COBIT ir jo panaudojimas IT valdymui ir auditui - … ir jo...*COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 23 psl. Valstybinio IS audito

COBIT ir jo panaudojimas IT valdymui ir auditui

Dainius Jakimavičius, CGEIT

Informacinių sistemų ir infrastruktūros audito departamento direktorius

ISACA Lietuva tyrimų ir metodikos koordinatorius

Vilnius, 2013 m. kovo 26 d.

Kodėl COBIT?

Kad veiklos poreikius atitinkančios IT paslaugos būtų sėkmingai teikiamos,

vadovybė turi sukurti vidaus kontrolės sistemą.

COBIT padeda tai pasiekti:

• susiedama IT su veiklos poreikiais,

• susistemindama IT veiklas į visiems priimtiną procesais pagrįstą modelį,

• identifikuodama pagrindinius IT išteklius, kurie turi būti efektyviai

valdomi,

• nustatydama valdymo kontrolės tikslus*

COBIT yra visuotinai pripažintas vidaus kontrolės instrumentas, skirtas IT valdymui

*COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 23 psl.

Valstybinio IS audito apimtis

Valstybės kontrolieriaus 2006-04-27 d. įsakymas Nr. V-65 “Dėl informacinių sistemų audito metodinių rekomendacijų patvirtinimo”:

IS auditasvidaus kontrolės

vertinimas

IS vertinimas 3E

požiūriu

(veiklos auditas)

bendrosios

kontrolės

vertinimas

IS kūrimo

kontrolės

vertinimas

taikomųjų

programų

kontrolės

vertinimas

Finansinis

auditas

Veikos

auditas

http://www.vkontrole.lt:81/isakymai/atostogu/failas.php?16462

http://www.vkontrole.lt:81/isakymai/atostogu/failas.php?16462

Tarptautiniai vidaus audito standartai

2110 Organizacijos valdymas (Governance)

2110.A2 – Vidaus auditas turi vertinti, ar organizacijos informacinių

technologijų valdymas atitinka organizacijos strategijos ir tikslus

ir ar padeda juos įgyvendinti.

COBIT komponentų tarpusavio ryšiai

Veiklos tikslai

IT tikslai

IT procesai

Pagrindinės

priemonės

Atskaitomybės ir

atskaitingumo

schema (RACI)

Veiklos

rodikliai

Rezultato

rodikliai

Brandos

modeliai

Kontrolės

sąrangos

testai

Kontrolės

praktika

pagrįsti

Kontrolės

rezultato testai

Kontrolės

tikslai

kuriuos audituoja kontroliuojamivertinami

detalizuoti į

kurias atliekapagal veiklos

efektyvumąpagal rezultatą pagal brandą

sudaryti

pagal

kuriuos audituojakuriuos įgyvendina

poreikiai informacija

Tikslų kaskadas pagal COBIT 4.1

Priedas I, COBIT 4.1

17 Veiklos tikslų

28 IT tikslai

34 COBIT Procesai

PO: 10

AI: 7

DS: 13

ME: 4

17 veiklos tikslų (subalansuotųjų veiklos rodiklių

sistema, BSC perspektyva):

1-3 – Finansinė perspektyva

4-9 – Kliento perspektyva

10-15 – Vidaus (procesų) perspektyva

16-17 – Mokymosi ir augimo perspektyva

28 IT tikslai

34 COBIT procesai

Pavyzdys: PO1

Tikslų kaskadas pagal COBIT 5

Priedai B, C. D, COBIT5- A Business Framework for

the Governance and Management of Enterprise IT

17 Veiklos tikslų

17 IT tikslų

37 COBIT Procesai

EDM: 5

APO: 13

BAI: 10

DSS: 6

MEA: 3

17 veiklos tikslų (BSC perspektyva):





