost zaposlenim v IT, da spoznajo delovanje proces poslovanja in obratno.
Vir: Ratnham in drugi (2005, str. 6)
20
2.4
Ustvarjanje vrednosti
Eden zelo pomembnih dejavnikov dobrega IT-ja, je razumevanje vodstva, da IT ni samemu
sebi namen, ampak orodje za dosego poslovnih ciljev. Namen IT ni več zgolj implementacija
tehnologij, temveč orodje za omogočanje organizacijskih sprememb in s tem pridobivanje
dodatne vrednosti za podjetje. Enako strateško pomembna je zaveza vodstva po vzpostavitvi
celovitega obvladovanja IT. Ključna naloga IT je zagotavljanje dodane vrednosti podjetja. Ta
vključuje natančno izbiro investicije in ekonomsko spremljanje celotnega cikla, od začetka do
konca. V BTM Institute (2007) so v raziskavi potrdili, da so podjetja, ki so uspela zdruţiti
tehnološke in poslovne zahteve, dosegla večjo rast in boljše poslovne rezultate, od
konkurence v panogi.
V zadnjem obdobju so številne organizacije dokazale, da so sodobni informacijski sistemi
lahko generator novih poslovnih priloţnosti, da lahko predstavljajo gonilno silo napredka
organizacije in s tem pripomorejo k boljšemu poslovanju organizacije. Celoviti informacijski
sistemi za načrtovanje v organizaciji pomenijo orodje, s katerim si organizacija lahko
zagotovi konkurenčno prednost, predvsem pa pripomorejo k laţjemu doseganju izzivov, kot
so (Gartner, 2009):

izboljšanje poslovnih procesov,

zmanjšanje poslovnih stroškov,

povečanje učinkovitosti zaposlenih,

pridobivanje novih strank,

večja uporaba analitičnih orodij pri odločanju in

ustvarjanje novih izdelkov ter priloţnosti.
ISACA (2008b, str. 10) poudarja, da ustvarjenje vrednosti ni vedno lahko. Večina podjetjih se
sooča vsaj z enim od šestih tipičnih izzivov.

Problem pri zagotovitvi tehničnih zahtev. IT pogosto nima ali ne zmore zadostiti
tehničnim pogojem za ustrezno podporo poslovnih dejavnosti in njihovih sprememb.
Ta izziv je priloţnost izboljšanja IT in procesnega upravljanja v skladu z dobrimi
praksami upravljanja vrednosti.

Omejeno razumevanje ali nerazumevanje IT stroškov. Redko se zgodi, da IT vodstvu
transparentno prikaţe izdatke o tekočem poslovanju, investicijah, opremi in ostalih
21
virov. Zato vodstva lahko le okvirno ocenjujejo potrebna vlaganja, kakšne koristi bodo
glede na vloţek in kakšen poslovni učinek naj bi dosegli. Stroški po navadi izhajajo iz
različnih virov, zato prihaja do podvojitve stroškov in konfliktov pri angaţiranju virov.

Poslovna abdikcija sprejemanja IT odločitev. Ko so vloge, odgovornosti in dolţnosti
IT in ostalih poslovnih funkcij nejasne, IT prevzame krmilo in odreja, katere IT
dejavnosti bodo podpirale poslovne potrebe in kakšne naj bodo investicije v IT. S tem
navidezno razbremenijo vodilne pri odgovornosti in zagovarjajo vsako odobreno IT
dejavnost, kot racionalno in potrebno za delovanje podjetja.

Komunikacijski prepad med vodstvom in IT. Skupno sodelovanje je ključno za
ustvarjanje vrednosti. Kadar ni sodelovanja, trpi komunikacija, poveča se
neučinkovitost in v delovnem okolju prevlada kultura obtoţevanja. V mnogih primerih
je vloga IT zasledovanje poslovnih odločitev namesto inovativnosti. Zato je IT večkrat
predmet neupravičenega investiranja.

Kakšna je vrednost IT. Podjetja še naprej veliko vlagajo v tehnologije, zato odgovorne
zanima proizvedena vrednost iz vloţka v investicijo. Običajno je pozornost usmerjena
na upravljanje IT stroškov v smislu, razumeti, obvladovati in vplivati na vlogo IT v
procesu ustvarjanja poslovne vrednosti. Ker investicije v IT vključujejo tudi
organizacijske spremembe, bo ozko gledanje (stroški/vrednost) na rezultate, še naprej
predmet neuspeha mnogih investicij.

Velike napake investiranja – Ko IT projekt propade, nastanejo izjemno visoki stroški.
Propad projekta lahko ključno vpliva na poslovanje. Škoda se šteje v milijonih evrih in
zmanjšanje sredstev za obstoječi projekt lahko ogrozi ostale projekte. Najpogostejša
neuspela projekta sta uvedba poslovnega informacijskega sistema (ERP) in sistema za
upravljanje s strankami (CRM).
Slika 2.6 nam prikaţe moţnost pogleda na upravljanje vrednosti z dveh strani. Na eni strani
imamo pogled vodstva (strateško vprašanje in vprašanje upravljanja vrednosti) in na drugi
strani IT pogled, ki pomaga vodstvu odgovoriti, ali IT dela učinkovito in na pravilen način.
22
Slika 2.6: Sinergija upravljanja vrednosti
Vprašanje upravljanja vrednosti.
Strateško vprašanje.
Ali je upravljanje:
Ali je investicija:
●
Skladna z vizijo.
●
Konsistentna s poslovnimi
postopki.
●
●
Ali izvajamo
prave poteze?
Ali ustvarjamo
dodano vrednost?
●
Jasno in skupno razumevanje
pričakovanih koristi.
●
Jasne odgovornosti za realizacijo
dodane vrednosti.
Podpira strateške cilje.
Je dodana vrednost, za
sprejemljive stroške in za
sprejemljivo tveganje.
●
●
Ali je realizacija:
Ali je investicija:
Skladna z arhitekturo.
●
Konsistentna s arhitekturnimi
postopki.
●
Doprinese k razvoju arhitekture.
●
V sodelovanju z ostalimi
iniciativami.
Učinkovita realizacija procesov skozi
celoten cikel investicije.
Vprašanje realizacije.
Arhitekturno vprašanje.
●
Relevantno merjenje učinkov.
Ali stvari izvajamo
na pravilen način?
Ali je izvedba
ustrezna?
●
●
Učinkovito in dosledno upravljanje,
prenos in spremembe upravljanja
procesov.
Zagotovitev kompetentnih in dosegljivih
tehničnih in poslovnih storitev:
- zahtevane kapacitete
- Sposobnost vpliva na organizacijske
spremembe
Vir: ISACA (2008c, str. 14)
Mnogo laţje je voditi veliko podjetje, v katerem zaposleni razumejo ţelene cilje. Idealno
stanje ustvarjanja vrednosti z IT lahko okarakteriziramo kot (ISACA 2008b, str. 12):
1. Zavedanje in komunikacija

Obstaja zaupanje v IT, saj izpolnjuje pričakovanja.

Upravljanje vrednosti je razumljeno in organizacijsko sprejeto ter se opravlja na
najvišjiravni.

Vodstvo razume in sprejema dobre prakse upravljanja vrednosti.
2. Odgovornosti in obveznosti

Zaposleni identificirajo priloţnosti, nadrejeni izberejo in nagradijo zasluţne ter
pravočasno obravnavajo problematične.

Odgovorni izvajajo investicije skladno z uravnoteţenostjo procesov. Vodje se
vključujejo v procese na osnovi dejanskega stanja in ne na osnovi notranjih politik.

Vsako investicijo odobri za to strokovno usposobljeno osebje.

Dobro so definirane odgovornosti investitorjev za vsako investicijo.
23

Sodelovanje, podprto z javnimi vlogami, odgovornostmi in procesi, omogoča
preprečitev organizacijskih tveganj. Organizacijska tveganja zmanjšamo z jasnim
definiranjem, kakšne so poslovne potrebe in kako jih izvedemo.

Vodstvo, podprto z IT, določa ključne investicijske kriterije, čas povrnitve investicije
in odobri individualne investicije.
3. Določitev in merjenje ciljev

Stalen nadzor usklajenosti investicije s strategijo.

Vrnitev investicijskih sredstev je stabilnejši in laţe predvidljiv.

Vsi IT stroški v okviru poslovne strategije so internega značaja. Vloga IT pri
ustvarjanju vrednosti in IT stroški niso stvar izvršnega vodstva, saj je vse
transparentno, predvidljivo, skratka obvladljivo.

Z merjenjem se občutno poveča odstotek uspešnih investicij v smislu realizacije in
ustvarjanja vrednosti.

Z revizijo investicijskih programov in projektov merimo učinek realizacije, strateškega
sodelovanja, stroškov in tveganj.

Informacije upravljanja in napovedi so konsistentne, relevantne, točne, pravočasne in
dostopne.

Vzpostavljeni so ključni pogoji za vzpostavitev zrelostne stopnje upravljanja procesov
in dobrih praks.
4. Politike, standardi in postopki

Investicijsko procesno investiranje se začne z razmislekom o ciljih za poslovno korist.

Upravljanje vrednosti postane del dnevnih opravil.

Sodelovanje med poslovnimi koristmi in potrebami virov je vzpostavljeno in uspešno
vodeno.

Jasna meja mora biti med investicijskimi stroški in tekočimi operativnimi stroški.
Tako bolje spremljamo ves njihov ekonomski oziroma investicijski cikel.

Investicije so kategorizirane med obvezne in tiste, ki so na voljo.

Izbira investicij temelji na objektivnih kriterijih, ki so merljivi, preverljivi in
ponovljivi.

Zgodovina sprememb investicijskih programov se obnavlja in dopolnjuje, odvisno od
potreb podjetja.
24

Obstaja formalen proces opustitve investicije, kadar so koristi doseţene oziroma ni več
moţnosti za napredek.
5. Spretnosti in prakse

Kakovostni programi in projektno vodeni procesi so osnova dobrih praks ustvarjanja
vrednosti.

Skupek poslovnih praks in različnih struktur, je v uporabi skozi različne investicijske
strukture, vključno s tistimi, ki nimajo osnove na tehnologiji.
6. Orodja

V podjetju se uporabljajo standardna orodja za ocenjevanje investicij, odkrivanje
posebnosti in identifikacijo pozitivnih trendov, kot tudi za vrednotenje in spremljanje
učinkovitosti investicij.
2.5
Upravljanje tveganj
Vodstva, analitiki, poznavalci tveganj in ostali se vse bolj zavedajo potrebe za bolj
učinkovito, od zgoraj navzdol, upravljanje tveganj. Zato menijo, da mora upravljanje tveganj
postati integralen del poslovanja in to ne samo občasno, temveč mora v času globalnih
ekonomij sprotno spremljati dogajanja in se na njih odzivati. Skozi takšen pristop je mogoče
tveganja ustrezno opredeliti, meriti, predvsem pa spremljati učinkovitost upravljanj tveganj
(IBM, 2012).
Filozofija tveganja ima pogosto osnovo na verjetnosti pričakovanih dogodkov v določenem
časovnem obdobju. Ta tveganja so seveda še vedno prisotna, vendar pa se veliko manj
zavedamo »tihih« tveganj, ki imajo osnovo na odločitvah in imajo lahko enak negativni
učinek (Brown in Yarberry 2009, str. 24).
Slika 2.7 prikazuje postopek upravljanja tveganj, ki se začne z določitvijo področij, ki so za
organizacijo pomembna, do določitve postopkov identifikacije tveganj in sprejetja strategij za
njihovo obvladovanje. Za uspešnost upravljanja tveganj, moramo redno nadzorovati tveganja
ter temu prilagajati strategijo in postopke.
25
Slika 2.7: Pregled upravljanja tveganj
2. Identifikacija
in analiza tveganj
1. Področje
tveganj
•
Identifikacija faktorjev tveganja
•
Prioritete faktorjev tveganja
•
Profili tveganj
•
Identifikacija faktorjev tveganja
•
Ublažitev identificiranega tveganja
•
Upoštevanje finančnih faktorjev
4. Nadzor
tveganj
3. Razvoj strategij
upravljanja tveganj
•
Analiza dogodkov
•
Razvoj strategije upravljanja tveganj
•
Implementacija strategije
Vir: Moeller (2013, str. 42)
Westerman in Turner (2004) menita, da tveganje nima usmerjeno na področja transakcij,
denarja in dogodkov, ampak izključno na strateške cilje podjetja. V ta namen sta identificirala
štiri ključne poslovne zahteve, ki jih mora izpolniti IT za uspešnost podjetja:

uporabnost; sistem mora biti pripravljen in v delovanju. Odprava okvar mora biti hitra
in skladna s poslovnimi zahtevami;

dostopnost; sistem mora biti dovolj zaščiten pred izgubo podatkov, vendar vseeno
dovolj fleksibilen pri njihovi uporabi;

natančnost; informacija mora biti pravočasna, celotna in pravilna, ko je predstavljena
notranjim in zunanjim uporabnikom.;

fleksibilnost; zmoţnost spreminjanja IT sistema za poslovne potrebe s sprejemljivo
hitrostjo in razumnimi stroški.
Litten (2011, str. 8) loči tveganja na dveh ravneh. Na eni ravni so tveganja v okviru
servisiranja in upravljanja procesov, na drugi ravni pa obravnava tveganja, ki so del
obvladovanja IT. Sicer je tveganja uvrstil v tri kategorije:

operativno tveganja: opredelitev tveganja na relaciji organizacija–dobavitelji v smislu
obvladovanja informacij;

tehnološko tveganje; tehnološke spremembe lahko negativno vplivajo na ostale
procese. Če so tehnološke spremembe načrtovane, lahko izboljšamo storitve;

storitveno tveganje; storitve je treba prilagajati poslovnim potrebam. Zato je raven
tveganja odvisen od zrelosti servisnih storitev, zanesljivosti dobaviteljev, sposobnosti
integracije in sposobnosti upravljanja informacij.
26
Kot nas opozarjajo Herman in drugi (2012), upravljanje tveganj nikakor ni rutina. Različnost
tveganj je prej pravilo kot izjema. Zato Van Dijk in drugi (2011) predlagajo uravnoteţeno
»razumno previdnost« glede upravljanja tveganj. Če smo pri upravljanju tveganja preveč
rigorozni, lahko to privede do zaviranja inovativnosti in kreativnosti zaposlenih, in če smo pri
ukrepih preohlapni, smo lahko deleţni neprijetnih presenečenj.
Z namenom dobrih praks obvladovanja IT mora imeti organizacija učinkovit program
obravnave in upravljanja splošnih tveganj, pomembnih tveganj in specifičnih tveganj, ki
nastanejo med obratovanjem. Tabela 2.3 predstavlja nekatere rešitve tveganj in predstavi
ustrezne strategije za upravljanje teh tveganj.
Tabela 2.3: Upravljanje IT – obvladovanje tveganj
Organizacijske zahteve
upravljanja tveganja
Strategija odziva na tveganje
Razumevanje
organizacijskih tveganj
Ko se soočimo s potencialnim tveganjem, je naloga organizacije
oceniti stopnjo tveganja. Ko bo organizacija sposobna
prepoznati in sprejeti tveganja za dosego ciljev, lahko govorimo
o organizaciji, ki obvladuje tveganja.
Razumevanje tveganja in
sprejetje posledic
Organizacija se sooča z mnogimi tveganji, zato mora biti
popolnoma jasno, katera tveganja sprejmemo, oziroma
prevzamemo odgovornost za njih.
Vzpostavitev tima za
upravljanje tveganj
Za identifikacijo tveganj bi moral biti vzpostavljen
organizacijski tim. Naloga tima je sprejemanje ustreznih
ukrepov za obvladovanje tveganj.
Sprejetje ostalih tveganj
Pod ostala tveganja štejemo tveganja, ki so posledica
človeškega dejavnika. Na primer, avtor dokumenta spregleda
nekatere finančne rezultate, kar privede do napačne ocene
stanja. Menedţment lahko spregleda napako in potrdi poročilo.
Razumevanje nadzorov
obravnave tveganj
Organizacija mora sprejeti stroške in potencialne zaplete pri
identifikaciji tveganj.
Razumeti stroške
odpravljanja tveganj
Organizacija se sooča z mnogimi tveganji, zato mora predvideti
sredstva za odpravo nastalih tveganj.
Sprejetje posledic
preohlapne strategije
Organizacija mora definirati in sprejeti strategijo za primere, ko
se tveganje pojavi.
Razumevanje procesa
upravljanja tveganj
Kaj storiti, če se tveganje pojavi? Organizacija mora razviti
nadzorne mehanizme za preprečitev in odpravo tveganj, in sicer
na osnovi preverjenih dobrih praks.
Vir: Moeller (2013, str. 31)
27
Upravitelji so še posebej zaskrbljeni glede operativnih in sistemskih tveganj, ki so močno
vpeta v tehnološka tveganja in sistemske rešitve. ISACA v Romero (2011, str. 37) predlaga
vodstvu upravljanje tveganj v podjetjih na naslednje načine.

Zagotoviti transparentnost glede posameznih tveganj v podjetju in razjasnitev politike
sprejemanja oziroma izogibanja tveganja.

Zavedati se, da je največja odgovornost upravljanja tveganja na vodstvu, zato je treba
podrejenim posredovati informacije jasno razumljive in nedvoumne.

Z uspešnim notranjim nadzorom upravljanja tveganja lahko izboljšamo tudi
stroškovno učinkovitost.

Upoštevajoč transparentno in proaktivno upravljanje tveganja lahko prinese
konkurenčno prednost.

Z vztrajanjem vključitve upravljanja tveganja v dejavnosti podjetja lahko tveganja
hitro zaznamo in z ustreznim pristopom tudi hitro odpravimo (kakšno je tveganje,
kdaj, kje in kako je nastalo).
Glede na tip tveganja in vpliva na poslovanje se vodstvo in upravitelji tveganja odločijo za
(Romero 2011, str. 37):

zmanjšanje tveganj (implementacija vzvodov za zmanjšanje tveganj),

prenos tveganj (delitev tveganj s partnerji oziroma prenos tveganja na zavarovalnico),

sprejetje tveganj (sprejmemo, da tveganje obstaja in ga nadziramo).
Slika 2.8: Cilji upravljanja tveganj
Vsa tveganja
povezana s stroški
Optimalno
Stroški
Stroški
škod
Stroški
kontrol
Stopnja kontrole
Vir: Brotby (2009, str. 76)
28
Brotby (2009, str. 75) navaja, da so za upravljanje tveganj odgovorni vsi zaposleni, glede na
vlogo v podjetju. Pri tem je treba za dosego ciljev razmisliti, če je moţno spremeniti kulturo v
podjetju, če je to potrebno. Cilji (glej Sliko 2.8) morajo biti realni, če jih ţelimo doseči. Pri
uvajanju ukrepov upravljanja tveganja na različnih ravneh je pričakovati določeno stopnjo
odpora pri zaposlenih, kar predstavlja poseben izziv. Zato je še kako potrebna podpora uprave
podjetja.
Kot menita Kiely in Benzel (2006), je na varnost treba pogledati širše, saj v globalnem svetu
ni več dovolj védenje, zakaj obstajamo in kaj je razlog uspeha, temveč kako bomo obvarovali
naš obstoj.
Varnost informacij lahko enačimo s standardno definicijo varnosti, ki vsebuje (Brotby 2009,
str. 6):

zaupnost: informacija je dostopna samo pooblaščenim osebam,

popolnost: informacija ni predmet nepooblaščenega spreminjanja.

dostopnost: informacija mora biti dostopna tistim, ki jo potrebujejo in kadar koli jo
potrebujejo,

neodvisnost in nedvoumnost: za elektronsko poslovanje mora biti informacija
neodvisna in nedvoumna.
Informacija kot del znanja je ključna za delovanje organizacije in lahko predstavlja
pomemben del njene vrednosti. »Mnoge organizacije lahko preţivijo izgubo ljudi,
zmogljivosti in opreme, vendar le redke lahko preţivijo z izgubo ključnih notranjih
informacij, znanja o delovnih procesih in postopkih dela, informacij o strankah itd.« (Brotby,
2006). Študije so pokazale, da je izguba informacij v organizaciji v večini primerov ena
največjih nevarnosti za organizacijo. To potrjuje raziskava TexaS A&M University, ki je
pokazala, da je (Moskal 2006):

93 % podjetij, ki so izgubili podatkovne centre zaradi različnih nesreč za 10 dni ali
več, propadlo v enem letu po nesreči;

50 % podjetij, ki se je znašlo v poloţaju brez upravljanja informacij, v istem času tudi
propadlo.
Z namenom iskanja specifičnih rešitev se organizacija sooča s širokim spektrom zunanjih in
notranjih tveganj. Med zunanja tveganja štejemo teroristične napade, vohunjenje, tveganja v
oblaku itd. Zunanja tveganja se pojavljajo tudi na področjih IT virov in osnovnih poslovnih
29
operacij. Danes morajo izvršni direktorji zagotoviti primerna orodja za nadzor in primerne
strokovnjake za izvajanje nadzora in sprejemanja ustreznih ukrepov. Notranja tveganja pri
upravljanju procesov je načeloma laţe nadzirati. Ker nikoli ne vemo, kdaj naš IT sistem
nepričakovano napade vsiljivec, lahko z vzpostavitvijo strogih notranjih nadzorov in
postopkov, močnega tima deleţnikov, ko vsak pozna svojo vlogo in odgovornosti, uspešno
kljubujemo napadom (Moeller 2013, str. 35).
Kljub obvladovanju glavnih tveganj, kot so izguba podatkov in prekinitev proizvodnje
oziroma poslovanja, Schacklett (2012) opozarja na deset manjših tveganj, ki lahko prerastejo
v velika in jih vodilni ne bi smeli spregledati.

Izguba zaposlenega za pomoč končnim uporabnikom. Če odgovorni za podporo
končnemu uporabniku zapusti podjetje ali preide na drugi poloţaj, lahko to vpliva na
uspešnost ali neuspešnost implementacije.

Slabo sodelovanje in skupno odločanje. Tveganje se pojavi, kadar dve ali več
organizacij delajo na istem projektu in različnih sistemih. Zaposleni se sprašujejo, ali
bodo imeli sluţbe ob zaključku skupnega projekta in kaj vse lahko gre narobe pri
zdruţevanju različnih organizacij.

Slaba komunikacija. Pri dajanju nalog, usmeritev in vodenju projektov moramo
skrbeti za jasno komunikacijo. Vendar organizacije običajno sprejemajo hitre
odločitve. Zato so posledično informacije razdrobljene, nekompletne in dvoumne.

