Embed Size (px)
DESCRIPTION
Revizija (re)organizacije IT. Nataša Žabkar Ljubljana, 15.06.2004. Potek. Uvod. Pomen (re)organizacije IT. Revizija (re)organizacije IT. Sklep. Izjava. - PowerPoint PPT Presentation
Citation preview
1/57
Revizija (re)organizacije IT
Nataša Žabkar
Ljubljana, 15.06.2004
2/57
Potek
Pomen (re)organizacije IT
Uvod
Revizija (re)organizacije IT
Sklep
3/57
Izjava
Razlage in komentarji, ki so predmet te predstavitve, predstavljajo poglede predavatelja in niso nujno tudi stališča, praksa ali politika podjetja, v katerem je predavatelj zaposlen.
4/57
Namen
• Predstavitev revizije (re)organizacije IT• A (Assurance): Zagotavljanje
• Preizkus COBIT QuickStart
• COBIT vs COBIT QuickStart
• Poskus oblikovanja sodila • Sodelovanje udeležencev
5/57
SNR 2410-1: Sodila za poročanje (opažanje)
• SODILA - KAJ NAJ BI OBSTAJALO : • standardi, merila ali pričakovanja, uporabljena pri izdelavi in ovrednotenju in/ali potrjevanju
• STANJE - KAJ OBSTAJA : • dejanski dokaz, ki ga je notranji revizor našel pri poteku preiskave
• RAZLOG - ZAKAJ OBSTAJA RAZLIKA : • motiv za razliko med pričakovanim in dejanskim stanjem
• POSLEDICA - VPLIV RAZLIKE: • tveganje ali izpostavljenost organizacije in/ali drugih ugotovitev, ker položaj ni skladen s sodili
6/57
Udeleženci
• Izkušnje z revizijo (re)organizacije IT • Uporaba: COBIT, COBIT QuickStart
• Sodila: Kaj naj bi obstajalo?
7/57
Organizacija (1)
Organizacija podjetja je
"sestav razmerij med ljudmi - člani podjetja,
ki zagotavlja obstoj, družbeno-ekonomske in druge značilnosti podjetja ter
smotrno uresničevanje cilja podjetja".
Lipovec, 1987, str. 34
8/57
Organizacija (2)
1.Statični del ali formalna organizacijska struktura• Tehnična struktura, • Komunikacijska struktura, • Motivacijska struktura in • Ravnalna ali oblastna struktura.
2. Dinamični del ali formalni organizacijski proces • Upravljalno-ravnalni proces.
Lipovec, 1987
9/57
Operativno tveganje
• “Tveganje izgube zaradi neustreznih ali neuspešnih notranjih postopkov, ljudi in sistemov ali zaradi zunanjih dogodkov.”
Basel Committee on Banking Supervision: “Sound Practices for the Management and Supervision of Operational Risk”,
(February 2003). www.bis.org/publ/bcbs96.pdf
10/57
7-S: Kritični dejavniki pri uresničevanju strategije
Stil
SposobnostiSodelavci
Skupnevrednote
Struktura
Strategija
Sistemi
Vir: Pascale, Athos, 1986, str. 202
11/57
Upravljanje in nadzor
Na kakšen način
(Interna in eksterna komunikacija)
Kaj(storitve)
Kdo(ljudje)
Kako(procesi)
Kje(organizacija)
Vir: Radi, 2002 (ISACA mesečni sestanek)
Upravljanje z IS
12/57
Omejitve
• SODILA• Kaj naj bi obstajalo
• COSO - Internal Control, ERM
• COBIT, COBIT-QuickStart• PO4: Opredelitev IT organizacije in odnosov
• Organizacija• PO10: Vodenje projektov
• Reorganizacija
13/57
Potek
Pomen (re)organizacije IT
Uvod
Revizija (re)organizacije IT
Sklep
14/57
Hierarhija pravil revidiranja (UL RS 96/2002, 14.11.2002)
• Prva raven (obvezno)• Predpisi državnih organov• Standardi, načela
• Druga raven (poklicna skrb)• Stališča, pojasnila in priporočila rev. sveta SIR
• Tretja raven (poklicna skrb)• Metodološka gradiva in priročniki SIR
• Četrta raven • Domača in tuja strokovna literatura• Splošno sprejeto delovanje oz. postopki delovanja revizorjev v TUJI PRAKSI, ki jih je potrdil rev. svet SIR
15/57
Revizor (RI) (1)
• Mednarodni standardi revidiranja (MSR) • 400: Ocenjevanje tveganja in notranje kontroliranje
• 8. Ureditev notranjega kontroliranja• a: kontrolno okolje
• organizacijski ustroj podjetja ter metode dodeljevanja pooblastil in odgovornosti
• b: kontrolni postopki• 9. … samo s tistimi usmeritvami in postopki … ki ustrezajo uradnim trditvam v računovodskih izkazih.
