Korporativno upravljanje informatikom i IT revizija (IT Governance, IT Risk Management, IT Audit) PDS Menadžment poslovnih sustava FOI, Varaždin Kolegij: IS za poslovno upravljanje Prof. dr. sc. Mario Spremić Ekonomski fakultet Zagreb Copyright © dr. M. Spremić

Teme Korporativno upravljanje informatikom Upravljanje IT rizicima i kontrole informacijskih sustava Revizija informacijskih sustava Metode: CobiT, ITIL, Val IT, SoX, ISO 17799, ISO 27001, IT Balanced Scorecard

1. Tema: Korporativno upravljanje informatikom Što je IT Governance? Strateško planiranje informatike Kako odrediti ‘optimalnu’ ulogu informatike u poslovanju? Kako ocijeniti uspješnost provedbe strategije informatike Metode: CobiT, Val IT, ITIL, IT Balanced Scorecard

Korporativno upravljanje i informatika Je li nam IT/IS važna u poslovanju? Zašto i u kojoj mjeri nam treba IT/IS? Koja je poslovna vrijednost IT/IS? Koji su rizici korištenja IT/IS? Kakva je kvaliteta usluge koju IT/IS nudi? Kako učinkovito i optimalno koristiti IT/IS u organizaciji? Što ćemo (možemo li) bez IT/IS? Kako (koliko) uložiti u IT/IS? Koliki je povrat ulaganja u IT/IS? Je li trenutna informacijska infrastruktura usklađena s potrebama i ciljevima poslovanja? Znamo li odrediti prioritetne IT/IS projekte i možemo li procijeniti njihov doprinos poslovanju? Može li naša informacijska infrastruktura odgovoriti i budućim potrebama poslovanja? Koja IT/IS misija, ciljevi, strategije i arhitektura su nužni da bi IT/IS bio podrška budućem poslovanju?

Što je korporativno upravljanje informatikom (IT Governance)? Skup tehnika i metoda kojima najviši menadžment 'ovladava' primjenom informatike u poslovanju, ali i preuzima odgovornost za provedbu informatičkih procesa i svih aktivnosti. To je sastavni dio procesa korporativnog upravljanja.

IT Governance – korporativno upravljanje informatikom Sarbanes-Oxley zakon, 2002: Izvršni menadžment i najviša tijela upravljanja kompanijom postaju odgovorna za sva važna pitanja upravljanja informatikom, poput: donošenje i implementacije strategije informatike, čvrsto povezivanje strategije poslovanja i strategije informatike, odnosno određivanje optimalne uloge informatike u poslovanju, donošenje metrika kojima se mjeri utjecaj informatike na poslovanje i mjeri poslovna vrijednost informatike, korporacijsko i sveobuhvatno upravljanje informatičkim rizicima, učinkovito upravljanje informatičkim projektima i ulaganjima, i odgovornost za učinkovitost sustava informatičkih kontrola.

Što obuhvaća korporativno upravljanje informatikom? Povezivanje poslovne strategije i strategije informatike (Strategic Alignment) Informatika kao funkcija koja stvara novu vrijednost (Value Delivery) Optimalna ulaganje i dobro upravljanje kritičnim informatičkih resursima – ljudima, mrežom, podacima, aplikacijama, projektima, infrastrukturom (Resource Management) Razumijevanje i upravljanje korporativnim rizicima, ‘corporate appetite for risk’, sustav stalnog praćenja razina rizika, određivanje protumjera (Risk Management) Praćenje performansi poslovanja i mjerenje uspješnosti - provedbe strategije, projekata, praćenje performansi poslovnih procesa i/ili usluga, itd. (Performance Measurement)

IT je više nego ikad kritična za poslovanje Što CEOs misle o IT? IT je više nego ikad kritična za poslovanje 87% IT je važan dio poslovne strategije 63% IT je redovita ili stalna tema Uprave CEOs imaju pozitivniji stav o IT-u nego CIOs IT/telekom i financijske usluge imaju bolje rezultate u provedbi IT strategije Upravljanje ljudskim resursima najveći IT problem IT outsourcing je ‘out’

Ciljevi IT ulaganja

Problemi oko IT ulaganja Slab ROI, neadekvatno mjerenje produktivnosti IT ulaganja Više od 30% projekata – negativni ROI IT i poslovna strategija nisu usklađeni (40%)

IT Governance i CEO

Koje probleme ima CIO?

Koliko IT doprinosi boljim poslovnim rezultatima (Value of IT)?