Previdnost pri dobaviteljih. Običajno se pred podpisom pogodbe preverijo finančne
zmogljivosti dobavitelja. Prevečkrat pa se pozabi preveriti usmeritve, ki jih dobavitelj
predvideva v prihodnosti.

Odgovornost vodstva pri sprejemanju odločitev. Od vodstva je odvisno, kolikšen bo
prispevek IT-ja k poslovanju. Na strani IT-ja pa je, da se vodstva pretirano ne
obremenjuje s tehnologijami.

Streţniška distribucija in lokacije upravljanja. Zaradi teţav z zagotavljanjem
ustreznega streţniškega okolja vse več organizacij seli fizično opremo na virtualne
streţnike in ustvarja svoje storitve v oblaku.

Najem znanja strokovnjakov. Za izvedbo projektov potrebujemo strokovnjake, zato se
moramo odločiti, ali najeti strokovnjaka, ki je prezaseden in nemotiviran, ali pa
nadobudneţa, ki je poln energije in poleg tega še timski igralec.
30

Odnosi med zaposlenimi. Na primer, kadar imamo zakonske pare v timih, je treba biti
pozoren, da se zasebne teţave ne prenašajo na izvajanje projektov.

Pomanjkanje dokumentacije. To je še posebej pomembno pri vodenju projektov. Če je
dokumentacija pomanjkljiva, je teţko revidirati takšen sistem in mnogi programski
postopki postanejo nekakšen »black box« sistema.

Rezervni načrt (angl. Disaster recovery plann). Vsaka organizacija potrebuje načrt v
primeru nepredvidenih dogodkov. Priporočata se letna obnova in preskus njegovega
delovanja.
2.6
Upravljanje virov
Strateško načrtovanje spada med ključne procese v informatiki, saj je potrebno za upravljanje
vseh informacijskih virov in za zagotavljanje njihove skladnosti s poslovno strategijo, kar
pripomore k doseganju dolgoročne uspešnosti organizacije (Roţanec in Krisper 2009, str.
123–127). »Toda celotno poslovno načrtovanje je brezpredmetno, če organizacija nima
ustreznih virov, s pomočjo katerih lahko doseţe opredeljene poslovne cilje« (Townsend,
2009, str. 1–2).
ISACA (2007, str. 12) opredeljuje vire kot:

aplikacije – uporabniški sistemi s postopki obdelave informacij,

informacije – podatki v vseh oblikah, ki jih uporablja podjetje,

infrastruktura (arhitektura) – zajema tehnologijo in zmogljivosti, ki omogočajo
delovanje aplikacij,

ljudje – so osebje, ki je potrebno za načrtovanje, organizacijo, pridobivanje,
vpeljevanje, podporo, spremljanje in vrednotenje informacijskih sistemov (IS) in
storitev.
Da je organizacija kos vse večjim poslovnim zahtevam, mora vlagati v vire, ki so potrebni za
vzpostavitev tehnološkega okolja, ki je osnova za podporo poslovnih zmoţnosti. Slika 2.9
nam prikaţe kako poslovni cilji za IT vplivajo na to, kako z IT procesi upravljati vire, ki
pomagajo uresničiti cilje IT.
31
Slika 2.9: Upravljanje virov za uresničitev ciljev IT
Vir: ISACA (2007, str. 12)
Dosegljivi viri predstavljajo ključno komponento za izvedbo sprememb v organizaciji. Tabela
2.4predstavlja ključne vire in njihov vpliv na upravljanje sprememb, kako te pri
implementaciji sprememb procesov različno vplivajo na posamezen vir in kakšne so posledice
v primeru, ko spremembe niso skrbno načrtovane.
Tabela 2.4: Vpliv IT virov na spremembe upravljanja
Pritisk na IT vire pri upravljanju sprememb
IT viri
Ljudje
Aplikacijski
sistemi
Tehnologije
Podatki
Pripomočki
Narava sprememb
Različna pričakovanja na različnih
ravneh vodenja, privedejo do
komunikacijskega prepada
Obnova sprememb delovnega okolja,
temelji na aplikacijskih sistemih
Kratkoročni cilji vplivajo na predhodne
dolgoročne cilje
Nekompatibilnost podatkovnega
modela, podatkovnih struktur,
podatkovnih vsebin, overitev in njihovih
podsistemov
Nekompatibilni s tehnologijo in
podatkovnimi potrebami
Vir: Kulkarni (2003, str. 1)
32
Posledice
Pričakovano upravljanje
delovanja
Kompleksna prilagoditev
mora ohraniti kompatibilnost
Tehnološka arhitektura ni
vzdrţna na dolgi rok
Delovni nadzori in finančna
tveganja
Operativna tveganja
2.6.1 Aplikacijski sistemi
Zadolţitev za aplikacijske sisteme in njihove nadzore je porazdeljena med poslovni del in IT
sluţbo. Pri tem moramo vedeti, da se narava zadolţenosti spreminja in sicer (ISACA 2007,
str. 15):

poslovni del je odgovoren za ustrezno opredelitev funkcionalnih in nadzornih zahtev
ter uporabo avtomatiziranih storitev,

IT sluţba je odgovorna za avtomatizacijo in vpeljavo poslovnih funkcionalnosti in
nadzornih zahtev ter vzpostavitev nadzorov za vzdrţevanje celovitosti aplikacijskih
nadzorov.
V tipičnem spreminjajočem se okolju je teţko razviti polno funkcionalen aplikacijski sistem,
ki podpira ločeno tako kratkoročne kot dolgoročne cilje. Takšen način povečuje tveganja na
informacijskih sistemih in varnosti podatkov. Na primer, pri reorganizaciji je vodstvo
naklonjeno spremembam, ki prinašajo takojšnje učinke. Čeprav je takšen pristop običajen,
ima za posledico, da so delovni sistemi pomanjkljivi, brez jasnih postopkov in brez
dokumentiranja dogodkov. Zato se morajo organizacije orientirati vsaj na delne nadzore, kot
so vhodni podatki, kalkulacije pretoka podatkov, obseg delovanja, tehnološka platforma ali
transakcijski zapisi. V fazi delovanja je treba preverjati varnost informacij, postopkov in
nadzor avtentičnosti, smiselnosti in pravilnosti. To organizaciji pomaga k širšemu pogledu na
delovne obveznosti glede aplikacijskih sistemov in na učinkovite delovne nadzore v skladu s
poslovnimi cilji (Kulkarni 2003, str. 2).
2.6.2 Informacijski viri
Pri izpolnjevanju poslovnih ciljev so informacije ključnega pomena. Na podlagi potreb in
zahtev po kakovosti, fiduciarnosti in varnosti COBIT določa sedem kriterijev za informacije,
ki se med seboj prepletajo (ISACA 2007, str. 10):

uspešnost; nanaša se na informacije, ki so pomemben del procesa. Informacije morajo
biti pravočasno zagotovljene, pravilne, skladne in uporabne;

učinkovitost; predvideva zagotovitev informacij z optimalno (najbolj produktivno in
varčno) rabo virov;
33

zaupnost; zagotoviti moramo varovanje občutljivih informacij pred nepooblaščenimi
osebami;

celovitost; zajema pravilnost in popolnost informacij ter njihovo veljavnost v skladu s
poslovno vrednostjo in pričakovanji;

razpoloţljivost; kadar v procesu delovanja potrebujemo informacije, morajo te biti na
voljo;

skladnost; informacija mora biti skladna z zakoni, predpisi in pogodbenimi dogovori,
ki veljajo za poslovni proces;

zanesljivost; se nanaša na zagotavljanje ustreznih informacij za vodstvo, da lahko
uspešno upravlja podjetje oziroma organizacijo.
Informacija je od vsega začetka ključen vir za razvoj tehnologij v organizacijah in podjetjih.
Informacijske tehnologije so ravno na račun informacij v organizacijah najbolj napredovale v
javnem, socialnem in poslovnem okolju. Kot rezultat tega organizacije in njihovo vodstvo
bolj kot kadar koli prej teţijo k (ISACA 2012, str. 13):

vzdrţevanju visoko kakovostnih informacij v podporo poslovnemu odločanju

ustvarjanju poslovne vrednosti skozi IT investicije (uresničitev strateških ciljev in
uresničitev poslovne učinkovitosti skozi učinkovito in inovativno rabo IT)

doseganju operativne odličnosti skozi zanesljivo in učinkovito rabo tehnologije

vzdrţevanju tveganj, povezanih z IT na sprejemljivi ravni

optimiziranju stroškov IT storitev in tehnologij

izpolnjevanju potrebnih zakonov, pravilnikov, pogodb in ostalih pravil
Danes vodstva organizacij za hitro in uspešno sprejemanje odločitev potrebujejo strnjene in
pravočasne informacije. Pojavi se vprašanje merjenja teh informacij, saj organizacije
potrebujejo merilo, s pomočjo katerega lahko spremljajo stanje, izboljšave in način, kako
vpeljati orodja za spremljanje tega napredka. Slika 2.10prikazuje klasična orodja za
upravljanje informacij, ki se uporabljajo za iskanje odgovorov, vendar te nadzorne tabele
zahtevajo sistem kazalnikov, ki jih je mogoče meriti in primerjati. Meritve lahko izvajamo s
(ISACA 2007, str. 6):

primerjalno analizo delovanja in zmoţnosti procesov IT, izraţeno kot zrelostni model,
pripravljen na podlagi zrelostno zmoţnostnega modela (angl. Capability Maturity
Model, CMM);
34

cilji in matrikami procesov IT za opredelitev in merjenje njihovih rezultatov in
zmogljivosti na podlagi sistema uravnoteţenih kazalnikov;

cilji dejavnosti, ki za vzpostavitev nadzora nad procesi temeljijo na COBIT-ovih
nadzornih ciljih.
Slika 2.10: Upravljanje informacij
Kako odgovorni menedžerji ohranjajo
pravo usmeritev organizacije?
KONTROLNA
TABELA
Kazalniki?
Kako lahko organizacija doseže
rezultate, ki so zadovoljili
najširši krog zainteresiranih?
SISTEM
KAZALNIKOV
Meritve?
Kako se lahko organizacija
pravočasno prilagodi trendom in
razvojem v svojem okolju?
PRIMERJALNA
ANALIZA
Lestvice?
Vir: ISACA (2007, str. 6)
Vsebina informacij je ključna pri poslovanju, pa naj gre za enostavne procese, ali zahtevnejše
poslovne tranzicije. Informacijski kriteriji (glej Sliko 2.11) definirajo kakovostne, fiduciarne
in varnostnenadzore, ki morajo zadostiti ciljem upravljanja virov.
Slika 2.11: Kriteriji informacij za implementacijo sprememb
Varnostna
kontrola
Vključenost standardov
kakovosti primernih spremembam
Kontrola
kvalitete
Stanje
Stanje
Sprememb
sprememb
Ocena varnostnega tveganja glede
na spremembe
Oblikovanje podatkovnega modela za
podporo fiduciarnih kontrol
Kontrola
fiduciarnosti
Vir: Kulkami (2003, str. 2)
35
Nadzor kvalitete informacij je ključen za upravljanje organizacij. Na strani vodstva je izbira,
kako te informacije uporabiti skozi tehnološke procese. Pogosto se zgodi, da kratkoročne
odločitve večkrat temeljijo na abstraktnih kot na kakovostnih prečiščenih informacijah. Ne
glede na velikost in kompleksnosti podatkovnih sistemov organizacija ne sme opustiti
fiduciarnih nadzorov. Ti nadzori se nanašajo predvsem na obvladovanje notranjega
upravljanja, davčne informacije, informacije strank, klasifikacijske informacije in informacije
o cenah, ki jih je treba obvladovati iz centralne lokacije. Glede na pomembnost informacij
moramo prilagoditi varnostne nadzore. Na primer, ko je organizacija na novo ustanovljena, so
človeška tveganja zelo velika, vloge in odgovornosti so v nejasnem stanju in izvajanje
nadzorov postane vprašljivo (Kulkami 2003, str. 3).
2.6.3
Upravljanje zaposlenih
Uspešnost poslovanja in povečevanje konkurenčnosti sta pogosto povezana s prilagajanjem
ali tudi s korenito spremembo poslovne strategije, ki se udejanja v spremembi poslovnega
modela in poslovnih procesov podjetja. To lahko opravijo le ustrezno usposobljeni in zelo
motivirani kadri ob uporabi sodobne informacijske tehnologije (Groznik in drugi 2005, str.
216).
Informatika mora s svojim delovanjem povečevati uspešnost in učinkovitost celega podjetja.
Investirati ne sme brezciljno (po načelu malo tu, malo tam), pač pa predvsem strateško.
Negativne posledice nepremišljenega investiranja se lahko posledično kaţejo v izdelkih, ki ne
podpirajo poslovnih usmeritev podjetja, v nepovezanih aplikacijah, nejasnih prednostnih
nalogah pri projektih, slabem vrednotenju projektov, pogostih spremembah načrtov in
nezadostnih infrastrukturnih investicijah (Ward in Peppard 2002).
Z vidika proučevanja znanj vodje sluţbe za informatiko oziroma osebe, odgovorne za
informatiko, je zaznati bistveno povečanje pomembnosti poslovnih in menedţerskih znanj,
medtem ko so tehnološka znanja zanje manj pomembna. To je smiselno, saj je bila
informatika tradicionalno predvsem sredstvo za zniţevanje stroškov; danes pa naj bi imela
pro-aktivno vlogo pri povečevanju učinkovitosti in doseganju konkurenčne prednosti
(Olugbode in drugi, 2007).
Prav tako Manfreda in Štemberger (2011) ugotavljata, da kljub znanemu dejstvu o dveh
različnih svetovih (poslovno okolje, tehnološko okolje) še obstaja precejšen razkorak med
36
poslovnim in informacijskim svetom podjetja, kar posledično vodi v številne neuspešne in
nekoristne zaključke informacijskih projektov.
Eden odločilnih faktorjev uspešnega delovanja IT tima so njegovi zaposleni. Največji
problem predstavlja nemotiviranost zaposlenih, ki lahko odločilno vpliva na delovanje, zato
se je treba motiviranju zaposlenih posebej posvetiti. Drugi največji problem predstavljajo
zaposleni, ki so vajeni individualnega dela in imajo zaradi tega teţave v timskem delu. Trend
menedţmenta in IT teţi k timskemu delu, zato so dejavnosti individualistov še toliko bolj
škodljive. Lientz in Larssen (2004, str. 107) navajata številne razlike v načinu dela med
zaposlenimi v IT in vodstvu, in sicer:

določeno področje IT zahteva kreativnost namesto rutinskega dela. To vključuje
reševanje problemov, nujna popravila in oblikovanje (aplikacij, spletnih strani);

veliko IT dejavnosti ni mogoče zaključiti v dnevu ali dveh. Delo IT je projektno
usmerjeno, zato so nekatere dejavnosti lahko opravljene v nekaj minutah ali pa
zahtevajo več ur;

IT običajno opravljajo več različnih del hkrati. Pri tipičnem delu IT programer
naenkrat izvaja več dejavnosti na sistemu, od oblikovanja, ustvarjanja in
pregledovanja, medtem ko vodstveni delavci večinoma opravljajo eno dejavnost
naenkrat.
Da dobimo ustrezno predstavo o zaposlenih v IT, moramo oceniti njihove spretnosti, znanje in
njihovo prilagodljivost. S tem lahko prepoznamo prednosti in slabosti IT tima, ki se pozneje
pokaţejo pri izvajanju storitev. Z ocenjevanjem doseţemo naslednje prednosti (Lientz in
Larssen 2004, str. 108):

identificiramo odvisnost od specifičnega kadra

odprava prepada med spretnostmi in znanjem

vzpostavimo odnos med zaposlenimi v IT in poslovnem sektorju
Tabela 2.5prikazuje večplastno IT znanje, sposobnosti in spretnosti. Tehnične sposobnosti
vključujejo specifična znanja o metodah, procesih in tehnikah. Organizacijske spretnosti
omogočajo zaposlenim načrtovati in uspešno izvajati dejavnosti. Človeške spretnosti
opisujejo človeško vedenje, njihove medosebne odnose in konceptualne spretnosti,
kreativnosti, učinkovitosti za prepoznavanje in reševanje problemov.
37
Tabela 2.5: Klasifikacija IT sposobnosti, znanja in spretnosti
Spretnosti
Kategorije/ Elementi
Tehnične spretnosti
Analize in oblikovanja, programski jeziki, specifične
aplikacije in osnovna IS znanja, IS izdelki, baze podatkov in
podatkovne komunikacije, napredne aplikacije, računalniški
sistemi, sistemske teorije in koncepti, funkcionalno poslovno
znanje, upravljanje tehnološkega znanja, operacijski sistemi,
omreţje, osebna računalniška orodja
Organizacijske spretnosti
Upravljanje časa in prioritet, organizacija informatike
Človeške spretnosti
Organizacijske
spretnosti,
organizacijske
enote,
komuniciranje,
medosebni
odnosi,
menedţment,
profesionalizem, poslovne, socialne, osebnostne spretnosti in
poslovno znanje
Konceptualne spretnosti
Reševanje problemov, strateško načrtovanje, abstrakcija
Vir: Ku Bahador in Haider (2012, str. 83)
Namen ocenjevanja ni zgolj pridobivanje trenutnih ocen o zaposlenih, ampak osnova za
usmerjanje zaposlenega v nadaljnji razvoj. Mnogokrat se zgodi, da zaposleni dobi generalno
oceno, brez usmeritev za izboljšanje. Ocena sluţi zaposlenemu kot mnenje in vodilo za
naprej, lahko pa tudi pozitivno vpliva na učinkovitost in dvig motivacije.
Motivacija je glavna povezava z moralo. Nekatere organizacije menijo, da so finančne
stimulacije dobra kompenzacija za motiviranje zaposlenih. Lientz in Larssen (2004, str. 114)
opozarjata, da moramo biti pri tem zelo previdni. Na primer, če začnemo z deljenjem
stimulacij, pride med zaposlenimi takoj do primerjanja in posledično postane stimulacija
predmet demoraliziranja.
Pri tem ne smemo pozabiti na tveganja. V mnogih IT timih sloni delo na majhnem številu
ljudi, zato si vodje IT zaradi omejenih sredstev ne morejo privoščiti podpornega osebja. Da se
laţe soočimo s tveganji, moramo poznati (Lientz in Larssen 2004, str. 118):

starost in zanesljivost zaposlenega,

pomembnost specifičnih znanj, ki jih ta zaposleni ima,

pomembnost procesov, ki jih podpira.
Zaposleni se med sabo veliko pogovarjajo, zato v timu pogosto prihaja do širjenja govoric, ki
jim vodje morajo prisluhniti, se z njimi soočiti in zaposlenim razloţiti dvome, ki se jim
38
porajajo. Naslednji problem lahko predstavljajo pristnejši odnosi med člani poslovnih in IT
timov, saj nekateri izkoristijo te odnose za neposredno sodelovanje in reševanje problemov z
določeno osebo. Za te probleme običajno vodja IT ne ve, zato je naloga vodje, da tovrstna
dejanja pravočasno prepozna in vzpostavi ravnoteţje v timu.
2.7
Implementacija in merjenje obvladovanja IT
Eden največjih izzivov obvladovanja IT v hitro spreminjajočem se ekonomskem in tehničnem
kompleksnem okolju je sposobnost predvidevanja in izogibanja pastem, še preden je
prepozno. Podobno kot pri voţnji avta ali vodenju plovila potrebujemo dobre instrumente.
Zato so mnogi opisovali obvladovanje IT kot voţnjo z avtomobilom, iz katerega nič ne
vidimo in nam ne delajo nobeni instrumenti. Če je teţko strokovnjakom, ki upravljajo
tehnologije, si lahko samo predstavljamo, kako je vodstvenim ljudem, ki, kot prvo, ne
razumejo tehničnega jezika in, kot drugo, niso deleţni vseh informacij, da bi sploh lahko
razumeli. Ni dvoma, da je s praktičnega vidika merjenje delovanja IT prav tako element
obvladovanja IT kot transparentnost in zanesljivost finančnih rezultatov. Obvladovanje
delovanja je pomembno zaradi ugotavljanja doseganja IT ciljev ter izvajanja delovanja in
prispevka k poslovanju. Pomembno je tudi zaradi transparentnosti in sposobnosti IT-ja zaznati
potencialna tveganja, ki bi jih drugače spregledali. Merjenje delovanja nam torej omogoča
transparentnost glede IT stroškov, kar pripomore k verodostojnosti obvladovanja vseh
organizacijskih stroškov. Da bi bilo merjenje delovanja IT uspešno, je treba razumeti, kdo so
deleţniki, kakšne so njihove zahteve in pogoji, da lahko izvedemo meritve, ki bodo za
deleţnike uporabne. Najboljše prakse obvladovanja IT poudarjajo pomembnost merjenja z
vidika deleţnikov (glejSliko 2.12). Sistem merjenja delovanja je učinkovit le, če sluţi
komunikaciji med tisti, ki vedo, kaj je pomembno, in zastavljenimi cilji. Meritve niso same
sebi namen, temveč osnova za odpravljanje napak in pridobivanje novih izkušenj.
Pomanjkljiva, nerazumljiva komunikacija in nejasne odgovornosti so ključni faktorji, ki jih je
treba meriti, če ţelimo doseči ţelene učinke (National Computing Centre 2005, str. 9).
39
Slika 2.12: Proces merjenja obvladovanja IT
Ukrepaj
Določi cilje
Primerjaj
IT aktivnosti
Meri delovanje
Vir: ISACA v National Computer Centre (2005, str. 13)
2.7.1
Implementacija
Implementacija obvladovanja se začne z jasnimi in realno postavljenimi cilji z namenom
doseganja realnih potreb organizacije podpirati pričakovanja in zagotavljanje nadaljevanja
izvedbe v prihodnje. Načrt implementacije vsebuje dejavnosti za izvedbo, podprte z nalogami
za implementacijo ter predlaganimi vlogami in odgovornostmi. Obvladovanje IT je trajen
proces, zato je načrt implementacije le začetna faza, ki jo treba izvesti za trajnostni pristop
obvladovanja IT. Implementacija obvladovanja IT pomeni za mnoge organizacije velike
spremembe. Ni pomembna zgolj podpora vodstva, temveč tudi njihova dejavna vloga v
procesu. Načrt obvladovanja je ponavljajoči se ţivljenjski cikel z začetno fazo definiranja
splošnih ciljev in podprt z zavezo vrhnjega menedţmenta, kar omogoča uspešno obvladovanje
IT in izvedbo z njimi povezanih dejavnosti.
ISACA (2012, str. 35) obravnava implementacijo kot ponavljajoči se ţivljenjski cikel na štirih
pomembnih področjih, in sicer:

implementacija in izboljševanje obvladovanja in upravljanja IT postane del
poslovanja,

prepoznavanje tipičnih kritičnih točk in nepredvidenih dogodkov,

priprava ustreznega okolja za implementacijo,

s pomočjo okvirja COBIT identificirati vrzeli in usmerjati razvoj ključnih faktorjev
kot so pravila, procesi, principi, organizacijske strukture, vloge posameznikov in
odgovornosti.
40
Podpora ključnih deleţnikov je ključna za uspešno vpeljavo in vzdrţevanje implementacije,
nasploh v organizacijah z nestabilnim in nejasnim okoljem. Ko je zagotovljena podpora,
morajo pristojni zagotoviti vire za izvedbo programa. Nato je treba določiti in dodeliti ključne
vloge in odgovornosti glede izvajanja programa. Skrb za izvedbo se nanaša na vse vpletene
deleţnike.
Obstaja veliko kazalcev, ki kaţejo na potrebo po izboljšanju obvladovanja in upravljanja IT v
organizaciji. Nekateri tipični faktorji, ki jih zaznamo na novo ali ob reviziji obvladovanja in
upravljanja IT, lahko predstavljajo rešitve (ali del rešitve), ki jih ISACA (2012, str. 36) pri
implementaciji navaja kot:

poslovne frustracije zaradi neuspelih iniciativ, povečanih IT stroških in percepcije
nizke poslovne vrednosti,

