Korporativno upravljanje informatikom i IT revizija IT Governance

Korporativno upravljanje informatikom i IT revizija (IT Governance, IT Risk Management, IT Audit) PDS Menadžment poslovnih sustava FOI, Varaždin Kolegij: IS za poslovno upravljanje Prof. dr. sc. Mario Spremić Ekonomski fakultet Zagreb Copyright © dr. M. Spremić 1

Teme • Korporativno upravljanje informatikom • Upravljanje IT rizicima i kontrole informacijskih sustava • Revizija informacijskih sustava • Metode: Cobi. T, ITIL, Val IT, So. X, ISO 17799, ISO 27001, IT Balanced Scorecard 2

1. Tema: Korporativno upravljanje informatikom • Što je IT Governance? • Strateško planiranje informatike • Kako odrediti ‘optimalnu’ ulogu informatike u poslovanju? • Kako ocijeniti uspješnost provedbe strategije informatike • Metode: Cobi. T, Val IT, ITIL, IT Balanced Scorecard 3

Korporativno upravljanje i informatika • Je li nam IT/IS važna u poslovanju? Zašto i u kojoj mjeri nam treba IT/IS? • Koja je poslovna vrijednost IT/IS? Koji su rizici korištenja IT/IS? • Kakva je kvaliteta usluge koju IT/IS nudi? • Kako učinkovito i optimalno koristiti IT/IS u organizaciji? • Što ćemo (možemo li) bez IT/IS? Kako (koliko) uložiti u IT/IS? • Koliki je povrat ulaganja u IT/IS? • Je li trenutna informacijska infrastruktura usklađena s potrebama i ciljevima poslovanja? • Znamo li odrediti prioritetne IT/IS projekte i možemo li procijeniti njihov doprinos poslovanju? • Može li naša informacijska infrastruktura odgovoriti i budućim potrebama poslovanja? 4 • Koja IT/IS misija, ciljevi, strategije i arhitektura su nužni da bi

Što je korporativno upravljanje informatikom (IT Governance)? Skup tehnika i metoda kojima najviši menadžment 'ovladava' primjenom informatike u poslovanju, ali i preuzima odgovornost za provedbu informatičkih procesa i svih aktivnosti. To je sastavni dio procesa korporativnog upravljanja. 5

IT Governance – korporativno upravljanje informatikom Sarbanes-Oxley zakon, 2002: Izvršni menadžment i najviša tijela upravljanja kompanijom postaju odgovorna za sva važna pitanja upravljanja informatikom, poput: • donošenje i implementacije strategije informatike, • čvrsto povezivanje strategije poslovanja i strategije informatike, odnosno određivanje optimalne uloge informatike u poslovanju, • donošenje metrika kojima se mjeri utjecaj informatike na poslovanje i mjeri poslovna vrijednost informatike, • korporacijsko i sveobuhvatno upravljanje informatičkim rizicima, • učinkovito upravljanje informatičkim projektima i ulaganjima, i • odgovornost za učinkovitost sustava informatičkih kontrola. 6

Što obuhvaća korporativno upravljanje informatikom? • Povezivanje poslovne strategije informatike (Strategic Alignment) • Informatika kao funkcija koja stvara novu vrijednost (Value Delivery) • Optimalna ulaganje i dobro upravljanje kritičnim informatičkih resursima – ljudima, mrežom, podacima, aplikacijama, projektima, infrastrukturom (Resource Management) • Razumijevanje i upravljanje korporativnim rizicima, ‘corporate appetite for risk’, sustav stalnog praćenja razina rizika, određivanje protumjera (Risk Management) • Praćenje performansi poslovanja i mjerenje uspješnosti - provedbe strategije, projekata, praćenje performansi poslovnih procesa i/ili usluga, itd. (Performance Measurement) 7

Što CEOs misle o IT? • IT je više nego ikad kritična za poslovanje – 87% IT je važan dio poslovne strategije – 63% IT je redovita ili stalna tema Uprave • CEOs imaju pozitivniji stav o IT-u nego CIOs • IT/telekom i financijske usluge imaju bolje rezultate u provedbi IT strategije • Upravljanje ljudskim resursima najveći IT problem • IT outsourcing je ‘out’ 8

Ciljevi IT ulaganja 9

Problemi oko IT ulaganja • Slab ROI, neadekvatno mjerenje produktivnosti IT ulaganja • Više od 30% projekata – negativni ROI • IT i poslovna strategija nisu usklađeni (40%) 10