17 IT tikslų (BSC perspektyva):





37 COBIT procesai

Suinteresuotųjų šalių

poreikiai

COBIT 4.1 procesai

PLANAVIMAS IR ORGANIZAVIMAS

PO1 Strateginio IT plano apibrėžimas

PO2 Informacinės architektūros nustatymas

PO3 Technologinės krypties nustatymas

PO4 IT procesų, organizacinės struktūros ir ryšių

apibrėžimas

PO5 IT investicijų valdymas

PO6 Vadovybės tikslų ir krypties komunikavimas

PO7 IT žmogiškųjų išteklių valdymas

PO8 Kokybės valdymas

PO9 IT rizikos vertinimas ir valdymas

PO10 Projektų valdymas

ĮSIGIJIMAS IR ĮDIEGIMAS

AI1 Automatizuotų sprendimų nustatymas

AI2 Taikomosios programinės įrangos įsigijimas ir

priežiūra

AI3 Technologinės infrastruktūros įsigijimas ir

priežiūra

AI4 Pasirengimas naudojimui

AI5 IT išteklių įsigijimas

AI6 Pokyčių valdymas

AI7 Sprendimų ir pokyčių diegimas ir akreditavimas

TEIKIMAS IR PALAIKYMAS

DS1 Paslaugų lygių apibrėžimas ir valdymas

DS2 Trečiųjų šalių paslaugų valdymas

DS3 Veiklos efektyvumo ir pajėgumo valdymas

DS4 Nepertraukiamo paslaugų teikimo užtikrinimas

DS5 Sistemų saugos užtikrinimas

DS6 Sąnaudų nustatymas ir paskirstymas

DS7 Naudotojų švietimas ir mokymas

DS8 Pagalbos tarnybos ir incidentų valdymas

DS9 Konfigūracijos valdymas

DS10 Problemų valdymas

DS11 Duomenų valdymas

DS12 Fizinės aplinkos valdymas

DS13 Procesų valdymas

STEBĖSENA IR VERTINIMAS

ME1 IT veiklos stebėsena ir vertinimas

ME2 Vidaus kontrolės stebėsena ir vertinimas

ME3 Atitikties išoriniams reikalavimams

užtikrinimas

ME4 IT valdymo užtikrinimas

COBIT 5 procesai

COBIT 5 procesai (arčiau)

11Source: COBIT® 5, figure 4. © 2012 ISACA® All rights reserved.

COBIT 5 veiklos

tikslų ir IT tikslų

sąsajos

Source: COBIT® 5, figure 4. © 2012 ISACA® All rights reserved.

COBIT 5 veiklos tikslų ir IT tikslų sąsajos

13Source: COBIT® 5, figure 4. © 2012 ISACA® All rights reserved.

COBIT 5 IT

tikslų ir

procesų

sąsajos


COBIT 5 IT tikslų ir procesų sąsajos





Pagrindinės priemonės- PO1

IT procesas: Strateginio IT plano apibrėžimas

Veiklos poreikis: sustiprinti ar išplėsti veiklos strategiją ir valdymo reikalavimus, skaidriai pateikiant naudą, sąnaudas ir riziką

Tikslo ir veiklos rodikliai (bendriniai)

COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 23 psl.

Tikslo rodikliai

Veiklos rodikliai

Tikslo ir veiklos rodikliai PO1Proceso metrikos

Priemonių metrikos

Brandos modeliai


Brandos modelis leidžia įvertinti, kokį kokybės lygį yra pasiekę procesai, t.y,

koks faktinis jų pajėgumas. Kokį kokybės ar pajėgumo lygį jie turi pasiekti,

pirmiausia priklauso nuo IT tikslų ir su jais susijusių veiklos poreikių

Brandos modeliai – bendrasis brandos modelis


Brandos modeliai – PO1



Proceso Strateginio IT plano apibrėžimas valdymas, atitinkantis IT veiklos poreikį sustiprinti ar

išplėsti veiklos strategiją ir valdymo reikalavimus skaidriai pateikiant naudą, sąnaudas ir riziką, yra:

0 Neegzistuojantis, kai IT strateginis planavimas nevykdomas. Vadovybė nemano, jog IT

strateginis planavimas reikalingas veiklos tikslams palaikyti.

