1
Joep G.M. Janssen6 april 2007
2
Even voorstellenDrs. Joep Janssen RE [email protected] 51426705
Management Consultant Verdonck, Klooster & Associates
Lead IT Auditor KPN Concern Informatiemanager Belastingdienst Concern Controller Belastingdienst Beleidsmedewerker Financiën Min. WVS Docent Info governance/IT Control UvA, TIAS,
UAMS Gepassioneerd skiër
3
$4 miljard investeringen als kosten geboekt
Belastingontduiking topmanen SEC boekenonderzoek
$ 1.16 miljard niet bestaande omzet geboekt
4
SOx en IT
SOx 404:
1. Evalueer ontwerp en operationele effectiviteit van interne financiële controls
2. Leg alle bekende controls, belangrijke deficiënties en verbeterpunten vast
3. Leg fraudemaatregelen vast
Jaarlijkse review/check door het management en onafhankelijke auditors
Congresmen Sarbanes en Oxley
Doel SOx:Aandeelhouders beschermentegen onjuiste en onvolledigerapportage over financiële resultaten.
5
6
EUROPA USA
High
Low
Low High
“Trust me”
“Tell me”
“Show me”
Tru
st
Transparancy
AZIE
When trust reduces, the need for transparancy, control increases…
7
Programma
1. IT Governance
2. Axioma’s
3. Doelarchitectuur
4. Sourcing strategy
5. Demand-Supply
8
Management statement onIT Governance
“IT governance is the responsibility of Telco’s executives to
install a system of management control that ensures that
Telco’s business objectives are achieved through end-to-end
processes, quality of information and the supportive IT. This
consists in our opinion of directing Telco’s IT resources
towards optimal performance aiming for:
- IT to be aligned with the business and the business
processes;
- IT resources to be used in a controlled structure;
- IT risks to be assessed and to be managed appropriately.”
“Further formalisation of goal setting and performance monitoring of the overall IT program could be enforced by regular internal audits.”
9
ITITGovernanceGovernance
Forces influencing IT GovernanceIT Governance Institute Erik Guldentops
TrustTrust(McKinsey)(McKinsey)
ValueValue(Brookings Institute)(Brookings Institute)
SurvivalSurvival(Alan Greenspan)(Alan Greenspan)
AssuranceAssurance(Turnbull)(Turnbull)
Regulations establishing responsibility of enterprise officers for internal control
and risk transparency.
Institutional investors willing to pay up to 20% premium for
shares of enterprises that have governance framework
Trust can vanish overnight. A factory cannot.
85% of market value of enterprises is intangible (knowledge, information,
capability…)
www.itgi.org
10
IT Governance Institute approach
IT governance, like other governance subjects, is the responsibility of executives and shareholders (represented by the board of directors). It consists of the leadership and organisational structures and processes that ensure that the organisation’s IT sustains and extends the organisation’s strategies and objectives.
Definition
EnvironmentEthics & CultureLaws & RegulationsMission & VisionRole ModelsIndustry Practices…...
Alignment
Valu
e
Delivery
Man
agem
ent
of R
isk
Monitoring &
ReportingEvalu
ati
on
LifecycleProvide Provide DirectionDirection
CompareCompare
Measure Measure PerformancePerformance
IT ActivitiesIT Activities
Increase automation (make the business
effective) Decrease cost (make the enterprise
efficient) Manage risks (security, reliability and
compliance)
IT is aligned with the business, enables the business and maximises benefits IT resources are used responsibly IT related risks are managed appropriately
Set ObjectivesSet Objectives
Framework
11
Clinger Cohen Act en andere wetten
B. Gericht op de controlling en monitoring van IT investeringen 1. Bestuurder rapporteert jaarlijks over de effecten van innovatie
programma's en IT investeringen2. Bestuurder analyseert systematisch de risico's en resultaten van grote
IT investeringen3. Bestuurder monitored de uitvoering van IT programma’s. 4. CIO adviseert op basis van zijn inzichten bestuurder over doorgaan,
aanpassen of beëindigen van IT programma's.5. Projectenresultaten die sterk afwijken van initiële plannen worden
geanalyseerd en gerapporteerd.
A. Gericht op de aansturing van IT investeringen
1. Bestuurder maakt jaarlijks een Information Resource Management plan.2. IT investeringen volgen dezelfde budgetregels als andere
investeringsbeslissingen.3. Bestuurder, CIO en de CFO maken policies voor betrouwbare financiële en
niet financiële rapportages uit applicaties4. Bestuurder zorgt voor eigenaarschap en houderschap van IT systemen5. IT contracten voldoen aan algemeen geldende inkoopeisen.
