1. IT Management Principles
Lost in translation?
by Raphael Rues, Digicomp Romandie SA
Digicomp ITIL Day Zürich, 22.3.2012
2. Raphael Rues, Ascona Ticino
BA degree in economic history, Raphael extends his interest in
computing graduating Wirschaftsinformatiker II at WISS/Zurich and a
postgraduate IT security (NDK-NDS) in Lucerne. Opportunities and
risks are a culmination of activities within Digicomp. In 2003, he
completed his Master MSc in Risk Management - University of
Leicester in England.
Raphael co-directs Digicomp operations in Suisse Romande. Within six
years, turnover has increased fivefold and Digicomp has become
synonymous with leadership in service management training.
Raphael's expertise is both practical (in his capacity as consultant and
senior partner of Minimarisk Gmbh in Zug) and academic. Raphael is in
other certified ISO 20000 Lead Auditor, ITIL v3 Expert, ITIL v2 Service
Manager and he also holds certifications in the areas of security, risk
management and project management.
Hobbys: Travel, Sailing, Flying and circuit driving
3. Agenda
1. Introduction
2. IT Governance
3. Frameworks and Models in IT Management
Value Delivery
Risk Management
Resource Management
Performance Management
Strategic Alignement
4. Improvement approaches
5. Final discussion
4. Goal of the presentation
The purpose of this presentation is to understand and know how to
apply the right framework (principle, baseline, standard) within the IT
management context.
This presentation “IT Management Principles” offers a state-of-the-art
of the main frameworks and IT management models from an holistic
and “swiss minded” view.
You will become familiar not only with the frameworks’ challenges,
standards and models, but also with their principles, key concepts and
the main gains resulting from their implementation. However this may
be only the tip of the iceberg, as (too) many standards are today
available.
9. 2.1 Strategic Alignement
Strategische Ausrichtung
Konzentriert sich auf: die Sicherstellung des
Verbunds von Unternehmens- und IT-
Zielen; auf die Festlegung, Beibehaltung
und Validierung des Wertbeitrags; den
Abgleich zwischen operativem Betrieb des
Unternehmens und jenem der IT
Source: CobIT 4.1
10. CobIT 4.0 and 4.1
Control Objectives for Information Technology
New Version 5.0 expected by mid-2012
4 Domains, 34 Processes
Highlights:
Process Definition (Prozesseigner,
Wiederholbarkeit, Ziele und Vorgaben, Rollen
und Verantwortlichkeiten, Performance des
Prozesses und Policy, Pläne und Verfahren)
Balance Score Card (siehe Performance)
Goals and Metrics per Process (Ziele und
Metriken)
Maturity Model (siehe Performance)
Source: CobIT 4.0
11. IT Assurance Guide
IT Assurance Guide
Based on CobIT
4 Domains, 34 Processes
Highlights:
Control Objective (Was) / Control
Practice (Wie)
Risk Drivers
Source: ISACA Assurance Guide
12. ISO 19011 Audit
ISO 19011 Guidelines for
management systems auditing
With ISO pay attention to
shall/should
Highlight audit process:
Establishing the audit programm
Implementing the audit programm
Monitoring and reviewing
Improving
Source: iso.org
13. 2.2 Value Delivery
Schaffen von Werten/Nutzen
Beschäftigt sich mit der Realisierung des
Wertbeitrags im Leistungszyklus, der
Sicherstellung, dass IT den strategisch
geplanten Nutzen generiert und
konzentriert sich auf die
Kostenoptimierung und die Erbringung
des intrinsischen Nutzens der IT.
14. ISO 20000:1 and ISO 20000:2
ISO 20000 IT Service Management
With ISO pay attention to shall/should
Formerly known as BSI 15000
Highlights:
Slim processes must-have
Not always easy to implement
Takes into consideration the know-how
of the person doing the task!
Source: AFNOR / iso.org
15. 2.3 Resource Management
Ressourcenmanagement
Kümmert sich um die Optimierung von
Investitionen in IT-Ressourcen und ein
geregeltes Management derselben. IT-
Ressourcen sind Applikationen,
Information, Infrastruktur und Personal.
Wesentlicher Bestandteil ist auch die
Optimierung von Wissen und der
Infrastruktur.
