2013 m. Balandžio 18d. Kaip tapti lyderiais IT valdymo, saugos ir audito srityje?

Transcription

1

2 COBIT ir jo panaudojimas IT valdymui ir auditui Dainius Jakimavičius, CGEIT ISACA Lietuva tyrimų ir metodikos koordinatorius Matematikos mokslų daktaras Lietuvos Respublikos valstybės kontrolės Informacinių sistemų ir infrastruktūros audito departamento direktorius

3 Kodėl COBIT? Kad veiklos poreikius atitinkančios IT paslaugos būtų sėkmingai teikiamos, vadovybė turi sukurti vidaus kontrolės sistemą. COBIT padeda tai pasiekti: susiedama IT su veiklos poreikiais, susistemindama IT veiklas į visiems priimtiną procesais pagrįstą modelį, identifikuodama pagrindinius IT išteklius, kurie turi būti efektyviai valdomi, nustatydama valdymo kontrolės tikslus* COBIT yra visuotinai pripažintas vidaus kontrolės instrumentas, skirtas IT valdymui *COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 23 psl.

4 COBIT komponentų tarpusavio ryšiai poreikiai Veiklos tikslai IT tikslai IT procesai informacija Pagrindinės priemonės kurias atlieka detalizuoti į pagal veiklos efektyvumą vertinami pagal rezultatą kuriuos audituoja Kontrolės rezultato testai pagal brandą kontroliuojami sudaryti pagal kuriuos audituoja Kontrolės tikslai kuriuos įgyvendina Atskaitomybės ir atskaitingumo schema (RACI) Veiklos rodikliai Rezultato rodikliai Brandos modeliai Kontrolės sąrangos testai pagrįsti Kontrolės praktika

5 Tikslų kaskadas pagal COBIT 4.1 Priedas I, COBIT veiklos tikslų (subalansuotųjų veiklos rodiklių sistema, BSC perspektyva): 1-3 Finansinė perspektyva 4-9 Kliento perspektyva Vidaus (procesų) perspektyva Mokymosi ir augimo perspektyva 17 Veiklos tikslų 28 IT tikslai Pavyzdys: PO1 28 IT tikslai 34 COBIT procesai 34 COBIT Procesai PO: 10 AI: 7 DS: 13 ME: 4

6 Tikslų kaskadas pagal COBIT 5 Priedai B, C. D, COBIT5- A Business Framework for the Governance and Management of Enterprise IT 17 veiklos tikslų (BSC perspektyva): 1-5 Finansinė perspektyva 6-10 Kliento perspektyva Vidaus (procesų) perspektyva Mokymosi ir augimo perspektyva 17 IT tikslų (BSC perspektyva): 1-6 Finansinė perspektyva 7-8 Kliento perspektyva 9-15 Vidaus (procesų) perspektyva Mokymosi ir augimo perspektyva 37 COBIT procesai Suinteresuotųjų šalių poreikiai 17 Veiklos tikslų 17 IT tikslų 37 COBIT Procesai EDM: 5 APO: 13 BAI: 10 DSS: 6 MEA: 3

7 COBIT 4.1 procesai PLANAVIMAS IR ORGANIZAVIMAS PO1 Strateginio IT plano apibrėžimas PO2 Informacinės architektūros nustatymas PO3 Technologinės krypties nustatymas PO4 IT procesų, organizacinės struktūros ir ryšių apibrėžimas PO5 IT investicijų valdymas PO6 Vadovybės tikslų ir krypties komunikavimas PO7 IT žmogiškųjų išteklių valdymas PO8 Kokybės valdymas PO9 IT rizikos vertinimas ir valdymas PO10 Projektų valdymas ĮSIGIJIMAS IR ĮDIEGIMAS AI1 Automatizuotų sprendimų nustatymas AI2 Taikomosios programinės įrangos įsigijimas ir priežiūra AI3 Technologinės infrastruktūros įsigijimas ir priežiūra AI4 Pasirengimas naudojimui AI5 IT išteklių įsigijimas AI6 Pokyčių valdymas AI7 Sprendimų ir pokyčių diegimas ir akreditavimas TEIKIMAS IR PALAIKYMAS DS1 Paslaugų lygių apibrėžimas ir valdymas DS2 Trečiųjų šalių paslaugų valdymas DS3 Veiklos efektyvumo ir pajėgumo valdymas DS4 Nepertraukiamo paslaugų teikimo užtikrinimas DS5 Sistemų saugos užtikrinimas DS6 Sąnaudų nustatymas ir paskirstymas DS7 Naudotojų švietimas ir mokymas DS8 Pagalbos tarnybos ir incidentų valdymas DS9 Konfigūracijos valdymas DS10 Problemų valdymas DS11 Duomenų valdymas DS12 Fizinės aplinkos valdymas DS13 Procesų valdymas STEBĖSENA IR VERTINIMAS ME1 IT veiklos stebėsena ir vertinimas ME2 Vidaus kontrolės stebėsena ir vertinimas ME3 Atitikties išoriniams reikalavimams užtikrinimas ME4 IT valdymo užtikrinimas

