Semestrální práce z 4IT321

Semestrální práce
Systémové pojetí
(hospodářské) organizace
4SA311
Téma: Metodika Cobit a její přínosy pro řízení
společnosti
Vypracoval: Radim Bukovský (xbukr02)
Obor: Informatika
Datum vypracování: 30.03. 2008
Datum odevzdání: 04.04. 2008
E-mail: [email protected] ([email protected])
Internet: http://deathless.cz
1. Předmluva
Dovolte mi, abych Vás úvodem uvítal a poděkoval Vám za věnování pozornosti tomuto
několikastránkovému dokumentu.
Dílo pojednává, jak již samotný název napovídá, o metodice Cobit a jejích přínosech pro řízení
společností. Téma jsem si zvolil záměrně, jelikož věřím, že do důsledků prováděná kvalitní metodika
přináší firmám významný prospěch a vyšší efektivitu. Proto jsem věnoval čas jejímu detailnímu
prozkoumání a zjištění efektů plynoucích z jejího používání.
A teď pojďme již k samotné struktuře dokumentu. Co se zde zejména dozvíte?
Nejprve Vám bude představen účel práce a definice základních klíčových slov sloužících
k lepšímu porozumění dané problematice a souvislostí týkajících se této oblasti. Samozřejmě si také
vysvětlíme základní pojem Cobit a jeho historii.
Další část je zaměřena na seznámení se se standardy, které metodika Cobit využívá. Je zde
zahrnutý přehled nejen technických standardů, ale také průmyslových standardů a například i
profesionálních mezinárodních standardů kontroly a auditu.
Následuje představení základních domén (oblastí) a IT procesů v rámci Cobitu. Pomocí obrázku se
také seznámíte s tzv. „Cobit kostkou“ a jejími částmi a dozvíte se, co ta kostka vůbec představuje.
Závěrem šesté kapitoly Vám budou představeny znaky a charakteristika Cobitu.
Sedmá kapitola je věnována přínosům popsané metodiky. K čemu může firmám Cobit prakticky
sloužit? Jak může zlepšit jejich práci a fungování? Kterým rolím ve společnosti pomáhá metodika
nejvíce? Odpovědi nejen na tyto otázky naleznete právě zde.
V závěru se nachází stručné shrnutí, po kterém následuje nezbytné uvedení zdrojů, ze kterých jsem
při shromažďování informací čerpal.
Přeji příjemné čtení.
Radim Bukovský
1/8
2. Obsah
Předmluva........................................................................................................................... 1
Obsah .................................................................................................................................. 2
Účel práce ........................................................................................................................... 3
Definování pojmů ............................................................................................................... 3
4.1. Pojmy, zkratky ........................................................................................................... 3
4.2. Co je metodika Cobit? ................................................................................................ 3
5. Standardy ............................................................................................................................ 3
6. Cobit ................................................................................................................................... 4
6.1. Základní domény (oblasti) Cobitu (4) ........................................................................ 4
6.2. IT Procesy (34) ........................................................................................................... 4
6.3. Cobit kostka................................................................................................................ 5
6.4. Obecný model řízení - základ metodiky Cobit ........................................................... 6
6.5. Znaky a charakteristika Cobitu .................................................................................. 6
6.6. Požadavky zahrnuté v Cobitu ..................................................................................... 6
7. Přínosy Cobitu .................................................................................................................... 6
8. Závěr................................................................................................................................... 7
9. Zdroje ................................................................................................................................. 7
9.1. Prezentace ................................................................................................................... 7
9.2. Internet ....................................................................................................................... 8
1.
2.
3.
4.
2/8
3. Účel práce
Účelem práce je představit čtenáři srozumitelnou formou metodiku Cobit - její jednotlivé součásti,
principy a možnosti využití ve firmách. Cílem je také upozornění na přínosy této metodiky v praxi a
objasnění toho, pro které pozice ve firmě je vhodná k použití.
4. Definování pojmů
4.1. Pojmy, zkratky
COBIT - Control Objectives for Information and related Technology
ICT - Information and Communications Technology (informační a komunikační technologie)
IT – Information Technology (informační technologie)
ITG – Information Technology Governance
4.2. Co je metodika Cobit?
Jedná se o manažerský framework pro plánování, řízení a dohled IT - včetně lidských zdrojů.
Cobit patří do oblasti strategického řízení IT. Slouží pro zjišťování efektivnosti informačního systému.
