Uploaded by Povilas Pakruopis

COBIT-5 res lit 1213

advertisement
Organizacijos IT
valdymo ir vadovavimo
metodika
METODIKA
Personalized Copy for: Dr. Jelena Mamcenko
METODIKA
ISACA®
Apie 95 000 narių 160 šalių turinti ISACA (www.isaca.org) yra pirmaujanti pasaulinė asociacija, skleidžianti žinias, išduodanti
sertifikatus, vienijanti bendruomenę ir užsiimanti švietimu informacinių sistemų (IS) kokybės užtikrinimo ir saugos, organizacijos IT
valdymo ir vadovavimo, su IT susijusios rizikos ir atitikties srityse. 1969 metais įsteigta ne pelno siekianti ir nepriklausoma ISACA
organizuoja tarptautines konferencijas, leidžia žurnalą ISACA® Journal, rengia tarptautinius IS audito ir kontrolės standartus, kurie
padeda jos nariams pasitikėti informacinėmis sistemomis ir gauti iš jų naudos. Ji taip pat tobulina ir tikrina IT specialistų įgūdžius ir
žinias siūlydama pasaulyje pripažintus sertifikatus: Certified Information Systems Auditor® (CISA®), Certified Information Security
Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) ir Certified in Risk and Information Systems ControlTM
(CRISCTM). ISACA nuolatos atnaujina COBIT® metodiką, padedančią IT profesionalams ir organizacijų vadovams atlikti IT valdymo
ir vadovavimo funkcijas, ypač kokybės užtikrinimo, saugos, rizikos ir kontrolės srityse, o jų veiklai tapti naudingai.
Quality Statement:
This Work is translated into Lithuanian from the English language version of COBIT® 5 by the ISACA® Lithuania Chapter with
the permission of ISACA®. The ISACA® Lithuania Chapter assumes sole responsibility for the accuracy and faithfulness of the
translation.
Pareiškimas apie kokybę:
Šį leidinį iš COBIT® 5 angliškojo leidimo į lietuvių kalbą išvertė asociacija ISACA Lietuva, gavusi ISACA® leidimą. Asociacija
ISACA Lietuva prisiima išimtinę atsakomybę už vertimo tikslumą ir patikimumą
Copyright
© 2012 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse.
Autorių teisės
© Visos teisės priklauso ISACA, 2012 m. Naudojimo gaires žiūrėkite www.isaca.org/COBITuse.
Disclaimer:
ISACA has designed this publication, COBIT® 5 (the ‘Work’), primarily as an educational resource for governance of enterprise
IT (GEIT), assurance, risk and security professionals. ISACA makes no claim that use of any of the Work will assure a successful
outcome. The Work should not be considered inclusive of all proper information, procedures and tests or exclusive of other
information, procedures and tests that are reasonably directed to obtaining the same results. In determining the propriety of any
specific information, procedure or test, readers should apply their own professional judgement to the specific GEIT, assurance, risk
and security circumstances presented by the particular systems or information technology environment.
Taikymo apribojimas – apsidraudimas nuo pretenzijų / atsakomybės
ISACA sukūrė produktą, pavadintą COBIT® 5, kaip mokymo priemonę, skirtą organizacijos IT valdymo (angl. GEIT), kokybės
užtikrinimo, rizikos valdymo ir saugos profesionalams. ISACA netvirtina, kad šio produkto naudojimas užtikrins sėkmę. Nereikia
manyti, kad šis produktas apima visus reikiamus duomenis, procedūras ir testus arba kad jame nėra kitų duomenų, procedūrų
bei testų, logiškai galvojant, reikalingų pasiekti tokiems patiems rezultatams. Nustatydami konkrečių duomenų, procedūrų ar
testų tinkamumą naudotojai turi vertinti organizacijos IT valdymo, kokybės užtikrinimo, rizikos valdymo ir saugos aplinkybes,
vadovaudamiesi savo profesine nuovoka ir atsižvelgdami į konkrečias sistemas ir informacinių technologijų aplinką.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 JAV
Tel. +1.847.253.1545
Faks. +1.847.253.1443
El. paštas [email protected]
Tinklalapis www.isaca.org
Lietuviška versija
Išleista 2013 metais, versija: 2013-10-31
Asociacija ISACA Lietuva
juridinio asmens kodas 300026101
Subačiaus g. 7
LT-01008 Vilnius
Atsiliepimus galite pateikti www.isaca.org/cobit
Dalyvaukite ISACA žinių centro (ISACA Knowledge Center) veikloje www.isaca.org/knowledge-center
Sekite ISACA per Twitter https://twitter.com/ISACANews
Prisijunkite prie COBIT pokalbių Twitter #COBIT
Prisijunkite prie ISACA per LinkedIn ISACA (Official), http://linkd.in/ISACAOfficial
Spauskite „Patinka“ ISACA Facebook paskyroje www.facebook.com/ISACAHQ
COBIT® 5
ISBN 978-1-60420-444-5
Printed in the United States of America
2
Personalized Copy for: Dr. Jelena Mamcenko
Padėkos
Padėkos
ISACA dėkoja:
COBIT 5 darbo grupei (2009–2011)
John W. Lainhart, IV, CISA, CISM, CGEIT, IBM Global Business Services, USA, Co-chair
Derek J. Oliver, Ph.D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MInstISP,
Ravenswood Consultants Ltd., UK, Co-chair
Pippa G. Andrews, CISA, ACA, CIA, KPMG, Australija
Elisabeth Judit Antonsson, CISM, Nordea Bank, Švedija
Steven A. Babb, CGEIT, CRISC, Betfair, Jungtinė Karalystė
Steven De Haes, Ph.D., University of Antwerp Management School, Belgija
Peter Harrison, CGEIT, FCPA, IBM Australia Ltd., Australija
Jimmy Heschl, CISA, CISM, CGEIT, ITIL Expert, bwin.party digital entertainment plc, Austrija
Robert D. Johnson, CISA, CISM, CGEIT, CRISC, CISSP, Bank of America, JAV
Erik H.J.M. Pols, CISA, CISM, Shell International-ITCI, Nyderlandai
Vernon Richard Poole, CISM, CGEIT, Sapphire, Jungtinė Karalystė
Abdul Rafeq, CISA, CGEIT, CIA, FCA, A. Rafeq and Associates, Indija
Plėtros grupei
Floris Ampe, CISA, CGEIT, CIA, ISO 27000, PwC, Belgija
Gert du Preez, CGEIT, PwC, Kanada
Stefanie Grijp, PwC, Belgija
Gary Hardy, CGEIT, IT Winners, Pietų Afrika
Bart Peeters, PwC, Belgija
Geert Poels, Ghent University, Belgija
Dirk Steuperaert, CISA, CGEIT, CRISC, IT In Balance BVBA, Belgija
Seminarų dalyviams
Gary Baker, CGEIT, CA, Kanada
Brian Barnier, CGEIT, CRISC, ValueBridge Advisors, JAV
Johannes Hendrik Botha, MBCS-CITP, FSM, getITright Skills Development, Pietų Afrika
Ken Buechler, CGEIT, CRISC, PMP, Great-West Life, Kanada
Don Caniglia, CISA, CISM, CGEIT, FLMI, JAV
Mark Chaplin, Jungtinė Karalystė
Roger Debreceny, Ph.D., CGEIT, FCPA, University of Hawaii at Manoa, JAV
Mike Donahue, CISA, CISM, CGEIT, CFE, CGFM, CICA, Towson University, JAV
Urs Fischer, CISA, CRISC, CPA (Swiss), Fischer IT GRC Consulting & Training, Šveicarija
Bob Frelinger, CISA, CGEIT, Oracle Corporation, JAV
James Golden, CISM, CGEIT, CRISC, CISSP, IBM, JAV
Meenu Gupta, CISA, CISM, CBP, CIPP, CISSP, Mittal Technologies, JAV
Gary Langham, CISA, CISM, CGEIT, CISSP, CPFA, Australija
Nicole Lanza, CGEIT, IBM, JAV
Philip Le Grand, PRINCE2, Ideagen Plc, Jungtinė Karalystė
Debra Mallette, CISA, CGEIT, CSSBB, Kaiser Permanente IT, JAV
Stuart MacGregor, Real IRM Solutions (Pty) Ltd., Pietų Afrika
Christian Nissen, CISM, CGEIT, FSM, CFN People, Danija
Jamie Pasfield, ITIL V3, MSP, PRINCE2, Pfizer, Jungtinė Karalystė
Eddy J. Schuermans, CGEIT, Esras bvba, Belgija
Michael Semrau, RWE Germany, Vokietija
Max Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, Australija
Alan Simmonds, TOGAF9, TCSA, PreterLex, Jungtinė Karalystė
Cathie Skoog, CISM, CGEIT, CRISC, IBM, JAV
Dejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, Kanada
Roger Southgate, CISA, CISM, Jungtinė Karalystė
Nicky Tiesenga, CISA, CISM, CGEIT, CRISC, IBM, JAV
Wim Van Grembergen, Ph.D., University of Antwerp Management School, Belgija
Greet Volders, CGEIT, Voquals N.V., Belgija
Christopher Wilken, CISA, CGEIT, PwC, JAV
Tim M. Wright, CISA, CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, Jungtinė Karalystė
Personalized Copy for: Dr. Jelena Mamcenko
3
METODIKA
Padėkos (tęsiama)
Redaktoriams ekspertams
Mark Adler, CISA, CISM, CGEIT, CRISC, Commercial Metals Company, USJAV
Wole Akpose, Ph.D., CGEIT, CISSP, Morgan State University, JAV
Krzysztof Baczkiewicz, CSAM, CSOX, Eracent, Lenkija
Roland Bah, CISA, MTN Cameroon, Kamerūnas
Dave Barnett, CISSP, CSSLP, JAV
Max Blecher, CGEIT, Virtual Alliance, Pietų Afrika
Ricardo Bria, CISA, CGEIT, CRISC, Meycor GRC, Argentina
Dirk Bruyndonckx, CISA, CISM, CGEIT, CRISC, MCA, KPMG Advisory, Belgija
Donna Cardall, Jungtinė Karalystė
Debra Chiplin, Investors Group, Kanada
Sara Cosentino, CA, Great-West Life, Kanada
Kamal N. Dave, CISA, CISM, CGEIT, Hewlett Packard, JAV
Philip de Picker, CISA, MCA, National Bank of Belgium, Belgija
Abe Deleon, CISA, IBM, JAV
Stephen Doyle, CISA, CGEIT, Department of Human Services, Australija
Heidi L. Erchinger, CISA, CRISC, CISSP, System Security Solutions, Inc., JAV
Rafael Fabius, CISA, CRISC, Urugvajus
Urs Fischer, CISA, CRISC, CPA (Swiss), Fischer IT GRC Consulting & Training, Šveicarija
Bob Frelinger, CISA, CGEIT, Oracle Corporation, JAV
Yalcin Gerek, CISA, CGEIT, CRISC, ITIL Expert, ITIL V3 Trainer, PRINCE2, ISO/IEC 20000 Consultant, Turkija
Edson Gin, CISA, CISM, CFE, CIPP, SSCP, JAV
James Golden, CISM, CGEIT, CRISC, CISSP, IBM, JAV
Marcelo Hector Gonzalez, CISA, CRISC, Banco Central Republic Argentina, Argentina
Erik Guldentops, University of Antwerp Management School, Belgija
Meenu Gupta, CISA, CISM, CBP, CIPP, CISSP, Mittal Technologies, JAV
Angelica Haverblad, CGEIT, CRISC, ITIL, Verizon Business, Švedija
Kim Haverblad, CISM, CRISC, PCI QSA, Verizon Business, ŠYvedija
J. Winston Hayden, CISA, CISM, CGEIT, CRISC, Pietų Afrika
Eduardo Hernandez, ITIL V3, HEME Consultores, Meksika
Jorge Hidalgo, CISA, CISM, CGEIT, ATC, Lic. Sistemas, Argentina
Michelle Hoben, Media 24, Pietų Afrika
Linda Horosko, Great-West Life, Kanada
Mike Hughes, CISA, CGEIT, CRISC, 123 Consultants, Jungtinė Karalystė
Grant Irvine, Great-West Life, Kanada
Monica Jain, CGEIT, CSQA, CSSBB, Southern California Edison, JAV
John E. Jasinski, CISA, CGEIT, SSBB, ITIL Expert, JAV
Masatoshi Kajimoto, CISA, CRISC, Japonija
Joanna Karczewska, CISA, Lenkija
Kamal Khan, CISA, CISSP, CITP, Saudi Aramco, Saudo Arabija
Eddy Khoo S. K., Prudential Services Asia, Malaizija
Marty King, CISA, CGEIT, CPA, Blue Cross Blue Shield NC, JAV
Alan S. Koch, ITIL Expert, PMP, ASK Process Inc., JAV
Gary Langham, CISA, CISM, CGEIT, CISSP, CPFA, Australija
Jason D. Lannen, CISA, CISM, TurnKey IT Solutions, LLC, JAV
Nicole Lanza, CGEIT, IBM, JAV
Philip Le Grand, PRINCE2, Ideagen Plc, Jungtinė Karalystė
Kenny Lee, CISA, CISM, CISSP, Bank of America, Jungtinė Karalystė
Brian Lind, CISA, CISM, CRISC, Topdanmark Forsikring A/S, Danija
Bjarne Lonberg, CISSP, ITIL, A.P. Moller - Maersk, Danija
Stuart MacGregor, Real IRM Solutions (Pty) Ltd., Pietų Afrika
Debra Mallette, CISA, CGEIT, CSSBB, Kaiser Permanente IT, JAV
Charles Mansour, CISA, Charles Mansour Audit & Risk Service, Jungtinė Karalystė
Cindy Marcello, CISA, CPA, FLMI, Great-West Life & Annuity, JAV
Nancy McCuaig, CISSP, Great-West Life, Kanada
John A. Mitchell, Ph.D., CISA, CGEIT, CEng, CFE, CITP, FBCS, FCIIA, QiCA, LHS Business Control,
Jungtinė Karalystė
Makoto Miyazaki, CISA, CPA, Bank of Tokyo-Mitsubishi, UFJ Ltd., Japonija
4
Personalized Copy for: Dr. Jelena Mamcenko
Padėkos
Padėkos (tęsiama)
Redaktoriams ekspertams (tęsiama)
Lucio Augusto Molina Focazzio, CISA, CISM, CRISC, ITIL, Independent Consultant, Kolumbija
Christian Nissen, CISM, CGEIT, FSM, ITIL Expert, CFN People, Danija
Tony Noblett, CISA, CISM, CGEIT, CISSP, JAV
Ernest Pages, CISA, CGEIT, MCSE, ITIL, Sciens Consulting LLC, JAV
Jamie Pasfield, ITIL V3, MSP, PRINCE2, Pfizer, Jungtinė Karalystė
Tom Patterson, CISA, CGEIT, CRISC, CPA, IBM, JAV
Robert Payne, CGEIT, MBL, MCSSA, PrM, Lode Star Strategy Consulting, Pietų Afrika
Andy Piper, CISA, CISM, CRISC, PRINCE2, ITIL, Barclays Bank Plc, Jungtinė Karalystė
Andre Pitkowski, CGEIT, CRISC, OCTAVE, ISO27000LA, ISO31000LA,
APIT Consultoria de Informatica Ltd., Brazilija
Dirk Reimers, Hewlett-Packard, Vokietija
Steve Reznik, CISA, ADP, Inc., JAV
Robert Riley, CISSP, University of Notre Dame, JAV
Martin Rosenberg, Ph.D., Cloud Governance Ltd., Jungtinė Karalystė
Claus Rosenquist, CISA, CISSP, Nets Holding, Danija
Jeffrey Roth, CISA, CGEIT, CISSP, L-3 Communications, JAV
Cheryl Santor, CISSP, CNA, CNE, Metropolitan Water District, JAV
Eddy J. Schuermans, CGEIT, ESRAS bvba, Belgija
Michael Semrau, RWE Germany, Vokietija
Max Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, Australija
Alan Simmonds, TOGAF9, TCSA, PreterLex, Jungtinė Karalystė
Dejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, Kanada
Jennifer Smith, CISA, CIA, Salt River Pima Maricopa Indian Community, JAV
Marcel Sorouni, CISA, CISM, CISSP, ITIL, CCNA, MCDBA, MCSE, Bupa Australia, Australija
Roger Southgate, CISA, CISM, Jungtinė Karalystė
Mark Stacey, CISA, FCA, BG Group Plc, Jungtinė Karalystė
Karen Stafford Gustin, MLIS, London Life Insurance Company, Kanada
Delton Sylvester, Silver Star IT Governance Consulting, Pietų Afrika
Katalin Szenes, CISA, CISM, CGEIT, CISSP, University Obuda, Vengrija
Halina Tabacek, CGEIT, Oracle Americas, JAV
Nancy Thompson, CISA, CISM, CGEIT, IBM, JAV
Kazuhiro Uehara, CISA, CGEIT, CIA, Hitachi Consulting Co., Ltd., Japonija
Rob van der Burg, Microsoft, Nyderlandai
Johan van Grieken, CISA, CGEIT, CRISC, Deloitte, Belgija
Flip van Schalkwyk, Centre for e-Innovation, Western Cape Government, Pietų Afrika
Jinu Varghese, CISA, CISSP, ITIL, OCA, Ernst & Young, Kanada
Andre Viviers, MCSE, IT Project+, Media 24, Pietų Afrika
Greet Volders, CGEIT, Voquals N.V., Belgija
David Williams, CISA, Westpac, Naujoji Zelandija
Tim M. Wright, CISA, CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, Jungtinė Karalystė
Amanda Xu, PMP, Southern California Edison, JAV
Tichaona Zororo, CISA, CISM, CGEIT, Standard Bank, Pietų Afrika
ISACA Direktorių tarybai
Tarptautiniam prezidentui Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retired), JAV
Viceprezidentui Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Graikija
Viceprezidentui Gregory T. Grocholski, CISA, The Dow Chemical Co., JAV
Viceprezidentui Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Australija
Viceprezidentui Niraj Kapasi, CISA, Kapasi Bangad Tech Consulting Pvt. Ltd., Indija
Viceprezidentui Jeff Spivey, CRISC, CPP, PSP, Security Risk Management, Inc., JAV
Viceprezidentui Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Australija
Buvusiam tarptautiniui prezidentui Emil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd. (retired), JAV
Buvusiam tarptautiniui prezidentui Lynn C. Lawton, CISA, CRISC, FBCS CITP, FCA, FIIA, KPMG Ltd.,
Rusijos Federacija
Direktoriui Allan Neville Boardman, CISA, CISM, CGEIT, CRISC, CA (SA), CISSP, Morgan Stanley, Jungtinė Karalystė
Direktoriui Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belgija
Personalized Copy for: Dr. Jelena Mamcenko
5
METODIKA
Padėkos (tęsiama)
Žinių tarybai
Pirmininkui Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belgija
Michael A. Berardi Jr., CISA, CGEIT, Bank of America, JAV
John Ho Chi, CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP, Singapūras
Phillip J. Lageschulte, CGEIT, CPA, KPMG LLP, JAV
Jon Singleton, CISA, FCA, Auditor General of Manitoba (retired), Kanada
Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, Prancūzija
Metodikos komitetui (2009-2012)
Pirmininkui Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, Prancūzija
Buvusiam viceprezidentui Georges Ataya, CISA, CISM, CGEIT, CRISC, CISSP,
Solvay Brussels School of Economics and Management, Belgija
Steven A. Babb, CGEIT, CRISC, Betfair, JK
Sushil Chatterji, CGEIT, Edutech Enterprises, Singapūras
Sergio Fleginsky, CISA, Akzo Nobel, Urugvajus
John W. Lainhart, IV, CISA, CISM, CGEIT, CRISC, IBM Global Business Services, JAV
Mario C. Micallef, CGEIT, CPAA, FIA, Malta
Anthony P. Noble, CISA, CCP, Viacom, JAV
Derek J. Oliver, Ph.D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MInstISP,
Ravenswood Consultants Ltd., Jungtinė Karalystė
Robert G. Parker, CISA, CA, CMC, FCA, Deloitte & Touche LLP (retired), Kanada
Rolf M. von Roessing, CISA, CISM, CGEIT, CISSP, FBCI, Forfa AG, Šveicarija
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Australija
Robert E. Stroud, CGEIT, CA Inc., JAV
Speciali padėka
ISACA Los Andželo skyriui už finansinę paramą
ISACA ir IT Governance Institute® (ITGI®) susijusioms organizacijoms ir rėmėjams
American Institute of Certified Public Accountants
Commonwealth Association for Corporate Governance Inc.
FIDA Inform
Information Security Forum
Institute of Management Accountants Inc.
ISACA skyriams
ITGI France
ITGI Japan
Norwich University
Solvay Brussels School of Economics and Management
Strategic Technology Management Institute (STMI) of the National University of Singapore
University of Antwerp Management School
Enterprise GRC Solutions Inc.
Hewlett-Packard
IBM
Symantec Corp.
Asociacija ISACA Lietuva dėkoja prisidėjusiems išleidžiant lietuvišką versiją:
Viliui Benečiui, informatikos ir telekomunikacijų mokslų daktarui, CISA, CRISC, UAB BAIP
Rimgaudui Gamuliui, Lietuvos Respublikos valstybės kontrolė
Dainiui Jakimavičiui, matematikos mokslų daktarui, CGEIT, COBIT® 5 Approved Trainer,
Lietuvos Respublikos valstybės kontrolė
Živilei Kindurytei, Lietuvos Respublikos valstybės kontrolė
Ievai Mačiulaitienei, UAB “Vertimai”
Dianai Seredokaitei, Finansų ministerija
Henrikui Šavelai, CISA, CISM, CGEIT, CRISC, Nacionalinė mokėjimo agentūra prie Žemės ūkio ministerijos
6
Personalized Copy for: Dr. Jelena Mamcenko
Turinys
Turinys
Paveikslėlių sąrašas. ...................................................................................................................................................................9
COBIT 5: Organizacijos IT valdymo ir vadovavimo metodika.........................................................................................11
Santrauka...................................................................................................................................................................................13
1 skyrius. COBIT 5 apžvalga. .................................................................................................................................................15
Leidinio apžvalga...................................................................................................................................................................16
2 skyrius. 1 principas – suinteresuotųjų šalių poreikių atitiktis.........................................................................................17
Įvadas......................................................................................................................................................................................17
COBIT 5 tikslų hierarchija.....................................................................................................................................................17
1 etapas. Suinteresuotųjų šalių veiksnių įtaka suinteresuotųjų šalių poreikiams.............................................................17
2 etapas. Suinteresuotųjų šalių poreikių įtaka organizacijos tikslams.............................................................................17
3 etapas. Organizacijos tikslų įtaka IT tikslams...............................................................................................................18
4 etapas. IT tikslų įtaka realizavimo priemonių tikslams................................................................................................18
COBIT 5 tikslų hierarchijos naudojimas...............................................................................................................................20
COBIT 5 tikslų hierarchijos nauda..................................................................................................................................20
COBIT 5 tikslų hierarchijos atsargus naudojimas...........................................................................................................20
COBIT 5 tikslų hierarchijos naudojimas praktikoje........................................................................................................20
IT valdymo ir vadovavimo klausimai....................................................................................................................................21
Kaip rasti atsakymus į šiuos klausimus...........................................................................................................................22
3 skyrius. 2 principas – taikymas visai organizacijai...........................................................................................................23
Valdymo metodas...................................................................................................................................................................23
Valdymo realizavimo priemonės......................................................................................................................................24
Valdymo apimtis..............................................................................................................................................................24
Funkcijos, veikla ir ryšiai.................................................................................................................................................24
4 skyrius. 3 principas – vieningos integruotos metodikos taikymas. .................................................................................25
COBIT 5 vieninga integruota metodika. ...............................................................................................................................25
5 skyrius. 4 principas – holistinis metodo taikymas.............................................................................................................27
COBIT 5 realizavimo priemonės...........................................................................................................................................27
Sisteminis valdymas ir vadovavimas naudojant tarpusavyje susietas realizavimo priemones. ..........................................27
COBIT 5 realizavimo priemonių perspektyvos. ...................................................................................................................28
Realizavimo priemonių perspektyvos..............................................................................................................................28
Realizavimo priemonių veiklos valdymas.......................................................................................................................29
Realizavimo priemonių praktinis pavyzdys..........................................................................................................................29
6 skyrius. 5 principas – valdymo ir vadovavimo skirtumai. ...............................................................................................31
Valdymas ir vadovavimas. .....................................................................................................................................................31
Valdymo ir vadovavimo sąveika............................................................................................................................................31
COBIT 5 procesų informacinis modelis................................................................................................................................32
7 skyrius. Įgyvendinimo gairės................................................................................................................................................35
Įvadas......................................................................................................................................................................................35
Organizacijos konteksto svarba. ............................................................................................................................................35
Tinkamos aplinkos kūrimas. ..................................................................................................................................................36
Silpnųjų vietų ir apie pokyčių poreikį įspėjančių įvykių nustatymas...................................................................................36
Pokyčių įgalinimas.................................................................................................................................................................37
Gyvavimo ciklo metodas. ......................................................................................................................................................37
Pirmieji žingsniai: projekto pagrindimas...............................................................................................................................38
Personalized Copy for: Dr. Jelena Mamcenko
7
METODIKA
8 skyrius. COBIT 5 procesų gebos modelis...........................................................................................................................41
Įvadas......................................................................................................................................................................................41
COBIT 4.1 brandos modelio ir COBIT 5 procesų gebos modelio skirtumai ......................................................................41
Praktiniai skirtumai. ...............................................................................................................................................................43
Pokyčių nauda. .......................................................................................................................................................................44
Procesų gebos vertinimas taikant COBIT 5 metodiką..........................................................................................................45
A priedas. Šaltiniai....................................................................................................................................................................47
B priedas. Išsami informacija apie organizacijos tikslų ir IT tikslų sąsajas.....................................................................49
C priedas. Išsami informacija apie IT tikslų ir IT procesų sąsajas....................................................................................51
D priedas. Suinteresuotųjų šalių poreikiai ir organizacijos tikslai. ...................................................................................55
E priedas. COBIT 5 sąsajos su pagrindiniais taikomais standartais ir metodikomis. ....................................................57
Įvadas......................................................................................................................................................................................57
COBIT 5 ir ISO/IEC 38500...................................................................................................................................................57
ISO/IEC 38500 principai.................................................................................................................................................57
ISO/IEC 38500: vertinti, nustatyti kryptį ir stebėti..........................................................................................................60
Palyginimas su kitais standartais. ..........................................................................................................................................60
ITIL® V3 2011 ir ISO/IEC 20000....................................................................................................................................60
ISO/IEC 27000 standartų šeima.......................................................................................................................................60
ISO/IEC 31000 standartų šeima.......................................................................................................................................60
TOGAF®..........................................................................................................................................................................60
Gebos brandos modelių integracija (CMMI) (kūrimas)..................................................................................................61
PRINCE2®.......................................................................................................................................................................61
F priedas. COBIT 5 informacijos modelio ir COBIT 4.1 informacijos kriterijų palyginimas.......................................63
G priedas. COBIT 5 realizavimo priemonių išsamus aprašymas..................................................................................... 65
Įvadas......................................................................................................................................................................................65
Realizavimo priemonių perspektyvos..............................................................................................................................65
Realizavimo priemonių veiklos valdymas.......................................................................................................................66
COBIT 5 realizavimo priemonės: principai, politika ir metodikos......................................................................................67
COBIT 5 realizavimo priemonės: procesai...........................................................................................................................69
Realizavimo priemonės veiklos valdymas.......................................................................................................................70
Procesų realizavimo priemonės praktinis pavyzdys........................................................................................................71
COBIT 5 procesų informacinis modelis..........................................................................................................................71
COBIT 5 realizavimo priemonės: organizacinės struktūros.................................................................................................75
COBIT 5 realizavimo priemonės: kultūra, etika ir elgsena. .................................................................................................79
COBIT 5 realizavimo priemonės: informacija......................................................................................................................81
Įvadas. Informacijos ciklas..............................................................................................................................................81
COBIT 5 informacijos realizavimo priemonės................................................................................................................81
COBIT 5 realizavimo priemonės: paslaugos, infrastruktūra ir taikomosios programos. ....................................................85
COBIT 5 realizavimo priemonės: žmonės, įgūdžiai ir kompetencija. .................................................................................87
H priedas. Terminų žodynas....................................................................................................................................................89
8
Personalized Copy for: Dr. Jelena Mamcenko
Paveikslėlių sąrašas
Paveikslėlių sąrašas
1 pav. COBIT 5 produktų grupė. .............................................................................................................................................. 11
2 pav. COBIT 5 principai.......................................................................................................................................................... 13
3 pav. Valdymo tikslas – vertės kūrimas. ................................................................................................................................. 17
4 pav. COBIT 5 tikslų hierarchijos apžvalga. .......................................................................................................................... 18
5 pav. COBIT 5 organizacijos tikslai........................................................................................................................................ 19
6 pav. IT tikslai.......................................................................................................................................................................... 19
7 pav. IT valdymo ir vadovavimo klausimai............................................................................................................................ 22
8 pav. Valdymas ir vadovavimas COBIT 5 metodikoje........................................................................................................... 23
9 pav. Pagrindinės funkcijos, veikla ir ryšiai ........................................................................................................................... 24
10 pav. COBIT 5 vieninga integruota metodika. ..................................................................................................................... 25
11 pav. COBIT 5 produktų grupė. ............................................................................................................................................ 26
12 pav. COBIT 5 organizacijos realizavimo priemonės.......................................................................................................... 27
13 pav. COBIT 5 realizavimo priemonės: bendrasis modelis. ................................................................................................ 28
14 pav. COBIT 5 valdymo ir vadovavimo sąveika.................................................................................................................. 31
15 pav. COBIT 5 pagrindinės valdymo ir vadovavimo sritys................................................................................................. 32
16 pav. COBIT 5 procesų informacinis modelis...................................................................................................................... 33
17 pav. Septyni įgyvendinimo gyvavimo ciklo etapai............................................................................................................. 37
18 pav. COBIT 4.1 brandos modelio schema. ......................................................................................................................... 41
19 pav. COBIT 5 procesų gebos modelio schema................................................................................................................... 42
20 pav. Brandos lygių (COBIT 4.1) ir procesų gebos lygių (COBIT 5) palyginimo lentelė. ................................................ 44
21 pav. Brandos požymių (COBIT 4.1) ir procesų atributų (COBIT 5) palyginimo lentelė.................................................. 44
22 pav. COBIT 5 organizacijos tikslų ir IT tikslų sąsajos........................................................................................................ 50
23 pav. COBIT 5 IT tikslų ir procesų sąsajos........................................................................................................................... 52
24 pav. COBIT 5 organizacijos tikslų ir valdymo ir vadovavimo klausimų sąsajos.............................................................. 55
25 pav. Kitų standartų ir metodikų COBIT 5 aprėptis............................................................................................................. 61
26 pav. COBIT 4.1 informacijos kriterijų COBIT 5 atitikmenys............................................................................................ 63
27 pav. COBIT 5 realizavimo priemonės: bendrasis modelis. ................................................................................................ 65
28 pav. COBIT 5 realizavimo priemonės: principai, politika ir metodikos............................................................................ 67
29 pav. COBIT 5 realizavimo priemonės: procesai................................................................................................................. 69
30 pav. COBIT 5 pagrindinės valdymo ir vadovavimo sritys................................................................................................. 73
31 pav. COBIT 5 procesų informacinis modelis...................................................................................................................... 74
32 pav. COBIT 5 realizavimo priemonės: organizacinės struktūros....................................................................................... 75
33 pav. COBIT 5 funkcijos ir organizacinės struktūros........................................................................................................... 76
34 pav. COBIT 5 realizavimo priemonės: kultūra, etika ir elgsena. ....................................................................................... 79
35 pav. COBIT 5 metaduomenys: informacijos ciklas............................................................................................................ 81
36 pav. COBIT 5 realizavimo priemonės: informacija............................................................................................................ 81
37 pav. COBIT 5 realizavimo priemonės: paslaugos, infrastruktūra ir taikomosios programos. .......................................... 85
38 pav. COBIT 5 realizavimo priemonės: žmonės, įgūdžiai ir kompetencija. ....................................................................... 87
39 pav. COBIT 5 įgūdžių kategorijos....................................................................................................................................... 88
Personalized Copy for: Dr. Jelena Mamcenko
9
METODIKA
Specialiai paliktas tuščias lapas
10
Personalized Copy for: Dr. Jelena Mamcenko
COBIT 5: Organizacijos IT valdymo ir
vadovavimo metodika
COBIT 5: Organizacijos IT valdymo ir
vadovavimo metodika
COBIT 5 leidinyje yra aprašoma COBIT 5 metodika, skirta organizacijos IT valdymui ir vadovavimui. Šis leidinys yra
COBIT 5 produktų grupės dalis (1 paveikslėlis).
1 pav. COBIT 5 produktų grupė
COBIT® 5
COBIT 5 realizavimo priemonių gairės
COBIT® 5.
Procesų realizavimo priemonės
COBIT® 5.
Informacijos realizavimo priemonės
Kitos realizavimo
priemonių gairės
COBIT® 5.
Kokybės
užtikrinimas
Kitos profesionalams
skirtos gairės
COBIT 5 profesionalams skirtos gairės
COBIT® 5. Įgyvendinimas
COBIT® 5.
Informacijos
sauga
COBIT® 5.
Rizikos valdymas
COBIT 5 internetinė bendradarbiavimo aplinka
COBIT 5 metodika parengta remiantis penkiais pagrindiniais detaliai aprašytais principais, paaiškinančiais, kaip naudoti
organizacijos IT valdymo (angl. governance) ir vadovavimo (angl. management) realizavimo priemones.
COBIT 5 produktų grupę sudaro šie produktai:
• COBIT 5. Organizacijos IT valdymo ir vadovavimo metodika (šis leidinys),
•C
OBIT 5 realizavimo priemonių gairės, kuriose išsamiai aptariamos valdymo ir vadovavimo realizavimo priemonės.
Šias gaires sudaro:
– COBIT 5. Procesų realizavimo priemonės (angl. COBIT 5: Enabling Processes),
– COBIT 5. Informacijos realizavimo priemonės (angl. COBIT 5: Enabling Information),
– kitos realizavimo priemonių gairės (žr. www.isaca.org/cobit);
• COBIT 5 profesionalams skirtos gairės, kurios apima:
– COBIT 5. Įgyvendinimas (angl. COBIT 5 Implementation),
– COBIT 5. Informacijos sauga (angl. COBIT 5 for Information Security),
– COBIT 5. Kokybės užtikrinimas (angl. COBIT 5 for Assurance),
– COBIT 5. Rizikos valdymas (angl. COBIT 5 for Risk),
– kitas profesionalams skirtas gaires (žr. www.isaca.org/cobit);
• internetinė bendradarbiavimo aplinka, skirta naudoti COBIT 5.
Personalized Copy for: Dr. Jelena Mamcenko
11
METODIKA
Specialiai paliktas tuščias lapas
12
Personalized Copy for: Dr. Jelena Mamcenko
Santrauka
Santrauka
Informacija yra pagrindinis visų organizacijų išteklius, todėl technologijos yra svarbios nuo informacijos sukūrimo
iki jos sunaikinimo. Informacinės technologijos nuolat tobulėja ir vis plačiau naudojamos organizacijose, socialinėje,
viešojoje ir verslo aplinkoje.
Todėl šiandien organizacijoms ir jų vadovams yra svarbu:
• valdyti kokybišką informaciją, reikalingą veiklos sprendimams priimti;
• gauti veiklos vertę, naudojant investicijas į IT, t. y. pasiekti strateginius tikslus ir gauti naudą iš vykdomos veiklos
rezultatyviai ir pažangiai naudojant IT;
• tobulinti veiklą, patikimai ir efektyviai naudojant technologijas;
• valdyti su IT susijusią riziką, išlaikant ją organizacijai priimtiname lygyje;
• optimizuoti IT paslaugų ir technologijų sąnaudas;
• atitikti nuolat griežtėjančius įstatymų, taisyklių, sutarčių ir politikos reikalavimus.
Pastarąjį dešimtmetį „valdymo“ sąvoka tampa viena svarbiausių verslo įžvalgų, ir tai lėmė tiek gero valdymo naudą
parodantys pavyzdžiai, tiek ir didelės verslo nesėkmės.
Sėkmingai veiklą vykdančios organizacijos suvokia, kad valdytojai ir vadovai turi naudoti IT kaip ir bet kurią kitą svarbią
veiklos sritį. Siekdami, kad IT taptų organizacijos bendrojo valdymo ir vadovavimo objektu, už veiklą ir IT atsakingi
valdytojai ir vadovai privalo tarpusavyje bendradarbiauti. Be to, siekiant geriau reguliuoti šią sritį, vis daugiau priimama
teisės aktų ir įgyvendinama reglamentų.
COBIT 5 yra išsami metodika ir padeda organizacijoms siekti IT valdymui ir vadovavimui keliamų tikslų. Kitaip tariant,
ši metodika padeda organizacijoms sukurti optimalią vertę naudojant IT, išlaikant pusiausvyrą tarp siekiamos naudos,
optimalaus rizikos valdymo ir išteklių naudojimo. COBIT 5 suteikia galimybę organizacijai valdyti ir tvarkyti IT holistiniu
būdu, apimant visą veiklą ir IT funkcines atsakomybės sritis, atsižvelgiant į su IT susijusius vidaus ir išorės suinteresuotųjų
šalių poreikius. COBIT 5 yra bendroji metodika, pritaikoma įvairių dydžių komercinėms, ne pelno siekiančioms ar viešojo
sektoriaus organizacijoms.
2 pav. COBIT 5 principai
1. Suinteresuotųjų
šalių poreikių
atitiktis
5. Valdymo ir
vadovavimo
skirtumai
4. Holistinis
metodo
taikymas
2. Taikymas
visai
organizacijai
COBIT 5
principai
3. Vieningos
integruotos
metodikos
taikymas
Personalized Copy for: Dr. Jelena Mamcenko
13
METODIKA
COBIT 5 remiasi penkiais pagrindiniais organizacijos IT valdymo ir vadovavimo principais (parodyta 2 pav.):
• 1 principas – suinteresuotųjų šalių poreikių atitiktis. Organizacijos tikslas yra sukurti vertę suinteresuotosioms
šalims išlaikant pusiausvyrą tarp gaunamos naudos ir rizikos bei naudojamų išteklių optimizavimo. COBIT 5 siūlo visus
reikiamus procesus ir kitas realizavimo priemones, reikalingas veiklos vertei sukurti, naudojant IT. Kadangi organizacijos
siekia skirtingų tikslų, kiekviena organizacija gali priderinti COBIT 5 atsižvelgdama į savo organizacijos kontekstą
ir naudodama tikslų hierarchiją, bendruosius organizacijos tikslus išreikšdama valdomais ir specifiniais IT tikslais ir
sugretindama juos su konkrečiais procesais ir praktika.
• 2 principas – taikymas visai organizacijai. COBIT 5 suderina organizacijos IT valdymą su bendruoju organizacijos
valdymu:
– metodika aprašo visas organizacijos funkcijas ir procesus. COBIT 5 yra taikoma ne vien tik IT funkcijai, pagal šią
metodiką informacija ir susijusios technologijos laikomos turtu, kurį reikia tvarkyti kaip ir bet kokį kitą organizacijos
turtą;
– metodikos požiūriu, visos IT valdymo ir vadovavimo realizavimo priemonės yra kompleksinės ir taikomos visai
organizacijai, t. y. apima visus vidaus ir išorės elementus, susijusius su organizacijos IT valdymu ir vadovavimu.
• 3 principas – vieningos integruotos metodikos taikymas. Yra daug IT sričiai taikomų standartų ir gerųjų praktikų,
aprašančių, kaip turi būti valdoma tam tikra IT sritis. COBIT 5 yra suderinta su kitais standartais ir metodikomis
bendrųjų reikalavimų lygmenyje, todėl gali būti naudojama kaip visa apimanti organizacijos IT valdymo ir vadovavimo
metodika.
• 4 principas – holistinis metodo taikymas. Rezultatyviam ir efektyviam organizacijos IT valdymui ir vadovavimui
reikia holistinio metodo taikymo, apimančio keletą sąveikaujančių komponentų. COBIT 5 pateikia realizavimo
priemonių rinkinį, skirtą organizacijos IT visapusiškos valdymo ir vadovavimo sistemos įgyvendinimui. Realizavimo
priemonės plačiąja prasme apibrėžiamos kaip bet kokios priemonės, galinčios padėti pasiekti organizacijos tikslus.
COBIT 5 metodikoje išskiriamos septynios realizavimo priemonių kategorijos:
– principai, politika ir metodikos,
– procesai,
– organizacinės struktūros,
– kultūra, etika ir elgsena,
– informacija,
– paslaugos, infrastruktūra ir taikomosios programos,
– žmonės, įgūdžiai ir kompetencijos.
• 5 principas – valdymo ir vadovavimo skirtumai. COBIT 5 metodikoje valdymas aiškiai atskirtas nuo vadovavimo.
Šios dvi sritys apima skirtingas veiklos rūšis, joms reikia skirtingų organizacinių struktūrų ir jos siekia skirtingų tikslų.
COBIT 5 metodikos požiūriu, esminis skirtumas tarp valdymo ir vadovavimo yra toks:
– Valdymas
Valdymu užtikrinama, kad nustatant suderintus ir sutartus siekiamus organizacijos tikslus, būtų įvertinami
suinteresuotųjų šalių poreikiai, sąlygos ir alternatyvos; nustatoma kryptis, iškeliant prioritetus ir priimant
sprendimus; vykdoma veiklos ir atitikties sutartai krypčiai ir tikslams stebėsena.
Daugelyje organizacijų bendrasis valdymas yra pirmininko vadovaujamos direktorių tarybos kompetencija. Didesnėse
organizacijose konkretūs valdymo įgaliojimai gali būti perduodami atitinkamo lygio specialioms organizacinėms
struktūroms.
– Vadovavimas
Vadovybė, vadovaudamasi valdymo struktūros nustatyta kryptimi ir siekdama organizacijos tikslų, planuoja,
formuoja, vykdo ir stebi veiklą.
Daugelyje organizacijų vadovavimas tenka generalinio direktoriaus vadovaujamų vadovų atsakomybei.
Visi šie penki principai kartu leidžia organizacijoje sukurti efektyvią valdymo ir vadovavimo aplinką, kurioje investicijos į
informaciją ir technologijas optimizuojamos ir panaudojamos suinteresuotųjų šalių naudai.