številne incidente, povezane z IT tveganji, kot sta izguba podatkov ali propad projekta,

teţave z zunanjimi izvajalci v smislu stalnih nesoglasij glede izvajanja storitev,

teţave z izvajanjem predpisov in pogodbenih obveznosti,

nezmoţnost zagotavljanja podpore poslovnim zahtevam in inovativnostim s strani IT,

redne reklamacije o slabem delovanju IT in nekakovostnih servisnih storitvah,

prikrito in neracionalno trošenje IT proračuna,

podvajanje in prekomerno rabo virov,

nezadostno število zaposlenih. Imamo zaposlene s premalo znanja oziroma
prezaposlene ali nezadovoljne,

podporo IT spremembam, ki ne podpirajo poslovnih potreb, so prepozne ali presegajo
predvidene stroške,

nezadovoljstvo oziroma nepripravljenost vodstva in odgovornih za sodelovanje pri
obvladovanju IT,

kompleksen IT sistem delovanja.
Uspešna implementacija je odvisna od implementacije ustreznih sprememb na ustrezen način.
V mnogih organizacijah je ţarišče implementacije usmerjen na osnovno obvladovanje in
upravljanje, medtem ko se pozablja na človeški dejavnik, druţbeni in kulturni vidik, ki
motivira deleţnike za spremembe. Pri implementaciji moramo računati na vključenost in
vpliv različnih deleţnikov, ki morajo sprejeti in prevzeti spremembe. Moţnosti ignoriranja in
odpora do implementacije morajo biti vodene skozi strukturiran in proaktiven pristop. Prav
tako mora biti zavedanje programa implementacije doseţeno s pomočjo komunikacijskega
41
načrta, ki definira, kako se bo komuniciralo, na kakšen način in kako bo potekala
komunikacija skozi faze programa implementacije (ISACA 2012, str. 37).
Sedem faz ţivljenjskega cikla (glejSliko 2.13) implementacije predstavlja smer, kako se
organizacije, ki uporabljajo COBIT, soočijo z izzivi in s kompleksnostjo, ki običajno nastajajo
med implementacijo. Posamezna faza predstavlja (ISACA 2012, str. 37):

faza 1: začne se s prepoznavanjem in strinjanjem s potrebo po implementaciji ali
izboljšavi. Faza 1 prepozna kritične točke sistema in ustvari potrebo po spremembah
na izvršni ravni organizacije;

faza 2: je usmerjena na implementacijo oziroma izboljšavo v okviru COBIT, in sicer z
dokumentiranjem poslovnih ciljev v relaciji z IT cilji in z upoštevanjem tveganja v
ključnih procesih;

faza 3: cilj izboljšave je določen na podlagi natančne analize COBIT ob identifikaciji
potencialnih nevarnosti in njihovih rešitev;

faza 4: priprava praktičnih rešitev izbranih projektov na podlagi poslovnih zahtev.
Pripravi se tudi načrt moţnih sprememb. Dobro razvite poslovne zahteve omogočajo
identifikacijo in meritve učinkovitosti projekta;

faza 5: predlagane rešitve so implementirane v dnevnih delovnih praksah. Tako lahko
izvajamo meritve in izvajamo nadzor. Uspeh predlaganih rešitev zahteva podporo in
pripadnost vrhnjega menedţmenta kot IT deleţnikov;

faza 6: je usmerjena na implementacijo podprtih rešitev in k nadzoru uspešnosti
pričakovanih koristi;

faza 7: analiza celotne uspešnosti projekta. Identificirajo se potencialne nove zahteve
obvladovanja in upravljanja IT in vzpostavi se nova potreba po izboljšavah.
42
Slika 2.13: Sedem faz ţivljenjskega cikla implementacije
ilji
?
ic
šn
is
o
na
š
ira
po j c
t iljn
o
ak
gli
se
do
De
Definiraj vloge
akterjev
fin
De
izh fin
od iraj
e
ji
el ve
Vp ljša
o
izb
Planiraj
program
3K
o
om
ob
ak
i
ed
Izv èrt
na
c
5 Kilje?
j in j
aja blja
Izv ora
up
Pripravi
izboljšave
De
že fini
sta len raj
nje o
Izvaja
j in
meri
re
j
po pozn
tre
oru
b aj
dz
u
a
k
N in
rep o po
anj
oti
n
u
d
vre
tanje?
utno s
je tren
Vklju
èi n
pristo ove
pe
Vz
p
za osta
sp vi o
rem ko
em lje
be
P
e in
oblem
iraj pr sti
no
prilož
6
- Cikel trajnih izboljšav
(notranji krog)
uj
Oblik cijsko
a
ment
imple kipo
e
Prepo
zn
predno aj
sti
V
- Izvajanje sprememb
(srednji krog)
Pri
pro prav
gra i
m
Defin
žuj
zdr
- Programski management
(zunanji krog)
do
so
izv
aja
lci
?
no
2 Kakš
ver st
Pre ovito
ink
uè
1K
i
Ocen o
tn
trenu
je
stan
Ali s
rezult mo dosegli
at?
želen
i
mo e?
uje tacij
ž
r
n
vzd eme
ako impl
K
7 oces
i
pr
4 Kaj je potrebno narediti?
Vir: ISACA (2012, str. 37)
2.7.2 Merjenja v IT
Da bo obvladovanje IT učinkovito, je treba proces obvladovanja meriti in širiti skozi celotno
organizacijo. Pri širjenju zavedanja o pomembnosti IT je treba zaposlene izobraziti o tem, kaj
je namen obvladovanja IT, zakaj je IT pomemben in kakšna je uporabnost IT v praksi.
Izobraţevanje zaposlenih o vlogi IT, mora postati stalna praksa. Merjenje obvladovanja je
enako pomembno kot strategija osveščanja. Glavni cilj obvladovanja IT je optimizacija
investicij v IT tehnologije skozi skupno IT-poslovno sodelovanje, z zagotovitvijo čim večje
dodane vrednosti in čim manjšega tveganja. To Symons (2005, str. 13) pojasnjuje z:

IT sistemom uravnoteženih kazalnikov. Ko je model obvladovanja razvit, ga je
treba implementirati in nato meriti. Sistem uravnoteţenih kazalnikov je priznano
orodje, ki za obvladovanje IT obravnava štiri dejavnike: vrednost IT, uporabnike,
operativno odličnost in usmerjenost naprej. Merljiva in pomembna dejavnika za dva
43
ključna cilja sta, vrednost IT in upravljanje tveganja. Koncept IT vrednosti je
specifičen z vidika merjenja za poslovno-IT sodelovanje in IT vrednost, medtem ko
operativna odličnost, zajema tudi področje upravljanja tveganja;

IT Portalom. Portali so postali glavna metoda zbiranja informacij o organizaciji. IT
organizacija potrebuje svojo spletno stran, ki je lahko uporabljena za posredovanje
informacij o obvladovanju IT. Stran lahko posreduje tudi poročila in informacije o
statusu projektov. Poleg tega spletna stran lahko kaţe pot pomembnih informativnih
dokumentov (ROI modeli, arhitekturni dokumenti, poslovni obrazci itd.).
Merjenje izvedbe je bistveno za obvladovanje IT. Merjenje vključuje postavitev in
spremljanje merljivih ciljev tega, kar morajo IT procesi ustvariti (rezultat procesa) in kako
morajo to dostaviti (zmogljivost in izvedbo procesa). Merjenje izvedbe sledi in spremlja
uresničevanje strategije, zaključevanje projektov, uporabo virov, izvedbo in dobavo storitev, z
uporabo sistema uravnoteţenih kazalnikov, ki strategijo prevaja v dejanja za doseganje ciljev
(ISACA 2007, str. 6).
Merjenje delovanja IT je vitalen člen organizacije. Rezultati nam pokaţejo ali dejavnosti v
procesih dosegajo zastavljene cilje. Rezultati meritev povedo zaposlenim tudi, kaj in kako
delajo kot del celote. Komunikacija v organizaciji poteka: od zgoraj navzdol, nadzor procesov
od spodaj navzgor, nadzor in izboljšave pa skladno s procesi. Samo s konsistentnim pogledom
na ključne točke lahko opravila opravljamo skladno s strategijo, z zastavljenimi cilji in
izboljšavami za organizacijo. Dober sistem merjenja obvladovanja IT nam pomaga (Hronec v
National Computer Centre 2005, str. 10):

usmeriti se na stranke za povečanje zadovoljstva strank,

izboljšati procese z namenom odkrivanja in preprečevanja problemov,

razumeti in s tem zmanjševati stroške,

spodbujati in omogočati spremembe o trenutnem, ţelenem stanju in prepadom med
njima,

določiti realne primerjalne rezultate.
Skrbništvo o merjenju in odgovornosti bi moralo biti jasno določeno. Še več, zbiranje
merilnih rezultatov ne bo in ne more biti vedno v domeni IT, tako kot merjenje upravljanja s
strankami. Jasno mora biti, kdo je za kaj odgovoren. Meritve morajo biti formalizirane (angl.
Servise Level Agreements, SLA), bazirane na servisnih navodilih in v jeziku, ki je razumljiv
44
strankam. Izvajalci storitev morajo vnesti SLA kot del sporazuma, da se zagotovi hranjenje
rezultatov, za primere teţav v delovanju. V podporo obvladovanja IT je priporočenih petnajst
najpomembnejših področij (glej Tabelo 2.6), ki jih je priporočljivo meriti skupaj z indikacijo
primarnega interesa in kdo jih mora potrditi.
Tabela 2.6: Priporočena področja merjenja
Poslovno-IT sodelovanje
Glavni »ustvarjalci« dodane vrednosti (cilji, čas in
finančna sredstva)
Splošno finančno stanje (prihodki/odhodki)
ROI za IT investicije (poslovne prednosti)
Status tveganj
Delovanje z zavedanjem zanesljivosti in
dosegljivosti kritičnih storitev
Pritoţbe in predlogi strank
Število posegov za odpravo napak
SLA delovanje
Poslovno sodelovanje z dobavitelji (kakovost in
vrednost)
Procesna zrelost
Ocena sodelujočih v IT dejavnosti
Notranji in zunanji preizkusi
Identifikacija slabosti
Poslovni status poslovanja
Investitorji
x
Nadzorniki
x
x
x
x
Izvajalci
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Vir: National Computer Centre (2005, str. 12)
2.8
Zrelost upravljanja IT
V preteklosti je bilo izvedenih veliko raziskav o potencialu informacijskih tehnologij in
njihovem pozitivnem učinku na poslovanje. V večini primerov so strokovnjaki z vpeljavo IT
pričakovali povečanje produktivnosti, dobička in kakovost dejavnosti (Devaraj in Kohli,
2003). V ta namen je bilo izdelanih veliko poslovnih okvirjev in modelov, ki bi upraviteljem
omogočali strateški pristop pri ugotavljanju koristi njihovih investicij (Keen, 1991). Kljub
tehnološkemu razvoju in velikih vlaganj je zaznano pomanjkanje konkretnih evidenc in študij,
ki bi potrdile pozitivne učinke investiranja v IT v smislu večje produktivnosti ali drugih
finančnih kazalnikov (Loveman, 1994; Lee in Barua, 1999; Papp, 1999). Na drugi strani
nekatere študije ugotavljajo, da kljub povečanim investicijam v IT produktivnost stagnira
(Roach, 1987; Morrison in Berndt, 1991), medtem ko nekateri potrjujejo tezo o pozitivnih
45
učinkih investiranja v IT (Brynjolfsson, 1993; Dewan in Min, 1997). Nekateri menijo, da ne
bi smeli meriti koristi IT le skozi stroške, ampak skozi uporabnost vpeljane tehnologije
(Devaraj in Kohli, 2003). Kljub vsem študijam in vključitvi strokovnjakov je bilo mnogo
študij pri ocenjevanju prave vrednosti IT neuspešnih predvsem zaradi različnih tehnologij v
različnih organizacijah (Kelley, 1994). Iz zgoraj opisanega je razvidno, da obstaja veliko
moţnosti pri vrednotenju IT, in sicer ločeno ali v odnosu s poslovanjem.
Menedţerji in IT strokovnjaki se soočajo s problemom vrednotenja, ko poskušajo realizirati in
predstaviti prednosti IKT, zato predlagajo uvedbo različnih stopenj evolucije IT, odvisne od
področij delovanja. To so poimenovali »IT zrelost«, s katero so opisali stopnje evolucije IT.
Anthony (1965) je predlagal tri stopnje evolucije: strateška, upraviteljska in operativna. Ta
klasifikacija sicer ni zagotovila razvoja kakršnih koli stopenj evolucije IT, vendar pa je
pomenila prvi poskus pogleda na IT na različni organizacijski stopnji, za razliko od prejšnjih
celostnih pogledov. Na tej podlagi so akademiki razvijali različne evolucijske modele za
ocenjevanje zrelosti, za specifično ali splošno rabo IT. Nolan (1979) je tako razvil prvi model,
(na šestih stopnjah) za elektronsko obdelavo podatkov (angl. Electronic Data Processing,
EDP). Zadnja različica Nolanovega modela (glejSliko 2.14) vpeljave in evolucije IT v
organizacijah narekuje izvedbo po korakih, in sicer:

inicializacija: prva faza vključuje predstavitev IT organizacije. Glavni razlog vpeljave
IT je odprava ročnega dela. Nolan predlaga, da organizacije najprej investirajo v
enostavne informacijske sisteme, da rešijo osnovne teţave in doseţejo prve prihranke;

vpeljava: je naslednik prve faze, in sicer je večji poudarek na zahtevnejših sistemih v
okviru organizacije. Z velikimi finančnimi vloţki v te sisteme se pojavljajo vprašanja,
kdaj in kako se bodo investicije povrnile;

nadzor: je posledica predhodnih področij. Izvaja se nadzor morebitnih prekomernih
vlaganj v IT tako s finančnega kot s časovnega vidika. Usmeritev te stopnje se je
spremenila iz upravljanja računalniških sistemov v upravljanje oziroma obvladovanje
vseh virov v organizaciji. Rezultata sta bolj gibljivo upravljanje in obdelava podatkov,
kar posledično poveča učinkovitost;

integracija: gre za integracijo obstoječih IT sistemov in baz podatkov z novimi. Stroški
na tem področju so podobni tistim iz faze 2, saj gre za investicije in obdelave
podatkov;
46

urejanje podatkov: s spreminjanjem poslovnega okolja se spreminjajo tudi IT sistemi.
Faza urejanja podatkov sledi prejšnjim. Večji poudarek je na varovanju podatkov kot
IT sistemu;

zrelost: pojmuje organizacijo, ki vlaga v razvoj in integracijo IT sistemov, ki zadostijo
informacijskim potrebam.
Slika 2.14: Stopnje rasti do organizacijske zrelosti
Vir: Nolan v Mikalef (2010, str. 18)
Kljub visoki stopnji zrelosti mora organizacija za zmanjšanje tveganja vseeno analizirati
nadzore, ki morajo biti skladni z ravnijo tveganja in poslovnimi cilji. Nadzori nam skozi
zrelostni model (glejSliko 2.15) pokaţejo dejanske zmoţnosti upravljanja procesov. Zmoţnost
je odvisna od ciljev IT in poslovnih potreb in se vpelje glede na donos, ki ga ţeli organizacija
od investicije. Kaj bomo nadzorovali, pa je domena sprejemljive ravni tveganja in veljavnih
zahtev po skladnosti.
47
Slika 2.15: Tri dimenzije zrelosti
KAKO
(zmožnost)
5
4
Poslanstvo in
cilji IT
3
2
Tveganja in
skladnost
1
KOLIKO
(pokritje)
0
100%
Donosnost naložb in
stroškovna učinkovitost
KAJ
(kontrola)
Vir: ISACA (2007, str. 19)
3. OKVIR COBIT 4.1
Mnogo študij preučuje koristi in slabosti vrednotenja (angl. Evaluation). Glavni cilj
organizacije je povečanje dobička. Za ocenitev dobička ali izgube potrebujemo preverjene
tradicionalne metode, ki so dobro znane, razumljive in temeljijo na znanih konceptih. Vendar
nekatere študije nakazujejo, da stare metode vrednotenja v nekaterih primerih niso več
najprimernejše, zato so razvili dva različna pristopa. Prvi pristop še vedno temelji na
izboljšanem tradicionalnem pristopu (konceptualni in operativni pristop), ki z izboljšavami
zavrača slabosti, drugi pristop pa zavrača tradicionalnega in uporablja nove metode celovitega
vrednotenja delovanja (Clemons in Weber, 1990).
Obvladovanje IT omogoča organizacijam, da v celoti izkoristijo prednosti svojih informacij, s
čimer povečajo koristi, spremenijo priloţnosti v kapital in pridobijo konkurenčno prednost. Ti
rezultati zahtevajo okvir za nadzor IT (glejSliko 3.1), ki ustreza in podpira okvir Notranji
nadzor – Integriran okvir, ki ga je postavil Committee of Sponsoring Organisations of the
Treadway Commission (COSO) in je splošno sprejet nadzorni okvir za obvladovanje IT v
podjetjih in upravljanje tveganj (ISACA 2007, str. 7).
48
Slika 3.1: COBIT 4.1 – pristop od zgoraj navzdol
Vir: Stroud (2005, str. 22)
V ta namen je bila razvita metodologija vrednotenja nadzornih ciljev za informacijsko in
sorodno tehnologijo (angl. Control Objectives for Information and Related Technology,
COBIT), kjer opisujejo dobre prakse celotne domene in procesnega okvirja ter predstavljajo
aktivnosti na obvladljiv in logičen način.Okvir COBIT (glej Sliko 3.2) je oblikovan tako, da
so njegove glavne značilnosti (ISACA 2007, str. 10):

osredotočenost na poslovanje: osredotočeno na poslovne cilje in cilje IT. Informacijski
kriteriji predstavljajo splošno metodo za opredelitev poslovnih zahtev in ciljev,
medtem ko IT predstavlja natančnejšo podlago za vzpostavitev poslovnih zahtev in
razvoj metrik, ki omogočajo merjenje uspešnosti glede na zastavljene cilje;

usmerjenost na procese: procesni model spodbuja lastništvo procesov, s čimer
omogoča opredelitev zadolţitev in dolţnosti. Podan je v okviru štirih domen. Prva
govori o načrtovanju in organiziranju, ki zagotavlja usmeritev k iskanju rešitev in
izvajanju storitev. Druga govori o nabavi in vpeljavi, ki zagotavlja rešitve in jih
posreduje, da se pretvorijo v storitve. Tretja se nanaša na izvajanje in podpiranje, ki
sprejema rešitve in poskrbi, da so koristne uporabnikom. Četrta vpeljuje spremljanje in
vrednotenje, ki sledi procesom v izvajanju usmeritev;

osredotočenost na nadzore: nadzorni cilji zagotavljajo nabor zahtev, ki jih moramo
upoštevati pri nadzoru vsakega procesa IT. Sistem nadzora deluje po principu
primerjave merjenega procesa s kontrolnim podatkom in na podlagi rezultata izdamo
49
potrebne ukrepe ali priporočila. Kontrolni cilji so opredeljeni po referenčnih domenah
s številko procesa in številko kontrolnega cilja. Splošne kontrole in aplikacijske
kontrole vsebujejo razvoj sistemov, upravljanje sprememb, varovanje in delovanje
računalnikov;

izvajanje meritev: potreba vsake organizacije je razumevanje stanja lastnih sistemov,
na podlagi katerega se mora vodstvo odločiti za raven upravljanja in nadzora. COBIT
vpeljuje orodja za upravljanje spremljanja izboljšanja s pomočjo zrelostnih modelov,
ki omogočajo primerjalno analizo, izvedbe ciljev in metrik za procese IT. Orodja nam
nato kaţejo, kako procesi uresničujejo cilje in postopke za definiranje ciljev
dejavnosti, ki omogočajo uspešne izvedbe procesov.
Slika 3.2: Osnovno načelo COBIT-a
ki izpolnjujejo
Informacije
podjetja
zagotovijo
Poslovne
zahteve
COBIT
Procesi IT
usmerjajo
investicije v
Viri IT
so
uporabljeni v
Vir: ISACA (2007, str. 10)
Z metodologijo COBIT se pri raziskavi upravljanj in vrednotenj IT-ja v organizaciji (glej
Sliko 3.3) izvajajo naslednje ključne dejavnosti (Government of Alberta Education 2013, str.
69):

vzpostavitev okvirja: definiranje okvirja in postopkov vrednotenja upravljanja IT ter
merjenje prispevka IT k doseganju zastavljenih ciljev;

definiranje in zbiranje merilnih rezultatov: s potrditvijo vodstva definirati ključna
področja vrednotenja, določiti kriterije, po katerih je mogoče vrednotiti upravljanje,
identificirati podatke za vrednotenje IT in določiti proces zbiranja podatkov za potrebe
vrednotenja;
50

implementiranje metodologije: implementirati proces zbiranja podatkov (točke
preverjanja, opravljeno vrednotenje in povzetek vpogleda IT delovanja) in zagotoviti
verodostojnost opravljenih vrednotenj;

ocenitev in izboljšanje delovanja: primerjava delovanja s postavljenimi cilji, analiza
odstopanj in ukrepanje za odpravo pomanjkljivosti;

priprava poročila o upravljanju: poročilo o uspešnosti uresničitve ciljev, investicij,
servisiranja, virov itd.
Slika 3.3: COBIT – Dejavnosti in naloge
Vir: Stroud (2005, str. 23)
3.1
Izhodišča raziskave
Raziskavo bomo izvajali v okviru COBIT-ovega splošnega procesnega modela znotraj štirih
domen. Domene opisujejo tradicionalna področja zadolţitev v zvezi z IT. COBIT-ov okvir
podaja referenčni procesni model in skupen jezik za vse, ki se ukvarjajo z dejavnostmi IT.
Implementacija produkcijskega modela in skupen jezik za vse dele organizacije je eden
najpomembnejših začetnih korakov k dobremu obvladovanju IT. Poleg tega zagotavlja okvir
za merjenje in spremljanje delovanja IT komunikacijo s ponudniki storitev in zdruţevanje
najboljših praks upravljanja. Procesni model pa spodbuja lastništvo procesov, ki omogoča
opredelitev zadolţitev in odgovornosti.
51
Zadolţitve in odgovornosti so razdeljene na področja štirih domen (glej Sliko 3.4), ki jih
delimo na (ISACA 2007, str. 12):

načrtujte in organizirajte (angl. Plan and Organise, PO), ki zagotavlja usmeritev k
iskanju rešitev (AI) in izvajanju storitev (DS);

kupite in vpeljite (angl. Acquire and Implement, AI), ki zagotavlja rešitve in jih
posreduje, da se pretvorijo v storitve;

izvajajte in podpirajte (angl. Delivery and Support, DS), ki sprejema rešitve in
poskrbi, da so uporabne za končne uporabnike;

spremljajte in vrednotite (angl. Monitor and Evaluate, ME), ki spremlja vse procese z
namenom upoštevanja določenih usmeritev.
Slika 3.4: Povezave COBIT domen
Načrtujte in organizirajte
Kupite
in
vpeljite
Izvajajte
in
podpirajte
Spremljajte in vrednotite
Vir: ISACA (2007, str. 12)
Domena Načrtujte in organizirajte nam pove, kako lahko IT najbolje prispeva k uresničevanju
poslovnih ciljev. Ta domena obravnava naslednja vprašanja v zvezi z upravljanjem (ISACA
2007, str. 12):

Ali sta poslovna in IT strategija usklajeni?

