Model S-P-S-P-R, ITIL
Doc.Ing.Miloš Koch,CSc.
[email protected]
35
1
MODEL S-P-S-P-R aktuálně vyvíjen prof. Voříškem a kolektivem
na katedře informačních technologií, VŠE v Praze. Cílem modelu S-P-S-P-R je nalezení a zajištění optimální informatické podpory podnikových procesů a tím také zajištění co nejvyšší návratnosti investic do IS/ICT. Model řeší vztah mezi řízením Podnikových procesů a řízením podnikových ICT. 35
2
Vrstvy modelu Jeho základem je řízení firmy v pěti
vzájemně provázaných vrstvách:
35
S – Strategy, P – Business Processes, S – ICT Services, P – ICT Processes, R – ICT Resources
3
Cílem rozdělení na vrstvy je: taková struktura podnikových činností a zodpovědnosti,
35
která optimálně odpovídá současným požadavkům na flexibilitu a efektivní podnikové řízení, usnadnění komunikace neinformatiků s informatiky tím, že jejich komunikační rozhranní (označováno jako SLA – viz definice dále) není zatíženo technologickými detaily, jasné určení zodpovědnosti různých typů manažerů, případně specialistů v podniku, zprůhlednění způsobu dekompozice podnikových cílů až na úroveň řízení provozu IS/ICT, vytvoření schématu, ze kterého je možné odvodit vhodné metriky úspěšnosti jednotlivých typů procesů a za ně odpovědných manažerů.
4
pojmy SLA - Service Level Agreement, v českém
překladu „Smlouva o úrovni poskytovaných služeb“, dokument, který „přesně vymezuje minimální vlastnosti služeb v definovaném rozsahu, objemu a úrovni a určuje cenu takto vymezené služby“ „proces“ znamená „sled konkrétních činností (aktivit), které zpracovávají určitý požadavek, vstup. Výsledkem takového řetězce činností je přesně definovaný výstup, produkt nebo služba 35
5
Model S-P-S-P-R S - Vrstva strategického řízení
Podniková a informační strategie, vč. strategie zdrojů: cíle, produkty, služby, zákazníci, lokality, partneři,…
Trh produktů, služeb dodavatelů
P-
Hlavní proces 1
Vrstva hlavních procesů
Hlavní proces p
Trh produktů, a služeb podniku
STrh služeb IS/ICT
Informatický proces 1
Informatická služba 1
Informatická služba s
Informatický proces 2
Vrstva informatických služeb
P - Vrstva informatických procesů
Informatický proces j
R Trh IS/ICT zdrojů
Zdroj 1
Zdroj 2
Zdroj z
Trh služeb IS/ICT
Vrstva informat. zdrojů
Trh IS/ICT zdrojů
Pronájem nebo prodej nadbytečných IS/ICT zdrojů
Vrstva S – strategické řízení První vrstva je plně v kompetenci vrcholového managementu.
Hlavními výstupy této úrovně řízení jsou zejména následující rozhodnutí: stanovení cílů a priorit, které bude podnik sledovat zvolení produktů či služeb a okruhu zákazníků, který bude podnik poskytovat výběr aliancí a kooperačních vztahů, do nichž podnik vstoupí (kompetence a zdroje, jež podnik v kooperaci uplatní a které naopak očekává od svých partnerů) určení hrubé úrovně, na které budou probíhat materiálové a informační toky mezi partnery v řetězci druh lidských, znalostních, informačních a finančních zdrojů, jež budou v podniku zapotřebí, a stanovení jejich získání (případně uvolnění přebytečných) určení metrik pro měření stupně dosažení cílů
35
7
VRSTVA P - ŘÍZENÍ HLAVNÍCH PROCESŮ PODNIKU Smysl a cíle své existence naplňuje organizace
prostřednictvím hlavního předmětu podnikání, to je prostřednictvím hlavních podnikových procesů. Úlohou druhé vrstvy řízení, hlavních a podpůrných procesů podniku (P), je navrhnout a řídit podnikové procesy tak, aby organizace dosáhla strategických cílů definovaných první úrovní řízení (S). Hlavními aktivitami úrovně řízení podnikových procesů jsou: 35
definice a optimalizace podnikových procesů operativní řízení procesů a kapacit monitoring procesů realizace (vykonávání) procesů 8
Vrstva S – informatických služeb Informatická služba je rozhraním mezi businessem a
informatikou, tj. mezi manažerem podnikového procesu a manažerem IS/ICT. Vztah k předchozí vrstvě – potřebné informatické služby „nakupuje“ manažer procesu u manažera informatických služeb - CIO. Při decentralizovaném modelu se manažer procesu může obrátit sám i na externí poskytovatele informatických služeb a nakoupit službu od nich. Je vhodné, aby definice informatické služby měla stejnou strukturu, ať se služba nakupuje interně v podniku, nebo u externího poskytovatele. Vhodná forma je SLA 35
9
Vrstva P – informatických procesů Informatické procesy (P) produkují informatickou službu.
