4. Metodiky auditu ( Cobit 4 a Cobit 5) Řízení kvality (audit) IS BIVŠ ZS15
Osnova 1. 2.
Modely pro řízení kontrol IS/IT COBIT 4.1
1. Modely pro řízení kontrol-1
Customer Operations Performance Center (call center services)
eSourcing Capability Model for Service Providers
Modely pro řízení kontrol-2
Certifikační program pro organizace vyvíjející software, Británie, Švédsko, kvalita SW
2. ISACA - COBIT • Cíl: Zkoumat, rozvíjet, publikovat a propagovat sadu všeobecně přijímaných kontrolních cílů pro oblast informačních technologií, které jsou určené pro každodenní využití – především manažery IT, IT odborníky a auditory (externí i interní), pro všechny typy organizací • Forma: sada dokumentů, které obsahují všeobecně přijímaný souhrn tzv. „best practises“ v oblasti řízení IT • Dostupnost: – dokumenty lze stáhnout na stránkách ITGI či ISACA, některé zdarma – Forma: elektronická, knižní, CD-ROM
Historie Cobit
ISO/IEC 38500: 2008
ISO/IEC 38500: 2015 • Stejný koncept jako ve verzi 2008 • „Governance of IT“ je „systém, pomocí kterého se řídí a kontroluje současné a budoucí využívání IT • V poznámkách (není obvyklé u ISO norem) je uvedeno, že jde o ekvivalent výrazů: – Corporate governance of IT – Enterprise governance of IT – Organizational governance of IT (bohužel enterprise governance of IT užívaný v Cobit 5 není zmíněn!)
• Dále stejné (hlavní činnosti: Evaluate – Direct – Monitor; hlavní principy: odpovědnost, strategie, pořízování, provozování, soulad, lidské zdroje
Další provázané normy • ISO 38501: 2015 Information technology -Governance of IT -- Implementation guide – Poskytuje návod pro implementaci IT governance v organizacích – je rozšířením ISO 38500 a ISO 38502
• ISO 38502 Information technology — Governance of IT — Framework and model – poskytuje informace o rámci a modelu, který je možné použít pro určení hranic mezi a vztahů mezi governance a managementem současných a budoucích IT v organizacích
ITIL
COBIT
Cobit 4.1
Obsah Cobit 4.1 (200 str. PDF dokument) – Executive Overview = 4-stránkový manažerský souhrn účelu – CobiT® Framework = 20-stránkový popis koncepce a způsobu jeho používání – Popis 34 procesů rozdělených do 4 domén. Pro každý z těchto procesů je definován: • Process description = cíl a účel procesu (1 str. A4) • Control objectives = několik dílčích kontrolních cílů (1-3 str. A4) • Management guidelines = definice vstupů do / výstupů z ostatních procesů, seznam klíčových aktivit procesu a rolí, resp.funkcí, které je provádějí (RACI matice), cíle a metriky (1 str. A4) • Maturity model = kritéria vyspělosti procesu pro zařazení na škále 0 – 5 – 8 příloh = celkem 44 stran, mimo jiné i slovník pojmů
Základní vlastnosti COBITu A. Je procesně orientovaný s vazbou na IT zdroje, požadavky businessu na vlastnosti informací a cíle IT Governance B. Klade důraz na kontroly C. Je orientovaný na propojení různých úrovní cílů a jejich metrik D. Umožňuje hodnocení zralosti procesů E. Má definované vazby na jiné frameworky
A. COBIT je procesně orientovaný • 4 domény : Plánování a organizace Pořízení a implementace Dodávka a podpora Monitorování a hodnocení
• 34 procesů (high level control objectives) • Aktivity ??? • 214 kontrolních cílů
Procesy jsou provázány s IT zdroji • Aplikace- automatizované systémy a ruční procedury • Informace – data ve všech formách • Infrastruktura – HW. OS, aplikační systémy, síťové prostředky, multimedia a prostředí, které umožňuje jejich fungování • Lidé – interní i externí
