Infrastruktúra menedzsment Buday Gergely Károly Róbert Főiskola 2015 ősz .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Nyakkendős rendszergazda
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Nyakkendős rendszergazda 2. ▶
jól keres
▶
ért a műszaki oldalhoz
▶
ért az üzleti oldalhoz
▶
érti a kettő kapcsolatát
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Nyakkendős rendszergazda 3.
▶
▶
jól tud kommunikálni a felhasználókkal és ügyfelekkel jól tud kommunikálni a vezetéssel
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
IT kormányzás ▶
IT Governance
▶
pl. a COBIT szabványban
▶
IT kormányzás kontra IT menedzsment
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Moeller könyve alapján
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
IT kormányzás 2. ▶
iránymutatás
▶
a megfelelőség (compliance)
▶
a teljesítmény (performance)
▶
a haladás (progress)
▶
▶
és a vállalati célok (enterprise objectives) felügyelete .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
IT kormányzás eszközei ▶
keretrendszerek (frameworks)
▶
alapelvek (principles)
▶
szabályzatok (policies)
▶
döntési mechanizmusok
▶
szerepek (roles) .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
IT kormányzás felelőssége
▶
felügyelőbizottság (board of directors)
▶
a CEO (Chief Executive Officer)
▶
és az elnök (chairperson) felügyeletével
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
IT menedzsment ▶ ▶
▶ ▶
ellentétbe állítva az IT kormányzással erőforrások, munkatársak, folyamatok és céges gyakorlatok alkalmazása a vállalati célok elérésére az IT kormányzás által lefektetett célok elérésére .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
IT menedzsment 2. ▶
▶
az IT menedzsment az IT kormányzás eszköze a célok elérésére tervezés, építés, szervezés, közvetlen irányítás
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
IT kormányzás és menedzsment ▶
▶
az IT kormányzás és az IT menedzsment kapcsolatát és feladatait a COBIT szabvány írja le Control OBjectives for Information and related Technology, 1996
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Top-down ▶ ▶
▶ ▶ ▶ ▶
Moeller könyve vezetőknek szól jó ha ezt a gondolkodásmódot beosztottként is értjük törvények: Sarbanes-Oxley szabványok: GRC, COSO, COBIT, ITIL ISO 9001, ISO 27002, ISO 38500 PCI DSS, SOA, PMBOK, PRINCE2 .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Bottom-up ▶
Unix, Windows
▶
Red Hat Linux, Fedora, CentOS
▶
shell programozás: bash és PowerShell
▶
▶
rendszergazda feladatok: mentés, helyreállítás, hálózat, fájlszerver, webszerver, adatbázis, biztonság identitás menedzsment: Active Directory, LDAP .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Bottom-up 2. ▶
tájékozódás az Interneten
▶
Limoncelli: Practice of Administration
▶
Unix fájlrendszer hierarchia
▶
üzemeltetés felhőben
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Bottom-up 3: gyakorlat ▶
Virtualbox-ban Fedora Linux
▶
parancssori üzemeltetés
▶
konfigurációs fájlok
▶
szoftver installálás
▶
automatizálás .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Az Enron botrány ▶
Enron: energiavállalat, Houston, Texas
▶
2001
▶
Enron: csőd, Arthur Andersen: de facto feloszlás
▶
a legnagyobb amerikai csőd
▶
a legnagyobb könyvvizsgálati hiba .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Az Enron botrány 2. ▶ ▶
▶
1985-ben alapította Kenneth Lay a Houston Natural Gas és az InterNorth egybeolvasztásával hét évvel később Jeffrey Skilling több millió dolláros adósságokat tüntetett el
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Az Enron botrány 3. ▶
▶
Andrew Fastow CFO megvezette az igazgatótanácsot és a könyvvizsgálókat az Arthur Andersen-t rávették hogy hagyja figyelmen kívül ezeket
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Az Enron botrány 4. ▶
2000 közepén 90.75$-t ért a részvény
▶
2001 novemberében 1$-t
▶
▶
▶
a részvényesek 40 milliárd $-ra pereltek az amerikai Securities and Exchange Comission (SEC) vizsgálatot kezdett 2001 december 2-án a cég csődöt jelentett .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Az Enron botrány 5. ▶ ▶
▶
▶
▶
néhány vezetőt börtönre ítéltek az Arthur Andersen-t bűnösnek találták a SEC vizsgálatot érintő dokumentumokat semmisítettek meg ezáltal elvesztették a könyvvizsgálati jogukat be kellett zárniuk a boltot .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Az Enron botrány 6.
