ÖSSZEFOGLALÓ ÁTTEKINTÉS 3. kiadás
MTA Információtechnológiai Alapítvány 2003
COBIT AZ INFORMÁCIÓ–TECHNOLÓGIA IRÁNYÍTÁSÁHOZ, KONTROLLJÁ– HOZ ÉS ELLEN RZÉSÉHEZ
1
IT
GOVERNANCE INSTITUTE
IT
GOVERNANCE INSTITUTE
COBIT 3. kiadás
Összefoglaló áttekintés 2000. július
A COBIT Irányító Bizottsága és az IT Governance InstituteTM gondozásában
A COBIT küldetése: Mértékadó, naprakész és nemzetközi érvény , általánosan elfogadott informatikai kontroll irányelvek kutatása, kidolgozása, publikálása és támogatása, amelyeket napi munkájuk során tudnak használni az üzletemberek, ellen rök és könyvvizsgálók
2
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS A kiadók megjegyzése Az Information Systems Audit and Control Foundation (Információs Rendszerek Ellen rzésével és Vizsgálatával foglalkozó Alapítvány), az IT Governance Institute és a COBIT: Control Objectives for Information and Related Technology (Információ-technológiai Kontroll Irányelvek) támogatói els sorban azzal a céllal dolgozták ki az Összefoglaló áttekintés, a Keretrendszer, az Ellen rzési irányelvek, a Vezet i útmutató, az Auditálási útmutató és az Alkalmazási módszerek elnevezés kiadványokat (együttesen a ’’Termék”), hogy forrásanyagot biztosítnak az ellen rzési szakemberek számára. Az Information Systems Audit and Control Foundation, az IT Governance Institute és a támogatók nem állítják azt, hogy a jelen Termékben leírtak alkalmazása garanciát jelent a sikeres eredményre. A kiadók nem állítják azt, hogy a jelen Termék minden megfelel eljárást és tesztet tartalmaz illetve azt, hogy a benne szerepl eljárásokon és teszteken kívül más eljárások és tesztek nem hozhatnak hasonló eredményeket. Az egyes konkrét eljárások illetve tesztek megfelel ségének meghatározásakor az ellen rzési szakembereknek saját szakmai megítélésük alapján kell dönteniük, a konkrét rendszerek illetve ellen rzési környezet függvényében.
Közzététel és szerz i jog Copyright © 1996, 1998, 2000 by Information Systems Audit and Control Foundation (ISACF). A termék kereskedelmi célú kiadásához az ISACF el zetes írásbeli hozzájárulása szükséges. Az Összefoglaló áttekintés, a Keretrendszer, a Kontroll irányelvek, a Vezet i útmutató és az Alkalmazási módszerek c. részek nem üzleti célú, bels használatra történ másolása, beleértve azok adatkeres rendszerben történ tárolását és bármilyen eszközön – elektronikus, mechanikus, hangfelvétel, vagy más – keresztül történ továbbítását, engedélyezett. Az Összefoglaló áttekintés, a Keretrendszer, a Kontroll irányelvek, a Vezet i útmutató és az Alkalmazási módszerek részekr l készített másolatokban az alábbi szerz i jogi nyilatkozatot kell feltüntetni: ”Copyright © 1996, 1998, 2000 by Information Systems Audit and Control Foundation. Az Information Systems Audit and Control Foundation és az IT Governance Institute engedélyével.”
Az Auditálási útmutató cím rész felhasználása, másolása, reprodukálása, módosítása, terjesztése, adatkeres rendszerben történ tárolása és bármilyen formában, bármilyen eszközön (elektronikus, mechanikus, fénymásolt, hangfelvétel, vagy más) keresztül történ továbbítása nem engedélyezett az ISACF el zetes írásbeli hozzájárulása nélkül; azzal a kikötéssel, hogy az Auditálási útmutató kizárólag bels , nem-kereskedelmi célú felhasználása engedélyezett. A fentiekben jelzetteken kívül semmilyen más jog illetve engedély nem került átadásra a jelen termékkel kapcsolatban. A termékkel kapcsolatos minden jog fenntartva.
Information Systems Audit and Control Foundation IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Telefon: +1.847.253.1545 Fax: +1.847.253.1443 E–mail:
[email protected] Internet: www.ITgovernance.org www.isaca.org ISBN ISBN
1–893209–15–6 (Összefoglaló áttekintés) 1–893209–13–X (a 6 teljes könyv CD ROM-mal együtt)
Készült az Amerikai Egyesült Államokban.
3
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
VEZET I ÖSSZEFOGLALÓ
A
szervezetek sikere és továbbélése szempontjából kritikus fontosságú az információk és az ahhoz kapcsolódó információ-technológia (IT) eredményes alkalmazása. Napjaink globális információs társadalmában – ahol az információ id -, távolsági- és sebesség-korlátok nélkül száguld a kibertérben – az alábbi tényez k miatt vált rendkívül fontossá az információk hatékony feldolgozása:
• a szervezetek egyre nagyobb mértékben függnek az információktól és az azokat feldolgozó és továbbító rendszerekt l; a szervezetek sebezhet sége és • egyre nagyobb mérték veszélyeztetettsége, a világhálón keresztül megjelen veszélyek és az információs hadviselés következtében; • az informatikai beruházások volumene és költségei jelent s mértékben növekedtek és fognak növekedni a jöv ben; továbbá • bizonyos új technológiák radikálisan képesek befolyásolni a szervezeti m ködést és az üzleti gyakorlatot, új lehet ségeket teremtenek és csökkentik a költségeket.
Sok szervezet esetében az információ és az azt feldolgozó technológia jelenti a szervezet legértékesebb vagyontárgyait. Mindezek mellett napjaink versenycentrikus és gyorsan változó üzleti környezetében az üzletemberek egyre fokozottabb elvárásokat fogalmaznak meg az információ-technológiával szemben: a vezetés magasabb min séget, funkcionalitást és könnyen használható szolgáltatásokat, egyre gyorsabb kiszolgálást és folyamatosan javuló szolgáltatási színvonalat igényel, ugyanakkor ezeket a célokat sokkal alacsonyabb költségek mellett kívánja megvalósítani.
Sok szervezet felismerte, hogy milyen potenciális el nyöket kínál a technológiai fejlesztés. A sikeres szervezetek azonban azzal is tisztában vannak, hogy milyen kockázatok kapcsolódnak az új technológiák bevezetéséhez és hogyan lehet kezelni azokat.
Számos olyan változás történt az informatikában és annak m ködési környezetében, amelyek szükségessé teszik az informatikával kapcsolatos kockázatok hatékonyabb kezelését. Az elektronikus információk és az informatikai rendszerek jelent s szerepet játszanak a kulcsfontosságú üzleti folyamatok támogatásában. Emellett a szabályozási környezet egyre szigorúbb el írásokat fogalmaz meg az információk ellen rzésére vonatkozóan. Ezt a folyamatot a napvilágra kerül informatikai katasztrófák és elektronikus
4
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
csalások csak meger sítik. Az informatikához kapcsolódó kockázatok kezelése a vállalat-irányítás kulcsfontosságú részévé vált napjainkra.
A vállalat-irányításon belül egyre jelent sebbé válik az ún. informatikai irányítás. Az informatikai irányítás a vállalat-irányítási és ellen rzési kapcsolatok és eljárások olyan struktúrájaként határozható meg, amely új érték hozzáadásával, ugyanakkor a kockázatok és az informatika által kínált el nyök együttes mérlegelésével kívánja megvalósítani a vállalkozás célkit zéseit. Az informatikai irányítás meghatározó szerepet játszik a vállalat-irányítás sikerességében azáltal, hogy hatékony, eredményes és mérhet javulást biztosít a kapcsolódó vállalati folyamatokban. Az informatikai irányítás jelenti azt a struktúrát, amely összekapcsolja az informatikai folyamatokat, az informatikai er forrásokat és az információkat a szervezet stratégiájával és célkit zéseivel. Emellett az informatikai irányítás integrálja és intézményesíti a tervezésre és szervezetre, a beszerzésre és üzembe állításra, az informatikai szolgáltatásra és támogatásra valamint az informatikai teljesítmény felügyeletére vonatkozó követend (vagy legjobb) gyakorlatokat annak érdekében, hogy a vállalkozás információs- és kapcsolódó technológiái segítsék a szervezet üzleti célkit zéseinek megvalósítását. Az informatikai irányítás tehát lehet vé teszi a vállalat számára, hogy teljes mértékben kihasználja a birtokában lév információk által kínált el nyöket és ezáltal maximális hasznot érjen el, megragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson.