Odgovornost za vođenje IT-a

Korporativno upravljanje informatikom - strategic alignment Nedostaci i problemi postojećeg IS Ciljevi, razlozi, očekivani učinci novog IS Scenariji, opcije Plan projekta, studija izvedivosti (tehnološka, financijska, organizacijska) Detaljna financijska analiza svake opcije (TCO, ROI, IRR, CBA) u > 70% IT investicija ne postavlja se pitanje učinkovitosti u > 80% IT investicija CIO ne razumije vezu poslovanje – IT 83% CIO bavi se samo tehničkom stranom primjene IT-a i interesiraju ih poslovni učinci Odabir optimalne, preporuke za implementaciju i vođenje projekta ‘Skladan brak’ poslovnih ciljeva i IT Usklađivanje ulaganja u IS obzirom na poslovne ciljeve primjer SPIS-a

Različite strategije poslovanja i strategije IS

Problemi u razvoju strategije IS ‘Success factors’ za SISP Uključenost i predanost najvišeg menadžmenta Podrška najvišeg menadžmenta ‘Sponzorstvo’ menadžmenta Imamo li poslovnu strategiju? Dobro analizirati poslovanje, a ne samo tehnologiju Dobar IT menadžment (CIO) Kakav ste (kakav je) CIO? Nezainteresiranost menadžmenta Loš imidž IT u kompaniji Nedostatak vremena Strategiju imamo, ali je nismo implementirali Dugotrajan razvoj strategije IS

Kako odrediti strategiju informatike? ‘defensive IT’ – u kojoj mjeri kompanija ovisi o troškovno učinkovitoj, sigurnoj, pouzdanoj tehnološkoj infrastrukturi ‘offensive IT’ – u kojoj mjeri kompanija ovisi o informatici kao sredstvu postizanja i održavanja konkurentske prednosti, stvaranja nove vrijednosti ili ponude bolje usluge kupcima

‘Defensive IT’ (‘support mode’) – podrška poslovanju IT važna kao operativna infrastruktura Pouzdanost i dostupnost IT infrastrukture manje važna (nije kritična) IT se koristi kao podrška aktivnostima zaposlenih Zara – IT for fast fashion: striktna kontrola lanca nabave (SCM) Ključni poslovni procesi se odvijaju u ‘skupnoj’ obradi Korekcije i ‘back-up’ se odvijaju ručno Čak i dulji ispadi rada IS ne utječu na odvijanje poslovanja Ključna pitanje za Upravu (IT Audit Committee): Trebamo li (možemo li) ostati pri ovoj strategiji primjene informatike? Što rade naši trenutni i budući konkurenti po tome pitanju? Koristimo li učinkovito IT infrastrukturu? Kakva je poslovna vrijednost naše informatike? IT ROI? Treba li i kada mijenjati strategiju informatike? Koji su rizici, a koje koristi takve promjene? Trošimo li ‘pametno’ novac koji ulažemo u informatiku? Možemo li bolje, ‘pametnije’? Spending mantra: ‘Don’t waste money’

Case study: Zara – usklađenje poslovne i IS strategije 1975. Zaru osnovao Amancio Ortega, koji je 2003. bio najveći dioničar i najbogatiji čovjek u Španjolskoj 1985. osnovan holding Inditex (www.inditex.com) koji se pored modne marke Zara (www.zara.com) sastoji i od ostalih prodajnih lanaca i mreže dobavljača u svojem vlasništvu Temelj poslovnog modela (poslovna strategija) ‘brza moda’ – maksimalno skraćivanje poslovnog ciklusa (14 dana) česte promjena asortimana, stalno privlačenje kupaca u prodavaonice munjevita reakcija na zahtjeve tržišta, decentralizacija i autonomija odlučivanja na nižim razinama, a ne rigidna kontrola troškova bez reklamnih kampanja, bez intenzivnog oglašavanja (2 puta godišnje u časopisima), potpuna autonomija odlučivanja (svi se krojevi mogu promijeniti u trenutku)

Zara – ‘fast fashion’ poslovni model Poslovni ciklus traje 14 dana - 12 puta brži nego kod konkurencije (Gap) Trošak promocije 0,3% ukupnog prihoda (H&M, Gap, Benetton oko 10-ak puta više) 75% asortimana u dućanima mijenja se svako 3-4 tjedna (svaki tjedan u svaki dućan dolazi 200 novih modela) Više od 1600 prodajnih mjesta u 50-ak zemalja na 4 kontinenta Vlastita - centralna proizvodnja u La Coruni, naručivanje robe dva puta tjedno od strane svake poslovne jedinice (handheld računala)

Zara – ‘fast fashion’ poslovni model Dostava i distribucija – vlastita logistika (zrakoplovi, prijevozna sredstva, DC-i), traje najdulje 48 sati, neprodane robe ima oko 10%, nova roba se prodaje i proizvodi u ograničenim količinama ‘Fast fashion’ - odjeća u dućane stiže na vješalicama, s cijenama i spremna za prodaju (jeftinije bi bilo klasično – u kutijama, ali to bi usporilo proces) Kontrola opskrbnog lanca Iscrpna analitika ponašanja kupaca (npr. Zarini kupci dućane u prosjeku posjećuju 17 puta godišnje, dok u centralnom Londonu samo oko 4 puta)