Metodika Cobit je vlastně procesně orientovaný nástroj pro budování a rozvoj IT (ICT)
Governance. Je všeobecně přijímaným rámcem pro zavádění a provoz IT Governance (neboli pro
„vládu“ nad IT ve firmách). IT Governance je odpovědností nejvyššího vedení společnosti, které
zajišťuje přispívání ICT k prohlubování strategií a dlouhodobých cílů organizace. Definuje základní
oblasti řízení a cíle – Cíle v rámci IT (sjednocení strategie firmy a IT, řízení přidané hodnoty dodávané
IT, řízení IT rizik), řízení IT zdrojů (lidé, infrastruktura, dodavatelé), řízení výkonnosti IT a nástroje
ITG (Plánování, provádění, kontrola, náprava).
Cobit je mezinárodně uznávaný. Cílem je využití mezinárodních standardů a zkušeností pro řízení
a kontrolu v oblasti IT. Vychází z různých důležitých standardů a best practices, které podporuje.
Například Capability maturity model, ISO, ITIL, COSO, Sarbanes-Oxley Act, Prince2 a další.
Metodika je určená k tomu, aby přispívala k dlouhodobému rozvoji organizace, prohlubovala
strategické cíle a snižovala riziko související s použití ICT. Cobit se snaží řešit problémy
s netransparentností IT a nesouladem IT s obchodní strategií firmy. Umožňuje sjednotit cíle a zavádí
postupy pro měření a vyhodnocení výkonu IT. Poskytuje systematický přístup k řízení informačních a
komunikačních technologií.
Základní snaha spočívá v jasném strukturování vysoce složitého systému řízení ICT, aby byla jeho
struktura pokud možno co nejvíce srozumitelná a pochopitelná manažery a uživateli bez detailních
znalostí ICT. Metodika umožní zmapovat poměrně abstraktní požadavky na konkrétní technologie a
kritéria, která vyplývají z podnikových procesů. Díky této metodě získávají tito lidé objektivní kritéria
pro zkoumání úspěšnosti konkrétních oblastí řízení ICT.
Metodika Cobit byla vyvinuta v roce 1996 auditorskou organizací Information System Audit and
Control Association (www.isaca.org). Na vývoji se od roku 1998 podílí institut IT Governance
Institute (www.itgi.org), dříve známý pod názvem ISACF (Information Systems Audit and Control
Foundation). První verze byla vydána roku 1996, druhá verze 1998, třetí verze 2000 a čtvrtá verze
Cobitu spatřila světlo světa koncem roku 2005.
5. Standardy
Základ metodiky auditu Cobit je tvořen základními standardy:
 Technické – například ISO, EDIFACT
3/8
 Kodexy vydané OECD, ISACA, Council of Europe...
 Kritéria kvality IT systémů a procesů: ITSEC, TCSEC, ISO 9000, TickIT, Common Kriteria
…
 Profesionální mezinárodní standardy kontroly a auditu: COSO report, IFAC, IIA, AICPA,
GAU, PCIE, ISACA…
 Průmyslové standardy (ESF, I4)
 Vládami sponzorované platformy: IBAG, NIST, DTI
 Požadavky bank, elektronického obchodu, výroby počítačů
6. Cobit
Cobit definuje:
 4 domény
 34 IT procesů
 34 obecně definovaných kontrolních cílů (high-level control objectives) (ke každému IT
procesu se vztahuje jeden obecně definovaný kontrolní cíl)
 318 detailních cílů (control objectives)
 5 IT zdrojů
 7 Informačních kritérií
Cobit není nástroj určen pro ICT management (efektivní poskytování služeb a projektů ICT,
rozvoj a provoz ICT) , ale ICT governance (dosahování cílů). Jedná se tedy o komplexnější pojem.
6.1. Základní domény (oblasti) Cobitu (4)
 1) plánování a organizace – strategické a taktické plánování a organizování IT. Je třeba dbát
na to, aby byl business a IT strategie ve vzájemné harmonii a vzájemně se podporovaly. Nutné
je optimální využívání dostupných IT zdrojů, zajištění efektivity. Při plánování a organizaci je
důležité zmapovat a následně řídit všechna rizika, která jsou s využíváním IT neoddělitelně
spojena.
 2) pořízení a implementace – dle zvolené IT strategie zvolíme zdroj pořízení. Technologie
může firma vyvíjet sama a nebo si je může nechat zřídit jinou společností. To záleží především
na strategii a finančních a personálních možnostech firmy. Zvolené řešení musí být následně
kvalitně implementováno. V této části Cobitu je třeba také určit řízení změn v existujícím
systému. Při pořizování IT řešení je třeba dbát správné implementace technologií, ale nesmíme
zapomínat také na časová a rozpočtová omezení.
