Bankovní institut vysoká škola Katedra matematiky, statistiky a informačních technologií
Návrh metodiky a tvorba PC úloh k procvičení COBITu Diplomová práce
Autor:
Bc. Petr Čermák Studijní obor Informatika a management
Vedoucí práce:
Praha
Ing. Lubomír Jankových, CSc.
duben 2013
Prohlášení: Prohlašuji, že jsem diplomovou práci zpracoval samostatně a v seznamu uvedl veškerou použitou literaturu. Svým podpisem stvrzuji, že odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, že se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.
V Praze dne:
Petr Čermák
Tímto bych chtěl poděkovat Ing. Lubomíru Jankových, CSc. za odborné vedení a cenné rady při vypracování této diplomové práce.
Anotace Práce seznamuje s metodikami COBIT 4.1 a COBIT 5 a dalšími praktikami IT Governance. Praktická část obsahuje šest příkladů, zaměřených na práci studenta vysoké školy, ve kterých je student veden, aby si osvojil základní postupy metodiky COBIT. Vytvořené příklady tvoří přílohu práce, aby se dala použít jako samostatná cvičebnice pro vysokoškolské studenty. Klíčová slova: COBIT 4.1, COBIT 5, IT Governance, IT management
Annotation The thesis introduces the reader to the methods of COBIT 4.1 and COBIT 5 and other practices of IT Governance. The practical part contains six examples, focused on the work of an undergraduate in which the student is lead to acquire the basic procedures of COBIT methodology. Created examples constitutes an appendix of this thesis for use as a separate workbook for undergraduates. Keywords: COBIT 4.1, COBIT 5, IT Governance, IT management
Obsah Úvod .....................................................................................................................................6 1.
Historie a vývoj metodik k řízení IT ..........................................................................10
1.1
IT Governance ........................................................................................................10
1.2
ITIL.........................................................................................................................10
1.3
Metodika COBIT a její historický vývoj ................................................................10
2.
Metodika COBIT 4.1 ..................................................................................................13
2.1
Co tvoří COBIT 4.1 ................................................................................................13
2.2
Základní principy COBIT 4.1.................................................................................13
2.3
Kontrolní cíle procesů ............................................................................................16
2.4
RACI matice ...........................................................................................................19
2.5
Modely zralosti (Maturity models) .........................................................................20
3.
Metodika COBIT 5 a změny oproti verzi 4.1. ............................................................23
3.1
Základní pojmy a filosofie metodiky COBIT 5......................................................24
3.2
Principy metodiky COBIT 5 ..................................................................................25
3.3
Enablery ..................................................................................................................29
3.4
Procesy COBIT 5 ...................................................................................................32
3.5
Hodnocení procesů v metodice COBIT 5 ..............................................................34
3.6
Náklady na pořízení publikací metodiky COBIT 5 ................................................35
4.
Příklady COBIT..........................................................................................................36
4.1
Příklad 1..................................................................................................................38
4.2
Příklad 2..................................................................................................................38
4.3
Příklad 3..................................................................................................................38
4.4
Příklad 4..................................................................................................................38
4.5
Příklad 5..................................................................................................................38
4.6
Příklad 6..................................................................................................................38
Závěr ...................................................................................................................................39 Seznam použité literatury ...................................................................................................41 Seznam použitých zkratek ..................................................................................................43 Seznam příloh .....................................................................................................................44 Příloha A – Cvičebnice úloh k procvičení metodiky COBIT ...............................................1 Příloha B – Klíč řešení úloh k procvičení metodiky COBIT ...............................................1
5
Úvod Metodika COBIT se čím dál tím více stává oblíbenou mezi firmami napříč podnikatelským spektrem. Metodika COBIT představuje jakýsi sjednocující prvek, pomocí kterého mohou firmy hodnotit úroveň svých procesů a také jakýsi všeobecný návod jakým směrem se vydat při řešení obvyklých problémů s provozem informačních systémů, kterému všechny firmy v aktuálních tržních podmínkách čelí. Ať už se jedná o problémy správné definice vedoucích pracovních rolí nebo o prostý základní seznam kroků, které by měly být při implementaci konkrétních procesů dodrženy, je metodika COBIT v dnešní době nepostradatelným pomocníkem pro firmy jakékoliv velikosti. Metodika COBIT ve verzi 4.1 je zaměřena výhradně na IT sféru podniku, protože informační technologie jsou dnes pro podnik naprosto kriticky důležitou součástí, na kterou se musí bezvýhradně spolehnout. O to více je zavedení těchto technologií do firem a jejich provoz nutno správně manažersky ošetřit s důrazem na celkovou strategii firmy a další důležité aspekty vedení každého podniku. K těmto cílům má dopomoci právě metodika COBIT.
Svým zaměřením je metodika určena zejména
nejvyššímu vedení firem a představuje základní a celosvětově přijímaný rámec tzv. „IT Governance“. V současnosti byla představena další verze metodiky COBIT 5 (vydána v dubnu 2012), která pokračuje v integraci s dalšími metodikami pro řízení podniku a již se zajímá o firmu celistvě tedy nejen z pohledu IT procesů. Nová metodika COBIT 5 ještě dnes při vytváření této diplomové práce není zcela vydána, ale veškeré procesy a základní postupy metodiky COBIT 5 srovnatelné s metodikou COBIT 4.1 jsou již známy dnes. Předmět „Správa a řízení informačních systémů“, který je vyučován na vysoké škole Bankovní Institut Vysoká Škola (BIVŠ), se v rámci bakalářského studijního programu primárně zajímá o metodiky typu COBIT a snaží se studenty s nimi seznámit. Proto je hlavním cílem diplomové práce vytvoření úloh k procvičení postupů metodiky COBIT 4.1 a COBIT 5 pro předmět „Správa a řízení informačních systémů“. U metodiky COBIT 5 se jedná pouze o základní seznámení, protože metodika COBIT 5 není v dnešní době ještě kompletní a bude trvat ještě několik let, až tato nová metodika nahradí dnes velmi rozšířenou metodiku COBIT 4.1. Pro přípravu studentů na praxi je tedy metodika COBIT 4.1 použitelnější a z tohoto důvodu se na verzi COBIT 4.1 klade v příkladech pro studenty větší důraz. Úlohy pro studenty jsou organizovány do celkem šesti příkladů. Každý příklad by měl časově pokrýt dobu trvání 2 výukových hodin, tj. 90 minut. První čtyři příklady jsou zaměřeny 6
na práci s metodikou COBIT 4.1, zbylé dva příklady jsou pak zaměřeny na základy práce s metodikou COBIT 5. Pro potřeby dalšího užití těchto příkladů byly příklady zpracovány tak, že na konci této diplomové práce byla vytvořena Příloha A, která tvoří ucelenou cvičebnici COBITu obsahující všech šest příkladů ve formátu, ve kterém je lze poskytnout studentům. Tato cvičebnice (Příloha A) je tedy výsledkem autorova tvůrčího přístupu k problematice výuky metodiky COBIT a jako taková tvoří nedílnou součást této diplomové práce. Další příloha této diplomové práce pak obsahuje klíč k řešení úloh. Klíč správných řešení je z praktických důvodů dostupný pouze na elektronickém médiu a je opatřen heslem, aby se zamezilo přístupu studentů k výsledkům těchto úloh. Pro zavedení těchto příkladů do výuky je prakticky nutná dostupnost publikací COBIT 4.1 a COBIT 5 pro studenty i pro lektora tohoto předmětu. Tyto publikace jsou v této práci nazývány materiály. Úlohy počítají s tím, že studenti mají tyto materiály k dispozici. Příklady pro studenty jsou koncipovány tak, aby bylo jasné, jaké části (jaké strany) materiálů COBIT jsou potřebné pro provedení jednotlivých úloh. Tyto části se ale nedají poskytnout veřejnosti obecně, bez souhlasu organizace ISACA, která je vlastníkem autorských práv. Tato práce staví na skutečnosti, že organizace ISACA v rámci své činnosti nabízí tzv. Akademické členství vysokým školám, aby umožnila studentům a učitelům seznámit se s obsahem vyvíjených metodik ISACA, mezi něž metodika COBIT patří, a na skutečnosti, že BIVŠ je počínaje rokem 2013 prvním akademickým členem organizace ISACA v ČR, takže příslušné materiály poskytnout studentům v rámci výuky může. Téma IT Governance a s ním související metodika COBIT je pochopitelně velice dobře známa odborníkům na IT a auditorům, kteří jí využívají k provedení IT auditu. Bohužel dostupné informační zdroje se dost často omezují pouze na základní informace. Pro obecné potřeby jsou publikace COBIT od organizace ISACA k dispozici, ale praktické implementace procesů podle metodiky COBIT jsou samozřejmě velice přísně střeženým obchodním tajemstvím jednotlivých podniků. V podmínkách České republiky je situace ještě o to složitější, že materiály v českém jazyce prakticky neexistují a omezují se na několik obecných odstavců na velmi úzce zaměřených internetových zdrojích. Je to pochopitelné, protože implementace COBIT je velice nákladná záležitost. Nejedná se pouze o cenu základních publikací COBIT, ale spíše o cenu odborníků, které firma musí buď nalézt na trhu práce, nebo si přímo nějaké odborníky vychovat. Dále pak se jedná o cenu rozsáhlých podnikových změn, které musí být pro implementaci procesů na patřičné úrovni provedeny. Vše popsané
7
je značně nákladné a každý podnik, který pracuje s metodikou COBIT a tyto náklady vynaložil, nebude seznamovat ostatní konkurenční firmy s výsledky svojí práce „zadarmo“. Proto je důležité si uvědomit, že pro plnohodnotnou práci s metodikou COBIT je třeba dobře ovládat základy anglického jazyka a osvojit si základní ekonomické termíny a ustálená slovní spojení. Některé termíny jako například „Governance“ nebo „Framework“ jsou velice obtížně přeložitelné do češtiny, protože čeština nemá odpovídající termín, který by přesně vystihoval obsah těchto slov. Pokud se bavíme o pojmu „governance“ a o pojmu „management“, pocitově tušíme, že u termínu „governance“ se jedná o „vedení“ (nejvyšší stupeň řízení firmy – z pozic vlastníků, představenstva, aj.) a u termínu „management“ o „řízení“ tedy o management podniku, který se zodpovídá právě vedení. Pojem „vedení“ ovšem je v češtině širší a proto zavádějící. Pod pojmem „vedení“ si totiž můžeme představit i normálního vedoucího prodeje pobočky nebo personálního ředitele a to je právě výkladový problém, protože v angličtině je pojem governance a management striktně oddělen a tyto oblasti se nijak nepřekrývají. Proto se v této diplomové práci budou často objevovat pojmy v jejich anglickém znění, aby nedocházelo k výkladovým nejasnostem.
8
Zvolené metody zpracování Při vytváření úloh pro studenty práce čerpá z publikací IT Governance institute (ITGI) pro COBIT 4.1 [3], [4] a z publikací ISACA pro COBIT 5 [2], [1]. Práce také vychází z praktických zkušeností získaných v autorově zaměstnání. Metodika všech příkladů v této práci je vytvořena autorem zcela samostatně a jako taková v základu nečerpá ze žádného dalšího zdroje. Celá cvičebnice příkladů (v příloze A této diplomové práce) je tedy výsledkem autorova tvůrčího přístupu k problematice výuky metodiky COBIT. Dílčí úlohy jsou seskupené do šesti ucelených příkladů a tvoří přílohu A diplomové práce. Příloha B obsahuje klíč řešení úloh a existuje výhradně jako elektronická příloha, aby bylo možné zabezpečit přístup k jejím výsledkům pouze vyučujícímu. Všechny úlohy k procvičení metodiky COBIT jsou postaveny na samostatné práci studentů nebo skupin nanejvýš dvou studentů. V úlohách se často doplňují výsledky do připravených tabulek podle zadání. Student musí tedy při vypracování úlohy pracovat s určitou částí publikace COBIT a odvodit na základě dostupných informací správnou odpověď. Každá úloha v rámci příkladu má i časový údaj v minutách podle náročnosti úlohy. V každém ze šesti příkladů jsou úlohy v celkovém úhrnu 90 minut. Na začátku příkladu se používají před začátkem práce kvízové testy, které mají studentům pomoci oživit získané poznatky z předchozího již vypracovaného příkladu. Kvízové testy jsou obsaženy v příkladech č. 2 až č. 6. Každý příklad vždy končí předáním práce lektorovi. V rámci celkové koncepce příkladů je dodržována určitá hierarchie vedoucích rolí v podniku. Lektor tak vystupuje v roli CEO (Generální ředitel), který určuje a zadává úkoly. Student je pak ve většině případů v roli CIO (Ředitel divize informačních technologií). Cílem je, aby se studenti blíže seznámili s řídícími rolemi v běžném podniku a osvojili si je.
9
1. Historie a vývoj metodik k řízení IT 1.1
IT Governance
IT Governance (ITG) je určitým typem podnikového řízení, který má překonávat bariéry mezi útvary IT a vlastníky včetně exekutivy podniků [5]. Nejdůležitějším cílem IT Governance je zajistit, aby informační technologie používané v podniku podporovaly stanovenou podnikovou strategii a dlouhodobé cíle podniku. ITG zdůrazňuje fakt, že oblast IT je sice řízena vedoucím příslušné divize, ale hlavní zodpovědnost za rozvoj IT leží na statutárních orgánech a nejvyšším vedení podniku. ITG zastřešuje „IT Governance Institute“ (ITGI) [11], který byl založen v roce 1998 a vydává řadu dokumentů, jejichž cílem je pomoci podnikům při zavádění a prosazování ITG. ITG se zaměřuje na zvyšování hodnoty podnikatelských procesů pomocí IT a omezování rizik spojených s pořízením a provozem IT. IT Governance Institute je úzce spjata s organizací ISACA (Information Systems Audit and Control Association) [8], která zastřešuje další organizace zabývající se auditem a ITG. 1.2
ITIL
Spolu s IT Governance existuje historicky starší metodika a tou je právě ITIL (IT Infrastructure Library) [12]. ITIL poskytuje metodický rámec pro správu IT služeb a je svým zaměřením určen pro úroveň operativního IT managementu podniku, čímž se liší od metodiky COBIT. Dokument s názvem ITIL byl poprvé vydán v roce 1989. [12] Existují tabulky, které mapují procesy ITIL na procesy COBIT, a lze tedy používat obě metodiky v jednom podniku současně. Tato diplomová práce se metodikou ITIL blíže nezabývá a zmínka o ní je zde pouze z důvodu historického kontextu vývoje metodik pro řízení IT. 1.3
Metodika COBIT a její historický vývoj
Principy, zásady a postupy ITG reprezentuje metodika COBIT, která je uceleným a veřejně dostupným metodickým rámcem, tzv. „frameworkem“, který formuluje doporučení pro implementace IT procesů a jejich kontrolních cílů a metrik na bázi tzv. „best practices“. Z ITG vychází také princip hodnocení zralosti procesů. COBIT (Control Objectives for Information and related Technology) je ucelený volně dostupný metodický rámec tzv. „framework“, který přináší komplexní pohled na IT procesy, postupy jejich hodnocení a celkovou provázanost na podnikovou strategii. Volně dostupný
10
framework znamená, že každý podnik si může zakoupit publikace COBIT od organizace ISACA a může tento framework neomezeně využívat. První verze metodiky COBIT (verze 1) vznikla v roce 1996 a byla vydána organizací ISACA. Byla určena především pro provádění auditu zaměřeného na podnikové informační technologie. Každá vyšší verze přinesla implementaci dalších potřebných součástí jako například manažerské postupy, auditní postupy, implementační nástroje a další (viz obrázek č. 1).
Obrázek 1 – Vývoj metodik COBIT v čase (zdroj ISACA [9])
Verze COBIT 2 až COBIT 4.1 byly vydány organizací ITGI, ale poslední verze metodiky COBIT 5 vyšla již opět pod hlavičkou organizace ISACA a organizace ITGI je v publikacích zmíněna jako spolutvůrce. V současné době je nejvíce rozšířena metodika COBIT verze 4.1. První publikace metodiky COBIT verze 5 byly vydány teprve v dubnu 2012, a proto zatím není tato verze příliš rozšířena. Obecně lze říci, že nasazování nových verzí metodik v podnicích je spíše pomalé a již nasazené metodiky mají poměrně velkou dobu „setrvačnosti“. Podniky investující do implementace těchto metodik chtějí své investice využít maximálně a po co nejdelší dobu. Argumentem pro přechod na novou metodiku je například chybějící popis některých procesů ve starší verzi metodiky nebo zcela nové a potřebné postupy. Všechny publikace metodiky COBIT 5 zřejmě budou plně vydány až ve 3. čtvrtletí roku 2013. Až tedy v závěru roku 2013 bude možné plně využít všechny nabízené možnosti nové metodiky COBIT 5. Podle názoru autora bude metodika COBIT 4.1
11
ještě minimálně 5 let stále v praxi hojně používaná, proto nehrozí, že by studenti v rámci úloh v příkladech této práce studovali tuto poněkud starší metodiku zbytečně.
12
2. Metodika COBIT 4.1 2.1
Co tvoří COBIT 4.1
COBIT ve verzi 4.1 představuje jako základ jeden ucelený PDF dokument [3] o rozsahu přibližne 200 stran. Skládá se z těchto částí: Executive Overview (manažerské shrnutí): souhrn účelu COBIT pro vedoucí pracovníky. COBIT Framework: popis metodiky COBIT a způsobu jejího používání. Popis 34 procesů, strukturovaný do odstavců: o Process Description: popis cíle a účelu procesu o Control Objectives: kontrolní cíle daného procesu o Management Guidelines: definice provázanosti ostatních procesů (vstupy, výstupy), seznam klíčových aktivit procesu a funkčních rolí v tzv. RACI matici, dílčí cíle a metriky procesu. o Maturity Model: model zralosti každého procesu pro obecné a porovnatelné hodnocení úrovně jejich implementace. Přílohy: obsahují tabulky pro mapování Business cílů na IT cíle a z nich na vlastní IT procesy, dále postup, jak převést popsané IT procesy z dřívější verze COBIT (3rd Edition), slovník používaných pojmů, vazby na podobné produkty a další. Dalšími dokumenty tohoto rámce jsou například Val IT (pro podporu řízení investic), Risk IT (pro podporu řízení rizik), Cobit Security Baseline (pro oblast řízení informační bezpečnosti), a další. Pro podporu menších podniků existuje i tzv. zjednodušená forma: Cobit Quickstart. Tato práce se nadále zabývá pro vytváření příkladů pouze základním dokumentem Cobit 4.1 popsaným výše. 2.2
Základní principy COBIT 4.1
2.2.1 Pět klíčových oblastí IT Governance formulovaných v metodice COBIT 4.1 (viz obr. 2): Propojení strategií (Strategic Alignment): vychází z předpokladu, že podmínkou pro generování přidané hodnoty pomocí informačních technologií je soulad mezi 13
investicemi do IS/IT a strategií podniku1. Jedná se tedy o proces harmonizace IT strategie a business strategie.
Obrázek 2 – Klíčové oblasti IT Governance (převzato z publikace COBIT 4.1 [3])
Generování hodnot (Value delivery): hlavními hodnotami, co se týče podnikových informačních technologií, je včasné dodání IS/IT, dodržení rozpočtu a dosažení přínosů, se kterými se počítalo1. Řízení rizik (Risk Management): při implementaci nových informačních technologií vznikají i technologická rizika1. Tato rizika lze řídit definováním politiky pro jejich řízení, definováním jasných odpovědností a vnitřního kontrolního systému podniku. Řízení zdrojů (Resource Management): zdůrazňuje potřebu řízení podnikových IT zdrojů, zejména hodnocení a řízení dodavatelů podnikového IT. Měření a realizace (Performance Measurement): jedná se o měření a realizace IT/IS v podniku. V rámci governance přístupů se při měření doporučuje používat metodu BSC (Balanced Scorecards).2 Každá tato klíčová oblast by měla být podle IT Governance řízena tzv. Stakeholder3 value, neboli hodnotou, kterou daná oblast představuje pro zainteresované osoby v podniku.