14
Personalized Copy for: Dr. Jelena Mamcenko
skyrius
COBIT 5 apžvalga
1
1
skyrius
COBIT 5 apžvalga
COBIT 5 pateikiamos atnaujintos ISACA gairės, skirtos IT organizacijos valdymui ir vadovavimui. Gairės parengtos
remiantis daugiau kaip 15 metų patirtimi, kurią daugelis organizacijų ir vartotojų sukaupė naudodami ir taikydami
COBIT veiklos, IT ir rizikos ir saugos valdymo ir kokybės užtikrinimo srityse. Svarbiausios COBIT 5 kūrimo priežastys
buvo šios:
• suteikti didesniam suinteresuotųjų šalių skaičiui galimybę pasakyti, ko jos tikisi iš informacijos ir susijusių technologijų
(kokios naudos, esant kokiam priimtinam rizikos lygiui, ir kokiomis sąnaudomis) ir kokie yra jų prioritetai, siekiant
realaus vertės sukūrimo. Vieni siekia pelno artimiausiu metu, kiti – ilgalaikio tvarumo. Vieni būtų pasirengę smarkiai
rizikuoti, kiti – ne. Šiems įvairiems, kartais prieštaringiems lūkesčiams reikia rasti rezultatyvius sprendimus. Be to, šios
suinteresuotosios šalys nori ne tik būti labiau įtrauktos į procesus, tačiau ir daugiau skaidrumo, kaip tai vyks ir kaip bus
pasiekti realūs rezultatai;
• reaguoti į nuolat didėjančią organizacijos sėkmės priklausomybę nuo išorės veiklos ir IT partnerių, pavyzdžiui, išorės
specialistų, tiekėjų, konsultantų, klientų, debesų kompiuterijos ir kitų paslaugų teikėjų, ir nuo įvairiapusio vidaus
priemonių ir mechanizmų pasirinkimo numatytai vertei sukurti;
• valdyti smarkiai padidėjusį informacijos kiekį. Kaip organizacijos pasirenka tinkamą ir patikimą informaciją, kuri lemtų
efektyvius ir rezultatyvius veiklos sprendimus? Informaciją taip pat reikia rezultatyviai tvarkyti ir tam gali padėti į
rezultatą orientuotas informacijos modelis;
• valdyti vis plačiau naudojamas IT, kurios tampa sudėtine veiklos dalimi. Daugeliu atvejų nebepakanka IT valdyti
atskirai, net jeigu jos su veikla yra suderintos. IT turi būti sudėtinė veiklos projektų, organizacinių struktūrų, rizikos
valdymo, politikos, įgūdžių, procesų ir pan. dalis. Tiek IT vadovo, tiek IT funkcijos plečiasi. Vis daugiau veiklos
funkcijas vykdančių darbuotojų turi IT įgūdžių ir dalyvauja, arba dalyvaus, priimant IT sprendimus ir vykdant IT veiklą.
IT ir veikla turės būti labiau integruotos;
• pateikti tolesnes gaires inovacijų ir naujai atsirandančių technologijų srityje. Tai susiję su kūrybingumu, išradimų, naujų
produktų kūrimu, esamų produktų atnaujinimu, kad jie būtų patrauklūs esamiems, taip pat ir būsimiems klientams.
Inovacijos skatina produktų kūrimo modernizavimą, kad gamybos ir tiekimo grandžių procesai pateiktų rinkai produktus
greičiau, efektyviau ir kokybiškiau;
• apimti visas veiklos ir IT funkcines sritis ir visus aspektus, lemiančius organizacijos IT rezultatyvų valdymą ir
vadovavimą, pavyzdžiui, organizacines struktūras, politiką ir kultūrą, taip pat ir procesus;
• geriau kontroliuoti naudotojų inicijuotus ir valdomus IT sprendimus;
• pasiekti, kad organizacijoje būtų:
– kuriama vertė, rezultatyviai ir pažangiai naudojant organizacijos IT,
– veiklos atstovai patenkinti IT veikla ir paslaugomis,
– laikomasi įstatymų, taisyklių, sutarčių ir vidaus politikos reikalavimų,
– geresni ryšiai tarp veiklos poreikių ir IT tikslų;
• susieti ir, jei tikslinga, būti suderintai su kitomis rinkoje esančiomis svarbiomis metodikomis ir standartais, pavyzdžiui,
IT infrastruktūros biblioteka (angl. Information Technology Infrastructure Library (ITIL®)), organizacijų architektūros
metodologijomis (pvz., The Open Group Architecture Forum (TOGAF®)), su projektų valdymu susijusių žinių visumos
vadovu (angl. Project Management Body of Knowledge (PMBOK®)), projektų valdomoje aplinkoje metodika (angl.
Projects IN Controlled Environments 2 (PRINCE2®)), Tredvėjaus (James C. Treadway) komisijos organizacijų-rėmėjų
komiteto (angl. Committee of Sponsoring Organizations of the Treadway Commission (COSO )) vidaus kontrolės
modeliu ir Tarptautinės standartizacijos organizacijos (angl. International Organization for Standardization (ISO ))
standartais. Tai padėtų suinteresuotosioms šalims suprasti, kokią poziciją viena kitos atžvilgiu užima įvairios metodikos,
gerosios praktikos ir standartai ir kaip juos galima naudoti kartu;
• sujungti visas svarbiausias ISACA metodikas ir gaires, pirmiausia COBIT, Val IT ir Risk IT, taip pat atsižvelgiant į
Veiklos modelį informacijos saugai (angl. Business Model for Information Security (BMIS )), IT kokybės užtikrinimo
metodiką (angl. IT Assurance Framework (ITAF )), leidinį „Informacija tarybai apie IT valdymą“ (angl. Board Briefing
on IT Governance )) ir išteklių „Skatinant valdymą“ (angl. Taking Governance Forward (TGF )), tokiu būdu, kad COBIT
5 galėtų būti taikoma visai organizacijai ir sudarytų galimybę kitas ir būsimas metodikas, standartus ir praktikas sujungti
į vieningą visumą.
Būsimi produktai ir gairės, apimantys įvairius skirtingų suinteresuotųjų šalių poreikius, bus kuriami remiantis pagrindine
COBIT 5 žinių baze. Tai bus nuolatinis procesas, išlaikantis COBIT 5 architektūrą aktualia. Naujausius COBIT 5
produktus galima rasti ISACA tinklalapio COBIT puslapiuose (www.isaca.org/cobit).
Personalized Copy for: Dr. Jelena Mamcenko
15
Leidinio apžvalga
COBIT 5 metodiką sudaro dar septyni skyriai:
• 2 skyriuje smulkiau paaiškinamas 1 principas – suinteresuotųjų šalių poreikių atitiktis. Šiame skyriuje pateikiama
COBIT 5 tikslų hierarchija. Organizacijos tikslai naudojami suinteresuotųjų šalių poreikiams formalizuoti ir
sisteminti. Organizacijos tikslai yra siejami su IT tikslais, o IT tikslai yra pasiekiami optimaliai naudojant ir vykdant
visas realizavimo priemones, įskaitant procesus. Šis susijusių tikslų rinkinys vadinamas COBIT 5 tikslų hierarchija.
Skyriuje taip pat pateikiami tipinių valdymo ir vadovavimo klausimų, kurių gali kilti suinteresuotosioms šalims apie
organizacijos IT, pavyzdžiai.
• 3 skyriuje smulkiau paaiškinamas 2 principas – taikymas visai organizacijai. Šiame skyriuje paaiškinama, kaip
COBIT 5 integruoja organizacijos IT valdymą į organizacijos valdymą, apimdama visas organizacijos funkcijas ir
procesus.
• 4 skyriuje smulkiau paaiškinamas 3 principas – vieningos integruotos metodikos taikymas ir trumpai apibūdinama
integravimą leidžianti pasiekti COBIT 5 architektūra.
• 5 skyriuje smulkiau paaiškinamas 4 principas – holistinis metodo taikymas. Organizacijos IT valdymas yra
sisteminis, jį užtikrina realizavimo priemonių visuma. Šiame skyriuje supažindinama su realizavimo priemonėmis ir
vieninga realizavimo priemonių architektūra – bendruoju realizavimo priemonių modeliu.
• 6 skyriuje smulkiau paaiškinamas 5 principas – valdymo ir vadovavimo skirtumai, aptariamas skirtumas tarp
vadovavimo ir valdymo ir tai, kaip jie yra susiję. Pateikiamas pavyzdys – bendrasis COBIT 5 procesų informacinis
modelis.
• 7 skyrius yra Įgyvendinimo gairių įvadas. Jame aprašoma, kaip turi būti kuriama tinkama aplinka, parenkamos
reikalingos realizavimo priemonės, nustatomos tipinės silpnosios vietos ir apie pokyčių poreikį įspėjantys įvykiai
bei taikomas įgyvendinimo ir nuolatinio tobulinimo gyvavimo ciklas. Šis skyrius yra pagrįstas leidiniu COBIT® 5.
Įgyvendinimas, kuriame galima rasti išsamią informaciją, kaip įgyvendinti organizacijos IT valdymą pagal COBIT 5.
• 8 skyriuje smulkiau paaiškinamas COBIT 5 procesų gebos modelis, taikomas COBIT vertinimo programos (www.
isaca.org/cobit-assessment-programme) schemoje, kuo jis skiriasi nuo COBIT 4.1 procesų brandos vertinimo ir kaip
naudotojai gali pereiti prie naujo modelio.
Prieduose pateikiamos nuorodos į šaltinius, informacija apie sąsajas ir išsamesnė informacija konkrečiomis temomis:
• A priedas. Šaltiniai, naudoti rengiant COBIT 5.
• B priedas. Išsami informacija apie organizacijos tikslų ir IT tikslų sąsajas parodo, kaip organizacijos tikslus
paprastai remia vienas ar daugiau IT tikslų.
• C priedas. Išsami informacija apie IT tikslų ir IT procesų sąsajas parodo, kaip COBIT procesai remia IT tikslų
pasiekimą.
• D priedas. Suinteresuotųjų šalių poreikiai ir organizacijos tikslai parodo, kaip tipiniai suinteresuotųjų šalių
poreikiai yra susiję su COBIT 5 organizacijos tikslais.
• E priedas. COBIT 5 sąsajos su pagrindiniais taikomais standartais ir metodikomis.
• F priedas. COBIT 5 informacijos modelio ir COBIT 4.1 informacijos kriterijų palyginimas.
• G priedas. COBIT 5 realizavimo priemonių išsamus aprašymas pratęsia 5 skyrių ir pateikia daugiau detalios
informacijos apie skirtingas realizavimo priemones, įskaitant detalų realizavimo priemonių modelį apibūdinančius
specifinius komponentus. Šiame priede pateikta daug pavyzdžių.
• H priedas. Terminų žodynas
16
Personalized Copy for: Dr. Jelena Mamcenko
skyrius
1 principas – suinteresuotųjų šalių poreikių atitiktis
2
2
1
skyrius
principas – suinteresuotųjų šalių poreikių atitiktis
Įvadas
Organizacijos tikslas yra kurti vertę suinteresuotosioms šalims, todėl bet kuriai organizacijai – komercinei ar
nekomercinei – vertės kūrimas yra vienas iš valdymo tikslų. Vertės kūrimas – tai siekimas gauti naudos optimaliai
naudojant išteklius ir optimizuojant riziką (žr. 3 pav.). Nauda gali būti įvairaus pobūdžio, pvz., finansinė komercinėms
organizacijoms ar kaip viešoji paslauga valstybiniams subjektams.
3 pav. Valdymo tikslas – vertės kūrimas
daro įtaką
Suinteresuotųjų
šalių poreikiai
Valdymo tikslas – vertės kūrimas
Naudos
siekimas
Rizikos
optimizavimas
Išteklių
optimizavimas
Organizacijos turi daug suinteresuotųjų šalių ir „vertės kūrimas“ kiekvienai iš jų gali reikšti skirtingus, kartais net
prieštaringus dalykus. Valdymas – tai derybos ir sprendimų priėmimas, atsižvelgiant į skirtingus suinteresuotųjų šalių
interesus dėl vertės. Todėl valdymo sistema, priimdama sprendimus dėl naudos, rizikos ir išteklių vertinimo, turėtų
atsižvelgti į visus suinteresuotųjų šalių interesus. Prieš priimant kiekvieną sprendimą būtų galima ir reikėtų užduoti šiuos
klausimus: Kam tai yra naudinga? Kas prisiima riziką? Kokių išteklių reikia?
COBIT 5 tikslų hierarchija
Kiekviena organizacija veikia skirtingame kontekste, kurį apibrėžia išorės (rinka, pramonė, geopolitika ir pan.) ir vidaus
(kultūra, organizacija, priimtinas rizikos lygis ir pan.) veiksniai, ir kuriam reikia priderintos valdymo ir vadovavimo sistemos.
Suinteresuotųjų šalių poreikiai turi būti susieti su į rezultatus orientuota organizacijos strategija. COBIT 5 tikslų
hierarchija yra mechanizmas, skirtas suinteresuotųjų šalių poreikiams susieti su konkrečiais, į rezultatus orientuotais ir
specifiniais organizacijos tikslais, IT tikslais ir realizavimo priemonių tikslais. Tokia sąsaja leidžia nustatyti konkrečius
tikslus kiekvienam organizacijos lygmeniui ir kiekvienai sričiai, išlaikant bendruosius tikslus ir suinteresuotųjų šalių
reikalavimus, ir palaikyti rezultatyvų organizacijos poreikių ir IT sprendimų bei paslaugų suderinimą.
COBIT 5 tikslų hierarchija pateikta 4 pav.
1 etapas. Suinteresuotųjų šalių veiksnių įtaka suinteresuotųjų šalių poreikiams
Suinteresuotųjų šalių poreikiams įtaką daro daugelis veiksnių, pvz., strategijos pokyčiai, besikeičianti veiklos ir
reguliavimo aplinka, naujos technologijos.
2 etapas. Suinteresuotųjų šalių poreikių įtaka organizacijos tikslams
Suinteresuotųjų šalių poreikiai gali būti aprašyti bendrųjų organizacijos tikslų rinkinyje. Tokie organizacijos tikslai buvo
išskirti naudojant subalansuotos rodiklių sistemos (BSC)1 perspektyvas, jie pateikiami dažniausiai naudojamų tikslų,
kuriuos organizacija gali nusistatyti, sąraše. Nors šis sąrašas nėra baigtinis, dauguma organizacijoms būdingų tikslų gali
būti lengvai susieti su vienu ar daugiau bendrųjų organizacijos tikslų. Suinteresuotųjų šalių poreikių ir organizacijos tikslų
lentelė yra pateikta D priede.
1
Kaplan, Robert S.; David P. Norton; The Balanced Scorecard: Translating Strategy Into Action, Harvard University Press, USA, 1996
Personalized Copy for: Dr. Jelena Mamcenko
17
METODIKA
4 pav. COBIT 5 tikslų hierarchijos apžvalga
Suinteresuotųjų šalių veiksniai
(aplinka, technologijų plėtra, ...)
daro įtaką
Suinteresuotųjų šalių poreikiai
Naudos
siekimas
Rizikos
optimizavimas
Išteklių
optimizavimas
daro įtaką
Organizacijos tikslai
D priedas
5 pav.
daro įtaką
IT tikslai
B priedas
6 pav.
daro įtaką
C priedas
Realizavimo priemonių tikslai
COBIT 5 apibrėžia 17 bendrųjų tikslų, kaip parodyta 5 pav., kuriame pateikta ši informacija:
• BSC perspektyvos, pagal kurias yra sugrupuoti organizacijos tikslai,
• organizacijos tikslai,
• ryšys su trimis pagrindiniais valdymo tikslais – naudos siekimu, rizikos ir išteklių optimizavimu. (P reiškia pagrindinį
ryšį, A – antraeilį ryšį, t. y. silpnesnį ryšį.)
3 etapas. Organizacijos tikslų įtaka IT tikslams
Organizacijos tikslams pasiekti reikia įvairių IT rezultatų2 , kurie yra apibrėžti kaip IT tikslai. Čia „IT tikslai“ reiškia
informacijos ir susijusių technologijų tikslus ir yra grupuojami pagal IT subalansuotos rodiklių sistemos (IT BSC)
perspektyvas. COBIT 5 nustato 17 IT tikslų, nurodytų 6 pav.
IT tikslų ir organizacijos tikslų sąsajų lentelė yra pateikta B priede. Joje parodyta, kaip kiekvieną organizacijos tikslą
veikia keli IT tikslai.
4 etapas. IT tikslų įtaka realizavimo priemonių tikslams
Kad būtų pasiekti IT tikslai, reikia sėkmingai taikyti ir naudoti keletą realizavimo priemonių. Realizavimo priemonių
koncepcija yra išsamiai paaiškinta 5 skyriuje. Realizavimo priemonės apima procesus, organizacines struktūras ir
informaciją, o kiekvienai realizavimo priemonei gali būti nustatytas konkrečių, susijusių tikslų rinkinys, turintis įtakos
IT tikslams.
Procesai yra viena iš realizavimo priemonių. C priede pateiktos sąsajos tarp IT tikslų ir juos atitinkančių COBIT 5 procesų,
kurie savo ruožtu turi savo tikslus.
2
I T rezultatai akivaizdžiai nėra vien tik tiesioginė nauda, reikalinga organizacijos tikslams pasiekti. Visos kitos organizacijos funkcinės sritys, pavyzdžiui,
finansai ir rinkodara, taip pat padeda siekti organizacijos tikslų, tačiau COBIT 5 kontekste atsižvelgiama tik į IT veiklą ir tikslus.
18
Personalized Copy for: Dr. Jelena Mamcenko
skyrius
1 principas – suinteresuotųjų šalių poreikių atitiktis
2
5 pav. COBIT 5 organizacijos tikslai
Ryšys su valdymo tikslais
BSC perspektyva
Finansinė
Kliento
Organizacijos tikslas
Naudos
siekimas
1. Veiklos investicijų vertė suinteresuotosioms šalims
P
2. Konkurencingų produktų ir paslaugų portfelis
P
Rizikos
Išteklių
optimizavimas optimizavimas
P
A
3. Valdoma veiklos rizika (turto apsaugojimas)
P
A
4. Išorės teisės aktų ir taisyklių laikymasis
P
5. Finansinis skaidrumas
P
6. Į klientą orientuoto aptarnavimo kultūra
P
7. Veiklos paslaugų tęstinumas ir prieinamumas
Vidaus (procesų)
A
A
A
P
8. Lankstus reagavimas į besikeičiančią veiklos aplinką
P
9. Informacija pagrįstas strateginių sprendimų priėmimas
P
A
P
P
10. Paslaugų teikimo sąnaudų optimizavimas
P
P
11. Veiklos procesų funkcionalumo optimizavimas
P
P
12. Veiklos procesų sąnaudų optimizavimas
P
P
13. Valdomos veiklos pokyčių programos
P
14. Veiklos ir darbuotojų produktyvumas
P
15. Vidaus politikos laikymasis
Mokymosi ir augimo
A
P
A
P
P
16. Kvalifikuoti ir motyvuoti darbuotojai
A
17. Produkto ir veiklos pažangos kultūra
P
P
P
6 pav. IT tikslai
BSC perspektyva
Finansinė
Informacijos ir susijusių technologijų tikslas
1. IT ir veiklos strategijos suderinimas
2. IT srities išorės teisės aktų ir taisyklių laikymasis ir parama veiklai, laikantis šių normų
3. Vadovybės įsipareigojimas priimti su IT susijusius sprendimus
4. Valdoma IT veiklos rizika
5. Nauda, gauta iš IT įgalintų investicijų ir paslaugų portfelio
6. IT sąnaudų, naudos ir rizikos skaidrumas
Kliento
7. IT paslaugų teikimas atsižvelgiant į veiklos poreikius
8. Taikomųjų programų, informacijos ir technologijų sprendimų tinkamas taikymas
Vidaus (procesų)
9. IT lankstumas
10. Informacijos, apdorojančios infrastruktūros ir taikomųjų programų saugumas
11. IT turto, išteklių ir gebos optimizavimas
12. Veiklos procesų realizavimas ir parama, į juos integruojant taikomąsias programas ir technologijas
13. Reikalavimus bei kokybės standartus atitinkančių naudingų programų vykdymas laiku ir neviršijant biudžeto
14. Patikimos ir sprendimų priėmimui naudingos informacijos prieinamumas
15. IT atitiktis vidaus politikai
Mokymosi ir augimo
16. Kompetentingi ir motyvuoti veiklos ir IT darbuotojai
17. Veiklos pažangai skirtos žinios, patirtis ir iniciatyvos
Personalized Copy for: Dr. Jelena Mamcenko
19
METODIKA
COBIT 5 tikslų hierarchijos naudojimas
COBIT 5 tikslų hierarchijos nauda
Tikslų hierarchija3 yra svarbi, nes leidžia nustatyti organizacijos IT valdymo įgyvendinimo, tobulinimo ir kokybės
užtikrinimo prioritetus, remiantis organizacijos (strateginiais) tikslais ir susijusia rizika. Praktikoje tikslų hierarchija:
• nustato aktualius ir konkrečius tikslus ir uždavinius įvairiuose atsakomybės lygiuose,
• naudodama organizacijos tikslus, filtruoja COBIT 5 žinių bazę, ieškodama tinkamų gairių, kuriomis bus naudojamasi
konkrečiuose įgyvendinimo, tobulinimo ar kokybės užtikrinimo projektuose,
• aiškiai nustato ir pagrindžia, kodėl, siekiant organizacijos tikslų, yra svarbios (operatyvaus pobūdžio) realizavimo
priemonės.
COBIT 5 tikslų hierarchijos atsargus naudojimas
Tikslų hierarchija – ir jos sąsajų tarp organizacijos tikslų ir IT tikslų, tarp IT tikslų ir COBIT 5 realizavimo priemonių
(įskaitant procesus) lentelės – nėra universali tiesa, ir naudotojai neturėtų jos taikyti grynai mechaniškai, o labiau
vadovautis ja kaip gairėmis dėl įvairių priežasčių, įskaitant tai, kad:
• kiekviena organizacija turi skirtingus tikslų prioritetus, o prioritetai po kurio laiko gali keistis;
• sąsajų lentelėse nepateikiamas organizacijos dydis ir (ar) veiklos specifika. Jose parodomi bendrieji ryšiai, kaip
apskritai skirtingi tikslų lygiai yra susiję tarpusavyje;
• sąsajų lentelėse esantys rodikliai naudoja dvi svarbos ar tinkamumo reikšmes, darant prielaidą, kad šios reikšmės yra
diskrečios, nors realybėje įvairių atitikčių reikšmės beveik visada yra tolydžios.
COBIT 5 tikslų hierarchijos naudojimas praktikoje
Remiantis pirmiau pateiktu apribojimu, akivaizdu, kad organizacija, naudodama tikslų hierarchiją, pirmiausia turėtų
suderinti tikslų sąsajas, atsižvelgdama į konkrečią situaciją. Kitaip tariant, kiekviena organizacija turėtų sudaryti savo
tikslų hierarchiją, palyginti ją su COBIT ir tada patobulinti.
Pavyzdžiui, organizacijai gali būti aktualu:
• išskaidyti strateginius prioritetus į organizacijos tikslus, kiekvienam tikslui suteikiant specifinį svorį ar svarbą;
• patvirtinti tikslų hierarchijos sąsajų tinkamumą, atsižvelgiant į konkrečią aplinką, veiklos specifiką ir pan.
3
Tikslų hierarchija yra pagrįsta moksliniais tyrimais, atliktais Antverpeno universiteto Verslo mokyklos IT suderinimo ir valdymo institute Belgijoje.
20
Personalized Copy for: Dr. Jelena Mamcenko
skyrius
1 principas – suinteresuotųjų šalių poreikių atitiktis
2
1 pavyzdys. Tikslų hierarchija
Organizacija išsikėlė tam tikrus strateginius tikslus, iš kurių svarbiausias yra klientų pasitenkinimo gerinimas. Ji nori žinoti, kokius dalykus, susijusius su IT,
reikia tobulinti.
Organizacija nusprendė, kad klientų pasitenkinimo kaip pagrindinio prioriteto nustatymas prilygsta toliau nurodytų organizacijos tikslų (pagal 5 pav.)
prioriteto didinimui:
• 6. Į klientą orientuoto aptarnavimo kultūra
• 7. Veiklos paslaugų tęstinumas ir prieinamumas
• 8. Lankstus reagavimas į besikeičiančią veiklos aplinką
Dabar organizacija pereina į kitą tikslų hierarchijos etapą – analizuoja, kurie IT tikslai atitinka šiuos organizacijos tikslus. Siūlomos tikslų sąsajos yra pateiktos
B priede.
Tokiu būdu šie IT tikslai laikomi pagrindiniais (visi P ryšiai):
• 01 IT ir veiklos strategijos suderinimas
• 04 Valdoma IT veiklos rizika
• 07 IT paslaugų teikimas atsižvelgiant į veiklos poreikius
• 09 IT lankstumas
• 10 Informacijos, apdorojančios infrastruktūros ir taikomųjų programų saugumas
• 14 Patikimos ir sprendimų priėmimui naudingos informacijos prieinamumas
• 17 Veiklos pažangai skirtos žinios, patirtis ir iniciatyvos
Organizacija pavirtina šį sąrašą ir nusprendžia pirmus keturis tikslus laikyti kaip pagrindinį prioritetą.
Kitame hierarchijos lygmenyje, taikant realizavimo priemonių koncepciją (žr. 5 skyrių), šie IT tikslai daro įtaką daugeliui realizavimo priemonių tikslų, tarp
jų ir procesų tikslams. C priede pateikiamos siūlomos IT tikslų ir COBIT 5 procesų sąsajos. Ši lentelė leidžia nustatyti svarbiausius IT tikslus atitinkančius
IT procesus, tačiau vien tik procesų nepakanka. Taip pat yra svarbios ir kitos realizavimo priemonės, pavyzdžiui, kultūra, elgsena ir etika, organizacinės
struktūros ar įgūdžiai ir kompetencija, ir joms taip pat reikia nustatyti aiškius tikslus.
Kai ši užduotis įvykdoma, organizacija gauna nuoseklų tikslų rinkinį visoms realizavimo priemonėms, leidžiančioms pasiekti nurodytus strateginius tikslus, ir
susijusių metrikų rinkinį veiklai vertinti.
2 pavyzdys. Suinteresuotųjų šalių poreikiai: tvarumas
Atlikusi suinteresuotųjų šalių poreikių analizę, organizacija nusprendžia, kad tvarumas yra strateginis prioritetas. Tvarumas apima ne tik aplinkos aspektus,
bet ir visus dalykus, kurie prisideda prie organizacijos ilgalaikės sėkmės.
Remdamasi suinteresuotųjų šalių poreikių analizės rezultatais, organizacija nusprendžia sutelkti dėmesį į šiuos penkis tikslus, papildytus tam tikra specifika:
1. Veiklos investicijų vertė suinteresuotosioms šalims, ypač suinteresuotųjų šalių bendruomenei.
4. Išorės teisės aktų ir taisyklių laikymasis, sutelkiant dėmesį į aplinkos teisės aktus ir teisės aktus, reguliuojančius darbo santykius su išorės paslaugų
tiekėjais.
8. Lankstus reagavimas į besikeičiančią veiklos aplinką.
16. Kvalifikuoti ir motyvuoti darbuotojai, pripažįstant, kad organizacijos sėkmė priklauso nuo jos žmonių.
17. Produktas ir veiklos pažangos kultūra, sutelkiant dėmesį į ilgalaikes investicijas.
Remiantis šiais prioritetais, tikslų hierarchiją galima taikyti taip, kaip paaiškinta tekste.
IT valdymo ir vadovavimo klausimai
Suinteresuotųjų šalių poreikių tenkinimas bet kurioje stipriai nuo IT priklausančioje organizacijoje kelia daug klausimų,
susijusių su organizacijos IT valdymu ir vadovavimu (7 pav.).
Personalized Copy for: Dr. Jelena Mamcenko
21
METODIKA
7 pav. IT valdymo ir vadovavimo klausimai
Vidaus suinteresuotosios šalys
• Taryba
• Generalinis direktorius
• Vyriausiasis finansininkas
• IT vadovas
• Vyriausiasis rizikos specialistas
• Veiklos vadovybė
• Veiklos proceso savininkai
• Veiklos vadovai
• Rizikos vadovai
• Saugos vadovai
• Paslaugų vadovai
• Žmogiškųjų išteklių vadovai
• Vidaus auditas
• Asmens duomenų apsaugos
pareigūnai
• IT naudotojai
• IT vadovai
• ir pan.
Vidaus suinteresuotųjų šalių klausimai
• Kaip gaunu vertę naudodamas IT? Ar galutiniai naudotojai yra patenkinti IT paslaugų kokybe?
• Kaip valdau IT veiklą?
• Kaip geriausiai galiu išnaudoti naujas technologijas naujoms strateginėms galimybėms?
• Kaip geriausiai galiu sukurti savo IT departamentą ir parinkti jo struktūrą?
• Kiek priklausau nuo išorės tiekėjų? Ar gerai valdomos IT išorės tiekėjų sutartys?
Kaip galiu gauti išorės tiekėjų veiklos kokybės užtikrinimą?
• Kokie (kontrolės) reikalavimai keliami informacijai?
• Ar nustačiau visą su IT susijusią riziką?
• Ar vykdau efektyvią ir išorės poveikiui atsparią IT veiklą?
• Kaip valdau IT sąnaudas? Ar naudoju IT išteklius efektyviausiu ir rezultatyviausiu būdu?
Kokios yra efektyviausios ir rezultatyviausios išteklių pasirinkimo alternatyvos?
• Ar turiu pakankamai IT srities darbuotojų? Kaip išlaikau ir tobulinu jų įgūdžius ir kaip vadovauju jų veiklai?
• Kaip užtikrinu IT kokybę?
• Ar mano apdorojama informacija yra saugi?
• Kaip gerinu veiklos lankstumą išnaudodamas lankstesnę IT aplinką?
• Ar IT projektai nepasiekia nustatytų tikslų? Jeigu taip, kodėl? Ar IT yra kliūtis vykdyti veiklos strategiją?
• Kiek lemiamos yra IT organizacijos veiklai? Ką darau, jeigu IT yra neprieinamos?
• Kokie svarbūs veiklos procesai priklauso nuo IT ir kokie yra veiklos procesų poreikiai IT?
• Kiek vidutiniškai viršijamas IT veiklos biudžetas? Kaip dažnai ir kiek IT projektai viršija biudžetą?
• Kiek IT pastangų skiriama „gaisrams gesinti“, o ne veiklai tobulinti?
• Ar pakanka esamų IT išteklių ir infrastruktūros organizacijos strateginiams tikslams pasiekti?
• Kiek laiko užtrunka priimti svarbius IT sprendimus?
• Ar bendros IT pastangos ir investicijos yra skaidrios?
• Ar IT padeda organizacijai laikytis taisyklių ir paslaugų lygių reikalavimų?
Kaip galiu žinoti, ar laikausi visų taikomų taisyklių?
Išorės suinteresuotosios šalys
• Veiklos partneriai
• Tiekėjai
• Suinteresuotosios šalys
• Priežiūros subjektai / vyriausybė
• Išorės naudotojai
• Klientai
• Standartizacijos organizacijos
• Išorės auditoriai
• Konsultantai
• ir pan.
Išorės suinteresuotųjų šalių klausimai
• Kaip galiu sužinoti, ar veiklos partnerių veikla yra saugi ir patikima?
• Kaip galiu sužinoti, ar organizacija laikosi nustatytų taisyklių ir teisės aktų reikalavimų?
• Kaip galiu sužinoti, ar organizacija palaiko rezultatyvią vidaus kontrolės sistemą?
• Ar veiklos partneriai valdo tarpusavio informaciją?
Kaip rasti atsakymus į šiuos klausimus
Visi 7 paveikslėlyje pateikti klausimai gali būti susieti su organizacijos tikslais ir naudojami kaip įvesties duomenys
tikslų hierarchijoje, kurią naudojant galima gauti rezultatyvius atsakymus. D priede yra pateiktas pavyzdys, susiejantis
7 paveikslėlyje pateiktus vidaus suinteresuotųjų šalių klausimus su organizacijos tikslais.
22
Personalized Copy for: Dr. Jelena Mamcenko
skyrius
2 principas – taikymas visai organizacijai
3
3
2
skyrius
principas – taikymas visai organizacijai
COBIT 5 metodikoje informacijos ir susijusių technologijų valdymas ir vadovavimas yra vertinamas iš visą organizaciją
apimančios perspektyvos. Taigi, COBIT 5:
• organizacijos IT valdymą integruoja į organizacijos valdymą. COBIT 5 siūloma organizacijos IT valdymo sistema
vientisai integruojama į bet kurią valdymo sistemą, todėl COBIT 5 yra suderinama su naujausiomis valdymo
praktikomis;
• apima visas funkcijas ir procesus, reikalingus informacijai ir susijusioms technologijoms valdyti ir tvarkyti,
nepriklausomai nuo to, kur tokia informacija apdorojama. Tokiame platesniame organizaciniame kontekste COBIT 5
apima visas vidaus ir išorės IT paslaugas, taip pat ir vidaus ir išorės veiklos procesus.
Organizacijos IT valdymui ir vadovavimui COBIT 5 naudoja sisteminį holistinį metodo taikymą (žr. 4 principą), kuris
yra pagrįstas skirtingomis realizavimo priemonėmis. Realizavimo priemonės apima visą organizaciją, t. y. visus svarbius
organizacijos informacijos ir su ja susijusių IT valdymo ir vadovavimo vidaus ir išorės elementus, įskaitant veiklos ir IT
funkcijų valdymą ir atsakomybę.
Informacija yra viena iš COBIT realizavimo priemonių. Realizavimo priemonėms apibrėžti naudojamas COBIT 5 modelis
leidžia kiekvienai suinteresuotajai šaliai nustatyti plačius ir išsamius reikalavimus informacijai ir informacijos apdorojimo
gyvavimo ciklui, taip veiklą ir jos poreikį gauti adekvačią informaciją sujungdamas su IT funkcija, ir akcentuodamas
veiklą ir jos kontekstą.
Valdymo metodas
8 paveikslėlyje pavaizduota visai organizacijai taikomo valdymo schema, kuri yra COBIT 5 pagrindas, ir parodo
pagrindinius valdymo sistemos komponentus.4
8 pav. Valdymas ir vadovavimas COBIT 5 metodikoje
Valdymo tikslas – vertės kūrimas
Rizikos
optimizavimas
Naudos
siekimas
Valdymo realizavimo
priemonės
Išteklių
optimizavimas
Valdymo
apimtis
Funkcijos, veikla ir ryšiai
4
Ši valdymo sistemos koncepcija buvo naudojama ankstesnėje ISACA iniciatyvoje Taking Governance Forward (TGF). Iniciatyvai tapus sudėtine COBIT 5
dalimi, ji nebenaudojama kaip atskiras išteklius.
Personalized Copy for: Dr. Jelena Mamcenko
23
METODIKA
Be valdymo tikslo, kiti pagrindiniai valdymo metodo elementai apima realizavimo priemones, valdymo apimtį, funkcijas,
veiklą ir ryšius.
Valdymo realizavimo priemonės
Valdymo realizavimo priemonės yra tokie valdymo organizaciniai ištekliai kaip metodikos, principai, struktūros, procesai
ir praktikos, per kuriuos ar kurių link yra nukreipiama veikla ir gali būti pasiekiami tikslai. Realizavimo priemonės taip
pat apima organizacijos išteklius, pvz., paslaugų pajėgumus (IT infrastruktūrą, taikomąsias programas ir pan.), žmones ir
informaciją. Išteklių ar realizavimo priemonių trūkumas gali paveikti organizacijos gebėjimą kurti vertę.
Atsižvelgiant į valdymo realizavimo priemonių svarbą, COBIT 5 visoms realizavimo priemonėms ir jų valdymo būdams
taiko vieningą architektūrą (žr. 5 skyrių).
Valdymo apimtis
Valdymo objektas gali būti visa organizacija, subjektas, materialusis ar nematerialusis turtas ir pan. Vadinasi, organizacija
valdymo požiūriu gali būti suvokiama skirtingai, todėl labai svarbu tinkamai nustatyti valdymo sistemos apimtį. COBIT 5
naudojama valdymo apimtis yra organizacija, tačiau iš esmės COBIT 5 gali būti taikomas bet kuriems kitiems valdymo
objektams.
Funkcijos, veikla ir ryšiai
Paskutinis elementas yra valdymo funkcijos, veikla ir ryšiai. Jis parodo, kas ir kaip dalyvauja valdyme, ką jie veikia ir kaip
sąveikauja tarpusavyje bet kokios apimties valdymo sistemos aplinkoje. COBIT 5 metodikoje aiškiai atskirtos valdymo
ir vadovavimo veiklos, esančios skirtinguose valdymo ir vadovavimo domenuose, ir sąsajos tarp šių veiklų ir valdymo
funkcijas atliekančių dalyvių. 9 paveikslėlyje išsamiau paaiškinta 8 paveikslėlio apatinė dalis, nurodanti skirtingų
funkcijų sąveikas.
9 pav. Pagrindinės funkcijos, veikla ir ryšiai
Funkcijos, veikla ir ryšiai
Savininkai ir
suinteresuotosios
šalys
24
Deleguoja
Atskaitinga
Valdymo
struktūra
Nustato kryptį
Vadovybė
Stebi
Personalized Copy for: Dr. Jelena Mamcenko
Instruktuoja
ir suderina
Atsiskaito
Veikla
ir
vykdymas
skyrius
3 principas – vieningos integruotos metodikos taikymas
4
4
3
skyrius
principas – vieningos integruotos metodikos taikymas
COBIT 5 yra vieninga ir integruota metodika, nes:
• ji yra suderinta su kitais naujausiais susijusiais standartais ir metodikomis, todėl organizacija gali naudoti COBIT 5
kaip visa apimančią valdymo ir vadovavimo metodikas integruojančią priemonę;
• ji taikoma visai organizacijai, sudarant sąlygas rezultatyviai integruoti kitas naudojamas metodikas, standartus ir
praktiką. Viena visa apimanti metodika, pateikta ne technine kalba ir nesigilinant į technologijas, gali būti taikoma
kaip suderintas ir integruotas gairių šaltinis;
• ji naudoja paprastą architektūrą gairių medžiagai sisteminti ir suderintai produktų grupei kurti;
• ji integruoja visas žinias, anksčiau naudotas įvairiose ISACA metodikose. Jau daug metų ISACA nagrinėja
pagrindines organizacijos valdymo sritis ir yra sukūrusi tokias metodikas kaip COBIT, Val IT, Risk IT, BMIS,
parengusi leidinį „Informacija tarybai apie IT valdymą“ (angl. Board Briefing on IT Governance) ir ITAF, kad
nurodytų gaires ir suteiktų pagalbą organizacijoms. COBIT 5 yra integruotos visos šios žinios.
COBIT 5 vieninga integruota metodika
10 paveikslėlyje grafiškai pavaizduota, kodėl COBIT 5 yra suderinta ir integruota metodika.
10 pav. COBIT 5 vieninga integruota metodika
Esamos
ISACA gairės
(COBIT, Val IT,
Risk IT, BMIS, …)
Nauja ISACA
gairių
medžiaga
Kiti
standartai
ir metodikos
COBIT 5 žinių bazė
• Esamos gairės ir jų turinys
• Struktūra būsimam turiniui
COBIT 5
realizavimo
priemonės
Žinių bazės turinio filtras
COBIT 5 produktų grupė
COBIT 5
COBIT 5 realizavimo
priemonių gairės
COBIT 5 profesionalams
skirtos gairės
COBIT 5 internetinė
bendradarbiavimo aplinka
Personalized Copy for: Dr. Jelena Mamcenko
25
METODIKA
COBIT 5 metodikoje suinteresuotosioms šalims pateikiamos pakankamai išsamios, naujausios gairės (žr. 11 pav.)
organizacijos IT valdymo ir vadovavimo srityje:
• nagrinėjami ir naudojami šaltiniai, paskatinę naujo turinio sukūrimą, įskaitant:
– esamų ISACA gairių (COBIT 4.1, Val IT 2.0, Risk IT, BMIS) sujungimą į vieningą metodiką,
– turinio papildymą sritimis, kurioms reikia tolesnio plėtojimo ir atnaujinimo,
– suderinimą su kitais taikomais standartais ir metodikomis, pavyzdžiui, ITIL, TOGAF ir ISO standartais. Visas nuorodų
sąrašas pateikiamas A priede,
• apibrėžiamas valdymo ir vadovavimo realizavimo priemonių rinkinys, kuris visai gairių medžiagai suteikia vieningą
struktūrą,
• atnaujinama COBIT 5 žinių bazė, kurioje yra visos šiuo metu sukurtos gairės ir informacija ir kurioje yra numatyta
struktūra papildomam būsimam turiniui,
• sukuriama patikima ir išsami gerosios praktikos nuorodų bazė.
11 pav. COBIT 5 produktų grupė
COBIT® 5
COBIT 5 realizavimo priemonių gairės
COBIT® 5.
Procesų realizavimo priemonės
COBIT® 5.
Informacijos realizavimo priemonės
Kitos realizavimo
priemonių gairės
COBIT® 5.
Kokybės
užtikrinimas
Kitos profesionalams
skirtos gairės
COBIT 5 profesionalams skirtos gairės
COBIT® 5. Įgyvendinimas
COBIT® 5.
Informacijos
sauga
COBIT® 5.
Rizikos valdymas
COBIT 5 internetinė bendradarbiavimo aplinka
26
Personalized Copy for: Dr. Jelena Mamcenko
skyrius
4 principas – holistinis metodo taikymas
5
5
4
skyrius
principas – holistinis metodo taikymas
COBIT 5 realizavimo priemonės
Realizavimo priemonės yra veiksniai, kurie atskirai ar kartu daro įtaką kieno nors veikimui ar neveikimui – šiuo atveju
organizacijos IT valdymui ir vadovavimui. Realizavimo priemones lemia tikslų hierarchija, t. y. aukštesnio hierarchinio
lygmens IT tikslai nustato, ką turėtų pasiekti žemesnio hierarchinio lygmens įvairios realizavimo priemonės.
