Metodika COBIT 4 a její vazby na audit

Transkript

SA_501 Audit informačního systému
Seminární práce
Jiří Horník
ZS 2006/2007
Metodika COBIT 4.0 a její vazby na audit
Úvod - Audit IS a vazby na COBIT
Není pochyb, že informační a komunikační technologie (ICT) jsou dnes doslova nedílnou součástí
podnikových informačních systémů (IS). Tento stav již trvá relativně dlouhou dobu a do budoucna se
bude spíše prohlubovat než naopak.
Závislost moderních ekonomik na ICT lze ilustrovat i za pomoci statistik. Například výdaje na nákup
informačních technologií tvořily v roce 2004 v Evropské unii 3 procenta HDP 1. V USA dokonce téměř
5 procent. Některé zdroje hovoří až o 8 procentech celosvětového HDP 2. V absolutních číslech potom
můžeme hovořit přibližně o 2,5 bilionu (2500 miliard) amerických dolarů.
Kromě statistik mohou být důkazem závislosti dnešní společnosti na informačních technologiích také
mnohokráte vzpomínané skandály velkých firem, které otřásly světovou ekonomikou na počátku
třetího tisíciletí.
Za situace, kdy jsme jako společnost bytostně závislí na informacích uložených v různých
informačních systémech, je třeba, abychom měli jistotu, že dané informace jsou správné. Respektive
abychom snížili riziko, že správné nejsou.
Důsledkem této potřeby je vznik disciplíny označované jako audit informačního systému (IS/ICT
audit). Ten je definován jako proces, který se zabývá posuzováním a poradenstvím v oblasti, kde jsou
používány informační technologie.
Audit informačního systému je z definice proces. Jako takový by měl být pokud možno opakovatelný.
Z tohoto důvodu je nutné jej vykonávat podle určitých pravidel nebo metodik.
Proces auditu obecně řečeno probíhá určitými fázemi, které je možno charakterizovat následujícím
způsobem.
1. Analýza rizik – umožňuje sestavit plán auditů na základě toho, které oblasti jsou pro
organizaci kritické a které naopak ne. Na rozdíl od plánování auditu na základě cyklického
provádění (např. 1x měsíčně inventura PC apod.) umožní metoda plánování na základě
analýzy rizik efektivně vynakládat prostředky na samotný audit. Mezi kritéria, která je dobré
zohlednit při sestavování plánu, patří zejména důležitost dané části systému pro business,
hodnota aktiv, kterou daná oblast představuje, čas, který utekl od posledního auditu nebo stáří
prostředků.
1
2
Zdroj: Eurostat.
Zdroj: WITSA Digital Planet 2002
Strana 1 (celkem 11)
Seminární práce
Jiří Horník
ZS 2006/2007
2. Plán auditů – vytvořený na základě analýzy rizik nám říká, jak často a kdy proběhnou
jednotlivé audity určitých oblastí podnikové informatiky.
3. Sběr informací za účelem porozumění dané oblasti – by měl předcházet samotnému auditu
konkrétní oblasti. Obecné informace lze získat formou úvodních pohovorů s klíčovými
osobami a studiem různých směrnic. Informace, které takto získáme, se budou týkat
především požadavků na danou část informatiky vyplývajících z potřeb core businessu, rizik,
osob a rolí, směrnic a postupů, shody s požadavky obecně závazné legislativy a interních
kontrol. Na základě této fáze mohou být definovány cíle samotného auditu, jeho načasování
apod.
4. Úvodní konference – na které by auditní tým měl informovat o účelu a cílech auditu,
harmonogramu auditu, potřebných zdrojích (např. lidé na vyplnění dotazníků, interview apod.)
5. Definice kontrolních cílů (Control Objectives) – Kontrolní cíle jsou jakési popisy ideálního (či
žádoucího) stavu dané oblasti.
6. Sestavení programu – program je plán jednoho konkrétního auditu a říká v podstatě jaké
skutečnosti ověřit. Je založen na kontrolních cílech, které se rozpadají do stále detailnější
úrovně až k aktivitám, které auditor provede, aby daný cíl ověřil.