Procesy jsou provázány s požadavky businessu na vlastnosti informací • • • •
Effectiveness (účelnost) Efficiency (účinnost) Confidentiality (důvěrnost) Integrity (spávnost a úplnost) • Availability (dostupnost) • Compliance ( soulad s normami) • Reliability (spolehlivost)
Procesy jsou provázány s ITG
Příklad proces DS2
COBIT 4.1
Procesy jsou vzájemně provázány pomocí vstupů a výstupů
• Každý proces je popsán tabulkou vstupů a výstupů:
– Z jakých procesů a jaké vstupy proces potřebuje – Jakým procesům a jaké výstupy poskytuje
Procesy mají určené odpovědosti • Každý proces je popsán pomocí RACI Chart – Diagram určující kdo je za proces a jeho jednotlivé aktivity –R Resposible (odpovědný) –A Accountable (právně odpovědný) –C Consulted (konzultant) –I Informed (informován)
RACI diagram (Responsible-Accountable-Consulted-Informed)
B. COBIT klade důraz na kontroly • Systém interních kontrol ovlivňuje IT na třech úrovních: – Na úrovni exekutivy – kontrolní prostředí – Na úrovni business procesů – IT aplikační kontroly – Na úrovni IT služeb – IT obecné kontroly – Na úrovni IT procesů • kontrolní cíle – specifické pro každý proces • generické kontroly – společné pro všechny procesy
Aplikační a obecné kontroly – Obecné kontroly – jsou součástí IT procesů a služeb – Jsou společné pro všechny aplikace – Jsou v odpovědnosti IT – Příklady: tvorba systémů, řízení změn, bezpečnosti, provozu – Jsou hlavním obsahem Cobitu
– Aplikační kontroly – jsou součástí aplikací, které podporují business procesy – jsou specifické pro každou aplikaci – Jsou ve společné odpovědnosti uživatelů a IT – Uživatelé jsou odpovědní za • Definování funkčních a kontrolních požadavků • Za užívání automatizovaných služeb – IT odpovídá za • Automatizaci a implementaci funkčních a kontrolních požadavků • Zajištění integrity aplikačních kontrol
– Příklady: úplnost, správnost, autorizace, oddělení odpovědností
Aplikační kontroly • V Cobitu částečně v doméně AI plus stručný popis v úvodu • mají označení ACn: – AC1: Příprava zdrojových dat (dokumentů) a jejich autorizace – AC2: Shromažďování dat a jejich vstup – AC3: Kontroly správnosti, úplnosti a pravosti (spolehlivosti) – AC4: Integrita zpracování a hodnověrnost – AC5: Kontrola výstupů, konsolidace, ošetření chyb – AC6: Správnost, originalita a autentizace předávaných výstupů
Kontroly na úrovni procesů •
Cíle kontrol/řízení – Control Objectives – Označení procesu, za tečkou číslo cíle kontrol
•
PO10 Manage projects – – – – – – – – – – – – – –
PO10.1 Programme management framework PO10.2 Project management framework PO10.3 Project management approach PO10.4 Stakeholder commitment PO10.5 Project scope statement PO10.6 Project phase initiation PO10.7 Integrated project plan PO10.8 Project resources PO10.9 Project risk management PO10.10 Project quality plan PO10.11 Project change control PO10.12 Project planning of assurance methods PO10.13 Project performance measurement, reporting and monitoring PO10.14 Project closure
Kontroly na úrovni procesů • Obecné kontrolní požadavky „generic control requirements“ • Mají označení PCn (process control) a číslo – PC1 Cíle procesů – PC2 Vlastnictví procesu – PC3 Opakovatelnost procesu – PC4 Role a odpovědnosti (odpovědnost za aktivity procesu) – PC5 Politiky, plány a procedury (dokumentace, školení) – PC6 Zlepšování realizace procesu (vzory, metriky)
Kontroly- příklad • DS – Deliver and Support – – – – – – – – – – – – –
DOMÉNA
