vállalati it irányítás és menedzsment üzleti keretrendszere · jamie pasfield, itil v3, msp,...

Vállalati IT irányítás és menedzsment üzleti keretrendszere

Personal Copy of: Dr. Gábor Fazekas

2

ISACA®

A 160 országban jelen lévő és 95 000 taggal rendelkező ISACA (www.isaca.org) az információrendszerek bizonyosság-nyújtásával és biztonságával, a vállalati IT felelős irányításával és menedzselésével, valamint az IT-val összefüggő kockázatokkal és törvényi megfelelőséggel kapcsolatos tudás, képesítések, közösség, szakmai képviselet és oktatás vezető globális szolgáltatója. Az 1969-ben alapított ISACA független, nonprofit szervezet, amely nemzetközi konfe-renciákat rendez, az ISACA® Journal kiadója, és olyan nemzetközi IT audit és kontroll szabványokat fejleszt, amelyek segítenek a tagoknak, hogy bizalmat építhessenek és értéket teremthessenek az információs rendszerekkel.Az ISACA továbbá olyan, világszerte elismert programokkal segíti elő és tanúsítja az IT készségeket és tudást, mint a Certified Information Systems Auditor® (CISA®), a Certified Information Security Manager® (CISM®), a Certified in the Governance of Enterprise IT® (CGEIT®) és a Certified in Risk and Information Systems ControlTM (CRISCTM).Az ISACA folyamatosan fejleszti a COBIT® keretrendszert, amely segít az IT szakembereknek és vállalatvezetőknek, hogy megfelelhessenek az IT irányítással és menedzseléssel kapcsolatos felelősségeiknek a bizonyosságnyújtás,a biztonság, a kockázatok és a kontrollok terén, hogy értéket teremthessenek az üzleti oldal számára.

Jogi nyilatkozatAz ISACA a COBIT® 5 kiadványt (továbbiakban: Munka) elsődlegesen oktatási anyagnak szánja vállalati IT irányítási, bizonyosságnyújtási, kockázatkezelési és biztonsági szakemberek számára. Az ISACA nem állítja, hogy a Munka bármely részének felhasználása pozitív eredményekhez vezet. A Munkára nem lehet úgy tekinteni, hogy minden megfelelő információt, folyamatot és tesztet tartalmaz, másrészről a Munkában nem szereplő információk, folyamatok, tesztek is vezethetnek a bemutatottakhoz hasonló eredményhez. Bármely konkrét információ, folyamat vagy teszt helyességének megállapításakor az olvasónak saját szakmai döntést kell hoznia a saját rendszereiben vagy IT környezetében felmerülő vállalati IT irányítási, bizonyosságnyújtási, kockázatkezelési és biztonsági tényezők figyelembevételével.

Szerzői jog© 2012 ISACA. Minden jog fenntartva. Felhasználási útmutatót a www.isaca.org/COBITuse weboldalon olvashat.

Minőségi nyilatkozatEz a Munka az angol nyelvű COBIT® 5 magyar változata, melyet az ISACA engedélyével az ISACA Budapest Chapter (ISACA Magyarországi Egyesület) fordított magyarra. Az ISACA Budapest Chapter kizárólagos felelősséget vállal a fordítás pontosságáért és hűségéért.

Disclaimer:ISACA has designed this publication, COBIT® 5 (the ‘Work’), primarily as an educational resource for governance of enterprise IT (GEIT), assurance, risk and security professionals. ISACA makes no claim that use of any of the Work will assure a successful outcome. The Work should not be considered inclusive of all proper information, procedures and tests or exclusive of other information, procedures and tests that are reasonably directed to obtaining the same results. In determining the propriety of any specific information, procedure or test, readers should apply their own professional judgement to the specific GEIT, assurance, risk and security circumstances presented by the particular systems or information technology environment.

Copyright© 2012 ISACA. All rights reserved. For usage guidelines, see http://www.isaca.org/COBITuse.

Quality Statement:This Work is translated into Hungarian from the English language version of COBIT® 5 by the ISACA® Budapest Chapter with the permission of ISACA®. The ISACA® Budapest Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.ISACA


3

3701 Algonquin Road, Suite 1010Rolling Meadows, IL 60008 USATelefon: +1.847.253.1545Fax: +1.847.253.1443Email: [email protected]: www.isaca.orgVisszajelzés: www.isaca.org/cobitTájékozódjon az ISACA Tudásközpontban: www.isaca.org/knowledge-centerKövesse az ISACA-t a Twitteren: https://twitter.com/ISACANewsCsatlakozzon a COBIT beszélgetéshez a Twitteren: #COBITCsatlakozzon az ISACA LinkedIn csoporthoz: ISACA (Official), http://linkd.in/ISACAOfficialKövesse az ISACA-t a Facebookon: www.facebook.com/ISACAHQ

COBIT® 5ISBN 978-1-60420-440-7


4

Szándékosan üresen hagyott oldal


5

Köszönetnyilvánítás

Az ISACA elismerésben részesíti:

COBIT 5 munkacsoport (2009–2011)John W. Lainhart, IV, CISA, CISM, CGEIT, IBM Global Business Services, USA, társelnökDerek J. Oliver, Ph.D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MInstISP, Ravenswood Consultants Ltd., Egyesült Királyság, társelnökPippa G. Andrews, CISA, ACA, CIA, KPMG, AusztráliaElisabeth Judit Antonsson, CISM, Nordea Bank, SvédországSteven A. Babb, CGEIT, CRISC, Betfair, Egyesült KirályságSteven De Haes, Ph.D., University of Antwerp Management School, BelgiumPeter Harrison, CGEIT, FCPA, IBM Australia Ltd., AusztráliaJimmy Heschl, CISA, CISM, CGEIT, ITIL Expert, bwin. party digital entertainment plc, AusztriaRobert D. Johnson, CISA, CISM, CGEIT, CRISC, CISSP, Bank of America, USAErik H. J. M. Pols, CISA, CISM, Shell International-ITCI, HollandiaVernon Richard Poole, CISM, CGEIT, Sapphire, Egyesült KirályságAbdul Rafeq, CISA, CGEIT, CIA, FCA, A. Rafeq and Associates, India

FejlesztőcsoportFloris Ampe, CISA, CGEIT, CIA, ISO 27000, PwC, BelgiumGert du Preez, CGEIT, PwC, KanadaStefanie Grijp, PwC, BelgiumGary Hardy, CGEIT, IT Winners, Dél-AfrikaBart Peeters, PwC, BelgiumGeert Poels, Ghent University, BelgiumDirk Steuperaert, CISA, CGEIT, CRISC, IT In Balance BVBA, Belgium

Workshop-résztvevőkGary Baker, CGEIT, CA, KanadaBrian Barnier, CGEIT, CRISC, ValueBridge Advisors, USAJohannes Hendrik Botha, MBCS-CITP, FSM, getITright Skills Development, Dél-AfrikaKen Buechler, CGEIT, CRISC, PMP, Great-West Life, KanadaDon Caniglia, CISA, CISM, CGEIT, FLMI, USAMark Chaplin, Egyesült KirályságRoger Debreceny, Ph.D., CGEIT, FCPA, University of Hawaii at Manoa, USAMike Donahue, CISA, CISM, CGEIT, CFE, CGFM, CICA, Towson University, USAUrs Fischer, CISA, CRISC, CPA (Swiss), Fischer IT GRC Consulting & Training, SvájcBob Frelinger, CISA, CGEIT, Oracle Corporation, USAJames Golden, CISM, CGEIT, CRISC, CISSP, IBM, USAMeenu Gupta, CISA, CISM, CBP, CIPP, CISSP, Mittal Technologies, USAGary Langham, CISA, CISM, CGEIT, CISSP, CPFA, AusztráliaNicole Lanza, CGEIT, IBM, USAPhilip Le Grand, PRINCE2, Ideagen Plc, Egyesült KirályságDebra Mallette, CISA, CGEIT, CSSBB, Kaiser Permanente IT, USAStuart MacGregor, Real IRM Solutions (Pty) Ltd., Dél-AfrikaChristian Nissen, CISM, CGEIT, FSM, CFN People, DániaJamie Pasfield, ITIL V3, MSP, PRINCE2, Pfizer, Egyesült KirályságEddy J. Schuermans, CGEIT, Esras bvba, BelgiumMichael Semrau, RWE Germany, NémetországMax Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, AusztráliaAlan Simmonds, TOGAF9, TCSA, PreterLex, Egyesült KirályságCathie Skoog, CISM, CGEIT, CRISC, IBM, USADejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, KanadaRoger Southgate, CISA, CISM, Egyesült Királyság



6

Köszönetnyilvánítás (folyt.)Workshop-résztvevők (folyt.)Nicky Tiesenga, CISA, CISM, CGEIT, CRISC, IBM, USAWim Van Grembergen, Ph.D., University of Antwerp Management School, BelgiumGreet Volders, CGEIT, Voquals N. V., BelgiumChristopher Wilken, CISA, CGEIT, PwC, USATim M. Wright, CISA, CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, Egyesült KirályságRoger Southgate, CISA, CISM, Egyesült KirályságNicky Tiesenga, CISA, CISM, CGEIT, CRISC, IBM, USAWim Van Grembergen, Ph.D., University of Antwerp Management School, BelgiumGreet Volders, CGEIT, Voquals N. V., BelgiumChristopher Wilken, CISA, CGEIT, PwC, USATim M. Wright, CISA, CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, Anglia

Szakmai lektorokMark Adler, CISA, CISM, CGEIT, CRISC, Commercial Metals Company, USAWole Akpose, Ph.D., CGEIT, CISSP, Morgan State University, USAKrzysztof Baczkiewicz, CSAM, CSOX, Eracent, LengyelországRoland Bah, CISA, MTN Cameroon, KamerunDave Barnett, CISSP, CSSLP, USAMax Blecher, CGEIT, Virtual Alliance, Dél-AfrikaRicardo Bria, CISA, CGEIT, CRISC, Meycor GRC, ArgentínaDirk Bruyndonckx, CISA, CISM, CGEIT, CRISC, MCA, KPMG Advisory, BelgiumDonna Cardall, Egyesült KirályságDebra Chiplin, Investors Group, KanadaSara Cosentino, CA, Great-West Life, KanadaKamal N. Dave, CISA, CISM, CGEIT, Hewlett Packard, USAPhilip de Picker, CISA, MCA, National Bank of Belgium, BelgiumAbe Deleon, CISA, IBM, USAStephen Doyle, CISA, CGEIT, Department of Human Services, AusztráliaHeidi L. Erchinger, CISA, CRISC, CISSP, System Security Solutions, Inc., USARafael Fabius, CISA, CRISC, UruguayUrs Fischer, CISA, CRISC, CPA (Swiss), Fischer IT GRC Consulting & Training, SvájcBob Frelinger, CISA, CGEIT, Oracle Corporation, USAYalcin Gerek, CISA, CGEIT, CRISC, ITIL Expert, ITIL V3 Trainer, PRINCE2, ISO/IEC 20000 Consultant, TörökországEdson Gin, CISA, CISM, CFE, CIPP, SSCP, USAJames Golden, CISM, CGEIT, CRISC, CISSP, IBM, USAMarcelo Hector Gonzalez, CISA, CRISC, Banco Central Republic Argentina, ArgentínaErik Guldentops, University of Antwerp Management School, BelgiumMeenu Gupta, CISA, CISM, CBP, CIPP, CISSP, Mittal Technologies, USAAngelica Haverblad, CGEIT, CRISC, ITIL, Verizon Business, SvédországKim Haverblad, CISM, CRISC, PCI QSA, Verizon Business, SvédországJ. Winston Hayden, CISA, CISM, CGEIT, CRISC, Dél-AfrikaEduardo Hernandez, ITIL V3, HEME Consultores, MexikóJorge Hidalgo, CISA, CISM, CGEIT, ATC, Lic. Sistemas, ArgentínaMichelle Hoben, Media 24, Dél-AfrikaLinda Horosko, Great-West Life, KanadaMike Hughes, CISA, CGEIT, CRISC, 123 Consultants, Egyesült KirályságGrant Irvine, Great-West Life, KanadaMonica Jain, CGEIT, CSQA, CSSBB, Southern California Edison, USA


7

Köszönetnyilvánítás (folyt.)Szakmai lektorok (folyt.)John E. Jasinski, CISA, CGEIT, SSBB, ITIL Expert, USAMasatoshi Kajimoto, CISA, CRISC, JapánJoanna Karczewska, CISA, LengyelországKamal Khan, CISA, CISSP, CITP, Saudi Aramco, Szaúd-ArábiaEddy Khoo S. K., Prudential Services Asia, MalajziaMarty King, CISA, CGEIT, CPA, Blue Cross Blue Shield NC, USAAlan S. Koch, ITIL Expert, PMP, ASK Process Inc., USAGary Langham, CISA, CISM, CGEIT, CISSP, CPFA, AusztráliaJason D. Lannen, CISA, CISM, TurnKey IT Solutions, LLC, USANicole Lanza, CGEIT, IBM, USAPhilip Le Grand, PRINCE2, Ideagen Plc, Egyesült KirályságKenny Lee, CISA, CISM, CISSP, Bank of America, USABrian Lind, CISA, CISM, CRISC, Topdanmark Forsikring A/S, DániaBjarne Lonberg, CISSP, ITIL, A. P. Moller - Maersk, DániaStuart MacGregor, Real IRM Solutions (Pty) Ltd., Dél-AfrikaDebra Mallette, CISA, CGEIT, CSSBB, Kaiser Permanente IT, USACharles Mansour, CISA, Charles Mansour Audit & Risk Service, Egyesült KirályságCindy Marcello, CISA, CPA, FLMI, Great-West Life & Annuity, USANancy McCuaig, CISSP, Great-West Life, KanadaJohn A. Mitchell, Ph.D., CISA, CGEIT, CEng, CFE, CITP, FBCS, FCIIA, QiCA, LHS Business Control, Egyesült KirályságMakoto Miyazaki, CISA, CPA, Bank of Tokyo-Mitsubishi, UFJ Ltd., JapánLucio Augusto Molina Focazzio, CISA, CISM, CRISC, ITIL, független tanácsadó, KolumbiaChristian Nissen, CISM, CGEIT, FSM, ITIL Expert, CFN People, DániaTony Noblett, CISA, CISM, CGEIT, CISSP, USAErnest Pages, CISA, CGEIT, MCSE, ITIL, Sciens Consulting LLC, USAJamie Pasfield, ITIL V3, MSP, PRINCE2, Pfizer, Egyesült KirályságTom Patterson, CISA, CGEIT, CRISC, CPA, IBM, USARobert Payne, CGEIT, MBL, MCSSA, PrM, Lode Star Strategy Consulting, Dél-AfrikaAndy Piper, CISA, CISM, CRISC, PRINCE2, ITIL, Barclays Bank Plc, Egyesült KirályságAndre Pitkowski, CGEIT, CRISC, OCTAVE, ISO27000LA, ISO31000LA, APIT Consultoria de Informatica Ltd., Brazília Dirk Reimers, Hewlett-Packard, NémetországSteve Reznik, CISA, ADP, Inc., USARobert Riley, CISSP, University of Notre Dame, USAMartin Rosenberg, Ph.D., Cloud Governance Ltd., Egyesült KirályságClaus Rosenquist, CISA, CISSP, Nets Holding, DániaJeffrey Roth, CISA, CGEIT, CISSP, L-3 Communications, USACheryl Santor, CISSP, CNA, CNE, Metropolitan Water District, USAEddy J. Schuermans, CGEIT, ESRAS bvba, BelgiumMichael Semrau, RWE Germany, NémetországMax Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, AusztráliaAlan Simmonds, TOGAF9, TCSA, PreterLex, Egyesült KirályságDejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, KanadaJennifer Smith, CISA, CIA, Salt River Pima Maricopa Indian Community, USAMarcel Sorouni, CISA, CISM, CISSP, ITIL, CCNA, MCDBA, MCSE, Bupa Australia, AusztráliaRoger Southgate, CISA, CISM, Egyesült KirályságMark Stacey, CISA, FCA, BG Group Plc, Egyesült KirályságKaren Stafford Gustin, MLIS, London Life Insurance Company, KanadaDelton Sylvester, Silver Star IT Governance Consulting, Dél-AfrikaKatalin Szenes, CISA, CISM, CGEIT, CISSP, Óbudai Egyetem, MagyarországHalina Tabacek, CGEIT, Oracle Americas, USANancy Thompson, CISA, CISM, CGEIT, IBM, USA



8

Kazuhiro Uehara, CISA, CGEIT, CIA, Hitachi Consulting Co., Ltd., Japán

Köszönetnyilvánítás (folyt.)Szakmai lektorok (folyt.)Rob van der Burg, Microsoft, HollandiaJohan van Grieken, CISA, CGEIT, CRISC, Deloitte, BelgiumFlip van Schalkwyk, Centre for e-Innovation, Western Cape Government, Dél-AfrikaJinu Varghese, CISA, CISSP, ITIL, OCA, Ernst & Young, KanadaAndre Viviers, MCSE, IT Project+, Media 24, Dél-AfrikaGreet Volders, CGEIT, Voquals N. V., BelgiumDavid Williams, CISA, Westpac, Új-ZélandTim M. Wright, CISA, CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, Egyesült KirályságAmanda Xu, PMP, Southern California Edison, USATichaona Zororo, CISA, CISM, CGEIT, Standard Bank, Dél-Afrika

ISACA IgazgatótanácsKenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (nyugdíjas), USA, Nemzetközi ElnökChristos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S. A., Görögország, AlelnökGregory T. Grocholski, CISA, The Dow Chemical Co., USA, AlelnökTony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Ausztrália, Alelnök Niraj Kapasi, CISA, Kapasi Bangad Tech Consulting Pvt. Ltd., India, AlelnökJeff Spivey, CRISC, CPP, PSP, Security Risk Management, Inc., USA, AlelnökJo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Ausztrália, AlelnökEmil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd. (nyugalmazott), USA, korábbi Nemzetközi Elnök Lynn C. Lawton, CISA, CRISC, FBCS CITP, FCA, FIIA, KPMG Ltd., Oroszország, korábbi Nemzetközi ElnökAllan Neville Boardman, CISA, CISM, CGEIT, CRISC, CA (SA), CISSP, Morgan Stanley, Egyesült Királyság, IgazgatóMarc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belgium, Igazgató

Szakmai BizottságMarc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belgium, ElnökMichael A. Berardi Jr., CISA, CGEIT, Bank of America, USAJohn Ho Chi, CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP, SzingapúrPhillip J. Lageschulte, CGEIT, CPA, KPMG LLP, USAJon Singleton, CISA, FCA, Auditor General of Manitoba (nyugalmazott), KanadaPatrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, Franciaország

Keretrendszer Bizottság (2009–2012)Patrick Stachtchenko, CISA, CGEIT, Stachtchenko&Associates SAS, Franciaország, ElnökGeorges Ataya, CISA, CISM, CGEIT, CRISC, CISSP, Solvay Brussels School of Economics and Management, Belgium, korábbi AlelnökSteven A. Babb, CGEIT, CRISC, Betfair, Egyesült KirályságSushil Chatterji, CGEIT, Edutech Enterprises, SzingapúrSergio Fleginsky, CISA, Akzo Nobel, UruguayJohn W. Lainhart, IV, CISA, CISM, CGEIT, CRISC, IBM Global Business Services, USAMario C. Micallef, CGEIT, CPAA, FIA, MáltaAnthony P. Noble, CISA, CCP, Viacom, USADerek J. Oliver, Ph.D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MInstISP, Ravenswood Consultants Ltd., Egyesült KirályságRobert G. Parker, CISA, CA, CMC, FCA, Deloitte & Touche LLP (nyugalmazott), Kanada Rolf M. von Roessing, CISA, CISM, CGEIT, CISSP, FBCI, Forfa AG, SvájcJo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Ausztrália


9


Köszönetnyilvánítás (folyt.)Külön köszönetISACA Los Angeles-i Tagozatnak a pénzügyi támogatásért

ISACA és IT Governance Institute® (ITGI®) fiókszervezetei és szponzoraiAmerican Institute of Certified Public AccountantsCommonwealth Association for Corporate Governance Inc.FIDA InformInformation Security ForumInstitute of Management Accountants Inc.ISACA TagozatokITGI FranciaországITGI JapánNorwich UniversitySolvay Brussels School of Economics and ManagementStrategic Technology Management Institute (STMI) of the National University of Singapore University of Antwerp Management SchoolEnterprise GRC Solutions Inc.Hewlett-PackardIBMSymantec Corp.

Magyar kiadás

FordításCsontos Szabolcs, CISA, CISM, CISSPErdősi Péter Máté, CISA, NJSZT informatikai biztonsági szakértőMudriczki MónikaPilinyi Attila

Grafikai munkaPilinyi Zsolt, Bereczki Boglárka

Szakmai lektorálásDr. Bujdosó GyöngyiHorváth Gergely Krisztián, CISA, CISM Mészáros Norbert, CISASzabolcs András, CISASzabolcs Péter, CISA, CISM, CIA

Pénzügyi támogatásISACAISACA Magyarországi Egyesület


10



11

tartalomjegyzéK

tartalomjegyzéK

Köszönetnyilvánítás. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Ábrák jegyzéke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

COBIT 5: A Vállalati IT irányítás és menedzsment üzleti keretrendszere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Vezetői összefoglaló . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

1. Fejezet – COBIT 5 Áttekintés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Jelen kiadvány áttekintése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

2. Fejezet – 1. Alapelv: Megfelelés az érdekelt felek igényeinek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23COBIT 5 célhierarchia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

1. lépés: Az érdekelt felekere ható tényezők alakítják az érdekelt felek igényeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232. lépés: Az érdekelt felek igényei hatnak a vállalati célokra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243. lépés: Vállalati célok és IT-val kapcsolatos célok összefüggései . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254. lépés: Az IT-val kapcsolatos célok leképezése a megvalósítási célokra. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

A COBIT 5 célhierarchia használata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26A COBIT 5 célhierarchia előnyei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26A COBIT 5 célhierarchia körültekintő használata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26COBIT 5 célhierarchia gyakorlati használata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Az IT irányítási és menedzsment kérdései . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Hogyan találjunk választ ezekre a kérdésekre? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

3. Fejezet – 2. Alapelv: A vállalat teljes lefedése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Irányítási megközelítés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Irányítás megvalósítási tényezői. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Irányítás hatóköre. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Szerepek, tevékenységek és kapcsolatok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

4. Fejezet – 3. Alapelv: Egységes, intergrált keretrendszer alkalmazása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31COBIT 5 keretrendszer-integrátor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

5. Fejezet – 4. Alapelv: Átfogó megközelítés megvalósítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33COBIT 5 megvalósítási tényezők . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Rendszerszintű irányítás és menedzsment az összekapcsolódó megvalósítási tényezők által . . . . . . . . . . . . . . . . . . . . 34COBIT 5 megvalósítási tényezők dimenziói . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Megvalósítási tényezők dimenziói . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Megvalósítási tényezők teljesítménymenedzsmentje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Gyakorlati példa a megvalósítási tényezőkre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

6. Fejezet – 5. Alapelv: Az irányítás és menedzsment szétválasztása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Irányítás és menedzsment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Az irányítás és menedzsment egymásra hatása. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39COBIT 5 folyamatmodell. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

7. Fejezet – Megvalósítási útmutató . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43A vállalati környezet figyelembevétele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43A megfelelő környezet megteremtése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44A nehézségek és az előidéző események felismerése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44A változás megvalósítási tényezői . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Életciklus-megközelítés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Kezdeti lépés: üzleti terv készítése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47


12

8. Fejezet – A COBIT 5 folyamatképesség-modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49A COBIT 4.1 érettségi modell és a COBIT 5 folyamatképesség-modell közötti különbségek . . . . . . . . . . . . . . . . . . . . 49Különbségek a gyakorlatban . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52A változások előnyei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Folyamatképességi felmérések végrehajtása a COBIT 5-ben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

A. Függelék – hivatkozások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

B. Függelék – vállalati célok - IT-val kapcsolatos célok részletes hozzárendelése. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

C. Függelék – IT-val kapcsolatos célok - IT-val kapcsolatos folyamatok részletes hozzárendelése . . . . . . . . . . . . . 61

D. Függelék – érdekelt felek igényei és vállalati célok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

E. Függelék – A COBIT 5 hozzárendelése A legszorosabban kapcsolódó szabványokhoz és keretrendszerekhez . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67COBIT 5 és ISO/IEC 38500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

ISO/IEC 38500 alapelvek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71ISO/IEC 38500 értékelés, irányítás és felügyelet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

Összehasonlítás más szabványokkal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71ITIL® V3 2011 és ISO/IEC 20000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71ISO/IEC 27000 szabványsorozat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71ISO/IEC 31000 szabványsorozat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71TOGAF® . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Képesség-érettségi modell integráció (CMMI) (fejlesztés) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72PRINCE2® . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

F. Függelék – A COBIT 5 információs modell És A COBIT 4.1 Információkritériumok Össze hasonlítása. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

G. Függelék – COBIT 5 megvalósítási tényezők részletes bemutatása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

A megvalósítási tényezők dimenziói . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75A megvalósítási tényezők teljesítménymenedzsmentje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

COBIT 5 megvalósítási tényezők: alapelvek, szabályzatok és keretrendszerek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77COBIT 5 megvalósítási tényezők: folyamatok. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Megvalósítási tényezők teljesítménymenedzsmentje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81Egy gyakorlati példa a folyamat megvalósítási tényezőre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82COBIT 5 Folyamat referenciamodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

COBIT 5 megvalósítási tényezők: szervezeti struktúrák. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86COBIT 5 megvalósítási tényezők: szervezeti kultúra, etika és viselkedés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88COBIT 5 megvalósítási tényezők: információ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

Bevezetés – Az információciklus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90COBIT 5 információ, mint megvalósítási tényező . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

COBIT 5 megvalósítási tényezők: szolgáltatások, infrastruktúra és alkalmazások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94COBIT 5 megvalósítási tényezők: emberek, készségek és kompetenciák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

H. Függelék - Szószedet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99


13

ábráK jegyzéKe

ábráK jegyzéKe

1. ábra − COBIT 5 termékcsalád . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152. ábra − COBIT 5 alapelvek. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173. ábra – Az irányítás célkitűzése: értékteremtés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234. ábra – COBIT 5 célhierarchia áttekintése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245. ábra – COBIT 5 vállalati célok. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256. ábra – IT-val kapcsolatos célok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267. ábra – IT irányítási és menedzsment kérdések az informatikáról . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288. ábra – Irányítás és menedzsment a COBIT 5-ben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299. ábra – Kulcsszerepek, tevékenységek és kapcsolatok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3010. ábra – COBIT 5 egységes, integrált keretrendszer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3111. ábra − COBIT 5 termékcsalád . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3212. ábra − COBIT 5 vállalati megvalósítási tényezők . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3313. ábra − COBIT 5 megvalósítási tényezők: általános áttekintés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3514. ábra − COBIT 5 az irányítás és menedzsment kölcsönhatása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3915. ábra − COBIT 5 irányítás és menedzsment kulcsfontosságú területei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4016. ábra − Folyamat referenciamodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4117. ábra − A megvalósítás életciklusának hét fázisa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4618. ábra − A COBIT 4.1 érettségi modell összefoglalása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5019. ábra − A COBIT 5 folyamatképesség-modell összefoglalása. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5020. ábra − COBIT 4.1 érettségi szintek és COBIT 5 folyamatképességi szintek összehasonlítása . . . . . . . . . . . . . . . . . . 5321. ábra − Érettségi jellemzők (COBIT 4.1) és folyamatjellemzők (COBIT 5) összehasonlítása. . . . . . . . . . . . . . . . . . . . 5322. ábra − COBIT 5 vállalati célok összefüggései az IT-val kapcsolatos célokkal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6023. ábra − COBIT 5 eljárások összefüggései az IT -val kapcsolatos célokkal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6223. ábra (folyt.) − COBIT 5 eljárások összefüggései az IT -val kapcsolatos célokkal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6324. ábra − COBIT 5 vállalati célok összefüggései az irányítási és menedzsment kérdésekkel . . . . . . . . . . . . . . . . . . . . . 6524. ábra (folyt.) − COBIT 5 vállalati célok összefüggései az irányítási és menedzsment kérdésekkel . . . . . . . . . . . . . . 6625. ábra − COBIT 5 lefedettség más szabványokhoz és keretrendszerekhez képest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7226. ábra − COBIT 5 és COBIT 4.1 információkritériumok megfeleltetése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7327. ábra − COBIT 5 megvalósítási tényezők: általános áttekintés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7528. ábra − COBIT 5 megvalósítási tényezők: alapelvek, szabályzatok és keretrendszerek. . . . . . . . . . . . . . . . . . . . . . . . . 7729. ábra − COBIT 5 megvalósítási tényezők: folyamatok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7930. ábra − COBIT 5 felelős vállalatirányítás és menedzsment kulcsfontosságú területei . . . . . . . . . . . . . . . . . . . . . . . . . . 8431. ábra − Folyamat referenciamodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8532. ábra − COBIT 5 megvalósítási tényezők: szervezeti struktúrák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8633. ábra − COBIT 5 szerepek és szervezeti struktúrák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8733. ábra (folyt.) − COBIT 5 szerepek és szervezeti struktúrák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8834. ábra − COBIT 5 megvalósítási tényezők: szervezeti kultúra, etika és viselkedés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8835. ábra − COBIT 5 metaadat – információciklus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9136. ábra − COBIT 5 megvalósítási tényezők: információ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9237. ábra − COBIT 5 megvalósítási tényezők: szolgáltatások, infrastruktúra és alkalmazások . . . . . . . . . . . . . . . . . . . . . 9638. ábra − COBIT 5 megvalósítási tényezők: emberek, készségek és kompetenciák. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9839. ábra − COBIT 5 készség kategóriák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98


14



15

Cobit 5: a vállalati it irányítás és menedzsment üzleti Keretrendszere

A COBIT 5 kiadvány magába foglalja a COBIT 5 vállalati IT irányításának és menedzselésének keretrendszerét.A kiadvány az 1. ábrán látható módon épül be a COBIT 5 termékcsaládba.

A COBIT 5 keretrendszer öt, részletesen kifejtett alapelven nyugszik, és átfogó iránymutatást nyújt a vállalati IT irányításának és menedzsmentjének megvalósítási tényezőire vonatkozóan.

A COBIT 5 termékcsalád az alábbi termékeket tartalmazza:• COBIT 5 (a keretrendszer)• COBIT 5 megvalósítási tényezők segédletei, amelyek részletezik az irányítási és a menedzsment szakterületek

megvalósítási tényezőit. Ezek az alábbiakat tartalmazzák: – COBIT 5: Megvalósítási folyamatok – COBIT 5: Megvalósítási információk (fejlesztés alatt) – COBIT 5 egyéb megvalósítási tényezőket bemutató segédletek (lásd: www.isaca.org/cobit)

• COBIT 5 szakmai útmutatók, melyek a következőket tartalmazzák: – COBIT 5 Megvalósítás – COBIT 5 Információbiztonság (fejlesztés alatt) – COBIT 5 Bizonyosságnyújtás (fejlesztés alatt) – COBIT 5 Kockázat (fejlesztés alatt) – Egyéb szakmai segédletek (lásd www.isaca.org/cobit)

• Online környezet, melynek célja a COBIT 5 közösségi használatának támogatása.

Cobit 5: a vállati it irányítás és menedzsment üzleti Keretrendszere

COBIT 5 megvalósítási útmutatók

1. ábra − COBIT 5 termékcsalád

COBIT® 5

COBIT 5 online együttműködési környezet

COBIT® 5:megvalósítási eljárások

COBIT® 5:megvalósítás

COBIT® 5:információbiztonság

COBIT® 5:bizonyosságnyújtás

COBIT® 5:kockázat

Egyéb szakmaiútmutatók

Egyéb megvalósítási útmutatók

COBIT® 5:megvalósítási információ

COBIT 5 szakmai útmutatók


16



17

vezetői összefoglaló

Az információ minden vállalat számára kulcsfontosságú erőforrás. A technológia az információ keletkezésének időpontjától egészen a megsemmisüléséig jelentős szerepet játszik. Az információtechnológia folyamatosan továbbfej-lődik, és mindinkább áthatja a vállalatokat, a társadalmi, az állami és az üzleti szférát. Ennek eredményeként a vállalatok és vezetőik napjainkban egyre jobban törekednek arra, hogy• Jó minőségű információt biztosítsanak üzleti döntések támogatásához. • Üzleti értékeket teremtsenek az IT támogatásával megvalósuló befektetések által, azaz elérjék stratégiai céljaikat,

valamint üzleti hasznot hajtsanak az IT eredményes és innovatív felhasználásával.• Működési kiválóságot érjenek el a technológia megbízható és hatékony alkalmazásával. • Elfogadható szinten tartsák az IT használatából eredő kockázatokat.• Optimalizálják az IT szolgáltatások és a technológia költségeit.• Betartsák az egyre nagyobb számú jogszabályt, szabályozást, szerződéses kötelezettséget és szabályzatot.

Az elmúlt évtizedben az „irányítás” fogalma az üzleti gondolkodás előterébe került, válaszul a jó irányítás fontosságát bemutató példákra és – a másik végletet tekintve – a globális vállalati botrányokra.

A sikeres vállalatok felismerték, hogy az igazgatóságnak és a felső vezetésnek ugyanúgy kell foglalkoznia az IT-val, mint az üzleti tevékenység bármely más fontos részével. Az igazgatóságnak és a vállalatvezetésnek mind az üzleti, mind az IT oldalról együtt kell működnie, és együtt kell dolgoznia, hogy az IT-t beillesszék az irányítási és menedzs-ment keretrendszerbe. Ezenkívül egyre több jogszabályt és szabályozást hoznak létre ennek az igényneka kielégítésére.

A COBIT 5 átfogó keretrendszert nyújt a szervezeteknek a vállalati IT irányításával és menedzselésével kapcsolatos céljaik eléréséhez. Egyszerűen fogalmazva a COBIT 5 abban segíti a vállalatokat, hogy a legnagyobb hasznot hajtsák az IT-ból azáltal, hogy egyensúlyt teremtenek az eredmények megvalósítása, a kockázatok mértékének optimalirzálása és az erőforrások felhasználása között. A COBIT 5 lehetővé teszi az IT átfogó szemléletű irányítását és menedzselését az egész szervezetre vonatkozóan, kiterjed az üzleti és IT szakterületek minden felelősségi körére, és figyelembe veszi a belső és külső érdekelt felek IT-val kapcsolatos elvárásait is. A COBIT 5 általános érvényű és hasznos bármilyen méretű szervezet számára, az üzleti, a nonprofit és az állami szektorban egyaránt. A COBIT 5 a vállalati IT irányítás és menedzselés öt alapelvén nyugszik (lásd 2. ábra):

2. ábra − COBIT 5 alapelvek

1. Az érdekeltfelek igényeinek

kielégítése

2. Kiterjesztésa teljes

vállalatra

3. Egységes,integrált

keretrendszeralkalmazása

4. Átfogómegközelítés

megvalósítása

5. Az irányításés menedzsmentszétválasztása

COBIT 5alapelvek



18

• 1. alapelv: Az érdekelt felek igényeinek kielégítése – A vállalatok célja, hogy értéket teremtsenek az érdekelt felek számára azáltal, hogy egyensúlyt teremtenek az eredmények megvalósítása, a kockázatok optimalizálása és az erő-források felhasználása között. A COBIT 5 meghatározza az összes szükséges folyamatot és megvalósítási ténye-zőt, melyek támogatják az IT felhasználásával történő üzleti értékteremtést. Mivel minden vállalatnak eltérő céljai vannak, ezért a vállalatok igényeiknek megfelelően testre szabhatják a COBIT 5-öt a célhierarchia segítségével, lefordítva a magas szintű vállalati célokat kezelhető, specifikus, IT-val kapcsolatos célokra, majd ezeket leképezhe-tik konkrét folyamatokra és eljárásokra.

• 2. alapelv: Kiterjesztés a teljes vállalatra – A COBIT 5 integrálja a vállalati IT irányítását a vállalatirányításba: – A vállalaton belül az összes funkcióra és folyamatra kiterjed; a COBIT 5 nemcsak az „IT szakterületre” fókuszál,

hanem az információt és a kezelését támogató technológiákat is az összes többi vagyonelemmel megegyezően kezeli, mint amelyekkel a vállalaton belül mindenkinek foglalkoznia kell.

– Minden IT-val kapcsolatos irányítási és menedzselési megvalósítási tényezőt a teljes szervezetre kiterjedően ke-zel, beleértve mindent és mindenkit, a vállalaton belül és kívül egyaránt, ami releváns a vállalati információk és a kezelésükhöz kapcsolódó IT irányításának és menedzselésének szempontjából.

• 3. alapelv: Egységes, integrált keretrendszer alkalmazása – Számos, az IT-val kapcsolatos szabvány és bevált gyakorlat létezik, amelyek útmutatást nyújtanak az IT tevékenységek egyes részterületeire vonatkozóan. A COBIT 5 magas szinten illeszkedik a többi releváns szabványhoz és keretrendszerhez, és így átfogó keretrendszerként szolgál-hat a vállalati IT irányítás és menedzsment terén.

• 4. alapelv: Átfogó megközelítés megvalósítása – A hatékony és eredményes vállalati IT irányítás és menedzsment átfogó megközelítést követel meg, számos, kölcsönhatásban álló tényező figyelembevételével. A COBIT 5 megha-tározza a megvalósítási tényezők körét, melyek támogatják a vállalati IT átfogó irányításának és menedzsmentjének a megvalósítását. Tágan értelmezve megvalósítási tényező lehet minden, ami támogatja a vállalat céljainak elérését. A COBIT 5 keretrendszer a megvalósítási tényezők hét csoportját határozza meg: – Alapelvek, szabályzatok és keretrendszerek – Folyamatok – Szervezeti struktúrák – Szervezeti kultúra, etika és viselkedés – Információ – Szolgáltatások, infrastruktúra és alkalmazások – Emberek, készségek és kompetenciák

• 5. alapelv: Az irányítás és menedzsment szétválasztása – A COBIT 5 keretrendszer élesen megkülönbözteti az irányítást és a menedzselést. E két szakterület más jellegű tevékenységeket foglal magában, más szervezeti struk-túrákat követel meg és más célokat szolgál. Az irányítás és a menedzselés kulcsfontosságú megkülönböztetése a COBIT 5 értelmezésében a következőt jelenti: – Irányítás

A legtöbb szervezetben az átfogó irányítás az elnök vezetése alatt álló igazgatótanács felelőssége. Külö-nösen a nagy, komplex szervezetekben egyes irányítási felelősségek delegálhatóak a megfelelő szinten elhelyezkedő szervezeti egységeknek.

Az irányítás biztosítja, hogy az érdekelt felek igényeinek, követelményeinek és lehetőségeinek kiértékelése alapján kiegyensúlyozott és elfogadott vállalati célokat határozzanak meg, valamint a priorizálás és a döntéshozatal segítségével meghatározzák az irányt; illetve hogy felügyeljék a teljesítményt és a megfelelést az elfogadott irányvonal és célok alapján.

A menedzsment tervezi meg, alakítja ki, működteti és felügyeli a tevékenységeket az irányító testü-let* által meghatározott irány alapján, a vállalati célok elérése érdekében.

– Menedzsment

* A szerkesztő megjegyzése: A nemzetközi nagyvállalatok esetében élesen elválik egymástól az irányítás és menedzsment feladata. Például igazgatóta-nács és igazgatóság.

A legtöbb szervezetben a menedzsment tevékenységekért az ügyvezető igazgató (CEO) vezetése alatt álló felső vezetés felel.


19

Az öt alapelv együttesen lehetővé teszi a vállalatok számára, hogy hatékony irányítási és menedzsment-keretrendszert hozzanak létre, mely optimalizálja az információba és a technológiába történő beruházásokat, illetve ezek felhasználá-sát, hogy hasznot hajtsanak az érdekelt felek számára.



20



21

1. fejezet

Cobit 5 átteKintés

A COBIT 5 az ISACA útmutatóinak új generációja az IT vállalati irányítására és menedzsmentjére vonatkozóan. Számos szervezet és az üzleti, IT, kockázatkezelési, információbiztonsági és bizonyosságnyújtási közösséghez tartozó felhasználó tapasztalatára épít, melyet a COBIT több mint 15 éves gyakorlati alkalmazása és használata során gyűjtöt-tek. A COBIT 5 kifejlesztésének az alábbiak a legfőbb indokai:• Nagyobb beleszólást kívánnak biztosítani az érdekelt felek számára információval és a hozzá kapcsolódó technoló-

giával kapcsolatos elvárások meghatározásába (milyen eredményeket és mekkora, elfogadható mértékű kockázatok és költségek mellett), és hogy mik a prioritásaik az elvárt eredmények megvalósításának biztosításával kapcsolat-ban. Egyesek rövid távú megtérülést szeretnének, mások hosszú távú fenntarthatóságot. Néhányan készen állnak nagyobb kockázatot vállalni, míg mások nem. Ezeket az eltérő és néha egymásnak ellentmondó elvárásokat haté-konyan kell kezelni. Az érdekelt felek továbbá nem csupán azt szeretnék, hogy nagyobb mértékben vonják be őket, hanem azt is, hogy átláthatóbb legyen számukra a megvalósítás mikéntje, illetve maguk az elért eredmények.