▶
▶
az amerikai Legfelsőbb Bíróság más ítéletet hozott de ez már nem mentette meg a céget
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Az Enron botrány 7. ▶
▶ ▶
▶
a botrány következtében új szabályozást hoztak a tőzsdei cégek pénzügyi jelentéseiről Sarbanes-Oxley törvény (Act) súlyosabban bünteti a szövetségi nyomozások megtévesztését a könyvvizsgáló cégekkel szemben is szigorú: tiltják a részrehajlást és az összeférhetetlenséget .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Kormányzás (Governance) ▶ ▶
a menedzsment számonkérhetősége jogi felelősség: ügyfelek, alkalmazottak, hatóságok és részvényesek felé
▶
a cég megvédése csalások ellen
▶
stratégiai és gazdasági hatékonyság .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Kormányzás 2. ▶
erős menedzsment képességek
▶
döntéshozatal
▶
vezetés (leadership)
▶
IT rendszerek és processzek
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
IT kormányzás ▶
az IT korai időszakában a döntéseket delegálták az IT részlegnek
▶
félresikerült projektek
▶
nem valósultak meg a célok
▶
későn fejezték be
▶
biztonsági hibák
▶
hamar elavultak .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
IT kormányzás 2. ▶
ezért van szükség IT kormányzásra
▶
a fókusz nem a technikai oldalon van
▶
mégcsak nem is az auditon
▶
a cél a vállalati vezető
▶
némi IT ismerettel
▶
a fókuszban: ügyek és processzek .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Service Level Agreement (SLA) ▶ ▶
▶
pl. az IT részleg ki van szervezve pl. a távközlési szolgáltatótól 99.9%-os rendelkezésreállást várunk hogyan menedzseljük ezeket?
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
IT kormányzás témái 1. 2. 3. 4.
IT kormányzás fogalmai IT kormányzás keretrendszerei ITK eszközök és technológiák ITK rendszerek létrehozása és monitorozása 5. az ITK ellenőrzése: belső audit 6. az ITK vállalati céljai .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
1. IT kormányzás fogalmai ▶
Sarbanes-Oxley Act
▶
Governance, Risk & Compliance
▶
kormányzás, kockázatelemzés és jogi megfelelés
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
2. IT kormányzás keretrendszerei ▶
▶
▶ ▶
▶ ▶
Committee of Sponsoring Organisations (COSO) Control Objectives for Information and relate Technology (COBIT) IT Governance Institute Information Technology Infrastructure Library (ITIL) IT Service Management Forum ITSMF Open Compliance and Ethics Group (OCEG) .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
3. ITK eszközök és technológiák
▶
virtualizáció
▶
hálózat
▶
biztonság
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
4. ITK rendszerek létrehozása
▶
szolgáltatás-orientált architektúra
▶
service-oriented architecture (SOA)
▶
projekt menedzsment eszközök
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
5. az IT kormányzás ellenőrzése ▶ ▶
belső audit (internal audit) a belső audit fontossága az IT kormányzás szempontjából
▶
dokumentum menedzsment
▶
archiválás
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
6. az ITK vállalati céljai ▶
munkahelyi etikai kultúra
▶
létrehozása és fenntartása
▶
szociális hálózatok a munkahelyen
▶
az IT üzleti értékének a kommunikációja
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Az IT kormányzás fontossága ▶
Információs Technológia: 60-as évek
▶
nagy befektetések
▶
a kudarcok ellenére velünk van
▶
lassan kialakuló szabványok
▶
más ágazatokban hamarabb voltak szabványok .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Szabványok ▶
könyvelésben
▶
Securities and Exchange Commission
▶
az amerikai tőzsdefelügyelet
▶
marketingben
▶
minőségbiztosításban .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Az IT kormányzás ▶ ▶
▶
▶ ▶ ▶
új fogalom az IT-ről támogató funkcióként gondolkoztak a vállalati kormányzásról megváltozott a gondolkodás az Enron botrány után ami teljesen váratlan volt → Sarbanes-Oxley törvény .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Az IT kormányzás 2. ▶
▶
▶
parancsnoki és irányítási szabályok (command and control), amiket az auditorok kényszerítenek ki Big Brothert megvalósító vállalati mechanizmus az IT alkalmazott sokszor feleslegesnek látja: akadályozza a kreativitást és a termelékenységet .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
A jó IT kormányzás ▶
szabályzatok (policies)
▶
bevett gyakorlatok (best practice)
▶
amik segítik az üzleti működést
▶
segíti a cég átláthatóságát
▶
beleillik a vállalat általános működésébe .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Governance, Risk & Compliance
▶
kormányzás
▶
kockázatelemzés
▶
megfelelés a jogi környezetnek
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Az IT kormányzás 3. ▶
nem csak nagy cégeknek való
▶
segít a versenyképességben
▶
az ITK definiálja az üzleti teljesítményt
▶
▶
különösen az IT erőforrások teljesítményét pl. mi az hogy a hálózat lassú ? .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
A jó IT kormányzás 2.