 3) dodávka služeb a podpora – do této oblasti patří řízení IT služeb (poskytování služeb,
řízení bezpečnosti, podpora služeb, správa dat a infrastruktury. Je tu velmi důležitá otázka
důvěryhodnosti a dostupnosti IT služeb.
 4) monitorování a hodnocení – procesy musejí být kontrolovány a hodnoceny. Výstupy
podléhají různým požadavkům, například na kvalitu a výkonnost IT. Kontroly je třeba
provádět pravidelně, důkladně a úplně. Získané hodnoty a poznatky je třeba reportovat a
analyzovat pro další kroky ve společnosti.
6.2. IT Procesy (34)
 11 v oblasti plánování a organizace (PO) - definování informační strategie, určování taktik,
naplňování obecných cílů.
 6 se týká nákupů a implementace (AI) - nutnost identifikace potřebných ICT zdrojů, jejich
nákup či vývoj.
 13 procesů se zabývá oblastí informačních služeb a jejich podpory (DS) - zajišťuje potřebu,
aby byly dodány služby v požadované kvalitě. Do této oblasti zahrnujeme nejen samotný
provoz ICT, ale také například bezpečnost a přípravu uživatelů.
4/8
 4 procesy jsou určeny pro oblast monitorování (M) - nutné je sledování a hodnocení ICT
procesů. Hodnocení procesů pomocí této oblasti nám objektivně říká, zda jejich kvalita je
taková, kterou firma požaduje, aby vyhověla různým požadavkům a potřebám.
Cobit definuje pro každý proces klíčové cíle, ukazatele výkonnosti a kritické faktory úspěchu.
Každému procesu je tedy přiřazen obecný a detailní kontrolní cíl, informační kritérium, IT zdroje,
kritické faktory úspěchu, ukazatelé výkonnosti a ukazatelé dosažení cíle. Proces je také
charakterizován úrovní znalosti.
V praxi se vynechávají při zkoumání takové procesy (nebo dílčí činnosti), které v organizaci
očividně neexistují (jako je například řízení kvality, periodické srovnávání s konkurencí a jiné) a nebo
nejsou dostupné podklady k tomu, aby mohly být učiněny nějaké závěry. Toto je v praxi typické
zejména pro české firmy jak uvádí v dokumentu „Měření spokojenosti s informační podporou ve
střední organizaci“ Ing. Zdeněk Vaněk ze společnosti DCIT, a.s. zabývající se konzultačními a
auditorskými službami v oblasti IT.
Tabulka – IT procesy
Procesy v oblasti plánování a organizace
PO1 – Definice strategického plánu IT
PO2 – Definice informační architektury
PO3 – Určení technologického směru
PO4 – Definice organizace a vztahů pro IT
PO5 – Řízení investic do IT
PO6 – Komunikace cílů vedení
PO7 – Řízení lidských zdrojů
PO8 – Zajištění shody s vnějšími požadavky
PO9 – Hodnocení rizik
PO10 – Řízení projektů
PO11 – Řízení kvality
Procesy v oblasti nákupů a implementace
AI1 – Identifikace automatizovaných řešení
AI2 – Pořízení a údržba aplikačního software
AI3 – Pořízení a údržba technologické
infrastruktury
AI4 – Postupy vývoje a údržby
AI5 – Instalace a akreditace systému
AI6 – Řízení změn
Procesy v oblasti informačních služeb a jejich podpory
DS1 – Definice a řízení úrovní služeb
DS2 – Řízení služeb třetích stran
DS3 – Řízení výkonu a kapacity
DS4 – Zajištění nepřetržitosti služeb
DS5 – Zajištění bezpečnosti systému
DS6 – Identifikace a alokace nákladů
DS7 – Vzdělávání a příprava uživatelů
DS8 – Podpora uživatelů a zákazníků
DS9 – Řízení konfigurace
DS10 – Řízení problémů
DS11 – Správa dat
DS12 – Správa vybavení
DS13 – Řízení provozu
Procesy v oblasti monitorování
M1 – Monitorování procesů
M2 – Posouzení adekvátnosti interních opatření
M3 – Dosažení nezávislých záruk
M4 – Nezávislý audit
Pro každý proces se definuje:







Obsah a cíl
Dílčí kontrolní cíle
Typické aktivity a role
Vstupy a výstupy
Kritéria pro model vyspělosti
Způsob měření
Způsob auditu
6.3. Cobit kostka
Cobit můžeme znázornit pomocí kostky, která
má tři dimenze: Procesy, zdroje a cíle řízení.
