IT procesų valdymas pagal “Cobit 4.1”

Untitled

PLAN AND ORGANISE

PO 1 Strateginio IT plano sudarymas

Reikalingas sudertinti IT veiklą su organizacijos verslo strategija ir prioritetais

Atskleidžia IT galimybes ir ribotumą, apžvelgia esamą ir reikiamą veiklos būklę, apibrėžia būsimų investicijų apimtis

IT strateginis planas turi padėti valdyti įmonės strateginį planą, aiškiai nurodydamas IT privalumus, kaštus ir rizikas

Kuriamas IT ir verslo padalinių paslaugas, paslaugas numatoma įgyvendinti pačiais efektyviausiais ir ekonomiškiausiais būdais

IT strateginis planas gerai valdomas, kai:

IT planai sudaromi pagal verslo planus

IT projektai atitinka taktinį IT planą

IT taktinis planas reguliariai peržiūrimas su strateginio IT plano pakeitimais

PO 2 Informacijos architektūros nustatymas

Užtikrini IT sistemose turimos informacijos patikimumą, leidžia greitai reaguoti į verslo poreikių kitimus, sudaro sąlygas efektyviau naudoti programinę įrangą

Informacija suklasifikuojama, duomenų grupei priskiriamas savininkas, kuris rūpinasi duomenų teisingumu ir apsaugos principais

Duomenys turi būti reguliariai tikrinami (ar nesidubliuoja, ar nėra klaidingi ar prieštaringi)

PO 3 Technologinės krypties pasirinkimas

Leidžia geriau suprasti esamas ir būsimas IT galimybes, su jomis susijusias rizikas ir kaštus – padeda įmonei pasirinkti reikiamas IT paslaugas

IT teikiamas galimybes būtina reguliariai peržvelgti ir įvertinti įtaką konkurencingumui besikeičiančioje rinkoje

Būtina turėti stabilias, ekonomiškas ir standartizuotas, tarpusavyje suderintas IT sistemas, tenkinančias esamus poreikius ir lengvai adaptuojamasbūsimiems

Esminis technologinės krypties pasirinkimo akcentas – rizikos, kaštų ir naudos balansas

PO 4 IT procesai ir organizacinė struktūra

Organizacinė struktūra ir vieta verslo įmonėje užtikrina greitą paslaugų pakeitimą ar papildymą (tenkina besikeičiančius verlo poreikius)

IT padalinys valdomas aukščiausio lygmens įmonės vadovybės, IT vadovybė turi būti įtraukiama į svarbių verslo sprendimų priėmimą

Turi būti lanksti ir aiškiai suprantama kitiems padaliniams

Diegiami tvarkingi ir tinkamai dokumentuoti IT procesai ir procedūros su aiškiai apibrėžtomis rolėmis ir pareigomis

IT procedūros turi būti tinkamai integruotos į bendrus verslo procesus

Už duomenis, jų teisingumą ir apsaugą atsako verslo padalinių atstovai

Už duomenų teisingumo ir apsaugos kontrolę atsako ne tas pats žmogus, atsakingas už įvedimą ar apsaugos priemonių diegimą

Svarbiausi IT asmenys ir rolės turi turėti patikimus dublerius

PO 5 IT investicijų valdymas

IT investicijos ir biudžetas valdomi atsižvelgiant į IT paslaugų įtaką verslo pelningumui

Investicijų dydis ir prioritetai nustatomi dalyvaujant ne tik IT padalinių vadovams, bet ir verslo padalinių vadovams, aukščiausiajai įmonės vadovybei

IT biudžeto laikymasis turi būti kontroliuojamas

PO 6 Vadovybės tikslų komunikavimas

Organizacijos aukščiausioji vadovybė ir IT vadovybė pastoviai pristato savo tikslus, paslaugų privalumus ir rizikas, planuojamas IT perspektyvas visiems susijusiems įmonės darbuotojams