Informatikai irányítás A vállalat-irányítási és ellen rzési kapcsolatok és eljárások olyan struktúrája, amely új érték hozzáadásával, ugyanakkor a kockázatok és az informatika által kínált el nyök együttes mérlegelésével kívánja megvalósítani a vállalkozás célkit zéseit.
A szervezeteknek az információk kapcsán is, akárcsak a szervezet minden vagyona esetében, figyelembe kell venniük bizonyos min ségi, fiduciáris és biztonsági követelményeket. A vezetésnek emellett gondoskodnia kell a rendelkezésre álló er források – ideértve az adatokat, az alkalmazási rendszereket, a technológiát, a berendezéseket és az emberi er forrásokat – optimális kihasználásáról. A fenti feladatok teljesítése valamint kit zött céljai megvalósítása érdekében a vezetésnek tisztában kell lennie saját informatikai rendszereinek státuszával és döntenie kell arról, hogy milyen biztonsági és ellen rzési mechanizmusokat kíván kialakítani.
5
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
A COBIT – immár harmadik kiadásában – az üzleti kockázatok, az ellen rzési igények és a technikai jelleg kérdések között húzódó “szakadékok” áthidalása révén segítséget nyújt a vezetés sokrét igényeinek kielégítéséhez. Megfelel gyakorlati megoldásokat kínál, ugyanakkor kezelhet és logikus struktúrában mutatja be a szükséges teend ket. A COBIT által megfogalmazott “követend gyakorlatok” olyan eljárásokat jelentenek, amelyek kapcsán konszenzusra jutottak a szakért k abban, hogy ezek az eljárások segítik az informatikai beruházások optimalizálását és támpontot kínálnak annak eldöntéséhez, hogy jól mennek-e a dolgok, vagy sem.
A vezetésnek egy olyan bels ellen rzési rendszert kell kialakítania, amely támogatja az üzleti folyamatokat, világosan meghatározza, hogy az egyes ellen rzési tevékenységek hogyan járulnak hozzá az információkra vonatkozó követelmények teljesítéséhez és kihatnak az informatikai er forrásokra is. Az informatikai rendszerek er forrás-igényeivel valamint az információk eredményességével, hatékonyságával, bizalmas jellegével, sértetlenségével, hozzáférhet ségével, megfelel ségével és megbízhatóságával kapcsolatos üzleti követelményekkel a COBIT Keretrendszer része foglalkozik részletesebben. Az ellen rzés, amely magában foglalja az irányelveket, a szervezeti struktúrát és a gyakorlati eljárásokat is, a vezetés felel sségi körébe tartozik. A vezetésnek kell gondoskodnia arról, a vállalat-irányítás keretében, hogy az információs rendszerek irányításában, használatában, tervezésében, fejlesztésében, karbantartásában és üzemeltetésében részt vev személyek felel sségteljes magatartást tanúsítsanak. Az informatikai kontroll irányelvek azt fogalmazzák meg, hogy az egyes konkrét informatikai területeken a kontroll-eljárások alkalmazása révén milyen kívánt eredmények illetve célok valósíthatóak meg.
Az üzleti szemléletmód a COBIT egyik f
jellemz je. A COBIT nemcsak a felhasználók és az ellen rök számára készült, hanem, ami talán még ennél is fontosabb, átfogó hivatkozási forrásként szolgál az üzleti folyamatokért felel s vezet k és a vállalati menedzsment számára. Napjainkban egyre elterjedtebb az a szemléletmód, hogy az üzletpolitika részeként az egyes üzleti folyamatokért felel s vezet k teljes felhatalmazást kapnak, tehát teljes felel sséggel tartoznak az adott üzleti terület m ködéséért, annak minden aspektusát beleértve. Ehhez hozzátartozik a megfelel kontroll-funkciók, ellen rzési mechanizmusok kialakítása is.
A COBIT Keretrendszer segítséget nyújt az üzleti folyamatokért felel s vezet knek fentebb említett feladataik teljesítéséhez. A Keretrendszer egy egyszer és pragmatikus alaptételb l indul ki:
6
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
A szervezeti célkit zések teljesítéséhez szükséges információk biztosítása érdekében az informatikai er forrásokat bizonyos természetszer leg összetartozó eljárások keretében kell kezelni.
A Keretrendszerben bemutatásra kerül 34 ún. általános Kontroll Irányelv, az egyes informatikai folyamatokhoz kapcsolódóan, amelyek négy területre csoportosíthatóak: tervezés és szervezet; beszerzés és üzembe állítás; informatikai szolgáltatás és támogatás valamint felügyelet. Ez a struktúra az információk és az azok feldolgozásához kapcsolódó technológia minden aspektusát lefedi. A fenti 34 általános Kontroll Irányelv segítségével az üzleti folyamatokért felel s vezet k megfelel ellen rzési rendszert alakíthatnak ki az informatikai környezetre vonatkozóan.
A COBIT Keretrendszer ugyanakkor informatikai irányítási útmutatót is kínál. Az informatikai irányítás biztosítja azt a struktúrát, amely összekapcsolja az informatikai folyamatokat, az informatikai er forrásokat és az információkat a szervezet stratégiájával és célkit zéseivel. Az informatikai irányítás összehangolja a tervezés és szervezet a beszerzés és üzembe állítás, az informatikai szolgáltatás és támogatás valamint az informatikai teljesítmény felügyeletének optimális módjait. Az informatikai irányítás lehet vé teszi a vállalat számára, hogy teljes mértékben kihasználja a birtokában lév információk által kínált el nyöket és ezáltal maximális hasznot érjen el, megragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson.
Mindezek mellett mind a 34 általános Kontroll Irányelvhez kapcsolódóan kidolgozásra került egy Auditálási útmutató is, amelynek segítségével ellen rizni lehet, hogy az informatikai eljárások megfelelnek–e a COBIT által javasolt 318 részletes kontroll követelménynek, amelyek egyúttal az esetleges javításokra vonatkozóan is tartalmaznak tanácsokat.
A ”Vezet i útmutató” a COBIT termék-család legújabb tagja, további segítséget és újabb eszközt kínál a vállalat-vezetés részére az informatikai irányításhoz kapcsolódó igények és követelmények még hatékonyabb kezeléséhez. Az útmutató, amely tevékenység-központú és általános jelleg , javaslatokat ad a vállalat-vezetésnek arra vonatkozóan, hogy hogyan alakíthatóak ki megfelel ellen rzési eljárások a vállalkozás információs rendszereire és az azokhoz kapcsolódó eljárásokra vonatkozóan, hogyan kísérhet figyelemmel a szervezeti célok teljesítésének alakulása, hogyan kísérhet figyelemmel az egyes informatikai eljárások teljesítményének alakulása és hogyan mérhet küls összehasonlítások alapján a szervezet teljesítménye.