1
Svatá, V., Audit Informačního systému [5], kapitola 3.1 Větší důraz na metodu BSC (Balanced Scorecard) přináší až metodika COBIT ve verzi 5. 3 Termín „Stakeholder“ označuje obecně jakoukoliv osobu, která má vztah k podniku a nějakým způsobem ho ovlivňuje. Patří sem například vlastníci, vedoucí pracovníci, zaměstnanci, dodavatelé, zákazníci, stát, aj. 2
14
2.2.2 Kostka COBIT Další velice významnou pomůckou pro osvětlení vztahů mezi podnikatelskými (business) požadavky, IT zdroji a IT procesy je tzv. Kostka COBIT (viz obr. 3)
Obrázek 3 – Kostka COBIT (převzato z publikace COBIT 4.1 [3])
Pomocí IT zdrojů se vytvářejí IT procesy a tyto IT procesy musí být v souladu s podnikatelskými požadavky každého podniku. V popisu každého procesu [3] lze nalézt typ IT zdroje, kterého se proces týká, a jaký podnikatelský požadavek je procesem uspokojován. IT procesy (IT Processes) COBIT 4.1 obsahuje celkem 34 procesů, ve 4 doménách. Jednotlivé domény přestavují: PO: Plánování a organizace (Plan and Organise) – obsahuje celkem 10 procesů. AI: Akvizice a implementace (Acquire and Implement) – obsahuje celkem 7 procesů. DS: Dodávka a podpora (Deliver and Support) – obsahuje celkem 13 procesů. MI: Sledování a hodnocení (Monitor and Evaluate) – obsahuje celkem 4 procesy. IT zdroje (IT Resources) COBIT 4.1 definuje tyto IT zdroje (pravá hrana kostky COBIT): aplikace, informace, infrastruktura a lidé. Tyto zdroje představují obecné IT činitele podniku (nástroje), pomocí
15
kterých se uskutečňují všechny IT podnikové procesy. Bez jejich existence by nebyl žádný IT proces možný. Podnikatelské požadavky (Business Requirements) COBIT 4.1 definuje tyto podnikatelské požadavky na IT procesy (vrchní hrana kostky COBIT): efektivnost, výkonnost, důvěryhodnost, integrita, dostupnost, shoda a spolehlivost1. Jedná se o obecné podnikatelské požadavky podniku, které se týkají jak podnikových informačních technologií, tak i všech dalších oblastí aktivit podniku. 2.3
Kontrolní cíle procesů
Kontrolní cíle procesů a metriky tvoří největší „detail“ pohledu na IT proces v metodice COBIT 4.1. Kontrolní cíle pomáhají rozdělit implementaci určitého IT procesu na co nejmenší oddělitelné celky, které mohou být libovolně implementovány podle potřeb konkrétní organizace, která tyto procesy zavádí. Pomocí metrik pak lze ověřit dosažení těchto cílů. Metrikou je myšlena určitá kvantifikovaná hodnota (často číselná nebo poměrová), která odráží informaci o aktuálním stavu daného sledovaného cíle v podniku. 2.3.1 Obecné kontrolní cíle V metodice COBIT ještě existují obecné cíle procesů, které doplňují specifické kontrolní cíle1. Tyto obecné cíle procesů (PC – Process Control) jsou společné pro všechny procesy. Jedná se celkem o 6 obecných cílů: PC1 Cíle procesů (Process Goals and Objectives) PC2 Vlastnictví procesu (Process Ownership) PC3 Opakovatelnost procesu (Process Repeatability) PC4 Role a odpovědnosti (Roles and Procedures) PC5 Politiky, plány a procedury (Policy, Plans and Procedures) PC6 Zlepšování realizace procesu (Process Performance Improvement)
1
Svatá, V., Audit Informačního systému [5], kapitola 4.2.2.
16
2.3.2 Specifické kontrolní cíle Každý popis procesu v metodice COBIT obsahuje tzv. kontrolní cíle procesu1. Tyto kontrolní cíle procesů jsou specifické pro každý proces; identifikují se podobně jako proces, tedy počátečními písmeny domény, číslem procesu a dále za tečkou číslem kontrolního cíle (např. kontrolní cíl procesu AI5 „Procurement Control“ má označení AI5.1). Dohromady představují kompletní sadu požadavků, které by měly zajistit efektivní kontrolu daného procesu1. Dále rozeznáváme v rámci metodiky COBIT 4.1 tyto další cíle, které se váží ke specifickým kontrolním cílům: Podnikatelské cíle (Business Goals) IT cíle (IT Goals) Cíle IT procesů (Process Goals – označované pouze jako “Process”) Cíle IT aktivit (Activity Goals – označované pouze jako “Activity”) Priority (úrovně) těchto cílů jsou definovány ve stejném pořadí, jako byly sepsány výše. Nejvyšší prioritu mají podnikatelské cíle, které jsou nadřazeny IT cílům. IT cíle zase jsou nadřízeny cílům IT procesů atd. 2.3.3 Metriky a jejich vztah k cílům V metodice COBIT 4.1 jsou také u každého popsaného IT procesu zaneseny potřebné metriky2, pomocí kterých lze “měřit” dosažení určitého vytyčeného cíle. Metriky obecně mohou být kvantitativní vyjádření reálného stavu v podniku. U každé metriky je třeba správně rozhodnout o významu její hodnoty. Některé metriky jsou tím lepší, čím jsou vyšší (například celkové ušetřené náklady), a jiné zase jsou tím lepší, čím jsou nižší (například počty sporů s dodavateli), je tedy třeba i správně rozhodnout o praktickém významu těchto hodnot. Obecně rozeznáváme dva druhy metrik: prováděcí metriky a výstupní metriky. Metriky mají úzký vztah k cílům procesů. Tyto vztahy lze nalézt v popisu u každého procesu v sekci Goals and Metrics3.
1
Svatá, V., Audit Informačního systému [5], kapitola 4.2.2. Publikace COBIT 4.1 [3], popis metrik lze nalézt např. u procesu AI5 na straně č. 91 „Goals and Metrics“. 3 Publikace COBIT 4.1 [3], popis metrik procesu AI5 na straně č. 91. 2
17
Výstupní metriky (Outcome measure) odpovídají na otázku: „Jak mohu dosažení daného cíle měřit?“. Například metrika z procesu AI51 „Počet sporů spojených s dodavatelskými smlouvami“ (Number of disputes related to procurements contracts) může částečně určovat úroveň splnění IT cíle procesu AI5 „Zavedení a udržování integrovaných a standardizovaných aplikačních systémů“ (Acquire and maintain integrated and standardised application systems). Výstupní metrika odpovídá na otázku: „Jak mohu dosažení daného cíle měřit?“. Prováděcí metriky (Performance indicators) označovány jako „drive“1, jsou výstupními metrikami pro dosažení cíle nižší úrovně. Metodika COBIT tuto dvouznačnost metodik zobrazuje pomocí diagramu šipkou „drive“ (viz obr. 4). Prováděcí metrika odpovídá na otázku: „Jak mohu dosáhnout splnění cílů vyšší úrovně?“. Z popsaného vyplývá, že jedna výstupní metrika cíle nižší úrovně je současně i prováděcí metrikou cíle vyšší úrovně. Metodika COBIT tedy není pouze seznamem cílů a postupů, jak dosažení cílů měřit pomocí definovaných metrik, ale dává i jasný návod, jak ke splnění cílů dospět. Naznačené cíle a způsoby měření jejich dosažení nelze brát absolutisticky. Jedná se pouze o doporučení a nasměrování uvažování manažerů a nejvyššího vedení podniku správným směrem. Každý podnik je jiný, a proto v praxi dochází u zavedených procesů ke značnému rozšíření a změnám definovaných cílů včetně postupů jejich měření. Díky tomu často vzniká i konflikt mezi různými odborníky, kteří COBIT spíše než jako metodiku označují jako „best practises“ (nejlepší praxe). Obecně se ale COBIT nazývá metodikou, protože je vytvořena s úsilím, aby byla maximálně univerzálně použitelná1.
1
Svatá, V., Audit Informačního systému [5], kapitola 4.2.2.
18
Obrázek 4 – Metriky a cíle procesu AI5 (převzato z publikace COBIT 4.1 [3])
2.4
RACI matice
Pro nastavení správné organizace při implementaci a udržování vybraného IT procesu konkrétně k identifikaci rolí vedoucích pracovníků a s nimi spojených aktivit slouží RACI matice. Každá aktivita procesu má určitý vztah k lidem vystupujícím v některých z pěti pracovních rolí označených v RACI matici takto: Nevyplněné (vztah mezi aktivitou a rolí každého zúčastněného není určen nebo není pro aktivitu významný) R – responsible (role má u aktivity odpovědnost za provedení) A – accountable (role má u aktivity právní odpovědnost a rozhoduje) C – consulted (aktivita se s pracovníkem v roli „C“ konzultuje a pracovník v roli „C“ má právo navrhovat změny) I – informed (pracovník v roli „I“ je o dané aktivitě pouze informován) Tabulka vztahů mezi aktivitami a podnikovými rolemi může nabývat hodnot R-A-C-I a od toho je odvozen i název RACI matice. Její podoba je zobrazena v obrázku č. 5.
19
Obrázek 5 – RACI matice procesu AI5 (převzato z publikace COBIT 4.11)
2.5
Modely zralosti (Maturity models)
Popis každého procesu uzavírá model zralosti procesu, který se skládá ze 6 úrovní. Úrovně zralosti jsou popsány pro každý IT proces odlišně, aby bylo možné vystihnout rozdíly mezi jednotlivými procesy a jejich zaměřením. Úrovně zralosti se používají při hodnocení procesů při IT auditech. Úrovně zralosti jsou také způsobem, kterým lze porovnávat procesy mezi více podniky. Cílem implementace procesů v podniku není nutně dosažení nejvyššího stupně zralosti, ale dosažení optimální úrovně implementace procesu, který podniku vyhovuje v rámci podnikové strategie. Závisí většinou na strategických cílech podniku pro IT oblast, na rovnováze mezi náklady a výnosy a také na míře rizika a zajištění souladu daného procesu s existující legislativou a dalšími normami2. Pro vysvětlení úrovní zralostí použijeme jako příklad definici úrovní zralosti procesu AI5 „Zajištění IT zdrojů“ z publikace COBIT 4.11: Úroveň zralosti 0 – Neexistující Není definován žádný proces zajištění IT zdrojů. Podnik necítí potřebu mít jasně definované postupy a předpisy, aby se mohl ujistit, že IT zdroje (dodávky IT služeb) jsou dostupné včas a za přijatelných nákladů.
1 2
Publikace COBIT 4.1 [3], popis procesu AI5 str. 89 – 92. Svatá, V., Audit Informačního systému [5], str. 89
20
Úroveň zralosti 1 – Počáteční (ad hoc) Podnik cítí potřebu mít definované postupy a předpisy pro zajištění IT zdrojů, které se váží na obecné postupy podniku při zajištění jakýchkoliv zdrojů. Konkrétní případy zajištění IT zdrojů jsou vytvářeny a řízeny projektovými manažery nebo dalšími jednotlivci, kteří více věří svému vlastnímu osobnímu úsudku, než doporučením vyplývajících ze stanovených předpisů podniku. Spojitost mezi obecným zajištěním zdrojů podniku, uzavíráním dodavatelských smluv a zajištěním IT zdrojů je pouze náhodná. Dodavatelské smlouvy jsou uzavírány na základě výsledků konkrétních projektů, a nelze je tedy jednoduše vzorově opakovat. Úroveň zralosti 2 – Opakovaná, ale intuitivní Podnik si uvědomuje potřebu mít definovány základní interní předpisy a postupy zajištění IT zdrojů. Předpisy a postupy jsou částečně začleněny do celopodnikového procesu zajištění zdrojů. Předpisy a postupy zajištění jsou hlavně používány pro velké a výrazné projekty. Odpovědnosti a rozhodování o IT dodávkách a smluvních pravidlech jsou určovány podle osobních zkušeností jednotlivých řídících pracovníků. Důležitost konzistentního řízení dodavatelských vztahů je rozpoznána, ale je založena pouze na iniciativě jednotlivců. Proces uzavření smlouvy s dodavatelem je opakovatelný pouze u velkých a výrazných projektů. Úroveň zralosti 3 - Definovaná Vedení podniku ustavilo předpisy a postupy pro zajištění IT zdrojů. Předpisy a postupy jsou vytvořeny ve shodě s předpisy a postupy zajištění ostatních zdrojů v podniku. Zajištění IT zdrojů je řešeno v rámci všeobecných podnikových procesů zajištění zdrojů. Existují podnikové standardy pro zajištění IT zdrojů. Dodavatelé IT jsou přímo začleněni do podnikového řízení projektů dodávek a dodavatelé se účastní i procesu definice smluvních podmínek. Vedoucí IT divizí používají k řádnému zajištění IT zdrojů a uzavírání smluv IT technologie. Úroveň zralosti 4 – Řízená a měřená Zajištění IT zdrojů je plně začleněno se všemi podnikovými procesy zajištění zdrojů. IT standardy pro zajištění IT zdrojů jsou používány pro veškeré zajištění zdrojů podniku. Údaje získané z projektů uzavírání smluv a zajištění zdrojů jsou odpovídající i pro obchodní případy zajištění IT zdrojů. Jsou dostupné informace o zajištění IT zdrojů, které podporují podnikové cíle. Management si je obvykle vědom procesů, které neodpovídají předpisům zajištění IT 21
zdrojů. Podnik buduje strategické řízení dodavatelských vztahů. Vedoucí IT divizí dbají na dodržování předpisů a postupů pro zajištění IT zdrojů prostřednictvím měřitelných výstupů těchto procesů. Úroveň zralosti 5 - Optimalizovaná Vedení ustavuje zajištění všech podnikových zdrojů používáním procesů pro zajištění IT zdrojů. Vedení dbá na dodržování shody s předpisy a postupy pro zajištění IT zdrojů. Údaje získané z procesu řízení uzavírání smluv a zajištění zdrojů jsou odpovídající i pro obchodní případy zajištění IT zdrojů. Dlouhodobě je dbáno na kvalitu a dobré vztahy s dodavateli a ostatními partnery. Kvalita a úroveň těchto vztahů je pravidelně měřena a vyhodnocována. Vztahy s dodavateli jsou součástí podnikové strategie. IT standardy, předpisy a postupy pro zajištění IT zdrojů jsou součástí strategického řízení a jsou měřitelné jako jakýkoliv jiný proces. Vedoucí IT divizí používají k řádnému zajištění IT zdrojů a uzavírání smluv IT technologie a považují zajištění zdrojů za strategicky důležité.
22
3. Metodika COBIT 5 a změny oproti verzi 4.1. Nová metodika COBIT 5 byla zveřejněna v dubnu 2012. Oproti starší verzi (COBIT 4.1) mění celkově organizaci metodiky. V nové verzi je více důrazu kladeno na potřeby tzv. Stakeholder needs, což znamená, že metodika se primárně řídí potřebami všech možných zúčastněných osob, které mají význam pro podnik, tedy i externími subjekty, jakými jsou například dodavatelé. Stávající vztahy mezi podnikatelskými požadavky, IT zdroji a IT procesy (tzv. kostka COBIT) byly přepracovány pomocí tzv. 5 principů COBIT 5. IT zdroje (aplikace, informace, infrastruktura a lidé) byly nahrazeny tzv. enablery1. Při vytváření popisů IT procesů i tabulek IT cílů a podnikatelských cílů bylo použito třídění pomocí BSC dimenzí, které bylo ve verzi 4.1 metodiky COBIT viditelně použito pouze při třídění podnikatelských cílů. Metodika COBIT 5 v sobě sdružuje dříve oddělené metodiky pro hodnocení a řízení IT investic (Val IT) a pro hodnocení a řízení IT rizik (Risk IT). Verze 5 obsahuje odkazy i na jiné metodiky (tzv. Related Guidance), například ITIL V3, ISO/IEC 20000, aj. Primárně metodika COBIT 5 již není zaměřena pouze na IT sféru, ale obsahuje i procesy týkající se podnikového řízení obecně, tedy i dalších důležitých podnikových procesů. Metodika COBIT 5 se skládá ze sedmi základních publikací2: COBIT 5: A Business Framework for the Governance and Management of Enterprise IT [2]. Jedná se o základní kompletní popis Frameworku COBIT 5. COBIT 5: Enabling Processes [1]. Zde nalezneme popisy všech podporovaných podnikových procesů, převodní vztahy mezi procesy COBIT 4.1, COBIT 5 a seznam podnikatelských cílů a IT cílů v členění dle dimenzí BSC. COBIT 5: Implementation. Jedná se o praktickou publikaci, která je obecným návodem k implementaci metodiky COBIT 5. COBIT 5: For Information Security. Publikace umožňuje zavedení postupů zabezpečení podnikových informací. 1
Enabler znamená v pojetí COBIT 5 doslova „umožňovatel“ nebo „pomahač“. Díky enablerům se mohou uskutečňovat procesy a jsou tedy náhradou za tzv. IT zdroje z předchozí metodiky COBIT 4.1. 2 Čerpáno z oficiálních internetových stránek organizace ISACA, viz [10].
23
COBIT 5: Enabling Information. Publikace je plánována k vydání v průběhu 2. čtvrtletí 2013. Měla by popisovat podporu řízení podnikových informací. COBIT 5: For Risk. Publikace je plánována k vydání v průběhu 3. čtvrtletí 2013. Měla by přinést detailní postup pro řízení rizik. COBIT 5: For Assurance. Publikace má plánované vydání v 2. čtvrtletí 2013 a má přinést kompletní podporu auditu firemního IT. Dále u metodiky COBIT 5 existují i doprovodné publikace, které mají pomáhat dalším osobám pracujícím s metodikou COBIT šířeji, zejména auditorům: COBIT 5: Process Assessment Model (PAM): Using COBIT 5. Model pro hodnocení podnikových procesů. COBIT 5: Self-Assesment Guide: Using COBIT 5. Publikace pro interní audit. COBIT 5: Assessor Guide: Using COBIT 5. Publikace pro externí auditory. 3.1
Základní pojmy a filosofie metodiky COBIT 5
Metodika COBIT 5 pokračuje stejně jako starší verze v implementaci myšlenek IT Governance. Vychází tedy z toho, že informace jsou klíčové aktivum pro jakýkoliv druh podniku. Práce s informacemi si v dnešní době vyžaduje používání vysoce specializovaných a složitých technologií, kterým detailně rozumí pouze IT odborníci, a nikoliv vedení podniku a vrcholoví manažeři. IT technologie tedy hrají v podniku zcela klíčovou roli při práci s informacemi a zasahují tak prakticky do všech aspektů existence podniku. Správně implementované procesy získání a správy informací umožňují zajišťování podkladů pro obchodní rozhodování, generování přidané hodnoty z IT investic a dosahování strategických cílů, včetně realizace podnikatelských přínosů prostřednictvím efektivního a inovativního využití IT technologií. Metodika COBIT 5 také podporuje řízení IT rizik a jejich udržení na přijatelné úrovni a optimalizaci nákladů na IT služby a IT technologie. COBIT 5 pomáhá podnikům vytvořit optimální hodnotu z jejich podnikového IT tím, že udržuje rovnováhu mezi vytvářením zisku, optimalizací úrovně podnikatelských rizik a využíváním zdrojů. COBIT 5 vytváří
24
Framework pro řízení podnikových procesů k řízení informací a s nimi spojených IT technologií, přičemž se snaží obsáhnout celé podnikání od počátku do konce1. Stakeholder Value představuje tedy přidanou hodnotu pro zúčastněné osoby. K jejímu vytvoření je třeba správné vedení a řízení IT aktiv. Nejvyšší vedení podniku (dozorčí rada, představenstvo a top management) musí dle COBIT 5 přijmout IT jako další významnou součást podniku. Neustálé zvyšování externích nároků na IT z právních, regulačních a smluvních hledisek hrozí stále většími problémy pro podnik v případě jejich nedodržení1. Základních 5 principů COBIT 5 a definované enablery jsou maximálně obecné a užitečné pro podniky jakékoliv velikosti. 3.2
Principy metodiky COBIT 5
Metodiku COBIT 5 tvoří těchto 5 principů (viz obr. 6): Uspokojování potřeb Stakeholderů (Meeting Stakeholder Needs) Pokrytí celého podnikání od začátku do konce (Covering the Enterprise End-to-End) Použití
jednotného
integrovaného
frameworku
(Aplying
Single
Integrated
Framework) Zavedení holistického (celostního) přístupu (Enabling a Holistic Approach) Oddělení vedení od managementu (Separating Governance From Management)
1
Prezentace organizace ISACA „02 COBIT 5 Introduction“, viz [6], str. 6.