Komunikacija padeda pasiekti IT tikslų, užtikrina žinojimą apie verslo ir IT rizikas, tikslus ir kryptį

Užtikriną atitikimą įstatymams ir kitoms normoms

PO 7 IT žmogiškųjų resrsų valdymas

Nuo darbuotojų motyvacijos ir gebėjimų priklauso IT procesų veikimo kokybė ir rizikos valdymas

0x08 graphic0x08 graphic0x08 graphic0x08 graphicSamdymas Mokymas Vertinimas Karjera Atleidimas

Sėkmingo valdymo principai:

Sudaryti, atnaujinti mokymo ir tobulinimosi programas

Aprašyti ir išaiškinti karjeros galimybes

Skirti pareigas pagal turimus gebėjimus

Nustatyti gebėjimų vertinimo procesą

Dokumentuoti pareiginius nuostatus

Suprasti ir valdyti įmonės priklausomybę nuo atskirų darbuotojų

PO 8 Kokybės valdymas

Kokybės kontrolės sistema (užtikrinant pastovų ir pamatuojamą kokybės gerėjimą)

Reikalavimai išreikšti pamatuojamais ir pasiekiamais rodikliais

Reguliarus stebėjimas, vertinimas, analizė, neatitikimų šalinimas turi būti vykdomi pagal apibrėžtą ir kontroliuojamą planą

Reikalingas užtikrini, kad IT kuria vertę verslui, kokybės gerėjimą ir skaidrumą susijusiems asmenims

PO 9 IT rizikų nustatymas ir valdymas

Kuriamas rizikos valdymo planas (aprašoma bendra IT rizika, apie kurią visi žino ir su kuria visi sutinka)

Visiems rizikos faktoriams aprašomarizikos mažinimo strategija ir nurodomi kaštais, kuriais rizikos faktorių galima sumažinti iki priimtino lygmens

PO 10 Projektų valdymas

Dauguma naujų IT paslaugų ar esamų paslaugų patobulinimų sukuriama kaip atskirų projektų rezultatas, todėl būtina nustatyti projektų valdymo tvarką

Padeda sumažinti neplanuotus projektų kaštus, išvengti projektų nutraukimo ir padidinti suinteresuotumą projektų eiga, pasitenkinimą jų rezultatais

Projektų valdymo tvarka nusako:

Projektų iniciavimo ir finansavimo tvarką

Bendrojo projektų plano sudarymo principus

Projektų rezultatų aprašymo principus

Resursų skyrimo tvarką

Vykdymo etapais tvarką

Kokybės kontrolės principus

Testavimo ir produktų tikrinimo eigą

Galutinių vartotojų pritarimo rezultatams tvarką

ACQUIRE AND IMPLEMENT

AI 1 Automatizuotų sprendimų nustatymas

Prieš įsigyjant ar kuriant naują informacinę sistemą, būtina atlikti analizę įsitikinant, kad verslo poreikiai bus patenkinami efektyviai ir ekonomiškai

Analizės procesas:

Poreikių nustatymas

Alternatyvų palyginimas

Technologinių ir ekonominių galimybių tyrimas

Rizikos analizė

Kaštų ir naudos analizė

Galutinis sprendimas: pirkti ar kurti patiems

AI 2 Taikomųjų programų įsigyjimas

Įsigyjamos ar kuriamos atsižvelgiant į verslo poreikius, laiku, tinkamais kaštais

Užtikrinant įsigyjimo ir diegimo proceso sklandumą, reikia tinkamai išreikšti verslo poreikius; laikytis diegimo standartų; atskirti kūrimo, testavimo ir naudojimo sistemas

Būtina atsižvelgti įsigyjant,kuriant ar smarkiai keičiant:

Atitikimas pasirinktai technologinei krypčiai

Atitikimas informacijos architektūrai

Sistemos integralumas

Patikimumas, galimybė naudotis esant trukdžiams išorinėse susijusiose sistemose

AI 3 Technologinės infrastruktūros įsigyjimas

Būtina turėti technologinės infrastruktūros įsigijimo, diegimo ir atnaujinimo procesus (užtikrina pastovų technologinių verslo poreikių palaikymą)

Sudaroma/atliekama:

Technologijų pirkimo planas, atitinkantis pasirinktą technologinę kryptį

Priežiūros/atnaujinimo planai

Reguliari vidinė kontrolė, stebėjimas

AI 4 Veikimo ir naudojimo užtikrinimas

Vartotojai ir IT specialistai turi gauti tinkamą informaciją apie naujai įdiegtas sistemas

Būtina sukurti ir pateikti sistemų dokumentaciją, naudojimo vadovus, organizuoti mokymus

Verslo padalinių vadovai turi žinoti, kaip sistemą naudoti verslo sprendimų priėmimui

Aiškios vartotojams suteikiamos galimybės, patogi sistema

AI 5 IT resursų įsigijimo tvarka

IT resursai:

Žmonės

Technologinė infratruktūra (hardware)

Taikomosios programos (software)

IT paslaugos

Nustatytos procedūros užtikrina:

Įsigijimo procesas vyksta laiku, sklandžiai, ekonomiškai ir skaidriai

Atsižvelgiama į finansinius ir teisinius reikalavimus

Atitinka verslo poreikius

AI 6 Pokyčių valdymas

Pokyčiai turi būti kontroliuojami, nes daro įtaką ne tik keičiamos sistemos vietai, bet ir susijusioms sistemoms

Turi būti nustatyta pokučių inicijavimo, įvertinimo, prioritetų suteikimo ir patvirtinimo tvarka

Dažniausiai pokyčius inicijuoja verslo padaliniai, ne IT skyriai

Yra einamieji (suplanuoti ir apgalvoti) ir skubūs (taikomi esant būtinybei) pokyčiai

Prieš vykdant būtina analizuoti ir vertinti

Reikalinga pastoviai stebėti ir tikrinti, kad būtų išvengta pokyčių, kurie nepatvirtinti ir kurių paskemės neįvertintos

AI 7 Sistemų ir pokyčių diegimas

Sėkmingumas ir nauda:

Mokymų planas, vartotojų mokymai

Diegimo planas, jo laikymasis

Numatyta duomenų perkėlimo tvarka

Detalus testavimo planas

Naudoti tik po formalaus galutinio tinkamumo patvirtinimo

Įvertinama, pasinaudojus tam tikrą laiką

DELIVER AND SUPPORT

DS 1 Paslaugų lygių apibrėžimas ir valdymas

Efektyvi komunikacija tarp IT vadovų ir verslo padalinių apie paslaugų kokybę pasiekiama dokumentuojant paslaugas, jų kokybines charakteristikas, įvertinimo principus

Pastovi kontrolė, reguliarios ataskaitos apie paslaugų lygį

Sudaromas teikiamų paslaugų katalogas, apibrėžiama pasalaugų lygių valdymo organizacinė struktūra, nurodant pasalaugų tiekėjų ir gavėjų užduotis, roles, atsakomybes

Paslaugų lygių sutarties pagrindiniai akcentai:

Detalus paslaugų aprašymas

Paslaugų tiekimo valandos

Reagavimasį gedimus, paslaugų atkūrimas

Kokybinių charakteristikų apibrėžimas

Ataskaitų turinys ir dažnumas

Priedai/baudos už paslaugų lygį

Sutartčių peržiūrėjimo, keitimo tvarka

DS 2 Išorinių paslaugų valdymas

Paslaugos valdomos sutartyse su tiekėjais, nustatant roles, atsakomybę, lūkesčius gaunamoms paslaugoms

Sutartys reguliariai peržiūrimos, kad atitiktų faktinius įmonės poreikius, kaina atititktų realią rinkos situaciją)