• A vállalati sikerek egyre nagyobb mértékben függenek olyan üzletfelektől és IT szolgáltatóktól, mint a kiszervezett tevékenységet nyújtó partnerek, beszállítók, tanácsadók, ügyfelek, felhő- és egyéb szolgáltatók; valamint az elvárt eredmények elérését támogató belső eszközök és módszerek tárházától.

• Foglalkozni kell a jelentősen megnövekedett mennyiségű információval. Hogyan választják ki a vállalatok a releváns és hitelt érdemlő információkat, amelyek hatékony és hatásos üzleti döntésekhez fognak vezetni? Az információt is hatékonyan kell kezelni, és ebben egy hatékony információs modell segíthet.

• Az áthatóbbá váló IT kezelése: az IT egyre integráltabb részét képezi az üzletnek. Sok esetben már nem kielégítő a különálló IT, még ha össze is van hangolva az üzlettel. Az IT-nek az üzleti projektek, szervezeti struktúrák, kocká-zatkezelés, szabályozások, készségek, folyamatok stb. szerves részévé kell válnia. Az IT vezető (CIO) és az IT funk-ció szerepei folyamatosan fejlődnek. Az üzleti területeken dolgozók közül egyre többen rendelkeznek IT tudással, és egyre jobban belefolynak az IT-val kapcsolatos döntésekbe és az IT üzemeltetésbe. Az IT-t és az üzleti területeket még jobban integrálni kell.

• További útmutatást adni az innováció és a feltörekvő új technológiák terén; ez a kreativitásról, a találékonyságról, az új termékek kifejlesztéséről és a meglevő termékeknek az ügyfelek számára történő még vonzóbbá tételéről, és az új típusú vevők megnyeréséről szól. Az innováció ugyancsak magában foglalja a termékfejlesztés, gyártási és beszál-lítási folyamatok fejlesztését, melyek során egyre jobb termékek, egyre hatékonyabban és gyorsabban jutnak el a piacra.

• Teljes körűen le kívánja fedni az üzleti és IT felelősségeket, és az összes olyan szempontot, amely a folyamatokon túlmenően hatékony vállalati IT irányítást és menedzsmentet eredményez, mint például a szervezeti struktúrák, szabályzatok és kultúra.

• Erősebb kontrollt biztosítani a terjedő, felhasználók által kezdeményezett és ellenőrzött új IT megoldások felett.• A vállalatoknak meg kell valósítaniuk a következőket:

– Az IT hatékony és innovatív használata révén a vállalat értéket teremtsen, – Az üzleti felhasználók elégedettek legyenek az IT elkötelezett hozzáállásával és szolgáltatásaival, – A vállalat megfeleljen a vonatkozó jogszabályoknak, szabályozásoknak, szerződéses megállapodásoknak és belső

szabályzatoknak, – Szorosabb kapcsolat alakuljon ki az üzleti igények és az IT célkitűzések között.

• Kapcsolódni, illetve ha az releváns, akkor illeszkedni kíván a piacon jelen lévő főbb keretrendszerekhez és szabvá-nyokhoz, mint például az Information Technology Infrastructure Library (ITIL®), The Open Group Architecture Forum (TOGAF®), Project Management Body of Knowledge (PMBOK®), PRojects IN Controlled Environments 2 (PRINCE2®), Committee of Sponsoring Organizations of the Treadway Commission (COSO) és a Nemzetközi Szab-ványügyi Szervezet (ISO) szabványai. Ez segít az érdekelt feleknek megérteni, hogy a különböző keretrendszerek, bevált gyakorlatok és szabványok hogyan viszonyulnak egymáshoz, és hogyan lehet őket együtt használni.

• Integrálni az összes lényeges ISACA keretrendszert és iránymutatást, elsődlegesen a COBIT-ot, a Val IT-t és a Risk IT-t, és figyelembe véve az Információbiztonság Üzleti Modelljét (BMIS), az IT Bizonyosságnyújtási Keretrendszert (ITAF), a Board Briefing on IT Governance című publikációt, valamint a Taking Governance Forward (TGF) kezde-ményezést. A COBIT 5 így lefedi a teljes vállalatot, és alapul szolgál más keretrendszerek, szabványok és gyakorla-tok egységes keretrendszerbe történő integrálásához.

1. fejezet

Cobit 5 átteKintés


22

A különböző érdekelt felek sokrétű igényeit lefedő különféle termékek és egyéb útmutatók a központi COBIT 5 tu-dásbázisra fognak épülni. Ez idővel meg fog valósulni, miáltal a COBIT 5 termék architektúra élő dokumentummá fog válni. A legfrissebb COBIT 5 termék architektúra megtalálható az ISACA honlap COBIT oldalain(www.isaca.org/cobit).

Jelen kiadvány áttekintése

A COBIT 5 keretrendszer még hét további fejezetet tartalmaz:• A 2. fejezet az 1. alapelvet fejti ki: Megfelelés az érdekelt felek igényeinek. Ez a fejezet mutatja be a COBIT 5

célhierarchiát. Az IT vállalati céljait felhasználjuk az érdekelt felek igényeinek formalizálására és strukturálására. A vállalat céljait össze lehet kapcsolni az IT-val kapcsolatos célokkal, mely célok az összes megvalósítási tényező – beleértve a folyamatokat is – optimális felhasználásával és működtetésével érhetőek el. A COBIT 5 a céloknak ezt az egymásra épülését célhierarchiának nevezi. Ez a fejezet az olyan tipikus irányítási és menedzsment-kérdésekre is hoz példákat, amelyek az érdekelt felek részéről a vállalati IT kapcsán felmerülhetnek.

• A 3. fejezet a 2. alapelvet fejti ki: Kiterjesztés a teljes vállalatra. Bemutatja, hogyan integrálja a COBIT 5 a vállala-ti IT irányítást a vállalatirányításba a vállalat valamennyi funkciójának és folyamatának a lefedésével.

• A 4. fejezet a 3. alapelvet fejti ki: Egységes, integrált keretrendszer alkalmazása. Röviden leírja a COBIT 5 archi-tektúráját, amely megvalósítja az integrációt.

• Az 5. fejezet a 4. alapelvet fejti ki: Az átfogó megközelítés megvalósítása. A vállalati IT irányítása rendszerszerű, melyet a megvalósítási tényezők köre támogat. Ez a fejezet a megvalósítási tényezőket egységes megközelítésben, az általános megvalósítási modellen keresztül mutatja be.

• A 6. fejezet az 5. alapelvet fejti ki: Az irányítás és menedzsment szétválasztását, és bemutatja az irányítás és menedzsment közötti különbözőségeket és kapcsolódásukat. A magas szintű COBIT 5 folyamatmodellt példaként szerepel a fejezetben.

• A 7. fejezet a Megvalósítási útmutató bevezetője. Leírja, hogyan lehet kialakítani a megfelelő környezetet, a szük-séges megvalósítási tényezők körét, melyek a bevezetés tipikus nehézségei és kiváltó eseményei, valamint bemutatja a bevezetés és a folyamatos fejlesztés életciklusát. Ez a fejezet a „COBIT® 5 Implementation” (megvalósítás) című kiadványon alapul, amely teljes részletességgel leírja, hogyan kell megvalósítani a COBIT 5 alapján a vállalati IT irányítását.

• A 8. fejezet a COBIT 5 Folyamatképesség-modellt fejti ki a „COBIT Assessment Programme” (értékelési prog-ram, www.isaca.org/cobit-assessment-programme) alapján. Leírja, hogy ez mennyiben tér el a COBIT 4.1 folyamat-érettség-elemzéseitől, és hogy a felhasználók hogyan tudnak átállni az új megközelítésre.

A függelékek további kereszthivatkozásokat és a konkrét témákkal kapcsolatos részletes információkat tartalmaznak:• A függelék – Hivatkozások tartalmazzák a COBIT 5 kialakítása során használt források listáját.• B függelék – Vállalati célok – IT-val kapcsolatos célok részletes hozzárendelése azt mutatja be, hogy a vállalati

célokat jellemzően mely IT cél vagy célok támogatják.• C függelék – IT-val kapcsolatos célok – IT-val kapcsolatos folyamatok részletes hozzárendelése azt írja le, hogy

a COBIT folyamatok hogyan segítik az IT-val kapcsolatos célok megvalósítását.• D függelék – Érdekelt felek igényei és vállalati célok fejezet azt írja le, hogy az érdekelt felek tipikusan felmerülő

igényei hogyan kapcsolódnak a COBIT 5-ben meghatározott vállalati célokhoz.• E függelék – A COBIT 5 hozzárendelése a legszorosabban kapcsolódó szabványokhoz és keretrendszerekhez.• F függelék – A COBIT 5 információs modell és a COBIT 4.1 információkritériumok összehasonlítása.• G függelék – A COBIT 5 megvalósítási tényezők részletes bemutatása – az 5. fejezetre épül. További részletes

információkat tartalmaz az egyes megvalósítási tényezőkről, beleértve egy részletes megvalósítási modellt, számos példával illusztrálva.

• H függelék – Szószedet


23

2. fejezet

1. alapelv: megfelelés az érdeKelt feleK igényeineK

2. fejezet


Bevezetés

A szervezetek célja, hogy értéket teremtsenek az érdekelt felek számára. Következésképpen minden vállalatnak – működjön az a versenyszférában vagy azon kívül – a célkitűzései között szerepel az értékteremtés. Az értékteremtés az eredmények megvalósítását jelenti, optimális erőforrás-felhasználás és kockázati szint mellett. (lásd 3. ábra). A megvalósítandó eredmény sokféle formában jelenhet meg, pl. pénzügyi eredményként a versenyszférában vagy közszolgáltatások formájában a kormányzati intézmények körében.

Az egyes vállalatok számos érdekelt féllel rendelkezhetnek, melyek számára az „értékteremtés” más és más – néha egymásnak ellentmondó – jelentéssel bír. Az irányítás az érdekelt felek eltérő érdekeivel kapcsolatos egyeztetés és döntéshozatal. Következésképpen az irányítási rendszernek az összes érdekelt fél igényeit figyelembe kell vennie az eredmények, a kockázatok vagy az erőforrások értékelésével kapcsolatban a döntések során. Minden egyes döntés során a következő kérdéseket lehet és kell feltenni: Ki élvezi a hasznokat? Ki viseli a kockázatot? Milyen erőforrások-ra van szükség?

COBIT 5 célhierarchia

Minden vállalat eltérő környezetben működik: ezt a környezetet külső (piac, iparág, geopolitika stb.) és belső tényezők (kultúra, szervezet, kockázati étvágy stb.) határozzák meg. Minden környezet testre szabott irányítási és menedzsment rendszert követel meg. Az érdekelt felek igényeit egy vállalat végrehajtható stratégiájává kell átalakítani. A COBIT 5 célhierarchia egy olyan mechanizmus, amely az érdekelt felek igényeit konkrét, végrehajtható és testre szabott vállalati célokra, IT célokra és megvalósítási célokra fordítja le. Ez lehetővé teszi konkrét célok kitűzését a vállalat minden szintjén és területén, melyek támogatják a végső célok elérését és az érdekelt felek igényeinek kielégítését. Ezáltal elősegíti a vállalati igényeknek az IT megoldásokkal és szolgáltatásokkal történő összehangolását.

A COBIT 5 célhierarchiát a 4. ábra mutatja be

1. lépés: Az érdekelt felekre ható tényezők alakítják az érdekelt felek igényeitAz érdekelt felek igényeire számos tényező hat, pl. a stratégia változásai, a változó üzleti és szabályozási környezet és új technológiák.

3. ábra – Az irányítás célkitűzése: értékteremtés

Érdekelt felek igényei

Irányítás célkitűzése: értékteremtés

Eredményekmegvalósítása

Kockázat-optimalizálás

Erőforrás-optimalizálás

Vezé

rli


24

2. lépés: Az érdekelt felek igényei hatnak a vállalati célokraAz érdekelt felek igényei számos általános vállalati célhoz kapcsolódhatnak. E vállalati célokat a kiegyensúlyozott teljesítménymutató rendszer (BSC)1 dimenzióinak felhasználásával alakították ki, és így előállt az általánosan használt célok listája, mely célokat egy vállalat kitűzhet magának. Bár ez a lista nem teljes körű, a vállalatspecifikus célok többsége így is könnyen hozzákapcsolható egy vagy több általános vállalati célhoz. Az érdekelt felek igényeit és a vállalati célokat tartalmazó táblázatot a D függelék mutatja be.

A COBIT 5 meghatároz 17 általános célt, mint az az 5. ábrán látható, amely a következő információkat tartalmazza:• Az egyes vállalati célok mely BSC dimenzióhoz illeszkednek,• Vállalati célok,• A vállalati célok kapcsolata az irányítás három fő célkitűzésével – az eredmény megvalósítással, a kockázat opti-

malizálással és az erőforrás optimalizálással. (Az E az elsődleges, az M a másodlagos, kevésbé szoros kapcsolatokat jelenti.)

1 Kaplan, Robert S.; David P. Norton; Kiegyensúlyozott stratégiai mutatószámrendszer: Eszköz, ami mozgásba hozza a stratégiát, Harvard University Press, USA, 1996

4. ábra – COBIT 5 célhierarchia áttekintése

Érdekelt felek ösztönzői(környezet, technológiai fejlődés, …)

Vállalati célok

IT-val kapcsolatos célok

Megvalósítási tényezőkkelkapcsolatos célok

Érintett felek igényei

Befolyásolja

Összefügg D függelék

5. ábra

B függelék

6. ábra

C függelék

Összefügg

Összefügg

Eredményekmegvalósítása




25

3. lépés: Vállalati célok és IT-val kapcsolatos célok összefüggéseiA vállalati célok megvalósításához számos IT-val kapcsolatos eredményre2 van szükség, melyeket az IT-val kapcsola-tos célok határoznak meg.

IT-val kapcsolatosnak tekintjük az információt és a hozzá kapcsolódó technológiát. Az IT- val kapcsolatos célokat az IT kiegyensúlyozott teljesítménymutató rendszer (IT BSC) dimenziói alapján strukturáljuk. A COBIT 5 összesen 17 IT-val kapcsolatos célt határoz meg, amelyek a 6. ábrán találhatók. Az IT-val kapcsolatos célok és vállalati célok közötti kapcsolódás a B. függelékben található. A táblázat megmutatja, hogy az IT-val kapcsolatos célok hogyan segítik elő az egyes vállalati célokat.

4. lépés: Az IT-val kapcsolatos célok leképezése a megvalósítási célokraAz IT-val kapcsolatos célok eléréséhez számos megvalósítási tényező sikeres alkalmazására és használatára van szükség. A megvalósítási tényezők fogalmát az 5. fejezet fejti ki részletesen. A megvalósítási tényezők folyamatokat, szervezeti struktúrákat és információt foglalnak magukba. Minden egyes megvalósítási tényező számára konkrét releváns célok együttese határozható meg az IT-val kapcsolatos célok támogatására.

A megvalósítási tényezők közé tartoznak a folyamatok. A C. függelék tartalmazza az IT-val kapcsolatos célok és a COBIT 5 folyamatok kapcsolódását. A COBIT 5 folyamatok pedig további folyamatcélokat tartalmaznak.

2. fejezet


2 Az IT-val kapcsolatos eredmények nyilvánvalóan nem az egyetlen összetevői a vállalati célok megvalósításának. Egy szervezeten belül minden más funkcionális terület, mint például a pénzügy és a marketing, szintén hozzájárul a vállalati célok megvalósításához, azonban a COBIT 5 kontextusában kizárólag az IT-val kapcsolatos tevékenységeket és célokat vesszük figyelembe.

BSC dimenziók

Pénzügyiteljesítmény

Ügyfelek

Működésifolyamatok

Tanulás ésnövekedés

Vállalati célokEredmények

megvalósításaKockázat-

optimalizálásErőforrás-

optimalizálás

Kapcsolat az irányítási célokkal

E

E E

E

E

E

E

E

E

E

E

E

E

E E

E

E

E

E

E

M

M

M

MM

M

M

M

M

E

E E

E

E

E

1. Érdekelt felek üzleti befektetéseinek értéke 2. Versenyképes áruk és szolgáltatások portfóliója

3. Menedzselt üzleti kockázat (vagyonelemek védelme)

4. Megfelelés külső törvényi előírásoknak és szabályozásoknak

5. Pénzügyi átláthatóság

6. Ügyfélközpontú szolgáltatási kultúra

7. Üzleti szolgáltatás folyamatossága és elérhetősége

8. Az üzleti környezet megváltozására adott gyors válaszok

9. Információalapú stratégiai döntéshozatal

10. Szolgáltatásnyújtás költségeinek optimalizálása

11. Üzleti folyamat funkcionalitásának optimalizálása12. Üzleti folyamatok költségeinek optimalizálása

13. Menedzselt üzletiváltoztatás-program

14. Működési és személyzeti produktivitás

15. Belső szabályozásoknak való megfelelés16. Képzett és motivált emberi erőforrás

17. Termékfejlesztési és üzleti innovációs kultúra

5. ábra – COBIT 5 vállalati célok


26

A COBIT 5 célhierarchia használata

A COBIT 5 célhierarchia előnyeiA célhierarchia3 azért fontos, mert segítségével meghatározhatjuk a vállalat (stratégiai) célkitűzéseire, és a kapcsolódó kockázatokra alapozott vállalati IT irányítás megvalósításának, fejlesztésének, és bizonyosságnyújtásának prioritásait. A gyakorlatban a célok hierarchiája:• Meghatározza a különböző felelősségi szintek releváns és kézzelfogható céljait és célkitűzéseit.• A vállalati célok alapján kiszűri a COBIT 5 tudásanyagából az útmutatást a konkrét implementációs, fejlesztési,

vagy bizonyosságnyújtási projektekre vonatkozóan.• Egyértelműen azonosítja és kommunikálja esetenként nagyon gyakorlatiasan, hogy a megvalósítási tényezők

hogyan járulnak hozzá a vállalati célok eléréséhez.

A COBIT 5 célhierarchia körültekintő használataA célhierarchia – a vállalati célok és az IT-val kapcsolatos célok közötti, valamint az IT-val kapcsolatos célok és a COBIT 5 megvalósítási tényezők (beleértve a folyamatokat is) közötti kapcsolódások táblázatai – nem tartalmaz egyetemes igazságot. A felhasználóknak ezért nem szabad teljesen mechanikusan alkalmazniuk, hanem inkább irányelvként. Ennek számos oka van, többek között:• Minden vállalat különböző prioritásokkal rendelkezik a céljait illetően, és ezek a prioritások időről időre változhat-

nak. • A kapcsolódások táblázatai nem tesznek különbséget a vállalatok mérete és/vagy az iparág alapján. Egyfajta közös

nevezőt képviselnek, hogy a különböző szintű célok általában miként kapcsolódnak össze. • A kapcsolódások során használt mutatók fontosságának vagy relevanciájának két szintjét határoztuk meg, ami azt

sugallja, hogy csak ezek a meghatározott relevancia szintek léteznek, míg a valóságban a kapcsolódások erőssége fokozatmentesen változhat.

3 A célok összefüggései a belga Antwerpeni Egyetem, Management School, IT Alignment and Governance Institute kutatásán alapulnak.

Információ és kapcsolódó technológiai célIT BSC dimenzió

Üzleti és IT stratégia megfelelőségeIT megfelelés, illetve az üzleti megfelelés támogatása külső törvényi előírásoknak és szabályozásoknak

A legfelsőbb szintű menedzsmentnek az IT-val összefüggő döntéshozatalra vonatkozó elkötelezettsége

IT-val kapcsolatos kockázatok kezelése

IT által ösztönzött befektetésekből és szolgáltatási portfólióból realizált haszon

IT költségek, előnyök és kockázat átláthatósága

Üzleti elvárásokkal kapcsolatos IT szolgáltatások nyújtása

Alkalmazások, információk és technológiai megoldások megfelelő használata

IT agilitás

Információ, feldolgozó infrastruktúra és alkalmazások biztonsága

A döntéshozatalhoz szükséges megbízható és felhasználható információ rendelkezésre állása

Az IT megfelelése a belső szabályozásoknak

Kompetens és motivált üzleti és IT személyzet

Az üzleti innovációhoz szükséges tudás, szakértelem és kezdeményezések

IT vagyonelemek, erőforrások és képességek optimalizálása

Az üzleti folyamatok lehetővé tétele és támogatása az alkalmazásoknak és a technológiának az üzleti folyamatokba integrálásával

A fejlesztési programok megvalósítása az előírt időráfordítással, költségvetéssel, követelmények és minő-ségi szabványok teljesítésével

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

Pénzügyi teljesítmény

Működésifolyamatok

Ügyfelek

Tanulás és növekedés

6. ábra – IT-val kapcsolatos célok


27

COBIT 5 célhierarchia gyakorlati használataAz előző kitételekből nyilvánvaló, hogy az első lépés, amit egy vállalatnak mindig meg kell tennie, amikor a célhierar-chiát használja, hogy a testre szabja a saját egyedi helyzetét figyelembe véve. Más szóval, minden egyes vállalatnak fel kell építenie saját célhierarchiáját, össze kell hasonlítania azt a COBIT-tal, majd az alapján finomítania.

Lehetséges például, hogy a vállalat szeretné:• A stratégiai prioritásai alapján „súlyozni”, fontossági sorrendbe rendezni a vállalati célokat.• Saját környezetének, iparágának stb. figyelembe vételével a célok kapcsolódását validálni.

2. fejezet


1. példa − Célok összefüggései

Egy vállalat számos stratégiai célt tűzött ki magának, és ezekből az ügyfél elégedettségének növelése a legfontosabb.Ennek alapján azt szeretné tudni, hogy az IT-val kapcsolatos dolgokban hol kell javulnia.

A vállalat elhatározza, hogy a vevői elégedettség kulcsfontosságú prioritásként kezelése ekvivalens a következő vállalati célok magasabb prioritással való kezelésével (lásd 5. ábra):• 6. Ügyfélközpontú szolgáltatási kultúra• 7. Üzleti szolgáltatás folyamatossága és elérhetősége• 8. Az üzleti környezet megváltozására adott gyors válaszok

A vállalat most következő lépésként, a célok közötti összefüggések vonatkozásában elemzi, hogy mely IT-val kapcsolatos célok felelnek meg ezeknek a vállalati céloknak. A javasolt megfeleltetési lista a B mellékletben található.

Ebből a következő IT-val kapcsolatos célok a legfontosabbak (valamennyi E viszony):• 01 Üzleti stratégia és IT megfelelősége• 04 IT-val kapcsolatos kockázatok kezelése• 07 Üzleti elvárásokkal kapcsolatos IT szolgáltatások nyújtása• 09 IT agilitás• 10 Információ, feldolgozó infrastruktúra és alkalmazások biztonsága• 14 A döntéshozatalhoz szükséges megbízható és felhasználható információ rendelkezésre állása• 17 Az üzleti innovációhoz szükséges tudás, szakértelem és kezdeményezések

A vállalat validálja a listát, majd úgy dönt, hogy az első négyet tartja meg prioritásként.

Az összefüggéseknél, következő lépésben, a megvalósítási tényezők koncepciójának használatával (lásd 5. fejezet), ezek az IT-hoz kapcsolódó célok meghatároznak folyamatcélokat tartalmazó megvalósítási célokat. A C mellékletben kapcsolódás található az IT-hoz kapcsolódó célok és a COBIT 5 folyamatok között. A táblázat segít azonosítani az IT-hoz kapcsolódó legrelevánsabb folyama-tokat, amelyek támogatják az IT-hoz kapcsolódó célokat. A folyamatok azonban önmagukban nem elégségesek. A további megvaló-sítási tényezők – mint például a kultúra, viselkedés és etika, szervezeti struktúrák, vagy mint a képességek és szakértelem – éppen olyan fontosak, és pontosan meghatározott célokat követelnek meg.

Amikor ezt a feladatot végrehajtották, a vállalat már valamennyi megvalósítási tényezővel kapcsolatban rendelkezik a kitűzött stra-tégiai célok elérését megengedő konzisztens célokkal és a teljesítmény mérésére használható mutatószámokkal.

2. példa − Érdekelt felek igényei: fenntarthatóság

Miután elemezték az érdekelt felek igényeit, a vállalat úgy határoz, hogy a fenntarthatóság stratégiai fontosságú. A fenntarthatóság nemcsak környezeti tényezőket tartalmaz, hanem minden olyan dolgot magában foglal, amely hozzájárul a vállalat hosszú távú sikeréhez.

Az érdekelt felek igényeinek elemzése alapján a vállalat a következő öt célra kíván fókuszálni, tovább specifikálva a célokat:1 . Értékteremtés az érdekelt felek számára, üzleti befektetések révén4 . Megfelelés külső törvényi előírásoknak és szabályozásoknak, különös tekintettel a környezetvédelmi törvényekre és a kiszerve-

zéses konstrukciókban érvényesített munkaügyi szabályokra vonatkozó törvényekre8 . Az üzleti környezet megváltozására adott gyors válaszok16. Képzett és motivált emberi erőforrás, akik felismerik, hogy a vállalat sikere az emberein múlik17. Termékfejlesztési és üzleti innovációs kultúra, a hosszú távú innovációra fókuszálva

Ezen prioritások alapján alkalmazható a célhierarchia, ahogy azt a szöveg elmagyarázza.


28

Az IT irányítás és menedzsment kérdései

Az érdekelt felek igényeinek megvalósítása bármely vállalat esetében – az IT-tól való nagy függőség miatt – számos kérdést vet fel a vállalati IT irányításával és menedzsmentjével kapcsolatban (7. ábra).

Hogyan találjunk választ ezekre a kérdésekre?A 7. ábrában szereplő kérdések mindegyike kapcsolódhat a vállalati célokhoz, és bemenetként szolgálhat a célhierar-chiához, amely alapján hatékonyan lehet foglalkozni velük. A D függelék egy lehetséges kapcsolódást tartalmaz a 7. ábrában bemutatott szervezeten belüli érdekelt felek kérdései és a vállalati célok között.

Belső érdekelt felek kérdéseiBelső érdekelt felek

Külső érdekelt felek Külső érdekelt felek kérdései

• Igazgatótanács• Vezérigazgató (CEO)• Pénzügyi igazgató (CFO)• Informatikai igazgató (CIO)• Kockázatkezelési igazgató

(CRO)• Üzleti igazgatók• Üzleti folyamat felelősök• Üzleti vezetők• Kockázatkezelési vezetők• Biztonsági vezetők• Szolgáltatásért felelős vezetők• Humánerőforrás (HR) vezetők• Belső ellenőrzés• Adatvédelmi felügyelők• IT felhasználók• IT vezetők• stb.

• Üzleti partnerek• Beszállítók• Részvényesek• Szabályozók/kormányzat• Külső felhasználók• Ügyfelek• Szabványosító szervezetek• Külső auditorok• Tanácsadók• stb.

• Honnan tudom, hogy az üzleti partnerem működése biztonságos és megbízható?• Honnan tudom, hogy a vállalat megfelel az alkalmazható szabályoknak és előírásoknak?• Honnan tudom, hogy a vállalat hatékony belső ellenőrzési rendszert tart fenn?• Az üzleti partnerek közötti információlánc ellenőrzött?

• Hogyan teremt értéket számomra az IT felhasználása? Elégedettek a végfelhasználók az IT szolgáltatás minő-ségével?

• Hogyan menedzselem az IT teljesítményét?• Hogyan tudom a legjobban kiaknázni a mai technológiát az új stratégiai lehetőségek érdekében?• Hogyan építsem fel és hogyan strukturáljam az IT részlegemet a legjobban?• Mennyire függök a külső szolgáltatóktól? Mennyire jól menedzseljük az IT kiszervezési szerződéseket?• Hogyan szerezzek bizonyosságot a külső szolgáltatókról?• Melyek az információval szemben támasztott (kontroll-)követelmények?• Minden IT-val kapcsolatos kockázattal foglalkoztam?• Hatékony és ellenálló IT-t üzemeltetek?• Hogyan ellenőrizzem az IT költséget? Hogyan tudom az IT erőforrásokat a leghatékonyabb és leghatásosabb

módon felhasználni? Melyek a leghatékonyabb és leghatásosabb forrásválasztási lehetőségek?• Elegendő az IT-n dolgozók létszáma? Hogyan tudom fejleszteni és fenntartani a szakértelmüket, és hogyan

tudom irányítani a munkájukat?• Hogyan szerezzek bizonyosságot az IT-val kapcsolatosan?• Jól védett az információ, amit feldolgozunk?• Hogyan fejlesszem az üzlet reagálási sebességét egy még rugalmasabb IT környezettel?• Előfordul, hogy az IT projektek nem nyújtják azt, amit ígértek – és ha igen, miért? Az IT az üzleti stratégia

végrehajtásának útjában áll?• Mennyire kritikus az IT a vállalat fennmaradásában? Mit tegyek, ha az IT nem működik?• Milyen kritikus üzleti folyamatok függenek az IT-tól, és melyek az üzleti folyamatok követelményei?• Átlagosan mekkora volt az IT működési költségvetés túllépéseinek a nagysága? Milyen gyakran és mennyivel

lépik túl az IT projektek a költségvetést?• Mekkora IT erőfeszítés megy el tűzoltásra az üzleti fejlesztések lehetővé tétele helyett?• Elegendő IT erőforrás és infrastruktúra áll rendelkezésre a kitűzött vállalati stratégiai célkitűzéseknek való

megfeleléshez?• Mennyi ideig tart a fontosabb IT döntések meghozatala?• Az összes IT ráfordítás és befektetés átlátható?• Támogatja-e az IT a vállalatot abban, hogy eleget tegyen a szabályozásoknak és szolgáltatási szinteknek?

Honnan tudom, hogy megfelelek-e az összes alkalmazható szabályozásnak?

7. ábra – IT irányítási és menedzsment kérdések


29

3. fejezet

2. alapelv: a vállalat teljes lefedése

3. fejezet

2. alapelv: a vállalat teljes lefedése

A COBIT 5 az információval és az ahhoz kapcsolódó technológiák irányításával és menedzsmentjével foglalkozik az egész vállalatra kiterjedő, azt teljesen lefedő nézőpont szerint. Ez azt jelenti, hogy a COBIT 5:• Integrálja a vállalati IT irányítását a vállalatirányításba. Ez azt jelenti, hogy a COBIT 5 által javasolt vállalati IT irá-

nyítási rendszer zökkenőmentesen integrálható bármely irányítási rendszerbe. A COBIT 5 az irányításra vonatkozó legújabb felfogásokhoz igazodik.

• Lefed minden olyan funkciót és folyamatot, amely a vállalati információ és az ahhoz kapcsolódó technológiák irá-nyításához és menedzseléséhez szükséges, bárhol is történjen az információ feldolgozása. E széles vállalati hatókör-rel a COBIT 5 kiterjed minden releváns belső és külső IT szolgáltatásra, és belső és külső üzleti folyamatra.

A COBIT 5 átfogó és rendszerezett áttekintést nyújt a vállalati IT irányítására és menedzsmentjére vonatkozóan (lásd 4. alapelv), ami számos megvalósítási tényezőn alapul. Ezek a tényezők a teljes vállalatra kiterjednek, és teljes körűek, azaz mindenkit és mindent magukba foglalnak. Így azokat a belső és külső tényezőket is tartalmazzák, amelyek relevánsak a vállalati IT irányítása és menedzsmentje szempontjából, beleértve az IT szolgáltatásokra, valamint az üzleti funkciókra vonatkozó tevékenységeket és felelősségi köröket is.

Az információ a COBIT egyik megvalósítási tényezője. A modell, amely alapján a COBIT 5 meghatározza a megva-lósítási tényezőket, lehetővé teszi minden érdekelt fél számára, hogy kiterjedt és teljes körű elvárásokat határozzon meg az információval és információfeldolgozási folyamat életciklusával kapcsolatban. Ilyen módon összekapcsolja az üzleti területeket, illetve az üzleti területeknek megfelelő információra vonatkozó igényeit az IT funkcióval, valamint támogatja az üzleti területeknek, valamint az összefüggéseknek a középpontba állítását.

Irányítási megközelítés

A 8. ábra a COBIT 5 alapját képező, teljes körű módszert ábrázolja, bemutatva az irányítási rendszer kulcsfontosságú összetevőit4.

4 Ez az irányítási rendszer az ISACA Taking Forward Governance (TGF) kezdeményezésének illusztrációja; további infor-mációk a www.takinggovernanceforward.org honlapon olvashatók.

8. ábra – Irányítás és menedzsment a COBIT 5-ben

Irányítás célja: eredmény megvalósítás

Eredménymegvalósítása

Az irányításmegvalósítási tényezői


Vállalatirányításhatóköre

Szerepek, tevékenységek és kapcsolatok



30

Az irányítási célon kívül az irányítási szemléletmód további fő elemei a megvalósítási tényezők, a hatókör, illetve a szerepek, tevékenységek és kapcsolatok.

Irányítás megvalósítási tényezőiAz irányítás megvalósítási tényezőit az irányítás rendelkezésére álló szervezeti erőforrások jelentik, mint például a keretrendszerek, alapelvek, struktúrák, folyamatok és gyakorlatok, melyek által vagy melyekre vonatkozóan tevékenységeket határoznak meg, illetve célokat érnek el. A megvalósítási tényezők a vállalat erőforrásait is magukba foglalják, pl. a szolgáltatási képességeket (IT infrastruktúra, alkalmazások stb.), emberi erőforrásokat és az információkat. Az erőforrások vagy a megvalósítási tényezők hiánya hatással lehet a vállalat értékteremtő képességére.

Az irányítás megvalósítási tényezőinek fontossága miatt a COBIT 5 egy egységes szempontrendszert alakított ki a megvalósítási tényezők áttekintésére és kezelésére (lásd 5. fejezet).

Irányítás hatóköreAz irányítást lehet alkalmazni az egész vállalatra, egy entitásra, egy immateriális vagy éppen tárgyi eszközre stb. Ez lehetővé teszi a vállalat különböző nézeteinek meghatározását, melyekre az irányítás alkalmazható, de alapvető fontosságú az irányítási rendszer hatókörének helyes meghatározása is. A COBIT 5 hatóköre a vállalatra vonatkozik – de a COBIT 5 lényegében bármely más nézetre is alkalmazható.

Szerepek, tevékenységek és kapcsolatokAz irányítási szempontrendszer utolsó elemét az irányítási szerepek, tevékenységek és kapcsolatok képezik. Ezek határozzák meg, hogy kik és milyen módon vesznek részt az irányításban, mi a feladatuk, és hogyan működnek együtt bármely irányítási rendszer hatókörén belül. A COBIT 5 az irányítás és a menedzsment szakterületekben vilá-gosan meghatározza az irányítási és a menedzsment tevékenységek közti eltéréseket, illetve ezen tevékenységek közti kapcsolatokat, valamint a bennük részt vevők körét. A 9. ábra részletezi a 8. ábra alsó részét, felsorolva a különböző szerepek közötti kapcsolatokat.

Erről az általános irányítási szemléletről többet megtudhat a Taking Governance Forward honlapona www.takinggovernanceforward.org webcímen.

9. ábra – Kulcsszerepek, tevékenységek és kapcsolatok

Szerepek, tevékenységek és kapcsolatok

Irányítótestület

Irányt mutat

Felügyel Beszámol

MenedzsmentMűködés

és végrehajtás

Utasít és megfelelőműködést biztosít

Megbíz

Felelős

Tulajdonosokés érdekelt

felek


31

4. fejezet

3. alapelv: egységes, integrált Keret rendszer alKalmazása

A COBIT 5 egy egységes, integrált keretrendszer, mivel:• Összhangban van a többi új, releváns szabvánnyal és keretrendszerrel, miáltal a vállalatok a COBIT 5-öt átfogóan

használhatják az irányítási és menedzsment keretrendszerek integrálására.• Lefedi a teljes vállalatot, így alapot nyújt más keretrendszerek, szabványok és bevált gyakorlatok integrációjához.

Egységes, átfogó keretrendszer, ami következetes és egységes útmutatóként szolgál egy technikai kifejezésektől mentes és technológiasemleges közös nyelven.

• Egyszerű szerkezetet biztosít az útmutató anyagok strukturálására és egy egységes termékpaletta létrehozására.• Integrálja az összes tudásanyagot, melyet eddig különböző ISACA keretrendszerek szétszórva tartalmaztak.

Az ISACA hosszú évek óta kutatja a vállalatirányítás kulcsfontosságú területeit, és olyan keretrendszereket hozott létre, mint a COBIT, Val IT, Risk IT, BMIS, valamint a Board Briefing on IT Governance című publikáció és az ITAF, ame-lyekkel útmutatást és segítséget nyújt a vállalatoknak. A COBIT 5 mindezt a tudást integrálja.

COBIT 5 keretrendszer-integrátor

A 10. ábra bemutatja, hogy a COBIT 5 hogyan tölti be szerepét egy összehangolt, integrált keretrendszerként.

4. fejezet

3. alapelv: egységes, integrált Keret rendszer alKalmazása

10. ábra – COBIT 5 egységes, integrált keretrendszer

COBIT 5megvalósítási

tényezők

Meglévő ISACAútmutatók

(COBIT, Val IT,Risk IT, BMIS…)

Új ISACAútmutatók,

anyagok

Egyébszabványok

éskeretrendszerek

COBIT 5 tudásbázis

Tudásbázis tartalomszűrő

COBIT 5

COBIT 5megvalósítási tényezők útmutatói

COBIT 5szakmai útmutatók

COBIT 5 onlineegyüttműködési környezet

COBIT 5 termékcsalád

• Aktuális útmutatók és tartalmak• Jövőbeli tartalomstruktúrák


32

A COBIT 5 a legteljesebb, legnaprakészebb útmutatást nyújtja a használói számára (lásd 11. ábra) a vállalati IT irányítására és menedzsmentjére vonatkozóan:• Kutatja és felhasználja azokat a forrásokat, amelyek az új tartalom kifejlesztését vezérelték:

– Egységes keretrendszerbe foglalja a már meglévő ISACA útmutatókat (COBIT 4.1, Val IT 2.0, Risk IT, BMIS). – Kiegészíti e módszertani tartalmak azon területeit, amelyek további részleteket és megújítást igényelnek. – Összehangolja a módszertani tartalmat más vonatkozó szabványokkal és keretrendszerekkel (pl. az ITIL, TOGAF

és ISO szabványokkal). Ezek teljes listája az A függelékben található.

• Meghatározza az irányítás és menedzsment megvalósítási tényezőit, amelyek egységes szerkezetet biztosítanak min-den irányelv számára.

• Tartalommal tölti fel a COBIT 5 tudásbázisát, amelyben megtalálható az összes irányelv és eddig létrehozott tarta-lom; és amely keretet biztosít a jövőben kialakítandó tartalmak számára is.

• Megbízható és széles körű hivatkozási alapot nyújt a bevált gyakorlatok számára.

COBIT 5 megvalósítási tényezők útmutatói

COBIT 5 szakmai útmutatók

11. ábra − COBIT 5 termékcsalád

COBIT® 5

COBIT 5 online együttműködési környezet

COBIT® 5:megvalósítási eljárások

COBIT® 5:megvalósítás

COBIT® 5:információbiztonság

COBIT® 5:bizonyosságnyújtás

COBIT® 5:kockázat

Egyéb szakmaiútmutatók

Egyéb megvalósításiútmutatók

COBIT® 5:megvalósítási információ


33

5. fejezet

4. alapelv: átfogó megKözelítés megvalósítása

COBIT 5 megvalósítási tényezők

A megvalósítási tényezők külön-külön és együttesen is hatással vannak arra, hogy működni fog-e valami – ebben az esetben a vállalati IT irányítása és menedzsmentje. A megvalósítási tényezőket a célhierarchia vezérli, tehát a maga-sabb szintű, IT-val kapcsolatos célok határozzák meg, hogy az egyes megvalósítási tényezőknek mit kell elérniük.

