2013 m. Balandžio 18d. Kaip tapti lyderiais IT valdymo ... konferencija/COBIT_BKA.pdf5 Optimalus, kai IT strateginis planavimas yra dokumentuotas, gyvas procesas, į kurį nuolat

2013 m. Balandžio 18d. Kaip tapti lyderiais IT valdymo, saugos ir audito srityje?

COBIT ir jo panaudojimas

IT valdymui ir auditui

Dainius Jakimavičius, CGEIT

ISACA Lietuva tyrimų ir metodikos koordinatorius

Matematikos mokslų daktaras

Lietuvos Respublikos valstybės kontrolės Informacinių sistemų ir infrastruktūros audito departamento direktorius


Kodėl COBIT?

• Kad veiklos poreikius atitinkančios IT paslaugos būtų sėkmingai teikiamos, vadovybė turi sukurti vidaus kontrolės sistemą.

• COBIT padeda tai pasiekti:

• susiedama IT su veiklos poreikiais,

• susistemindama IT veiklas į visiems priimtiną procesais pagrįstą modelį,

• identifikuodama pagrindinius IT išteklius, kurie turi būti efektyviai valdomi,

• nustatydama valdymo kontrolės tikslus*

• COBIT yra visuotinai pripažintas vidaus kontrolės instrumentas, skirtas IT valdymui


*COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 23 psl.

COBIT komponentų tarpusavio ryšiai


kuriuos audituoja

IT tikslai IT procesai

Pagrindinės priemonės

Atskaitomybės ir atskaitingumo schema (RACI)

Veiklos rodikliai

Rezultato rodikliai

Brandos modeliai

Kontrolės sąrangos

testai

Kontrolės praktika

pagrįsti

Kontrolės rezultato testai

Kontrolės tikslai

kontroliuojami vertinami

detalizuoti į

kurias atlieka pagal veiklos efektyvumą

pagal rezultatą pagal brandą

sudaryti pagal

kuriuos audituoja kuriuos įgyvendina

poreikiai informacija

Veiklos tikslai

Tikslų kaskadas pagal COBIT 4.1

Priedas I, COBIT 4.1

17 Veiklos tikslų

28 IT tikslai

34 COBIT Procesai PO: 10 AI: 7 DS: 13 ME: 4

17 veiklos tikslų (subalansuotųjų veiklos rodiklių sistema, BSC perspektyva):

1-3 – Finansinė perspektyva 4-9 – Kliento perspektyva 10-15 – Vidaus (procesų) perspektyva 16-17 – Mokymosi ir augimo perspektyva

28 IT tikslai

34 COBIT procesai

Pavyzdys: PO1


Tikslų kaskadas pagal COBIT 5

Priedai B, C. D, COBIT5- A Business Framework for the Governance and Management of Enterprise IT

17 Veiklos tikslų

17 IT tikslų

37 COBIT Procesai EDM: 5 APO: 13 BAI: 10 DSS: 6 MEA: 3

17 veiklos tikslų (BSC perspektyva): 1-5 – Finansinė perspektyva 6-10 – Kliento perspektyva 11-15 – Vidaus (procesų) perspektyva 16-17 – Mokymosi ir augimo perspektyva

17 IT tikslų (BSC perspektyva): 1-6 – Finansinė perspektyva 7-8 – Kliento perspektyva 9-15 – Vidaus (procesų) perspektyva 16-17 – Mokymosi ir augimo perspektyva

37 COBIT procesai

Suinteresuotųjų šalių poreikiai


COBIT 4.1 procesai


PLANAVIMAS IR ORGANIZAVIMAS PO1 Strateginio IT plano apibrėžimas PO2 Informacinės architektūros nustatymas PO3 Technologinės krypties nustatymas PO4 IT procesų, organizacinės struktūros ir ryšių

apibrėžimas PO5 IT investicijų valdymas PO6 Vadovybės tikslų ir krypties komunikavimas PO7 IT žmogiškųjų išteklių valdymas PO8 Kokybės valdymas PO9 IT rizikos vertinimas ir valdymas PO10 Projektų valdymas

ĮSIGIJIMAS IR ĮDIEGIMAS AI1 Automatizuotų sprendimų nustatymas AI2 Taikomosios programinės įrangos įsigijimas ir

priežiūra AI3 Technologinės infrastruktūros įsigijimas ir priežiūra AI4 Pasirengimas naudojimui AI5 IT išteklių įsigijimas AI6 Pokyčių valdymas AI7 Sprendimų ir pokyčių diegimas ir akreditavimas