16/57
Revizor (RI) (2)
• Mednarodna stališča o revidiranju (MSR) • 1008: Ocenjevanje tveganja in notranje kontroliranje - značilnosti in upoštevanje računalniškega informacijskega sestava (RIS) oz. z računalniško informacijsko ureditvijo (RIU)
• 6. Splošne kontrole RIS vključujejo:• a: organizacijske in ravnateljske kontrole, namenjene za ustvarjanje organizacijskega okvirja delovanja RIS:
• pravila in postopke v zvezi s kontrolnimi funkcijami• ustrezno ločevanje nezdružljivih funkcij
17/57
Notranji revizor (1)
• Standardi strokovnega ravnanja pri notranjem revidiranju (SNR)• 2100-1: Narava dela
• 8. Vsa ureditev poslovanja, procesi, področje dela in dejavnosti organizacije so predmet ovrednotenj pri notranjem revidiranju.
• Pojmovnik• Obvladovalno okolje (Control Environment)
• organizacijski ustroj• dodeljevanje pooblastil in odgovornosti
18/57
Notranji revizor (2)
• CIA-III, str. 40 • Organizacija
Odobreno namerno strukturiranje vlog dodeljenih zaposlenim z namenom, da podjetje doseže cilje učinkovito in uspešno.
19/57
CIA-III, str. 40
Organiziranje je začetek kontrole.
20/57
Revizor IS (1)
• Kodeks poklicne etike revizorja IS (Revizor 1/01)• 2.2 Revizor upošteva standarde in smernice revidiranja IS, ki jih je izdal Inštitut oziroma ISACA.
• Revizor mora upoštevati smernice in uporabiti strokovno presojo glede uporabe ter mora biti pripravljen pojasniti odstopanja.
21/57
Revizor IS (2)
• ISACA - smernice: Učinek (effect) prodornih IS kontrol (01.03.2000)
• ISACA - standard 060.020 (Dokaz)• Prodorne kontrole:
• Splošne kontrole iz domen PO in M
• 1.2.6: Pri revidiranju podrobnih kontrol naj bi revizor pregledal tudi prodorne kontrole, tudi če niso v obsegu revizije.• 2.2.3: Če so prodorne kontrole slabe, obstaja velika verjetnost, da so podrobne kontrole neuspešne.• 5.2.1: … opozoriti poslovodstvo ...
22/57
COBIT
Organizacijska struktura je sestavni del kontrole in
upravljanja IT.
23/57
Potek
Pomen (re)organizacije IT
Uvod
Revizija (re)organizacije IT
Sklep
24/57
COSO - Enterprise Risk Framework
25/57
COSO - Internal Control Framework
26/57
COBIT Framework
27/57
Organizacijska struktura
• Upravljanje IT (Board Briefing on IT Governance, ISACA, 2003)
• Vodenje, organizacijske strukture in procesi, ki zagotavljajo, da IT podjetja podpira in razvija strategijo in cilje podjetja.
• Kontrola (COBIT, 2000)• Politike, postopki, prakse in organizacijske strukture, katerih namen je dati razumno zagotovilo, da bodo poslovni cilji doseženi in da bodo neželjeni dogodki preprečeni ali odkriti in odpravljeni.
28/57
Vodstvene kontrole (CIPFA, 1998)
• 01: Odgovornosti za ravnanje z IT so dobro opredeljene.
• 02: Opisi delovnih nalog jasno opisujejo obseg dolžnosti.
• 03: Standardi in navodila za vse vidike IT1 obstajajo, se nadzirajo in redno ažurirajo.
• 04: Razmejitev dolžnosti zagotavlja varno uporabo IT.