8 COBIT 5 procesai

9 COBIT 5 procesai (arčiau)

10 COBIT 5 veiklos tikslų ir IT tikslų sąsajos Source: COBIT 5, figure ISACA All rights reserved.

11 COBIT 5 veiklos tikslų ir IT tikslų sąsajos Source: COBIT 5, figure ISACA All rights reserved.

12 COBIT 5 IT tikslų ir procesų sąsajos Source: COBIT 5, figure ISACA All rights reserved.

13 COBIT 5 IT tikslų ir procesų sąsajos Source: COBIT 5, figure ISACA All rights reserved.

14 COBIT 5 IT tikslų ir procesų sąsajos Source: COBIT 5, figure ISACA All rights reserved.

15 COBIT 5 IT tikslų ir procesų sąsajos Source: COBIT 5, figure ISACA All rights reserved.

16 Pagrindinės priemonės- PO1 IT procesas: Strateginio IT plano apibrėžimas Veiklos poreikis: sustiprinti ar išplėsti veiklos strategiją ir valdymo reikalavimus, skaidriai pateikiant naudą, sąnaudas ir riziką

17 Veiklos ir rezultato rodikliai (bendriniai) Tikslo rodikliai Veiklos rodikliai COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 23 psl.

18 Veiklos ir rezultato rodikliai PO1 Proceso metrikos Priemonių metrikos

19 Brandos modeliai Brandos modelis leidžia įvertinti, kokį kokybės lygį yra pasiekę procesai, t.y, koks faktinis jų pajėgumas. Kokį kokybės ar pajėgumo lygį jie turi pasiekti, pirmiausia priklauso nuo IT tikslų ir su jais susijusių veiklos poreikių COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 18 psl.

20 Bendrinis brandos modelis COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 19 psl.

21 PO1 Strateginio IT plano apibrėžimas Brandos modeliai PO1 Proceso Strateginio IT plano apibrėžimas valdymas, atitinkantis IT veiklos poreikį sustiprinti ar išplėsti veiklos strategiją ir valdymo reikalavimus skaidriai pateikiant naudą, sąnaudas ir riziką, yra: 0 Neegzistuojantis, kai IT strateginis planavimas nevykdomas. Vadovybė nemano, jog IT strateginis planavimas reikalingas veiklos tikslams palaikyti. 1 Pirminis / Ad Hoc, kai IT vadovybė supranta IT strateginio planavimo poreikį. IT planavimas vykdomas esant reikalui pagal konkretų veiklos poreikį. IT strateginis planavimas retkarčiais aptariamas per IT vadovybės susirinkimus. Veiklos poreikiai, taikomosios programos ir technologijos derinamos reaguojant į poreikius, o ne pagal visos organizacijos strategiją. Pavieniuose projektuose neformaliu būdu nustatoma strateginės rizikos pozicija. 2 Pasikartojantis, bet intuityvus, kai IT strateginis planavimas esant reikalui vykdomas kartu su veiklos vadovais. IT planai atnaujinami vadovybės prašymu. Strateginiai sprendimai įgyvendinami atskirais projektais nebūtinai suderinus su bendra organizacijos strategija. Pagrindinių strateginių sprendimų rizika ir nauda naudotojui suprantamos intuityviai. COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 32 psl.