Můžeme si všimnout, že kostka dává do
souvislosti ICT procesy, ICT zdroje a informační
kritéria (viz obrázek).
Jak je metoda Cobit uspořádána? Obsahuje tři
základní prvky: Informační kritéria – jsou
kontrolní cíle IT z pohledu informačních služeb.
Představují požadavky kladené na ICT, podle
5/8
nichž je určována úspěšnost / neúspěšnost naplnění určených cílů. Měly by odrážet všeobecné zájmy
firmy. Jak je pro společnost důležitá kvalita, spolehlivost a bezpečnost? Detailněji můžeme informační
kritéria rozdělit na: Účelnost, hospodárnost, důvěryhodnost, integrita, dostupnost, souhlasnost (shoda)
a spolehlivost. Zdroje ICT – čím budeme informační technologie zajišťovat? Jaké lidi v podniku
potřebujeme k zajištění všech požadovaných činností? (znalosti lidí, organizace zaměstnanců a jejich
získávání atd.). S jakými aplikacemi spolupracuje firemní informační systém? Jaké jsou využívány
informační technologie? Jaké je potřebné vybavení podniku? S jakými daty daná společnost operuje?
Procesy ICT se postupně vyčleňují z hlavních domén. Od nich jsou odvozovány jednotlivé dílčí
činnosti ve firmě. Jednotlivé procesy jsou popsány v samostatné kapitole tohoto dokumentu.
6.4. Obecný model řízení - základ metodiky Cobit
Základem je obecný model řízení. To znamená, že jde o prosazování cílů pomocí přímého řízení
činností za přítomnosti dostupných zdrojů. Je zde nutná zpětná vazba, abychom mohli zhodnotit, zda
provedené činnosti napomáhají k lepšímu dosahování cílů. Obecný model můžeme znázornit jako:
Model bývá označován jako PDCA (Plan – Do – Check – Act).
6.5. Znaky a charakteristika Cobitu
 Orientace na business. Metodika je určena pro poskytovatele IT služeb, manažery, zákazníky,
auditory a vlastníky podnikových procesů.
 Procesní orientace. Cobit obsahuje referenční procesní model jednotlivých domén, měření
výkonnosti procesů, hodnocení rizika
 Kontrolní rámec. Pravidla, postupy, procedury a také organizační struktura jsou tvořeny tak,
aby byla poskytována záruka toho, že bude dosahováno podnikových cílů za současné
minimalizace pravděpodobnosti jejich ohrožení.
 Zaměření na měření výkonnosti – podpora rozhodování týkající se způsobu měření a
kontrolování informačních technologií
6.6. Požadavky zahrnuté v Cobitu
 Požadavky na kvalitu: kvalita, náklady, dodání
 Požadavky na správu: efektivita, účinnost, spolehlivost, soulad s externími pravidly
 Bezpečnostní požadavky: důvěrnost, integrita, dostupnost
7. Přínosy Cobitu
Cílem Cobitu je propojit principy obecného řízení organizace s pravidly uplatňovanými v oblasti
ICT.
4 obecné cíle:




Přispět ke kvalitnímu fungování organizace
Orientovat se na zákazníka
Zajistit provozní dokonalost, efektivnost
Orientovat se na možnosti rozvoje v budoucnosti
6/8
Přínosy této metody mohou ocenit zejména tři hlavní skupiny lidí: management, uživatelé a
auditoři. Umožňuje například měření výkonnosti, určení kritických faktorů a rizik a porovnání
s podobnými organizacemi.
Managementu pomáhá metoda hlavně při rozhodování o investicích do informačních a
komunikačních technologií, při řízení rizik a vyhodnocování trendů fungování IT uvnitř firmy.
Management potřebuje rozhodovat o tom, jaké ICT zavádět a provozovat, aby byly efektivně využity.
Koncept definuje základní rámec řízení ICT a usnadňuje orientaci v ICT prostředí. Pro uživatele má
Cobit význam takový, že zajišťuje spolehlivost a bezpečnost IT služeb. Auditorům napomáhá zejména
při posuzování stavu IT a při optimalizaci rozsahu nutného dohledu. Metoda je jimi hojně využívána.
Poskytuje jim základní rámec pro hodnocení správnosti a vhodnosti nasazení ICT vzhledem k dané
části firmy.