Ali podjetje optimalno uporablja svoje vire?

Ali vsi v organizaciji razumejo cilje IT?

Ali podjetje razume tveganja IT in jih upravlja?

Ali kakovost sistemov IT ustreza poslovnim potrebam?
52
Domena Kupite in vpeljite obravnava IT rešitve, ki jih je treba razviti in vključiti v poslovni
proces. Pomemben del te domene predstavljajo tudi spremembe in vzdrţevanje obstoječih
sistemov, z namenom preverjanja, ali sistemi še podpirajo poslovne odločitve. Pri tem se
običajno ukvarjamo z naslednjimi vprašanji (ISACA 2007, str. 13):

Ali novi projekti zagotavljajo rešitve, ki podpirajo poslovne potrebe?

Ali so novi projekti izvedeni pravočasno in v okviru proračuna?

Ali na novo vpeljani sistemi ustrezno delujejo?

Ali vpeljane spremembe ne bodo negativno vplivale na zdajšnje poslovanje?
Domena Izvajajte in podpirajte zajema dejansko izvajanje zahtevanih storitev, ki vključujejo
izvajanje storitev, upravljanje varnosti, neprekinjenost poslovanja, podporo storitvam
uporabnikom, upravljanje podatkov in produkcijskih zmogljivosti. V zvezi z upravljanjem, se
zastavljajo naslednja vprašanja (ISACA 2007, str. 13):

Ali se storitve izvajajo skladno s poslovnimi prednostnimi nalogami?

Ali so stroški optimizirani?

Ali lahko zaposleni IT sisteme uporabljajo produktivno in varno?

Ali je pri varovanju informacij ustrezno poskrbljeno za zaupnost, celovitost in
razpoloţljivost?
Domena Spremljajte in vrednotite obravnava vodenje delovanja, spremljanja notranjega
nadzora, regulativno skladnost in upravljanje. Pri upravljanju te domene se običajno
obravnava naslednja vprašanja (ISACA 2007, str. 13):
Ali se delovanje IT meri, da se problemi odkrijejo, preden je prepozno?
Ali vodstvo zagotavlja uspešne in učinkovite notranje nadzore?
Ali je mogoče IT povezati s poslovnimi cilji?
Ali so za varnost informacij zagotovljeni nadzori zaupnosti, celovitosti in razpoloţljivosti?
Raziskava temelji na aplikativnem in procesnem nadzoru. Odločitev v zvezi nadzornih ciljev
je odvisna od (ISACA 2007, str. 13):

nadzorov, ki so primerni za uporabo v organizaciji,

odločitev, ki jih ţelimo vpeljati,

načina, kako jih bomo vpeljali, in

sprejetja tveganja, če ne vpeljemo tistih, ki so primerni.
53
Nadzori se izvajajo po nadzornem modelu (glej Sliko 3.5), v katerem na podlagi norm,
standardov in ciljev primerjamo vhodne in izhodne podatke procesov v organizaciji.
Slika 3.5: Nadzorni model
Vir: ISACA (2007, str. 14)
3.2
Splošen COBIT-ov okvir
COBIT-ov model povezuje zahteve podjetij po informacijah in upravljanju s cilji funkcij
storitev IT in omogoča, da se dejavnosti in viri IT, ki te dejavnosti podpirajo, ustrezno
upravljajo in nadzirajo na podlagi COBIT-ovih nadzornih ciljev. Aktivnosti in pripadajoči viri
se prikazujejo z uporabo COBIT-ovih ciljev in metrik. Viri IT se upravljajo s procesi IT z
namenom doseganja ciljev IT, ki izpolnjujejo poslovne zahteve. To osnovno načelo COBITovega okvirja (Slika 3.6) je prikazano v COBIT-ovi kocki (ISACA 2007, str. 24).
54
Slika 3.6: COBIT-ova kocka
Vir: ISACA (2007, str. 25)
Slika 3.7prikazuje celoten COBIT-ov procesni model štirih domen, ki vsebujejo 34 splošnih
procesov za upravljanje virov IT. Njihov namen je zagotoviti informacije, ki izpolnjujejo
zahteve poslovanja in upravljanja.
55
Slika 3.7: Splošen COBIT-ov okvir
POSLOVNI CILJI
CILJI UPRAVLJANJA
PO 1 Opredelite strateški načrt za IT
PO 2 Opredelite informacijsko arhitekturo
PO 3 Določite tehnološko usmeritev
PO 4 Opredelite procese, organizacijo in razmerja IT
PO 5 Upravljajte investicije v IT
PO 6 Sporočajte cilje in usmeritve vodstva
PO 7 Upravljajte človeške vire v sektorju IT
PO 8 Upravljajte kakovost
PO 9 Ocenjujte in obvladujte tveganja IT
PO 10 Upravljajte projekte
ME 1 Spremljajte in vrednotite delovanje IT
ME 2 Spremljajte in vrednotite notranje kontrole
ME 3 Določite tehnološko usmeritev
ME 4 Opredelite procese, organizacijo in razmerja IT
INFORMACIJSKI
KRITERIJI
Uspešnost
Učinkovitost
Zaupnost
Celovitost
Razpoložljivost
Skladnost
Zanesljivost
SPREMLJAJTE IN
VREDNOTITE
NAČRTUJTE IN
ORGANIZIRAJTE
SREDSTVA IT
Aplikacije
Informacije
Infrastruktura
Ljudje
IZVAJAJTE IN
PODPIRAJTE
KUPITE IN
VPELJITE
DS 1 Opredelite in upravljajte ravni storitev
DS 2 Upravljajte storitve tretje stranke
DS 3 Upravljajte delovanje in zmogljivosti
DS 4 Zagotovite neprekinjenost storitev
DS 5 Zagotovite varnost sistemov
DS 6 Ugotovite in porazdelite stroške
DS 7 Izobrazite in usposobite uporabnike
DS 8 Upravljajte službo za pomoč uporabnikom in
obvladujte incidente
DS 9 Upravljajte konfiguracijo
DS 10 Upravljajte probleme
DS 11 Upravljajte podatke
DS 12 Upravljajte fizično okolje
DS 13 Upravljajte delovanje
AI 1 Določite avtomatizirane rešitve
AI 2 Kupite in vzdržujte aplikacijske programe
AI 3 Kupite in vzdržujte tehnološko infrastrukturo
AI 4 Omogočite delovanje in uporabo
AI 5 Zagotovite vire IT
AI 6 Upravljajte spremembe
AI 7 Namestite in potrdite rešitve in spremembe
Vir: ISACA (2007, str. 26)
Čeprav imajo organizacije enake ključne procese, imajo le nekatere takšno strukturo, da bi
uporabile vseh 34 splošnih procesov. COBIT sicer zagotavlja popoln seznam procesov, s
pomočjo katerih je moţno preverjati popolnost dejavnosti in zadolţitev, vendar je na strani
56
organizacije, da se odloči, kako so procesi vpeljani, razdruţeni ali zdruţeni, odvisno od
njihovih potreb.
3.2.1 Postopek izvajanja COBIT–ovega okvirja
COBIT–ov okvir opisuje, kako nadzorovati, upravljati in meriti vsak proces posebej. COBIT,
verzija 4.1, dopušča dva pristopa za uporabo COBIT–ovega okvirja. Vsak proces je
obravnavan v štirih delih in ga lahko tolmačimo kot (ISACA 2007, str. 27–28):

Primer 1
-
1. del (glej Sliko 3.8) vsebuje opis procesa, ki povzema cilje procesa, pri čemer je
opis procesa prikazan v kaskadni obliki. Na tej sliki so navedeni tudi prekrivanje
procesa z informacijskimi kriteriji, sredstva IT in ciljna področja upravljanja IT s
črko P za primarni pomen in črko S za sekundarni pomen;
-
2. del vsebuje kontrolne cilje za ta proces;
-
3. del vsebuje smernice za upravljanje, ki vsebujejo vhode in izhode procesa,
matriko ZOPS (zadolţen, odgovoren, posvetovan in/ali seznanjen);
-
4. del vsebuje zrelostni model za proces.
 Primer 2
-
vhod v proces je to, kar mora lastnik pridobiti od drugih;
-
nadzorni cilji procesa opisujejo, kaj mora storiti lastnik procesa;
-
izhodi iz procesa so to, kar mora lastnik procesa ustvariti;
-
cilji in metrike kaţejo, kako je treba proces meriti;
-
metrika ZOPS opredeljuje, za kaj je treba koga zadolţiti;
-
zrelostni model kaţe, kaj je treba storiti za izboljšavo.
57
Slika 3.8: Navigacija po COBIT-ovem okvirju
Vir: ISACA (2007, str. 27)
58
3.2.2 Izdelava zrelostnega modela
Potreba vse več podjetij je, preverjanje uspešnosti obvladovanja IT, ki zajema ustreznost ravni
upravljanja in nadzora nad informacijsko infrastrukturo. V ta namen bomo v nalogi izdelali
zrelostne modele, ki zadostijo naslednjim potrebam (ISACA 2007, str. 17):

relativno merilo stanja podjetja

način za učinkovito določitev nadaljnje usmeritve

orodje za merjenje napredovanja proti cilju
Slika 3.9: Grafična predstavitev zrelostnega modela
Ne
obstaja
0
Začetno/
Ad Hoc
Ponovljivo Procesno Vodeno
vendar
definirano
in
intuitivno
merljivo
1
2
Legenda uporabljenih
simbolov:
Trenutno stanje
organizacije
Povprečje v
panogi
3
4
Optimizirano
5
Legenda uporabljene ravni:
0 - Vodenje procesov se ne izvaja
1 - Procesi so »Ad Hoc« in neorganizirani
2 - Procesi se spremljajo po predpisanih postopkih
3 - Procesi so dokumentirani in sprejeti
4 - Procesi se nadzirajo in merijo
5 – Dobrim praksam se sledi in se jih avtomatizira
Cilj organizacije
Vir: ISACA (2007, str. 18)
Iz Slike 3.9 vidimo preprostost zrelostnega modela, v katerem vodstvo na sorazmerno lahek
način ugotovi uvrščenost posameznega procesa in kaj je pri katerem procesu treba izboljšati.
Zrelostni model je zgrajen iz petih ravni, pri čemer 0 pomeni, da se proces upravljanja ne
uporablja ali pa ga sploh ni, in 5, pri čemer gre za visoko avtomatiziran sistem, temelječ na
sistemu dobrih praks (glej Tabelo 3.1). Posamezne ravni nam torej kaţejo, kako se proces
razvija iz neobstoječe zmoţnosti do optimizirane avtomatizacije.
59
Tabela 3.1: Splošni zrelostni model
Popolna odsotnost kakršnih koli prepoznavnih procesov. Podjetje se ne
0 Neobstoječe
zaveda zadev, ki bi jih bilo treba obravnavati.
Obstajajo indikatorji, da se podjetje zaveda, da obstajajo zadeve, ki jih je
1 Začetno/ad
treba obravnavati. Vendar ni standardiziranih procesov (večinoma ad hoc
hoc
pristopi), ki se uporabljajo različno od primera do primera. Splošen
pristop k vodenju je neorganiziran.
2 Ponovljivo,
Procesi so razviti do stopnje, kjer različni ljudje, ki opravljajo naloge,
vendar
uporabljajo podobne postopke. Podjetje ne izvaja nobenega formalnega
intuitivno
usposabljanja glede standardnih postopkov, niti jih ne sporoča
zaposlenim, zadolţitve pa so prepuščene posameznikom. Zaradi visoke
stopnje zanašanja na posameznika, obstaja velika verjetnost napak.
3 Opredeljeno
Postopki so standardizirani in dokumentirani ter posredovani preko
usposabljanja. Postopke je treba upoštevati, vendar je malo verjetno, da
bodo odstopanja ugotovljena. Postopki niso dodelani, ampak so zgolj
formalizacija obstoječih praks.
4
Vodeno
in Vodstvo spremlja in meri skladnost s postopki ter ukrepa, kadar procesi
merljivo
ne delujejo uspešno. Procesi se stalno izboljšujejo in zagotavljajo dobro
prakso. Avtomatizacija in orodja se uporabljajo omejeno ali razdrobljeno.
5 Optimizirano
Procesi so izboljšani na raven dobre prakse na podlagi nenehnega
izboljševanja in primerjanja zrelostnih ravni z drugimi podjetji. IT se
uporablja celovito za avtomatizacijo delovnega toka, ter zagotavlja orodja
za izboljšanje kakovosti in uspešnosti, ki omogočajo podjetju, da se hitro
prilagodi.
Vir: ISACA (2007, str. 18)
Izmed 34 COBIT-ovih procesov IT bomo za izbrane procese izdelali zrelostni model, s
pomočjo katerega lahko vodstvo ugotovi (ISACA 2007, str. 18):