25
Obrázek 6 - Pět principů metodiky COBIT 5 (převzato z publikace COBIT 5 [2])
3.2.1
Uspokojování potřeb Stakeholderů
Základním posláním podniku je uspokojování potřeb všech svých Stakeholderů1. Potřeby stakeholderů (Stakeholder needs) pramení z technologického vývoje, vlivu prostředí a dalších vlivů, které jsou označovány souhrnně jako „Stakeholder drivers“. Mezi základní cíle vedení podniku patří hlavně generování hodnot. Hodnotou se rozumí zejména dosažení zisku, optimalizace rizik nebo optimalizace nákladů. V rámci jednoho podniku existuje mnoho různých stakeholderů (např. vlastníci, zaměstnanci, dodavatelé, zákazníci, stát, aj.). Uspokojování potřeb pro všechny tyto stakeholdery vede často k protichůdným a konfliktním stavům (např. zaměstnanci chtějí drahý SW, který potřebují ke své práci, vedení chce redukovat náklady). Vedení tedy musí vyjednávat a správně rozhodnout mezi rozdílnými potřebami různých zájmových skupin. Vedení by mělo brát do úvahy všechny stakeholdery, pokud vytvářejí nějaký přínos podnikání, zajišťují zdroje nebo umožňují správné ošetření rizik. Pro každé rozhodnutí by měly být zodpovězeny otázky: Kdo na tom vydělá? Kdo nese riziko? 1
Prezentace organizace ISACA „02 COBIT 5 Introduction“, viz [6], str. 17.
26
Jaké zdroje jsou k tomu potřeba? Potřeby stakeholderů musí být transformovány do podnikatelské strategie. Podle kaskády cílů dle metodiky COBIT 5 (viz obr. 7) jsou potřeby stakeholderů převáděny na specifické, vykonatelné a přizpůsobitelné podnikatelské cíle a IT cíle. Jako poslední v této kaskádě jsou tzv. Enabler Goals (volně přeloženo - cíle pomahačů), které znázorňují, jaké enablery musíme použít pro dosažení zvolených IT cílů. Důležitý je také způsob využití těchto enablerů.
Obrázek 7 - Kaskády cílů dle metodiky COBIT 5 (převzato z publikace COBIT 5 [2])
27
3.2.2 Pokrytí celého podnikání od začátku do konce COBIT 5 řeší správu a řízení informací a s nimi svázaných technologií z pohledu celého podnikání1. COBIT 5 integruje správu podnikového IT do správy a řízení celého podniku. Všechny funkce a procesy v podnikání jsou metodikou COBIT 5 pokryty. COBIT 5 není zaměřen jen na IT funkce, ale zachází s informacemi a IT technologiemi jako s aktivy, která je třeba správně posuzovat jako všechna ostatní aktiva v podniku. 3.2.3 Použití jednotného integrovaného frameworku Metodika COBIT 5 je vytvořena s ohledem na nejnovější mezinárodní standardy a frameworky. Jedná se např. o standardy COSO, ISO/IEC 9000, ITIL, TOGAF, PMBOK/PRINCE2, CMMI a další. Pro management a vedení podniku je možné použít metodiku COBIT 5 jako hlavní podnikový framework zastřešující i ostatní standardy. Organizace ISACA plánuje v budoucnosti usnadnit 3. stranám použití metodiky COBIT 5 pomocí mapování postupů a aktivit na ostatní metodiky a frameworky2. 3.2.4 Zavedení holistického (celostního) přístupu Holistický přístup k podniku jako celku je uskutečněn pomocí nově zavedených enablerů, které nahradily (rozšířily) původní IT zdroje známé ze starší metodiky COBIT 4.1. Enablerů je celkem sedm a jsou blíže popsány v kapitole č. 3.3. 3.2.5 Oddělení IT governance od IT managementu V metodice COBIT 5 se jasně rozlišuje mezi vedením podniku (Governance - představenstvo) a řízením podniku (management v čele s generálním ředitelem). Vedení resp. management podniku řídí různé druhy činností, vyžadují odlišné organizační struktury a slouží k rozdílným účelům3, proto je nelze slučovat. Tento princip je v metodice COBIT 5 použit při definici tzv. klíčových oblastí (domén) procesů. Čtyři domény pro IT management, známé z původní verze metodiky COBIT 4.1 se rozšířily právě o 1 doménu pro oblast vedení podniku (Governance), viz obr. 8.
1
Prezentace organizace ISACA „02 COBIT 5 Introduction“, viz [6], str. 20. Prezentace organizace ISACA „02 COBIT 5 Introduction“, viz [6], str. 22. 3 Prezentace organizace ISACA „02 COBIT 5 Introduction“, viz [6], str. 28 2
28
Obrázek 8 – Referenční model procesů COBIT 5 (převzato z publikace COBIT 5 [2])
3.3
Enablery
Pojem „Enabler“ v metodice COBIT 5 přibližně odpovídá pojmu „IT zdroj“ z verze metodiky COBIT 4.1. Enabler je určitá entita, která v podniku musí být přítomná, aby jejím prostřednictvím bylo možné dosahovat strategických cílů podniku. Metodika COBIT 5 popisuje celkem 7 enablerů. Pro dosažení cílů je vždy třeba více enablerů (procesy potřebují informace, organizační struktura je úzce propojena s lidmi, jejich dovednostmi a chováním). Tento klíčový princip metodiky COBIT 5 vznikl z výzkumné práce organizace ISACA týkajícího se obchodního modelu pro informační bezpečnost (BMIS – Business Model for Information Security)1. 7 enablerů dle metodiky COBIT 5 (viz obr. 9): 1.
Principy, předpisy a frameworky (Principles, Policies and Frameworks): jsou nástroje, které pomáhají převést potřebné chování do praktických rad pro každodenní řízení podniku.
2.
Procesy (Processes): jsou organizovaným souborem praktik a aktivit, které jsou potřebné k dosažení určitých cílů a vytvářejí soubor výstupů potřebných pro dosažení všeobecných
1
Prezentace organizace ISACA „02 COBIT 5 Introduction“, viz [6], str. 23 – 26.
29
podnikových cílů. Z pohledu předchozí verze metodiky COBIT jsou tedy podnikové procesy samotným enablerem podniku. 3.
Organizační struktury (Organisational Structures): jsou klíčové k rozhodování podniku a přehledně stanovují prvky, z nichž se skládá celý zkoumaný podnik. Umožňují pochopit děje ve sledovaném podniku.
4.
Kultura, etika a chování (Culture, Ethics an Behaviour): se týká jak jednotlivců (vedení, management, zaměstnanci, aj.), tak i podniku jako celku. Je to velmi často podceňovaný faktor úspěchu při vedení a řízení podniku.
5.
Informace (Information): jsou v podniku všudypřítomné a jedná se tedy o tzv. zdrojový enabler (resources). Metodika COBIT 5 se zabývá veškerými informacemi používanými při podnikání. Informace jsou nutné pro udržení funkčního podniku i k jeho správnému řízení. Velice často jsou informace klíčovým produktem podnikání zejména na operativní úrovni.
6.
Služby, infrastruktura a aplikace (Services, Infrastucture and Applications): zahrnuje celou infrastrukturu, technologie a aplikace, které poskytují podniku zpracování informací a informační služby. Jedná se o další zdrojový enabler podniku.
7.
Lidé, dovednosti a kompetence (People, Skills and Competencies): jsou potřebné pro úspěšné dokončení všech činností, pro vytváření správných rozhodnutí a pro provedení potřebných změn. Jedná se o další ze skupiny zdrojových enablerů podniku.
30
Obrázek 9 – Enablery COBIT 5 (převzato z publikace COBIT 5 [2])
Enablery metodiky COBIT 5 mají ještě sadu dimenzí, které jsou pro všechny enablery společné. Tyto dimenze poskytují společný, jednoduchý a strukturovaný způsob určení použití enablerů. Identifikace jednotlivých dimenzí enablerů jsou předpokladem pro úspěšné využití enablerů v podniku. Jedná se o dimenze (viz obr. 10): Stakeholders: každý enabler uspokojuje určitou potřebu Stakeholderů, a proto musí být jasné, kterým stakeholderům je určen. Goals (Cíle): každý enabler je použit k dosažení určitého podnikového cíle. Metodika COBIT 5 definuje typy hlavních podnikových cílů, jako je například dosažení kvality podnikových procesů (např. relevantnost cíle v daných podmínkách podniku a jeho efektivita). Life Cycle (Životní cyklus): každý enabler je použit v určité fázi životního cyklu podnikového procesu. Jedná se o fáze: Plánování, Design, Vytvoření (Akvizice, Implementace), Použití, Sledování a Hodnocení, Aktualizace a Implementace změn. Good Practices (Nejlepší praxe): každý enabler obsahuje v sobě praktická doporučení (Practices) a odkazy na další příbuzné metodiky pro správu a řízení IT (Work Products – inputs / outputs).
31
Obrázek 10 – Dimenze enablerů metodiky COBIT 5 (převzato z publikace COBIT 5 [2])
3.4
Procesy COBIT 5
Podnikové procesy jsou v metodice COBIT 5 jedním z enablerů. Jejich implementace je popsána v samostatné publikaci COBIT 5: Enabling Processes [1]. Tato publikace obsahuje detailní referenční příručku procesů, tzv. Process Reference Model (Referenční model procesů viz obr. 8). Každý popis jednotlivého procesu v publikaci COBIT 5 obsahuje: Označení oblasti, pro kterou je proces určen: Vedení (Governance – pouze procesy domény EDM) nebo Řízení (Management – procesy domén APO, BAI, DSS, a MEA) a označením domény, do které proces patří. Tabulku IT a procesních cílů a všech s nimi spojených metrik. Standardní RACI matici s definicemi rolí u jednotlivých aktivit a významnosti tohoto vztahu1. Popis klíčových praktik managementu (Key Management Pracitce) nebo Klíčových praktik vedení (Key Governance Practice – tento popis se vyskytuje pouze u domény EDM), které byly v předchozí verzi označovány za kontrolní cíle (Control Objectives).
1
Formát RACI matice je naprosto shodný jako formát použitý u metodiky COBIT 4.1.
32
Popisy procesů neobsahují definici modelu zralosti, jako tomu bylo u předchozí verze metodiky COBIT 4.1., ale hodnocení procesů je definováno společně pro všechny procesy na základě metodiky ISO/IEC 15504 (audit IT procesů). Hodnocení procesů je blíže popsáno v kapitole 3.5. Procesy jsou (podobně jako u předchozí verze metodiky 4.1) členěny do pěti domén (klíčových oblastí), které vycházejí z životního cyklu podniku (viz obr. 8): Doména EDM (Evaluate, Direct and Monitor) – Vyhodnocení, Přikazování a Sledování Jedná se o celkem 5 procesů určených pro oblast Governance (nejvyšší vedení podniku). Procesy jsou obecně orientovány na nastavení základních pravidel dodání, minimalizace rizik, optimalizace zajištění zdrojů a jasnou definici všech stakeholderů významných pro podnik. Jedná se o zcela novou doménu procesů, která v předchozí verzi metodiky COBIT nebyla definována. Doména APO (Align, Plan and Organise) – Setřídění, Plánování a organizace Jedná se celkem o 13 procesů určených zejména pro oblast managementu týkající se plánovacích procesů. Tato doména odpovídá svým určením původní doméně PO (Plan and Organise) ze starší metodiky COBIT 4.1. Doména BAI (Build, Acquire and Implement) – Vytváření, Akvizice a Implementace Jedná se celkem o 10 procesů určených zejména pro oblast managementu týkající se akvizic a implementací. Tato doména odpovídá svým určením původní doméně AI (Acquire and Implement) ze starší metodiky COBIT 4.1. Doména DSS (Deliver, Service and Support) – Dodání, Služby a Podpora Jedná se celkem o 6 procesů určených pro oblast managementu týkající se řízení uživatelské podpory a služeb. Tato doména odpovídá svým určením původní doméně DS (Deliver and Support) ze starší metodiky COBIT 4.1.
33
Doména MEA (Monitor, Evaluate and Assess) – Sledování, Vyhodnocení a Audit Jedná se celkem o 3 procesy určené pro oblast managementu, týkající se sledování a vyhodnocování. Tato doména odpovídá svým určením původní doméně ME (Monitor and Evaluate) ze starší metodiky COBIT 4.1. Všechny domény COBIT 5 obsahují dohromady 37 procesů. 3.5
Hodnocení procesů v metodice COBIT 5
Model zralosti procesů, který byl použit u starší verze metodiky COBIT 4.1, byl v nové verzi nahrazen Modelem hodnocení procesů (Process Capability Model)1. Model hodnocení procesů je založen na normě ISO/IEC 15504, která se používá pro audit IT procesů. Díky provázanosti s touto obecnou normou by měla být zajištěna ještě větší míra porovnatelnosti úrovně implementace procesů mezi různými podniky a také by měla být známější zejména auditorium informačních systémů. Stávajících devět výkonnostních (performance) atributů normy ISO/IEC 15504 je převedeno na 5 základních úrovní hodnocení procesu (do celkového počtu úrovní se počítá i nultá úroveň, kdy proces neexistuje nebo nefunguje. Úrovní v metodice COBIT 5 je tedy celkem 6). Tento postup byl zvolen kvůli konzistenci s modelem zralosti procesů, který byl použit ve verzi metodiky COBIT 4.1 (popis modelu zralosti procesů je v kapitole 2.5). Převoditelnost hodnocení procesů z verze metodiky COBIT 4.1, je zajištěna pomocí tabulky popsané v publikaci COBIT 52. Nutným předpokladem pro hodnocení procesu vyšší úrovně je splnění podmínek všech nižších úrovní hodnocení. Úrovně hodnocení procesů v metodice COBIT 5 jsou: Level 0 - Incomplete Process (Nekompletní proces): proces není vůbec implementován nebo neslouží svému účelu. Level 1 - Performed Process (Fungující proces): proces slouží svému účelu. Funkčnost se dá ověřit výstupy tohoto procesu.
1
Publikace COBIT 5 [2], kapitola 8. Publikace COBIT 5 [2], str. 44 - Figure 20 – Comparsion Table of Maturity Levels (COBIT 4.1) and Process Capability Levels (COBIT 5). 2
34
Level 2 - Managed Process (Řízený proces): je splněna předchozí úroveň (Level 1) a proces je řízeně implementován (proces je tedy plánován, nastaven a sledován), jeho výstupy jsou kontrolovány a správně využity. Level 3 - Established Process (Stanovený proces): je splněna předchozí úroveň (Level 2), proces je definován na podnikové úrovni a je schopen dodávat požadované výstupy. Level 4 - Predictable Process (Předvídatelný proces): je splněna předchozí úroveň (Level 3) a proces funguje v rámci svých stanovených limitů k dosažení požadovaných výstupů. Level 5 - Optimising Process (Optimalizovaný proces): předchozí úroveň (Level 4) je průběžně znovu stanovována, aby bylo dosaženo vyprojektovaných podnikových cílů. 3.6
Náklady na pořízení publikací metodiky COBIT 5
Pokud můžeme čerpat z aktuálních informací na internetových stránkách organizace ISACA1, vychází
celý
soubor
v současnosti
vydaných
publikací
nejnovější
metodiky
COBIT 5 (4 publikace) na cca 500 USD. U této ceny je třeba podotknout, že v dnešní době stále nejsou vydány zbývající 3 důležité publikace COBIT 5, které mohou stát celkově okolo 500 USD a které budou vydány do konce roku 2013. Celková cena všech publikací se tedy bude pohybovat přibližně okolo 1000 USD, pokud bereme v úvahu, že publikace jsou vytištěné (elektronické verze publikací jsou obecně dražší) a daný subjekt, který metodiku kupuje, není členem organizace ISACA a publikace jsou v anglickém jazyce. Členství v organizaci ISACA předpokládá, že členové hradí pravidelné roční příspěvky a za to dostávají kromě levnějších základních publikací další benefity. Celkové náklady podniků na zavedení metodiky COBIT do praxe jsou oproti nákladům na pořízení publikací neporovnatelně vyšší, protože představují zásadní změny v organizačních strukturách a v podnikových procesech.
1
http://www.isaca.org/cobit [10].
35
4. Příklady COBIT Kapitola popisuje 6 příkladů s úlohami k procvičení postupů metodiky COBIT. Vlastní příklady jsou zpracovány ve cvičebnici, která se nachází v Příloze A. Příloha A tvoří nedílnou součást této diplomové práce a je výsledkem tvůrčího přístupu autora této práce. Náročnost i rozsah příkladů jsou zvoleny tak, aby odpovídaly šesti cvičením (á 1,5 hodiny) rozloženým do 1 semestru VŠ studia, přičemž předpokládáme, že za 1,5h cvičení za optimálních podmínek student zvládne dokončit 80% úkolů a zbylých 20% dopracuje v rámci samostudia mimo hlavní vyučovací čas. V průběhu práce na cvičení se mohou vyskytnout obtíže spojené s různou úrovní znalosti studentů, zejména co se týče schopnosti porozumět anglickým textům ve zdrojových materiálech příkladů. Proto se obecně počítá s tím, že student nezvládne vyřešit všechny úlohy v rámci jednoho cvičení a zbytek dopracuje doma v rámci samostudia. Studenti s horší úrovní znalostí anglického jazyka tak budou mít větší prostor pro lepší zvládnutí zpracování příkladů. Každý příklad od druhého příkladu výše obsahuje také na začátku kvíz pro zopakování znalostí z předchozího cvičení. Seznam příkladů a základní popis jejich obsahu: Příklad 1 Obsahuje úlohy k procvičení metodiky COBIT 4.1. Týká se vazeb obchodní cíl – IT cíl – IT proces, úlohy na procvičení IT zdrojů, informačních kritérií a IT Governance a RACI matic. Příklad 2 Obsahuje úlohy k procvičení metodiky COBIT 4.1. Týká se určování stupňů zralosti IT procesu. Příklad 3 Obsahuje úlohy k procvičení metodiky COBIT 4.1. Týká se určování obecných a kontrolních cílů IT procesu, metrik IT procesu a vstupů / výstupů konkrétního IT procesu. Příklad také obsahuje kvíz pro zopakování znalostí z příkladu č. 2. Příklad 4 Obsahuje úlohy k procvičení metodiky COBIT 4.1. Týká se vyhodnocení metrik, implementace procesu AI5 a hodnocení dodavatelů IT aplikací pomocí SLA. Příklad je vytvořen tak, aby na něm pracovali dva studenti. V první části příkladu obsahuje úlohy, které jsou pro oba studenty rozdílné, a v závěrečné části příkladu studenti spolupracují a řeší oba úlohy společně podle znalostí, které získali zpracováním první části příkladu. Příklad také obsahuje kvíz pro zopakování znalostí z příkladu č. 3. 36
Příklad 5 Obsahuje úlohy k procvičení metodiky COBIT 5. Týká se mapování procesů na IT cíle a podnikové cíle, převody procesů mezi metodikou COBIT 4.1 a COBIT 5 a práce s RACI maticí. Příklad také obsahuje kvíz pro zopakování znalostí z příkladu č. 4 Příklad 6 Obsahuje úlohy k procvičení metodiky COBIT 5. Týká se metrik metodiky COBIT 5, interpretace jejich hodnot a nového systému hodnocení úrovně procesu. Příklad také obsahuje kvíz pro zopakování znalostí z příkladu č. 5. Příloha A této diplomové práce obsahuje příklady v takové podobě, ve které se dají přímo distribuovat studentům. Každý příklad ve cvičebnici k procvičení metodiky obsahuje základní náležitosti (logo školy, jméno a příjmení studenta), vyčíslení rozsahu stran z publikací COBIT, které jsou ke zpracování potřeba, a základní informace nutné k vypracování příkladu. Na konci každého příkladu je dílčí úloha, ve které studenti ukládají výsledky dílčích úloh jako soubor ve tvaru „Příjmení_Jméno_cvSŘIS_Vypracovaný_příklad_N“ (kde N je číslo vypracovávaného příkladu). Příklady jsou zpracovány tak, aby je bylo možné vyplnit i ručně v papírové podobě. Předpokládá se, že příklady budou zpracovávány na počítači a že student výsledky bude doplňovat výsledky přímo do dokumentu ve formátu MS Word. Správné výsledky úloh jednotlivých příkladů jsou uloženy v tzv. „klíči“, který není fyzicky součástí této diplomové práce, ale existuje pouze jako elektronická příloha ve formátu souboru ZIP s heslem, které tvůrce práce sdělí pouze vedoucímu této diplomové práce. Vedoucí diplomové práce pak bude heslo distribuovat dalším osobám podle vlastního uvážení.