Informatické procesy tedy tvoří čtvrtou vrstvu modelu a jsou řízeny manažery informatických procesů. Význam kvalitní definice informatických procesů roste zejména s jejich následujícím parametry:
význam podnikového procesu, pro jehož podporu byla informatická
35
služba vytvořena (kritické podnikové procesy potřebují vysoce kvalitní služby), počet uživatelů služby (například, je-li službou Internet banking, pak bude tuto službu využívat stále více zákazníků banky a celý proces, který ji zajišťuje, musí být řízen tím precizněji), nároky na kvalitu služby (dostupnost, doba odezvy, bezpečnost), celkový počet informatických služeb (s růstem počtu služeb rostou nároky na integraci služeb a integraci souvisejících procesů a zdrojů), celkový rozsah informatických zdrojů, které jsou informatickými procesy konzumovány.
10
Rozdělení informačních procesů (10 základních oblastí) (1) Strategické řízení IS/ICT (cíle, architektury, standardy, projekty, harmonogram, rozpočet, organizace a pravidla řízení) Taktické řízení IS/ICT Řízení služeb IS/ICT (3) Řízení (definice, nákup, prodej) služeb ve vztahu k zákazníkům a dodavatelům (4) Řízení vlastností služeb (užitečnost, hospodárnost, důvěryhodnost, bezpečnost, spolehlivost, atd.)
Řízení zdrojů IS/ICT (5) Řízení ekonomiky IS/ICT (6) Řízení personálních zdrojů (2) Plánování, organizace, IS/ICT integrace, koordinace (7) Řízení datových zdrojů rozvoje IS/ICT (8) Řízení technologických zdrojů a konfigurací (ASW, ZSW, HW, sítě) Operativní řízení IS/ICT
(9) Řízení jednotlivých projektů rozvoje IS/ICT: vývoj či údržba, customizace, implementace 35
(10) Řízení provozu IS/ICT - služeb a zdrojů 11
Vrstva R – informatických zdrojů Poslední vrstvou modelu je řízení (správa)
35
jednotlivých informatických zdrojů (R). Do zdrojů se zahrnuje zejména: technologická infrastruktura (hardware, počítačová síť, základní software), aplikační software, data, spotřební materiál a informatický personál. Manažeři informatických zdrojů mají klasické informatické profese: správce aplikace, správce sítě, správce databází, atd. Jejich zodpovědností je provozovat a udržovat svěřený zdroj s přijatelnými náklady. 12
Vztahy mezi jednotlivými typy manažerů v modelu S-P-S-P-R
35
13
Manažer informatické služby Manažer informatické služby je zodpovědný za
dodání a provoz smluvené služby. V případě, že se manažer informatické služby rozhodne informatickou službu nakoupit u externího poskytovatele (formou ASP), problém řízení informatické služby se redukuje na sepsání smlouvy obsahující SLA s externím poskytovatelem a na kontrolu jejího plnění. V případě, že se rozhodne službu zajišťovat vnitropodnikovými zdroji, znamená to povinnost vytvořit odpovídající informatické procesy a zajistit informatické zdroje, které informatické procesy vyžadují. 35
15
Manažer procesu Manažer zodpovědný za definice a optimalizaci podnikového procesu
35
(manažer procesu) je zodpovědný za navržení procesu (jednotlivých činností, jejich návaznosti, zodpovědnosti za jednotlivé činnost, atd.) tak, aby proces produkoval konkurenceschopný produkt či služby v optimálním čase, objemu a kvalitě a s přijatelnými náklady. K měření efektivnosti procesu, a tedy i k efektivnosti práce tohoto manažera mohou sloužit metriky typu: objem dodané produkce nebo služby, zisk z prodeje produktu nebo služby, atd. Součástí návrhu podnikového procesu musí být i návrh takových informatických služeb, které budou optimálně podporovat příslušný proces. Manažer procesu současně musí zkalkulovat, jaká je přijatelná cena požadovaných informatických služeb. Tato cena je jednou z nákladových položek procesu, a kdyby přesáhla určitou výši, výsledný produkt by již nebyl cenově konkurenceschopný na trhu. Zde je jedno z klíčových míst uvedeného modelu. Není-li možné zajistit požadované informatické služby za tuto limitní cenu, je třeba upravit hlavní proces a jeho požadavky na informatické služby. 16
VARIANTY OUTSOURCINGU IS/ICT S VAZBOU NA MODEL S-P-S-P-R