dejansko zmogljivost podjetja, kakšen je trenutni poloţaj podjetja,

trenutno stanje v industriji – primerjava,
60

cilje podjetja glede izboljšav, kje ţeli podjetje biti,

zahtevano pot rasti med »kot je« in »kot naj bo«.
Za izvedbo zrelostnega modela (po COBIT kriterijih) bomo za primerjavo pridobili podatke iz
kataloga CIO (2008), ki za področja izobraţevanja in upravljanja javnega sektorja navaja
povprečne rezultate procesne zrelosti. Nato bomo primerjali izmerjeno zrelost za posamezen
proces in povprečno vrednost iz kataloga CIO ter na podlagi razlike ugotovili ustreznost
oziroma prepad med ţeleno in dejansko zrelostjo.
4. REZULTATI RAZISKAVE
Rezultati raziskave so plod skupinskega intervjuja z vodjo informatike in vodilnim
sistemskim inţenirjem v organizaciji. Iz štirih domen (glejSliko 3.7) smo izbrali 18 nadzornih
procesov, s katerimi smo identificirali probleme v organizaciji in postavili izhodišča za
nadaljnje delo. Za vsak proces smo na podlagi nadzornih ciljev pripravili vprašanja za intervju
(glej Prilogo). Na podlagi pridobljenih odgovorov smo glede na splošni zrelostni model
(glejSliko 3.9) izbranemu procesu dali oceno od 0 do 5. Za vsak proces smo nato izračunali
povprečno oceno, ki sluţi za izdelavo zrelostnega modela. Grafični zrelostni model podaja
oceno procesa, povprečno oceno procesa v isti panogi in cilj, ki smo si ga zadali v
organizaciji. Zadani cilj sovpada s pomembnostjo procesa. Namen predstavitve in ocene
posameznega procesa je predstaviti izhodiščno točko (kjer smo na kratko opisali izvajanje
procesov glede na nadzorne cilje), iz katere lahko skozi nadzorne cilje načrtujemo prihodnje
delovanje in izvajanje predvidenih ukrepov za dosego ciljev obvladovanja IT.
4.1
Načrtujte in organizirajte (PO)
4.1.1 Opredelite strateški načrt za IT (PO1)
Strateško načrtovanje IT je temelj dobrega upravljanja IT. Je strateški dokument, ki povezuje
poslovno strategijo in delovanje IT sluţbe. S tem dokumentom skupaj s poslovnimi
udeleţenci zagotavljamo najboljšo moţno uresničitev projektov, boljše razumevanje IT in
njenih omejitev, ocenjujemo trenutne zmogljivosti, tveganja in človeške vire.
61
Proces Opredelite strateški načrt za IT zajema naslednje nadzorne cilje:
1. upravljanje vrednosti IT
2. uskladitev med poslovanjem in IT
3. ocena trenutne zmoţnosti delovanja
4. strateški načrt za IT
5. taktični načrti IT
6. upravljanje portfelja IT
Tabela 4.1: Rezultati procesa Opredelite strateški načrt za IT
Vprašanje
(nadzorni cilj):
Ocena:
1
2
2
0
3
0
4
0
5
1
6
1
Povprečna Povprečna zrelost Pomembnost
ocena:
v panogi:
procesa:
0,67
2,51
3,71
Vir: Voglar, lastni prikaz (2014)
Ugotovitev: Sodelovanje z vodstvom deluje po principu podajanja argumentiranih predlogov
IT, ki jim vodstvo prisluhne glede na finančne in tehnične zmoţnosti. Nekatere naloge
upravljanja vrednosti (potek investicij, finančna izvedba) so poleg IT tudi v domeni drugih
sluţb (vodstvo, pravna sluţba, finančna sluţba). Načeloma večjih odstopanj v investicijah ni.
V primeru odstopanj se pripravita strokovna obrazloţitev in zahtevek za dodatna sredstva.
Prav tako je finančna sluţba odgovorna za doseganje koristi in nadzor stroškov. Vrednotenje
poslovnih primerov, vključno s finančno vrednostjo in tveganji, je določeno z zakonom o
javnem naročanju. Organizacija nima veljavne strategije in ni dokumentiranega strateškega
usklajevanja, s katerim bi ocenjevali zmoţnosti IT, njenega upravljanja in potencialnega
izvajanja strateškega načrta. Postopki upravljanja virov, projektnih načrtov itd. se izvajajo na
osnovi letnega načrta. Vsebina portfelja IT je zajeta v organizacijskem predpisu in se izvaja
glede na vsebovane kazalnike.
62
Slika 4.1: Zrelostni model procesa Opredelite strateški načrt za IT
Ne
obstaja
Začetno/
Ad Hoc
0
1
Ponovljivo Procesno Vodeno
vendar
definirano
in
intuitivno
merljivo
2
3
Legenda uporabljenih
simbolov:
Optimizirano
4
5
Legenda uporabljene ravni:
0 - Vodenje procesov se ne izvaja
1 - Procesi so »Ad Hoc« in neorganizirani
2 - Procesi se spremljajo po predpisanih postopkih
3 - Procesi so dokumentirani in sprejeti
4 - Procesi se nadzirajo in merijo
5 – Dobrim praksam se sledi in se jih avtomatizira
Trenutno stanje
organizacije
Povprečje v
panogi
Cilj organizacije
Vir: Voglar, lastni prikaz (2014)
4.1.2 Določite tehnološke usmeritve (PO3)
Za tehnološko podporo poslovanju potrebujemo celovit načrt tehnološke infrastrukture in
vzpostavitev skupine, ki bo skrbela za arhitekturo sistemov, tehnološko usmeritev, načrte za
nabavo, standarde, migracijske strategije in neprekinjeno delovanje.
Proces Določite tehnološko usmeritev zajema naslednje nadzorne cilje:
1. načrtovanje tehnološke usmeritve
2. načrt za tehnološko infrastrukturo
3. spremljanje prihodnjih trendov, predpisov in tehnoloških standardov
4. odbor za arhitekturo IT
Tabela 4.2: Rezultati procesa Določite tehnološko usmeritev
Vprašanje
(nadzorni cilj):
Ocena:
1
2
3
1
2
2
Povprečna Povprečna
Pomembnost
ocena:
zrelost v panogi: procesa:
1
1,50
3,9
2,26
4
Vir: Voglar, lastni prikaz (2014)
Ugotovitev: Načrt tehnološke usmeritve kot tak ne obstaja. Del usmeritev je v osnutku nove
strategije. Prav tako ne obstaja načrt za tehnološko infrastrukturo, ampak se ta upravlja na
podlagi potreb in finančnih zmoţnosti. Prihodnjim trendom IT sluţba sledi s pomočjo
63
ponudnikov IT rešitev, ki predstavljajo nove tehnologije. Tehnološki standardi se obnavljajo z
izobraţevanji in smernicami pristojnega ministrstva. Stalni odbor za arhitekturo ne obstaja,
ampak se po potrebi ustanovi komisija, ki preveri arhitekturno skladnost za posamezen
primer. Sprejetih smernic se ne preverja.
Slika 4.2: Zrelostni model procesaDoločite tehnološko usmeritev
Ne
obstaja
Začetno/
Ad Hoc
0
1
Ponovljivo Procesno Vodeno
vendar
definirano
in
intuitivno
merljivo
2
Legenda uporabljenih
simbolov:
Trenutno stanje
organizacije
Povprečje v
panogi
3
4
Optimizirano
5
Legenda uporabljene ravni:
0 - Vodenje procesov se ne izvaja
1 - Procesi so »Ad Hoc« in neorganizirani
2 - Procesi se spremljajo po predpisanih postopkih
3 - Procesi so dokumentirani in sprejeti
4 - Procesi se nadzirajo in merijo
5 – Dobrim praksam se sledi in se jih avtomatizira
Cilj organizacije
Vir: Voglar, lastni prikaz (2014)
4.1.3
Opredelite procese, organizacijo in razmerja IT (PO4)
V tem IT procesu so opredeljene vloge osebja, njihove sposobnosti, funkcije, odgovornosti,
zadolţitve in nadzor. Strateški odbor zagotavlja nadzor uprave nad IT, določa prednostni
seznam virov in skladnost s poslovnimi potrebami.
Proces Opredeli procese, organizacijo in razmerja IT zajema naslednje nadzorne cilje:
1. procesni okvir za IT
2. odbor za strategijo IT
3. nadzorna skupina za IT
4. organizacijska umestitev funkcije IT
5. organizacijska struktura IT
6. določitev vlog in zadolţitev
64
7. zadolţitev in ločevanje nalog za zagotavljanje kakovosti IT, tveganja, varnost in
skladnost
8. lastništvo podatkov in sistema
9. nadzor
10. ključno in ostalo osebje v sektorju IT
11. politike in postopki za pogodbeno osebje
12. razmerja v IT
Tabela 4.3: Rezultati procesa Opredeli procese, organizacijo in razmerja IT
Vprašanje
Povpr.
Povpr.
Pomembnost
(nadzorni 1 2 3 4 5 6 7 8 9 10 11 12
zrelost v
procesa:
ocena:
cilj):
panogi:
Ocena:
1 0 1 1 1 1 0 1 0 1 4 4
1,25
1,82
3,57
Vir: Voglar, lastni prikaz (2014)
Ugotovitev: Procesni okvir obvladovanja IT je podan v organizacijskem predpisu. Odbor za
strategijo IT ne obstaja, nadzorna skupina izvaja nadzor v okviru skupine za kakovost. V
organizacijski strukturi je funkcija IT umeščena pod upravno-poslovno dejavnost.
Organizacijska struktura IT je odvisna od gibanja zaposlenih in trendov, ki jih določa
pristojno ministrstvo. Vloge so razdeljene, vendar se zaradi okrnjenega kadra prepletajo. V IT
sluţbi ni posebej določene osebe za zagotavljanje kakovosti, obvladovanje tveganja, varnosti
in skladnosti. Lastništvo podatkov in sistema se določa glede na informacijsko in področno
rešitev. Da je IT sluţba čim manj odvisna od ključnega osebja, so naloge prekrivajo. Za iste
naloge so usposobljeni tudi zunanji partnerji. S podpisom pogodbe se pogodbeno osebje
zaveţe k spoštovanju protokolov in pravil, ki veljajo v organizaciji. Razmerja v IT se
upravljajo pogodbeno po predpisanih zakonih (zakon o javnem naročanju, varovanje osebnih
podatkov itd.).
65
Slika 4.3: Zrelostni model procesa Opredeli procese, organizacijo in razmerja IT
Ne
obstaja
Začetno/
Ad Hoc
0
1
Ponovljivo Procesno Vodeno
vendar
definirano
in
intuitivno
merljivo
2
3
Legenda uporabljenih
simbolov:
Optimizirano
5
4
Legenda uporabljene ravni:
0 - Vodenje procesov se ne izvaja
1 - Procesi so »Ad Hoc« in neorganizirani
2 - Procesi se spremljajo po predpisanih postopkih
3 - Procesi so dokumentirani in sprejeti
4 - Procesi se nadzirajo in merijo
5 – Dobrim praksam se sledi in se jih avtomatizira
Trenutno stanje
organizacije
Povprečje v
panogi
Cilj organizacije
Vir: Voglar, lastni prikaz (2014)
4.1.4
Upravljajte človeške vire v sektorju IT (PO7)
Zaradi kritičnosti procesa moramo upravljanje človeških virov spremljati od zaposlitve do
spremembe oziroma prekinitve delovnega razmerja.
Proces Upravljajte človeške vire v sektorju IT zajema naslednje nadzorne cilje:
1. zaposlovanje in razporejanje delovne sile
2. preverjanje in vzdrţevanje sposobnosti osebja
3. dodelitev, spremljanje in nadzor vlog
4. usposabljanje osebja
5. odvisnost od posameznikov
6. postopki za preverjanje osebja
7. ocenjevanje dela zaposlenih
8. sprememba ali prekinitev delovnega razmerja
Tabela 4.4: Rezultati procesa Upravljajte človeške vire v sektorju IT
Vprašanje
(nadzorni cilj):
1
2
3
4
5
6
7
8
Ocena:
1
1
1
1
2
1
3
1
Vir: Voglar, lastni prikaz (2014)
66
Povprečna
Pomembnost
zrelost v
procesa:
panogi:
1,38
1,95
3,94
Povprečna
ocena:
Ugotovitev: Zaposlovanje v sektorju IT poteka v skladu s kadrovsko politiko. Sposobnosti
osebja se ne preverja. Njihove sposobnosti se vzdrţujejo prek aktualnih izobraţevanj.
Zadolţitve in pristojnosti zaposlenih se dodeljujejo glede na profil zaposlenih. Od zaposlenih
se pričakuje samoizobraţevanje. Izobraţevanja so vezana tudi na aktualne nakupe
informacijskih sistemov, strojne in programske opreme itd. Odvisnost od posameznikov je
urejena s prekrivanjem nalog in pogodbami z zunanjimi izvajalci. Postopki za preverjanje
osebja se izvajajo pri zunanjih izvajalcih (reference, certifikati), potencialnega zaposlitvenega
osebja se ne preverja. Zaposlene se ocenjuje skozi zakonsko predpisane letne razgovore. Ob
spremembi oziroma prekinitvi delovnega razmerja se glede na potrebe dodelijo oziroma
odvzamejo pravice.
Slika 4.4: Zrelostni model procesa Upravljajte človeške vire v sektorju IT
Ne
obstaja
Začetno/
Ad Hoc
0
1
Ponovljivo Procesno Vodeno
vendar
definirano
in
intuitivno
merljivo
2
Legenda uporabljenih
simbolov:
Trenutno stanje
organizacije
Povprečje v
panogi
3
4
Optimizirano
5
Legenda uporabljene ravni:
0 - Vodenje procesov se ne izvaja
1 - Procesi so »Ad Hoc« in neorganizirani
2 - Procesi se spremljajo po predpisanih postopkih
3 - Procesi so dokumentirani in sprejeti
4 - Procesi se nadzirajo in merijo
5 – Dobrim praksam se sledi in se jih avtomatizira
Cilj organizacije
Vir: Voglar, lastni prikaz (2014)
4.1.5 Upravljajte kakovost (PO8)
Upravljanje kakovosti sektorja IT je del celovitega sistema upravljanja kakovosti v
organizaciji. Ta zajema razvoj, vpeljavo in vzdrţevanje kakovosti. Zahteve glede kakovosti
morajo biti sporočene v obliki merljivih in ovrednotenih kazalnikov.
Proces Upravljajte kakovost zajema naslednje nadzorne cilje:
1. sistem za upravljanje kakovosti
2. standardi in prakse za kakovost IT
67
3. standardi za razvoj in nabavo
4. osredotočenost na stranke
5. stalno izboljševanje
6. merjenje, spremljanje in pregledovanje kakovosti
Tabela 4.5: Rezultati procesa Upravljajte kakovost
Vprašanje
(nadzorni cilj):
Ocena:
1
2
3
4
5
2
1
1
2
2
Povprečna Povprečna
Pomembnost
ocena:
zrelost v panogi: procesa:
2
1,67
2,05
3,82
6
Vir: Voglar, lastni prikaz (2014)
Ugotovitev: Sistem upravljanja kakovosti je vzpostavljen s sistemom ISO 9001 in ISO
27001. Za ključne procese se organizacijsko uporabljajo dobre prakse standarda ISO 9001, za
ključne IT procese pa varnostne politike sistema ISO 27001. S sprejemom standardov za
razvoj in nabavo je IT sektorju omogočena preglednejša in varnejša nabava. Za
osredotočenost na stranke je sektor IT razvil formalizirane postopke. Postopki in način
izvajanja kakovosti se zagotavlja z notranjo presojo in spremljanjem uresničitve kazalnikov iz
organizacijskega predpisa.
Slika 4.5: Zrelostni model procesa Upravljajte kakovost
Ne
obstaja
Začetno/
Ad Hoc
0
1
Ponovljivo Procesno Vodeno
vendar
definirano
in
intuitivno
merljivo
2
Legenda uporabljenih
simbolov:
Trenutno stanje
organizacije
Povprečje v
panogi
3
4
Optimizirano
5
Legenda uporabljene ravni:
0 - Vodenje procesov se ne izvaja
1 - Procesi so »Ad Hoc« in neorganizirani
2 - Procesi se spremljajo po predpisanih postopkih
3 - Procesi so dokumentirani in sprejeti
4 - Procesi se nadzirajo in merijo
5 – Dobrim praksam se sledi in se jih avtomatizira
Cilj organizacije
Vir: Voglar, lastni prikaz (2014)
68
4.1.6 Ocenjujte in obvladujte tveganja IT (PO9)
Celovit okvir ocenjevanja in obvladovanja tveganj obsega dokumentirano dogovorjeno raven
tveganj, strategijo za zmanjševanje tveganj in obvladovanje ostalih tveganj. Osnovni namen
obvladovanja tveganj je v nekem dogodku prepoznati tveganje, ga analizirati, oceniti in v
prihodnje preprečiti oziroma sprejeti.
Proces Ocenjujte in obvladujte tveganja IT zajema naslednje nadzorne cilje:
1. okvir obvladovanja tveganj IT
2. določanje okoliščin tveganja
3. prepoznavanje dogodka
4. ocena tveganja
5. odziv na tveganje
6. vzdrţevanje in spremljanje načrta za tveganje
Tabela 4.6: Rezultati procesa Ocenjujte in obvladujte tveganja IT
Vprašanje
(nadzorni cilj):
Ocena:
1
2
3
4
5
0
1
1
0
1
Povprečna Povprečna
Pomembnost
ocena:
zrelost v panogi: procesa:
1
0,67
2,27
3,96
6
Vir: Voglar, lastni prikaz (2014)
Ugotovitev: V organizaciji ni formalnega okvirja obvladovanja tveganj IT. Tveganja se glede
na identificirane okoliščine obravnavajo le v okviru aplikacij in strojne opreme, ki same
beleţijo dogodke in prikazujejo trenuten status. Zapis se opravlja v sistem centralnega
nadzora tveganj. Identificirana tveganja se zaradi potreb delovanja odpravi, vendar se jih,če
niso shranjena v sistemu, ne dokumentira. Ocena verjetnosti tveganja se ne izvaja. Postopki za
odziv na tveganje niso formalizirani in se prilagajo vsakemu identificiranemu tveganju
posebej. Akcijski načrt za tveganja ne obstaja. Obravnava tveganj je omenjena le v
organizacijskem predpisu.
69
Slika 4.6: Zrelostni model procesa Ocenjujte in obvladujte tveganja IT
Ne
obstaja
Začetno/
Ad Hoc
0
1
Ponovljivo Procesno Vodeno
vendar
definirano
in
intuitivno
merljivo
2
Legenda uporabljenih
simbolov:
Trenutno stanje
organizacije
Povprečje v
panogi
3
Optimizirano
4
5
Legenda uporabljene ravni:
0 - Vodenje procesov se ne izvaja
1 - Procesi so »Ad Hoc« in neorganizirani
2 - Procesi se spremljajo po predpisanih postopkih
3 - Procesi so dokumentirani in sprejeti
4 - Procesi se nadzirajo in merijo
5 – Dobrim praksam se sledi in se jih avtomatizira
Cilj organizacije
Vir: Voglar, lastni prikaz (2014)
4.2
Kupite in vpeljite (AI)
4.2.1
Kupite in vzdržujte aplikacijske programe (AI2)
Proces upravljanja aplikacij zajema zasnovo aplikacij, ustrezno vključitev nadzorov ter razvoj
in konfiguracijo aplikacij skladno s standardi. Aplikacije morajo nuditi pomoč pri delu
uporabnikom, predvsem pa morajo biti skladne s poslovnimi zahtevami.
Proces Kupite in vzdrţujte aplikacijske programe zajema naslednje nadzorne cilje:
1. visokonivojska zasnova
2. podrobna zasnova
3. aplikacijskinadzor in primernost za revidiranje
4. varnost aplikacij in razpoloţljivost
5. konfiguracija in vpeljava pridobljene aplikacijske opreme
6. večja nadgradnja obstoječih sistemov
7. razvoj aplikacijske programske opreme
8. zagotovitev kakovosti programske opreme
9. upravljanje zahtev aplikacij
10. vzdrţevanje aplikacijske programske opreme
70
Tabela 4.7: Rezultati procesa Kupite in vzdrţujte aplikacijske programe
Vprašanje
(nadzorni
cilj):
1
2
3
4
5
6
7
8
9
Povprečna
Povprečna
Pomembnost
10
zrelost v
ocena:
procesa:
panogi:
Ocena:
1
1
2
2
2
2
1
2
2
1
1,60
1,82
3,57
Vir: Voglar, lastni prikaz (2014)
Ugotovitev: Strategija pridobivanja aplikacijske opreme temelji na potrebah uporabnikov in
potrebah po posodobitvah informacijskih sistemov. Na podlagi podrobno definirane zasnove
(tehnološke in ekonomske) direktor potrdi oziroma ne potrdi zasnove. Aplikacijskinadzor za
novo programsko opremo se izvaja pred podpisom pogodbe, in sicer se pri ponudniku izvede
testiranje. Nadzor varnosti in razpoloţljivosti se izvajajo le po nakupu opreme in je določen s
pogodbenimi členi. Konfiguracije, nadgradnje in vpeljave aplikacij se izvajajo po predhodni
odobritvi direktorja in po dogovoru z uporabnikom, in sicer v času, ko so delovni procesi čim
manj moteni. Razvoj aplikacijske opreme se glede na uporabnikove zahteve izvaja v
organizaciji oziroma pri pogodbenem zunanjem izvajalcu. Kakovost aplikacij se preverja po
dogovorjenih členih v pogodbi. Tudi morebitne spremembe se predvidijo v pogodbi.
Dobavitelj aplikacije skrbi za vzdrţevanje in pripravo dokumentacije za aplikacijsko opremo.
Slika 4.7: Zrelostni model procesa Kupite in vzdrţujte aplikacijske programe
Ne
obstaja
Začetno/
Ad Hoc
0
1
Ponovljivo Procesno Vodeno
vendar
definirano
in
intuitivno
merljivo
2
Legenda uporabljenih
simbolov:
Trenutno stanje
organizacije
Povprečje v
panogi
3
4
Optimizirano
5
Legenda uporabljene ravni:
0 - Vodenje procesov se ne izvaja
1 - Procesi so »Ad Hoc« in neorganizirani
2 - Procesi se spremljajo po predpisanih postopkih
3 - Procesi so dokumentirani in sprejeti
4 - Procesi se nadzirajo in merijo
5 – Dobrim praksam se sledi in se jih avtomatizira
Cilj organizacije
Vir: Voglar, lastni prikaz (2014)
71
4.2.2
Kupite in vzdržujte tehnološko infrastrukturo (AI3)
Organizacija vzpostavi proces nabave, vzdrţevanja in zaščite infrastrukture, ki je skladen s
tehnološkimi strategijami ter zagotovljenim razvojnim in testnim okoljem.
Proces Kupite in vzdrţujte tehnološko infrastrukturo zajema naslednje nadzorne cilje:
1. načrt za nabavo tehnološke infrastrukture
2. zaščita in razpoloţljivost infrastrukturnih virov
3. vzdrţevanje infrastrukture
4. okolje za testiranje izvedljivosti
Tabela 4.8: Rezultati procesa Kupite in vzdrţujte tehnološko infrastrukturo
Vprašanje
(nadzorni cilj):
Ocena:
1
2
3
0
1
0
Povprečna Povprečna
Pomembnost
ocena:
zrelost v panogi: procesa:
1
0,50
1,82
3,57
4
Vir: Voglar, lastni prikaz (2014)
Ugotovitev: Organizacija nima posebnega načrta za nabavo, vpeljavo in vzdrţevanje
tehnološke infrastrukture, ampak so te dejavnosti delno zajete v letnem načrtu. Zaščita in
razpoloţljivost se zagotavljata v okviru vzdrţevanja. Komponente infrastrukture se običajno
razvijajo pri ponudniku komponent. Domače testno okolje se izvaja zgolj na manjših sistemih,
ki se načrtujejo glede na trenutne potrebe.
Slika 4.8: Zrelostni model procesa Kupite in vzdrţujte tehnološko infrastrukturo
Ne
obstaja
Začetno/
Ad Hoc
0
1
Ponovljivo Procesno Vodeno
vendar
definirano
in
intuitivno
merljivo
2
Legenda uporabljenih
simbolov:
Trenutno stanje
organizacije
Povprečje v
panogi
3
4
Optimizirano
5
Legenda uporabljene ravni:
0 - Vodenje procesov se ne izvaja
1 - Procesi so »Ad Hoc« in neorganizirani
2 - Procesi se spremljajo po predpisanih postopkih
3 - Procesi so dokumentirani in sprejeti
4 - Procesi se nadzirajo in merijo
5 – Dobrim praksam se sledi in se jih avtomatizira
Cilj organizacije
Vir: Voglar, lastni prikaz (2014)
72
4.2.3 Omogočite delovanje in uporabo (AI4)
Ta proces zahteva pripravo dokumentacije in priročnikov za pravilno uporabo aplikacij in
infrastrukture. Namenjen je uporabnikom in zaposlenim v IT.
Proces Omogočite delovanje in uporabo zajema naslednje nadzorne cilje:
1. načrtovanje operativnih rešitev
2. prenos znanja poslovnemu vodstvu
3. prenos znanja končnim uporabnikom
4. prenos znanja operativnemu in podpornemu osebju
Tabela 4.9: Rezultati procesa Omogočite delovanje in uporabo
Vprašanje
(nadzorni cilj):
Ocena:
1
2
3
4
0
1
2
1
Povprečna Povprečna
Pomembnost
ocena:
zrelost v panogi: procesa:
1,00
2,25
3,78
Vir: Voglar, lastni prikaz (2014)
Ugotovitev: Organizacija nima dokumentiranega načrta za upravljanje operativnih rešitev,
vendar se skozi celoten dan zagotavlja podpora delovanju. V primeru večjih teţav, obstajajo
pogodbeni roki, v katerih se morajo zunanji izvajalci odzvati na problem. Prenos znanja
poslovnemu vodstvu se posreduje preko predstavitev in strokovne podpore. Končnim
uporabnikom se znanje posreduje preko klasičnih izobraţevanj in organizirane podpore.
Prenos znanja operativnemu in podpornemu osebju se izvaja pri dobavitelju in organiziranih
izobraţevanjih znotraj organizacije.
73
Slika 4.9: Zrelostni model procesa Omogočite delovanje in uporabo
Ne
obstaja
Začetno/
Ad Hoc
0
1
Ponovljivo Procesno Vodeno
vendar
definirano
in
intuitivno
merljivo
2
Legenda uporabljenih
simbolov:
Trenutno stanje
organizacije
Povprečje v
panogi
3
4
Optimizirano
5
Legenda uporabljene ravni:
0 - Vodenje procesov se ne izvaja
1 - Procesi so »Ad Hoc« in neorganizirani
2 - Procesi se spremljajo po predpisanih postopkih
