cobit ir jo panaudojimas it valdymui ir auditui - … ir jo...*cobit 4.1. metodika, kontrolės...
Post on 06-Jan-2020
3 Views
Preview:
TRANSCRIPT
COBIT ir jo panaudojimas IT valdymui ir auditui
Dainius Jakimavičius, CGEIT
Informacinių sistemų ir infrastruktūros audito departamento direktorius
ISACA Lietuva tyrimų ir metodikos koordinatorius
Vilnius, 2013 m. kovo 26 d.
Kodėl COBIT?
Kad veiklos poreikius atitinkančios IT paslaugos būtų sėkmingai teikiamos,
vadovybė turi sukurti vidaus kontrolės sistemą.
COBIT padeda tai pasiekti:
• susiedama IT su veiklos poreikiais,
• susistemindama IT veiklas į visiems priimtiną procesais pagrįstą modelį,
• identifikuodama pagrindinius IT išteklius, kurie turi būti efektyviai
valdomi,
• nustatydama valdymo kontrolės tikslus*
COBIT yra visuotinai pripažintas vidaus kontrolės instrumentas, skirtas IT valdymui
*COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 23 psl.
Valstybinio IS audito apimtis
Valstybės kontrolieriaus 2006-04-27 d. įsakymas Nr. V-65 “Dėl informacinių sistemų audito metodinių rekomendacijų patvirtinimo”:
IS auditasvidaus kontrolės
vertinimas
IS vertinimas 3E
požiūriu
(veiklos auditas)
bendrosios
kontrolės
vertinimas
IS kūrimo
kontrolės
vertinimas
taikomųjų
programų
kontrolės
vertinimas
Finansinis
auditas
Veikos
auditas
Tarptautiniai vidaus audito standartai
2110 Organizacijos valdymas (Governance)
2110.A2 – Vidaus auditas turi vertinti, ar organizacijos informacinių
technologijų valdymas atitinka organizacijos strategijos ir tikslus
ir ar padeda juos įgyvendinti.
COBIT komponentų tarpusavio ryšiai
Veiklos tikslai
IT tikslai
IT procesai
Pagrindinės
priemonės
Atskaitomybės ir
atskaitingumo
schema (RACI)
Veiklos
rodikliai
Rezultato
rodikliai
Brandos
modeliai
Kontrolės
sąrangos
testai
Kontrolės
praktika
pagrįsti
Kontrolės
rezultato testai
Kontrolės
tikslai
kuriuos audituoja kontroliuojamivertinami
detalizuoti į
kurias atliekapagal veiklos
efektyvumąpagal rezultatą pagal brandą
sudaryti
pagal
kuriuos audituojakuriuos įgyvendina
poreikiai informacija
Tikslų kaskadas pagal COBIT 4.1
Priedas I, COBIT 4.1
17 Veiklos tikslų
28 IT tikslai
34 COBIT Procesai
PO: 10
AI: 7
DS: 13
ME: 4
17 veiklos tikslų (subalansuotųjų veiklos rodiklių
sistema, BSC perspektyva):
1-3 – Finansinė perspektyva
4-9 – Kliento perspektyva
10-15 – Vidaus (procesų) perspektyva
16-17 – Mokymosi ir augimo perspektyva
28 IT tikslai
34 COBIT procesai
Pavyzdys: PO1
Tikslų kaskadas pagal COBIT 5
Priedai B, C. D, COBIT5- A Business Framework for
the Governance and Management of Enterprise IT
17 Veiklos tikslų
17 IT tikslų
37 COBIT Procesai
EDM: 5
APO: 13
BAI: 10
DSS: 6
MEA: 3
17 veiklos tikslų (BSC perspektyva):
1-5 – Finansinė perspektyva
6-10 – Kliento perspektyva
11-15 – Vidaus (procesų) perspektyva
16-17 – Mokymosi ir augimo perspektyva
17 IT tikslų (BSC perspektyva):
1-6 – Finansinė perspektyva
7-8 – Kliento perspektyva
9-15 – Vidaus (procesų) perspektyva
16-17 – Mokymosi ir augimo perspektyva
37 COBIT procesai