Būtina atsižvelgti į tiekėjo kvalifikaciją, paslaugų tiekimo tęstinumo užtikrinimą, saugumo reikalavimus

Efektyvumas užtikrinamas:

Nustatant ir kategorizuojant paslaugas

Valdant išorinių tiekėjų riziką

Reguliariai stebint ir matuojant paslaugų kokybę

DS 3 Greitaveikos ir pajėgumų valdymas

Reikia stebėti, ar sistema susidoroja su darbų apimtimi, ar gali saugoti reikiamą duomenų kiekį

Sistemų pajėgumai planuojami iš anksto; sistemos apkrova stebima automatizuotai ir rankiniu būdu; prognozuojami būsimi duomenų srautai ir naujų paslaugų poreikiai

DS 4 Paslaugų tęstinumo užtikrinimas

Skirta resursų apsaugai ir sistemose esančių duomenų vientisumui

Nustatomos IT saugumo rolės, atsakomybės, standartai ir procedūros

Saugumo būklė pastoviai stebima ir tikrinama, naudojant nustatytas procedūras

Saugumo valdymo procesas:

Plano sudarymas

Vartotojų identiteto valdymas

Vartotojų paskyrų ir teisių valdymas

Saugumo technologijų apsauga

Žalingų programų (pvz. virusų) prevencinės, suradimo ir šalinimo priemonės

Perdavimotinklų saugumas

Jautrių duomenų apsikeitimo tvarka

DS 6 Kaštų nustatymas ir paskirstymas

IT padalinys turi įvertinti savo teikiamų paslaugų kainą (remiantis sąnaudomis ir varototjų poreikiais)

Vidinės kainos turi būti suprantamos, pripažintos ir mokamos verslo padalinių

Planuotas biudžetas reguliariai lyginamas su realiomis išlaidomis, analizuojami nukrypimai

DS 7 Vartotojų mokymas

Efektyvesnis IT sistemų naudojimas, mažiau kasdieno IT specialistų darbo sprendžiant problemas dėl nežinojimo

Procesai, kurie turi būti reguliariai vykdomi:

Mokymų poreikio nustatymas

Mokymų plano sudarymas

Mokymų įgyvendinimas

Mokymo rezultatų patvirtinimas

DS 8 Incidentų ir pagalbos centro valdymas

Pagalbos centras suteikia daug informacijos apie sistemų būklę vartotojų akimis ir patyrimu

Vieningo pagalbos centro kūrimas: aiški sistema vartotojams, leidžia sukaupti visą informaciją apie apie problemas ir ją analizuoti

Svarbiausias tikslas – vartotojams kuo greičiau atkurti paslaugas

Registruoti, klasifikuoti, analizuoti VISUS gaunamus pranešimus ir užklausas

Pagalbos centras – pagrindinis sutrikimų šalinimo proceso koordinatorius

Pagalbos centro darbuotojai stebi ir kontroliuoja incidentų būklę iki visiško išsprendimo ir uždarymo

DS 9 Konfigūracijos valdymas

Procesas, kurio metu sukuriama, išsaugojama ir reguliariai atnaujinama detali inforamacija apie naudojamas IT sistemas, paslaugas, dokumentaciją ir šių dalių tarpusavio sąsajas

Konfigūracijos duomenų bazė – pirminis informacijos šaltinis daugeliui kitų procesų: pagalbos centrui, problemų valdymui, pokyčių valdymui ir t.t.