3 - Procesi so dokumentirani in sprejeti
4 - Procesi se nadzirajo in merijo
5 – Dobrim praksam se sledi in se jih avtomatizira
Cilj organizacije
Vir: Voglar, lastni prikaz (2014)
4.3
Izvajajte in podpirajte (DS)
4.3.1
Opredelite in upravljajte ravni storitev (DS1)
Komunikacijo med vodstvom IT in poslovnimi strankami je treba opredeliti s skupnim
dokumentom in sporazumom glede storitev IT in ravni storitev. S tem procesom omogočamo
usklajevanje med storitvami in povezanimi poslovnimi zahtevami.
Proces Opredelite in upravljajte ravni storitev zajema naslednje nadzorne cilje:
1. okvir za upravljanje ravni storitev
2. opredelitev storitev
3. sporazumi o ravni storitev
4. dogovori o izvedbenih ravneh
5. spremljanje in poročanje o doseţenih ravneh storitev
6. pregled sporazumov o ravni storitev in pogodb
74
Tabela 4.10: Rezultati procesa Opredelite in upravljajte ravni storitev
Vprašanje
(nadzorni cilj):
Ocena:
1
2
3
4
5
6
1
1
3
3
2
2
Povprečna Povprečna
Pomembnost
ocena:
zrelost v panogi: procesa:
2,00
1,65
3,22
Vir: Voglar, lastni prikaz (2014)
Ugotovitev: Okvir za upravljanje ravni storitev med stranko in ponudnikom je definiran
izključno s pogodbo. Glede na nivo ravni storitev se oblikuje tudi pogodba s ponudnikom.
Prav tako so izvedbena raven in načina spremljanja in poročanja določeni s pogodbenimi
členi. Pregled sporazumov o ravni storitev in pogodb se izvaja letno, pri čemer se pripravljajo
in podaljšujejo pogodbe o izvajanju storitev in poznejši podpori.
Slika 4.10: Zrelostni model procesa Opredelite in upravljajte ravni storitev
Ne
obstaja
Začetno/
Ad Hoc
0
1
Ponovljivo Procesno Vodeno
vendar
definirano
in
intuitivno
merljivo
2
Legenda uporabljenih
simbolov:
Trenutno stanje
organizacije
Povprečje v
panogi
3
4
Optimizirano
5
Legenda uporabljene ravni:
0 - Vodenje procesov se ne izvaja
1 - Procesi so »Ad Hoc« in neorganizirani
2 - Procesi se spremljajo po predpisanih postopkih
3 - Procesi so dokumentirani in sprejeti
4 - Procesi se nadzirajo in merijo
5 – Dobrim praksam se sledi in se jih avtomatizira
Cilj organizacije
Vir: Voglar, lastni prikaz (2014)
4.3.2 Upravljajte storitve tretje stranke (DS2)
Proces upravljanja storitve tretje stranke zajema jasno opredeljene vloge, zadolţitve in
pričakovanja za storitve tretje stranke (dobavitelji, partnerji). S tem sporazumom se zaščitimo
pred strankami, ki ne izpolnjujejo svojih obveznosti (zmanjšujemo tveganja).
Proces Upravljajte storitve tretje stranke zajema naslednje nadzorne cilje:
1. določitev vseh odnosov z dobavitelji
2. upravljanje odnosa z dobavitelji
75
3. obvladovanje tveganja dobavitelja
4. spremljanje dela dobavitelja
Tabela 4.11: Rezultati procesa Upravljajte storitve tretje stranke
Vprašanje
(nadzorni cilj):
Ocena:
1
2
3
4
3
3
2
1
Povprečna Povprečna zrelost v Pomembnost
ocena:
panogi:
procesa:
2,25
1,91
3,34
Vir: Voglar, lastni prikaz (2014)
Ugotovitev: Upravljanje in določitev odnosov z dobavitelji se izvedeta s pogodbo (v
sodelovanju s pravno in nabavno sluţbo). Pogodba običajno zajema ekonomski in tehnični
vidik (odzivni čas, protokol dostopa, nadzor). Tveganja z dobavitelji se zmanjšujejo z
ustreznimi pogodbenimi členi in stalnim nadzorom. Zaradi odvisnosti od nekaterih
dobaviteljev je nekatera tveganja teţko preprečiti. Spremljanje in merjenje izvajanja ravni
storitev se izvaja sprotno, vendar se ne beleţi.
Slika 4.11: Zrelostni model procesa Upravljajte storitve tretje stranke
Ne
obstaja
Začetno/
Ad Hoc
0
1
Ponovljivo Procesno Vodeno
vendar
definirano
in
intuitivno
merljivo
2
Legenda uporabljenih
simbolov:
Trenutno stanje
organizacije
Povprečje v
panogi
3
4
Optimizirano
5
Legenda uporabljene ravni:
0 - Vodenje procesov se ne izvaja
1 - Procesi so »Ad Hoc« in neorganizirani
2 - Procesi se spremljajo po predpisanih postopkih
3 - Procesi so dokumentirani in sprejeti
4 - Procesi se nadzirajo in merijo
5 – Dobrim praksam se sledi in se jih avtomatizira
Cilj organizacije
Vir: Voglar, lastni prikaz (2014)
4.3.3
Upravljajte delovanje in zmogljivost (DS3)
Redno pregledovanje trenutnega delovanja in zmogljivosti sredstev IT zagotavlja, da so
sredstva, ki podpirajo poslovne zahteve, ves čas na voljo.
76
Proces Upravljajte delovanje in zmogljivost zajema naslednje nadzorne cilje:
1. načrtovanje delovanja in zmogljivosti
2. trenutno delovanje in zmogljivosti
3. prihodnje delovanje in zmogljivosti
4. razpoloţljivost sredstev IT
5. spremljanje in poročanje
Tabela 4.12: Rezultati procesa Upravljajte delovanje in zmogljivost
Vprašanje
(nadzorni cilj):
Ocena:
1
2
3
4
1
1
2
1
Povprečna Povprečna
Pomembnost
ocena:
zrelost v panogi: procesa:
2
1,40
1,82
3,57
5
Vir: Voglar, lastni prikaz (2014)
Ugotovitev: V organizaciji ni izdelanega načrta delovanja in zmogljivosti, vendar se
zmoţnost delovanja preverja glede na potrebe, ki bi jih bilo trebauresničiti v prihodnje.
Trenutna zmogljivost se preverja s stanjem (statusom) strojne in programske opreme.
Usmerjenost v prihodnje delovanje in zmogljivosti so načrtovane v letnem načrtu, ki pa je
odvisen od finančnih zmoţnosti. Razpoloţljivost se zagotavlja z redundanco sistemov in
predvidenimi sredstvi v finančnem načrtu. Spremljanje delovanja je zagotovljeno le s
centralno nadzorno konzolo, ki generira avtomatska sporočila. Ostala sredstva in zmogljivosti
se preverjajo priloţnostno, vendar se ne beleţijo.
Slika 4.12: Zrelostni model procesa Upravljajte delovanje in zmogljivost
Ne
obstaja
Začetno/
Ad Hoc
0
1
Ponovljivo Procesno Vodeno
vendar
definirano
in
intuitivno
merljivo
2
Legenda uporabljenih
simbolov:
Trenutno stanje
organizacije
Povprečje v
panogi
3
4
Optimizirano
5
Legenda uporabljene ravni:
0 - Vodenje procesov se ne izvaja
1 - Procesi so »Ad Hoc« in neorganizirani
2 - Procesi se spremljajo po predpisanih postopkih
3 - Procesi so dokumentirani in sprejeti
4 - Procesi se nadzirajo in merijo
5 – Dobrim praksam se sledi in se jih avtomatizira
Cilj organizacije
Vir: Voglar, lastni prikaz (2014)
77
4.3.4
Zagotovite varnost sistemov (DS5)
Varnost sistemov zagotavljamo z vzpostavitvijo in vzdrţevanjem vlog, politik, standardov, in
postopkov varovanja IT. Z rednim spremljanjem delovanja in rednim testiranjem, lahko
identificiramo varnostne slabosti oziroma varnostne incidente.
Proces Zagotovite varnost sistemov zajema naslednje nadzorne cilje:
1. upravljanje varnostnih sistemov
2. načrt varovanja IT
3. upravljanje identitete
4. upravljanje uporabniških računov
5. testiranje, spremljanje in nadzor varovanja
6. opredelitev varnostnega incidenta
7. zaščita varnostne tehnologije
8. upravljanje kriptografskih ključev
9. preprečevanje in odkrivanje zlonamernih programov
10. omreţna varnost
11. izmenjava občutljivih podatkov
Tabela 4.13: Rezultati procesa Zagotovite varnost sistemov
Vprašanje
(nadzorni 1
cilj):
2
3
4
5
6
7
8
9
10 11
0
0
2
2
2
0
2
3
2
2
Ocena:
3
Povpr.
Povpr.
Pomembnost
zrelost v
ocena:
procesa:
panogi:
1,64
2,27
3,96
Vir: Voglar, lastni prikaz (2014)
Ugotovitev: Organizacija nima celovitega dokumenta upravljanja tveganja. Tveganja v IT se
upravljajo zgolj na izpostavljenih področjih. Eden izmed teh področij je upravljanje identitete
zaposlenih, kjer ima organizacija izdelan protokol o upravljanju notranjih, zunanjih in
začasnih uporabniških računov. Osnovne podatke o uporabniku zagotovi kadrovska sluţba, IT
sluţba pa omogoči dostope glede na izdelan protokol. Spremljanje in nadzor varovanja se
spremljata skozi dogodke v aplikacijah in omreţju. Dogodke se posebej ne dokumentira, prav
tako niso opredeljeni varnostni incidenti. Varnostne tehnologije so zaščitene z omejenimi
dostopi in mesečnimi spreminjanji gesel. Varnostni ključi se varujejo po internem pravilniku.
Preprečevanje in odkrivanje zlonamernih programov se izvajata z redno posodobljenimi
78
protivirusnimi programi, poţarnimi zidovi itd. Omreţna varnost je vezana na opremo, ki ima
vgrajene varnostne mehanizme. Varnost postopkov pri izmenjavi občutljivih podatkov
zagotavlja z ločenim in nadzorovanim omreţjem.
Slika 4.13: Zrelostni model procesa Zagotovite varnost sistemov
Ne
obstaja
Začetno/
Ad Hoc
0
1
Ponovljivo Procesno Vodeno
vendar
definirano
in
intuitivno
merljivo
2
Legenda uporabljenih
simbolov:
Trenutno stanje
organizacije
Povprečje v
panogi
3
Optimizirano
4
5
Legenda uporabljene ravni:
0 - Vodenje procesov se ne izvaja
1 - Procesi so »Ad Hoc« in neorganizirani
2 - Procesi se spremljajo po predpisanih postopkih
3 - Procesi so dokumentirani in sprejeti
4 - Procesi se nadzirajo in merijo
5 – Dobrim praksam se sledi in se jih avtomatizira
Cilj organizacije
Vir: Voglar, lastni prikaz (2014)
4.3.5 Upravljajte podatke (DS11)
Proces upravljanja podatkov zahteva vzpostavitev postopkov za upravljanje knjiţnice
podatkov, varnostno shranjevanje in obnovo podatkov ter nadzorovano odstranitev nosilcev
podatkov.
Proces Upravljajte podatke zajema naslednje nadzorne cilje:
1. poslovne zahteve za upravljanje podatkov
2. dogovori za shranjevanje in hrambo
3. sistem za upravljanje knjiţnice nosilcev podatkov
4. odstranjevanje
5. varno kopiranje in obnova
6. varnostne zahteve za upravljanje podatkov
79
Tabela 4.14: Rezultati procesa Upravljajte podatke
Vprašanje
(nadzorni cilj):
Ocena:
1
2
3
4
5
1
1
2
2
2
Povprečna Povprečna zrelost Pomembnost
ocena:
v panogi:
procesa:
2
1,67
2,22
3,85
6
Vir: Voglar, lastni prikaz (2014)
Ugotovitev: Organizacija upravljanje podatkov ne obravnava posebej. Postopki za
shranjevanje in hrambo podatkov se določijo glede na navodila za uporabo posameznega
informacijskega sistema. Sistem za upravljanje knjiţnice nosilcev podatkov se izvaja po
ustnem dogovoru in ni dokumentiran. Odstranjevanje oziroma prenos podatkov se izvajata po
trenutni interni odločitvi za posamezne podatke. Postopki varnostnega kopiranja so
avtomatizirani in določeni s poslovnimi zahtevami. Varnostne zahteve za upravljanje so
določene v pogodbi pri nakupu oziroma upravljanju sistemov.
Slika 4.14: Zrelostni model procesa Upravljajte podatke
Ne
obstaja
Začetno/
Ad Hoc
0
1
Ponovljivo Procesno Vodeno
vendar
definirano
in
intuitivno
merljivo
2
Legenda uporabljenih
simbolov:
Trenutno stanje
organizacije
Povprečje v
panogi
3
4
Optimizirano
5
Legenda uporabljene ravni:
0 - Vodenje procesov se ne izvaja
1 - Procesi so »Ad Hoc« in neorganizirani
2 - Procesi se spremljajo po predpisanih postopkih
3 - Procesi so dokumentirani in sprejeti
4 - Procesi se nadzirajo in merijo
5 – Dobrim praksam se sledi in se jih avtomatizira
Cilj organizacije
Vir: Voglar, lastni prikaz (2014)
4.3.6
Upravljajte fizično okolje (DS12)
Vodilo upravljanja fizičnega okolja je zagotoviti varnost računalniške opreme in osebja. Zato
je treba zagotoviti varen fizični prostor, ki mu moramo opredeliti zahteve glede zmogljivosti,
spremljanja dejavnikov okolja ter upravljanja fizičnega dostopa.
80
Proces Upravljajte fizično okolje zajema naslednje nadzorne cilje:
1. izbor prostora in načrt
2. ukrepi za fizično varnost
3. fizični dostop
4. zaščita pred okoljskimi dejavniki
5. upravljanje fizičnih zmogljivosti
Tabela 4.15: Rezultati procesa Upravljajte fizično okolje
Vprašanje
(nadzorni cilj):
Ocena:
1
2
3
4
5
1
1
2
2
2
Povprečna Povprečna
Pomembnost
ocena:
zrelost v panogi: procesa:
2
1,40
2,26
3,9
6
Vir: Voglar, lastni prikaz (2014)
Ugotovitev: Prostori so določeni glede na prostorske in tehnološke zmoţnosti. Ukrepi za
fizično varnost so zajeti v okviru poţarnega varstva in tehnoloških usmeritev. Fizični dostopi
se elektronsko urejajo s sistemom nadzora dostopa in z odobritvijo ter dokumentiranjem
dovoljenih dostopov. Zaščita pred okoljskimi dejavniki je urejena s klasifikacijo zahtevnosti
prostorov. Glede na zahteve prostorov se prostor opremi z napravami za spremljanje in nadzor
okolja. Organizacija nima posebnega načrta upravljanja fizičnih zmogljivosti, temveč se
upravljanje porazdeli na različne sluţbe znotraj organizacije.
Slika 4.15: Zrelostni model procesa Upravljajte fizično okolje
Ne
obstaja
Začetno/
Ad Hoc
0
1
Ponovljivo Procesno Vodeno
vendar
definirano
in
intuitivno
merljivo
2
Legenda uporabljenih
simbolov:
Trenutno stanje
organizacije
Povprečje v
panogi
3
4
Optimizirano
5
Legenda uporabljene ravni:
0 - Vodenje procesov se ne izvaja
1 - Procesi so »Ad Hoc« in neorganizirani
2 - Procesi se spremljajo po predpisanih postopkih
3 - Procesi so dokumentirani in sprejeti
4 - Procesi se nadzirajo in merijo
5 – Dobrim praksam se sledi in se jih avtomatizira
Cilj organizacije
Vir: Voglar, lastni prikaz (2014)
81
4.4
Spremljajte in vrednotite (ME)
4.4.1
Spremljajte in vrednotite delovanje IT (ME1)
Da lahko ocenimo uspešnost delovanja IT, ga moramo spremljati in meriti. Zato moramo
razviti ustrezne kazalnike delovanja, na podlagi katerih izvajamo ukrepe v primerih
odstopanja od postavljenih usmeritev in politik.
Proces Spremljajte in vrednotite delovanje IT zajema naslednje nadzorne cilje:
1. opredelitev in zbiranje podatkov za spremljanje
2. metode spremljanja
3. ocena delovanja
4. poročanje upravi in izvršnim direktorjem
5. korektivni ukrepi
Tabela 4.16: Rezultati procesa Spremljajte in vrednotite delovanje IT
Vprašanje
(nadzorni cilj):
Ocena:
1
2
3
4
2
1
2
2
Povprečna Povprečna
Pomembnost
ocena:
zrelost v panogi: procesa:
1
1,60
2,25
3,78
5
Vir: Voglar, lastni prikaz (2014)
Ugotovitev: Spremljanje in vrednotenje delovanja IT je določeno v organizacijskem predpisu
(merljivi kazalniki). Ocenjevanje se izvaja 1-krat mesečno in temelji na realizaciji
zastavljenih kazalnikov. Vodja 3-krat letno pripravi kratko poročilo o delovanju in rezultatih
posameznih programov. Če se v poročilu pojavijo prevelika odstopanja v načrtu (glede na
nujnost), pride do korektivnih ukrepov.
82
Slika 4.16: Zrelostni model procesa Spremljajte in vrednotite delovanje IT
Ne
obstaja
Začetno/
Ad Hoc
0
1
Ponovljivo Procesno Vodeno
vendar
definirano
in
intuitivno
merljivo
2
3
Legenda uporabljenih
simbolov:
4
Optimizirano
5
Legenda uporabljene ravni:
0 - Vodenje procesov se ne izvaja
1 - Procesi so »Ad Hoc« in neorganizirani
2 - Procesi se spremljajo po predpisanih postopkih
3 - Procesi so dokumentirani in sprejeti
4 - Procesi se nadzirajo in merijo
5 – Dobrim praksam se sledi in se jih avtomatizira
Trenutno stanje
organizacije
Povprečje v
panogi
Cilj organizacije
Vir: Voglar, lastni prikaz (2014)
4.4.2 Zagotovite skladnost z zunanjimi zahtevami (ME3)
V procesu pregledovanja delovanja je pomembno, da je zagotovljena skladnost z zakoni,
predpisi in pogodbenimi zahtevami, zato so potrebni prepoznavanje zahtev skladnosti,
pridobitev jamstva skladnosti glede na zahteve ter skupno poročanje IT sluţbe in ostalega
poslovanja o skladnosti.
Proces Zagotovite skladnost z zunanjimi zahtevami zajema naslednje nadzorne cilje:
1. prepoznavanje zunanjih pravnih, regulativnih in pogodbenih zahtev glede skladnosti
2. optimizacija odziva na zunanje zahteve
3. ocenjevanje skladnosti z zunanjimi zahtevami
4. pozitivno jamstvo skladnosti
5. zdruţeno poročanje
Tabela 4.17: Rezultati procesa Zagotovite skladnost z zunanjimi zahtevami
Vprašanje
(nadzorni cilj):
Ocena:
1
2
3
4
1
1
2
1
Povprečna Povprečna
Pomembnost
ocena:
zrelost v panogi: procesa:
1
1,20
2,25
3,78
5
Vir: Voglar, lastni prikaz (2014)
83
Ugotovitev:IT sluţba spremlja spremembe zakonodaje s področja IT. Poleg tega mora
spremljati spremembe zakonov s področja nabave (javnih naročil), računovodstva in prava
(pogodbe). Optimizacija glede na zunanje zahteve poteka z usklajevanjem med sluţbami
znotraj organizacije in povezovanjem z zunanjimi partnerji. Jamstvo za skladnost delovanja se
zagotavlja s podpisanimi izjavami, certifikati, zakonskimi obveznostmi, večkrat pa temelji na
zaupanju partnerjev. Spremembe zunanjih zahtev se pravočasno uvedejo, vendar se ne
dokumentirajo.
Slika 4.17: Zrelostni model procesa Zagotovite skladnost z zunanjimi zahtevami
Ne
obstaja
Začetno/
Ad Hoc
0
1
Ponovljivo Procesno Vodeno
vendar
definirano
in
intuitivno
merljivo
2
Legenda uporabljenih
simbolov:
Trenutno stanje
organizacije
Povprečje v
panogi
3
4
Optimizirano
5
Legenda uporabljene ravni:
0 - Vodenje procesov se ne izvaja
1 - Procesi so »Ad Hoc« in neorganizirani
2 - Procesi se spremljajo po predpisanih postopkih
3 - Procesi so dokumentirani in sprejeti
4 - Procesi se nadzirajo in merijo
5 – Dobrim praksam se sledi in se jih avtomatizira
Cilj organizacije
Vir: Voglar, lastni prikaz (2014)
4.4.3
Zagotovite upravljanje IT (ME4)
Proces upravljanja IT vključuje opredelitev organizacijskih struktur, procesov, vodenja, vlog
in zadolţitev z namenom, da so investicije v IT usklajene in skladne s strategijo in cilji
organizacije.
Proces Zagotovite upravljanje IT zajema naslednje nadzorne cilje:
1. vzpostavitev okvira za upravljanje IT
2. strateško usklajevanje
3. ustvarjanje vrednosti
4. upravljanje sredstev
84
5. upravljanje tveganja
6. merjenje izvedbe
7. neodvisno jamstvo
Tabela 4.18: Rezultati procesa Zagotovite upravljanje IT
Vprašanje
(nadzorni cilj):
Ocena:
1
2
3
4
5
6
1
1
1
1
1
1
Povprečna
Povprečna zrelost Pomembnost
ocena:
v panogi:
procesa:
1
1,00
2,25
3,78
7
Vir: Voglar, lastni prikaz (2014)
Ugotovitev: Organizacija nima vzpostavljenega okvirja obvladovanja IT, prav tako se ne
izvaja strateško usklajevanje IT z ostalimi sluţbami. Ker se ne meri delovanje IT, tudi ni
identificiranih učinkov ustvarjanja vrednosti. Upravljanje sredstev se ne meri, ampak se oceni
skozi naloţbe. Tveganj se ne upravlja, zato ni določenih postopkov sprejemljivih tveganj.
Izvedba se ocenjuje, vendar se ne meri. Organizacija nima notranje ali zunanje neodvisne
skupine, ki bi preverjala skladnost IT.
Slika 4.18: Zrelostni model procesa Zagotovite upravljanje IT
Ne
obstaja
Začetno/
Ad Hoc
0
1
Ponovljivo Procesno Vodeno
vendar
definirano
in
intuitivno
merljivo
2
Legenda uporabljenih
simbolov:
Trenutno stanje
organizacije
Povprečje v
panogi
3
4
Optimizirano
5
Legenda uporabljene ravni:
0 - Vodenje procesov se ne izvaja
1 - Procesi so »Ad Hoc« in neorganizirani
2 - Procesi se spremljajo po predpisanih postopkih
3 - Procesi so dokumentirani in sprejeti
4 - Procesi se nadzirajo in merijo
5 – Dobrim praksam se sledi in se jih avtomatizira
Cilj organizacije
Vir: Voglar, lastni prikaz (2014)
4.5
Analiza raziskave
V okviru raziskave smo preverjali 18 procesov celovitega okvirja COBIT, ki so za
organizacijo ključnega pomena. Tabela 4.19 nam prikazuje povprečne ocene procesov, ki smo
85
jih pridobili na osnovi ocen nadzornih ciljev, za posamezen proces. Pri vsakem procesu lahko
pridobljen rezultat primerjamo s povprečno oceno procesa v isti panogi, kako pomemben je ta
proces v tej panogi in razkorak (prepad) procesne zrelosti glede na povprečje v panogi.
Tabela 4.19: Rezultati nadzora procesov
Proces
št.:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
Naziv procesa:
PO 1 - Opredelitev strateškega
načrta za IT
PO 3 - Določitev tehnološke
usmeritve
PO4 - Opredelitev procesov,
organizacije in razmerja v IT
PO7 - Upravljanje človeških virov
v IT
PO8 - Upravljanje kakovosti
PO9 - Ocenjevanje in
obvladovanje tveganja v IT
AI 2 - Kupite in vzdrževanje
aplikacijske opreme
AI 3 - Kupite in vzdrževanje
tehnološke infrastrukture
AI 4 - Omogočanje delovanja in
uporabe
DS 1 - Opredelitev in upravljanje
ravni storitev
DS 2 - Upravljanje storitev tretje
stranke
DS 3 - Upravljanje delovanja in
zmogljivosti
DS 5 - Zagotovitev varnost
sistemov
DS 11 - Upravljanje podatkov
DS 12 - Upravljanje fizičnega
okolja
ME 1 - Spremljanje in
vrednotenje delovanja IT
ME 3 - Zagotovitev skladnosti z
zunanjimi zahtevami
ME 4 - Zagotovitev upravljanja IT
Povprečna Povprečna Pomembnost Zrelostni
ocena
zrelost v
procesa (cilj razkorak:
procesa:
panogi:
organizacije):
0,67
2,51
3,71
-3,04
1,50
3,9
2,26
-0,76
1,25
1,82
3,57
-2,32
1,38
1,67
1,95
2,05
3,94
3,82
-2,56
-2,15
0,67
2,27
3,96
-3,29
1,60
1,82
3,57
-1,97
0,50
1,82
3,57
-3,07
1,00
2,25
3,78
-2,78
2,00
1,65
3,22
-1,22
2,25
1,91
3,34
-1,09
1,40
1,82
3,57
-2,17
1,64
1,67
2,27
2,22
3,96
3,85
-2,32
-2,18
1,40
2,26
3,90
-2,50
1,60
2,25
3,78
-2,18
1,20
1,00
2,25
2,25
3,78
3,78
-2,58
-2,78
Vir: Voglar, lastni prikaz (2014)
Če analiziramo trend gibanja rezultatov raziskave glede na oceno procesa (glejSliko 4.19),
procesi številka 1, 6 in 8 (PO1, PO9 in AI3) izstopajo po nizki procesni zrelosti. Vzrok za
nizko oceno procesa št. 1 (PO1 – Opredelitev strateškega načrta) se kaţe v tem, da
86
organizacija nima veljavne strategije obvladovanja IT, zato niti ni moţno vzpostaviti
mehanizmov za ocenjevanje trenutnih zmoţnosti delovanja IT sluţbe. Organizacija sicer
pozna potrebo po strateškem načrtovanju, saj so ţe izdelani določeni členi prihodnje skupne
strategije, vendar je zdajšnje obvladovanje IT bolj kot strategija odraz odziva na posamezne
poslovne zahteve. Proces št. 6 (PO9 – Ocenjujte in obvladujte tveganja IT) je ocenjen z oceno
0,67, saj organizacija ne obravnava tveganj za IT procese in z njimi povezane poslovne
odločitve. Tveganja so prepuščena obravnavi v posameznih projektih ali pa v kontekstu
varovanja in zagotavljana razpoloţljivosti podatkov oziroma informacijskih sistemov.
Najniţje ocenjen proces je proces št. 8 (AI3 – Kupite in vzdrţujte tehnološko infrastrukturo).
Organizacija tehnološki infrastrukturi ne posveča posebne pozornosti. Za vsako novo
aplikacijo se izvajajo spremembe infrastrukture brez celovitega načrta. Dejavnosti glede
tehnološke infrastrukture so obravnavane v letnem načrtu v okviru predvidenih projektov.