7
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
A COBIT ún. ”Érettségi Modelleket” kínál az informatikai folyamatok kontrolljához, amelyek alapján a vezetés meg tudja határozni azt, hogy éppen ”hol tart” a szervezet az iparág legjobbjaihoz képest, a nemzetközi szabványokhoz viszonyítva, illetve ahhoz képest, ahol szeretne tartani; ún. ”Kritikus sikertényez ket” kínál, amelyek meghatározzák a vezetés számára az informatikai folyamatok fölötti és azokon belüli kontroll megvalósításához szükséges legfontosabb végrehajtási irányelveket; ún. ”Kritikus cél indexeket” kínál, amelyek meghatározzák azokat a mér számokat, amelyek a megvalósítást követ en megmondják a vezetésnek, hogy vajon megfelelnek-e az egyes informatikai eljárások az üzleti követelményeknek; továbbá ún. ”Kritikus teljesítmény indexeket” is meghatároz, amelyek a legfontosabb mutatók azoknak a mér számoknak a meghatározásához, amelyek alapján megválaszolható az a kérdés, hogy az egyes informatikai eljárások milyen mértékben járulnak hozzá a célok teljesítéséhez.
A COBIT ”Vezet i útmutató”-jában szerepl ajánlások tevékenységközpontúak és általános jelleg ek, amelyek a vezetésnél felmerül alábbi típusú kérdések megválaszolásához nyújtanak segítséget: Meddig érdemes elmennünk és indokolják-e a költségeket az el nyök? Melyek a jó teljesítmény mutatói? Melyek a kulcsfontosságú sikertényez k? Milyen kockázatokkal jár az, ha nem sikerül teljesíteni a célkit zéseket? Mit csinálnak mások? Hogyan mérjük a teljesítményünket és hogyan hasonlítsuk azt össze mások teljesítményével?
A COBIT csomaghoz hozzátartozik egy Alkalmazási módszereket ismertet rész is, amely összefoglalja a COBIT-ot már sikeresen alkalmazó szervezeteknél összegy lt tapasztalatok tanulságait. Az alkalmazási útmutató két hasznos módszert kínál – Vezet i ismeretek diagnosztizálása és Informatikai kontroll diagnosztizálása – a szervezetek informatikai kontroll környezetének felméréséhez és elemzéséhez.
Az
elkövetkez évek során a vállalatok és szervezetek magasabb szint biztonság és kontroll kialakítására fognak kényszerülni. A COBIT olyan eszköz, amely lehet vé teszi a vezet k számára az ellen rzési követelmények, a technikai jelleg kérdések és az üzleti kockázatok közötti “szakadékok” áthidalását, továbbá azt, hogy igazolják az adott szint kontroll m ködését a döntéshozók felé. A COBIT a szervezet egészére kiterjed , világos informatikai kontroll irányelvek és eljárások kidolgozását teszi lehet vé, a világ minden részén. A COBIT tehát egy olyan úttör jelent ség informatikai irányítási eszköz, amely az információkhoz és az
8
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
információ–technológiához kapcsolódó kockázatok megértéséhez és kezeléséhez nyújt segítséget.
9
és
el nyök
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
A COBIT ÁLTAL MEGHATÁROZOTT INFORMATIKAI ELJÁRÁSOK NÉGY TERÜLETRE BONTVA ÜZLETI CÉLOK INFORMATIKAI IRÁNYÍTÁS
COBIT
F1 folyamatok felügyelete
F2 bels ellen rzés megfelel ségének
TSZ1 informatikai stratégiai terv kidolgozása TSZ2 információs struktúra meghatározása TSZ3 technológiai irány meghatározása TSZ4 IT szervezet és kapcsolatok meghat. TSZ5 IT befektetések kezelése TSZ6 vezet i célok és irányvonal kommunikációja TSZ7 emberi er források kezelése TSZ8 küls követelmények betartásának biztosítása TSZ9 kockázat-becslés TSZ10 projekt-irányítás TSZ11 min ség kezelése
felmérése
F3 független értékelés szerzése F4 független ellen rzés (audit)
biztosítása
INFORMÁCIÓ
• eredményesség • hatékonyság • bizalmas jelleg • sértetlenség • hozzáférhet ség • szabályosság • megbízhatóság
FELÜGYELET
IT ER FORRÁSO K
TERVEZÉS ÉS SZERVEZET
INFORMATIKAI SZOLGÁLTATÁS ÉS TÁMOGATÁS
• emberek • alkalmazási rendsz.–k • technológia • technikai környezet • adatok
IT1 szolgáltatási szintek meghatározása
BESZERZÉS ÉS BEVEZETÁS BB1 automatizált megoldások keresése BB2 alkalmazási szoftverek beszerzése és karbantartása BB3 technológiai infrastruktúra beszerzése és karbantartása BB4 IT eljárások kialakítása és karbantartása BB5 rendszerek kiépítése és jóváhagyása BB6 változások kezelése
és kezelése IT2 küls szolgáltatások kezelése
IT3 teljesítmény és kapacitás kezelése IT4 folyamatos m ködés biztosítása
IT5 rendszer biztonságának biztosítása IT6 költségek felmérése és felosztása IT7 felhasználók képzése IT8 IT ügyfelek segítése IT9 konfiguráció kezelése IT10 problémák kezelése IT11 adatok kezelése IT12 technikai környezet kezelése
10
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
IT13 m ködés irányítása
11
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
A COBIT KERETRENDSZER A KONTROLL SZÜKSÉGESSÉGE AZ INFORMÁCIÓ–TECHNOLÓGIÁBAN Az utóbbi években egyre nyilvánvalóbbá vált, hogy szükség van valamilyen hivatkozási keretrendszerre az informatikához kapcsolódó biztonsági és ellen rzési kérdések terén. A szervezet sikeressége szempontjából elengedhetetlenül szükséges az, hogy a vállalkozáson belül minden szinten tisztában legyenek az informatikához kapcsolódó kockázatokkal és korlátokkal, mert csak így lehet megfelel en és hatékonyan teljesíteni az irányítási és ellen rzési feladatokat.
A VEZETÉSNEK kell döntenie arról, hogy milyen befektetéseket érdemes eszközölni az információs rendszerek biztonsága és kontrollja érdekében és arról, hogy hogyan lehet ellensúlyozni a kockázatokat és kontrollálni a befektetéseket olyan informatikai környezetben, amelyre gyakran a kiszámíthatatlanság jellemz . Bár igaz, hogy az információs rendszerek védelme és kontrollja segít a kockázatok kezelésében, nem tudja kiküszöbölni azokat. Mindemellett a kockázatok pontos szintjét soha nem lehet tudni, mivel mindig van bizonyos mérték bizonytalanság. Tehát végs soron a vezetésnek arról kell döntenie, hogy milyen kockázati szintet hajlandó elfogadni. Az elviselhet kockázati szint megítélése, különösen ha mérlegelni kell a kapcsolódó költségeket is, nehéz döntési helyzet elé állíthatja a vezetést. Szükségük van tehát egy olyan, az információ-technológiához kapcsolódó általánosan elfogadott biztonsági és kontroll irányelveket meghatározó keretrendszerre, amelynek segítségével értékelni tudják meglév és tervezett információs rendszereiket.
Az informatikai szolgáltatások FELHASZNÁLÓI számára is egyre fontosabb szempont az, hogy megfelel biztonsági és kontroll eljárások legyenek életben, amely a bels illetve küls felek által nyújtott informatikai szolgáltatások akkreditálásán és auditálásán keresztül biztosítható. Jelenleg azonban az információs rendszerekhez kapcsolódó megfelel kontrollfunkciók kialakítását, legyen szó akár üzleti, non–profit vagy kormányzati szervezetekr l, gyakran akadályozza az ezen a területen megfigyelhet z rzavar. Ez a z rzavar a különböz értékelési módszerekb l ered: ITSEC, TCSEC, ISO 9000 értékelések, COSO bels ellen rzési normák, stb.. A felhasználóknak tehát szükségük van egy olyan általános alapra, amelyr l kiindulva megtehetik az els lépést.
Gyakran maguk az ELLEN RÖK és KÖNYVVIZSGÁLÓK állnak a nemzetközi szabványosítás folyamatának élére, mivel k nap mint nap
12
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
szembesülnek azzal az igénnyel, hogy a bels ellen rzéssel kapcsolatos véleményüket alá kell támasztaniuk valamilyen norma-rendszerre hivatkozva a vezetés felé. Egy megfelel keretrendszer hiányában ez rendkívül nehéz feladat. Emellett egyre gyakrabban el fordul, hogy a vezetés az információs rendszerek biztonsági és ellen rzési kérdéseivel kapcsolatban el zetes konzultációra és tanácsadásra kéri fel a könyvvizsgálókat és ellen röket.