37
4.1
Příklad 1
Příklad 1 včetně veškerých náležitostí lze nalézt v Příloze A této diplomové práce v kapitole s názvem „Cvičení (příklad) č. 1“. Příklad je součástí této diplomové práce. 4.2
Příklad 2
Příklad 2 včetně veškerých náležitostí lze nalézt v Příloze A této diplomové práce v kapitole s názvem „Cvičení (příklad) č. 2“. Příklad je součástí této diplomové práce. 4.3
Příklad 3
Příklad 3 včetně veškerých náležitostí lze nalézt v Příloze A této diplomové práce v kapitole s názvem „Cvičení (příklad) č. 3“. Příklad je součástí této diplomové práce. 4.4
Příklad 4
Příklad 4 včetně veškerých náležitostí lze nalézt v Příloze A této diplomové práce v kapitole s názvem „Cvičení (příklad) č. 4“. Příklad je součástí této diplomové práce. 4.5
Příklad 5
Příklad 5 včetně veškerých náležitostí lze nalézt v Příloze A této diplomové práce v kapitole s názvem „Cvičení (příklad) č. 5“. Příklad je součástí této diplomové práce. 4.6
Příklad 6
Příklad 6 včetně veškerých náležitostí lze nalézt v Příloze A této diplomové práce v kapitole s názvem „Cvičení (příklad) č. 6“. Příklad je součástí této diplomové práce.
38
Závěr Cílem diplomové práce bylo vytvoření příkladů pro studenty k procvičení metodiky COBIT a tohoto cíle bylo dosaženo. Práce čítá celkem šest příkladů obsahujících úlohy, na základě kterých lze vyzkoušet základní práci a použití metodiky COBIT. Tyto příklady jsou zpracovány v Příloze A diplomové práce a jsou výsledkem autorova tvůrčího přístupu k problematice výuky metodiky COBIT a jako takové tvoří nedílnou součást této diplomové práce. Důraz je kladen na procvičení metodiky COBIT 4.1 a proto jsou první čtyři příklady vytvořené pro práci s touto metodikou a zbylé dva jsou vytvořeny na základě novější metodiky COBIT 5. Všechny příklady jsou vytvořeny tak, aby student také musel pracovat s příslušnými anglickými výrazy používanými v podnikovém prostředí. Při konstrukci příkladů bylo dbáno také na osvojení standardních vedoucích rolí v podnicích. Student ve většině příkladů vystupuje po celou dobu zpracování příkladu jako CIO (Ředitel divize informačních systémů). Lektor, který vede cvičení, vystupuje jako CEO (Generální ředitel) a dává studentům práci. Záměrem je, aby student po vypracování všech příkladů měl základní znalosti o metodice COBIT. Zejména z čeho se skládá a co obsahuje. Základní postup jak najít potřebný proces k implementaci, a jak ověřit dosažení požadovaných cílů, bude student schopen dále využít i při svém budoucím uplatnění v zaměstnání. Jednotlivé úlohy v rámci příkladů jsou vytvořeny s ohledem na úroveň znalostí studentů v rámci bakalářského studia. V úlohách se tedy předpokládá, že student si musí osvojit např. specifické anglické termíny pro vedení a řízení firmy. Veškeré publikace COBIT jsou pouze v angličtině a neexistuje jejich oficiální česká verze. Zde se určitě bude projevovat problém týkající se různé úrovně schopností studentů pracovat se zdroji v anglickém jazyce. Díky tomu může docházet k problémům, že části studentů se budou jisté úlohy zdát jednodušší a další části studentů přijdou zadané úlohy značně obtížné. Při konstrukci úloh se vycházelo defenzivně z předpokladu, že většina studentů bude jazykovou bariéru překonávat obtížně. V příkladech se objevují i úlohy týkající se čistě nebo z větší části překladů termínů do českého jazyka. Pro použití příkladů ve výuce je nutné studentům zajistit přístup k publikacím COBIT 4.1 a COBIT 5. Je obecně doporučeno, pokud výuka probíhá v rámci vzdělávací instituce (např. vysoká škola), aby byla využita možnost spolupráce s organizací ISACA a aby vzdělávací
39
instituce zajistila studentům publikace COBIT v rámci jejich studia. V každém příkladu na procvičení metodiky COBIT je stanoveno jaké části publikací COBIT jsou pro zpracování potřeba. Lze tedy v případě nutnosti studentům v rámci výuky poskytnout pouze tyto omezené části publikací COBIT. Vše je potřeba zvážit ve spojitosti s neautorizovaným použitím publikací COBIT. Organizace ISACA umožňuje reprodukovat pro studijní a výzkumné účely 25% obsahu publikací COBIT (viz Guidelines for USE of COBIT Copyrighted Content [7]). V předkládané cvičebnici v příloze A diplomové práce je nejvíce využita publikace COBIT 4.1 [3], a to na úrovni 12,2% (24 listů z celkových 196 stran). Všechny ostatní publikace jsou využity z přibližně 10% a méně. Při využívání publikací COBIT je třeba respektovat příslušná licenční ujednání organizace ISACA. V opačném případě by se vzdělávací instituce vystavila riziku postihu za porušení autorského práva k publikacím COBIT. Příklady k procvičení metodiky COBIT 4.1 jsou prakticky zaměřeny zejména na práci s popisem procesů COBIT. V rámci příkladů se tedy objevují úlohy, které procvičují výběr odpovídajících podnikových cílů a jejich mapování na IT-cíle a příslušné procesy. Úlohy také obsahují procvičení a osvojení práce s RACI maticemi a metrikami procesů. Čtvrtý příklad obsahuje také prvky týmové práce, protože je vytvořen pro dva studenty a předpokládá jejich spolupráci. Studenti nejdříve v rámci čtvrtého příkladu zpracují samostatně určité úlohy, jejichž výsledky musí poté v závěru oba společně využít pro zpracování zbylých úloh. Zbylé příklady (5. a 6.) jsou vytvořeny na základě nejnovější metodiky COBIT 5 a jejich účel je zejména ukázat studentům jak se správně vyrovnat s příchodem nové metodiky jestliže jsme doposud používali starší verzi metodiky. V příkladech je procvičeno zejména mapování procesů ze starší metodiky COBIT 4.1 na COBIT 5 a také zopakovány některé důležité úlohy z předchozích čtyř příkladů v prostředí nové páté verze metodiky COBIT. Na konci této diplomové práce je vytvořena v příloze kompletní cvičebnice, která obsahuje všechny popsané příklady na procvičení metodiky COBIT. Správné výsledky jednotlivých úloh jsou uloženy v tzv. „klíči“ v další příloze, která se vyskytuje pouze v elektronické podobě, aby mohly být výsledky zveřejněny pouze pro případné lektory cvičení a studenti k nim neměli přístup.
40
Seznam použité literatury Tištěné monografie: [1]
ISACA. Cobit 5: Business framework for the Governance and Management for Enterprise IT. 1. vydání. United States of America: ISACA, 2012. ISBN 978-1-60420237-3.
[2]
ISACA. Cobit 5: Enabling processes. 1. vydání. United States of America: ISACA, 2012. ISBN 978-1-60420-241-0.
[3]
IT Governance institute. Cobit 4.1. 1. vydání. United States of America: ITGI, 2007. ISBN 1-933284-72-2.
[4]
IT Governance institute. IT Assurance Guide: Using Cobit. 1. vydání. United States of America: ITGI, 2007. ISBN 1-933284-74-9.
[5]
Svatá, V. Audit informačního systému. 1. vydání. Příbram: PBtisk 2011. 219 s. ISBN 978-80-7431-034-8.
Elektronické monografie, webovská sídla a datové soubory:
[6]
ISACA. COBIT 5 Toolkit: 02.COBIT5-Intoduction [on-line] citováno 31. 01. 2013, dostupné na adrese:
.
[7]
ISACA. COBIT Guidelines for Use of COBIT Copyrighted Content [on-line] citováno 31. 01. 2013, dostupné na adrese: .
[8]
ISACA. Hlavní stránka asociace ISACA [on-line] citováno 31. 01. 2013, dostupné na adrese: .
[9]
ISACA. Porovnání metodiky COBIT 5 se metodikou COBIT 4.1 [on-line] citováno 31. 01. 2013, dostupné na adrese: .
41
[10]
ISACA. Stránka asociace ISACA věnovaná metodice COBIT [on-line] citováno 31. 01. 2013, dostupné na adrese: .
[11]
IT Governance institute. Stránka organizace IT Governance Institute [on-line] citováno 31. 01. 2013, dostupné na adrese: .
[12]
itSMF, Ltd. Úvodní přehled ITIL® V3: Stručný přehled IT infrastructure library. 1. vydání. 2007. [on-line] citováno 19. 02. 2013, dostupné na adrese: . ISBN 0-9551245-8-1
42
Seznam použitých zkratek ITG
IT Governance
ITGI
IT Governance institute
ISACA
Information Systems Audit and Control Association
COBIT
Control Objectives for Information and related Technology
43
Seznam obrázků Obrázek 1 – Vývoj metodik COBIT v čase (převzato z: www.isaca.org/cobit viz [9]) Obrázek 2 – Klíčové oblasti IT Governance (převzato z publikace COBIT 4.1 viz [3]) Obrázek 3 – Kostka COBIT (převzato z publikace COBIT 4.1 viz [3]) Obrázek 4 – Metriky a cíle procesu AI5 (převzato z publikace COBIT 4.1 viz [3]) Obrázek 5 – RACI matice procesu AI5 (převzato z publikace COBIT 4.1 viz [3]) Obrázek 6 – Pět principů metodiky COBIT 5 (převzato z publikace COBIT 5 [2]) Obrázek 7 – Kaskády cílů metodiky COBIT 5 (převzato z publikace COBIT 5 [2]) Obrázek 8 – Referenční model procesů COBIT 5 (převzato z publikace COBIT 5 [2]) Obrázek 9 – Enablery COBIT 5 (převzato z publikace COBIT 5 [2]) Obrázek 10 – Dimenze enablerů metodiky COBIT 5 (převzato z publikace COBIT 5 [2]) Seznam příloh Příloha A – Cvičebnice úloh k procvičení metodiky COBIT Příloha B – Klíč řešení úloh k procvičení metodiky COBIT
44
Příloha A Cvičebnice úloh k procvičení metodiky COBIT
1
Příloha A
Obsah Předmluva .............................................................................................................................3 Organizace materiálů potřebných k vypracování příkladů ...................................................4 Seznam materiálů a jejich zdrojů..........................................................................................4 Tabulka použitých materiálů v příkladech ...........................................................................6 Cvičení (příklad) č. 1 ..........................................................................................................7 Cvičení (příklad) č. 2 ........................................................................................................16 Cvičení (příklad) č. 3 ........................................................................................................26 Cvičení (příklad) č. 4 ........................................................................................................34 Cvičení (příklad) č. 5 ........................................................................................................50 Cvičení (příklad) č. 6 ........................................................................................................59
2
Příloha A
Předmluva Dostává se Vám do rukou cvičebnice metodiky COBIT pro studenty VŠ. Cvičebnice obsahuje celkem 6 příkladů zaměřených na procvičení práce s metodikami COBIT 4.1 a COBIT 5. Všechny příklady jsou organizovány tak, aby studenti z větší části tyto příklady vypracovávali na cvičeních k tomu určených, případně příklady dokončili v rámci domácí přípravy samostatně. Pro správné zpracování příkladů student bude potřebovat podklady popsané v kapitole „Materiály potřebné k vypracování příkladů“. Tyto podklady nejsou součástí této cvičebnice. Dostupnost materiálů závisí na organizaci vyučování a bude vyučujícím sdělena. Při zpracování příkladů se studenti řídí pokyny vyučujícího. Každý příklad se skládá z několika úkolů a jednotlivé úkoly obsahují dílčí úlohy. U každé úlohy v nadpisu je zobrazen přibližný čas potřebný ke zpracování úlohy a druhý časový údaj (relativní čas) představuje tyto časové údaje kumulativně v rámci jednoho příkladu. Příklady jsou vytvořené tak, aby ze 70 – 80% byly zpracovány na cvičení v rámci dvou vyučovacích hodin (90 min.) a zbytek (20 – 30%) byl zpracován studenty samostatně v rámci domácí přípravy.
3
Příloha A
Organizace materiálů potřebných k vypracování příkladů Pro vypracování příkladů je nutné pracovat s různými materiály. Organizace materiálů v rámci této cvičebnice je vytvořena tak, že každý materiál se označuje speciálním kódovým zápisem:
MX.YY[a-b] Kde MX je číslo zdroje, který představuje ucelenou publikaci, YY je evidenční číslo materiálu použitého ve cvičebnici v rámci jednoho zdroje a doplňkový údaj psaný dolním indexem [a-b] (případně pouze [a]) představuje rozmezí stran (nebo konkrétní stranu) zdrojového materiálu pro lepší orientaci při práci s materiály. Například označení: M1.01[37-40] znamená, že se jedná o zdroj M1 a jeho první materiál, který lze nalézt na stranách č. 37 – 40.
Seznam materiálů a jejich zdrojů
M1
ISACA. Cobit 4.1. 1. vydání. United States of America: ISACA, 2007. ISBN 1-933284-72-2.
M1.01[14]
Obecné cíle procesů (PC1 – PC6) COBIT 4.1 na straně 14.
M1.02[37-40]
Popis procesu PO3 v metodice COBIT 4.1 na stranách 37 – 40.
M1.03[77-80]
Popis procesu AI2 v metodice COBIT 4.1 na stranách 77 – 80.
M1.04[89-92]
Popis procesu AI5 v metodice COBIT 4.1 na stranách 89 – 92.
M1.05[105-108]
Popis procesu DS2 v metodice COBIT 4.1 na stranách 105 – 108.
M1.06[169-170]
Příloha materiálu COBIT 4.1 (Appendix I.) na stranách 169 – 170.
M1.07[189-193]
Slovník pojmů COBIT 4.1 (Glossary) na stranách 189 – 93.
M2
Svatá, V. Audit informačního systému. 1. vydání. Příbram: PBtisk 2011. 219 s. ISBN 978-80-7431-034-8.
M2.01[80-81]
Popis kostky COBIT 4.1 a české názvy procesů na stranách 80 – 81.
4
Příloha A M2.02[35]
Popis pěti oblastí IT Governance (ITG) na straně 35.
M3
IT Governance institute, IT Assurance Guide: Using Cobit. 1. vydání. United States of America: ITGI, 2007. ISBN 1-933284-74-9.
M3.01[30]
Ohodnocení zralosti procesů na straně 30, obr. 22
M4
ISACA. Cobit 5: Enabling processes 1. vydání. United States of America: ISACA, 2012. ISBN 978-1-60420-241-0.
M4.01[14]
Figure 4 – COBIT 5 Enterprise Goals na straně 14.
M4.02[15]
Figure 5 – COBIT 5 IT-related Goals na straně 15.
M4.03[97-100]
Popis procesu APO10 v metodice COBIT 5 na stranách 97 – 100.
M4.04[217-224]
Mapování COBIT 4.1 na COBIT 5 na stranách 217 – 224
M4.05[225-226]
B: Detailed Mapping enterprise goals – IT-related Goals na stranách 225 – 226.
M4.06[227-229]
C: Detailed Mapping IT-related Goals – IT related Processes na stranách 227 – 229.
M5
ISACA. Cobit 5: Business framework for the Governance and Management for Enterprise IT. 1. vydání. United States of America: ISACA, 2012. ISBN 978-1-60420-237-3.
M5.01[41-45]
Hodnocení procesů (Process Capability model) na stranách 41 – 45.
M5.02[89-93]
Slovník pojmů COBIT 5 (Glossary) na stranách 89 – 93.
5
Příloha A
Tabulka použitých materiálů v příkladech Další tabulka obsahuje rozvržení použití materiálů v příkladech. Tabulka by měla urychlit přípravu lektorovi, který bude tyto materiály pro určitý počet studentů připravovat. Poznámka: Pokud budou příklady studentům poskytnuty v listinné podobě je nutné do celkového počtu stran materiálů započítat i počet stran vlastních příkladů. Tabulka zobrazuje pouze informace o dodatečných materiálech potřebných ke zpracování příkladů. Příklad č. Materiál
Počet listů A4 1 4 4 4 4 2 5 1 1 1 1 1 4 7 2 3 5 5
M1.01[14] M1.02[37-40] M1.03[77-80] M1.04[89-92] M1.05[105-108] M1.06[169-170] M1.07[189-193] M2.01[80-81] M2.02[35] M3.01[30] M4.01[14] M4.02[15] M4.03[97-100] M4.04[217-224] M4.05[225-226] M4.06[227-229] M5.01[41-45] M5.02[89-93] Celkový počet listů materiálů na jednoho studenta
1
2
3
4
5
6
x x x x x x x x
x
x x x x x x
x x
x x x x x
x x x x x x x
21
11
18
6
13
x
x
x x
23
14
Příloha A
Správa a řízení informačních systémů – cvičení (příklad) č. 1 Studijní obor: Informační technologie Témata k procvičení: Vazby obchodní cíl – IT cíl – IT proces IT zdroj, informační kritéria, ITG RACI Matice
Vyplňte:
(relativní čas 0:05)
Příjmení a jméno studenta:
Datum:
Pro zpracování příkladu budete potřebovat tyto materiály: -
M1.02[37-40] (Proces PO3)
-
M1.03[77-80] (Proces AI2)
-
M1.04[89-92] (Proces AI5)
-
M1.06[169-170] (Appendix I. COBIT 4.1)
-
M1.07[189-193] (Slovník pojmů)
-
M2.01[80-81] (Kostka COBIT a názvy procesů)
-
M2.02[35] (Pět oblastí IT Governance)
Předpokládejte tyto další informace: -
Generálním ředitelem (CEO) je lektor, který vede cvičení.
-
Ředitelem divize informačních technologií (CIO) je student zpracovávající příklad.
-
Pro zpracování příkladu používejte on-line anglicko-český slovník (např. http://translate.google.cz)
-
Příklad předpokládá individuální práci jednoho studenta.