Suinteresuotųjų šalių
poreikiai
COBIT 4.1 procesai
PLANAVIMAS IR ORGANIZAVIMAS
PO1 Strateginio IT plano apibrėžimas
PO2 Informacinės architektūros nustatymas
PO3 Technologinės krypties nustatymas
PO4 IT procesų, organizacinės struktūros ir ryšių
apibrėžimas
PO5 IT investicijų valdymas
PO6 Vadovybės tikslų ir krypties komunikavimas
PO7 IT žmogiškųjų išteklių valdymas
PO8 Kokybės valdymas
PO9 IT rizikos vertinimas ir valdymas
PO10 Projektų valdymas
ĮSIGIJIMAS IR ĮDIEGIMAS
AI1 Automatizuotų sprendimų nustatymas
AI2 Taikomosios programinės įrangos įsigijimas ir
priežiūra
AI3 Technologinės infrastruktūros įsigijimas ir
priežiūra
AI4 Pasirengimas naudojimui
AI5 IT išteklių įsigijimas
AI6 Pokyčių valdymas
AI7 Sprendimų ir pokyčių diegimas ir akreditavimas
TEIKIMAS IR PALAIKYMAS
DS1 Paslaugų lygių apibrėžimas ir valdymas
DS2 Trečiųjų šalių paslaugų valdymas
DS3 Veiklos efektyvumo ir pajėgumo valdymas
DS4 Nepertraukiamo paslaugų teikimo užtikrinimas
DS5 Sistemų saugos užtikrinimas
DS6 Sąnaudų nustatymas ir paskirstymas
DS7 Naudotojų švietimas ir mokymas
DS8 Pagalbos tarnybos ir incidentų valdymas
DS9 Konfigūracijos valdymas
DS10 Problemų valdymas
DS11 Duomenų valdymas
DS12 Fizinės aplinkos valdymas
DS13 Procesų valdymas
STEBĖSENA IR VERTINIMAS
ME1 IT veiklos stebėsena ir vertinimas
ME2 Vidaus kontrolės stebėsena ir vertinimas
ME3 Atitikties išoriniams reikalavimams
užtikrinimas
ME4 IT valdymo užtikrinimas
11Source: COBIT® 5, figure 4. © 2012 ISACA® All rights reserved.
COBIT 5 veiklos
tikslų ir IT tikslų
sąsajos
Source: COBIT® 5, figure 4. © 2012 ISACA® All rights reserved.
COBIT 5 veiklos tikslų ir IT tikslų sąsajos
13Source: COBIT® 5, figure 4. © 2012 ISACA® All rights reserved.
COBIT 5 IT
tikslų ir
procesų
sąsajos
Pagrindinės priemonės- PO1
IT procesas: Strateginio IT plano apibrėžimas
Veiklos poreikis: sustiprinti ar išplėsti veiklos strategiją ir valdymo reikalavimus, skaidriai pateikiant naudą, sąnaudas ir riziką
Tikslo ir veiklos rodikliai (bendriniai)
COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 23 psl.
Tikslo rodikliai
Veiklos rodikliai
Brandos modeliai
COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 18 psl.
Brandos modelis leidžia įvertinti, kokį kokybės lygį yra pasiekę procesai, t.y,
koks faktinis jų pajėgumas. Kokį kokybės ar pajėgumo lygį jie turi pasiekti,
pirmiausia priklauso nuo IT tikslų ir su jais susijusių veiklos poreikių
Brandos modeliai – bendrasis brandos modelis
COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 19 psl.
Brandos modeliai – PO1
COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 32 psl.
PO1 Strateginio IT plano apibrėžimas
Proceso Strateginio IT plano apibrėžimas valdymas, atitinkantis IT veiklos poreikį sustiprinti ar
išplėsti veiklos strategiją ir valdymo reikalavimus skaidriai pateikiant naudą, sąnaudas ir riziką, yra:
0 Neegzistuojantis, kai IT strateginis planavimas nevykdomas. Vadovybė nemano, jog IT
strateginis planavimas reikalingas veiklos tikslams palaikyti.