Zara – IT for fast fashion Nema formalnog CIO-a Vlasnik i CEO oformili posebni IT Odbor (IT Steering Committee) koji brine o strateškim IT odlukama Salgado (CIO u Inditexu) i Castellano (Inditex CEO, ali i bivši CIO) gotovo svakodnevno raspravljaju o važnim IT/IS projektima Informacijska (IT/IS) strategija: što više ključnih aplikacija, dijelova IS imati pod vlastitom kontrolom podrška ključnim prednostima poslovnog modela (brzina i autonomija odlučivanja), čak i na uštrb 100% točnih podataka jednostavna, pouzdana IT/IS infrastruktura (DOS) koju svi razumiju i prihvaćaju, jednostavno održavanje, minimalan broj ljudi na održavanju ‘domaća’ IT radna snaga, izrazito motivirana, 50-ak ljudi, 1 čovjek napustio IT odjel u proteklih 10 godina Salgado (CIO u Inditexu): skupo je održavati 100% točnost podataka u upravljanju zalihama, dovoljno je 95-98% Salgado (CIO u Inditexu): poslovanje kompanije je jedinstveno i teško ga neka ‘vanjska’ kuća može bolje razumjeti od nas Formalno ne provode cost-benefit analize

Zara – IT for fast fashion 50-ak ljudi u IT/IS odjelu koji su samostalno razvili sve aplikacije (računovodstvo, naručivanje, dostava, veze IS i handheld računala) IT podrška minimalna i učinkovita (0,5% ljudi radi u IT-u, dok je kod konkurencije taj udio 2,5%) IS odjel ima tri pod-odjela: Store Solutions, Logistics Support, Admistrative Systems IT podrška svim mjestima prodaje (1600 mjesta prodaje u 50-ak zemalja na 4 kontinenta) je iz centrale, iz La Corune Posebnost: dugo godina su radili na DOS-u, POS terminali i HHT nisu stalno izravno povezani sa središnjim IS

Zara – IT for fast fashion Krajnje jednostavna informacijska infrastruktura Store Solutions: sva Zara mjesta prodaje imaju handhelde (uvedeni 1995.) i POS sustave POS terminali u svakoj prodavaonici su ostali netaknuti gotovo desetljećima: još uvijek rade na DOS-u, kojega i Microsoft od 2003. više ne podržava Zara ne odustaje od DOS-a jer su samostalno razvili aplikacije koje pouzdano, točno i bez gotovo ikakvog održavanja rade već godinama Prodajno osoblje samostalno održava aplikaciju i POS terminal Kada se otvori novo prodajno mjesto, njegov manager jednostavno ubaci dvije instalacijske diskete u 'prazan' POS terminal Rezultat: IT podrška minimalna, nema potrebe za zapošljavanjem velikoj broja ljudi koji bi radili na održavanju (0,5% ljudi radi u IT-u, kod konkurencije 2,5%) Pitanja: Može li jedna brzo rastuća kompanija dugoročno ‘očuvati’ ovako jednostavnu informacijsku infrastrukturu temeljenu na DOS-u? Koji su rizici toga? Koja poboljšanja biste predložili?

‘Defensive IT’ (factory mode) – operativna važnost IT podržava kritične poslovne procese i ‘proteže’ se do dobavljača, kupaca, okruženja Većina poslovnih procesa su ‘online’, izrazito se koristi ekstranet Kompanija treba visoko pouzdanu, sigurnu i ‘uvijek’ dostupnu IT Kompanija treba zrelu, ne pomodnu IT Ako IT nije u funkciji kompanija ‘trpi’ velike štete i kritične zastoje u radu Business continuity kritičan Koje kompanije mogu koristiti ovu strategiju informatike? Ključna pitanje za Upravu (IT Audit Committee): Pitanja koja vrijede za ‘support mode’ + Kontroliramo li procedure oporavka poslovanja? Je li se što promijenilo u procedurama oporavka poslovanja što bi moglo utjecati na kontinuitet poslovanja? Pratimo li ‘primjerenost’ naše IT infrastrukture (hardver, softver, ‘stare’ aplikacije, mreže,..)? Jesu li one aktualne, zrele, adekvatne? Imamo li adekvatne procedure zaštite IT-a i upravljamo li IT rizicima? Jesmo li odredili ‘ključne’ brojke koje znače performanse informatike? Korporativno upravljanje IT rizicima? Imamo li procedure i organizaciju rada koja omogućuje pružanje 24/7 dostupnost sustava i pružanje odgovarajuće razine kvalitete usluge? Pratimo li IT trendove, perspektive? Može li nas nešto iznenaditi? Treba li trošiti više novca na informatiku kako bismo smanjili poslovne rizike? Spending mantra: ‘Don’t cut corners’