7
Příloha A
Situační popis příkladu:
(relativní čas 0:15)
Společnost ABC, a.s. se specializuje na výrobu značkového nábytku a realizuje maloobchodní i velkoobchodní prodej. Hlavními procesy společnosti jsou procesy příjmu objednávek, plánování výroby a stanovení přesného termínu dodání a vlastní proces dodání zboží zákazníkům s různými doplňkovými službami. Vedení společnosti rozhodlo prověřit možnosti snížení stávajících procesních nákladů za pomocí metodiky COBIT, jejíž zavedení bude probíhat v následujícím období. Vedení společnosti zadalo CIO tyto úkoly:
Úkol P1.1.
Vybrat vhodný proces z metodiky COBIT k hlubší analýze.
Úkol P1.2.
Pověřit další členy managementu a zaměstnanců společnosti úkoly, které povedou k zavedení vybraného procesu nebo návrhu jeho zlepšení.
Úkol P1.3.
Výsledky práce předat CEO.
Úloha (P1.0.1)
čas: 15 min (relativní čas 0:20)
Seznamte se s obsahem všech podkladů, které jste pro vypracování příkladu obdrželi. Při práci na tomto příkladu použijte on-line anglicko-český slovník. V materiálu M1.07[189-193] „Slovník pojmů COBIT“ (Glossary) vyhledejte zkratky uvedené v následující tabulce a tabulku doplňte:
Zkratka
Plný anglický název
Český význam
CEO CFO CIO
8
Příloha A
Úkol P1.1. Vybrat vhodný proces z metodiky COBIT k hlubší analýze Společnost se rozhodla při zavedení metodiky COBIT postupovat tak, že vybrala business cíl, který je pro společnost důležitý a ve kterém cítí jisté rezervy. Jedná se o obchodní cíl „Snížení procesních nákladů“ (Lower process costs). Tento obchodní cíl se mapuje na IT cíle prostřednictvím tabulek „Linking business goals to IT goals“ a „Linking IT Goals to IT processes“, které jsou uvedené v dokumentu M1.06[169-170].
Úloha (P1.1.1)
čas: 5 min (relativní čas 0:35)
Jako CIO nalezněte vhodné IT cíle k obchodnímu cíli společnosti. Za pomocí tabulky „Linking business goals to IT goals“ v materiálu M1.06[169-170] zjistěte čísla IT cílů, ke kterým se váže business cíl – Snížení procesních nákladů (Lower proces cost). Čísla IT cílů (IT goals) a jejich anglické i české názvy vyplňte do následující tabulky. Business IT cíle č. cíl č.
Název IT cíle (anglicky)
Název IT cíle (česky)
11
Úloha (P1.1.2)
čas: 20 min (relativní čas 0:40)
Za pomocí tabulky „Linking IT goals to IT processes“ v materiálu M1.06[169-170] zjistěte konkrétní IT procesy zajišťující plnění IT cíle č. 7 „Akvizice a údržba standardizovaných aplikačních systémů“. Zkratky a čísla zjištěných IT procesů zapište do levého sloupce tabulky. U těchto IT procesů zjistěte, jaké uspokojují obchodní požadavky (business requirement) na IT ve vaší společnosti. 9
Příloha A Pracujte vždy pouze s první stranou popisu příslušného procesu v materiálech M1.02[37-40], M1.03[77-80], M1.04[89-92] a s materiálem přílohy I. M1.06[169-170]. Obchodní požadavky popište v češtině. Dále do tabulky vpravo doplňte celý název IT procesu česky. České názvy IT procesů naleznete v materiálu M2.01[80-81]. Označení Jaké uspokojuje obchodní požadavky na IT? IT (česky) procesu
Úloha (P1.1.3)
Název procesu (česky)
čas: 5 min (relativní čas 1:00)
Jako CIO jste již rozhodl, že pro hlubší analýzu bude vybrán IT proces AI5 – „Zajištění IT zdrojů“ (Procure IT resources). Zjistěte jeho vazby na IT zdroje společnosti. Pracujte s první stranou definice procesu COBIT AI5 v materiálu M1.04[89-92] a kostkou COBIT v materiálu M2.01[80-81]. Uvědomte si, jak jsou znázorněny zdroje procesů v kostce COBIT. V popisu každého procesu jsou znázorněny jako jedna strana této kostky. Zatrhněte každý IT zdroj, který se procesu AI5 týká.
Název Zdroje Aplikace Informace Infrastruktura Lidé
Úloha (P1.1.4)
čas: 5 min (relativní čas 1:05)
U IT procesu AI5 zjistěte jeho vazby na atributy informací (informační kritéria).
10
Příloha A Pracujte s první stranou definice procesu COBIT AI5 v materiálu M1.04[89-92] a s kostkou COBIT v materiálu M2.01[80-81]. Uvědomte si, jak jsou znázorněny atributy informací v kostce COBIT. V každém procesu COBIT jsou atributy znázorněny jako jedna strana této kostky. Atributy informací se dělí podle priority na Primární (P) a Sekundární (S). Doplňte do následující tabulky, jakých atributů informací se proces AI5 týká včetně jejich priority (P nebo S). (P/S)
Informační kritérium Efektivnost Výkonnost Důvěrnost Integrita Dostupnost Shoda Hodnověrnost
11
Příloha A
Úloha (P1.1.5)
čas: 15 min (relativní čas 1:10)
Informační kritérium „Hodnověrnost“ v procesech COBIT Projděte definice procesů PO3 (M1.02[37-40]), AI2 (M1.03[77-80]) a AI5 (M1.04[89-92]) a zjistěte, ve kterém z nich je informační kritérium „hodnověrnost“ (reliability) zastoupeno – proces vyplňte do připraveného textu. Vyberte, čím se tento IT proces zabývá. Správnou variantu (a - b - c) níže zakroužkujte. Hodnověrnost (sekundární) je součástí procesu …………. , který se zabývá: a. Akvizicí a údržbou aplikačního SW. b. Nastavením úrovně servisních služeb s dodavateli aplikačního SW. c. Monitorováním výkonnosti IT.
Úloha (P1.1.6)
čas: 5 min (relativní čas 1:25)
U IT procesu AI5 zjistěte jeho vazby na oblasti IT Governance (ITG). Pracujte s první stranou definice procesu AI5 (M1.04[89-92]) a materiálem „Pět oblastí IT Governance (ITG)“ v materiálu M2.02[35]. Definice každého procesu COBIT obsahuje oblasti ITG, kterých se týká a které podporuje, a to buď primárně (proces podporuje oblast ITG) nebo sekundárně (proces podporuje tuto oblast ITG pouze částečně). Doplňte do následující tabulky, jakých oblastí ITG se proces AI5 týká. Primární oblast ITG označte jako P, sekundární označte jako S. (P/S)
Cíle IT Governance (ITG) Generování hodnot Řízení rizik Řízení zdrojů Měření realizace Propojení strategií
12
Příloha A
Úkol P1.2. Pověřit další členy managementu a zaměstnanců úkoly, které povedou k zavedení vybraného procesu nebo návrhu jeho zlepšení. Představenstvo společnosti na svém zasedání schválilo k hlubší analýze vybraný IT proces AI5 z předchozího úkolu a nařídilo zajistit CIO podklady pro implementaci procesu AI5. CEO ve své kompetenci tedy následně pověřil CIO implementací vybraného IT procesu AI5. Jako CIO musíte při implementaci metodiky COBIT definovat cíle IT procesu AI5, jeho aktivity a metriky a srozumitelně je popsat do firemní dokumentace (firemní směrnice) tak, aby byly pro celou společnost srozumitelné a závazné. Tyto závěry ovšem nelze jednoduše vyčíst z metodiky COBIT, protože tato metodika obsahuje obecná řešení, nikoliv řešení přímo pro vaši společnost. V první řadě CIO musí získat potřebné informace a k tomu je bezpodmínečně nutné zajistit spolupráci ve formě tzv. „aktivit“ dalších vedoucích pracovníků ve vaší společnosti. Aktivity a jejich funkční role jsou definovány v tzv. RACI matici, která je součástí popisu IT procesu AI5 (M1.04[89-92]). Vedoucí pracovníci zobrazení v RACI matici musí poskytnout součinnost CIO a dle jeho pokynů vypracovat podklady za aktivity, které jim přísluší.
Úloha (P1.2.1)
čas: 10 min (relativní čas 1:35)
Zjistěte aktivitu u procesu AI5, u které jako CIO nemáte žádnou funkční roli. Aktivitu popište a vysvětlete, kdo je v rámci této aktivity zodpovědný vedoucí a kdo má u této aktivity rozhodovací pravomoci. Pracujte se třetí stranou definice procesu AI5 (M1.04[89-92]) - s tzv. „RACI“ maticí. Matice obsahuje seznam aktivit a jejich průniky s různými vedoucími pracovníky společnosti. Jednotlivé významy zkratek jsou: R- responsible (zodpovědný), A (accountable – rozhoduje /má právní zodpovědnost), C (consulted – je konzultován) a I (informed – pouze informován). Vše popište českými výrazy.
Popis aktivity Zodpovědný vedoucí Rozhodovací pravomoc
13
Příloha A
Úloha (P1.2.2)
čas: 10 min (relativní čas 1:45).
U aktivity „Vytvořit předpisy a postupy pro zajištění IT zdrojů v souladu s postupy zajištění ostatních zdrojů ve společnosti“ nalezněte zodpovědného vedoucího. Dále zjistěte, který další vedoucí by měl rozhodnout o případném vytvoření nebo změně těchto předpisů. Vše popisujte českými výrazy.
Zodpovědný vedoucí Rozhodovací pravomoc
Na základě rozhodnutí a zplnomocnění představenstva byli všichni vedoucí pracovníci zaúkolováni vámi (CIO), aby vám v co nejbližším možném termínu dodali potřebné informace, a aby bylo možné splnit pokročit v implementaci procesu AI5.
14
Příloha A
Úkol P1.3. Výsledky práce předat CEO
Úloha (P1.3.1)
čas: 1 min (relativní čas 1:46)
Uložte práci do souboru s názvem Prijmeni_Jmeno_cvSRIS_Priklad_1.doc. Kde doplníte vaše skutečné jméno. (např. student Josef Novák uloží soubor – „Novak_Josef_cvSRIS_Priklad_1.doc“).
15
Příloha A
Správa a řízení informačních systémů – cvičení (příklad) č. 2 Studijní obor: Informační technologie Témata k procvičení: Zopakování poznatků z předchozího cvičení Stupeň zralosti IT procesu
Vyplňte:
(relativní čas 0:05)
Příjmení a jméno studenta:
Datum:
Pro zpracování příkladu budete potřebovat tyto materiály: -
M1.04[89-92] (Proces AI5)
-
M1.07[189-193] (Slovník pojmů)
-
M2.01[80-81] (Kostka COBIT a názvy procesů)
-
M3.01[30] (Ohodnocení atributů procesu, obr. 22)
-
Vypracovaný příklad č. 1 z předchozího cvičení
Předpokládejte tyto další informace: -
Generálním ředitelem (CEO) je lektor, který vede cvičení.
-
Ředitelem divize informačních technologií (CIO) je student zpracovávající příklad.
-
Pro zpracování příkladu používejte on-line anglicko-český slovník. (např. http://translate.google.cz)
-
Příklad předpokládá individuální práci jednoho studenta Příklad č. 2 je pokračováním příkladu č. 1 z předchozího cvičení.
16
Příloha A
Situační popis příkladu:
(relativní čas 0:15)
Společnost ABC, a.s. se specializuje na výrobu značkového nábytku a na jeho maloobchodní i velkoobchodní prodej. Hlavními procesy společnosti jsou procesy příjmu objednávek, plánování výroby a stanovení přesného termínu dodání a vlastní proces dodání zboží zákazníkům s různými doplňkovými službami. Vedení společnosti rozhodlo prověřit možnosti snížení stávajících procesních nákladů za pomocí metodiky COBIT, jejíž zavedení právě probíhá. V předchozím období byl jako hlavní proces k implementaci vybrán proces AI5 – Zajištění IT zdrojů. Vedení společnosti na zasedání představenstva zadalo tyto úkoly pro nejbližší období:
Úkol P2.1.
Na základě diskuse na poradě vedení společnosti formulovat první závěry o stupni zralosti IT procesu AI5 dle metodiky COBIT 4.1.
Úkol P2.2.
V rámci přípravy podkladů pro audit určit stupeň zralosti IT procesu AI5 přesnějším postupem dle metodiky COBIT 4.1, dle publikace IT Assurance Guide (materiál M03.01[30]).
Úkol P2.3.
Výsledky práce předat CEO.
Úloha (P2.0.1)
čas: 20 min (relativní čas 0:20)
Pracujte se zadáním a podklady z předchozího cvičení (Příklad č. 1). Na další straně je ucelený dotazník, který se týká obsahu předcházejícího cvičení. Vypracujte samostatně. (Lektor zveřejní výsledky a studenti si opraví navzájem)
17
Příloha A
Dotazník k úloze P2.0.1 Vypracoval (vyplňte hůlkovým písmem): Jméno:
Příjmení:
Datum:
D1. Pokud nám CEO nařídí vyhledat specifické IT procesy COBIT 4.1, které pokrývají určitý obchodní cíl společnosti, potom postupujeme tímto způsobem (zakroužkujte vždy jednu z odpovědí): a)
Podíváme se na seznam všech IT procesů a podle našeho manažerského uvážení vybereme.
b) Dohodneme se s konkurenční firmou, která COBIT již nasadila, aby nám informace poskytla. c)
Mapování obchodních cílů na IT procesy je standardní součástí metodiky COBIT. K obchodnímu cíli vyhledáme související IT procesy.
D2. Pro obsazení rolí pro potřeby zpracování příkladu platí toto (zakroužkujte vždy jednu z odpovědí): a)
Lektor zastává funkce vrcholového managementu a student je pouze zaměstnanec.
b) Student zastává pozici CIO a lektor zastává pozici CEO. c)
Student si může libovolně vybírat jakékoliv role, podle RACI matice.
D3. Na jaké zdroje má vazby IT proces AI5? (zakroužkujte vždy jednu z odpovědí): a)
Na aplikace, informace.
b) Na žádné – procesy domény AI nemají vazby na zdroje. c)
Proces AI5 má vazbu na všechny zdroje definované metodikou COBIT 4.1.
D4. Která z následujících kombinací pojmů představuje oblasti IT Governance? (zakroužkujte vždy jednu z odpovědí): a)
Integrita, Dostupnost.
b) Řízení rizik, Řízení zdrojů. c)
Infrastruktura, Lidé.
D5. Co tvoří jednotlivé strany kostky COBIT? (zakroužkujte vždy jednu z odpovědí): a)
IT procesy, Informační kritéria, Zdroje IT.
b) RACI matice, Vstupy a Výstupy, Úrovně zralosti. c)
Kontrolní cíle, Obecné cíle, Aplikační kontroly.
18
Příloha A D6. Co znamená zkratka RACI? (zakroužkujte vždy jednu z odpovědí): a)
Responsible, Accountable, Consulted, Informed.
b) Rapid Access to Create Information. c)
Risk And Cost Interference
D7. Popište česky, co znamená zkratka CIO a CFO (doplňte):
__________________________________________________________________________________________ D8. Vysvětlete svými slovy význam znaků „A“ a „R“ v tzv. RACI matici (doplňte česky):
__________________________________________________________________________________________
Odpovědi testu zkontroloval (vyplňte hůlkovým písmem): Jméno:
Příjmení:
Podpis:
19
Příloha A
Úkol P2.1. Na základě diskuse na poradě vedení společnosti formulovat první závěry o stupni zralosti IT procesu AI5 dle metodiky COBIT 4.1. Vedení společnosti a další manažeři (včetně vás) vyslovili své názory na stav procesu AI5 – Zajištění IT zdrojů: a. Výrok generálního ředitele (CEO): Jsem si vědom potřeby vytvoření platných interních předpisů týkajících se všeobecného zajištění IT zdrojů. Naším cílem musí být definice obecně závazných interních politik a postupů k zajištění IT zdrojů. b. Výrok finančního ředitele (CFO): V naší společnosti máme všichni povědomí o potřebě mít základní politiky a postupy zahrnující celý proces zajištění zdrojů. c. Výrok projektového manažera (PMO): Snahy o vytvoření obecných pravidel vždy selhaly z důvodů proklamovaného nedostatku času a také z přesvědčení, že profesionální manažeři na různých pozicích ve společnosti dokáží sami správně rozhodovat o výběru zdrojů, které používají výhradně ke své práci a práci svých podřízených. d. Váš výrok (CIO): Vazby mezi obecnými zásadami zajištění zdrojů společnosti a zajištěním IT zdrojů jsou spíše nahodilé a jsou vytvářeny pouze pro konkrétní projekty zajištění zdrojů, u nichž se často zjistí širší závislost na tomto zdroji v rámci celé firmy (např. poskytování internetového připojení).
Úloha (P2.1.1)
čas: 15 min (relativní čas 0:40)
Podle názoru CEO (viz bod a.) stanovte stávající úroveň zralosti procesu AI5. Také zjistěte úroveň zralosti, která je cílem naší společnosti Na základě výroku CEO o současném stavu a cíli naší společnosti vyhodnoťte úroveň zralosti procesu AI5 v současném stavu a v cílovém stavu. Pracujte se 4. stranou materiálu definice procesu AI5 – Maturity model (M1.04[89-92]). V odstavcích s úrovněmi zralosti (0 – 5) hledejte podobnosti v prvních větách modelu definice zralosti procesu AI5. Zatrhněte úrovně zralosti v tabulce:
20
Příloha A Výrok CEO
0
1
2
3
4
5
Současná úroveň () Cílová úroveň ()
Úloha (P2.1.2)
čas: 10 min (relativní čas 0:55)
Zjistěte aktuální úroveň zralosti procesu AI5 na základě výroku CFO (viz bod b.). Vyhodnoťte úroveň zralosti procesu AI5 podle výroku CFO (b.). Pracujte se 4. stranou materiálu definice procesu AI5 – Maturity model. V odstavcích s úrovněmi zralosti (0 – 5) hledejte podobnosti v prvních větách modelu definice zralosti procesu AI5. Zatrhněte úroveň zralosti v tabulce.
Výrok CFO
0
1
2
3
4
5
Úroveň zralosti ()
Úloha (P2.1.3)
čas: 15 min (relativní čas 1:05)
Podle názoru CFO (viz bod b.) je aktuální úroveň zralosti procesu AI5 na úrovni zralosti č. 4. dle COBITu 4.1 (Managed and Measurable). Na základě svého vlastního výzkumu k předchozí úloze jste zjistil, že CFO nemá pravdu. Musíte mu oponovat a sdělit mu, jak by měl znít jeho výrok, kdyby měl odpovídat úrovni zralosti č. 4.
Opravte výrok CFO o procesu AI5,aby stupeň jeho zralosti odpovídal stupni zralosti č. 4. Pracujte se 4. stranou materiálu definice procesu AI5 – Maturity model (M1.04[89-92]) v odstavci pro úroveň zralosti č 4. Doplňte větu za použití těchto slov ve vhodných tvarech: integrovat - IT zdroj – systém – standardy – používat – zakázky)
21
Příloha A Zajištění ………..…….. je plně ……..………….. se všemi obchodními ……………………... společnosti. IT ………………….. pro zajištění IT zdrojů jsou ………………… ve všech ………………………..