1 Pirminis / Ad Hoc, kai IT vadovybė supranta IT strateginio planavimo poreikį. IT
planavimas vykdomas esant reikalui pagal konkretų veiklos poreikį. IT strateginis planavimas
retkarčiais aptariamas per IT vadovybės susirinkimus. Veiklos poreikiai, taikomosios
programos ir technologijos derinamos reaguojant į poreikius, o ne pagal visos organizacijos
strategiją. Pavieniuose projektuose neformaliu būdu nustatoma strateginės rizikos pozicija.
2 Pasikartojantis, bet intuityvus, kai IT strateginis planavimas esant reikalui vykdomas kartu
su veiklos vadovais. IT planai atnaujinami vadovybės prašymu. Strateginiai sprendimai
įgyvendinami atskirais projektais nebūtinai suderinus su bendra organizacijos strategija.
Pagrindinių strateginių sprendimų rizika ir nauda naudotojui suprantamos intuityviai.
Brandos modeliai – PO1 (2)
COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 32 psl.
3 Apibrėžtas, kai politika apibrėžia, kada ir kaip atlikti IT strateginį planavimą. IT strateginis
planavimas vykdomas laikantis struktūrinio metodo, kuris yra dokumentuotas ir žinomas
visiems darbuotojams. IT planavimo procesas yra pagrįstas ir užtikrina, kad planavimas
greičiausiai bus atliktas tinkamai. Tačiau individualiems vadovams suteikiama veiksmų laisvė
įgyvendinti procesą ir nėra procedūrų jį patikrinti. Bendrojoje IT strategijoje nuosekliai
apibrėžiama rizika, kurią organizacija nori prisiimti kaip novatorė arba sekėja. IT finansinė,
techninė ir žmogiškųjų išteklių valdymo strategija daro vis didesnę įtaką įsigyjant naujus
produktus ir technologijas. IT strateginis planavimas aptariamas veiklos vadovybės
susirinkimuose.
4 Valdomas ir vertinamas, kai IT strateginis planavimas yra standartinė veiklos praktika, o
netinkamą jos vykdymą vadovybė tikrai pastebėtų. IT strateginis planavimas yra apibrėžta
aukštesnio lygio vadovų funkcija. Vadovai gali stebėti IT strateginio planavimo procesą,
remdamiesi stebėsenos duomenimis, priimti kompetentingus sprendimus ir vertinti jo
rezultatyvumą. Visos organizacijos mastu vykdomas tiek trumpalaikis, tiek ilgalaikis IT
planavimas ir esant reikalui procesas kartojamas. IT strategija ir organizacijos strategija vis
labiau derinamos, atsižvelgiant į veiklos procesus ir pridėtinę vertę teikiančius gebėjimus bei
efektyviai panaudojant taikomąsias programas ir technologijas perprojektuojant veiklos
procesus. Sukurtas gerai apibrėžtas procesas, nustatantis sistemos kūrimui ir operacijoms
reikalingų vidaus ir išorės išteklių naudojimą.
Brandos modeliai – PO1 (3)
COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 32 psl.
5 Optimalus, kai IT strateginis planavimas yra dokumentuotas, gyvas procesas, į kurį nuolat
atsižvelgiama nustatant veiklos tikslus ir kurio rezultatas – pastebima nauda veiklai per
investicijas į IT. Rizikos ir pridėtinės vertės aptarimas nuolat atnaujinamas IT strateginio
planavimo procese. Realistiniai ilgalaikiai IT planai kuriami ir nuolat atnaujinami, kad
atspindėtų besikeičiančias technologines ir veiklos aplinkybes. Atliekama lyginamoji analizė
pagal gerai suprantamas ir patikimas sektoriaus normas, ji integruojama į strategijos
formavimo procesą. Strateginiame plane aptariama, kaip technologijų naujovės gali skatinti
naujų veiklos gebėjimų kūrimą ir gerinti organizacijos konkurencinį pranašumą.