12
Organisatie Telco
DivisionMobile
DivisionFixed
IT en TI partners
Operators TI
RvB
Corporate staf
13
Begrippenkader en scope ICT
ICT kent globaal 3 toepassingen voor een telco
1. “Netwerk productiemiddelen” (schakelapparatuur, routers, hubs, telefooncentrales) ook wel TI genoemd ( “C” van ICT)
2. IT product/ dienst georiënteerd (SMS, voicemail, etc)
3. IT bedrijfsproces georiënteerd (zoals billing, CRM, incl. systemen en bedrijfsnetwerken)
Huidige IT governance primair gericht op toepassing 3:
• Conform gangbare benchmarks
Ingezette trend: product georiënteerde IT neemt toe
14
Positionering CIO en DIO
Corporate Center
CIO
Division Fixed
DIO
DIO overleg
DIO
Board
DIO
Division Mobile
15
Implementation
Structure
Strategy
InformationTechnology
InformationSystems
Business
BusinessAlignment
DemandManagement
IT Governance framework
pro
du
ct, p
roce
ss,
org
an
isa
tion
IT p
rodu
cts,
se
curi
tyIT
man
ag
emen
t
use
of i
nfo
rma
tion
and
tran
spo
rt
DIO focus CIO focus
16
Ontwikkeling in IT Governance
Contractmanagement
Business - IT oriëntatie
Technische oriëntatie
Delegatie van bevoegdheden
Business InformationSystems
InformationTechnology
Strategy
Structure
Implementation
Business InformationSystems
InformationTechnology
Strategy
Structure
Implementation
17
Expertisegebieden bij IT Governance
BusinessAlignment
DemandManagement
IT Service Management
Information architecture
User/Applicationcontrols
Security/Operations
SourcingInformation Economics
Compliancemanagement
Third PartyAssurance
Managementof changeStructure
Information Systems
Implementation
Strategy
InformationTechnologyBusiness
18
Werkgebieden focus CIO
BedrijfsprocessenBedrijfsprocessen
GegevensGegevens
ProductenProducten
ApplicatiesApplicaties
TechnologieTechnologie
Werkgebied CIO
19
Business is leidend in proces/functionaliteit ontwikkeling Benoemen van de procesketens uitgaande van
het product-portfolio Business manager is eigenaar van een
procesketen Eigenaar keten is integraal (mensen, middelen,
geld) verantwoordelijk voor het ontwerpen, inrichten en operationeel houden van zijn procesketen(s)
Eigenaar is verantwoordelijk voor vernieuwing van zijn procesketen(s)
Business unit bepaalt KPI’s
20
IT Governance uitgangspunten RvB integraal verantwoordelijk IcT
• CIO rapporteert aan portefeuillehouder binnen RvB• CIO adviseert RvB
CIO is operationeel verantwoordelijk voor ontwikkeling en implementatie van het overall beleid (in nauw overleg met de business)
• Eigenaar doel architectuur• Uitvoerend voor corporate projecten
DIO is operationeel verantwoordelijk voor implementatie van het divisie beleid
• Uitvoerend voor divisie projecten, • Enforcement vastgesteld beleid
Besturing via de lijn (IcT aspecten: CIO-DIO)• IcT middelen• IcT CAPEX en OPEX• Projectcontrol en -monitoring
21
IT Governance is kaderstellend voor IT management
IT Governance
IT Management
Business orientatie
Intern
Extern
Tijds dimensieToekomstHeden
Ontleend aan IT Governance mechanismen: Wim van Grembergen en Steven de Haes, Kluwer 2004
IT Control
22
BusinessAlignment
DemandManagement
Positionering Axioma’s en Doelarchitectuur
SLA’s
Axioma’s
Doel-architectuur
Corporate kaders en regels
Corporatebedrijfsfuncties en -processen
23
IcT axioma’s
1. Hanteren internationale standaarden2. Gebruik standaard software3. Sturing op procesketens en bedrijfsprocessen4. IcT ondersteunt ontkoppelpunten
bedrijfsproces5. Procesketens op elkaar afstemmen.6. Gebruik corporate data7. Applicaties opgenomen in IcT Repository 8. Gemeenschappelijk gebruik IcT-diensten9. Gebruik IcT-managementmethodieken
10.Hergebruik applicaties
24
Basis ketenmodel telco
SalesCDR