22 Brandos modeliai PO1 (2) 3 Apibrėžtas, kai politika apibrėžia, kada ir kaip atlikti IT strateginį planavimą. IT strateginis planavimas vykdomas laikantis struktūrinio metodo, kuris yra dokumentuotas ir žinomas visiems darbuotojams. IT planavimo procesas yra pagrįstas ir užtikrina, kad planavimas greičiausiai bus atliktas tinkamai. Tačiau individualiems vadovams suteikiama veiksmų laisvė įgyvendinti procesą ir nėra procedūrų jį patikrinti. Bendrojoje IT strategijoje nuosekliai apibrėžiama rizika, kurią organizacija nori prisiimti kaip novatorė arba sekėja. IT finansinė, techninė ir žmogiškųjų išteklių valdymo strategija daro vis didesnę įtaką įsigyjant naujus produktus ir technologijas. IT strateginis planavimas aptariamas veiklos vadovybės susirinkimuose. 4 Valdomas ir vertinamas, kai IT strateginis planavimas yra standartinė veiklos praktika, o netinkamą jos vykdymą vadovybė tikrai pastebėtų. IT strateginis planavimas yra apibrėžta aukštesnio lygio vadovų funkcija. Vadovai gali stebėti IT strateginio planavimo procesą, remdamiesi stebėsenos duomenimis, priimti kompetentingus sprendimus ir vertinti jo rezultatyvumą. Visos organizacijos mastu vykdomas tiek trumpalaikis, tiek ilgalaikis IT planavimas ir esant reikalui procesas kartojamas. IT strategija ir organizacijos strategija vis labiau derinamos, atsižvelgiant į veiklos procesus ir pridėtinę vertę teikiančius gebėjimus bei efektyviai panaudojant taikomąsias programas ir technologijas perprojektuojant veiklos procesus. Sukurtas gerai apibrėžtas procesas, nustatantis sistemos kūrimui ir operacijoms reikalingų vidaus ir išorės išteklių naudojimą. COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 32 psl.

23 Brandos modeliai PO1 (3) 5 Optimalus, kai IT strateginis planavimas yra dokumentuotas, gyvas procesas, į kurį nuolat atsižvelgiama nustatant veiklos tikslus ir kurio rezultatas pastebima nauda veiklai per investicijas į IT. Rizikos ir pridėtinės vertės aptarimas nuolat atnaujinamas IT strateginio planavimo procese. Realistiniai ilgalaikiai IT planai kuriami ir nuolat atnaujinami, kad atspindėtų besikeičiančias technologines ir veiklos aplinkybes. Atliekama lyginamoji analizė pagal gerai suprantamas ir patikimas sektoriaus normas, ji integruojama į strategijos formavimo procesą. Strateginiame plane aptariama, kaip technologijų naujovės gali skatinti naujų veiklos gebėjimų kūrimą ir gerinti organizacijos konkurencinį pranašumą. COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 32 psl.

24 Kontrolės tikslai COBIT kontrolės tikslai (jų virš 200 COBIT 4.1) pateikia išsamų rinkinį aukšto lygio reikalavimų, į kuriuos vadovai turi atsižvelgti, siekdami rezultatyvios kiekvieno IT proceso kontrolės Kitaip sakant, COBIT kontrolės tikslai nustato, kas turi būti valdoma kiekviename COBIT procese, kad būtų pasiekti veiklos tikslai ir minimizuotas rizika.

25 Bendriniai ir specifiniai kontrolės tikslai 6 bendriniai procesų kontrolės tikslai: PC1: Process Goals and Objectives PC2: Process Ownership PC3: Process Repeatability PC4: Roles and Responsibilities PC5: Policy, Planes and Procedures PC6: Process Performance Improvement 6 bendriniai taikomųjų programų kontrolės tikslai, AI domenui Specifiniai kontrolės tikslai kiekvienam COBIT procesui (210: PO-74; AI-40; DS-71, ME-25), viso 222 kontrolės tikslų Discussions-landing-page.aspx

26 Kontrolės tikslai PO1 PO1 Strateginio IT plano apibrėžimas PO1.1 IT vertės valdymas Kartu su veiklos atstovais užtikrinkite, kad organizacijos IT palaikomų investicijų portfelį sudarytų programos, pagrįstos svariais veiklos atvejais. Nustatykite, ar daromos privalomos, palaikomos ir savarankiškos investicijos, kurios skiriasi sudėtingumu ir lėšų paskirstymo laisve. IT procesais programų IT komponentai turi būti teikiami rezultatyviai ir efektyviai bei iš anksto įspėjama apie nuokrypius nuo plano, įskaitant kainą, grafiką ar funkcines galimybes, kurie gali turėti įtakos numatomiems programų rezultatams. IT paslaugos turi būti teikiamos pagal teisingas ir įvykdomas paslaugų lygio sutartis (PLS, angl. SLAs). Reikia aiškiai paskirti ir tikrinti atskaitomybę už naudos pasiekimą ir sąnaudų kontrolę. Įveskite nešališką, skaidrų, pasikartojantį ir palyginamą ekonominių argumentų vertinimą, apimantį finansinę vertę, gebėjimų trūkumo riziką ir riziką, kad nebus gauta numatyta nauda. PO1.2 Veiklos ir IT derinimas Siekdami suderinti ir integruoti veiklą su IT, nustatykite abipusio šalių mokymosi viena iš kitos bei dalyvavimo strateginiame planavime procesus. Susitarkite dėl svarbiausių dalykų veiklai ir IT, kad būtų galima nustatyti bendrai sutartus prioritetus.