outsourcing podnikového procesu outsourcing komplexního IS/ICT částečný outsourcing IS/ICT: vybrané
informatické služby, vybraného informatického procesu, vybraného informatického zdroje outsourcing vývoje IS/ICT
35
17
a) outsourcing podnikového procesu při něm je na externího dodavatele převáděn celý podpůrný podnikový
proces, tj. všechny činnosti procesu a související zdroje Vytěsnění se týká i informatických služeb, procesů a zdrojů určených k podpoře vytěsňovaného podnikového procesu. Klasickým příkladem outsourcingu podnikového procesu je např. vytěsnění podnikové dopravy, účetnictví… Kritickými faktory úspěchu (CSF) této varianty jsou:
35
Vhodný výběr vytěsněného prostoru. Mělo by se jednat o proces, který z hlediska potřebných zdrojů a znalostí je dosti vzdálen od hlavních podnikových procesů a který nemá velmi těsné a často se měnící vazby na hlavní procesy, SLA. správná definice SLA vytěsňovaného procesu. SLA musí být definována tak, aby kontrola poskytované služby nevyžadovala znalosti a kompetence, které chtěl podnik vytěsnit, a aby se minimalizovaly integrační nároky vytěsněného procesu na ostatní procesy
18
b) outsourcing komplexního IS/ICT Na poskytovatele se v tomto případě přesouvá vývoj a provoz
35
všech informatických služeb a souvisejících informatických procesů a informatických zdrojů. Na rozdíl od outsourcingu podnikového procesu se ale na externího dodavatele nepřesouvají podnikové procesy, na jejichž podporu IS/ICT slouží. Například podnik vytěsní celé IS/ICT včetně aplikací na podporu účetnictví, samotné účtování zůstává v podniku. V zodpovědnosti poskytovatele je vývoj a provoz IS/ICT (včetně customizací a integrace všech zdrojů, procesů a služeb) tak, aby zákazníkovi byly dodávány všechny informatické služby dle sjednaných SLA. Hlavní výhoda této varianty: podnik se zbaví starostí o IS/ICT a může se více věnovat hlavnímu předmětu podnikání. Zodpovědností podniku je, aby dobře definoval požadované informatické služby (pomocí SLA) a aby kontroloval jejich dodávání. Při komplexním outsourcingu IS/ICT podnik nemusí vlastnit žádné informační technologie, ani nemusí zaměstnávat informatické specialisty. Potřebuje ale velmi zdatné manažery procesů a zdatného manažera informatických služeb. 19
b) outsourcing komplexního IS/ICT Kritickými faktory úspěchu v této variantě jsou: definice a řízení dodávky všech informatických služeb tak,
aby služby optimálně podporovaly podnikové procesy za přijatelnou cenu , schopnosti vlastníků podnikových procesů jsou také klíčovým faktorem. Musí být schopni určit obsah, objem, kvalitu a limitní cenu informatické služby, která bude podporovat jimi řízený podnikový proces schopnost manažera informatických služeb (CIO) – musí být schopen řídit dodávku všech informatických služeb. transformace na míru ušitých, resp. doma vyvinutých aplikací na poskytovatele. Tyto aplikace jsou pro poskytovatele zátěží, protože jejich řízení a provoz vyžadují specifické znalosti a nedají se využít pro služby jiným zákazníkům. 35
20
c) částečný outsourcing IS/ICT: ( vybrané informatické služby, vybraného informatického
procesu,vybraného informatického zdroje) Na poskytovatele se při něm mohou přesouvat:
35
vybrané informatické služby: včetně jejich zajištění, tj. včetně souvisejících informatických procesů a zdrojů. Příkladem může být outsourcing provozu ERP systému, outsourcing provozu elektronické pošty, atd. vybrané informatické procesy: včetně zdrojů, které jsou pro jejich provoz zapotřebí. Například implementace ERP systému externí firmou, outsourcing integrace všech podnikových aplikací, apod. vybrané informatické zdroje: například outsourcing koncových stanic, outsourcing datového centra, apod. V případě outsourcingu zdroje se obvykle vytěsňují i všechny činnosti související s provozem, správou a dalším rozvojem tohoto zdroje. Typickými činnostmi souvisejícími s každým zdrojem jsou: pořízení a vývoj, údržba, upgrade, customizace, integrace s ostatními zdroji, provoz, prodej a likvidace.