Úloha (P2.1.4)
čas: 15 min (relativní čas 1:20)
Podle obecného popisu úrovní zralosti procesu AI5 v metodice COBIT 4.1 (v materiálu M1.04[89-92]) se dají stanovit tyto zjednodušené definice úrovní zralosti: Úroveň zralosti 0 je když: není definován žádný proces zajišťování zdrojů, společnost nemá potřebu mít definovány politiky a postupy, které by zdroje zajišťovaly včas a cenově efektivně. Úroveň zralosti 1 je když: část společnosti si uvědomuje potřebu vytvoření interních předpisů, týkajících se všeobecného zajištění zdrojů. Profesionální manažeři na různých pozicích ve společnosti dokáží správně rozhodovat o výběru zdrojů, které používají výhradně ke své práci a práci svých podřízených. Vazby mezi obecnými zásadami zajištění zdrojů společnosti a zajištěním IT zdrojů jsou vytvářeny pouze pro větší projekty. Úroveň zralosti 2 je když: společnost je jednotná v přesvědčení, že je potřeba vytvořit základní pravidla a postupy pro zajištění IT zdrojů. Tyto pravidla a postupy jsou částečně integrovány do obchodních postupů při řešení velkých nebo kritických obchodních projektů. Odpovědnost a rozhodování je definována podle jednotlivých smluv (není jednotná). Úroveň zralosti 3 je když: vedení společnosti používá jednotně definovaná pravidla a postupy zajištění IT zdrojů. Pravidla a postupy jsou řízeny obchodními potřebami společnosti. Existují IT standardy pro zajištění zdrojů. Dodavatelé IT zdrojů jsou zapojeni do mechanismů projektového managementu z pohledu řízení kontraktů. Pročtěte si pozorně výrok manažera PMO a svůj výrok (c., d.) z úvodní diskuse na straně 4 tohoto materiálu a rozhodněte, kterým úrovním zralosti procesu dle COBITu 4.1 tyto výroky odpovídají (Podtrhávejte si shodná větná spojení v definicích úrovně zralostí této úlohy):
Výrok manažera PMO znamená úroveň zralosti č.: ………………………………
Výrok manažera CIO znamená úroveň zralosti č.: ………………………………..
22
Příloha A
Úkol P2.2. V rámci přípravy podkladů pro audit určit stupeň zralosti IT procesu AI5 přesnějším postupem dle metodiky COBIT 4.1, dle publikace IT Assurance Guide (materiál M03.01[30]). V předchozím období společnost vyhodnotila úroveň zralosti procesu AI5 – Zajištění IT zdrojů podle popisu definice metodiky COBIT 4.1. Po ukončení implementace tohoto procesu se společnost chystá provést audit. Auditor ovšem hodnotí zralost každého procesu podrobně. Vy jako CIO jste dostal za úkol toto hodnocení zralosti procesu AI5 orientačně provést předem.
Úloha (P2.2.1)
čas: 15 min (relativní čas 1:35)
Průvodce „IT Assurance Guide – Using COBIT“ poskytuje návod, jak určit celkový stupeň zralosti procesu z hodnot 6ti atributů zralosti procesu. Pracujte s materiálem M3.01[30] : „Atributy hodnocení zralosti (tabulka 22)“. Pro každý proces je třeba definovat 6 základních atributů procesů: „Povědomí a komunikace“, „Pravidla, plány a postupy“, „Nástroje a automatizace“, „Dovednosti a znalosti“, „Odpovědnost a rozhodování“ a „Nastavení cílů a měření“. Pro každou úroveň zralosti (1 – 5) je stanoven určitý popis stavu atributu v tabulce č. 22. U procesu AI5 jste zjistil informace, které jsou zapsány ve sloupci výsledkové tabulky (viz níže) s názvem „Zjištěný stav atributu u procesu AI5“. Celkový stupeň zralosti procesu poté vypočtěte jako aritmetický průměr hodnot všech 6ti atributů zralosti a zapište jej do tabulky do řádku „Aritmetický průměr“. Tento výsledek zaokrouhlete na celé číslo aritmeticky a zapište do posledního řádku tabulky „Zaokrouhleně“:
23
Příloha A
Atributy zralosti procesu
Zjištěný stav atributu u procesu AI5
1 Povědomí a komunikace
Potřeba zavedení procesu ve společnosti teprve vzniká.
2 Pravidla, plány a postupy
Existují náhodné propojení definovaných procesů a praxe
3 Nástroje a automatizace
Některé nástroje existují, jejich použití se nijak neplánuje
4 Dovednosti a znalosti
Dovednosti nejsou pro proces definovány
5 Odpovědnost a rozhodování
Není definována odpovědnost ani rozhodovací pravomoci
6 Nastavení cílů a měření
Cíle nejsou jasné a metriky neexistují Aritmetický průměr
Celková zralost procesu Zaokrouhleně (celé číslo)
24
Ohodnocení atributu (1-5)
Příloha A
Úkol P2.3. Výsledky práce předat CEO
Úloha (P2.3.1)
čas: 1 min (relativní čas 1:50)
Uložte práci do souboru s názvem Prijmeni_Jmeno_cvSRIS_Priklad_2.doc. Kde doplníte vaše skutečné jméno. (např. student Josef Novák uloží soubor – „Novak_Josef_cvSRIS_Priklad_2.doc“).
25
Příloha A
Správa a řízení informačních systémů – cvičení (příklad) č. 3 Studijní obor: Informační technologie Témata k procvičení: Zopakování poznatků z 2. cvičení Obecné a kontrolní cíle IT procesu Metriky IT procesu Vstupy a výstupy procesu
Vyplňte:
(relativní čas 0:05)
Příjmení a jméno studenta:
Datum:
Pro zpracování příkladu budete potřebovat tyto materiály: -
M1.01[14] (obecné cíle procesů COBIT 4.1)
-
M1.04[89-92] (Proces AI5)
-
M1.05[105-108] (Proces DS2)
-
M1.06[169-170] (Appendix I. COBIT 4.1)
-
M1.07[189-193] (Slovník pojmů)
-
M2.01[80-81] (Kostka COBIT a názvy procesů)
-
M2.02[35] (Pět oblastí IT Governance)
-
Vypracovaný příklad č. 2 z předchozího cvičení
Další informace a podrobnosti k vypracování příkladu: -
Generálním ředitelem (CEO) je lektor, který vede cvičení.
-
Ředitelem divize informačních technologií (CIO) je student zpracovávající příklad.
-
Pro zpracování příkladu používejte on-line anglicko-český slovník. (např. http://translate.google.cz)
-
Příklad předpokládá individuální práci jednoho studenta Příklad č. 3 je pokračováním příkladu č. 2 z předchozího cvičení.
26
Příloha A
Situační popis příkladu:
(relativní čas 0:15)
Společnost ABC, a.s. se specializuje na výrobu značkového nábytku a na jeho maloobchodní i velkoobchodní prodej. Hlavními procesy společnosti jsou procesy příjmu objednávek, plánování výroby a stanovení přesného termínu dodání a vlastní proces dodání zboží zákazníkům s různými doplňkovými službami. Vedení společnosti rozhodlo prověřit možnosti snížení stávajících procesních nákladů, za pomocí metodiky COBIT, jejíž zavedení právě probíhá. V předchozím období byl jako hlavní proces k implementaci vybrán proces AI5 – Zajištění IT zdrojů. Stávající úroveň zralosti procesu AI5 byla stanovena jako úroveň č. 1. Vedení společnosti na zasedání představenstva rozhodlo o těchto dalších úkolech pro CIO pro nejbližší období:
Úkol P3.1.
Navrhnout opatření pro zlepšení procesu AI5. Tím se myslí zejména doplnění firemní dokumentace (směrnice) o: Obecné a kontrolní cíle IT procesu včetně aplikačních kontrol Metriky sloužící ke kontrole, jestli jsou stanovené cíle plněny
Úkol P3.2.
Navrhnout další IT procesy COBIT 4.1, které je nutné implementovat pro správné fungování procesu AI5.
Úkol P3.3.
Výsledky práce předat CEO.
Úloha (P3.0.1)
čas: 30 min (relativní čas 0:20)
Pracujte se zadáním, podklady a výsledky z předchozího cvičení (Příklad č. 2). Na další straně je ucelený dotazník, který se týká obsahu předcházejícího cvičení. Vypracujte samostatně. (Lektor zveřejní výsledky a studenti si opraví navzájem, poté následuje debata o chybných výsledcích.)
27
Příloha A
Dotazník k úloze P3.0.1 Vypracoval (vyplňte hůlkovým písmem) Jméno:
Příjmení:
Datum:
D1. Co je to úroveň zralosti procesu (zakroužkujte vždy jednu z odpovědí): a)
Celkový objem informací, který nám proces může poskytnout.
b) Obecné hodnocení kvalit procesu. c)
Výše obratu daného procesu.
D2. Kolik je celkem úrovní zralosti včetně úrovně – „neexistující“ (zakroužkujte vždy jednu z odpovědí): a)
Tři.
b) Pět. c)
Šest.
D3. Úrovně zralosti procesů slouží k těmto cílům (zakroužkujte vždy jednu z odpovědí): a)
Zlepšování, porovnání a hodnocení.
b) Ziskovost, bezpečnost a efektivita. c)
Prezentace, provázanost a školení.
D4. V procesu AI5 „Zajištění IT zdrojů“ se mluví o úrovni zralosti č. 3, když (zakroužkujte vždy jednu z odpovědí): a)
Není definován žádný postup zajištění IT zdrojů ve společnosti.
b) Zajištění IT zdrojů je plně integrováno se zajištěním obchodních zdrojů. c)
Existují IT standardy pro zajištění těchto zdrojů.
D5. Je potřeba dosáhnout obecně nejvyšší možné úrovně zralosti u libovolného procesu? (zakroužkujte vždy jednu z odpovědí): a)
Ne. Záleží na více aspektech, které se u každé společnosti liší (strategie, náklady, rizika).
b) Ano. Jediný cíl je maximální hodnocení u každého procesu. c)
Ne, protože úrovně zralosti nevypovídají nic o celkové úrovni a bezpečnosti tohoto procesu.
28
Příloha A D6. Pokud je IT proces AI5 ve společnosti A na stupni zralosti „2“ a u společnosti B na stupni „4“, pak lze říci (zakroužkujte vždy jednu z odpovědí): a)
Společnost A je jednoznačně horší než společnost B.
b) Obě společnosti používají metodiku COBIT a společnost B má proces AI5 implementovaný na vyšší úrovni. c)
Pokud jsou společnosti přímými konkurenty, potom musí společnost A dosáhnout min. stejného hodnocení.
D7. Vysvětlete nejvýstižněji český význam písmena „I“ v tzv. RACI matici (doplňte):
__________________________________________________________________________________________
Odpovědi testu zkontroloval (vyplňte hůlkovým písmem): Jméno:
Příjmení:
Podpis:
29
Příloha A
Úkol P3.1. Navrhnout opatření pro zlepšení procesu AI5
Úloha (P3.1.1)
čas: 15 min (relativní čas 0:50)
Od představenstva jste dostal úkol stanovit kontrolní cíle (Control objectives) pro proces AI5. Tyto kontrolní cíle mají sledovat procesy „Nákup IT zdrojů“. Vyberte alespoň dva kontrolní cíle procesu AI5, které by nejlépe vystihly požadavek představenstva. U každého kontrolního cíle popište jeho přesné vymezení. Pracujte s popisem procesu AI5, s kapitolou „Control objectives“ v materiálu M1.04[89-92]. Tabulku vyplňte česky.
Kontrolní cíl
Popis kontrolního cíle
Úloha (P3.1.2)
čas: 15 min (relativní čas 1:05)
Metodika COBIT 4.1 formuluje také obecné cíle procesů (Process Controls number - PCn), které jsou stejné pro všechny ostatní procesy COBIT. U každého implementovaného procesu je tedy důležité tyto cíle znát.
Zjistěte, jaké jsou obecné cíle (PC1 – PC6) procesů COBIT 4.1 (Generic control objectives) v materiálu M01.01[14]. Názvy obecných cílů zapište do tabulky v češtině. 30
Příloha A Obecný cíl
Název obecného cíle
PC1 PC2 PC3 PC4 PC5 PC6
Úloha (P3.1.3)
čas: 20 min (relativní čas 1:20)
U procesu AI5 je nutné stanovit i příslušné výstupní a prováděcí metriky. Najděte alespoň dvě výstupní metriky (measure) k cílům u aktivit (activities) a dvě prováděcí metriky (drive) k cílům procesu (process) a doplňte je do tabulek v češtině. Pracujte s popisem procesu AI5 – Goals and Metrics v materiálu M1.04[89-92]. Aktivity Výstupní metriky
Proces Prováděcí metriky
31
Příloha A
Úkol P3.2. Navrhnout další IT procesy COBIT 4.1, které je nutné implementovat pro správné fungování procesu AI5 – Zajištění IT zdrojů. Představenstvo vás pověřilo určením dalších procesů COBIT 4.1, které bude nutné naimplementovat, aby bylo možné dosáhnout požadovaného záměru. Cílem je zlepšení procesů zajištění IT zdrojů, a je tedy nutné se zaměřit na další vstupní procesy procesu AI5, které ovlivňují kvalitu procesu AI5.
Úloha (P3.2.1)
čas: 5 min (relativní čas 1:40)
Do následující tabulky zapište procesy, jejichž výstupy jsou vstupem (inputs) do procesu AI5, a procesy, které naopak využívají výstupy (outputs) procesu AI5 jako své vstupy. Pracujte s popisem procesu AI5 v části Management Guidelines v materiálu M1.04[89-92].
Procesy využívající vstupy do procesu AI5 Procesy využívající výstupy z procesu AI5
Úloha (P3.2.2)
čas: 10 min (relativní čas 1:45)
Jedním ze vstupních procesů procesu AI5 je proces DS2 Manage third-party services, který v jednom ze svých kontrolních cílů (Control objectives) předpokládá vytvoření katalogu dodavatelů. Pouze tento proces bude implementován. Zjistěte, o jaký kontrolní cíl procesu DS2 se jedná. Pracujte s popisem procesu DS2 v části Control objectives v materiálu M1.05[105-108]. Zapište číslo a český překlad názvu požadovaného kontrolního cíle procesu DS2 do následující tabulky. Kontrolní cíl procesu DS2
32
Příloha A Úkol P3.3. Výsledky práce předat CEO
Úloha (P3.3.1)
čas: 1 min (relativní čas 1:55)
Uložte práci do souboru s názvem Prijmeni_Jmeno_cvSRIS_Priklad_3.doc. Kde doplníte vaše skutečné jméno. (např. student Josef Novák uloží soubor – „Novak_Josef_cvSRIS_Priklad_3.doc“).
33
Příloha A
Správa a řízení informačních systémů – cvičení (příklad) č. 4 Studijní obor: Informační technologie Témata k procvičení: Zopakování poznatků z předchozího cvičení Vyhodnocení metrik Implementace procesu AI5 Service Layer Agreement (SLA)
Vyplňte:
(relativní čas 0:05)
Příjmení a jméno studenta:
Datum:
Pro zpracování příkladu budete potřebovat tyto materiály: -
M1.04[89-92] (Proces AI5)
-
M1.06[169-170] (Appendix I. COBIT 4.1)
-
M1.07[189-193] (Slovník pojmů)
-
M2.01[80-81] (Kostka COBIT a názvy procesů)
-
M2.02[35] (Pět oblastí IT Governance)
-
Vypracovaný příklad č. 3 z předchozího cvičení
Předpokládejte tyto další informace: -
Generálním ředitelem (CEO) je lektor, který vede cvičení.
-
Ředitelem divize informačních technologií (CIO) je 1. Student
-
Ředitelem IT Administrativy je 2. Student
-
Pro zpracování příkladu používejte on-line anglicko-český slovník. (např. http://translate.google.cz)
-
Příklad předpokládá společnou práci dvou studentů Příklad č. 4 je pokračováním příkladu č. 3 z předchozího cvičení.
34
Příloha A
Situační popis příkladu:
(relativní čas 0:15)
Společnost ABC, a.s. se specializuje na výrobu značkového nábytku a na jeho maloobchodní i velkoobchodní prodej. Hlavními procesy společnosti jsou procesy příjmu objednávek, plánování výroby a stanovení přesného termínu dodání a vlastní proces dodání zboží zákazníkům s různými doplňkovými službami. Vedení společnosti rozhodlo zaměřit svou pozornost na snížení procesních nákladů v dodavatelských firemních procesech za pomocí metodiky COBIT, jejíž zavedení ve společnosti právě probíhá. Vedení společnosti na zasedání představenstva rozhodlo o těchto dalších úkolech pro CIO a ředitele IT administrativy pro nejbližší období:
Úkol P4.1.
Zjistit aktuální hodnoty metrik cílů procesu AI5, týkajících se procesu zajištění aplikačního softwaru.
Úkol P4.2.
Upravit katalog schválených (akreditovaných) dodavatelů ICT.
Úkol P4.3.
Navrhnout a implementovat konkrétní změny pro snížení procesních nákladů.
Úkol P4.4.
Výsledky práce předat CEO.
Úloha (P4.0.1)
čas: 30 min (relativní čas 0:20)
Pracujte se zadáním, podklady a výsledky z předchozího cvičení (Příklad č. 3). Na další straně je dotazník, který se týká obsahu předcházejícího cvičení. Vypracujte samostatně. (Lektor zveřejní výsledky a studenti si opraví navzájem, poté následuje debata o chybných výsledcích.)
35
Příloha A
Dotazník k úloze P4.0.1 Vypracoval (vyplňte hůlkovým písmem) Jméno:
Příjmení:
Datum:
D1. Cíle procesů, které jsou pro všechny procesy COBIT stejné, označujeme jako (zakroužkujte vždy jednu z odpovědí): a)
Kontrolní cíle (PC1-PC6).
b) Prováděcí cíle (PC1-PC6) c)
Obecné cíle (PC1-PC6).
D2. Jaké rozeznáváme typy metrik (zakroužkujte vždy jednu z odpovědí): a)
Výstupní a prováděcí.
b) Rozhodovací a Kontrolní. c)
Výstupní a ověřovací.
D3. Výstupní metrika cíle na nižší úrovni je současně (zakroužkujte vždy jednu z odpovědí): a)
Hlavní metrikou procesu, ke kterému se vztahuje.
b) Prováděcí metrikou cíle na vyšší úrovni. c)
Vstupní metrika cíle vstupního procesu.
D4. Jak jsou zajištěny vzájemné vazby mezi procesy COBIT 4.1? (zakroužkujte vždy jednu z odpovědí): a)
Pomocí vstupních procesů (inputs) a výstupních procesů (outputs) definovaných v popisu každého procesu.
b) Procesy COBIT nemají žádné vzájemné vazby, a jsou tedy nezávislé. c)
Pomocí pořadí procesů v jednotlivých doménách COBIT.
D5. Je třeba pro správnou implementaci procesu implementovat všechny navázané procesy? (zakroužkujte vždy jednu z odpovědí): a)
Ano.
b) Ne. Stačí vybrat ty, které naše společnost skutečně potřebuje. c)
Ne, ale snažíme se naimplementovat co největší možný počet navázaných procesů.
36
Příloha A D6. K čemu slouží metrika? (zakroužkujte vždy jednu z odpovědí): a)
Metrika je pomocný proces u domény AI.
b) Metrika je slovní hodnocení člena představenstva. c)
Metrika je obecný údaj (často číselný), pomocí kterého můžeme hodnotit proces nebo jeho část.
D7. Odpovězte vlastními slovy – jaký výstup z procesu DS2 je potřebný pro proces AI5 (doplňte).
__________________________________________________________________________________________
Odpovědi testu zkontroloval (vyplňte hůlkovým písmem): Jméno:
Příjmení:
Podpis:
37
Příloha A
Zadání úkolů od představenstva je tentokrát náročnější a CIO musí správně delegovat úkoly na své podřízené. Prvním úkolem CIO je pověřit provedením úlohy č. 2 (Upravení katalogu akreditovaných dodavatelů IT zdrojů) Ředitele IT administrativy.