TEIKIMAS IR PALAIKYMAS DS1 Paslaugų lygių apibrėžimas ir valdymas DS2 Trečiųjų šalių paslaugų valdymas DS3 Veiklos efektyvumo ir pajėgumo valdymas DS4 Nepertraukiamo paslaugų teikimo užtikrinimas DS5 Sistemų saugos užtikrinimas DS6 Sąnaudų nustatymas ir paskirstymas DS7 Naudotojų švietimas ir mokymas DS8 Pagalbos tarnybos ir incidentų valdymas DS9 Konfigūracijos valdymas DS10 Problemų valdymas DS11 Duomenų valdymas DS12 Fizinės aplinkos valdymas DS13 Procesų valdymas

STEBĖSENA IR VERTINIMAS ME1 IT veiklos stebėsena ir vertinimas ME2 Vidaus kontrolės stebėsena ir vertinimas ME3 Atitikties išoriniams reikalavimams užtikrinimas ME4 IT valdymo užtikrinimas

COBIT 5 procesai


COBIT 5 procesai (arčiau)


Source: COBIT® 5, figure 4. © 2012 ISACA® All rights reserved.

COBIT 5 veiklos tikslų ir IT tikslų

sąsajos


COBIT 5 veiklos tikslų ir IT tikslų sąsajos



COBIT 5 IT tikslų ir

procesų sąsajos


COBIT 5 IT tikslų ir procesų sąsajos








Pagrindinės priemonės- PO1

IT procesas: Strateginio IT plano apibrėžimas

Veiklos poreikis: sustiprinti ar išplėsti veiklos strategiją ir valdymo reikalavimus, skaidriai pateikiant naudą, sąnaudas ir riziką


Veiklos ir rezultato rodikliai (bendriniai)


COBIT 4.1. Metodika, Kontrolės tikslai, valdymo gairės, brandos modeliai, Vilnius 2011, 23 psl.

Tikslo rodikliai

Veiklos rodikliai

Veiklos ir rezultato rodikliai PO1


Proceso metrikos Priemonių metrikos

Brandos modeliai



Brandos modelis leidžia įvertinti, kokį kokybės lygį yra pasiekę procesai, t.y, koks faktinis jų

pajėgumas. Kokį kokybės ar pajėgumo lygį jie turi pasiekti, pirmiausia priklauso nuo IT tikslų ir

su jais susijusių veiklos poreikių

Bendrinis brandos modelis



Brandos modeliai – PO1



PO1 Strateginio IT plano apibrėžimas

Proceso Strateginio IT plano apibrėžimas valdymas, atitinkantis IT veiklos poreikį sustiprinti ar išplėsti veiklos strategiją

ir valdymo reikalavimus skaidriai pateikiant naudą, sąnaudas ir riziką, yra:

0 Neegzistuojantis, kai IT strateginis planavimas nevykdomas. Vadovybė nemano, jog IT strateginis planavimas

reikalingas veiklos tikslams palaikyti.

1 Pirminis / Ad Hoc, kai IT vadovybė supranta IT strateginio planavimo poreikį. IT planavimas vykdomas esant

reikalui pagal konkretų veiklos poreikį. IT strateginis planavimas retkarčiais aptariamas per IT vadovybės

susirinkimus. Veiklos poreikiai, taikomosios programos ir technologijos derinamos reaguojant į poreikius, o ne

pagal visos organizacijos strategiją. Pavieniuose projektuose neformaliu būdu nustatoma strateginės rizikos

pozicija.

2 Pasikartojantis, bet intuityvus, kai IT strateginis planavimas esant reikalui vykdomas kartu su veiklos vadovais.

IT planai atnaujinami vadovybės prašymu. Strateginiai sprendimai įgyvendinami atskirais projektais nebūtinai

suderinus su bendra organizacijos strategija. Pagrindinių strateginių sprendimų rizika ir nauda naudotojui

suprantamos intuityviai.

Brandos modeliai – PO1 (2)



3 Apibrėžtas, kai politika apibrėžia, kada ir kaip atlikti IT strateginį planavimą. IT strateginis planavimas vykdomas

laikantis struktūrinio metodo, kuris yra dokumentuotas ir žinomas visiems darbuotojams. IT planavimo procesas yra

pagrįstas ir užtikrina, kad planavimas greičiausiai bus atliktas tinkamai. Tačiau individualiems vadovams suteikiama

veiksmų laisvė įgyvendinti procesą ir nėra procedūrų jį patikrinti. Bendrojoje IT strategijoje nuosekliai apibrėžiama

rizika, kurią organizacija nori prisiimti kaip novatorė arba sekėja. IT finansinė, techninė ir žmogiškųjų išteklių

valdymo strategija daro vis didesnę įtaką įsigyjant naujus produktus ir technologijas. IT strateginis planavimas

aptariamas veiklos vadovybės susirinkimuose.

