ISO/IEC 38500
Download
Report
Transcript ISO/IEC 38500
OPPILAITOSPORTAALI
Informaatioteknologia.
Corporate Governance of
Information Technology
ISO/IEC 38500:2008
standardi”perhe”
Kalvosarja oppilaitoksille
Suomen Standardisoimisliitto SFS ry
2012
30.3.2012
2
Tervetuloa luentoaineiston käyttäjäksi!
Tämän luentoaineiston on laatinut Tomi Dahlberg Turun yliopistosta.
Kalvosarja on tuotettu SFS:n projektirahoituksella. Aineisto on
tarkoitettu yliopistojen ja ammattikorkea-koulujen tutkijoille,
opettajille ja opiskelijoille.
Kalvosarja esittelee organisaatioiden IT:n hallintatavan – Corporate
Governance of IT - ISO/IEC 38500:2008 -standardin käymällä läpi
standardin taustan, standardin keskeisen sisällön, sen todennäköisen
kehityksen sekä esimerkkejä standardin soveltamisesta.
Tavoitteena on tukea ISO/IEC 38500 -standardi”perheen” käyttöä IT:n
johtamista koskevassa opetuksen suunnittelussa ja kursseilla sekä
IT:n johtamisessa organisaatioissa.
Standardi”perheessä” on vuoden 2012 alussa yksi englanninkielinen standardi, jolla arvioidaan kuitenkin olevan poikkeuksellisen
suuri merkitys, koska useissa muissa standardeissa on governanceosio.
30.3.2012
3
Aineiston käyttö ja tekijänoikeudet (SFS)
• Tämän luentoaineiston tekijänoikeudet omistaa
Suomen Standardisoimisliitto SFS ry.
• Esitystä saa vapaasti käyttää opetustarkoituksiin ja
sitä saa tarvittaessa muokata. Aineistoa lainattaessa
lähde tulee mainita.
• Aineiston käyttö kaupallisiin tarkoituksiin on kielletty.
• Tämä materiaali on päivitetty viimeksi 30.03.2012.
30.3.2012
4
Luentoaineiston sisällysluettelo ja kieli
Sisällysluettelo
1. IT Governance ISO/IEC 38500:2008 standardin taustana
2. ISO/IEC 38500:2008 -standardin sisältö
3. ISO/IEC 38500:2008 -standardista standardiperheeseen
– IT Governance -standardien todennäköinen
tulevaisuus
4. Esimerkkejä ISO/IEC 38500 -standardin soveltamisesta
• ISO/IEC 38500 -standardi on englanninkielinen eikä sen
suomentamista ole harkittu. Luentoaineistossa on
vältetty käsitteiden kääntämistä suomeksi – osin myös
siksi, että etenkin yliopistoissa tutkimusraportit ja myös
osa opetusta on englanninkielistä
30.3.2012
5
1. IT Governance ISO/IEC 38500:2008
standardin taustana
• Käsitteenä IT Governance ilmaantui 1990 -luvulla
aluksi muodossa Governance of IT (muun muassa
Robert Zmudin lukuisat artikkelit) ja vasta myöhemmin
se kääntyi muotoon IT Governance
• IT Governance -käsitteen käyttö levisi nopeasti 2000luvulla, etenkin ISACA:n ja IT Governance Instituten
(ITGI) kehittämän CobiT-menetelmän (Control
Objectives of Information and Related Technologies) ja
sen CobiTin Board Briefing (2003) -dokumentin myötä
• Australiassa standardiksi tammikuussa 2005
hyväksytty AS-8015:2005 -standardi hyväksyttiin
ISO/IEC-standardisoinnin pikamenettelyssä lähes
sellaisenaan ISO/IEC 38500 -standardiksi vuonna 2008.
30.3.2012
6
Minkä IT:n johtamisen ongelmien /
kysymysten ratkaisua IT Governance
tavoittelee?
• Miten aikaansaada enemmän mitattua tuottavuutta ja
arvoa IT:n käytöstä ?