Kontrolės rezultato testai PO1 (padidinta)
IT Assurance Guide using COBIT, p.56
Take following steps to test the outcome of the control objectives:• Confirm through interviews with steering committee members and other sources that
the steering committee members are appropriately represented by IT and business unit
leadership (e.g., awareness of roles, responsibility, decision matrix and their
ownership).
• Review the approved steering committee charter and assess for relevance (e.g., roles,
responsibility, authority, accountability, scope and objectives are communicated and
understood by all members of the committee).
• Inspect business cases to determine that the documentation has appropriate content
(e.g., scope, objectives, cost-benefit analysis, high-level road map, measures for
success, roles and responsibilities, impact of existing IT investment programmes) and
that the business cases were developed and approved in a timely manner. Confirm
through interviews whether IT-enabled investment programmes, IT services and IT
assets are evaluated against the prioritisation criteria (review the documented
prioritisation criteria).
Kontrolės tikslai
COBIT kontrolės tikslai (jų virš 200 COBIT 4.1) pateikia išsamų rinkinį aukšto lygio reikalavimų, į kuriuos vadovai turi atsižvelgti, siekdami rezultatyvios kiekvieno IT proceso kontrolės
Kitaip sakant, COBIT kontrolės tikslai nustato, kas turi būti valdoma kiekviename COBIT procese, kad būtų pasiekti veiklos tikslai ir minimizuotas rizika.
Kontrolės tikslai – PO1
PO1 Strateginio IT plano apibrėžimas
PO1.1 IT vertės valdymas
Kartu su veiklos atstovais užtikrinkite, kad organizacijos IT palaikomų investicijų portfelį
sudarytų programos, pagrįstos svariais veiklos atvejais. Nustatykite, ar daromos privalomos,
palaikomos ir savarankiškos investicijos, kurios skiriasi sudėtingumu ir lėšų paskirstymo
laisve. IT procesais programų IT komponentai turi būti teikiami rezultatyviai ir efektyviai bei iš
anksto įspėjama apie nuokrypius nuo plano, įskaitant kainą, grafiką ar funkcines galimybes,
kurie gali turėti įtakos numatomiems programų rezultatams. IT paslaugos turi būti teikiamos
pagal teisingas ir įvykdomas paslaugų lygio sutartis (PLS, angl. SLAs). Reikia aiškiai paskirti
ir tikrinti atskaitomybę už naudos pasiekimą ir sąnaudų kontrolę. Įveskite nešališką, skaidrų,
pasikartojantį ir palyginamą ekonominių argumentų vertinimą, apimantį finansinę vertę,
gebėjimų trūkumo riziką ir riziką, kad nebus gauta numatyta nauda.
PO1.2 Veiklos ir IT derinimas
Siekdami suderinti ir integruoti veiklą su IT, nustatykite abipusio šalių mokymosi viena iš
kitos bei dalyvavimo strateginiame planavime procesus. Susitarkite dėl svarbiausių dalykų
veiklai ir IT, kad būtų galima nustatyti bendrai sutartus prioritetus.
Kontrolės tikslai – PO1 (2)
PO1 Strateginio IT plano apibrėžimas
PO1.3 Esamų gebėjimų ir veiklos vertinimas
Įvertinkite esamus sprendimų ir paslaugų teikimo gebėjimus ir vykdymą, kad būtų nustatyti
baziniai rodikliai, pagal kuriuos būtų galima palyginti būsimus reikalavimus. Apibrėžkite
veiklos vykdymą atsižvelgdami į IT indėlį į veiklos tikslus, funkcines galimybes, stabilumą,
sudėtingumą, sąnaudas, stipriąsias ir silpnąsias vietas.