AZ ÜZLETI KÖRNYEZET: VERSENY, VÁLTOZÁS ÉS KÖLTSÉG A globális verseny korszakába léptünk. A szervezetek folyamatosan racionalizálják m ködésüket, ugyanakkor megpróbálják kihasználni az informatika által kínált el nyöket versenypozíciójuk javítása érdekében. A szerkezet-átalakítás, a karcsúsítás, a küls szolgáltatók alkalmazása (outsourcing), a részlegek önállósítása és a megosztott feldolgozás mind olyan változások, amelyek befolyásolják az üzleti és a kormányzati szervezetek m ködésének módját. Ezek a fejlemények alapvet változásokat idéztek el – és fognak még el idézni – a szervezetek irányítási struktúrájában és m ködésének ellen rzésében.
A költséghatékonyság és a versenyel nyök kihasználásának el térbe kerülése nyomán a legtöbb szervezet stratégiájában egyre fontosabb szerepet kap a technológia. A szervezeti funkciók automatizálása, természetéb l adódóan, megköveteli, hogy hatékonyabb kontroll-mechanizmusok kerüljenek beépítésre a számítógépekbe és hálózatokba, mind hardver–, mind szoftver szinten. Mindemellett az ilyen kontroll-mechanizmusok alapvet strukturális jellemz i ugyanolyan ütemben és ugyanolyan “bakugrás” jelleggel változnak és fejl dnek, ahogy maga a számítógépes és hálózati technológia.
Ebben a gyorsuló változással jellemezhet környezetben a vezet k, az információs rendszer szakért k és az ellen rök csak akkor tudják hatékonyan ellátni feladataikat, ha képességeiket és ismereteiket állandóan fejlesztve lépést tartanak a technológia fejl désével és a környezet változásaival. Aki megalapozott és józan értékelést akar készíteni az üzleti illetve kormányzati szervezeteknél alkalmazott ellen rzési eljárásokról, annak tisztában kell lennie az ellen rzési eljárások technológiájával és azok változó jellegével.
A VÁLLALAT-IRÁNYÍTÁS ÉS AZ INFORMATIKAI IRÁNYÍTÁS KAPCSOLATA Napjaink ún. információs gazdaságában a sikeres vállalatok már nem kezelhetik különálló és egymástól különválasztható területekként a vállalatirányítást és az informatikai irányítást. A hatékony vállalat-irányítás arra a 13
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
területre koncentrálja az egyéni és csoportos szaktudást és tapasztalatokat, ahol azok a leghatékonyabban hasznosíthatóak, figyelemmel kíséri és méri a teljesítményt és állást foglal a kritikus kérdésekkel kapcsolatban. Az informatika, amelyet régebben a vállalati stratégia megvalósítását segít eszközként kezeltek, mára a stratégia elválaszthatatlan részévé vált.
Az informatikai irányítás jelenti azt a struktúrát, amely összekapcsolja az informatikai folyamatokat, az informatikai er forrásokat és az információkat a szervezet stratégiájával és célkit zéseivel. Az informatikai irányítás összehangolja a tervezés és szervezet, a beszerzés és üzembe állítás, az informatikai szolgáltatás és támogatás valamint az informatikai teljesítmény felügyeletének optimális módjait. Az informatikai irányítás meghatározó szerepet játszik a vállalat-irányítás sikerességében azáltal, hogy hatékony, eredményes és mérhet javulást biztosít a kapcsolódó vállalati folyamatokban. Az informatikai irányítás lehet vé teszi a vállalat számára, hogy teljes mértékben kihasználja a birtokában lév információk által kínált el nyöket és ezáltal maximális hasznot érjen el, megragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson.
Ha közelebbr l megvizsgáljuk a vállalat-irányítás és az informatikai irányítás egymáshoz való viszonyát, kiderül, hogy a vállalat-irányítás, vagyis az a rendszer, amely az egyes egységeket irányítja és kontrollálja, befolyással és hatással van az informatikai irányításra. Ugyanakkor az informatika kritikus inputokat biztosít és fontos alkotóeleme a stratégiai terveknek. A gyakorlatban az informatika befolyásolhatja a vállalkozás által meghatározott stratégiai lehet ségeket.
(ábra) Vállalatirányítás
befolyás és hatás
Informatikai irányítás Az üzleti célkit zések teljesítéséhez a vállalati tevékenységek során szükség van az informatikai tevékenységekb l származó információkra. A sikeres szervezetek olyan rendszert alakítanak ki, amely biztosítja a stratégiai tervezés és az informatikai tevékenységek egymástól való függetlenségét. Az informatikai rendszert úgy kell kialakítani, hogy annak segítségével a vállalkozás teljes mértékben ki tudja használni a birtokában lév információk
14
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
által kínált el nyöket és ezáltal maximális hasznot tudjon elérni, meg tudja ragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson.
(ábra) Vállalati tevékenységek
információ igény
Informatikai tevékenységek A vállalat-irányításra vonatkozóan érvényben vannak olyan általánosan elfogadott, ún. követend (vagy legjobb) gyakorlatok, amelyek gondoskodnak arról, hogy a vállalkozás teljesítse céljait – ezek megvalósítását bizonyos kontroll eljárások garantálják. A vállalat-irányítás ezekb l a célokból kiindulva határozza meg a szükséges vállalati tevékenységeket, a vállalat er forrásainak felhasználásával. A vállalati tevékenységek eredményeit mérik és értékelik, amelynek alapján folyamatosan módosítják és korrigálják a kontroll eljárásokat, újra kezdve ezzel a ciklust.
(ábra)
Vállalat-irányítás KÖZVETLEN
Célok
Vállalati tevékenységek
KONTROLL
⇐
JELENTÉS
Er források
⇐
FELHASZNÁLÁS
Az informatikára vonatkozóan is érvényben vannak olyan ún. követend (vagy legjobb) gyakorlatok, amelyek biztosítják azt, hogy a vállalkozás információi és az azokhoz kapcsolódó technológia támogassák az üzleti célkit zéseket, az er források hatékony felhasználását és a kockázatok megfelel kezelését. Ezek a gyakorlatok illetve normák szolgálnak az informatikai tevékenységek irányításának alapjául, amely tevékenységek az alábbi területekre bonthatóak a kockázatok kezelése (úm. a biztonság, megbízhatóság és szabályosság megvalósítása) és az el nyök elérése (úm. a hatékonyság és eredményesség növelése) szempontjából: tervezés és
15
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
szervezet, beszerzés és bevezetés/üzembe állítás, informatikai szolgáltatás és támogatás, és felügyelet. Az informatikai tevékenységek eredményeir l jelentéseket készítenek, amelyeket összevetnek a különböz gyakorlatokkal, normákkal és kontroll eljárásokkal, és a ciklus elölr l kezd dik újra.