A COBIT 5 keretrendszer a megvalósítási tényezők hét kategóriáját írja le (12. ábra):• Az alapelvek, szabályzatok és keretrendszerek gyakorlatias útmutatást nyújtanak a mindennapi menedzsment-

tevékenységekhez a megkívánt viselkedések elérésére.• A folyamatok azon eljárások és tevékenységek körét határozzák meg, melyek az IT-val kapcsolatos átfogó célok

megvalósulását elősegítő egyedi eredmények és célok megvalósításához szükségesek.• A szervezeti struktúrák határozzák meg a szervezeti egységeket a vállalati döntéshozatalhoz.• Az egyéni és vállalati kultúra, etika és viselkedés irányítási és menedzsment sikertényező, ennek ellenére gyakran

alábecsülik a jelentőségét.• Az információ a szervezet minden részében jelen van és kiterjed minden, a vállalat által előállított és a felhasznált

információra. Az információra szükség van a szervezet működtetéséhez és megfelelő irányításához, operatív szinten pedig az információ nagyon gyakran kulcsfontosságú terméke a vállalatnak.

• A szolgáltatások, infrastruktúra és alkalmazások magukba foglalják az információfeldolgozást és IT-szolgáltatá-sokat biztosító vállalati infrastruktúrát, technológiát és alkalmazásokat.

• Az emberi erőforrás, készségek és képességek az emberekhez kötődnek, és elengedhetetlenek a tevékenységek sikeres végrehajtásához, a helyes döntések meghozatalához és a korrekciós folyamatok végrehajtásához.

5. fejezet


Néhány fent definiált megvalósítási tényező egyben vállalati erőforrás is, amelyet ugyanúgy menedzselni és irányítani kell. Ezek a következők:• Információ: erőforrásként kell kezelni. Egyes információk, mint például a vezetői jelentések és üzleti intelligencia

a vállalatirányítás és menedzsment fontos megvalósítási tényezői.• Szolgáltatások, infrastruktúra és alkalmazások.• Emberi erőforrás, készségek és képességek.

12. ábra − COBIT 5 vállalati megvalósítási tényezők

2. Eljárások

Erőforrások

5. Információ6. Szolgáltatások,

infrastruktúraés alkalmazások

7. Emberi erőforrás,készségek

és képességek

1. Alapelvek, szabályzatok és keretrendszerek

3. Szervezetistruktúrák

4. Kultúra, etikaés viselkedés


34

Rendszerszintű irányítás és menedzsment az összekapcsolódómegvalósítási tényezők által

A 12. ábra bemutatja a vállalat fő célkitűzéseinek elérését biztosító megközelítést, amit követnie kell a vállalatirányí-tásnak, amely magában foglalja az IT irányítását is. A vállalatoknak mindig figyelemmel kell lenniük az egymáshoz kapcsolódó megvalósítási tényezők csoportjaira. Ez azt jelenti, hogy minden megvalósítási tényező:• Igényel a többi megvalósítási tényezőtől bemeneti információt a hatékony működése érdekében; például a folyama-

toknak információkra van szükségük, a szervezeti egységeknek pedig készségekre és viselkedési tényezőkre.• Előállít olyan eredményt, amely hozzájárul más tényezők eredményesebb működéséhez, pl. a folyamatok informáci-

ókat hoznak létre, a készségek és viselkedési tényezők pedig hatékonnyá teszik a folyamatokat.

Tehát a vállalati IT irányítása és menedzselése során csak akkor tudunk jó döntéseket hozni, ha figyelembe vesszük az irányítás és menedzsment rendszerszintű kapcsolatait. Ez azt jelenti, hogy az érdekelt felek igényeinek megvalósítása során minden kapcsolódó megvalósítási tényezőt elemezni, illetve szükség szerint kezelni kell. Ezt a megközelítést kell előmozdítania a vállalat felső vezetésének, amit az alábbi példákon keresztül mutatunk be.

3. példa − A vállalati IT irányítása és menedzsmentje

Az összes felhasználó számára üzemképes IT szolgáltatások biztosítása megkövetel bizonyos szolgáltatási képességeket (infrastruktúrát, alkalmazást), amelyekhez megfelelő képességekkel rendelkező és megfelelő magatartást tanúsító emberekre van szükség. Ezenkívül számos szolgáltatásnyújtási folyamatot is ki kell alakítani, amelyet megfelelő szervezeti struktúrák támogatnak, megmutatva, hogy a sikeres szolgáltatásnyújtáshoz valamennyi megvalósítási tényező szükséges.

4. példa − A vállalati IT irányítása és menedzsmentje

Az információbiztonság iránti igény számos szabályzat és eljárás kialakítását és bevezetését követeli meg. A szabályok pedig számos biztonsági eljárás megvalósítását teszik szükségessé. Ha azonban a vállalat és a személyzet kultúrája és etikája nem megfelelő, az információbiztonsági folyamatok és eljárások nem lesznek hatékonyak.

COBIT 5 megvalósítási tényezők dimenziói

A megvalósítási tényezők rendelkeznek közös dimenziókkal. Ezek a közös dimenziók (13. ábra):• Biztosítják a megvalósítási tényezők egységes, egyszerű és strukturált kezelését.• Lehetővé teszik az egyes entitások számára komplex kölcsönhatásaik kezelését.• Elősegítik a megvalósítási tényezők eredményeinek sikeres megvalósítását.

Megvalósítási tényezők dimenzióiA megvalósítási tényezők négy közös dimenziója:• Érdekelt felek – Minden megvalósítási tényezőhöz kapcsolódnak érdekelt felek (olyan személyek, akik aktívan

közreműködnek, vagy akiknek érdekük fűződik a tényezőhöz). Például a folyamatok érdekelt feleinek egy része végrehajtja az adott folyamathoz tartozó tevékenységeket; mások pedig a folyamat által létrehozott eredményekben érdekeltek. A szervezeti egységeknek is vannak érdekelt felei, a maguk saját szerepével és érdekekeivel. Az érdekelt felek a vállalat szempontjából lehetnek külsők vagy belsők, és mind rendelkezik saját érdekekkel és igényekkel, melyek olykor ütköznek egymással. Az érdekelt felek igényeiből erednek a vállalat céljai, amelyek pedig meghatá-rozzák a vállalat IT-val kapcsolatos céljait. Az érdekelt felek listája a 7. ábrán látható.


35

5. fejezet


• Célok – Minden megvalósítási tényezőnek több célja van, és e célok megvalósítása által teremtenek értéket. A célok a következő szempontok alapján határozhatók meg: – A megvalósítási tényezőtől elvárt végeredmények – Magának a megvalósítási tényezőnek az alkalmazása vagy működése.

A megvalósítási tényezők céljai a COBIT 5 célhierarchia legalsó szintjén állnak. A célok különböző kategóriákba sorolhatóak:

– Belső minőség – A megvalósítási tényezők helyes és objektív működésének mértéke, hogy mennyire pontos, objektív és elfogadható eredményeket hoznak létre.

– Kontextuális minőség – Annak a mértéke, hogy a megvalósítási tényezők és az eredményeik mennyire felelnek meg a működési környezetük által támasztott elvárásoknak. Például az eredményeknek relevánsnak, teljesnek, időszerűnek, a helyzetnek megfelelőnek, következetesnek, érthetőnek és könnyen használhatónak kell lenniük.

– Hozzáférés és biztonság – Annak a mértéke, hogy a megvalósítási tényezők és az eredményeik mennyire elérhe-tők és mennyire vannak biztonságban, azaz:• A megvalósítási tényezők elérhetőek, ha és amikor szükség van rájuk.• Az eredmények biztonságban vannak, vagyis a hozzáférés azokra korlátozódik, akik jogosultak és szükségük

van rá.• Életciklus – Minden megvalósítási tényezőnek van életciklusa, a létrejöttétől a működési/hasznos élettartamán át

az elhasználódásig. Ez vonatkozik az információra, struktúrákra, folyamatokra, szabályozásokra stb. Az életciklus különböző fázisai: – Koncepcionális terv (beleértve a fejlesztési koncepciókat és a koncepciók kiválasztását), – Részletes terv, – Kialakítás, beszerzés, létrehozás, vagy megvalósítás, – Felhasználás vagy üzemeltetés, – Értékelés/felügyelés, – Karbantartás vagy selejtezés.

• Bevált gyakorlatok – Minden megvalósítási tényező számára definiálhatók bevált gyakorlatok. A bevált gyakor-latok elősegítik a megvalósítási tényezők céljainak elérését. Példákat, javaslatokat mutatnak az adott megvalósítási tényező legjobb megvalósítására, továbbá hogy milyen munkatermékre, illetve bemenetre és kimenetre van szükség. A COBIT 5 példákat hoz a COBIT 5 által szolgáltatott néhány megvalósítási tényező (pl. folyamatok) bevált gyakor-latára. Más megvalósítási tényezőkre vonatkozóan egyéb szabványok, keretrendszerek stb. használhatóak.

13. ábra − COBIT 5 megvalósítási tényezők: általános áttekintésM

egva

lósí

tási

tény

ezők

di

men

ziói

Meg

való

sítá

si té

nyez

ők

telje

sítm

énym

ened

zs-

men

tjeÉrdekelt felek Célok Életciklus Bevált gyakorlatok

• Belső érdekelt felek

• Külső érdekelt felek

• Belső minőség• Kontextuális minőség

(relevancia, hatásosság)• Hozzáférhetőség és biztonság

• Koncepcionális terv• Részletes terv• Kialakítás/beszerzés/

létrehozás/implementáció• Felhasználás/üzemeltetés• Értékelés/felügyelet• Karbantartás/selejtezés

• Eljárások• Munkatermékek

(bemenetek, kimenetek)

Foglalkoznakaz érdekelt felek

igényeivel?

Teljesülnek az ösztönző célok?

Az életciklust kezelésemegtörténik-e?

Célok teljesülésének mérése(következmény mutatók)

A gyakorlat követésének mérése(vezető mutatók)

Bevált gyakorlatokatkövetik-e?


36

Megvalósítási tényezők teljesítménymenedzsmentjeA vállalatok pozitív eredményeket várnak a megvalósítási tényezők alkalmazásától és használatától. A megvalósítási tényezők teljesítményének menedzselésére az alábbi kérdéseket kell – mérőszámokkal alátámasztva – rendszeresen megvizsgálni és megválaszolni:• Kezelik az érdekelt felek igényeit?• Teljesülnek a megvalósítási tényezők céljai?• Kezelik a megvalósítási tényezők életciklusát?• Alkalmazzák a bevált gyakorlatokat?

Az első két kérdés a megvalósítási tényező konkrét eredményével foglalkozik. A célok megvalósulási mértékének kimutatására használt mérőszámokat „következménymutatóknak” is nevezik.

A második két kérdés a megvalósítási tényezők konkrét működésével foglalkozik, az erre vonatkozó mérőszámokat „vezető mutatóknak” is nevezik.

Gyakorlati példa a megvalósítási tényezőkre

Az 5. példa bemutatja a megvalósítási tényezőket, ezek kapcsolódásait és dimenzióit, és hogy hogyan használhatók gyakorlati haszon elérésére.

A G. függelékben tovább részletezzük a megvalósítási tényezők hét kategóriáját. Javasoljuk a függelék elolvasását, hogy jobban megérthessük a megvalósítási tényezőket, illetve ezeknek a tényezőknek a vállalati IT irányítás és menedzsment szervezésében játszott fontos szerepét.

5. példa − Megvalósítási tényezők

Egy szervezet „folyamatmenedzsereket” nevezett ki az IT-val kapcsolatos folyamatokhoz, akiknek az a feladatuk, hogy a jó vállalati IT irányítás és menedzsment keretében definiáljanak és üzemeltessenek IT-val kapcsolatos hatékony és eredményes folyamatokat.

Kezdetben a folyamatmenedzserek a megvalósítási tényezők folyamataira koncentrálnak, a megvalósítási tényezők dimenzióit megfontolva:• Érdekelt felek: A folyamatokhoz kapcsolódóan érdekelt fél minden folyamatszereplő – azaz minden fél –, aki felelős, számon

kérhető, konzultált vagy tájékoztatott (RACI) a folyamattevékenységek kapcsán vagy a folyamattevékenységekben. Erre egy a COBIT 5: Megvalósítási tényezők folyamatai részben leírt RACI táblázat használható.

• Célok: Minden folyamatra megfelelő célokat és kapcsolódó metrikát kell definiálni. Például a Kapcsolatok menedzselése folyamat-hoz (APO08 folyamat, COBIT 5: Megvalósítási tényezők folyamatai ) olyan célok és metrikák találhatók, mint

– Cél: Az üzleti stratégiák, tervek és követelmények jól érthetőek, dokumentáltak, illetve jóváhagyottak.• Metrika: A vállalati üzleti követelményekkel/prioritásokkal összhangban lévő programok százalékos aránya. – Cél: A vállalat és az IT részleg jó viszonyban vannak• Metrika: A felhasználó és IT személyzet megelégedettségi felméréseinek eredményei.

• Életciklus: Minden folyamatnak van életciklusa, azaz létre kell hozni őket, végre kell hajtani és felügyelni, illetve szükség esetén kiigazítani. Végezetül a folyamatok megszűnnek létezni. Ebben az esetben a folyamatmenedzser először megtervezi és definiálja a folyamatot. Több elemet is felhasználhat a COBIT 5: Megvalósítási tényezők folyamatai részből a folyamat tervezéséhez, azaz a felelősségek definiálásához, a folyamat gyakorlatokra és tevékenységekre való lebontásához, valamint a folyamat munkatermé-keinek (bemenetek és kimenetek) a meghatározásához. A későbbiekben a folyamatot hibatűrőbbé és hatékonyabbá kell tenni – e célból a folyamatmenedzserek emelhetik a folyamat képességi szintjét. Ehhez felhasználható az ISO/IEC által inspirált COBIT 5 Folyamatképesség modell és a folyamatképesség jellemzők.

• Bevált gyakorlat: A COBIT 5 kellő részletességgel írja le a folyamatokat a COBIT 5: Megvalósítási tényezők folyamatai részben, ahogy azt a korábbi pontban is említettük. Gyakorlati alkalmazási lehetőségek és példafolyamatok találhatók itt, lefedve a vállalati IT jó irányításához és vezetéséhez szükséges tevékenységek teljes spektrumát.


37

5. példa − Megvalósítási tényezők (folyt.)A folyamat megvalósítási tényezőre vonatkozó útmutatáson túlmenően a folyamatmenedzserek számos más megvalósítási tényezőt is figyelembe vehetnek, úgymint• A szerepeket és felelősségeket leíró RACI táblázatok. Más megvalósítási tényezők lehetővé teszik e dimenzió mentén való lebon-

tást, úgymint: – A képességek és kompetenciák megvalósítási tényezőben minden szerepre definiálhatók a szükséges képességek és kompe-tenciák, valamint meghatározhatók a megfelelő célok (mint például technikai és magatartásbeli képességszintek) és kapcsolódó metrikák.

– A RACI táblázat számos szervezeti struktúrát is tartalmaz. Ezek a struktúrák tovább finomíthatók a szervezeti struktúra megvaló-sítási tényezőben, ahol egy részletesebb leírás adható meg, a várt kimenetek és kapcsolódó metrikák definiálhatók (pl. dönté-sek), és bevált gyakorlatok határozhatók meg (pl. kontroll hatóköre, a struktúra működési elvei, döntési hatáskör).

• Elvek és szabályok fogják formalizálni a folyamatokat, meghatározzák a folyamat célját, hogy kire vonatkozik, hogy fogják használ-ni. Ezek állnak az irányelv és szabályzat megvalósítási tényező fókuszában.

5. fejezet



38



39

6. fejezet

5. alapelv: az irányítás és menedzsment szétválasztása

6. fejezet


Irányítás és menedzsment

A COBIT 5 keretrendszer éles különbséget tesz az irányítás és a menedzsment között. A két terület más típusú tevékenységeket ölel fel, más szervezeti struktúrákat igényel, és más célokat szolgál.

A COBIT 5 nézete az irányítás és a menedzsment megkülönböztetésről a következő:• Irányítás

Az irányítás biztosítja, hogy az érdekelt felek igényeinek, követelményeinek és lehetőségeinek kiértékelése alapján kiegyensúlyozott és elfogadott vállalati célokat határozzanak meg, valamint a priorizálás és a döntéshozatal segítségével meghatározzák az irányt; illetve hogy felügyeljék a teljesítményt és a megfelelést az elfogadott irányvonal és célok alapján.

A menedzsment a vállalati célok elérése érdekében megtervezi, kialakítja, működteti és felügyeli a tevékenységeket, az irányító testület által megállapított irányok mentén.

A legtöbb vállalatban az irányítás az elnök vezetése alatt álló igazgatótanács felelőssége.

• Menedzsment

A legtöbb vállalatban a menedzsment az ügyvezető igazgató (CEO) vezetése alatt álló felső vezetés felelős-sége.

Az irányítás és menedzsment egymásra hatása

Az irányítás és a menedzsment definícióiból egyértelműen kiderül, hogy egymástól eltérő tevékenységeket és felelős-ségeket foglalnak magukban; figyelembe véve ugyanakkor az irányítás szerepét – értékelni, irányítani és felügyelni –, számos interakcióra is szükség van az irányítás és a menedzsment között a hatékony és hatásos irányítási rendszer megvalósítása érdekében. Ezek a kölcsönhatások a 14. ábrán láthatók, a megvalósítási tényezők szerkezetének felhasz-nálásával.

14. ábra − COBIT 5 az irányítás és a menedzsment kölcsönhatása

Az irányítás és a menedzsment kölcsönhatásaMegvalósításitényező

Folyamatok A COBIT 5 folyamatmodell magyarázata (COBIT 5: Megvalósítási tényezők folyamatai) különbséget tesz az irányítási és menedzsment folyamatok között, specifikus gyakorlatokat és tevékenységeket határozva meg mindkettőnek. A folyamatmodell ugyancsak tartal-maz RACI táblázatokat, amelyek leírják a vállalaton belüli különböző szervezeti struktúrák és szerepek felelősségeit.

A folyamatmodell leírja a különböző folyamateljárások más folyamatokhoz kapcsolódó bemeneteit és kimeneteit, ideértve az irányítási és menedzsment folyamatok közötti információcserét is. A vállalati IT értékelésére, vezetésére és figyelemmel kísérésére használt információk oly módon cserélődnek az irányítás és menedzsment között, ahogy a folyamatmodell leírja a bemeneteket és kimeneteket.

A vállalatok számos különböző szervezeti struktúrát határoznak meg, mely struktúrák az irányítási vagy a menedzsment térben helyezkedhetnek el, a felépítésüktől és a döntések hatókörétől függően. Mivel az irányítás az irány kijelöléséről szól, az interakció az irányítási struktúrák által hozott döntések – például döntés a beruházási portfólióról és a kockázatvállalásról –, és az ezek imple-mentálására vonatkozó döntések és tevékenységek között zajlik.

Az alapelvek, szabályzatok és keretrendszerek azok az eszközök, amelyekkel az irányítási döntések a vállalaton belül intézményesül-nek, és ezért interakció történik az irányítási döntések (irány meghatározása) és a menedzsment (döntések végrehajtása) között.

Az egyének viselkedése is a jó vállalati irányítás és menedzsment kulcsfontosságú megvalósítási tényezője. Ezt a felsővezetés hatá-rozza meg – példamutatáson keresztül – ezért ez egy fontos interakció az irányítás és menedzsment között.

Az irányítási és menedzsment tevékenységek különböző készségeket igényelnek, de alapvető készség mind az irányító testület, mind a menedzsment számára, hogy megértsék a két tevékenységet és a különbségeiket.

Az irányító testület megfelelő információval történő ellátásához alkalmazásokkal és infrastruktúrával támogatott szolgáltatásokra van szükség, illetve hogy támogassák az irányító testület irányítási tevékenységeit az értékelés, az irány-kijelölés, valamint a felügyelés terén.

Információ

Szervezetistruktúrák

Alapelvek,szabályzatokés keretrendszerek

Kultúra,etika és viselkedés

Emberi erőforrás,készségekés kompetenciák

Szolgáltatások,infrastruktúraés alkalmazások


40

COBIT 5 folyamatmodell

A COBIT 5 nem írja elő, de javasolja, hogy a vállalatok irányítási és menedzsment folyamatokkal fedjék le a kulcsfon-tosságú területeket. Ezt mutatja be a 15. ábra.

15. ábra − COBIT 5 irányítás és menedzsment kulcsfontosságú területei

Értékel

Irányít

Tervez(APO)

Kialakít(BAI)

Működtet(DSS)

Felügyel(MEA)

Felügyel

Üzleti igények

Menedzsment visszajelzése

Irányítás

Menedzsment

Egy vállalat a legjobb belátása szerint szervezheti meg folyamatait, amíg az összes szükséges irányítási és menedzs-mentcélt lefedi. A kisebb vállalatoknak kevesebb, a nagyobb és összetettebb vállalatoknak több folyamatuk lehet, de mind ugyanazokat a célkitűzéseket fedik le.

A COBIT 5 tartalmaz egy folyamatmodellt, amely számos irányítási és menedzsmentfolyamatot definiál és mutat be részletesen. A vállalati IT tevékenységekhez tartozó valamennyi folyamatot leírja, miáltal egységes hivatkozási alapot nyújt az IT, illetve az üzleti területeken dolgozó menedzserek részére. A javasolt folyamatmodell teljes és átfogó, de nem az egyetlen lehetséges modell. Minden vállalatnak a saját, egyedi helyzetét figyelembe véve kell meghatároznia a folyamatait.

A jó irányítás megteremtése felé vezető egyik legfontosabb és legkritikusabb lépés egy működési modell kialakítása, valamint egy közös nyelv megteremtése a vállalati IT tevékenységek minden résztvevőjére kiterjedően. A COBIT 5 ezen felül egy keretrendszert is biztosít az IT teljesítményének mérésére és felügyeletére, az IT bizonyosságnyújtásra, a szolgáltatókkal való kommunikációra és a bevált menedzsmentgyakorlatok integrálására vonatkozóan.

A COBIT 5 folyamatmodell a vállalati IT irányítás és menedzsment folyamatait két fő területre osztja:• Irányítás – Öt irányítási folyamatot foglal magában; minden folyamaton belül értékelési, irányítási és megfigyelési

(EDM)5 gyakorlatokat határoz meg. • Menedzsment – Négy területet tartalmaz, a tervezés, kialakítás, üzemeltetés és felügyelet (PBRM) felelősségi

területeivel összhangban, és biztosítja az IT teljes lefedettségét. Ezek a területek a COBIT 4.1 területi és folyamat struktúrájának továbbfejlesztései. A területek neveit úgy választották meg, hogy összhangban legyenek a kapcsoló-dó fő területek megnevezésével, de több kifejezést használunk a leírásukhoz: – Illesztés (megfeleltetés), tervezés és szervezés (APO), – Kialakítás, beszerzés és megvalósítás (BAI),

5 Az irányítás kontextusában a „felügyelés” azokat a tevékenységeket jelenti, amelyekkel az irányító testület ellenőrzi, hogy a menedzsment számára megadott irányt mennyire követik. A szerkesztő megjegyzése: A betűszavakat nem fordítottuk le, így pl. az EDM megőrizte az evaluate, direct és monitor angol szavak kezdőbetűit. Így ezek beazonosíthatók minden COBIT 5 útmutatóban.


41

– Szállítás, szolgáltatás és támogatás (DSS), – Felügyelés, értékelés és elemzés (MEA).

Minden terület számos folyamatot foglal magában. A korábban tárgyaltak szerint a legtöbb esetben szükség van „tervezési”, „végrehajtási” és „felügyelési” tevékenységekre is a folyamatokban vagy azon a tényezőn belül, amire a folyamatok vonatkoznak (pl. minőség, biztonság), a folyamatokat mégis azon tevékenységi területek alapján sorolták az egyes szakterületekbe, melyek a legrelevánsabbak akkor, amikor az IT-t a vállalat szemszögéből nézzük.

A COBIT 5 folyamatmodell a COBIT 4.1 folyamatmodell utódja, mely magába építette a Risk IT és Val IT folyamat-modelleket is.

A 16. ábrán látható a COBIT 5-ben szereplő, összesen 37 irányítási és menedzsmentfolyamat. A folyamatok részletei, a fent leírt folyamatmodell alapján, a COBIT 5: A megvalósítási tényezők folyamataiban találhatók.

6. fejezet


16. ábra − Folyamat referenciamodell

A vállalati IT irányítási folyamataiÉrtékelés, irányítás és felügyelet

EDM01

Irányítási keretrendszerkialakítás és fenntartás

biztosítása

EDM02

Eredmények megvalósításának

biztosítása

EDM03

Kockázatoptimalizálásbiztosítása

EDM04

Erőforrás-optimalizálásbiztosítása

EDM05

Érdekelt felekátláthatóságának

biztosítása

A vállalati IT menedzsmentfolyamatok

DSS01

Üzemeltetés-menedzsment

DSS02

Szolgáltatáskérésés incidensek

kezelése

DSS03

Problémakezelés

DSS04

Folytonosság-menedzsment

DSS05

Biztonságiszolgáltatások

kezelése

DSS06

Üzleti folyamatokkontrolljainak

kezelése

Illesztés (megfeleltetés), tervezés és szervezés

MEA01

Teljesítményés a megfele-

lőségfelügyelete,értékelése

és elemzése

MEA02

Belső ellenőr-zési rendszer felügyelete, értékelése

és elemzése

MEA03

Külső követel-ményeknek

valómegfelelésfelügyelete,értékelése

és elemzése

Felügyelet,értékelés

és elemzés

Kialakítás, beszerzés és megvalósítás

Szállítás, szolgáltatás és támogatás

BAI01

Programokés projektek

kezelése

BAI07

Változásokelfogadásának

és életbe lépteté-sének kezelése

BAI02

Követelményekmeghatározá-

sánakkezelése

BAI03

Megoldásokazonosításának

és kialakításánakkezelése

BAI04

Rendelkezésreállás és kapacitás

kezelése

BAI05

Szervezetiváltozásokkezelése

BAI06

Változáskezelés

BAI08

Tudásmenedzs-ment

BAI09

Vagyontárgyakkezelése

BAI10

Konfiguráció- kezelés

APO01

Az IT menedzs-ment-

keretrendszermenedzselése

APO07

Emberi erőforráskezelése

APO02

Stratégiakezelés

APO03

Vállalatiarchitektúra

kezelés

APO04

Innovációkezelés

APO05

Portfóliókezelés

APO06

Költségvetésés költségek

kezelése

APO08

Vállalatikapcsolatok

kezelése

APO09

Szolgáltatásiszerződések

kezelése

APO10

Beszállítókkezelése

APO11

Minőség kezelése

APO12

Kockázatke-zelés

APO13

Biztonság-menedzsment


42



43

7. fejezet

megvalósítási útmutató

Bevezetés

A COBIT használatával csak akkor lehet optimálisan értéket teremteni, ha hatékonyan alkalmazzák, és az adott vál-lalat egyedi környezetéhez igazítják. Minden megvalósítás során foglalkozni kell továbbá az egyedi sajátosságokkal, beleértve a kulturális és viselkedésbeli változások kezelését. Az ISACA gyakorlatias és részletes megvalósítási útmutatót nyújt a COBIT 5 Megvalósítás6 kiadványában, amely a folyamatos fejlesztési életcikluson alapul. A dokumentum nem előíró jellegű, és nem kíván teljes körű megoldást adni, inkább útmutatóként szolgál az általánosan előforduló csapdák elkerüléséhez, a bevált gyakorlatok kiaknázásához, valamint segítséget nyújt az eredmények sikeres megvalósításához. Az útmutatást kiegészíti egy megvalósítási eszközkészlet, amely különféle, folyamatosan fejlesztendő erőforrásokat tartalmaz. Ez a következőket foglalja magába:• Önértékelési, mérési és diagnosztikai eszközök,• Többféle közönség számára készített prezentációk,• Kapcsolódó cikkek és további magyarázatok.

E fejezet célja, hogy áttekintő bevezetést nyújtson a megvalósításhoz és a folyamatos fejlesztési életciklushoz, vala-mint hogy rávilágítson számos fontos témára, melyeket a COBIT 5 Megvalósítás tárgyal:• Megvalósíthatósági tanulmány elkészítése a vállalati IT irányításának és menedzsmentjének megvalósítására és

fejlesztésére.• Tipikus nehézségek és az ezeket előidéző események, okok felismerése.• A bevezetés számára megfelelő környezet megteremtése.• A COBIT felhasználása arra, hogy azonosítsa a hiányosságokat, irányítsa a megvalósítási tényezők, mint például

a szabályzatok, a folyamatok, az irányelvek, a szervezeti struktúrák vagy a szerepek és felelősségek fejlesztését.

A vállalati környezet figyelembevétele

A vállalati IT irányítása és menedzsmentje nem légüres térben történik. Minden vállalatnak ki kell dolgoznia saját megvalósítási, illetve útitervét, mely a vállalat sajátos belső és külső környezeti tényezőin alapul, úgymint:• Etika és kultúra,• Vonatkozó jogszabályok, szabályozások és szabályzatok,• Misszió, vízió és értékek,• Irányítási szabályzatok és gyakorlatok,• Üzleti terv és stratégiai szándékok,• Működési modell és érettségi szint,• Vezetési stílus,• Kockázatvállalási hajlandóság,• Képességek és rendelkezésre álló erőforrások,• Iparági gyakorlatok.

Ugyancsak fontos építeni és támaszkodni a meglévő vállalatirányítási megvalósítási tényezőkre.

A vállalati IT irányítás és menedzsment optimális kialakítása minden vállalat esetében más és más lesz. A COBIT hatékony alkalmazásához és felhasználásához csakúgy, mint a vállalati IT irányítás és menedzsment megvalósítási tényezőinek hatékony használatához meg kell érteni és figyelembe kell venni a vállalat saját helyzetét és környezetét.

7. fejezet


6 www.isaca.org/cobit


http://www.isaca.org/cobit

44

Gyakran más keretrendszert, bevált gyakorlatot és szabványt is használnak a COBIT mellett, és ezeket is a vállalat egyedi igényeinek megfelelően kell felhasználni.

A sikeres megvalósítás kulcsfontosságú tényezői:• A felső vezetés kijelöli az irányvonalat és felhatalmazást ad a kezdeményezéshez, valamint folyamatos elkötelezett-

séget mutat és támogatást nyújt a megvalósítás során.• Az irányítási és menedzsment folyamatokat támogató valamennyi félnek meg kell értenie az üzleti és IT célokat.• Hatékony kommunikációt kell biztosítani, és elősegíteni a szükséges változásokat.• A COBIT-ot és a többi felhasznált bevált gyakorlatot és szabványt hozzá kell igazítani a vállalat saját környezetéhez.• A gyorsan elérhető eredményekre kell koncentrálni, és a legelőnyösebb és legkönnyebben megvalósítható fejleszté-

seknek kell prioritást biztosítani.

A megfelelő környezet megteremtése

Fontos, hogy a COBIT-ot felhasználó megvalósítási kezdeményezéseket megfelelően irányítsák és menedzseljék. Gyakran vallanak kudarcot jelentős IT kezdeményezések amiatt, hogy az érdekelt felek nem nyújtanak megfelelő iránymutatást, támogatást vagy felügyeletet, és a COBIT-ot felhasználó, az IT irányítás és menedzsment megvalósítási tényezőinek bevezetése esetén sincs ez másképp. A kulcsszerepben lévő érintett felek támogatása és iránymutatása létfontosságú a fejlesztések alkalmazásához és fenntartásához. Gyenge vállalati környezetben (ahol például nincs letisztult általános működési modell, vagy nincsenek jelen a vállalati szintű irányítás megvalósítási tényezői), ez a fajta támogatás és részvétel még fontosabbá válik.

A COBIT-on alapuló megvalósítási tényezőknek a valós üzleti igényekre és problémákra kell megoldást nyújtaniuk, és nem lehetnek öncélúak. A menedzsmentnek azonosítania kell, és el kell fogadnia az aktuális nehézségekből és mozga-tóerőkből adód igényeket, és ezekkel a területekkel kell foglalkoznia. A COBIT-on alapuló, magas szintű ellenőrzések, tesztek vagy képességfelmérés nagyszerű eszköze a tudatosításnak, a konszenzus, illetve a cselekvés iránti elkötele-zettség megteremtésének. Az elejétől fogva gondoskodni kell az érdekelt felek elkötelezettségének és támogatásának megszerzéséről. Ennek elérése érdekében a megvalósítás céljait és előnyeit világosan meg kell fogalmazni üzleti szempontból, és bele kell őket foglalni egy üzleti tervbe.

Amint az elkötelezettséget megszereztük, megfelelő erőforrásokat kell biztosítani a program támogatására. Meg kell határozni, és ki kell jelölni a kulcsfontosságú szerepeket és felelősségeket. Az összes érdekelt fél elkötelezettségének fenntartására folyamatosan ügyelni kell.

Megfelelő szervezeti struktúrákat és folyamatokat kell kialakítani és fenntartani a felügyelet és iránymutatás biztosí-tására. E struktúráknak és folyamatoknak kell biztosítaniuk az összhangot a vállalatirányítással és kockázatkezeléssel egyaránt.

A kulcsfontosságú érdekelt feleknek, mint az igazgatótanácsi tagoknak és az igazgatóknak jól láthatóan biztosítaniuk kell a támogatásukat és az elkötelezettségüket, ezzel adva meg az alaphangot, és teremtve meg a megfelelő elkötele-zettséget a program minden szintjén.

A nehézségek és az előidéző események felismerése

Számos tényező utalhat a vállalati IT irányítás és menedzsment fejlesztésének szükségességére.

Ha a megvalósítási kezdeményezésekhez a nehézségekből, illetve az előidéző eseményekből indulunk ki, akkor a vállalati IT irányítására és menedzsmentjére vonatkozó üzleti terv hozzákapcsolható lesz a gyakorlati, mindennapi tapasztalható problémákhoz. Ez elősegíti az elköteleződést, és megteremti a sürgősség érzetét a vállalaton belül, ami szükséges a megvalósítás elindításához. Ezenfelül gyorsan eredményt hozó intézkedések azonosíthatók, illetve a vállalat legszembetűnőbb területein és értékteremtés mutatható fel. Ez biztosít alapot további változások bevezetésé-hez, és segít megnyerni a felső vezetés széles körű elkötelezettségét és támogatását további átható változásokhoz.


45

A COBIT 5 Megvalósítás például a következő tipikus nehézségeket tárgyalja, melyekre IT megvalósítási tényezők új, illetve felülvizsgált IT irányítása és menedzsmentje megoldást jelenthet (vagy része lehet a megoldásnak):• Üzleti elégedetlenség a sikertelen kezdeményezések, emelkedő IT költségek és az üzleti terület számára nyújtott

csekély érték miatt.• IT kockázatokból adódó, jelentős incidensek, mint például adatvesztés vagy projektek meghiúsulása.• Kiszervezett szolgáltatások teljesítésével kapcsolatos problémák, pl. a szolgáltatási szintektől való folyamatos elma-

radás.• Szabályozói vagy szerződéses követelményeknek való meg nem felelés.• A vállalat innovációra való képességét és üzleti agilitását korlátozó IT.• Rendszeres audit megállapítások az IT gyenge teljesítményére vonatkozóan, illetve az IT szolgáltatási minőségével

kapcsolatban bejelentett problémák.• Rejtett és megmagyarázhatatlan IT kiadások.• Kezdeményezések kettőződése vagy átfedése vagy erőforrások pazarlása, mint például projekt idő előtti leállítása.• Elégtelen IT erőforrások, nem megfelelő szakképzettségű, vagy kiégett/elégedetlen személyzet.• IT változtatások, amelyek nem felelnek meg az üzleti igényeknek, késéssel valósultak meg, vagy túllépték a költség-

vetést.• Az IT-val kapcsolatba lépni vonakodó igazgatótanácsi tagok, igazgatók vagy felső vezetők, vagy hiányoznak az IT

iránt elkötelezett és azzal elégedett üzleti szponzorok.• Komplex IT működési modellek.

A vállalat belső és külső környezetében e nehézségeken kívül más események is előrejelezhetik vagy előidézhetik a vállalati IT irányításra és menedzsmentre összpontosuló nagyobb figyelmet. A COBIT 5 Megvalósítás című kiadvá-nyának 3. fejezetében erre a következő példák szerepelnek:• Fúzió, felvásárlás vagy értékesítés,• Piaci, gazdasági vagy a versenyhelyzetben bekövetkező változás,• Változás a vállalat működési modelljében vagy a kiszervezési megállapodásokban,• Új szabályozási vagy megfelelőségi követelmények,• Jelentős technológiai változás vagy paradigmaváltás,• Egész vállalatra kiterjedő irányítási figyelem vagy projekt,• Új vezérigazgató, pénzügyi igazgató, informatikai igazgató stb.• Külső audit vagy tanácsadói értékelések,• Új üzleti stratégia vagy prioritás.

A változás megvalósítási tényezői

A sikeres megvalósítás feltétele a megfelelő változás (a megfelelő irányítási és menedzsment megvalósítási tényezők) megfelelő módon történő megvalósítása. Sok vállalatban nagy hangsúly van az első szemponton – a vállalati IT központi irányításán vagy menedzsmentjén –, de nem fordítanak elégséges figyelmet a változás emberi, viselkedési és szervezeti kulturális szempontjaira, valamint az érdekelt felek motiválására, hogy elkötelezettek legyenek a változás iránt. Nem szabad abból kiindulni, hogy az új, vagy átalakított megvalósítási tényezők által érintett vagy befolyásolt érdekelt felek azonnal el is fogadják és végrehajtják a változást. Szervezett, proaktív megközelítéssel kell kezelni az új ténye-zők figyelmen kívül hagyásának és/vagy a velük szembeni ellenállás lehetőségét. Ezenfelül a megvalósítási program-mal kapcsolatos tudatosság kívánatos mértékét kommunikációs terv segítségévelkell elérni, mely meghatározza, hogy a program egyes fázisaiban ki, mit és hogyan fog kommunikálni.

Fenntartható fejlődés az érdekelt felek elkötelezettségének megnyerésével érhető el (befektetés a szívek és a fejek meg-nyerésébe, a vezetők idejének elnyerésébe, valamint a munkatársakkal való kommunikációba és egyeztetésbe), vagy szükség szerint a megfelés kikényszerítésével (befektetés a menedzsment, figyelemmel kísérési és kényszerítő folya-matokba). Más szóval felül kell kerekedni az emberi, a viselkedési és a kulturális akadályokon annak érdekében, hogy

7. fejezet



46

közös érdek alakuljon ki a változás helyes megvalósítására, kialakuljon a változásra irányuló akarat, és biztosítsák a változás végrehajtásának a képességét.

Életciklus-megközelítés

A megvalósítási életciklus lehetőséget nyújt a vállalatok számára, hogy a COBIT 5-öt felhasználják a megvalósítás során tipikusan fellépő, bonyolult helyzetek és kihívások kezelésére. Az életciklus három összefüggő eleme:1. Folyamatos fejlődési életciklus – ez nem egy egyszeri projekt.2. A változás ösztönzése – a viselkedési és szervezeti kulturális aspektusok kezelése.3. Programmenedzsment.

Ahogy korábban tárgyaltuk, a megvalósítás vagy fejlesztés sikere érdekében meg kell teremteni a megfelelő környeze-tet. Az életciklust és annak hét fázisát a 17. ábra mutatja.

Az 1. fázis a bevezetési vagy fejlesztési igény felismerésével és elfogadásával kezdődik. Azonosítja az aktuális nehézségeket, továbbá kiváltja és megteremti a változtatásra irányuló akaratot a felső vezetésben.

A 2. fázisban történik a bevezetési vagy fejlesztési kezdeményezések hatókörének a meghatározása, a COBIT-ban szereplő vállalati céloknak az IT célokra és IT folyamatokra történő leképezésével, és annak megfontolásával, hogy a kockázati forgatókönyvek alapján mely kulcsfolyamatokra kell figyelmet fordítani. A magas szintű elemzések is felhasználhatók a magas prioritású, figyelmet igénylő területek meghatározására és megértésére. Ezt követően felmérik az aktuális állapotot, a folyamatképességek felmérése során pedig azonosítják a felmerülő problémákat és hiányosságokat. A nagy volumenű kezdeményezéseket az életciklus többszöri végrehajtásával kell strukturálni – mivel

Javítások

implemen-

Javítások

kialakítása

Célálla

pot

és értékel felismerése

definiál

ása

Monitoroz

értékelésehelyzet

tálása

Cselekvés

Jelen

szükségesség

Üzem

elte

tés

és m

érés

FenntartásVágy felkeltésea változásra

kommunik

álás

a

Eredm

ény

azonosításaSzereplők

és használat

Üzemeltetés

kialakítása

Új m

egkö

zelít

ések

beág

yazá

sa

Implem

entációs

csapat

Hasz

on re

aliz

álás

a

Program tervezése

definiálásaProblém

ák és lehetőségek

Terv végrehajtása

Hatékonyság áttekintése Program indítása

6 Ej

utot

tunk

odá

ig? 2 Hol vagyunk m

ost?