IT Governance i CEO 11

Koje probleme ima CIO? 12

Koliko IT doprinosi boljim poslovnim rezultatima (Value of IT)? 13

Odgovornost za vođenje IT-a 14

Korporativno upravljanje informatikom - strategic alignment • • Nedostaci i problemi postojećeg IS Ciljevi, razlozi, očekivani učinci novog IS Scenariji, opcije Plan projekta, studija izvedivosti (tehnološka, financijska, organizacijska) • Detaljna financijska analiza svake opcije (TCO, ROI, IRR, CBA) – u > 70% IT investicija ne postavlja se pitanje učinkovitosti – u > 80% IT investicija CIO ne razumije vezu poslovanje – IT – 83% CIO bavi se samo tehničkom stranom primjene IT-a i interesiraju ih poslovni učinci • Odabir optimalne, preporuke za implementaciju i vođenje projekta • ‘Skladan brak’ poslovnih ciljeva i IT • Usklađivanje ulaganja u IS obzirom na poslovne ciljeve • primjer SPIS-a 15

16

Različite strategije poslovanja i strategije IS 17

Problemi u razvoju strategije IS • Nezainteresiranost menadžmenta • Loš imidž IT u kompaniji • Nedostatak vremena • Strategiju imamo, ali je nismo implementirali • Dugotrajan razvoj strategije IS ‘Success factors’ za SISP • Uključenost i predanost najvišeg menadžmenta • Podrška najvišeg menadžmenta • ‘Sponzorstvo’ menadžmenta • Imamo li poslovnu strategiju? • Dobro analizirati poslovanje, a ne samo tehnologiju • Dobar IT menadžment (CIO) 18

Kako odrediti strategiju informatike? • ‘defensive IT’ – u kojoj mjeri kompanija ovisi o troškovno učinkovitoj, sigurnoj, pouzdanoj tehnološkoj infrastrukturi • ‘offensive IT’ – u kojoj mjeri kompanija ovisi o informatici kao sredstvu postizanja i održavanja konkurentske prednosti, stvaranja nove vrijednosti ili ponude bolje usluge kupcima 19

‘Defensive IT’ (‘support mode’) – podrška poslovanju • • IT važna kao operativna infrastruktura Pouzdanost i dostupnost IT infrastrukture manje važna (nije kritična) IT se koristi kao podrška aktivnostima zaposlenih Zara – IT for fast fashion: striktna kontrola lanca nabave (SCM) Ključni poslovni procesi se odvijaju u ‘skupnoj’ obradi Korekcije i ‘back-up’ se odvijaju ručno Čak i dulji ispadi rada IS ne utječu na odvijanje poslovanja Ključna pitanje za Upravu (IT Audit Committee): – Trebamo li (možemo li) ostati pri ovoj strategiji primjene informatike? – Što rade naši trenutni i budući konkurenti po tome pitanju? – Koristimo li učinkovito IT infrastrukturu? – Kakva je poslovna vrijednost naše informatike? IT ROI? – Treba li i kada mijenjati strategiju informatike? – Koji su rizici, a koje koristi takve promjene? – Trošimo li ‘pametno’ novac koji ulažemo u informatiku? Možemo li bolje, ‘pametnije’? 20

Case study: Zara – usklađenje poslovne i IS strategije • 1975. Zaru osnovao Amancio Ortega, koji je 2003. bio najveći dioničar i najbogatiji čovjek u Španjolskoj • 1985. osnovan holding Inditex (www. inditex. com) koji se pored modne marke Zara (www. zara. com) sastoji i od ostalih prodajnih lanaca i mreže dobavljača u svojem vlasništvu • Temelj poslovnog modela (poslovna strategija) – ‘brza moda’ – maksimalno skraćivanje poslovnog ciklusa (14 dana) – česte promjena asortimana, stalno privlačenje kupaca u prodavaonice – munjevita reakcija na zahtjeve tržišta, decentralizacija i autonomija odlučivanja na nižim razinama, a ne rigidna kontrola troškova – bez reklamnih kampanja, bez intenzivnog oglašavanja (2 puta godišnje u časopisima), 21 – potpuna autonomija odlučivanja (svi se krojevi mogu

Zara – ‘fast fashion’ poslovni model • Poslovni ciklus traje 14 dana - 12 puta brži nego kod konkurencije (Gap) • Trošak promocije 0, 3% ukupnog prihoda (H&M, Gap, Benetton oko 10 -ak puta više) • 75% asortimana u dućanima mijenja se svako 34 tjedna (svaki tjedan u svaki dućan dolazi 200 novih modela) • Više od 1600 prodajnih mjesta u 50 -ak zemalja na 4 kontinenta • Vlastita - centralna proizvodnja u La Coruni, naručivanje robe dva puta tjedno od strane svake poslovne jedinice (handheld računala) 22

Zara – ‘fast fashion’ poslovni model • Dostava i distribucija – vlastita logistika (zrakoplovi, prijevozna sredstva, DC-i), traje najdulje 48 sati, neprodane robe ima oko 10%, nova roba se prodaje i proizvodi u ograničenim količinama • ‘Fast fashion’ - odjeća u dućane stiže na vješalicama, s cijenama i spremna za prodaju (jeftinije bi bilo klasično – u kutijama, ali to bi usporilo proces) • Kontrola opskrbnog lanca • Iscrpna analitika ponašanja kupaca (npr. Zarini kupci dućane u prosjeku posjećuju 17 puta godišnje, dok u centralnom Londonu samo oko 234 puta)