21
c) částečný outsourcing IS/ICT:
Výhodou této varianty je skutečnost, že umožňuje detailní plánování a řízení informatiky. Podnik tak může vytěsnit jen ty informatické služby, procesy nebo zdroje, pro které existuje kvalitní externí nabídka za výhodnější cenu v porovnání s interním řešením. Kritickými faktory úspěchu částečného outsourcingu jsou :
35
kvalitní aplikační a technologická architektura IS/ICT. Tyto architektury jsou základním zdrojem pro řízení IS/ICT, proto musí přesně definovat jednotlivé komponenty a jejich rozhraní, provádění outsourcingu s optimálním počtem subjektů. Nebývá výhodné vytěsnit komponenty technologické architektury na mnoho různých poskytovatelů, protože tím výrazně vzrostou náklady na řízení rozhraní mezi komponenty informačních systémů, integrace celého IS/ICT, která zůstává na odpovědnosti podniku. Nároky na interní specialisty, náročnost dramaticky roste s růstem počtu externích dodavatelů, detailní sledování nákladů, které je jedním z klíčových informačních zdrojů pro výběr komponenty k outsourcingu, detailní informace o trhu, která jsou nutné pro určení nejvhodnějšího dodavatele služeb, procesů či zdrojů.
22
d) outsourcing vývoje IS/ICT Poslední popisovaná varianta outsourcingu přesouvá na
externí firmu pouze vývoj některých ze zdrojů IS/ICT, které pak podnik sám ve vlastní režii provozuje. Do vytěsněných činností obvykle spadá i údržba, upgrade, customizace a integrace zdroje. Podnik pak zodpovídá jen za provoz zdroje a jeho optimální využití v informatických procesech. Nejtypičtějším příkladem je dle vývoj aplikačního softwaru na zakázku.
Kritickými faktory úspěchu pro tuto variantu outsourcingu
jsou: kvalitní definice požadavků na vyvíjený zdroj, integrace dodaného zdroje do podnikového IS/ICT, údržba zdroje dle měnících se požadavků a měnících se podmínek provozu IS/ICT.
35
23
ITIL METODIKA ITIL – IT INFRASTRUCTURE LIBRARY Zkratka ITIL značí IT Infrastructure Library a v českém překladu znamená knihovnu infrastruktury informačních technologií. Metodika ITIL je rozsáhlý soubor postupů řízení podnikové informatiky, který obsahuje veřejně přístupné dokumenty týkající se plánování, poskytování a podpory ICT služeb. 35
24
Stručná charakteristika ITIL je soubor nezávazných doporučení a nejlepších
postupů, umožňujících zefektivnit veškeré služby vázané na podnikovou IT infrastrukturu.
Jedná se o taková doporučení, která v rámci
dlouhodobé aplikace přinášejí efektivnější fungování interního personálu a vyšší spokojenost uživatelů a zákazníků.