‘Offensive IT’ (turnaround mode) – pretvorbeni način IT koristimo kao sredstvo i polugu radikalne promjene poslovanja s ciljem postizanja strateške konkurentske prednosti Koriste ga kompanije koje su ‘usred’ transformacije poslovanja i provođenja novih ‘ofenzivnih’ strategija poslovanja Kompanije mogu relativno kratko vrijeme ‘koristiti’ ovu strategiju Te kompanije intenzivno troše na IT s nadom postizanja značajne strateške prednosti U tome razdoblju manja je potreba za pouzdanim, neprekidnim sustavom, postojeći sustavi su dovoljno ‘jednostavni’ i mogu se kontrolirati i ručnim procedurama Kompanije obično ‘ulaze’ u ovu strategiju informatike kada pokreću velike IT projekte i velike reinženjerske projekte (projekte radikalnih promjena poslovnih procesa, inovacije poslovanja, itd.) Primjeri: SABRE, Ryanair, Metro, Wal-Mart (RFID) Koje kompanije mogu koristiti ovu strategiju informatike? Ključna pitanje za Upravu (IT Audit Committee): Pitanja koja vrijede za ‘support mode’ + Provode li se aktivnosti iz strateškog IT plana? Kontrola provedbe strategije informatike? Jeli naša struktura aplikacija dovoljna za ‘obranu’ konkurentske pozicije (prijetnje novih konkurenata i iskorištavanje potencijalnih prilika)? Možemo li mi i znamo li prepoznati i iskoristiti stratešku IT priliku? Znamo li mi dovoljno o pravoj naravi strateških IT projekata? Znamo li mi kontrolirati IT rizike? Možemo li kontrolirati troškove, kvalitetu i vrijeme provedbe IT projekta? Jesu li velika ulaganja u informatiku opravdana? Vodi li nas ‘ovaj put’ prema strateškoj konkurentskoj prednosti? A što ako ne uspijemo? Razumije li Uprava ova pitanja? Spending mantra: ‘Don’t screw it up’

‘Offensive IT’ (strategic mode) – strateška važnost ‘Keep the innovation pace’ – IT se koristi kao sredstvo stalne inovacije poslovanja s ciljem održavanja konkurentske prednosti Uporaba postojećih sustava nam omogućuje konkurentsku prednost, no, o njihovom unaprjeđenju ovisi hoćemo li je i u budućnosti imati Veliki troškovi, ulaganja u IT Intenzivna IT ulaganja s ciljem postizanja buduće strateške prednosti Intenzivna IT ulaganja u pouzdan, neprekidan rad ‘postojećih’ sustava Neke kompanije su i prisiljene stalno ‘koristiti’ ovu strategiju informatike (procesna industrija, auto-industrija, zrakoplovna, …) Koje kompanije mogu koristiti ovu strategiju informatike? Ključna pitanje za Upravu (IT Audit Committee): Pitanja za ‘support mode’ + Pitanja za ‘factory mode’ + pitanja za ‘turnaround mode’ + Razumije li Uprava ova pitanja? Spending mantra: ‘Spend what it takes and monitor results results like crazy’

Vizije i analiza – utjecaj na ciljeve poslovanja ‘Prilike’ za IS Poslovni cilj Izvještajni sustav za izvršne menadžere koji sadrže svježe podatke o ključnim metrikama poslovanja Automatizirani SCM, e-SCM, poboljšani alati za prognoziranje Napredna analiza cijena, troškova, marži, prihoda, …. Smanjenje IS troškova, standardizirani alati, hardver, … Redizajn i poboljšanje procesa naručivanja Profitabilnost, smanjenje troškova Rast poslovanja na svim tržištima, globalno poslovanje E-poslovanje i širenje tržišta, globalni doseg Aplikacije robusne da mogu podržati globalno poslovanje Podrška procesu razvoja novih proizvoda Document management, podrška upravljanju projektima, ROI Fleksibilni konfiguratori proizvoda, simulatori proizvoda, CAD, .. Tehničke inovacije, inovacije proizvoda CRM, e-poslovanje, online servisi, naručivanje i praćenje proizv. Dodatni kanali komunikacije s kupcima Usluga prema kupcima Document management, metrike kvalitete Softver za ‘business process mapping’, TQM, ISO, …. Napredna (statistička) analiza poslovanja Automatizirana kontrola procesa kvalitete Kvaliteta proizvoda / usluge

Radionica Koja je poslovna strategija kompanije? Koji su strateški ciljevi poslovanja? Kako IS može pomoći ostvarenju svakog pojedinog cilja (‘prilike’ za IS)? Odredite ‘optimalnu ulogu’ informatike u poslovanju Odredite prioritetne IT projekte Odredite prioritete ulaganja u informatiku

IT governance modeli – COBIT Metoda koja omogućuje procjenu zrelosti poslovnih procesa informatike i procjenu zrelosti upravljanja i vođenja IT (ocjena od 0 do 5) Sveukupna ocjena za IT ili parcijalne ocjene za pojedine dijelove (34 IT procesa, odnosno cilja kontrole) 34 IT procesa (cilja kontrole) i 318 detaljnih kontrola COBIT pregled Case Study CobiT - Revizija IS Coca-Cole Hrvatska prema CobiT-u (.ppt)