Zara – IT for fast fashion • Nema formalnog CIO-a • Vlasnik i CEO oformili posebni IT Odbor (IT Steering Committee) koji brine o strateškim IT odlukama • Salgado (CIO u Inditexu) i Castellano (Inditex CEO, ali i bivši CIO) gotovo svakodnevno raspravljaju o važnim IT/IS projektima • Informacijska (IT/IS) strategija: – što više ključnih aplikacija, dijelova IS imati pod vlastitom kontrolom – podrška ključnim prednostima poslovnog modela (brzina i autonomija odlučivanja), čak i na uštrb 100% točnih podataka – jednostavna, pouzdana IT/IS infrastruktura (DOS) koju svi razumiju i prihvaćaju, jednostavno održavanje, minimalan broj ljudi na održavanju – ‘domaća’ IT radna snaga, izrazito motivirana, 50 -ak ljudi, 1 čovjek napustio IT odjel u proteklih 10 godina • Salgado (CIO u Inditexu): skupo je održavati 100% točnost podataka u upravljanju zalihama, dovoljno je 9524 98%

Zara – IT for fast fashion • 50 -ak ljudi u IT/IS odjelu koji su samostalno razvili sve aplikacije (računovodstvo, naručivanje, dostava, veze IS i handheld računala) • IT podrška minimalna i učinkovita (0, 5% ljudi radi u IT-u, dok je kod konkurencije taj udio 2, 5%) • IS odjel ima tri pod-odjela: – Store Solutions, – Logistics Support, – Admistrative Systems • IT podrška svim mjestima prodaje (1600 mjesta prodaje u 50 -ak zemalja na 4 kontinenta) je iz centrale, iz La Corune 25 • Posebnost: dugo godina su radili na DOS-u,

Zara – IT for fast fashion • Krajnje jednostavna informacijska infrastruktura – Store Solutions: sva Zara mjesta prodaje imaju handhelde (uvedeni 1995. ) i POS sustave – POS terminali u svakoj prodavaonici su ostali netaknuti gotovo desetljećima: još uvijek rade na DOS-u, kojega i Microsoft od 2003. više ne podržava – Zara ne odustaje od DOS-a jer su samostalno razvili aplikacije koje pouzdano, točno i bez gotovo ikakvog održavanja rade već godinama – Prodajno osoblje samostalno održava aplikaciju i POS terminal – Kada se otvori novo prodajno mjesto, njegov manager jednostavno ubaci dvije instalacijske diskete u 'prazan' POS terminal – Rezultat: IT podrška minimalna, nema potrebe za zapošljavanjem velikoj broja ljudi koji bi radili na održavanju (0, 5% ljudi radi u IT-u, kod konkurencije 2, 5%) • Pitanja: – Može li jedna brzo rastuća kompanija dugoročno ‘očuvati’ ovako 26 jednostavnu informacijsku infrastrukturu temeljenu na DOS-u?

• ‘Defensive IT’ (factory mode) – operativna važnost • • IT podržava kritične poslovne procese i ‘proteže’ se do dobavljača, kupaca, okruženja Većina poslovnih procesa su ‘online’, izrazito se koristi ekstranet Kompanija treba visoko pouzdanu, sigurnu i ‘uvijek’ dostupnu IT Kompanija treba zrelu, ne pomodnu IT Ako IT nije u funkciji kompanija ‘trpi’ velike štete i kritične zastoje u radu Business continuity kritičan Koje kompanije mogu koristiti ovu strategiju informatike? • Ključna pitanje za Upravu (IT Audit Committee): • • – Pitanja koja vrijede za ‘support mode’ + – Kontroliramo li procedure oporavka poslovanja? – Je li se što promijenilo u procedurama oporavka poslovanja što bi moglo utjecati na kontinuitet poslovanja? – Pratimo li ‘primjerenost’ naše IT infrastrukture (hardver, softver, ‘stare’ aplikacije, mreže, . . )? Jesu li one aktualne, zrele, adekvatne? – Imamo li adekvatne procedure zaštite IT-a i upravljamo li IT rizicima? – Jesmo li odredili ‘ključne’ brojke koje znače performanse informatike? – Korporativno upravljanje IT rizicima? – Imamo li procedure i organizaciju rada koja omogućuje pružanje 24/7 dostupnost sustava i pružanje odgovarajuće razine kvalitete usluge? 27