• Miten ylin johto ja (liike)toimintojen ja/tai yksiköiden
johto saadaan ottamaan sille kuuluva vastuu IT:n
johtamisesta IT-johdon rinnalla?
• Miten liiketoiminta ja IT yhdistetään organisaation
strategian toteuttamiseksi ja (liike)toiminnan
tavoitteiden saavuttamiseksi?
30.3.2012
7
Miksi nämä kysymykset on koettu
tärkeiksi ja miten IT Governancen on
ajateltu ratkaisevan ne?
•
•
•
•
Vaikka IT:tä on käytetty jo pitkään organisaatioiden erilaisten
toimintojen tehostamiseen ja laajemmin tuottavuuden lisäämiseen, on
kykymme osoittaa mittaustiedolla hyötyä IT:n käytöstä edelleen
puutteellista. Lisäksi vain pieni osa IT:tä voimakkaasti hyödyntävistä
(liike)toiminnan kehityshankkeista (arkikielessä IT-projekteista)
onnistuu suunnitellusti.
IT:n käytön jatkuvasti laajentuessa, muun muassa, osaksi
organisaatioiden tuotteita ja palveluita sekä erilaisten prosessien ja
toimintojen mahdollistajaksi kysymys (liike)toiminnalle tuotetusta
arvosta on tullut yhä tärkeämmäksi.
IT:n johtamisen puutteita, erityisesti muun kuin IT-johdon vähäistä
osallistumista IT:n käytön johtamiseen, on pidetty keskeisenä
haasteena.
IT Governance -ajattelussa haasteiden ratkaisuksi nähdään
(liike)toimintajohdolle tuttujen johtamismenetelmien (Corporate
Governance, tuloskortti eli Balanced Scorecard) soveltamista IT:n
johtamiseen. Näihin menetelmiin sisältyy myös ajatus (liike)toiminnan
tavoitteiden saavuttamista uhkaavien riskien hallinnasta.
30.3.2012
8
Corporate ja IT Governance
• Corporate governance pyrkii turvaamaan organisaation
arvon kasvun siten, että organisaatiolla on
– arvon tuottoon pohjautuva selkeä strategia ja tavoitteet
– johtamis- ja vastuumalli, joka tukee strategian ja tavoitteiden
saavuttamista
– toimintatavat, jotka auttavat toteuttamaan strategiaa ja
saavuttamaan tavoitteet
– keskeisimpien organisaation toimintaan vaikuttavien strategian
ja tavoitteiden saavuttamista uhkaavien riskien hallinta
– raportointikäytännöt, jotka tuottavat omistajille ja muille
sidosryhmille luotettavaa tietoa organisaation tavoitteista,
kyvystä saavuttaa tavoitteensa ja hallita riskejä sekä
organisaation johtamiskäytännöistä ja vastuista
• IT Governance tarkoittaa siis samojen ajatusten
soveltamista IT:n johtamiseen
30.3.2012
9
Mitä IT Governance tarkoittaa?
• Suomessa IT Governancen suomenkielisenä
käännöksenä on käytetty hyvää tietohallintatapaa,
jolla tarkoitetaan
– organisaation ylimmän johdon, liiketoimintajohdon ja ITjohdon yhdessä käyttämiä riittäviä ja muun johtamisen
kanssa yhteensopivia
– IT:n ohjaus-, riskienhallinta-, valvonta- ja
raportointimenettelyjä,
– jotka varmistavat IT-toiminnan kehittämisen,
IT-palvelujen tuottamisen ja hallinnan liiketoiminnan
tavoitteiden ja vaatimusten mukaisesti.