COBIT 5 metodikoje nustatytos septynios realizavimo priemonių kategorijos (12 pav.):
• Principai, politika ir metodikos yra priemonė pageidaujamą elgesį paversti praktinėmis kasdienio vadovavimo
gairėmis;
• Procesai aprašo susistemintą praktiką ir veiklą, skirtą konkretiems jų tikslams pasiekti ir gauti rezultatus, reikalingus
IT tikslams pasiekti;
• Organizacinės struktūros yra pagrindiniai sprendimų priėmimo subjektai organizacijoje;
• Asmenų ir organizacijos kultūra, etika ir elgsena dažnai yra nepakankamai vertinami kaip valdymo ir vadovavimo
sėkmės veiksnys;
• Informacija yra pasklidusi po visą organizaciją ir apima visą organizacijos sukuriamą ir naudojamą informaciją.
Informacija yra reikalinga, kad organizacija veiktų ir būtų gerai valdoma, bet kasdienės veiklos lygmenyje informacija
labai dažnai yra pačios organizacijos pagrindinis produktas;
• Paslaugos, infrastruktūra ir taikomosios programos apima infrastruktūrą, technologijas ir taikomąsias programas,
kurios teikia organizacijai informacinių technologijų paslaugas.
• Žmonės, įgūdžiai ir kompetencija yra susiję su žmonėmis, jų reikia kiekvienai veiklai sėkmingai užbaigti,
teisingiems sprendimams priimti ir korekcinėms priemonėms taikyti.
12 pav. COBIT 5 organizacijos realizavimo priemonės
2. Procesai
3. Organizacinės
struktūros
4. Kultūra, etika
ir elgsena
1. Principai, politika ir metodikos
5. Informacija
6. Paslaugos,
infrastruktūra ir
taikomosios programos
7. Žmonės,
įgūdžiai ir
kompetencija
Ištekliai
Kai kurios pirmiau apibrėžtos realizavimo priemonės yra ir organizacijos ištekliai, kuriuos taip pat reikia valdyti ir
tvarkyti. Tai taikoma:
• informacijai, kurią reikia tvarkyti kaip išteklius. Dalis informacijos, pavyzdžiui, veiklos ataskaitos ir veiklos
intelektinė informacija, yra svarbios organizacijos valdymo ir vadovavimo realizavimo priemonės;
• paslaugoms, infrastruktūrai ir taikomosioms programoms;
• žmonėms, įgūdžiams ir kompetencijai.
Sisteminis valdymas ir vadovavimas naudojant tarpusavyje susietas
realizavimo priemones
12 paveikslėlis parodo, koks turėtų būti organizacijos ir IT valdymas, norint pasiekti pagrindinius organizacijos tikslus.
Bet kuri organizacija visada privalo atsižvelgti į realizavimo priemonių tarpusavio sąsajas. Taigi, kiekviena realizavimo
priemonė:
• kad būtų rezultatyvi, turi gauti duomenis iš kitų realizavimo priemonių, pvz., procesams reikia informacijos,
organizacinėms struktūroms – įgūdžių ir elgsenos;
• pateikia rezultatą kitoms realizavimo priemonėms, pvz., procesai pateikia informaciją, įgūdžiai ir elgsena daro
procesus efektyvius.
Personalized Copy for: Dr. Jelena Mamcenko
27
METODIKA
Todėl kai yra sprendžiami organizacijos IT valdymo ir vadovavimo klausimai, tinkamus sprendimus priimti galima
tik atsižvelgiant į sisteminį valdymo ir vadovavimo pobūdį. Taigi, nagrinėjant suinteresuotųjų šalių poreikių klausimą,
turi būti išanalizuota, ar visos tarpusavyje susijusios realizavimo priemonės yra tinkamos ir, jeigu reikia, jos turi būti
panaudotos. Pavyzdžiuose parodyta, kaip organizacijos vadovai turėtų skatinti laikytis tokio požiūrio.
3 pavyzdys. Organizacijos IT valdymas ir vadovavimas
Teikiant nuolatines IT paslaugas visiems naudotojams reikia tinkamos paslaugų gebos (infrastruktūra, taikomoji programa), o tam reikia tinkamai
besielgiančių žmonių, turinčių tinkamų įgūdžių. Taip pat turi būti įdiegti paslaugų teikimo procesai, kuriuos palaiko atitinkamos organizacinės struktūros,
vadinasi, sėkmingam paslaugų teikimui reikalingos visos realizavimo priemonės.
4 pavyzdys. Organizacijos IT valdymas ir vadovavimas
Informacijos saugai užtikrinti turi būti sukurta ir įgyvendinta politika ir reikiamos procedūros. Savo ruožtu tokiai politikai įgyvendinti reikia įvairios su sauga
susijusios praktikos. Tačiau jeigu darbuotojų kultūra ir etika yra netinkamos, informacijos saugos procesai ir procedūros nebus rezultatyvūs.
COBIT 5 realizavimo priemonių perspektyvos
Visos realizavimo priemonės turi keletą bendrų perspektyvų. Šios bendros perspektyvos (13 pav.):
• siūlo bendrą, paprastą, susistemintą metodą realizavimo priemonėms valdyti,
• leidžia subjektui valdyti sudėtingas sąveikas,
• leidžia lengviau pasiekti sėkmingų realizavimo priemonių rezultatų.
Realizavimo priemonės
veiklos valdymas
Realizavimo priemonės
perspektyvos
13 pav. COBIT 5 realizavimo priemonės: bendrasis modelis
Suinteresuotosios
šalys
Tikslai
Gyvavimo ciklas
Geroji praktika
• Vidaus
suinteresuotosios
šalys
• Išorės
suinteresuotosios
šalys
• Esminė kokybė
• Kontekstinė kokybė
(tinkamumas,
rezultatyvumas)
• Prieinamumas
ir saugumo
užtikrinimas
• Planuoti
• Projektuoti
• Formuoti / įsigyti /
kurti / įgyvendinti
• Naudoti / eksploatuoti
• Vertinti / stebėti
• Atnaujinti / sunaikinti
• Praktika
• Darbo produktai
(įvedami duomenys /
rezultatai)
Ar patenkinti suinteresuotųjų
šalių poreikiai?
Ar pasiekti realizavimo
priemonės tikslai?
Ar valdomas
gyvavimo ciklas?
Ar taikoma
geroji praktika?
Tikslų pasiekimo metrikos
(tikslo pasiekimo rodikliai)
Praktikos taikymo metrikos
(veiklos efektyvumo rodikliai)
Realizavimo priemonių perspektyvos
Keturios bendros realizavimo priemonių perspektyvos yra:
• Suinteresuotosios šalys. Kiekviena realizavimo priemonė turi suinteresuotąsias šalis (šalys, kurios aktyviai veikia
ir (ar) yra suinteresuotos realizavimo priemone). Pavyzdžiui, procesai turi skirtingas šalis, kurios vykdo procesų
veiklą ir (ar) kurios yra suinteresuotos procesų rezultatais; organizacinės struktūros turi suinteresuotąsias šalis, su
jų vykdomomis funkcijomis ir interesais, sudarančiais struktūrų dalį. Suinteresuotosios šalys gali būti organizacijos
vidaus ir išorės šalys, turinčios savo interesus ir poreikius, kurie kartais yra prieštaringi. Suinteresuotųjų šalių
poreikiai daro įtaką organizacijos tikslams, kurie savo ruožtu daro įtaką organizacijos IT tikslams. Suinteresuotųjų
šalių sąrašas pateiktas 7 pav.
• Tikslai. Kiekviena realizavimo priemonė turi keletą tikslų, ir juos pasiekdamos realizavimo priemonės sukuria vertę.
Tikslai gali būti apibrėžti kaip:
– laukiami realizavimo priemonės rezultatai,
– realizavimo priemonės taikymo ar veikimo rezultatai.
28
Personalized Copy for: Dr. Jelena Mamcenko
skyrius
4 principas – holistinis metodo taikymas
5
Realizavimo priemonės tikslai yra COBIT 5 tikslų hierarchijos galutiniai (žemiausiojo hierarchinio lygmens) tikslai.
Tikslai gali būti toliau skirstomi į šias kategorijas:
– esminė kokybė. Mastas, kiek realizavimo priemonės veikia tiksliai, objektyviai ir duoda tikslių, objektyvių ir
patikimų rezultatų;
– kontekstinė kokybė. Mastas, kiek realizavimo priemonės ir jų rezultatai tinka atsižvelgiant į kontekstą, kuriame jos
veikia. Pavyzdžiui, rezultatai turėtų būti reikalingi, išsamūs, pasiekiami laiku, tinkami, suderinami, suprantami ir
lengvai naudojami;
– prieinamumas ir saugumo užtikrinimas. Mastas, kiek realizavimo priemonės ir jų rezultatai yra prieinami ir
apsaugoti, pavyzdžiui:
• realizavimo priemonės yra prieinamos, jeigu reikia ir kada reikia,
• rezultatai yra apsaugoti, t. y. prieiga leidžiama tik turintiems tam teisę ir tiems, kuriems jos reikia.
• Gyvavimo ciklas. Kiekviena realizavimo priemonė turi gyvavimo ciklą apimantį visą veikimo / naudingo tarnavimo
laiką nuo jos sukūrimo iki sunaikinimo. Tai taikoma informacijai, struktūroms, procesams, politikai ir pan. Gyvavimo
ciklo etapai yra tokie:
– planavimas (apima koncepcijų kūrimą ir koncepcijų atranką),
– projektavimas,
– formavimas / įsigijimas / kūrimas / įgyvendinimas,
– naudojimas / eksploatavimas,
– vertinimas / stebėsena,
– atnaujinimas / sunaikinimas.
• Geroji praktika. Kiekvienai realizavimo priemonei gali būti nustatyta geroji praktika. Geroji praktika skatina
realizavimo priemonės tikslų siekimą, pateikia pavyzdžių ar pasiūlymų, kaip geriausiai įgyvendinti realizavimo
priemonę ir kokių darbo produktų ar įvedamų duomenų ir rezultatų reikia. COBIT 5 pateikia gerosios praktikos
pavyzdžius kai kurioms COBIT 5 realizavimo priemonėms (pvz., procesams). Kitoms realizavimo priemonėms gali
būti naudojamos kitų standartų, metodikų ir pan. gairės.
Realizavimo priemonių veiklos valdymas
Taikydamos ir naudodamos realizavimo priemones, organizacijos tikisi gauti teigiamų rezultatų. Siekiant valdyti
realizavimo priemonių veiklą, reikalinga nuolatinė veiklos stebėsena, t.y., taikant metrikas, reikės atsakyti į šiuos klausimus:
• Ar patenkinti suinteresuotųjų šalių poreikiai?
• Ar pasiekti realizavimo priemonės tikslai?
• Ar valdomas gyvavimo ciklas?
• Ar taikoma geroji praktika?
Pirmieji du klausimai yra susiję su realizavimo priemonės faktiniu rezultatu. Metrikos, naudojamos tikslų pasiekimui
pamatuoti, gali būti vadinamos tikslo pasiekimo rodikliais (angl. lag indicator).
Paskutiniai du klausimai yra susiję su realizavimo priemonės veikimu, todėl šios metrikos gali būti vadinamos veiklos
efektyvumo rodikliais (angl. lead indicator).
Realizavimo priemonių praktinis pavyzdys
5 pavyzdyje pateikiamos realizavimo priemonės, jų tarpusavio sąsajos, realizavimo priemonių perspektyvos ir kaip tai galima
panaudoti praktikoje.
5 pavyzdys. Realizavimo priemonės
Siekdama gero IT valdymo ir vadovavimo, organizacija paskyrė procesų vadovus, atsakingus už efektyvių ir rezultatyvių IT procesų nustatymą ir įdiegimą.
Iš pradžių procesų vadovai analizuos realizavimo priemones atsižvelgdami į jų perspektyvas:
• Suinteresuotosios šalys. Procesų suinteresuotosios šalys apima visus procesų dalyvius, t. y. visas šalis, kurios yra atsakingos, atskaitingos,
konsultuojančios ar informuojamos (RACI) dėl procesų veiklos ar vykdant procesų veiklą. Todėl gali būti naudojama RACI lentelė kaip apibrėžta leidinyje
COBIT 5. Procesų realizavimo priemonės.
• Tikslai. Kiekvienam procesui turi būti nustatyti adekvatūs tikslai ir susijusios metrikos. Pavyzdžiui, proceso Valdyti ryšius (procesas APO08 leidinyje COBIT 5.
Procesų realizavimo priemonės) apraše galima rasti tokį proceso tikslų ir metrikų rinkinį:
– Tikslas. Veiklos strategijos, planai ir poreikiai yra gerai suprantami, dokumentuojami ir patvirtinami.
• Metrika. Programų, suderintų su organizacijos veiklos reikalavimais / prioritetais, procentinė dalis.
– Tikslas. Geri ryšiai tarp organizacijos ir IT departamento.
• Metrika. Naudotojų reitingai ir IT darbuotojų pasitenkinimo apklausos.
Personalized Copy for: Dr. Jelena Mamcenko
29
METODIKA
5 pavyzdys. Realizavimo priemonės (tęsiama)
• Gyvavimo ciklas. Kiekvienas procesas turi gyvavimo ciklą, t. y. procesas turi būti sukurtas, vykdomas ir stebimas, ir, jei to reikia, priderintas. Galiausiai
procesai baigia egzistuoti. Tokiu atveju procesų vadovams pirmiausia reikėtų suprojektuoti ir apibrėžti procesą. Procesams projektuoti jie gali naudoti
kelis elementus iš COBIT 5. Procesų realizavimo priemonės, t. y. nustatyti atsakomybę, procesą išskaidyti į praktikas ir priemones ir nustatyti proceso darbo
produktus (įvedamus duomenis ir rezultatus). Kitame etape procesus reikia padaryti patvaresnius ir efektyvesnius, ir siekdami šio tikslo procesų vadovai
gali didinti proceso gebos lygį. Šiam tikslui gali būti naudojamas ISO/IEC 15504 standartu pagrįstas COBIT 5 procesų gebos modelis ir proceso gebos
atributai.
• Geroji praktika. Kaip jau buvo minėta ankstesniame punkte, COBIT 5 pakankamai išsamiai pateikia gerąją praktiką, skirtą procesams, leidinyje COBIT 5.
Procesų realizavimo priemonės. Ten pateikiami pasiūlymai ir pavyzdžiai, apimantys visą priemonių spektrą, reikalingą geram organizacijos IT valdymui ir
vadovavimui.
Procesų vadovai gali nuspręsti atsižvelgti ne tik į procesų realizavimo priemones, bet ir į kitas realizavimo priemones, pavyzdžiui:
• RACI lenteles, kuriose yra nustatytos funkcijos ir atsakomybė. Kitos realizavimo priemonės leidžia šį aspektą nagrinėti giliau, pavyzdžiui:
– Į gūdžių ir kompetencijos realizavimo priemonėje kiekvienai funkcijai galima nustatyti reikiamus įgūdžius ir kompetenciją, taip pat gali būti nustatyti
atitinkami tikslai (pvz., techninių ir elgesio įgūdžių lygiai) ir šiems tikslams matuoti skirtos metrikos,
– R ACI lentelę sudaro daug organizacinių struktūrų. Šios struktūros gali būti toliau analizuojamos pasirinkus organizacinių struktūrų realizavimo priemonę,
kurioje pateiktas išsamesnis struktūros apibūdinimas, nustatyti laukiami rezultatai ir susijusios metrikos (pvz., sprendimai), taip pat pateikiama geroji
praktika (pvz., kontrolės apimtis, struktūros veiklos principai, įgaliojimų lygis).
• Principai ir politika formalizuos procesus ir pagrįs, kodėl procesas egzistuoja, kam jis taikomas ir kaip turi būti naudojamas. Tai yra pagrindinė principų ir
politikos realizavimo priemonės sritis.
Septynios realizavimo priemonių kategorijos išsamiau yra aptartos G priede. Norint geriau suprasti realizavimo priemones
ir jų teikiamas galimybes, tobulinant organizacijos IT valdymą ir vadovavimą, rekomenduojama šį priedą perskaityti.
30
Personalized Copy for: Dr. Jelena Mamcenko
skyrius
5 principas – valdymo ir vadovavimo skirtumai
6
6
5
skyrius
principas – valdymo ir vadovavimo skirtumai
Valdymas ir vadovavimas
COBIT 5 metodikoje aiškiai skiriami valdymas ir vadovavimas. Šios dvi sritys apima skirtingas veiklos rūšis, joms reikia
skirtingų organizacinių struktūrų ir jose siekiama skirtingų tikslų. COBIT 5 metodikos požiūriu, esminis skirtumas tarp
valdymo ir vadovavimo yra toks.
• Valdymas
Valdymu užtikrinama, kad nustatant suderintus ir sutartus siekiamus organizacijos tikslus, būtų įvertinami
suinteresuotųjų šalių poreikiai, sąlygos ir alternatyvos; nustatoma kryptis, iškeliant prioritetus ir priimant
sprendimus; vykdoma veiklos ir atitikties sutartai krypčiai ir tikslams stebėsena.
Daugelyje organizacijų bendrasis valdymas yra pirmininko vadovaujamos direktorių tarybos kompetencija.
• Vadovavimas
Vadovybė, vadovaudamasi valdymo struktūros nustatyta kryptimi ir siekdama organizacijos tikslų, planuoja,
formuoja, vykdo ir stebi veiklą.
Daugelyje organizacijų vadovavimas yra generalinio direktoriaus vadovaujamų vadovų atsakomybė.
Valdymo ir vadovavimo sąveika
Valdymo ir vadovavimo sąvokų apibrėžtys parodo, kad valdymą ir vadovavimą sudaro skirtingų rūšių veikla ir skirtinga
atsakomybė; tačiau siekiant sukurti rezultatyvią ir efektyvią valdymo sistemą ir atsižvelgiant į valdymo funkciją – vertinti,
nustatyti veiklos kryptį ir vykdyti stebėseną, valdymas ir vadovavimas turi būti susiję. Atsižvelgiant į realizavimo
priemonių kategorijas, ši sąveika paaiškinta bendrajam valdymo lygmeniui ir pateikta 14 paveikslėlyje.
14 pav. COBIT 5 valdymo ir vadovavimo sąveika
Realizavimo
priemonė
Valdymo ir vadovavimo sąveika
Procesai
COBIT 5 naudojamame procesų modelyje (COBIT 5. Procesų realizavimo priemonės) parodomas skirtumas tarp valdymo ir
vadovavimo procesų, įskaitant kiekvienam procesui specifinius praktikos ir veiklos rinkinius. Procesų modelis taip pat naudoja RACI
lenteles, apibūdinančias įvairių organizacinių struktūrų atsakomybę ir jų atliekamas funkcijas organizacijoje.
Informacija
Procesų modelis parodo, kaip procesai tarpusavyje keičiasi praktikos rezultatais, įskaitant informaciją, kuria tarpusavyje keičiasi
valdymo ir vadovavimo domenų procesai. Procesų įvesties duomenys ir rezultatai parodo, kaip vyksta organizacijos IT vertinimui,
krypties nustatymui ir stebėsenai reikalingos informacijos mainai tarp valdymo ir vadovavimo procesų.
Organizacinės
struktūros
Kiekvienoje organizacijoje veikia daug organizacinių struktūrų, kurios, priklausomai nuo jų paskirties ir priimamų sprendimų
pobūdžio, gali būti valdymo ar vadovavimo srityse. Kadangi valdymas nustato veiklos kryptį, sąveika vyksta tarp valdymo
struktūrose priimamų sprendimų (pvz., sprendžiant dėl investicijų portfelio ir nustatant priimtiną rizikos lygį) ir šiuos sprendimus
įgyvendinančių sprendimų ir veiksmų.
Principai, politika ir
metodikos
Principai, politika ir metodikos yra priemonės, skirtos valdymo sprendimams organizacijoje įtvirtinti, todėl sąveika vyksta tarp
valdymo sprendimų (veiklos krypties nustatymo) ir vadovavimo (sprendimų vykdymo).
Kultūra, etika ir
elgsena
Elgsena taip pat yra svarbi organizacijos gero valdymo ir vadovavimo realizavimo priemonė. Aukščiausiųjų vadovų asmeninis
pavyzdys yra svarbi sąveika tarp valdymo ir vadovavimo.
Žmonės, įgūdžiai ir
kompetencija
Valdymui ir vadovavimui reikia skirtingų įgūdžių, tačiau esminis įgūdis, reikalingas ir valdymo struktūrų nariams ir vadovybei, yra
suprasti jiems skirtas užduotis ir jų skirtumus.
Paslaugos,
Siekiant užtikrinti, kad valdymo struktūroms būtų teikiama valdymui (vertinimas, krypties nustatymas ir stebėsena) reikiama
infrastruktūra ir
informacijai, būtinos taikomųjų programų ir infrastruktūros teikiamos paslaugos.
taikomosios programos
Personalized Copy for: Dr. Jelena Mamcenko
31
METODIKA
COBIT 5 procesų informacinis modelis
COBIT 5 nėra privaloma, tačiau metodika skatina organizacijas įgyvendinti valdymo ir vadovavimos procesus taip, kad
būtų apimtos pagrindinės sritys, kaip parodyta 15 paveikslėlyje.
15 pav. COBIT 5 pagrindinės valdymo ir vadovavimo sritys
Veiklos poreikiai
Valdymas
Vertinti
Nustatyti
kryptį
Vadovybės atsakas
Stebėti
Vadovavimas
Planuoti
(APO)
Formuoti
(BAI)
Vykdyti
(DSS)
Stebėti
(MEA)
Nėra griežtų reikalavimų, kaip organizacija turėtų organizuoti veiklos procesus, tačiau turi būti išlaikyti visi nustatyti
valdymo ir vadovavimo tikslai. Mažesnės organizacijos gali naudoti mažiau procesų, didesnės ir kompleksinės
organizacijos – daugiau, tačiau visi procesai turi apimti tuos pačius tikslus.
COBIT 5 aprašo procesų informacinį modelį, apibrėžiantį ir detaliai apibūdinantį daugelį valdymo ir vadovavimo procesų.
Šis modelis apima visus organizacijoje paprastai vykstančius ir su IT susijusius procesus ir pateikiamas kaip bendras
informacinis modelis IT ir veiklos vadovams suprantama kalba. Toks procesų modelis yra pilnas ir išsamus, tačiau ne
vienintelis galimas variantas. Kiekviena organizacija, atsižvelgdama į konkrečią situaciją, privalo nustatyti jai būdingą
procesų visumą.
Veiklos modelio pasirinkimas ir vieningos terminologijos naudojimas visoms IT veikloje dalyvaujančioms organizacijoms
dalims yra vienas iš svarbiausių ir lemiamų žingsnių, vedančių gero valdymo link. Šis modelis siūlo metodus, kaip matuoti ir
stebėti IT veiklą, užtikrinti jos kokybę, bendrauti su paslaugų teikėjais ir integruoti geriausią vadovavimo praktiką.
COBIT 5 procesų informacinis modelis organizacijos IT valdymo ir vadovavimo procesus suskirsto į du pagrindinius
procesų domenus, t. y.:
• Valdymas, kurį sudaro penki valdymo procesai, kiekviename iš jų yra nustatytos vertinimo, krypties nustatymo ir
stebėsenos (angl. evaluate, direct and monitor (EDM ))5 praktikos;
• Vadovavimas, kurį sudaro keturi domenai, atitinkantys planavimo, formavimo, vykdymo ir stebėsenos (angl. plan,
build, run, monitor (PBRM )) atsakomybės sritis, ir visiškai apimantys IT sritį. Šie domenai yra COBIT 4.1 domenų
ir procesų struktūros tolesnė plėtotė. Domenų pavadinimai yra parinkti atsižvelgiant į valdymo ir vadovavimo
pagrindinių sričių paskirtį, tačiau norint geriau juos apibūdinti naudojama daugiau veiksmažodžių:
– suderinti, planuoti ir organizuoti (angl. Align, Plan and Organise (APO )),
– formuoti, įsigyti ir įdiegti (angl. Build, Acquire and Implement (BAI )),
– teikti, aptarnauti ir palaikyti (angl. Deliver, Service and Support (DSS )),
– stebėti, vertinti ir įvertinti (angl. Monitor, Evaluate and Assess (MEA )).
5
aldymo domeno kontekste „stebėsena“ reiškia tokias veiklos priemones, kuriomis valdymo struktūra patikrina, kiek realiai laikomasi vadovybei
V
nustatytos krypties.
32
Personalized Copy for: Dr. Jelena Mamcenko
skyrius
5 principas – valdymo ir vadovavimo skirtumai
6
Kiekvieną domeną sudaro tam tikras skaičius procesų. Nors, kaip buvo aprašyta anksčiau, daugumai procesų būdingos
planavimo, įgyvendinimo, vykdymo ir stebėsenos priemonės, taikomos tiek pačiam procesui, tiek specifiniam klausimui
(pvz., kokybė, sauga), domenuose jos yra išdėstytos atsižvelgiant į tai, kokios IT veiklos sritys yra svarbiausios
organizacijai apskritai.
COBIT 5 procesų informacinis modelis, papildomai integravus Risk IT ir Val IT procesų modelius, pakeičia COBIT 4.1
procesų modelį.
16 paveikslėlyje pateikti visi 37 COBIT 5 valdymo ir vadovavimo procesai. Detali informacija apie visus procesus,
paminėtus pirmiau aprašytame procesų modelyje, yra pateikiama COBIT 5. Procesų realizavimo priemonės.
16 pav. COBIT 5 procesų informacinis modelis
Organizacijos IT valdymo procesai
Vertinti, nustatyti kryptį ir stebėti (Evaluate, Direct and Monitor)
EDM01
Užtikrinti valdymo
sistemos įdiegimą
ir priežiūrą
EDM03
Užtikrinti rizikos
optimizavimą
EDM02
Užtikrinti
naudos sukūrimą
EDM04
Užtikrinti išteklių
optimizavimą
EDM05
Užtikrinti skaidrumą
suinteresuotosioms
šalims
Suderinti, planuoti ir organizuoti (Align, Plan and Organise)
APO01
Valdyti IT
valdymo sistemą
APO02
Valdyti strategiją
APO03
Valdyti
organizacijos
architektūrą
APO04
Valdyti inovacijas
APO05
Valdyti portfelį
APO06
Valdyti biudžetą
ir sąnaudas
APO08
Valdyti ryšius
APO09
Valdyti paslaugų
sutartis
APO10
Valdyti tiekėjus
APO11
Valdyti kokybę
APO12
Valdyti riziką
APO13
Valdyti saugą
BAI05
Valdyti pasirengimą
organizaciniams
pokyčiams
BAI06
Valdyti pokyčius
DSS05
Valdyti saugos
paslaugas
DSS06
Valdyti veiklos
procesų kontrolę
APO07
Valdyti
žmogiškuosius
išteklius
Stebėti, vertinti
ir įvertinti
(Monitor, Evaluate
and Assess)
MEA01
Stebėti, vertinti ir
įvertinti veiklos
efektyvumą ir atitiktį
Formuoti, įsigyti ir įdiegti (Build, Acquire and Implement)
BAI01
Valdyti programas
ir projektus
BAI02
Valdyti
reikalavimų
nustatymą
BAI03
Valdyti sprendimų
identifikavimą ir
formavimą
BAI08
Valdyti žinias
BAI09
Valdyti turtą
BAI10
Valdyti konfigūraciją
BAI04
Valdyti
prieinamumą ir
pajėgumus
BAI07
Valdyti pokyčių
patikros ir
pertvarkos procesus
MEA02
Stebėti, vertinti ir
įvertinti vidaus
kontrolės sistemą
Teikti, aptarnauti ir palaikyti (Deliver, Service and Support)
DSS01
Valdyti veiklą
DSS02
Valdyti paslaugų
užklausas ir
incidentus
DSS03
Valdyti problemas
DSS04
Valdyti tęstinumą
MEA03
Stebėti, vertinti ir
įvertinti išorės
reikalavimų laikymąsi
Organizacijos IT vadovavimo procesai
Personalized Copy for: Dr. Jelena Mamcenko
33
METODIKA
Specialiai paliktas tuščias lapas
34
Personalized Copy for: Dr. Jelena Mamcenko
skyrius
Įgyvendinimo gairės
7
skyrius
Įgyvendinimo gairės
7
Įvadas
COBIT metodika padės sukurti optimalią vertę tik tuo atveju, jeigu ji bus taikoma rezultatyviai ir atsižvelgiant į unikalią
organizacijos aplinką. Įgyvendinimo metu taip pat turi būti atsižvelgiama į specifines užduotis, įskaitant kultūros ir elgesio
pokyčių valdymą.
ISACA leidinyje COBIT 5. Įgyvendinimas6 pateikiamos nuolatinio tobulinimo gyvavimo ciklu pagrįstos išsamios
praktinės įgyvendinimo gairės. Jos nėra privalomos ir neturėtų būti priimamos kaip išsamus sprendimas. Šiomis gairėmis
siekiama patarti, kaip išvengti dažnai pasitaikančių problemų, kaip efektyviai naudoti gerąją praktiką ir padėti pasiekti
gerų rezultatų. Gaires papildo įgyvendinimo instrumentų rinkinys, kurį sudaro įvairūs ištekliai, kurie bus nuolatos
tobulinami. Tai:
• savianalizės, matavimo ir diagnostinės priemonės,
• įvairiai auditorijai skirti pristatymai,
• susiję straipsniai ir kiti paaiškinimai.
Šio skyriaus tikslas yra supažindinti su įgyvendinimo ir nuolatinio tobulinimo gyvavimo ciklo pagrindais bei akcentuoti
COBIT 5. Įgyvendinimas svarbias temas, pavyzdžiui:
• IT valdymo ir vadovavimo įgyvendinimo ir tobulinimo projekto pagrindimas,
• tipinių silpnųjų vietų ir apie pokyčių poreikį įspėjančių įvykių atpažinimas,
• įgyvendinimui tinkamos aplinkos sukūrimas,
• efektyvus COBIT naudojimas nustatant spragas ir patarimai, kaip plėtoti realizavimo priemones, pavyzdžiui, politiką,
procesus, principus, organizacines struktūras, funkcijas ir atsakomybę.
Organizacijos konteksto svarba
Organizacijos IT valdymas ir vadovavimas neatsiranda savaime. Kiekvienai organizacijai reikia sukurti įgyvendinimo
planą ar grafiką, atsižvelgiant į tokius organizacijos specifinės vidinės ir išorės aplinkos veiksnius kaip:
• etika ir kultūra,
• taikomi teisės aktai, taisyklės ir politika,
• misija, vizija ir vertybės,
• valdymo politika ir praktika,
• veiklos planas ir strateginiai ketinimai,
• veiklos modelis ir brandos lygis,
• vadovavimo stilius,
• priimtinas rizikos lygis,
• gebėjimai ir prieinami ištekliai,
• sektoriaus praktika.
Taip pat yra svarbu panaudoti esamas organizacijos valdymo realizavimo priemones.
Kiekvienoje organizacijoje optimaliam IT valdymui ir vadovavimui taikomi skirtingi metodai, todėl, siekiant rezultatyvaus
COBIT naudojamo ir pritaikymo, įgyvendinant IT valdymo ir vadovavimo realizavimo priemones, turi būti atsižvelgiama
į organizacijos kontekstą. COBIT metodika dažnai siejama su kitomis metodikomis, gerąja praktika ir standartais, kurie
taip pat turi būti pritaikyti specifiniams poreikiams.
Pagrindiniai sėkmingo įgyvendinimo veiksniai yra tokie:
• vadovybė, nurodanti veiklos kryptį ir skatinanti iniciatyvą, besilaikanti įsipareigojimų ir teikianti kasdienę paramą,
• visos šalys, dalyvaujančios valdymo ir vadovavimo procesuose ir siekiančios veiklos ir IT tikslų,
• rezultatyvios komunikacijos užtikrinimas ir reikalingų pokyčių įgalinimas,
• COBIT ir kitų taikomų gerųjų praktikų ar standartų suderinimas su unikaliu organizacijos kontekstu,
• greitų rezultatų siekimas, suteikiant prioritetą lengviausiai įgyvendintiniems naudingiausiems patobulinimams.
6
www.isaca.org/cobit
Personalized Copy for: Dr. Jelena Mamcenko
35
METODIKA
Tinkamos aplinkos kūrimas
Taikant COBIT metodiką, įgyvendinimo iniciatyvos turi būti tinkamai valdomos ir adekvačiai tvarkomos. Svarbiausios
su IT susijusios iniciatyvos, kaip ir IT valdymo ar vadovavimo realizavimo priemonių įgyvendinimas naudojant COBIT,
dažnai nepavyksta dėl skirtingų netikslių suinteresuotųjų šalių nurodymų, nepakankamos paramos ar priežiūros. Kad
patobulinimai būtų priimti ir išlaikyti, pagrindinių suinteresuotųjų šalių parama ir nurodymai yra esminiai, ir jie tampa
dar svarbesniais, kai organizacinė aplinka yra silpna (pavyzdžiui, kai neaiškus pagrindinės veiklos valdymo modelis
organizacijos valdymo realizavimo priemonės yra nepakankamos).
COBIT realizavimo priemonių taikymas neturėtų būti savitikslis, jis turėtų pateikti sprendimą, atitinkantį realius veiklos
poreikius ir problemas. Vadovybė turėtų nustatyti esamomis silpnosiomis vietomis ir jų priežastimis pagrįstus poreikius,
ir įvardyti juos kaip dėmesio reikalaujančias sritis. Puikios priemonės supratimui didinti, konsensusui pasiekti ir skatinti
įsipareigojimus veikti yra COBIT metodais pagrįsti bendrieji veiklos būklės patikrinimai, diagnostika, gebos įvertinimas.
Susijusių suinteresuotųjų šalių įsipareigojimo ir pritarimo reikia siekti nuo pat pradžių, todėl svarbu, kad, įgyvendinimo
tikslai ir nauda būtų aiškiai išreikšti veiklos terminais ir apibendrinti projekto pagrindimo metmenyse.
Sutarus dėl įsipareigojimų, programai įgyvendinti turi būti skirti reikiami ištekliai. Programos pagrindinės funkcijos ir
atsakomybės turėtų būti nustatytos ir priskirtos konkretiems asmenims. Turi būti nuolat rūpinamasi, kad visos susijusios
suinteresuotosios šalys laikytųsi įsipareigojimų.
Turi būti sukurtos ir vykdomos krypties nustatymui ir priežiūrai reikalingos struktūros ir procesai. Šios struktūros ir
procesai taip pat turėtų užtikrinti nuolatinį suderinamumą su visos organizacijos valdymo ir rizikos valdymo metodais.
Pagrindinės suinteresuotosios šalys, t. y. taryba ir aukščiausiojo lygio vadovai, rodydami aukščiausiojo organizacijos
valdymo lygmens požiūrį ir įsipareigojimus programai, turėtų siekti, kad toks įsipareigojimas programai būtų pasiektas
visuose organizacijoms lygmenyse.
Silpnųjų vietų ir apie pokyčių poreikį įspėjančių įvykių nustatymas
Poreikis tobulinti organizacijos IT valdymą ir vadovavimą gali turėti įvairių priežasčių.
Pasinaudojus pirminėmis prielaidomis įgyvendinimo iniciatyvoms – silpnosiomis vietomis ir apie pokyčių poreikį
įspėjančiais įvykiais – organizacijos IT valdymo ir vadovavimo projektinis pagrindimas yra susiejamas su kasdienėmis
praktinėmis problemomis. Tai stiprina būtinumo pojūtį organizacijoje ir leidžia lengviau siekti įgyvendinimui pradėti
reikalingo pritarimo. Taip pat reikėtų siekti greitų rezultatų svarbiausiose ir labiausiai matomose organizacijos srityse,
parodant jų teikiamą pridėtinę vertę. Tai sudaro pagrindą tolesniems pokyčiams ir gali padėti įgyti vadovybės pritarimą
sudarant sąlygas kitiems pokyčiams.
Kaip nustatyta leidinyje COBIT 5. Įgyvendinimas, naujos ar peržiūrėtos IT valdymo ar vadovavimo realizavimo priemonės
galėtų padėti pašalinti (ar iš dalies pašalinti) kai kurias silpnąsias vietas, kurių pavyzdžiai yra tokie:
• nusivylimas dėl nepavykusių iniciatyvų, augančios IT sąnaudos ir veiklos teikiamos žemos vertės suvokimas,
• svarbūs su IT rizika susiję incidentai, pavyzdžiui, duomenų praradimas ar projekto nesėkmė,
• išorės paslaugų teikimo problemos, pavyzdžiui, nuolatinis sutarto paslaugų lygio neatitikimas,
• teisės aktų ar sutartinių reikalavimų nesilaikymas,
• IT, ribojančios organizacijos pažangos gebą ir veiklos lankstumą,
• audito išvados apie prastą IT veiklą arba pranešimai apie IT paslaugų kokybės problemas,
• paslėptos ir nekontroliuojamos IT išlaidos,
• iniciatyvų dubliavimas ar persidengimas ar išteklių švaistymas, pavyzdžiui, priešlaikinis projekto nutraukimas,
• nepakankami IT ištekliai, nepakankami darbuotojų įgūdžiai ar darbuotojų išsekimas / nepasitenkinimas,
• IT įgalinti pokyčiai, neatitikinantys veiklos poreikių, įgyvendinti pavėluotai ar viršijant biudžetą,
• tarybos nariai, vadovybė ar vyresnieji vadovai, kurie nenori dalyvauti IT veikloje, arba atsidavusių ir patenkintų
veiklos atstovų – IT rėmėjų trūkumas,
• sudėtingi IT veiklos modeliai.
Be šių silpnųjų vietų, kiti įvykiai organizacijos vidaus ir išorės aplinkoje gali įspėti apie poreikį skirti daugiau dėmesio IT
valdymui ir vadovavimui. COBIT 5. Įgyvendinimas 3 skyriaus pavyzdžiai:
• susijungimas, aktyvų įsigijimas ar išpardavimas,
• rinkos, ekonomikos ar konkurencinės padėties pasikeitimas,
• veiklos vykdymo modelio ar apsirūpinimo ištekliais pasikeitimas,
• nauji teisiniai ar atitikties reikalavimai,
• svarbūs technologiniai pokyčiai arba nauja paradigma,
36
Personalized Copy for: Dr. Jelena Mamcenko
skyrius
Įgyvendinimo gairės
7
• susitelkimas į visos organizacijos valdymą ar tokio valdymo projektas,
• naujas generalinis direktorius, vyriausiasis finansininkas, IT vadovas ir pan.,
• išorės audito ar konsultantų vertinimai,
• nauja veiklos strategija ar nauji prioritetai.
Pokyčių įgalinimas
Sėkmingas įgyvendinimas priklauso nuo tinkamai pasirinkto pokyčio (tinkamų valdymo ar vadovavimo realizavimo
priemonių) ir nuo tinkamo pasirinkto būdo. Daugelis organizacijų daug dėmesio teikia pagrindiniam aspektui – esminiam
IT valdymui ir vadovavimui, tačiau nepakankamai akcentuoja žmogiškųjų, elgesio ir kultūrinių aspektų pokyčių valdymą
ir suinteresuotųjų šalių motyvavimą dalyvauti pokyčiuose.
Nereikėtų manyti, kad įvairios suinteresuotosios šalys, dalyvaujančios pokyčiuose ar kurioms pokyčiai daro įtaką, taip
pat naujos ar atnaujintos realizavimo priemonės lengvai priims pokyčiams. Sprendžiant pokyčių ignoravimo ir (ar)
pasipriešinimo jiems klausimus, turi būti taikomas sisteminis požiūris ir iniciatyva. Be to, siekiant, kad apie įgyvendinimo
programą būtų optimaliai informuojama, turėtų būti naudojamas komunikavimo planas, nurodantis, kas bus pranešama,
kokiu būdu, kas praneš ir kokiuose programos etapuose tai bus atlikta.
Tvarų tobulinimą galima pasiekti arba suinteresuotosioms šalims prisiėmus įsipareigojimus (dėmesys darbuotojams,
skiriamas laikas lyderystei, bendravimas su darbuotojais ir reagavimas į jų poreikius), arba, jeigu to vis dar reikia,
stiprinant administracines procedūras (investavimas į procesus, kuriuos reikia administruoti, stebėti ir vykdyti). Kitaip
tariant, kad atsirastų susidomėjimas tinkamai priimti pokyčius, jų siekti ir juos įgyvendinti, reikia įveikti žmogiškuosius
elgesio ir kultūrinius barjerus.
Gyvavimo ciklo metodas
Įgyvendinimo gyvavimo ciklo metodas siūlo organizacijoms būdą, kaip naudoti COBIT sprendžiant sudėtingus klausimus
ir problemas, su kuriais paprastai susiduriama įgyvendinimo metu. Trys tarpusavyje susiję gyvavimo ciklo komponentai
yra tokie:
1. esminis, nuolatinio tobulinimo gyvavimo ciklas – tai nėra vienkartinis projektas;
2. pokyčių įgalinimas – reagavimas į elgesio ir kultūrinius aspektus;
3. programos valdymas.
Kaip aptarta pirmiau, siekiant užtikrinti įgyvendinimo ar tobulinimo iniciatyvos sėkmę, reikia sukurti atitinkamą aplinką.
Gyvavimo ciklas ir jo septyni etapai yra pateikti 17 paveikslėlyje.
17 pav. Septyni įgyvendinimo gyvavimo ciklo etapai
r
S upla
im e p ad ar yt
re
ū ti?
ką
rafi
Pa
n u oti progra m ą
4. Ką
tur
re
rim
N u s t at y ti
p a g ri n
dinius veikėjus
Nuolatinio tobulinimo gyvavimo ciklas
(vidinis žiedas)
ti g
P
Pokyčių įgalinimas
(vidurinis žiedas)
eb
K u r ti
p a t o b ul i n i m u s
Programos valdymas
(išorinis žiedas)
no
da
e?
i
A p ie
s b
ng
l
pa
im
b
ki r ė ž t
ūk a m ą i
lę
Vykdyt
veiklą i i
matuotir
Įtvirtinti n
au
požiūrį ją
ti p
ai
ys
in
im t i
us
ra
zu nešt
lta i
tus
dos
6. Ar jau pada
G auti nau
dy
pt
ą
Pripaž
pore inti
veikt ikį
i
nti
Įvertimą
esa lę
būk
d
en
Į g y v b u li n
p ato
ir
k ti
Vei doti
u
na
Vy k
i
5. Ka
an
Rodyt
i po
keis reikį
ti
gyvendinimo
uoti į
orm mandą
Suf
ko
bėti
Ste ir
tinti
ver
s pr
iež
ast
Ini c ij uo
ys
ti pr
?
ogr
am
ą
dabar?
same
ur e
2. K
o b l e ma s i r
yti pr
statgalimybes
i
ikyt
Išla
1. Koki
o
Nu
rėm
e?
7.
toliau?
sime
y
k
i
išla
ėti
tai
p
ž i ū r umą
i
Perltaty v
Ka
u
rez
3. K
ur
i?