(ábra)
Informatikai irányítás Közvetlen
Célok igazodik és támo-
Szükséges TERV
gatja az üzleti cé-
CSELEKVÉS
lokat és maxima-
ELLEN RZÉS
lizálja az el nyöket - Az informatikai er forrásokat
KORREKCIÓ
hatékonyan használják fel - Az informatikához kapcsolódó kockázatokat megfelel en kezelik
Informatikai tevékenységek Tervezés szerv. Beszerz. bevez. M ködt. támog. Felügyelet
KONTROL L
Kockázatkezelés biztonság megbízhatóság szabályosság
⇐ Jelentés
16
El nyök elérése
Automatizáció növelése eredményesség
Költségek csökkentése - hatékonyság
és és és
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
Ahhoz, hogy a vezetés teljesíteni tudja üzleti célkit zéseit, informatikai tevékenységeket kell irányítania, megfelel egyensúlyt kialakítva a kockázatok kezelése és az el nyök elérése között. Ennek érdekében a vezetésnek meg kell határoznia a legfontosabb szükséges tevékenységeket, mérnie kell a célok teljesítése irányában történt el relépéseket és értékelnie kell azt, hogy az informatikai eljárások teljesítménye mennyire jó. Mindezek mellett a vezetésnek értékelnie kell azt is, hogy a szervezet milyen érettségi szinten áll a követend ágazati normák és a nemzetközi szabványok alapján. A fenti vezet i feladatok végrehajtásához a COBIT Vezet i útmutatója konkrét Kritikus Sikertényez ket, Kritikus Cél Mutatókat és Kritikus Teljesítmény Mutatókat határoz meg és bemutat egy az informatikai irányításhoz kapcsolódó ún. Érettségi Modellt, az I. Mellékletben foglaltaknak megfelel en.
AZ IGÉNYEK FIGYELEMBE VÉTELE A fentiekben felvázolt állandó változások közepette az információtechnológiához kapcsolódó ellen rzési irányelveket összefogó COBIT keretrendszer, és az erre épül folyamatos kutatás, alappillérként szolgálnak a folyamatos el relépéshez az információk és az azokhoz kapcsolódó technológiák ellen rzése területén.
Egyrészr l tanúi lehettünk olyan általános üzleti kontroll modellek kifejlesztésének és megjelenésének, mint amilyen a COSO* az Amerikai Egyesült Államokban, a Cadbury az Egyesült Királyságban, a CoCo Kanadában vagy a King Dél-Afrikában. Másrészr l viszont jó néhány koncentráltabb irányú ellen rzési modell is kidolgozásra került az informatika területén. Jó példa erre a Brit Ipari– Kereskedelmi Minisztérium (rövidítve DTI) Biztonsági Kódexe, a CICA (Bejegyzett Könyvvizsgálók Kanadai Intézete) által kidolgozott Informatikai Kontroll Irányelvek és a NIST (National Institute of Standards and Technology, USA) által kiadott Biztonsági Kézikönyv. Ezek az ellen rzési modellek azonban nem kínálnak teljeskör és használható ellen rzési modellt az üzleti folyamatokhoz kapcsolódó informatikai eljárásokhoz. A COBIT célja az, hogy “betömje” ezt a rést azáltal, hogy egy olyan keretrendszert és alapot biztosít, amely szorosan kapcsolódik az üzleti célkit zésekhez, ugyanakkor az informatikára koncentrál.
(A COBIT-hoz leginkább hasonlító modell az AICPA/CICA által nemrégen kiadott SysTrustTM Rendszer-megbízhatósági alapelvek és kritériumok csomag. *
Committe of Sponsoring Organizations of the Treadway Commission – Internal Control Integrated Framework, 1992
17
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
A SysTrust-ot, amely részben a COBIT Kontroll irányelveire épül, egyaránt mérvadó modellként kezeli az egyesült államokbeli Assurance Services Executive Committe és a kanadai Assurance Services Development Board. A SysTrust célja az, hogy a vezetés, az ügyfelek és az üzleti partnerek könnyebben boldoguljanak az üzleti folyamatokat illetve az egyes konkrét tevékenységeket támogató rendszerekkel. A SysTrust segítségével a könyvvizsgálók értékelhetik és véleményezhetik azt, hogy egy adott rendszer megbízhatónak min sül-e négy alapvet kritérium alapján: elérhet ség, biztonság, sértetlenség és fenntarthatóság.)
Az információs rendszerek kontrolljával szemben támasztott üzleti követelményekb l kiindulva, az újonnan kidolgozott ellen rzési modellek és nemzetközi szabványok alkalmazása révén, az ellen rök munkáját segít Kontroll Irányelvekb l megszületett a COBIT, amely egy vezetési eszköz. Ezt követ en az informatikai irányításhoz kapcsolódó Vezet i útmutató kidolgozása révén újabb lépést tett el re a COBIT. A Vezet i útmutató Kritikus Sikertényez ket, Kritikus Cél Mutatókat, Kritikus Teljesítmény Mutatókat és ún. Érettségi Modelleket kínál a vezetésnek, amelyek segítséget nyújtanak a szervezet informatikai környezetének értékeléséhez és a megfelel informatikai kontroll eljárások kiválasztásához illetve azok javításához.
A COBIT projekt f célja tehát az, hogy világos irányelveket és követend gyakorlati eljárásokat határozzon meg az információs rendszerek biztonságához és kontrolljához kapcsolódóan, és elfogadtassa azokat az üzleti, kormányzati és szakmai érdekképviseleti szervezetekkel a világ minden részén. Az is fontos célja a projektnek, hogy a fenti kontroll irányelveket az üzleti célkit zésekb l és igényekb l kiindulva határozza meg. (Ez igazodik a COSO szemléletmódjához, amely mindenekel tt egy a bels ellen rzéshez kapcsolódó irányítási keretrendszer). Ezt követ en az ellen rzési követelményekb l (pénzügyi információk hitelességének igazolása, bels ellen rzési eljárások hatékonyságának és eredményességének igazolása, stb.) kontroll irányelveket dolgoztunk ki.
A CÉLKÖZÖNSÉG: VEZETÉS, FELHASZNÁLÓK ÉS ELLEN RÖK A rendszer kidolgozása során három célfelhasználói kör került meghatározásra, amelyek számára az alábbi támogatást kínálja a COBIT:
VEZETÉS: a kockázatok ellensúlyozása és a befektetések kontrollálásának segítése, amely gyakran kiszámíthatatlan informatikai környezetben történik meg.
18
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
FELHASZNÁLÓK: a bels illetve küls felek által nyújtott informatikai szolgáltatások biztonságáról és megfelel kontrolljáról történ megbizonyosodás.
INFORMÁCIÓS RENDSZER ELLEN RÖK: az ellen ri vélemények alátámasztása és a bels ellen rzéssel kapcsolatos tanácsadás segítése.
AZ ÜZLETI CÉLOK EL TÉRBE ÁLLÍTÁSA A COBIT az üzleti célkit zésekkel foglalkozik. A kidolgozott Kontroll Irányelvek egyértelm en hozzárendelhet k különböz üzleti célokhoz, így azokat az ellen rökön kívül más felhasználói körök is használhatják. Az egyes Kontroll Irányelvek meghatározása folyamat-orientált módon történt meg, az üzleti szerkezet-átalakítás alapelvét követve. A meghatározott eljárásokhoz és területekhez kapcsolódóan általános kontroll irányelveket fogalmaztunk meg, és kifejtjük azt is, hogy ezek hogyan kapcsolódnak a különböz üzleti célokhoz. Emellett magyarázatot és útmutatást adunk a Kontroll Irányelvek definiálásához és alkalmazásához.
A COBIT által kialakított Keretrendszer az általános kontroll irányelvek alkalmazási területeinek (területek és eljárások) osztályozásából, az információkhoz kapcsolódó üzleti követelmények ismertetéséb l valamint az egyes ellen rzési irányelvek által közvetlenül érintett IT er források bemutatásából áll össze. A Keretrendszer kidolgozása során 34 általános kontroll irányelv és 318 részletes ellen rzési követelmény került meghatározásra. A Keretrendszer végleges tartalmának kialakításába az informatikai ágazat és az ellen rzési szakma képvisel it is bevontuk.
ÁLTALÁNOS DEFINÍCIÓK A projekt során az alábbi definíciók kerültek meghatározásra. A “kontroll” kifejezés jelentését a COSO Jelentésb l (Internal Control – Integrated Framework, Committe of Sponsoring Organizations of the Treadway Commission, 1992), az “Informatikai (IT) Kontroll Irányelv” kifejezés jelentését pedig a SAC jelentésb l vettük át (System Audibility and Control Report - Internal Auditors Research Foundation, 1991 és 1994)
A kontroll definíciója
Az üzleti célkit zések megvalósítása és a nem-kívánatos események megel zése, felderítése és korrigálása céljából kialakított szabályok, eljárások, normák és szervezeti struktúrák.