7 Hog

yan tartju

k fent a lendületet?

3 Hol ak

arun

k len

ni?

4 Mit kell tenni?

1 Mik a vezérlők?

5 Hogyan jutunk el odáig?

Road m

ap de

finiá

lása

17. ábra − A megvalósítás életciklusának hét fázisa

Programmenedzsment(külső gyűrű)

Változásmenedzsment(középső gyűrű)

Folyamatos fejlődés életciklusa(belső gyűrű)


47

7. fejezet


ha a megvalósításhoz fél évnél több időre van szükség, akkor fennáll annak a kockázata, hogy elvész az érdekelt felek lendülete, a figyelme és az elkötelezettsége.

A 3. fázis során meghatározzák a fejlesztés célját, amit a COBIT irányelvek felhasználásával részletesebb elemzés követ a hiányosságok és a lehetséges megoldások meghatározására. Egyes megoldások gyors sikert hoznak, mások nagyobb kihívást jelentenek és hosszabb távú megvalósítást igényelnek. Prioritást kell adni a könnyebben végrehajtha-tó és a várhatóan legnagyobb hasznot hozó kezdeményezéseknek.

A 4. fázisban gyakorlatias megoldásokat tervezünk üzleti tervekkel alátámasztott projektek által. A megvalósítás változtatási tervét is elkészítjük. Egy jól kidolgozott üzleti terv segíti a projekt eredményeinek meghatározását és felügyelését.

A javasolt megoldásokat az 5. fázisban kell a napi gyakorlatban megvalósítani. A COBIT célok és mérőszámok segítségével intézkedéseket határozunk meg, amelyekkel felügyelni lehet az üzleti illeszkedés elérését és fenntartását, illetve a teljesítményt. A sikerhez elkötelezettségre és az elkötelezettség kimutatására van szükség a felső vezetés részéről, valamint hogy a kezdeményezést magukénak érezzék az érintett üzleti és IT érdekelt felek.

A 6. fázis az új vagy továbbfejlesztett megvalósítási tényezők fenntartható működtetésére, és a várt haszon megvaló-sulásának felügyelésére fókuszál.

A 7. fázis során átfogóan felmérik a kezdeményezés sikerét, meghatározzák a vállalati IT irányítás és menedzsment további követelményeit, és megerősítik a folyamatos fejlesztés igényét. Idővel az életciklust meg kell ismételni, fenntartható megközelítést kialakítva a vállalati IT irányítására és menedzs-mentjére.

Kezdeti lépés: Üzleti terv készítése

A COBIT-ot felhasználó megvalósítási projektek, kezdeményezések sikerét azzal biztosíthatjuk, ha a cselekvés szükségességét minél szélesebb körben felismerik és kommunikálják a vállalaton belül. A kommunikáció történhet „ébresztő hívással” (például ahol konkrét problémák bukkannak fel, ahogy azt korábban tárgyaltuk), vagy a végrehaj-tandó fejlesztési lehetőség és – ez nagyon fontos – a realizálható hasznok bemutatásával. Tudatosítani kell az érdekelt felekben, hogy mennyire sürgető a cselekvés, és azzal is tisztában kell lenniük, hogy milyen kockázatot rejt, ha nem cselekszenek, illetve milyen előnyökkel jár a program vállalása.

A kezdeményezésnek kell lennie gazdájának egy szponzor személyében, be kell vonni az összes érdekelt felet, majd üzleti tervet kell készíteni. Először ez lehet magas szintű, stratégiai megközelítésű – fentről lefelé haladó –, azaz először világosan meg kell érteni a kívánt üzleti eredményeket, és innen továbblépni a kritikus feladatok és mér-földkövek, illetve kulcsszerepek és felelősségek részletei felé. Az üzleti terv értékes eszköz a menedzsment kezében, amellyel irányítani lehet az üzleti értékteremtés folyamatát. Az üzleti tervnek az alábbiakat kell mindenképpen tartalmaznia:• A megcélzott üzleti előnyöket, ezek illeszkedését az üzleti stratégiához, és a származó hasznok tulajdonosait

(akik a vállalaton belül felelősek lesznek biztosításukért). Ez alapulhat a problémás területeken és a kiváltó okokon.• Az elképzelt értékek előállításához szükséges üzleti változásokat. Ez alapulhat felülvizsgálatokon, képességbeli

hiányok elemzésein, és egyértelműen meg kell határoznia, hogy mi tartozik a hatókörbe és mi nem.• A vállalati IT irányításban és menedzsmentben végrehajtandó változásokhoz szükséges befektetéseket (a szükséges

projektekre vonatkozó becslésekre alapozva).• A folyamatosan felmerülő IT és üzleti költségeket.• A megváltozott módon történő működéstől elvárt előnyöket.• A korábbi pontokban rejlő kockázatot, beleértve bármilyen megszorítást vagy függőséget (a kihívásokon és sikerté-

nyezőkön alapulva).• A kapcsolódó szerepeket, felelősségeket és számon kérhetőséget.• Hogyan fogják a befektetést és értékteremtést figyelemmel kísérni a befektetés életciklusa során, illetve milyen

mérőszámokat fognak használni (a célok és mérőszámok alapján).


48

7 ITGI, Global Status Report on the Governance of Enterprise IT (GEIT) – 2011, USA, 2011, www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Global-Status-Report-on-the-Governance-of-Enterprise-IT-GEIT-2011.aspx

8 ISACA, Building the Business Case for COBIT® and Val ITTM Executive Briefing, USA, 2009, www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Building-the-Business-Case-for-COBIT-and-Val-IT-Executive-Briefing.aspx

9 Weill, Peter; Jeanne W. Ross; IT Governance: How Top Performers Manage IT Decision Rights for Superior Results, Harvard Business School Press, USA, 2004

10 De Haes, Steven; Dirk Gemke; John Thorp; Wim Van Grembergen; ‘Analyzing IT Value Management @ KLM Through the Lens of Val IT’, ISACA Journal, 2011, vol 4. Van Grembergen, Wim; Steven De Haes; Enterprise Governance of IT: Achieving Alignment and Value, Springer, USA, 2009

Az ITGI megrendelt a PwC-től egy IT irányításra vonatkozó piackutatást7. 21 országból, több mint 800 IT és üzleti válaszadó vett részt a felmérésben. A válaszadók harmincnyolc százaléka az alacsonyabb IT költségeket tüntette fel az IT irányítási gyakorlatok eredményeként, 28,1% említette a nagyobb üzleti versenyképességet, és 27,1% az IT beruházások nagyobb nyereségességét. Több további, kevésbé megfogható előnyt is említettek, mint az IT-hoz kapcsolódó kockázatok hatékonyabb kezelése (a válaszadók 42,2%-a), az üzlet és az IT közötti jobb kommunikáció és viszony (a válaszadók 39,6%-a), és az üzleti célok jobb IT szolgálását (a válaszadók 37,3%-a).

Az ISACA szintén végzett egy kutatást 8 a COBIT üzleti értékteremtésének felmérése és bemutatása céljából. A kutatás során ösz-szegyűjtött adatok széles körű elemzési lehetőségeket kínálnak és tisztázzák a kapcsolatot az IT irányítás és az üzleti teljesítmény között.

Egy másik tanulmány, amelyet világszerte 250 vállalat bevonásával készítettek, kimutatta, hogy azok a vállalatok, melyek magas színvonalú IT irányítással rendelkeznek, legalább 20%-kal magasabb nyereségességet mutatnak fel, mint a gyenge irányítással rendelkező cégek – ugyanazokat a célokat vizsgálva9. A tanulmány arra a konklúzióra jut, hogy az IT üzleti értéke közvetlenül a hatékony IT irányítás következménye.

Végezetül egy a repülőtársaságok között lefolytatott másik kutatás arra az eredményre jutott, hogy az IT irányítás bevezetése ésfolyamatos bizonyosságnyújtása visszaállította az üzlet és az IT közti bizalmat, valamint a beruházások stratégiai célokhoz való magasabb szintű illeszkedését eredményezte. További kézzelfogható előnyöket is kimutattak ebben az esetben, többek között az üzleti egységekre jutó átlagos IT üzemeltetési költség csökkenését és pénzforrások felszabadulását innovációs célokra. Egy másik, a pénzügyi szektorban folytatott több esetre kiterjedő kutatás bebizonyította, hogy a jobb IT irányítási megközelítésekkel rendelkező szervezetek egyértelműen magasabb érettségi értékeket értek el az üzlet/IT illeszkedésében.10

6. példa − IT statisztikák irányítása

Az üzleti terv nem egy egyszer elkészítendő, statikus dokumentum, hanem egy dinamikus munkaeszköz, amelyet folyamatosan frissíteni kell, hogy a program életképességének fenntartása érdekében tükrözze az aktuális kilátásokat.

A megvalósítási vagy fejlesztési kezdeményezések előnyeit nehéz számszerűen meghatározni, ezért csak realisztikus és megvalósítható eredeményekkel kapcsolatban szabad kötelezettséget vállalnunk. Az elérhető eredményekről hasznos információt nyújthatnak számos vállalatnál készült tanulmányok.


49

8. fejezet

a Cobit 5 folyamatKépesség-modell

* A Szerkesztő megjegyzése: EDM – evaluate, direct és monitor; PBRM – plan, build, run és monitor; PAM – process assessment model; - az angol kezdőbetűk összeolvasásával képzett betűszavak.

11 www.isaca.org/cobit-pam

8. fejezet


Bevezetés

A COBIT 4.1, a Risk IT és a Val IT felhasználói már ismerik ezen keretrendszerek folyamatérettségi modelljeit. Ezeket a modelleket arra használják, hogy felmérjék egy vállalat IT-val kapcsolatos folyamatainak jelenlegi (as-is) érettségét, meghatározzák az elérni kívánt érettségi szintet (to-be state), és a két állapot közötti különbséget, amivel választ kapnak arra, hogy milyen folyamatjavításokkal tudnak az elérni kívánt érettségi szintre eljutni.

A COBIT 5 termékcsalád egy nemzetközileg elfogadott ISO/IEC 15504 Software Engineering – Process Assessment szabványon alapuló folyamatképesség-modellt tartalmaz. E modell ugyanazokat az átfogó célokat kívánja elérni a folyamatfelmérés és folyamatjavítás támogatásá terén, azaz olyan eszközt biztosít, amellyel bármely (EDM* alapú) irányítási és (PBRM* alapú) menedzsment folyamat teljesítményét mérni lehet, és a fejlesztendő területeket is meg lehet határozni.

Az új modell azonban felépítésében és használatában is eltér a COBIT 4.1 érettségi modelljétől, ezért a továbbiakban a következő témákkal foglalkozunk:• A COBIT 5 és COBIT 4.1 modellek közötti különbségek.• A COBIT 5 modell előnyei.• A COBIT 5 felhasználók által a gyakorlatban várhatóan tapasztalt különbségek összefoglalása. • Egy COBIT 5 képességértékelés elvégzése.

A COBIT 5 képességértékelési szemlélet részletei az ISACA COBIT® Folyamat Felmérési Modell (PAM*): A COBIT® 4.1 használata11 című kiadványban találhatók.

Habár e megközelítés értékes információt fog nyújtani a folyamatok állapotára vonatkozóan, a folyamat csak egyike a hét irányítási és menedzsment megvalósítási tényezőnek. Következésképpen a folyamatfelmérések nem fognak teljes képet adni a vállalatirányítás állapotáról. Ahhoz a többi megvalósítási tényező kiértékelésére is szükség lesz.

A COBIT 4.1 érettségi modell és a COBIT 5 folyamatképesség-modell közötti különbségek

A COBIT 4.1 érettségi modelljének elemei a 18. ábrán láthatók.

A COBIT 4.1 érettségi modelljének folyamatjavítási célokra történő felhasználása esetén – a folyamat érettségének meghatározása, az elérni kívánt érettségi szint definiálása, a kettő közötti különbségek azonosítása – a COBIT 4.1 következő elemeit kellett felhasználni:• Először meg kellett állapítani, hogy a folyamatra vonatkozó kontrollcélokat megvalósították-e.• Ezt követően a menedzsment irányelvben szereplő érettségi modellt kellett alkalmazni az egyes folyamatokra, hogy

megkapjuk a folyamatok érettségi profilját.• Ezen túlmenően a COBIT 4.1-ben szereplő általános érettségi modell hat darab olyan különálló jellemzőt sorolt fel,

amelyek minden folyamatra alkalmazhatók voltak, és segítséget nyújtottak ahhoz, hogy még részletesebb képet kapjunk a folyamatok érettségi szintjéről.

• A folyamatkontrollok, általános kontrollcélok – ezeket is felül kellett vizsgálni a folyamat felmérése során. A folya-matkontrollok részleges átfedésben vannak az általános érettségi modell jellemzőkkel.


50

A COBIT 5 folyamatképesség-modellt a 19. ábra foglalja össze (A szerkesztő megjegyzése: az ábrán a PA betűszó a performance attribute – teljesítmény jellemző – szókapcsolatot jelöli).

19. ábra − A COBIT 5 folyamatképesség-modell összefoglalása

Általános folyamatképesség-jellemzők

COBIT 5 folyamatfelmérésimodell – végrehajtási mutatók

COBIT 5 folyamatfelmérési modell– képesség mutatók

Hiányos folyamat

Végrehajtottfolyamat

Végrehajtási jellemzők(PA) 1.1

Folyamat-végrehajtás

Általános gyakorlatok Általános erőforrások Általánosmunkatermékek

Folyamateredmények

Alapvetőgyakorlatok(vezetési/ irányítási

gyakorlatok)

Munka- termékek

(bemenetek/kimenetek)

PA 2.1Végrehajtás

irányítás

PA 3.1Folyamat-meghatá-

rozás

PA 3.2Folyamat-alkalmazás

PA 4.1Folyamat-irányítás

PA 4.2Folyamat-ellenőrzés

PA 5.1Folyamat-fejlesztés

PA 5.2Folyamat-optimali-

zálás

PA 2.2Munkater-

mék-menedzs-

ment

Irányítottfolyamat

Kialakítottfolyamat

Kiszámíthatófolyamat

Optimalizálófolyamat

0 1 2 3 4 5

18. ábra − A COBIT 4.1 érettségi modell összefoglalása

Érettségi modell(folyamatonként egy)

Általános érettségi modell jellemzők

COBIT 4.1 folyamatkontrollok COBIT 4.1 folyamat-célkitűzések

Nem létező

0. Érettségi szint

Tudatosságés

kommunikáció

Szabályzatok,tervek

és eljárások

Eszközökés

automatizálás

Készségés

szakértelem

Felelősségés

számonkérhe-tőség

Célok kijelö-lése

és mérés

1. Érettségi szint 2. Érettségi szint 5. Érettségi szint4. Érettségi szint3. Érettségi szint

Ad hoc Ismétlődő Szabályozottfolyamat

Irányítottés mérhető

Optimalizált


51

A folyamatok a folyamatképesség hat szintjét érhetik el, beleértve a „hiányos folyamatot” is, ha a folyamat gyakorlatai nem valósítják meg a folyamat kitűzött céljait:• 0. szint: Hiányos folyamat – Hiányos a folyamat, ha a folyamat egyáltalán nem implementált, vagy nem éri el

a célját. Ezen a szinten kevés, vagy semmilyen bizonyíték nincs arra, hogy a folyamat célja szisztematikusan meg-valósult volna.

• 1. szint: Végrehajtott folyamat (egy jellemzővel rendelkezik) – A végrehajtott folyamat teljesíti a folyamat céljait a szükséges cselekmények végrehajtása útján és az alkalmas kimenő és bemenő munkatermékek meglétével, ame-lyek együttesen biztosítják, hogy a folyamat céljai teljesüljenek.

• 2. szint: Irányított folyamat (két jellemzővel rendelkezik) – Az irányított folyamat olyan végrehajtott folyamat, melyet irányított módon valósítanak meg (tervezett, felügyelt, beszabályozott módon), hogy megfeleljen a folyamatra vonatkozó végrehajtási célkitűzéseknek, és olyan munkatermékeket eredményezzen, amelyek megfelelően vannak kialakítva, kontrollálva és karban tartva.

• 3. szint: Kialakított folyamat (két jellemzővel rendelkezik) – A kialakított folyamat olyan irányított folyamat, me-lyet egy meghatározott folyamat alapján valósítanak meg, mely alkalmas arra, hogy a folyamat megvalósítsa a kitűzött eredményeit.

• 4. szint: Kiszámítható folyamat (két jellemzővel rendelkezik) – A kiszámítható folyamat olyan kialakított folya-mat, mely meghatározott határértékeken belül működik, megvalósítva a folyamat eredményeit, kiegészítve azzal, hogy a végrehajtását mérésekből származó mennyiségi információkkal támogatják és végzik el.

• 5. szint: Optimalizáló folyamat (két jellemzővel rendelkezik) – Az optimalizáló folyamat olyan kiszámítható fo-lyamat, mely folyamatos fejlesztés alatt áll annak érdekében, hogy a vonatkozó jelenlegi és előrevetített üzleti célok teljesüljenek.

Az egyes képességszinteket csak akkor lehet megvalósítani, ha az alattuk lévő szintek már teljes mértékben teljesültek. Például egy folyamat a 3. képességi szinten (irányított folyamat) megköveteli a folyamatmeghatározási és folyamat-megvalósítási jellemzők nagymértékű teljesülését a 2. szint (irányított folyamat) jellemzőinek teljes mértékű teljesíté-sén felül.

Jelentős különbség van a folyamatképesség 1. szintje és a magasabb képességi szintek között. A folyamatképesség 1. szintjének eléréséhez a folyamat teljesítmény jellemzőjének nagyjából teljesülnie kell, ami a gyakorlatban azt jelenti, hogy a folyamatot sikeresen végrehajtották, és a vállalat elérte a kívánt eredményeket. A magasabb képességi szintek ezt követően további különböző jellemzőket tesznek hozzá ehhez a szinthez. Ebben az értékelési rendszerben az 5-ös skálán már az 1. képességi szint teljesítése is fontos eredmény a vállalat számára. Fontos, hogy minden egyes vállalat-nak ki kell választania (költség-haszon és megvalósíthatósági szempontok alapján) a megcélzott vagy elérni kívánt szintet, amely azonban ritkán szokott a legmagasabbak közül kikerülni.

Az ISO/IEC 15504-2-es szabványon alapuló folyamatképesség-értékelési modell és a most tárgyalt COBIT 4.1 modell (vagy a hasonló Val IT és Risk IT alapú érettségi modellek) közötti legfontosabb különbségek a következőképpen foglalhatók össze:• Az ISO/IEC 15504 által meghatározott képességszintek elnevezése és jelentése jelentősen eltér a COBIT 4.1-ben

használt folyamatérettségi szintektől.• Az ISO/IEC 15504-ben a képességszinteket 9 folyamatjellemző alapján határozzák meg. Ezek a jellemzők lefednek

néhányat a COBIT 4.1 érettségi modelljének jellemzőiből és/vagy folyamatkontrolljaiból, de csak egy bizonyos mér-tékig és azt is eltérő módon.

Az ISO/IEC 15504:2-nek megfelelő folyamatmodell követelményei előírják, hogy bármely értékelendő folyamat jellemzése során, azaz minden COBIT 5 irányítási és/vagy menedzsment folyamat esetén:• A folyamatot a célja és az eredményei alapján írják le.• A folyamat leírásának nem szabad tartalmaznia a mérési keretrendszer egyetlen 1. szint feletti szempontját sem, ami

azt jelenti, hogy a folyamat leírásában nem jelenhet meg semelyik 1. szint feletti folyamatjellemző sem. A folyamat leírásának vagy a mögöttes menedzsment gyakorlatoknak/tevékenységeknek nem lehet része, hogy a folyamatot mérik, figyelemmel kísérik vagy formálisan leírják, stb. Ez azt jelenti, hogy a folyamatleírások, ahogy azok a COBIT 5 Megvalósítási eljárásokban eljárásokban szerepelnek, csak a folyamat tényleges szándéka és céljai megvalósításához szükséges lépéseket tartalmazhatják.

8. fejezet



52

• Az előző pontokból következik, hogy a vállalati folyamatokra általánosan alkalmazható közös jellemzőket – amelyek kettős kontroll-célkitűzéseket eredményeztek a COBIT ® 3. kiadásában, a COBIT 4.1-ben pedig a folya-matok kontroll-célkitűzéseibe (PC) lettek csoportosítva – a COBIT 5 az értékelési modellnek a kettőtől az ötödikig terjedő szintjein határozta meg.

Különbségek a gyakorlatban12

A korábban leírtakból egyértelműen kiderül, hogy a folyamatfelmérési modellek változásából gyakorlati különbségek következnek. A felhasználóknak tisztában kell lenniük ezekkel a változásokkal, és terveik kidolgozása során figyelem-be kell venniük ezeket.

A főbb változások, amelyeket figyelembe kell venni, a következők:• Bár nagy a kísértés a COBIT 4.1 és COBIT 5 értékelési eredményeinek összehasonlítására a számskála és a leírások

nyilvánvaló hasonlóságai miatt, az összehasonlítás mégis nehéz a hatókör, a fókusz és a szándék különbségei miatt, ahogyan ez a 20. ábrán is látható.

• Általánosságban véve elmondható, hogy a COBIT 5 folyamatképességi modellben alacsonyabbak lesznek az érté-kek, ahogyan ezt a 20. ábra is mutatja. A COBIT 4.1 érettségi modellben egy folyamat elérheti az 1. vagy 2. szintet anélkül, hogy teljes mértékben teljesülnének a folyamatcélok. A COBIT 5 folyamatképességi modellben ugyanez a teljesítmény a 0. vagy az 1. szinthez elegendő csupán.

A COBIT 4.1 és a COBIT 5 képességi skálák nagy vonalakban össszepárosíthatóak, ahogy az a 20. ábrán látható.• A COBIT 5 már nem tartalmaz olyan érettségi modellt, amely minden folyamat tartalmát részletezi, mert az ISO/

IEC 15504 folyamatképesség-értékelési szemlélet ezt már nem írja elő, sőt egyenesen tiltja. Ehelyett az új megkö-zelítés a „folyamat referenciamodellben” (az értékeléskor használt folyamatmodellben) határozza meg az szükséges információkat: – Folyamatleírás, a célok meghatározásával. – Alapvető gyakorlatok, amelyek megfelelnek a COBIT 5 szerinti folyamatirányítási és -menedzsment gyakorlatok-

nak. – Munkatermékek, amelyek megfelelnek a COBIT 5 szerinti bemeneteknek és kimeneteknek.

• A COBIT 4.1 érettségi modell létrehozta a vállalat érettségi profilját. Ennek a profilnak az volt a célja, hogy beazo-nosíthatók legyenek azok a dimenziók vagy jellemzők, melyeknél javítandó gyengeségek fordultak elő. Ezt a meg-közelítést akkor használták a vállalatok, amikor a javításra összpontosítottak, és nem egy érettség értékét akarták meghatározni jelentés céljából. A COBIT 5-ben az értékelési modell minden képességjellemzőhöz nyújt egy mérési skálát, és le is írja annak használatát, így minden folyamat értékelhető mind a kilenc képesség-jellemző alapján.

• A COBIT 4.1 érettségi jellemzői és a COBIT 5 folyamatképesség-jellemzők nem azonosak. Bizonyos mértékig átfedésben vannak/összepárosíthatók, amint az a 21. ábrán látható. Azok a vállalatok, amelyek a COBIT 4.1 érett-ségi modelljét használták, újra felhasználhatják és átsorolhatják a meglévő értékeléseik adatait a COBIT 5 jellemzők értékelése alapján, ahogy azt a 21. ábra bemutatja.

12 Az ISO/IEC 15504-en alapuló új COBIT Értékelési Programról bővebb információ található a www.isaca.org/cobit-assessment-programme weboldalon.


53

20. ábra − COBIT 4.1 érettségi szintek és COBIT 5 folyamatképességi szintek összehasonlítása

COBIT 4.1 érettségi modell szint Folyamatképesség az ISO/IEC 15504 alapján Kontextus

Vállalati nézet –szervezeti tudás

5. Optimalizált – Az eljárásokat a bevált gyakorlatok szintjére finomítják, a folyamatos fejlesztés és más vállalatokkal történő érettségi modellezés alapján.A workflow automatizálás érdekében az IT-t integrálva használják, eszközöket biztosítva a minőség és hatásosság javítására, ami által a vállalat gyorsan tud alkalmazkodni.

4. Irányított és mérhető – A menedzsment monitorozza és méri a folyamatoknak való megfelelést, és intézkedik, ha úgy tűnik, hogy nem működnek megfelelően.A folyamatosan fejlesztett folyamatok bevált gyakorlatot bizto-sítanak. Az automatizálás és eszközök használata korlátozott és szigetszerű.

3. Szabályozott folyamat – A folyamatokat standardizálták, dokumentálták és tréningeken bemutatták. Kötelezően követni kell őket; de valószínűtlen, hogy az eltéréseket feltárják.Maguk a folyamatok nem kifinomultak, de a létező gyakorlatformalizálása alapján jöttek létre.

5. szint: Optimalizáló folyamat – A kiszámítható folyamatot folyamatosan fejlesztik, a releváns jelenlegi és jövőbeni üzleti célok elérésére.

4. szint: Kiszámítható folyamat – A kiszámítható folyamat olyan kialakított folyamat, mely meghatározott korlátok között működik, hogy megvalósítsa a folyamat eredményeit.

3. szint: Kialakított folyamat – A kialakított folyamat egy meghatározott irányított folyamaton alapul, amely ténylegesen telepítve van, hogy teljesítse a folyamat kimeneteit.

2. szint: Irányított folyamat – Az irányított folyamat olyan végre-hajtott folyamat, melyet terveznek, felügyelnek, beszabályoznak, hogy feleljen meg a folyamatra vonatkozó végrehajtási célkitű-zéseknek, és olyan munkatermékeket eredményezzen, amelyek megfelelően vannak azonosítva, dokumentálva és ellenőrizve.

0. szint: Hiányos folyamat – A folyamat nem létezik, vagy nem éri el a célját.

1. szint: Végrehajtott folyamat – A végrehajtott folyamat teljesíti a folyamat céljait a szükséges cselekmények végrehajtása útján és az alkalmas kimenő és bemenő munkatermékek meglétével, ame-lyek együttesen biztosítják, hogy a folyamat céljai teljesüljenek.

Megjegyzés: az érettségi modell szerinti 1-es szintet lehetsé-ges a 15504 szerint 0-nak értékelni, ha a folyamat eredmé-nyei nem teljesülnek.

2. Ismétlődő, de ösztönös – A folyamatok eljutottak arra a szintre, hogy az ugyanazon feladatot elvégző különböző emberek hasonló eljárásokat követnek. A standard folyamatoknak nincs formális tréningje vagy kommunikációja, a felelősség az egyénre van bízva. Nagyban támaszkodik az egyének tudására, és ezért valószínűek a hibák.

1. Kezdeti / ad hoc jellegű – Bizonyíték van arra, hogy a vállalat elfogadja, hogy kérdések vannak, amelyeket kezelni kell.Ugyanakkor nincsenek standard folyamatok; helyette ad hocmegközelítések vannak, amelyeket egyedi, eseti alapon alkalmaz-nak. A menedzsmenthez való általános viszony szervezetlen.

0. Hiányos folyamat – A hiányos folyamat egy olyan folyamat,amelyik vagy egyáltalán nem teljesül, vagy amelyikhez a folyamat céljainak rendszeres teljesítésére vonatkozó bizonyíték kevés van, vagy egyáltalán nincs.

Eseti nézet –egyéni tudás

8. fejezet


Folyamatképesség-jellemzők

COBIT 4.1 érettségi jellemzők

Tudatosság és kommunikáció

Szabályzatok, tervek és eljárások

Eszközök és automatizálás

Szaktudás és tapasztalat

Felelősség és elszámoltathatóság

Célok kitűzése és mérés

Foly

amat

-te

ljesí

tmén

y

Telje

sítm

énym

e-ne

dzsm

ent

Mun

kate

rmék

-m

ened

zsm

ent

Foly

amat

-m

egha

táro

zás

Foly

amat

-al

kalm

azás

Foly

amat

-irá

nyítá

s

Foly

amat

-el

lenő

rzés

Foly

amat

-fe

jlesz

tés

Foly

amat

-op

timal

izál

ás

21. ábra − Érettségi jellemzők (COBIT 4.1) és folyamatjellemzők (COBIT 5) összehasonlítása


54

A változások előnyei

A COBIT 5 folyamatképességi modell előnyei, összehasonlítva a COBIT 4.1 érettségi modellel, a következők:• Nagyobb hangsúly van a végrehajtandó folyamaton, hogy az valóban megvalósítsa célját és az elvárásoknak megfe-

lelően szolgáltassa az eredményeket.• Egyszerűsített tartalom a duplikálás megszüntetésével, hiszen a COBIT 4.1 érettségi modelljén alapulóértékelés

számos elem (például az általános érettségi modell, folyamatérettségi modellek, a kontroll-célkitűzések és folyamat-kontrollok) használatát igényelte a folyamatfelmérés elvégzése során.

• Megbízhatóbbak és könnyebben megismételhetőek a folyamatképesség-felmérési tevékenységek és -értékelések, miáltal csökken az érdekelt felek közötti viták és nézeteltérések száma.

• Jobban használhatóak a folyamatképesség-felmérési eredmények, mivel az új modell formálisabb, következetesebb értékelések elvégzését teszi lehetővé, belső és külső célokra egyaránt.

• Egy általánosan elfogadott folyamatfelmérési szabványnak való megfelelőség, ami hathatós piaci támogatást nyújt a folyamatfelmérési szemléletnek.

Folyamatképességi felmérések végrehajtása a COBIT 5-ben

Az ISO/IEC 15504 szabvány leírja, hogy a folyamatképességi felméréseket sokféle céllal és változó mértékű szigorral lehet végrehajtani. Ezek lehetnek belső célok, mint amikor a vállalati területek összehasonlításán és/vagy a folyamat-javításon van a hangsúly, belső előnyök elérése céljából, vagy lehetnek külsők, amikor a formális értékelés, jelentéské-szítés és tanúsítás a fontos.

A COBIT 5-nek az ISO/IEC 15504 szabványon alapuló felmérési megközelítésmódja tovább támogatja azokat a cél-kitűzéseket, melyek a COBIT szemlélet fókuszában állnak már 2000 óta:• Az irányító testület és a menedzsment számára lehetővé kell tenni, hogy összehasonlíthatóan értékelhesse a folya-

matképességeket.• Lehetővé tenni a pillanatnyi (as-is) és az elérni kívánt (to-be) állapot magas szintű felmérést, ezzel támogatva az

irányító testületet és a menedzsmentet a folyamatfejlesztési befektetési döntéseiben.• Eltéréselemzési és továbbfejlesztés-tervezési információ biztosítása az indokolt fejlesztési projektek meghatározásá-

hoz.• Átadni a felmérés eredményeit az irányítótestület és a menedzsment számára a jelenlegi képességek méréséhez és

felügyeléséhez.

Ez a rész leírja, hogy ezen célok elérése érdekében hogyan lehet végrehajtani egy magas szintű felmérést a COBIT 5 folyamatképességi modell segítségével.

A felmérés különbséget tesz az 1. és a magasabb képességi szintek felmérése között. Amint arról a korábbiakban szó esett, az 1. folyamatképességi szint meghatározza, hogy a folyamat elérte-e tervezett célját. Emiatt ez egy nagyon fontos teljesítendő szint, és egyben alapja is a magasabb képességi szintek elérésének.

Az alábbi módon mérhető fel, hogy a folyamat eléri-e a céljait – azaz más szavakkal, hogy eléri-e az 1. képességi szintet:1. Meg kell vizsgálni a részletes folyamatleírásokban meghatározott folyamateredményeket, és az ISO/IEC 15504

értékelési skálát használva osztályozni szükséges, hogy milyen mértékben sikerült az egyes célok elérése. E skála a követező értékeket tartalmazza:• NE (nem teljesült): A felmért folyamatban nincs vagy csak kevés bizonyíték van a meghatározott jellemző teljesü-

lésére. (0–15% között teljesült)• R (részben teljesült): A felmért folyamatban van némi bizonyíték a meghatározott jellemző megközelítésére és

részleges teljesülésére. A jellemző teljesülésének egyes vonatkozásai meghatározhatatlanok lehetnek. (15–50% között teljesült)

• NA (nagymértékben teljesült): A felmért folyamatban van bizonyíték a meghatározott jellemző rendszerezett megközelítésére és jelentős mértékű teljesülésére. Valamennyi gyengeség előfordulhat ezzel a jellemzővel kapcso-latban a felmért folyamatban. (50–85% között teljesült)


55

• T (hiánytalanul teljesült): A felmért folyamatban bizonyíték van a meghatározott jellemző teljes és rendszerezett megközelítésére és a teljesülés hiánytalan. Nincs jelentős gyengeség ezzel a jellemzővel kapcsolatban a felmért folyamatban. (85–100% között teljesült)

2. Továbbá az (irányítási vagy menedzsment) folyamatra vonatkozó gyakorlatok felmérésénél is lehet a fenti skálát alkalmazni, és ezzel meghatározni, hogy milyen mértékben alkalmazták az alapvető gyakorlatokat.

3. A felmérés tovább finomítható a munkatermékek vizsgálatával, hogy milyen mértékben sikerült az egyes értékelési jellemzőket teljesíteni.

Bár a vállalatok egyénileg határozzák meg az elérni kívánt képességi szinteket, mégis sok vállalat azt fogja célul kitűzni, hogy minden folyamata érje el az 1. szintet. (Máskülönben mi lenne az értelme ezen folyamatok létezésének?) Ha ezt a szintet nem érik el, annak oka a fenti megközelítés segítségével egyértelműen kideríthető és erre vonatkozóan egy fejlesztési tervet is létre lehet hozni:1. Ha egy szükséges folyamat eredmény nem valósul meg következetesen, akkor a folyamat nem teljesíti a célkitűzé-

sét, és ezért javításra szorul.2. A folyamat–gyakorlatok felmérése megmutatja, hogy mely gyakorlatok hiányoznak vagy nem működnek – és ezen

gyakorlatok bevezetésével és/vagy javításával elérhető a kitűzött folyamatcélok megvalósítása.

A magasabb szintű folyamatképességi szintekre vonatkozóan az ISO/IEC 15504:2-ből vett általános gyakorlatokat alkalmazzák. Ezek átfogó leírást nyújtanak minden egyes képesség szintjéről.

8. fejezet



56



57

a. függeléK

HivatKozásoK

Az alábbi keretrendszerek, szabványok és egyéb útmutatók szolgáltak referenciaanyagként a COBIT 5 kifejlesztésé-ben.

Association for Project Management (APM); APM Introduction to Programme Management, Latimer, Trend and Co., Egyesült Királyság, 2007

British Standards Institute (BSI), BS25999:2007 Business Continuity Management Standard, Egyesült Királyság, 2007

CIO Council, Federal Enterprise Architecture (FEA), ver 1. 0, USA, 2005

Európai Bizottság, The Commission Enterprise IT Architecture Framework (CEAF), Belgium, 2006

Kotter, John; Leading Change, Harvard Business School Press, USA, 1996

HM Government, Best Management Practice Portfolio, Managing Successful Programmes (MSP), Egyesült Királyság, 2009

HM Government, Best Management Practice Portfolio, PRINCE2®, Egyesült Királyság, 2009

HM Government, Best Management Practice Portfolio, Information Technology Infrastructure Library (ITIL®), 2011Nemzetközi Szabványügyi Szervezet (ISO), 9001:2008 Minőségirányítási Szabvány, Svájc, 2008

ISO/International Electrotechnical Commission (IEC), 20000:2006 IT Szolgáltatásmenedzsment Szabvány, Svájc, 2006

ISO/IEC, 27005:2008: Információtechnológia – Biztonsági technikák – Információbiztonsággal kapcsolatos kockázatok kezelés című szabvány, Svájc, 2008

ISO/IEC, 38500:2008: Az információtechnológia vállalati irányítása c. szabvány, Svájc, 2008King Code of Governance Principles (King III), Dél-Afrika, 2009

Gazdasági Együttműködési és Fejlesztési Szervezet (OECD), OECD Principles of Corporate Governance, Franciaor-szág, 2004

The Open Group, TOGAF® 9, Egyesült Királyság, 2009

Project Management Institute, Project Management Body of Knowledge (PMBOK2®), USA, 2008

UK Financial Reporting Council, ‘Combined Code on Corporate Governance’, Egyesült Királyság, 2009

a. függeléK

HivatKozásoK


58



59

b. függeléK

vállalati CéloK – it-val KapCsolatos CéloK részletes Hozzárendelése

b. függeléK

vállalati CéloK – it-val KapCsolatos CéloK részletes Hozzárendelése

A COBIT 5 célok összefüggéseinek magyarázata a 2. fejezetben található.

A 22. ábrán látható táblázat bemutatja, hogy az IT-val kapcsolatos célok hogyan támogatják a vállalati célokat, illetve hogyan fordíthatóak le vállalati célokká. A táblázat a következőt tartalmazza:• Az oszlopokban a COBIT 5 által definiált 17 általános vállalati cél található a kiegyensúlyozott teljesítmény-

mutatószám-rendszer (BSC) dimenziói szerint csoportosítva.• A sorokban, a 17 IT-val kapcsolatos cél található szintén a kiegyensúlyozott teljesítménymutatószám-rendszer (BSC)

dimenziói szerint.• Az oszlopok és sorok metszéspontjainál található jelölések azt mutatják meg, hogy az IT-val kapcsolatos célok ho-

gyan segítik elő az egyes vállalati célokat. A táblázat jelölései a következőket jelentik: – „E”, mint elsődleges kapcsolat. Az IT-val kapcsolatos célok és a vállalati célok között szoros kapcsolat van, mert

a vállalati célokat elsődlegesen az IT-val kapcsolatos célok támogatják. – „M”, mint másodlagos kapcsolat. Az IT-val kapcsolatos célok és a vállalati célok között szintén szoros kapcsolat

van, de az IT-val kapcsolatos célok csupán másodlagos elősegítője a vállalati céloknak.

Táblázat forrása:• University of Antwerp Management School IT Alignment and Governance Research Institute kutatásai A COBIT 5

fejlesztése és felülvizsgálati folyamata során szerzett, további értékelések és szakértői vélemények

7. példa − Összerendelő táblázat

Az összerendelő tábla azt javasolja, amit normális esetben várunk:• A 7. vállalati cél, az Üzleti szolgáltatás folyamatossága és elérhetősége:

– Elsősorban a következő IT-hoz kapcsolódó célok elérésétől függ• 04 IT-val kapcsolatos kockázatok kezelése• 10 Információ, feldolgozó infrastruktúra és alkalmazások biztonsága• 14 A döntéshozatalhoz szükséges megbízható és felhasználható információ rendelkezésre állása

– Kisebb mértékben függ a következő IT-hoz kapcsolódó céloktól• 01 Üzleti és IT stratégia illesztése• 07 Üzleti elvárásokkal kapcsolatos IT szolgáltatások nyújtása• 08 Alkalmazások, információk és technológiai megoldások megfelelő használata

• A táblázatot az ellenkező irányban használva, a 09 IT agilitás IT-hoz kapcsolódó cél elérése hozzájárul számos vállalati cél elérésé-hez:

– Elsősorban a következő vállalati célok esetében:• 2. Versenyképes áruk és szolgáltatások portfóliója• 8. Az üzleti környezet megváltozására adott gyors válaszok• 11. Üzleti folyamat funkcionalitásának optimalizálása• 17. Termékfejlesztési és üzleti innovációs kultúra

– Kisebb mértékben a következő vállalati célok esetében:• 1. Érdekelt felek üzleti befektetéseinek értéke• 3. Menedzselt üzleti kockázat (vagyonelemek védelme)• 6. Ügyfélközpontú szolgáltatási kultúra• 13. Irányított üzleti változtatásprogramok• 14. Működési és személyzeti produktivitás• 16. Képzett és motivált emberi erőforrás


60

A 22. ábrán látható táblázat használatához kérjük, hogy figyelmesen olvassa el a 2. fejezetben található magya-rázatot a COBIT 5 célok összefüggéseinek használatáról.