DS1 Define and Manage Service Levels DS2 Manage Third-party Services PROCES DS3 Manage Performance and Capacity DS4 Ensure Continuous Service DS5 Ensure Systems Security DS6 Identify and Allocate Costs DS7 Educate and Train Users DS8 Manage Service Desk and Incidents DS9 Manage the Configuration DS10 Manage Problems DS11 Manage Data DS12 Manage the Physical Environment DS13 Manage Operations
Kontroly příklad • Kontrolní cíle • • • •
2.1 Identifikace všech vazeb na dodavatele 2.2 Řízení vazeb na dodavatele 2.3 Řízení rizika dodavatelů 2.4 Monitorování dodávek
C. Cobit je orientovaný na propojení cílů a jejich metrik Pro každý proces jsou definované cíle a metriky určující míru jejich dosažení. Rozlišují se • Úrovně cílů a metrik: – – – –
Podnikatelské cíle a metriky (Business Goals) 17, BSC IT (útvar) cíle a metriky (IT Goals) 28 IT procesní cíle a metriky (IT Process Goals) 34 Cíle a metriky IT aktivit (Activity Goals)
• Druhy metrik – Outcome metrics/measures) ve verzi 3 KGI- klíčové metriky cílů (např. počet stížností na externě dodávané služby) – Performance indikátory/measures, KPI –klíčové metriky realizace (např. procento dodavatelů, kteří jsou předmětem pravidelného monitoringu)
Vazby mezi cíli
METRIKY DOSAŽENÍ PODNIKATELSKÝCH CÍLŮ
METRIKY IT PROCESŮ
METRIKY IT
Metriky cílů (outcome measures) •
Outcome measures vztahující se k cílům jedné úrovně lze zároveň považovat za performance indicators vztahující se k cílům vyšší úrovně
Cíle a metriky příklad DS2
D. Cobit umožňuje hodnocení zralosti procesů
Tři dimenze zralosti procesů • How capable- způsobilost procesů závisí na IT misi a business cílech • How much – kolik se z toho využívá závisí na požadované návratnosti investic • What – míra kontrol závisí na riziku a požadavcích na soulad se standardy • Ne všechny procesy musí dosáhnout 5. úroveň
Příklad: popis úrovně 2 modelu vyspělosti pro DS2 Úroveň 2 – Opakující se ale intuitivní Proces hodnocení poskytovatelů služeb a dodávek služeb je neformální. Podepisují se rámcové kontrakty, ale mají formu standardní smlouvy vytvořenou poskytovatelem. Měřítka jsou uvedena, ale nejsou využívána. Vytvářejí se reporty, ale nevyužívají se pro zpětnou vazbu
E. Cobit má definované vazby na jiné frameworky • Aligning COBIT, ITIL and ISO 17799 for Business Benefit • COBIT Mapping: Mapping of CMMI for Development V1.2 With COBIT 4.1 • COBIT Mapping: Mapping of TOGAF 8.1 With COBIT 4.0Appendices • COBIT Mapping: Mapping of NIST SP800-53 Rev 1 With COBIT 4.1 • COBIT Mapping: Mapping ISO/IEC 17799:2005 With COBIT 4.0 • COBIT Mapping to ISO/IEC 17799 :2000 With COBIT • COBIT Mapping: Mapping of ISO/IEC 20000 With COBIT 4.1 • COBIT Mapping: Mapping of ITIL With COBIT 4.0 • COBIT Mapping: Mapping of PMBOK With COBIT 4.0 • COBIT Mapping: Mapping of PRINCE2 With COBIT 4.0 • Etc.
Vazby mezi komponentami
Cobit 5: Struktura dokumentů • Cobit 5 Framework; popisuje základní rámec (principy, předpoklady, vazby na jiné rámce), • Cobit 5 Enabler Guides; jde o dokumenty, které jsou obecným návodem na vytváření předpokladů pro efektivní řízení IT; z těchto dokumentů byl k srpnu 2012 uvolněn dokument Cobit 5 Enabling processes, • Cobit 5 Processional Guides; jde o dokumenty určené pro jednotlivé specialisty, jako například auditory, specialisty pro informační bezpečnost, specialisty pro řízení rizik, apod.; z tento dokumentů byl k srpnu 2012 uvolněn dokument Cobit 5 Implementation, • Colaborativní on-line dokumenty, jejichž prostřednictvím budou uživatelé Cobit 5 sdílet svoje znalosti získané aplikací předešlých dokumentů.