processingTariffing Collection
GeneralLedger
Order intake
A BCall center
Derden
Orderrealisation
Telco
25
Net sales
Financial reporting proces
Operationeel end-to-end proces
applicatie applicatie applicatie applicatie
application application
applicatie
applicatie
Klan
t
1
2
= verwijzing journaalpost
eTOM OPS3-2ResourceProvisioning
eTOM EM 5-1Financial Management
eTOM OPS 3-5 ResourceDatacollection & Processing
eTOM OPS 2-5Service &SpecificInstanceRating
eTOM OPS 1-8 Billing &Collectionsmanagement
eTOM OPS 1-5 OrderHandling
Verzamelen CDR’s
Validateer CDR’s
Tarifing CDR’s
Berekenrekening
Produceerrekening
ActiveerNetwork
BepalenTranspost
JournalisingTranspost Saldi-balans
Contract
Rekening
switch
eTOM OPS 2-2 Service configuration &Activation
applicationapplication
ActiveerService
RegistreerOrder
RegistreerContract
eTOM OPS 1-4 Selling
End-to-end processen (eTOM)
26
extended Telecom Operations Map
Customer
Fulfillment Assurance Billing
Customer Relationship Management
Supplier/Partner Relationship Management
Resource Management & Operations
Application, Computing and Network
Service Management & Operations
Marketing, Sales and Offer Management
Enterprise Management
Infrastructure Lifecycle Management
Product Lifecycle Management
Supply Chain Lifecycle Management
27
Order Handling
Sales Problem Handling
Invoicing/
ServiceConfiguration Discounting
Service
DevelopmentPlanning/
Service Quality Management
Rating and
Customer Care Processes
Service/Product Development and Maintenance Processes
Network and Systems Management Processes
Collection
Service Problem Resolution
NetworkMaintenance& Restoration
NetworkProvisioning
Network Planning/ Development
Network InventoryManagement
Network DataManagement
Fulfilment Assurance Billing
Customer QoSManagement
Physical Network (switch etc.)
Customer Interface
Proces en Telecom Operations Map (eTOM)
Klant
Infrastructuur Lifecycle Management
Product Lifecycle Management
Supply Chain Lifecycle Management
Ente
rprise
Managem
ent
versie0.8
Net sales
Financial reporting process
Operational end-to-end process
application application application application
application application
application
application
Klan
t
1
2
= verwijzing journaalpost
eTOM OPS3-2ResourceProvisioning
eTOM EM 5-1Financial Management
eTOM OPS 3-5 ResourceDatacollection & Processing
eTOM OPS 2-5Service &SpecificInstanceRating
eTOM OPS 1-8 Billing &Collectionsmanagement
eTOM OPS 1-5 OrderHandling
Collect CDR’s
Validate CDR’s
Tarifing CDR’s
CalculateBill
ProduceBill
ActivateNetwork
BepalenTranspost
JournalisingTranspost Saldi-balans
Contract
Invoice
switch
eTOM OPS 2-2 Service configuration &Activation
applicationapplication
ActivateService
RegisterOrder
RegisterContract
eTOM OPS 1-4 Selling
Business end-to-end processes(eTOM)
28
Notifications Trouble Reports, Status reports
Problem HandlingQoS & SLA terms, Profiles
- Receive trouble notif- Determine cause &resolve- Track progress of resolution- Initiate action to reconfigure- Generate TT to suppliers- Confirm trouble cleared- Notify cust. trouble cleared
Trouble reports
Completion notification
INPUTS
SLA violations, Planned mtc. scheduling and notification
Problem reports
SLA/QoS violations, Trouble reports
OUTPUTS
Request to re-configure
Trouble report, Trouble cleared
Trouble report*
Trouble report
Trouble report,Trouble cleared
- Schedule with and notify customer of planned work
QoS Violations
Major Trouble Reports
Customer
CustomerInterface
Man.
OrderHandling
ServiceConfiguration
OtherProvider(s)
ServiceProblem
Resolution
CustomerQoSMan. Service
QualityMan.
Customer
CustomerInterface
Man.
Sales
CustomerQoSMan.