Vzdrţevanje je posledica kratkoročnih potreb, zato je tudi testno okolje kar proizvodno
okolje.
Slika 4.19: Potek procesne zrelosti
Procesna zrelost
Stopnja zrelosti
4.50
4.00
3.50
Povprečna ocena procesa
3.00
2.50
Povprečna zrelost v
panogi
2.00
1.50
Pomembnost procesa (cilj
organizacije)
1.00
0.50
0.00
1
3
5
7
9
11
13
15
17
Vir: Voglar, lastni prikaz (2014)
Na drugi strani imamo procesa 10 in 11 (DS1 in DS2), ki glede na procesno zrelost pozitivno
izstopata tudi v primerjavi s povprečjem v panogi. Proces št. 10 (DS1 – Opredelite in
upravljajte ravni storitev) rezultatsko izstopa zaradi zavedanja in zakonske zavezanosti
organizacije k ureditvi upravljanja ravni storitev. Organizacija ima opredeljen postopek za
vzpostavitev sporazuma. Izvajanje nadzornih točk je zagotovljeno v pogodbenih členih.
87
Podobno kot proces upravljanja ravni storitev se upravlja tudi proces št. 11 (DS2 – Upravljajte
storitve tretje stranke). Odnosi med dobaviteljem in organizacijo so določeni s pogodbo, ki
mora biti skladna z zakonodajo. Zato lahko nadpovprečne ocene procesne zrelosti procesov
10 in 11 pripišemo obvezujoči zakonodaji in z njo povezanimi rednimi nadzori.
Drugi pomemben dejavnik celovitega obvladovanja IT je zrelostni razkorak procesne zrelosti
(glejSliko 4.20). Če smo procesno zrelost ocenjevali glede na povprečje v panogi, zrelostni
razkorak ocenjujemo glede na pomembnost procesa v panogi. Kot vidimo iz slike, je pri
procesu številka 2 (PO 3 – Določitev tehnološke usmeritve) zaznati najniţji zrelostni
razkorak, ki pa je posledica nizke pomembnosti procesa v panogi. Glede zrelostnega
razkoraka je najbolj kritičen proces št. 6 (PO9 – Ocenjevanje in obvladovanje tveganja v IT),
ki je tudi eden najpomembnejših v panogi. Med najbolj kritičnimi procesi velja omeniti še
procese opredelitve strateškega načrta, nabave in vzdrţevanja tehnološke infrastrukture ter
proces zagotovitve upravljanja IT.
Slika 4.20: Zrelostni razkorak glede na proces
Zrelostni razkorak
4.00
3.00
Povprečna ocena procesa
Stopnja zrelosti
2.00
Povprečna zrelost v panogi:
1.00
0.00
-1.00
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
Pomembnost procesa (cilj
organizacije):
-2.00
-3.00
-4.00
Zrelostni razkorak:
Proces
Vir: Voglar, lastni prikaz (2014)
88
5. ZAKLJUČEK
Celovito obvladovanje IT po COBIT-ovem okvirju zajema 34 nadzornih procesov, ki so
razvrščeni v štiri domene. Domene tvorijo zaključen krog obvladovanja IT, ki se začne z
načrtovanjem in organiziranjem IT, nabavo in vpeljavo sistemov, izvajanjem ter podpiranjem
storitev in se zaključi s spremljanjem in vrednotenjem delovanja. Prav zaradi obseţnosti
celovitega obvladovanja IT, prepletanja ter odvisnosti od poslovnih dejavnikov, kadrovskih in
finančnih omejitev je obvladovanje IT posebej zahtevno. Teţave pri obvladovanju IT se v
obravnavani organizaciji kaţejo predvsem v pomanjkljivem sodelovanju poslovnega in IT
sektorja, slabem načrtovanju skupnih poslovnih in tehnoloških potreb, preplačanih projektih
in razdrobljenosti informacijskih sistemov.
Zato smo si v okviru raziskave zadali cilje, s katerimi smo ţeleli raziskati ali ima organizacija
ţe vzpostavljen kakšen sistem celovitega obvladovanja IT, v kolikšni meri je IT sluţba
usklajena s poslovanjem in ali IT podpira poslovanje. Zanimala nas je tudi odgovorna raba
sredstev in virov, predvsem pa s COBIT–ovim okvirjem preveriti ustreznost upravljanja
tveganj in zaznati večje razkorake obvladovanja IT pri posameznih procesih.
Skozi intervjuje smo v organizaciji zaznali veliko ţeljo po celovitem obvladovanju IT, vendar
zaradi obseţnosti obvladovanja odgovorni ne vedo, kje in kako začeti. V organizaciji se je
zaradi različnih poslovnih in tehničnih potreb razvilo veliko postopkov in neformalnih pravil,
ki pa niso dokumentirani. Delovanje IT se trenutno usklajuje s poslovnimi potrebami le na
podlagi trenutnih tehnoloških potreb v organizaciji. Skupen strateški načrt je v izdelavi, zato
se pričakuje, da bodo s potrditvijo strategije relacije na področju vodstva in IT bolje urejene.
IT sluţba glede na potrebe podpira poslovanje po svojih finančnih zmoţnostih. Poslovnih
učinkov svojega delovanja ne preverjajo, saj so storitve, ki jih organizacija opravlja, vezane
na točno določeno ceno, ki je odvisna od storitev in se ne glede na vpeljane tehnologije ne
spreminja.
IT sluţba upravlja s sredstvi, ki so bila potrjena z letnim načrtom (še vedno so ta sredstva
odvisna od trenutnih finančnih zmoţnosti) ali s sredstvi, ki se zagotovijo zaradi trenutnih
potreb organizacije. Običajno gre za namenska sredstva, zato je znotraj organizacije
vzpostavljenih več nadzorov (nabavni, inventarninadzor, potrditev direktorja, odgovorne
osebe posameznih stroškovnih mest itd.), ki preverjajo njihovo odgovorno rabo.
89
Med raziskavo smo zaznali večje zrelostne razkorake na področjih strateškega načrtovanja,
ocenjevanja in obvladovanja tveganj ter nabave in vzdrţevanje tehnološke infrastrukture. Ker
gre za zelo pomembne, tudi temeljne procese tako s poslovnega kot varnostnega vidika bo
morala organizacija temu posvetiti posebno pozornost. Veliko dejavnosti v procesih se
spontano ustrezno izvaja, vendar ker se jih ne dokumentira, je njihovo izvajanje teţko realno
ovrednotiti. S celovitim COBIT-ovim okvirjem obvladovanja IT smo uspeli preveriti vse
zastavljene cilje, s tem da smo na podlagi nadzornih ciljev in zrelostnih modelov prišli do
realnega trenutnega stanja obvladovanja IT v organizaciji.
Za potrebe raziskave smo postavili dve hipotezi. Prva hipoteza govori o tem, da vodstvo
potrebuje nadzorne cilje, saj s tem uresniči poslovne cilje, zagotovi nadzor IT, obvladuje
tveganja, vire IT, preprečuje nezaţelene dogodke in uspešno vrednoti IT investicije. Druga
hipoteza govori o IT-poslovni usmeritvi kot učinkovitem mehanizmu, ki omogoča skupnemu
timu odkrivati nove poslovne priloţnosti, izboljševati procese, sprejemati boljše skupne
odločitve in zmanjševati obratovalne stroške.
Z raziskavo smo preverili 18 ključnih procesov za organizacijo in ugotovili, da lahko obema
hipotezama pritrdimo, saj smo s postavitvijo nadzornih ciljev (prva hipoteza) prišli do
rezultatov, ki kaţejo trenutno stanje obvladovanja IT in kaj je treba narediti za njegovo
izboljšanje. Pri testiranju druge hipoteze smo iz primerov dobrih praks in nadzornih ciljev
ugotovili, da obvladovanje IT ţe dolgo ni več le v domeni IT sluţbe in da ključni procesi v
organizaciji za optimalno delovanje potrebujejo skupno IT-poslovno usmeritev, saj so
poslovni rezultati odgovornost obeh akterjev v organizaciji.
Da je procese obvladovanja IT laţe predstaviti vodstvu organizacije, smo za vsak izbrani
proces izdelali zrelostni model, kjer lahko vodstvo vidi pomembnost procesa za panogo, ki ji
pripada, in na podlagi tega ugotovi stanje procesne zrelosti organizacije glede na povprečno
zrelost procesov v isti panogi. Na podlagi zrelostnih procesov se lahko vodstvo skupaj z
vodstvom IT sluţbe dogovori o ukrepih za izboljšanje. Zrelostni modeli lahko pozneje sluţijo
kot pokazatelj (merilo) napredka oziroma uspešnosti obvladovanja IT.
90
6. LITERATURA IN VIRI
1. AHLEMANN FREDERIK, LEGNER CHRISTINE in SCHAFCZUK DANIEL
(2012)
Introduction
V:
AHLEMANN
FREDERIK,
STETTINER
ERIC,
MESSERSCHMIDT in LEGNER CHRISTINE (ur.) Strategic Enterprise Arhitecture
Management. Challenges, Best Practices and Future Developments. Springer – Verlag
Berlin Heidelberg, str. 3–33.
2. ANTHONY R. N. (1965) Planning in control: A framework for analysis. Cambridge
MA: Harvard University Press.
3. BABNIK LUKA in GROZNIK ALEŠ (2010) Vloga informatike pri izboljšanju
procesa poslovnega planiranja. Uporabna informatika, 21 (3)str. 168–174.
4. BENTLEY WILLIAM in DAVIS T. PETER (2010) Lean Six Sigma Secrets for the
CIO. CRC Press: Taylor & Francis Group.
5. BLOEM JAAP, VAN DOORN MENNO in MITTAL PIYUSH (2006) Make IT
Governance Work in a Sarbanes-Oxley World. Canada: John Wiley & Sons.
6. BRYNJOLFSSON E. (1993) The productivity paradox of information tehnology.
Communications of the ACM, 36(12)str. 67–77.
7. BROTBY KRAG (2009) Information Security Governance. A Practical Development
and Implementation Approach. Canada: John Wiley & Sons.
8. BROTBY KRAG (2006) Information Security Governance: A Guide for Boards of
Directors and Senior Management. IT Governance Institute.
9.
BROWN J. ERIC in YARBERRY A. WILLIAM, Jr (2009) CIO How to Achive
Outstanding Success through Strategic Alignment, Financial Management and IT
Governance. Boca Raton: Auerbach Publications, Taylor & Francis Group.
10. BROWN C.V. in MAGILL S.L. (1994) Alignment of the IS function with the
enterprise: Toward a model of antecedents. MIS Quarterly, 18(4) str. 371–403.
11. BTM INSTITUTE (2007) The Role of Business Technology Convergance in
Innovation and Adaptility and its Effect on Financial Performance. Business
technology Cnvergence Index.
12. CAPGEMINI (2007) Enterprise, Business and IT Architecture and the Integrated
Architecture Framework. Service Oriented Architecture – The Way We See It.
Nizozemska: Utrecht.
91
92
13. CEROVŠEK MITJA (2012) Informatika mora pokazati svojo poslovno vrednost.
Uporabna informatika, 10 (3)str. 195–201.
14. CHAN Y.E., HUFF S. L., BARCLAY D.W. in COPELAND D.G. (1997) Business
strategic orientation, information systems strategic orientation and strategic
alignment. Information Systems Research, 8(2)str. 125–150.
15. CHAN Y.E., SABHERWAL R. in THATCHER J.B. (2006) Antecedents and
outcomes of strategic IS alignment: An empirical investegation. IEEE Transactions on
Engineering Management, 51(3)str. 27–47.
16. CIO Executive Board (2008) Optimizing IT Governance: Prioritizing Critical
Capabilities for Demand Management and Value Delivery. Washington: CIO
Executive Board.
17. CLEMONS E.K. in WEBER B.W. (1990) Strategic information technology
investments: guidlines for decision making. Journal of Management Information
Systems 7(2)str. 10–31.
18. COGNIZANT (2013) Maximizing Business Value Through Effective IT Governance.
Dostopno
prek:
http://www.cognizant.com/InsightsWhitepapers/Maximizing-
Business-Value-Through-Effective-IT-Governance.pdf (21. 3. 2014).
19. CURTIN E. THOMAS (1999) Business-IT Alignment – Understanding Your Position.
IBM: Advanced Business Institute.
20. DAMIJ NADJA (2010) Revizija informacijskih sistemov. Ljubljana: Zaloţba Vega.
21. DE HAES STEVEN in VAN GREMBERGEN WIM (2010) Prioritising and linking
business goals and IT goals in the financial sector. International Journal of
IT/Business Alignment and Governance 1(2)str. 47–67.
22. DE HAES STEVEN in VAN GREMBERGEN WIM (2012) Enterprise Governance
of IT and Evolutions in COBIT: An Academic Perspective. V: ABRAMOWICS
WITOLD, DOMINQUE JOHN in WECES KRZYSZTOF (ur.) Busines Information
Systems Workshop. BIS 2012 International Workshops and Future Internet
Symposium. Springer – Verlag Berlin Heidelberg, str. 88–103.
23. DEVERAJ S. in KOHLI R. (2003) Performance impact of information technology: Is
actual usage the missing link? Management Science, 49(3)str. 273–289.
24. DEWAN S. in MIN C. (1997) The substitution of information technology for other
factors of production: A firm level analisys. Management Science, 43(12)str. 1660–
1675.
93
94
25. DE WIT B. in MEYER R. (2005) Strategy Synthesis: Revolving Strategy Paradoxes to
Create Competative Advantage. Cengage Learning EMEA.
26. GARTNER (2009) Top 10 Business and Technology Priorities in 2009. Gartner
Executive Program.
27. GOVERMENT OF ALBERTA EDUCATION (2012) Monitor
Performance.
School
Technology
Services
Online.
and Evaluate IT
Dostopno
prek:
http://www4.education.alberta.ca/media/4754/STS_SEG_gov-8_monitor-andevaluate-IT-performance.pdf(19.11.2013).
28. GROZNIK A., ŠTEMBERGER I. M. in KOVAČIČ A. (2005) Vloga menedžmenta pri
zagotavljanju poslovne vrednosti informatike. Uporabna informatika, 13(4) str. 213222.
29. HENDERSON J. C. in SIFONIS J. G. (1988) The value of strategic IS planning:
Understanding consistency, validity and IS markets. MIS Quaterly, 12(2)str. 187–200.
30. HENDERSON J. C. in VENKATRAMAN N. (1999) Strategic alignment: Leveraging
Information Tehnology for transforming organization. IBM Systems Journal, 38(2–3)
str. 472–484.
31. HERMANS A. MARIJKE, TESSA FOX in VAN ASSELT B.A. MARJOLEIN
(2012) Risk Governance. V: ROESER S., HILLERBRAND R., SANDIN P. in
PETERSON M. (ur.) Handbook of Risk Theory. Springer Science+Business Media
B.V., str. 1094–1112.
32. HUTTON AUSTIN (2012) What's Driving Adoption of IT Governance? ISACA North
Texas Chapter, oktober 11, 2012.
33. IBM (2012) Rethink risk management with strategic business planning. USA, october
2012.
34. IRANI Z. (2002) Information systems evaluation: Navigating through the problem
domain. Information Management, 40(1)str. 11–24.
35. ISACA (2007) COBIT 4.1.USA: IT Governance Institut.
36. ISACA (2008a) Val IT 2.0.USA: IT Governance Institut. Dostopno prek:
https://www.isaca.org/Pages/default.aspx (16. 1.2014).
37. ISACA (2008b) Enterprise Value: Governance of IT Investments. Getting Started
With Value Management. USA: IT Governance Institut.
38. ISACA (2008c) Enterprise Value: Governance of IT Investments. The Val IT
Framework 2.0 Extract. USA: IT Governance Institut.
95
96
39. ISACA (2009a) Risk IT. USA: IT Governance Institut. Dostopno prek:
https://www.isaca.org/Pages/default.aspx (16. 1.2014).
40. ISACA (2009b) Implementing and Continually Improving IT Governance. USA: IT
Governance Institut.
41. ISACA (2011) Global Status Report on the Governance of Enterprise IT.USA: IT
Governance Institut.
42. ISACA (2012) COBIT 5. USA: IT Governance Institut.
43. ISO/IEC 38500:2008 (2008) Corporate governance of information technology.
Dostopno prek: http://www.iso.org/iso/home.html (20. 1.2014).
44. KADRE SHAILENDRA (2011) Going Corporate: a Geek's Guide. New York:
Springer-Verlag.
45. KAPLAN R. in NORTON D. (1992) The balanced scorecard – measures that drive
performance. Harvard Business Review 70 (1)str. 71–79.
46. KEARNS G. S. in LEDERER A. L. (2003) A resource-based view of strategic IT
alignment. How knowledge sharing creates competative advantage. Decision Science,
34(1)str. 1–29.
47. KEEN P. W. (1991) Shaping the future: Business design through information
tehnology. Boston: Harvard Business School Press.
48. KIELY L. in BENZEL T. (2006) Systemic Security Management. Libertas Press.
49. KELLEY M. (1994) Productivity and information technology: The elusive connection.
Management Science, 40(11), str. 1406–1425.
50. KU BAHADOR KU MAISURAH in HAIDER ABRAR (2012) Information
Technology Skills and Competences – A Case for Professional Accountants. V:
ABRAMOWICS WITOLD, DOMINQUE JOHN in WECES KRZYSZTOF (ur.)
Busines Information Systems Workshop. BIS 2012 International Workshops and
Future Internet Symposium. Springer – Verlag Berlin Heidelberg, str. 81–88.
51. KULKARNI
MADHAV
(2003)
Applying
COBIT
Framework
in
Change
Management. ISACA: Information Systems Control Journal, Volume 5.
52. LIENTZ P. BENNET in LARSEN LEE (2004) Manage IT as a Business: How to
Achieve Alignment and Add Value to the Company. Elsevier Butterworth-Heineman.
53. LITTEN KERRY (2011) Adapting IT Governance for Today's IT Solutions. Colt IT
Managed Services.
97
98
54. LEE B. in BARUA A. (1999) An integrated assessment of productivity and efficency
impacts of information technology investments: Old data, new analysis and evidence.
J. Productivity Anal, 12(1)str.21–43.
55. LOVEMAN G.W. (1994) An Assessment of the productivity impact of the Information
Technologies. New York: Oxford University Press.
56. LUFTMAN J. (2000) Assessing business-IT alignment maturity. Communications of
AIS, 4(14)str. 1–50.
57. LUFTMAN J. in BRIER T. (1999) Achiving and sustaining business-IT alignment.
California Management Review, 42(1)str. 109–122.
58. LUFTMAN J. JERRY, LEWIS R. PAUL in OLDACH H. SCOTT (1993)
Transforming the enterprise: The alignment of business ant information technology.
IBM Systems Journal, 32(11)str. 198–221.
59. LUFTMAN J., KEMPAIAH R. in NASH E. (2005) Key issues for IT executives. MIS
Quaterly Executive, 5(2)str. 81–101.
60. LUFTMAN J., KEMPAIAH R. in RIGONI E. H. (2009) Key Issues for IT Executives
2008. MISS Quarterly Executive, 8(3)str. 151–159.
61. MANFREDA A. in ŠTEMBERGER I., M. (2011) Partnership between top
management and IT personel - is it really beyond the reach?. European, Meditteranean
& Middle Eastern Conference of Information Systems 2011 (EMOIS2011), Athens,
Greece, 30.- 31. maj 2011, str. 523–530.
62. MIKALEF PATRICK (2010) Business/IT Maturity and Alignment Issues. Utrecht
University: Institute of Information and Computing Science.
63. MOELLER R. ROBERT (2013) Executive's Guide to IT Governance. Improving
Systems Processes with Service Management, COBIT in ITIL. John Wiley & Sons.
64. MOSKAL E. (2006) Business Coutinuity Management Post 9/11 Disaster Recovery
Methodology. Disaster Recovery Journal, Vol. 19, Issue 2.
65. MORRISON C. in BERNDT E. (1991) Assessing the productivity of information
tehnology equipment in U.S. manufactoring industries. Washington: National Bureau
of Economic Research working paper, 3582.
66. NATIONAL COMPUTING CENTER (2005) IT Governance: Developing a
successfull governance strategy. A best Practice Guide for decision makers IT.
London: The IMPACT Programme.
67. NOLAN R. L. (1979) Managing the crisis in data processing. Harvard Business
Review, 52(7)str. 115–126.
99
100
68. OLUGBODE M., RICHARDS R., in BISS T. (2007) The role of information
technology in achieving the organisation’s strategic development goals: A case
study.Information Systems, 32(5) str.641–648.
69. OP 'T LAND MARTIN, PROPER ERIK, WAAGE MAARTEN, CLOO JEROEN in
STEGHUIS CLAUDIA (2007) Enterprise Architecture. Creating Value by Informed
Governance. New York: Springer-Verlag.
70. PAPP R. (1999) Business-IT alignment: Productivity paradox payoff? Management
Data Systems, 99(7-8) str. 367–373.
71. RATHNAM R.G., JOHNSEN JUSTIN in WEN H. JOSEPH (2005) Alignment of
Business Strategy and IT Strategy: A Case Study of a Fortune 50 Financial Services
Company. ProQuest Central: The Journal of Computer Information Systems.
72. REICH B. H. in BENBASAT I. (1996) Measuring the linkage between business and
information technology objectives. MISS Quarterly, 20(1)str. 55–58.
73. ROACH S. (1987) America's tehnology dilemma: A profile of the information
economy. Special Economic Study. New York: Morgan Stanley.
74. ROMERO STEVEN (2011) Eliminating »Us and Them«, using IT Governance,
Process and Behavioral Management to make it and Business »one«. New York:
Springer-Verlag.
75. ROŢANEC ALENKA in KRISPER MARJAN (2009) Kako meriti uspešnost procesa
strateškega planiranja informatike in kako povečati njegovo uspešnost.Uporabna
informatika, 17(3) str. 123–136.
76. SHACKLETT MARRY (2012) 10 IT risk management issues that are often
overlooked. TechRepublic. Dostopno prek: http://www.techrepublic.com/blog/10things/10-it-risk-management-issues-that-are-often-overlooked/ (22. 3.2014).
77. SYMONS CRAIG (2005) IT Governance framework. Structures, Processes and
Communication. Forrester Research.
78. STROUD E. ROBERT (2005) Case Study Using Cobit and ITIL to Implent IT
Governance. Computer Associates International.
79. TOGAF (2005) The Open Group Architectural Framework. Dostopno prek:
www.togaf.org (10. 2.2014).
80. TOWNSEND GERALD (2009) Financial Planning - Setting Goals. Boom Magazine,
str. 2.
101
102
81. VAN DIJK H., VAN RONGEN E., EGGERMONT G., LEBRET E., BIJKER W. in
TIMMERMANS D. (2011) The role of scientific advisory bodies in precaution-based
risk governance illustrated with the issue of uncertain health effect of elektromagnetic
fields. JRisk Res 14 (4) str.451–456.
82. VAN GREMBERGEN W., SAULL R. in DE HAES S. (2003) Linking the Balanced
Scorecard to the Business Objectives at a major Canadian Financial Group. Journal
for Information Technology Cases and Aplications, 5(1)str. 23–50.
83. VAN GREMBERGEN WIM (2004) Strategies for Information Technology
Governance. Idea Group Publishing.
84. VAN GREMBERGEN WIM, DE HAES STEVEN in Van BREMPT H. (2008)
Understanding how business goals drive IT goals. New York: Springer.
85. VAN GREMBERGEN WIN in DE HAES STEVEN (2009) Enterprise Governance of
IT: Achieving Strategic Alignment and Value. New York: Springer.
86. WARD, J. in PEPPARD, J. (2002) Strategic Planning for Information Systems. New
York: John Wiley & Sons, Third Edition.
87. WEILL PETER in ROSS W. JEANNE (2004) IT Governance: How Top Performers
Manage IT Decision Rights for Superior Results.USA:Harward Business School Press.
88. WEILL PETER in ROSS W. JEANNE (2009) IT Savvy: What Top Executives Must
Know to Go from Pain to Gain. Boston: Harvard Business Press.
89. WESTERMAN GEORGE IN TURNER RICHARD (2004) IT Risk, Turning Business
Threats into Competitive Advantage. Boston: Harvard Business School Press.
90. ZHU K., KRAEMER K.L. in DEDRICK J. (2004) Information Technology Payoff in
E-Business Environments: An International Perspective on Value Creative of EBusiness in Financial Services Industry. Journal of Management Information System,
21 (1)str. 17–54.
103
PRILOGA
Vprašanja za nadzor in obvladovanje IT
Priloga : Vprašanja za nadzor in obvladovanje IT
NAČRTUJTE IN ORGANIZIRAJTE (PO)
PO 1 Opredelite strateški načrt za IT
Potrebni dokumenti:

Poročila o stroških in koristih

Ocena tveganja

Posodobljen portfelj projektov IT

Posodobljen portfelj storitev

Poslovna strategija in prioritete

Portfelj programov izvajanja IT

Dokument obstoječega delovanja k načrtovanju IT

Poročilo o stanju obvladovanja IT (strateška usmeritev podjetja v zvezi IT)
Vprašanja PO 1:
1.1 Kako je urejeno sodelovanje IT – ja s poslovnim delom glede investicij, ki vsebujejo
IT komponento?
1.2 Kakšen je postopek upravljanja investicij v primeru večjih odstopanj v načrtu,
stroških, rokih, funkcionalnostjo?
1.3 Kako so razdeljene odgovornosti za doseganje koristi in nadzor stroškov?
1.4 Kako je vzpostavljeno vrednotenje poslovnih primerov, vključno s finančno
vrednostjo in tveganji?
2. Kako poteka sodelovanje pri usklajevanju strateškega načrtovanja glede poslovnih
potreb in potreb IT?
3. Na kakšen način ocenjujete zmoţnosti delovanja IT in izvajanja storitev v smislu
prispevanja IT k poslovnim ciljem, funkcionalnosti, stabilnosti, kompleksnosti,
stroškom, itd.?
4. Kako se upravlja in izvaja strateški načrt (prisotnost ključnih komponent)?
5. Kako se upravlja in izvaja vsebina porfelja taktičnih načrtov (postopki upravljanje
virov, projektnih načrtov itd.)?
6. Na kakšen način se upravlja vsebina portfelja IT?
PO 3 Določite tehnološko usmeritev
Potrebni dokumenti:

Strateški in taktični načrti za IT.

Optimiziran načrt poslovnih sistemov in načrt informacijske arhitekture.

Tehnološki standardi.

Dokument o delovanju in zmogljivostih.
Vprašanja PO 3:
1. Kako načrtujete tehnološke usmeritve?
2. Kako načrtujete in upravljate tehnološko infrastrukturo?
3. Kako sledite prihodnjim trendom,predpisom in tehnološkim standardom ter kako jih
vključujete v tehnološko infrastrukturo?
4. Kako deluje odbor za arhitekturo in kako zagotavljate vpeljevanje arhitekturnih
smernic ter kako preverjate njihovo skladnost?
PO 4 Opredelite procese, organizacijo in razmerja IT
Potrebni dokumenti:

Strateški in taktični načrti za IT.

Politika in postopki za osebje v sektorju IT, matrika sposobnosti in opisi del.

Ukrepi za izboljšanje kakovosti.

Načrti za odpravo tveganja v zvezi z IT.

Akcijski načrt za popravo.

Poročilo o uspešnosti nadzor IT.

Katalog pravnih in regulativnih zahtev v zvezi z upravljanjem storitev IT.

Izboljšave procesnega okvira.
Vprašanja PO 4:
1. Kako je zastavljen procesni okvir obvladovanja IT (procesna struktura IT, lastništvo,
zrelost, meritve izvedbe, cilji glede kakovosti itd.)?
2. Kako deluje odbor oziroma skupina za upravljanje strategije IT?
3. Kako deluje nadzorna skupina za IT?
4. Kako je funkcija IT umeščena v organizacijsko strukturo?
5. Kako se oblikuje organizacijska struktura IT?
6. Kako so določene vloge in zadolţitve v sluţbi IT?
7. Kako so porazdeljene zadolţitve za upravljanje kakovosti, tveganj, varnosti in
skladnosti?
8. Kako je urejeno lastništvo podatkov in sistema?
9. Kdo je pristojen za nadzor upravljanja IT storitev in kako se izvaja?
10. Kako je definirano in upravljano ključno osebje v IT?
11. Kakšne so politike in postopki za pogodbeno osebje?
12. Kako so definirana razmerja med zaposlenimi v IT in zunanjimi funkcijami (uprava,
uporabniki, dobavitelji, varnostni inţenirji, zunanji sodelavci, itd.)?
PO 7 Upravljajte človeške vire v IT
Potrebni dokumenti:


Dokument o razmerjih in organizaciji v IT.
Študija izvedljivosti poslovnih zahtev.
Vprašanja PO 7:
1. Kako je zagotovljena ustreznost razporejenosti delovne sile v sektorju IT, ki ima
sposobnosti potrebne za uresničitev ciljev organizacije?
2. Na kakšen način so določene zahtevane sposobnosti na področju IT in kako se te
sposobnosti vzdrţujejo?
3. Kako je izvedeno spremljanje in nadzor vlog, zadolţitev in pristojnosti zaposlenih v
IT?
4. Kako je poskrbljeno za stalno izobraţevanje zaposlenih, da bodo ohranili znanje,
sposobnosti upravljanja notranjih nadzor in varovanja, skladna s cilji organizacije?
5. Kako je poskrbljeno za zmanjšanje kritične odvisnosti od posameznikov in s tem
povezanim zajemom (dokumentiranjem) in prenosom znanja, v primeru nadomeščanj
in morebitnih odpovedi?
6. Kako se izvaja preverjanje preteklosti zaposlitvenih kandidatov, zaposlenih,
pogodbenikov in dobaviteljev?
7. Kako poteka ocenjevanje zaposlenih oziroma zadolţitev posameznega delovnega
mesta?
8. Ali so pripravljeni ukrepi glede sprememb delovnega mesta, zlasti glede prekinitev
delovnega razmerja (odvzem pravic do dostopa)?
PO 8 Upravljanje kakovosti
Potrebni dokumenti:



Strateški in taktični načrti IT.
Podrobni načrt upravljanja kakovosti.
Akcijski načrt za obnovo postopkov upravljanja IT.
Vprašanja PO 8:
1. Kako je vzpostavljen sistem upravljanja kakovosti v IT?
2. Kateri postopki, standardi in dobre prakse se uporabljajo za ključne procese IT (za
upravljanje kakovosti)?
3. Kako se upravljanje kakovosti odraţa na razvoj storitev in nabavo opreme?
4. V kolikšni meri se odraţa osredotočenost na stranke v procesu upravljanja kakovosti?
5. Kako se zagotavlja izvajanje načrta kakovosti in njegovo stalno izboljševanje?
6. Na kakšen način se merijo učinki izvajanja upravljanja kakovosti?
PO 9 Ocenjujte in obvladujte tveganja IT
Potrebni dokumenti:

Strateški in taktični načrti IT.

Načrt obvladovanja tveganj pri projektu.

Dokument tveganj dobavitelja.

Rezultati preskusa neprekinjenega delovanja.

Dokument varnostnih groţenj in ranljivosti.

Dokument preteklih trendov in dogodkov v zvezi tveganj.

Dokument, ki obravnava raven sprejemljivega tveganja za IT.
Vprašanja PO 9:
1. Kako je vzpostavljen okvir upravljanja tveganj?
2. Na kakšen način so identificirane okoliščine tveganja?
3. Kakšni so mehanizmi prepoznavanja tveganj?
4. Kako je voden portfelj ocenjevanja tveganj?
5. Kakšen je postopek odziva na tveganje?
6. Kako se vzdrţuje in spremlja akcijski načrt za tveganje?
KUPITE IN VPELJITE (AI)
AI 2 Kupite in vzdržujte aplikacijske programe
Potrebni dokumenti:

Podatkovni slovar, shema za razvrstitev podatkov, optimiziran načrt poslovnega
sistema.

Načrt redne posodobitve tehnologije.

Poročilo o stroških in koristih.

Standardi in smernice za nabavo in razvoj.

Smernice za vodenje projektov in evidentirani natančni projektni načrti.

Študije izvedljivosti poslovnih zahtev.

Dokumentiran opis procesa za spremembe.
Vprašanja AI 2:
1. Kako je zasnovana strategija pridobivanja programske opreme?
2. Kdo in na kakšen način definira podrobno zasnovo in tehnične zahteve
programskih aplikacij?
3. Kakšni so kriteriji za sprejem zahtev?
4. Kako se izvaja aplikacijskinadzor (ali je njena usmeritev skladna z zahtevami
revidiranja)?
5. Na kakšen način se preverja varnost in razpoloţljivost aplikacij?
6. Kakšen je postopek konfiguracije in vpeljave aplikacij?
7. Kakšen je postopek nadgradnje večjih obstoječih sistemov?
8. Kako poteka razvoj aplikacijske programske opreme?
9. Kakšni so vzvodi zagotavljanja kakovosti programske opreme?
10. Kako se upravljajo zahteve glede sprememb aplikacij?
11. Kako se dokumentira vzdrţevanje programske opreme?
AI 3 Kupite in vzdržujte tehnološko infrastrukturo
Potrebni dokumenti:

Načrt tehnološke infrastrukture, standardi in priloţnosti (redne posodobitve
tehnologije).

Standardi za nabavo in razvoj.

Smernice za vodenje projektov in podrobni projektni načrti.

Študija izvedljivosti poslovnih zahtev.

Opis procesa za spremembe.

Načrt delovanja in zmogljivosti (zahteve).
Vprašanja AI 3:
1. Kaj vsebuje načrt za nabavo, vpeljavo in vzdrţevanje informacijske infrastrukture in
kako ga izvajate?
2. Na kakšen način je izvedena zaščite in hkrati razpoloţljivost infrastrukturnih virov?
3. Kaj zajema strategija vzdrţevanja infrastrukture in na kakšen način se izvaja?
4. Ali se v organizaciji vzpostavljajo razvojna in testna okolja za testiranja komponent
infrastrukture in če, na kakšen način?
AI 4 Omogočite delovanje in uporabo
Potrebni dokumenti:

Smernice za vodenje projektov in podrobni projektni načrti.

Študija izvedljivosti poslovnih zahtev.

Dokument o potrditvi usposobljenosti upravljanja aplikacijskih programov in paketov
programske opreme.

Dokument o usposobljenosti upravljanja infrastrukture.

Dokument o identificiranih in obravnavanih napakah.

Dokumentacija o potrebnih posodobitvah.
Vprašanja AI 4:
1. Kako omogočate delovanje in uporabo operativnih rešitev (sistemov)?
2. Na kakšen način se izvaja prenos znanja iz lastništva procesov na poslovno vodstvo?
3. Na kakšen način se izvaja prenos znanja h končnemu uporabniku?
4. Na kakšen način se izvaja prenos znanja operativnemu in podpornemu osebju?
IZVAJAJTE IN PODPIRAJTE (DS)
DS 1 Opredelite in upravljajte ravni storitev
Potrebni dokumenti:

Strateški in taktični načrti za IT, portfelj storitev IT.

Opredeljena razvrstitev podatkov.

Začetni načrtovani sporazum o ravni storitev.

Začetni načrtovani dogovor o izvedbenih ravneh.

Dokument zahtev za ukrepanje v primeru katastrofe, vključno z vlogami in
zadolţitvami.

Dokument o prispevku obstoječega delovanja k načrtovanju IT.
Vprašanja DS 1:
1. Kako je dokumentiran okvir za formaliziran proces med stranko in ponudnikom za
upravljanje ravni storitev?
2. Kako so opredeljene in dokumentirane storitve IT, glede na značilnost storitev in
poslovne zahteve?
3. Kako so opredeljeni sporazumi za različne ravni storitev (ponudnik storitev –
stranke)?
4. Kako so dogovorjeni in dokumentirani dogovori o izvedbenih ravneh?
5. Kako so dogovorjeni in dokumentirani dogovori o nadzoru in poročanju o doseţenih
ravneh storitev?
6. Kakšna je periodika pregledov sporazumov o ravni storitev in pogodb?
DS 2 Upravljajte storitve tretje stranke
Potrebni dokumenti:

Strategija zagotavljanja sredstev IT.

Standardi nabave.

Pogodbeni sporazumi, zahteva glede upravljanja odnosov s tretjimi strankami
(dobavitelji, prodajalci in partnerji).

Začetni načrtovani dogovor o izvedbenih ravneh.

Dokument za primer nesreče, vključno z vlogami in zadolţitvami.
Vprašanja DS 2:
1. Kako so določeni in dokumentirani odnosi z dobavitelji?
2. Kako se upravljajo odnosi z dobavitelji (formaliziran proces)?
3. Na kakšen način se obvladujejo tveganja povezana z dobavitelji?
4. Kako se spremlja in meri izvajanja storitev?
DS 3 Upravljajte delovanje in zmogljivost
Potrebni dokumenti:

Dokument o opredelitvah razpoloţljivosti, neprekinjenosti in obnove.

Dokument o zahtevah za spremljanje sistema.

Sporazum o ravni storitev.
Vprašanja DS 3:
1. Kako je vzpostavljen proces načrtovanja delovanja in zmogljivosti?
2. Po kakšnem postopku ocenjujete trenutno delovanje in zmogljivosti?
3. Kako načrtujete prihodnje delovanje in zmogljivosti?
4. Kako zagotavljate razpoloţljivost sredstev IT (delovna obremenitev, neprekinjenost
delovanja, ţivljenjski cikel sredstev IT itd.)?
5. Kako spremljate, merite in dokumentirate upravljanje delovanja in razpoloţljivosti?
DS 5 Zagotovite varnost sistemov
Potrebni dokumenti:

Dokument o informacijski arhitekturi (izvedena razvrstitev podatkov).

Tehnološki standardi varovanja IT sistemov.

Ocena tveganja.

Dokument o opredelitvi aplikacijskega varnostneganadzora.

Dnevnik o izvedenih ravneh varovanja.
Vprašanja DS 5:
1. Kako zagotavljate upravljanje tveganj IT, v skladu s poslovnimi zahtevami?
2. Kaj vsebuje in kako izvajate načrt varovanja IT?
3. Kako upravljate identitete (notranje, zunanje, začasne)?
4. Kako upravljate uporabniške račune?
5. Kako izvajate testiranja, nadzor in spremljanje varovanja?
6. Kako opredeljujete varnostni incidenti, da jih je mogoče pozneje ustrezno razvrstiti in
obravnavati skladno s procesom obvladovanja incidentov?
7. Kako so zaščitene varnostne tehnologije pred nepooblaščenim spreminjanjem?
8. Kakšen je protokol upravljanja varnostnih ključev?
9. Kako se lotevate preprečevanja in odkrivanja zlonamernih programov?
10. Kako se upravlja mreţna varnost?
11. Kakšni so varnostni postopki pri izmenjavi občutljivih podatkov?
DS 11 Upravljajte podatke
Potrebni dokumenti:

Podatkovni slovar, dodeljena klasifikacija podatkov.

Uporabniški, produkcijski, podporni, tehnični in upravljalni priročniki.

Dogovor o ravni izvedbe.

Hranjenje varnostnih kopij in načrt zaščite.

Varnostni načrt in varnostne politike IT.
Vprašanja DS 11:
1. Kako je urejeno upravljanje podatkov s poslovnimi zahtevami?
2. Kako so dokumentirani postopki shranjevanja in hrambe podatkov?
3. Kako je vpeljan sistem za upravljanje nosilcev podatkov, da zagotovite njihovo
uporabnost in celovitost?
4. Kakšni so predpisani postopki odstranjevanja oziroma prenosa podatkov?
5. Kakšni so predpisani postopki varnostnega kopiranja in obnove podatkov?
6. Kako so opredeljene zahteve za upravljanje podatkov?
DS 12 Upravljajte fizično okolje
Potrebni dokumenti:

Dokument klasifikacije podatkov.

Ocena tveganja.

Dokument opredelitev fizičnega okolja
Vprašanja DS 12:
1. Na podlagi katerih kriterijev se izbirajo prostori za nameščanje in shranjevanje IT
opreme?
2. Kako so definirani in zavedeni ukrepi za fizično varnost (lokacija in fizična sredstva)?
3. Kakšni so postopki odobritve dostopov v IT prostore (tudi v primeru sile)?
4. Kakšni so postopki zaščite pred okoljskimi dejavniki?
5. Kako upravljate fizične zmogljivosti (vključno z električno in komunikacijsko
opremo)?
SPREMLJAJTE IN VREDNOTITE (ME)
ME 1 Spremljajte in vrednotite delovanje IT
Potrebni dokumenti:

Poročila o stroških in koristih.

Poročila o izvedbi projekta.

Poročila o stanju sprememb.

Poročila o delovanju procesov.

Načrt (zahteve) delovanja in zmoţnosti.

Poročila o zadovoljstvu uporabnikov.

Poročilo o uspešnosti nadzora IT.

Poročilo o skladnosti dejavnosti IT z zunanjimi pravnimi in regulativnimi zahtevami.

Poročilo o stanju upravljanja IT.
Vprašanja ME 1:
1. Kako pristopate k spremljanju in vrednotenju delovanja IT?
2. Na podlagi katerih kriterijev oziroma metode opredelite in zbirate podatke za
spremljanje delovanja IT?
3. Kako pogosto in na kakšen način ocenjujete delovanje IT?
4. Kako pogosto in na kakšen način poročate vodstvu o delovanju IT?
5. Kako se lotevate morebitnih korektivnih ukrepov upravljanja IT?
ME 3 Zagotovite skladnost z zunanjimi zahtevami
Potrebni dokumenti:

Zahteve glede pravne in regulativne skladnosti.

Politika IT.
Vprašanja ME 3:
1. Kako spremljate spremembe pravnih, regulativnih in pogodbenih zahtev glede
skladnosti delovanja IT?
2. Kako optimalno vpeljujete novosti glede pravnih, regulativnih in pogodbenih zahtev?
3. Na kakšen način ocenjujete skladnost delovanja z zunanjimi zahtevami?
4. Kako si zagotovite jamstvo za skladnost vašega delovanja?
5. Kako poročate oziroma dokumentirate spremembe zunanjih zahtev?
ME 4 Zagotovite upravljanje IT
Potrebni dokumenti:

Procesni okvir IT.

Poročila o stroških in koristih.

Ocena tveganja in poročanje.

Poročilo o uspešnosti nadzora IT.

Katalog pravnih in regulativnih zahtev v zvezi z izvajanjem storitev IT.
Vprašanja ME 4:
1. Kako je vzpostavljen in kako izvajate okvir upravljanja IT?
2. Kako poteka strateško usklajevanje IT s poslovno strategijo?
3. Kakšen je pristop sluţbe IT k ustvarjanju vrednosti?
4. Kako nadzorujete naloţbe, uporabo in dodelitev sredstva?
5. Kako zagotavljate sprejemljivo raven tveganja?
6. Kako merite izvedbo IT storitev?
7. Kako preverjate skladnost delovanja IT z zakoni in predpisi?