1 Pirminis / Ad Hoc, kai IT vadovybė supranta IT strateginio planavimo poreikį. IT

planavimas vykdomas esant reikalui pagal konkretų veiklos poreikį. IT strateginis planavimas

retkarčiais aptariamas per IT vadovybės susirinkimus. Veiklos poreikiai, taikomosios

programos ir technologijos derinamos reaguojant į poreikius, o ne pagal visos organizacijos

strategiją. Pavieniuose projektuose neformaliu būdu nustatoma strateginės rizikos pozicija.

2 Pasikartojantis, bet intuityvus, kai IT strateginis planavimas esant reikalui vykdomas kartu

su veiklos vadovais. IT planai atnaujinami vadovybės prašymu. Strateginiai sprendimai

įgyvendinami atskirais projektais nebūtinai suderinus su bendra organizacijos strategija.

Pagrindinių strateginių sprendimų rizika ir nauda naudotojui suprantamos intuityviai.

Brandos modeliai – PO1 (2)


3 Apibrėžtas, kai politika apibrėžia, kada ir kaip atlikti IT strateginį planavimą. IT strateginis

planavimas vykdomas laikantis struktūrinio metodo, kuris yra dokumentuotas ir žinomas

visiems darbuotojams. IT planavimo procesas yra pagrįstas ir užtikrina, kad planavimas

greičiausiai bus atliktas tinkamai. Tačiau individualiems vadovams suteikiama veiksmų laisvė

įgyvendinti procesą ir nėra procedūrų jį patikrinti. Bendrojoje IT strategijoje nuosekliai

apibrėžiama rizika, kurią organizacija nori prisiimti kaip novatorė arba sekėja. IT finansinė,

techninė ir žmogiškųjų išteklių valdymo strategija daro vis didesnę įtaką įsigyjant naujus

produktus ir technologijas. IT strateginis planavimas aptariamas veiklos vadovybės

susirinkimuose.

4 Valdomas ir vertinamas, kai IT strateginis planavimas yra standartinė veiklos praktika, o

netinkamą jos vykdymą vadovybė tikrai pastebėtų. IT strateginis planavimas yra apibrėžta

aukštesnio lygio vadovų funkcija. Vadovai gali stebėti IT strateginio planavimo procesą,

remdamiesi stebėsenos duomenimis, priimti kompetentingus sprendimus ir vertinti jo

rezultatyvumą. Visos organizacijos mastu vykdomas tiek trumpalaikis, tiek ilgalaikis IT

planavimas ir esant reikalui procesas kartojamas. IT strategija ir organizacijos strategija vis

labiau derinamos, atsižvelgiant į veiklos procesus ir pridėtinę vertę teikiančius gebėjimus bei

efektyviai panaudojant taikomąsias programas ir technologijas perprojektuojant veiklos

procesus. Sukurtas gerai apibrėžtas procesas, nustatantis sistemos kūrimui ir operacijoms

reikalingų vidaus ir išorės išteklių naudojimą.

Brandos modeliai – PO1 (3)


5 Optimalus, kai IT strateginis planavimas yra dokumentuotas, gyvas procesas, į kurį nuolat

atsižvelgiama nustatant veiklos tikslus ir kurio rezultatas – pastebima nauda veiklai per

investicijas į IT. Rizikos ir pridėtinės vertės aptarimas nuolat atnaujinamas IT strateginio

planavimo procese. Realistiniai ilgalaikiai IT planai kuriami ir nuolat atnaujinami, kad

atspindėtų besikeičiančias technologines ir veiklos aplinkybes. Atliekama lyginamoji analizė

pagal gerai suprantamas ir patikimas sektoriaus normas, ji integruojama į strategijos

formavimo procesą. Strateginiame plane aptariama, kaip technologijų naujovės gali skatinti

naujų veiklos gebėjimų kūrimą ir gerinti organizacijos konkurencinį pranašumą.