‘Offensive IT’ (turnaround mode) – pretvorbeni način • • • IT koristimo kao sredstvo i polugu radikalne promjene poslovanja s ciljem postizanja strateške konkurentske prednosti Koriste ga kompanije koje su ‘usred’ transformacije poslovanja i provođenja novih ‘ofenzivnih’ strategija poslovanja Kompanije mogu relativno kratko vrijeme ‘koristiti’ ovu strategiju – – • Te kompanije intenzivno troše na IT s nadom postizanja značajne strateške prednosti U tome razdoblju manja je potreba za pouzdanim, neprekidnim sustavom, postojeći sustavi su dovoljno ‘jednostavni’ i mogu se kontrolirati i ručnim procedurama • • Kompanije obično ‘ulaze’ u ovu strategiju informatike kada pokreću velike IT projekte i velike reinženjerske projekte (projekte radikalnih promjena poslovnih procesa, inovacije poslovanja, itd. ) Primjeri: SABRE, Ryanair, Metro, Wal-Mart (RFID) Koje kompanije mogu koristiti ovu strategiju informatike? • Ključna pitanje za Upravu (IT Audit Committee): – – – Pitanja koja vrijede za ‘support mode’ + Provode li se aktivnosti iz strateškog IT plana? Kontrola provedbe strategije informatike? Jeli naša struktura aplikacija dovoljna za ‘obranu’ konkurentske pozicije (prijetnje novih konkurenata i iskorištavanje potencijalnih prilika)? Možemo li mi i znamo li prepoznati i iskoristiti stratešku IT priliku? Znamo li mi dovoljno o pravoj naravi strateških IT projekata? Znamo li mi kontrolirati IT rizike? Možemo li kontrolirati troškove, kvalitetu i vrijeme provedbe IT projekta? Jesu li velika ulaganja u informatiku opravdana? Vodi li nas ‘ovaj put’ prema strateškoj konkurentskoj prednosti? A što ako ne uspijemo? Razumije li Uprava ova pitanja? Spending mantra: ‘Don’t screw it up’ 28

‘Offensive IT’ (strategic mode) – strateška važnost • • • ‘Keep the innovation pace’ – IT se koristi kao sredstvo stalne inovacije poslovanja s ciljem održavanja konkurentske prednosti Uporaba postojećih sustava nam omogućuje konkurentsku prednost, no, o njihovom unaprjeđenju ovisi hoćemo li je i u budućnosti imati Veliki troškovi, ulaganja u IT – Intenzivna IT ulaganja s ciljem postizanja buduće strateške prednosti – Intenzivna IT ulaganja u pouzdan, neprekidan rad ‘postojećih’ sustava • • • Neke kompanije su i prisiljene stalno ‘koristiti’ ovu strategiju informatike (procesna industrija, autoindustrija, zrakoplovna, …) Koje kompanije mogu koristiti ovu strategiju informatike? Ključna pitanje za Upravu (IT Audit Committee): – – – Pitanja za ‘support mode’ + Pitanja za ‘factory mode’ + pitanja za ‘turnaround mode’ + Razumije li Uprava ova pitanja? Spending mantra: ‘Spend what it takes and monitor results like crazy’ 29

Vizije i analiza – utjecaj na ciljeve poslovanja ‘Prilike’ za IS Poslovni cilj Profitabilnost, smanjenje troškova Rast poslovanja na svim tržištima, globalno poslovanje Tehničke inovacije, inovacije proizvoda Usluga prema kupcima Kvaliteta proizvoda / usluge Izvještajni sustav za izvršne menadžere koji sadrže svježe podatke o ključnim metrikama poslovanja Automatizirani SCM, e-SCM, poboljšani alati za prognoziranje Napredna analiza cijena, troškova, marži, prihoda, …. Smanjenje IS troškova, standardizirani alati, hardver, … Redizajn i poboljšanje procesa naručivanja E-poslovanje i širenje tržišta, globalni doseg Aplikacije robusne da mogu podržati globalno poslovanje Podrška procesu razvoja novih proizvoda Document management, podrška upravljanju projektima, ROI Fleksibilni konfiguratori proizvoda, simulatori proizvoda, CAD, . . CRM, e-poslovanje, online servisi, naručivanje i praćenje proizv. Dodatni kanali komunikacije s kupcima Document management, metrike kvalitete Softver za ‘business process mapping’, TQM, ISO, …. Napredna (statistička) analiza poslovanja Automatizirana kontrola procesa kvalitete 30

Radionica • Koja je poslovna strategija kompanije? • Koji su strateški ciljevi poslovanja? Kako IS može pomoći ostvarenju svakog pojedinog cilja (‘prilike’ za IS)? • Odredite ‘optimalnu ulogu’ informatike u poslovanju • Odredite prioritetne IT projekte • Odredite prioritete ulaganja u informatiku 31

IT governance modeli – COBIT • Metoda koja omogućuje procjenu zrelosti poslovnih procesa informatike i procjenu zrelosti upravljanja i vođenja IT (ocjena od 0 do 5) • Sveukupna ocjena za IT ili parcijalne ocjene za pojedine dijelove (34 IT procesa, odnosno cilja kontrole) • 34 IT procesa (cilja kontrole) i 318 detaljnih kontrola • COBIT pregled • Case Study Cobi. T - Revizija IS Coca- 32