ServiceConfiguration
OtherProvider(s)
ServiceProblem
ResolutionRating &
Discounting
TOM detail: Spider Diagrams
29
Doel architectuur
Fulfillment
Marketing
• Product/ formula data• Pricing data• Product performance• Market segment data• Forecasts and
marketing plans• Competitors info
Sales
• Funnel data (prospects)
• Sales data (campaigns)
• Channel-specific data
• Proposals
Purchasing
• Supplier database• Supplier contract• Supplier product/ services
catalogue• Purchase order• Purchase bills & payments• Inventory data
(“warehouse”)
Enterprise Mgmt
• Organizational data• Financial data• Management info data• Treasury, cash, asset
mgmt.• Financial risk mgmt.• Employee information /
HR mgmt.• Salaries registration• Benefits &
compensation
• Customer info/profiles• Cust. quality info /
behavior• Customer order• Delivery order• Commercial Installed
base (contract)• Case & contact (history
log)
• Current resource inventory• Planned resource inventory• Service/network status• Trouble tickets• Service/network events• Technical service specs.• Technical installed base• Workorders• Workforce allocation• Network performance/QoS• Service performance/QoS
CorporateDirectory
Service Backbone
Operations
Billing
• Rated usage data• Bills• Payments and account
status• Billing disputes/
collections
30
Governance op doelarchitectuur1. Domains:
2. Governance structure :• Company wide steering committee; chair RvB member• Board responsibilities like wise (Fixed, Mobile, CFO)• Clear domain accountability (domain manager)• Linkage to business via sponsor,
steer by domain management:
3. Roles /responsibilities in conformance with baseline document:• Domain manager (reporting to DIO), DIO & CIO• Program office per division chaired by DIO• Architectural board chaired by CIO (with participation of division)
Service Backbone
Sales Fulfillment Billing
Operations Purchasing
Enterprise mgmt.
Marketing
Service Backbone
Sales Fulfillment Billing
Operations Purchasing
Enterprise mgmt.
Marketing
Service Backbone
Sales Fulfillment Billing
Operations Purchasing
Enterprise mgmt.
Marketing
fixed mobile corporate
businesssponsor
(MT member)
operationalmngt
domainmngr
working mode
31
Different Levels of IT Control
Strategic
Tactic
OperationalPossible OutsourcingPossible Outsourcing
CorCoree
32
Clear governance relationshipsBusiness view
Technology view
Business processes
Business rules
Domain structure Functional
architecture Data architecture Domain services Governance
model
Application programs and modules
Databases Connectivity
Hardware, opera-ting systems, net-works
Middleware, data-base management systems
Domains/servicesProcesses TechnologyApplications
Strategic aspiration
Business plan Value proposition Going-to-market
model
Business strategy
Business IT Demand(CIO/DIO)
IT Supply (IT Service organizations)
33
Verbeter demand-supply organisatie
samenhangIT
systemen
inrichtendemand
organisatie
aansturingsupply &
leveranciers
34
IT sourcing strategy IT-operations en-supply is geen core business
• soms (als uitzondering) in geval:
- key technology in begin van life cycle - concurrentie voordeel
IT generiek• altijd uitbesteden • mono vendor outsourcing
Specifiek • applicatie architectuur altijd bij business!• regie en acceptatie altijd bij business• functioneel ontwerp eventueel uitbesteden• technische ontwerp uitbesteden• bouw uitbesteden• technisch testen uitbesteden• multi vendor outsourcing
• Preferred suppliers– CIO/DIO selecteert– RvB stelt vast
35
Demand Mngt - “Broker” - Functional characteristics - Quality Assurance - Maintenance documentation
Demand Management
Business- Functional requirements- Usage- Money
-Operations-Softwaremaintenance/supply
- Infrastructure
IT- Axioms- Portfolio- Target architecture
Purchasing- Contract standards- Preferred Suppliers- Legal guidelines
Selection functionalityImplementation/Control SLA
Organization Supply
36
Telco heeft behoefte aan een IT Control Framework
Telco moet voldoen aan eisen Corporate Governance (SOx; COSO)
IT Governance is een belangrijk onderdeel van Corporate Governance (Governance manual IT Governance manual)
IT Governance omvat policies, rollen en verantwoordelijkheden èn IT management processen (plan-build-run-monitor)
Telco houdt zich aan de internationale standaarden voor IT management processen
Telco wil de management control op de IT demand-supply processen verbeteren
Telco wil de bestaande IT management processen zoveel mogelijk handhaven.