19
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
Az informatikai Azon kívánt eredmények illetve célok meghatározása, amelyek valamely konkrét informatikai területen a Kontroll Irányelv kontroll-eljárások alkalmazása révén megvalósíthatóak. definíciója Az informatikai A vállalat-irányítási és ellen rzési kapcsolatok és eljárások olyan struktúrája, amely új érték hozzáadásával, irányítás definíciója ugyanakkor a kockázatok és az informatika által kínált el nyök együttes mérlegelésével kívánja megvalósítani a vállalkozás célkit zéseit.
Az alábbi diagram a COBIT alapkoncepcióját illusztrálja: annak érdekében, hogy rendelkezésre álljanak a szervezeti célok teljesítéséhez szükséges információk, olyan informatikai irányítást kell alkalmaznia szervezetnek, amely biztosítja az informatikai er források természetszer leg összetartozó eljárások keretében történ kezelését.
(ábra → lásd a 9. oldalon lév ábrát –megj.)
20
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
COBIT TÖRTÉNELEM ÉS EL ZMÉNYEK
A COBIT harmadik kiadása az információkhoz és az informatikához kapcsolódó Kontroll Irányelvek legújabb változata, amely els alkalommal 1996-ban jelent meg az Information Systems Audit and Control Foundation (ISACF) kiadásában. Az 1998-ban megjelent második kiadás, a forrásdokumentumok számának b vülése nyomán, felülvizsgálta az általános és részletes szint kontroll irányelveket és kiegészült az Alkalmazási módszerek résszel. A COBIT harmadik kiadása új f kiadó, az IT Governance Institute gondozásában jelent meg.
Az IT Governance Institute-ot 1998-ban hozta létre az Information Systems Audit and Control Association (ISACA) és a hozzá tartozó Alapítvány azzal a céllal, hogy támogassa és segítse az informatikai irányítás alapelveinek megértését és alkalmazását. A COBIT harmadik kiadása kiegészült a Vezet i útmutató cím résszel és fokozott hangsúlyt helyez az informatikai irányítás kérdésére, amely jelzi, hogy az IT Governance Institute vezet szerepet vállalt az új kiadás elkészítésében.
A COBIT eredetileg az ISACF által meghatározott Kontroll Irányelvekre épült, és együtt fejl dött meglév és újonnan kidolgozott nemzetközi technikai, szakmai, szabályozási és ágazat–specifikus szabványokkal. Az így meghatározott kontroll irányelvek a szervezetek egészére kiterjed információs rendszerek vonatkozásában alkalmazhatóak. Az “általánosan alkalmazható és elfogadott” kifejezést ugyanúgy kell értelmezni, ahogy az Általánosan Elfogadott Számviteli Alapelvek (GAAP) esetében.
A COBIT, terjedelmét tekintve, viszonylag rövid és megpróbál pragmatikus lenni és alkalmazkodni az üzleti igényekhez, ugyanakkor független az egyes szervezeteknél alkalmazott informatikai platformoktól. A kutatás során az információs rendszerek ellen rzéséhez kapcsolódó alábbi legfontosabb szabványokra és normákra támaszkodtunk, nem állítva ezzel azt, hogy nem léteznek más elfogadott szabványok és normák ezen a területen:
M szaki szabványok – ISO, EDIFACT, stb. Magatartási kódexek – az Európa Tanács, az OECD. az ISACA, stb. által kiadott kódexek Min sítési kritériumok informatikai rendszerekhez és eljárásokhoz – ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Közös Kritériumok, stb. Bels ellen rzési és audit szabványok – COSO jelentés, IFAC, AICPA, ISACA, IIA, PCIE, GAO szabványok, stb.
21
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
Ágazati normák és követelmények – ágazati fórumok (ESF, I4), kormány–támogatású platformok (IBAG, NIST, DTI), stb.; továbbá Újonnan megfogalmazott ágazat–specifikus követelmények – a banki üzletág, az elektronikus kereskedelem és az informatikai gyártás területér l.
22
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
COBIT TERMÉK–FEJLESZTÉS A COBIT tovább fog fejl dni az elkövetkez évek során és alapul fog szolgálni további kutatásokhoz. Újabb termékekkel fog b vülni a COBIT termékcsalád és ennek során tovább fogjuk finomítani az informatikai kontroll irányelvek meghatározásakor alapul vett informatikai feladatokat és tevékenységeket, és az ágazat “változó arculatának” fényében felül fogjuk vizsgálni az egyes területek és eljárások egyensúlyát.
A kutatási munkához és a kiadványok elkészítéséhez nagymértékben hozzájárultak a PricewaterhouseCoopers és az ISACA szervezeteit l kapott b kez adományok. Az European Security Forum (ESF) kutatási anyagok átadásával segítette a projekt munkáját. A Gartner Group is részt vett a munkálatokban és min ségbiztosítási szempontból is áttekintette a Vezet i útmutatót.
COBIT termékcsalád ÖSSZEFOGLALÓ ÁTTEKINTÉS
KERETRENDSZER Általános Kontroll Irányelvek VEZET I ÚTMUTATÓ
RÉSZLETES KONTROLL IRÁNYELVEK
AUDITÁLÁSI ÚTMUTATÓ
ALKALMAZÁSI MÓDSZEREK – Összefoglaló áttekintés – Esettanulmányok – Leggyakrabban feltett kérdések – Power Point ábrák – Alkalmazási útmutató - Vezet i ismeretek diagnosztizálása - IT ellen rzés diagnosztizálása
Érettségi modellek
Kritikus sikertényez k
Kritikus cél mutatók
23
Kritikus teljesítmény– mutatók
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
I. MELLÉKLET
INFORMATIKAI IRÁNYÍTÁSHOZ KAPCSOLÓDÓ VEZET I ÚTMUTATÓ
Az alábbiakban közölt Vezet i Útmutató és Érettségi Modell példa meghatározza az informatikai irányításhoz kapcsolódó Kritikus Sikertényez ket, Kritikus Cél Mutatókat, Kritikus Teljesítmény Mutatókat és Érettségi Modelleket. El ször meghatározásra kerül az informatikai irányítás, a vonatkozó üzleti igények megfogalmazása révén. Ezt követ en kerül sor az informatikai irányításhoz kapcsolódó információs kritériumok azonosítására. Az üzleti igény a Kritikus Cél Mutatók alapján mérhet , amelynek megvalósítását a megadott kontroll eljárás teszi lehet vé, a jelzett informatikai er források felhasználásával. A megadott kontroll eljárás teljesítménye a Kritikus Teljesítmény Mutatók segítségével mérhet , amely figyelembe veszi a Kritikus Sikertényez ket. Az Érettségi Modell segítségével értékelni lehet azt, hogy a szervezet milyen szinten valósítja meg az informatikai irányítást – a ’Nem-létez ’ (legalacsonyabb) szintt l kiindulva a ’Kezdeti/ad hoc jelleg ’, az ’Ismétl d de intuitív jelleg ’, a ’Meghatározott eljárás’ és az ’Irányított és mérhet ’ szinten át az ’Optimális’ (legmagasabb) szintig. Az Optimális érettségi szint informatikai irányítás eléréséhez a szervezetnek ’Optimális’ szinten kell állnia a Felügyelet területen és legalább ’Irányított és mérhet ’ szintet kell elérnie az összes többi tevékenységi területen.
!
!
(A fenti eszközök használatának részletes ismertetését lásd a COBIT Vezet i útmutatójában.)