Kontrolės rezultato testai

IT Assurance Guide using COBIT, p.15

Kontrolės rezultato testai PO1


Kontrolės rezultato testai PO1 (padidinta)


Take following steps to test the outcome of the control objectives:• Confirm through interviews with steering committee members and other sources that

the steering committee members are appropriately represented by IT and business unit

leadership (e.g., awareness of roles, responsibility, decision matrix and their

ownership).

• Review the approved steering committee charter and assess for relevance (e.g., roles,

responsibility, authority, accountability, scope and objectives are communicated and

understood by all members of the committee).

• Inspect business cases to determine that the documentation has appropriate content

(e.g., scope, objectives, cost-benefit analysis, high-level road map, measures for

success, roles and responsibilities, impact of existing IT investment programmes) and

that the business cases were developed and approved in a timely manner. Confirm

through interviews whether IT-enabled investment programmes, IT services and IT

assets are evaluated against the prioritisation criteria (review the documented

prioritisation criteria).

Kontrolės tikslai

COBIT kontrolės tikslai (jų virš 200 COBIT 4.1) pateikia išsamų rinkinį aukšto lygio reikalavimų, į kuriuos vadovai turi atsižvelgti, siekdami rezultatyvios kiekvieno IT proceso kontrolės

Kitaip sakant, COBIT kontrolės tikslai nustato, kas turi būti valdoma kiekviename COBIT procese, kad būtų pasiekti veiklos tikslai ir minimizuotas rizika.

Kontrolės tikslai – PO1


PO1.1 IT vertės valdymas

Kartu su veiklos atstovais užtikrinkite, kad organizacijos IT palaikomų investicijų portfelį

sudarytų programos, pagrįstos svariais veiklos atvejais. Nustatykite, ar daromos privalomos,

palaikomos ir savarankiškos investicijos, kurios skiriasi sudėtingumu ir lėšų paskirstymo

laisve. IT procesais programų IT komponentai turi būti teikiami rezultatyviai ir efektyviai bei iš

anksto įspėjama apie nuokrypius nuo plano, įskaitant kainą, grafiką ar funkcines galimybes,

kurie gali turėti įtakos numatomiems programų rezultatams. IT paslaugos turi būti teikiamos

pagal teisingas ir įvykdomas paslaugų lygio sutartis (PLS, angl. SLAs). Reikia aiškiai paskirti

ir tikrinti atskaitomybę už naudos pasiekimą ir sąnaudų kontrolę. Įveskite nešališką, skaidrų,

pasikartojantį ir palyginamą ekonominių argumentų vertinimą, apimantį finansinę vertę,

gebėjimų trūkumo riziką ir riziką, kad nebus gauta numatyta nauda.

PO1.2 Veiklos ir IT derinimas

Siekdami suderinti ir integruoti veiklą su IT, nustatykite abipusio šalių mokymosi viena iš

kitos bei dalyvavimo strateginiame planavime procesus. Susitarkite dėl svarbiausių dalykų

veiklai ir IT, kad būtų galima nustatyti bendrai sutartus prioritetus.

Kontrolės tikslai – PO1 (2)


PO1.3 Esamų gebėjimų ir veiklos vertinimas

Įvertinkite esamus sprendimų ir paslaugų teikimo gebėjimus ir vykdymą, kad būtų nustatyti

baziniai rodikliai, pagal kuriuos būtų galima palyginti būsimus reikalavimus. Apibrėžkite

veiklos vykdymą atsižvelgdami į IT indėlį į veiklos tikslus, funkcines galimybes, stabilumą,

sudėtingumą, sąnaudas, stipriąsias ir silpnąsias vietas.