16. ITIL v3 2011
ITIL V3 2011 Information Technology
Infrastructure Library
Die IT Infrastructure Library (ITIL) ist eine
Sammlung von Best Practices in einer
Reihe von Publikationen, die eine mögliche
Umsetzung eines IT-Service-Managements
(ITSM) beschreiben und inzwischen
international als De-facto-Standard hierfür
gelten.
In dem Regel- und Definitionswerk werden
die für den Betrieb einer IT-Infrastruktur
notwendigen Prozesse, die
Aufbauorganisation und die Werkzeuge
beschrieben. Die ITIL orientiert sich an dem
durch den IT-Betrieb zu erbringenden
wirtschaftlichen Mehrwert für den Kunden.
17. MOF 4.0
Microsoft Operation Framework 4.0
4 domains (Plan, Deliver, Operate and
Manage)
Highlights:
Very Microsoft minded, much
operational minded
Source: Microsoft Operations Framework 4.0
18. Prince 2 and PMBOK 4.0
Prince2 (Project in Controlled
Environments)
and PMBOK (Project Management
Body of Knowledge)
Highlights:
Prince2: more strategic, emphasis
on business case, planning and
managing of stages (directing a
project)
PMBOK: more tactical – procedural
way of doing projects.
Source: PMI.org / apmg.co.uk
19. 2.4 Risk (and Security) Management
Risikomanagement
Erfordert eine Risiko-Awareness bei der
Unternehmensleitung, ein klares
Verständnis über die Risikobereitschaft
(engl: risk appetite) ein Verständnis für
Compliance-Erfordernisse, Transparenz
über die für das Unternehmen
wichtigsten Risiken und die Integration
der Verantwortlichkeit für
Risikomanagement in der Organisation.
20. M_o_R Management of Risk
Management of Risk (M_o_R)
The M_o_R guide is intended to help
organisations put in place an effective
framework for taking informed
decisions about the risks that affect
their performance objectives across
all organisational activities, whether
these be strategic, programme,
project or operational.
"The term 'management of risk'
incorporates all the activities required
to identify and control the exposure to
risk which may have an impact on the
achievement of an organisation's
Source: M_o_R - OGC.org.uk business objectives.“
21. ISO 27001, ISO 27002, ISO 27005
ISO 27001 (formerly BS 7799) is an information
security “shall” standard providing requirements on a
range of controls for implementing security. ISO
27002 provides “should” guidance.
ISO 27001 contains following domains:
Security policy and Organization of information
security
Asset management and Human resources security
Physical and environmental security
Communications and operations management
Access control
Systems acquisition, development and
maintenance
Security incident management
Source: iso.org
Business continuity management
Compliance
22. Grundschutzhandbuch
Das "IT-Grundschutzhandbuch" heißt
seit der Version 2005 "IT-
Grundschutz-Kataloge".
Die IT-Grundschutz-Kataloge
beinhalten die Baustein-,
Maßnahmen- und
Gefährdungskataloge.
Die Vorgehensweise nach IT-
Grundschutz, Ausführungen zum
Informationssicherheitsmanagement
und zur Risikoanalyse finden Sie nun
unter den BSI-Standards.
Source: bsi.de
23. Standard: BS 25999 (formerly PAS 56)
BS 25999 is a Business Continuity
Management (BCM) standard (albeit not
recognized by ISO) in two parts.
The first, "BS 25999-1:2006 Business
Continuity Management. Code of
Practice", takes the form of general
“should” guidance and seeks to
establish processes, principles and
terminology for Business Continuity
Management.
The second, "BS 25999-2:2007
Specification for Business Continuity
Management", specifies “shall”
requirements for implementing, operating
and improving a documented Business
Continuity Management System
(BCMS), describing only requirements
that can be objectively and
independently audited.
Source: bsi.org.uk
24. BCI Good Practice Guidelines
„Good Practice Guidelines” (GPG) published by the
Business Continuity Institute (BCI) is a further Best
Practice Standard. BCI was established in 1994
with the scope of leveraging the competences and
know-how within Business Continuity
Management. The „Good Practice Guidelines“
appeared for the first in 2002 and, is yearly
updated. The GPG 2008 is in the following six
sections developed:
Section 1: BCM Policy & Programme Management,
Section 2: Understanding the Organisation,
Section 3: Determining BCM Strategy,
Section 4: Developing and Implementing BCM
Response,
Section 5: Exercising, Maintaining & Reviewing
BCM arrangements
Section 6: Embedding BCM in the Organisation’s
Culture.
