Privire general asupra

Guvernrii IT:
COBIT & ITIL

Adrian Munteanu
1

Guvernarea IT este definit de ITGI (IT Governance Institute)

ITGI, reprezinta ramura de cercetare a Information Systems Audit
and Control Association i consider c IT-ul i relaiile de afaceri
pot fi inca imbunatatite, avand o importanta din ce in ce mai mare in
cadrul companiilor mari si mijlocii.

COBIT (Control Objectives for Information and related Technology)

este un set de obiective de control n domeniul informaticii, acceptate pe
plan internaional, care se pot aplica n general i care sunt recunoscute
n domeniul controlului de securitate i reglementare informatic.
ITIL(IT Infrastructure Library) -ofer un limbaj comun cu termeni bine
definii pentru ele mai bune practici pentru Managementul Serviciilor IT, a
fost dezvoltat n 1980 de The Office of Government Commerce. ITIL trateaz
managementul serviciilor IT n 5 manuale: Strategia Serviciilor, Proiectarea
Serviciilor, Operarea Serviciilor, Tranziia Serviciilor, mbuntirea continu
a serviciilor.
2

Nevoia de guvernare IT este datorat provocrilor generate de o pia global

pretenioas

Securitate
Aliniera IT
cu cerinele economice

ValoareIT/Cost IT

Asigurarea
funcionrii IT
Complexitatea trebuie
administrat

Conformitatea
cu reglementrile

Organizaiile au nevoie de o abordare structurat pentru a administra astfel de

provocri.
Abordarea structurat permite ca obiectivele IT s fie bine delimitate, controalele
manageriale s fie implementate, performanele monitorizate i elimin
surprizele.
3

Necesitatea Guvernrii IT

Guvernarea ntreprinderii reprezint

un set de responsabiliti i practici
exercitate de ctre consiliul director i
managementul de la nivel executiv cu
scopul de a:

oferi o direcie strategic

asigura c obiectivele sunt atinse

determina c riscurile sunt gestionate
n mod corespunztor

verifica dac resursele ntreprinderii
sunt folosite responsabil

Guvernarea IT este definit de ITGI (IT Governance Institute)

Guvernarea IT este :

Responsabilitatea
director i a
executiv.

Consiliului
managementului

Parte integrant a managementului

ntreprinderii.
Se refer la
leadership, are n vedere structura
organizatoric i procesele de afaceri
i asigur c resursele IT din mediul
organizaional sprijin, extind
strategiile
i
obiectivele
organizaiei.

Guvernarea ntreprinderii determin Guvernarea IT

Guvernare ca termen presupune mai mult dect management, include structura organizatoric i relaiile care apar
ntre membrii sistemului informaional.

Guvernarea ntreprinderii vizeaz:

Conformitatea
Aderarea la legislaie, politici interne, cerinele
auditurilor etc.

Performan

Performana
mbuntirea profitabilitii, eficienei, eficacitii etc.

Conformitate

Consiliul director rspunde de stabilirea unor obiective pentru echilibrarea

Perfomanei i a Conformitea.

Focus Guvernan IT
Aliniere
strategic

Se concentreaz pe asigurarea legturii dintre afacere i planurile IT;

definirea, ntreinerea i validarea propunerilor de valorizare IT;
alinierea operrii IT cu operarea din cadrul organizaiei

Furnizarea
valorii

Cum se execut propunerea de valorizare IT pe parcursul ntregului ciclul de

furnizare, asigurndu-se c IT ofer avantajele anticipate comparativ cu
strategia, concentrndu-se pe optimizarea costurilor i oferirea de valoare
intrinsec TI

Managementul
resurselor

Investiii optime n IT i managementul corespunztor al resurselor IT

critice: aplicaii, informaii, infrastructur i resurse umane. Aspectele
eseniale se refer la optimizarea cunotinelor i a infrastructurii.

Managementul
Riscurilor

Necesit contientizarea riscurilor de ctre superiori, o nelegere clar a

apetitului ntreprinderii fa de riscuri, nelegerea cerinelor de
conformitate, transparen cu privire la riscurile semnificative pentru
ntreprindere i ncorporarea responsabilitilor de gestionare a riscurilor
n cadrul organizaiei

Msurarea
performanelor

Urmrirea i monitorizarea implementrii strategiei, finalizarea proiectului,

utilizarea resurselor, performana procesului de livrare a serviciilor, utiliznd,
de exemplu, balaced scorecards care traduc strategia n aciune pentru a
atinge obiective msurabile dincolo de contabilitatea convenional

S facem s funcioneze Guvernarea IT

Un proiect de implementare a guvernrii IT are succes dac:

 Facem din IT o soluie sustenabils fii capabil la nivel organizaional s faci fa
provocrilor i capcanelor induse de IT
 Ne concentrm pe mbuntirea performanelor i a avantajului competitiv i prevenirea
problemelor.
 Guvernarea IT devine o responsabilitate partajat ntre zona economic (clieni) i
furnizorul de servicii, cu implicarea total a conducerii.
 aliniem guvernarea IT cu domeniul general al guvernrii ntreprinderii.
 Consiliul director i managementul executiv trebuie s extind sfera guvernrii
ntreprinderii i s includ IT, s ofere leadership i structuri organizatorice adecvate i
s insiste pe procesele administrate i controlate corect.