4 Valdomas ir vertinamas, kai IT strateginis planavimas yra standartinė veiklos praktika, o netinkamą jos

vykdymą vadovybė tikrai pastebėtų. IT strateginis planavimas yra apibrėžta aukštesnio lygio vadovų funkcija.

Vadovai gali stebėti IT strateginio planavimo procesą, remdamiesi stebėsenos duomenimis, priimti kompetentingus

sprendimus ir vertinti jo rezultatyvumą. Visos organizacijos mastu vykdomas tiek trumpalaikis, tiek ilgalaikis IT

planavimas ir esant reikalui procesas kartojamas. IT strategija ir organizacijos strategija vis labiau derinamos,

atsižvelgiant į veiklos procesus ir pridėtinę vertę teikiančius gebėjimus bei efektyviai panaudojant taikomąsias

programas ir technologijas perprojektuojant veiklos procesus. Sukurtas gerai apibrėžtas procesas, nustatantis

sistemos kūrimui ir operacijoms reikalingų vidaus ir išorės išteklių naudojimą.

Brandos modeliai – PO1 (3)



5 Optimalus, kai IT strateginis planavimas yra dokumentuotas, gyvas procesas, į kurį nuolat atsižvelgiama

nustatant veiklos tikslus ir kurio rezultatas – pastebima nauda veiklai per investicijas į IT. Rizikos ir pridėtinės vertės

aptarimas nuolat atnaujinamas IT strateginio

planavimo procese. Realistiniai ilgalaikiai IT planai kuriami ir nuolat atnaujinami, kad atspindėtų besikeičiančias

technologines ir veiklos aplinkybes. Atliekama lyginamoji analizė pagal gerai suprantamas ir patikimas sektoriaus

normas, ji integruojama į strategijos formavimo procesą. Strateginiame plane aptariama, kaip technologijų naujovės

gali skatinti naujų veiklos gebėjimų kūrimą ir gerinti organizacijos konkurencinį pranašumą.

Kontrolės tikslai

COBIT kontrolės tikslai (jų virš 200 COBIT 4.1) pateikia išsamų rinkinį aukšto lygio reikalavimų, į kuriuos vadovai turi atsižvelgti, siekdami rezultatyvios kiekvieno IT proceso kontrolės

Kitaip sakant, COBIT kontrolės tikslai nustato, kas turi būti valdoma kiekviename COBIT procese, kad būtų pasiekti veiklos tikslai ir minimizuotas rizika.


Bendriniai ir specifiniai kontrolės tikslai

6 bendriniai procesų kontrolės tikslai:

PC1: Process Goals and Objectives

PC2: Process Ownership

PC3: Process Repeatability

PC4: Roles and Responsibilities

PC5: Policy, Planes and Procedures

PC6: Process Performance Improvement

6 bendriniai taikomųjų programų kontrolės tikslai, AI domenui


Specifiniai kontrolės tikslai kiekvienam COBIT procesui (210: PO-74; AI-40; DS-71, ME-25), viso 222 kontrolės tikslų

http://www.isaca.org/KNOWLEDGE-CENTER/COBIT/Pages/COBIT-Discussions-landing-page.aspx










Kontrolės tikslai – PO1



PO1.1 IT vertės valdymas

Kartu su veiklos atstovais užtikrinkite, kad organizacijos IT palaikomų investicijų portfelį sudarytų programos,

pagrįstos svariais veiklos atvejais. Nustatykite, ar daromos privalomos, palaikomos ir savarankiškos investicijos,

kurios skiriasi sudėtingumu ir lėšų paskirstymo laisve. IT procesais programų IT komponentai turi būti teikiami

rezultatyviai ir efektyviai bei iš anksto įspėjama apie nuokrypius nuo plano, įskaitant kainą, grafiką ar funkcines

galimybes, kurie gali turėti įtakos numatomiems programų rezultatams. IT paslaugos turi būti teikiamos pagal

teisingas ir įvykdomas paslaugų lygio sutartis (PLS, angl. SLAs). Reikia aiškiai paskirti ir tikrinti atskaitomybę už

naudos pasiekimą ir sąnaudų kontrolę. Įveskite nešališką, skaidrų, pasikartojantį ir palyginamą ekonominių

argumentų vertinimą, apimantį finansinę vertę, gebėjimų trūkumo riziką ir riziką, kad nebus gauta numatyta

nauda.