Implementace ITIL představuje zavádění
nejmodernějších postupů do oblasti řízení kompletní řady podnikových procesů
35
25
Vznik
Metodika ITIL je vyvíjena od osmdesátých let minulého století v reakci na vzrůstající závislost firem na ICT technologiích a z toho plynoucího růstu požadavků na kvalitu služeb ICT.
Britskou vládu k tomu, že pověřila vládní agenturu Central Computer and Telecommunications Agency (ve zkratce CCTA) k vypracování metodiky, podle které by organizace (jak vládní, tak soukromé) podílející se na dodávkách informačních služeb pro britskou vládu musely závazně postupovat.
CCTA postupně vydává 46 svazků shrnujících nejlepší zkušenosti (Best Practices) z oblasti řízení ICT služeb pro potřeby britských vládních úřadů a podnikatelských subjektů dodávajících ICT služby vládě.
Na přelomu minulého století je původních 46 svazků knihovny přepracováno do současné podoby, kde základem knihovny ITIL jsou tituly Service Support a Service Delivery, které obsahují podstatnou část z původních 46 svazků.
Toto přepracované vydání vzniká ve sdružení Office of Government Commerce (ve zkratce OGC), které vzniklo sloučením britských vládních agentur včetně zmíněné CCTA a stává se autoritou pro re-edice a vydávání dalších publikací ITIL
35
26
CHARAKTERISTIKY A VÝHODY procesní řízení – ITIL používá procesně orientovaný přístup k řízení IT
35
služeb. Celý proces je řízen, monitorován, měřen, vyhodnocován a neustále vylepšován, což je odpovědností vlastníka procesu. zákaznicky orientovaný přístup – tento rys vyplývá přímo ze samotné podstaty metodiky, všechny procesy jsou definovány s ohledem na potřeby zákazníka, tzn. každá aktivita, každý úkon v každém procesu musí v konečném důsledku přinášet nějakou přidanou hodnotu pro zákazníka. Pokud ne, je taková činnost považována za nadbytečnou. jednoznačná terminologie – metodika ITIL definuje a používá ve všech svých svazcích jednoznačnou terminologii, která přispívá k jasnosti ITIL a samozřejmě také k předcházení nedorozuměním. nezávislost na platformě – přístup ITIL k procesům je nezávislý na jakékoliv HW nebo SW platformě. volná dostupnost knihovny ITIL – knihovna je volně dostupná, což znamená, že si kdokoliv může knihy ITIL koupit. Metodika ITIL není tedy „skrývána“ před odbornou veřejností, jak je tomu u některých jiných metodik a přístupů pro řízení informačních systémů. Skutečnost otevřenosti metodiky mj. přispěla k rychlému celosvětovému rozšíření ITIL. 27
Metodika ITIL neřeší konkrétní podobu organizační struktury
podniků, způsob obsazení rolí u procesů konkrétními pracovními pozicemi (pouze dává doporučení, které role by měly nebo neměly být kumulovány u jedné konkrétní osoby), podobu a obsah pracovních procedur (pracovních postupů) –
35
28
3 úrovně procesů IT služeb Strategická úroveň řízení IT služeb. Zahrnuje řízení
kvality, bezpečnosti, organizační řízení, apod. Taktická úroveň – plánování a kontrola IS služeb zajišťující splnění požadavků zákazníka, Operační úroveň – podpora IT služeb zajišťující efektivní poskytování IT služeb ze strany servisní organizace. U jednotlivých procesů jsou identifikovány jejich výstupy (i s uvedenými konkrétními příklady), které slouží jako základ pro tvorbu metrik podnikové informatiky.
35
29
ITIL Metodika ITIL sestává v současné době z
osmi svazků. Cena uvedených osmi publikací dosahuje částky 470 GBP (srpen 2004) Odborná veřejnost má plný přístup k této metodice
35
30
Svazky knihovny ITIL
knihy Service Support a Service Delivery, tedy Podpora služeb a Dodávka služeb – jsou dvě základní publikace z knihovny ITIL. Tyto knihy tvoří rámec IT Service Managementu, tzn. jsou to knihy o řízení, dodávce a podpoře IT služeb. Obsahují podstatnou část z původních 46 svazků vydaných agenturou CCTA.