22. ábra − COBIT 5 vállalati célok ősszefüggései az IT-val kapcsolatos célokkalVállalati célok

IT-val kapcsolatos cél Pénzügyi teljesítmény

E

E

E

E

E

E

E

E

E E

E

E

E

E

E

EE

E

E

E

E

E

E

E

E

E

E E

EE

E

EE

E

E

E

E

E

EE

E

E

E E

E

E EE

E

E

EM

M

M

M

M M

M

M

M

M

M M M M M M

MM

M

MM

M

M

M

M

M M

M

M

M MM M

M

M

M

M

M

M

M

M

M

M

M

M

M M

M

M M M

M

M

M M

M

M M

M

M

M M

M

M M

M

M

M M

M

M

M

M M

MM

MM

MM

M M

M

M

M

M

M

M

M M

Működési folyamatokÜgyfelek

Tanulásés

növekedés

01

1. 2. 4. 6. 9.8.3. 5. 7. 10. 12. 15.14. 17.11. 13. 16.

Üzleti és IT stratégia megfelelősége

Érde

kelt

fele

k üz

leti

befe

ktet

ései

nek

érté

ke

Pénz

ügyi

átlá

that

óság

Ügyf

élkö

zpon

tú s

zolg

álta

tási

kul

túra

Üzle

ti sz

olgá

ltatá

s fo

lyam

atos

sága

és

elér

hető

sége

Az ü

zlet

i kör

nyez

et m

egvá

ltozá

sára

ado

tt gy

ors

vála

szok

Info

rmác

ióal

apú

stra

tégi

ai d

önté

shoz

atal

Szol

gálta

tásn

yújtá

s kö

ltség

eine

k op

timal

izál

ása

Üzle

ti fo

lyam

at fu

nkci

onal

itásá

nak

optim

aliz

álás

a

Üzle

ti fo

lyam

atok

köl

tség

eine

k op

timal

izál

ása

Irány

ított

üzle

ti vá

ltozt

atás

prog

ram

ok

Műk

ödés

i és

szem

élyz

eti p

rodu

ktiv

itás

Bels

ő sz

abál

yozá

sokk

al v

aló

össz

hang

Képz

ett é

s m

otiv

ált e

mbe

ri er

őfor

rás

Term

ékfe

jlesz

tési

és

üzle

ti in

nová

ciós

kul

túra

Vers

enyk

épes

áru

k és

szo

lgál

tatá

sok

port

fólió

ja

Men

edzs

elt ü

zlet

i koc

káza

t (va

gyon

elem

ek v

édel

me)

Meg

fele

lés

küls

ő tö

rvén

yi e

lőírá

sokn

ak é

s sz

abál

yozá

sokn

ak

Felsővezetésnek az IT-val összefüggődöntéshozatalra vonatkozó elkötelezettsége

IT által ösztönzött befeketésekből ésszolgáltatási portfólióból realizált haszon

IT költségek, előnyök és kockázatátláthatósága

Üzleti elvárásokkal kapcsolatos ITszolgáltatások nyújtása

Alkalmazások, információk és technológiaimegoldások megfelelő használata

Információ, feldolgozó infrastruktúraés alkalmazások biztonsága

IT vagyonelemek, erőforrások ésképességek optimalizálása

Üzleti folyamatok ösztönzése és támogatása alkalmazásoknak és technológiának üzleti folyamatokba való integrálásával

A döntéshozatalhoz szükséges megbízhatóés felhasználható információ rendelkezésreállása

Kompetens és motivált üzleti, valamint ITszemélyzet

Az üzleti innovációhoz szükséges tudás,szakértelem és kezdeményezések

Programok nyújtása a haszon előírt időbenés költséggel való megszerzése, valaminta követelményeknek és minőségi szabványok-nak való megfelelés érdekében

IT -val kapcsolatos kockázatok kezelése

IT agilitás

Az IT megfelelése a belső szabályozásoknak

IT megfelelés, illetve az üzleti megfelelés támogatása külső törvényi előírásoknak és szabályozásoknak

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

Pénz

ügyi

telje

sítm

ény

Műk

ödés

i fol

yam

atok

Ügyf

elek

Tanu

lás

és n

övek

edés


61

C. függeléK

it-val KapCsolatos CéloK – it-val KapCsolatos folyamatoK részletes Hozzárendelése

Ez a függelék bemutatja az IT-val kapcsolatos célok és az ezen célokat támogató IT-val kapcsolatos folyamatok közötti leképezéseket a 2. fejezetben tárgyalt célok összefüggéseinek részeként.

A 23. ábra tartalma:• Az oszlopokban a 2. fejezetben definiált 17 IT-val kapcsolatos cél található a kiegyensúlyozott teljesítménymutató-

szám-rendszer (BSC) dimenziói szerint csoportosítva.• A sorokban a COBIT 5 mind a 37 folyamata megtalálható szakterületek szerint csoportosítva.• Leképezése annak, hogy a COBIT 5 IT-val kapcsolatos folyamatai hogyan segítik elő az IT-val kapcsolatos célokat.

A táblázatban a jelölések a következőket jelentik: – „E”, azaz elsődleges kapcsolat, ahol a két cél között lényeges kapcsolat alakul ki, azaz a COBIT 5 folyamat elsőd-

leges elősegítője az IT-val kapcsolatos cél megvalósításának. – „M”, vagyis másodlagos kapcsolat, ahol a kapcsolat továbbra is erős, de nem olyan fontos, mint az előző esetben

mert COBIT 5 folyamat csupán másodlagos elősegítője az IT-val kapcsolatos cél megvalósításának.

Táblázat forrása:• University of Antwerp Management School IT Alignment and Governance Research Institute kutatásai• A COBIT 5 fejlesztése és felülvizsgálati folyamata során szerzett, további értékelések és szakértői vélemények

8. példa − APO13 biztonságmenedzsment

Az APO13 Biztonságmenedzsment folyamat hozzá fog járulni:• Elsősorban a következő IT-hoz kapcsolódó célok eléréséhez:

– 02 IT megfelelés, illetve az üzleti megfelelés támogatása külső törvényi előírásoknak és szabályozásoknak – 04 IT-val kapcsolatos kockázatok kezelése – 06 IT költségek, előnyök és kockázat átláthatósága – 10 Információ, feldolgozó infrastruktúra és alkalmazások biztonsága – 14 A döntéshozatalhoz szükséges megbízható és felhasználható információ rendelkezésre állása

• Kisebb mértékben a következő IT-hoz kapcsolódó célok eléréséhez: – 07 Üzleti elvárásokkal kapcsolatos IT szolgáltatások nyújtása – 08 Alkalmazások, információk és technológiai megoldások megfelelő használata

C. függeléKit-val KapCsolatos CéloK – it-val KapCsolatos folyamatoK részletes Hozzárendelése


62

A 23. ábrán látható táblázat használatához kérjük, figyelmesen olvassa el a 2. fejezetet, amely a COBIT 5 célok összefüggéseinek használatát tárgyalja.

23. ábra − COBIT 5 eljárások összefüggései az IT-val kapcsolatos célokkal

IT-val kapcsolatos cél

COBIT 5 folyamat Pénzügyi teljesítmény Ügyfelek Működési folyamatok

Tanulásés

növekedés

Érté

kelé

s, ir

ányí

tás

és fe

lügy

elet

Üzle

ti és

IT s

trat

égia

meg

fele

lősé

ge

01

EDM01 Irányítási keretrendszerkialakítás és fenntartásbiztosítása

Eredmények megvalósí-tásának biztosítása

Kockázatoptimalizálásbiztosítása


Az IT menedzsment-keretrendszer menedzselése

Stratégiakezelés

Innovációkezelés

Portfóliókezelés

Érdekelt felek átlátható-ságának biztosítása

Vállalati architektúrakezelése

Költségvetés és költségekkezelése

Vállalati kapcsolatokkezelése

Szolgáltatási szerződésekkezelése

Emberi erőforrás kezelése

Beszállítók kezelése

Minőség kezelése

Kockázatkezelés

Biztonságmenedzsment

EDM02

EDM03

EDM04

EDM05

APO01

APO02

AP004

AP005

APO03

AP006

AP008

AP009

AP007

AP0010

AP0011

AP0012

AP0013

02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17

IT -v

al k

apcs

olat

os k

ocká

zato

k ke

zelé

se

IT k

ölts

égek

, elő

nyök

és

kock

ázat

átlá

that

óság

a

IT a

gilit

ás

Az IT

meg

fele

lése

a b

első

sza

bály

ozás

okna

k

Kom

pete

ns é

s m

otiv

ált ü

zlet

i, va

lam

int I

T sz

emél

yzet

IT m

egfe

lelé

s, il

letv

e az

üzl

eti m

egfe

lelé

s tá

mog

atás

a kü

lső

törv

ényi

elő

íráso

knak

és

szab

ályo

záso

knak

Fels

ővez

etés

nek

az IT

-val

öss

zefü

ggő

dönt

ésho

zata

lra

vona

tkoz

ó el

köte

leze

ttsé

ge

IT á

ltal ö

sztö

nzöt

t bef

eket

ések

ből é

s sz

olgá

ltatá

si p

ortfó

-lió

ból r

ealiz

ált h

aszo

n

Üzle

ti el

várá

sokk

al k

apcs

olat

os IT

szo

lgál

tatá

sok

nyúj

tása

Alka

lmaz

ások

, inf

orm

áció

k és

tech

noló

giai

meg

oldá

sok

meg

fele

lő h

aszn

álat

a

Info

rmác

ió, f

eldo

lgoz

ó in

fras

truk

túra

és

alka

lmaz

ások

bizt

onsá

ga

IT v

agyo

nele

mek

, erő

forr

ások

és

képe

sség

ekop

timal

izál

ása

Üzle

ti fo

lyam

atok

ösz

tönz

ése

és tá

mog

atás

a al

kalm

azás

ok-

nak

és te

chno

lógi

ának

üzl

eti f

olya

mat

okba

val

ó in

tegr

álás

ával

A dö

ntés

hoza

talh

oz s

züks

éges

meg

bízh

ató

és fe

lhas

znál

ható

info

rmác

ió re

ndel

kezé

sre

állá

sa

Az ü

zlet

i inn

ovác

ióho

z sz

üksé

ges

tudá

s, s

zaké

rtel

emés

kez

dem

énye

zése

k

Prog

ram

ok n

yújtá

sa a

has

zon

előí

rt id

őben

és

költs

égge

lva

ló m

egsz

erzé

se, v

alam

int a

köv

etel

mén

yekn

ek é

s m

inős

égi

szab

vány

okna

k va

ló m

egfe

lelé

s ér

deké

ben

Illes

ztés

, ter

vezé

s és

sze

rvez

és

E M

M

M

MM

M

M

M

M

M

M

M

M

M

M

M M

M

M

M

M

M

M M

M

M

M

M

M

M

M

M

M

M

M M

M

M

M

M M

M

MM

M

M

M

M

M

M

M

M

M

M M

M

M

MM M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

MM

M M M

M

M

M

M

M

M

M

M

M

M

M

M

M M

MM

MMM

M

M

M

M

M

M

M

M

MM

M

M

M M

M

M

M

ME

E

E

E

E

E

E

E

E

E EE

E

E

E

E

E

E

E

E

E

E E

E

EE

E

E

E

E

E

E

E

E

E

E E E

E E

E

EE

E

E

E

E

E

E

E

E

E E

EE

E

E E E E

E

E

E E

E

E

E


63

C. függeléKit-val KapCsolatos CéloK – it-val KapCsolatos folyamatoK részletes Hozzárendelése

23. ábra − COBIT 5 eljárások összefüggései az IT-val kapcsolatos célokkal (folyt.)IT-val kapcsolatos cél

COBIT 5 folyamat Pénzügyi teljesítmény Ügyfelek Működési folyamatok

Tanulásés

növekedés

Kial

akítá

s, b

esze

rzés

és

meg

való

sítá

s

Üzle

ti és

IT s

trat

égia

meg

fele

lősé

ge

01

BAI01 Programok és projektekkezelése

Követelmények megha-tározásának kezelése

Megoldások azonosítá-sának és kialakításánakkezelése

Teljesítmény és a megfe-lelőség felügyelete,értékelése és elemzése

Belső ellenőrzésirendszer felügyelete,értékelése és elemzése

Külső követelményeknekvaló megfelelés felügye-lete, értékelése éselemzése

Rendelkezésre állásés kapacitás kezelése

Változáskezelés

Változások elfogadásánakés életbe léptetésénekkezelése

Tudásmenedzsment

Vagyontárgyak kezelése

Konfigurációkezelés

Szervezeti változásokkezelése


Problémakezelés


Szolgáltatáskérésés incidensek kezelése

Biztonsági szolgáltatásokkezelése

Üzleti folyamatokkontrolljainak kezelése

BAI02

BAI03

MEA01

MEA02

MEA03

BAI04

BAI05

BAI06

BAI07

BAI08

BAI09

BAI10

DSS01

DSS03

DSS04

DSS02

DSS05

DSS06

02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17

IT -v

al k

apcs

olat

os k

ocká

zato

k ke

zelé

se

IT k

ölts

égek

, elő

nyök

és

kock

ázat

átlá

that

óság

a

IT a

gilit

ás

Az IT

meg

fele

lése

a b

első

sza

bály

ozás

okna

k

Kom

pete

ns é

s m

otiv

ált ü

zlet

i, va

lam

int I

T sz

emél

yzet

IT m

egfe

lelé

s, il

letv

e az

üzl

eti m

egfe

lelé

s tá

mog

atás

a kü

lső

törv

ényi

elő

íráso

knak

és

szab

ályo

záso

knak

Fels

ővez

etés

nek

az IT

-val

öss

zefü

ggő

dönt

ésho

zata

lra

vona

tkoz

ó el

köte

leze

ttsé

ge

IT á

ltal ö

sztö

nzöt

t bef

eket

ések

ből é

s sz

olgá

ltatá

si p

ortfó

-lió

ból r

ealiz

ált h

aszo

n

Üzle

ti el

várá

sokk

al k

apcs

olat

os IT

szo

lgál

tatá

sok

nyúj

tása

Alka

lmaz

ások

, inf

orm

áció

k és

tech

noló

giai

meg

oldá

sok

meg

fele

lő h

aszn

álat

a

Info

rmác

ió, f

eldo

lgoz

ó in

fras

truk

túra

és

alka

lmaz

ások

bizt

onsá

ga

IT v

agyo

nele

mek

, erő

forr

ások

és

képe

sség

ekop

timal

izál

ása

Üzle

ti fo

lyam

atok

ösz

tönz

ése

és tá

mog

atás

a al

kalm

azás

ok-

nak

és te

chno

lógi

ának

üzl

eti f

olya

mat

okba

val

ó in

tegr

álás

ával

A dö

ntés

hoza

talh

oz s

züks

éges

meg

bízh

ató

és fe

lhas

znál

ható

info

rmác

ió re

ndel

kezé

sre

állá

sa

Az ü

zlet

i inn

ovác

ióho

z sz

üksé

ges

tudá

s, s

zaké

rtel

emés

kez

dem

énye

zése

k

Prog

ram

ok n

yújtá

sa a

has

zon

előí

rt id

őben

és

költs

égge

lva

ló m

egsz

erzé

se, v

alam

int a

köv

etel

mén

yekn

ek é

s m

inős

égi

szab

vány

okna

k va

ló m

egfe

lelé

s ér

deké

ben

Szál

lítás

, szo

lgál

tatá

s és

tám

ogat

ásFe

lügy

elés

, ért

ékel

és é

s el

emzé

s

M

M

M

M M

M

M

M

M

M

M

MM M M M

M M

M

M

M

M

M M

M

M M

M

M M

M

M

M

M

M

M

M

M M

M

M M

MMM

M

M

M

M

M

M

M

MM

M M

M M

M M

M

M

M

M

M

M

M

M

M

M

M

M M

M

M

M

M

M

M

M M

M

M

M

M

M

M

M

M

M M M

M

M

M

MM M

M M

MM M

M M

M

M M

M M

M

M M

M

M

M

M

MM

M

M

M M

M

M

M

M

M

M M

M

M

M

M

M

M

M

M

M

M

M

M

M

M

M M

M M

MM ME E

E E

E

E

E

E

E

E E

E

E

E E

E

E

E E

E

E

E

EE

E

E

E

E

E E

E

E

E

E

E

E

E E

E

E E

E

E E E

E

E

E

E E

E

E


64



65

d. függeléK

érdeKelt feleK igényei és vállalati CéloK

A 4. fejezet bemutatta a célhierarchia egyes lépéseit, az érdekelt felek igényeitől a megvalósítási tényezőkhöz kap-csolódó célokig. A 2. fejezet tartalmazott egy IT-val kapcsolatos, tipikus irányítási és menedzsmentkérdésekből álló táblázatot. Az érdekelt felek szempontjából fontos tudni, hogy e kérdések hogyan kapcsolódnak a vállalati célokhoz. Ehhez a 24. ábrán látható a válasz, amely mutatja, hogy a belső érdekelt felek igényeinek listája hogyan függ össze a vállalati célokkal.

d. függeléK

érdeKelt feleK igényei és vállalati CéloK

Érde

kelt

fele

k üz

leti

befe

ktet

ései

nek

érté

ke

Hogyan teremt számomra értéket azIT felhasználása?Elégedettek a végfelhasználókaz IT szolgáltatás minőségével?

Hogyan menedzselem az ITteljesítményét?

Hogyan tudom a legjobban kiaknázni a mai technológiát az új stratégiailehetőségek érdekében?

Mennyire függök a külső szolgálta-tóktól? Mennyire jól menedzseljükaz IT kiszervezési szerződéseket?Hogyan szerezzek bizonyosságota külső szolgáltatókról?

Hogyan építsem fel és hogyanstrukturáljam az IT részlegemeta legjobban?

Mik az (ellenőrzési) követelményekaz információra vonatkozóan?

Foglalkoztam az IT-val kapcsolatosminden kockázattal?

Hatékony és hibatűrő IT-t üzemeltetek?

Hogyan ellenőrizzem az IT költséget?Hogyan tudom az IT erőforrásokata leghatékonyabban és legeredmé-nyesebben felhasználni? Melyek aleghatékonyabb és a legeredménye-sebb forrásválasztási lehetőségek?

Elegendő létszámmal rendelkezemaz IT-hoz? Hogyan tudom fejleszteniés fenntartani a szakértelmüket,és hogyan tudom irányítania munkájukat?

Hogyan szerezzek bizonyosságot azIT-val kapcsolatosan?

ÉRDEKELT FELEK IGÉNYEI 1. 3.2. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17.

Vers

enyk

épes

áru

kés

szo

lgál

tatá

sok

port

fólió

ja

Men

edzs

elt ü

zlet

i koc

káza

t(v

agyo

nele

mek

véd

elm

e)

Meg

fele

lés

küls

ő tö

rvén

yi e

lő-

íráso

knak

és

szab

ályo

záso

knak

Ügyf

élkö

zpon

tú s

zolg

álta

tási

kultú

ra

Üzle

ti sz

olgá

ltatá

s fo

lyam

atos

-sá

ga é

s el

érhe

tősé

ge

Az ü

zlet

i kör

nyez

et m

egvá

ltozá

-sá

ra a

dott

gyor

s vá

lasz

ok

Info

rmác

ióal

apú

stra

tégi

aidö

ntés

hoza

tal

Szol

gálta

tásn

yújtá

s kö

ltség

eine

kop

timal

izál

ása

Üzle

ti fo

lyam

at fu

nkci

onal

itásá

nak

optim

aliz

álás

a

Üzle

ti fo

lyam

atok

köl

tség

eine

kop

timal

izál

ása

Irány

ított

üzle

ti vá

ltozt

atás

prog

ram

ok

Műk

ödés

i és

szem

élyz

eti

prod

uktiv

itás

Bels

ő sz

abál

yozá

sokk

al v

aló

össz

hang

Képz

ett é

s m

otiv

ált h

umán

erőf

orrá

s

Term

ékfe

jlesz

tési

és

üzle

tiin

nová

ciós

kul

túra

Pénz

ügyi

átlá

that

óság

24. ábra − COBIT 5 vállalati célok összefüggései az irányítási és menedzsmentkérdésekkel


66

A táblázat használata segítséget nyújthat az érdekelt felek igényein alapuló, specifikus vállalati célok, vagy IT-val kapcsolatos célok kitűzéséhez és prioritásaik meghatározásához. A táblázatok használata során ugyanolyan óvatos-sággal kell eljárni, mint a többi célhierarchia táblázat használatánál, és mivel minden vállalat helyzete más, ezért a táblázatokat nem szabad mechanikusan használni, inkább úgy kell rájuk tekinteni, mint a kapcsolatok általános kialakítását célzó javaslatokra. Ha a 24. ábrán egy érdekelt fél igénye és egy vállalati cél kereszteződése jelölve van, ez azt jelenti, hogy a cél megvalósítása érdekében a kapcsolódó igényt javasolt figyelembe venni.

Érde

kelt

fele

k üz

leti

befe

ktet

ései

nek

érté

ke

Jól védett az információ, amitfeldolgozunk?

Mennyi ideig tart a fontosabb ITdöntések meghozatala?

Az összes IT ráfordítás és befektetésátlátható?

Hogyan fejlesszem az üzlet reagálásisebességét egy még rugalmasabb ITkörnyezettel?

Mennyire kritikus az IT a vállalatfennmaradásában? Mit tegyek,ha az IT nem elérhető?

Mekkora IT erőfeszítés megy eltűzoltásra az üzleti fejlesztéseklehetővé tétele helyett?

Milyen létfontosságú konkrételsődleges üzleti folyamatok függenekaz IT-tól, és melyek az üzletifolyamatok követelményei?

Elegendő IT erőforrás és infrastruktú-ra áll rendelkezésre a kitűzött vállalatistratégiai célkitűzéseknek valómegfeleléshez?

Előfordul, hogy az IT projektek nemnyújtják azt, amit ígértek – és ha igen,miért?Az IT az üzleti stratégiavégrehajtásának útjában áll?

Átlagosan mekkora volt az ITműködési költségvetés túllépéseineka nagysága? Milyen gyakranés mennyivel lépik túl az IT projekteka költségvetést?

Támogatja-e az IT a vállalatot abban,hogy eleget tegyen a szabályozások-nak és szolgáltatási szinteknek?Honnan tudom hogy megfelelek azösszes alkalmazható szabályozásnak?

ÉRDEKELT FELEK IGÉNYEI 1. 3.2. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17.

Vers

enyk

épes

áru

kés

szo

lgál

tatá

sok

port

fólió

ja

Men

edzs

elt ü

zlet

i koc

káza

t(v

agyo

nele

mek

véd

elm

e)

Meg

fele

lés

küls

ő tö

rvén

yi e

lő-

íráso

knak

és

szab

ályo

záso

knak

Ügyf

élkö

zpon

tú s

zolg

álta

tási

kultú

ra

Üzle

ti sz

olgá

ltatá

s fo

lyam

atos

-sá

ga é

s el

érhe

tősé

ge

Az ü

zlet

i kör

nyez

et m

egvá

ltozá

-sá

ra a

dott

gyor

s vá

lasz

ok

Info

rmác

ióal

apú

stra

tégi

aidö

ntés

hoza

tal

Szol

gálta

tásn

yújtá

s kö

ltség

eine

kop

timal

izál

ása

Üzle

ti fo

lyam

at fu

nkci

onal

itásá

nak

optim

aliz

álás

a

Üzle

ti fo

lyam

atok

köl

tség

eine

kop

timal

izál

ása

Irány

ított

üzle

ti vá

ltozt

atás

prog

ram

ok

Műk

ödés

i és

szem

élyz

eti

prod

uktiv

itás

Bels

ő sz

abál

yozá

sokk

al v

aló

össz

hang

Képz

ett é

s m

otiv

ált h

umán

erőf

orrá

s

Term

ékfe

jlesz

tési

és

üzle

tiin

nová

ciós

kul

túra

Pénz

ügyi

átlá

that

óság

24. ábra − COBIT 5 vállalati célok összefüggései az irányítási és menedzsmentkérdésekkel (folyt.)


67

e. függeléKa Cobit 5 Hozzárendelése a legszorosabban KapCsolódó szabványoKHoz és KeretrendszereKHez

e. függeléK

a Cobit 5 Hozzárendelése a legszorosabban KapCsolódó szabványoKHoz és KeretrendszereKHez

Bevezetés

Ebben a függelékben összehasonlítjuk a COBIT 5-öt a legrelevánsabb és leggyakrabban használt vállalatirányítási szabványokkal és keretrendszerekkel. Az ISO/IEC 38500-ra vonatkozóan az összehasonlítás alapja az ISO/IEC 38500 szabványban leírt alapelvek lesznek. A COBIT 5 és más szabványok és keretrendszerek összehasonlítása során pedig táblázatszerűen mutatjuk be a COBIT 5 folyamatainak leképezését a bemutatott szabvány vagy keretrendszer azonos tartalmára vonatkozóan.

COBIT 5 és ISO/IEC 38500

Az alábbiakban összefoglaljuk, hogy miként támogatja a COBIT 5 a szabvány alapelveinek és implementációs szem-léletének alkalmazását. Az ISO/IEC 38500:2800 – Az információtechnológia felelős vállalati irányítása szabvány hat alapelvet tartalmaz. Bemutatjuk az egyes alapelvek gyakorlati vonatkozásait, azzal együtt, hogy a COBIT 5 hogyan teszi lehetővé a bevált gyakorlat kialakítását.

ISO/IEC 38500 alapelvek1. ALAPELV – FELELŐSSÉGMit jelent ez a gyakorlatban?Az üzletnek (vevő) és az IT-nek (szolgáltató) hatékony kommunikáción, pozitív és bizalmas kapcsolaton alapuló, a felelősség és számon kérhetőség kérdéseit egyértelműen demonstráló partnerségi modellben kell együttműködnie. A nagyobb vállalatoknál az IT értékelésének, igazgatásának és felügyeletének, valamint a kritikus IT kérdések kapcsán az igazgatótanács részére történő tanácsadás hatékony eszköze az IT végrehajtó bizottság (más néven IT stratégiai bizottság), amely az igazgatótanács nevében tevékenykedik, és elnöke az igazgatótanács egyik tagja. Az egyszerűbb irányítási struktúrával, és rövidebb kommunikációs utakkal rendelkező, kis- és középvállalatok igazgatóinak az IT tevékenységek felügyelete során közvetlenebb megoldásokra van szükségük. Minden esetben igaz, hogy az irányítótestületnek megfelelő irányítási szervezeti struktúrákat, szerepköröket és felelősségeket kell kiala-kítania, világosan meghatározva a tulajdonost, és hogy a fontos döntések és feladatok kapcsán kik a számon kérhető egyének. Ebbe az IT szolgáltatást nyújtó kulcsfontosságú harmadik feleket is be kell vonni.

Hogyan teszi lehetővé az ISACA útmutatása a helyes gyakorlatot:1. A COBIT 5 keretrendszer számos megvalósítási tényezőt határoz meg a vállalati IT irányítására. A „folyamat” és

a „szervezeti struktúrák” megvalósítási tényezők a RACI13 táblázatokkal kombinálva különösen relevánsak ebből a szempontból. E tényezőkben fontos a felelősök kijelölése; példát kínálnak igazgatótanácsi tag és menedzsment szerepkörökre és felelősségekre valamennyi kulcsfontosságú kapcsolódó folyamat és tevékenység számára.

2. A COBIT 5 Implementálás leírja az érdekelt felek és más érintett felek felelősségét az IT irányítási struktúrák im-plementálásának vagy továbbfejlesztésének esetére.

3. A COBIT 5 két felügyeleti szintet tartalmaz. Az első szint vonatkozik az irányításra. Az EDM05 Érdekelt felek átláthatóságának biztosítása folyamat leírja az igazgató szerepét az IT irányítás és IT teljesítmény olyan általános módszerrel történő felügyeletében és kiértékelésében, amellyel célokat, célkitűzéseket és rájuk vonatkozó mérőszá-mokat lehet létrehozni.

13 A RACI táblázatok felvázolják, ki a felelős, számon kérhető, közreműködő, tájékoztatott az egyes feladatokban.


68

2. ALAPELV – STRATÉGIAMit jelent ez a gyakorlatban?Az IT stratégiai tervezés összetett és fontos feladat, mely szoros koordinációt igényel a szervezeti egységek és az IT stratégiai tervei között. Ugyancsak döntő fontosságú előnyben részesíteni azokat a terveket, amelyek legnagyobb valószínűséggel realizálják a tervezett hasznot, illetve hatékonyan tudják allokálni az erőforrásokat.

A magas szintű célokat megvalósítható taktikai tervekké kell alakítani, a kudarcokat és a kellemetlen meglepetéseket pedig minimalizálni kell. A cél az, hogy érdemben támogassuk a stratégiai célkitűzéseket a kapcsolódó kockázatok figyelembevételével, és az igazgatótanács kockázati hajlandóságának megfelelően. Fontos, hogy a terveket fentről lefelé haladva állítsuk fel, de rugalmasan alkalmazkodjunk a gyorsan változó üzleti igényekhez és IT lehetőségekhez.

Az IT stratégiai tervezésnek tartalmaznia kell az IT képességek átlátható és megfelelő tervezését is, mert az IT képes-ségek megléte elősegítheti, míg az IT képességek hiánya akadályozhatja az üzleti stratégia végrehajtását. Ezenfelül a tervezésnek magában kell foglalnia a jelenlegi IT infrastruktúra és emberi erőforrások képességeinek kiértékelését a jövőbeni üzleti igények támogatására, és azon jövőbeli technológiai fejlődések megfontolását, amelyek a versenyképesség növeléséhez és/vagy a költségek optimalizálásához vezethetnek. Az IT erőforrások között szerepel a külső termékszállítókkal és szolgáltatókkal történő kapcsolattartás, akik közül néhányan bizonyosan fontos szerepet fognak játszani az üzlet támogatásában. A stratégiai erőforrások irányítása ezért nagyon jelentős stratégiai tervezési tevékenység, amely felsővezetői szintű menedzselést és felügyeletet igényel.

Hogyan teszi lehetővé az ISACA útmutatása a helyes gyakorlatot:1. A COBIT 5 speciális útmutatást nyújt az IT beruházások kezelésére, és arra, hogy miként kell (különösen az

EDM02 Eredmények megvalósításának biztosítása folyamatban, az irányítási területen) a stratégiai célkitűzéseket megfelelő üzleti tervekkel elősegíteni.

2. A COBIT 5 APO (Illesztés, tervezés és szervezés) terület leírja azokat a folyamatokat, amelyek a belső és külső IT erőforrások tervezéséhez és szervezéséhez szükségesek, beleértve a stratégiai tervezést, technológiai és architektúra tervezést, szervezet tervezést, beruházás tervezést, portfólió menedzsmentet, befektetés menedzsmentet, kocká-zat menedzsmentet, kapcsolatkezelést, valamint minőségmenedzsmentet. Az egész iparágra kiterjedt kutatásokon alapulóan tárgyalja az üzleti és IT célok összehangolását, általános példákkal bemutatva, hogy miként biztosítják valamennyi IT-val kapcsolatos folyamat stratégiai célkitűzéseinek megvalósítását.

3. A vállalati célok és az IT-val kapcsolatos célok azonosítása és összehangolása biztosítja, hogy jobb megértést kapjunk a vállalati célok, az IT-val kapcsolatos célok, és az IT folyamatokat tartalmazó megvalósítási tényezők egymásra épüléséről. A 17 általános vállalati és 17 általános IT-val kapcsolatos célból álló, tömör és hathatós listát különböző iparágakban validálták és priorizálták. A kettőt összekötő információval együtt jó alapként szolgál arra, hogy általános összefüggést alakítsunk ki az üzleti és az IT-val kapcsolatos célok között.

3. ALAPELV – BESZERZÉSMit jelent ez a gyakorlatban?Az IT megoldások célja az üzleti folyamatok támogatása, és ezért fontos, hogy ezeket a megoldásokat ne önmaguk-ban, csupán „technológiai” projektként vagy szolgáltatásként kezeljük. Másrészről, egy nem megfelelő technológiai architektúra kiválasztása, a pillanatnyilag megfelelő technikai infrastruktúra elhanyagolása, vagy a szakképzett embe-ri erőforrások hiánya a projekt meghiúsulásához, az üzleti folyamat leállásához vagy értékcsökkenéshez vezethet. Az IT erőforrások beszerzésére a tágabb, IT által lehetővé tett üzleti változás részeként kell tekinteni. A megszerzett technológiának támogatnia kell, és együtt kell működnie a meglévő és tervezett üzleti folyamatokkal és IT infrastruk-túrákkal. Az implementáció szintén nem csupán technológiai kérdés, hanem inkább a szervezeti változás, az üzleti folyamatok felülvizsgálata és a változás lehetővé tételének a kombinációja. Ezért az IT projekteket az egész vállalatra kiterjedő változás részeként kell kezelni, hogy minden olyan tevékenység le legyen fedve, amely az eredmény sikeres megvalósításához szükséges.

Hogyan teszi lehetővé az ISACA útmutatása a helyes gyakorlatot:1. A COBIT 5 EDM (Értékelés, irányítás és felügyelet) terület az informatikával támogatott üzleti befektetések teljes

életciklusában (beszerzés, implementáció, működés, selejtezés) történő irányításra és menedzselésre nyújt útmu-tatást. Az APO05 Portfóliókezelés folyamat leírja az ilyen befektetések hatékony portfólió kezelését és program menedzsmentjét, amely biztosítja az előnyök realizálását és a költségek optimalizálását.


69

2. A COBIT 5 APO (Illesztés, tervezés és szervezés) terület útmutatást biztosít a beszerzés megtervezésére (beleértve a befektetés tervezést), kockázat kezelésre, illetve a program-, projekt- és minőségbiztosítás megtervezésére.

3. A COBIT 5 BAI (Kialakítás, beszerzés és megvalósítás) terület az IT megoldások beszerzésére és implementációjá-ra irányuló folyamatokra nyújt útmutatást, lefedve a követelmények meghatározását, a megvalósítható megoldások azonosítását, a dokumentáció előkészítését, és a felhasználók és üzemeltetés felkészítését az új rendszerre. A terület útmutatást nyújt továbbá a megoldások tesztelésével és a megfelelő ellenőrzéssel kapcsolatban, amikor a változást végrehajtják az operatív üzleti és IT környezetben.

4. A COBIT 5 MEA (Felügyelet, értékelés és elemzés) terület és az EDM05 (Érdekelt felek átláthatóságának biztosítá-sa) folyamat arra nyújt útmutatást, hogy az igazgatók hogyan tudják felügyelni és értékelni a beszerzési folyamatot és a belső ellenőrzéseket, így biztosítva, hogy a beszerzések kezelése és végrehajtása helyesen történik.

4. ALAPELV – TELJESÍTMÉNYMit jelent ez a gyakorlatban?A hatékony teljesítménymérés két fontos tényező figyelembevételétől függ: a teljesítménycélok egyértelmű meghatá-rozásától, és a célok elérésének figyelemmel kísérésére létrehozott, hatékony mérőszám bevezetésétől. Teljesítmény-mérési folyamatra is szükség van, hogy segítse a teljesítmény állandó és megbízható megfigyelésének a biztosítását. Hatékony irányítás akkor érhető el, ha a célokat fentről lefelé és a magas szintű, jóváhagyott üzleti célokkal összhang-ban jelölik ki, valamint ha a metrikát alulról fölfelé hozzák létre, oly módon, hogy lehetővé tegyék a célok megvalósí-tásának felügyeletét a menedzsment minden szintje számára. Az irányítás sikerének szempontjából döntően fontos két tényező: egyrészt a célok elfogadása az érdekelt felek által, másrészt az, hogy az igazgatók és vezetők vállalják a felelősséget a célok megvalósításáért. Az IT komplex és alapvetően műszaki témakör; ezért fontos az átláthatóság, és a célokat, mérőszámokat, teljesítményértékeléseket érthető módon kell megfogalmazni az érdekelt felek számára, hogy a megfelelő lépéseket meg tudják tenni.

Hogyan teszi lehetővé az ISACA útmutatása a helyes gyakorlatot:1. A COBIT 5 keretrendszer valamennyi IT-val kapcsolatos folyamatra és más megvalósítási tényezőre kiterjedően

mutat be általános példákat a célokra és mérőszámokra. Továbbá bemutatja, hogy ezek az IT-val kapcsolatos folya-matok és megvalósítási tényezők hogyan függnek össze az üzleti célokkal, ezáltal lehetővé téve a vállalatok számá-ra azt, hogy saját céljaikhoz igazítsák őket.

2. A COBIT 5 útmutatást nyújt a menedzsment számára, hogy miként tűzzön ki IT célokat az üzleti célokkal össz-hangban, és miként felügyelje a teljesítményt célokkal és mérőszámokkal. A folyamatképesség az ISO/IEC 15504 megfelelőség képesség értékelés modell használatával mérhető fel.

3. Két kulcsfontosságú COBIT folyamat konkrét útmutatást nyújt: – APO02 Stratégiakezelés a célok felállítására fókuszál. – APO09 Szolgáltatási szerződések kezelése című rész pedig a megfelelő szolgáltatások és szolgáltatási célok meg-

határozására, és ezek szolgáltatási szint megállapodásokban (SLA) történő dokumentálására fókuszál.

4. Az MEA01 Teljesítmény és megfelelőség felügyelete, értékelése és elemzése folyamatban a COBIT 5 e tevékenysé-gekre vonatkozó vezetői felelősségekhez nyújt segítséget.

5. A tervezett COBIT 5 Bizonyosságnyújtási útmutató azt írja le, hogy bizonyosságnyújtási szakértők hogyan tudnak az IT teljesítményre vonatkozóan független bizonyosságot nyújtani az igazgatók számára.

5. ALAPELV – MEGFELELŐSÉGMit jelent ez a gyakorlatban?Az internet és a fejlett technológiák által lehetővé tett globális piacon a vállalatoknak egyre több jogi és szabályozási követelménynek kell megfelelniük. Az elmúlt évek vállalati botrányai és pénzügyi kudarcai miatt az igazgatótaná-csokban jobban odafigyelnek a szigorúbb törvényekre és szabályozásokra, és ezek következményeire. Az érdekelt felek fokozott bizonyosságot igényelnek, hogy a vállalatok megfelelnek a törvényeknek és szabályozásoknak, és hogy felelős vállalatirányítási gyakorlatra támaszkodnak működési környezetükben. Továbbá – mivel az IT lehetővé teszi a vállalatok közötti közvetlen üzleti folyamatokat – arra is megnőtt az igény, hogy a szerződésekbe fontos, IT-val kapcsolatos követelményeket rögzítsenek, mint például adatvédelem, bizalmasság, szellemi tulajdon, és biztonság.Az igazgatóknak biztosítaniuk kell, hogy a külső követelményeknek való megfelelés a stratégiai tervezés része legyen, nem pedig egy költséges utógondolat. Ezen kívül a vállalati célok realizálása, a kockázat minimalizálása, és a meg-felelőség elérése érdekében hozzáállásukkal is példát kell mutatniuk, valamint az alkalmazottak számára követendő vállalati szabályzatokat és folyamatokat kell felállítaniuk. A felső vezetésnek meg kell találnia az optimális egyensúlyt



70

a teljesítmény és a megfelelés között, biztosítva, hogy a teljesítmény célok ne veszélyeztessék a megfelelést, ugyanak-kor arra is figyelniük kell, hogy a megfelelőségi intézkedések miatt az üzleti működés ne szoruljon korlátok közé.

Hogyan teszi lehetővé az ISACA útmutatása a helyes gyakorlatot:1. A COBIT 5 irányítási és menedzsment gyakorlatai egy megfelelő vállalati kontrollkörnyezet létrehozására adnak

alapot. A folyamatképességi felmérések lehetővé teszik a menedzsment számára, hogy értékelje és minősítse az IT folyamat képességét.

2. A COBIT 5-ben szereplő APO02 Stratégiakezelés folyamat segít biztosítani az IT terv és az általános üzleti célok közötti összhangot, beleértve az irányítási követelményeket is.

3. Az MEA02 Belső ellenőrzési rendszer felügyelete, értékelése és elemzése folyamat lehetővé teszi az igazgatók szá-mára, hogy felmérjék a kontrollok megfelelőségét az elvárt követelmények alapján.

4. Az MEA03 Külső követelményeknek való megfelelés felügyelete, értékelése és elemzése folyamat segít a külső megfelelőségi követelmények azonosításában, az igazgatóknak a megfelelőség felé vezető irány meghatározásában, és biztosítja, hogy maga az IT megfelelőség is felügyelve, értékelve és jelentve legyen az általános vállalati követel-ményeknek megfelelően.

5. A tervezett COBIT 5 Bizonyosságnyújtási útmutató le fogja írni, hogy az auditorok hogyan tudnak bizonyosságot nyújtani a belső irányelvekből, vagy külső törvényi vagy szabályozási, vagy szerződésbeli kötelezettségekből leve-zetett belső szabályzatoknak való megfelelésről, és a szabályzatok betartásáról. Így megerősíthetik azt is, hogy a nem megfelelőségek kijavítására hozott korrekciós lépéseket időben megtették-e a folyamatért felelős tulajdono-sok.