Prile interesate de guvernare IT

Consiliul director

Stabilete obiectivele, monitorizeaz rezultatele i insist pe

implementarea aciunilor corective.

Managementul

Definete cerinele economice pentru IT i se asigur c

valoarea este livrat i c riscurile sunt administrate.

Managementul IT

Livreaz i mbuntete serviciile IT aa dup cum cer

procesele economice

Auditul IT

Ofer asigurri independente pentru a demonstra c IT

livreaz ce se cere, ce este nevoie

Managementul riscurilor

Msoar conformitatea cu politicile i se concentreaz pe

riscurile noi

Explicaii

Alturi de Common Criteria i BS 7799 (ISO 27001), standardul COBIT
(Control Objectives for Information and Related Technology), elaborat de
ISACA (Information Systems Audit and Control Association Asociaia
Internaional a Auditorilor de Sisteme Informatice), este cel de-al treilea
standard internaional, prin care se poate realiza dezvoltarea i creterea
securitii sistemelor informatice.

COBIT este un set de obiective de control n domeniul informaticii,

acceptate pe plan internaional, care se pot aplica n general i care sunt
recunoscute n domeniul controlului de securitate i reglementare
informatic.

10

EXPLICAII
n cursul procesului de elaborare a standardului COBIT s-au luat n calcul mai
ales considerente ale trei grupuri profesionale diferite :
Pentru persoanele de conducere la nivel nalt ofer asisten n privina
managementului de risc al mediului informatic aflat n micare continu,
respectiv n deciziile cu privire la investiiile necesare pentru crearea
controalelor;
Pentru utilizatori asigur controlul i securitatea serviciilor informatice;
Pentru controlorii sistemului de informaii creeaz o baz uniform pentru
evaluarea controalelor interne, respectiv pentru activitile de estimare i
consultare pentru management.

11

COBIT ofer un cadru de referin pentru guvernarea IT

COBIT ajut la recuperarea decalajelor dintre riscurile economice, nevoile de control i

aspectele tehnice. Acesta ofer bune practici cu ajutorul unui cadru de referin i
prezint activitile ntr-o structur uor de gestionat i logic.
COBIT:
 pornete de la cerinele economice
 este orientat pe procese, organiznd activitile IT ntr-un
model general acceptat
 identific resursele IT ce trebui extinse
 definete obiectivele de control ce trebuie avute n vedere
 incorporeaz cele mai cunoscute standarde internaionale
 a devenit un standard de facto pentru controlul TI

Resursele IT trebuie s fie gestionate de un set de procese

grupate n mod natural.
COBIT ofer un cadru de referin care atinge acest obiectiv.
12

COBIT i alte cadre de referin pentru managementul TI

Organizaiile ar trebui s ia n considerare i s foloseasc o varietate de modele,
standarde i bune practici. Acestea trebuie s fie nelese cu scopul de a lua n
considerare modul n care pot fi folosite mpreun, cu COBIT n calitate de
consolidator.
COSO

COBIT
ISO 27001
ISO 9000

CE

ITIL

CUM

Aria de acoperire

13

COSO Committee of
Sponsoring Organization

organizaie privat, voluntar care i-a propus mbuntirea calitii
raportrilor financiare prin promovarea eticii n afaceri, controlului intern
eficient i guvernarea corporatist

nfiinat n 1985 pentru a sponsoriza comisia Naional pentru Raportri
Financiare Frauduloase (SUA)

grupeaz 5 asociaii profesionale americane din domeniul financiar:
American Accounting Association, American Institute of Certified Public
Accountants, Financial Executives Institute, Institute of Internal Auditors
i National Association of Accountants (actualul Institute of Management
Accountants).

Comisia a reunit reprezentani din industrie, firme de contabilitate, firme de
investii i New York Stock Exchange
14

Cadrul de referin COBIT

Cadrul de referin COBIT a fost dezvoltat cu urmtoarele caracteristici:

 Orientat ctre afacere
 Orientat pe procese
 Bazat pe controale
 Bazat pe msurtori

O organizaie depinde de date i informaii fiabile i n timp util. Componentele COBIT ofer un cadru
de referin cuprinztor pentru furnizarea de valoare gestionnd n acelai timp riscurile i controlnd
datele i informaiile.
Resurse TI
Strategia afacerii

Procese TI
Criterii
informaionale
15

COBIT: Valoare i limite

COBIT:

A fost adoptat internaional ca good practices,

Orientat ctre management,

Este sprijinit de instrumente i instruire,

Este free.oarecum,

Este ntr-o evoluie continu,

Este ntreinut de o organizaie non profit,

Se alineaz 100% cu COSO,

Se alinieaz cu majoritatea standardelor din domeniu,

Este un referenial nu un panaceu.