27 Kontrolės tikslai PO1 (2) PO1 Strateginio IT plano apibrėžimas PO1.3 Esamų gebėjimų ir veiklos vertinimas Įvertinkite esamus sprendimų ir paslaugų teikimo gebėjimus ir vykdymą, kad būtų nustatyti baziniai rodikliai, pagal kuriuos būtų galima palyginti būsimus reikalavimus. Apibrėžkite veiklos vykdymą atsižvelgdami į IT indėlį į veiklos tikslus, funkcines galimybes, stabilumą, sudėtingumą, sąnaudas, stipriąsias ir silpnąsias vietas. PO1.4 IT strateginis planas Parenkite strateginį planą, kuriame kartu su atitinkamomis suinteresuotomis šalimis apibrėžkite, kaip IT tikslai prisidės prie organizacijos strateginių tikslų, bei susijusias sąnaudas ir riziką. Jame turi atsispindėti, kaip IT prisidės prie IT palaikomų investicijų programų, IT paslaugų ir IT turto. IT turi nustatyti, kaip bus vykdomi tikslai, koks vertinimas bus naudojamas bei kokių reikės procedūrų formaliam suinteresuotųjų šalių pritarimui gauti. IT strateginis planas turi apibrėžti biudžetą, reikalingą naujoms investicijoms ir pastovioms sąnaudoms padengti, finansavimo šaltinius, aprūpinimo strategiją, įsigijimo strategiją bei teisinius ir reguliavimo reikalavimus. Strateginis planas turi būti pakankamai išsamus, kad jo pagrindu būtų galima rengti taktinius IT planus.

28 Kontrolės tikslai PO1 (3) PO1 Strateginio IT plano apibrėžimas PO1.5 IT taktiniai planai IT strateginio plano pagrindu sukurkite IT taktinių planų portfelį. Taktiniai planai turi apimti IT palaikomas programų investicijas, IT paslaugas ir IT turtą. Taktiniai planai turi apibrėžti reikiamas IT iniciatyvas, poreikį ištekliams bei tai, kaip bus tikrinamas ir valdomas išteklių naudojimas ir naudos pasiekimas. Taktiniai planai turi būti pakankamai išsamūs, kad būtų galima apibrėžti projektų planus. Analizuodami projektų ir paslaugų portfelius aktyviai valdykite taktinius IT planus ir iniciatyvas. PO1.6 IT portfelio valdymas Kartu su veiklos atstovais aktyviai valdykite IT palaikomų investicijų programų portfelį, reikalingą pasiekti konkrečius strateginius veiklos tikslus, nustatydami, apibrėždami, vertindami, suteikdami prioritetus, atrinkdami, inicijuodami, valdydami ir kontroliuodami programas. Tai turėtų apimti norimų veiklos rezultatų išaiškinimą, užtikrinimą, kad programų tikslai palaiko rezultatų siekimą, supratimą, kiek reikės įdėti pastangų rezultatams pasiekti, aiškios atskaitomybės ir vertinimo rodiklių nustatymą, programos projektų apibrėžimą, išteklių ir finansavimo paskirstymą, įgaliojimų suteikimą bei pavedimą atlikti reikiamus projektus pradedant programą.

29 Kontrolės praktika Kontrolės praktika tai patarimai kaip pasiekti kontrolės tikslus kontrolės priemonių lygmenyje. 6 bendrinės kontrolės praktikos sritys (kiekvienam procesui) Specifinės kontrolės praktikos kiekvienam specifiniam kontrolės tikslui

30 Kontrolės praktika PC1 (bendrinė) COBIT Control Practices; Guidance to achieve Control Objectives for successful IT Governance, p.9

31 Kontrolės praktika PO1.1 COBIT Control Practices; Guidance to achieve Control Objectives for successful IT Governance, p.13

32 Kontrolės praktika PO1.1 (2) COBIT Control Practices; Guidance to achieve Control Objectives for successful IT Governance, p.13

33 Kontrolės praktika PO1.1 (3) COBIT Control Practices; Guidance to achieve Control Objectives for successful IT Governance, p.13