Úloha (P4.1.0)
čas: 5 min (relativní čas 0:50)
Je třeba definovat 2 studenty, kteří budou na vypracování příkladu č. 4 celou dobu spolupracovat. V prvních dvou částech příkladu č. 4 (úkoly P4.1 a P4.2) budou oba studenti pracovat samostatně na rozdílných úlohách. Ve zbývajících části příkladu č. 4 (P4.3) budou pracovat společně a vzájemně doplňovat znalosti, které získali při vypracování prvních dvou částí příkladu č. 4. Utvořte dvojice a zapište jména a příjmení do této tabulky:
Student č.
Role v příkladu č. 4
1
CIO
2
Ředitel IT administrativy
Jméno a příjmení studenta
!!!!!! Upřesnění dalšího postupu: - Úkol P4.1 je určen pro vypracování CIO. (student č. 1) - Úkol P4.2 je určen pro vypracování ředitelem IT administrativy. (student č. 2) - Úkol P4.3 je určen pro společnou práci obou studentů. !!!!!!
38
Příloha A
Úkol P4.1. Zjistit aktuální hodnoty metrik plnění IT cílů procesu AI5, týkajících se procesu zajištění aplikačního softwaru. Vypracovává pouze CIO! (Student č. 1 – viz tabulka na straně č. 4)
Úloha (P4.1.1) – Vypracovává pouze CIO (student č. 1)
čas: 10 min (0:55)
O systému pro řízení výroby „Synex 4.0“ a o jeho dodavateli máte tyto obecné informace: S dodavatelem sytému nemáme od dokončení procesu implementace žádné spory ani problémy. Nasazením tohoto systému vznikly úspory měřitelných provozních nákladů oproti stavu, který byl zaznamenán před nasazením systému Synex. Jednalo se zejména o efektivnější využití výrobního materiálu, menší procento nevyužitelného odpadu a velmi podstatné zlepšení plánování termínu dodání hotových výrobků zákazníkům. Celkové provozní náklady před zavedením systému Synex byly 18,2 mil. Kč ročně a po zavedení systému se snížily na 11,83 mil Kč ročně při stejném objemu výroby. Při průzkumu spokojenosti zaměstnanců byla odhalena jistá nespokojenost při užívání systému u 2 zaměstnanců z celkových 53 zaměstnanců používajících systém pro řízení výroby. Plnění 3 IT cílů, se kterými proces AI5 souvisí, se určuje pomocí 3 metrik v následující tabulce. Metriky IT cílů byly převzaty z popisu procesu „AI5- Zajištění IT zdrojů“ (Goals and Metrics) z materiálu M1.04[89-92]. Na základě textu v předchozím odstavci stanovte hodnoty metrik uvedených v následující tabulce. Všechny metriky jsou číselné. Hodnota metriky musí splňovat stanovený rozsah, který je v tabulce také uveden! Poměrové nebo procentní čísla se dosazují jako koeficient (např. 50% = 0,5).
Název metriky IT cílů
Hodnota metriky IT cílů
Rozsah metriky
Number of disputes related to procurements contracts
0..n
Amount of reduction of the purchasing cost
0..n
Percent of key stakeholders satisfied with suppliers
0..1
Metriky AI5 pro systém řízení výroby Synex
39
Příloha A
Úloha (P4.1.2) – Vypracovává pouze CIO (student č. 1)
čas: 10 min (1:05)
O firemním ERP systému pro vedení účetnictví a mezd Glonas 11.02 máte tyto informace:
S dodavatelem tohoto systému jsme měli od dokončení implementace několik incidentů a týkaly se nedostupnosti technické podpory a nedostatečného proškolení našich zaměstnanců pro užívání tohoto SW při implementaci. Všechny tyto spory považujeme dnes za uzavřené. Nasazením tohoto systému nevznikly žádné provozní úspory při porovnání se stavem před nasazením tohoto systému. Při průzkumu spokojenosti zaměstnanců byla odhalena nespokojenost u 18 zaměstnanců z celkových 35 zaměstnanců používající ERP systém.
Plnění 3 IT cílů, se kterými proces AI5 souvisí, se určuje pomocí 3 metrik v následující tabulce. Metriky IT cílů byly převzaty z popisu procesu „AI5- Zajištění IT zdrojů“ (Goals and Metrics) z materiálu M1.04[89-92]. Na základě textu v předchozím odstavci stanovte hodnoty metrik uvedených v následující tabulce. Všechny metriky jsou číselné. Hodnota metriky musí splňovat stanovený rozsah, který je v tabulce také uveden! Poměrové nebo procentní čísla se dosazují jako koeficient (např. 50% = 0,5).
Název metriky
Hodnota metriky
Rozsah metriky
Number of disputes related to procurements contracts
0..n
Amount of reduction of the purchasing cost
0..n
Percent of key stakeholders satisfied with suppliers
0..1
Metriky AI5 pro ERP systém Glonas
40
Příloha A
Úloha (P4.1.3) – Vypracovává pouze CIO (student č. 1)
čas: 10 min (1:15)
O specializovaném systému pro řízení logistiky Sysifos 3.0 máte tyto informace: S dodavatelem systému nemáme žádné evidované incidenty. Nasazením tohoto systému vznikly úspory dopravních nákladů při dodávání zboží zákazníkům. Průměrné náklady na kilogram nákladu na 1 km vzdálenosti byly před nasazením systému 4,82 Kč při celkovém počtu 18281 km. Po nasazení systému došlo k optimalizaci všech tras a návazných cest a průměrná cena dopravy na kilogram nákladu na 1 km vzdálenosti byla 3,66 Kč při celkovém počtu 20850 km. Při průzkumu spokojenosti zaměstnanců nebyla odhalena žádná nespokojenost z celkových 5 zaměstnanců používající tento systém. Plnění 3 IT cílů, se kterými proces AI5 souvisí, se určuje pomocí 3 metrik v následující tabulce. Metriky IT cílů byly převzaty z popisu procesu „AI5- Zajištění IT zdrojů“ (Goals and Metrics) z materiálu M1.04[89-92]. Na základě textu v předchozím odstavci stanovte hodnoty metrik uvedených v následující tabulce. Všechny metriky jsou číselné. Hodnota metriky musí splňovat stanovený rozsah, který je v tabulce také uveden! Poměrové nebo procentní čísla se dosazují jako koeficient (např. 50% = 0,5).
Název metriky
Hodnota metriky
Rozsah metriky
Number of disputes related to procurements contracts
0..n
Amount of reduction of the purchasing cost
0..n
Reduced unit costs of procured goods or services
0..n
Percent of key stakeholders satisfied with suppliers
0..1
Metriky AI5 pro logistický systém Sysifos
41
Příloha A
Úkol P4.2. Upravit katalog schválených (akreditovaných) dodavatelů ICT zdrojů. Vypracovává pouze Ředitel IT administrativy! (Student č. 2) CIO vás pověřil vytvořením katalogu schválených dodavatelů ICT ve vaší firmě. Dodavatelé ICT vaše firma zná, ale všeobecný firemní postup jejich schvalování zatím nebyl nikdy použit, a vaším úkolem je tedy postup schvalování na tyto firmy aplikovat. Pro schvalování dodavatelů bude použita tzv. SLA smlouva (Service Level Agreement). Jedná se o smluvně stanovená pravidla mezi externím dodavatelem IT služeb a odběratelem těchto služeb. V roli odběratele služeb vystupuje vaše firma. SLA se skládá z více sledovaných atributů dodávaných služeb. U každého atributu sledujeme tzv. minimální požadavky, které musí být všechny nutně splněny, jinak nemůže být obchodní vztah s tímto dodavatelem navázán. Dále se u každého sledovaného atributu dodávaných služeb sleduje tzv. „target“, což je úroveň atributu vyšší než minimální, která by pro vaši firmu byla optimální. Pomocí počtu target atributů, sledujeme úroveň SLA (např. dodavatel, který splňuje všechny minimální požadavky a splňuje dva target požadavky, má úroveň SLA 2). Přepokládejme (pro účely našeho úkolu), že po schválení představenstvem vaše firma definuje atributy SLA takto:
Atribut SLA
Technická podpora - dostupnost
Garance servisního zásahu
Pravidelná údržba (update SW)
Školení uživatelů
Minimum (musí být splněno)
Target (optimum)
všední dny od 7:00 do 18:00
24 hodin denně
do 24 hodin
do 12 hodin
jednou za půl roku
jednou za 3 měsíce
na vyžádání do 28 dnů
na vyžádání do 14 dnů
Tabulka SLA atributů
42
Příloha A
Úloha (P4.2.1) – Vypracovává Ředitel IT administrativy (student č. 2) čas: 10 min (relativní čas 1:00) Stanovte úroveň SLA u dodavatele systému pro řízení výroby Synex, pokud znáte tyto informace: Dodavatel Synex garantuje dostupnost technické podpory od pondělí do pátku od 7:00 do 20:00 a v sobotu od 8:00 do 12:00. V případě problémů v systému, které způsobují zásadní nefunkčnost (nemožnost zadávání vstupních dat, nemožnost vytvořit kritické výstupy) dodavatel garantuje servisní zásah do 12 hodin. Dodavatel vytváří nové verze svého softwaru minimálně jednou za půl roku a v rámci smlouvy má naše firma na tyto updaty licenci. Školení uživatelů se provádí na vyžádání do 14 dnů. Pracujte s tabulkou SLA atributů a s návodem ze strany 8 a určete úroveň SLA, na kterou by bylo možné uzavřít s dodavatelem smlouvu. Pamatujte, že u minimálních požadavků je třeba, aby byly splněny u všech atributů! Doplňte tabulku a vyplňte Výslednou úroveň SLA (pod tabulkou)!
Minimum (vše musí být splněno) SLA Atributy pro dodavatele Synex
ANO (zaškrtněte)
NE (zaškrtněte)
Technická podpora (hot-line)
Servisní zásah při nefunkčnosti
Pravidelná údržba (update)
Školení uživatelů
Výsledná úroveň SLA u dodavatele Synex (doplňte):
43
Target (optimum)
ANO (zaškrtněte)
NE (zaškrtněte)
Příloha A
Úloha (P4.2.2) – Vypracovává Ředitel IT administrativy (student č. 2) čas: 10 min (relativní čas 1:10) Stanovte úroveň SLA u dodavatele ERP systému (pro vedení účetnictví a mezd) Glonas, pokud znáte tyto informace: Dodavatel Glonas garantuje dostupnost technické podpory od pondělí do pátku od 8:00 do 18:00. V případě problémů v systému, které způsobují zásadní nefunkčnost (nemožnost zadávání vstupních dat, nemožnost vytvořit kritické výstupy) dodavatel negarantuje servisní zásah. Dodavatel vytváří nové verze svého softwaru minimálně jednou za půl roku a v rámci smlouvy má naše firma na tyto updaty licenci. Školení uživatelů se provádí na vyžádání do 14 dnů. Pracujte s tabulkou SLA atributů a s návodem ze strany 8 a určete úroveň SLA, na kterou by bylo možné uzavřít s dodavatelem smlouvu. Pamatujte, že u minimálních požadavků je třeba, aby byly splněny u všech atributů! Doplňte tabulku a vyplňte Výslednou úroveň SLA (pod tabulkou)!
Minimum (vše musí být splněno) SLA Atributy pro dodavatele Glonas
ANO (zaškrtněte)
NE (zaškrtněte)
Technická podpora (hot-line)
Servisní zásah při nefunkčnosti
Pravidelná údržba (update)
Školení uživatelů
Výsledná úroveň SLA u dodavatele Glonas (doplňte):
44
Target (optimum)
ANO (zaškrtněte)
NE (zaškrtněte)
Příloha A
Úloha (P4.2.3) – Vypracovává Ředitel IT administrativy (student č. 2) čas: 10 min (relativní čas 1:20) Stanovte úroveň SLA u dodavatele logistického systému Sysifos, pokud znáte tyto informace: Dodavatel Sysifos garantuje dostupnost technické podpory nepřetržitě 24 hodin denně. V případě problémů v systému, které způsobují zásadní nefunkčnost (nemožnost zadávání vstupních dat, nemožnost vytvořit kritické výstupy) dodavatel garantuje servisní zásah do 24 hodin. Dodavatel vytváří nové verze svého softwaru minimálně jednou za půl roku a v rámci smlouvy má naše firma na tyto updaty licenci. Školení uživatelů se provádí na vyžádání do 14 dnů. Pracujte s tabulkou SLA atributů a s návodem ze strany 8 a určete úroveň SLA, na kterou by bylo možné uzavřít s dodavatelem smlouvu. Pamatujte, že u minimálních požadavků je třeba, aby byly splněny u všech atributů! Doplňte tabulku a vyplňte Výslednou úroveň SLA (pod tabulkou)!
Minimum (vše musí být splněno) SLA Atributy pro dodavatele Sysifos
ANO (zaškrtněte)
NE (zaškrtněte)
Technická podpora (hot-line)
Servisní zásah při nefunkčnosti
Pravidelná údržba (update)
Školení uživatelů
Výsledná úroveň SLA u dodavatele Sysifos (doplňte): 45
Target (optimum)
ANO (zaškrtněte)
NE (zaškrtněte)
Příloha A
Úkol P4.3. Navrhnout a implementovat konkrétní změny pro snížení procesních nákladů Vypracovává CIO spolu s Ředitelem IT administrativy (Student č. 1 a Student č. 2)
Úloha (P4.3.1) – Vypracovává Ředitel IT administrativy spolu s CIO čas: 10 min (relativní čas 1:30) U metrik IT cílů procesu AI5, se kterými pracoval CIO v příkladu č. 1, je třeba stanovit význam hodnot těchto metrik. Pracujte s vypracovanými příklady CIO (úkol P4.1) a popisem procesu AI5 v části Goals and Metrics v materiálu M1.04[89-92]. Zamyslete se nad tím, co každá metrika představuje a jestli je lepší vyšší nebo nižší hodnota takové metriky. Doplňte do vět termíny: lepší nebo horší: a) Nižší hodnota metriky „Number of disputes related to procurements contracts“ představuje _________________ výsledek procesního cíle. b) Nižší hodnota metriky „Amount of reduction of the purchasing cost“ představuje __________________ výsledek procesního cíle. c) Vyšší hodnota metriky „Reduced unit costs of procured goods or services“ představuje ___________________ výsledek procesního cíle. d) Vyšší hodnota metriky „Percent of key stakeholders satisfied with suppliers“ představuje ____________________ výsledek procesního cíle.
Úloha (P4.3.2) – Vypracovává Ředitel IT administrativy spolu s CIO čas: 10 min (relativní čas 1:40) Je třeba vyhodnotit všechny naše dodavatele ICT dle metrik procesu AI5 (viz práce CIO na úkolu P4.1). S dodavatelem, který dosahuje nejhorších výsledků podle zvolených metrik, bude ukončena spolupráce.
46
Příloha A Pracujte s vypracovanými příklady CIO (úkol P4.1) a stanovte dodavatele, který v porovnání s ostatními dosahuje nejhorších výsledků zvolených metrik procesu AI5. Při vyhodnocení se řiďte výsledky úlohy P4.3.1. Hodnoty z příkladů přepište do připravené tabulky a u řádku s nejhoršími hodnotami metrik označte křížkem ve sloupci „Nejhorší hodnoty“. Na závěr odpovězte na otázky – Se kterým dodavatelem bude ukončena spolupráce a jaký druh aplikačního softwaru tento dodavatel v současnosti poskytuje.
Název
Zjištěné hodnoty metrik procesu AI5 Number of Amount of Reduced unit Percent of key disputes related reduction of costs of stakeholders to the procured satisfied with procurements purchasing goods or suppliers contracts cost services
Nejhorší hodnoty (zatrhněte)
Synex Glonas Sysifos
Spolupráce bude ukončena s dodavatelem (doplňte): Druh aplikačního softwaru, který tento dodavatel poskytuje (doplňte):
Úloha (P4.3.3) – Vypracovává Ředitel IT administrativy spolu s CIO čas: 10 min (relativní čas 1:50) V předchozí úloze jste vybrali dodavatele určitého typu aplikačního SW, se kterým bude ukončena spolupráce. Nyní je třeba najít pomocí katalogu schválených dodavatelů takového náhradního dodavatele tohoto typu aplikačního softwaru, který bude pro vaši firmu z hlediska úrovně SLA nejlepší. Všichni 3 dodavatelé v katalogu dodavatelů jsou schopny dodat jakýkoliv poptávaný typ aplikačního software. Vaše firma klade největší důraz na co nejrychlejší servisní zásah při nefunkčnosti. Pracujte s vypracovanými příklady Ředitele IT administrativy (úkol P4.2). Zjištěné hodnoty úrovní SLA a rychlosti servisního zásahu při nefunkčnosti doplňte do tabulky. Na závěr odpovězte na otázku, který dodavatel aplikačního SW by byl pro dodávku nového software 47
Příloha A nejvhodnější. Pro tento příklad předpokládáme, že všichni 3 dodavatelé jsou schopni dodat jakýkoliv druh aplikačního software. Pokud nastane situace, kdy oba dodavatelé budou mít stejnou úroveň SLA, poté je nutné zvolit toho dodavatele, který splňuje lépe ten atribut, na který klade vaše firma větší důraz. Název dodavatele
Úroveň SLA
Rychlost servisního zásahu při nefunkčnosti
Synex Glonas Sysifos
Který dodavatel aplikačního SW by byl pro dodávku nového software nejvhodnější podle zvolených úrovní SLA a podle toho, na co klade vaše firma důraz? (Odpovězte) ________________________________________________________________________
48
Příloha A Úkol 4. Výsledky práce předat CEO
Úloha (P4.4.1)
čas: 1 min (relativní čas 2:00)
Uložte práci do souboru s názvem Prijmeni_Jmeno_cvSRIS_Priklad_4.doc. Kde doplníte vaše skutečné jméno. (např. student Josef Novák uloží soubor – „Novak_Josef_cvSRIS_Priklad_4.doc“).
49
Příloha A
Správa a řízení informačních systémů – cvičení (příklad) č. 5 Studijní obor: Informační technologie Témata k procvičení: Zopakování poznatků z předchozího cvičení COBIT 5 mapování procesů na IT cíle a podnikové cíle Převody mezi metodikami COBIT 4.1 a COBIT 5 RACI matice
Vyplňte:
(relativní čas 0:05)
Příjmení a jméno studenta:
Datum:
Pro zpracování příkladu budete potřebovat tyto materiály: -
M4.01[14] (Figure 4 – COBIT 5 Enterprise Goals)
-
M4.02[15] (Figure 5 – COBIT 5 IT-related Goals)
-
M4.03[97-100] (Proces APO10)
-
M4.04[217-224] (Mapping of COBIT 4.1 to COBIT 5)
-
M4.05[225-226] (B: Detailed Mapping enterprise goals – IT-related Goals)
-
M4.06[227-229 ] (C: Detailed Mapping IT-related Goals – IT-related Processes)
-
M5.02[89-93] (Slovník pojmů COBIT 5)
-
Vypracovaný příklad č. 1 a č. 4 z předchozích cvičení
Předpokládejte tyto další informace: -
Generálním ředitelem (CEO) je lektor, který vede cvičení.
-
Ředitelem divize informačních technologií (CIO) je student zpracovávající příklad
-
Metodikou COBIT se v rámci příkladu myslí metodika COBIT ve verzi 5.
-
Pro zpracování příkladu používejte on-line anglicko-český slovník. (např. http://translate.google.cz)
-
Příklad předpokládá individuální práci jednoho studenta. Příklad č. 5 je pokračováním příkladu č. 4 z předchozího cvičení.
50
Příloha A
Situační popis příkladu:
(relativní čas 0:15)
Společnost ABC, a.s. se specializuje na výrobu značkového nábytku a na jeho maloobchodní i velkoobchodní prodej. Hlavními procesy společnosti jsou procesy příjmu objednávek, plánování výroby a stanovení přesného termínu dodání a vlastní proces dodání zboží zákazníkům s různými doplňkovými službami. Společnost již úspěšně zavedla metodiku COBIT 4.1 u procesu AI5 – Zajištění IT zdrojů. Organizace ISACA však v nedávné době zveřejnila další verzi metodiky COBIT 5. Představenstvo CIO pověřilo analýzou nové metodiky COBIT 5.