6. ALAPELV – EMBERI VISELKEDÉSMit jelent ez a gyakorlatban?Bármilyen IT által lehetővé tett változás megvalósítása – beleértve magát az IT irányítást is – általában jelentős kulturális és viselkedésbeli változást követel meg a vállalatokon belül, valamint az ügyfelekkel és az üzleti partnerek-kel való kapcsolattartásban. Ez félelmet és félreértéseket okozhat a vállalat munkavállalói körében, így a megvalósítást óvatosan kell irányítani, hogy a munkavállalók pozitív hozzáállása megmaradjon. Az igazgatóknak érthetően kell kommunikálniuk a célokat, és látszania kell, hogy pozitívan támogatják a javasolt változásokat. A munkaerő képzése és készségeinek fejlesztése a változás kulcsfontosságú aspektusai – különösen a technológia gyorsan változó ter-mészetéből adódóan. Egy vállalatban az IT mindenkire hatással van: az érdekelt felekre, vezetőkre, felhasználókra, valamint az üzletnek IT-val kapcsolatos szolgáltatásokat és megoldásokat nyújtó szakembereire is. A vállalaton kívül az IT befolyásolja az ügyfeleket és üzleti partnereket is, és egyre inkább lehetővé teszi az önkiszolgálást és a cégek közti – országon belüli vagy határokon túli – automatizált tranzakciók végrehajtását. Habár az IT által lehetővé tett üzleti folyamatok új előnyöket és lehetőségeket nyújtanak, magukban hordoznak egyre nagyobb mértékű kockázatot is. Az olyan kérdések, mint az adatvédelem és csalás egyre nagyobb problémát jelentenek, így ezeket és más egyéb kockázatokat is kezelni kell, ha növelni akarjuk az IT rendszerekkel kapcsolatos bizalmat. A manuális folyamatok automatizálásával az információrendszerek a munkafolyamatokra is drámai hatással lehetnek.

Hogyan teszi lehetővé az ISACA útmutatása a helyes gyakorlatot:Az alábbi COBIT 5 megvalósítási tényezők (beleértve a folyamatokat is) nyújtanak útmutatást az emberi viselkedéssel kapcsolatban:1. A COBIT 5 megvalósítási tényezői közé sorolhatók az emberek, készségek és kompetenciák, a kultúra, az etika

és a viselkedés. Mindegyikkel kapcsolatban egy példákkal illusztrált modell ábrázolja, hogy miként kell kezelni a megvalósítási tényezők segítségével.

2. A COBIT 5 APO07 Emberi erőforrás kezelése folyamat kifejti, hogyan kell az egyéni teljesítményt összehangolni a vállalati célokkal, hogyan kell az IT szakképzettségeket szinten tartani, és hogyan kell a szerepeket és felelőssége-ket meghatározni.

3. A COBIT 5 BAI02 Követelmények meghatározásának kezelése folyamat segít olyan alkalmazásokat tervezni, ame-lyek megfelelnek az emberi üzemeltetési és a felhasználási követelményeknek.

4. A COBIT 5 BAI05 Szervezeti változások kezelése és a BAI08 Tudásmenedzsment folyamatok segítségével biztosít-ható, hogy a felhasználók hatékonyan tudják használni a rendszereket.

Ezenkívül az ISACA négy tanúsítványt kínál az IT irányításban kulcsszerepet játszó szakemberek számára, amely


71


tanúsítványokhoz szükséges tudás alapanyaga jórészt megtalálható a COBIT 5-ben:• Okleveles vállalati informatikai irányítási szakértő (CGEIT®)• Okleveles információrendszer auditor (CISA®)• Okleveles információbiztonsági menedzser (CISM®)• Okleveles kockázatkezelési és információrendszer-védelmi szakértő (CRISC™)

Ezeknek az okleveleknek a birtokosai bizonyították képességbeli rátermettségüket és tapasztalatukat a fenti szerepkö-rökben.

ISO/IEC 38500 értékelés, irányítás és felügyeletHogyan teszi lehetővé az ISACA útmutatása a helyes gyakorlatot:A COBIT 5 folyamatmodellben az irányítási terület öt folyamatot tartalmaz, és mindegyikben meg vannak határozva EDM gyakorlatok. A COBIT 5-nek ez a fő része, ahol az irányítással kapcsolatos tevékenységek definíciója található.

Összehasonlítás más szabványokkal

A COBIT 5-öt számos egyéb szabvány és keretrendszer figyelembevételével fejlesztették ki; ezek listája az A. függe-lékben található.

A COBIT 5: Megvalósítási folyamatok magas szintű leképezést tartalmaz az összes COBIT 5 folyamat és a kapcsolódó és további útmutatást nyújtó szabványok, valamint keretrendszerek legrelevánsabb részei között.

Ebben a részben röviden tárgyaljuk a kapcsolódó szabványokat és keretrendszereket, utalva arra, hogy a COBIT 5 melyik területéhez kapcsolódnak.

ITIL® V3 2011 és ISO/IEC 20000Az ITIL® V3 2011 és az ISO/IEC 20000 a következő COBIT 5 területeket fedik le:• Folyamatok alcsoportja a DSS (Szállítás, szolgáltatás és támogatás) területen.• Folyamatok alcsoportja a BAI (Kialakítás, beszerzés és megvalósítás) területen.• Néhány folyamat az APO (Illesztés, tervezés és szervezés) területen.

ISO/IEC 27000 szabványsorozatAz ISO/IEC 27000 szabványsorozat a következő COBIT 5 területeket fedi le:• Biztonsággal és kockázattal kapcsolatos folyamatok az EDM, APO és DSS területeken.• Különböző biztonsággal kapcsolatos tevékenységek más területeken lévő folyamatokban.• Felügyeleti és értékelési tevékenységek a MEA területen belül.

ISO/IEC 31000 szabványsorozatAz ISO/IEC 31000 szabványsorozat a következő COBIT 5 területeket fedi le:• Kockázatkezeléssel kapcsolatos folyamatok az EDM és APO területeken.

TOGAF®

A TOGAF® a következő COBIT 5 területeket fedi le:• Erőforrásokkal kapcsolatos folyamatok az EDM (irányítási) területen. Ahol a TOGAF architektúra bizottság, archi-

tektúra irányítás és architektúra érettségi modell feleltethetők meg az erőforrás-optimalizálásnak.• A vállalati architektúra folyamat az APO területen. A TOGAF központi eleme az architektúra fejlesztési módszer

(ADM) ciklus, amely leképezi a COBIT 5 architektúra vízió fejlesztési gyakorlatait (ADM A fázis), a referencia architektúrák definiálását (ADM B, C, D fázisok), a lehetőségek és megoldások kiválasztását (ADM E fázis), és az architektúra implementálás definiálását (ADM F, G fázisok). Számos TOGAF komponens képződik le a COBIT 5 vállalati architektúrával kapcsolatos szolgáltatásnyújtási gyakorlatokra. Ezek magukban foglalják: – az ADM követelménymenedzsmentet,


72

– az architektúra-alapelveket, – az érdekelt fél menedzsmentet, – az üzletátalakítási képesség értékelését, – a kockázatmenedzsmentet, – a képesség alapú tervezést, – az architektúramegfelelőséget, illetve – az architektúraszerződéseket.

Képesség-érettségi modell integráció (CMMI) (fejlesztés)A CMMI a következő COBIT 5 területeket fedi le:• Alkalmazásfejlesztéssel és beszerzéssel kapcsolatos folyamatok a BAI területen,• Néhány szervezeti és minőséggel kapcsolatos folyamat az APO területen.

PRINCE2®

A PRINCE2® a következő COBIT 5 területeket fedi le:• Portfóliókezeléssel összefüggő folyamatok az APO területen.• Program- és projektmenedzsment folyamatok a BAI területen.

A 25. ábrán látható a COBIT 5 lefedettsége más szabványokhoz és keretrendszerekhez képest.

25. ábra − COBIT 5 lefedettség más szabványokhoz és keretrendszerekhez képest

Értékelés, irányítás és felügyelet

Illesztés, tervezés és szervezés

PRINCE2/PMB0K

ITIL V3 2011 és ISO/IEC 20000



TOGAF


és elemzés

ISO/IEC 38500

ISO/IEC 31000

ISO/IEC 27000

CMMI


73

f. függeléK

a Cobit 5 informáCiós modell és a Cobit 4.1 informáCióKritériumoK összeHasonlítása

f. függeléK

a Cobit 5 informáCiós modell és a Cobit 4.1 informáCióKritériumoK összeHasonlítása

Hogyan viszonyul a COBIT 4.1 hét információ kritérium – eredményesség, hatékonyság, sértetlenség, megbízhatóság, rendelkezésre állás, bizalmasság, megfelelés – a COBIT 5 információminőséggel kapcsolatos kategóriáihoz, illetve a COBIT 5 megvalósítási tényezők dimenzióihoz, ahogy az a G. függelék 32. ábrájában látható?

Az alábbi táblázat két oszlopot tartalmaz:• Az első oszlop felsorolja a hét COBIT 4.1 információkritériumot,• A második oszlop tartalmazza a COBIT 5 megfelelőjét, azaz a vonatkozó megvalósítási tényező céljait.

A táblázat azt mutatja be, hogy a COBIT 5 a COBIT 4.1 valamennyi információkritériumát lefedi; azonban a COBIT 5 további kritériumok definiálását is megengedi, így hozzáadott értéket képvisel a COBIT 4.1 kritériumokhoz képest.

COBIT 4.1információkritérium

Eredményesség

Rendelkezésre állás

Bizalmasság

A rendelkezésre állás az elérhetőség és biztonság témakör egyik információminőségi célja.

A bizalmasság megfelel a korlátozott hozzáférés információminőségi célnak.

Hatékonyság

Sértetlenség

Megbízhatóság

Megfelelés

Az információ eredményes, ha kielégíti az információt felhasználó személy elvárásait, aki azt egy konkrét feladatra használja. Ha a felhasználó végre tudja hajtani a feladatot az információval, akkor az információ eredményes.Ez megfelel a következő információminőségi céloknak: megfelelő mennyiség, relevancia, érthetőség, interpretálható-ság, objektivitás.

Míg az eredményesség az információt termékként kezeli, a hatékonyság sokkal inkább az információmegszerzés és -használat folyamatához kapcsolódik, vagyis az „információ mint szolgáltatás” elképzelésnek felel meg.Ha az információt, ami kielégíti az információfelhasználó igényeit, könnyen hozzáférhető és használható (azaz kis erőforrás-ráfordítást igényel a megszerzése – fizikai erőfeszítés, kognitív erőfeszítés, idő, pénz), akkor az informá-ció használata hatékony. Ez megfelel a következő információminőségi céloknak: hihetőség, elérhetőség, könnyű üzemeltetés, hírnév.

Az információ integritása azt jelenti, hogy hibától független és teljes. A következő információminőségi céloknak felel meg: teljesség, pontosság.

A megbízhatóság gyakran a pontosság szinonimája; azonban az információ akkor is megbízhatónak mondható, ha igaznak és hihetőnek tartják. A sértetlenséggel összehasonlítva a megbízhatóság szubjektívebb, jobban a észlelés-hez kapcsolódik, és nem csak tényszerű. A következő információminőségi céloknak felel meg: hihetőség, hírnév, objektivitás.

A megfelelést – abban az értelemben, hogy az információnak előírásoknak kell megfelelnie – bármely információ-minőségi cél lefedheti a követelményektől függően. Az előírásoknak való megfelelés leggyakrabban az információ használatának a célja vagy követelménye, és nem annyira az információ belső minősége.

COBIT 5 megfelelője

26. ábra − COBIT 5 és COBIT 4.1 információkritériumok megfeleltetése


74



75

g. függeléK

a Cobit 5 megvalósítási tényezőK részletes bemutatása

g. függeléK


Bevezetés

Ez a rész részletesebben tárgyalja a COBIT 5 megvalósítási tényezők hét kategóriáját, amelyekről az 5. fejezetben már szó esett, az alábbi 27. ábrán pedig összefoglalva megtekinthetők.

A megvalósítási tényezők dimenzióiA megvalósítási tényezők négy közös dimenziója:• Érdekelt felek – Minden megvalósítási tényezőhöz kapcsolódnak érdekelt felek (olyan szereplők, akik aktív szerepet

játszanak és/vagy valamilyen érdekük fűződik az adott tényezőhöz). Például a folyamatok esetében elkülönülhetnek azon résztvevők, akik végrehajtják a folyamat tevékenységeit, és/vagy akiknek érdekük fűződik a folyamat eredmé-nyeihez; a szerkezeti struktúráknak is vannak érdekelt felei, mindegyikük saját szereppel és érdekkel. A vállalatok-nál léteznek külső és belső érdekelt felek, és mindegyikük saját, néha egymással ellentmondó érdekkel és elvárások-kal rendelkezik. Az érdekelt felek igényeiből következnek a vállalati célok, amelyekből pedig levezethetők az IT-val kapcsolatos célok. Az érdekelt felekre a 7. ábrán mutatunk példákat.

• Célok – Minden megvalósítási tényezőnek több célja lehet, és e célok megvalósítása által teremt értéket. A célokat meghatározhatjuk: – a megvalósítási tényezőtől elvárt végeredmények, illetve a – megvalósítási tényező alkalmazása vagy működési mechanizmusa mentén.

A megvalósítási tényezők céljai a COBIT 5 cél meghatározási sémájának utolsó lépcsőfoka. A célokat tovább bonthatjuk az alábbi kategóriákba:

– Belső/valódi minőség – a megvalósítási tényezők megfelelő működésének mértéke, tehát hogy mennyire pontos, objektív és elfogadható eredményeket produkálnak.

– Kontextuális minőség – Annak mértéke, ahogy a megvalósítási tényezők és eredményeik mennyire felelnek meg a célnak, figyelembe véve működési környezetüket is. Pl. az eredményeknek relevánsnak, teljesnek, időszerűnek, a helyzetnek megfelelőnek, ellentmondásmentesnek, érthetőnek és könnyen használhatónak kell lenniük.

27. ábra − COBIT 5 megvalósítási tényezők: általános áttekintés

Meg

való

sítá

si té

nyez

ők

dim

enzi

óiM

egva

lósí

tási

tény

ezők

te

ljesí

tmén

ymen

edzs

-m

entje

Érdekelt felek Célok Életciklus Bevált gyakorlatok• Belső érdekelt

felek• Külső érdekelt

felek



• Koncepcionális terv• Részletes terv• Megvalósítás/beszerzés/


• Eljárások• Munkatermékek

(bemenetek, kimenetek)


igényeivel?

Teljesülnek a megvalósítási tényezők céljai?

Az életciklus kezelése megtörténik-e?

Célok teljesülésének mérése(következménymutatók)


Bevált gyakorlatokat követik-e?


76

– Hozzáférés és biztonság – Annak mértéke, hogy a megvalósítási tényezők és eredményeik mennyire elérhetőek és megfelelő biztonságban vannak-e, azaz:• A megvalósítási tényezők elérhetőek, ha és amikor szükség van rájuk.• Az eredményeik biztonságban vannak, vagyis korlátozott a hozzáférés azok számára, akik jogosultak hozzáfér-

ni és szükségük is van rá.• Életciklus – Minden megvalósítási tényezőnek van életciklusa, létrejöttétől a működési/hasznos élettartamon át

a selejtezésig. Ez vonatkozik az információra, struktúrákra, folyamatokra, szabályozásokra stb. Az életciklus külön-böző szakaszai: – Koncepcionális terv (beleértve a koncepciók kidolgozását, majd a legmegfelelőbb kiválasztását), – Részletes terv, – Kialakítás/beszerzés/létrehozás/megvalósítás, – Felhasználás /üzemeltetés, – Értékelés/felügyelet, – Karbantartás/selejtezés.

• Bevált gyakorlatok – Minden megvalósítási tényező számára definiálhatóak bevált gyakorlatok. A bevált gyakor-latok elősegítik a megvalósítási tényezők céljainak elérését, példákat vagy javaslatokat mutatnak a megvalósítási tényező legjobb implementációjára, és hogy milyen munkatermékre vagy bemenetre, illetve eredmény termékre van szükség. A COBIT 5 bemutat példákat a megvalósítási tényezők némelyikéhez használható bevett gyakorlatokra (pl. folyamatok esetén). Más megvalósítási tényezőkre vonatkozóan egyéb szabványok, keretrendszerek stb. használ-hatóak.

Megvalósítási tényezők teljesítménymenedzsmentjeA vállalatok pozitív eredményeket várnak a megvalósítási tényezők bevezetésétől és használatától. A megvalósítási tényezők teljesítményének menedzseléséhez, mérőszámok alapján, az alábbi kérdéseket kell rendszeresen megvizsgál-ni és megválaszolni:• Kezelik-e az érdekelt felek igényeit?• Teljesülnek-e a megvalósítási tényezők céljai?• Kezelik-e a megvalósítási tényező életciklusát?• Alkalmazzák a bevált gyakorlatot?

Az első két kérdés a megvalósítási tényező konkrét eredményével foglalkozik. A célok megvalósulásának mérésére használt metrikát „következménymutatóknak” is nevezik.

A második két pont a megvalósítási tényezők konkrét működésével foglalkozik, az erre vonatkozó metrikát „vezető mutatónak” is nevezik.

Mindegyik megvalósítási tényezővel külön részben foglalkozunk, amelyek a 27. ábrához hasonló ábrával kezdődnek, kiegészítve a tárgyalt tényezőre vonatkozó sajátos elemekkel, melyeket pirossal és vastagon szedve jelöltünk.

A továbbiakban a négy tényezőt külön-külön részleteiben mutatjuk be, kifejtve a rájuk jellemző sajátos elemeket, és más megvalósítási tényezőkkel való kapcsolatukat is.

A megvalósítási tényezők értelmezésére, valamint használatuknak illusztrálására számos példa is található a követke-zőkben.

E fejezet célja, hogy mélyebb betekintést nyújtson a COBIT 5 keretrendszerbe, illetve hogy bemutassa azt, hogy a vállalati IT irányítás és menedzsment struktúrák kialakítása és továbbfejlesztése során miképp alkalmazható helyesen a megvalósítási tényező koncepció.


77

COBIT 5 megvalósítási tényezők: alapelvek, szabályzatok és keretrendszerek

Az alapelvek és szabályzatok azok a kommunikációs mechanizmusok, amelyeket az irányító testület és a menedzs-ment iránymutatásra és instrukcióinak közlésére használ. Az alapelvekkel, szabályzatokkal és keretrendszerekkel foglalkozó megvalósítási tényezők eltéréseit az általános megvalósítási tényezőkhöz képest a 28. ábrán foglaltuk össze.

Az alapelvekkel, szabályzatokkal és keretrendszerekkel foglalkozó lenti modell a következőket tartalmazza:• Érdekelt felek – Az alapelvekben és szabályzatokban érdekeltséggel bíró szereplők vállalati és vállalaton kívüliek is

lehetnek. Ide tartoznak az igazgatótanács és az operatív menedzsment tagjai, a törvényi megfelelésért felelős tisztvi-selők, kockázatmenedzserek, belső és külső auditorok, szolgáltatók és ügyfelek, valamint a szabályozó hatóságok. A felmerülő érdekeknek két oldala van: az érdekelt felek egyik része szabályokat definiál és állít fel, másoknak pedig igazodniuk, megfelelniük kell ezeknek a szabályoknak.

• Célok és mérőszámok – Az alapelvek, szabályzatok és keretrendszerek a vállalati kommunikációs eszköztár részét képezik, az igazgatótanács és az operatív vezetőség által felállított célkitűzéseket és vállalati értékeket hivatottak támogatni.Az alapelvekkel kapcsolatos elvárások: – Számuk korlátozott. – Egyszerű nyelvezetet használnak és a vállalat fő értékeit fejezik ki, a lehető legvilágosabb megfogalmazással.

A szabályzatok részletesebb útmutatást nyújtanak az alapelvek gyakorlatba való átültetéséről, és segítenek összhang-ba hozni a döntéshozatalt az alapelvekkel. A jó szabályozás a következőknek kell, hogy megfeleljen: – Hatásos, azaz megvalósítja a megfogalmazott szándékot. – Hatékony, azaz biztosítja, hogy az alapelveket a leghatékonyabb módon valósítja meg. – Nem zavaró hatású, tehát logikusnak mutatkozik azok számára, akiknek be kell tartani, akik így nem fejtenek ki

felesleges ellenállást a szabályzattal szemben.

Hozzáférés a szabályozásokhoz – Működik-e olyan mechanizmus, amely könnyű hozzáférést biztosít a szabályza-tokhoz az összes érdekelt fél számára? Más szóval, tudják az érdekelt felek, hogy hol találhatók a szabályzatok?

g. függeléK


28. ábra − COBIT 5 megvalósítási tényezők: alapelvek, szabályzatok és keretrendszerek

Meg

való

sítá

si té

nyez

ők

dim

enzi

óiM

egva

lósí

tási

tény

ezők

te

ljesí

tmén

ymen

edzs

-m

entje



felek





• Eljárások: vállalatirányítási és operatív menedzs-ment keretrendszer, alapelvek, szabályozási keretrendszer, terjedelem, érvényesség

• Munkatermékek (bemenetek, kimenetek) szabályozási előírások


igényeivel?







78

A vállalatirányítási és menedzsment keretrendszereknek a helyes vállalati IT irányítást és operatív IT vezetést támogató struktúrával, útmutatóval, eszközökkel stb. kell ellátni a menedzsmentet. A keretrendszerekkel szembeni elvárások: – Legyen átfogó, fedjen le minden szükséges területet. – Legyen nyílt és rugalmas, tegye lehetővé a vállalat konkrét helyzetéhez való alkalmazkodását. – Legyen aktuális, azaz a vállalat aktuális állapotát tükrözze és az aktuális irányítási célkitűzéseket jelenítse meg. – Legyen elérhető és hozzáférhető minden érdekelt fél számára.

• Életciklus – A szabályozásoknak életciklusuk van, amelynek elő kell segítenie a kijelölt célok megvalósítását. A ke-retrendszerek kulcsfontosságúak, mert struktúrát szabnak meg a konzisztens útmutatók kialakításához. Például egy szabályozási keretrendszer olyan struktúrát biztosít, amelyben konzisztens szabályzatrendszert lehet létrehozni és fenntartani, ezenkívül pedig könnyű eligazodást tesz lehetővé az egyes szabályzatokban és a szabályzatok között is.

A külső környezettől függően, amelyben a vállalat működik, különböző fokú szabályozási követelmények lehetnek a belső kontrollokra vonatkozóan és következésképpen a szabályozási keretrendszerre vonatkozóan is. A keretrend-szerekkel és szabályzatokkal kapcsolatos kulcsfontosságú tényező a szabályzatok aktualitása. Megtörténik-e a szabályzatok felülvizsgálata és frissítése? Léteznek-e szigorúan betartott folyamatok, amelyek biztosítják, hogy a munkatársak értesüljenek is a változásokról, hogy a legfrissebb verzió könnyen hozzáférhető legyen (lásd az előző pontot), és hogy az elavult információ megfelelően archiválva vagy selejtezve legyen?

• Bevált gyakorlatok: – A szabályzatok egy olyan átfogó irányítási és menedzselési keretrendszer részei legyenek, amely (hierarchikus)

struktúrát biztosít a szabályzatok számára, és egyértelműen kapcsolódik az alapelvekhez. – A szabályozási keretrendszer részeként az alábbi elemeket kell meghatározni:

• Hatókör és érvényesség,• A szabályzat be nem tartásának következményei,• A kivételek kezelésének módjai,• A szabályzat betartásának ellenőrzési és mérési formája.

– Az irányítási és menedzsment-keretrendszerek hasznos útmutatásként szolgálhatnak a szabályzatok konkrét tar-talmának kidolgozásához is.

– A szabályzatoknak összhangban kell állniuk a vállalat kockázatvállalási hajlandóságával. A szabályzatok kulcs-fontosságúak a vállalat belső kontrollrendszerében, amelynek célja a kockázat kezelése és csökkentése. A koc-kázatkezelési tevékenységek részeként meghatározzák a vállalat kockázatvállalási hajlandóságát, aminek tükrö-ződnie kell a szabályzatokban is. Egy kockázatokat kerülő vállalatnak szigorúbb szabályzatai vannak, mint egy kockázatot jobban vállalónak.

– A szabályzatokat meghatározott időközönként validálni és/vagy frissíteni kell.• Kapcsolat más megvalósítási tényezőkkel – a főbb kapcsolódási pontok a következők:

– Az alapelveknek, szabályzatoknak és keretrendszereknek tükrözniük kell a vállalati kultúrát és etikai értékeket, valamint ösztönözniük kell az elvárt viselkedést, így szoros kapcsolatban áll a kulturális, etikai és viselkedésre vonatkozó megvalósítási tényezőkkel.

– A folyamatok eljárásai, tevékenységei a szabályzatok megvalósításának legfontosabb eszközei. – A szervezeti struktúrák ellenőrzési körükön belül meghatározhatják és megvalósíthatják a szabályzatokat, más-

részt tevékenységeiket is szabályzatok mentén végzik el. – A szabályzatok egyben információt is nyújtanak, így minden információra vonatkozó bevált gyakorlat egyben

a szabályzatokra is vonatkozik.

Megjegyzés: A COBIT 5 csupán egy példa keretrendszerre a fenti megvalósítási tényező esetén.


79

g. függeléK


COBIT 5 megvalósítási tényezők: folyamatok

A folyamat megvalósítási tényezőre vonatkozó speciális tulajdonságok összehasonlítása az általános megvalósítási tényezőkkel az alábbi 29. ábrán látható..A folyamat meghatározható úgy, mint „tevékenységek összessége, amelyet befolyásolnak a vállalat szabályzatai és eljárásai, és amely számos forrásból kap bemenetet (beleértve más folyamatokat is), majd átalakítja a bemene-teket, végül pedig kimeneteket eredményez (pl. termékeket, szolgáltatásokat)”.

9. példa − Közösségi média

Egy vállalat azt fontolgatja, hogy miként kezelje a közösségi média használatának gyors terjedését és a munkatársak részéről jelentkező nyomást, hogy teljes hozzáférést kapjanak ehhez. Mindeddig a szervezet az ilyen típusú szolgáltatáshoz való hozzáférés biztosításában konzervatív és korlátozó volt, főleg biztonsági okokból.

Több oldalról is nyomás van a közösségi médiával való eltérő bánásmódra. A munkatársak hasonló hozzáférést akarnak, mint otthon, és a vállalat maga is használni és hasznosítani kívánja a közösségi média előnyeit marketing- és ismertségnövelési célokra.

Döntés született, hogy ki kell dolgozni azokat a szabályokat, amelyek a közösségi média használatára vonatkoznak a vállalat hálóza-tain és rendszerein belül, beleértve a vállalat által a munkatársaknak adott laptopokat. Az új szabályzat beleilleszkedik az elfogadható használat szabályaira vonatkozó, jelenlegi szabályozási keretrendszerbe, és megengedőbb, mint az előzőek. Következésképpen kommunikálni kell az új szabályzat indokait. Ugyanakkor más megvalósítási tényező is érintett:• A munkatársaknak meg kell tanulniuk, hogyan bánjanak az új médiával, hogy elkerüljék a vállalat számára kínos helyzeteket.

Meg kell tanulniuk a vállalat által alkalmazott új szabályzatnak megfelelő magatartást és ki kell fejleszteniük a megfelelő képessé-geket.

• A biztonságra vonatkozó eljárásokat át kell alakítani. A közösségi médiához való hozzáférés engedélyezése következtében a bizton-sági beállításokat és eddigi konfigurációkat meg kell változtatni, valamint valószínűleg kiegészítő védelmi intézkedésekre is szükség lesz.

A folyamatmodell elemei:• Érdekelt felek – A folyamatoknak megvannak a saját szereppel rendelkező, belső és külső érdekelt felei; az érdekelt

felek és felelősségi szintjeik RACI táblázatokban dokumentálhatóak. A külső érdekelt felek közé az ügyfelek, üzleti partnerek, részvényesek és szabályozók tartozhatnak. A belsők pedig az igazgatótanács, menedzsment, személyzet és önkéntesek lehetnek.

29. ábra − COBIT 5 megvalósítási tényezők: folyamatok

Meg

való

sítá

si té

nyez

ők

dim

enzi

ói



felek





• Folyamateljárások, tevékenységek, részletes tevékenységek

• Munkatermékek (bemenetek, kimenetek)

Meg

való

sítá

si té

nyez

ők

telje

sítm

énym

ened

zs-

men

tje


igényeivel?






Általános gyakorlatoka folyamatokhoz


80

• Célok – A folyamatcélok meghatározása: „a folyamat kívánt eredményének leírása. Az eredmény lehet egy termék, jelentős állapotváltozás vagy más folyamatok jelentős képességnövekedése”. Ezek mind a célok összefüggéseinek részei, azaz egyes folyamatcélok elősegítik az IT-val kapcsolatos célok megvalósulását, amelyek pedig elősegítik a vállalati célok elérését.A folyamatcélokat az alábbiak szerint lehet osztályozni: – Belső célok – Van-e a folyamatnak értelme önmagában nézve? Megfelelő és összhangban áll a bevett gyakorlat-

tal? Megfelel a belső és külső szabályozásoknak? – Kontextuális célok – A folyamat a vállalat specifikus helyzetéhez van-e igazítva? Releváns, érthető és könnyen

alkalmazható? – Hozzáférhetőségi és biztonsági célok – A folyamat bizalmas marad, amennyiben erre szükség van, illetve kizá-

rólag azok számára ismert és hozzáférhető, akiknek erre szüksége van.

A célok összefüggésrendszerének minden szintjén, így a folyamatok esetében is, mérőszámokat határoznak meg a célok megvalósulásának mérésére. A mérőszám úgy határozható meg, mint egy „mennyiségileg kifejezhető entitás, amely lehetővé teszi egy folyamatcél elérésének a mérését. A mérőszám legyen SMART – Specifikus, Mérhető, Cselekvési reAkciót eredményező, Releváns és akTuális”.

A megvalósítási tényezők hatékony és hatásos kezelésére metrikát kell meghatározni, hogy mérhető legyen a vég-eredmények megvalósulásának mértéke. Ezen túl a teljesítménymenedzsment egy másik aspektusa azzal foglalko-zik, hogy mely mértékben sikerült bevált gyakorlatot alkalmazni. Erre is definiálható kapcsolódó mérőszám.

• Életciklus – Minden folyamatnak van életciklusa. Meghatározzák, létrehozzák, üzemeltetik, figyelemmel követik, kiigazítják/frissítik, végül visszavonják. Az általános folyamatgyakorlatok, mint amilyeneket a COBIT folyamat-értékelési modell az ISO/IEC 15504 alapján meghatároz, segítséget nyújtanak a folyamatok meghatározásában, üzemeltetésében, figyelemmel követésében és optimalizálásában.

• Bevált gyakorlatok – A COBIT 5: Megvalósíthatóságot lehetővé tevő folyamatok fejezet tartalmaz egy folyamat referenciamodellt, amely a folyamaton belüli bevált gyakorlatokat írja le egyre nagyobb részletességgel: eljárások, tevékenységek és részletes tevékenységek:14

Eljárások:• Minden egyes COBIT 5 folyamat tekintetében, a vállalatirányítási/menedzsment eljárások átfogó elvárások teljes

sorozatát definiálják a vállalati IT eredményes irányítására és operatív szintű menedzselésére egyaránt. Így tehát: – Tevékenységek meghatározása eredmény létrehozására, kockázati szint és erőforrás-felhasználás optimalizálá-

sára, – Összhangban a releváns, általánosan elfogadott szabványokkal és a bevált gyakorlattal, – Általános és ezért minden vállalatra egyedileg kell testre szabni, – Lefedi az üzleti és IT szereplőket a (teljes) folyamatban,

• A vállalati irányító testületnek és a menedzsmentnek ezen irányítási és menedzsment gyakorlatok vonatkozásá-ban döntéseket kell hozniuk: – Kiválasztani azokat, amelyek alkalmazhatók, illetve dönteni azokról, amelyek ezek közül implementálandók, – Bevezetni és/vagy módosítani egyes eljárásokat, – Meghatározni és bevezetni IT-val közvetlenül nem összefüggő eljárásokat az üzleti folyamatokba történő integ-

rációhoz, – Kiválasztani, hogyan valósítják meg őket (gyakoriság, kiterjedés, automatizálás stb.) – Elfogadni annak kockázatát, hogy nem valósítanak meg olyanokat, amelyek alkalmazandók lennének.

Tevékenységek – A COBIT tevékenységeknek tekintjük a folyamat üzemeltetéséhez szükséges lépéseket.• A definíció szerint „útmutatás eljárások kialakításához a vállalati IT sikeres irányítása és működtetése céljából”.

A COBIT 5 tevékenységei nyújtják a választ arra, hogy miként, miért és mit implementáljunk az egyes irányítási vagy működtetetési gyakorlathoz az IT teljesítményének növelésére és/vagy az IT megoldás- és szolgáltatásnyúj-tás kockázatainak kezelésére. A tevékenységek meghatározása az alábbi szereplőknek hasznos:

14 A COBIT 5 csak az eljárásokat és tevékenységeket fejti ki. A részletesebb leírások további fejlesztés(ek)re szorulnak. A különböző szakmai segédletek részletesebb útmutatást nyújtanak saját területükre, de további útmutatás nyerhető a vonatkozó szabványokból és keretrendszerekből, mint ahogy az a részletes folyamat-leírásokban is olvasható.


81

g. függeléK


– Vezetőség, szolgáltatók, végfelhasználók és IT szakértők, akiknek tervezni, felépíteni, működtetni, illetve felügyelni kell a vállalati IT folyamatokat,

– Bizonyosságnyújtási szakértők, akiknek valószínűleg kikérik a véleményét az aktuális vagy javasolt implemen-tációkkal vagy a szükséges fejlesztésekkel kapcsolatban.

• Általános és specifikus tevékenységek teljes halmaza, amely egy olyan megközelítést nyújt, amely tartalmazza a kulcs irányítási célok / menedzsment célok eléréséhez szükséges és elégséges valamennyi lépést. Átfogó útmu-tatást nyújtanak ezek elvárt szintje alatt az aktuális teljesítmény értékelésére, és a lehetséges fejlesztési lehetősé-gek meghatározására. A tevékenységek: – Leírják az irányítási és menedzsment célok eléréséhez szükséges és elegendő tevékenység-orientált implemen-

tációs lépéseket, – Figyelembe veszik a folyamat bemeneteit és kimeneteit, – Általánosan elfogadott szabványokra és bevált gyakorlatokra támaszkodnak, – Támogatják egyértelmű szerepek és felelősségek meghatározását, – Nem előíró jellegűek, és a vállalat számára megfelelő, specifikus folyamatokká kell átalakítani őket.

Részletes tevékenységek – Lehetséges, hogy a tevékenységek nem elég részletesek az implementációhoz, és további útmutatásra van szükség, ami lehet: – Konkrét, releváns szabványok és bevált gyakorlatok felhasználása, mint például az ITIL, az ISO/IEC 27000

sorozat és a PRINCE2, – Részletesebb vagy specifikus tevékenységek jövőbeni kidolgozása COBIT 5 termékcsalád részeként.

Bemenetek és eredmények – A COBIT 5 bemenetek és eredmények a folyamat munkatermékei, amelyek szükségek a folyamat működésének a támogatásához. Lehetővé tesznek kulcsfontosságú döntéseket, a folya-mattevékenységek dokumentáltságát és audit logját szolgáltatják, és incidens esetén lehetővé teszik az esemény lekövetését. A kulcs irányítási/menedzsment gyakorlat szintjén definiáltak, tartalmazhatnak munkatermékeket, amelyeket csak a folyamatban használnak, és gyakran más folyamatok lényeges bemeneteit képezik.15

15 A COBIT 5-ben szemléltetett bemenetek és kimenetek listája nem tekinthető teljesnek, mert a vállalat egyedi környezetétől és folyamat-keretrendszerétől függően további információáramlások is meghatározhatók.

Külső bevált gyakorlatok létezhetnek bármilyen formában vagy részletezettséggel, más szabványokban és keretrendszerekben. A felhasználók használhatják ezeket a külső bevált gyakorlatokat, annak tudatában, hogy a COBIT összhangban van e szabványokkal, ahol releváns, és a leképezési információ elérhető lesz.

Megvalósítási tényezők teljesítménymenedzsmentjeA vállalatok a megvalósítási tényezők alkalmazásától és használatától pozitív eredményeket várnak el. A megvaló-sítási tényezők teljesítményének kezeléséhez a következő kérdéseket kell mérőszám alapján figyelemmel kísérni, és rendszeresen megválaszolni:

• Az érdekelt felek igényeit figyelembe veszik-e?• Teljesülnek-e a megvalósítási tényezőktől elvárt célok?• Kezelik-e a megvalósítási tényező életciklusát?• Alkalmazzák-e a bevált gyakorlatokat?

A folyamatok megvalósítási tényezői esetében az első két kérdés a folyamat tényleges eredményével foglalkozik.A célok teljesülésének mértékét mutató mérőszám „következménymutatónak” is nevezhető. A COBIT 5: Megvalósítási folyamatok folyamatcélonként több mérőszámot definiál.A második két kérdés a megvalósítási tényező tényleges működésével foglalkozik, az erre vonatkozó mérőszámok „vezető mutatónak” nevezhetők.

Folyamatképességi szint – A COBIT 5 tartalmaz egy ISO/IEC 15504 alapú folyamatképességi értékelés sémát. Ezt tárgyalja a COBIT 5 8. fejezete, és egyéb ISACA COBIT 5 publikációkban pedig további útmutatás található a témáról. Röviden, a folyamatképességi szint méri a célok elérését és a bevált gyakorlat alkalmazását is.


82

Kapcsolatok más megvalósítási tényezőkkel – A folyamatok és más megvalósítási tényező kategóriák közötti kapcsolatok a következő viszonyokban nyilvánulnak meg:• A folyamatoknak információra van szükségük (mint a bemenetek egyik típusára), és információt tudnak létrehozni

(mint munkaterméket).• A folyamatoknak szervezeti struktúrákra és szerepekre van szükségük a működéshez, ahogy azt RACI táblázatok

megadják, például IT irányító bizottság, vállalati kockázatkezelési bizottság, igazgatótanács, audit szervezet, CIO, CEO.

• A folyamatok szolgáltatási képességeket (infrastruktúra, alkalmazások stb.) hoznak létre, és egyben feltételeznek is.• A folyamatok más folyamatoktól függhetnek és függenek.• A folyamatok szabályzatokat és eljárásokat hoznak létre, vagy igényelnek, hogy konzisztens implementációt és

végrehajtást biztosítsanak.• Kulturális és viselkedési szempontok hatással bírnak arra, hogy milyen jól hajtják végre a folyamatokat.

Egy gyakorlati példa folyamatmegvalósítási tényezőreA 10. példa a folyamatmegvalósítási tényezőt, annak összefüggéseit és a megvalósítási dimenziókat mutatja be. A példa a korábban bemutatott 7. példára épül.

COBIT 5 Folyamat-referenciamodellIRÁNYÍTÁSI ÉS MENEDZSMENTFOLYAMATOKA COBIT egyik vezérelve a felelős vállalatirányítás és a menedzsment megkülönböztetése. Ezzel összhangban, minden vállalattól elvárt, hogy számos irányítási és menedzsmentfolyamatot implementáljanak annak érdekében, hogy átfogó vállalati IT irányítást és menedzsmentet biztosítsanak.

Amikor a vállalat kontextusában irányítási és menedzsmentfolyamatokról van szó, a folyamattípusok közötti különb-ségek a folyamatok céljaiban rejlenek.• Irányítási folyamatok – Az irányítási folyamatok az érintett felek irányítási céljaival foglalkoznak – értékteremtés,

kockázat- és erőforrás-optimalizálás –, valamint gyakorlatokat és tevékenységeket tartalmaznak, amelyek célja a stratégiai opciók értékelése, az IT irányának meghatározása, és az eredmény felügyelése (EDM [Evaluate, Direct, Monitor]– az ISO/IEC 38500 szabvány fogalmaival összhangban).

• Menedzsmentfolyamatok – A menedzsment definíciójával összhangban a menedzsmentfolyamatokban a gyakorla-tok és tevékenységek lefedik a vállalati IT PBRM (Plan, Build, Run, Monitor) felelősségi területeit, és biztosítaniuk kell az IT teljes lefedettségét.