Companiile trebuie s i analizeze cerinele i s adapteze COBIT pe baza:

Determinanilor valorici,

Profilului riscurilor,

Infrastructurii IT, organizaiei, portofoliului de proiecte.

16

COBIT: Avantaje
Unele din avantajele adoptrii COBIT:

COBIT este aliniat cu alte standarde i bune practici i ar trebui s fie utilizat mpreun cu
acestea

COBIT i cele mai bune practici ofer o gestionare flexibil a mediului IT dintr-o organizaie.

COBIT ofer un mediu de control, care este receptiv la nevoile afacerii i servete
managementului i auditului n ceea ce privete responsabilitile lor de control.

COBIT ofer un instrument pentru managementul activitilor TI

Pentru
atingerea

pentru

Obiectivelor
economcie

Procesele
economice

Informaii
ofer
Resurse IT i
Procese
17

Cadruld e referinCOBIT
COBIT se concentreaz pe dou zone principale:

Ofer informaiile necesare pentru a sprijini obiectivele i cerinele economice

Trateaz informaia ca rezultat al combinrii resurselor IT care trebui gestionate prin intermediul
proceselor TI
Criterii informaionale
Eficacitate
Efficien
Confidenialitate
Integritate
Disponibilitate
Conformitate
ncredere

Proces TI

Cerinele afacerii

Abordarea controlului
Resurse TI
Procese TI
Domenii
Consideraii


....

Procese
Activiti

Aplicaii
Informaii
Infrastructur
Resurse umane

18

Ce nseamn ITIL?

19

 O abordare sistematic cu scopul de a furniza

servicii IT de calitate
Cele mai bune practici pentru Managementul
Serviciilor IT
Ofer un limbaj comun cu termeni bine definii
Dezvoltat n 1980s de The Office of Government
Commerce
IT INFRASTRUCTURE LIBRARY

20

Concepte
Serviciu
- Ofer valoare pentru clieni, prin facilitarea
rezultatelor pe care acetia doresc s le
obin, fr drept de proprietate asupra
costurilor i riscurilor

Furnizori de servicii
- Interni
- Externi

21

Concepte
Nivelul serviciului
Msurarea i raportarea furnizrii serviciului n
conformitate cu unul sau mai multe obiective
Ex:
Rspuns n maxim 1 or, 24/7
Rspuns n maxim 4 ore, /5
Rspuns n doua zi de munc
Acord furnizare nivel serviciu
Acord negociat i scris ntre un Furnizor de servicii
i un Client prin care se documenteaz nivelul
serviciilor i costurile

22

Concepte
Configuration Management System (CMS)
Instrumente i baze de date folosite pentru a
administra datele furnizorului de servicii IT
Conine Configuration Management Database
(CMDB)
nregistreaz hardware, software, documentaia i orice
altceva este important pentru a asigura disponibilitatea IT

Release
Colecie de hardware, software, documentaie,
procese sau alte lucruri necesare pentru punerea n
aplicare a uneia sau mai multor modificri aprobate n
cadrul serviciilor IT
23

Concepte
Incident
O ntrerupere neplanificat a unui serviciu IT sau
o reducere neplanificat a calitii acestuia

Work-around
Reducerea sau eliminarea impactului unui
incident, fr ca acesta s fie rezolvat

Problema
Cauza necunoscut ce provoac unul sau mai
multe incidente

24

Concepte

VALOARE

UTILITATE

GARANIE
25

Concepte
Capabiliti

Resurse

Management

Capital financiar

Organizare

Infrastructur

Procese

Aplicaii

Cunotine

Informaii
Resurse Umane

26

Cei 4 P ai Managementului Serviciilor

IT
People/Persoane abiliti, instruire,
comunicare
Processes/Procese aciuni, activiti,
modificri, obiective
Products/Produse instrumente,
monitorizare, msurare, mbuntire
Partners/Parteneri furnizori specializai

27

Strategii pentru furnizarea serviciilor

Strategie

Caracteristici

In-sourcing

Toate componentele sunt interne

Out-sourcing

Resurse externe pentru zone specifice,

bine definite (ex. firma de curenie)

Co-Sourcing

Mixt ntre resurse interne i externe

Knowledge Process Outsourcing

(domain-based business expertise)

Externalizarea unor procese particulare,

cu expertiz suplimentar de la furnizor

Application Outsourcing

Gzduire extern pe servere partajate

aplicaii la cerere

Business Process Outsourcing

Externalizarea unor procese specifice, .

HR, Pli

Partnership/Multi-sourcing

Schimb de servicii pe durata ciclului de

via ntre dou sau mai multe organizaii

28

Bibliografie
Glosar termeni ITIL n limba romn ://www.best-managementpractice.com/gempdf/ITILV3_Glossary_Romanian.doc
ITIL Version 3 at a Glance, John Long ., Springer 2008
http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/TaggedPage/Tag
gedPageDisplay.cfm&TPLID=55&ContentID=31519
(resursele cu chei verde sunt accesbile fr restricii)
ncepnd din luna iunie 2010 (dat estimat) COBIT 4.1 va fi disponbil i n limba
romn datorit efortului studenilor de la Master IE!

29