IT governance modeli –Val IT Metoda koja omogućuje procjenu poslovne vrijednosti IT-e kroz analizu isplativosti IT ulaganja Tri ključna procesa: Value governance Portfolio Management Investment Management

IT governance modeli – IT Balanced Scorecard Poslovna vrijednost IT-a Financijski rezultati IT-a, ROI, TCO, IRR, novčani tijek IT projekata, transakcijski troškovi prije i poslije implementacije IT projekta, metrika poslovnih procesa Razina zadovoljstva korisnika Ankete o zadovoljstvu ponuđenom uslugom, IT osobljem, održavanjem, pouzdanosti sustava, jednostavnosti uporabe, Performanse procesa Metrika internih procesa, broj sigurnosnih incidenata, …. Prilagodljivost i skalabilnost Funkcionalnost aplikacija, jednostavnost nadogradnje, ….

IT governance modeli – IT Balanced Scorecard

2. Tema: Upravljanje IT projektima i ulaganjima Zašto IT projekti ne uspijevaju? Metode upravljanja rizicima IT projekata Metode: PMBOK, CobiT, Val IT

IT - strateško oružje poslovanja (raspodjela IT ulaganja) IT productivity paradox Od ukupnog troška od 20 mil. $ na ERP sustav 3 mil. $ dobavljaču softvera 1 mil. $ kupnja dodatne opreme 16 mil. $ - ‘supporting’ costs - business process redesign, vanjski konzultanti, trening, menadžersko vrijeme, …. 10:1 – odnos između ulaganja u IT (tehnologiju) i ulaganje u novi način rada (‘supporting’ costs) Prosječan povrat ulaganja (ROI) je nakon 5 godina Izvor podataka: Financial Times (2003), MIT

IT Value Delivery 2002 Gartner – 20% IT troškova su nepotrebni, rasipni (‘annual value destruction’ – 600 milijardi USD) 2004 IBM Fortune 1000 CIO anketa – 40% IT troškova nisu donijeli nikakvu korist organizaciji 2004 Standish Group Report 29% IT projekata je uspješno 80-90% projekata ne postiže učinke zbog kojih su pokrenuti, 80% projekata prekorači planirano vrijeme i cijenu, 40% projekata se zauvijek napusti 2002 – ‘100 najboljih HR kompanija’ – 30% IT projekata je uspješno Što je uspješan IT projekt? Radionica: Zašto IT projekti ne uspijevaju?

Standish Group CHAOS Report Istraživanje karakteristika 30.000 IT projekata u malim, srednjim i velikim poduzećima u SAD-u od 1994 do danas Klasifikacija projekata: ‘successful’ – projekt je završen na vrijeme, unutar zadanog budžeta sa svim traženim funkcijama i obilježjima ‘challenged’ – projekt je završen i operativan je, ali je ‘probio’ budžet i rokove i nema sve unaprijed tražene funkcije i obilježja ‘failed’ – projekt je napušten prije dovršetka ili nije nikad implementiran Successful Challenged Failed 1994 16% 53% 31% 1996 27% 33% 40% 1998 26% 46% 28% 2000 28% 49% 23%

Čimbenici uspjeha IT projekata Podrška managementa Uključenost (ključnih) korisnika Sposobnosti voditelja projekta Iskustvo voditelja projekta s tom vrstom projekta (Standish Group – 97% uspješnih projekata je imalo iskusnog voditelja) Jasni (poslovni) ciljevi projekta Jasan djelokrug (granice) projekta Standardna softverska infrastruktura Udovoljavanje prvo osnovnim zahtjevima (Standish Group preporuka) Formalna metodologija (Standish Group – 46% uspješnih projekata je koristilo formalnu metodologiju) Realne procjene 1996 KPMG – istraživanje neuspješnih IT projekata 55% nije imalo plan upravljanja rizicima IT projekta 38% je imalo formalan plan koji nije ‘radio’ 7% nisu znali jesu li imali plan ili ne

Metode upravljanja rizicima IT projekta Standish Group Model Kategorije rizika IT projekata Tržišni rizik (hoće li korisnici prihvatiti IT projekt?) Financijski rizik (ROI, NPV, …) Tehnološki rizik (studija izvedivosti IT projekta) ‘ljudski’ rizik Procesni rizik PMBOK (Project Management Body of Knowledge) Integracija - kvaliteta Djelokrug - ljudski resursi Vrijeme - komuniciranje u projektnom timu Troškovi - isporuka

Radionica – procjena rizika IT projekta Sponzorstvo projekta od strane (najvišeg) managementa Metodologija upravljanja projektima Uključenost korisnika Podjela projekta na manje zadatke, određivanje kontrolnih točaka (‘milestones’) i odobravanje pojedinih faza Jasno određivanje odgovornosti Rigorozno praćenje kontrolnih točaka i onoga što je napravljeno Rigorozno praćenje troškova (ROI, NPV, …) Planovi i metode za osiguravanje kvalitete konačnog proizvoda Procjene rizika projekta i programa Tranzicija iz razvojne faze u fazu implementacije