IT governance modeli –Val IT • Metoda koja omogućuje procjenu poslovne vrijednosti IT-e kroz analizu isplativosti IT ulaganja • Tri ključna procesa: – Value governance – Portfolio 33

IT governance modeli – IT Balanced Scorecard – Poslovna vrijednost IT-a • Financijski rezultati IT-a, ROI, TCO, IRR, novčani tijek IT projekata, transakcijski troškovi prije i poslije implementacije IT projekta, metrika poslovnih procesa – Razina zadovoljstva korisnika • Ankete o zadovoljstvu ponuđenom uslugom, IT osobljem, održavanjem, pouzdanosti sustava, jednostavnosti uporabe, – Performanse procesa • Metrika internih procesa, broj sigurnosnih incidenata, …. – Prilagodljivost i skalabilnost 34

IT governance modeli – IT Balanced Scorecard 35

2. Tema: Upravljanje IT projektima i ulaganjima • Zašto IT projekti ne uspijevaju? • Metode upravljanja rizicima IT projekata • Metode: PMBOK, Cobi. T, Val IT 36

IT - strateško oružje poslovanja (raspodjela IT ulaganja) • IT productivity paradox • Od ukupnog troška od 20 mil. $ na ERP sustav – 3 mil. $ dobavljaču softvera – 1 mil. $ kupnja dodatne opreme – 16 mil. $ - ‘supporting’ costs - business process redesign, vanjski konzultanti, trening, menadžersko vrijeme, …. – 10: 1 – odnos između ulaganja u IT (tehnologiju) i ulaganje u novi način rada (‘supporting’ costs) – Prosječan povrat ulaganja (ROI) je nakon 5 godina Izvor podataka: Financial Times (2003), MIT 37

IT Value Delivery • 2002 Gartner – 20% IT troškova su nepotrebni, rasipni (‘annual value destruction’ – 600 milijardi USD) • 2004 IBM Fortune 1000 CIO anketa – 40% IT troškova nisu donijeli nikakvu korist organizaciji • 2004 Standish Group Report – 29% IT projekata je uspješno – 80 -90% projekata ne postiže učinke zbog kojih su pokrenuti, – 80% projekata prekorači planirano vrijeme i cijenu, – 40% projekata se zauvijek napusti • 2002 – ‘ 100 najboljih HR kompanija’ – 30% IT projekata je uspješno • Što je uspješan IT projekt? • Radionica: Zašto IT projekti ne uspijevaju? 38

Standish Group CHAOS Report n n Istraživanje karakteristika 30. 000 IT projekata u malim, srednjim i velikim poduzećima u SAD-u od 1994 do danas Klasifikacija projekata: n ‘successful’ – projekt je završen na vrijeme, unutar zadanog budžeta sa svim traženim funkcijama i obilježjima n ‘challenged’ – projekt je završen i operativan je, ali je ‘probio’ budžet i rokove i nema sve unaprijed tražene funkcije i obilježja n ‘failed’ – projekt je napušten prije dovršetka ili nije nikad implementiran Successful Challenged Failed 1994 16% 53% 31% 1996 27% 33% 40% 39

Čimbenici uspjeha IT projekata • • • Podrška managementa Uključenost (ključnih) korisnika Sposobnosti voditelja projekta Iskustvo voditelja projekta s tom vrstom projekta (Standish Group – 97% uspješnih projekata je imalo iskusnog voditelja) Jasni (poslovni) ciljevi projekta Jasan djelokrug (granice) projekta Standardna softverska infrastruktura Udovoljavanje prvo osnovnim zahtjevima (Standish Group preporuka) Formalna metodologija (Standish Group – 46% uspješnih projekata je koristilo formalnu metodologiju) Realne procjene 1996 KPMG – istraživanje neuspješnih IT projekata • 55% nije imalo plan upravljanja rizicima IT projekta • 38% je imalo formalan plan koji nije ‘radio’ 40

Metode upravljanja rizicima IT projekta • Standish Group Model • Kategorije rizika IT projekata – – – Tržišni rizik (hoće li korisnici prihvatiti IT projekt? ) Financijski rizik (ROI, NPV, …) Tehnološki rizik (studija izvedivosti IT projekta) ‘ljudski’ rizik Procesni rizik • PMBOK (Project Management Body of Knowledge) – Integracija – Djelokrug – Vrijeme projektnom timu – Troškovi - kvaliteta - ljudski resursi - komuniciranje u - isporuka 41

Radionica – procjena rizika IT projekta – Sponzorstvo projekta od strane (najvišeg) managementa – Metodologija upravljanja projektima – Uključenost korisnika – Podjela projekta na manje zadatke, određivanje kontrolnih točaka (‘milestones’) i odobravanje pojedinih faza – Jasno određivanje odgovornosti – Rigorozno praćenje kontrolnih točaka i onoga što je napravljeno – Rigorozno praćenje troškova (ROI, NPV, …) – Planovi i metode za osiguravanje kvalitete konačnog proizvoda 42 – Procjene rizika projekta i programa