Je důležité brát v úvahu, že metodika není určena pro ICT management (tj. vnitřní řízení ICT).
Cobit je určen pro vedoucí a manažery s přímou odpovědností za obchodní procesy a technologie. Je
důležitá pro ty, kteří potřebují spolehlivé a relevantní informace získávaní pomocí ICT. Mimo to má
uplatnění v oblasti řízení kvality, kontroly a správy IT.
Metodika Cobit není určena
Podniková strategie, její cíle a obchodní procesy
zajištění každodenního vnitřního
chodu ICT oddělení. Naopak je
třeba ji používat pro komunikaci
Cobit
vně ICT. Pro vnitřní řízení ICT se
naopak používají jiné nástroje, jako
například
ITIL
(Information
Informační kritéria
Technology Infrastructure Library).
Někteří odborníci tvrdí, mezi nimi i
Monitorování a
Plánování a
Craig Symons, vedoucí analytik
Zdroje ICT
hodnocení
organizace
společnosti Forrester Research, že
Cobit bývá nejúčinnější ve spojení
Dodávka služeb
Pořízení a
dalšími technologiemi jako je ITIL,
a podpora
implementace
CMM a ISO 17799, jelikož se
navzájem nevylučují. Právě proto se doporučuje jejich současné zavedení do podniku. Cobit je
orientován, oproti ITIL, spíše na přínosy vyšší úrovně řízení změn v organizaci.
Dle tabulky, inovační mapy ERP, kterou uvedl Prof. Ing. Josef Basl, CSc. v práci nazvané
„Přístupy k inovacím podnikových informačních systémů“ působí zavedení metodiky Cobit radikální
změnu v organizaci. Proto ji nelze brát na lehkou váhu.
8. Závěr
Cobit je zajímavou metodikou pro vrcholové vedení o které by měly střední a větší firmy
uvažovat. Metodika Cobit v sobě zahrnuje podporu různých druhů mezinárodních standardů a
nejrůznější „best practices“, což je žádoucí. Spolu s dalšími metodikami můžeme dosáhnout ještě
lepších výsledků v hospodaření a rozvoji firmy. Musíme mít ale vždy na paměti, že žádná metodika
bez kvalitního použití žádnou společnost nezefektivní.
9. Zdroje
9.1. Prezentace
 IT Governance - nástroj řízení efektivity IT, Martin May, Logos a.s., 2007
 Efektivnost informačních systémů, Klára Antlová, Hospodářská fakulta TU v Liberci
 Bezpečnost IS/IT, Ludmila Kunderová:
7/8
https://akela.mendelu.cz/~lidak/share/snimky-bis/prednaska4.ppt
https://akela.mendelu.cz/~lidak/share/snimky-bis/prednaska9.ppt
 Management Guidelines, July 2000:
http://www.tcontas.pt/eurosai/lisboa_etcseminar/Documents/Cobit/CobitManagementGuidelines.pdf
 COBIT, Baker Newman & Notes:
http://www.bnncpa.com/services/documents/COBIT.pdf
 Model S-P-S-P-R, ITIL , Miloš Koch, VUT Brno
9.2. Internet
 Titulní obrázek: http://www.researchcreations.com/images/history/cobit.gif
 Určení metodiky, obrázek - cobit kostka (str. 5), obrázek - obecný model řízení (str. 6):
http://www.anect.com/cs/info/tiskove-centrum/clanky/metodika-cobit-systematicky-pristup-krizeni-informatiky.html
 Computerworld:
http://archiv.computerworld.cz/cwarchiv.nsf/clanky/D5C5D8348404289CC125716A004EDB
F9?OpenDocument
 Přístupy k inovacím podnikových informačních systémů, Josef Basl, Jan Pour:
http://www.vsem.cz/data/docs/gf_BaslBrno.pdf
 Měření spokojenosti s informační podporou ve střední organizaci, Ing. Zdeněk Vaněk, DCIT:
http://www.dcit.cz/files/jakost/ISO_Mereni_Spokojenosti.pdf
 ITIL IT Service Management: http://www.itil.cz/
 IT Governance: http://www.itgovernance.co.uk/cobit.aspx
 EZCobit: http://www.ezcobit.com/UsingCobit/html/00Intro1.html,
 HCOMP: http://www.hcomp.cz/articles_print.asp?idk=186&ida=73
 Research Creations: http://www.researchcreations.com/process.asp#cobit
 Wikipedia: http://en.wikipedia.org/wiki/COBIT
8/8