PO1.2 Veiklos ir IT derinimas

Siekdami suderinti ir integruoti veiklą su IT, nustatykite abipusio šalių mokymosi viena iš kitos bei dalyvavimo

strateginiame planavime procesus. Susitarkite dėl svarbiausių dalykų veiklai ir IT, kad būtų galima nustatyti

bendrai sutartus prioritetus.

Kontrolės tikslai – PO1 (2)



PO1.3 Esamų gebėjimų ir veiklos vertinimas

Įvertinkite esamus sprendimų ir paslaugų teikimo gebėjimus ir vykdymą, kad būtų nustatyti baziniai rodikliai,

pagal kuriuos būtų galima palyginti būsimus reikalavimus. Apibrėžkite veiklos vykdymą atsižvelgdami į IT indėlį į

veiklos tikslus, funkcines galimybes, stabilumą, sudėtingumą, sąnaudas, stipriąsias ir silpnąsias vietas.

PO1.4 IT strateginis planas

Parenkite strateginį planą, kuriame kartu su atitinkamomis suinteresuotomis šalimis apibrėžkite, kaip IT tikslai

prisidės prie organizacijos strateginių tikslų, bei susijusias sąnaudas ir riziką. Jame turi atsispindėti, kaip IT

prisidės prie IT palaikomų investicijų

programų, IT paslaugų ir IT turto. IT turi nustatyti, kaip bus vykdomi tikslai, koks vertinimas bus naudojamas bei

kokių reikės procedūrų formaliam suinteresuotųjų šalių pritarimui gauti. IT strateginis planas turi apibrėžti

biudžetą, reikalingą naujoms investicijoms ir pastovioms sąnaudoms padengti, finansavimo šaltinius, aprūpinimo

strategiją, įsigijimo strategiją bei teisinius ir reguliavimo reikalavimus. Strateginis planas turi būti pakankamai

išsamus, kad jo pagrindu būtų galima rengti taktinius IT planus.

Kontrolės tikslai – PO1 (3)



PO1.5 IT taktiniai planai

IT strateginio plano pagrindu sukurkite IT taktinių planų portfelį. Taktiniai planai turi apimti IT palaikomas

programų investicijas, IT paslaugas ir IT turtą. Taktiniai planai turi apibrėžti reikiamas IT iniciatyvas, poreikį

ištekliams bei tai, kaip bus tikrinamas ir valdomas išteklių naudojimas ir naudos pasiekimas. Taktiniai planai turi

būti pakankamai išsamūs, kad būtų galima apibrėžti projektų planus. Analizuodami projektų ir paslaugų portfelius

aktyviai valdykite taktinius IT planus ir iniciatyvas.

PO1.6 IT portfelio valdymas

Kartu su veiklos atstovais aktyviai valdykite IT palaikomų investicijų programų portfelį, reikalingą pasiekti

konkrečius strateginius veiklos tikslus, nustatydami, apibrėždami, vertindami, suteikdami prioritetus, atrinkdami,

inicijuodami, valdydami ir kontroliuodami

programas. Tai turėtų apimti norimų veiklos rezultatų išaiškinimą, užtikrinimą, kad programų tikslai palaiko

rezultatų siekimą, supratimą, kiek reikės įdėti pastangų rezultatams pasiekti, aiškios atskaitomybės ir vertinimo

rodiklių nustatymą, programos projektų apibrėžimą, išteklių ir finansavimo paskirstymą, įgaliojimų suteikimą bei

pavedimą atlikti reikiamus projektus pradedant programą.

Kontrolės praktika

Kontrolės praktika – tai patarimai kaip pasiekti kontrolės tikslus kontrolės priemonių lygmenyje.

6 bendrinės kontrolės praktikos sritys (kiekvienam procesui)

Specifinės kontrolės praktikos kiekvienam specifiniam kontrolės tikslui


Kontrolės praktika PC1 (bendrinė)


COBIT Control Practices; Guidance to achieve Control Objectives for successful IT Governance, p.9

Kontrolės praktika PO1.1



Kontrolės praktika PO1.1 (2)







Control Practices

1. Define a committee, supported by a formal charter and containing both IT and business unit leadership, with the objective of directing IT-enabled investment programmes, IT services and IT assets.