kniha Business Perspective, tedy Obchodní perspektiva – je určena vedoucím pracovníkům obchodních a provozních úseků podniku. Jsou zde představeny základní prvky a principy řízení ICT infrastruktury, IT Service managementu a Application managementu, které jsou nezbytné pro podporu obchodních procesů. Tato kniha má za cíl pomoci obchodním manažerům lépe porozumět přínosům „Best Practices“ pro IT service management a získat schopnost lépe řídit vzájemné vztahy s poskytovatelem služeb.
kniha ICT Infrastructure Management, přeloženo jako Správa infrastruktury ICT - pokrývá všechny aspekty řízení ICT infrastruktury od identifikace obchodních požadavků přes nabídkové řízení až po testování, instalaci, nasazení a následnou pravidelnou údržbu a podporu ICT komponent a IT služeb.
35
31
Svazky knihovny ITIL
kniha Application Management, přeloženo jako Správa aplikací – zahrnuje procesy celého životního cyklu aplikačního softwaru od prvotní studie proveditelnosti, přes vývoj, testování, vytváření aplikační dokumentace a školení uživatelů, implementaci do produkčního prostředí, provoz aplikace, změnová řízení během provozu aplikace až po stažení aplikace z používání.
kniha Planning to Implement Service Management, Plánování implementace správy služeb – popisuje aktivity, úkoly a problémy související s plánováním, implementací a zlepšováním procesů IT Service Managementu v podnikovém prostředí. Je určena především členům implementačních týmů.
kniha Security Management, tedy Řízení bezpečnosti - obsahuje popis a organizaci řízení bezpečnosti ICT infrastruktury z pohledu manažera ICT a dále popis plánování a řízení definované úrovně bezpečnosti informací a IT služeb včetně všech aspektů souvisejících s reakcí na bezpečností incidenty.
kniha Software Asset Management, přeloženo jako Řízení softwarových aktiv – obsahuje popis procesů řízení, kontroly a ochrany softwarového majetku ve všech stadiích jeho životního cyklu.
35
32
Výhody ITIL obsahuje jeden z nejucelenějších
referenčních modelů řízení podnikové informatiky. Přestože není tak strukturován (jako např. COBIT), je napsán velmi čtivým jazykem. Všechny procesy jsou velmi podrobně popsány s uvedením konkrétních příkladů řešení a případně vzorových metrik. ITIL je vhodná pro různé podniky, bez ohledu na jejich velikost či jiné subjekty pracující s IT (jako ministerstva, obecní úřady, atd.) či bez ohledu na počet uživatelů, které ICT infrastruktura podporuje. Jelikož je ITIL procesně orientovaná, může být aplikována na procesy malých subjektů i nadnárodních firem 35
33
Výhody Lepší podpora obchodních procesů, definice funkcí, rolí a zodpovědnosti v sektoru služeb, pomoc s ustavením IT služeb, které splňují požadavky
zákazníků, vyšší spokojenost zákazníků vzhledem k vyšší dostupnosti a kvalitě IT služeb, vyšší produktivita a efektivita vzhledem k cílevědomému využití znalostí a zkušeností, vyšší spokojenost zaměstnanců a snížení fluktuace na personální úrovni, zlepšení komunikace a informovanosti mezi IT pracovníky a zákazníky, mezinárodní výměna zkušeností (např. na již zmíněném fóru itSMF), zavedení jednotné terminologie v sektoru poskytování IT služeb.
35
34
Příklad
Jako příklad podniku, který v ČR implementoval metodiku ITIL je možné uvést společnost T-Mobile CZ.
Motivace pro zavedení metodiky ITIL byly interní (snaha vylepšit celkové řízení procesů v provozu IT, zvýšit produktivitu pracovníků a stále náročnější požadavky zákazníků) a externí (členství v celosvětové skupině mobilních operátorů, nutnost shodnosti hlavních procesů u všech dcer T-Mobile a dokonce i globální upgrady systému SAP R/3).