DS 10 Problemų valdymas

Tikslas – surasti problemų priežastis, būdus joms pašalinti, nustatyti paslaugų teikimo ir tobulinimo būdus

Problemų nustatymas, klasifikavimas, priežasčių analizė, sprendimas

Maksimizuoja sistemos prienamumą, pagerina paslaugų kokybę, sumažina kaštus, pagerina vartotojo patogumą ir pasitenkinimą

DS 11 Duomenų valdymas

Duomenų gyvavimo ir naudojimo sąlygos (visi veiksmai turi būti procedūriškai apibrėžti ir kontroliuojami):

Surinkimas

Įvedimas

Apdorojimas

Saugojimas

Išvedimas

Sunaikinimas

Turi įtakos kitiems procesams, nes visos IT sistemos sąveikauja su duomenimis

Procesas užtiktina efektyvų lėšų panaudojimą, kartu garantuojant dokumentų tinkamumą, vientisumą, saugumą ir pasiekiamumą

Svarbūs duomenys saugojami rezervinėse kopijose, seni duomenys tinkamai sunakikinami

DS 12 Fizinės aplinkos valdymas

Tinkama fizinė aplinka IT infrastruktūrai (temperatūra, drėmė, elektrostatinio lauko nebuvimas ir pan.)

Apsauga nuo fizinės aplinkos poveikių (gaisras, užliejimas vandeniu, fizinis pažeidimas ir t.t.)

Ribojama ir kontroliuojama žmoniųfizinė prieiga

Sumažina verslo trikdymą dėl pažeistos kompiuterinės įrangos ar susižeidusio personal

DS 13 Kasdieninės veiklos valdymas

Veiksmai atliekami apibrėžtų asmenų pagal aprašytas procedūras nustatytu laiku ir periodiškumu

Preveincinė priežiūra reikalinga tiek techninei, tiek programinei įrangai

Padeda palaikyti duomenų integralumą, sumažina verslo atidėjimus ir IT veiklos kaštus.

MONITOR AND EVALUATE

ME 1 Stebėk ir vertink IT veiklą

Stebima ir vertinama ne techniniame ar IT paslaugų lygmenyje, bet aukščiausios vadovybės lygmenyje, vertinant IT indėlį į bendrą įmonės veiklą ir rezultatus

Vertinimo kriterijai suderinti su bendraisiais įmonės veiklos vertinimo kriterijais

Stebima ir vertinama:

Įtaka veiklos rezultatams (ne tik finansiniams)

ITir verslo strateginių planų vykydmas

Rizikos valdymas ir atitikimas reikalavimams

Vidinių ir išorinių vartotojų patenkinimas

Esminių IT procesų kokybė

Sėkmingą ateitį užtikrinanti veikla

ME 2 Stebėk ir vertink vidinį auditą

Tvarkos ir procedūros žinomos jas vykdyti turintiems žmonėms, procedūros vykodomos pagal aprašymą, neatitikimai šalinami

Auditas atliekamas reikiama apimtimi reikiamu laiku

Rezultatai reguliariai pristatomi aukščiausiai vadovybei

Užtikrina, kad padalinių vadovai turi reikiamas žinias ir priemones savo skyrių veiklos kontrolei

Galimas išorinis audotas, rezultatai sulyginami

ME 3 Užtikrink atitikimą reikalavimams

Neatitikimas gali padaryti finansinę žalą (baudos), žalą įvaizdžiui, vartotojų pasitikėjimui

Procesai:

Įstatymų ir kitų susijusių reikalavimų analizė, pasikeitimų stebėjimas

Pasikeitimų poveikio IT veiklai nustatymas ir įtvertinimas

Pakeitimų vidinėse procedūrose planavimas ir įgyvendinimas

Atitikimų reikalavimams stebėjimas ir ataskaitų vadovybei teikimas

ME 4 Vykdyk IT valdymą

Dalis bendro įmonės valdymo aukščiausiame lygmenyje

Ataskaitos reguliariai teikiamos suinteresuotiesiems verslo padalinių atstovams, valdybos nariams, kitiems akcininkams

Nustatoma organizacinė struktūra, procesai, vadovavimas, rolės ir atsakomybės užtikrinant, kad verslo investicijos į IT suderintos ir vykdomos atsižvelgiant į verslo strategiją ir tikslus