24
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
I. MELLÉKLET
Az INFORMATIKAI IRÁNYÍTÁSHOZ KAPCSOLÓDÓ VEZET I ÚTMUTATÓ
Az információ-technológia és az ahhoz kapcsolódó eljárások irányítása, az értékteremtés üzleti célját szem el tt tartva, a kapcsolódó kockázatok és el nyök figyelembe vétele mellett,
amely a szükséges Információs Kritériumoknak megfelel információkat biztosít a vállalkozás részére és a Kritikus Cél Mutatókkal mérhet ,
amely egy olyan, a vállalkozás számára megfelel , az informatikai tevékenységek által nyújtott értékteremtést irányító és felügyel eljárási és kontroll rendszer kialakítása és fenntartása révén valósítható meg,
amely figyelembe veszi a Kritikus Sikertényez ket, az összes Informatikai Er forrást felhasználja és m ködése a Kritikus Teljesítmény Mutatókkal mérhet .
Kritikus Sikertényez k "
• Az informatikai irányítás tevékenységei szerves részét képezik a vállalatirányítási folyamatnak és a vezetési magatartásformáknak. • Az informatikai irányítás a vállalati célokra, a stratégiai kezdeményezésekre, a vállalkozás fejlesztését segít technológiák használatára és a változó üzleti igényeknek megfelel er források és kapacitások elérhet ségére koncentrál. • Az informatikai irányítás tevékenységei világos célok mentén lettek meghatározva, megfelel en dokumentálva vannak és a vállalkozás igényei alapján kerülnek végrehajtásra, a felel sségi körök egyértelm meghatározása mellett. • Megfelel vezet i gyakorlatokat alkalmaznak az er források hatékony és optimális kihasználásának biztosítása és az informatikai eljárások eredményességének növelése céljából. • Megfelel szervezeti gyakorlatokat alkalmaznak, amelyek lehet vé teszik az alábbiak megvalósítását: megbízható vezet i felügyelet; ellen rzési környezet/kultúra kialakítása; a kockázat-elemzés általános gyakorlatként történ alkalmazása; a kialakított normák megfelel mérték betartása; kontroll hiányosságok és kockázatok figyelemmel kísérése és megfelel korrekciós intézkedések megtétele (follow up). • Megfelel ellen rzési gyakorlatokat határoztak meg a bels ellen rzés és a vezet i felügyelet ”cs djeinek” elkerülése céljából. • Össze vannak kapcsolva és zökken mentesen képesek együttm ködni az olyan komplexebb informatikai eljárások, mint a probléma-, a változás és a
25
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
I. MELLÉKLET
konfiguráció-kezelés. • Audit bizottság m ködik a szervezetnél, amely: felel s a független könyvvizsgáló kinevezéséért és munkájának felügyeletéért; az informatikai kérdésekre koncentrál az auditálási tervek kidolgozásakor; áttekinti az ellen rz vizsgálatok és a küls felek által végzett ellen rzések eredményeit.
26
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
Információs kritériumok
I. MELLÉKLET
Informatikai er források
eredményesség hatékonyság bizalmasság sértetlenség hozzáférhet ség szabályosság megbízhatóság
emberek alkalmazások technológia technikai környezet adatok
#
Kritikus Cél Mutatók • • • • • • •
Teljesítmény és költség-gazdálkodás javulása Jelent s informatikai beruházások ”hozamának” javulása Piaci reagálási id javulása Min ség, innováció és kockázat-kezelés javulása Megfelel en integrált és szabványosított üzleti eljárások alkalmazása Új ügyfelek szerzése és meglév ügyfelek kielégítése Megfelel sávszélesség, számítógép-teljesítmény és informatikai m ködési mechanizmusok elérhet sége Az egyes eljárások eredményeit felhasználó felek követelményeinek és elvárásainak megfelel id ben és a költségkeretek túllépése nélkül történ kielégítése Törvények, jogszabályi rendelkezések, ágazati normák és szerz déses kötelezettségek betartása Kockázat-vállalás átláthatósága és a meghatározott szervezeti kockázati profilok betartása Informatikai irányítás érettségre vonatkozó összehasonlító értékelések végzése Új szolgáltatás-nyújtási csatornák kialakítása
•
• • • •
Kritikus Teljesítmény Mutatók
• Informatikai eljárások költség-hatékonyságának (költségek vs. szolgáltatások) javulása • Eljárások fejlesztéséhez kapcsolódó informatikai cselekvési tervek számának növekedése • Informatikai infrastruktúra kihasználtságának növekedése • Érdekelt felek elégedettségének javulása (felmérés ill. panaszok száma alapján) • Munkaer hatékonyságának (szolgáltatások száma alapján) és moráljának (felmérés alapján) javulása • A vállalat-irányításhoz szükséges ismeretek és információk elérhet ségének javulása
27
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
I. MELLÉKLET
• Az informatikai irányítás és a vállalat-irányítás egymáshoz kapcsolódásának fokozódása • Teljesítmény javulása az informatikai eredménymutatók alapján.
28
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
I. MELLÉKLET
Informatika irányítás Érettségi Modellje Az információ-technológia és az ahhoz kapcsolódó eljárások olyan jelleg irányítása, amely az értékteremtés üzleti célját tartja szem el tt és figyelembe veszi a kapcsolódó kockázatokat és el nyöket
Teljesen hiányzik az informatikai irányítás m ködésére 0 Nem létez utaló bármilyen eljárás. A szervezet nem ismerte fel még azt sem, hogy foglalkozni kellene ezzel a kérdéssel, ezért nincs is napirenden a kérdés.
1 Kezdeti/Ad hoc jelleg Bizonyítható, hogy a szervezet felismerte az informatikai irányításhoz kapcsolódó kérdések létezését és kezelésének szükségességét. Mindazonáltal nem alkalmaznak egységes eljárásokat, csupán ad hoc jelleg megoldásokat, egyedi illetve eseti alapon. A vezetés hozzáállása a kérdéshez kaotikus és csak elvétve és alkalmanként kerülnek szóba az ilyen jelleg kérdések és a kezelésükhöz szükséges módszerek. El fordul, hogy a vezetés bizonyos mértékig tisztában van azzal, hogy az informatika milyen értékekkel járul hozzá a kapcsolódó vállalati eljárások teljesítményéhez. Nem m ködik egységes értékelési eljárás. Az informatikai eljárások ellen rzésére csupán utólagos jelleggel kerül sor olyan esetek kapcsán, amelyek nyomán veszteségek keletkeztek illetve amelyek zavart okoztak a szervezet m ködésében.
2 Ismétl d de intuitív jelleg A szervezet általános szinten tisztában van az informatikai kérdések fontosságával. Folyamatban van az informatikai irányításhoz kapcsolódó tevékenységek és teljesítmény-mutatók kidolgozása, ideértve a informatikai tervezést valamint az eljárások m ködtetését és felügyeletét is. Ezen kezdeményezések részeként az informatikai irányítási tevékenységeket formálisan is integrálják a szervezet változás-kezelési eljárásába a fels vezetés aktív közrem ködése és felügyeletet mellett. A vállalati alapfolyamatok hatékonyságának javítása illetve kontrollálása céljából kiválasztanak bizonyos informatikai eljárásokat, amelyeket megfelel en megterveznek és felügyelnek, mint beruházásokat, és a meghatározott informatikai architektúra keretrendszer alapján alakítanak ki. A vezetés meghatározta informatikai irányításra vonatkozó alapvet mérési és értékelési módszereket és technikákat, az eljárást azonban nem alkalmazzák a szervezet egészére kiterjed en. Nincsen az irányítási normákra vonatkozó formális képzés és tájékoztatás, és a felel sségi körök egyénekre vannak bízva. Bizonyos egyének határozzák meg az irányítás módját a különböz informatikai projekteken és eljárásokon belül. Irányítási eszközöket csak korlátozott mértékben alkalmaznak az irányításhoz kapcsolódó mérési mutatók összegy jtésére,
29
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
I. MELLÉKLET
de el fordul, hogy ezeket sem használják fel a lehetséges maximális mértékben a funkcionalitásukra vonatkozó szakértelem hiánya miatt.