29/57
COSO - Organizacijska struktura
Vir: COSO - IC Evaluation Tools
• 1. USTREZNOST organizacijske strukture, zmožnost omogočiti tok informacij potreben za poslovanje podjetja
• 1.1 Ustreznost (de)centralizacije• 1.2 Struktura omogoča tok informacij
30/57
COBIT - Organizacijska struktura
Vir: IT Governance Implementation Guide
• PO4.2 Položaj IT v organizaciji (Organisational Placement of the IT Function)
• PO4.15 Odnosi• QS8. Opredeliti kje se lahko uporabijo storitve zunanjega
izvajalca in način kontrole
31/57
COBIT - Organizacijske enote
• PO4.1 Odbor za planiranje IT (IT Planning or Steering Committee)• DS7.2 Organizacija usposabljanja (Training organization)
• ISO17799 5.2.1: 6.2.1 Information security education and training
• DS8.1 Center za pomoč uporabnikom (Help Desk)
• ITIL: Service Desk
32/57
Likertov vedenjski model organizacije
Organizacijska teorija-filozofija
Človekovespremenljivke
sposobnostistališčapotrebe
Spremenljivkeorganizacije
ciljistruktura
tehnologija
Spremenljivke poslovne uspešnosti
Integracijski procesi
usmerjanje
organizacija in opisi delovnih mest
selekcija in ocenjevanje
priučevanje in razvijanje sposobnosti
komuniciranje in kontrola
Način nagrajevanja
Vir: Pučko, 1996, str. 265
33/57
COBIT - Delovna mesta
• PO4.12 Opisi delovnih mest (Job or Position Descriptions for Staff)
• PO4.4, PO7.3 Vloge in odgovornosti (Roles and responsibilities)
• QS 5. Dodeliti IT vloge in odgovornosti jasno, z ustreznimi pristojnostmi in razumnimi pričakovanji ter
seznaniti zaposlene z njimi. •ISO17799 2.1.3: 4.1.3 Allocation of information security responsibilities• ISO17799 5.1.1: 6.1.1 Including security in job responsibilities
34/57
COBIT - Matrika odgovornosti
COBIT ODGOVORENResponsible
PRISTOJENAuthority(delegiranje)
POROČAAccountable
PO1
PO2
…
• COBIT-AG: Zrelostni model• Nivo 3 (Opredeljen proces):
• Opredeljene vloge in odgovornosti• IT organizacija je skladna s poslovno
35/57
COSO - Odgovornosti
• 2. USTREZNOST dodelitve odgovornosti ključnega poslovodstva in njihovo razumevanje teh odgovornosti
• 2.1 Odgovornosti in pričakovanja glede poslovnih aktivnosti so jasno komunicirane poslovodstvu, ki je zadolženo za te aktivnosti.
36/57
COBIT - Odgovornosti (1)
• PO4.5 Odgovornost za zagotavljanje kakovosti (Responsibility for Quality Assurance)
• ISO 9001:2000• PO4.6 Odgovornost za logično in fizično varnost (Responsibility for Logical and Physical Security)
• ISO17799 2.1.1: 4.1.1 Management information security forum
• ISO17799 2.1.2: 4.1.2 Information security co-ordination
• QS 6. Upoštevati potrebo za dodelitev specifičnih odgovornosti na področju zagotavljanja kakovosti in varnosti IT.
37/57
COBIT - Odgovornosti (2)
• PO4.8 Lastništvo podatkov in sistemov (Data and System Ownership)
• ISO17799 4.1.1: 5.1.1 Inventory of assets
38/57
COBIT - Razmejitev dolžnosti
• PO4.9 Nadzor (Supervision)
• PO4.10 Razmejitev dolžnosti (Segregation of Duties)
• ISO17799 8.1.4: 8.1.4 Segregation of duties
• QS 7. Periodično pregledati, ali se IT vloge in odgovornosti pravilno razumejo in izvajajo. Oceniti, ali imajo zaposleni vire za uresničitev teh odgovornosti. Zavedati se, da se lahko koncentrirane vloge in odgovornosti zlorabijo.
39/57
COBIT - Quick Start: PO4
• QS 5. Dodeliti IT vloge in odgovornosti jasno, z ustreznimi pristojnostmi in razumnimi pričakovanji ter seznaniti zaposlene z njimi. (4.4)• QS 6. Upoštevati potrebo za dodelitev specifičnih odgovornosti na področju zagotavljanja kakovosti in varnosti IT. (4.5, 4.6)• QS 7. Periodično pregledati, ali se IT vloge in odgovornosti pravilno razumejo in izvajajo. Oceniti, ali imajo zaposleni vire za uresničitev teh odgovornosti. Zavedati se, da se lahko koncentrirane vloge in odgovornosti zlorabijo. (4.9, 4.10)• QS 8. Opredeliti kje se lahko uporabijo storitve zunanjega izvajalca in način kontrole (4.14, 4.15)
40/57
COBIT - Quick Start: PO4
• Upravljanje IT• Skladnost IT strategije in poslovne strategije• Doseganje vrednosti• Upravljanje IT virov• Obvladovanje performans
• Tehnologija• Arhitektura podjetja
41/57
Udeleženci
• Sodilo
• COBIT
• Kaj naj bi obstajalo (?)
42/57
Prirejeno po Internal Auditing (Sawyer, 2003)
• 1. Kaj so cilji predlagane organizacije?
• 2. Kako so ti cilji usklajeni s cilji podjetja?