• IT Governance -toiminnan onnistumista arvioidaan
IT:n (liike)toiminnalle tuottaman arvon ja hyödyn
perusteella (Lähde: ITG Audit -hanke; 2005)
30.3.2012
10
IT Governancen keskeiset piirteet
• IT tuottaa arvoa (liike)toiminnalle
– (Liike)toiminta ja IT linjataan yhteen kaksisuuntaisesti – IT (liike)toiminnan toteuttajana
– Noudattamalla parhaita käytäntöjä
– Raportoimalla tuotettua arvoa mittaustuloksilla
– Määrittelemällä IT ja sen rooli (liike)toiminnassa
• IT:n vastuut ovat selkeät, sovitut ja
kaikkien ymmärtämät
• IT:n kehittämistä, tuotantoa ja riskejä
hallitaan (liike)toiminnalle arvoa tuottavasti
30.3.2012
11
IT Governance on siis käsitteenä ollut käytössä
jo paljon ennen ISO/IEC 38500:2008:aa
•
•
•
Edellä esitetty suomalainen määritelmä hyvälle tietohallintatavalle on samansuuntainen ISO/IEC 38500:2008:n
määritelmän kanssa
Corporate Governance of IT is:
– ”The system by which the current and future use of IT is
directed and controlled.
– Corporate governance of IT involves evaluating and directing
the use of IT to support the organization and monitoring this
use to achieve plans. It includes the strategy and policies for
using IT within an organization.”
CobiTia edistävä ISACA ja ITILiä (information Technology
Infrastrucure Library) edistävä ITsmf (IT Services
Management Forum) ovat liitännäisjäseninä (liasion) mukana
ISO/IEC 38500 -standardiperheen kehittämisessä.
30.3.2012
12
Mitä hyötyä IT Governancesta on?
IT Governancen noudattaminen tuottaa
parempaa taloudellista tulosta
•
•
•
•
Korkeampi liikevoitto
Nopeampi liikevaihdon kasvu
Parempi kannattavuus
Korkeampi IT-investointien
tuotto
30.3.2012
13
Ajattelumallit IT Governancen taustalla
•
•
•
•
•
•
Corporate governance -ajattelu
Organisaatioteoriat ja koetellut johtamiskäytännöt
Liiketoiminnan ja IT:n yhteen linjaus (business-IT alignment)
IT:n johtamisen keskittämis-hajauttamismallit
Balanced Scorecard -ajattelu
IT:n riskien hallinta osana IT:n ja liiketoiminnan johtamista
•
Regulaatio – Cadbury ja OECD (corporate governance), Basel II
ja III (rahoituslaitokset), Solvency II (vakuutusyhtiöt), SarbannesOxley eli SOX (USA), EU:n regulaatio, pörssien raportointiohjeet
30.3.2012
14
2. ISO/IEC 38500:2008 standardin sisältö
• ISO/IEC 38500:2008 -standardi on tekstiltään varsin
lyhyt
– Standardissa määritellään 18 käytettyä käsitettä, joista
Corporate Governance of Information Technology
esitettiin aiemmin. Muita määriteltyjä käsitteitä ovat mm.
Corporate Governance, IT, Use of IT ja Risk
Management
– Standardissa kuvataan kolme IT governanceen liittyvää
tehtävää (tasks) ja kuusi periaatetta (principles) sekä
näiden liittyminen toisiinsa (code of practices)
– Lisäksi standardissa on kuvattu Corporate Governance
of IT:n malli, jota standardointityössä kutsutaan
viitemalliksi (reference model)
30.3.2012
15
ISO/IEC 38500 standardin liitännäisdokumentit
•
AS 8015-2005 -standardissa mainitaan sen taustana
– Good Governance Principles (AS 8000-2003), Fraud and Corruption
Control (AS 8001-2003), Organizational Codes of Conduct (AS 80022003), Corporate Social Responsibility (AS 8003-2003) ja Whistle
Blower protection programs (AS 8004-2003).
•
ISO/IEC 38500:2008:ssa mainitaan viitedokumentteina
•
– Report of the Committee on the Financial Aspects of Corporate
Governance, Sir Adrian Cadbury, London, 1992,
– OECD Principles of Corporate Governance, OECD, 1999 ja 2004
– ISO Guide 73 2002 - Risk management — Vocabulary — Guidelines
for use in standards.