Cobit 5 Product Family • Cobit 5 Framework • Cobit 5 Enabling Processes • Cobit 5 Implementation • Copbit 5 for Information Security • Cobit 5 for Assurance • Cobit Assessment Programme • Cobit 5 for Risk
Cobit 5 - Model
Obsah Cobit 5 (asi 200 stránkový dokument pdf) – Kapitola 1: obsah dokumentu a jeho vazby na další dokumenty Cobit 5; rozsah 1 stránka A4), – Kapitola 2: vysvětlení úrovní cílů, jejich popis a příklady metrik pro podnikové cíle (enterprise goals) a IT cíle (IT goals); rozsah 6 stránek A4, – Kapitola 3: představuje komponenty popisu každého procesu (governance a manažerské procesy), umožňují nahradit procesy, které byly obsahem dílčích dokumentů Cobit 4.1 (Val IT, Risk IT, ISO/IEC 38500); rozsah 3 stránky A4, – Kapitola 4: referenční model procesů; popis je obecný a je potřeba ho přizpůsobit podmínkám v každé organizaci; rozsah 2 stránky A4, – Kapitola 5: je hlavní kapitolou dokumentu a obsahuje podrobný popis všech 37 procesů referenčního modelu; rozsah 176 stránek A4, – Příloha A: mapování procesů mezi Cobit 5, Val IT a Risk IT do úrovně cílů kontrol/řízení; rozsah 8 stránek A4, – Příloha B a C: mapování mezi podnikovými cíli, IT cíli a procesy Cobit 5; rozsah 5 stránek A4.
Struktura popisu procesu Cobit 5 Každý z 37 procesů Cobit 5 je popsán ve stejné struktuře, která zahrnuje: • • • • • • • •
identifikaci procesu, oblasti Governance/management, domény, popis procesu (Process Description), popis účelu procesu (Process Purpose Statement), tabulku obsahující IT cíle, na které má daný proces primární vazbu a metriky pro tyto cíle, tabulku obsahující cíle procesu a metriky k těmto cílům, tabulku ukazující vazby mezi klíčovými procesními praktikami a typickými rolemi na všech úrovních řízení a typ odpovědnosti (RACI Chart), tabulku popisující vstupy a výstupy pro jednotlivé procesní praktiky a dále aktivity spojené s jednotlivými procesními praktikami (Process Practices, Inputs/Outputs and Activities), tabulku vazeb procesu na jiné standardy (Related Guidance).
Rozdíly: 1. Zavedení nových principů GEIT 1. Uspokojení potřeb zájmových skupin 1. 2.
cílem existence podniků je generování hodnot pro tyto skupiny kaskádování cílů a metriky
2. „End-to-end“ pokrytí podniku 1.
Informace celopodniková aktiva, všechny úrovně řízení
3. Aplikace jednoho integrovaného rámce 4. Podpora holistického přístupu 1.
7 předpokladů (Enablers) majících vliv na to, zda bude cílů dosaženo 1. 2. 3. 4. 5. 6. 7.
Principy, politiky a rámce; Procesy; Organizační struktury; Kultura, etika a chování; Informace; Služby, infrastruktura a aplikace; Lidé, dovednosti a kompetence.
5. Oddělení úrovně řízení „Governance“ od úrovně řízení „Management“
Cobit 5: Principles
COBIT 5 Enablers
Rozdíly: 2. Nový referenční model procesů • na první pohled nedošlo k velké změně v počtu procesů (Cobit 4.1 –obsahuje 34 procesů, Cobit 5 obsahuje 37 procesů) • hlavní změny se odehrály na úrovni cílů kontrol/řízení (Control Objectives- v terminologii Cobit 4.1) a praktik procesů/řízení (Process Practices v terminologii Cobit 5). • Dokument Cobit 5 Enabling Processes obsahuje ve své příloze A mapující tabulku mezi těmito dvěma procesními modely.