83

g. függeléK


Habár e két folyamat eredményét eltérő és különböző célközönségnek szánták, belülről, magának a folyamatnak a kontextusából tekintve, minden folyamathoz szükséges a folyamaton belül megvalósítani a „tervezés”, „kiépítés vagy implementáció”, „végrehajtás”, „figyelemmel kísérés” tevékenységeket.

10. példa − Megvalósítási tényezők összefüggései

Egy szervezet „folyamatmenedzsereket” nevezett ki az IT-hoz kapcsolódó folyamatokra, akiknek az a feladatuk, hogy a megfelelő vállalati IT irányítás és menedzsment keretében IT-hoz kapcsolódó hatékony és eredményes folyamatokat határozzanak meg és üzemeltessenek.

Kezdetben a folyamatmenedzserek a megvalósítás folyamataira koncentrálnak, az megvalósítási tényezők dimenzióit megfontolva:• Érdekelt felek: A folyamatokhoz kapcsolódóan érdekelt fél minden folyamatszereplő – azaz minden fél – aki felelős, számon

kérhető, közreműködő vagy tájékoztatott (RACI) a folyamattevékenységek kapcsán vagy a folyamattevékenységekben. Erre egy a COBIT 5: Megvalósítási folyamatok részben leírt RACI táblázat használható.

• Célok: Minden folyamatra megfelelő célokat és kapcsolódó mérőszámokat kell definiálni. Például a kapcsolatok menedzselése folyamathoz (APO08 folyamat, COBIT 5: Megvalósítási folyamatok) olyan célok és mérőszámok találhatók, mint

– Cél: Az üzleti stratégiák, tervek és követelmények jól érthetőek, dokumentáltak és jóváhagyottak.• Mérőszám: A vállalati üzleti követelményekkel/prioritásokkal összhangban lévő programok százalékos aránya.

– Cél: A vállalat és az IT részleg jó viszonyban vannak.• Mérőszám: A felhasználó és IT személyzet megelégedettségi felméréseinek eredményei.

• Életciklus: Minden folyamatnak van életciklusa, azaz ezeket úgy kell létrehozni, végrehajtani, monitorozni és módosítani szükség szerint. Végül a folyamatok megszűnnek. Ebben az esetben a folyamatmenedzser először megtervezi és definiálja a folyamatot. Sok elemet használhat a COBIT 5: Megvalósítási folyamatok részből a folyamat tervezéséhez, például a felelősségek meghatá-rozásához, továbbá a folyamatgyakorlatokra és -tevékenységekre való lebontásához, valamint a folyamat munkatermékeinek rögzítéséhez (bemenetek és kimenetek). Későbbi stádiumban a folyamatot robosztusabbá és hatékonyabbá kell tenni, és e célból a folyamatmenedzserek emelhetik a folyamatképesség szintjét. Erre a feladatra az ISO/IEC 15504 alapján elkészített COBIT 5 folyamatképesség-modell és a folyamatképesség-attribútumok használhatók, mint

– A 2. folyamatképességi szint két attribútum elérését követeli meg: teljesítménymenedzsment és munkatermékmenedzsment. Az első attribútum számos, tervezési fázissal összefüggő tevékenységet igényel.• A folyamat teljesítménycéljai definiáltak.• A folyamat teljesítménye tervezett.• A folyamat végrehajtásának felelősségei definiáltak.• Az erőforrások azonosítottak.• Stb.

– Ugyanez a képességi szint számos aktivitást ír elő a folyamat-életciklus „monitoring-fázisára”, mint• A folyamat teljesítménye monitorozott.• A folyamat teljesítménye a tervek eléréséhez igazított.• Stb.

– Ugyanez a megközelítés alkalmazható, hogy útmutatást kapjunk az életciklus különböző fázisaira, a különböző teljesítményké-pesség-attribútumokból, a folyamat képességének növekvő szintjeihez.

• Bevált gyakorlat: A COBIT 5 kellő részletességgel írja le folyamatokat a COBIT 5: Megvalósítási folyamatok részben, ahogy azt a korábbi pontban is említettük. Inspiráció és példafolyamatok találhatók itt, lefedve a vállalati IT megfelelő irányításához és menedzsmentjéhez szükséges tevékenységek teljes spektrumát.

A folyamatmegvalósításra vonatkozó útmutatáson túlmenően a folyamatmenedzserek további számos megvalósítási tényezőt is figyelembe vehetnek, mint

• A szerepeket és felelősségeket leíró RACI táblázatok. Más megvalósítási tényezők megengedik, hogy ebben a dimenzióban lefúrjunk

– a megvalósítási képességekben és kompetenciákban, minden szerepre definiálhatók a szükséges képességek és kompetenci-ák, illetve megfelelő célok (pl. technikai és magatartásbeli képesség szintek) és kapcsolódó mérőszámok definiálhatók.

– a RACI táblázat ugyancsak tartalmaz számos szervezeti struktúrát. Ezek a struktúrák tovább finomíthatók a szervezeti struktúra megvalósítási tényezőben, ahol egy részletesebb leírás adható meg, továbbá a várt kimenetek és kapcsolódó met-rikák definiálhatók (pl. döntések), valamint bevált gyakorlatok határozhatók meg (pl. kontroll hatóköre, a struktúra működési elvei, hitelességi szint).

• Elvek és szabályok fogják formalizálni a folyamatokat, előírják a folyamat létrehozását, hogy kire vonatkozik, hogy fogják hasz-nálni. Ez áll az irányelvek és szabályzatok megvalósításának fókuszában.


84

COBIT 5 FOLYAMAT REFERENCIAMODELLA COBIT 5 nem előíró jellegű, de a korábbiakból egyértelmű, hogy támogatja a vállalatok kulcsfontosságú területeit lefedő, irányítási és menedzsmentfolyamatok megvalósítását, ahogyan azt a 30. ábra mutatja.

Elméletben a vállalat úgy szervezi a folyamatait, ahogy jónak látja, amíg az alapvető irányítási és menedzsmentcélok le vannak fedve. Kisebb vállalatok kevesebb, nagyobb és összetettebb vállalatok több folyamattal rendelkezhetnek ugyanazon célok lefedésére.

Az előzőekkel együtt ugyanakkor a COBIT 5 tartalmaz egy folyamat referenciamodellt, amely számos irányítási és menedzsmentfolyamatot definiál és részletez. Egy olyan folyamat-referenciamodellt nyújt, amely az IT tevékenységek-hez kapcsolódóan egy vállalatban tipikusan előforduló valamennyi folyamatot reprezentálja. Közös referenciamodellt kínál, amely érthető az operatív IT és az üzleti menedzserek számára egyaránt. A javasolt modell teljes és átfogó, de nem az egyetlen lehetséges folyamatmodell. Minden vállalatnak saját egyedi helyzetét figyelembe véve kell definiálnia saját folyamatkészletét.

A felelős vállalatirányítás felé tett egyik legfontosabb és legkritikusabb lépés egy működési modell és közös nyelv kialakítása az IT tevékenységek által érintett valamennyi szervezeti egység számára. Emellett a COBIT 5 keretrend-szert is kínál az IT teljesítményének mérésére és figyelemmel kísérésére, a szolgáltatókkal való kommunikációra, és a legjobb menedzselési gyakorlatok integrálására.

A COBIT 5 folyamat referenciamodell a vállalat IT irányítási és menedzsmenti folyamatait két fő tevékenységi területre osztja – irányítás és menedzsment –, amelyek további folyamatterületekre oszthatóak:• Irányítás – E terület öt irányítási folyamatot tartalmaz; mindegyik folyamatban EDM gyakorlatok vannak definiál-

va.• Menedzsment – E négy terület összhangban van a PBRM felelősségi területeivel (a COBIT 4.1 területek evolúciója),

és teljesen lefedik az IT-t. Mindegyik terület számos folyamatot tartalmaz, ahogy a COBIT 4.1 és korábbi verziók. Habár, amint azt korábban tárgyaltuk, a legtöbb folyamat feltételezi a folyamatban vagy a kérdéses konkrét témában (pl. minőség, biztonság), a „tervezés”, „implementáció”, „végrehajtás” és „figyelemmel kísérés” tevékenységek meg-létét, amelyek azon területekbe tartoznak, ami általában a legrelevánsabb tevékenységtípus, amikor az IT-t vállalati szinten kezeljük.

A COBIT 5 folyamatai szintén lefedik a vállalati IT irányításához és menedzsmenthez kapcsolódó, valamennyi üzleti és IT tevékenységet, és ezáltal valódi vállalati folyamatmodellt eredményeznek.

30. ábra − COBIT 5 felelős vállalatirányítás és menedzsment kulcsfontosságú területei

Értékel

Irányít

Tervez(APO)

Kialakít(BAI)

Működtet(DSS)

Felügyel(MEA)

Felügyel

Üzleti igények

Menedzsment visszajelzése

Felelős vállalatirányítás

Menedzsment


85

g. függeléK


A COBIT 5 folyamat referenciamodell a COBIT 4.1 folyamatmodell utódja, amely integrálja a Risk IT és Val IT folyamatmodelleket is. A 31. ábra a COBIT 5-nek mind a 37 irányítási és menedzselési folyamatát bemutatja. A folya-matok részleteit, a korábban leírt folyamatmodellnek megfelelően, a COBIT 5: Megvalósítási folyamatok tartalmazza.

31. ábra − Folyamat-referenciamodell

A vállalati IT irányítási folyamataiÉrtékelés, irányítás és felügyelet

EDM01

Irányítási keretrendszerkialakítás és fenntartás

biztosítása

EDM02

Eredmények megvalósításának

biztosítása

EDM03

Kockázat-optimalizálásbiztosítása

EDM04


EDM05

Érdekelt felekátláthatóságának

biztosítása

A vállalati IT menedzsment folyamatok

DSS01


DSS02

Szolgáltatáskérésés incidensek

kezelése

DSS03

Problémakezelés

DSS04


DSS05

Biztonságiszolgáltatások

kezelése

DSS06

Üzleti folyamatokkontrolljainak

kezelése

Illesztés, tervezés és szervezés

MEA01

Teljesítményés a megfele-

lőségfelügyelete,értékelése

és elemzése

MEA02

Belső ellenőr-zési rendszer felügyelete, értékelése

és elemzése

MEA03

Külső követel-ményeknek

valómegfelelésfelügyelete,értékelése

és elemzése


és elemzés



BAI01

Programokés projektek

kezelése

BAI07

Változásokelfogadásának

és életbe lépteté-sének kezelése

BAI02

Követelményekmeghatározá-

sánakkezelése

BAI03

Megoldásokazonosításának

és kialakításánakkezelése

BAI04

Rendelkezésreállás és kapacitás

kezelése

BAI05

Szervezetiváltozásokkezelése

BAI06

Változáskezelés

BAI08

Tudásmenedzs-ment

BAI09

Vagyontárgyakkezelése

BAI10

Konfiguráció- kezelés

APO01

Az IT menedzs-ment

keretrendszermenedzselése

APO07

Emberi erőforráskezelése

APO02

Stratégiakezelés

APO03

Vállalatiarchitektúra-

kezelés

APO04

Innováció-kezelés

APO05

Portfóliókezelés

APO06

Költségvetésés költségek

kezelése

APO08

Vállalatikapcsolatok

kezelése

APO09

Szolgáltatásiszerződések

kezelése

APO10

Beszállítókkezelése

APO11

Minőség kezelése

APO12

Kockázat- kezelés

APO13

Biztonság-menedzsment


86

• Életciklus – Egy szervezeti struktúrának van életciklusa. Megalkotják, létezik, és ezalatt módosítják, majd végül megszüntethetik. Létrehozásakor meg kell határozni a mandátumát, azaz létezésének az okát és célját.

• Bevált gyakorlatok – A szervezeti struktúrákra vonatkozóan egy sor bevált gyakorlat alkalmazható: – Működési alapelvek – A struktúra működésének praktikus kialakítása, mint például a megbeszélések gyakorisá-

gának, a dokumentálásnak és házirend jellegű szabályoknak a meghatározása. – A struktúra összetétele – Azok a vállalati vagy vállalaton kívüli érdekelt felek, akik a struktúra tagjai. – Az ellenőrzés hatásköre – A szervezeti struktúra döntéshozatali jogának korlátait jelenti. – Felhatalmazás / döntéshozási jogosultság szintje – A struktúrának milyen döntések meghozatalára van felhatal-

mazása. – Felhatalmazás átruházása – A struktúra döntéshozatali jogosultságát vagy annak egy részét átruházhatja, másik

alatta álló struktúrákra. – Eszkalációs eljárások – Egy struktúra eszkalációs útja leírja, hogy milyen lépésekre van szükség a döntéshozatali

problémák kezelése során.

Kapcsolat más megvalósítási tényezőkkel – Más megvalósítási tényezőkkel való kapcsolatok tartalmazzák:• A RACI táblázatok folyamat tevékenységeket kapcsolnak a szervezeti struktúrákhoz, és/vagy az egyes vállalati

szerepkörökhöz. Minden folyamatnál meghatározzák, hogy egyes szerepkörök milyen mértékben vannak bevonva: felelős érte, elszámoltatható érte, konzultálnak vele, vagy tájékoztatják róla.

COBIT 5 Megvalósítási tényezők: szervezeti struktúrák

A szervezeti struktúrák megvalósítási tényezőjének specifikumai – az általános jellemzőkkel összehasonlítva – a 32. ábrán láthatók.

A szervezeti struktúrák modellje tartalmazza:• Érdekelt felek – A szervezeti struktúrák érdekelt felei vállalaton belüli és kívüli felek is lehetnek, mint például a

struktúra egyéni tagjai, más struktúrák, szervezeti egységek, ügyfelek, szállítók és szabályozók. Szerepük változó, magukban foglalja a döntéshozást, befolyásolást, tanácsadást. Az érdekelt felek érdekei is változóak, azaz mindenki-nek más érdeke van abban, hogy milyen döntést hozzon a struktúra.

• Célok – A szervezeti struktúrák megvalósítási tényezője saját céljai között szerepel, hogy megfelelő felhatalmazá-sa, és jól meghatározott működési elvei legyenek, és más bevált gyakorlatokat alkalmazzon. A szervezeti struktúra tényezőnek az eredményei között egy sor helyes tevékenységnek és döntésnek kell lennie.

32. ábra − COBIT 5 Megvalósítási tényezők: szervezeti struktúrák

Meg

való

sítá

si té

nyez

ők

dim

enzi

ói



felek





• Eljárások: üzemeltetési alapelvek, kontrollok ható- köre (kiterjedés), felhatalmazási szint, felhatalmazás delegálása, eszkalációs eljárások

• Munkatermékek (bemenetek, kimenetek) döntések

Meg

való

sítá

si té

nyez

ők

telje

sítm

énym

ened

zs-

men

tje


igényeivel?

Teljesülnek a megvalósítá-si tényezők céljai?






87

g. függeléK


• A szervezeti kultúra, etika és viselkedés meghatározzák a szervezeti struktúrák és döntéseik eredményességét és hatékonyságát.

• A szervezeti struktúrák összeállításakor figyelembe kell venni, és meg kell követelni, hogy a tagok rendelkezzenek a szükséges készségekkel.

• A szervezeti struktúrák hatókörét és működési alapelveit a fennálló szabályozási keretrendszer irányítja.• Bemenetek és kimenetek – Egy struktúrának bemenetekre (tipikusan információra) van szüksége, mielőtt tájéko-

zott döntéseket tudna hozni, és kimeneteket hozna létre, pl. döntéseket, más információt, vagy további bemenetekre vonatkozó kéréseket.

Szerep/struktúra

Igazgatótanács

CFO

CRO

Információbiztonsági vezető(CISO)

CIO

Architektúrabizottság

Stratégiai (IT végrehajtó)bizottság

Értékmenedzsment iroda(VMO)

(Projekt- és program-)irányító bizottságok

Vállalati kockázatkezelőbizottság

CEO

Üzleti vezető

Belső ellenőrzés

Architektúravezető

Fejlesztési vezető

Üzemeltetési vezető

IT adminisztrációs vezető

HR-vezető

Compliance

Program- és projekt-menedzsment iroda (PMO)

Operatív igazgató (COO)

A vállalat legmagasabb végrehajtó vezetői és/vagy nem-végrehajtó igazgatói csoportja, akin számon kérhető a válla-lat irányítása és teljes kontrollal rendelkezik az erőforrások felett.

A pénzügyi vezetés teljes területéért felelős legmagasabb szintű vezető, beleértve a pénzügyi kockázatokat, valamint a megbízható és pontos számvitelt.

A vállalat kockázatmenedzsmentjéért felelős legmagasabb szintű vezető. Az IT-hoz kapcsolódó kockázatok vonatko-zásában egy IT kockázatmenedzser funkció hozható létre.

A vállalati információ biztonságáért annak minden formájában felelős legmagasabb szintű vezető.

Az IT és üzleti stratégiák összehangolásáért és a vállalati célokat támogató IT szolgáltatások és megoldások tervezé-séért, erőforrásokkal való ellátásáért és vezetéséért felelős legmagasabb szintű vezető.

Érdekelt felek és szakértők egy csoportja, akiken számon kérhetők a vállalati architektúrával kapcsolatos témák és döntések, továbbá az architektúrára vonatkozó szabályzatok és szabványok kijelölése.

Az igazgatótanács által kinevezett felsővezetők csoportja, akik biztosítják, hogy a lényeges IT-hoz kapcsolódó té-mákba és döntésekbe az igazgatótanácsot bevonják és informálják. A bizottság felel az IT által ösztönzött beruházá-sok, IT szolgáltatások és IT vagyontárgyak portfóliójáért, biztosítva az értékteremtést és a kockázatok kezelését.A bizottság elnöke általában egy igazgatótanácsi tag és nem a CIO.

A funkció, amely titkárságként szolgál a beruházások és szolgáltatásportfólió menedzselésére, beleértve a beruházá-si lehetőségek és üzleti esetek értékelését és a kapcsolódó tanácsadást, értékes irányítási/menedzselési módszerek és kontrollok ajánlását, illetve jelentést készít a fejlődésről a beruházások és szolgáltatásokból származó értékfenn-tartás és értékteremtés tekintetében.

Érdekelt felek és szakértők csoportja, akik felelősek a programok és projektek irányításáért, beleértve a tervek, erőforrással való ellátás, valamint a haszon- és értékteremtés vezetését és monitorozását, illetve a program- és projektkockázatok menedzsmentjét.

A vállalati vezetők csoportja, akik felelősek a vállalati szintű együttműködésért és konszenzusért, amely a vállalati kockázat menedzsment (ERM) tevékenységekhez és döntésekhez szükséges. Az IT kockázatok részletesebb elemzé-séhez egy IT kockázatkezelő bizottság állítható fel, amely tanácsot ad a vállalati kockázatkezelő bizottságnak.

A vállalat menedzseléséért teljes egészében felelős legmagasabb szintű vezető.

Magas beosztású vezető, aki egy konkrét üzleti egység vagy leányvállalat működéséért felelős.

A belső auditok biztosításáért felelős vállalati funkció.

A vállalati architektúra folyamatért felelős vezető munktárs.

Az IT-hoz kapcsolódó fejlesztési folyamatokért felelős vezető munktárs.

Az IT üzemeltetési környezetekért és infrastruktúráért felelős vezető munktárs.

Az IT-hoz kapcsolódó feljegyzésekért, és adminisztratív ügyek támogatásáért felelős vezető munktárs.

A vállalat emberi erőforrásainak tervezéséért és a vonatkozó szabályzatokért felelős legmagasabb szintű vezető.

A vállalati funkció, amely a jogszabályokban, a szabályozásokban és a szerződésekben foglaltaknak való megfelelő-ség irányításáért felelős.

Vállalati funkció, amely felelős a program- és projektmenedzserek támogatásáért, a programok és hozzájuk tartozóprojektek előrehaladásával kapcsolatos információ összegyűjtéséért, értékeléséért és jelentéséért.

A vállalati termelési folyamatok működtetéséért összességében felelős legmagasabb szintű vezető.

Definíció/leírás

33. ábra − COBIT 5 szerepek és szervezeti struktúrák


88

Szerep/struktúra

Információbiztonságimenedzser

Üzletmenet-folytonosságimenedzser

Adatvédelmi felelős

Az a munkatárs, aki a vállalat információbiztonságát vezeti, tervezi, felügyeli és/vagy értékeli.

Az a munkatárs, aki vezeti, tervezi, felügyeli és/vagy értékeli az üzletmenet-folytonossági képességeket annak érde-kében, hogy biztosítsa a vállalat kritikus funkcióinak működőképességét az azok megszakadását előidéző eseménye-ket követően is.

Az a munkatárs, aki felelős az adatvédelmi törvényekkel kapcsolatos kockázatok és üzleti hatások monitorozásáért, illetve azon szabályzatok és tevékenységek implementálásának vezetéséért és koordinálásáért, amelyek biztosítják,hogy az adatvédelmi direktívák teljesülnek. Másik angol megnevezése Privacy Officer.

Definíció/leírás

33. ábra − COBIT 5 szerepek és szervezeti struktúrák (folyt.)

• A SZERVEZETI STRUKTÚRÁK SZEMLÉLTETÉSE A COBIT 5-BENMint az a COBIT 5 folyamatmodell tárgyalása során szóba került, a COBIT 5: Megvalósítási folyamatok fejezetben található egy szemléltető célú folyamat referenciamodell, amelyben szerepeket és struktúrákat tartalmazó RACI táblázatok is szerepelnek. Ezek az előre definiált szerepek és struktúrák a 33. ábrán láthatók.Megjegyzések:• Az ábrán szereplő szerepek/struktúrák nem feltétlenül egyeznek meg a vállalatok által ténylegesen megvalósított

szerepekkel/struktúrákkal, de a struktúra vagy szerepkör céljainak meghatározása szempontjából minden vállalat számára értékes információt szolgáltatnak.

• A táblázat inkább szemléltető jellegű, nem célja egy egyetemes szervezeti felépítés előírása minden szervezet szá-mára.

COBIT 5 Megvalósítási tényezők: szervezeti kultúra, etika és viselkedés

A szervezeti kultúra, etika és viselkedés a vállalaton belüli egyéni és kollektív viselkedési formákra vonatkozik.

A szervezeti kultúra, etika és viselkedésmegvalósítási tényező specifikumai – az általános jellemzőkkel összehasonlít-va – a 34. ábrán láthatók.

34. ábra − COBIT 5 megvalósítási tényezők: szervezeti kultúra, etika és viselkedés

Meg

való

sítá

si té

nyez

ők

dim

enzi

ói



felek





• Eljárások: – Kommunikáció – Kikényszerítés – Ösztönzők és jutalmak – Tudatosság – Szabályok és normák – Bajnokok

• Munkatermékek (bemenetek, kimenetek)

Meg

való

sítá

si té

nyez

ők

telje

sítm

énym

ened

zs-

men

tje


igényeivel?







89

g. függeléK


A szervezeti kultúra, etika és viselkedés modell tartalmazza:• Érdekelt felek – A szervezeti kultúra, etika és viselkedés tényezőhöz kapcsolódó érdekelt felek lehetnek vállalaton

belül vagy azon kívül is. Vállalaton belül a teljes vállalat idetartozik, a vállalaton kívüli felek közé pedig szabályozó felek, mint a külső auditorok vagy a felügyeleti szervek tartoznak. Az érdekeltség kétrétű: egyes érdekelt felek, pl. a jogi képviselők, kockázatmenedzserek, HR-menedzserek, javadalmazási testületek és a menedzserek az elvárt viselkedési normák meghatározásával, bevezetésével és betartatásával foglalkoznak, míg a többi érdekelt félnek követnie kell ezeket a felállított szabályokat és normákat.

• Célok – A szervezeti kultúra, etika és viselkedés tényezőre vonatkozó célok a következőkhöz kapcsolódnak: – Szervezeti etika, amit azok az értékek határoznak meg, melyek szerint a vállalat élni akar. – Egyéni etika, melyet a vállalatban az egyes személyek egyéni értékei határoznak meg. Jelentős mértékben függ

olyan külső tényezőktől, mint a vallás, az etnikai hovatartozás, a társadalmi-gazdasági háttér, a földrajzi elhelyez-kedés és a személyes tapasztalatok.

– Egyéni viselkedések, melyek együttesen meghatározzák egy vállalat kultúráját. Sok tényező, mint az előző bekez-désben említett külső tényezők, ezen felül a vállalaton belül a személyek közötti kapcsolatok, a személyes ambíci-ók, célkitűzések irányítják a viselkedést. Néhány viselkedéstípus, mely releváns lehet ebben a kontextusban:• Kockázatvállalási viselkedés – Mekkora kockázatot képes a vállalat saját belátása szerint kezelni, és milyen

kockázatot hajlandó vállalni?• A szabálykövetési viselkedés – Az egyének milyen mértékben teszik magukévá, és/vagy tartják be a szabályza-

tot?• A negatív eredményekkel kapcsolatos viselkedés – Hogyan kezeli a vállalat a negatív eredményeket, vagyis

a veszteségeket, elszalasztott lehetőségeket? Tanul belőle és próbál javítani a működésén, vagy a probléma gyökérokának megkeresése nélkül felelősöket keres?

• Életciklus – A szervezeti kultúrának, etikai hozzáállásnak, egyéni viselkedéseknek stb., megvan a saját életcik-lusuk. Egy már meglévő kultúrából kiindulva egy vállalat meg tudja határozni, hogy milyen változtatásokra van szükség, és dolgozni tud megvalósításukon. Erre számos eszköz felhasználható, melyek a bevált gyakorlatokról szóló részben olvashatók.

• Bevált gyakorlatok – Egy vállalatban a kívánt viselkedés elérésére, ösztönzésére és fenntartására a következő be-vált gyakorlatok alkalmasak: – A vállalati értékek és az ezeken alapuló elvárt viselkedési normák kommunikálása a teljes vállalaton belül. – Az elvárt viselkedési normák tudatosítása, megerősítve a felső vezetés és más véleményvezérek példamutató

viselkedésével. – Megvalósítási tényezők az elvárt viselkedés bátorítására, és visszatartó eszközök annak kikényszerítésére.

A vállalat egyértelmű kapcsolatot teremt az egyéni viselkedés és a HR jutalmazási rendszere között. – Szabályok és normák, melyek még több útmutatást nyújtanak az elvárt szervezeti viselkedésre vonatkozóan.

Ezek egyértelműen kapcsolódnak azokhoz az alapelvekhez és a szabályzatokhoz, melyeket a vállalat megalkot.• Kapcsolat más megvalósítási tényezőkkel – A más megvalósítási tényezőkkel való kapcsolatok közé tartoznak:

– A folyamatokat a tökéletességig lehet tervezni, de ha a folyamatban érdekelt felek nem az eredeti szándéknak megfelelően hajtják végre a folyamat tevékenységeit – azaz viselkedésük nem megfelelő –, akkor a folyamat ered-ményei nem fognak megvalósulni.

– Hasonlóképpen, a szervezeti struktúrákat is meg lehet tervezni és fel lehet építeni, ahogy az a nagy könyvben meg van írva, de ha a döntéseiket nem hajtják végre – különböző személyes célok vagy az ösztönzők hiánya stb. miatt –, akkor az nem eredményez megfelelő vállalati IT irányítást és menedzsmentet.

– Az alapelvek és szabályzatok nagyon fontos eszközök a vállalati értékek és az elvárt viselkedés kommunikálásá-ra.


90

COBIT 5 Megvalósítási tényezők: információ

Bevezetés – Az információciklusAz információ mint megvalósítási tényező a vállalat számára releváns összes információval foglalkozik, nem csak az automatizált információval. Az információ lehet strukturált vagy nem strukturált, formalizált vagy nem formalizált.

Az információ a vállalat „információciklusának” egy adott állapotában van. Az információciklusban (35. ábra) az üzleti folyamatok generálják és dolgozzák fel az adatokat, információvá és tudássá alakítva azokat, majd ezekből értéket teremtenek a vállalat számára. Az információ mint megvalósítási tényező hatóköre főképp az információ- ciklus „információ” fázisára terjed ki, de a COBIT 5 lefedi az adat és a tudás aspektust is.

COBIT 5 Információ mint megvalósítási tényezőAz információ mint megvalósítási tényező jellemzői – az általános szempontok alapján – a 36. ábrán láthatók.Az információs modellből (IM) az alábbiak olvashatók ki:• Érdekelt felek – Lehetnek vállalaton belüli vagy vállalaton kívüli felek. Az általános modell azt is sugallja, hogy

az érdekelt felek azonosításán kívül azok érdekeit is meg kell határozni, tudniillik azt, hogy miért törődnek az infor-mációval, vagy miért érdekeltek az információban.Abban a tekintetben, hogy milyen, az információban érdekelt felek legyenek, különféle információval foglalkozó szerepkörök lehetnek, kezdve az adatokkal vagy információkkal mélyebb szinten foglalkozó speciális szerepkö-rökkel – mint a rendszermérnök, tulajdonos, adatkezelő, meghatalmazott, beszállító, kedvezményezett, modellező, minőségbiztosítási menedzser, biztonsági menedzser –, és folytatva az átfogóbb szerepkörökkel – például megkü-lönböztetve az információ létrehozóit, kezelőit és felhasználóit: – Információ-létrehozó, aki az információ létrehozásáért felel. – Információ-kezelő, aki az információ tárolásáért és fenntartásáért felel. – Információ-felhasználó, aki az információ használatáért felel.

E kategóriák meghatározott tevékenységekre utalnak az információval mint erőforrással kapcsolatban. A tevékenységek az információciklus egyes szakaszaiban eltérőek, ezért a szerepkörök megfelelő részletezettsé-gét az információmodell (IM) információciklusa alapján lehet azonosítani. Ez azt jelenti, hogy az információban érdekelt felek szerepeit az információ-életciklus fázisai alapján lehet meghatározni, pl. információ-tervezők, információ-megszerzők, információ-felhasználók. Ugyanakkor ez azt is jelenti, hogy az információ mint érdekelt fél dimenzió nem független dimenzió, azaz az életciklus különböző szakaszokban különböző érdekelt felek kapnak szerepet. Amíg a releváns szerepek az információ-életciklus fázisától függenek, az érdekek az informá-ciócélokkal kapcsolhatók össze.

11. példa − Minőség fejlesztése

Egy vállalat komoly minőségi problémákat tapasztal az új alkalmazásokkal vissza-visszatérő módon. Annak ellenére, hogy megfele-lő szoftverfejlesztési módszertant alkalmaznak, a túlságosan gyakori szoftverproblémák működési problémákat okoznak a napiüzletmenetben.

Egy vizsgálat kimutatja, hogy a fejlesztési csapat tagjainak valamint a vezetőinek az értékelése és díjazása a projektek határidőn belüli és költségtúllépés nélkül történő befejezésén alapul. Nem mérik a minőségi vagy az üzleti előnyökre vonatkozó követelmé-nyeket. Következésképpen a figyelmük középpontjában az időben történő használatba vétel és a fejlesztési költségek – például a tesztelési idő lerövidítésével megvalósuló – csökkentése áll. A vizsgálat ugyancsak megmutatja, hogy tulajdonképpen nem felelnek meg a bevezetett módszertannak és folyamatoknak, mivel az több időt venne igénybe a fejlesztési büdzséből (a minőség ellené-ben). Ráadásul a szervezeti struktúra olyan, hogy a fejlesztési terület hivatalos közreműködése véget ér akkor, amikor a kifejlesztett megoldást átadták az üzemeltetésnek. Onnantól kezdve a fejlesztés csak indirekt módon foglalkozik a fejlesztés eredményével, a bevezetett incidens- és problémakezelési folyamatokon keresztül.

A tanulság az, hogy jobb ösztönzőket kell használni a megoldásfejlesztő menedzserek és csapatok számára a minőségi munka ösztönzésére.


91

g. függeléK


• Célok – Az információs célok három minőség-aldimenzióra oszthatók:Belső minőség – Annak a mértéke, hogy az adatok értékei mennyire felelnek meg a tényleges vagy valós értékek-nek. Ez a következőket foglalja magában: – Pontosság – az információ mennyire helyes és megbízható. – Objektivitás – az információ mennyire elfogulatlan, előítéletektől mentes és pártatlan. – Hihetőség – az információ mennyire tekinthető igaznak és hitelesnek. – Hírnév – mennyire értékelik az információt tartalma vagy forrása alapján.

Kontextuális és megjelenési minőség – Annak a mértéke, hogy az információ mennyire használható a felhasználó számára a feladata elvégzésére, és mennyire érthető és egyértelmű módon van prezentálva, felismerve, hogy az információ minőségét a felhasználás kontextusában kell meghatározni. Ebbe az alábbiakat kell beleérteni: – Relevancia – Az információ az aktuális feladat szempontjából mennyire alkalmazható, és annak elvégzésében

mennyire nyújt segítséget. – Teljesség – Az információ mennyire nem hiányos, és az aktuális feladat szempontjából elég mélyreható, és min-

denre kiterjedő. – Aktualitás – Az információ a pillanatnyi feladat szempontjából mennyire aktuális. – Megfelelő mennyiségű információ – Az információ mennyisége mennyire megfelelő az aktuális feladat elvégzése

szempontjából. – Tömör megfogalmazás – Az információ mennyire tömören, lényegre törően kerül ismertetésre. – Következetes reprezentáció – Az információ mennyire egységes formátumban kerül prezentálásra.

35. ábra − COBIT 5 metaadat – információciklus

Üzleti folyamatokLétrehoz és feldolgoz Vezérel

Átalakít Átalakít Létrehoz

IT folyamatok

ÉrtékAdat

Információ Tudás

12. példa − IT-hoz kapcsolódó kockázat

Az IT-hoz kapcsolódó kockázattal kapcsolatos nem megfelelő vagy problematikus kultúra néhány szimptómája:• Távolság a valós kockázatvállalási képesség és a vonatkozó szabályozás között. Előfordulhat, hogy a menedzsment valódi viszo-

nya a kockázatokhoz elfogadhatóan agresszív és kockázatvállaló, az elkészített szabályzatok ugyanakkor egy sokkal konzervatí-vabb attitűdöt tükröznek. Így feszültség lesz az értékek és az értékek megvalósításához szükséges eszközök között, ami szük-ségszerűen konfliktushoz vezet. Konfliktusok keletkezhetnek például a menedzsment részére megállapított ösztönzők és a rosszul illeszkedő szabályzatok kikényszerítése közt.

• A „hibáztatás kultúrája”. Ezt a típusú kultúrát mindenképpen el kell kerülni; ez a releváns és hatékony kommunikáció leghaté-konyabb ellenszere. Egy hibáztató kultúrában az üzleti egységek hajlamosak ujjal mutogatni az IT-ra, amikor a projektek nem fejeződnek be időben, vagy nem teljesítik az elvárásokat. Ezáltal nem veszik figyelembe, hogy az üzleti terület részvétele a projekt vezetésében befolyásolja a projekt sikerét. Szélsőséges esetekben az üzleti terület egy olyan kudarcért is képes hibáztatni, ahol az elvárásokat nem is kommunikálta egyértelműen. A „hibáztatási játék” kizárólag a vállalati területek közötti hatékony kommuni-kációt csökkenti, tovább növelve az elmaradásokat. A vezetőségnek kell a hibáztatás kultúráját azonosítania és gyorsan közbelép-ni, ha az együttműködést meg akarja erősíteni a szervezetben.


92

– Értelmezhetőség – Az információ nyelvezete, a használt szimbólumok, és egységek mennyire megfelelőek, illetve a definíciók mennyire egyértelműek.

– Érthetőség – Az információ mennyire könnyen megérthető. – Egyszerű módosíthatóság – Az információ mennyire könnyen módosítható, és alkalmazható különböző felada-

tokra.Biztonsági/hozzáférhetőségi minőség – Annak a mértéke, hogy az információ mennyire elérhető és megszerezhe-tő. Ez a következőket tartalmazza: – Elérhetőség / időszerűség – Az információ szükség esetén mennyire elérhető vagy könnyen és gyorsan visszake-

reshető. – Korlátozott hozzáférés – Az információ hozzáférhetősége mennyire van megfelelően korlátozva az arra jogosult

felek számára.Az F függelék részletesen összehasonlítja a COBIT 5 információminőségi kritériumokat a COBIT 4.1 információ-kritériumokkal. Például a COBIT 4.1-ben definiált sértetlenséget a COBIT 5-ben szereplő teljesség és pontosság információcélok fedik le.

• Életciklus – Az információ szempontjából az egész életciklust figyelembe kell venni, és a ciklus különböző szaka-szai más és más megközelítést igényelhetnek. A COBIT 5 információ megvalósítási tényező a következő szakaszo-kat különbözteti meg: – Koncepcionális terv – Ebben a szakaszban az információ-erőforrás létrehozását és felhasználását készítik elő.

E fázis tevékenységei a célkitűzések meghatározásával, az információ architektúra megtervezésével és a standar-dok és definíciók (pl. adat definíciók, adatgyűjtési eljárások) kidolgozásával kapcsolatosak.

– Részletes terv – Kialakítás / Beszerzés – Ebben a szakaszban az információ-erőforrás beszerzése történik. E fázis tevékenységei

az adat rögzítésével, az adat vásárlásával és a külső fájlok betöltésével kapcsolatosak. – Felhasználás / Üzemeltetés, mely a következőkből áll:

• Tárolás – Az információ elektronikus vagy papíralapú tárolása (vagy akár az emberi emlékezetben). Ebben a fázisban az információ elektronikus tárolásával (pl. fájlok, adatbázisok, adattárházak) vagy a papíralapú infor-máció (pl. papírdokumentumok) tárolásával kapcsolatos tevékenységek tartoznak.

• Megosztás – Az információ valamely elosztási módszer segítségével történő elérhetővé tételének fázisa. E szakasz tevékenységei az információ célba juttatásával kapcsolatosak, pl. a dokumentumok terjesztése e-mailben. Az elektronikusan tárolt információk életciklusában ez a szakasz gyakran átfedésben van a tárolási szakasszal (pl. információ megosztása adatbázis-elérésen keresztül vagy fájl/dokumentum-szervereken).

36. ábra−COBIT 5 megvalósítási tényezők: információ

Meg

való

sítá

si té

nyez

ők

dim

enzi

ói



felek





• Eljárások: információ-jellemzők definiálása – Fizikai (hordozó, média) – Tapasztalati (felhasználói interfész) – Szintaktikai (nyelv, formátum) – Szemantikai (jelentés), típus, aktualitás, szint – Gyakorlati (felhasználás), ideértve a megőr-zést, állapotot, folytonosságot, újdonságot – Társadalmi (kontextus)

Meg

való

sítá

si té

nyez

ők

telje

sítm

énym

ened

zs-

men

tje


igényeivel?







93

g. függeléK


• Felhasználás – Ebben a fázisban az információt a célok megvalósításának érdekében használják fel. Az itt végezhető tevékenységek az információ bármilyen szintű felhasználásával kapcsolatosak lehetnek (pl. vezetői döntéshozatal, automatizált folyamatok futtatása), és olyan tevékenységek is idetartozhatnak, mint az informá-ció visszakeresése vagy egyik formából a másikba történő konvertálása.

A Taking Governance Forward értelmezésében az információ a felelős vállalatirányítás megvalósítási tényezője; így az IM-ben definiált információ felhasználásra úgy is lehet tekinteni, mint a vállalati irányításban érdekelt feleknek a szerepkörük ellátásához, a tevékenységeik elvégzéséhez és az egymással folytatott interakcióikhoz szükséges információ megszerzésére.

E szerepek, tevékenységek és kapcsolatok a 8. ábrán láthatók. Az érdekelt felek közötti interakciók olyan informá-cióáramlásokat igényelnek, melyek célja: a számonkérhetőség, a delegálás, a felügyelés, az iránymeghatározás, az összehangolás, a végrehajtás és az ellenőrzés. – Felügyelés – Ebben a szakaszban az információ-erőforrás folyamatos, helyes működését biztosítják, azaz fenn-

tartják értékét. E fázis tevékenységei az információ naprakészségének megtartásával és további információkeze-lési tevékenységekkel kapcsolatosak, mint pl. a javítás, tisztítás, egyesítés vagy a duplikált adatok eltávolítása az adattárházakban.

– Selejtezés – Ebben a szakaszban megszabadulnak az információktól, amikor már nincs rájuk szükség. E fázisban a tevékenységek az információk archiválásával vagy megsemmisítésével kapcsolatosak.

• Bevált gyakorlat – Az információ fogalmát a különböző szakterületek (pl. közgazdaságtan, kommunikációelmélet, információtudomány, tudáskezelés és információrendszerek) különbözőképpen értelmezik; éppen ezért nem léte-zik az információra egyetemesen elfogadott definíció. Az információ természetét azonban egyértelműsíteni lehet a tulajdonságainak meghatározásával és leírásával.