▶
megnövekedett termelékenység
▶
jobb minőség
▶
jobb pénzügyi eredmények
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
A rossz IT kormányzás ▶
programozott veszteség
▶
bürokrácia
▶
alacsony munkamorál
▶
kisebb nyereség
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Az ügyfelek felől ▶ ▶
▶
▶ ▶
az ügyfél a rendelő felületet látja a megérkezett terméket vagy szolgáltatást esetleg piackutatásban nyújt információt az ügyfél ezek alapján ítél az IT kormányzás feladata a háttérben zajló üzleti folyamatok hatékonnyá tétele .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Az ügyfelek felől 2. ▶
▶
a rossz IT kormányzás elveszti szem elől az ügyfelet és csak a jogszabályok, szabványok és szabályzatok
▶
regulations, standards and policies
▶
betartására figyel .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Az IT kormányzás megítélése ▶ ▶
▶
a felső vezetés kérdése: ”Mennyire hatékonyak az IT kormányzás folyamatai a stratégiai üzleti célok teljesítése végett?” ”Megismételhetőek, megjósolhatóak és skálázhatóak-e a folyamataink, és tényleg a cég és az ügyfelek szükségleteit elégítik-e ki?” .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Az IT kormányzás tájképe ▶ ▶
▶
sok cég, sok módszer az IT kormányzás a vállalati kormányzás része ahogy a termékfejlesztés irányítása is
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
A Sarbanes-Oxley szabályok ▶ ▶
▶
2002 public company financial reporting, audit and enterprise governance processes a tőzsdei vállalatok pénzügyi jelentéseit, auditját és vállalati kormányzását szabályozza .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Sarbanes-Oxley 2. ▶
Enron és WorldCom csőd után
▶
sok mindent szabályoz
▶
audit szempontból a SOx 404-es szakasz számít
▶
belső kontroll tanúvallomás
▶
és még: Auditing Standard No. 5 (AS5) .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Sarbanes-Oxley 3. ▶
▶
Public Accounting Reform and Investor Protection Act, 2002. augusztus rövidítések: SOx, SOX, Sarbox stb.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Sarbanes-Oxley 4. ▶
▶
▶
a törvény által létrejött a Public Company Accounting Oversight Board (PCAOB) a Securities and Exchange Commission alatt a SEC további szabályozással egészítette ki a törvényt .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Auditálás ▶ ▶
▶
PCAOB Audit Standard 3 az auditok jegyzőkönyveit 7 évig kell megőrizni előzmény: az Enron vizsgálatakor az Arthur Andersen könyvvizsgáló egy belső szabályzatra hivatkozva a legfrissebbek kivételével az összes audit dokumentumot megsemmisítette .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Auditálás 2. ▶
▶ ▶
▶
a PCAOB szabályok szerint a külső auditoroknak le kell írniuk a tesztelési folyamataik hatókörét és a a tesztek eredményét az SOx előtt az auditorok belső szabályokra hivatkozva minimális teszteket hajtottak végre csak ennek ellenére a cég egészéről nyilatkoztak .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Sarbanes-Oxley 5. ▶
▶
▶
az SOx 404-es szakasza előírja hogy egy cég felelősa belső könyvelési szabályai dokumentálásáért, rendszeres felülvizsgálatáért és teszteléséért ezeket át kell adni a külső auditoroknak .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
SOx: összeférhetetlenség ▶
a könyvvizsgáló cégek
▶
egy cégnél
▶
nem végezhetnek egyszerre
▶
audit és nem-audit tevékenységet
▶
pl. belső auditot, tanácsadást és pénzügyi tervezést felső vezetőknek .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
SOx: összeférhetetlenség 2. ▶
▶
▶
szokás volt hogy egy belső auditor átment a könyvvizsgáló céghez ugyanígy: a könyvvizsgálótól átment ügyfélhez vezető pozícióba ezt ma már nem lehet
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
SOx: tiltások könyvvizsgálóknak ▶
