Professional Documents
Culture Documents
COBIT QUICKSTART
Uw informatica onder controle krijgen:
Uw informatici ontwikkelen toepassingen voor uw IT-infrastructuur en onderhouden ze. Dit alles kost u handenvol geld. Maar is uw IT-afdeling wel met de juiste dingen bezig? Hoe zit het met de risicos en de beveiliging van de IT-infrastructuur waarvan u afhankelijk bent? En hoe krijgt u hier vat op? Het IT Governance Institute creerde hiervoor het raamwerk COBIT, een lijst van goede praktijken in het beheer en de controle en beveiliging van informatietechnologie, georganiseerd rond 34 IT-processen. We geven u een woordje uitleg. // CHRISTIANE VANDEPITTE (CHRISTIANE.VANDEPITTE@SKYNET.BE)
IT-PROCESSEN
Uw informatici voeren heel wat taken uit. Sommige taken duren maanden, andere duren slechts uren of minuten. Sommige taken zijn dringend, andere niet. Soms gaat het om grote bedragen, soms niet. Hoe krijgt u hier zicht op? COBIT adviseert als invalshoek de IT-processen te nemen. Voorbeelden: een pakkettoepassing selecteren en aanschaffen hardware en telecominfrastructuur selecteren en aanschaffen de backupprocedure vastleggen een bepaalde toepassing veranderen samenwerken met een IT-leverancier de servers en het netwerk in de gaten houden de beveiliging van het systeem onderhouden de problemen van de gebruikers oplossen
30
www.smartbiz.be
DE MEETPUNTEN - METRICS
Hoe meet u de performantie en de effectiviteit van een proces? Voor elk proces vermeldt COBIT zogenaamde metrics, dingen die men kan meten en tellen om te bepalen hoe goed de aanpak is van dit proces in uw bedrijf. Voorbeeld:
PROCES PO10 Projecten beheren METRICS
NEDERLANDS
planning en organisatie aankoop en implementatie levering en onderhoud opvolging en evaluatie
Aantal projecten binnen de tijd en het budget Accuraat projectplan en budgetinformatie Graad van betrokkenheid van de mensen van de businesskant Aantal of percentage projecten die werden herstart of geherorinteerd Achterstand in onbehandelde problemen Tijd tussen de identificatie en de oplossing van een probleem Aantal en impact van de functionele veranderingen na de implementatie Snelle reactie bij problemen of incidenten
DOMEIN
Planning en organisatie
PROCES
PO10Projecten beheren
Definieer en beslis duidelijk wat bereikt moet worden, door wie, wanneer en tegen welke prijs (support, training enzovoort inbegrepen). Wees u bewust van wat fout kan gaan, voorkom waar mogelijk en leg de verantwoordelijkheid voor bepaalde risicos contractueel vast. Controleer project deliverables, kosten, projectplan en risicos op voortdurende basis. Wees helder en expliciet over de uiteindelijke levering (acceptance). Wees duidelijk over hoe de oplossing de bedrijfs- en ondersteunende processen zal veranderen. Zorg ervoor dat de functionele en operationele vereisten van de oplossing gespecifieerd zijn, inclusief onderhoudbaarheid, performance, betrouwbaarheid, veiligheid en compatibiliteit met de huidige systemen. Overweeg zorgvuldig of u koopt of zelf bouwt. Bekijk alternatieve oplossingen en hun uitvoerbaarheid zonder daarbij het upgraden van bestaande systemen, niks doen of manuele verwerking uit te sluiten. Als u geen goed idee heeft over hoe u uw businessprocessen kan verbeteren, breng dan geen technologie in. Als u IT-producten of diensten selecteert, doe dan meer dan n request for proposal (RFP).
Aankoop en implementatie
Identificatie van geautomatiseerde oplossingen verzekert effectieve, efficinte en zuinige ondersteuning voor het bedrijf, en de impact ervan wordt duidelijk begrepen.
Levering en onderhoud
Registreer alle significante incidenten en problemen, volg ze, en zorg ervoor dat ze tijdig opgelost worden.