Az alábbi séma az információ tulajdonságainak rendszerezésére jött létre: hat szintből, vagy rétegből áll, amelyekkel az információ tulajdonságait lehet definiálni és leírni. Ez a hat szint a jellemzők sorozatát mutatja be, és kiterjed az információ fizikai világára is, ahol a tulajdonságokat az információ rögzítéséhez, tárolásához, feldolgozásához, terjesztéséhez és prezentációjához szükséges információs technológiákhoz és médiához kapcsolják, illetve kiterjed az információ társadalmi felhasználására, megértésére és az információval kapcsolatos tevékenységekre is.E rétegeket és információ jellemzőket az alábbiak szerint lehet meghatározni:• Fizikai réteg – Ebben a világban megy végbe az összes, empirikusan megfigyelhető jelenség.

– Információhordozó/média – Az információ fizikai hordozóját (pl. papír, elektronikus jelek, hanghullámok) azono-sító jellemző.

• Tapasztalati réteg – Az információ kódolásához felhasznált jelek empirikus megfigyelése, egymástól való megkü-lönböztetésük, és a háttérzajból történő kiszűrésük. – Információelérési csatornák – Az információhoz való hozzáférést biztosító csatornát (pl. felhasználói interfészek)

azonosító jellemző.• Szintaktikai réteg – A természetes vagy mesterséges nyelvekben a mondatok létrehozására vonatkozó szabályok és

alapelvek. A szintaxis az információ formájára vonatkozik. – Kódolás/nyelv – Az információ kódolásához használt megjelenítési nyelvet/formát és szabályokat, melyek megha-

tározzák, hogy a nyelv szimbólumainak kombinálásával hogyan hozhatók létre szintaktikai struktúrák – azonosí-tó jellemző.

• Szemantikai réteg – Azon szabályok és alapelvek összessége, melyek segítségével a szintaktikai egységekből érte-lemmel bíró jelentést lehet alkotni. A szemantika az információ jelentésére vonatkozik. – Információtípus – Az információ jellegét (pl. pénzügyi vagy nem pénzügyi információ; belső vagy külső eredetű

információ; előre jelzett/megjósolt vagy megfigyelt értékek; tervezett vagy realizált értékek) azonosító jellemző. – Információ aktualitása – Az információra vonatkozó időhorizontot azonosító jellemző, vagyis hogy az adott

információ a múltra, jelenre vagy jövőre vonatkozik. – Információszint – Az információ részletezettségének fokát írja le, pl. éves, negyedéves, havi értékesítések.

• Pragmatikai réteg – Azon szabályok és struktúrák összessége, melyek az emberi kommunikációban használatos, nagyobb nyelvi egységek létrehozását szabályozzák. A pragmatika az információ felhasználására utal. – Megőrzési időszak – Azt határozza meg, hogy mennyi ideig lehet az információt a megsemmisítésig megőrizni. – Információ állapota – Meghatározza, hogy az információ használatban van, vagy múltbéli információról van szó.


94

– Újdonság – Azonosítja, hogy az információ új tudást hoz létre, vagy egy már meglévő tudást erősít meg, azaz információ vagy konfirmáció.

– Folytonosság – Azonosítja azt az információt, melynek meg kellett előznie az információt (hogy ez utóbbit infor-mációként lehessen értékelni).

• Társadalmi réteg – A nyelvi szerkezeteknek a jeltudományok (szemiotikák) hétköznapi gyakorlatban történő fel-használásával társadalmilag felépített világ (pl. szerződések, törvények, kultúra). – Kontextus – A jellemző, mely azonosítja azt a környezetet, amelyben az információ értelmet nyer, amelyben hasz-

nálják, amelyben értéke van stb. (például kulturális környezet, témakör).

További gondolatok az információról – Az információba és a kapcsolódó technológiába történő befektetések üzleti terveken alapulnak, melyek magukba foglalnak költség-haszon elemzést is. A költségek és hasznok nem csupán a kézzelfogható, mérhető tényezőkre vonatkoznak, hanem az immateriális tényezőkre is, mint pl. versenyképesség, vásárlói elégedettség és technológiai bizonytalanság. Egy vállalat az információból csak az információ-erőforrás alkalmazásával, felhasználásával tud hasznot generálni, tehát az információ értéke kizárólag annak használatán (belső felhasználás vagy értékesítés) keresztül határozható meg, és nincs belső értéke. Az információból csak annak cselek-véssé tételével lehet értéket létrehozni.

Az IM egy új, különböző komponenseket tartalmazó, komplex modell. Továbbfejlesztése egy önálló publikációban fog megtörténni. A COBIT 5 felhasználók részére a 13., 14. és 15. példák teszik a modellt még kézzelfoghatóbbá, és a COBIT 5 keretrendszerben való jelentőségét még világosabbá.

COBIT 5 Megvalósítási tényezők: szolgáltatások, infrastruktúra és alkalmazások

A szolgáltatási képességek olyan erőforrásokra vonatkoznak, mint az alkalmazások és infrastruktúrák, amelyek az IT-val kapcsolatos szolgáltatások nyújtásához szükségesek.

A szolgáltatási képességek megvalósítási tényező specifikumai – az általános jellemzőkkel összehasonlítva – a 37. ábrán láthatók.

A szolgáltatások, infrastruktúra és alkalmazások modell tartalma:• Érdekelt felek – A szolgáltatási képességekben (a szolgáltatásokra, infrastruktúrára és alkalmazásokra vonatkozó,

összefoglaló fogalom) érdekelt felek lehetnek vállalaton belüliek vagy vállalaton kívüliek. A szolgáltatásokat belső vagy külső felek is nyújthatják – belső IT részlegek, üzemeltetési menedzserek, kiszervezett szolgáltatást nyújtó szolgáltatók. A szolgáltatások felhasználói szintén lehetnek vállalati – üzleti – felhasználók, és vállalaton kívüliek – partnerek, ügyfelek, szállítók. Valamennyi érdekelt fél érdekeit azonosítani kell, és vagy a megfelelő szolgáltatások előállítására kell összpontosítani, vagy arra, hogy az igényelt szolgáltatásokat a szolgáltatók biztosítsák.

• Célok – A szolgáltatási szint képesség céljait magukkal a szolgáltatásokkal – alkalmazások, infrastruktúra, tech-nológia –, valamint a szolgáltatási szintekkel lehet meghatározni, figyelembe véve, hogy mely szolgáltatások és szolgáltatási szintek a leggazdaságosabbak a vállalat számára. Mint ahogy arról már szó esett, a célok a szolgálta-tásokkal, a szolgáltatások nyújtásának módjával és eredményeikkel függnek össze, azaz hogy mennyire járulnak hozzá az üzleti folyamatok sikeréhez.

• Életciklus – A szolgáltatási képességek életciklussal rendelkeznek. A jövőbeli vagy tervezett szolgáltatási képessé-geket tipikusan cél-architektúrákkal írják le. Ez lefedi az olyan építőköveket, mint a jövőbeli alkalmazások, a cél-infrastruktúra modell, valamint az ezen építőkövek közötti kapcsolatokat és viszonyokat.

A kiindulási architektúra írja le a jelenleg használt, illetve működtetett IT szolgáltatási képességeket. A cél-architektú-ra időkeretétől függően, egy átmeneti architektúrát is meg lehet határozni, amely a vállalat kiindulási és a cél-architek-túrák közötti fokozatos átmenetét mutatja be.• Bevált gyakorlatok – A szolgáltatásképességekre vonatkozó bevált gyakorlat magában foglalja:

– Az architektúra-alapelvek definícióját – Az architektúra-alapelvek olyan átfogó irányelvek, amelyek a vállalaton belül az IT-val összefüggő erőforrások implementációját és felhasználását irányítják. Lehetséges architektúra-alapelvek például:


95

g. függeléK


13. példa − Az információ-specifikációk információs modellje

Egy új alkalmazás fejlesztésénél az IM segíthet az alkalmazás és a kapcsolódó információ- vagy adatmodellek specifikálásában.

Az IM információ-attribútumai használhatók az alkalmazás és az információt használó üzleti folyamatok számára a specifikálásban.

Például az új rendszer tervében és specifikációiban meg kell határozni a következőket:• Fizikai szint – Hol lesz az információ tárolva?• Empirikus szint – Hogyan lehet elérni az információt?• Szintaktikai szint – Hogyan lesz az információ strukturálva és kódolva?• Szemantikai szint – Milyen információ ez? Mi az információ szintje?• Pragmatikai szint – Mik a megőrzési követelmények? Milyen más információ szükséges ahhoz, hogy az információ hasznos és

használható legyen?

Ha kombináljuk az érdekelt felek dimenzióit az információ-életciklussal, akkor meg tudjuk határozni, hogy kinek, milyen hozzáférés szükséges az adathoz az információ életciklusa során.

Amikor az alkalmazást tesztelik, a tesztelők az információ-minőségi kritériumok alapján fejlesztik ki a mindenre kiterjedő tesztesetket.

14. példa − Az információ-modell használata a szükséges védelem meghatározására

Az IM attribútum dimenzió hasznos lehet a vállalati biztonsági csoportok számára. Amikor ugyanis feladatul kapják az információ védelmét, a következőket kell figyelembe venniük:• Fizikai szint – Hogyan és hol lesz az információ fizikailag tárolva?• Empirikus szint – Mik az információhoz való hozzáférés csatornái?• Szemantikai szint – Milyen típusú információ ez? Az információ jelenidejű, esetleg a múlthoz vagy a jövőhöz kapcsolódik?• Pragmatikai szint – Mik a megőrzési követelmények? Az információ történeti vagy üzemi?

Ezeknek az attribútumoknak a használata teszi lehetővé a felhasználó számára a védelmi szint és a szükséges védelmi intézkedé-sek meghatározását.

Az IM másik dimenzióját tekintve a biztonsági szakemberek ugyancsak átgondolhatják az információ-életciklus szakaszait, hiszenaz információt védeni szükséges valamennyi életciklus-szakasz alatt. A biztonság tulajdonképpen az információ tervezési fázisábankezdődik, és különböző védelmi mechanizmusokat igényel az információ tárolása, megosztása és megsemmisítése során. Az IM biztosítja az információ teljes életciklusa alatti védettségét.

• Újrafelhasználás – A cél- vagy átmeneti architektúrák részeihez közös architektúra elemeket kell tervezni és implementálni.

• Beszerzés vagy fejlesztés – A megoldásokat be kell szerezni, hacsak nincs jóváhagyott indok belső fejleszté-sükre.

• Egyszerűség – A vállalati architektúrát olyan egyszerűen kell megtervezni és karbantartani, amennyire csak lehetséges, a vállalati követelményeknek való megfelelés fenntartása mellett.

• Agilitás – A váltakozó üzleti igényeknek való hatékony és hatásos megfelelés érdekében a vállalati architektú-rának kellő agilitással kell rendelkeznie.

• Nyíltság – A vállalati architektúra támaszkodjon a nyílt iparági szabványok. – A legmegfelelőbb architektúra-szemléletekre vonatkozó vállalati definíciót kialakítása úgy, hogy a különböző

érdekelt felek igényeit kielégítsék.Ezek azok a modellek, katalógusok és mátrixok, amelyeket a kiindulási, cél, vagy átmeneti architektúrák leírására használnak; például egy alkalmazás architektúrát egy alkalmazási interfész ábrával lehet leírni, amely megmutatja a használatban lévő (vagy tervezett) alkalmazásokat és a közöttük lévő interfészeket.

– Architektúra nyilvántartás, amelyben a különböző típusú architektúra kimenetek tárolhatóak, beleértve az archi-tektúra-alapelveket és szabványokat, architektúra referenciamodelleket és más architektúra-termékeket, valamint a szolgáltatások építőköveit, mint a(z):• Üzleti funkcionalitást biztosító alkalmazások,• Technológiai infrastruktúra, beleértve a hardver, rendszerszoftver és hálózati infrastruktúrát,• Fizikai infrastruktúra.


96

37. ábra − COBIT 5 megvalósítási tényezők: szolgáltatások, infrastruktúra és alkalmazások

Meg

való

sítá

si té

nyez

ők

dim

enzi

ói



felek


(relevancia, hatásosság)Alkalmazások, Infrastruktúra, Technológia, Szolgáltatási szintek

• Hozzáférhetőség és biztonság



• Eljárások: architekturális alapelvek rögzítése, architekturális szempontok, szolgáltatási szintek

• Munkatermékek (bemenetek, kimenetek) Hivatkozások tára, Architektúra (cél, átmenet, alapváltozat)

Meg

való

sítá

si té

nyez

ők

telje

sítm

énym

ened

zs-

men

tje


igényeivel?






15. példa − Az információ modell használata az adatok könnyű felhasználhatóságának megállapítására

Egy üzleti folyamat (vagy alkalmazás) áttekintésekor, az IM segítségre lehet a folyamat által feldolgozott és létrehozott információ,és az alapul szolgáló információs rendszerek általános áttekintésére. A minőségi kritériumok használhatók az információ rendel-kezésre állásának az értékelésére – azaz hogy az információ teljes, a szükséges időben elérhető, tényszerűen pontos, releváns, a megfelelő mennyiségben áll rendelkezésre. Ugyancsak áttekinthetők a hozzáférési kritériumok – vagyis hogy az információ akkor áll rendelkezésre, amikor szükséges, és megfelelően védett.

Az áttekintés kiterjeszthető továbbá a reprezentációs kritériumokra, azaz hogy mennyire könnyű megérteni, értelmezni, használniés kezelni az információt.

Az IM információ-minőségi kritériumait használó vizsgálat a vállalat számára mindenre kiterjedő és átfogó képet biztosít arról, hogy egy üzleti folyamatban milyen az aktuális információ minősége.

– Szolgáltatási szinteket kell meghatározni, amelyeket a szolgáltatóknak teljesíteniük kell.Az architektúra-keretrendszerekre és szolgáltatásképességekre léteznek külső bevált gyakorlatok. Ezek segédletek, sablonok, vagy szabványok, amelyeket az architektúra termékek előállításának felgyorsítására lehet használni: – A TOGAF16 egy Technikai Referenciamodellt és egy Integrált Információs Infrastruktúra Referenciamodellt

tartalmaz. – Az ITIL átfogó útmutatást nyújt a szolgáltatások megtervezésére és üzemeltetésére.

• Kapcsolat más megvalósítási tényezőkkel – A más megvalósítási tényezőkkel való kapcsolat magában foglalja: – Az információ a szolgáltatási képességek egyike. A szolgáltatási képességeket folyamatok révén használják fel

belső és külső szolgáltatások létrehozására. – Egy szolgáltatás-orientált kultúra létrehozása során a kulturális és viselkedésbeli tényezőket is figyelembe kell

venni. – A COBIT 5-ben a vezetői eljárások és tevékenységek bemenetei és kimenetei közé tartozhatnak azok a szolgálta-

tásképességek, amelyekre bemenetként szükség van, vagy kimenetként állítják elő őket.


97

g. függeléK


COBIT 5 megvalósítási tényezők: emberek, készségek és kompetenciák

Az emberek, készségek és kompetenciák megvalósítási tényező jellemzői – az általános jellemzőkkel összehasonlítva – a 38. ábrán láthatók.Amit az emberek, készségek és kompetenciák modell mutat:• Érdekelt felek – A készségekkel és kompetenciákkal rendelkező felek lehetnek vállalaton belüliek és kívüliek is.

A különböző érdekelt felek különböző szerepeket töltenek be egy vállalatban – üzleti menedzserek, projektme-nedzserek, partnerek, versenytársak, toborzók, trénerek, fejlesztők, technikai IT specialisták stb. – és mindegyik szerep más és más készségeket követel meg.

• Célok – A készségek és kompetenciák terén meghatározott célok kapcsolatban állnak a folyamattevékenységekkel, szervezeti szerepekkel, stb. Ezek sikeres biztosításához és végrehajtásához szükséges a megfelelő képzettségi és kvalifikációs szint, technikai készségek, tapasztalati szint, tudás és viselkedésbeli készségek. A humánerőforrás terén meghatározott célok között találjuk a munkaerő rendelkezésre állásának és fluktuációjának a helyes szintjét.

• Életciklus: – A készségeknek és kompetenciáknak is van életciklusuk. Egy vállalatnak tisztában kell lennie azzal, hogy milyen

szinten vannak megalapozva a jelenlegi készségei, és meg kell azt is terveznie, hogy mire van szüksége. Ezt többek között a vállalat stratégiája és céljai határozzák meg. A készségeket fejleszteni kell (pl. tréningekkel), vagy meg kell szerezni (pl. új munkaerő felvétele), majd különböző szerepkörökben be kell építeni a vállalat szer-vezeti struktúrájába. Előfordul, hogy nincs többé szükség készségekre, pl. mert egy tevékenység automatizálva lett, vagy kiszervezték.

– Időszakosan, pl. évente, a vállalatnak fel kell mérnie a készségek szintjét, hogy megérthesse a végbement fejlő-dést, és ezt felhasználhassa a következő időszak tervének összeállításában.

– Ez a felmérés segítséget nyújthat az emberi erőforrás jutalmazási és elismerési rendszerének kialakításában is.• Bevált gyakorlatok:

– A készségekhez és kompetenciákhoz használható bevált gyakorlatok sorába tartozik az érdekelt felek különböző szerepeinek betöltéséhez szükséges készségek elsajátítására vonatkozó objektív követelmények meghatározása. Ezt különböző készség-kategóriák és azokon belül különböző készség-szintek segítségével lehet leírni. Minden kategória minden szintjén külön definiálni kell a készségeket. A kategóriák a különböző IT tevékenységekkel függenek össze, mint pl. információ menedzsment, üzleti elemzés.

– Egyéb bevált gyakorlatok:• A bevált gyakorlatokhoz olyan külső forrásokat is igénybe lehet venni, mint a Skills Framework for the

Information Age (SFIA)17, mely részletes definíciókat nyújt a különböző készségekről.• A COBIT 5 folyamatterületeire leképezett, lehetséges készségkategóriákra nyújt példákat a 39. ábra.

• Kapcsolat más megvalósítási tényezőkkel – A más megvalósítási tényezőkkel való kapcsolat tartalmazza: – Mely készségek és kompetenciák szükségesek a folyamattevékenységek végrehajtásához és a döntéshozatalhoz

a szervezeti struktúrákban. Másképpen fogalmazva, néhány folyamat célja a készségek és kompetenciák életcik-lusának támogatása.

– A viselkedési készségeken keresztül létezik kapcsolat a kultúra, etika és viselkedés tényezők között is. A viselke-dési készségek határozzák meg az egyén viselkedését, és a viselkedési készségekre befolyással vannak a szerve-zeti és egyéni etikai tényezők.

– A készségdefiníciók egyben információk, amelyekre az információ megvalósítási tényező bevált gyakorlatait kell figyelembe venni.

16 www.opengroup.org/togaf


98

38. ábra − COBIT 5 megvalósítási tényezők: emberek, készségek és kompetenciák

Meg

való

sítá

si té

nyez

ők

dim

enzi

ói



felek

• Valódi minőség Oktatás és minősítés, Technikai készség

• Kontextuális minőség (relevancia, hatásosság) Tapasztalat, tudás, viselkedési készség, elérhetőség, forgalom

• Hozzáférhetőség és biztonság



• Eljárások: a szerepkörök betöltéséhez szükséges készségek rögzítése, képzettségi szintek, képzettségi kategóriák

• Munkatermékek (bemenetek, kimenetek) készség definíciók

Meg

való

sítá

si té

nyez

ők

telje

sítm

énym

ened

zs-

men

tje


igényeivel?






Folyamat terület

Értékelés, irányítás és felügyelet (EDM)

Illesztés, tervezés és szervezés (APO)

Felügyelet, értékelés és elemzés (MEA)

Szállítás, szolgáltatás és támogatás (DSS)

Kialakítás, beszerzés és megvalósítás (BAI)

• A vállalati IT irányítása

• IT szabályozás• IT stratégia• Vállalati architektúra• Innováció• Pénzügyi menedzsment• Portfóliókezelés

• Megfelelőség felülvizsgálata• Teljesítmény-figyelés• Kontrollok auditálása

• Rendelkezésre állás menedzsment• Problémakezelés• Service desk és incidens-kezelés• Biztonsági adminisztráció• IT üzemeltetés• Adatbázis-adminisztráció

• Üzleti elemzés• Projektmenedzsment• Felhasználhatóság értékelése• Követelmények meghatározása és kezelése• Programozás• A rendszerek ergonomikus kialakítása• Szoftver kivonása a használatból • Kapacitáskezelés

Példa a készségkategóriákra

39. ábra − COBIT 5 készség kategóriák


99

H. függeléK

szószedet

H. függeléK

szószedet

Alapelv

Bemenetek és kimenetek

COBIT

Alkalmazás architektúra

Befektetési portfólió

Azonosítás

Célkitűzés

Bevált gyakorlat

Architektúra bizottság

Belső kontrollok rendszere

Az irányítás és menedzsment egyik megvalósítási tényezője. Magában foglalja a vállalat által elfogadott értékeket és alapvető feltételezéseket, a véleményeket, amelyek a vállalati döntéshozást irányítják és korlátok közé fogják a vállalati belső és külső kommunikációt, és a gondoskodást a más tulajdonát képező vagyonelemekről.Például etikai karta, vagy a társadalmi felelősségvállalás kartája.

A folyamat munkatermékei, amelyek a folyamat működésének támogatásához szükségesek. Megjegyzés: A bemenetek és kimenetek lehetővé teszik a kulcsfontosságú döntéseket, feljegyzést és audit nyomot biztosítanak a folyamat- tevékenységekről, és lehetővé teszik az utánkövetést incidens bekövetkezésekor. A bemeneteket és a kimeneteket a kulcsfontossá-gú menedzsment-eljárások részeként határozzák meg, tartalmazhatnak csak a folyamatban használt munkatermékeket és gyakran fontos bemenetek más folyamatokhoz. A COBIT 5 bemeneteit és kimeneteit nem szabad teljes körű listának tekinteni, hiszen további informá-ció-áramlásokat lehet meghatározni konkrét vállalati környezettől és folyamat-keretrend-szertől függően.

1. COBIT 5: Korábbi megnevezése Control Objectives for Information and related Technology (COBIT); az ötödik verzióban már csak rövidítés formájában használatos. Átfogó, nemzet-közileg elfogadott keretrendszer a vállalati információ és technológia (IT) irányítására és menedzselésére, amely segíti a vállalat vezetőit és vezetőségét az üzleti és kapcsolódó IT célok megfogalmazásában és elérésben. A COBIT öt alapelvet és hét megvalóstási té-nyezőt ír le, amelyek segítik a vállalatokat a jó IT-hoz kapcsolódó irányítási és menedzs-ment gyakorlatok fejlesztésében, implementációjában, valamint folyamatos javításában és felügyelésében. (Megjegyzés: A COBIT korábbi verziói az IT folyamatokhoz kapcsolódó kontroll célkitűzésekre, az IT folyamatok vezetésére és kontrolljaira, és az IT irányítási szempontjaira fókuszáltak. A COBIT keretrendszer alkalmazását és használatát a támoga-tó termékek egyre növekvő családja segíti elő. További információért lásd www.isaca.org/cobit

Azoknak a képességeknek a logikai csoportosítása, amelyek az információ-feldolgozáshoz és a vállalat céljainak eléréséhez szükséges objektumokat kezelik.

A mérlegelt és/vagy végrehajtott befektetések együttese.

Egy felhasználó azonosságának és felhatalmazásának ellenőrzése, hogy a számítógépen tárolt információkhoz hozzáférhet-e.Megjegyzés: Az azonosítás célja, hogy védelmet nyújtson a csalárd bejelentkezési kísérle-tekkel szemben. Utalhat egy adatelem helyességének ellenőrzésére is.

A kívánt eredmény megállapítása.

Olyan tevékenység vagy folyamat, amelyet már több vállalat sikeresen alkalmazott, és amely megbízható eredményeket hozott létre.

Azoknak az érdekelt feleknek és szakértőknek a csoportja, akik számon kérhetők a vállalati architektúrával kapcsolatos ügyekért és döntésekért, illetve az architektúrára vonatkozó szabályzatok és szabványok kijelöléséért.

Azok a szabályzatok, eljárások, tervek és eljárások, illetve szervezeti struktúrák, amelyek kialakítása megfelelő bizonyosságot nyújt, hogy az üzleti célokat el fogják érni, és a nem kívánatos eseményeket megelőzik, vagy felderítik és kijavítják.

KIFEJEZÉS DEFINÍCIÓ


100

COBIT


2. COBIT 4.1 és az előzőek: Korábbi megnevezése Control Objectives for Information and related Technology (COBIT). Átfogó, nemzetközileg elfogadott folyamat keretrendszer a vállalati információ és technológia (IT) irányítására és menedzselésére, amely segíti a vállalat vezetőit és menedzsmentjét az üzleti és kapcsolódó IT célok megfogalmazásában és elérésben azáltal, hogy egy átfogó IT menedzsment, vezetés, kontroll és bizonyos-ságnyújtási modellt kínál. A COBIT leírja az IT folyamatokat és a kapcsolódó kontroll célkitűzéseket, a menedzsment irányelveket (tevékenységek, számon kérhetőség, felelősségek és teljesítmény mérőszámok) és az érettségi modelleket. A COBIT segíti a vállalat vezetését a jó IT-hoz kapcsolódó gyakorlatok fejlesztésében, implementációjában, a folyamatos javításban és felügyelésében. Megjegyzés: A COBIT keretrendszer alkalma-zását és használatát útmutatók támogatják a vezetők és menedzsment számára [Board Briefing on IT Governance, 2. kiadás], az IT irányítást implementálók részére [COBIT Quickstart, 2. kiadás; IT Governance Implementation Guide: Using COBIT and Val IT, 2. kiadás; és COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance], és az IT bizonyosságnyújtási és auditor szakemberek számára [IT Assurance Guide Using COBIT ]. Léteznek továbbá olyan útmutatók, amelyek elősegítik egyes törvényi és szabályozási követelményekre történő alkalmazását [pl. IT Control Objectives for Sarbanes-Oxley, IT Control Objectives for Basel II ], és az IT biztonságra történő vonatkoztatását [COBIT Security Baseline]. Elkészült a COBIT megfeleltetése más keretrendszerekkel és szabványokkal, mely bemutatja az IT vezetés életciklusának teljes támogatását, és elősegíti a használatát olyan vállalatok esetében, amelyek több IT-hoz kapcsolódó keretrendszert és szabványt alkalmaznak.

Elszámoltatható fél (RACI)

Felelős vállalatirányítás

Folyamatképesség

Folyamat (képességi) jellemző

Folyamat

Értékteremtés

Érdekelt fél

Eredmények megvalósítása

Felelős

Etikai kódex


Erőforrás

Az az egyén, csoport vagy entitás, amely végső soron felelős egy téma, folyamat vagy ha-tókör tekintetében. A RACI mátrix adja meg a választ, hogy kin lehet számon kérni a feladat sikeres elvégzését.

Az a rendszer, amely alapján a vállalatokat irányítják és ellenőrzik. Az igazgatótanács felel a vállalat irányításáért. Ez magában foglalja azokat a vezetői és szervezeti struktúrákat, illetve folyamatokat, amelyek biztosítják a vállalat stratégiai terveinek és célkitűzéseinek fenntar-tását és kiterjesztését.

ISO/IEC 15504: A folyamatnak azon jellemzője, hogy miként képes megfelelni az aktuális vagy tervezett üzleti célkitűzéseknek.

ISO/IEC 15504: Bármely folyamatra alkalmazható mérhető folyamatjellemző.

A folyamat általánosságban tevékenységek összessége, amelyet befolyásolnak a vállalat szabályzatai és eljárásai, és amely számos forrásból kap bemenetet (beleértve más folya-matokat), majd feldolgozza a bemeneteket és kimeneteket eredményez. Megjegyzés: A fo-lyamatok létezésének egyértelmű üzleti oka van, a folyamatoknak számon kérhető felelőse van, a folyamat végrehajtásához kapcsolódóan egyértelmű szerepek és felelősségek, illetve eszközök állnak rendelkezésre a folyamatok teljesítményének felügyelésére.

Egy vállalat fő irányítási célkitűzése, amely akkor valósul meg, amikor a három alapvető cél (eredmények megvalósítása, kockázat és erőforrás optimalizálás) mind egyensúlyban vannak.

Bárki, aki felelős a vállalatért, elvárása van a vállalattól, vagy más érdekeltsége van a válla-latban. Például a részvényesek, felhasználók, kormányzat, szállítók, vevők és a nyilvánosság.

Az irányítás egyik célja. A vállalat számára újabb eredményeket teremteni, illetve fenntartani és kiterjeszteni az eredmények meglévő formáit, valamint felszámolni a kellő értéket nem teremtő kezdeményezéseket és eszközöket.

Azok a személyek a RACI táblázatban (felelős, elszámoltatható, konzultálandó, tájékoztatott), akiknek a tevékenységek sikeres végrehajtását kell biztosítaniuk.

A munkatársak egyéni és szervezeti viselkedését befolyásolni hivatott dokumentum. De-finiálja a szervezeti értékeket és az egyes szituációkban követendő szabályokat. Az etikai kódex célja, hogy segítse a vállalatban azokat, akik döntéseket hoznak, hogy különbséget tudjanak tenni „jó” és „rossz” között, és hogy a döntéseik során alkalmazzák ezt a tudást.

Az irányítás egyik célkitűzése. Magában foglalja a hatékony, hatásos és felelős erőforrás-felhasználást – humán, pénzügyi, eszközök, létesítmény stb.

Bármely vállalati vagyonelem, amely segíti a szervezetet céljai megvalósításában.


101

H. függeléK

szószedet


Folyamat-cél

Irányelv

Készség

Kimenet

Illesztés

IT alkalmazás

Kiindulási architektúra

Kockázat

Kockázatkezelés

Kompetencia

Kontroll

Információ

Irányítás

IT cél

Irányítási keretrendszer

Irányítási / menedzsment gyakorlat

IT szolgáltatás

A folyamat kívánt eredményét leíró állítás. Az eredmény lehet belső munkaanyag, jelentős állapotváltozás vagy más folyamatok képességeinek jelentős növelése.

A menedzsment által formálisan kifejezett szándék és irány.

Tanult képesség előre meghatározott eredmények elérésére.

lásd Bemenetek és Kimenetek

Annak az állapotnak az elérése, amikor a vállalati IT irányítási és menedzsment megvalósí-tási tényezők elősegítik a vállalati célok és stratégiák megvalósulását.

Az üzleti folyamatok részét képező elektronikus funkcionalitás, melyet az IT valósít meg vagy támogat.

Az üzleti rendszerelemek struktúrájának leírása, amely az architektúra felülvizsgálat és újratervezés alapjául szolgál.

Egy esemény hatásának és bekövetkezési valószínűségének a szorzata. (ISO/IEC 73)

Az irányítási célok egyike. Magában foglalja a kockázat felismerését; a kockázat hatásának és bekövetkezési valószínűségének felmérését; és a kockázatkezelési stratégiák kialakítását, mint például a kockázat elkerülését, a kockázat hatásának mérséklését és/vagy a kockázat áthárítását, a vállalat kockázatvállalási hajlandóságának megfelelően.

Képesség egy adott feladat, tevékenység vagy funkció sikeres elvégzésére.

A kockázatkezelés eszközei, beleértve a szabályzatokat, eljárásokat, útmutatókat, vagy szer-vezeti struktúrákat, amelyek adminisztratív, technikai, menedzsment vagy jogi természetűek lehetnek. Ugyancsak használjuk a védelmi- vagy ellenintézkedés szinonimájaként is.

Vagyonelem, mely más fontos üzleti vagyonelemhez hasonlóan alapvető fontosságú a vállalat üzleti tevékenységéhez. Számos formában létezhet: lehet papírra nyomtatva vagy írva, elektronikusan tárolva, postán vagy elektronikusan küldve, filmen bemutatva, vagy beszélgetésben elmondva.

Az irányítás biztosítja, hogy az érdekelt felek igényeinek, követelményeinek és lehetőségei-nek kiértékelése alapján kiegyensúlyozott és elfogadott vállalati célokat határozzanak meg, valamint a priorizálás és a döntéshozatal segítségével meghatározzák az irányt; illetve hogy felügyeljék a teljesítményt és a megfelelést az elfogadott irányvonal és célok alapján.

Egy állítás, mely leírja a vállalati IT által elérni kívánt eredményt a szervezet céljainak támo-gatása terén. Az eredmény lehet egy belső munkaanyag, egy jelentős állapotváltozás vagy képességnövekedés.

A keretrendszer komplex kérdések megoldására vagy kezelésére szolgáló struktúra. Az irányítás egyik megvalósítási tényezője. Koncepciók, feltételezések és gyakorlatok egysége, mely meghatározza, hogy miképpen lehet valamit megközelíteni és megérteni, illetve meg-határozza az érintett entitások egymáshoz való viszonyát, szerepeiket és a határokat (hogy az irányítási rendszer mit tartalmaz és mit nem).Például ilyen a COBIT vagy a COSO belső kontroll – integrált keretrendszere.

rányítási / menedzsment gyakorlat: Az irányítási és menedzsment gyakorlatok minden COBIT folyamatra vonatkozóan meghatározzák azokat a magas szintű követelményeket, melyek biztosítják a vállalati IT hatékony és gyakorlatias irányítását és menedzselését. Az irányító testületek és a menedzsment cselekvési tervei.

Az IT infrastruktúra és alkalmazások ügyfeleknek történő, napi szintű biztosítása, és a használatukkal kapcsolatos támogatás - például service desk, eszközök biztosítása és mozgatása, valamint hozzáférés engedélyezés.

Az irányítás biztosítja, hogy a vállalat eléri a céljait azáltal, hogy kiértékeli az érdekelt felek igényeit, követelményeit és lehetőségeit; meghatározza az irányt a priorizálás és a döntés-hozatal révén; valamint felügyeli a teljesítményt, a megfelelőséget és az előrehaladást a tervekhez képest. A legtöbb vállalatnál az irányítás az elnök vezetése alatt álló igazgatóta-nács felelőssége.

Irányítás elszámoltathatósága


102


Minőség

Szervezeti kultúra

Szolgáltatási katalógus

Szolgáltatások

Mérőszám

Menedzsment

Modell

Szervezeti struktúra

Tájékoztatott fél (RACI)

Teljes gazdasági életciklus

Program- és projektmenedzsment iroda (PMO)

RACI mátrix

Szervezetirányítási megvalósítási tényező

Konzultálandó (RACI)

Környezet

Alkalmasság egy célra (eléri a megkívánt értéket).

Viselkedések, hiedelmek, feltételezések, attitűdök és cselekvési módok mintázata.

Az ügyfelek rendelkezésére álló, strukturált információ valamennyi IT szolgáltatásról.

lásd IT szolgáltatás.

Olyan számszerűsíthető entitás, amely lehetővé teszi egy folyamatcél teljesülésének a mé-rését. Megjegyzés: A mérőszám legyen SMART – Specifikus, Mérhető, Cselekvési reAkciót eredményező, Releváns és akTuális. Akkor teljes a mérőszámra vonatkozó útmutató, ha meghatározza a használt egységet, a mérés gyakoriságát, az ideális célértéket (ha ez alkal-mazható), illetve a mérés és az értékelés értelmezésének a folyamatát.

Az irányító testület által kijelölt iránnyal összhangban tevékenységeket tervez, kialakít, vezet és felügyel a vállalati célok megvalósítása érdekében.

Alkotóelemek adott készletének leírása, amely megadja az alkotóelemek egymáshoz való vi-szonyát abból a célból, hogy bemutassa egy objektum, rendszer vagy koncepció működését.

Irányítási és menedzsment megvalósítási tényező. Magában foglalja a vállalatot, a struktúráit, hierarchiáit és függőségi kapcsolatait. Például az irányító bizottság.

A RACI táblázatban (felelős, elszámoltatható, konzultálandó, tájékoztatott) azokra a szemé-lyekre utal, akiket naprakészen tartanak egy tevékenység haladásáról (egyirányú kommuni-káció).

Az időszak, amely során egy befektetési program kapcsán lényeges üzleti előnyöket várnak és/vagy amely során lényeges kiadások (beleértve a befektetések, a működtetés és meg-szüntetés költségeit) felmerülésével számolnak.

A program- és projektmenedzserek támogatásáért felelős funkció, amely információt gyűjt, értékel és jelent a programokról, valamint a hozzájuk tartozó projektekről.

Megmutatja, hogy ki a felelős, elszámoltatható, konzultálandó, illetve tájékoztatott egy szer-vezeten belül.

Azok a megfogható vagy nem megfogható dolgok, melyek segítik a hatékony irányítás meg-valósítását.

A RACI táblázatban (felelős, elszámoltatható, konzultálandó, tájékoztatott) azokra a sze-mélyekre utal, akiknek egy tevékenységgel kapcsolatban kikérik a véleményét (kétirányú kommunikáció).

Valamennyi belső és külső tényező, amely befolyásolhatja vagy meghatározhatja, hogy egy vállalat, entitás, folyamat vagy egyén hogyan cselekszik. Megjegyzés: A környezethez tarto-zik:a) technológiai környezet [technológiai tényezők, amelyek a vállalat azon képességét befo-

lyásolják, hogy az adatokból értéket nyerjenek]; b) adat környezet [adat pontosság, rendelkezésre állás, aktualitás és minőség]; c) képességek és tudás [általános tapasztalat és analitikus, technikai és üzleti képességek];d) szervezeti és kulturális környezet [politikai tényezők, a vállalat az adatokat vagy az intuíci-

ót részesíti előnyben]; e) stratégiai környezet [a vállalat stratégiai céljai].

Költségfelosztás A kiadások leosztása a költségokozó szervezeti egységekre egy vállalaton belül.Megjegyzés: A költségfelosztás fontos, mert e szabályozás nélkül hamis kép keletkezhet egy termék vagy szolgáltatás jövedelmezőségéről, amennyiben bizonyos kulcsfontosságú kiadásokat figyelmen kívül hagynak vagy önkényesen számolnak el.


103

H. függeléK

szószedet


Tulajdonos

Vezérlő

Üzleti folyamatkontroll

Vállalati cél

Üzleti cél

Üzletmenet-folytonosság

Vállalati IT irányítása

Személy vagy csoport, amely tulajdonában tartja vagy birtokolja egy vállalat, entitás vagy vagyonelem jogait és kötelezettségeit.Megjegyzés: például ilyen a folyamatfelelős és a rendszerfelelős.

Külső és belső tényezők, amelyek egy vállalat vagy egyének cselekedeteit, illetve változásait elindítják vagy befolyásolják.

Szabályzatok, eljárások, gyakorlatok és szervezeti struktúrák, amelyeket arra terveztek, hogy ésszerű bizonyosságot nyújtsanak egy üzleti folyamat kitűzött céljainak megvalósításá-ra.

lásd Üzleti cél

A vállalati küldetés lefordítása szándéknyilatkozatról teljesítmény célokra és eredményekre.

Kiesés megelőzése, a kiesés kockázatának és hatásának a csökkentése, illetve a kiesést követő visszaállítás. Az „üzleti helyreállítási terv”, a „katasztrófa utáni helyreállítási terv” és a „szükséghelyzetre felkészülési terv” fogalmak is ebbe a fogalomkörbe tartoznak. Mivel ezek főként a folytonosságnak a visszaállítási oldalára fókuszálnak, ezért külön figyelembe kell venni a „hibatűrés” szempontját is.

Az irányításnak az a területe, mely biztosítja, hogy az információk és a kapcsolódó techno-lógiák támogassák és lehetővé tegyék a vállalati stratégia megvalósítását és a vállalati célok elérését. Továbbá magában foglalja az IT funkcionális irányítását, azaz annak biztosítását, hogy az IT képességek hatékonyan és eredményesen álljanak rendelkezésre.

Tevékenység A COBIT értelmezésében a folyamatot működtető fő cselekvés. Irányt mutat a menedzsment gyakorlatok megvalósításához, melyek a sikeres vállalati IT irányításhoz és menedzsmenthez szükségesek. A tevékenységek:• Meghatározzák az irányítási-, vagy menedzsment gyakorlat megvalósításához szükséges

és elégséges, cselekvés-orientált megvalósítási lépések körét.• Figyelembe veszik a folyamat bemeneteit és kimeneteit,• Általánosan elfogadott szabványokon és bevált gyakorlatokon alapulnak,• Segítik a szerepek és felelősségek egyértelmű meghatározását,• Nem előíró jellegűek, és a vállalat számára megfelelő, konkrét folyamatokká alakítandók

és fejlesztendők.


104



vállalati it irányítás és menedzsment üzleti keretrendszere · jamie pasfield, itil v3, msp,...

Documents