nem tervezhetnek és fejleszthetnek
▶
pénzügyi információs rendszereket
▶
nem könyvelhetnek
▶
▶
nem lehetnek menedzserek és személyzeti felelősök biztosítási üzletág, befektetés, audit jogi szakértés .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
SOx: összeférhetetlenség 3. ▶
▶
▶
a könyvvizsgáló partnere nem tölthet be egy pozíciót több mint 5 évig a SOx törvény bűncselekménnyé tette a váltás elmaradását SOx 206-os szakasz: a könyvvizsgáló nem auditálhat olyan cégnél, ahol a CEO, CFO vagy a főkönyvelő az előző évben a könyvvizsgálónál dolgozott .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Mi az az IT kormányzás? ▶ ▶
▶
▶
sokféle nézet van erről hogyan költsünk IT-re? fontossági sorrend és a beruházások indoklása – szabályok és jogosultsági szintek projekt menedzsment, az IT projekt-portfólió kezelése a jogi és szakmai szabályok követése, compliance .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Mi az az IT kormányzás? 2. ▶
▶
az IT változások és költségek összehangolása az üzleti követelményekkel és költségvetéssel + az IT személyzet fejlesztése az IT szolgáltatások menedzselése és irányítása – Service Level Agreement-ek felállítása és monitorozás ez alapján .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Mi az az IT kormányzás 3. ▶
▶
a mindennapi IT problémamegoldás biztosítása és hogy az IT erőforrások kiszolgálják az üzleti igényeket
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Sikerek és kudarcok ▶
volt hogy sikerre vitt cégeket
▶
de nagy kudarcok is voltak
▶
rossz projekt tervezés miatt
▶
költségtúllépés
▶
az üzleti és az IT oldal rossz kommunikációja miatt .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Sikerek és kudarcok 2. ▶
egy 2002-es Gartner jelentés szerint az IT költés 20%-a veszteség
▶
ez évente 600 milliárd dollár
▶
egy 2004-es IBM jelentés szerint
▶
▶
a Fortune 1000-es vállalatok CIO-i szerint az IT költés 40%-a nem térült meg .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Sikerek és kudarcok 3. ▶
▶
▶
más jelentések szerint a nagy IT befektetések 20-70%-a felesleges, megkérdőjelezhető vagy nem térül meg ez mind arra mutat hogy erős IT kormányzásra van szükség .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
IT kormányzás, még egyszer ▶
az IT összes elemének irányítása
▶
az IT részeinek koordinálása
▶
pl. rendszerfejlesztés és üzemeltetés
▶
divatos név: DevOps
▶
az IT folyamatok és rendszerek mérése .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
IT kormányzás, még egyszer 2. ▶
▶ ▶
▶
▶
compliance, megfelelés a belső IT szabályzatoknak az IT költések indoklása számonkérhetőség és átlátszóság (transzparencia) erős figyelem az IT felhasználók igényeire régi rendszerek (legacy), biztonság, dokumentáció .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
IT és üzleti oldal ▶
▶
▶
az üzleti oldalnak értenie kell az IT erőforrásokat és képességeket az informatikai oldalnak értenie kell az üzleti igényeket és szempontokat a fontos IT döntéseket felső szinten kell meghozni .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Kockázatmenedzsment ▶
jelszavak
▶
sokan a keresztnevüket használják
▶
ez veszélyes
▶
▶
az informatikusok szabályzatokat írnak a jelszavak monitorokra ragasztott post-it cetliken jelennek meg .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Kockázatmenedzsment 2. ▶
kockázat-étvágy
▶
risk appetite
▶
kockázat-felismerés
▶
kockázat-mérés: statisztika, valószínűségszámítás
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Kockázatmenedzsment 3. ▶
▶
melyik vállalati részleg válllalja a felelősséget a kockázatért? a megfelelő emberek minden kockázatra
▶
fennmaradó kockázat elfogadása
▶
residual risk
▶
nincs tökéletes könyvvizsgálat .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Kockázatmenedzsment 4.