Personalized Copy for: Dr. Jelena Mamcenko
37
METODIKA
1 etapas prasideda nuo įgyvendinimo ar tobulinimo iniciatyvos poreikio pripažinimo ir pritarimo jam. Šiame etape
nustatomos esamos silpnosios vietos ir apie pokyčių poreikį įspėjantys įvykiai, aukščiausiosios vadovybės lygmenyje
sukuriamas poreikis keistis.
2 etapas skirtas nustatyti įgyvendinimo ar tobulinimo iniciatyvos apimtį naudojant COBIT organizacijos tikslų susiejimą
su IT tikslais ir IT procesais ir, atsižvelgiant į rizikos scenarijus, galintis išryškinti pagrindinius procesus, į kuriuos
turi būti sutelktas dėmesys. Padėti suprasti ir nustatyti svarbiausias prioritetines kryptis gali ir bendrosios diagnostinės
priemonės. Tada įvertinama esama būklė, o problemos ar trūkumai nustatomi atliekant proceso gebos vertinimą.
Didelės apimties iniciatyvos turėtų būti organizuojamos kaip daugkartiniai gyvavimo ciklo pakartojimai – kai bet kurios
iniciatyvos įgyvendinimas trunka ilgiau kaip 6 mėnesius, atsiranda rizika prarasti įgytą pagreitį, suinteresuotųjų šalių
dėmesį ir dalyvavimą.
3 etape nustatomas tobulinimo tikslas, po to atliekama išsamesnė analizė ir naudojant COBIT gaires nustatomos spragos
ir galimi sprendimai. Vieni sprendimai gali būti greitai ir lengvai įgyvendinami, kiti – sudėtingesni ir ilgiau trunkantys.
Pirmenybė turėtų būti teikiama naudingesnėms ir lengviau įgyvendinamoms iniciatyvoms.
4 etape planuojami praktiniai sprendimai apibrėžiant projektus, kurie remtųsi projekto pagrindimu. Taip pat parengiamas
pokyčių įgyvendinimo planas. Tinkamai parengtas projekto pagrindimas padeda užtikrinti, kad projekto naudingumas bus
nustatytas ir bus vykdoma jo stebėsena.
5 etape parengti sprendimai įgyvendinami kasdienėje veikoje. Matavimo priemonėms nustatyti ir stebėsenai vykdyti gali
būti naudojami COBIT tikslai ir metrikos, užtikrinantys, kad IT būtų suderinamos su veikla, o veikla – vertinama. Kad
tai vyktų sėkmingai, reikia, kad aukščiausioji vadovybė dalyvautų ir rodytų suinteresuotumą, o susijusios veiklos ir IT
suinteresuotosios šalys būtų įgyvendinamų pokyčių savininkais.
6 etapas skirtas tvariam naujų ar patobulintų realizavimo priemonių veikimui ir stebėsenai, siekiant nustatyti, ar pasiekta
numatyta nauda.
7 etape įvertinama, ar pasiekti planuoti tikslai, nustatomi tolesni organizacijos IT valdymo ar vadovavimo poreikiai ir
patvirtinamas nuolatinio tobulinimo būtinumas.
Siekiant organizacijos IT valdymo ir vadovavimo tvarumo, po tam tikro laiko gyvavimo ciklas turėtų būti pakartotas.
Pirmieji žingsniai: projekto pagrindimas
Siekiant sėkmingai įgyvendinti iniciatyvas naudojant COBIT, poreikis veikti turėtų būti visuotinai pripažintas ir apie
jį gerai žinoma organizacijos viduje. Tai turėtų būti kaip „pažadinimo skambutis“ (kai pajuntamos pirmiau aprašytos
specifinės silpnosios vietos) arba kaip siektina tobulinimo galimybė, pagrįsta gaunama nauda. Turi būti suvokta, kad
pokyčiai neatidėliotini, o pagrindinės suinteresuotosios šalys turi žinoti apie riziką, jeigu nebus imtasi priemonių, taip pat
ir apie programos vykdymo naudą.
Iniciatyvos savininku turėtų būti finansinis rėmėjas, joje turėtų dalyvauti visos pagrindinės suinteresuotosios šalys ir ji
turėtų būti paremta projekto pagrindimu. Iš pradžių tai gali būti pakankamai bendros strateginės perspektyvos nuostatos
(iš viršaus žemyn), pradedant nuo aiškaus siekiamų veiklos rezultatų suvokimo, vėliau pereinant prie detalaus kritinių
užduočių ir pagrindinių etapų bei pagrindinių funkcijų ir atsakomybės aprašymo. Projekto pagrindimas yra vertingas
instrumentas, patariantis vadovybei kaip turi būti kuriama veiklos vertė. Projekto pagrindimas turėtų apimti šiuos
pagrindinius elementus:
• siekiama veiklos nauda, jos suderinimas su veiklos strategija ir naudos savininkais (kurie bus atsakingi už jos
išsaugojimą). Tam pagrįsti galėtų būti pasiremta silpnosiomis vietomis ir apie pokyčių poreikį įspėjančiais įvykiais;
• veiklos pokyčiai, reikalingi numatytai vertei sukurti. Jie galėtų būti pagrįsti veiklos būklės patikrinimais, gebos spragų
analize ir turėtų būti aiškiai nurodyta, kas patenka į pokyčių apimtį ir kas į ją nepatenka;
• investicijos, reikalingos organizacijos IT valdymo ir vadovavimo pokyčiams (remiantis reikiamų projektų išlaidų
sąmatomis);
• nuolatinės IT ir veiklos sąnaudos;
• laukiama nauda po pokyčių įgyvendinimo;
• ankstesniuose punktuose išvardytų elementų įgimta rizika, įskaitant bet kokius iššūkiais ar sėkmės veiksniais
veikiamais apribojimais ar priklausomybėmis;
• su iniciatyva susijusios funkcijos, atsakomybė ir atskaitomybė;
• kaip bus atliekama investavimo ir vertės kūrimo stebėsena viso investavimo programos gyvavimo ciklo metu ir kaip
tai bus matuojama (remiantis tikslais ir metrikomis).
38
Personalized Copy for: Dr. Jelena Mamcenko
skyrius
Įgyvendinimo gairės
7
Projekto pagrindimas nėra vienkartinis statiškas dokumentas – tai dinamiška veiklos priemonė, kuri nuolatos turi būti
atnaujinama, kad atspindėtų besikeičiantį požiūrį į ateitį, ir kad būtų išlaikytas programos įgyvendinamumas.
Įgyvendinimo ar tobulinimo iniciatyvų naudą kiekybiškai įvertinti sudėtinga, todėl reikėtų apsiriboti tik realia ir
pasiekiama nauda. Apie pasiektą naudą naudingos informacijos galėtų suteikti kitose organizacijose atlikti tyrimai.
6 pavyzdys. Statistiniai duomenys apie IT valdymą
ITGI užsakė PwC atlikti rinkos tyrimo projektą IT valdymo srityje7, kuriame dalyvavo daugiau kaip 800 IT ir veiklos respondentų iš 21 valstybės. Kaip IT
valdymo praktikos rezultatą trisdešimt aštuoni procentai respondentų nurodė mažesnes IT sąnaudas, 28,1 proc. respondentų nurodė išaugusį veiklos
konkurencingumą, o 27,1 proc. – išaugusią IT investicijų grąžą. Be to, kaip mažiau apčiuopiama nauda buvo nurodytas geresnis su IT susijusios rizikos
valdymas (42,2 proc. respondentų), geresnis komunikavimas ir ryšiai tarp veiklos ir IT (39,6 proc. respondentų) ir geresnis veiklos tikslų vykdymas IT
priemonėmis (37,3 proc. respondentų).
ISACA taip pat atliko tyrimą8, kuris nagrinėja ir parodo, kaip COBIT teikia vertę veiklai. Tyrimo duomenys suteikia daug galimybių analizei atlikti ir paaiškina,
kaip organizacijos veiklos efektyvumas susijęs su IT veiklos valdymu.
Kitame tyrime, kuriame dalyvavo 250 organizacijų iš viso pasaulio, buvo nustatyta, kad organizacijų, kurių IT valdymas yra geresnis, pelningumas yra ne
mažiau kaip 20 proc. didesnis nei tokius pačius tikslus keliančiose, prastai valdomose įmonėse.9 Tai parodo, kad IT veiklos vertę tiesiogiai lemia rezultatyvus
IT valdymas.
Galiausiai, kitame tyrime, atliktame oro linijų sektoriuje, buvo padaryta išvada, kad organizacijos IT valdymo įgyvendinimas ir nuolatinis užtikrinimas atkūrė
pasitikėjimą tarp veiklos ir IT bei lėmė padidėjusį investicijų ir strateginių tikslų suderinimą. Tyrime buvo nustatyta ir daugiau apčiuopiamos naudos faktų,
įskaitant IT nepertraukiamos veiklos sąnaudas vienam veiklos produkcijos vienetui ir galimybę skirti daugiau lėšų inovacijoms. Kitame kryžminės apklausos
tyrime, atliktame finansų sektoriuje, buvo nustatyta, kad geriau IT valdžiusių organizacijų veiklos / IT suderinimo brandos rezultatai buvo akivaizdžiai
geresni.10
I TGI, Global Status Report on the Governance of Enterprise IT (GEIT)—2011, USA, 2011, www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/
Pages/Global-Status-Report-on-the-Governance-of-Enterprise-IT-GEIT-2011.aspx
8
ISACA, Building the Business Case for COBIT® and Val ITTM Executive Briefing, USA, 2009, www.isaca.org/Knowledge-Center/Research/
ResearchDeliverables/Pages/Building-the-Business-Case-for-COBIT-and-Val-IT-Executive-Briefing.aspx
9
Weill, Peter; Jeanne W. Ross; IT Governance: How Top Performers Manage IT Decision Rights for Superior Results, Harvard Business School Press, USA, 2004
10
De Haes, Steven; Dirk Gemke; John Thorp; Wim Van Grembergen; Analyzing IT Value Management @ KLM Through the Lens of Val IT, ISACA Journal,
2011, vol 4. Van Grembergen, Wim; Steven De Haes; Enterprise Governance of IT: Achieving Alignment and Value, Springer, USA, 2009
7
Personalized Copy for: Dr. Jelena Mamcenko
39
METODIKA
Specialiai paliktas tuščias lapas
40
Personalized Copy for: Dr. Jelena Mamcenko
skyrius
COBIT 5 procesų gebos modelis
8
8
skyrius
COBIT 5 procesų gebos modelis
Įvadas
COBIT 4.1, Risk IT ir Val IT naudotojai žino šiose metodikose naudojamus procesų brandos modelius. Šie modeliai yra
naudojami organizacijos IT procesų esamai arba „tokiai, kokia yra“ brandai matuoti, reikiamai brandos būklei „kokia turi būti“,
spragoms tarp jų nustatyti ir procesui pagerinti, kad būtų pasiektas norimas brandos lygis.
COBIT 5 produktų grupė naudoja proceso gebos modelį, pagrįstą tarptautiniu mastu pripažintu standartu ISO/IEC 15504
„Programinės įrangos inžinerija – procesų vertinimas“. Šis modelis naudojamas tokiems patiems procesų vertinimo ir
tobulinimo tikslams pasiekti, t. y. jis suteikia galimybę matuoti valdymo procesų (EDM) ar vadovavimo procesų (PBRM)
efektyvumą ir nustatyti tobulintinas sritis.
Naujasis modelis skiriasi nuo COBIT 4.1 brandos modelio savo struktūra ir naudojimu, todėl reikėtų aptarti šias temas:
• COBIT 5 ir COBIT 4.1 modelių skirtumai,
• COBIT 5 modelio privalumai,
• skirtumų, kurie svarbūs COBIT naudotojams taikant modelį praktikoje, santrauka,
• COBIT 5 gebos vertinimo atlikimas.
Išsami informacija apie COBIT 5 gebos vertinimo modelį pateikiama ISACA leidinyje COBIT® procesų vertinimo
modelis, naudojant COBIT® 5 (angl. COBIT® Process Assessment Model (PAM ): Using COBIT® 5).11
Nors procesų brandos vertinimas suteikia daug vertingos informacijos apie procesų būklę, procesai yra tik viena iš
septynių valdymo ir vadovavimo realizavimo priemonių. Todėl proceso vertinimas nesuteiks visos informacijos apie
valdymo būklę organizacijoje. Dėl šios priežasties turi būti įvertintos ir kitos realizavimo priemonės.
COBIT 4.1 brandos modelio ir COBIT 5 procesų gebos modelio skirtumai
COBIT 4.1 brandos modelio elementai yra pateikti 18 paveikslėlyje.
18 pav. COBIT 4.1 brandos modelio schema
Brandos modelis
(skirtingas kiekvienam procesui)
Neegzistuojantis
Pirminis /
Ad hoc
0 brandos
lygis
1 brandos
lygis
Pasikartojantis,
bet intuityvus
2 brandos
lygis
Apibrėžtas
procesas
Valdomas ir
vertinamas
Optimalus
3 brandos
lygis
4 brandos
lygis
5 brandos
lygis
Bendrieji brandos modelio požymiai
Supratimas
ir
komunikavimas
Politika,
planai,
procedūros
Instrumentai
ir
automatizacija
COBIT 4.1 procesų kontrolės priemonės
11
Įgūdžiai
ir
kompetencija
Atsakomybė
ir
atskaitomybė
Tikslų nustatymas
ir
vertinimas
COBIT 4.1 kontrolės tikslai
http://www.isaca.org/COBIT/Pages/COBIT-5-PAM.aspx
Personalized Copy for: Dr. Jelena Mamcenko
41
METODIKA
Naudojant COBIT 4.1 brandos modelį proceso tobulinimo tikslais – matuojant proceso brandą, nustatant tikslinį brandos
lygį ir spragas – reikia naudoti šiuos COBIT 4.1 komponentus:
• pirmiausia reikia atlikti vertinimą, ar yra pasiekti proceso kontrolės tikslai,
• toliau, valdymo gairėse pateikiamas kiekvieno proceso brandos modelis naudojamas proceso brandos profiliui gauti,
• papildomai, bendrajame COBIT 4.1 brandos modelyje pateikiami šeši bendrieji brandos modelio požymiai, taikomi
kiekvienam procesui ir naudojami siekiant gauti tikslesnį proceso brandos lygio vertinimą,
• procesų kontrolės priemonės (angl. process controls) yra bendrieji kontrolės tikslai, ir atliekant proceso vertinimą juos
taip pat reikia peržiūrėti. Procesų kontrolės priemonės iš dalies sutampa su bendraisiais brandos modelio požymiais.
COBIT 5 procesų gebos modelis gali būti apibendrintas kaip parodyta 19 paveikslėlyje.
19 pav. COBIT 5 procesų gebos modelio schema
Bendrieji proceso gebos atributai
Proceso
atributai
(PA) 1.1
Proceso atlikimas
Nevykdomas
procesas
0
PA 2.1
Proceso
vykdymo
valdymas
Vykdomas
procesas
PA 2.2
Darbo
produktų
valdymas
Valdomas
procesas
1
2
3
PA 4.1
Proceso
matavimas
PA 4.2
Proceso
kontrolė
PA 5.1
PA 5.2
Proceso
Proceso
inovatyvumas optimizavimas
Prognozuojamas Optimizuojamas
procesas
procesas
4
5
COBIT 5 procesų vertinimo
modelis – gebos rodikliai
Proceso rezultatai
Darbo
produktai
(įvedami
duomenys /
rezultatai)
PA P 3.2
Proceso
įdiegimas
Apibrėžtas
procesas
COBIT 5 procesų vertinimo
modelis – veiklos atlikimo rodikliai
Bazinės
praktikos
(Vadovavimo /
valdymo
praktikos)
PA 3.1
Proceso
apibrėžimas
Bendrosios praktikos
Bendrieji ištekliai
Bendrieji darbo produktai
Yra šeši gebos lygiai, kuriuos procesas gali pasiekti, įskaitant „nevykdomo proceso“ lygį, jeigu procese aprašytos
praktikos nepasiekia numatyto proceso tikslo:
• 0 Nevykdomas procesas (angl. Incomplete Process). Procesas neįgyvendintas arba nepasiekia jam keliamų tikslų.
Šiame lygyje beveik arba visai nėra faktų, patvirtinančių sisteminį proceso tikslo pasiekimą.
• 1 Vykdomas procesas (angl. Performed Process) (vienas atributas). Vykdant procesą yra pasiekiami proceso tikslai.
• 2 Valdomas procesas (angl. Managed Process) (du atributai). Vykdomas procesas įgyvendinamas valdomu būdu
(planuojant, stebint ir pritaikant), proceso darbo produktai yra sukuriami, kontroliuojami ir palaikomi.
• 3 Apibrėžtas procesas (angl. Established Process) (du atributai). Valdomas procesas įgyvendinamas apibrėžtu būdu
ir pasiekia proceso rezultatus.
• 4 Prognozuojamas procesas (angl. Predictable Process) (du atributai). Apibrėžtas procesas vykdomas nustatytose
ribose ir pasiekia proceso rezultatus.
• 5 Optimizuojamas procesas (angl. Optimising Process) (du atributai). Prognozuojamas procesas yra nuolatos
tobulinamas, kad pasiektų nustatytus esamus ir numatomus veiklos tikslus.
Kiekvienas gebos lygis gali būti pasiektas tik tada, kai visiškai pasiekiamas žemesnis lygis. Pavyzdžiui, proceso gebos
3 lygiui (apibrėžtas procesas) pasiekti turi būti didžiąja dalimi pasiekti proceso apibrėžimo (angl. process definition)
ir proceso įdiegimo (angl. process deployment) atributai, taip pat turi būti visiškai pasiekti proceso gebos 2 lygio
(valdomas procesas) atributai.
42
Personalized Copy for: Dr. Jelena Mamcenko
skyrius
COBIT 5 procesų gebos modelis
8
Tarp proceso gebos 1 lygio ir aukštesnių gebos lygių yra esminis skirtumas. Kad būtų pasiektas proceso gebos 1 lygis,
reikia didžiąja dalimi įgyvendinti proceso atlikimo (angl. process performance) atributą, tai reiškia, kad procesas yra
sėkmingai atliktas, o organizacija pasiekė reikiamų rezultatų. Aukštesniuose gebos lygiuose naudojami kiti atributai. Šioje
vertinimo schemoje pasiektas 1 gebos lygis, net jeigu maksimalus gebos įvertinimas yra 5, yra svarbus organizacijos
pasiekimas. Atkreipkite dėmesį, kad kiekviena individuali organizacija turi pasirinkti (remdamasi kainos ir naudingumo
bei įgyvendinamumo kriterijais) savo siekiamą tikslą ar norimą lygį, kuris labai retai bus pakankamai aukštas.
ISO/IEC 15504 standartu pagrįsto procesų gebos vertinimo ir naudojamo COBIT 4.1 brandos modelio (ir panašių Val IT ir
Risk IT procesų domenų pagrindu sudarytų brandos modelių) svarbiausius skirtumus galima apibendrinti šitaip:
• ISO/IEC 15504 standartu apibrėžtų gebos lygių pavadinimai ir reikšmės gana smarkiai skiriasi nuo COBIT 4.1
procesų brandos lygių;
• ISO/IEC 15504 standartas gebos lygiams naudoja devynis proceso atributus. Šie atributai apima tam tikrą dalį COBIT
4.1 brandos požymių ir (ar) procesų kontrolės priemonių, tačiau skirtingais būdais ir tik tam tikru mastu.
Atitikties ISO/IEC 15504:2 standartui reikalavimai nustato, kad standartą atitinkančiame procesų informaciniame
modelyje, aprašant bet kurį vertinamą procesą, t. y. bet kurį COBIT 5 valdymo ir (ar) vadovavimo procesą:
• procesas turi būti aprašytas nurodant jo paskirtį ir rezultatus;
• proceso aprašyme neturi būti jokių kitų, išskyrus 1 lygio matavimo charakteristikų, tai reiškia, kad proceso aprašyme
negali būti aukštesnių nei 1 lygio proceso atributų charakteristikų. Nesvarbu, ar procesas yra matuojamas ir stebimas,
ar tik bendrai aprašytas – tai neturi būti proceso ar bet kokios vadovavimo praktikos ir (ar) priemonių aprašymo dalis.
Tai reiškia, kad procesų aprašymai, pateikti leidinyje COBIT 5. Procesų realizavimo priemonės, pateikia tik būtiną
informaciją faktinei proceso paskirčiai ir tikslams pasiekti;
• iš dviejų anksčiau paminėtų teiginių seka, kad bendrieji atributai, taikomi visiems organizacijos procesams, kurie
buvo dubliuojantys kontrolės tikslams, apibrėžtiems COBIT® 3 leidinyje, ir kurie buvo sugrupuoti į procesų
kontrolės (PC) tikslus COBIT 4.1 leidinyje, dabar yra perkeliami į vertinimo modelio 2–5 lygius.
Praktiniai skirtumai12
Iš ankstesnių apibrėžimų akivaizdu, kad yra praktinių skirtumų, susijusių su skirtingais procesų vertinimo modeliais.
Naudotojai turi žinoti šiuos skirtumus ir planuodami veiklą į juos atsižvelgti.
Pagrindiniai skirtumai, į kuriuos reikia atsižvelgti yra:
• Nors ir norėtųsi palyginti COBIT 4.1 ir COBIT 5 vertinimų rezultatus, nes akivaizdžiai panašios jiems aprašyti
naudojamos brandos skalių reikšmės ir pavadinimai, toks palyginimas yra sudėtingas dėl apimties, taikymo ir tikslo
skirtumų, kaip pateikta 20 paveikslėlyje.
• Apskritai, kaip pateikta 20 paveikslėlyje, naudojant COBIT 5 procesų gebos modelį, rezultatai bus žemesni. COBIT
4.1 brandos modelyje procesas galėtų pasiekti 1 ar 2 lygį net nepasiekdamas visų proceso tikslų; tačiau šiuo atveju
COBIT 5 procesų gebos lygyje būtų pasiektas žemesnis rezultatas – 0 ar 1.
• COBIT 4.1 ir COBIT 5 gebos skalės gali būti laikomos apytiksliai susijusiomis, kaip pateikta 20 paveikslėlyje.
• COBIT 5 metodikoje nebelieka proceso specifinio brandos modelio su išsamiu proceso turiniu, nes ISO/IEC 15504
proceso gebos vertinimui to nereikia, be to, toks požiūris netgi draudžiamas. Vietoj to, standartas numato, kad procesų
informaciniam modeliui (vertinimui naudojamam procesų modeliui) turi būti pateikiama tokia reikalinga informacija:
– proceso apibrėžimas, nurodant proceso paskirtį,
– bazinės praktikos, kurios yra lygiavertės procesų valdymo ar vadovavimo praktikoms COBIT 5 procesų gebos
modelyje,
– darbo produktai, kurie yra lygiaverčiai COBIT 5 procesų įvedamiems duomenims ir rezultatams.
• COBIT 4.1 brandos modelis buvo skirtas organizacijos brandos profiliui sudaryti. Pagrindinė šio profilio paskirtis
buvo nustatyti, kokiose srityse ir kuriuose lygiuose yra specifinės silpnosios vietos, kurias reikėtų tobulinti. Šį metodą
naudojo organizacijos, kai labiau buvo orientuojamasi į tobulinimą, o ne į poreikį gauti ataskaitoms skirtą brandos
įvertinimą. COBIT 5 metodikoje gebos vertinimo modelis kiekvienam gebos atributui pateikia matavimo skalę ir jo
vertinimo gaires, todėl vertinti galima kiekvieno proceso kiekvieną iš devynių gebos atributų.
• COBIT 4.1 brandos požymiai ir COBIT 5 proceso gebos atributai nėra identiški. Tam tikru mastu jie persidengia /
siejasi, kaip pateikta 21 paveikslėlyje. Organizacijos, kurios naudojo brandos modelio požymius pagal COBIT 4.1,
remdamosi 21 paveikslėliu gali iš naujo naudoti vertinimo duomenis ir perklasifikuoti juos pagal COBIT 5 atributų
vertinimą.
12
Daugiau informacijos galima rasti naujoje, ISO/IEC 15504 standartu pagrįstoje COBIT vertinimo programoje: www.isaca.org/cobit-assessment-programme
Personalized Copy for: Dr. Jelena Mamcenko
43
METODIKA
20 pav. Brandos lygių (COBIT 4.1) ir procesų gebos lygių (COBIT 5) palyginimo lentelė
COBIT 4.1 brandos modelio lygis
Proceso geba pagal ISO/IEC 15504
Kontekstas
5 Optimalus. Dėl nuolatinio gerinimo ir brandos modelių
rezultatų palyginimo su kitomis organizacijomis procesai
ištobulinti iki gerosios praktikos lygio. IT naudojamos
integruotu būdu, automatizuojant darbo eigą ir suteikiant
priemones kokybei ir efektyvumui gerinti bei sudarant sąlygas
organizacijai greitai prisitaikyti.
5 lygis: Optimizuojamas procesas. 4 lygio prognozuojamas
procesas yra nuolatos tobulinamas, kad atitiktų nustatytus
esamus ir numatomus veiklos tikslus.
4 Valdomas ir vertinamas. Vadovybė stebi ir vertina
4 lygis: Prognozuojamas procesas. 3 lygio apibrėžtas
procedūrų laikymąsi bei imasi priemonių, kai atrodo, kad
procesas dabar veikia nustatytose ribose ir pasiekia proceso
procesai neveikia efektyviai. Procesai nuolat tobulinami, jie
rezultatus.
teikia gerąją praktiką. Automatizavimas ir instrumentai taikomi
tik ribotai ar fragmentiškai.
3 Apibrėžtas procesas. Procedūros yra standartizuotos
ir dokumentuotos, apie tai komunikuojama per mokymus.
Įpareigojama šių procesų laikytis, tačiau nėra tikėtina, kad bus
aptikti nuokrypiai. Pačios procedūros nesudėtingos, jos tik
įformina esamą praktiką.
Organizacijos
požiūris – bendros
žinios
3 lygis: Apibrėžtas procesas. 2 lygio valdomas procesas
dabar yra įgyvendintas apibrėžtu būdu ir pasiekia proceso
rezultatus.
2 lygis: Valdomas procesas. 1 lygio vykdomas procesas
įgyvendinamas valdomu būdu (planuojant, stebint ir
pritaikant), proceso darbo produktai yra sukuriami,
kontroliuojami ir palaikomi.
2 Pasikartojantis, bet intuityvus. Procesai yra tiek išplėtoti,
kad skirtingi žmonės, atliekantys tą pačią užduotį, laikosi
panašių procedūrų. Nevyksta formaliai patvirtinti standartinių
procedūrų mokymai arba neinformuojama apie šias procedūras,
atsakomybė paliekama individualiems darbuotojams. Didelė
priklausomybė nuo individualių asmenų žinių, todėl tikėtinos
klaidos.
1 lygis: Vykdomas procesas. Vykdant procesą yra pasiekiami
proceso tikslai.
Pastaba: Gali būti, kad kai kurie procesai, kurių branda
vertinama 1 brandos modelyje, bus įvertinti 0 15504
modelyje, jeigu nebus pasiekti proceso tikslai.
Atskiras atvejis –
individualios žinios
1 Pirminis /Ad hoc. Yra faktų, rodančių, kad organizacija
suprato, jog yra spręstinų problemų. Vis dėlto nevyksta
standartizuoti procesai. Vietoj jų suformuoti ad hoc metodai,
paprastai kiekvienu individualiu atveju taikomi skirtingai.
Bendras požiūris į valdymą nesistemiškas.
0 Neegzistuojantis. Visiškai nėra jokių atpažįstamų procesų.
Organizacija net nepripažįsta, kad yra problema, kurią reikia
spręsti.
0 lygis: Nevykdomas procesas. Procesas neįgyvendintas
arba neatitinka jam keliamų reikalavimų.
21 pav. Brandos požymių (COBIT 4.1) ir procesų atributų (COBIT 5) palyginimo lentelė
Supratimas ir komunikavimas
Politika, planai, procedūros
Instrumentai ir automatizacija
Įgūdžiai ir kompetencija
Atsakomybė ir atskaitomybė
Tikslų nustatymas ir vertinimas
Pokyčių nauda
COBIT 5 proceso gebos modelio privalumai, palyginti su COBIT 4.1 brandos modeliais:
• didesnis dėmesys vykdomam procesui, siekiant patvirtinti, kad procesas faktiškai atitinka savo paskirtį ir duoda
reikiamų rezultatų, kaip ir tikėtasi;
44
Personalized Copy for: Dr. Jelena Mamcenko
Proceso
optimizavimas
Proceso
kontrolė
Proceso
inovatyvumas
Proceso matavimas
Proceso
įdiegimas
Proceso
apibrėžimas
Darbo produktų
valdymas
Proceso vykdymo
valdymas
COBIT 4.1 brandos požymiai
Proceso
atlikimas
COBIT 5 proceso gebos atributai
skyrius
COBIT 5 procesų gebos modelis
8
• supaprastintas turinys ir panaikintas dubliavimasis, nes naudojant COBIT 4.1 brandos modelį vertinimui reikėjo
naudoti keletą specifinių komponentų, įskaitant bendrąjį brandos modelį, procesų brandos modelius, kontrolės tikslus
ir procesų kontrolės priemones;
• geresnis gebos vertinimo proceso ir įvertinimų patikimumas ir pakartojamumas, mažinantys suinteresuotųjų šalių
diskusijas ir nesutarimus dėl vertinimo rezultatų;
• platesnis proceso gebos vertinimo rezultatų panaudojimas, nes naujas modelis sukuria pagrindą formalesniems ir
tikslesniems vertinimams vidaus ir galimoms išorės reikmėms;
• suderinamumas su visuotinai priimtu procesų vertinimo standartu, todėl stiprus procesų vertinimo metodo palaikymas
rinkoje.
Procesų gebos vertinimas taikant COBIT 5 metodiką
ISO/IEC 15504 standartas nustato, kad proceso gebos vertinimas gali būti atliekamas įvairia paskirtimi ir skirtingu
tikslumo laipsniu. Paskirtis gali būti vidinė, siekiant organizacijos sričių palyginimo ir (ar) procesų tobulinimo siekiant
vidinės naudos, arba gali būti išorinė, atliekant formalų vertinimą, teikiant ataskaitas ir išduodant sertifikatus.
COBIT 5 ISO/IEC 15504 standartu pagrįstas vertinimo metodas palengvina nuo 2000 metų taikomus pagrindinius
COBIT tikslus:
• sudaryti galimybę valdymo struktūrai ir vadovybei lyginti procesų gebą;
• sudaryti galimybę atlikti bendruosius „kaip yra“ ir „kaip turi būti“ valdymo būklės patikrinimus, siekiant pagrįsti
valdymo struktūros ir vadovybės sprendimus dėl investavimo, siekiant tobulinti procesus;
• turėti spragų analizės ir tobulinimo planavimo informaciją rengiant pagrįstus tobulinimo projektus;
• pateikti valdymo struktūrai ir vadovybei vertinimo rezultatus, reikalingus esamai gebai matuoti ir stebėti.
Šiame skyriuje aprašoma, kaip siekiant šių tikslų, atlikti bendrąjį vertinimą taikant COBIT 5 proceso gebos modelį.
1 gebos lygis ir aukštesni lygiai vertinami skirtingai. Jau buvo minėta, kad 1 proceso gebos lygis apibūdina, ar procesas
atitinka numatytą paskirtį, todėl jis yra labai svarbus, ir yra pagrindas aukštesniems gebos lygiams pasiekti.
Įvertinti, ar procesas pasiekė savo tikslus, ar kitaip tariant, pasiekė 1 gebos lygį, galima šiuo būdu:
1. Vertinant procesų rezultatus, aprašytus kiekvieno proceso detaliame aprašyme, ir naudojant ISO/IEC 15504 standarto
vertinimų skalę, priskiriant vertinimą, kokiu laipsniu tikslas yra pasiektas. Šią skalę sudaro šie vertinimai:
• N (nepasiekta). Nėra arba beveik nėra faktų, įrodančių, kad atliekant proceso vertinimą nustatytas atributas yra
pasiektas (0–15 proc. pasiekimas);
• P (iš dalies pasiekta). Yra tam tikrų faktų, įrodančių, kad atliekant proceso vertinimą nustatyti proceso atributai yra iš
dalies pasiekti, taip pat, kad buvo taikomas tam tikras atributo siekimo metodas. Kai kurie atributo pasiekimo aspektai
gali būti nenuspėjami (15–50 proc. pasiekimas);
• L (didžiąja dalimi pasiekta). Yra faktų, įrodančių, kad atliekant proceso vertinimą nustatyti proceso atributai yra iš
esmės pasiekti, taip pat, kad buvo taikomas sisteminis atributo siekimo metodas. Vertinamame procese gali būti tam
tikrų silpnųjų vietų, susijusių su šiuo požymiu (50–85 proc. pasiekimas);
• F (visiškai pasiekta). Yra faktų, įrodančių, kad atliekant proceso vertinimą nustatyti procreso atributai yra visiškai
pasiekti, taip pat, kad buvo taikomas išsamus ir sisteminis atributo siekimo metodas. Vertinamame procese nėra jokių
svarbių silpnųjų vietų, susijusių su šiuo požymiu (85–100 proc. pasiekimas).
2. B
e to, naudojant tą pačią vertinimų skalę, gali būti vertinama proceso (valdymo ar vadovavimo) praktika, parodant,
kokiu mastu yra taikomos bazinės praktikos;
3. S
iekiant dar tikslesnio įvertinimo, norint nustatyti, kokiu mastu pasiektas specifinis vertinimo atributas, taip pat gali būti
atsižvelgiama į darbo produktus.
Nors kiekviena organizacija pati nusprendžia, kokio gebos lygio turėtų būti siekiama, daugelis organizacijų sieks,
kad visi jų procesai pasiektų 1 gebos lygį. (Priešingu atveju, kokia prasmė vykdyti šiuos procesus?) Jeigu šis lygis
nepasiekiamas, lygio nepasiekimo priežastys taps iškart aiškios iš pirmiau pateikto paaiškinimo, ir bus galima nustatyti
tobulinimo planą:
1. J eigu reikiamas proceso rezultatas nėra iki galo pasiektas, procesas nepasiekia tikslo ir turi būti patobulintas.
2. P
roceso praktikų vertinimas atskleis, kurių praktikų trūksta ar kokių praktikų nepavyksta įgyvendinti, tokiu būdu
realizuojant reikiamų praktikų įgyvendinimą ir (ar) tobulinimą, kad visi procesų rezultatai būtų pasiekti.
Aukštesniems proceso gebos lygiams naudojama bendroji praktika, paimta iš ISO/IEC 15504:2 standarto. Kiekvienam
gebos lygiui ji pateikia bendrąsias gebos charakteristikas.
Personalized Copy for: Dr. Jelena Mamcenko
45
METODIKA
Specialiai paliktas tuščias lapas
46
Personalized Copy for: Dr. Jelena Mamcenko
A priedas
Šaltiniai
A priedas
Šaltiniai
Kuriant COBIT 5 metodiką buvo naudojamos šios metodikos, standartai ir gairės:
Association for Project Management (APM); APM Introduction to Programme Management, Latimer, Trend and Co., UK,
2007
British Standards Institute (BSI), BS25999:2007 Business Continuity Management Standard, UK, 2007
CIO Council, Federal Enterprise Architecture (FEA ), ver 1.0, USA, 2005
European Commission, The Commission Enterprise IT Architecture Framework (CEAF ), Belgium, 2006
Kotter, John; Leading Change, Harvard Business School Press, USA, 1996
HM Government, Best Management Practice Portfolio, Managing Successful Programmes (MSP ), UK, 2009
HM Government, Best Management Practice Portfolio, PRINCE2®, UK, 2009
HM Government, Best Management Practice Portfolio, Information Technology Infrastructure Library (ITIL®), 2011
International Organization for Standardization (ISO), 9001:2008 Quality Management Standard, Switzerland, 2008
ISO/International Electrotechnical Commission (IEC), 20000:2006 IT Service Management Standard, Switzerland, 2006
ISO/IEC, 27005:2008, Information Security Risk Management Standard, Switzerland, 2008
ISO/IEC, 38500:2008, Corporate Governance of Information Technology Standard, Switzerland, 2008
King Code of Governance Principles (King III ), South Africa, 2009
Organisation for Economic Co-operation and Development (OECD), OECD Principles of Corporate Governance,
France, 2004
The Open Group, TOGAF® 9, UK, 2009
Project Management Institute, Project Management Body of Knowledge (PMBOK®), USA, 2008
UK Financial Reporting Council, Combined Code on Corporate Governance, UK, 2009
Personalized Copy for: Dr. Jelena Mamcenko
47
METODIKA
Specialiai paliktas tuščias lapas
48
Personalized Copy for: Dr. Jelena Mamcenko
B priedas
Išsami informacija apie organizacijos tikslų ir IT tikslų sąsajas
B priedas
Išsami informacija apie organizacijos tikslų ir
IT tikslų sąsajas
COBIT 5 tikslų hierarchija yra paaiškinta 2 skyriuje.
22 paveikslėlyje pateikta sąsajų lentelė parodo, kokią įtaką organizacijos tikslai turi IT tikslams (arba kaip organizacijos
tikslai siejasi su IT tikslais). Lentelėje yra pateikta ši informacija:
• stulpeliuose – 17 sugrupuotų pagal BSC perspektyvas COBIT 5 metodikoje naudojamų bendrųjų organizacijos tikslų,
• eilutėse – 17 IT tikslų, taip pat sugrupuotų pagal BSC perspektyvas,
• sąsaja, kaip su kiekvienu organizacijos tikslu siejasi IT tikslai:
– P reiškia pagrindinį, svarbų ryšį, t. y. IT tikslas yra pagrindinis organizacijos tikslui pasiekti,
– A reiškia antraeilį, stiprų, bet mažiau svarbų ryšį, t. y. IT tikslas yra antraeilis organizacijos tikslui pasiekti.
7 pavyzdys. Sąsajų lentelė
Sąsajų lentelė parodo, kad:
• 7 organizacijos tikslas. Veiklos paslaugų tęstinumas ir prieinamumas:
– v isų pirma priklausys nuo šių IT tikslų pasiekimo:
• 04 Valdoma IT veiklos rizika,
• 10 Informacijos, apdorojančios infrastruktūros ir taikomųjų programų saugumas,
• 14 Patikimos ir sprendimų priėmimui naudingos informacijos prieinamumas,
– taip pat priklauso, nors ir mažiau, nuo šių IT tikslų pasiekimo:
• 01 IT ir veiklos strategijos suderinimas,
• 07 IT paslaugų teikimas, atsižvelgiant į veiklos poreikius,
• 08 Taikomųjų programų, informacijos ir technologijų sprendimų tinkamas taikymas,
• naudodami lentelę priešinga kryptimi, siekiant 09 IT tikslo IT lankstumas, matome, kad jis padės pasiekti keletą organizacijos tikslų:
– visų pirma šiuos organizacijos tikslus:
• 2. Konkurencingų produktų ir paslaugų portfelis,
• 8. Lankstus reagavimas į besikeičiančią veiklos aplinką,
• 11. Veiklos procesų funkcionalumo optimizavimas,
• 17. Produkto ir veiklos pažangos kultūra,
– šiek tiek mažesne apimtimi – šiuos organizacijos tikslus:
• 1. Veiklos investicijų vertė suinteresuotosioms šalims,
• 3. Valdoma veiklos rizika (turto apsaugojimas),
• 6. Į klientą orientuoto aptarnavimo kultūra,
• 13. Valdomos veiklos pokyčių programos,
• 14. Veiklos ir darbuotojų produktyvumas,
• 16. Kvalifikuoti ir motyvuoti darbuotojai.
Lentelė buvo sudaryta, remiantis:
• moksliniais tyrimais, atliktais Antverpeno universiteto Verslo mokyklos IT suderinimo valdymo institute,
• papildomomis peržiūros ir ekspertų nuomonėmis, gautomis COBIT 5 kūrimo ir peržiūros metu.
Personalized Copy for: Dr. Jelena Mamcenko
49
METODIKA
Naudodamiesi 22 paveikslėlyje pateikta lentele, atsižvelkite į 2 skyriuje pateiktas pastabas, kaip naudotis
COBIT 5 tikslų hierarchija.
22 pav. COBIT 5 organizacijos tikslų ir IT tikslų sąsajos
Lankstus reagavimas į besikeičiančią veiklos aplinką
Informacija pagrįstas strateginių sprendimų priėmimas
Paslaugų teikimo sąnaudų optimizavimas
7.
8.
9.
10. 11. 12. 13. 14. 15. 16. 17.
IT tikslai
Finansų
01 IT ir veiklos strategijos suderinimas
P
P
Kliento
Finansų
02 IT srities išorės teisės aktų ir taisyklių
laikymasis ir parama veiklai, laikantis šių
normų
03 Vadovybės įsipareigojimas priimti su IT
susijusius sprendimus
A
04 Valdoma IT veiklos rizika
05 Nauda, gauta iš IT įgalintų investicijų ir
paslaugų portfelio
P
06 IT sąnaudų, naudos ir rizikos skaidrumas
A
07 IT paslaugų teikimas atsižvelgiant į veiklos
poreikius
P
P
A
08 Taikomųjų programų, informacijos ir
technologijų sprendimų tinkamas taikymas
A
A
09 IT lankstumas
A
P
Vidaus (procesų)
A
P
A
P
A
A
A
A
A
A
P
12 Veiklos procesų realizavimas ir parama, į
juos integruojant taikomąsias programas ir
technologijas
A
P
A
A
13 Reikalavimus bei kokybės standartus
atitinkančių, naudingų programų
vykdymas laiku ir neviršijant biudžeto
P
A
A
A
14 Patikimos ir sprendimų priėmimui
naudingos informacijos prieinamumas
A
A
A
A
A
A
17 Veiklos pažangai skirtos žinios, patirtis ir
iniciatyvos
A
P
P
A
P
A
P
A
A
P
A
A
A
P
A
A
P
P
P
A
A
A
A
A
A
A
A
P
P
A
P
A
P
A
A
A
A
P
A
A
A
A
P
P
A
P
A
A
P
A
A
A
P
11 IT turto, išteklių ir gebos optimizavimas
A
P
P
A
P
P
A
A
16 Kompetentingi ir motyvuoti veiklos ir IT
darbuotojai
A
Mokymosi
ir
augimo
Vidaus (procesų)
P
P
15 IT atitiktis vidaus politikai
Mokymosi
ir
augimo
P
A
P
10 Informacijos, apdorojančios infrastruktūros
ir taikomųjų programų saugumas
50
A
A
P
Kliento
Produkto ir veiklos pažangos kultūra
Veiklos paslaugų tęstinumas ir prieinamumas
6.