ISO 38500 -standardiperheen kehittämisessä viitedokumentteina on
käytetty lisäksi
– ISO/IEC 20000-1:2005, Information technology - Service
management - Part 1: Specification
– ISO/IEC 31000 - Risk management
– ISO/IEC 29155 - IT performance benchmarking
30.3.2012
16
ISO/IEC 38500 Corporate Governance of
IT -viitemalli (kehitystyössä käytetty)
30.3.2012
17
Keskeistä viitemallissa
•
•
•
Viitemallissa IT:n johtaminen – laajasti ymmärrettynä – jaetaan kahteen
funktioon
– Governance-funktio, jonka tehtävät pohjautuvat EDM -malliin /-prosessiin
– Johtamisfunktio, jonka tehtävät pohjautuvat PDCA-malliin /-prosessiin
Standardin kehittämistyössä on päädytty governance- ja johtamisfunktioiden erotteluun ilman sidosta organisaatiorakenteisiin, koska eri
maissa, erityyppisissä ja erikokoisissa organisaatioissa EDM- ja PDCAtehtävät voivat jakaantua eri tavoin
– ISO/IEC 38500:2008 -standardi on tarkoitettu kaikentyyppisille
organisaatioille olivatpa ne yrityksiä, julkisen hallinnon organisaatioita tai
kolmannen sektorin toimijoita.
Jako governance- ja johtamisfunktioihin on käytännön – etenkin
ylimmän ja (liike)toimintojen johdon IT:n johtamiseen osallistumisen –
näkökulmasta tärkeä. Useimmiten näiden ryhmien tehtävänä on osoittaa
mihin IT:tä tulisi käyttää ja mitä sillä tulisi saada aikaan (evaluate), valita
henkilö(t) joiden vastuulle toteuttaminen annetaan (direct), ja seurata,
että tavoitellut hyödyt saavutetaan (monitor).
30.3.2012
18
Governance- ja johtamisfunktioiden
tehtävät
30.3.2012
19
Governance-tehtävät - evaluate
•
•
•
•
Directors should examine and make judgement on the
current and future use of IT, including strategies, proposals
and supply arrangements (whether internal, external, or
both).
In evaluating the use of IT, directors should consider the
external or internal pressures acting upon the business,
such as technological change, economic and social trends,
and political influences.
Directors should undertake evaluation continually, as
pressures change.
Directors should also take account of both current and future
business needs — the current and future organizational
objectives that they must achieve, such as maintaining
competitive advantage, as well as the specific objectives of
the strategies and proposals they are evaluating.
30.3.2012
20
Governance-tehtävät - direct
•
•
•
•
Directors should assign responsibility for, and direct
preparation and implementation of plans and policies. Plans
should set the direction for investments in IT projects and IT
operations. Policies should establish sound behaviour in the
use of IT.
Directors should ensure that the transition of projects to
operational status is properly planned and managed, taking
into account impacts on business and operational practices
as well as existing IT systems and infrastructure.
Directors should encourage a culture of good governance of
IT in their organization by requiring managers to provide
timely information, to comply with direction and to conform
with the six principles of good governance.
If necessary, directors should direct the submission of
proposals for approval to address identified needs.
30.3.2012
21
Governance-tehtävät - monitor
• Directors should monitor, through appropriate
measurement systems, the performance of IT. They
should reassure themselves that performance is in
accordance with plans, particularly with regard to
business objectives.
• Directors should also make sure that IT conforms with
external obligations (regulatory, legislation, common
law, contractual) and internal work practices.
30.3.2012
22
Governance-periaatteet
Principles for good Corporate Governance of IT
1.
Responsibility
2.
Strategy
3.
Acquisition
4.
Performance
5.
Conformance
6.
Human Behaviour
30.3.2012
23
Governance-tehtävien ja -periaatteiden
vuorovaikutusmalli
Huomautus: Tässä on hyödynnetty ISO/IEC 38500 -standardiperheen kehitystyötä.
On mahdollista, ettei tämä vuorovaikutusmalli päädy koskaan standardin osaksi.
30.3.2012
24
Governance-tehtävät, -periaatteet ja -käytännöt (1)
Tasks, Principles and Code of Practices
Huomautus: Tässä on hyödynnetty ISO/IEC 38500 -standardiperheen kehitystyötä. On mahdollista, ettei yllä kuvattu päädy koskaan standardin osaksi.