34 Kontrolės praktika PO1.1 (4) Control Practices 1. Define a committee, supported by a formal charter and containing both IT and business unit leadership, with the objective of directing IT-enabled investment programmes, IT services and IT assets. 2. Ensure that the management activities of the IT-enabled investment programmes, IT service and IT assets use a formal process that requires business cases that include cost-benefit analysis, analysis of alignment with business strategy, risk assessments, SLAs for IT services and the impact to the current IT portfolio. 3. Ensure that the management activities of the IT-enabled investment programmes include a process that: Monitors the development and delivery of IT components of investment programmes Requires reviews of IT service delivery against equitable and enforceable SLAs Monitors deviations in terms of cost, timing and functionality 4. Ensure that accountability for value delivery, i.e., the achievement of business benefits through the use of IT, is clearly assigned at an appropriate level. COBIT Control Practices; Guidance to achieve Control Objectives for successful IT Governance, p.13

35 Kontrolės sąrangos testai (ar kontrolė yra) Kontrolės sąrangos testai skirti: įvertinti kontrolės sąrangą patvirtinti kad kontrolė yra įvertinti kontrolės efektyvumą Kontrolės sąrangos testai : bendriniai, kiekvienam bendriniam kontrolės tikslui PC1-PC6 specifiniai, kiekvienam iš 210 specifinių COBIT kontrolės tikslų

36 Kontrolės sąrangos ir rezultato testai (bendriniai kontrolės tikslai PO1-PO6) IT Assurance Guide using COBIT, p.45

37 Kontrolės sąrangos testai (specifiniai, PO1.1) IT Assurance Guide using COBIT, p.51

38 Kontrolės sąrangos testai (specifiniai, PO1.1) IT Assurance Guide using COBIT, p.51

39 Kontrolės rezultato testai (ar kontrolė veikia) Kontrolės rezultato (kontrolės efektyvumo) testavimo paskirtis įsitikinti, koks kontrolės poveikis proceso išvesties rezultatams. Testuojama, ar pasiekiami proceso ir jo pagrindinių priemonių tikslai. Kontrolės rezultato testai : bendriniai kiekvienam bendriniam kontrolės tikslui specifiniai, kiekvienam iš 34 COBIT procesų

40 Kontrolės rezultato testai IT Assurance Guide using COBIT, p.15

41 Kontrolės rezultato testai PO1 IT Assurance Guide using COBIT, p.56

42 Kontrolės rezultato testai PO1 (padidinta) Take following steps to test the outcome of the control objectives: Confirm through interviews with steering committee members and other sources that the steering committee members are appropriately represented by IT and business unit leadership (e.g., awareness of roles, responsibility, decision matrix and their ownership). Review the approved steering committee charter and assess for relevance (e.g., roles, responsibility, authority, accountability, scope and objectives are communicated and understood by all members of the committee). Inspect business cases to determine that the documentation has appropriate content (e.g., scope, objectives, cost-benefit analysis, high-level road map, measures for success, roles and responsibilities, impact of existing IT investment programmes) and that the business cases were developed and approved in a timely manner. Confirm through interviews whether IT-enabled investment programmes, IT services and IT assets are evaluated against the prioritisation criteria (review the documented prioritisation criteria). IT Assurance Guide using COBIT, p.56

43 COBIT5 mokymas ir egzaminai Pradiniai 2,5 dienų COBIT5-foundation mokymai + 40 klausimų egzamimas; reikia surinkti 70 proc. teisingų atsakymų The participant will learn more about: How IT management issues are affecting organizations and the need for a control framework driven by the need for IT Governance How COBIT meets the requirement for an IT Governance Framework How COBIT is used with other standards and best practices The functions that COBIT provides and the benefits of using COBIT The COBIT Framework and all the components of COBIT (Control Objectives, Control Practices, Management Guidelines, Assurance Guidelines) How to apply COBIT in a practical situation and how the use of COBIT is supported by ISACA.

44 COBIT5 mokymai ir egzaminai Aukštesnio lygio mokymai: Implementing Governance of Enterprise IT Using COBIT + 40 klausimų egzaminas; reikia surinkti 70 proc. teisingų atsakymų The participant will learn more about: The principles and objectives of COBIT and the COBIT framework The ISACA approach to IT governance and how COBIT supports this IT management capability using the COBIT maturity models and control objectives How to plan control improvements using control objectives and control practices How to create a performance measurement framework using COBIT's metrics and scorecards Klausytojai turi būti išlaikę COBIT-Foundation kursą

45 Ačiū už dėmesį!