PO1.4 IT strateginis planas
Parenkite strateginį planą, kuriame kartu su atitinkamomis suinteresuotomis šalimis
apibrėžkite, kaip IT tikslai prisidės prie organizacijos strateginių tikslų, bei susijusias
sąnaudas ir riziką. Jame turi atsispindėti, kaip IT prisidės prie IT palaikomų investicijų
programų, IT paslaugų ir IT turto. IT turi nustatyti, kaip bus vykdomi tikslai, koks vertinimas
bus naudojamas bei kokių reikės procedūrų formaliam suinteresuotųjų šalių pritarimui gauti.
IT strateginis planas turi apibrėžti biudžetą, reikalingą naujoms investicijoms ir pastovioms
sąnaudoms padengti, finansavimo šaltinius, aprūpinimo strategiją, įsigijimo strategiją bei
teisinius ir reguliavimo reikalavimus. Strateginis planas turi būti pakankamai išsamus, kad jo
pagrindu būtų galima rengti taktinius IT planus.
Kontrolės tikslai – PO1 (3)
PO1 Strateginio IT plano apibrėžimas
PO1.5 IT taktiniai planai
IT strateginio plano pagrindu sukurkite IT taktinių planų portfelį. Taktiniai planai turi apimti IT
palaikomas programų investicijas, IT paslaugas ir IT turtą. Taktiniai planai turi apibrėžti
reikiamas IT iniciatyvas, poreikį ištekliams bei tai, kaip bus tikrinamas ir valdomas išteklių
naudojimas ir naudos pasiekimas. Taktiniai planai turi būti pakankamai išsamūs, kad būtų
galima apibrėžti projektų planus. Analizuodami projektų ir paslaugų portfelius aktyviai
valdykite taktinius IT planus ir iniciatyvas.
PO1.6 IT portfelio valdymas
Kartu su veiklos atstovais aktyviai valdykite IT palaikomų investicijų programų portfelį,
reikalingą pasiekti konkrečius strateginius veiklos tikslus, nustatydami, apibrėždami,
vertindami, suteikdami prioritetus, atrinkdami, inicijuodami, valdydami ir kontroliuodami
programas. Tai turėtų apimti norimų veiklos rezultatų išaiškinimą, užtikrinimą, kad programų
tikslai palaiko rezultatų siekimą, supratimą, kiek reikės įdėti pastangų rezultatams pasiekti,
aiškios atskaitomybės ir vertinimo rodiklių nustatymą, programos projektų apibrėžimą,
išteklių ir finansavimo paskirstymą, įgaliojimų suteikimą bei pavedimą atlikti reikiamus
projektus pradedant programą.
Kontrolės praktika
Kontrolės praktika – tai patarimai kaip pasiekti kontrolės tikslus žemiausiame, kontrolės priemonių lygmenyje.
Kontrolės praktika PO1.1
COBIT Control Practices; Guidance to achieve Control Objectives for successful IT Governance, p.13
Kontrolės praktika PO1.1 (2)
COBIT Control Practices; Guidance to achieve Control Objectives for successful IT Governance, p.13
Kontrolės praktika PO1.1 (3)
COBIT Control Practices; Guidance to achieve Control Objectives for successful IT Governance, p.13
Kontrolės praktika PO1.1 (4)
COBIT Control Practices; Guidance to achieve Control Objectives for successful IT Governance, p.13
Control Practices
1. Define a committee, supported by a formal charter and containing both IT and business
unit leadership, with the objective of directing IT-enabled investment programmes, IT
services and IT assets.
2. Ensure that the management activities of the IT-enabled investment programmes, IT
service and IT assets use a formal process that requires business cases that include cost-
benefit analysis, analysis of alignment with business strategy, risk assessments, SLAs for
IT services and the impact to the current IT portfolio.
3. Ensure that the management activities of the IT-enabled investment programmes include a
process that:
• Monitors the development and delivery of IT components of investment programmes
• Requires reviews of IT service delivery against equitable and enforceable SLAs
• Monitors deviations in terms of cost, timing and functionality
4. Ensure that accountability for value delivery, i.e., the achievement of business benefits
through the use of IT, is clearly assigned at an appropriate level.
top related