7. Provedení samotného auditu – jde o porovnání dokumentace, rozhovory, dotazníková šetření,
pozorování a další metody dle plánu auditu. Během provádění by auditoři měli konzultovat
zjištěné problémy s managementem tak, aby jejich výroky uvedené v auditorské zprávě
nebyly pro management překvapením.
8. Vytvoření a prezentace závěrečné auditorské zprávy.
9. Akce managementu vedoucí k nápravě případných neshod.
Problémem, kterému auditoři informačních systémů musí čelit, je značná komplexnost zkoumané
oblasti (informatiky) a také velká dynamika jejího vývoje. Jinými slovy je třeba mít velmi mnoho
znalostí, které se velmi rychle mění.
Dalším aspektem auditorské práce je fakt, že abychom mohli něco posoudit, potřebujeme k tomu
nějakou referenční hodnotu. Jinými slovy popis ideálního, žádoucího stavu.
Auditor informačních systémů tedy pracuje s mnoha dokumenty, které mají charakter metodik,
standardů či norem. Z této množiny si vybírá konkrétní normy podle toho, která oblast podnikové
informatiky je předmětem auditu.
Otázkou je, jak s tím vším souvisí metodika COBIT?
Abychom si mohli odpovědět, je nejprve nutné stručně uvést, co to vlastně COBIT je. Nejčastější
definicí je, že Control OBjectives for Information and related Technology je sadou nejlepších praktik
Seminární práce
Jiří Horník
ZS 2006/2007
v oblasti řízení informatiky (IT Governance). V další části textu bude metodika rozebrána podrobněji.
Nyní jde spíše o to uvědomit si, že tato metodika nám dává jistý návod na co se zaměřit, pokud
chceme zlepšit řízení informatiky v podniku.
COBIT souvisí s auditem IS hned v několika rovinách:
1. Metodika vznikla původně u auditorů (COBIT vznikl v organizaci ISACA3, která sdružuje
auditory. Nyní jej ve spolupráci s ISACA publikuje ITGI4).
2. Auditoři jsou vedle IT manažerů jednou s cílových skupin této metodiky.
3. Metodika obsahuje návod, jak provádět audit jednotlivých oblastí řízení informatiky - tzv.
auditní postupy (Audit guidelines).
4. Metodika komplexně mapuje jednotlivé IT procesy (procesní dekompozice oblasti IT).
5. Pro jednotlivé procesy určuje referenční hodnotu (control objective).
Důvody pro použití metodiky COBIT při auditu řízení podnikové informatiky jsou následující:
•
Je založen na procesním modelu.
•
Komplexně popisuje procesy řízení informatiky.
•
Je namapovatelný na model IT Governance.
•
Je namapovatelný na ostatní metodiky a „best practices“ (COSO, ITIL).
•
Umožňuje dosáhnout shody se SOX.
•
Obsahuje popis cílových stavů v dané oblasti.
•
Obsahuje návod na provádění auditu (audit guidelines).
•
Je široce uznáván a využíván v praxi.
V následujícím textu jsou shrnuty základní principy a pojmy, jakými chápou informatiku tvůrci
metodiky COBIT. Text je vztažen k aktuální verzi metodiky COBIT 4.0. Kromě toho je zařazena
kapitola věnující se historii nejen samotné metodiky COBIT, ale také její mateřské organizace ISACA
a auditu IS jako celku.
3
4
Information Systems Audit and Control Association
IT Governance Institute
Seminární práce
Jiří Horník
ZS 2006/2007
Historie auditu IS, organizace ISACA a metodiky COBIT
Audit informačních systémů vznikl přibližně v 60. letech 20. století v důsledku toho, že pro
zpracování účetnictví začaly být využívány počítače.
První odborníci, kteří se zabývali auditem informačních systémů, si říkali auditoři EDP (Electronic
Data Processing). V roce 1969 vznikla asociace EDP auditorů (dnešní ISACA), která měla za cíl
shromažďovat znalosti z oblasti auditu IS a publikovat je ve formě norem, návodů, postupů a metodik.