3. Tema: Upravljanje IT rizicima i kontrola i revizija IS-a • Plan upravljanja IT rizicima • Kako odrediti prioritetne IT rizike i IT kontrole • Što je revizija IS-a i čemu služi? • Revizija IS-a kao savjetodavna funkcija • Metode: Cobi. T, ITIL, So. X, ISO 17799, ISO 27001 43

Informacijski sustavi koji griješe ü Kako je nastao pojam ‘bug’ ü Zrakoplov iz 1989. koji je zbog pogreške računala pri utvrđivanju preletnih koordinata udario u planinu na Antarktici ü Slom australskog sustava socijalnog osiguranja 1992. (zbog pogreške u IS odobrena su neka prava osiguranicima što je porezne obveznike stajalo 126 milijuna australskih dolara) ü Britanski umirovljenici su bili godinama prikraćivani za 300 GBP mjesečno radi pogreške u projektiranju IS ü Slom burze tehnoloških dionica iz 1995. ü služba socijalnog osiguranja SAD-a isplatila više od 60 milijuna $ na račune oko 8. 000 pokojnika u toku 15 godina ü Giant Food Inc. – umjesto 25 centi, dioničarima isplaćena dividenda od 2, 5 $ - ukupno više isplaćeno 11 milijuna “nepostojećih” dolara ü Stanley Mark Rifkin “provalio” u EFT (Electronic Funds Transfer) 44 u sustav velike banke i napravio transfer 10, 2 milijuna $ na račun

Zašto informacijski sustavi griješe? ü Zrakoplovna kompanija – Com. Air ü Otkazao transakcijski IS zrakoplovne kompanije za vrijeme božićnih blagdana 2004. ü Taj se sustav sastojao od prastarih IBM-ovih AIX poslužitelja. Sustav nije otkazao zbog starosti poslužitelja nego zbog SBS-ova softvera koji nije bio predviđen za više od 32. 000 odgoda letova, koliko ih je bilo tog mjeseca zbog brojnih oluja. ü Problemi: Tisuće Amerikanaca božićne je blagdane provelo čekajući u zračnim lukama, štete, tužbe, narušen ugled…. ü Razlozi? 45

Zašto informacijski sustavi griješe? ü Riječka Banka d. d. ü Neučinkovit kontrolni sustav, jedna osoba imala pristupa velikom broju korisničkih imena i lozinki ü Grubo narušavanje podjela obveza i odgovornosti i katastrofalni propusti u IS ü Šteta: skoro 100 milijuna USD ü Razlozi? 46

Potreba za revizijom IS • Uobičajene vrste revizije: – Revizija financijskih izvještaja – Revizija podudarnosti – Revizija poslovanja – Revizija informacijskih sustava – Interna revizija – Eksterna revizija • Interna revizija IS, eksterna revizija IS • Kako izgleda i čemu (kome) služi izvještaj revizora ISa (primjer) 47

Što je revizija informacijskih sustava? Organizacijska funkcija koja omogućuje neovisno i objektivno testiranje funkcija, ciljeva i dijelova informacijskog sustava kako bi se prikupili dokazi koji se mogu neovisno razmatrati ili biti dobrom podlogom za ostale vrste revizije Revizija informacijskih sustava predstavlja proces prikupljanja i procjene dokaza na temelju kojih se može utvrditi djeluje li informacijski sustav u funkciji očuvanja imovine, održava li se cjelovitost (integritet) podataka, omogućuje li se djelotvorno ostvarivanje ciljeva poslovanja i koriste li se resursi poslovanja na učinkovit način 48

Što je revizija informacijskih sustava? • Sveobuhvatni pojam koji sadrži sljedeća područja: – Vođenje IT/IS, strategija IT/IS – Procjena rizika korištenja IT/IS – Procjena učinaka ulaganja u IT/IS, utvrđivanje poslovne vrijednosti IS – Procjena IS-a i poslovnih procesa, utjecaj na ključne poslovne procese – Kontrola IS (interna kontrola IS, kontrolni mehanizmi) – Upravljanje kontinuitetom poslovanja – Sigurnosna politika IS i organizacije – Kvaliteta IS (‘quality assurance’) – IT forenzika – Prognostika pogrešaka IS/IT – Provedba specifičnih kontrola IS (točnost podataka, informacija, neprekidnost poslovanja, oporavak nakon 49

Ciljevi i rezultat revizije IS • Procjena ‘stanja’ IS, izvještaj menadžmentu s preporukama za poboljšanje prakse upravljanja IS (primjer – ISO 17799, primjer ITIL) • Osiguranje što višega stupnja cjelovitosti podataka • Unaprjeđenje djelotvornosti informacijskog sustava • Unaprjeđenje učinkovitosti informacijskog sustava (otkrivanje rizičnih područja, 50