3. Tema: Upravljanje IT rizicima i kontrola i revizija IS-a Plan upravljanja IT rizicima Kako odrediti prioritetne IT rizike i IT kontrole Što je revizija IS-a i čemu služi? Revizija IS-a kao savjetodavna funkcija Metode: CobiT, ITIL, SoX, ISO 17799, ISO 27001

Informacijski sustavi koji griješe Kako je nastao pojam ‘bug’ Zrakoplov iz 1989. koji je zbog pogreške računala pri utvrđivanju preletnih koordinata udario u planinu na Antarktici Slom australskog sustava socijalnog osiguranja 1992. (zbog pogreške u IS odobrena su neka prava osiguranicima što je porezne obveznike stajalo 126 milijuna australskih dolara) Britanski umirovljenici su bili godinama prikraćivani za 300 GBP mjesečno radi pogreške u projektiranju IS Slom burze tehnoloških dionica iz 1995. služba socijalnog osiguranja SAD-a isplatila više od 60 milijuna $ na račune oko 8.000 pokojnika u toku 15 godina Giant Food Inc. – umjesto 25 centi, dioničarima isplaćena dividenda od 2,5 $ - ukupno više isplaćeno 11 milijuna “nepostojećih” dolara Stanley Mark Rifkin “provalio” u EFT (Electronic Funds Transfer) sustav velike banke i napravio transfer 10,2 milijuna $ na račun u Švicarskoj, te kupio 250.000 dijamanata – kazna 8 godina strogog zatvora.

Zašto informacijski sustavi griješe? Zrakoplovna kompanija – ComAir Otkazao transakcijski IS zrakoplovne kompanije za vrijeme božićnih blagdana 2004. Taj se sustav sastojao od prastarih IBM-ovih AIX poslužitelja. Sustav nije otkazao zbog starosti poslužitelja nego zbog SBS-ova softvera koji nije bio predviđen za više od 32.000 odgoda letova, koliko ih je bilo tog mjeseca zbog brojnih oluja. Problemi: Tisuće Amerikanaca božićne je blagdane provelo čekajući u zračnim lukama, štete, tužbe, narušen ugled…. Razlozi?

Zašto informacijski sustavi griješe? Riječka Banka d.d. Neučinkovit kontrolni sustav, jedna osoba imala pristupa velikom broju korisničkih imena i lozinki Grubo narušavanje podjela obveza i odgovornosti i katastrofalni propusti u IS Šteta: skoro 100 milijuna USD Razlozi?

Potreba za revizijom IS Uobičajene vrste revizije: Revizija financijskih izvještaja Revizija podudarnosti Revizija poslovanja Revizija informacijskih sustava Interna revizija Eksterna revizija Interna revizija IS, eksterna revizija IS Kako izgleda i čemu (kome) služi izvještaj revizora IS-a (primjer)

Što je revizija informacijskih sustava? Organizacijska funkcija koja omogućuje neovisno i objektivno testiranje funkcija, ciljeva i dijelova informacijskog sustava kako bi se prikupili dokazi koji se mogu neovisno razmatrati ili biti dobrom podlogom za ostale vrste revizije Revizija informacijskih sustava predstavlja proces prikupljanja i procjene dokaza na temelju kojih se može utvrditi djeluje li informacijski sustav u funkciji očuvanja imovine, održava li se cjelovitost (integritet) podataka, omogućuje li se djelotvorno ostvarivanje ciljeva poslovanja i koriste li se resursi poslovanja na učinkovit način

Što je revizija informacijskih sustava? Sveobuhvatni pojam koji sadrži sljedeća područja: Vođenje IT/IS, strategija IT/IS Procjena rizika korištenja IT/IS Procjena učinaka ulaganja u IT/IS, utvrđivanje poslovne vrijednosti IS Procjena IS-a i poslovnih procesa, utjecaj na ključne poslovne procese Kontrola IS (interna kontrola IS, kontrolni mehanizmi) Upravljanje kontinuitetom poslovanja Sigurnosna politika IS i organizacije Kvaliteta IS (‘quality assurance’) IT forenzika Prognostika pogrešaka IS/IT Provedba specifičnih kontrola IS (točnost podataka, informacija, neprekidnost poslovanja, oporavak nakon nesreće, itd.) Usklađenost s normama i standardima (ISO 27001, ISO 17799, SoX kontrole, CMM, CobiT, ITIL,…), …itd

Ciljevi i rezultat revizije IS Procjena ‘stanja’ IS, izvještaj menadžmentu s preporukama za poboljšanje prakse upravljanja IS (primjer – ISO17799, primjer - ITIL) Osiguranje što višega stupnja cjelovitosti podataka Unaprjeđenje djelotvornosti informacijskog sustava Unaprjeđenje učinkovitosti informacijskog sustava (otkrivanje rizičnih područja, preporuke menadžmentu za bolje i učinkovitije upravljanje radom IS) – primjer - COBIT