Kvalifikuoti ir motyvuoti darbuotojai
Į klientą orientuoto aptarnavimo kultūra
5.
Vidaus politikos laikymasis
Finansinis skaidrumas
4.
Veiklos ir darbuotojų produktyvumas
Išorės teisės aktų ir taisyklių laikymasis
3.
Valdomos veiklos pokyčių programos
Valdoma veiklos rizika (turto apsaugojimas)
2.
Veiklos procesų sąnaudų optimizavimas
Konkurencingų produktų ir paslaugų portfelis
1.
Veiklos procesų funkcionalumo optimizavimas
Veiklos investicijų vertė suinteresuotosioms šalims
Organizacijos tikslai
P
A
P
A
P
A
A
A
A
A
P
A
A
A
A
A
P
A
A
P
P
A
P
A
A
A
P
Personalized Copy for: Dr. Jelena Mamcenko
P
A
A
A
P
A
A
P
C priedas
Išsami informacija apie IT tikslų ir IT procesų sąsajas
C priedas
Išsami informacija apie IT tikslų ir IT procesų sąsajas
Šiame priede pateikta IT tikslų sąsajų lentelė ir informacija, kaip šie tikslai susiję su IT procesais – tai 2 skyriuje
naudojamos tikslų hierarchijos dalis.
23 paveikslėlyje pateikta ši informacija:
• stulpeliuose – 17 bendrųjų IT tikslų, apibrėžtų 2 skyriuje ir sugrupuotų pagal IT BSC perspektyvas,
• eilutėse –37 COBIT 5 IT procesai, sugrupuoti pagal domenus,
• sąsaja, kaip kiekvienas COBIT 5 IT procesas susijęs su IT tikslais, kur:
– P reiškia pagrindinį, svarbų ryšį, t. y. COBIT 5 procesas yra pagrindinis IT tikslui pasiekti,
– A reiškia antraeilį, stiprų, bet mažiau svarbų ryšį, t. y. COBIT 5 procesas yra antraeilis IT tikslui pasiekti.
8 pavyzdys. APO13 Valdyti saugą
Procesas APO13 Valdyti saugą padės:
• visų pirma pasiekti šiuos IT tikslus:
– 02 IT srities išorės teisės aktų ir taisyklių laikymasis ir parama veiklai, laikantis šių normų,
– 04 Valdoma IT veiklos rizika,
– 06 IT sąnaudų, naudos ir rizikos skaidrumas,
– 10 Informacijos, apdorojančios infrastruktūros ir taikomųjų programų saugumas,
– 14 Patikimos ir sprendimų priėmimui naudingos informacijos prieinamumas,
• šiek tiek mažesne apimtimi pasiekti šiuos su IT susijusius tikslus:
– 07 IT paslaugų teikimas atsižvelgiant į veiklos poreikius,
– 08 Taikomųjų programų, informacijos ir technologijų sprendimų tinkamas taikymas.
Lentelė buvo sudaryta, remiantis:
• moksliniais tyrimais, atliktais Antverpeno universiteto Verslo mokyklos IT suderinimo valdymo institute,
• papildomomis peržiūros ir ekspertų nuomonėmis, gautomis COBIT 5 kūrimo ir peržiūros metu.
Personalized Copy for: Dr. Jelena Mamcenko
51
METODIKA
Naudodamiesi 23 paveikslėlyje pateikta lentele, atsižvelkite į 2 skyriuje pateiktas pastabas, kaip naudotis COBIT 5
tikslų hierarchija.
23 pav. COBIT 5 IT tikslų ir procesų sąsajos
Suderinti, planuoti ir organizuoti
Vertinti, nustatyti kryptį ir stebėti
COBIT 5 procesai
9.
10.
Veiklos pažangai skirtos žinios, patirtis ir iniciatyvos
8.
Kompetentingi ir motyvuoti veiklos ir IT darbuotojai
7.
IT atitiktis vidaus politikai
6.
Patikimos ir sprendimų priėmimui naudingos
informacijos prieinamumas
5.
Reikalavimus bei kokybės standartus atitinkančių
naudingų programų vykdymas laiku ir neviršijant
biudžetostandards
4.
Finansų
11.
12.
13.
14.
15.
16.
17.
Kliento
Mokymosi
ir
augimo
Vidaus (procesų)
EDM01 Užtikrinti valdymo
sistemos įdiegimą ir
priežiūrą
P
EDM02 Užtikrinti naudos
sukūrimą
P
EDM03 Užtikrinti rizikos
optimizavimą
A
EDM04 Užtikrinti išteklių
optimizavimą
A
EDM05 Užtikrinti skaidrumą
suinteresuotosioms
šalims
A
A
P
APO01 Valdyti IT valdymo
sistemą
P
P
A
A
APO02 Valdyti strategiją
P
A
A
A
APO03 Valdyti organizacijos
architektūrą
P
A
A
A
APO04 Valdyti inovacijas
A
A
P
APO05 Valdyti portfelį
P
A
A
P
A
APO06 Valdyti biudžetą ir
sąnaudas
A
A
A
P
P
APO07 Valdyti žmogiškuosius
išteklius
P
A
A
APO08 Valdyti ryšius
P
A
A
A
A
P
A
APO09 Valdyti paslaugų
sutartis
A
A
A
A
P
A
A
A
A
A
P
A
A
P
A
A
P
A
P
A
A
A
A
A
A
A
P
P
A
A
A
P
A
A
A
A
APO12 Valdyti riziką
P
P
P
A
A
A
P
A
A
A
A
APO13 Valdyti saugą
P
P
P
A
A
APO10 Valdyti tiekėjus
APO11 Valdyti kokybę
52
3.
Veiklos procesų realizavimas ir parama, į juos
integruojant taikomąsias programas ir technologijas
2.
IT turto, išteklių ir gebos optimizavimas
1.
IT srities išorės teisės aktų ir taisyklių laikymasis ir
parama veiklai, laikantis šių normų
Vadovybės įsipareigojimas priimti su IT susijusius
sprendimus
Valdoma IT veiklos rizika
Nauda, gauta iš IT įgalintų investicijų ir
paslaugų portfelio
IT sąnaudų, naudos ir rizikos skaidrumas
IT paslaugų teikimas atsižvelgiant į veiklos
poreikiusrequirements
Taikomųjų programų, informacijos ir technologijų
sprendimų tinkamas taikymas
IT lankstumas
Informacijos, apdorojančios infrastruktūros ir
taikomųjų programų saugumas
IT ir veiklos strategijos suderinimas
IT tikslai
A
A
P
A
A
A
A
A
P
A
A
A
A
P
P
P
P
A
P
A
A
A
A
A
P
P
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
P
P
P
P
A
A
P
A
A
A
A
A
A
A
P
A
A
P
A
A
P
A
A
A
P
P
P
A
A
A
A
A
A
P
P
A
A
A
A
A
P
P
A
A
A
A
P
P
P
P
A
A
A
A
P
A
A
A
A
P
P
A
P
P
A
A
A
P
A
A
A
A
A
P
P
Personalized Copy for: Dr. Jelena Mamcenko
P
A
P
A
C priedas
Išsami informacija apie IT tikslų ir IT procesų sąsajas
23 pav. COBIT 5 IT tikslų ir procesų sąsajos (tęsiama)
Stebėti, vertinti ir įvertinti
Teikti, aptarnauti ir palaikyti
Formuoti, įsigyti ir įdiegti
COBIT 5 procesai
6.
Finansų
BAI01
Valdyti programas ir
projektus
P
BAI02
Valdyti reikalavimų
nustatymą
P
BAI03
Valdyti sprendimų
identifikavimą ir
formavimą
A
BAI04
Valdyti prieinamumą ir
pajėgumus
BAI05
Valdyti pasirengimą
organizaciniams
pokyčiams
A
A
P
P
A
A
14.
15.
Vidaus (procesų)
A
A
P
A
A
A
P
A
A
P
A
A
P
A
A
A
P
P
A
P
A
A
A
A
A
A
A
A
A
A
A
P
A
P
A
A
A
A
A
A
A
P
A
A
A
A
A
P
A
A
A
A
A
P
P
A
P
A
A
A
P
A
A
P
A
A
A
A
A
Valdyti žinias
BAI09
Valdyti turtą
A
A
P
BAI10
Valdyti konfigūraciją
P
A
A
DSS01
Valdyti veiklą
A
P
DSS02
Valdyti paslaugų
užklausas ir incidentus
DSS03
Valdyti problemas
DSS04
Valdyti tęstinumą
DSS05
Valdyti saugos
paslaugas
DSS06
Valdyti veiklos procesų
kontrolę
A
A
P
A
A
P
A
P
A
A
A
A
P
A
P
A
A
A
P
P
A
A
P
MEA02 Stebėti, vertinti
ir įvertinti vidaus
kontrolės sistemą
P
P
MEA03 Stebėti, vertinti
ir įvertinti išorės
reikalavimų laikymąsi
P
P
A
A
P
A
P
A
A
A
A
A
A
A
A
A
P
A
A
P
A
P
A
A
A
A
P
A
A
P
A
A
A
A
P
A
A
A
A
A
A
P
A
A
P
A
A
A
A
A
A
A
Personalized Copy for: Dr. Jelena Mamcenko
A
A
A
A
P
A
P
16. 17.
Mokymosi
ir
augimo
A
BAI08
A
Veiklos pažangai skirtos žinios, patirtis ir iniciatyvos
13.
P
Valdyti pokyčius
A
12.
A
Valdyti pokyčių
patikros ir pertvarkos
procesus
A
11.
A
BAI06
A
10.
Kompetentingi ir motyvuoti veiklos ir IT
darbuotojaidarbuotojai
IT paslaugų teikimas atsižvelgiant į veiklos poreikius
Taikomųjų programų, informacijos ir technologijų
sprendimų tinkamas taikymas
IT lankstumas
Informacijos, apdorojančios infrastruktūros ir
taikomųjų programų saugumas
9.
A
A
A
BAI07
MEA01 Stebėti, vertinti
ir įvertinti veiklos
efektyvumą ir atitiktį
8.
Kliento
A
A
7.
IT atitiktis vidaus politikai
5.
Patikimos ir sprendimų priėmimui naudingos
informacijos prieinamumas
4.
Reikalavimus bei kokybės standartus atitinkančių
naudingų programų vykdymas laiku ir
neviršijant biudžeto
3.
Veiklos procesų realizavimas ir parama, į juos
integruojant taikomąsias programas ir technologijas
2.
IT turto, išteklių ir gebos optimizavimas
1.
IT srities išorės teisės aktų ir taisyklių laikymasis ir
parama veiklai, laikantis šių normų
Vadovybės įsipareigojimas priimti su IT susijusius
sprendimus
Valdoma IT veiklos rizika
Nauda, gauta iš IT įgalintų investicijų ir paslaugų
portfelio
IT sąnaudų, naudos ir rizikos skaidrumas
IT ir veiklos strategijos suderinimas
IT tikslai
A
P
A
P
A
A
A
A
A
A
A
A
P
A
A
A
P
A
A
A
53
METODIKA
Specialiai paliktas tuščias lapas
54
Personalized Copy for: Dr. Jelena Mamcenko
D priedas
Suinteresuotųjų šalių poreikiai ir organizacijos tikslai
D priedas
Suinteresuotųjų šalių poreikiai ir organizacijos tikslai
4 skyriuje buvo aprašyti atskiri tikslų hierarchijos etapai, pradedant suinteresuotųjų šalių poreikiais ir baigiant realizavimo
priemonių tikslais. 2 skyriuje buvo pateikta lentelė su tipiniais IT valdymo ir vadovavimo klausimais. Suinteresuotosioms
šalims svarbu žinoti, kaip šie klausimai yra susiję su organizacijos tikslais. Dėl šios priežasties pateikiamas
24 paveikslėlis, kuriame parodyta, kaip suinteresuotųjų šalių poreikiai gali būti susieti su organizacijos tikslais.
Lentelė gali būti naudojama, kai reikia iškelti konkrečius organizacijos ar IT tikslus ir nustatyti prioritetus, remiantis
konkrečiais suinteresuotųjų šalių poreikiais. Naudoti šią lentelę reikėtų taip pat atsargiai kaip ir kitas tikslų hierarchijos
lenteles, t. y. kiekvienos organizacijos situacija skiriasi, ir šios lentelės neturėtų būti naudojamos automatiškai, o tik
kaip bendroji ryšių visuma. 24 paveikslėlyje suinteresuotųjų šalių poreikio ir organizacijos tikslo sankirtos langelis yra
nuspalvintas, jeigu siekiant tikslo į tokį poreikį reikia atsižvelgti.
SUINTERESUOTŲJŲ ŠALIŲ POREIKIAI
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
Kvalifikuoti ir motyvuoti
darbuotojai
Produkto ir veiklos pažangos
kultūra
Vidaus politikos laikymasis
Veiklos investicijų vertė
suinteresuotosioms šalims
Konkurencingų produktų ir
paslaugų portfelis
Valdoma veiklos rizika (turto
apsaugojimas)
Išorės teisės aktų ir taisyklių
laikymasis
Finansinis skaidrumas
Į klientą orientuoto
aptarnavimo kultūra
Veiklos paslaugų tęstinumas
ir prieinamumas
Lankstus reagavimas į
besikeičiančią veiklos aplinką
Informacija pagrįstas
strateginių sprendimų
priėmimas
Paslaugų teikimo sąnaudų
optimizavimas
Veiklos procesų funkcionalumo
optimizavimas
Veiklos procesų sąnaudų
optimizavimas
Valdomos veiklos pokyčių
programos
Veiklos ir darbuotojų
produktyvumas
24 pav. COBIT 5 organizacijos tikslų ir valdymo ir vadovavimo klausimų sąsajos
16.
17.
Kaip gaunu vertę naudodamas
IT? Ar galutiniai naudotojai yra
patenkinti IT paslaugų kokybe?
Kaip valdau IT veiklą?
Kaip geriausiai galiu išnaudoti
naujas technologijas naujoms
strateginėms galimybėms?
Kaip geriausiai galiu sukurti savo
IT departamentą ir parinkti jo
struktūrą?
Kiek priklausau nuo išorės
tiekėjų? Ar gerai valdomos IT
išorės tiekėjų sutartys? Kaip
galiu gauti išorės tiekėjų veiklos
kokybės užtikrinimą?
Kokie (kontrolės) reikalavimai
keliami informacijai?
Ar nustačiau visą su IT susijusią
riziką?
Ar vykdau efektyvią ir išorės
poveikiui atsparią IT veiklą?
Kaip valdau IT sąnaudas?
Ar naudoju IT išteklius
efektyviausiu ir rezultatyviausiu
būdu? Kokios yra efektyviausios
ir rezultatyviausios išteklių
pasirinkimo alternatyvos?
Ar turiu pakankamai IT srities
darbuotojų? Kaip išlaikau ir
tobulinu jų įgūdžius ir kaip
vadovauju jų veiklai?
Kaip užtikrinu IT kokybę?
Personalized Copy for: Dr. Jelena Mamcenko
55
METODIKA
SUINTERESUOTŲJŲ ŠALIŲ POREIKIAI
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Ar mano apdorojama informacija
yra saugi?
Kaip gerinu veiklos lankstumą
išnaudodamas lankstesnę IT
aplinką?
Ar IT projektai nepasiekia
nustatytų tikslų? Jeigu taip,
kodėl? Ar IT yra kliūtis vykdyti
veiklos strategiją?
Kiek lemiamos yra IT
organizacijos veiklai? Ką darau,
jeigu IT yra neprieinamos?
Kokie svarbūs veiklos procesai
priklauso nuo IT ir kokie yra
veiklos procesų poreikiai IT?
Kiek vidutiniškai viršijamas IT
veiklos biudžetas? Kaip dažnai ir
kiek IT projektai viršija biudžetą?
Kiek IT pastangų skiriama
„gaisrams gesinti“, o ne veiklai
tobulinti?
Ar pakanka esamų IT išteklių
ir infrastruktūros organizacijos
strateginiams tikslams pasiekti?
Kiek laiko užtrunka priimti
svarbius IT sprendimus?
Ar bendros IT pastangos ir
investicijos yra skaidrios?
Ar IT padeda organizacijai
laikytis taisyklių ir paslaugų lygių
reikalavimų? Kaip galiu žinoti, ar
laikausi visų taikomų taisyklių?
56
Personalized Copy for: Dr. Jelena Mamcenko
11.
12.
13.
14.
15.
Kvalifikuoti ir motyvuoti
darbuotojai
Produkto ir veiklos pažangos
kultūra
Vidaus politikos laikymasis
Veiklos investicijų vertė
suinteresuotosioms šalims
Konkurencingų produktų ir
paslaugų portfelis
Valdoma veiklos rizika (turto
apsaugojimas)
Išorės teisės aktų ir taisyklių
laikymasis
Finansinis skaidrumas
Į klientą orientuoto
aptarnavimo kultūra
Veiklos paslaugų tęstinumas
ir prieinamumas
Lankstus reagavimas į
besikeičiančią veiklos aplinką
Informacija pagrįstas
strateginių sprendimų
priėmimas
Paslaugų teikimo sąnaudų
optimizavimas
Veiklos procesų
funkcionalumo optimizavimas
Veiklos procesų sąnaudų
optimizavimas
Valdomos veiklos pokyčių
programos
Veiklos ir darbuotojų
produktyvumas
24 pav. COBIT 5 organizacijos tikslų ir valdymo ir vadovavimo klausimų sąsajos (tęsiama)
16.
17.
E priedas. COBIT 5 sąsajos su
pagrindiniais taikomais standartais ir metodikomis
E priedas
COBIT 5 sąsajos su pagrindiniais taikomais standartais
ir metodikomis
Įvadas
Šiame priede COBIT 5 metodika palyginama su pagrindiniais valdymo srityje taikomais standartais ir metodikomis.
Lyginant su ISO/IEC 38500 standartu, buvo atsižvelgiama į ISO/IEC 38500 principus; kitų standartų ir metodikų
palyginimui naudojama lentelė, kurioje COBIT 5 procesai susiejami su atitinkama taikomų standartų ir metodikų
informacija.
COBIT 5 ir ISO/IEC 38500
Toliau apibendrinama, kaip COBIT 5 metodika gali būti taikoma standarto principams įgyvendinti. Standartas ISO/IEC
38500:2008 „Organizacijos informacinių technologijų valdymas“ yra pagrįstas šešiais pagrindiniais principais. Toliau
paaiškinama kiekvieno principo praktinė reikšmė, ir pateikiama COBIT 5 geroji praktika, kaip standartas galėtų būti
įgyvendintas.
ISO/IEC 38500 principai
1 PRINCIPAS – ATSAKOMYBĖ
Ką tai reiškia praktikoje:
Veikla (klientas) ir IT (tiekėjas) turi bendradarbiauti kaip partneriai rezultatyviai komunikuodami, remdamiesi pozityviu ir
patikimu ryšiu bei aiškiai suprasdami atsakomybę ir atskaitingumą. Didesnėse organizacijose IT valdymo komitetas (taip pat
vadinamas IT strateginiu komitetu), veikiantis tarybos vardu ir kuriam pirmininkauja tarybos narys, yra labai rezultatyvus
mechanizmas, skirtas vertinti, nustatyti kryptį ir stebėti IT naudojimą organizacijoje bei konsultuoti tarybą kritiniais IT
klausimais. Mažų ir vidutinių organizacijų, turinčių paprastesnę struktūrą ir trumpesnes komunikavimo grandis, už IT
veiklą atsakingi vadovai turi naudoti paprastesnius būdus. Visais atvejais yra reikalingos atitinkamos valdymo organizacinės
struktūros, funkcijos ir atsakomybė, turinčios valdymo struktūros įgaliojimus ir aiškią nuosavybę bei atskaitingumą už
svarbius sprendimus ir užduotis. Tai taikytina ir santykiams su pagrindinėmis trečiosiomis šalimis – IT paslaugų teikėjais.
Kaip ISACA gairės įgalina gerąją praktiką:
1. C
OBIT 5 metodika apibrėžia daugelį organizacijos IT valdymo realizavimo priemonių. Šiame kontekste ypač svarbios
procesų realizavimo priemonės ir organizacinių struktūrų realizavimo priemonės, suderintos su RACI13 lentelėmis.
Lentelės labai skatina atsakomybės priskyrimą ir nurodo pavyzdines tarybos narių ir vadovybės funkcijas ir atsakomybę
už visus pagrindinius susijusius procesus ir veiklą.
2. C
OBIT 5. Įgyvendinimas paaiškina suinteresuotųjų šalių ir kitų susijusių šalių atsakomybę įgyvendinant ar tobulinant IT
valdymą.
3. C
OBIT 5 turi du stebėsenos lygmenis. Pirmasis lygmuo yra svarbus valdymo kontekste. Procesas EDM05 Užtikrinti
skaidrumą suinteresuotosioms šalims paaiškina direktoriaus funkciją stebint ir vertinant IT valdymą ir IT veiklos
efektyvumą naudojant bendrąjį metodą tikslams, uždaviniams ir naudojamoms metrikoms nustatyti.
2 PRINCIPAS – STRATEGIJA
What this means in practice:
Ką tai reiškia praktikoje:
IT strateginis planavimas yra kompleksinė ir svarbi užduotis, reikalaujanti tikslaus organizacijos veiklos padalinių ir IT
strateginių planų koordinavimo. Taip pat labai svarbu suteikti prioritetą planams, turintiems didžiausią tikimybę pasiekti
norimą naudą, ir rezultatyviai paskirstyti išteklius. Bendruosius strateginius tikslus reikia paversti realiais taktiniais
planais, iki minimumo sumažinti galimas nesėkmes ir netikėtumus. Tikslas yra sukurti vertę, vadovaujantis strateginiais
tikslais ir atsižvelgiant į esamą riziką ir tarybai priimtiną rizikos lygį. Nors yra svarbu išlaikyti planų hierarchiją iš viršaus į
apačią, planai turi būti lankstūs ir pritaikomi, taip pat turi atitikti sparčiai besikeičiančius veiklos poreikius ir IT galimybes.
IT gebėjimų buvimas ar jų trūkumas gali sudaryti sąlygas įgyvendinti veiklos strategijas arba trukdyti jas įgyvendinti; todėl
IT strateginis planavimas turėtų numatyti skaidrų ir tinkamą IT gebėjimų planavimą. Planuojant reikėtų vertinti esamos IT
infrastruktūros ir žmogiškųjų išteklių gebėjimą atitikti būsimos veiklos reikalavimams bei atsižvelgti į būsimas technologines
naujoves, leidžiančias įgyti konkurencinių pranašumų ir (ar) optimizuoti sąnaudas. IT ištekliai taip pat yra ryšiai su daugeliu
išorės produkto pardavėjų ir paslaugų teikėjų, iš kurių dalis atlieka lemiamą vaidmenį organizacijos veikloje. Todėl strateginis
išteklių valdymas yra svarbi strateginio planavimo veikla. Nustatyti jos kryptį ir prižiūrėti, ar jos laikomasi, privalo vadovybė.
13
RACI lentelėje nustatoma, kas yra atsakingas, atskaitingas už užduotį, konsultuojantis ir informuojamas apie ją.
Personalized Copy for: Dr. Jelena Mamcenko
57
METODIKA
Kaip ISACA gairės įgalina gerąją praktiką:
1. C
OBIT 5 pateikia konkrečias gaires kaip turi būti valdomos IT investicijos ir (valdymo domene esančiame procese
EDM02 Užtikrinti naudos sukūrimą) kaip svarbu, siekiant strateginių tikslų, turėti tinkamus projektų pagrindimus.
2. C
OBIT 5 APO domeną sudaro vidaus ir išorės IT išteklių rezultatyviam planavimui ir organizavimui reikalingi procesai,
įskaitant strateginį planavimą, technologijų ir architektūros planavimą, organizacinį planavimą, inovacijų planavimą,
portfelio valdymą, rizikos valdymą, ryšių valdymą ir kokybės valdymą. Remiantis skirtingų pramonės sektorių tyrimais,
paaiškintas veiklos ir IT tikslų suderinimas, pateikiami bendrieji pavyzdžiai, rodantys, kaip IT remia veiklos strateginius
tikslus.
3. N
ustatant ir suderinant organizacijos tikslus ir IT tikslus, geriau suprantama organizacijos tikslų, IT tikslų ir realizavimo
priemonių hierarchinė priklausomybė, taip pat apimanti ir IT procesus. Pateikiamas aiškus 17 bendrųjų organizacijos
tikslų ir 17 bendrųjų IT tikslų sąrašas, kuris, remiantis atlikto tyrimo rezultatais, įvairiuose sektoriuose yra laikomas
tinkamu ir patikimu. Kartu su šiuos tikslus siejančia priklausomybės informacija tai sudaro patikimą pagrindą bendrajai
hierarchinei veiklos tikslų ir IT tikslų sąsajai formuoti.
3 PRINCIPAS – ĮSIGIJIMAS
Ką tai reiškia praktikoje:
IT sprendimai yra skirti veiklos procesams, todėl IT sprendimai neturėtų būti vertinami atskirai ar tik kaip technologijų
projektas ar paslauga. Kita vertus, netinkamas technologijų architektūros pasirinkimas, esamos ir tinkamos techninės
infrastruktūros nepriežiūra ar kvalifikuotų žmogiškųjų išteklių trūkumas gali lemti projekto nesėkmę, nesugebėjimą
išlaikyti pagrindinę veiklą ar veiklos vertės sumažėjimą. IT išteklių įsigijimas turėtų būti laikomas platesnių IT įgalintų
veiklos pokyčių dalimi. Įsigytos technologijos turi skatinti esamus ir numatytus veiklos procesus bei IT infrastruktūras.
Įgyvendinimas nėra tik technologijų klausimas, tai greičiau yra organizacinių pokyčių, peržiūrėtų veiklos procesų,
mokymo ir pokyčių įgalinimo derinys. Todėl IT projektai turėtų būti suprantami kaip sudėtinė dalis platesnių visos
organizacijos pokyčių programų, apimančių kitus projektus, atitinkančius visas veiklos rūšis ir reikalingus siekiamam
rezultatui gauti.
Kaip ISACA gairės įgalina gerąją praktiką:
1. C
OBIT 5 EDM domene pateikiamos gairės dėl IT įgalintų veiklos investicijų valdymo ir vadovavimo per jų visą
gyvavimo ciklą (įsigijimas, įgyvendinimas, vykdymas ir veiklos sustabdymas). Procesas APO05 Valdyti portfelį
nustato, kaip taikyti tokių investicijų portfelio ir programos rezultatyvų valdymą, siekiant užtikrinti, kad būtų gauta
nauda ir optimizuotos sąnaudos.
2. C
OBIT 5 APO domene pateikiamos įsigijimo planavimo gairės, įskaitant investicijų planavimą, rizikos valdymą,
programos ir projekto planavimą bei kokybės planavimą.
3. C
OBIT 5 BAI domene pateikiamos gairės procesams, reikalingiems IT sprendimams įgyti ir įgyvendinti. Jos skirtos
nustatyti poreikį, parinkti įgyvendinamus sprendimus, rengti dokumentus, mokyti ir įgalinti naudotojus naudoti naujas
sistemas. Be to, gairės turėtų padėti užtikrinti, kad taikant pokyčius operacinei veiklos ir IT aplinkai, sprendimai būtų
tinkamai testuojami ir kontroliuojami.
4. C
OBIT 5 MEA domenas ir procesas EDM05 apima gaires, kuriomis vadovaudamiesi direktoriai gali stebėti ir vertinti
įsigijimo procesą, ir informaciją apie vidaus kontrolės priemones, padedančias užtikrinti, kad įsigijimas būtų tinkamai
valdomas ir vykdomas.
4 PRINCIPAS – VEIKLOS EFEKTYVUMAS
Ką tai reiškia praktikoje:
Rezultatyvus veiklos matavimas priklauso nuo dviejų pagrindinių aspektų: aiškaus veiklos efektyvumo tikslų apibrėžimo
ir pasiekimui matuoti skirtų rezultatyvių metrikų nustatymo. Veiklos efektyvumo matavimo procesas yra būtinas siekiant
užtikrinti, kad veiklos efektyvumas būtų nuolatos ir patikimai stebimas. Rezultatyvus valdymas yra pasiekiamas,
kai tikslai yra nustatomi iš viršaus žemyn ir suderinami su aukštesniuoju lygiu (patvirtintais veiklos tikslais), o
metrikos nustatomos iš apačios į viršų ir suderinamos taip, kad būtų galima stebėti, ar pasiekti tikslai visuose valdymo
lygmenyse. Du kritiniai valdymo sėkmės veiksniai yra suinteresuotųjų šalių pritarimas tikslams ir direktorių bei vadovų
atskaitingumas už tikslų pasiekimą. IT yra kompleksiška ir techninė sritis; todėl svarbu tikslus, metrikas ir veiklos
efektyvumo ataskaitas pateikti aiškiai, kad jas suprastų suinteresuotosios šalys ir kad jos galėtų imtis tinkamų veiksmų.
Kaip ISACA gairės įgalina gerąją praktiką:
1. C
OBIT 5 metodika pateikia visų IT procesų ir kitų realizavimo priemonių tikslų ir metrikų bendruosius pavyzdžius ir
parodo, kaip jie siejasi su veiklos tikslais, leidžia organizacijoms juos pritaikyti konkrečiam naudojimui.
2. C
OBIT 5 pateikia vadovybei gaires, kaip turi būti nustatomi IT tikslai, suderinant juos su veiklos tikslais, ir aprašo, kaip
stebėti šių tikslų vykdymo efektyvumą, naudojant tikslus ir metrikas. Proceso geba gali būti vertinama naudojant ISO/
IEC 15504 atitikties gebos vertinimo modelį.
58
Personalized Copy for: Dr. Jelena Mamcenko
E priedas. COBIT 5 sąsajos su
pagrindiniais taikomais standartais ir metodikomis
3. D
u pagrindiniai COBIT 5 procesai pateikia konkrečias gaires:
– APO02 Valdyti strategiją skirtas tikslams nustatyti.
– APO09 Valdyti paslaugų sutartis skirtas reikiamoms paslaugoms ir jų tikslams, taip pat jų dokumentavimui paslaugų
lygio sutartyse apibrėžti.
4. P
rocese MEA01 Stebėti, vertinti ir įvertinti veiklos efektyvumą ir atitiktį COBIT 5 pateikia gaires dėl vadovybės
atsakomybės už šią veiklą.
5. L
eidinyje COBIT 5. Kokybės užtikrinimas paaiškinta, kaip kokybės užtikrinimo profesionalai gali teikti direktoriams
nepriklausomą IT veiklos efektyvumo užtikrinimo patvirtinimą.
5 PRINCIPAS – ATITIKTIS
Ką tai reiškia praktikoje:
Šiuolaikinėje globalioje rinkoje, kurioje dominuoja internetas ir pažangios technologijos, organizacijoms reikia laikytis vis
daugiau teisinių ir priežiūros reikalavimų. Dėl pastaraisiais metais vykusių korporacijų skandalų ir finansinių nesėkmių
didesnis dėmesys skiriamas griežtesnių įstatymų ir taisyklių atsiradimui ir jų reikšmei. Suinteresuotosios šalys reikalauja
geresnio kokybės užtikrinimo – patvirtinimo, kad organizacijos laikosi įstatymų ir taisyklių, o jų veiklos aplinka atitinka
gerąją organizacijų valdymo praktiką. Dėl IT veiklos specifikos procesai skirtingose organizacijose tampa labiau susieti,
didėja poreikis užtikrinti, kad sutartys apimtų svarbius su IT susijusius reikalavimus tokiose srityse kaip asmens duomenų
saugumas, konfidencialumas, intelektinė nuosavybė ir saugumo užtikrinimas.
Direktoriai turi užtikrinti, kad išorės reikalavimų laikymasis būtų sudėtinė strateginio planavimo dalis ir netaptų
daug kainuojančiu, laiku nesuplanuotu dalyku. Jie taip pat turi užtikrinti, kad aukščiausiame organizacijos lygmenyje
būtų nustatytos politika ir procedūros, kurių laikytųsi vadovybė ir darbuotojai, ir kurios užtikrintų, kad būtų pasiekti
organizacijos tikslai, sumažinta rizika ir įgyvendinta atitiktis reikalavimams. Aukščiausioji vadovybė turi sudaryti tinkamą
veiklos efektyvumo ir atitikties pusiausvyrą, užtikrinti, kad veiklos efektyvumo tikslai nekeltų grėsmės reikalavimų
laikymuisi, ir priešingai, kad atitikties režimas būtų tinkamas ir per daug neribotų veiklos.
Kaip ISACA gairės įgalina gerąją praktiką:
1. C
OBIT 5 valdymo ir vadovavimo praktika suteikia pagrindinių žinių, kaip organizacijoje sukurti tinkamą kontrolės
aplinką. Procesų gebos vertinimas įgalina vadovybę vertinti ir palyginti IT proceso gebą.
2. C
OBIT 5 procesas APO02 Valdyti strategiją padeda užtikrinti IT plano ir visos veiklos tikslų, įskaitant valdymo
reikalavimus, suderinimą.
3. C
OBIT 5 procesas MEA02 Stebėti, vertinti ir įvertinti vidaus kontrolės sistemą leidžia direktoriams įvertinti, ar
kontrolės priemonės yra tinkamos ir atitinka atitikties reikalavimus.
4. C
OBIT 5 procesas MEA03 Stebėti, vertinti ir įvertinti išorės reikalavimų laikymąsi padeda užtikrinti, kad būtų nustatyti
išorės reikalavimai, o direktoriai nustatytų reikalavimų laikymosi kryptį; IT atitiktis reikalavimams yra stebima,
vertinama ir apie ją atsiskaitoma kaip apie organizacijos bendros atitikties reikalavimams dalį.
5. L
eidinyje COBIT 5. Kokybės užtikrinimas paaiškinama, kaip auditoriai gali teikti nepriklausomą nuomonę dėl atitikties
vidaus politikos, kylančios iš vidinių nurodymų, reikalavimams, ar atitikties išorės teisiniams, priežiūros ar sutartiniams
reikalavimams, ir patvirtinti, kad atsakingas proceso savininkas laiku ėmėsi bet kokių korekcinių veiksmų reikalavimų
laikymosi spragoms pašalinti.
6 PRINCIPAS – ŽMONIŲ ELGSENA
Ką tai reiškia praktikoje:
Kad būtų įgyvendintas bet kuris su IT susijęs pokytis, įskaitant IT valdymą, paprastai reikia svarbaus kultūrinio ar
elgsenos pokyčio organizacijos viduje bei pokyčio klientų ir veiklos partnerių atžvilgiu. Tai gali lemti darbuotojų baimę ir
nesupratimą, todėl, siekiant išlaikyti pozityvias personalo nuotaikas, įgyvendinimas turi būti atidžiai valdomas. Direktoriai
turi aiškiai paskelbti tikslus ir parodyti, kad palaiko siūlomus pokyčius. Darbuotojų mokymas ir įgūdžių stiprinimas yra
pagrindiniai pokyčių aspektai, ypač atsižvelgiant į sparčiai plėtojamų technologijų pobūdį. IT daro poveikį žmonėms
visuose organizacijos lygmenyse – suinteresuotosioms šalims, vadovams ir naudotojams ar su IT susijusias paslaugas ir
sprendimus veiklai teikiantiems specialistams. Už organizacijos ribų IT daro poveikį klientams, veiklos partneriams ir
vis labiau įgalina savitarnos ir automatizuotus ryšius tarp bendrovių šalies viduje ir tarptautiniu mastu. Nors IT remiami
veiklos procesai suteikia naują naudą ir galimybes, jie taip pat kelia didesnę riziką. Didėjantį asmenų susirūpinimą kelia
tokie klausimai kaip asmens duomenų saugumas ir sukčiavimas, todėl, jeigu norime, kad žmonės pasitikėtų naudojamomis
IT sistemomis, šias ir kitas rizikos rūšis reikia valdyti. Informacinės sistemos gali stipriai paveikti ir darbo įpročius,
pradėjus automatizuoti rankiniu būdu atliekamas procedūras.
Kaip ISACA gairės įgalina gerąją praktiką:
Šios COBIT 5 realizavimo priemonės (kurios apima procesus) pateikia gaires dėl su žmonių elgsena susijusių reikalavimų:
1. C
OBIT 5 realizavimo priemonės apima žmones, įgūdžius, kompetenciją, kultūrą, etiką ir elgseną. Kiekvienai
realizavimo priemonei pateikiamas pavyzdžiais iliustruotas modelis, kaip ją taikyti.
Personalized Copy for: Dr. Jelena Mamcenko
59
METODIKA
2. C
OBIT 5 procesas APO07 Valdyti žmogiškuosius išteklius paaiškina, kaip atskirų asmenų veiklos efektyvumas turėtų
būti derinamas su organizacijos tikslais, kaip turėtų būti palaikomi IT specialistų įgūdžiai ir kaip turėtų būti apibrėžtos jų
funkcijos ir atsakomybė.
3. C
OBIT 5 procesas BAI02 Valdyti reikalavimų nustatymą padeda užtikrinti, kad taikomosios programos atitiktų su jomis
dirbančių žmonių poreikius.
4. C
OBIT 5 procesai BAI05 Valdyti pasirengimą organizaciniams pokyčiams ir BAI08 Valdyti žinias padeda užtikrinti,
kad naudotojai galėtų rezultatyviai naudoti sistemas.
Be to, ISACA suteikia keturių rūšių sertifikatus profesionalams, vykdantiems pagrindines su IT valdymu susijusias
funkcijas, ir jiems reikiamas žinias pateikia COBIT 5 leidiniuose. ISACA sertifikatai yra tokie:
• Certified in the Governance of Enterprise IT® (CGEIT®)
• Certified Information Systems Auditor® (CISA®)
• Certified Information Security Manager® (CISM®)
• Certified in Risk and Information Systems ControlTM (CRISCTM)
Vykdydami šias funkcijas tokių sertifikatų turėtojai demonstruoja gebėjimus ir patirtį.
ISO/IEC 38500: vertinti, nustatyti kryptį ir stebėti (angl. Evaluate, Direct and Monitor)
KAIP ISACA GAIRĖS ĮGALINA GERĄJĄ PRAKTIKĄ:
COBIT 5 procesų modelio valdymo domenas apima penkis procesus ir kiekvienas iš šių procesų aprašo EDM praktikas.
Tai yra pagrindinė COBIT 5 dalis, kurioje yra apibrėžta su valdymu susijusi veikla.
Palyginimas su kitais standartais
COBIT 5 buvo sukurtas, atsižvelgiant į daugelį kitų standartų ir metodikų; šie standartai yra išvardinti A priede.
COBIT 5. Procesų realizavimas pateikia bendras sąsajas tarp COBIT 5 procesų ir taikomų standartų bei metodikų
svarbiausių dalių ir pateikia papildomas gaires.
Šiame skyriuje pateiktas kiekvienos metodikos ar standarto trumpas apibūdinimas, nurodantis su kuriomis COBIT 5
sritimis ir domenais jie yra susiję.
ITIL® V3 2011 ir ISO/IEC 20000
ITIL V3 2011 ir ISO/IEC 20000 apima šias COBIT 5 sritis ir domenus:
• procesų poaibį DSS domene,
• procesų poaibį BAI domene,
• tam tikrus procesus APO domene.
ISO/IEC 27000 standartų šeima
ISO/IEC 27000 apima tokias COBIT 5 sritis ir domenus:
• su sauga ir rizika susijusius procesus EDM, APO ir DSS domenuose,
• įvairias su sauga susijusių procesų priemones kituose domenuose,
• MEA domeno procesų stebėsenos ir vertinimo priemones.
ISO/IEC 31000 standartų šeima
ISO/IEC 31000 apima tokias COBIT 5 sritis ir domenus:
• su rizikos valdymu susijusius procesus EDM ir APO domenuose.
TOGAF®
TOGAF apima tokias COBIT 5 sritis ir domenus:
• su ištekliais susijusius procesus EDM (valdymo) domene. TOGAF architektūros tarybos, architektūros valdymo ir
architektūros brandos modelių komponentai siejami su išteklių optimizavimu,
• organizacijos architektūros procesus APO domene. TOGAF esmė yra architektūros kūrimo metodo (angl. Architecture
Development Method) (ADM) ciklas, kuris siejasi su COBIT 5 praktikomis, kuriant architektūros viziją (ADM A
etapas), nustatant rekomenduojamą architektūrą (ADM B, C, D etapai), pasirenkant galimybes ir sprendimus (ADM
E etapas) ir nustatant architektūros įgyvendinimą (ADM F, G etapai). Kai kurie TOGAF komponentai yra siejami su
COBIT 5 praktikomis, teikiant organizacijos architektūros paslaugas. Jas sudaro:
– ADM reikalavimų valdymas,
– architektūros principai,
60
Personalized Copy for: Dr. Jelena Mamcenko
E priedas. COBIT 5 sąsajos su
pagrindiniais taikomais standartais ir metodikomis
– suinteresuotųjų šalių valdymas,
– pasirengimo veiklos transformavimui vertinimas,
– rizikos valdymas,
– gebėjimais pagrįstas planavimas,
– architektūros atitiktis,
– architektūros sutartys.
Gebos brandos modelių integracija (angl. CMMI) (kūrimas)
CMMI apima tokias COBIT 5 sritis ir domenus:
• su taikomųjų programų kūrimu ir įsigijimu susijusius procesus BAI domene,
• tam tikrus organizacinius ir su kokybe susijusius procesus iš APO domeno.
PRINCE2®
PRINCE2 apima tokias COBIT 5 sritis ir domenus:
• su portfeliu susijusius procesus APO domene,
• programos ir projekto valdymo procesus BAI domene.
25 paveikslėlyje pateikiamos COBIT 5 ir kitų standartų bei metodikų apimamos susijusios sritys.
25 pav. Kitų standartų ir metodikų COBIT 5 aprėptis
Vertinti, nustatyti kryptį ir stebėti
ISO / IEC 38500
Suderinti, planuoti, organizuoti
ISO / IEC 31000
ISO / IEC 27000
TOGAF
PRINCE2 / PMBOK
CMMI
Formuoti, įsigyti ir įdiegti
ITIL V3 2011 ir ISO / IEC 20000
Teikti, aptarnauti ir palaikyti
Personalized Copy for: Dr. Jelena Mamcenko
Stebėti, vertinti
ir įvertinti
61
METODIKA
Specialiai paliktas tuščias lapas
62
Personalized Copy for: Dr. Jelena Mamcenko
F priedas. COBIT 5 informacijos
modelio ir COBIT 4.1 informacijos kriterijų palyginimas
F priedas
COBIT 5 informacijos modelio ir COBIT 4.1 informacijos
kriterijų palyginimas
Kaip COBIT 4.1 septyni informacijos kriterijai – rezultatyvumas, efektyvumas, vientisumas, patikimumas, prieinamumas,
konfidencialumas, atitiktis – yra susiję su COBIT 5 realizavimo priemonių informacijos kokybės kategorijomis ir
perspektyvomis, pateiktomis G priedo 36 paveikslėlyje?