V T-Mobile byly již dříve vytvořeny určité návody na to, jak správně provozovat procesy tak, aby každý člověk z provozu IT uměl správně reagovat na vzniklé situace. Pracovníci byli sice schopni tyto informace udržet a využívat, nicméně pouze několik málo lidí vědělo, kde tyto informace hledat. A to představovalo pro firmu značné riziko. Dalším cílem bylo také měřit a vyhodnocovat procesy tak, aby existoval přehled o nakládání se zdroji (lidskými, technickými i finančními) a následně tyto procesy zlepšovat.
Z celkového pohledu přineslo zavedení metodiky ITIL možnost kompletní evidence všech incidentů, zvolených řešení, jejich úspěšnosti a vytíženosti pracovníků T-Mobile CZ. Pod pojmem incident se chápou situace, které mají na společnost vysoký obchodní dopad bez ohledu na to, zda se týkají zákazníků či interních pracovníků – např. určitý problém systému pro vystavování faktur.
35
Získaná data je možné vyhodnocovat a volit správná operativní i strategická rozhodnutí do budoucna. Díky ITIL byla vytvořena spolehlivá a objektivní zpětná vazba, která umožňuje neustále zkvalitňovat IT služby zákazníkům. 35
Metodika COBIT METODIKA COBIT – CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY
35
Metodika COBIT představuje v současnosti jednu z nejkomplexnějších metodik formalizující řízení a hodnocení IS/ICT. Vznikla ve sdružení ISACF (Information Systems Audit and Control Foundation), která byla založena v roce 1969 (mezi známé členy patří např. Gartner Group, Deloitte&Touche, Price Waterhouse-Coopers, atd.).
36
COBIT obsahuje komplexní systém cílů a
metrik podnikové informatiky, který reprezentuje ucelený pohled na řízení podnikové informatiky a je dobře použitelný pro provádění auditů. COBIT definuje řízení IT jako korelační
vazbu mezi souborem požadavků (kritérií), IT zdroji a IT procesy 35
37
Struktura COBIT Základem metodiky je procesní přístup k ICT, procesy jsou dle
metodiky COBIT popsány ve členění na 4 logické skupiny, tzn. domény. Tyto domény jsou:
- Plánování a organizování (zkratka PO) - Akvizice a implementace (zkratka AI), - Dodávka a podpora (zkratka DS) - Měření a hodnocení (zkratka M).
11 procesů 6 procesů 13 procesů 4 procesy
Domény svou strukturou vytváří v COBIT smyčku, která odpovídá základním prvkům životního cyklu informačních systémů.
Pro každou z těchto domén jsou definovány procesy:Celkem tedy
COBIT definuje v těchto čtyřech doménách 34 ICT procesů
35
38
Procesy Každý z procesů jednotlivých domén se rozpadá
na detailní činnosti (Activities), jejich vstupy a výstupy. Pro každý proces je rovněž navržen referenční soubor cílů (tzv. CSF – Kritické faktory úspěšnosti), výsledkových metrik (KGI – Key goal indicators) a výkonnostních metrik (KPI – Key performance indicators). Dále jsou ke každému ze 34 procesů k dispozici konkrétní kritéria a metoda hodnocení celkové kvality procesu. Hodnotící škála pro všechny procesy má 6 stupňů, od 0 (proces neexistuje) po 5 (proces je zcela optimalizován). 35
39
Podniková (obchodní strategie), její cíle a obchodní procesy
Vedení (řízení) IS/IT
COBIT PO1 definice strategického plánu IS/IT PO2 definice architektury IS/IT PO3 determinace technologických trendů PO4 definice organizace a vztahů IS/IT PO5 řízení IT investic PO6 řízení lidských zdrojů PO7 komunikace strategie a směru rozvoje PO8 řízení shody s externími požadavky PO9 řízení rizik PO10 řízení projektů PO11 řízení kvality
IS/IT kritéria M1 monitoring procesů M2 ocenění dosažené úrovně řízení M3 hodnocení (nezávislá kontrola) M4 hodnocení (interní/externí audit)
účelnost účinnost důvěryhodnost integrita dostupnost soulad spolehlivost
Měření a hodnocení
Plánování a organizování