GPG is freely available under this URL:
http://www.thebci.org/gpgdownloadpage.htm
25. Quasi-Standard: Service Design ITILV3 ITSCM
Stage 1 Initiation: Scope; Terms of
Reference; roles and responsibilities;
resource allocation; project organisation
and control structure; agreed quality and
project plan;
Stage 2 Requirements and Strategy: BIAs;
Risk Analysis; Risk Response Measures;
ITSCM recovery options;
Stage 3 Implementation: Business
Continuity Plans; Change Management and
Configuration Management;
Stage 4 Requirements and Strategy:
Education, awareness and training; regular
review; test programme; Change
Management;
26. Empfehlungen für das Business Continuity Mgmt
The Federal Banking Commission (SFBC)
considers that a Business Continuity
Management is appropriate for a bank, a
prerequisite for authorization to carry on
business within the meaning of art. 3 of
the Bank Act.
With respect to this document, it includes
in principle the recommendations with
which compliance is not mandatory,
except as regards the establishment of an
impact assessment (Chapter 5.4.1) and
the definition of a Business Continuity
strategy (chapter 5.4.2). These two
elements are considered essential by the
SFBC as a minimum standard required of
a point of view of surveillance.
Source: SwissBanking,
http://www.swissbanking.org/11107_d.pdf
27. CH Obligationsrecht
IKS OR Art. 728a seit Januar 2008.
Risikobeurteilung OR Art. 663b z12 (Risk
Management) seit July 2007 – anycase
overall responsability for RM is on VR
Who (Wer)? Public „economic“ companies,
which fulfill at least two of the three
criterias:
Balance sheet > CHF 10 Mio;
Turnover >CHF 20 Mio;
Employees > 50;
28. 2.5 Performance Measurement
Messen von Performance
Verfolgt und überwacht die Umsetzung der
Strategie, Umsetzung von Projekten,
Verwendung von Ressourcen,
Prozessperformance und
Leistungserbringung (engl: Service Delivery).
Es wird beispielsweise eine Balanced
Scorecard verwendet, um die Strategie in
Aktivitäten zu übersetzen und diese messbar
zu machen, die für die Zielerreichung
notwendig sind. Die Messung geht hierbei
über die Anforderungen des
Rechnungswesens hinaus.
29. Reifegradmodel (Capability Maturity Model)
Folgende Ebene:
0—Management Prozesse werden nicht angewandt
1—Prozesse sind ad-hoc und unorganisiert
2—Prozesse folgen einem regelmäßigen Muster
3—Prozesse sind dokumentiert und kommuniziert
4—Prozesse sind gemonitort und gemessen
5—Good Practices werden angewandt und automatisiert
Source: CobIT 4.0 Deutsch
30. Balance Scorecard
Die Balanced Scorecard dient als
Führungsinstrument zur Ausrichtung
der Organisation an strategischen
Zielen. Im Gegensatz zu
Unternehmensleitbildern und anderen
unscharfen Formulierungen versucht
die Balanced Scorecard die Erreichung
von strategischen Zielen messbar und
über die Ableitung von Maßnahmen
umsetzbar zu machen.
Im Gegensatz zu klassischen
Kennzahlensystemen lenkt die BSC
den Blick über die unterstellten
Ursache-Wirkungs-Zusammenhänge
aber auch auf nicht-finanzielle
Indikatoren.
Source: CobIT 4.0 Deutsch
31. Demingkreis
Demingkreis oder auch Deming-Rad
(Plan-Do-Check-Act)
PDCA-Zyklus beschreibt einen
iterativen vierphasigen
Problemlösungsprozess, der seine
Ursprünge in der Qualitätssicherung
hat.
PDCA steht für Plan–Do–Check–Act,
was auch als Planen-Tun-Überprüfen-
Umsetzen oder Planen-Umsetzen-
Überprüfen-Handeln übersetzt wird.
Der PDCA-Zyklus findet ebenfalls
Anwendung beim kontinuierlichen
Verbesserungsprozess
beziehungsweise Kaizen.