Šią lentelę sudaro du stulpeliai:
• pirmame stulpelyje išvardinti visi septyni COBIT 4.1 informacijos kriterijai,
• antrajame stulpelyje išvardintos COBIT 5 alternatyvos, t. y. atitinkamas (-i) informacijos realizavimo priemonės
tikslas(-ai).
26 pav. COBIT 4.1 informacijos kriterijų COBIT 5 atitikmenys
COBIT 4.1
informacijos kriterijus
COBIT 5 atitikmuo
Rezultatyvumas
Informacija yra rezultatyvi, jeigu ji atitinka naudotojo, kuris naudoja informaciją konkrečiai užduočiai atlikti, poreikius. Jeigu
naudotojas gali atlikti užduotį su informacija, tokia informacija yra rezultatyvi. Ji atitinka šiuos informacijos kokybės tikslus:
tinkamą apimtį, svarbumą, suprantamumą, interpretuojamumą, objektyvumą.
Efektyvumas
Jeigu rezultatyvumo požiūriu informacija vertinama kaip produktas, efektyvumas yra labiau susijęs su informacijos gavimo
ir naudojimo procesu, todėl jis taikomas informacijai kaip paslaugai. Jeigu informacijos naudotojo poreikius atitinkanti
informacija gaunama ir naudojama paprastai (t. y. tam reikia tik kelių išteklių: fizinių pastangų, žinių, laiko, pinigų), tada
informacijos naudojimas yra efektyvus. Tai atitinka šiuos informacijos kokybės tikslus: įtikimumą, prieinamumą, valdymo
paprastumą, reputaciją.
Vientisumas
Jeigu informacija yra vientisa, tada ji yra išsami ir be klaidų. Ji atitinka šiuos informacijos kokybės tikslus: išsamumą, tikslumą.
Patikimumas
Patikimumas dažnai laikomas tikslumo sinonimu, tačiau galima teigti, kad informacija yra patikima, jeigu ji laikoma
teisinga ir patikima. Palyginti su vientisumu, patikimumas yra subjektyvesnis, labiau susijęs su suvokimu, tačiau ne tik faktų
suvokimu. Jis atitinka šiuos informacijos kokybės tikslus: įtikimumą, reputaciją, objektyvumą.
Prieinamumas
Prieinamumas yra vienas iš informacijos kokybės tikslų, susijusių su saugumo užtikrinimu / prieinamumo kokybe
Konfidencialumas
Konfidencialumas atitinka ribotos prieigos informacijos kokybės tikslą.
Atitiktis
Atitiktį, kaip informacijos privalomą atitikimą specifikacijoms, apima bet kuris informacijos kokybės tikslas, priklausomai nuo
reikalavimų.
Atitiktis taisyklėms dažniausiai yra informacijos naudojimo tikslas ar reikalavimas, ne tiek labai būdingas informacijos
kokybei.
Šioje lentelėje pateikiami visi informacijos kriterijai iš COBIT 4.1, kuriuos apima COBIT 5, tačiau COBIT 5 informacijos
modelis leidžia nustatyti papildomus kriterijus, taip sukuriant papildomą vertę COBIT 4.1 kriterijams.
Personalized Copy for: Dr. Jelena Mamcenko
63
METODIKA
Specialiai paliktas tuščias lapas
64
Personalized Copy for: Dr. Jelena Mamcenko
G priedas
COBIT 5 realizavimo priemonių išsamus aprašymas
G priedas
COBIT 5 realizavimo priemonių išsamus aprašymas
Įvadas
Šiame skyriuje pateikiamas COBIT 5 metodikos septynių realizavimo priemonių kategorijų, aprašytų 5 skyriuje,
išsamesnis aprašymas. 27 paveikslėlyje dar kartą pateikiamas realizavimo priemonių bendrasis modelis.
Realizavimo priemonės
veiklos valdymas
Realizavimo priemonės
perspektyvos
27 pav. COBIT 5 realizavimo priemonės: bendrasis modelis
Suinteresuotosios
šalys
• Vidaus
suinteresuotosios
šalys
• Išorės
suinteresuotosios
šalys
Ar patenkinti suinteresuotųjų
šalių poreikiai?
Tikslai
Gyvavimo ciklas
Geroji praktika
• Esminė kokybė
• Kontekstinė kokybė
(tinkamumas,
rezultatyvumas):
• Prieinamumas ir
saugumo užtikrinimas
• Planuoti
• Projektuoti
• Formuoti / įsigyti /
kurti / įgyvendinti
• Naudoti / eksploatuoti
• Vertinti / stebėti
• Atnaujinti / sunaikinti
• Praktika
• Darbo produktai
(įvedami duomenys /
rezultatai)
Ar pasiekti realizavimo
priemonės tikslai?
Tikslų pasiekimo metrikos
(tikslo pasiekimo rodikliai)
Ar valdomas
gyvavimo ciklas?
Ar taikoma
geroji praktika?
Praktikos taikymo metrikos
(veiklos efektyvumo rodikliai)
Realizavimo priemonių perspektyvos
Keturios bendros realizavimo priemonių perspektyvos yra:
• Suinteresuotosios šalys. Kiekviena realizavimo priemonė turi suinteresuotąsias šalis (šalys, kurios aktyviai veikia
ir (ar) yra suinteresuotos realizavimo priemone). Pavyzdžiui, procesai turi skirtingas šalis, kurios vykdo proceso
veiklą ir (ar) kurios yra suinteresuotos proceso rezultatais; organizacinės struktūros turi suinteresuotąsias šalis, su
jų vykdomomis funkcijomis ir interesais, sudarančiais struktūrų dalį. Suinteresuotosios šalys gali būti organizacijos
vidaus ir išorės šalys, visos turinčios savo, kartais prieštaringus, interesus ir poreikius. Suinteresuotųjų šalių
poreikiai daro įtaką organizacijos tikslams, kurie savo ruožtu daro įtaką su IT susijusiems organizacijos tikslams.
Suinteresuotųjų šalių sąrašas pateiktas 7 pav.
• Tikslai. Kiekviena realizavimo priemonė turi keletą tikslų ir pasiekdamos šiuos tikslus realizavimo priemonės sukuria
vertę. Tikslai gali būti apibrėžti kaip:
– laukiami realizavimo priemonės rezultatai,
– pačios realizavimo priemonės taikymas ar veikimas.
Realizavimo priemonės tikslai yra COBIT 5 tikslų hierarchijos žemiausiojo lygmens tikslai. Tikslai gali būti toliau
skirstomi į šias kategorijas:
– esminė kokybė. Mastas, kiek realizavimo priemonės dirba tiksliai, objektyviai ir duoda tikslių, objektyvių ir patikimų
rezultatų;
– kontekstinė kokybė. Mastas, kiek realizavimo priemonės ir jų rezultatai tinka atsižvelgiant į kontekstą, kuriame jos
veikia. Pavyzdžiui, rezultatai turėtų būti reikalingi, išsamūs, pasiekiami laiku, tinkami, suderinami, suprantami ir
lengvai naudojami.
– prieiga ir saugumo užtikrinimas. Mastas, kiek realizavimo priemonės ir jų rezultatai yra prieinami ir apsaugoti,
pavyzdžiui:
• realizavimo priemonės yra prieinamos, jeigu reikia ir kada reikia,
• rezultatai yra apsaugoti, t. y. prieiga leidžiama tik turintiems tam teisę ir tiems, kuriems jos reikia.
• Gyvavimo ciklas. Kiekviena realizavimo priemonė turi gyvavimo ciklą, apimantį visą veikimo / naudingo tarnavimo
laiką nuo jos sukūrimo iki sunaikinimo. Tai taikoma informacijai, struktūroms, procesams, politikai ir pan. Gyvavimo
ciklo etapai yra:
– planavimas (apima koncepcijų kūrimą ir koncepcijų atranką),
Personalized Copy for: Dr. Jelena Mamcenko
65
METODIKA
– projektavimas,
– formavimas / įsigijimas / kūrimas / įgyvendinimas,
– naudojimas / eksploatavimas,
– vertinimas / stebėsena,
– atnaujinimas / sunaikinimas.
• Geroji praktika. Kiekvienai realizavimo priemonei gali būti nustatyta geroji praktika. Geroji praktika skatina
realizavimo priemonės tikslų siekimą, pateikia pavyzdžių ar pasiūlymų, kaip geriausia įgyvendinti realizavimo
priemonę ir kokių darbo produktų ar įvedamų duomenų ir rezultatų reikia. COBIT 5 pateikia gerosios praktikos
pavyzdžius kai kurioms COBIT 5 realizavimo priemonėms (pvz., procesams). Kitoms realizavimo priemonėms gali
būti naudojamos kitų standartų, metodikų ir pan. gairės.
Realizavimo priemonių veiklos valdymas
Taikydamos ir naudodamos realizavimo priemones, organizacijos tikisi gauti teigiamų rezultatų. Siekiant valdyti
realizavimo priemonių veiklą, reikės stebėti realizavimo priemonių aspektus ir vėliau, taikant metrikas, nuolatos atsakyti į
šiuos klausimus:
• Ar patenkinti suinteresuotųjų šalių poreikiai?
• Ar pasiekti realizavimo priemonės tikslai?
• Ar valdomas gyvavimo ciklas?
• Ar taikoma geroji praktika?
Pirmieji du klausimai yra susiję su faktiniu realizavimo priemonės rezultatu. Metrikos, naudojamos tikslų pasiekimui
pamatuoti, gali būti vadinamos tikslo pasiekimo rodikliais (angl. lag indicator).
Paskutiniai du klausimai yra susiję su realizavimo priemonės veikimu, todėl šios metrikos gali būti vadinamos veiklos
efektyvumo rodikliais (angl. lead indicator).
Kiekvienai realizavimo priemonei aprašyti skiriamas atskiras skyrius, pradedamas nuo lentelės, panašios į pateiktą
27 paveikslėlyje, kurioje raudonu ir paryškintu šriftu pažymėti aptariamai realizavimo priemonei būdingi specifiniai
elementai.
Be to, kiekviena iš keturių realizavimo priemonės sudėtinių dalių aptariama išsamiau, tai pat pateikiami realizavimo
priemonės ryšiai su kitomis realizavimo priemonėmis.
Realizavimo priemonių reikšmei ir naudojimui iliustruoti pateikiami keli pavyzdžiai.
Šio skyriaus tikslas – padėti geriau suprasti COBIT 5 metodiką ir tai, kaip realizavimo priemonė gali būti taikoma
įgyvendinant ir tobulinant organizacijos IT valdymą ir vadovavimą.
66
Personalized Copy for: Dr. Jelena Mamcenko
G priedas
COBIT 5 realizavimo priemonių išsamus aprašymas
COBIT 5 realizavimo priemonės: principai, politika ir metodikos
Principai ir politika remiasi komunikavimo mechanizmais, perduodančiais valdymo struktūros ir vadovybės nustatytą
kryptį ir nurodymus. 28 paveikslėlyje pateikiami principų, politikos ir metodikų (angl. framework) realizavimo priemonės
specifiniai elementai, lyginant su bendruoju realizavimo priemonės modeliu.
Principų, politikos ir metodikų modelis apibrėžia šiuos elementus:
• Suinteresuotosios šalys. Principų ir politikos suinteresuotosios šalys gali būti organizacijos vidaus ir išorės
suinteresuotosios šalys. Tai yra taryba ir vadovybė, atitikties pareigūnai, rizikos vadovai, vidaus ir išorės auditoriai,
paslaugų teikėjai ir klientai, priežiūros institucijos. Suinteresuotumas gali būti dvejopas: kai kurios suinteresuotosios
šalys apibrėžia ir nustato politiką, kitos turi prie jos derintis ir jos laikytis.
• Tikslai ir metrikos. Principai, politika ir metodikos yra organizacijos taisyklių komunikavimo priemonės, remiančios
tarybos ir vadovybės nustatytus valdymo tikslus ir organizacijos vertybes. Principai turi atitikti tokius reikalavimus:
– jų turi būti nedaug,
– jie turi būti išdėstyti paprasta kalba, kaip įmanoma aiškiau išreiškiant esmines organizacijos vertybes.
Politika pateikia išsamesnes gaires, kaip pritaikyti principus praktikoje, ir daro įtaką sprendimų priėmimo suderinimui su
principais. Gera politika yra:
– rezultatyvi. Ji pasiekia nustatytą tikslą;
– efektyvi. Ji užtikrina, kad principai būtų įgyvendinti efektyviausiu būdu;
– pageidaujama. Ji atrodo logiška tiems, kurie turi jos laikytis, t. y. ji nesukuria nereikalingo priešiškumo.
Politikos prieinamumas. Ar yra nustatytas mechanizmas, kad paskelbta politika suinteresuotosioms šalims būtų nesunkiai
prieinama? Kitaip tariant, ar suinteresuotosios šalys žino, kur galima rasti politiką?
Realizavimo priemonės
veiklos valdymas
Realizavimo priemonės
perspektyvos
28 pav. COBIT 5 realizavimo priemonės: principai, politika ir metodikos
Suinteresuotosios
šalys
Tikslai
Gyvavimo ciklas
Geroji praktika
• Vidaus
suinteresuotosios
šalys
• Išorės
suinteresuotosios
šalys
• Esminė kokybė
• Kontekstinė kokybė
(tinkamumas,
rezultatyvumas):
• Prieinamumas ir
saugumo užtikrinimas
• Planuoti
• Projektuoti
• Formuoti / įsigyti /
kurti / įgyvendinti
• Naudoti / eksploatuoti
• Vertinti / stebėti
• Atnaujinti / sunaikinti
• Praktika: valdymo ir
vadovavimo metodika,
principai,
politikos struktūra,
apimtis,
galiojimas
• Darbo produktai
(įvedami duomenys /
rezultatai):
politikos nuostatos
Ar patenkinti suinteresuotųjų
šalių poreikiai?
Ar pasiekti realizavimo
priemonės tikslai?
Tikslų pasiekimo metrikos
(tikslo pasiekimo rodikliai)
Ar valdomas
gyvavimo ciklas?
Ar taikoma
geroji praktika?
Praktikos taikymo metrikos
(veiklos efektyvumo rodikliai)
Valdymo ir vadovavimo metodikos turėtų padėti vadovybei pasirinkti struktūrą, gaires, įrankius ir pan., leidžiančius
vykdyti tinkamą organizacijos IT valdymą ir vadovavimą. Metodikos turėtų būti:
– išsamios, apimančios visas reikiamas sritis,
– atviros ir lanksčios, kad jas būtų galima pritaikyti konkrečios organizacijos poreikiams,
– aktualios, t. y. atspindinčios esamą organizacijos vadovavimo kryptį ir esamus valdymo tikslus,
– prieinamos ir pasiekiamos visoms suinteresuotosioms šalims.
Personalized Copy for: Dr. Jelena Mamcenko
67
METODIKA
• Gyvavimo ciklas. Politika turi gyvavimo ciklą, kuris turi remti nustatytų tikslų siekimą. Metodikos yra svarbios,
nes teikia metodus nuoseklioms gairėms nustatyti. Pavyzdžiui, metodiniai reikalavimai politikai nustato struktūrą,
reikalingą nuosekliai politikai sukurti ir vykdyti, taip pat nustato kryptį atskirose politikos srityse ir tarp šių sričių.
Priklausomai nuo organizacijos išorės aplinkos, gali būti taikomi griežtą vidaus kontrolę lemiantys priežiūros
reikalavimai, ir, kaip to pasekmė, griežti politikos nustatymo reikalavimai. Svarbus su politika ir jos nustatymo metodais
susijęs klausimas, į kurį turi būti atsižvelgta, yra politikos aktualumas. Ar politika yra peržiūrima ir atnaujinama ir kada
tai daroma, ar yra nustatyti griežti mechanizmai, užtikrinantys, kad žmonės žinotų apie tokius atnaujinimus ir naujausia
versija būtų lengvai prieinama (žiūrėti ankstesnį punktą), o pasenusi informacija būtų tinkamai archyvuojama ar
sunaikinama?
• Geroji praktika:
– Gerajai praktikai reikia, kad įvairių sričių politika būtų bendros valdymo ir vadovavimo sistemos, nustatančios
(hierarchinę) struktūrą ir pritaikytos visų sričių politikoms, dalimi ir būtų aiškios politikos sąsajos su pagrindiniais
principais.
– Kalbant apie politikos taikymo aspektus, reikia išskirti tokius elementus:
• apimtį ir galiojimą,
• politikos nesilaikymo pasekmes,
• išimčių tvarkymo būdus,
• politikos laikymosi tikrinimo ir matavimo būdą.
– Visuotinai pripažintos valdymo ir vadovavimo metodikos gali pateikti vertingų pasiūlymų, kokie konkretūs teiginiai ir
kokiu būdu galėtų būti įtraukti į politiką.
– Įvairių sričių politika turėtų būti suderinta su organizacijai priimtinu rizikos lygiu. Politika yra pagrindinis organizacijos
vidaus kontrolės sistemos komponentas, kurios tikslas yra prisiimti ir valdyti riziką. Organizacijai priimtino rizikos
lygio nustatymas yra viena iš organizacijos rizikos valdymo priemonių, todėl politika turėtų atsižvelgti į priimtiną
rizikos lygį. Rizikos vengianti organizacija nustato griežtesnę politiką nei smarkiai rizikuoti linkusi organizacija.
– Politiką reikia reguliariai pakartotinai patvirtinti ir (ar) atnaujinti.
• Ryšiai su kitomis realizavimo priemonėmis. Ryšiai su kitomis realizavimo priemonėmis apima šiuos elementus:
– Principai, politika ir metodikos turėtų atspindėti organizacijos kultūros ir etikos vertybes ir turėtų skatinti pageidaujamą
elgseną, todėl yra stiprus jų ryšys su kultūros, etikos ir elgsenos realizavimo priemonėmis.
– Procesų praktikos ir procesų priemonės yra svarbiausi politikos vykdymo instrumentai.
– Organizacinės struktūros gali nustatyti ir vykdyti politiką, atsižvelgiant į joms suteiktus kontrolės įgaliojimus, savo
ruožtu, politika nustato organizacinių struktūrų vykdomą veiklą.
– Politika yra informacija, todėl informacijai taikoma geroji praktika gali būti taikoma ir politikai.
9 pavyzdys. Socialinė žiniasklaida
Organizacija sprendžia, ką daryti su sparčiai didėjančiu socialinės žiniasklaidos naudojimu ir darbuotojų spaudimu suteikti visišką prieigą prie jos. Iki šiol
organizacija laikėsi konservatyvaus ar ribojančio požiūrio dėl prieigos prie šios rūšies paslaugos suteikimo, daugiausia dėl saugumo priežasčių.
Organizacija patiria įvairių šalių spaudimą laikytis kitokios pozicijos socialinės žiniasklaidos atžvilgiu. Darbuotojai pageidauja panašaus lygio prieigos, kokią
turi namuose, organizacija taip pat pageidauja išnaudoti socialinės žiniasklaidos privalumus rinkodaros ir reklamos didinimo tikslais.
Priimtas sprendimas nustatyti politiką dėl naudojimosi socialinės žiniasklaidos priemonėmis organizacijos tinkluose ir sistemose, įskaitant organizacijos
darbuotojams suteiktus nešiojamuosius kompiuterius. Ši nauja politika yra lankstesnė nei ankstesnė ir suderinama su bendrąja įstaigos politika, kaip
„priimtino naudojimo politika“. Vykdomas informavimas paaiškinant naujos politikos priežastis. Kartu tai daro įtaką ir kai kurioms kitoms realizavimo
priemonėms:
• Darbuotojai turi išmokti naudotis naujomis žiniasklaidos priemonėmis taip, kad išvengtų organizacijai nepatogumų sukeliančių situacijų. Jie turi išmokti
tinkamai elgtis laikydamiesi naujos organizacijos krypties ir tobulinti atitinkamus įgūdžius.
• Reikia pakeisti kai kuriuos su saugumo užtikrinimu susijusius procesus. Prieiga prie šių žiniasklaidos priemonių yra atvira, todėl reikia pakeisti saugos
nustatymus ir konfigūracijas, o gal net nustatyti tam tikras kompensuojančias priemones.
Pastaba: COBIT 5 yra šioje realizavimo priemonėje aprašytos metodikos pavyzdys.
68
Personalized Copy for: Dr. Jelena Mamcenko
G priedas
COBIT 5 realizavimo priemonių išsamus aprašymas
COBIT 5 realizavimo priemonės: procesai
Procesų realizavimo priemonių specifinių elementų palyginimas su bendruoju realizavimo priemonių modeliu pateiktas
29 paveikslėlyje.
Realizavimo priemonės
veiklos valdymas
Realizavimo priemonės
perspektyvos
29 pav. COBIT 5 realizavimo priemonės: procesai
Suinteresuotosios
šalys
• Vidaus
suinteresuotosios
šalys
• Išorės
suinteresuotosios
šalys
Tikslai
Gyvavimo ciklas
• Esminė kokybė
• Kontekstinė kokybė
(tinkamumas,
rezultatyvumas):
• Prieinamumas ir
saugumo užtikrinimas
• Planuoti
• Projektuoti
• Formuoti / įsigyti /
kurti / įgyvendinti
• Naudoti / eksploatuoti
• Vertinti / stebėti
• Atnaujinti / sunaikinti
Geroji praktika
• Procesų praktikos,
priemonės,
detaliosios priemonės
• Darbo produktai
(įvedami duomenys /
rezultatai)
Procesų bendrosios
praktikos
Ar patenkinti suinteresuotųjų
šalių poreikiai?
Ar pasiekti realizavimo
priemonės tikslai?
Tikslų pasiekimo metrikos
(tikslo pasiekimo rodikliai)
Ar valdomas
gyvavimo ciklas?
Ar taikoma
geroji praktika?
Praktikos taikymo metrikos
(veiklos efektyvumo rodikliai)
Procesas yra apibrėžtas kaip „praktikos rinkinys, kuriam daro įtaką organizacijos politika ir procedūros, gaunantis
duomenis iš kelių šaltinių (įskaitant kitus procesus), juos valdantis ir pateikiantis rezultatus (pvz., produktus,
paslaugas)“.
Procesų modelį sudaro:
• Suinteresuotosios šalys. Procesai turi vidaus ir išorės suinteresuotąsias šalis, turinčias savo funkcijas, kurių funkcijos
ir atsakomybės lygiai yra išdėstyti RACI lentelėse. Išorės suinteresuotosios šalys – tai klientai, veiklos partneriai,
akcininkai ir priežiūros subjektai. Vidaus suinteresuotosios šalys – tai taryba, vadovybė, darbuotojai ir savanoriai.
• Tikslai. Proceso tikslas apibrėžiamas kaip „teiginys, apibūdinantis pageidaujamą proceso rezultatą. Rezultatas gali
būti artefaktas, svarbus padėties pasikeitimas ar svarbus kitų procesų gebos pagerinimas“. Proceso tikslai yra tikslų
hierarchijos dalis, t. y. proceso tikslai remia IT tikslus, kurie, savo ruožtu, remia organizacijos tikslus.
Proceso tikslai gali būti grupuojami kaip:
– Esminiai tikslai. Ar proceso kokybė yra esminė? Ar procesas yra tikslus ir atitinka gerąją praktiką? Ar jis atitinka
vidaus ir išorės taisykles?
– Kontekstiniai tikslai. Ar procesas yra pritaikytas prie organizacijos konkrečios situacijos? Ar procesas yra
tinkamas, suprantamas ir lengvai taikomas?
– Prieinamumo ir saugumo užtikrinimo tikslai. Procesas yra žinomas ir prieinamas tiems, kuriems jo reikia ir, jeigu
reikia, išlieka konfidencialus.
Kiekviename tikslų hierarchijos lygyje, taip pat ir procesams, yra apibrėžiamos metrikos, skirtos matuoti, kokia
apimtimi yra pasiekti tikslai. Metrikos gali būti apibūdinamos kaip kiekybiškai apibrėžiamas subjektas, leidžiantis
atlikti proceso tikslo pasiekimo vertinimą. Metrikos turėtų būti išmanios (angl. SMART) – konkrečios, išmatuojamos,
įvykdomos, tinkamos ir laiku atliekamos.
Kad realizavimo priemonė būtų rezultatyviai ir efektyviai valdoma, turi būti apibrėžtos metrikos, skirtos matuoti,
kokia apimtimi yra pasiekti numatyti rezultatai. Be to, realizavimo priemonės veiklos valdymo antroji dalis („ar
valdomas gyvavimo ciklas“, „ar taikoma geroji praktika“) parodo, kokia apimtimi yra taikoma geroji praktika.
Siekiant padėti valdyti realizavimo priemonę, gali būti nustatytos ir kitos susijusios metrikos.
Personalized Copy for: Dr. Jelena Mamcenko
69
METODIKA
• Gyvavimo ciklas. Kiekvienas procesas turi gyvavimo ciklą – procesas yra nustatomas, kuriamas, vykdomas,
stebimas, pritaikomas ir (ar) atnaujinamas ar panaikinamas. Tokios bendrosios procesų praktikos, apibrėžtos COBIT
procesų vertinimo modelyje, remiantis ISO/IEC 15504 standartu, gali padėti nustatyti, vykdyti, stebėti ir optimizuoti
procesus.
• Geroji praktika. Metodika COBIT 5. Procesų realizavimo priemonės aprašo procesų informacinį modelį, kuriame
procesų vidaus gerosios praktikos yra išsamiai aprašytos šiuose didėjančio detalizavimo lygmenyse: praktika,
priemonės ir detaliosios priemonės:14
Praktika:
•K
iekvienam COBIT 5 procesui valdymo ir (ar) vadovavimo praktika nustato visą rinkinį bendrųjų reikalavimų, skirtų
rezultatyviam ir praktiškam organizacijos IT valdymui ir vadovavimui. Šie reikalavimai yra:
– teiginiai, nurodantys veiklos priemones naudai gauti, rizikos lygiui ir išteklių naudojimui optimizuoti,
– suderinti su svarbiais, visuotinai priimtais standartais ir gerąja praktika,
– bendrieji, todėl jie turi būti pritaikomi konkrečiai organizacijai,
– išsamiai aprašantys visas procese veikiančias veiklos ir IT funkcijas.
•O
rganizacijos valdymo struktūra ir vadovybė turi pasirinkti tinkamas valdymo ir vadovavimo praktikas:
– pasirinkti pritaikomas praktikas, ir nuspręsti dėl tų, kurios bus įgyvendinamos,
– papildyti naujomis ir (ar) pritaikyti esamas praktikas, jei jos reikalingos,
– nustatyti su IT nesusijusias praktikas ir jas panaudoti, integruojant į veiklos procesus,
– pasirinkti praktikų įgyvendinimo būdą (įgyvendinimo dažnumas, apimtis, automatizavimas ir pan.),
– prisiimti riziką, kad praktika gali būti neįgyvendinta.
Priemonės. COBIT metodikoje – pagrindiniai veiksmai, kurių imamasi procesui vykdyti.
•J
os apibrėžiamos kaip „gairės, kaip pasiekti tokią vadovavimo praktiką, kad organizacijos IT valdymas ir vadovavimas
būtų sėkmingi“. COBIT 5 priemonės aprašo, kaip, kodėl ir ką įgyvendinti kiekvienoje valdymo ar vadovavimo
praktikoje, siekiant patobulinti IT veiklos efektyvumą ir (ar) pateikti IT sprendimą bei spręsti paslaugų teikimo rizikos
klausimą. Ši medžiaga yra naudinga:
– vadovybei, paslaugų teikėjams, galutiniams naudotojams ir IT specialistams, kurie turi planuoti, formuoti, vykdyti ar
stebėti organizacijos IT,
– kokybės užtikrinimo specialistams, teikiantiems nuomonę dėl esamo ar siūlomo įgyvendinimo ar reikiamų
patobulinimų.
•J
os yra bendrųjų ir specifinių priemonių visuma, apimanti visus būtinus ir pakankamus etapus, reikalingus pagrindinei
valdymo praktikai / vadovavimo praktikai pasiekti. Jos nustato bendruosius reikalavimus žemesniame nei valdymo
praktikos / vadovavimo praktikos lygmenyje, skirtus vertinti esamą veiklos efektyvumą ir nagrinėti galimus
patobulinimus. Šios priemonės:
– aprašo būtinų ir pakankamų veiksmų seką, skirtą įgyvendinti valdymo ar vadovavimo praktiką,
– priklauso nuo proceso įvedamų duomenų ir rezultatų,
– yra pagrįstos visuotinai pripažintais standartais ir gerąja praktika,
– skatina aiškių funkcijų ir atsakomybių sukūrimą,
– nėra nurodomojo pobūdžio ir turi būti pritaikytos taip, kad taptų konkrečiomis, organizacijai tinkamomis
procedūromis.
Detaliosios priemonės. Priemonės gali neturėti pakankamai išsamios informacijos, jų įgyvendinimui reikalingos
informacijos, ir gali prireikti papildomų gairių, kurias galima rasti:
– konkrečiuose susijusiuose standartuose ir gerojoje praktikoje, pavyzdžiui, ITIL, ISO/IEC 27000 šeimos standartuose
ir PRINCE2,
– kituose COBIT 5 grupės leidiniuose, kuriuose pateikiamos išsamesnės ar labiau specifinės priemonės.
Įvedami duomenys ir rezultatai. COBIT 5 įvedami duomenys ir rezultatai yra procesų darbo produktai / artefaktai,
reikalingi procesų veiklai užtikrinti. Jų reikia pagrindiniams sprendimams priimti, jie leidžia sudaryti įrašus ir audito seką
proceso priemonėms ir įvykus incidentui gali būti naudojami veiklos peržiūrai atlikti. Įvedami duomenys ir rezultatai
yra to paties lygmens, kaip ir pagrindinės valdymo / vadovavimo praktikos, gali apimti kai kuriuos darbo produktus,
naudojamus tik pačiame procese, ir dažnai yra kitų procesų esminiais įvedamais duomenimis.15
Išorės geroji praktika gali būti bet kokio išsamumo lygio ar formos ir dažniausiai ji remiasi kitais
standartais ir metodikomis. Naudotojai visada gali remtis išorės gerąja praktika, žinodami, kad COBIT
yra suderintas su šiais standartais ir reikiamai informacijai galima rasti sąsajas.
Š iame COBIT 5 leidinyje pateiktame procesų realizavimo priemonės lygmenyje aprašyta tik praktika ir priemonės. Detalesni lygmenys gali būti aprašyti kituose
COBIT 5 leidiniuose, pvz., profesionalams skirtos gairės gali pateikti atitinkamoms sritims reikalingų išsamesnių patarimų. Be to, papildomų gairių galima rasti
kituose taikomuose standartuose ir metodikose, kurie yra nurodyti išsamiuose procesų aprašymuose.
15
Iliustraciniai COBIT 5 įvedami duomenys ir rezultatai neturėtų būti laikomi išsamiu sąrašu, nes, priklausomai nuo konkrečios organizacijos aplinkos ir jos
taikomų procesų, gali būti apibrėžti ir papildomi informacijos srautai
14
70
Personalized Copy for: Dr. Jelena Mamcenko
G priedas
COBIT 5 realizavimo priemonių išsamus aprašymas
Realizavimo priemonės veiklos valdymas
Taikydamos ir naudodamos realizavimo priemones, organizacijos tikisi gauti teigiamų rezultatų. Siekiant valdyti
realizavimo priemonių veiklą, reikalinga nuolatinė veiklos stebėsena, t. y. taikant metrikas reikės atsakyti į šiuos
klausimus:
• Ar patenkinti suinteresuotųjų šalių poreikiai?
• Ar pasiekti realizavimo priemonės tikslai?
• Ar valdomas gyvavimo ciklas?
• Ar taikoma geroji praktika?
Leidinyje COBIT 5. Procesų realizavimo priemonės proceso tikslui yra nustatomos kelios metrikos.
Paskutiniai du klausimai yra susiję su realizavimo priemonės veikimu, todėl šios metrikos gali būti vadinamos veiklos
efektyvumo rodikliais (angl. lead indicator).
Proceso gebos lygis. COBIT 5 taiko ISO/IEC 15504 standartu pagrįstą proceso gebos vertinimo schemą. Tai yra aptarta
COBIT 5 8 skyriuje, papildomos gairės pateikiamos kituose COBIT 5 leidiniuose. Apibendrinant, proceso gebos lygiais
matuojamas ir proceso tikslų pasiekimas, ir gerosios praktikos taikymas.
Ryšiai su kitomis realizavimo priemonėmis. Procesų ir kitų realizavimo priemonių sąsajos nusakomos tokiais ryšiais:
• Procesams reikia informacijos (kaip vienos iš įvedamų duomenų rūšies), ir procesai gali sukurti informaciją (kaip
darbo produktą).
• Kad procesai veiktų, jiems reikia organizacinių struktūrų ir funkcijų, nurodytų RACI lentelėse, pvz., IT valdymo
komiteto, organizacijos rizikos komiteto, tarybos, audito, IT vadovo, generalinio direktoriaus.
• Procesai skatina paslaugų gebą ir jiems reikia paslaugų (infrastruktūros, taikomųjų programų ir pan.).
• Procesai gali priklausyti ir priklauso nuo kitų procesų.
• Procesams reikia politikos ir procedūrų, skirtų užtikrinti nuoseklų procesų įdiegimą ir vykdymą, arba jie jas sukuria.
• Procesų vykdymo kokybę lemia kultūros ir elgsenos aspektai.
Procesų realizavimo priemonės praktinis pavyzdys
10 pavyzdyje pateikta procesų realizavimo priemonė, jos tarpusavio ryšiai ir realizavimo priemonės perspektyvos. Šis
pavyzdys yra susijęs su pirmiau pateiktu 5 pavyzdžiu.
COBIT 5 procesų informacinis modelis
VALDYMO IR VADOVAVIMO PROCESAI
Vienas pagrindinių COBIT metodikos principų yra valdymo ir vadovavimo atskyrimas. Laikantis šio principo ir siekiant,
kad organizacijos IT valdymas ir vadovavimas būtų visa apimantys, tikimasi, kad kiekviena organizacija įgyvendins jai
reikalingus valdymo ir vadovavimo procesus.
Kalbant apie valdymo ir vadovavimo procesus organizacijos kontekste, šių procesų grupių skirtumus lemia procesų tikslai:
• Valdymo procesai. Valdymo procesai siekia suinteresuotųjų šalių kompetencijai priskiriamų valdymo tikslų: vertės
sukūrimo, rizikos optimizavimo, išteklių optimizavimo; šie procesai apima praktikas ir veiklą, nukreiptą į strateginių
pasirinkimų įvertinimą, IT veiklos krypties nustatymą ir rezultatų stebėseną (EDM pagal ISO/IEC 38500 standarto
koncepciją).
• Vadovavimo procesai. Pagal vadovavimo apibrėžimą, vadovavimo procesų praktika ir veikla apima visas
organizacijos IT PRBM (angl. plan, build, run, monitor) atsakomybės sritis.
Personalized Copy for: Dr. Jelena Mamcenko
71
METODIKA
10 pavyzdys. Procesų realizavimo priemonių tarpusavio sąsajos
Siekdama gero IT valdymo ir vadovavimo, organizacija paskyrė procesų vadovus, atsakingus už efektyvių ir rezultatyvių IT procesų nustatymą ir įdiegimą.
Iš pradžių procesų vadovai analizuos realizavimo priemones atsižvelgdami į jų perspektyvas:
• Suinteresuotosios šalys. Proceso suinteresuotosios šalys apima visus proceso dalyvius, t. y. visas šalis, kurios yra atsakingos, atskaitingos,
konsultuojančios ar informuojamos (RACI) dėl proceso veiklos ar vykdant proceso veiklą. Todėl gali būti naudojama RACI lentelė, apibrėžta leidinyje
COBIT 5. Procesų įrealizavimo priemonės.
• Tikslai. Kiekvienam procesui turi būti nustatyti adekvatūs tikslai ir susijusios metrikos. Pavyzdžiui, proceso Valdyti ryšius (procesas APO08 leidinyje
COBIT 5. Procesų realizavimo priemonės) apraše galima rasti tokį proceso tikslų ir metrikų rinkinį:
– Tikslas. Veiklos strategijos, planai ir poreikiai yra gerai suprantami, dokumentuojami ir patvirtinami.
• Metrika. Programų, suderintų su organizacijos veiklos reikalavimais / prioritetais, procentinė dalis.
– Tikslas. Geri ryšiai tarp organizacijos ir IT departamento.
• Metrika. Naudotojų reitingai ir IT darbuotojų pasitenkinimo apklausos.
• G yvavimo ciklas. Kiekvienas procesas turi gyvavimo ciklą, t. y. jis turi būti sukurtas, vykdomas ir stebimas bei priderintas, jei to reikia. Galiausiai
procesai nustoja egzistavę. Tokiu atveju procesų vadovams pirmiausia reikėtų suprojektuoti ir apibrėžti procesą. Procesams projektuoti jie gali naudoti
kelis elementus iš COBIT 5. Procesų realizavimo priemonės, t. y. nustatyti atsakomybę, procesą išskaidyti į praktiką ir priemones ir nustatyti proceso darbo
produktus (įvedamus duomenis ir rezultatus). Kitame etape procesus reikia padaryti patvaresnius ir efektyvesnius, ir siekdami šio tikslo proceso vadovai
gali didinti proceso gebos lygį. Šiam tikslui gali būti naudojami ISO/IEC 15504 standartu pagrįstas COBIT 5 proceso gebos modelis ir proceso gebos
atributai, pavyzdžiui:
– Proceso gebos 2 lygyje reikia pasiekti du atributus: proceso vykdymo valdymą ir darbo produktų valdymą. Pirmajam atributui reikia kelių su planavimo
etapu susijusių priemonių:
• nustatyti proceso vykdymo tikslus,
• suplanuoti proceso vykdymą,
• nustatyti atsakomybę už proceso vykdymą,
• numatyti išteklius,
• ir pan.
Tame pačiame gebos lygyje turi būti numatytos priemonės, skirtos proceso gyvavimo ciklo stebėsenai, pavyzdžiui:
• proceso vykdymas turi būti stebimas ,
• proceso vykdymas turi būti koreguojamas, kad atitiktų planus,
• ir pan.
– Toks pat metodas gali būti naudojamas įvairiems gyvavimo ciklo etapams ir įvairiems veiklos gebos atributams, esantiems aukštesniuose procesų
gebos lygmenyse.
• Geroji praktika. Kaip jau buvo minėta ankstesniame punkte, procesams skirtą gerąją praktiką COBIT 5 pakankamai išsamiai pateikia leidinyje
COBIT 5. Proceso realizavimo priemonės. Leidinyje pateikiami pasiūlymai ir pavyzdžiai, apimantys visą spektrą priemonių, reikalingų organizacijos IT
geram valdymui ir vadovavimui.
Procesų vadovai gali nuspręsti atsižvelgti ne tik į procesų realizavimo priemones, bet ir į kitas realizavimo priemones, pavyzdžiui:
• RACI lenteles, kurios nustato funkcijas ir atsakomybę. Kitos realizavimo priemonės leidžia šias funkcijas ir atsakomybę nagrinėti dar giliau, pavyzdžiui:
- įgūdžių ir kompetencijos realizavimo priemonėje kiekvienai funkcijai galima nustatyti reikiamus įgūdžius ir kompetenciją, taip pat galima nustatyti
atitinkamus tikslus (pvz., techninių ir elgsenos įgūdžių lygiai) ir šiems tikslams matuoti skirtas metrikas,
- RACI lentelę taip pat sudaro įvairios organizacinės struktūros. Šios struktūros gali būti toliau analizuojamos organizacinių struktūrų realizavimo
priemonėje, kurioje pateikiamas išsamesnis struktūros apibūdinimas, nustatyti laukiami rezultatai ir susijusios metrikos (pvz., sprendimai), taip pat
pateikiama geroji praktika (pvz., kontrolės apimtis, struktūros veiklos principai, įgaliojimų lygis).
• Principai ir politika formalizuos procesus ir pagrįs proceso egzistavimą, jo taikomumą ir naudojimą. Tokia yra principų ir politikos realizavimo
priemonės esmė.
Nors abiejų procesų grupių rezultatai skiriasi ir skirti skirtingai auditorijai, vidinė proceso struktūra parodo, kad
kiekvienam procesui yra būdingos planavimo, formavimo ar įgyvendinimo, vykdymo ir stebėsenos tipo priemonės.
COBIT 5 PROCESŲ INFORMACINIS MODELIS
COBIT 5 nėra nurodomojo pobūdžio, tačiau iš ankstesnio teksto yra aišku, kad ji skatina organizacijas diegti valdymo ir
vadovavimo procesus, apimančius pagrindines sritis, pateiktas 30 paveikslėlyje.
Teoriškai, organizacija gali pasirinkti, kaip jai organizuoti savo procesus, tačiau jie turi atitikti pagrindinius valdymo
ir vadovavimo tikslus. Mažesnės organizacijos gali vykdyti mažiau procesų, didesnės ir sudėtingesnės organizacijos –
daugiau procesų, tačiau procesų tikslai turi būti tokie patys.
72
Personalized Copy for: Dr. Jelena Mamcenko
G priedas
COBIT 5 realizavimo priemonių išsamus aprašymas
30 pav. COBIT 5 pagrindinės valdymo ir vadovavimo sritys
Veiklos poreikiai
Valdymas
Vertinti
Nustatyti
kryptį
Vadovybės atsakas
Stebėti
Vadovavimas
Planuoti
(APO)
Formuoti
(BAI)
Vykdyti
(DSS)
Stebėti
(MEA)
COBIT 5 pateikia procesų informacinį modelį, nustatantį ir išsamiai aprašantį valdymo ir vadovavimo procesus. Procesų
informacinis modelis apima praktiškai visus procesus, vykstančius su IT susijusioje organizacijos veikloje, ir yra
aprašytas taip, kad būtų suprantamas vadovams, atsakantiems tiek už pagrindinę organizacijos veiklą, tiek ir už IT veiklą.