IT zdroje DS1 definice a správa „servisních úrovní“ DS2 správa služeb třetích stran DS3 řízení výkonnosti a kapacit DS4 kontrola kontinuity služeb DS5 kontrola bezpečnosti systému DS6 identifikace a alokace provoz. nákl. DS7 vzdělávání a osvěta uživatelů DS8 asistenční služba zákazníkům DS9 řízení konfigurací DS10 řízení událostí a mezních stavů DS11 správa dat DS12 správa vybavení a prostředí 35 procedur DS13 správa provozních
lidé aplikace technologie prostředí, vybavení, podmínky data
Dodávka a podpora
AI1 identifikace automatizovaných řešení AI2 akvizice aplikačního prog. vybavení AI3 akvizice technologické infrastruktury AI4 vývoj a správa provozních procesů AI5 instalace a certifikace systémů AI6 řízení změn
Akvizice a implementace
40
Cíle COBIT si klade za cíl přinášet odpovědi na
požadavky podniků a současně být nezávislý na technologických platformách použitých v podniku. Referenční model COBIT se skládá z modelu procesů, ke kterým jsou připojeny metriky jejich efektivnosti. Další součástí modelu řízení podnikové informatiky nejsou zahrnuty. Řízení informatiky je v COBIT vzájemně propojeným souborem požadavků podnikání, zdrojů a procesů podnikové informatiky a tomu také odpovídá jeho základní členění. 35
41
Vazba domén, procesů a aktivit v metodice COBIT Doména AI
Proces AI1
Aktivita 1
35
DS
Proces AI2
Aktivita 2
Aktivita 3
M
PO
Proces AIn
Aktivita n
Pro procesy: Referenční soubor cílů (CSF – Kritické faktory úspěšnosti), výsledkové metriky (KGI – Key Goal Indicators), výkonnostní metriky (KPI – Key performance indicators), atd.
42
Požadavky na informace v COBIT účelnost – požadavky na včasné doručování relevantních informací ve
35
správném, konzistentním a použitelném tvaru, účinnost – požadavky na zpracování informací (nejekonomičtějším a nejproduktivnějším způsobem) prostřednictvím optimálního využívání zdrojů, důvěryhodnost – požadavky zahrnující oblast ochrany důležitých informací proti neautorizovanému použití (prozrazení), integrita – požadavky týkající se přesnosti a kompletnosti informace ve vztahu k požadavkům podnikání a jeho očekáváním, dostupnost – požadavky vztahující se k dostupnosti informace pro podnikání (nyní, ale i v budoucnosti). Týkají se také ochrany potřebných zdrojů (např. datových, technologických), soulad – požadavky týkající se udržování souladu se zákony, regulacemi, směrnicemi a kontraktačními podmínkami, které se týkají procesů podnikání (hlavních podnikových procesů), spolehlivost – požadavky vztahující se k přínosu informatiky pro rozhodování manažerů
43
Výhody a nevýhody Celkem lze tedy v metodice COBIT najít komplexní
systém stovek cílů a metrik pro všechny oblasti ICT. Právě vysoká komplexnost je hlavní silnou stránkou, ale z jiného pohledu i slabou stránkou metodiky COBIT, který je dobře uplatnitelný u velkých podniků. Pro malé a střední podniky je však jeho komplexnost a složitost příliš vysoká. I střední podniky však mohou z této metodiky profitovat, pokud si např. nechají provést audit pomocí metodiky COBIT od firmy specializované na ICT poradenství.
35
44
Shrnutí Metodika COBIT má oproti ITIL jednu zdánlivou výhodu – téměř
všechny základní publikace jsou k dispozici volně ke stažení na Internetu. Metodika ITIL je taktéž otevřená veřejnosti, ale ve formě publikací, které je třeba zakoupit. Rozdíl obou metodik je však v počátečním směru jejich vývoje. COBIT je dílem několika profesionálních auditorských firem a do praxe vešel až po jeho důkladné teoretické definici. Pokud není osoba do metodiky COBIT plně zaškolena, je pro ni pojetí procesů podle COBIT méně čitelné a přehledné než procesy podle ITIL Naopak metodika ITIL vzešla z praxe a je odvozena od postupů Best Practices. Její jazyk považován za přehlednější a snadněji pochopitelný než jazyk metodiky COBIT [60]. Metodika COBIT je rozšířena především na amerických kontinentech, metodika ITIL naopak především v Evropě. 35
45