30.3.2012
25
Governance-tehtävät, -periaatteet ja -käytännöt (2)
Tasks, Principles and Code of Practices
Huomautus: Tässä on hyödynnetty ISO/IEC 38500 -standardiperheen kehitystyötä. On mahdollista, ettei yllä kuvattu päädy koskaan standardin osaksi.
30.3.2012
26
Governance-tehtävät, -periaatteet ja -käytännöt (3)
Tasks, Principles and Code of Practices
Huomautus: Tässä on hyödynnetty ISO/IEC 38500 -standardiperheen kehitystyötä. On mahdollista, ettei yllä kuvattu päädy koskaan standardin osaksi.
30.3.2012
27
3. ISO/IEC 38500:2008 standardista
standardiperheeseen – IT Governance
-standardien todennäköinen tulevaisuus
• ISO/IEC 38500:2008 hyväksyttiin pikaisella menettelyllä
• Tämän jälkeen käynnistettiin standardin seuraavan version
kehitys ja tämä synnytti myös Suomeen SFS:n alaisuuteen
seurantaryhmän SR 308:n.
• Kehitystyössä on ollut kolme kohdetta
– ISO/IEC 38500 -standardin uusiminen
– ISO/IEC 38501 käyttöönotto-ohjeen laatiminen (implementation
guide)
– ISO/IEC 38502 viitemallin ja kehikon laatiminen (Reference
Model and Framework)
• Kehitystyö ei tuottanut vuoden 2011 puoliväliin mennessä
toivottuja tuloksia, jolloin se keskeytettiin uudelleenorganisointia varten. ISO/IEC 38500:2008 on siten ainoa
standardi”perheen” standardi
30.3.2012
28
Yhteinen, yleinen Governance-malli vai
monta erillistä mallia?
• Toinen keskeinen syy työn uudelleen organisoinnille
on ollut se, että useissa muissa standardeissa
governancen tarve on noussut voimakkaasti esille
• Tämä on synnyttänyt keskustelun siitä, pyritäänkö
saamaan aikaan yksi governance-malli, jota sitten
sovelletaan kuhunkin tilanteeseen sen erityispiirteiden
mukaan, vai syntyykö standardoinnin tuloksena useita
governance-malleja.
– Vaikka usean governance-mallin tilannetta pidetään eitoivottavana, vain aika näyttää lopputuloksen
• Samalla on ilmeistä, että ISO/IEC 38500:2008 -standardi
muodostaa pohjan sitä täydentävälle governanceperheelle, joka kuitenkin saanee 38500:sta poikkeavan
numeroinnin.
30.3.2012
29
4. Esimerkkejä ISO/IEC 38500 -standardin
soveltamisesta
• Governance- ja johtamisfunktioiden jako selkeyttää
RACI-malliin perustuvaa vastuujakoa IT:n johtamisessa
– RACI-mallia (Responsible – Accountable –
Communicated – Informed) käytetään varsin yleisesti
IT:tä koskevien vastuiden osoittamiseen.