• 3. Katere kontrole obstajajo, ali bi morale obstajati, da bi cilji bili uresničeni?
43/57
COSO - Enterprise Risk Framework
44/57
OpredelitevpodsistemovOpredelitev
podsistemov
Upravljanje z ISUpravljanje z ISSkrbništvoSkrbništvo
DR/BCPDR/BCP
Analiza tveganjAnaliza tveganj
Arhitektura podsistemovArhitektura podsistemov
Investicije in stroškiInvesticije in stroški
Sodilo
Vir: Prirejeno po Radi, 2002 (ISACA mesečni sestanek)
Upravljanje s kadriUpravljanje s kadri
45/57
Revizija reorganizacije IT
46/57
Revizija reorganizacije IT
• 1. Sedanja organizacija• PO4: Opredeliti IT organizacijo in odnose
• 2. Željena organizacija• PO4: Opredeliti IT organizacijo in odnose
• 3. Prehod iz sedanje v željeno organizacijo• PO10: Vodenje projektov
47/57
Model poslovodenja sprememb
Vir: Nadler, 1992, str. 64
SEDANJESTANJE
ŽELENOPRIHODNJE
STANJE
PREHODNOSTANJE
48/57
IT Service Management (itSMF, 2001)
• 1. Kje bi radi bili?• Vizija in poslovni cilji
• 2. Kje smo?• Ocena
• 3. Kako bomo prišli v 1?• Izboljšanje procesov
• 4. Kako bomo vedeli, da smo prišli v 1?• Merjenje
49/57
Poslovodenje kompleksnih sprememb
Vizija Sposobnosti
Motivacija Viri Akcijski plan SPREMEMBA
Sposobnosti
Motivacija Viri Akcijski plan ZMEDA
Vizija Motivacija Viri Akcijski plan STRAH
Vizija Sposobnosti
Viri Akcijski plan POSTOPNASPREMEMBA
Vizija Sposobnosti
Motivacija Akcijski plan FRUSTRACIJA
Vizija Sposobnosti
Motivacija Viri NAPAČENZAČETEK
Vir: Aaker, 1995, str. 745
50/57
COBIT - Quick Start: PO10: Vodenje projektov
• QS 19. Jasno opredeliti kaj mora biti doseženo, kdo bo to dosegel, kdaj in ob kakšnih stroških (10.1, 10.5, 10.7)• QS 20. Biti pozoren na težave, preprečiti jih kjer je to možno in prenesti tveganja s pogodbo, če je to koristno. (10.10)• QS 21. Stalno nadzirati rezultate projekta, stroške, čas in tveganja. (10.1, 10.7, 10.10)• QS 22. Biti jasen in ekspliciten glede prevzema končnega izdelka. (10.4, 10.2)
• www.pmi-slo.org: PMBok3 (257 strani)
51/57
COBIT - Quick Start: PO10
• Upravljanje IT• Skladnost IT strategije in poslovne strategije• Doseganje vrednosti• Obvladovanje tveganj• Obvladovanje performans
• Tehnologija• Optimizacija stroškov• Doseganje storitev• Selektivno najemanje storitev zunanjih izvajalcev• Določanje prioritet in planiranje
52/57
Potek
Pomen (re)organizacije IT
Uvod
Revizija (re)organizacije IT
Sklep
53/57
Namen
• Predstavitev revizije (re)organizacije IT• A (Assurance): Zagotavljanje
• Preizkus COBIT QuickStart
• COBIT vs COBIT QuickStart
• Poskus oblikovanja sodila • Sodelovanje udeležencev
54/57
Namen
• KAJ?• Revizija (re)organizacije IT
• ČEMU?• Operativno tveganje, poklicna skrbnost
• KJE? (VIRI)• ZDA, Slovenija
• KAKO?• Sodilo • COSO, COBIT, Radi (2002), ...
• KDO?
55/57
Vprašanja
56/57
Viri
• www.bis.org/pub/bcbs96.pdf • Basel Committee on Banking Supervision: “Sound Practices for the Management and Supervision of Operational Risk”, (February 2003). (open)
• www.coso.org• COSO - Enterprise Risk Management Framework -
Draft (open) • www.ferma-asso.org
• A Risk Management Standard (open)• www.isaca.org
• COBIT (open)• www.pmi-slo.org
• PMBok3: Project Management Book of Knowledge (open)
57/57
Viri
• www.sei.cmu.edu/cmm/• Capability Maturity Model for Software (open)
• www.sse-cmm.org/index.html• Systems security engineering - capability maturity model (open)
• www.itservicecmm.org• IT service CMM (open)
www.itsmf.com (ITIL)• Pocket Guide (Security Management, Service Management) (7-10 GBP)