První Control Objectives - předchůdce dnešního CobiTu byly publikovány v roce 1977.
V roce 1994 se EDPAA (Electronic Data Processing Auditors Association) přetransformovala v
organizaci ISACA (Information Systems Audit and Control Association).
Historický vývoj auditu IS byl relativně dynamický. Audit IS se vždy nejvíce rozšířil po nějakém
velkém skandálu, kdy se ukázala potřeba důkladnější kontroly informačních systémů. Prvním známým
případem zneužití IT byl případ Equity Funding Corporation of America, jejíž manažeři na počátku
70. let falšovali finanční výkazy s cílem zvýšit hodnotu akcií společnosti. Z dalších případů je uváděno
selhání technologie AT&T v roce 1998, které připomnělo světu jeho závislost na technologiích, dále
známý případ Enron nebo útoky z jedenáctého září.
Metodika CobiT byla poprvé vydána v roce 1996 organizací ISACA. První vydání zahrnovalo rámec
metodiky (framework). Ve druhém vydání z roku 1998 přibyly auditní postupy (audit guidelines), sada
implementačních nástrojů (implementation toolset) a rozpracované procesy a detailní cíle (control
objectives). Ve třetím vydání z roku 2000 přibyly manažerské postupy (management guidelines) a byl
inovován rámec metodiky. Hlavní změnou však bylo to, že CobiT přešel od ISACA pod patronát ITGI
(IT Governance Institute – založen 1998). Poslední verzí CobiT je verze 4.0 z roku 2005.
Seminární práce
Jiří Horník
ZS 2006/2007
Popis Metodiky COBIT 4
Základní myšlenka
CobiT vychází z koncepce IT Governance, která zahrnuje organizační strukturu a procesy informatiky
a obsahuje pět základních myšlenek:
•
Cíle podnikové informatiky musí mít vazbu na cíle podniku. Jinými slovy informatika
musí podporovat podnikové cíle.
•
Informatika musí vytvářet přidanou hodnotu.
•
Musí existovat systém řízení, který umožní minimalizovat rizika spojená s podnikovým
IT.
•
Systém řízení musí zaručovat šetrné nakládání s IT zdroji.
•
Systém řízení informatiky by měl mít zabudován systém měření výkonnosti.
Přínosem metodiky CobiT je, že mapuje strukturu IT procesů ve firmě a umožňuje tak manažerům
(neinformatikům) uchopit řízení informatiky, jinými slovy definuje referenční procesní model řízení
informatiky. CobiT dále pro každý proces definuje relevantní metriky a indikátory, které manažerům
umožní informatiku kontrolovat (řídit). Základním měřítkem IT procesů je model zralosti založený na
CMM5.
Autoři CobiTu jej chápou jako prvek integrující jiné (detailnější) metodiky a normy.
Základní pojmy
Než začneme s popisem struktury dokumentů a procesů metodiky CobiT, je podle mého názoru
užitečné vymezit některé základní pojmy.
Následující pojmy jsou vybrány a volně přeloženy přímo ze slovníčku, který je součástí metodiky
CobiT. Tam, kde je to žádoucí, jsou také více rozebrány a okomentovány. Pojmy jsou seřazeny podle
logické posloupnosti a důležitosti, spíše než v abecedním pořadí.
Proces
Proces je sada činností, které využívají vstupy, jež přeměňují na výstupy ve prospěch
zákazníka procesu. Za průběh procesu zodpovídá jeho vlastník. Výkon procesu je
měřitelný. Existence procesu je odůvodněna nějakým podnikovým cílem.
Procesy jsou základní jednotkou, na kterou je dekomponována informatika v pojetí
CobiT (procesní pojetí). CobiT zahrnuje celkem 34 procesů, které pokrývají činnosti
řízení informatiky.