2. Ensure that the management activities of the IT-enabled investment programmes, IT service and IT assets use a formal process that requires business cases that include cost-benefit analysis, analysis of alignment with business strategy, risk assessments, SLAs for IT services and the impact to the current IT portfolio.

3. Ensure that the management activities of the IT-enabled investment programmes include a process that:

• Monitors the development and delivery of IT components of investment programmes

• Requires reviews of IT service delivery against equitable and enforceable SLAs

• Monitors deviations in terms of cost, timing and functionality

4. Ensure that accountability for value delivery, i.e., the achievement of business benefits through the use of IT, is clearly assigned at an appropriate level.



Kontrolės sąrangos testai (ar kontrolė yra)

Kontrolės sąrangos testai skirti:

• įvertinti kontrolės sąrangą

• patvirtinti kad kontrolė yra

• įvertinti kontrolės efektyvumą

Kontrolės sąrangos testai :

• bendriniai, kiekvienam bendriniam kontrolės tikslui PC1-PC6

• specifiniai, kiekvienam iš 210 specifinių COBIT kontrolės tikslų


Kontrolės sąrangos ir rezultato testai (bendriniai kontrolės tikslai PO1-PO6)


IT Assurance Guide using COBIT, p.45

Kontrolės sąrangos testai (specifiniai, PO1.1)



Kontrolės sąrangos testai (specifiniai, PO1.1)



Kontrolės rezultato testai (ar kontrolė veikia)


Kontrolės rezultato (kontrolės efektyvumo) testavimo paskirtis – įsitikinti,

koks kontrolės poveikis proceso išvesties rezultatams.

Testuojama, ar pasiekiami proceso ir jo pagrindinių priemonių tikslai.

Kontrolės rezultato testai :

bendriniai kiekvienam bendriniam kontrolės tikslui

specifiniai, kiekvienam iš 34 COBIT procesų

Kontrolės rezultato testai



Kontrolės rezultato testai PO1



Kontrolės rezultato testai PO1 (padidinta)



Take following steps to test the outcome of the control objectives:

• Confirm through interviews with steering committee members and other sources that

the steering committee members are appropriately represented by IT and business unit

leadership (e.g., awareness of roles, responsibility, decision matrix and their

ownership).

• Review the approved steering committee charter and assess for relevance (e.g., roles,

responsibility, authority, accountability, scope and objectives are communicated and

understood by all members of the committee).

• Inspect business cases to determine that the documentation has appropriate content

(e.g., scope, objectives, cost-benefit analysis, high-level road map, measures for

success, roles and responsibilities, impact of existing IT investment programmes) and

that the business cases were developed and approved in a timely manner. Confirm

through interviews whether IT-enabled investment programmes, IT services and IT

assets are evaluated against the prioritisation criteria (review the documented

prioritisation criteria).

COBIT5 mokymas ir egzaminai

Pradiniai 2,5 dienų COBIT5-foundation mokymai

+ 40 klausimų egzamimas; reikia surinkti 70 proc. teisingų atsakymų

The participant will learn more about:

• How IT management issues are affecting organizations and the need for a control

framework driven by the need for IT Governance

• How COBIT meets the requirement for an IT Governance Framework

• How COBIT is used with other standards and best practices

• The functions that COBIT provides and the benefits of using COBIT

• The COBIT Framework and all the components of COBIT (Control Objectives,

Control Practices, Management Guidelines, Assurance Guidelines)

• How to apply COBIT in a practical situation and how the use of COBIT is supported

by ISACA.


COBIT5 mokymai ir egzaminai

Aukštesnio lygio mokymai:

Implementing Governance of Enterprise IT Using COBIT

+ 40 klausimų egzaminas; reikia surinkti 70 proc. teisingų atsakymų

The participant will learn more about:

• The principles and objectives of COBIT and the COBIT framework

• The ISACA approach to IT governance and how COBIT supports this IT

management capability using the COBIT maturity models and control objectives

• How to plan control improvements using control objectives and control practices

• How to create a performance measurement framework using COBIT's metrics and

scorecards

Klausytojai turi būti išlaikę COBIT-Foundation kursą


Ačiū už dėmesį!


Documents

2013 m. Balandžio 18d. Kaip tapti lyderiais IT valdymo ... konferencija/COBIT_BKA.pdf5 Optimalus, kai IT strateginis planavimas yra dokumentuotas, gyvas procesas, į kurį nuolat