IT rizici i kontrole • Određivanje rizika primjene IT/IS – Poslovni rizik (strateški rizik, rizik za financijska izvješća, operativni rizik, pravni rizik, financijski rizik, rizik nesukladnosti s normama, . . ) – Rizik revizije (inherentni, kontrolni, detekcijski, ukupni revizijski rizik) – Sigurnosni rizici (pristup podacima, fizička, logička sigurnost, integritet podataka, točnost, pouzdanost, dostupnost, itd. ) – Rizici neprekidnosti poslovanja (dostupnost IS-a, arhiviranje – back-up, oporavak) • Analiza stanja – procjena rizika – određivanje kontrola – testiranje 51

Vrste IT rizika • ‘Company-level’ IT risks – Strat. IT plan, IT project management praksa, IT politike, procedure, pravilnik o sigurnosti IS, politika IT ulaganja, rizik nepoštivanja standarda, zakonskih obveza, rizik IT ovisnosti o dobavljačima, rizici iz vanjskog okruženja, itd. • ‘Process-level’ IT risks (opći IT rizik) – Razvoj i kupnja aplikacija, promjena softvera, pristup programima i podacima, sigurnosni rizici, rizik neprekidnosti poslovanja (business continuity), rizik oporavka nakon prekida rada (disaster recovery), itd. • Aplikacijski IT rizici i rizici IT servisa – Rizici provedbe IT operacija (jesu li transakcije točne, potpune, cjelovite, podjela dužnosti i kontrola, autorizacija, itd. ) i rizici IT servisa (dostupnost i funkcionalnost mreže, podataka, itd. . ) (primjer – rizik IT servisa – ITIL) • Mentalitet upravljanja IT rizicima – Ljudi (npr. podjela posla) – Podaci (sprečavanje neovlaštenog pristupa, neovlaštenih promjena) 52

Proces upravljanja IT rizikom • Analiza stanja • Identificiranje svih IT rizika i prijetnji • Procjena IT rizika i ranjivosti na prijetnje – – Utvrđivanje vjerojatnosti pojave nekog IT rizika Procjena utjecaja na poslovanje (business impact analysis) Analiza učestalosti pojavljivanja (IT risk ranking) Procjena težine – ‘vrijednosti’ rizika i ‘strategija odgovora’ • Strategije odgovora na IT rizike – – Praćenje razine IT rizika Smanjenje razine IT rizika Izbjegavanje IT rizika Podjela IT rizika, ‘prebacivanje’ IT rizika na nekoga drugoga • Određivanje IT kontrola • Dokumentiranje IT kontrola • ‘Portfolio’ pristup IT rizicima i utjecaj na poslovnu strategiju 53

Primjer i radionica: ‘izračunavanje’ IT rizika ü ü Utjecaj Financijski gubitak Kategorija rizika Dostupnost Industrija Telekomunikacije Uzrok U lipnju 1999, dionice e. Bay-a, online aukcijske kuće, su pale za 30 % (nekoliko milijardi dolara ukupno) nakon 21 satnog pada web stranice. Uprava e. Bay-a se izjasnila da im je to utjecalo na smanjenje prodaje u tom kvartalu za 10 posto. e. Bay je javno okrivio dobavljača softvera Sun Microsystems za sljedeći gubitak dostupnosti, od 37 minuta, koji se dogodio u ožujku 2001. , i utjecao je na pad dionica u iznosu od 5%. 54

Procjena IT rizika • Identificiranje prijetnji – – Npr. pouzdanost podataka Dostupnost podataka Integritet podataka Pravodobnost, točnost podataka • Procjena ranjivosti na prijetnje – Pouzdanost podataka (udaljeni pristup od strane neautoriziranih korisnika, . . ) • Određivanje prihvatljive razine rizika (procjena vjerojatnosti nastanka neželjenog događaja) Očekivana vrijednost rizika = Procjena gubitka x vjerojatnost nastanka 55

Vrste kontrola IS • Upravljačke kontrole (politike kompanije, način i stil vođenja, strateški plan IT, organizacija posla, način razmjene informacija, …) • Opće IT kontrole (cilj: siguran, pouzdan i neometan IS) – Učinkovitost i provedba sigurnosne politike IS – Procjena sustava internih kontrola, Kontrole vođenja i organiziranja IS – Kontrole pri razvoju IS, Kontrole pri promjeni postojećeg IS (softvera) – Kontrole pri redovitom radu IS i opreme – Kontrole pristupa podacima i programima – Osiguravanje kontinuiteta poslovanja – Fizičke sigurnosne kontrole, Logičke sigurnosne kontrole – Kontrole rada IS (podjela dužnosti) – Kontrole podataka, kontrole obrade podataka – Komunikacijske kontrole, U/I kontrole • Aplikacijske kontrole (cilj: otkriti/spriječiti neautorizirane transakcije) – – – Potpunost Točnost Autorizacija Validacija Podjela posla 56