– Etenkin suomen kieli tuottaa vaikeuksia käsitteiden
accountable ja responsible kääntämiselle, sillä kumpikin
kääntyvät vastuulliseksi. Eron tekemiseksi accountable
ymmärretään usein ”omistajaksi” ja responsible
”toteuttamisesta/tekemisestä vastuulliseksi”
– Nämä käännökset vastaavat varsin hyvin ISO/IECstandardin mukaisia governance- ja managementfunktioiden eroja
30.3.2012
30
Toiminnanohjauksen kehittäminen, jolla
voimakas IT-riippuvuus (ERP-järjestelmä)
•
•
Suuria ja pitkäaikaisia toiminnanohjauksen kehittämisprojekteja lähestytään
hyvin usein IT:n näkökulmasta eli niitä tarkastellaan IT-projekteina
toiminnan kehittämisen näkökulman sijasta
– Merkittävä syy tähän lienee IT:n käytön tarpeen ja käyttöönoton koettu vaikeus
– Ylimmällä ja (llike)toimintojen johdolla lienee monesti vaikeuksia hahmottaa
omaa rooliaan toiminnanohjauksen kehittämisen IT -läheisissä osissa, kuten
ERP-järjestelmäprojekteissa
ISO/IEC 38500 -standardin governance-tehtävien ja -periaatteiden
soveltaminen antaa ylimmälle ja (liike)toimintojen johdolle selkeän roolin
governance-funktion toteuttajina
– Heidän keskeinen tehtävänsä on kertoa, mitä (liike)toiminnallisia tavoitteita
toiminnanohjauksen kehittämisellä on sekä miten kehitystä ja sen tuloksia
halutaan arvioida
– Lisäksi heidän tehtävänsä on osoittaa henkilöt, jotka vastaavat toiminnan
ohjauksen kehittämisestä ja tukea heitä tässä
– Lopuksi heille kuuluu arvioida ja seurata, saavutetaanko tavoitteet, ja
käynnistää tarvittaessa korvaavat toimenpiteet
30.3.2012
31
Corporate Governance of IT ja COBIT
versio 5
• ISACA julkaisi vuonna 2010 dokumentin nimeltä
”COBIT® 5 Design Paper Exposure Draft”
• Siinä viitataan useasti ISO/IEC 38500:2008:aan ja
todetaan, että COBITia uudistetaan muun muassa
siten, että se noudattaa tätä standardia
– Esimerkiksi: ”Enterprise Governance of IT. COBIT 5 will
align with ISACA’s TGF (=Taking Governance Forward)
initiative as well as recent global governmental and
market-driven enterprise and IT governance initiatives.”
• COBIT 5 versio julkaistiin huhtikuussa 2012. Corporate
Governance of IT:stä käytetään nimitystä ”Governance
of Enterprise IT” (GEIT)
30.3.2012
32
COBIT versio 5:n keskeisenä uutena
näkökulmana on IT Governance
22.3.2012
Tomi Dahlberg
33
Tämä näkyy sekä COBITin periaatteissa ...
Separating Governance from Management
COBIT 5 is not prescriptive, but it advocates that organisations
implement governance and management processes such that
the key areas are covered, as shown.
…että COBIT 5:n prosessimallissa
Governance- ja johtamisfunktioiden
soveltaminen master datan johtamiseen
•
Viime aikoina tiedolla johtaminen, tiedon hallinta ja niiden osana master
datan johtaminen (MDM) ovat olleet runsaan huomion kohteena
– Master datan johtamisen yksi suurimmista haasteista on ollut tiedon
omistajuuden puuttuminen ja/tai sen sopimisen vaikeus tuote-, asiakasja toimittajatiedoille sekä muille master data -tiedoille
– Asian on tehnyt osaltaan hankalaksi se, että näitä tietoja käyttävät
useimmat organisaatioissa työskentelevät henkilöt päivittäisen työnsä
suorittamiseen, päivittäiseen toiminnan johtamiseen. Lisäksi niitä
käytetään johdon raportoinnissa ja erilaisissa analyyseissä
– Governance- ja johtamisfunktioiden erottaminen auttaa myös master
datan johtamisessa merkittävästi
• Governance-funktiossa asetetaan tavoitteet master datan laadulle,
sisällölle ja muille (liike)toiminnallisesti tärkeille ominaisuuksille,
sovitaan vastuut sekä arvioidaan mittaustulosten avulla tavoitteen
mukaisen toiminnan toteutumista
• Johtamisfunktiossa puolestaan huolehditaan tiedon luonnista,
käytöstä, päivittämisestä ja poistamisesta
30.3.2012
36
Lisätietoa
• Standardista vastaa kansainvälinen ISO/IEC JTC 1
-komitea, erityisesti sen työryhmä 6 (WG 6).
• Suomen osalta SFS:n seurantaryhmä SR 308 seuraa
WG 6:n työtä ja laatii kansallisia kannanottoja.
13.4.2015 | 37