IT Governance. 17 mei 2017

Transcriptie

1 IT Governance 17 mei 2017

2 Dienstverlening van Odinfo Integreren van ICT (fusie, samenwerking. SSC) Maken van informatiestrategie Interim I-management Implementeren van systemen en applicaties Verbeteren van het informatiemanagement en de ICTorganisatie Ondersteunen en begeleiden transitie en transformatie sociaal domein Egem-i gecertificeerd COBIT 5 gecertificeerd T (020)

3 Kernboodschappen 1. IT governance is voor managers en bestuurders 2. Bestuurders hebben vijf verantwoordelijkheden m.b.t. de IT 3. COBIT is een bruikbaar raamwerk voor de gemeentelijke organisatie Aantal dia s in het Engels. Probleem? 3

4 Cirkel GEDACHTEN De organisatie bepaalt wel wat nodig is. Ons hebben ze niet nodig. GEDRAG Gemeenteraad en B&W geven geen richting aan toepassing IT GEDRAG Wij bepalen dan zelf maar wat nodig is op het gebied van IT GEDACHTEN Ze vinden het niet belangrijk of ze snappen er geen snars van 4

5 Even vooraf Bedrijfsvoering Informatievoorziening (geheel van informatiesystemen (rood) + geel + paars + bruin + AO/IC + bestuurlijke informatie + externe eisen + in- en externe communicatie) Informatiesysteem (geel + paars + bruin + processen, procedures, taken, verantwoordelijkheden, mensen, cultuur, gebruik en beheer, contracten) Applicatieprogrammatuur (user interface) Gegevens (data en databases) Technische infrastructuur (netwerken, apparatuur, devices, systeemprogrammatuur) 5

6 1 1.IT governance is voor managers en bestuurders 6

7 Bestuur, management en informatie Bestuur en management streven naar: Kwaliteit van informatie voor het nemen van besluiten Toegevoegde waarde van IT-investeringen Operational excellence door betrouwbare en efficiënte inzet van IT Geoptimaliseerd kostenniveau van IT Beheersing van aanvaardbare IT-risico s Hoe kunnen deze doelen worden gerealiseerd om toegevoegde waarde voor de stakeholders te creëren 7

8 IT Governance-eiland Met de eeuwige zoektocht van bestuurders en managers Hoe gaan we met elkaar om? Cultuur 3. Wiens competenties hebben we nodig? Mensen Burn out De Top Principes Paradijs Competentie Bergen 2. Hoe pakken we dat aan? Structuur 5. Welke samenwerkingsverbanden willen we? Ketens Velden van Nabuur Ketenwouden De proces wateren Demington Output Meer De waardevallei Het Kanaal van Diensten en Producten De klantenpoort Troughput Meer Vrij naar: The art of Management Middelen Leveranciershaven 6. Welke middelen zetten we in? De grote ICTprojecten weg De ICT-moerassen De golf van Kwaliteit 1. Wat willen we bereiken? Resultaten...en IT governance als gids. 8

9 De behoefte aan IT governance Aligning IT with business Security Keeping IT Running Managing Complexity Value/Cost Regulatory Compliance Organisations require a structured approach for managing these and other challenges. This will ensure that there are agreed objectives for IT, good management controls in place and effective monitoring of performance to keep on track and avoid unexpected outcomes. 9

10 IT Governance Strategische afstemming Zorgen dat strategie van het bestuur en de IT op elkaar zijn afgestemd Return on investment Sluitende business case Volgen en meten van de project benefits Risico s beheersen Risicomanagement Informatiebeveiliging (ook van mobiele IT en outsourcing) ICT-projecten Realiseren projecten met de afgesproken kwaliteit en zonder overschrijding van tijd en budget 10

11 Toegevoegde waarde van IT Governance Leveren toegevoegde waarde voor belanghebbenden vereist goed bestuur en management van informatievoorziening en inzet van IT. Bestuur en management moeten IT omarmen als ieder ander belangrijk aspect van dienstverlening aan burgers en bedrijfsvoering. Eisen en verplichtingen vanuit externe wet- en regelgeving en contracten m.b.t. informatie nemen toe en de gevolgen van afbreuk kunnen zeer groot zijn. ICT. 11

12 2 1.Bestuurders hebben vijf verantwoordelijkheden 12

13 Vijf verantwoordelikheden bestuurders 1. Opzet, implementatie en control van IT Governance 2. Zeker stellen baten van toepassing IT 3. Zeker stellen dat IT risico s zijn geoptimaliseerd 4. Zeker stellen van optimale inzet middelen voor IT 5. Zorgen voor transparantie voor alle stakeholders 13

14 3 1.COBIT 5 bruikbaar raamwerk 14

15 COBIT5-raamwerk COBIT5 helpt bij het in stand houden van het evenwicht tussen het met IT realiseren van toegevoegde waarde, het optimaliseren van risiconiveaus en de inzet van mensen en middelen. COBIT5 helpt bestuur en management om IT toe te passen op een holistische manier; d.w.z. gemeente-breed, voor alle bedrijfsprocessen en bedrijfsfuncties en rekening houdend met alle inen externe belanghebbenden. 15