Úkol P5.1.
Výběr vhodného procesu z metodiky COBIT 5 k hlubší analýze.
Úkol P5.2.
Pověřit další členy managementu a zaměstnanců společnosti úkoly, které povedou k zavedení vybraného procesu nebo návrhu jeho zlepšení.
Úkol P5.3.
Výsledky práce předat CEO.
Úloha (P5.0.1)
čas: 30 min (relativní čas 0:20)
Pracujte se zadáním a podklady z předchozího cvičení (Příklad č. 3). Na další straně je ucelený dotazník, který se týká obsahu předcházejícího cvičení. Vypracujte samostatně. (Lektor zveřejní výsledky a studenti si opraví navzájem, poté následuje debata o chybných výsledcích.)
51
Příloha A
Dotazník k úloze P5.0.1 Vypracoval (vyplňte hůlkovým písmem): Jméno:
Příjmení:
Datum:
D1. Metrika procesu AI5: „Number of disputes related to procurements contracts“ (zakroužkujte vždy jednu z odpovědí)): a)
Může nabývat hodnot <-1; 1>, čím je číslo větší, tím je výsledek lepší.
b) Může nabývat hodnot <0; n>, čím je číslo menší, tím je výsledek lepší. c)
Může nabývat hodnot <0; 1>, nejlepším výsledkem je metrika = 1.
D2. Lze mezi sebou porovnávat dvě různé metriky stejného procesu? (zakroužkujte vždy jednu z odpovědí)): a)
Ano, pouze na jedné úrovni u jednoho procesu (např. u cílů IT procesu AI5).
b) Metriky lze porovnávat bez omezení i přes více procesů. c)
Nelze to obecně doporučit, hrozí riziko chybného porovnání. Je třeba zamyslet se nad významem obou metrik.
D3. Metriky procesu AI5 „Amount of reduction of the purchasing cost“ a „Reduced unit costs of procured goods or services“ jsou (zakroužkujte vždy jednu z odpovědí)): a)
Ve stejných jednotkách, ale nedají se přímo porovnat mezi sebou (neshodují se věcně).
b) Ve stejných jednotkách a lze je přímo porovnat. c)
V různých jednotkách (jedna vyjadřuje počet procent úspor, druhá úspory při prodeji), porovnat se nedají.
D4. Anglický termín „Stakeholders“ označuje (zakroužkujte vždy jednu z odpovědí)): a)
Veškeré osoby, které mají jakýkoliv vztah s firmou (akcionáři, zaměstnanci, stát, zákazníci, dodavatelé…).
b) Akcionáře nebo vlastníky firmy. c)
Top management.
D5. Pokud se jedná o aplikační software, tak tzv. „Key stakeholders“ jsou zejména (zakroužkujte vždy jednu z odpovědí)): a)
Přímí uživatelé softwaru – tedy nejčastěji zaměstnanci firmy, kteří s daným typem aplikace pracují.
b) Majitelé společnosti. c)
Zaměstnanci na klíčových pozicích.
52
Příloha A D6. Zkratka SLA – Service Layer Agreement znamená (zakroužkujte vždy jednu z odpovědí)): a)
Přesný seznam požadavků při poskytování služeb definovaný normou ISO.
b) Smluvní seznam požadavků na dodavatele služeb používaný zejména v IT oblasti. c)
Požadavky na odběratele IT služeb.
D7. Odpovězte vlastními slovy – Co znamená termín minimální a „target“ požadavek u SLA (zakroužkujte vždy jednu z odpovědí)):
Minimální požadavek:
__________________________________________________________________________________________
Target požadavek:
__________________________________________________________________________________________
Odpovědi testu zkontroloval (vyplňte hůlkovým písmem): Jméno:
Příjmení:
Podpis:
53
Příloha A
Úloha P5.1. Výběr vhodného procesu z metodiky COBIT 5 k hlubší analýze Společnost se rozhodla při zavedení metodiky COBIT 5 postupovat tak, že vybrala Podnikový cíl (Enterprise Goal) – „Zákaznicky orientovaná kultura služeb“. V tomto cíli vaše společnost vidí prostor pro zlepšování výnosů a úsporu nákladů. Protože jsou cíle seskupené podle BSC dimenzí – společnost se zaměřuje zejména na cíle, které jsou v dimenzi „Zákazník“
Úloha (P5.1.1)
čas: 10 min (relativní čas 0:50)
U podnikatelského cíle – Zákaznicky orientovaná kultura služeb určete primární a sekundární vztahy ke governance cílům (Governance objectives). Pracujte s tabulkou „Figure 4 – COBIT 5 Enterprise Goals“ v materiálu M4.01[14]. Do příslušných polí tabulky zapište buď písmeno P (primární vztah) nebo S (sekundární vztah)
Vztah ke governance cílům
BSC Dimenze
Podnikatelský cíl
Zákazník
Zákaznicky orientovaná kultura služeb
Realizace zisku (P/S)
Úloha (P5.1.2)
Optimalizace rizika (P/S)
Optimalizace zdrojů (P/S)
čas: 10 min (relativní čas 1:00)
Zjistěte, které IT cíle přísluší BSC dimenzi „Zákazník“ Pracujte s tabulkou „Figure 5 – COBIT 5 IT-related Goals“ v materiálu M4.02[15]. Vypište do připravené tabulky české názvy příslušných IT cílů (Information and Related Technology Goals) u dimenze „Zákazník“
BSC Dimenze
Název IT Cíle
Zákazník
54
Příloha A
Úloha (P5.1.3)
čas: 10 min (relativní čas 1:10)
V minulé úloze jsme nalezli dva IT cíle, které souvisí s BSC dimenzí „Zákazník“. Nyní je potřeba vybrat pouze jeden IT cíl, který bude dále implementován a který má primární vztah s podnikatelským cílem: „Zákaznicky orientovaná kultura služeb“. Určete, který ze dvou IT cílů z předchozí úlohy se primárně mapuje na podnikatelské cíle u dimenze „Zákazník“. Pracujte s přílohou B v materiálu M4.05[225-226]. Nalezněte a zapište česky do tabulky, který z IT cílů (IT-related Goal) z dimenze zákazník se primárně (P) mapuje na podnikatelský cíl (Enterprise Goal)“Zákaznicky orientovaná kultura služeb“.
Název IT Cíle:
Úloha (P5.1.4)
čas: 5 min (relativní čas 1:20)
Nyní je třeba vybrat proces metodiky COBIT 5 k další implementaci. Z nabídnutých procesů vyberte ten, který má primární vztah k IT cíli, kde je BSC dimenze „Zákazník“. Pracujte s přílohou C v materiálu M4.06[227-229]. Zatrhněte v tabulce, který z procesů COBIT (COBIT 5 Processes)má primární vztah k IT cíli, který přísluší BSC dimenzi „Zákazník“.
Kód procesu
Zvolte (zatrhněte)
Název procesu COBIT 5
APO03
Řízení podnikatelské architektury
DSS01
Řízení operací
APO10
Řízení dodavatelů
55
Příloha A
Úloha (P5.1.5)
čas: 15 min (relativní čas 1:25)
Vaše firma má úspěšně implementovaný kontrolní cíl procesu metodiky COBIT (verze 4.1) AI5 – „Výběr dodavatelů“. Zjistěte, jaký proces řeší stejnou manažerskou praktiku v metodice COBIT 5 a jaké kontrolní cíle COBIT (verze 4.1) AI5 se mapují na příslušné manažerské praktiky COBIT (verze 5). Pracujte s přílohou A v materiálu M4.04[217-224]. Odpovězte na otázku. Doplňte v tabulce české názvy manažerských praktik (původně v COBIT 4.1 Control objectives) a doplňte kódy manažerských praktik v nové metodice COBIT 5.
a) Na jakou manažerskou praktiku metodiky COBIT (verze 5) se mapuje kontrolní cíl procesu AI5 metodiky COBIT (verze 4.1) „Výběr dodavatelů“ (doplňte): ___________________________________________________________ b) Doplňte tabulku: Kontrolní cíl COBIT 4.1
Kód manažerské praktiky COBIT 5
Název kontrolního cíle česky
AI5.1 AI5.2 AI5.3 AI5.4
56
Příloha A
Úkol P5.2. Pověřit další členy managementu a zaměstnanců společnosti úkoly, které povedou k zavedení vybraného procesu nebo návrhu jeho zlepšení Představenstvo zadalo CIO úkol – nalézt všechny pozice, které se budou podílet na implementaci manažerské praktiky APO10.02 – Výběr dodavatelů.
Úloha (P5.2.1)
čas: 10 min (relativní čas 1:40)
U manažerské praktiky „APO10.02 Výběr dodavatelů“ zjistěte, kdo je právně zodpovědný a kdo má zodpovědnost za implementaci tohoto procesu. Pracujte s popisem procesu APO10 v materiálu M4.03[97-100]. Pracujte s RACI tabulkou, připomeňte si co jednotlivá písmena v RACI matici znamenají (použijte vypracovaný příklad č. 1, úloha P1.2.1). Doplňte do tabulky české názvy pozic pracovníků, kteří mají právní zodpovědnost, a kteří mají zodpovědnost danou manažerskou praktiku implementovat. Můžete použít i obecnou anglickou zkratku pozice.
Název pozice pracovníka u manažerské praktiky APO10.02 Má právní zodpovědnost Má zodpovědnost
57
Příloha A
Úkol P5.3. Výsledky práce předat CEO
Úloha (P5.3.1)
čas: 1 min (relativní čas 1:50)
Uložte práci do souboru s názvem Prijmeni_Jmeno_cvSRIS_Priklad_5.doc. Kde doplníte vaše skutečné jméno. (např. student Josef Novák uloží soubor – „Novak_Josef_cvSRIS_Priklad_5.doc“).
58
Příloha A
Správa a řízení informačních systémů – cvičení (příklad) č. 6 Studijní obor: Informační technologie Témata k procvičení: Zopakování poznatků z předchozího cvičení Metriky COBIT 5 a porovnávání jejich hodnot Hodnocení schopností procesu
Vyplňte:
(relativní čas 0:05)
Příjmení a jméno studenta:
Datum:
Pro zpracování příkladu budete potřebovat tyto materiály: -
M4.03[97-100] (Proces APO10)
-
M5.01[41-45] (Process Capability model)
-
M5.02[89-93] (Slovník pojmů COBIT 5)
-
Vypracovaný příklad č. 5 z předchozího cvičení
Předpokládejte tyto další informace: -
Generálním ředitelem (CEO) je lektor, který vede cvičení.
-
Ředitelem divize informačních technologií (CIO) je student zpracovávající příklad
-
Metodikou COBIT se v rámci příkladu myslí metodika COBIT ve verzi 5.
-
Pro zpracování příkladu používejte on-line anglicko-český slovník. (např. http://translate.google.cz)
-
Příklad předpokládá individuální práci jednoho studenta. Příklad č. 6 je pokračováním příkladu č. 5 z předchozího cvičení.
59
Příloha A
Situační popis příkladu:
(relativní čas 0:15)
Společnost ABC, a.s. se specializuje na výrobu značkového nábytku a na jeho maloobchodní i velkoobchodní prodej. Hlavními procesy společnosti jsou procesy příjmu objednávek, plánování výroby a stanovení přesného termínu dodání a vlastní proces dodání zboží zákazníkům s různými doplňkovými službami. Vedení společnosti rozhodlo zaměřit svou pozornost na snížení procesních nákladů u svých dodavatelů a rozhodlo o implementaci procesu APO10. Představenstvo CIO zadalo tyto úkoly:
Úkol P6.1.
Zjistit vhodné metriky a systém jejich vyhodnocování pro proces APO10.
Úkol P6.2.
Definovat hodnocení schopností u procesu APO10.
Úkol P6.3.
Výsledky práce předat CEO.
Úloha (P6.0.1)
čas: 30 min (relativní čas 0:20)
Pracujte se zadáním a podklady z předchozího cvičení (Příklad č. 3). Na další straně je ucelený dotazník, který se týká obsahu předcházejícího cvičení. Vypracujte samostatně. (Lektor zveřejní výsledky a studenti si opraví navzájem, poté následuje debata o chybných výsledcích.)
60
Příloha A
Dotazník k úloze P6.0.1 Vypracoval (vyplňte hůlkovým písmem): Jméno:
Příjmení:
Datum:
D1. Co znamená zkratka BSC? (zakroužkujte vždy jednu z odpovědí): a)
Business Science
b) Balanced Scorecard c)
Buy – Save - Count
D2. BSC dělí ukazatele do čtyř kategorií (perspektiv) – které to jsou? (zakroužkujte vždy jednu z odpovědí): a)
Business, Ethic, Economic, Growth
b) Supplier, Customer, Employee, Manager c)
Financial, Customer, Internal, Learning and Growth
D3. Jaký vztah mají tzv. podnikové a IT cíle v metodice COBIT 5 (zakroužkujte vždy jednu z odpovědí): a)
IT cíle jsou podřízeny podnikovým cílům
b) IT cíle a podnikové cíle nemají žádný vztah c)
IT cíle jsou nadřízeny podnikovým cílům
D4. Vztahy mezi podnikovými cíli, IT cíli a procesy COBIT 5 jsou definovány pomocí (zakroužkujte vždy jednu z odpovědí): a)
Přímých vazeb
b) Primárních a Sekundárních vazeb c)
Cílů procesů
D5. Vztah mezi podnikatelským cílem a IT cílem typu „P“ znamená že (zakroužkujte vždy jednu z odpovědí): a)
IT cíl přímo podporuje primárně tento podnikatelský cíl
b) IT cíl je podřízen podnikatelskému cíli c)
Vztah typu „P“ je méně důležitý. Nejdůležitější je vztah typu „S“
61
Příloha A D6. Tzv. „Enablery“ v COBIT 5 jsou (zakroužkujte vždy jednu z odpovědí): a)
Předpisy, Procesy, Organizační struktury, Kultura a chování, Informace, Služby–aplikace– Infrastruktura, Lidé
b) 5 základních principů COBIT c)
Podnikatelské cíle
D7. Odpovězte vlastními slovy – Co znamená 1. princip COBIT 5: „Meeting stakeholder needs“:
__________________________________________________________________________________________
Odpovědi testu zkontroloval (vyplňte hůlkovým písmem): Jméno:
Příjmení:
Podpis:
62
Příloha A
Úkol P6.1. Zjistit vhodné metriky a systém jejich vyhodnocování pro proces APO10.02 Pro vyhodnocení procesu jednotlivých dodavatelů je nutné definovat sadu metrik, pomocí které bude hodnocení provedeno. Najděte relevantní metriky a rozhodněte o způsobu jejich vyhodnocení v katalogu dodavatelů.
Úloha (P6.1.1)
čas: 10 min (relativní čas 0:50)
V procesu APO10 vyhledejte všechny metriky, které přísluší k IT cíli „Dodávka IT služeb, které se shodují s obchodními požadavky“. Pracujte s popisem procesu APO10 v materiálu M4.03[97-100] na str. 97. Doplňte tabulku českými názvy všech tří metrik u IT cíle „Dodávka IT služeb, které se shodují s obchodními požadavky“.
Druh cíle Název cíle
IT cíl
České názvy metrik
Dodávka IT služeb, které se shodují s obchodními požadavky
Úloha (P6.1.2)
čas: 10 min (relativní čas 1:00)
Najděte praktiku, která vstupuje do manažerské praktiky pro APO10.02 (Výběr dodavatelů). Pracujte s popisem manažerské praktiky APO10.02 v materiálu M4.03[97-100] na str. 98. Doplňte kód manažerské praktiky (management practice), která vstupuje (input) do manažerské praktiky APO10.02. Zjistěte název této manažerské praktiky a zapište ho do tabulky česky. Kód manažerské praktiky
Český název manažerské praktiky (doplňte)
63
Příloha A
Úloha (P6.1.3)
čas: 10 min (relativní čas 1:10)
U metrik procesu APO10 z úlohy P6.1.1 je třeba stanovit význam hodnot těchto metrik.
Zamyslete se nad tím, co každá metrika představuje a jestli je lepší vyšší nebo nižší hodnota takové metriky. Doplňte do vět termíny: lepší nebo horší:
e) Nižší hodnota metriky „Number of business disruptions due to IT service incidents“ představuje _________________ výsledek procesního cíle. f) Nižší hodnota metriky „Percent of business stakeholders satisfied that IT service delivery meets agreed-on service levels“ představuje __________________ výsledek procesního cíle. g) Vyšší hodnota metriky „Percent of users satisfied with the quality of IT service delivery“ představuje ___________________ výsledek procesního cíle.
Úloha (P6.1.4)
čas: 15 min (relativní čas 1:20)
V katalogu dodavatelů aplikačního SW vyhodnoťte dodavatele s nejhoršími hodnotami zvolených metrik z procesu APO10.
Vyberte z tabulky níže toho dodavatele, který bude mít ve všech sledovaných metrikách nejhorší výsledek. Pracujte s výsledky předchozí úlohy ( P6.1.3).
64
Příloha A
Název dodavatele
Firma A Firma B Firma C Firma D Firma E
Hodnota metriky APO10 Number of Percent of Percent of users business business satisfied with disruptions due stakeholders the quality of IT to IT service satisfied that IT service delivery incidents service delivery meets agreedon service levels 0 1 0 3 0
0,921 0,528 0,944 0,231 1,000
0,911 0,495 0,977 0,211 1,000
Název dodavatele s nejhorší hodnotou metrik (doplňte):____________________
65
Příloha A
Úkol P6.2. Definovat hodnocení schopností u procesu APO10 CEO vás pověřil analýzou nového modelu hodnocení procesů v metodice COBIT 5. Jedná se o nový model schopností procesu (Process Capability Model), který nahrazuje model zralosti (Process Maturity Model) známý z předchozí verze metodiky COBIT 4.1.
Úloha (P6.2.1)
čas: 10 min (relativní čas 1:35)
Odpovězte na otázky představenstva, čím se liší nová metodika hodnocení procesů. Pracujte s popisem nového modelu hodnocení v materiálu M5.01[41-45]. Zapište odpovědi na otázky níže.
a) Kolik celkem má hodnotících stupňů nová metodika hodnocení schopností procesů? _________________________________________________________________ b) Z jaké mezinárodní normy vychází nová metodika hodnocení procesů? _________________________________________________________________ c) Je metodika hodnocení schopností procesů výsledkově shodná s hodnocením zralosti procesů? Napište název tabulky, která porovnává úrovně staré a nové metodiky. _________________________________________________________________
Úloha (P6.2.2)
čas: 5 min (relativní čas 1:45)
Stanovte úroveň schopností procesu APO10, jestliže víte, že současné hodnocení procesu AI5 (metodika COBIT 4.1) je na úrovni 3 (Defined Process). Pro tento případ uvažujeme, že proces APO10 a proces AI5 (COBIT 4.1) jsou naprosto shodné. Pracujte s materiálem M5.01[41-45. Doplňte odpověď na otázku: Úroveň hodnocení schopnosti procesu APO10 je: __________________________________
66
Příloha A
Úkol P6.3. Výsledky práce předat CEO
Úloha (P6.3.1)
čas: 1 min (relativní čas 1:50)
Uložte práci do souboru s názvem Prijmeni_Jmeno_cvSRIS_Priklad_6.doc. Kde doplníte vaše skutečné jméno. (např. student Josef Novák uloží soubor – „Novak_Josef_cvSRIS_Priklad_6.doc“).
67
Příloha B – Klíč řešení úloh k procvičení metodiky COBIT Příloha je součástí archivu diplomové práce v informačním systému BIVŠ. V tomto textu dále není uvedena z důvodu ochrany před zneužitím výsledků příkladů neoprávněnými osobami, aby nedocházelo ke znehodnocení výuky.