PO1.4 IT strateginis planas

Parenkite strateginį planą, kuriame kartu su atitinkamomis suinteresuotomis šalimis

apibrėžkite, kaip IT tikslai prisidės prie organizacijos strateginių tikslų, bei susijusias

sąnaudas ir riziką. Jame turi atsispindėti, kaip IT prisidės prie IT palaikomų investicijų

programų, IT paslaugų ir IT turto. IT turi nustatyti, kaip bus vykdomi tikslai, koks vertinimas

bus naudojamas bei kokių reikės procedūrų formaliam suinteresuotųjų šalių pritarimui gauti.

IT strateginis planas turi apibrėžti biudžetą, reikalingą naujoms investicijoms ir pastovioms

sąnaudoms padengti, finansavimo šaltinius, aprūpinimo strategiją, įsigijimo strategiją bei

teisinius ir reguliavimo reikalavimus. Strateginis planas turi būti pakankamai išsamus, kad jo

pagrindu būtų galima rengti taktinius IT planus.

Kontrolės tikslai – PO1 (3)


PO1.5 IT taktiniai planai

IT strateginio plano pagrindu sukurkite IT taktinių planų portfelį. Taktiniai planai turi apimti IT

palaikomas programų investicijas, IT paslaugas ir IT turtą. Taktiniai planai turi apibrėžti

reikiamas IT iniciatyvas, poreikį ištekliams bei tai, kaip bus tikrinamas ir valdomas išteklių

naudojimas ir naudos pasiekimas. Taktiniai planai turi būti pakankamai išsamūs, kad būtų

galima apibrėžti projektų planus. Analizuodami projektų ir paslaugų portfelius aktyviai

valdykite taktinius IT planus ir iniciatyvas.

PO1.6 IT portfelio valdymas

Kartu su veiklos atstovais aktyviai valdykite IT palaikomų investicijų programų portfelį,

reikalingą pasiekti konkrečius strateginius veiklos tikslus, nustatydami, apibrėždami,

vertindami, suteikdami prioritetus, atrinkdami, inicijuodami, valdydami ir kontroliuodami

programas. Tai turėtų apimti norimų veiklos rezultatų išaiškinimą, užtikrinimą, kad programų

tikslai palaiko rezultatų siekimą, supratimą, kiek reikės įdėti pastangų rezultatams pasiekti,

aiškios atskaitomybės ir vertinimo rodiklių nustatymą, programos projektų apibrėžimą,

išteklių ir finansavimo paskirstymą, įgaliojimų suteikimą bei pavedimą atlikti reikiamus

projektus pradedant programą.

Kontrolės sąrangos testai


Kontrolės sąrangos testai


Kontrolės praktika

Kontrolės praktika – tai patarimai kaip pasiekti kontrolės tikslus žemiausiame, kontrolės priemonių lygmenyje.

Kontrolės praktika PO1.1

COBIT Control Practices; Guidance to achieve Control Objectives for successful IT Governance, p.13

Kontrolės praktika PO1.1 (2)






Control Practices

1. Define a committee, supported by a formal charter and containing both IT and business

unit leadership, with the objective of directing IT-enabled investment programmes, IT

services and IT assets.

2. Ensure that the management activities of the IT-enabled investment programmes, IT

service and IT assets use a formal process that requires business cases that include cost-

benefit analysis, analysis of alignment with business strategy, risk assessments, SLAs for

IT services and the impact to the current IT portfolio.

3. Ensure that the management activities of the IT-enabled investment programmes include a

process that:

• Monitors the development and delivery of IT components of investment programmes

• Requires reviews of IT service delivery against equitable and enforceable SLAs

• Monitors deviations in terms of cost, timing and functionality

4. Ensure that accountability for value delivery, i.e., the achievement of business benefits

through the use of IT, is clearly assigned at an appropriate level.

Documents

COBIT ir jo panaudojimas IT valdymui ir auditui - … ir jo...*COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 23 psl. Valstybinio IS audito