▶
a kockázatok kezelésének folyamatai
▶
ezek következményei és költségei
▶
IT kockázati esemény: mit kell tenni?
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Kockázatmenedzsment 5. ▶
monitorozás
▶
akciótervek
▶
nehézség: ha le kell állítani a hálózatot
▶
ez felső döntést igényel
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Kockázatmenedzsment 6. ▶ ▶
▶
adatvédelem egy betörés alkalmával nyilvánosságra kerülhetnek védett adatok személyes adatok, pénzügyi adatok, bankkártyaszámok
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Kockázatmenedzsment 7.
▶
könnyű cselekvési tervet írni
▶
de ennek költsége is van
▶
ez nem áll mindig rendelkezésre
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Kockázatmenedzsment 8. ▶
az IT részleg gyakran csak a belső kockázatokra figyel
▶
de nem érti meg az üzleti kockázatokat
▶
a vevők
▶
és a beszállítók kockázatait
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Kockázatmenedzsment 9.
▶
jogi felelősségek
▶
a részvényesek felé
▶
a hitelezők felé
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Kockázatmenedzsment 10. ▶
▶
a kockázatfelügyelet gyakran túllép az IT részleg hatáskörén fontos hogy ilyenkor tudatában legyünk a szervezeti határoknak
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
IT kockázatok ▶
behatolók
▶
megszakítják az IT üzemet
▶
szabotázs
▶
adatlopás
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
IT kockázatok 2.
▶
biztonsági szabályzat
▶
security policy
▶
kompetens biztonsági szakemberek
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
IT kockázatok 3. ▶
üzleti folytonossági terv
▶
business continuity plan
▶
legyen terv arra
▶
ha az IT leáll, hogy kell helyreállítani
▶
disaster recovery plan .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
IT kockázatok 4. ▶
malware
▶
mal- = rossz, malfunction
▶
a vezetésnek tudatában kell lennie
▶
▶
hogy bármilyen rendszer ki van téve támadásnak és ezek jól álcázzák magukat .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
IT kockázatok 5. ▶
intrusion detection
▶
behatolás észlelés
▶
az IT eszközökhöz, hw és sw
▶
nyilván kell tartani a sebezhetőségeket
▶
és a cselekvési tervet, ha bekövetkezik a támadás .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
IT kockázatok 6. ▶
titkosítási szabályzatok
▶
elektronikus aláírás
▶
a szabályzatok mellé tréningek
▶
és ellenőrzések
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Más biztonsági kockázatok
▶
terrorcselekmények
▶
ipari kémkedés
▶
felhő alapú üzemeltetés kockázatai
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
GRC
▶
governance, risks, compliance
▶
kormányzás, kockázatok, megfelelés
▶
IT kontextusban
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Kockázatok ▶
kockázatok feltérképezése
▶
kockázatok mérése
▶
események kezelése
▶
monitorozás
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Megfelelés ▶
▶
a hatékony vállalati kormányzásnak fontos része a vállalat nevében elkövetett nem etikus
▶
és illegális tevékenységek kezelése
▶
és elkövetőik polgári vagy büntetőjogi
▶
felelősségre vonása .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Megfelelés 2. ▶
új jogszabályok
▶
környezetvédelem
▶
sok olyan szabályra kell figyelni
▶
ami nem tartozik az üzleti célok közé
▶
Magyarországon: építési szabályok, adatvédelem, foglalkoztatás .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Megfelelés 3. ▶
a szabályozások nem egyértelműek
▶
interpretáció kérdése
▶
sokszor nincs konszenzus
▶
▶
”minden tranzakcióhoz számlát kell kiállítani” 1 $ alatt is? .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Megfelelés 4.
▶
a szabályok sokszor átfedik egymást
▶
melyiknek is feleljünk meg?
▶
a szabályok folyamatosan változnak
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Megfelelés 5. ▶
hogyan reagáljunk a szabályok folytonos változására?
▶
compliance osztály
▶
költséghatékonyság
▶
▶
sok szabály előírja a dokumentumok tárolását megoldás: központi dokumentumtár .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Megfelelés 6. ▶
a jól végzett megfelelés versenyelőny is lehet
▶
adóoptimalizálás
▶
lehetőségek felismerése
▶
gyors és pontos reagálás
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.