37
BUSINESSPROCESSESBUSINESS
PROCESSES
INFORMATIONINFORMATION
• effectiveness• efficiency• confidenciality• integrity• availability• compliance• reliability
• effectiveness• efficiency• confidenciality• integrity• availability• compliance• reliability
Criteria
COBITCOBIT
IT RESOURCES
IT RESOURCES
• data• aplication systems• technology• facilities• people
• data• aplication systems• technology• facilities• people PLANNING AND
ORGANISATIONPLANNING AND ORGANISATION
AQUISITION ANDIMPLEMENTATIONAQUISITION AND
IMPLEMENTATION
DELIVERY AND SUPPORT
DELIVERY AND SUPPORT
MONITORINGMONITORING
Telco adopteert het CobiT Framework
In order to provide In order to provide the information the information
that the that the organization needs organization needs
to achieve its to achieve its objectives, IT objectives, IT
resources need to resources need to be managed by a be managed by a set of naturally set of naturally
grouped grouped processes. processes.
supply
Business
alignme
nt
deman
d
38
Gartner Advisory on CobiT and ITIL
ITILITILActivitiesActivities
BS7799BS7799SecuritySecurity
CobiTCobiTControlControl
WHATWHAT
HOWHOW
39
ITILITILActiviteitenActiviteiten
CobiTCobiTControlControlWATWAT
HOEHOE
CobiT, ITIL en BS 7799
BS7799BS7799SecuritySecurity
CobiT, ITIL and BS 7799CobiT, ITIL and BS 7799Zijn aanvullendZijn aanvullend
Sterk Zwak
ITIL IT processen (hoe) security, systeemontwikkeling, eisen aan mensen, rollen en verantwoordelijkheden
BS7799 Security controles (wat) processtromen (hoe), eisen aan mensen, rollen en verantwoordelijkheden
CobiT IT controles, IT metrics (wat)
processtromen (hoe), eisen aan mensen, rollen en verantwoordelijkheden
40
Het IT Control Framework
1. Manage Changes
2. Manage IT-configurations
3. Manage IT incidents and problems
4. Manage Security
5. Manage Service levels
6. Manage Business Continuity
7. Manage IT Costs
8. Manage Business Information Planning
9. Manage Releases (Project Management)
10. Manage IT Sourcing
41
Voorbeelden CobiT controls Manage Service Levels(ontleend aan CobiT 4.0)DS1.6 Review of Service Level Agreements and Contracts Evalueer de serviceniveau overeenkomsten en ondersteunende contracten
op regelmatige basis met interne en externe dienstverleners om zeker te stellen dat ze effectief en actueel zijn, en om rekenschap te geven van wijzigingen in de vereisten.
ME1.4 Performance Assessment Beoordeel op periodieke wijze de performance ten opzichte van de
gestelde doelen, voer een analyse uit naar de hoofdoorzaak en voer corrigerende maatregelen uit om de onderliggende oorzaken weg te nemen.
ME2.5 Assurance of Internal Control Verkrijg meer zekerheid over de volledigheid en effectiviteit van interne
controlemaatregelen door middel van beoordelingen door derde partijen. Deze beoordelingen kunnen worden uitgevoerd door Opdrachtgever of Leverancier zelf of, op verzoek van het management van Opdrachtgever of Leverancier, door de interne auditafdeling of worden opgedragen aan externe auditors, consultants of certificerende instanties. Kwalificatie van de personen die de audit uitvoeren, b.v. Register EDP-auditor (RE) of Certified Information Systems AuditorTM (CISA®)-certificering, moet verzekerd zijn.
42
Controle op de IT Service Organisatie
Outsourcing van interne gemeenschappelijke IT operations vereist ‘in control’ management vanuit de demand organisatie.
Verschillende controls op IT service organisaties mogelijk:– Service level reports/Management Meetings– Periodiek bezoek auditor– Certificaten (ISO/ BS 7799 part II)– Third Party Memorandum (TPM) of onafhankelijke service
auditor Telco vraagt van supplier TPM in vorm van SAS 70 type 2 report
on IT Service organisatie (TPM)SAS 70 type II rapportage vereist: – Onafhankelijke auditor toetst controls bij service organisatie– Het auditors rapport op interne controles moet relevant zijn
voor de financiële rapportages• Scope: financiële applicaties• Normen: COSO en CobiT framework
– Het rapport behelst design, bestaan en operationele effectiviteit van de interne controles.
43
Niet elke presentatie is een success ........Niet elke presentatie is een success ........……. Ik hoop dat u deze heeft kunnen ……. Ik hoop dat u deze heeft kunnen waarderenwaarderen
Top Related