16 COBIT 5 Principes Source: COBIT 5, figure ISACA All rights reserved. 16

17 17

18 1. Meeting Stakeholder Needs Principle 1. Meeting Stakeholder Needs: Stakeholder needs have to be transformed into an enterprise s practical strategy. The COBIT 5 goals cascade translates stakeholder needs into specific, practical and customised goals within the context of the enterprise, IT-related goals and enabler goals. 18

19 19

20 2. Covering the Enterprise End-to-End Key components of a governance system Source: COBIT 5, figure ISACA All rights reserved. 20

21 21

22 3. Applying a Single Integrated Framework COBIT 5 aligns with the latest relevant other standards and frameworks used by enterprises: Enterprise: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC IT-related: ISO/IEC 38500, ITIL, ISO/IEC series, TOGAF, PMBOK/PRINCE2, CMMI This allows the enterprise to use COBIT 5 as the overarching governance and management framework integrator. 22

23 23

24 4. Enabling a Holistic Approach COBIT 5 enablers are: Factors that, individually and collectively, influence whether something will work in the case of COBIT, governance and management over enterprise IT Driven by the goals cascade, i.e., higherlevel IT-related goals define what the different enablers should achieve Described by the COBIT 5 framework in seven categories 24

25 4. Enabling a Holistic Approach 25

26 26

27 5. Separating Governance From Management COBIT 5 is not prescriptive, but it advocates that organisations implement governance and management processes such that the key areas are covered, as shown. 27

28 Governance and Management Governance ensures that enterprise objectives are achieved by evaluating stakeholder needs, conditions and options; setting direction through prioritisation and decision making; and monitoring performance, compliance and progress against agreed-on direction and objectives (EDM). Management plans, builds, runs and monitors activities in alignment with the direction set by the governance body to achieve the enterprise objectives (PBRM). 28

29 COBIT 5 Processes (1) 29

30 COBIT 5 Processes (2) 30

31 Processen voor de governance van Enterprise ICT Evalueren, aansturen en monitoren EDM01 Waarborgen ICT governance raamwerk EDM02 Waarborgen opbrengsten CT COBIT5 Procesreferentieraamwerk EDM03 Waarborgen ICT-risicooptimalisatie EDM04 Waarborgen optimalisatie ICT resources EDM05 Waarborgen stakeholdertransparantie Richten, Plannen & Organiseren APO01 ICT managementraamwerk APO02 ICTstrategie APO03 bedrijfsarchitectuur APO04 innovatie APO05 ICT portfolio APO06 ICTbudget en - kosten APO07 ICTpersoneel Monitoren, evalueren & toetsen APO08 relaties APO09 ICTserviceovereen komsten APO10 ICT - leveranciers Bouwen, Verkrijgen & Implementeren BAI01 ICTprogramma s en -projecten BAI08 ICT-kennis DSS01 ICT - operatie BAI02 requirements -definities BAI09 ICTmiddelen DSS02 serviceverzoeken en incidenten BAI03 ICToplossingen BAI10 ICT - configuratie Leveren, dienstverlening & ondersteunen DSS03 ICTproblemen APO11 ICT - kwaliteit BAI04 ICTcapaciteit DSS04 continuïteit ICT APO12 ICT-risico s BAI05 ondersteuning veranderproces DSS05 ICTbeveiliging APO13 ICTveiligheid BAI06 ICTwijzigingen DSS06 ICT proces controls BAI07 ICT acceptatie en - transitie Processen voor het management van Enterprise ICT MEA01 Monitoren, evalueren en toetsen ICTperformance en - conformatie MEA02 Monitoren, evalueren en toetsen systeem van interne controle MEA03 Monitoren, evalueren en toetsen compliance met externe requirements 31

32 POSITIONERING COBIT 5 32

33 Voorbeeld risico- management- processen 33

34 Risk Management in COBIT 5 34

35 Risk Management in COBIT 5 All enterprise activities have associated risk exposures resulting from environmental threats that exploit enabler vulnerabilities EDM03 Ensure risk optimisation ensures that the enterprise stakeholders approach to risk is articulated to direct how risks facing the enterprise will be treated. APO12 Manage risk provides the enterprise risk management (ERM) arrangements that ensure that the stakeholder direction is followed by the enterprise. All other processes include practices and activities that are designed to treat related risk (avoid, reduce/mitigate/control, share/transfer/accept). 35

36 Risk Management in COBIT 5 In addition to activities, COBIT 5 suggests accountabilities, and responsibilities for enterprise roles and governance/management structures (RACI charts) for each process. These include risk-related roles. 36

37 Risk Management in COBIT 5 Samenhang processen Op basis van globaal proces met minimale aanvulling uit detail proces niveau 1 37

38 Risk Management in COBIT 5 Niveau 2: Detailproces Waar Proces- Waarvandaan? Input stap Output heen 38

39 Risk Management in COBIT 5 Niveau 3 werkinstructies / activiteiten APO12.02 (analyse risk) bestaat uit de volgende activiteiten om de output te realiseren: 39

40 Enabling Information 40

41 Kernboodschappen 1. IT governance is voor managers en bestuurders 2. Bestuurders hebben vijf verantwoordelijkheden m.b.t. de IT 3. COBIT is een bruikbaar raamwerk voor de gemeentelijke organisatie 41