Šis procesų modelis yra išsamus ir visa apimantis, tačiau ne vienintelis galimas. Atsižvelgdama į konkrečią situaciją,
kiekviena organizacija privalo nustatyti savo procesų visumą.
Veiklos modelio pasirinkimas ir vieningos terminologijos naudojimas visoms IT veikloje dalyvaujančioms organizacijos
dalims yra vienas svarbiausių žingsnių, vedančių link gero valdymo. Šis modelis siūlo metodus IT veiklai matuoti ir
stebėti, bendrauti su paslaugų tiekėjais ir integruoti geriausią valdymo praktiką.
COBIT 5 procesų informacinis modelis organizacijos IT valdymo ir vadovavimo procesus padalija į dvi pagrindines
veiklos sritis – valdymą ir vadovavimą – suskirstytas į procesų domenus:
• Valdymas. Šį domeną sudaro penki valdymo procesai; kiekviename procese yra nustatyta EDM praktika.
• Vadovavimas. Šie keturi domenai atitinka PBRM atsakomybės sritis (COBIT 4.1 domenų plėtotė) ir apima visą IT
sritį. Kaip COBIT 4.1 ir ankstesnėse versijose, kiekvieną domeną sudaro grupė procesų. Nors, kaip nurodyta pirmiau,
daugumai procesų būdingi planavimo, įgyvendinimo, vykdymo ir stebėsenos elementai, ar specifika, atsižvelgiant
į proceso sprendžiamą klausimą (pvz., kokybės, saugumo klausimai), šie procesai yra sugrupuoti domenuose pagal
labiausiai įprastą IT veiklos stities organizavimą.
COBIT 5 metodikoje procesai apima visą tiek su organizacijos IT valdymu ir vadovavimu susijusią organizacijos veiklą,
tiek ir IT veiklą, todėl šis procesų modelis iš esmės apima visą organizaciją.
COBIT 5 procesų informacinis modelis pakeičia COBIT 4.1 procesų modelį, papildomai integravus Risk IT ir Val IT
procesų modelius. 31 paveikslėlyje pateikti visi 37 COBIT 5 valdymo ir vadovavimo procesai. Išsami informacija apie
procesus, paminėtus aprašomame procesų modelyje, yra pateikiama leidinyje COBIT 5. Procesų realizavimo priemonės.
Personalized Copy for: Dr. Jelena Mamcenko
73
METODIKA
31 pav. COBIT 5 procesų informacinis modelis
Organizacijos IT valdymo procesai
Vertinti, nustatyti kryptį ir stebėti (Evaluate, Direct and Monitor)
EDM01
Užtikrinti valdymo
sistemos įdiegimą
ir priežiūrą
EDM03
Užtikrinti rizikos
optimizavimą
EDM02
Užtikrinti
naudos sukūrimą
EDM04
Užtikrinti išteklių
optimizavimą
EDM05
Užtikrinti skaidrumą
suinteresuotosioms
šalims
Suderinti, planuoti ir organizuoti (Align, Plan and Organise)
APO01
Valdyti IT
valdymo sistemą
APO02
Valdyti strategiją
APO03
Valdyti
organizacijos
architektūrą
APO04
Valdyti inovacijas
APO05
Valdyti portfelį
APO06
Valdyti biudžetą
ir sąnaudas
APO08
Valdyti ryšius
APO09
Valdyti paslaugų
sutartis
APO10
Valdyti tiekėjus
APO11
Valdyti kokybę
APO12
Valdyti riziką
APO13
Valdyti saugą
BAI05
Valdyti pasirengimą
organizaciniams
pokyčiams
BAI06
Valdyti pokyčius
DSS05
Valdyti saugos
paslaugas
DSS06
Valdyti veiklos
procesų kontrolę
APO07
Valdyti
žmogiškuosius
išteklius
Stebėti, vertinti
ir įvertinti
(Monitor, Evaluate
and Assess)
MEA01
Stebėti, vertinti ir
įvertinti veiklos
efektyvumą ir atitiktį
Formuoti, įsigyti ir įdiegti (Build, Acquire and Implement)
BAI01
Valdyti programas
ir projektus
BAI02
Valdyti
reikalavimų
nustatymą
BAI03
Valdyti sprendimų
identifikavimą ir
formavimą
BAI08
Valdyti žinias
BAI09
Valdyti turtą
BAI10
Valdyti konfigūraciją
BAI04
Valdyti
prieinamumą ir
pajėgumus
BAI07
Valdyti pokyčių
patikros ir
pertvarkos procesus
MEA02
Stebėti, vertinti ir
įvertinti vidaus
kontrolės sistemą
Teikti, aptarnauti ir palaikyti (Deliver, Service and Support)
DSS01
Valdyti veiklą
DSS02
Valdyti paslaugų
užklausas ir
incidentus
DSS03
Valdyti problemas
DSS04
Valdyti tęstinumą
Organizacijos IT vadovavimo procesai
74
Personalized Copy for: Dr. Jelena Mamcenko
MEA03
Stebėti, vertinti ir
įvertinti išorės
reikalavimų laikymąsi
G priedas
COBIT 5 realizavimo priemonių išsamus aprašymas
COBIT 5 realizavimo priemonės: organizacinės struktūros
Organizacinių struktūrų realizavimo priemonės specifinių elementų palyginimas su bendruoju realizavimo priemonių
modeliu pateiktas 32 paveikslėlyje.
Organizacinių struktūrų modelį sudaro:
• Suinteresuotosios šalys. Organizacinių struktūrų suinteresuotosios šalys gali būti organizacijos vidaus ir išorės
suinteresuotosios šalys. Suinteresuotosiomis šalimis gali būti atskiri struktūrų nariai, kitos struktūros, organizacijų
subjektai, klientai, tiekėjai ir priežiūros institucijos. Jų funkcijos yra įvairios ir apima sprendimų priėmimą, įtakos
darymą ir konsultavimą. Jų suinteresuotumas taip pat skiriasi, t. y. kas jiems aktualu struktūrų priimtuose sprendimuose.
• Tikslai. Organizacinių struktūrų kaip realizavimo priemonės tikslai turėtų apimti tinkamus įgaliojimus, tinkamai
nustatytus veiklos principus ir kitos gerosios praktikos taikymą. Organizacinių struktūrų realizavimo priemonės turėtų
teikti geras veiklos priemones ir sprendimus.
• Gyvavimo ciklas. Organizacinė struktūra turi gyvavimo ciklą. Ji sukuriama, egzistuoja, yra pertvarkoma ir galiausiai ji
gali būti panaikinta. Organizacinei struktūrai pradėjus veikti, turi būti apibrėžti jos įgaliojimai –buvimo priežastis ir tikslas.
• Geroji praktika. Tam tikra organizacinių struktūrų gerosios praktikos dalis yra, pavyzdžiui:
– Veiklos principai. Praktinio pobūdžio susitarimai dėl struktūros veiklos, pavyzdžiui, susirinkimų dažnumas, dokumentų
ir ūkio klausimų tvarkymas.
– Sudėtis. Struktūros turi narius, kurie yra vidaus ar išorės suinteresuotosios šalys.
– Kontrolės apimtis. Organizacinės struktūros sprendimų priėmimo teisės ribos.
– Įgaliojimų / sprendimo teisės lygis. Sprendimai, kuriuos struktūra yra įgaliota priimti.
– Įgaliojimų delegavimas. Struktūra gali perduoti savo sprendimo teisę (ar jos dalį) kitoms atskaitingoms struktūroms.
– Eskalavimo procedūros. Eskalavimo procedūra (angl. escalation path) aprašo reikiamus veiksmus, kurių turi imtis
struktūra, jeigu kyla problemų priimant sprendimus.
Realizavimo priemonės
veiklos valdymas
Realizavimo priemonės
perspektyvos
32 pav. COBIT 5 realizavimo priemonės: organizacinės struktūros
Suinteresuotosios
šalys
Tikslai
Gyvavimo ciklas
Geroji praktika
• Vidaus
suinteresuotosios
šalys
• Išorės
suinteresuotosios
šalys
• Esminė kokybė
• Kontekstinė kokybė
(tinkamumas,
rezultatyvumas):
• Prieinamumas ir
saugumo užtikrinimas
• Planuoti
• Projektuoti
• Formuoti / įsigyti /
kurti / įgyvendinti
• Naudoti / eksploatuoti
• Vertinti / stebėti
• Atnaujinti / sunaikinti
• Praktika:
veiklos principai,
kontrolės apimtis,
įgaliojimų lygis,
įgaliojimų delegavimas,
eskalavimo procedūros
• Darbo produktai
(įvedami duomenys /
rezultatai):
sprendimai
Ar patenkinti suinteresuotųjų
šalių poreikiai?
Ar pasiekti realizavimo
priemonės tikslai?
Tikslų pasiekimo metrikos
(tikslo pasiekimo rodikliai)
Ar valdomas
gyvavimo ciklas?
Ar taikoma
geroji praktika?
Praktikos taikymo metrikos
(veiklos efektyvumo rodikliai)
Ryšiai su kitomis realizavimo priemonėmis. Sąsajos su kitomis realizavimo priemonėmis apima:
• RACI lentelės susieja proceso priemones su organizacinėmis struktūromis ir (ar) atskiromis funkcijomis
organizacijoje. Jos apibūdina, kaip kiekvieno proceso praktikoje dalyvauja kiekviena iš funkcijų: atsakingas,
atskaitingas, konsultuojantis ar informuojamas,
• kultūra, etika ir elgsena daro įtaką organizacinių struktūrų ir jų priimamų sprendimų efektyvumui ir rezultatyvumui,
• sudarant organizacines struktūras reikėtų atsižvelgti ir reikalauti iš jų narių atitinkamų įgūdžių,
• organizacinių struktūrų įgaliojimams ir veiklos principams nustatyti kaip gairės taikoma politika,
• įvedami duomenys ir rezultatai. Struktūrai reikia įvedamų duomenų (paprastai informacijos), kad ji galėtų priimti
kompetentingus sprendimus ir pateikti rezultatus, pavyzdžiui, sprendimus, kitą informaciją, arba prašymus pateikti
papildomus duomenis.
Personalized Copy for: Dr. Jelena Mamcenko
75
METODIKA
PAVYZDINĖS ORGANIZACINĖS STRUKTŪROS COBIT 5 METODIKOJE
Kaip jau buvo minėta aptariant COBIT 5 procesų modelį, pavyzdinis COBIT 5 procesų informacinis modelis buvo
sukurtas ir išsamiai aprašytas leidinyje COBIT 5. Procesų realizavimo priemonės. Modelis apima RACI lenteles, kuriose
naudojamos įvairios funkcijos ir struktūros. 33 paveikslėlyje pateikiamos šios standartinės funkcijos ir struktūros.
Pastabos:
• Šios funkcijos nebūtinai turi sutapti su faktinėmis funkcijomis, kurios yra nustatytos organizacijose. Nepaisant to, jos
pateikia vertingos informacijos, nes tipinis struktūros ar funkcijos tikslas ar paskirtis galioja daugelyje organizacijų.
• Šios lentelės tikslas nėra nurodyti kiekvienai organizacijai universalią organizacinę schemą. Ji turėtų būti vertinama
labiau kaip iliustracinė.
33 pav. COBIT 5 funkcijos ir organizacinės struktūros
Funkcija / struktūra
Apibrėžtis / apibūdinimas
Taryba (angl. Board)
Organizacijos aukščiausių vadovų ir (ar) ne vykdomųjų direktorių, atskaitingų už organizacijos valdymą ir visiškai valdančių
jos išteklius, grupė.
Generalinis direktorius
(angl. CEO)
Aukščiausiojo lygio vadovas, atsakingas už bendrąjį vadovavimą organizacijai.
Vyriausiasis finansininkas
(angl. CFO)
Organizacijos vadovas, atskaitingas už visus finansų valdymo aspektus, įskaitant finansinę riziką, kontrolės priemones bei
patikimas ir tikslias sąskaitas.
Vykdomasis direktorius
(angl. COO)
Organizacijos vadovas, atskaitingas už organizacijos vykdomą veiklą.
Rizikos valdymo vadovas
(angl. CRO)
Organizacijos vadovas, atskaitingas už visus organizacijos rizikos valdymo aspektus. Su IT susijusiai rizikai prižiūrėti gali būti
įsteigta IT rizikos valdymo vadovo pareigybė.
IT vadovas (angl. CIO)
Organizacijos vadovas, atsakingas už IT ir veiklos strategijų suderinimą bei už IT paslaugų ir sprendimų planavimą, išteklių
nustatymą ir valdymą siekiant organizacijos tikslų.
Informacijos saugos vadovas
(angl. CISO)
Organizacijos vadovas, atskaitingas už organizacijos visų informacijos formų saugumo užtikrinimą.
Veiklos vadovas
(angl. Business Executive)
Vadovas, atskaitingas už konkretaus veiklos padalinio ar filialo veiklą.
Veiklos procesų savininkas
(angl. Business Process
Owner)
Darbuotojas, atskaitingas už proceso veiklą, įgyvendinant proceso tikslus, skatinant proceso tobulinimą ir tvirtinant proceso
pokyčius.
(IT valdymo) Strateginis
komitetas (angl. Strategy
(IT Executive) Committee)
Tarybos sudaryta vadovų grupė, kuri turi užtikrinti, kad taryba dalyvautų ir būtų informuojama svarbiausiais IT klausimais
ir priimant sprendimus. Komitetas yra atskaitingas už IT investicijų, IT paslaugų ir IT turto valdymą ir užtikrinimą, kad vertė
būtų sukuriama, o rizika valdoma. Komiteto pirmininkas paprastai būna tarybos narys, o ne IT vadovas.
(Projektų ir programų)
Valdymo komitetai (angl.
(Project and Programme)
Steering Committees)
Suinteresuotųjų šalių ir ekspertų grupė, atskaitinga už vadovavimą programoms ir projektams, įskaitant planų valdymą ir
stebėjimą, išteklių paskirstymą, naudos ir vertės sukūrimą, programų ir projektų rizikos valdymą.
Architektūros taryba
(angl. Architecture Board)
Suinteresuotųjų šalių ir ekspertų grupė, atskaitinga už patarimus ir sprendimus organizacijos architektūros, architektūros
politikos ir standartų klausimais.
Organizacijos rizikos
komitetas (angl. Enterprise
Risk Committee)
Organizacijos vadovų grupė, organizacijos lygmeniu atskaitinga už bendradarbiavimą ir konsensusą valdant organizacijos
riziką ir sprendimus. Detaliau nagrinėti IT riziką ir teikti siūlymus organizacijos rizikos komitetui gali būti sudaryta IT rizikos
darbo grupė.
Žmogiškųjų išteklių vadovas
(angl. Head of HR)
Organizacijos vadovas, atskaitingas už visų organizacijos žmogiškųjų išteklių planavimą ir politiką.
Atitikties darbuotojas
(angl. Compliance)
Darbuotojas, atsakingas už konsultavimą teisinių, priežiūros ir sutartinių reikalavimų atitikties klausimais.
Auditorius (angl. Audit)
Darbuotojas, atsakingas už vidaus audito atlikimą.
Architektūros vadovas
(angl. Head of Architecture)
Vadovas, atskaitingas už organizacijos architektūros procesus.
IT sprendimų vadovas
(angl. Head of Development)
Vadovas, atskaitingas už su IT susijusių sprendimų rengimo procesus.
IT operacijų vadovas
(angl. Head of IT Operations)
Vadovas, atskaitingas už IT veiklos aplinką ir infrastruktūrą.
76
Personalized Copy for: Dr. Jelena Mamcenko
G priedas
COBIT 5 realizavimo priemonių išsamus aprašymas
33 pav. COBIT 5 funkcijos ir organizacinės struktūros (tęsiama)
Funkcija / struktūra
IT administravimo
vadovas (angl. Head of IT
Administration)
Apibrėžtis / apibūdinimas
Vadovas, atskaitingas už su IT susijusius įrašus ir atsakingas už su IT susijusių administracinių klausimų sprendimą.
Programų ir projektų valdymo Funkcija, skirta programų ir projektų vadovams informacijai apie vykdomas programas ir jas sudarančius projektus rinkti,
grupė (angl. Programme and vertinti ir pranešti.
Project Management Office
(PMO)
Vertės valdymo grupė
(angl. Value Management
Office (VMO)
Funkcija, kuri veikia kaip investicijų ir paslaugų portfelio valdymo sekretoriatas, įskaitant vertinimą ir konsultacijas
investavimo galimybių ir projekto pagrindimo klausimais, vertės valdymo / vadovavimo metodų ir kontrolės priemonių
rekomendavimą, informavimą apie vertės iš investicijų ir paslaugų sukūrimą ir išlaikymą.
Paslaugų vadovas
Darbuotojas, kuris vykdo naujų ir esamų produktų ir paslaugų, skirtų konkrečiam klientui (naudotojui) ar klientų
(naudotojų) grupei, vystymą, įdiegimą, vertinimą ir nuolatinį valdymą.
Informacijos saugos vadovas
Darbuotojas, kuris tvarko, kuria, prižiūri ir (ar) vertina organizacijos informacijos saugą.
Veiklos tęstinumo vadovas
Darbuotojas, kuris tvarko, kuria, prižiūri ir (ar) vertina organizacijos veiklos tęstinumo gebą, kad būtų užtikrinta, jog
organizacijos kritinės funkcijos, įvykus sutrikimams, būtų vykdomos toliau.
Asmens duomenų apsaugos
pareigūnas
Darbuotojas, atsakingas už veiklos rizikos ir jos poveikio asmens duomenų apsaugą reglamentuojantiems teisės aktams
stebėjimą ir už politikos ir priemonių, užtikrinančių atitiktį asmens duomenų apsaugos reikalavimams, įgyvendinimo
koordinavimą. Dar vadinamas duomenų apsaugos pareigūnu.
Personalized Copy for: Dr. Jelena Mamcenko
77
METODIKA
Specialiai paliktas tuščias lapas
78
Personalized Copy for: Dr. Jelena Mamcenko
G priedas
COBIT 5 realizavimo priemonių išsamus aprašymas
COBIT 5 realizavimo priemonės: kultūra, etika ir elgsena
Kultūra, etika ir elgsena remiasi individualaus ir kolektyvinio elgesio organizacijoje visuma.
Kultūros, etikos ir elgsenos realizavimo priemonių specifinių elementų palyginimas su bendruoju realizavimo priemonių
modeliu pateiktas 34 paveikslėlyje.
Realizavimo priemonės
veiklos valdymas
Realizavimo priemonės
perspektyvos
34 pav. COBIT 5 realizavimo priemonės: kultūra, etika ir elgsena
Suinteresuotosios
šalys
Tikslai
Gyvavimo ciklas
Geroji praktika
• Vidaus
suinteresuotosios
šalys
• Išorės
suinteresuotosios
šalys
• Esminė kokybė
• Kontekstinė kokybė
(tinkamumas,
rezultatyvumas):
• Prieinamumas ir
saugumo užtikrinimas
• Planuoti
• Projektuoti
• Formuoti / įsigyti /
kurti / įgyvendinti
• Naudoti / eksploatuoti
• Vertinti / stebėti
• Atnaujinti / sunaikinti
• Praktika:
– komunikavimas
– priverstinis vykdymas
– iniciatyvos ir apdovanojimai
– sąmoningumas
– taisyklės ir normos
– čempionai
• Darbo produktai
(įvedami duomenys /
rezultatai)
Ar patenkinti suinteresuotųjų
šalių poreikiai?
Ar pasiekti realizavimo
priemonės tikslai?
Tikslų pasiekimo metrikos
(tikslo pasiekimo rodikliai)
Ar valdomas
gyvavimo ciklas?
Ar taikoma
geroji praktika?
Praktikos taikymo metrikos
(veiklos efektyvumo rodikliai)
Kultūros, etikos ir elgsenos modelį sudaro:
• Suinteresuotosios šalys. Kultūros, etikos ir elgsenos suinteresuotosios šalys gali būti organizacijos vidaus ir išorės
suinteresuotosios šalys. Vidaus suinteresuotosios šalys apima visą organizaciją, išorės suinteresuotosios šalys apima
priežiūros institucijas, pvz., išorės auditorius ar priežiūrą vykdančias įstaigas. Suinteresuotumas yra dvejopas: kai
kurios suinteresuotosios šalys, pvz., teisininkai, rizikos vadovai, žmogiškųjų išteklių vadovai, atlyginimų komisijos
ir pareigūnai, nustato, diegia ir įdiegia pageidaujamą elgseną, o kitos suinteresuotosios šalys turi prisiderinti prie
nustatytų taisyklių ir normų.
• Tikslai. Kultūros, etikos ir elgsenos realizavimo priemonių tikslai yra susiję su:
– organizacijos etika, kurią nustato organizacijos pripažįstamos vertybės,
– asmens etika, kurią nustato kiekvieno asmens organizacijoje asmeninės vertybės ir kuri priklauso nuo išorės veiksnių,
pavyzdžiui, religijos, tautybės, socialinės ekonominės aplinkos, geografijos, asmeninės patirties,
– atskirų asmenų elgsena, kuri kaip visuma apibrėžia organizacijos kultūrą. Daug tokių veiksnių kaip pirmiau minėti
išorės veiksniai, taip pat tarpasmeniniai ryšiai organizacijoje, asmeniniai tikslai ir ambicijos, daro įtaką elgesiui. Tam
tikri elgsenos tipai, kurie gali būti svarbūs šiame kontekste:
• Elgsena rizikos priėmimo atžvilgiu. Kokią riziką, organizacijos manymu, ji gali valdyti ir kokią riziką ji
nori prisiimti?
• Elgsena politikos laikymosi atžvilgiu. Kokia apimtimi žmonės priims ir (ar) laikysis politikos?
• Elgsena neigiamų rezultatų atžvilgiu. Kaip organizacija sprendžia neigiamus rezultatus, t. y. praradimus ar
praleistas galimybes? Ar ji pasimokys iš jų ir stengsis prisitaikyti, ar kaltieji bus surasti nenagrinėjant esminės
priežasties?
• Gyvavimo ciklas. Organizacijos kultūra, etinės nuostatos ir individuali elgsena ir pan. – viskas turi savo gyvavimo
ciklą. Pradėdama nuo esamos kultūros, organizacija gali nustatyti reikiamus pokyčius ir siekti jų įgyvendinimo. Gali
būti naudojama daugelis priemonių, aprašytų gerojoje praktikoje.
• Geroji praktika. Pageidaujamos elgsenos visoje organizacijoje kūrimo, skatinimo ir palaikymo geroji praktika apima:
– pageidaujamos elgsenos ir pagrindinių bendrųjų vertybių organizacijoje deklaravimą,
– pageidaujamos elgsenos supratimą ir jos stiprinimą vadovų ir kitų lyderių rodomu pavyzdžiu,
Personalized Copy for: Dr. Jelena Mamcenko
79
METODIKA
– pageidaujamą elgseną skatinančias iniciatyvas ir įgyvendinamas atgrasančias priemones. Čia yra aiški individualios
elgsenos ir organizacijos taikomos žmogiškųjų išteklių atlyginimų schemos sąsaja.
– taisykles ir normas, kurios pateikia daugiau gairių apie pageidaujamą organizacijos elgseną. Tai labai aiškiai susiję su
principais ir politika, kurią taiko organizacija.
• Ryšiai su kitomis realizavimo priemonėmis. Sąsajos su kitomis realizavimo priemonėmis:
– procesai gali būti suprojektuoti iki tobulumo, tačiau jeigu procesų suinteresuotosios šalys nepageidauja vykdyti procesų
priemonių, kaip numatyta, t. y. jų elgsena neatitinka reikalavimų, procesų rezultatai nebus pasiekti,
– panašiai, organizacinės struktūros gali būti suprojektuotos ir suformuotos pagal vadovėlinius reikalavimus, tačiau
jeigu sprendimai nėra įvykdomi dėl įvairių asmeninių priežasčių, iniciatyvos trūkumo ir pan., jos nesukurs tinkamo
organizacijos IT valdymo ir vadovavimo,
– principai ir politika yra labai svarbus komunikavimo mechanizmas siekiant bendrų vertybių ir pageidaujamos elgsenos.
11 pavyzdys. Kokybės gerinimas
Organizacija nuolat susiduria su rimtomis kokybės problemomis dėl naujų taikomųjų programų. Nors ir taikoma patikima programinės įrangos projektų
valdymo metodika, programinės įrangos problemos kasdienėje veikloje dažnai sukelia veiklos problemų.
Tyrimas parodė, kad tobulinimo grupės nariai ir vadovybė yra įvertinami ir apdovanojami, jeigu jų projektai vykdomi laiku ir neviršijant biudžeto. Kokybės
ar veiklos naudos kriterijai nėra taikomi. Todėl visas dėmesys sutelkiamas į įvykdymą laiku ir sąnaudų sumažinimą vykdymo metu, pvz., atliekant testavimą.
Tyrimas taip pat parodė, kad iš esmės neegzistuoja nustatytos metodikos ir procedūrų laikymasis, nes tai pareikalautų šiek tiek daugiau laiko (kokybės
naudai). Be to, organizacinė struktūra yra tokia, kad oficialus tobulinimas pasibaigia, kai taikomosios programos yra perduodamos į veiklos aplinką. Nuo tada
tobulinimas vyksta netiesiogiai per nustatytus incidentų ir problemų valdymo procesus.
Tai parodo, kad sprendimų tobulinimo valdymui ir komandų kokybiško darbo skatinimui turėtų būti naudojamos geresnės skatinimo priemonės.
12 pavyzdys. Su IT susijusi rizika
Kai kurie netinkamos ar problemiškos kultūros valdant su IT susijusią riziką simptomai yra:
• realaus priimtino rizikos lygio ir politikos nesuderinamumas. Tikrasis vadovybės požiūris į riziką gali būti pagrįstai agresyvus ir rizikingas, nors sukurta
politika atspindi daug konservatyvesnį požiūrį. Vadinasi, tarp vertybių ir jas įgyvendinančių priemonių yra neatitiktis, neišvengiamai vedanti į konfliktą.
Konfliktai gali kilti, pavyzdžiui, tarp vadovybės nustatytų iniciatyvų ir nesuderintos politikos.
• kaltinimai. Kaltinimų visais įmanomais būdais reikėtų vengti; tai yra vienas iš svarbesnių tinkamo ir efektyvaus komunikavimo stabdžių. Tokiais
atvejais veiklos padaliniai yra linkę kaltinti IT, kai projektai neįvykdomi laiku ar neatitinka lūkesčių. Taip elgdamiesi jie nesuvokia, kaip veiklos padalinių
dalyvavimas tiesiogiai veikia projekto sėkmę. Kraštutiniais atvejais veiklos padalinys priskiria kaltę už tai, kad nebuvo patenkinti jo lūkesčiai, nors
lūkesčiai aiškiai nebuvo išsakyti. Kaltinimai tik mažina rezultatyvų komunikavimą tarp padalinių ir toliau kursto veiklos vilkinimą. Norėdami skatinti
bendradarbiavimą visoje organizacijoje, vadovai privalo nustatyti ir greitai suvaldyti kaltinimų apraiškas.
80
Personalized Copy for: Dr. Jelena Mamcenko
G priedas
COBIT 5 realizavimo priemonių išsamus aprašymas
COBIT 5 realizavimo priemonės: informacija
Įvadas. Informacijos ciklas
Informacijos realizavimo priemonės apdoroja visą organizacijų valdomą informaciją, ne tik automatizuotą. Informacija
gali būti susisteminta arba nesusisteminta, formali ar neformali.
Informacija gali būti laikoma viena iš organizacijos informacijos ciklo etapų. Informacijos cikle (35 pav.) veiklos procesai
kuria ir apdoroja duomenis, keičia juos į informaciją ir žinias, sukurdami vertę organizacijai. Informacijos realizavimo
priemonės apimtis daugiausiai yra susijusi su informacijos ciklo informacijos etapu, tačiau COBIT 5 apima ir duomenų
bei žinių etapus.
35 pav. COBIT 5 metaduomenys: informacijos ciklas
Veiklos procesai
Kurti ir apdoroti
Skatinti
IT procesai
Vertė
Duomenys
Keisti
Informacija
Keisti
Žinios
Kurti
COBIT 5 informacijos realizavimo priemonės
Informacijos realizavimo priemonių specifinių elementų palyginimas su bendruoju realizavimo priemonių modeliu
pateiktas 36 paveikslėlyje.
Realizavimo priemonės
veiklos valdymas
Realizavimo priemonės
perspektyvos
36 pav. COBIT 5 realizavimo priemonės: informacija
Suinteresuotosios
šalys
Tikslai
Gyvavimo ciklas
• Vidaus
suinteresuotosios
šalys
• Išorės
suinteresuotosios
šalys
• Esminė kokybė
• Kontekstinė kokybė
(tinkamumas,
rezultatyvumas):
• Prieinamumas ir
saugumo užtikrinimas
• Planuoti
• Projektuoti
• Formuoti / įsigyti /
kurti / įgyvendinti
• Naudoti / eksploatuoti
• Vertinti / stebėti
• Atnaujinti / sunaikinti
Ar patenkinti suinteresuotųjų
šalių poreikiai?
Ar pasiekti realizavimo
priemonės tikslai?
Tikslų pasiekimo metrikos
(tikslo pasiekimo rodikliai)
Ar valdomas
gyvavimo ciklas?
Geroji praktika
• Praktika: apibrėžti informacijos atributus
– fizinius (nešėjas, laikmena)
– empirinius (naudotojo sąsaja)
– sintaksinius (kalba, kodas)
– semantinius (reikšmė), tipas,
galiojimas, lygis
– pragmatiškus (naudojimas),
apima išsaugojimo laikotarpį,
informacijos būklę, asociaciją, naujumą
– socialinius (kontekstas)
Ar taikoma
geroji praktika?
Praktikos taikymo metrikos
(veiklos efektyvumo rodikliai)
Personalized Copy for: Dr. Jelena Mamcenko
81
METODIKA
Informacijos modelį (IM) sudaro:
• Suinteresuotosios šalys. Tai gali būti organizacijos vidaus ir išorės suinteresuotosios šalys. Bendrajame modelyje
siūloma, nustatyti ne tik suinteresuotąsias šalis, bet ir jų suinteresuotumą, t. y. kodėl joms rūpi arba jos domisi šia
informacija.
Atsižvelgiant į tai, kokios yra informacijos suinteresuotosios šalys, galimos įvairios informacijos tvarkymo funkcijų
kategorijos, pradedant išsamiais pasiūlymais – nustatant konkrečias duomenų ar informacijos valdymo funkcijas kaip
architektas, savininkas, valdytojas, patikėtinis, tiekėjas, naudos gavėjas, modeliuotojas, kokybės vadovas, saugos
vadovas – baigiant bendresnio pobūdžio pasiūlymais – pavyzdžiui, atskiriant informacijos kūrėjus, informacijos
saugotojus ir informacijos naudotojus:
– informacijos kūrėjas atsako už informacijos kūrimą,
– informacijos saugotojas atsako už informacijos saugojimą ir priežiūrą,
– informacijos naudotojas atsako už informacijos naudojimą.
Šios kategorijos priskiriamos konkrečioms informacijos išteklių valdymo priemonėms. Priemonės priklauso nuo
konkretaus informacijos gyvavimo ciklo etapo, todėl norint rasti informacijos modeliui tinkamo detalumo lygio
funkcijų kategoriją, reikėtų naudoti informacijos modelio informacijos gyvavimo ciklą. Tai reiškia, kad informacijos
suinteresuotosios šalies funkcijos gali priklausyti nuo konkretaus informacijos gyvavimo ciklo etapo, pvz., konkrečiame
informacijos gyvavimo ciklo etape suinteresuotomis šalimis gali būti informacijos planuotojai, informacijos gavėjai,
informacijos naudotojai. Kartu tai reiškia, kad informacijos suinteresuotosios šalies perspektyva nėra nepriklausoma:
skirtingi gyvavimo ciklo etapai turi skirtingas suinteresuotąsias šalis.
Kai svarbios funkcijos priklauso nuo informacijos gyvavimo ciklo etapo, suinteresuotumas gali būti susijęs su
informacijos tikslais.
• Tikslai. Informacijos tikslai, atsižvelgiant į jų kokybės pobūdį, skirstomi į tris smulkesnes tikslų grupes:
Esminė kokybė. Mastas, kiek duomenų vertybės atitinka faktines ar tikrąsias vertybes. Tai apima:
– tikslumą – kokiu mastu informacija yra teisinga ir patikima,
– objektyvumą – kokiu mastu informacija yra bešališka, be išankstinio nusistatymo ir teisinga,
– įtikimumą – kokiu mastu informacija yra laikoma teisinga ir patikima,
– reputaciją – kokiu mastu informacija yra labai vertinama jos šaltinio ar turinio atžvilgiu.
Kontekstinė ir pateikties kokybė. Mastas, kuriuo informacija yra taikoma informacijos naudotojo užduočiai ir
pateikiama suprantamu ir aiškiu būdu, pripažįstant, kad informacijos kokybė priklauso nuo jos naudojimo konteksto.
Tai apima:
– tinkamumą – kokiu mastu informacija yra taikoma ir naudinga vykdomai užduočiai,
– išsamumą – kokiu mastu informacija yra pakankamai nuodugni ir išsami vykdomai užduočiai,
– aktualumą – kokiu mastu informacija yra pakankamai atnaujinta vykdomai užduočiai,
– tinkamą informacijos kiekį – kokiu mastu informacijos kiekis yra tinkamas vykdomai užduočiai,
– glaustą pateiktį – kokiu mastu informacija yra pateikiama glaustai,
– nuoseklų pateiktį – kokiu mastu informacija yra pateikiama tokiu pačiu formatu,
– interpretuojamumą – kokiu mastu informacija yra išreikšta tinkama kalba, simboliais, vienetais, su aiškiomis
apibrėžtimis,
– suprantamumą – kokiu mastu informacija yra lengvai suvokiama,
– valdymo paprastumą – kokiu mastu informacija yra lengvai valdoma ir taikoma įvairioms užduotims.
Saugumo užtikrinimo / prieinamumo kokybė. Mastas, kuriuo informacija yra prieinama ar gaunama. Tai apima:
– prieinamumą / pateikimą laiku – kokiu mastu informacija yra prieinama, kai reikia, arba lengvai ir greitai atkuriama,
– ribotą prieigą – kokiu mastu prieiga prie informacijos yra suteikiama tik įgaliotoms šalims.
F priede pateiktas išsamus COBIT 5 informacijos realizavimo priemonės tikslų ir COBIT 4.1 informacijos kriterijų
palyginimas. Pavyzdžiui, vientisumą (apibrėžtą COBIT 4.1) sudaro informacijos išsamumo ir tikslumo tikslai.
• Gyvavimo ciklas. Turi būti atsižvelgiama į visą informacijos gyvavimo ciklą, tačiau skirtinguose informacijos
gyvavimo ciklo etapuose gali būti taikomi skirtingi metodai. COBIT 5 informacijos realizavimo priemonė turi šiuos
gyvavimo ciklo etapus:
– Planavimas. Etapas, kuriame parengiamas informacijos ištekliaus kūrimas ir naudojimas. Šio etapo priemonės gali
būti susijusios su tikslų nustatymu, informacijos architektūros planavimu, standartų ir apibrėžčių numatymu, pvz.,
duomenų apibrėžtys, duomenų rinkimo procedūros.
– Projektavimas
– Formavimas / įsigijimas. Etapas, kuriame įgyjamas informacijos išteklius. Šio etapo priemonės gali būti susijusios su
duomenų įrašų kūrimu, duomenų pirkimu ir išorės failų siuntimu.
– Naudojimas / eksploatavimas, kuris apima:
• saugojimą. Etapas, kuriame informacija yra saugoma elektroniniu būdu ar laikmenoje (ar tiesiog žmogaus atmintyje).
Šio etapo priemonės gali būti susijusios su informacijos saugojimu elektronine forma (pvz., elektroniniai failai,
duomenų bazės, duomenų saugyklos) ar laikmenose (pvz., popieriniai dokumentai);
82
Personalized Copy for: Dr. Jelena Mamcenko
G priedas
COBIT 5 realizavimo priemonių išsamus aprašymas
• dalijimąsi. Etapas, kuriame informacija tampa prieinama naudoti taikant platinimo metodą. Šio etapo priemonės gali
būti susijusios su procesais, naudojamais pristatant informaciją ten, kur prie jos galima prieiti ir ja naudotis, pvz.,
platinant dokumentus el. paštu. Elektroniniu būdu saugomai informacijai šis gyvavimo ciklo etapas gali taip pat
sutapti su saugojimo etapu, pvz., dalijimasis informacija per duomenų bazių prieigą, failų ir (ar) dokumentų serverius;
• naudojimą. Etapas, kuriame informacija naudojama tikslams pasiekti. Šio etapo priemonės gali būti susijusios su
visų rūšių informacijos naudojimu (pvz., valdymo sprendimų priėmimas, automatizuotų procesų vykdymas), taip
pat gali apimti tokias priemones kaip informacijos atkūrimas ir informacijos konvertavimas iš vienos formos į kitą.
Informacija yra organizacijos valdymo realizavimo priemonė; vadinasi, informacijos naudojimas, kaip apibrėžta
informacijos modelyje, gali būti vertinamas kaip tikslas, dėl kurio organizacijos valdymo suinteresuotosioms šalims
reikia informacijos prisiimant funkcijas, vykdant priemones ir palaikant tarpusavio ryšius.
Šios funkcijos, veikla ir ryšiai yra pavaizduoti 9 paveikslėlyje. Suinteresuotųjų šalių sąveikoms reikia informacijos
srautų, kurių tikslai yra nurodyti schemoje: atskaitingumas, delegavimas, stebėsena, krypties nustatymas, suderinimas,
vykdymas ir kontrolė.
– Stebėsena. Etapas, kuriame užtikrinama, kad informacijos išteklius toliau veiktų tinkamai, t. y. būtų naudingas.
Šio etapo priemonės gali būti susijusios su nuolatiniu informacijos atnaujinimu ir kitomis informacijos valdymo
priemonėmis, pvz., tobulinimu, išgryninimu, sujungimu, dubliuojančių informacijos duomenų pašalinimu iš
duomenų saugyklų.
– Sunaikinimas. Etapas, kuriame atsisakoma informacijos ištekliaus, kai jis tampa nebenaudingas. Šio etapo
priemonės gali būti susijusios su informacijos archyvavimu ar sunaikinimu.
• Geroji praktika. Skirtingose srityse, pvz., ekonomikoje, komunikacijų teorijoje, informacijos moksluose,
žinių valdyme ir informacinėse sistemose, informacijos koncepcija suvokiama skirtingai, todėl nėra visuotinai
priimtos apibrėžties, kas yra informacija. Tačiau informacijos pobūdį galima paaiškinti apibrėžiant ir apibūdinant
jos ypatybes.
Įvairioms informacijos ypatybėms susisteminti yra siūloma schema, kurią sudaro šeši lygmenys ar sluoksniai informacijos
ypatybėms apibrėžti ir apibūdinti. Šešiuose lygmenyse apibrėžti skirtingi atributai – nuo fizinio informacijos pasaulio,
kuriame atributai yra susieti su informacinėmis technologijomis ir laikmenomis informacijai rinkti, saugoti, apdoroti,
platinti ir pristatyti, iki informacijos naudojimo, supratimo ir veikimo socialiniame pasaulyje.
Lygmenys ir informacijos atributai gali būti aprašyti tokiu būdu:
• Fizinis lygmuo. Pasaulis, kuriame visi reiškiniai gali būti stebimi empiriniu būdu.
– Informacijos nešėjas / laikmena. Atributas, kuris nustato informacijos fizinį nešėją, pvz., popierius, elektros signalai,
garsų bangos.
• Empirinis lygmuo. Ženklų, naudojamų informacijai užkoduoti, jų atskyrimo vienas nuo kito ir nuo foninio triukšmo
empirinis stebėjimas.
– Informacijos prieigos kanalas. Atributas, kuris nustato prieigą prie informacijos kanalo, pvz., naudotojo sąsaja.
• Sintaksinis lygmuo. Sakinių sudarymo natūraliomis ir dirbtinėmis kalbomis taisyklės ir principai. Sintaksė yra
susijusi su informacijos forma.
– Kodas / kalba. Atributas, kuris nustato pateikties kalbą / formatą, naudojamą informacijai užšifruoti, ir kalbos simbolių
derinimo taisykles, taikomas sintaksinėms struktūroms formuoti.
• Semantinis lygmuo. Sintaksinių struktūrų reikšmių formavimo taisyklės ir normos. Semantika yra susijusi su
informacijos reikšme.
– Informacijos tipas. Atributas, kuris nustato informacijos rūšį, pvz., finansinė ir nefinansinė informacija, informacijos
vidinė ar išorinė kilmė, prognozuojamos / numatomos ar stebimos vertybės, planuojamos ar įgyvendintos vertybės.
– Informacijos galiojimas. Atributas, kuris nustato laiko intervalą, kuris galioja informacijai, t. y. informacija apie praeitį,
dabartį ar ateitį.
– Informacijos lygis. Atributas, kuris nustato informacijos išsamumo lygį, pvz., pardavimas per metus, ketvirtį, mėnesį.
• Pragmatinis lygmuo. Stambesnių kalbos struktūrų, skirtų konkrečių žmonių bendravimui, formavimo taisyklės ir
struktūros. Pragmatika yra susijusi su informacijos naudojimu.
– Išsaugojimo laikotarpis. Atributas, kuris nustato, kiek ilgai informacija gali būti išsaugota iki jos sunaikinimo.
– Informacijos būklė. Atributas, kuris nustato, ar informacija yra naudojama, ar neaktuali.
– Naujumas. Atributas, kuris nustato, ar informacija sukuria naujų žinių ar tik patvirtina esamas žinias, t. y. informavimas
ar patvirtinimas.
– Asociacija. Atributas, kuris nustato informaciją, kurios reikia anksčiau už šią informaciją (kad ji būtų laikoma
informacija).
• Socialinio pasaulio lygmuo. Socialinis pasaulis, kuriame kalbinės struktūros naudojamos pragmatiniu semiotikos
lygiu, pvz., sutartys, teisė, kultūra.
– Kontekstas. Atributas, kuris nustato kontekstą, kuriame informacija įgauna prasmę, yra naudojama ir turi vertę, pvz.,
kultūrinis kontekstas, dalykinės srities kontekstas.