Příklady nových nebo upravených procesů
APO03 Manage enterprise architecture. APO04 Manage innovation. APO05 Manage portfolio. APO06 Manage budget and costs. APO08 Manage relationships. APO13 Manage security. BAI05 Manage organisational change enablement. BAI08 Manage knowledge. BAI09 Manage assets. DSS05 Manage security service. DSS06 Manage business process controls.
Cobit 5 procesní model
Změna: 3. Terminologie, dekompozice procesního modelu a detail popisu • opuštění termínu cíl kontrol/řízení – Control Objective a nahrazení termínem procesní praktika – Process Practice, případně manažerská praktika (Management Practice) • Control – definice: navržené politiky, procedury a praktiky a organizační struktury, které poskytují záruky, že bude dosaženo business cílů a že nežádoucí události budou eliminovány, nebo včas odhaleny a napraveny (Cobit 3) • Practice – definice: ověřená činnost nebo proces, které byly úspěšně použity v řadě organizací a prokázaly, že vedou ke spolehlivým výsledkům (Cobit 5) • Dobré: – nejasný překlad termínu Control Objective do češtiny (překladatelsky správně cíl řízení; logicky ale správně spíše cíl kontrol) – nejasná vazba mezi procesem, cíli kontrol a aktivitami procesu, (viz další slide)
Rozdíly v dekompozici Doména
Proces
Doména Proces Praktika
Aktivita
Cíl kontrol Aktivita
Změna: 4. Nové kaskádování cílů a metrik • Cobit 4.1 formuloval 4 úrovně cílů: – – – –
Business cíle (17) členěné do 4 perspektiv BSC IT cíle (28) Cíle procesů Cíle aktivit procesů
• Cobit 5 pracuje s těmito úrovněmi cílů: – Governance cíle (3) – Podnikové (Enterprise) cíle (17) členěné do 4 perspektiv podle BSC – IT cíle (17) členěné do 4 perspektiv podle BCS – Procesní cíle
• Se změnami kaskádování cílů došlo také ke změně metrik.
Změna: 5. Rozšířená RACI matice • Cobit 4.1: odpovědnosti formou R- Resposible, A-Accountable, C-consulted a I-Informed uvedeny ke každé aktivitě procesu a uvažoval se omezený počet rolí • Cobit 5: odpovědnosti přiřazeny ke každé praktice a počet rolí byl rozšířen
P P P … …
Vedoucí správce
Vedoucí vývoje
Hlavní architekt
Vedoucí provozu
Vlastník business procesu
Manažer IT
Liniový manažer
Finanční ředitel
Výkonný ředitel
Manažer důvěrnosti informací
Manažer kontinuity procesů
Manažer služeb
Audit, bezpečnost, řízení rizika
A3
Manažer bezpečnosti informací
A2 Vedoucí proj. kanceláře
A1
Vedoucí správce
Vedoucí provozu
Vedoucí vývoje
Vedoucí architekt
Vedoucí útvaru IT
Audit
Soulad s regulacemi
Manažer lidských zdrojů
Výbor pro řízení rizik
Výbor pro architekturu
Vedoucí útvaru bezpečnosti i-cí
Manažer rizik
Kancelář řízení hodnot
Projektová kancelář
Programový/projektový výbor
Strategický výbor
Vlastník procesu
Liniový manažer
Provozní ředitel
Finanční ředitel
Výkonný ředitel
Představenstvo
Klíčové praktiky
Rozdíly RACI
Aktivity
Změna: 6. Změna v hodnocení úrovní zralosti procesů • Cobit 5 opouští model hodnocení zralosti procesů, CMM (Capability Maturity Model) • Přechází na model PAM (Process Assessment Model) a je formulován v normě ISO/IEC 15504 • Model PAM – se podobá modelu CMM v tom smyslu, že používá 6 úrovní zralosti, avšak jejich vlastní obsah je vymezen přesněji definovanými atributy, které je potřeba navázat na indikátory procesů uvedenými jak ve verzi Cobit 4.1, tak v verzi COBIT 5 – úrovně jiný věcný obsah, který je určován atributy procesu a dále upřesňován definovanými postupy (Practices) a pracovními výstupy (Work Products)
Příklad DS2: Manage third party services