www.smartbiz.be
31
Business
COBIT QUICKSTART
DE KRITIEKE SUCCESFACTOREN CRITICAL SUCCESS FACTORS
De kritieke succesfactoren zijn de factoren die het meest kritiek zijn voor het bereiken van de objectieven. Als u deze dingen niet doet, is de goede uitvoering van het proces in gevaar. Voorbeeld:
PROCES PO10Projecten beheren CRITICAL SUCCESS FACTORS
Ervaren/bekwame project managers Het management beschikt over een plan met duidelijk omschreven taken, voldoende accurate schattingen, een overzicht van op te volgen aandachtspunten en vereiste vaardigheden. Een duidelijk veranderingsproces/ stappenplan
Afweging van manuele en technologische alternatieven, hun haalbaarheid en de eventuele risicos Hou rekening met de bruikbaarheid en de onderhoudbaarheid Bewustzijn van de total cost of ownership Betrokkenheid van de gebruiker
Voor elk IT-proces vindt u de volgende elementen. 1) doelstelling van het IT-proces 2) control objectives 3) verwijzing naar de overeenkomstige control objectives in de full COBIT Is er n control objective waar u meer over wil weten, dan kunt u het overeenkomstige deel van de volledige COBIT raadplegen. 4) evaluatie Voor elke control objective geeft u aan hoe goed u bent, en hoe goed uw bedrijf wil zijn. 5) kritieke succesfactoren voor het proces 6) meetpunten voor het proces
32
www.smartbiz.be
horen er natuurlijk ook bij. Maar ook business managers, maar niet allemaal. Een belangrijke manager voor deze vergadering is degene die de IT-budgetten goedkeurt. Daarnaast nodigt u alle betrokken managers uit, degenen die de gevolgen voelen als de IT-organisatie niet goed functioneert. Indien sommige afdelingen van uw bedrijf enkel gebruik maken van kantoorsoftware en van het netwerk, dan hoeven die niet absoluut vertegenwoordigd te zijn. Maar de afdelingen die toepassingen gebruiken zeker wel. Stap 2. Doelstellingen bepalen Hoe goed wilt u zijn? Dat moet het management beslissen, eventueel met behulp van een externe consultant. Werkt u met vertrouwelijke informatie? Valt uw bedrijf stil als uw IT stilvalt? Wat zegt de wet? Wat doen de andere bedrijven in uw sector? De antwoorden op die vragen bepalen hoe belangrijk elk van de IT-processen is voor uw bedrijf. Stap 3. De af te leggen weg bepalen De elementen van de tabel vertellen u concreet wat u kan doen om beter te werken. Aan u om te bepalen welke van die adviezen u wil opvolgen. Stap 4. Verbeteringsprojecten uitvoeren U weet waar u heen wil? Organiseer n of meer projecten om er te geraken. Deze projecten worden natuurlijk uitgevoerd door personeel van de businesskant en personeel van de IT-kant samen, niet alleen door IT-mensen. Stap 5. Een verbeteringsprogramma uitvoeren Een groep projecten die hetzelfde doel nastreven noemt men een programma (in de theorie van project management). Het management bespreekt de verschillende projecten van een programma in n keer. De projecten moeten elkaar aanvullen, ze mogen elkaar (en de andere projecten van het bedrijf)
PRAKTISCHE TIPS
Interessante theorie, maar hoe loopt dit in de praktijk ? We peilden naar de ervaring Greet Volders, consultant en lid verschillende werkgroepen van rond de verdere ontwikkeling van COBIT. Ze gaf ons de volgende adviezen mee:
Het is belangrijk om niet enkel het IT-management, maar ook het top management bij dit initiatief te betrekken. Bij het bepalen van de doelstellingen (stap 2) is het belangrijk om vast te leggen of het gaat om kortetermijn- of langetermijndoelstellingen. Eventueel kunnen beide worden aangeduid in het schema. Het verbeteringsplan is gericht op de kortetermijndoelstellingen. Wees realistisch bij het bepalen van uw doelstellingen, en het uitwerken van het verbeteringsplan. Indien dit project nog moet verkocht worden aan de business, selecteer dan als eerste reeks verbeteringsacties, acties die niet te veel tijd vragen en een directe toegevoegde waarde bieden aan de business. Blijf concreet, dit vergemakkelijkt de communicatie, zowel intern binnen de IT-afdeling als naar de Business Units. Weet dat dit geen nmalig initiatief is, maar dat u via een jaarlijkse herhaling van de evaluatie, telkens een nieuw verbeteringsplan kan opstellen, om zo te komen tot een goed doordachte en systematische aanpak.
niet hinderen. Daarom moeten ze van bij het begin op elkaar afgestemd worden. Greep krijgen op de informaticaorganisatie van een bedrijf is niet gemakkelijk. Maar met het raamwerk COBIT Quickstart weet u alvast hoe eraan te beginnen.
Dit artikel kwam tot stand met de medewerking van Greet Volders, ISACA Belux Chapter vice-president, en managing consultant van de rma Voquals (www.voquals.be).
VERDERE INFORMATIE
ORGANISATIES De Information Systems Audit and Control Association (ISACA) is een wereldwijde vereniging van IT-auditors, IT-managers en security managers. Binnen deze vereniging werd begin jaren 90 een internationale werkgroep gevormd, met ook verschillende Belgen, onder andere Erik Guldentops, vroeger verantwoordelijk voor de beveiliging bij SWIFT. Deze werkgroep creerde COBIT versie 1. Websites: www.isaca.org en, voor Belgi, www.isaca.be . Sinds 1998 wordt COBIT verder ontwikkeld door het ITGI, het IT Governance Institute (www.itgi.org). DOCUMENTATIE De documentatie van de volledige COBIT bestaat uit zes documenten : Executive Summary, Framework, Control Objectives, Audit Guidelines, Implementation Tool Set en Management Guidelines. U kunt ze gratis downloaden vanaf www.isaca.org. Daar vindt u ook een online cursus. De boeken kunt u aanschaffen via de ISACA Bookstore. COBIT Quickstart wordt beschreven in een boekje van 48 paginas, met CD-ROM. U kunt het bestellen op dezelfde website. Isaca organiseert ook regelmatig een COBIT user convention en COBIT Implementation Trainings. CURSUSSEN Solvay Business Schools Executive Programme/Executive Master in IT Governance http://www.solvay.edu/EN/Programmes/ITGovernance/ UAMS
http://www.uams.be
I.T. Works (www.itworks.be) organiseert regelmatig seminars rond themas als IT governance en business IT alignment, onder andere over COBIT.
www.smartbiz.be
35