IT rizici i kontrole Određivanje rizika primjene IT/IS Poslovni rizik (strateški rizik, rizik za financijska izvješća, operativni rizik, pravni rizik, financijski rizik, rizik nesukladnosti s normama, ..) Rizik revizije (inherentni, kontrolni, detekcijski, ukupni revizijski rizik) Sigurnosni rizici (pristup podacima, fizička, logička sigurnost, integritet podataka, točnost, pouzdanost, dostupnost, itd.) Rizici neprekidnosti poslovanja (dostupnost IS-a, arhiviranje – back-up, oporavak) Analiza stanja – procjena rizika – određivanje kontrola – testiranje kontrola

Vrste IT rizika ‘Company-level’ IT risks Strat. IT plan, IT project management praksa, IT politike, procedure, pravilnik o sigurnosti IS, politika IT ulaganja, rizik nepoštivanja standarda, zakonskih obveza, rizik IT ovisnosti o dobavljačima, rizici iz vanjskog okruženja, itd. ‘Process-level’ IT risks (opći IT rizik) Razvoj i kupnja aplikacija, promjena softvera, pristup programima i podacima, sigurnosni rizici, rizik neprekidnosti poslovanja (business continuity), rizik oporavka nakon prekida rada (disaster recovery), itd. Aplikacijski IT rizici i rizici IT servisa Rizici provedbe IT operacija (jesu li transakcije točne, potpune, cjelovite, podjela dužnosti i kontrola, autorizacija, itd.) i rizici IT servisa (dostupnost i funkcionalnost mreže, podataka, itd..) (primjer – rizik IT servisa – ITIL) Mentalitet upravljanja IT rizicima Ljudi (npr. podjela posla) Podaci (sprečavanje neovlaštenog pristupa, neovlaštenih promjena) Infrastruktura (neprekidnost poslovnih procesa, automatizirane kontrole)

Proces upravljanja IT rizikom Analiza stanja Identificiranje svih IT rizika i prijetnji Procjena IT rizika i ranjivosti na prijetnje Utvrđivanje vjerojatnosti pojave nekog IT rizika Procjena utjecaja na poslovanje (business impact analysis) Analiza učestalosti pojavljivanja (IT risk ranking) Procjena težine – ‘vrijednosti’ rizika i ‘strategija odgovora’ Strategije odgovora na IT rizike Praćenje razine IT rizika Smanjenje razine IT rizika Izbjegavanje IT rizika Podjela IT rizika, ‘prebacivanje’ IT rizika na nekoga drugoga Određivanje IT kontrola Dokumentiranje IT kontrola ‘Portfolio’ pristup IT rizicima i utjecaj na poslovnu strategiju

Primjer i radionica: ‘izračunavanje’ IT rizika Utjecaj Financijski gubitak Kategorija rizika Dostupnost Industrija Telekomunikacije Uzrok U lipnju 1999, dionice eBay-a, online aukcijske kuće, su pale za 30 % (nekoliko milijardi dolara ukupno) nakon 21 satnog pada web stranice. Uprava eBay-a se izjasnila da im je to utjecalo na smanjenje prodaje u tom kvartalu za 10 posto. eBay je javno okrivio dobavljača softvera Sun Microsystems za sljedeći gubitak dostupnosti, od 37 minuta, koji se dogodio u ožujku 2001., i utjecao je na pad dionica u iznosu od 5%.

Procjena IT rizika Identificiranje prijetnji Npr. pouzdanost podataka Dostupnost podataka Integritet podataka Pravodobnost, točnost podataka Procjena ranjivosti na prijetnje Pouzdanost podataka (udaljeni pristup od strane neautoriziranih korisnika, ..) Određivanje prihvatljive razine rizika (procjena vjerojatnosti nastanka neželjenog događaja) Očekivana vrijednost rizika = Procjena gubitka x vjerojatnost nastanka

Vrste kontrola IS Upravljačke kontrole (politike kompanije, način i stil vođenja, strateški plan IT, organizacija posla, način razmjene informacija, …) Opće IT kontrole (cilj: siguran, pouzdan i neometan IS) Učinkovitost i provedba sigurnosne politike IS Procjena sustava internih kontrola, Kontrole vođenja i organiziranja IS Kontrole pri razvoju IS, Kontrole pri promjeni postojećeg IS (softvera) Kontrole pri redovitom radu IS i opreme Kontrole pristupa podacima i programima Osiguravanje kontinuiteta poslovanja Fizičke sigurnosne kontrole, Logičke sigurnosne kontrole Kontrole rada IS (podjela dužnosti) Kontrole podataka, kontrole obrade podataka Komunikacijske kontrole, U/I kontrole Aplikacijske kontrole (cilj: otkriti/spriječiti neautorizirane transakcije) Potpunost Točnost Autorizacija Validacija Podjela posla