Personalized Copy for: Dr. Jelena Mamcenko
83
METODIKA
Kiti su informacija susiję klausimai. Investicijos į informaciją ir susijusias technologijas remiasi projektų pagrindimais,
apimančiais išlaidų ir gaunamos naudos analizę. Išlaidos ir nauda yra susiję ne tik su materialiais, išmatuojamais
veiksniais, bet ir nematerialiais, pavyzdžiui, konkurenciniu pranašumu, klientų pasitenkinimu ir technologijų
neapibrėžtumu. Organizacija kuria naudą iš informacijos ištekliaus tik tada, kai jis yra taikomas ar naudojamas, todėl
informacijos vertė yra nustatoma tik ją naudojant (viduje ar ją parduodant), tačiau pati informacija neturi vidinės vertės.
Vertė gali būti sukurta tik tada, kai informacija yra naudojama veikloje.
IM yra naujas modelis, jame gausu įvairių komponentų. Jis bus toliau plėtojamas atskirame leidinyje. Kad COBIT 5
naudotojui IM būtų labiau apčiuopiamas ir būtų aiškesnė jo svarba visos COBIT 5 metodikos kontekste 13, 14 ir 15
pavyzdžiuose pateikiamas galimas IM naudojimas.
13 pavyzdys. Informacijos specifikacijoms naudojamas informacijos modelis
Kuriant naują taikomąją programą, IM gali būti naudojamas taikomosios programos specifikacijoms ir susijusiems informacijos ar duomenų modeliams.
IM informacijos atributai gali būti naudojami taikomosios programos specifikacijoms ir veiklos procesams, kuriuose bus naudojama informacija.
Pavyzdžiui, naujos sistemos projekte ir specifikacijose reikia nurodyti:
• Fizinį lygmenį. Kur informacija bus saugoma?
• Empirinį lygmenį. Kaip galima prieiti prie informacijos?
• Sintaksinį lygmenį. Kaip informacija bus susisteminta ir koduota?
• Semantinį lygmenį. Kokios rūšies ši informacija? Koks yra informacijos lygis?
• Pragmatinį lygmenį. Kokie yra išsaugojimo reikalavimai? Kokios dar informacijos reikia, kad ši informacija būtų naudinga ir naudojama?
Žiūrint į suinteresuotųjų šalių perspektyvą, suderintą su informacijos gyvavimo ciklu, galima nustatyti, kam, kokio tipo prieigos prie duomenų reikės ir per
kurį informacijos gyvavimo ciklo etapą.
Kai taikomoji programa yra testuojama, testuotojai gali naudoti informacijos kokybės kriterijus ir sukurti išsamų testų rinkinį.
14 pavyzdys. Reikiamai apsaugai nustatyti naudojamas informacijos modelis
Organizacijos saugumą užtikrinančioms grupėms gali būti naudingi IM informacijos atributai. Būdamos atsakingos už informacijos apsaugą, jos turi
atsižvelgti į:
• Fizinį lygmenį. Kaip ir kur informacija yra saugoma fiziškai?
• Empirinį lygmenį. Kokie yra prieigos prie informacijos kanalai?
• Semantinį lygmenį. Kokio tipo ši informacija? Ar informacija yra apie esamą laikotarpį, ar susijusi su praeitimi ar ateitimi?
• Pragmatinį lygmenį. Kokie yra išsaugojimo reikalavimai? Ar informacija yra naudojama, ar neaktuali?
Šių informacijos atributų naudojimas leis naudotojui nustatyti reikiamą apsaugos lygį ir apsaugos mechanizmus.
Žiūrint į kitą IM perspektyvą, saugumą užtikrinantys profesionalai taip pat gali atsižvelgti į informacijos gyvavimo ciklo etapus, nes informacija turi būti
apsaugota visuose gyvavimo ciklo etapuose. Iš tikrųjų, saugumo užtikrinimas prasideda nuo informacijos planavimo etapo ir reiškia skirtingus informacijos
apsaugos mechanizmus saugojimo, dalijimosi ir disponavimo etapuose. IM užtikrina, kad informacija būtų apsaugota per visą informacijos gyvavimo ciklą.
15 pavyzdys. Duomenų naudojimo paprastumui nustatyti naudojamas informacijos modelis
Peržiūrint veiklos procesą (ar taikomąją programą), IM gali būti naudojamas proceso apdorojamos ir pateikiamos informacijos ir pagrindinių informacijos
sistemų bendrajai peržiūrai. Vertinimams, kokia informacija yra prieinama, ar informacija yra išsami, prieinama laiku, faktiškai teisinga, tinkama, ar
informacija prieinama tinkama apimtimi, gali būti naudojami kokybės kriterijai. Taip pat galima atsižvelgti į prieinamumo kriterijų, ar informacija yra
prieinama, kai reikia, ir ar yra tinkamai apsaugota.
Peržiūra gali būti dar labiau detalizuota naudojant informacijos pateikties kriterijus, pvz., kaip lengvai informaciją galima suprasti, interpretuoti, naudoti ir
valdyti.
Peržiūra, kurioje naudojami IM informacijos kokybės kriterijai, gali pateikti organizacijai išsamų, visa apimantį požiūrį į veiklos procesuose naudojamos
informacijos kokybę.
84
Personalized Copy for: Dr. Jelena Mamcenko
G priedas
COBIT 5 realizavimo priemonių išsamus aprašymas
COBIT 5 realizavimo priemonės: paslaugos, infrastruktūra ir
taikomosios programos
Paslaugų geba yra susijusi su tokiais ištekliais kaip taikomosios programos ir infrastruktūros, kurios yra naudojamos
teikiant su IT susijusias paslaugas.
Paslaugų gebos realizavimo priemonių specifinių elementų palyginimas su bendruoju realizavimo priemonių modeliu
pateiktas 37 paveikslėlyje.
Paslaugų, infrastruktūros ir taikomųjų programų modelį sudaro:
• Suinteresuotosios šalys. Paslaugų gebos (bendrasis terminas paslaugoms, infrastruktūrai ir taikomosioms paslaugoms
pavadinti) suinteresuotosios šalys gali būti vidaus ir išorės. Paslaugas gali teikti vidaus ar išorės šalys – vidaus IT
departamentai, pagrindinės veiklos vadovai, išorės paslaugų teikėjai. Paslaugų naudotojai taip pat gali būti vidaus –
veiklos padalinių naudotojai – ir išorės – partneriai, klientai, tiekėjai. Turi būti nustatytas visų suinteresuotųjų šalių
suinteresuotumas, kuris bus sutelktas arba į adekvačių paslaugų teikimą, arba į pageidaujamų paslaugų gavimą iš
paslaugų teikėjų.
• Tikslai. Paslaugų lygio gebos tikslai bus išreikšti paslaugų (taikomųjų programų, infrastruktūros, technologijų) ir
paslaugų lygių terminais, atsižvelgiant į tai, kurios paslaugos ir paslaugų lygiai organizacijai yra ekonomiškiausi.
Tikslai bus susiję su paslaugomis ir jų teikimu bei paslaugų rezultatais, t. y. indėliu į sėkmingai remiamus veiklos
procesus.
• Gyvavimo ciklas. Paslaugų geba turi gyvavimo ciklą. Būsima ar planuojama paslaugų geba paprastai yra aprašoma
tikslinėje architektūroje. Ji sudaryta iš tokių blokų kaip būsimos taikomosios programos ir tikslinis infrastruktūros
modelis, tai pat ji apibūdina šių blokų sąsajas ir ryšius.
Realizavimo priemonės
veiklos valdymas
Realizavimo priemonės
perspektyvos
37 pav. COBIT 5 realizavimo priemonės: paslaugos, infrastruktūra ir taikomosios programos
Suinteresuotosios
šalys
Tikslai
Gyvavimo ciklas
Geroji praktika
• Vidaus
suinteresuotosios
šalys
• Išorės
suinteresuotosios
šalys
• Esminė kokybė
• Kontekstinė kokybė
(tinkamumas,
rezultatyvumas):
taikomosios programos,
infrastruktūra,
technologijos,
paslaugų lygiai
• Prieinamumas ir
saugumo užtikrinimas
• Planuoti
• Projektuoti
• Formuoti / įsigyti /
kurti / įgyvendinti
• Naudoti / eksploatuoti
• Vertinti / stebėti
• Atnaujinti / sunaikinti
• Praktika:
architektūros principų,
architektūros požiūrių,
paslaugų lygių
apibrėžtys
• Darbo produktai
(įvedami duomenys /
rezultatai):
įgūdžių apibrėžtys
Ar patenkinti suinteresuotųjų
šalių poreikiai?
Ar pasiekti realizavimo
priemonės tikslai?
Tikslų pasiekimo metrikos
(tikslo pasiekimo rodikliai)
Ar valdomas
gyvavimo ciklas?
Ar taikoma
geroji praktika?
Praktikos taikymo metrikos
(veiklos efektyvumo rodikliai)
Esama paslaugų geba, naudojama dabartinėms IT paslaugoms teikti, yra aprašyta kaip minimali (bazinė) architektūra.
Priklausomai nuo tikslinei architektūrai nustatyto laikotarpio, taip pat gali būti apibrėžta ir pereinamoji architektūra,
rodanti organizacijos augimo būklę tarp tikslinės ir minimalios (bazinės) architektūros.
• Geroji praktika. Paslaugų gebos geroji praktika apima šiuos elementus:
– Architektūros principų apibrėžtis. Architektūros principai yra bendrosios gairės, taikomos organizacijos su IT susijusių
išteklių įgyvendinimui ir naudojimui. Galimų architektūros principų pavyzdžiai yra:
• Pakartotinis panaudojimas. Bendrieji architektūros komponentai turėtų būti panaudoti projektuojant ir
įgyvendinant sprendimus, sudarančius tikslinės ar pereinamosios architektūros dalį.
Personalized Copy for: Dr. Jelena Mamcenko
85
METODIKA
• Pirkimas ar kūrimas. Sprendimai turėtų būti perkami, jeigu nėra patvirtinto loginio pagrindo juos kurti
organizacijos viduje.
• Paprastumas. Organizacijos architektūra turėtų būti projektuojama ir valdoma taip, kad būtų kuo paprastesnė,
tačiau vis tiek atitiktų organizacijos poreikius.
• Lankstumas. Organizacijos architektūra turėtų būti lanksti, kad atitiktų besikeičiančius veiklos poreikius
rezultatyviu ir efektyviu būdu.
• Atvirumas. Organizacijos architektūra turėtų būti pagrįsta atvirai prieinamais standartais.
– Organizacija turėtų naudoti tinkamiausius architektūros aspektus įvairių suinteresuotųjų šalių poreikiams tenkinti.
Tai yra modeliai, katalogai ir matricos, naudojami aprašyti minimalią (bazinę), tikslinę ar pereinamąją architektūrą;
pavyzdžiui, taikomųjų programų architektūra galėtų būti apibūdinta naudojant taikomųjų programų sąsajų diagramą,
parodančią naudojamas (ar planuojamas naudoti) taikomąsias programas ir jų tarpusavio sąsajas.
– Architektūros saugykla turėtų būti naudojama įvairiems architektūros rezultatų elementams saugoti, įskaitant
architektūros principus ir standartus, architektūros informacinius modelius ir kitus architektūros rezultatų elementus,
kurie sudaro tokius paslaugų formavimo blokus kaip:
• taikomosios programos, užtikrinančios veiklos funkcionalumą,
• technologijų infrastruktūra, įskaitant techninę įrangą, sistemos programinę įrangą ir tinklo infrastruktūrą,
• fizinė infrastruktūra.
– Paslaugų lygiai, kurie turi būti apibrėžti ir kuriuos paslaugų teikėjai turi pasiekti.
Architektūros metodams ir paslaugų gebai yra sukurta daug gerosios praktikos. Tai gairės, šablonai ar standartai, kuriuos
būtų galima naudoti siekiant sukurti geresnius architektūros rezultatus. Pavyzdžiai yra:
– TOGAF16 pateikia Techninį informacinį modelį ir Integruotą informacinės infrastruktūros informacinį modelį.
– ITIL pateikia išsamias gaires, kaip projektuoti ir valdyti paslaugas.
• Ryšiai su kitomis realizavimo priemonėmis. Sąsajos su kitomis realizavimo priemonėmis:
– informacija yra viena iš paslaugų gebos formų, ir paslaugų gebą naudoja procesai, teikdami vidaus ir išorės paslaugas,
– kultūros ir elgsenos aspektai taip pat yra svarbūs, kai reikia formuoti į paslaugas orientuotą kultūrą,
– COBIT 5 metodikoje vadovavimo praktikos ir priemonių įvedami duomenys ir rezultatai gali apimti ir paslaugų gebą,
kuri reikalinga tiek kaip įvestis, tiek ir kaip gautas rezultatas.
16
www.opengroup.org/togaf
86
Personalized Copy for: Dr. Jelena Mamcenko
G priedas
COBIT 5 realizavimo priemonių išsamus aprašymas
COBIT 5 realizavimo priemonės: žmonės, įgūdžiai ir kompetencija
Žmonių, įgūdžių ir kompetencijos realizavimo priemonių specifinių elementų palyginimas su bendruoju realizavimo
priemonių modeliu pateiktas 38 paveikslėlyje.
Realizavimo priemonės
veiklos valdymas
Realizavimo priemonės
perspektyvos
38 pav. COBIT 5 realizavimo priemonės: žmonės, įgūdžiai ir kompetencija
Suinteresuotosios
šalys
Tikslai
Gyvavimo ciklas
Geroji praktika
• Vidaus
suinteresuotosios
šalys
• Išorės
suinteresuotosios
šalys
• Esminė kokybė:
mokymas ir
kvalifikacijos,
techniniai įgūdžiai
• Kontekstinė kokybė
(tinkamumas,
rezultatyvumas):
patirtis, žinios,
elgsenos įgūdžiai,
prieinamumas, apyvarta
• Prieinamumas ir
saugumo užtikrinimas
• Planuoti
• Projektuoti
• Formuoti / įsigyti /
kurti / įgyvendinti
• Naudoti / eksploatuoti
• Vertinti / stebėti
• Atnaujinti / sunaikinti
• Praktika:
apibrėžti funkcijų
įgūdžių reikalavimus,
įgūdžių lygius,
įgūdžių kategorijas
• Darbo produktai
(įvedami duomenys /
rezultatai):
įgūdžių apibrėžtys
Ar patenkinti suinteresuotųjų
šalių poreikiai?
Ar pasiekti realizavimo
priemonės tikslai?
Ar valdomas
gyvavimo ciklas?
Ar taikoma
geroji praktika?
Tikslų pasiekimo metrikos
(tikslo pasiekimo rodikliai)
Praktikos taikymo metrikos
(veiklos efektyvumo rodikliai)
Žmonių, įgūdžių ir kompetencijos modelį sudaro:
• Suinteresuotosios šalys. Įgūdžių ir kompetencijos suinteresuotosios šalys yra organizacijos vidaus ir išorės
suinteresuotosios šalys. Įvairios suinteresuotosios šalys atlieka įvairias funkcijas – organizacijos veiklos vadovų,
projektų vadovų, partnerių, konkurentų, darbdavių, lektorių, plėtros specialistų, techninių IT specialistų ir pan. – ir
kiekvienai funkcijai reikia skirtingų įgūdžių.
• Tikslai. Įgūdžių ir kompetencijos tikslai yra susiję su išsilavinimo ir kvalifikacijos lygiais, techniniais įgūdžiais,
patirties lygiais, žiniomis ir elgsenos įgūdžiais, reikalingais sėkmingam procesų priemonių, organizacinių funkcijų ir
pan. vykdymui. Žmonėms taikomi tikslai yra teisingai nustatyti darbuotojų prieinamumo ir darbuotojų kaitos lygiai.
• Gyvavimo ciklas:
– Įgūdžiai ir kompetencija turi gyvavimo ciklą. Organizacija turi žinoti, kokia yra jos dabartinė įgūdžių bazė, ir planuoti,
kokia ji turi būti. Tam (taip pat ir kitiems dalykams) daro įtaką organizacijos strategija ir tikslai. Įgūdžiai turi būti
tobulinami (pvz., organizuojant mokymus) ar įgyjami (pvz., priimant naujus darbuotojus), ir tai turi būti naudojama
visoms organizacinės struktūros funkcijoms. Įgūdžių gali reikėti atsisakyti, pvz., jeigu priemonė yra automatizuota ar
tiekiama iš išorės.
– Periodiškai, pavyzdžiui, kasmet, organizacija turi įvertinti įgūdžių būklę, kad žinotų įvykusią raidą ir gautų
informacijos kito laikotarpio planavimo procesui.
– Toks įvertinimas taip pat gali būti naudojamas žmogiškųjų išteklių skatinimo ir pripažinimo procese.
• Geroji praktika:
– Įgūdžių ir kompetencijos geroji praktika reiškia, kad kiekvienai suinteresuotųjų šalių atliekamai funkcijai reikia
nustatyti objektyvius įgūdžių reikalavimus. To galima pasiekti visose įgūdžių kategorijose aprašant skirtingų įgūdžių
lygius. Įgūdžiai turi būti apibrėžti kiekvienos įgūdžių kategorijos kiekviename įgūdžių lygyje. Įgūdžių kategorijos
atitinka su IT susijusias priemones, pvz., informacijos valdymas, veiklos analizė.
Personalized Copy for: Dr. Jelena Mamcenko
87
METODIKA
– Kita geroji praktika:
• yra ir išorės gerosios praktikos šaltinių, pavyzdžiui, Įgūdžių sistema informacijos amžiui (angl. Skills Framework
for the Information Age, SFIA),17 kurioje pateikiamos išsamios įgūdžių apibrėžtys.
• Galimų įgūdžių kategorijų, susietų su COBIT 5 procesų domenais, pavyzdžiai pateikti 39 paveikslėlyje.
39 pav. COBIT 5 įgūdžių kategorijos
Procesų domenas
Vertinti, nustatyti kryptį ir stebėti (EDM)
Suderinti, planuoti ir organizuoti (APO)
Formuoti, įsigyti ir įdiegti (BAI)
Teikti, aptarnauti ir palaikyti (DSS)
Stebėti, vertinti ir įvertinti (MEA)
Įgūdžių kategorijų pavyzdžiai
• Organizacijos IT valdymas
• IT politikos nustatymas
• IT strategija
• Organizacijos architektūra
• Inovacijos
• Finansų valdymas
• Portfelio valdymas
• Veiklos analizė
• Projektų valdymas
• Naudingumo įvertinimas
• Reikalavimų apibrėžtis ir valdymas
• Programavimas
• Sistemų ergonomika
• Programinės įrangos eksploatavimo nutraukimas
• Pajėgumų valdymas
• Prieinamumo valdymas
• Problemų valdymas
• Pagalbos tarnyba ir incidentų valdymas
• Saugos administravimas
• IT operacijos
• Duomenų bazių administravimas
• Atitikties peržiūra
• Veiklos efektyvumo stebėsena
• Kontrolės priemonių auditas
• Ryšiai su kitomis realizavimo priemonėmis. Sąsajos su kitomis realizavimo priemonėmis:
– įgūdžiai ir kompetencija yra reikalingi procesų priemonėms vykdyti ir sprendimams organizacinėse struktūrose priimti.
Ir priešingai, kai kurie procesai yra skirti įgūdžių ir kompetencijos gyvavimo ciklui skatinti:
– per elgsenos įgūdžius yra sąsaja su kultūra, etika ir elgsena, elgsenos įgūdžiai daro įtaką individualiai elgsenai, o
elgsenos įgūdžiams įtaką daro asmens ir organizacijos etika.
– įgūdžių apibrėžimai taip pat yra informacija, todėl reikia atsižvelgti į informacijos realizavimo priemonės gerąją
praktiką.
17
www.sfia.org.uk
88
Personalized Copy for: Dr. Jelena Mamcenko
H priedas
Terminų žodynas
H priedas
Terminų žodynas
TERMINAS
APIBRĖŽTIS
Atskaitingoji šalis (RACI)
(angl. accountable party)
Asmuo, grupė ar subjektas, kuriam tenka galutinė atsakomybė už susijusį klausimą, procesą ar sritį.
Valdymo atskaitingumas
(angl. accountability of
governance)
Valdymu užtikrinama, kad nustatant suderintus ir sutartus siekiamus organizacijos tikslus, būtų įvertinami
suinteresuotųjų šalių poreikiai, sąlygos ir alternatyvos; nustatoma kryptis, iškeliant prioritetus ir priimant
sprendimus; vykdoma veiklos ir atitikties sutartai krypčiai ir tikslams stebėsena. Daugelyje organizacijų valdymas
yra pirmininko vadovaujamos direktorių tarybos atsakomybė.
Priemonė (angl. activity)
COBIT metodikoje – pagrindiniai veiksmai, kurių imamasi procesui vykdyti. Tai gairės, kaip pasiekti tokią
vadovavimo praktiką, kad organizacijos IT valdymas ir vadovavimas būtų sėkmingi. Priemonės:
• a pibūdina būtinus ir pakankamus įgyvendinimo etapus, reikalingus, norint pasiekti valdymo ar vadovavimo
praktiką;
• a tsižvelgia į proceso įvedamus duomenis ir rezultatus;
• y ra pagrįstos visuotinai pripažintais standartais ir gerąja praktika;
• s katina aiškių funkcijų ir pareigų sukūrimą;
• n ėra nurodomojo pobūdžio ir turi būti pritaikytos, kad taptų konkrečiomis organizacijai tinkančiomis
procedūromis.
Suderinimas (angl. alignment)
Būklė, kai organizacijos IT valdymo ir vadovavimo realizavimo priemonės padeda įgyvendinti organizacijos tikslus
ir strategijas.
Taikomosios programinės
įrangos architektūra
(angl. application architecture)
Gebėjimų loginio grupavimo, kuriuo valdomi informacijai apdoroti ir organizacijos tikslams pasiekti reikalingi
objektai, aprašymas.
Architektūros taryba
(angl. architecture board)
Suinteresuotųjų šalių ir ekspertų grupė, atskaitinga už patarimus ir sprendimus organizacijos architektūros,
architektūros politikos ir standartų klausimais.
Autentiškumo nustatymas
(angl. authentication)
Vartotojo tapatybės ir teisės naudotis kompiuterizuota informacija patikrinimas.
Minimali (bazinė) architektūra
(angl. baseline architecture)
Esamas veiklos sistemos komponentų bazinės struktūros aprašymas prieš pradedant architektūros peržiūros ir
perprojektavimo ciklą.
Naudingumo realizavimas
(angl. benefits realisation)
Vienas iš valdymo tikslų. Naujo naudingumo organizacijai sukūrimas, esamų naudingumo formų palaikymas ir
plėtra, pakankamos vertės nesukuriančių iniciatyvų ir turto pašalinimas.
Veiklos tęstinumas
(angl. business continuity)
Veiklos nutraukimo išvengimas, padarinių mažinimas ir veiklos atkūrimas po nutraukimo. Šiame kontekste taip
pat gali būti vartojami terminai „veiklos atnaujinimo planavimas“ (angl. business resumption planning), „veiklos
atkūrimo po ekstremalių įvykių planavimas“ (angl. disaster recovery planning) ir „nenumatytų atvejų planavimas“
(angl. contingency planning). Šie terminai yra orientuoti į tęstinumo atkūrimo aspektus, todėl taip pat reikia
atsižvelgti į „atsparumo“ (angl. resilience) aspektą.
Veiklos tikslas
(angl. business goal)
Numatytos organizacijos misijos pavertimas planuojamais veiklos rodikliais ir rezultatais.
Veiklos proceso kontrolė
(angl. business process control)
Politika, procedūros, praktikos ir organizacinės struktūros, skirtos užtikrinti, kad veiklos procesas pasiektų savo
tikslus.
Išskaitymas (angl. chargeback)
Išlaidų perskirstymas organizacijos padaliniams, dėl kurių veiklos jos padidėjo.
RACI lentelėje atsako į klausimą: Kas atsako už sėkmingą užduoties įvykdymą?
Pastaba: kokybės užtikrinimo kontekste, autentiškumo nustatymas yra skirtas apsaugai nuo apgaulingo
prisijungimo. Jis taip pat gali būti susijęs su tam tikrų duomenų teisingumo patikrinimu.
Pastaba: išskaitymas yra svarbus dėl to, kad netaikant tokios politikos, gali susidaryti klaidinga nuomonė
apie realų produkto ar paslaugos pelningumą, nes tam tikros pagrindinės išlaidos būtų ignoruojamos arba
apskaičiuojamos pagal nepagrįstą formulę.
Personalized Copy for: Dr. Jelena Mamcenko
89
METODIKA
TERMINAS
COBIT
APIBRĖŽTIS
1. C OBIT 5. Anksčiau buvo vadinama Informacijos ir susijusių technologijų kontrolės tikslais (angl. Control
Objectives for Information and related Technology, COBIT); dabar penktojoje versijoje naudojamas tik
akronimas. Visame pasaulyje žinoma išsami organizacijos informacijos ir technologijų (IT) valdymo ir
vadovavimo metodika, padedanti organizacijos vadovams nustatyti veiklos ir IT tikslus bei juos pasiekti. COBIT
nustato penkis principus ir septynias realizavimo priemones, padedančias organizacijoms kurti, įgyvendinti,
nuolatos tobulinti ir stebėti su IT susijusią gerąją valdymo ir vadovavimo praktiką.
Pastaba: ankstesnės COBIT versijos buvo sutelktos į IT procesų kontrolės tikslus, IT procesų valdymą ir kontrolę
bei IT valdymo aspektus. COBIT metodikos pritaikymą ir naudojimą palengvina naujai išleidžiamuose COBIT 5
produktų grupės leidiniuose esančios gairės. (Daugiau informacijos žiūrėti www.isaca.org/cobit.)
2. C OBIT 4.1 ir ankstesnės versijos. Anksčiau vadinama Informacijos ir susijusių technologijų kontrolės tikslais
(COBIT). Visame pasaulyje žinoma, išsami, į IT procesus orientuota metodika, padedanti organizacijos veiklos
ir IT vadovams nustatyti veiklos ir IT tikslus bei juos pasiekti , ir pateikianti išsamų IT valdymo ir vadovavimo,
kontrolės ir kokybės užtikrinimo modelį. COBIT naudoja IT procesus ir susijusius kontrolės tikslus, vadovavimo
gaires (veiklos priemones, atskaitingumą, atsakomybę ir veiklos metrikas) ir brandos modelius. COBIT padeda
organizacijos vadovybei kurti, įgyvendinti, nuolatos tobulinti ir stebėti su IT susijusią gerą praktiką.
Pastaba: COBIT metodikos pritaikymą ir naudojimą palengvina gairės organizacijos vadovams (Board Briefing
on IT Governance, 2nd Edition), IT vadovams (COBIT Quickstart, 2nd Edition; IT Governance Implementation
Guide: Using COBIT and Val IT, 2nd Edition; ir COBIT Control Practices: Guidance to Achieve Control Objectives for
Successful IT Governance) bei IT kokybės užtikrinimo ir audito profesionalams (IT Assurance Guide Using COBIT).
Taip pat pateikiamos gairės, skirtos specialioms teisinio reguliavimo sritims (pvz., IT Control Objectives for
Sarbanes-Oxley, IT Control Objectives for Basel II) ir informacijos saugumui užtikrinti (COBIT Security Baseline).
COBIT yra sugretinama su kitomis metodikomis ir standartais, parodant, kad ji apima visą IT gyvavimo ciklą ir
palengvina jos naudojimą organizacijose, naudojančiose įvairius IT standartus ir metodus.
Etikos kodeksas
(angl. code of ethics)
Dokumentas, skirtas paveikti darbuotojų individualią ir organizacinę elgseną nustatant organizacines vertybes ir
taisykles, taikytinas tam tikrose situacijose. Jis priimamas siekiant padėti sprendimus priimantiems organizacijos
darbuotojams suprasti skirtumą tarp to, kas yra gerai ir blogai, ir tuo vadovautis priimant sprendimus.
Kompetencija
(angl. competence)
Gebėjimas sėkmingai atlikti konkrečią užduotį, veiksmą ar funkciją.
Konsultuojanti šalis
(angl. consulted party)
(RACI lentelė)
Darbuotojai, kurių prašoma pateikti nuomonę apie tam tikrą veiklą (abipusė komunikacija).
Kontekstas (angl. context)
Vidaus ir išorės veiksnių, galinčių paveikti ar nustatyti organizacijos, subjekto, proceso ar asmens veikimą, visuma.
Pastaba. Kontekstą sudaro:
• t echnologinis kontekstas – technologiniai veiksniai, turintys įtakos organizacijos gebėjimui gauti iš duomenų
vertę;
• d uomenų kontekstas – duomenų tikslumas, prieinamumas, aktualumas ir kokybė;
• g ebėjimai ir žinios – bendroji patirtis ir analitiniai, techniniai ar veiklos gebėjimai;
• o rganizacinis ir kultūrinis kontekstas – politiniai veiksniai ir organizacijos pirmenybės teikimas duomenims ar
intuicijai;
• s trateginis kontekstas – organizacijos strateginiai tikslai.
Kontrolė (angl. control)
Rizikos valdymo priemonės, įskaitant politiką, procedūras, gaires, praktiką ar organizacines struktūras, kurios
gali būti administracinio, techninio, vadovavimo ar teisinio pobūdžio. Taip pat vartojama kaip apsaugos ar
atsakomosios priemonės sinonimas.
90
RACI lentelėje atsakoma į klausimą: Kas teikia informaciją?
Pagrindiniai informaciją teikiantys darbuotojai. Pažymėtina, kad atskaitingi ir atsakingi darbuotojai gali gauti
informaciją ir iš kitų padalinių ar išorės partnerių, tačiau iš nurodytų darbuotojų gauta informacija turi būti
išnagrinėta ir, jeigu reikia, turi būti imtasi reikiamų priemonių dėl eskalavimo, jei reikia, informuojant proceso
savininką ir (ar) valdymo komitetą.
Personalized Copy for: Dr. Jelena Mamcenko
H priedas
Terminų žodynas
TERMINAS
APIBRĖŽTIS
Kultūra (angl. culture)
Elgesio, įsitikinimų, prielaidų, požiūrio ir veikimo būdų modelis.
Priežastis (angl. driver)
Organizacijos ar atskirų asmenų veiklą ar keitimąsi inicijuojantys ir tam poveikį darantys išorės ir vidaus veiksniai.
Organizacijos tikslas
(angl. enterprise goal)
Žr. veiklos tikslas.
Organizacijos valdymas
(angl. enterprise governance)
Tarybos ir vadovybės vykdomi įsipareigojimai ir praktika siekiant nustatyti strateginę kryptį, užtikrinti, kad tikslai
būtų pasiekti, rizika valdoma tinkamai ir tikrinant, kad organizacijos ištekliai būtų naudojami atsakingai. Tai taip
pat gali reikšti valdymo požiūrį į visą organizaciją, t. y. aukščiausio lygmens valdymo požiūrį, į kurį kiti privalo
lygiuotis.
Visas investavimo programos
gyvavimo ciklas
(angl. full economic life cycle)
Laikotarpis, per kurį iš investavimo programos tikimasi sulaukti materialios veiklos naudos ir (ar) per kurį
numatoma patirti materialių investavimo programos išlaidų (įskaitant investicijas, einamąsias ir pasitraukimo iš
veiklos išlaidas).
Geroji praktika
(angl. good practice)
Keliose organizacijose sėkmingai taikoma išbandyta ir patikimus rezultatus teikianti veikla ar procesas.
Valdymas (angl. governance)
Valdymu užtikrinama, kad nustatant suderintus ir sutartus siekiamus organizacijos tikslus, būtų įvertinami
suinteresuotųjų šalių poreikiai, sąlygos ir alternatyvos; nustatoma kryptis, iškeliant prioritetus ir priimant
sprendimus; vykdoma veiklos ir atitikties sutartai krypčiai ir tikslams stebėsena.
Valdymo / vadovavimo praktika
(angl. governance/management
practice)
Kiekvienam COBIT procesui valdymo ir vadovavimo praktika pateikia išsamų bendrųjų reikalavimų rinkinį, skirtą
rezultatyviam ir praktiškam organizacijos IT valdymui ir vadovavimui. Tai yra valdymo struktūrų ir vadovybės
nurodymai veiklos klausimais.
Valdymo realizavimo priemonė
(angl. governance enabler)
Priemonė (materiali ar nemateriali), padedanti realizuoti efektyvų valdymą.
Valdymo sistema
(angl. governance framework)
Sistema yra pagrindinė konceptuali struktūra, naudojama kompleksiniams klausimams spręsti; valdymo
realizavimo priemonė; koncepcijų, prielaidų ir praktikų, apibrėžiančių, kaip reikia ko nors siekti ar suprasti,
visuma, dalyvaujančių subjektų santykiai, jų funkcijos ir ribos (ką apima ir ko neapima valdymo sistema).
Pavyzdžiai: COBIT ir COSO Vidaus kontrolė – integruota sistema.
Organizacijos IT valdymas
Valdymo sritis, užtikrinanti, kad informacija ir susijusios technologijos palaiko ir padeda realizuoti organizacijos
(angl. governance of enterprise IT) strategiją bei pasiekti organizacijos tikslus. Jis taip pat apima funkcinį IT valdymą, t. y. užtikrina, kad IT geba būtų
panaudota efektyviai ir rezultatyviai.
Informacija (angl. information)
Turtas, kuris kaip ir kitas svarbus organizacijos turtas turi esminės reikšmės organizacijos veiklai. Informacija gali
būti įvairių formų: išspausdinta ar užrašyta ant popieriaus, saugoma elektroniniu būdu, perduodama paštu ar
elektroniniu būdu, rodoma filmuose ar pasakoma vykstant pokalbiui.
Informuojama šalis
(angl. informed party) (RACI)
Darbuotojai, kuriems teikiama naujausia informacija apie priemonės pažangą (vienpusė komunikacija).
Įvedami duomenys ir rezultatai
(angl. inputs and outputs)
Proceso darbo produktai / artefaktai, laikomi reikalingais procesui vykdyti. Jų reikia pagrindiniams sprendimams
priimti, jie leidžia sudaryti įrašus ir proceso priemonių audito seką ir įvykus incidentui gali būti naudojami veiklos
peržiūrai atlikti. Įvedami duomenys ir rezultatai yra to paties lygmens, kaip ir pagrindinės valdymo / vadovavimo
praktikos, gali apimti kai kuriuos darbo produktus, naudojamus tik pačiame procese, ir dažnai yra kitų procesų
esminiais įvedamais duomenimis.
Iliustraciniai COBIT 5 įvedami duomenys ir rezultatai neturėtų būti laikomi išsamiu sąrašu, nes, priklausomai
nuo konkrečios organizacijos aplinkos ir procesų valdymo metodikos, galėtų būti numatyti ir papildomi
informacijos srautai.
Investicijų portfelis
(angl. investment portfolio)
Svarstomų ir (ar) suteiktų investicijų rinkinys.
RACI lentelėje atsakoma į klausimą: Kas gauna informaciją?
Darbuotojai, kurie yra informuojami apie pasiekimus ir (ar) užduoties rezultatus. Be abejo, atskaitingas
darbuotojas visada turėtų gauti atitinkamą informaciją, kad galėtų prižiūrėti užduoties vykdymą, kaip ją atlieka
už užduotys vykdymą atsakingi darbuotojai.
Personalized Copy for: Dr. Jelena Mamcenko
91
METODIKA
TERMINAS
APIBRĖŽTIS
IT taikomoji programa
(angl. IT application)
Elektroninės funkcinės galimybės, kurios sudaro IT vykdomos ar IT veiklos procesų dalis.
IT tikslas (angl. IT goal)
Teiginys, apibūdinantis pageidaujamą organizacijos IT rezultatą siekiant organizacijos tikslų. Rezultatas gali būti
artefaktas, svarbus padėties pasikeitimas ar reikšmingas gebos pagerinimas.
IT paslauga (angl. IT service)
IT infrastruktūros ir taikomųjų programų kasdienis teikimas klientams ir parama jas naudojant. Tai gali būti
pagalbos tarnyba, įrangos tiekimas ir perkėlimas, saugos įgaliojimai.
Vadovybė, vadovavimas
(angl. management)
Vadovybė, vadovaudamasi valdymo struktūros nustatyta kryptimi ir siekdama organizacijos tikslų, planuoja,
formuoja, vykdo ir stebi veiklą.
Modelis (angl. model)
Pateiktos komponentų visumos, šių komponentų tarpusavio sąsajų apibūdinimas, siekiant aprašyti pagrindinį
objektų, sistemų ar koncepcijų veikimą.
Metrika (angl. metric)
Kiekybiškai apibrėžiamas subjektas, kuris leidžia atlikti proceso tikslo pasiekimo vertinimą. Metrika turėtų būti
išmani – konkreti, išmatuojama, įvykdoma, tinkama ir laiku atliekama (angl. SMART: specific, measurable,
actionable, relevant, timely). Metrikos sąvoka apima naudojamą vienetą, vertinimo dažnumą, idealią siektiną
vertę (jeigu reikia), taip pat procedūras, kaip reikia atlikti vertinimą ir kaip jį interpretuoti.
Tikslas (angl. objective)
Teiginys apie pageidaujamą rezultatą.
Organizacinė struktūra
(angl. organisational structure)
Valdymo ir vadovavimo realizavimo priemonė, apimanti organizaciją ir jos struktūras, hierarchiją ir
priklausomybes.
Pavyzdys: valdymo komitetas.
Rezultatas (angl. output)
Žr. įvedami duomenys ir rezultatai.
Savininkas (angl. owner)
Asmuo ar grupė, kurie turi ar yra įgiję organizacijos, subjekto ar turto teises ir įsipareigojimus, pvz., proceso
savininkas, sistemos savininkas.
Politika (angl. policy)
Oficialiai vadovybės nustatyti bendrieji ketinimai ir veiklos kryptis.
Principas (angl. principle)
Valdymo ir vadovavimo realizavimo priemonė. Apima organizacijos vertybes ir esmines prielaidas, įsitikinimus,
kuriais vadovaujamasi ir kurie nustato ribas organizacijos sprendimams priimti, komunikaciją organizacijos viduje
ir už jos ribų, vadovavimą rūpinantis jam patikėtu turtu.
Pavyzdys: etikos chartija, socialinės atsakomybės chartija
Procesas (angl. process)
Bendrai – praktikos rinkinys, kuriam daro įtaką organizacijos politika ir procedūros, gaunantis duomenis iš kelių
šaltinių (įskaitant kitus procesus), juos valdantis ir pateikiantis rezultatus (pvz., produktus, paslaugas).
Pastaba. Objektyvus procesų egzistavimo pagrindas yra veikla, procesai turi atskaitingus savininkus, aiškias
funkcijas, atsakomybę už jų vykdymą, taip pat priemones veiklai vertinti.
Proceso (gebos) atributas
ISO/IEC 15504: Proceso gebos vertinama charakteristika, taikoma bet kuriam procesui.
(angl. process (capability) attribute)
Proceso geba
(angl. process capability)
ISO/IEC 15504: Proceso gebėjimo atitikti esamus ar numatytus veiklos tikslus charakterizavimas.
Proceso tikslas
(angl. process goal)
Teiginys, apibūdinantis pageidaujamą proceso rezultatą. Rezultatas gali būti artefaktas, svarbus padėties
pasikeitimas ar reikšmingas kitų procesų gebos pasikeitimas.
Programų ir projektų valdymo
Funkcija, skirta programų ir projektų vadovams paremti ir rinkti, vertinti ir pranešti informaciją apie vykdomas
grupė (angl. programme and
programas ir jas sudarančius projektus.
project management office (PMO))
Kokybė (angl. quality)
Tinkamumas pagal paskirtį (siekiant numatytos vertės).
RACI lentelė (angl. RACI chart)
Tipinių organizacijos struktūroje nustatytų funkcijų lentelė, parodanti, kas yra atsakingi, atskaitingi,
konsultuojantys ir informuojami.
Išteklius (angl. resource)
Bet koks organizacijos turtas, kuris gali padėti organizacijai pasiekti išsikeltus tikslus.
92
Personalized Copy for: Dr. Jelena Mamcenko
H priedas
Terminų žodynas
TERMINAS
APIBRĖŽTIS
Išteklių optimizavimas
(angl. resource optimization)
Vienas iš valdymo tikslų. Apima efektyvų, rezultatyvų ir atsakingą visų išteklių – žmogiškųjų, finansinių, įrangos,
infrastruktūros ir pan. – naudojimą.
Atsakingoji šalis
(angl. responsible party)
(RACI)
Asmuo, kuris privalo užtikrinti, kad veikla būtų atlikta sėkmingai.
RACI lentelėje atsakoma į klausimą: Kas atsako už užduoties atlikimą?
Darbuotojai, prisiimantys pagrindinę vykdomos veiklos dalį ir kuriantys numatytą rezultatą.
Rizika (angl. risk)
Įvykio tikimybės ir jo pasekmių derinys (ISO/IEC 73).
Rizikos valdymas
(angl. risk management)
Vienas iš valdymo tikslų. Apima rizikos atpažinimą, rizikos tikimybės ir poveikio vertinimą, strategijų, pvz., dėl
rizikos išvengimo, neigiamo rizikos poveikio sumažinimo ir (ar) rizikos perkėlimo, kūrimą siekiant ją suvaldyti
organizacijai priimtino rizikos lygio kontekste.
Paslaugų katalogai
(angl. service catalogue)
Susisteminta informacija apie visas klientams prieinamas IT paslaugas.
Paslaugos (angl. services)
Žr. IT paslauga.
Įgūdis (angl. skill)
Išmoktas gebėjimas pasiekti iš anksto nustatytus rezultatus.
Suinteresuotoji šalis
(angl. stakeholder)
Bet kuris asmuo, turintis įsipareigojimų organizacijai ar su organizacija susijusių lūkesčių ar interesų, pvz.,
akcininkai, naudotojai, vyriausybė, tiekėjai, klientai ir visuomenė.
Vidaus kontrolės sistema
(angl. system of internal control)
Politika, standartai, planai ir procedūros, organizacinės struktūros, skirtos užtikrinti, kad organizacijos tikslai būtų
pasiekti, o nepageidaujamų įvykių būtų išvengta arba jie būtų aptikti ir ištaisyti.
Vertės kūrimas
(angl. value creation)
Pagrindinis organizacijos valdymo tikslas, kuris yra pasiekiamas, kai yra subalansuoti visi trys susieti tikslai:
naudos siekimas, rizikos optimizavimas ir išteklių optimizavimas.
Personalized Copy for: Dr. Jelena Mamcenko
93
METODIKA
Specialiai paliktas tuščias lapas
94
Personalized Copy for: Dr. Jelena Mamcenko
Download
Random flashcards
Radioactivity

30 Cards

African nomads

18 Cards

History of Europe

27 Cards

Create flashcards