3 Meghatározott eljárás Az informatikai irányításhoz kapcsolódó tevékenységek szükségessége tudott és elfogadott a szervezetnél. Kidolgoztak az informatikai irányításhoz kapcsolódó bizonyos alapmutatókat, amelyek kapcsán meghatározták, dokumentálták és beépítették a stratégiai és operatív tervezés és felügyelet folyamataiba az eredménymutatók és a teljesítményt meghatározó tényez k közötti összefüggéseket. A bevezetett eljárásokat szabványosították és dokumentálták. A vezetés megfelel módon kommunikálta a szervezet felé a szabványosított eljárásokat és informális képzési formákat alakított ki. Az informatikai irányítás tevékenységeihez kapcsolódó teljesítmény-mutatókat nyilvántartják és elemzik, amely vállalati szint javulásokat eredményez. Bár az eljárások mérhet ek, nem túlzottan kifinomultak, csupán a meglév gyakorlatok formalizációi. Az eszközök szabványosak és az aktuálisan rendelkezésre álló technikákra épülnek. A szervezet ún. ’Egyensúlyi Üzleti Eredménymutató’-kat (’Balanced Business Scorecards’) alkalmaz. A képzettség megszerzése és a szabványok követése és alkalmazása azonban az egyénre van bízva. Kiváltó okokra irányuló elemzésére csak ritkán kerül sor. Az eljárások többségének m ködését bizonyos (alapvet ) mérési mutatók alapján kísérik figyelemmel, de az esetleges eltéréseket, amelyek többségére bizonyos egyének kezdeményezése nyomán kerül sor, nem valószín , hogy fel tudja deríteni a vezetés. Mindazonáltal a kulcsfontosságú eljárásokhoz kapcsolódó általános felel sségi körök világosak és a vezetés díjazása a kritikus teljesítményi mutatók alapján történik.
4 Irányított és mérhet A szervezet minden szintjén teljes mértékben tisztában vannak az informatikai irányításhoz kapcsolódó kérdések fontosságával, amelyet formális jelleg képzés is támogat. Világosan látják, hogy ki az informatikai eljárások ”vev je” és a felel sségi köröket szolgáltatási szintekre vonatkozó megállapodásokon keresztül határozzák meg és felügyelik. A felel sségi körök világosak és minden eljárásnak meg van a maga ”gazdája”. Az informatikai eljárások igazodnak az üzleti és az informatikai stratégiához. Az informatikai eljárások fejlesztése els sorban kvantitatív megértésre alapul és lehetséges az eljárásokra vonatkozó mérési mutatók szerinti mérés. Az eljárásokban érintett felek tisztában vannak a kockázatokkal, az informatika fontosságával és az általa kínált lehet ségekkel. A vezetés meghatározott bizonyos tolerancia-határokat az válaszlépéseket eljárások m ködésére vonatkozóan. Megfelel eszközölnek az olyan esetek többségében, de nem minden esetben, ahol az eljárások láthatóan nem m ködnek megfelel hatékonysággal illetve
30
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
I. MELLÉKLET
eredményességgel. Az eljárások fejlesztése alkalomszer és a legjobb bels gyakorlatok alkalmazását szorgalmazzák. A kiváltó okokra irányuló elemzések szabványos jelleg ek. A szervezet elkezdett foglalkozni a folyamatos fejlesztés kérdésével. A technológia használata korlátozott, els sorban taktikai jelleg , amely érett technikákra és szabványos eszközökre épül. Az összes érintett bels szakért közrem ködik az informatikai irányításban. Az informatikai irányítás vállalati szint eljárássá fejl dik. Az informatikai irányításhoz kapcsolódó tevékenységek fokozatosan beintegrálódnak a vállalat-irányítási eljárásba.
5 Optimális Az informatikai irányításhoz kapcsolódó kérdések és megoldások megértése és ismerete el rehaladott és el retekint jelleg . A képzést és a kommunikációt innovatív koncepciókkal és technikákkal támogatják. Az eljárásokat küls normák alapján alakítják, a folyamatos fejlesztések és a más szervezetekhez viszonyított érettségi modellek eredményei alapján. Az alkalmazott vállalat-politika eredményeként a szervezet, az ott dolgozó emberek és az eljárások gyorsan tudnak alkalmazkodni az informatikai irányításhoz kapcsolódó követelményekhez és teljes mértékben támogatják azokat. Minden probléma és eltérés esetén megvizsgálják a kiváltó okokat és az elemzés eredménye alapján megfelel intézkedéseket kezdeményeznek. Az informatikát kiterjedt, integrált és optimalizált módon használják fel a munkafolyamatok automatizálása és a min ség és az eredményesség javítása céljából. Meg vannak határozva az informatikai eljárások kockázatai és el nyei és a vállalkozás egésze tájékoztatást kapott azokról. Küls szakért ket is igénybe vesznek és viszonyítási normákat használnak útmutatásként. Az ellen rzés, az önértékelés és az irányításra vonatkozó elvárások kommunikációja általános jelleg a szervezeten belül és optimálisan használják fel a technológiát a mérések, az elemzések, a kommunikáció és a képzés támogatásához. A vállalat-irányítás és az informatikai irányítás stratégiai szinten kapcsolódnak egymáshoz, úgy, hogy a rendelkezésre álló technológiát, emberi er forrásokat és anyagi er forrásokat a vállalkozás versenyképességének javítását szem el tt tartva hasznosítják.
31
COBIT –ÖSSZEFOGLALÓ ÁTTEKINTÉS
I. MELLÉKLET
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION Egyedülálló nemzetközi forrás az informatikai ellen rzés területén "
Az Information Systems Audit and Control Association (Információs Rendszer Ellen rzési és Kontroll Egyesület) olyan meghatározó jelent ség nemzetközi szakmai szervezet, amely több mint 100 ország szakembereit tömöríti, az információ-technológia minden szintjén – fels - és közép-vezet ket valamint gyakorló felhasználókat egyaránt. Az Egyesület pozíciójából ered en egyedülálló szerepet tölt be az informatikai ellen rzési szabványok harmonizációjában. Más pénzügyi, számviteli, ellen rzési és informatikai csoportokkal kialakított stratégiai együttm ködésének köszönhet en egyedülálló módon képes összefogni az üzleti folyamatok irányításában érdekelt feleket. $
$
$
%
$
$
$
$
%
$
Az Egyesület programjai és szolgáltatásai Az Egyesület magas színvonalú programokat és szolgáltatásokat kínál a nemzetközi szakképesítés, a szabványok, a továbbképzés és a szakmai kiadványok terén: • Szakképesítési programja (Okleveles információs–rendszer ellen r képzés) az egyetlen olyan, amely nemzetközi képesítést nyújt az informatikai kontroll és ellen rzés területén. • Az Egyesület által kidolgozott nemzetközi szabványok az informatika területéhez kapcsolódó ellen rzési és kontroll eljárások min ségi mércéjeként szolgálnak. • Továbbképz programjai keretében szakmai és vezet i konferenciákat és szemináriumokat szervez a világ öt földrészén, így segítve azt, hogy az ellen rzési szakemberek a világ minden részén magas szint továbbképzésben részesüljenek. • Szakmai kiadványai hivatkozási forrásként és kutatási anyagként szolgálnak, tovább növelve a különböz programok és szolgáltatások értékét. $
$
$
$
$
$
$
%
$
Az Information Systems Audit and Control Association 1969–ben alakult meg azzal a céllal, hogy kielégítse az akkor még gyerekcip ben járó informatikai ágazat egyedi, sokrét és magas szint technológiai igényeit. Az ISACA lépést tart a nemzetközi üzleti közösség és az informatikai szakma igényeinek fejl désével – egy olyan ágazatban, ahol nano– szekundumokban mérik az el relépéseket. $
%
%
$
$
További információk További felvilágosításért hívja a +1.847.253.1545–ös telefonszámot, írjon e–mail címünkre (
[email protected]), vagy keressen fel minket az Internet-en az alábbi oldalakon: www.Itgovernance.org www.isaca.org
32