Vrste kontrola IS • Sigurnosne kontrole – – – Fizičke i logičke kontrole Kontrole pristupa Kontrole praćenja Kontrole pregleda stanja ‘Penetrating tests’ kontrole • Kontrole neprekidnosti – – Backup kontrole Backup podataka Backup hardvera Kontrole oporavka nakon neželjenog događaja • Informacijske (podatkovne) kontrole – – Kontrole ulaza Procesne kontrole Kontrole baza podataka Izlazne kontrole 57

Vrste kontrola IS Klasifikacija kontrola Vrsta Namjena Primjer Preventivna Otkriva problem prije nego se on pojavi Nadzire i djelovanje i unos Pokušava predvidjeti potencijalni problem prije njegova pojavljivanja i napraviti prilagodbe Sprječava nastajanje greške, izostavljanje potrebnog ili maliciozan čin Zapošljavanje samo kvalitetnog osoblja Podjela odgovornosti Kontrola fizičkog pristupa Korištenje dobro osmišljene dokumentacije Uspostavljanje prikladnih procedura za autorizaciju transakcija Programska kontrola unosa Kontrola pristupa osjetljivim podacima Detekcijska Kontrola koja otkriva i izvješćuje pojavljivanje greške, izostavljanja potrebnog ili malicioznog čina „Hash“ vrijednosti Kontrolne točke na poslovima u produkcijskoj okolini Dvostruka provjera kalkulacija Izvještavanje o greškama Korektivna Minimiziraju utjecaj prijetnje Ispravlja probleme pronađene zahvaljujući detekcijskim kontrolama Identificiraju uzrok problema Ispravljaju greške prouzrokovane Planiranje neočekivanih situacija Procedure oporavka Procedure ponovnog pokretanja 58

Primjeri provedbe testova kontrola IS • Testiranje općih IT kontrola – Učinkovitost i standardi sigurnosne politike IS • Politika korisničkih imena i lozinki (lozinke se trebaju mijenjati pri instalaciji sustava, ‘minimal password lenght’ > 8, kombinacija brojeva i slova, lozinka se ne vidi pri unosu, datoteka s lozinkama je enkriptirana tako da je NITKO ne može čitati, lozinke se mijenjaju svako 30 dana, itd. – Osiguravanje kontinuiteta poslovanja (primjer: BC and DR at Dell) • Određivanje kritičnih poslovnih procesa, kritičnih aplikacija i utvrđivanje prioriteta • Procjena njihova utjecaja na poslovanje (Business Impact Analysis) • Procjena rizika i kontrola (RTO) • Razvoj strategije kontinuiteta poslovanja • Razrada operativnog plana osiguranja kontinuiteta poslovanja 59

Primjeri provedbe testova kontrola IS • Kontrola i revizija rada IS (IT procesa) – Kontrola podataka (ulaza, obrade, prijenosa, izlaza, …) – Ulazne kontrole – Testovi integriteta, potpunosti, logički testovi – ‘hash total’, provjera brojeva – Kontrole sistemskog softvera – Podjela dužnosti i odgovornosti – Kontrole učinkovitosti – Automatske i ručne kontrole – Kontrole podrške aplikacijama 60

Metode upravljanja informatikom i IT rizicima • COBIT metodologija upravljanja IT (pregled) • So. X kontrole (. ppt) • ISO 27001: 2005 (. ppt) • ITIL (www. itil. co. uk) (pregled) 61

Radionica: Procjena IT rizika poslovnih procesa • Izdvojite dva-tri najvažnija poslovna procesa za koje ste odgovorni • Procijenite IT rizike koji mogu ugroziti odvijanje tih poslovnih procesa • Procijenite vjerojatnost nastanka tih rizika i događaje koji ih mogu uzrokovati • Procijenite kakvu bi štetu kompanija mogla pretrpjeti takvim potencijalnim događajima • Kakve su IT kontrole prisutne da bi se ti rizici smanjili • Kako su se te IT kontrole testirale? 62

Zadatak revizije IS u procjeni rizika • Identificirati rizike na osnovu provedenih revizija, dokaza, nalaza i preporuka (primjer) • Pomoći managementu poduzeća svesti razinu rizika s kojom je poduzeće suočeno na najmanju, odnosno prihvatljivu mjeru, implementacijom zaštitnih (sigurnosnih) kontrola (primjer) • Implementacija politike zaštite informacijskog sustava u poduzeću je jedan od načina kako zaštititi IS od potencijalnih ranjivosti 63

Hvala na pozornosti Pitanja, komentari, prijedlozi, sugestije mspremic@efzg. hr www. efzg. hr/mspremic Copyright © dr. Mario Spremić