Vrste kontrola IS Sigurnosne kontrole Kontrole neprekidnosti Fizičke i logičke kontrole Kontrole pristupa Kontrole praćenja Kontrole pregleda stanja ‘Penetrating tests’ kontrole Informacijske (podatkovne) kontrole Kontrole ulaza Procesne kontrole Kontrole baza podataka Izlazne kontrole Kontrole aplikacije Kontrole neprekidnosti Backup kontrole Backup podataka Backup hardvera Kontrole oporavka nakon neželjenog događaja

Klasifikacija kontrola Vrste kontrola IS Klasifikacija kontrola Vrsta Namjena Primjer Preventivna Otkriva problem prije nego se on pojavi Nadzire i djelovanje i unos Pokušava predvidjeti potencijalni problem prije njegova pojavljivanja i napraviti prilagodbe Sprječava nastajanje greške, izostavljanje potrebnog ili maliciozan čin Zapošljavanje samo kvalitetnog osoblja Podjela odgovornosti Kontrola fizičkog pristupa Korištenje dobro osmišljene dokumentacije Uspostavljanje prikladnih procedura za autorizaciju transakcija Programska kontrola unosa Kontrola pristupa osjetljivim podacima Detekcijska Kontrola koja otkriva i izvješćuje pojavljivanje greške, izostavljanja potrebnog ili malicioznog čina „Hash“ vrijednosti Kontrolne točke na poslovima u produkcijskoj okolini Dvostruka provjera kalkulacija Izvještavanje o greškama Korektivna Minimiziraju utjecaj prijetnje Ispravlja probleme pronađene zahvaljujući detekcijskim kontrolama Identificiraju uzrok problema Ispravljaju greške prouzrokovane problemom Modificiraju sustave kako bi se umanjila mogućnost pojavljivanja u budućnosti Planiranje neočekivanih situacija Procedure oporavka Procedure ponovnog pokretanja

Primjeri provedbe testova kontrola IS Testiranje općih IT kontrola Učinkovitost i standardi sigurnosne politike IS Politika korisničkih imena i lozinki (lozinke se trebaju mijenjati pri instalaciji sustava, ‘minimal password lenght’ > 8, kombinacija brojeva i slova, lozinka se ne vidi pri unosu, datoteka s lozinkama je enkriptirana tako da je NITKO ne može čitati, lozinke se mijenjaju svako 30 dana, itd. Osiguravanje kontinuiteta poslovanja (primjer: BC and DR at Dell) Određivanje kritičnih poslovnih procesa, kritičnih aplikacija i utvrđivanje prioriteta Procjena njihova utjecaja na poslovanje (Business Impact Analysis) Procjena rizika i kontrola (RTO) Razvoj strategije kontinuiteta poslovanja Razrada operativnog plana osiguranja kontinuiteta poslovanja Testiranje i implementacija plana kontinuiteta poslovanja

Primjeri provedbe testova kontrola IS Kontrola i revizija rada IS (IT procesa) Kontrola podataka (ulaza, obrade, prijenosa, izlaza, …) Ulazne kontrole Testovi integriteta, potpunosti, logički testovi ‘hash total’, provjera brojeva Kontrole sistemskog softvera Podjela dužnosti i odgovornosti Kontrole učinkovitosti Automatske i ručne kontrole Kontrole podrške aplikacijama

Metode upravljanja informatikom i IT rizicima COBIT metodologija upravljanja IT (pregled) SoX kontrole (.ppt) ISO 27001:2005 (.ppt) ITIL (www.itil.co.uk) (pregled)

Radionica: Procjena IT rizika poslovnih procesa Izdvojite dva-tri najvažnija poslovna procesa za koje ste odgovorni Procijenite IT rizike koji mogu ugroziti odvijanje tih poslovnih procesa Procijenite vjerojatnost nastanka tih rizika i događaje koji ih mogu uzrokovati Procijenite kakvu bi štetu kompanija mogla pretrpjeti takvim potencijalnim događajima Kakve su IT kontrole prisutne da bi se ti rizici smanjili Kako su se te IT kontrole testirale?

Zadatak revizije IS u procjeni rizika Identificirati rizike na osnovu provedenih revizija, dokaza, nalaza i preporuka (primjer) Pomoći managementu poduzeća svesti razinu rizika s kojom je poduzeće suočeno na najmanju, odnosno prihvatljivu mjeru, implementacijom zaštitnih (sigurnosnih) kontrola (primjer) Implementacija politike zaštite informacijskog sustava u poduzeću je jedan od načina kako zaštititi IS od potencijalnih ranjivosti

mspremic@efzg.hr www.efzg.hr/mspremic Hvala na pozornosti Pitanja, komentari, prijedlozi, sugestije mspremic@efzg.hr www.efzg.hr/mspremic Copyright © dr. Mario Spremić