5
Capability Maturity Model
Seminární práce
Doména
Jiří Horník
ZS 2006/2007
Doména tvoří seskupení procesů podle toho do jaké fáze životního cyklu IT projektu
spadají. CobiT rozlišuje 4 domény:
Opatření
•
Plánování a Organizace (PO)
•
Akvizice a Implementace (AI)
•
Dodání a Podpora (DS)
•
Měření a Hodnocení (ME)
Anglický termín control lze přeložit jako kontrola. Takovýto překlad je však na první
pohled lehce zavádějící. Pokud se podíváme, jak CobiT kontrolu definuje, jeví se jako
výhodnější termín například slovo „opatření“. Control totiž dle slovníčku CobiT
znamená: směrnice, procedury, pracovní postupy a organizační struktura, pomocí
nichž je dosahováno obchodních cílů a jsou minimalizována rizika.
Cíl opatření
Termín „control objective“ je možno přeložit také jako například: „smysl opatření“
nebo „výsledek opatření“. Tedy něco, proč se dané opatření přijímá. Cíl opatření je
podle mě velmi dobrý překlad, neboť vystihuje stav, kterého je v ideálním případě
dosaženo zavedením určitého opatření.
Struktura dokumentů COBIT
Ve verzi 4.0 je metodika CobiT strukturována podle různých úrovní řízení, které jsou cílovou
skupinou jednotlivých dokumentů či jejich částí. Dokumenty jsou podle metodiky zaměřeny
následujícím způsobem.
Úroveň řízení/cílová skupina
Strategická (exekutivní)/
Dokument CobiT 4.0
•
Top management
Board Briefing on IT Governance, 2nd Edition
(Vysvětluje základní principy IT Governance)
•
ValIT
(Obohacuje
CobiT
o
finanční
perspektivu)
Taktická (strategické řízení
•
informatiky)/
Management Guidelines (obsahuje nástroje
pro strategické řízení IT – metriky, cíle …)
CIO
Operativní/
•
konstrukce metodiky CobiT)
Specialisté, např. auditoři, specialisté
na informační bezpečnost.
Framework (vysvětluje základní myšlenky a
•
Control objectives (popis cílových stavů
Seminární práce
Jiří Horník
ZS 2006/2007
opatření)
•
Control
Practices
(dává
návod
jak
implementovat opatření - kontroly)
•
IT Assurance Guide (je návodem pro auditory;
obsahuje jednak obecný postup auditu IT a
také návod jak auditovat jednotlivé procesy.
•
IT Control Objectives for Sarbanes-Oxley
(speciální dokument týkající se firem, které
musí mít IS/IT ve shodě se SOX)
•
IT Governance Implementation Guide (návod
jak implementovat principy IT Governance)
•
COBIT Quickstart (verze určená menším
podnikům;
obsahuje
naprosté
základy
metodiky)
•
COBIT Security Baseline (návod jak pomocí
CobiT dosáhnout jisté úrovně informační
bezpečnosti.
Je nutno říci, že ve verzi Cobit 4.0 došlo ke vzájemné integraci rámce (framework), popisu cílových
stavů (control objectives) a manažerských návodů (management guidelines) do jednoho dokumentu.
Ten vypadá tak, že v rámci (framework) je nejprve vysvětlena podstata metodiky CobiT a dále jsou
podle jednotlivých domén a procesů seskupeny jednotlivé cílové stavy (Control Objectives), které jsou
následovány manažerským návodem (management guidelines).
Manažerský návod ke každému procesu shrnuje jeho vstupy a výstupy (obvykle dokumenty), tzv.
RACI tabulku, která určuje, jak jsou jednotlivé role (stakeholders) v procesu zapojeny (Responsible,
Accountable, Consulted, Informed), cíle a metriky.
Další součástí popisu procesu je model zralosti (maturity model), který definuje, čemu odpovídají
jednotlivé úrovně. Manažerům je tak velmi usnadněno hodnocení vlastních procesů.
Základní pohled na informatiku
Podle metodiky CobiT je podniková informatika nástrojem na plnění podnikových cílů (business
goals). Cílem informatiky je tedy poskytování informací, které business potřebuje pro plnění svých
cílů. Poskytované informace musí splňovat tato základní kritéria:
Seminární práce
•
Jiří Horník
ZS 2006/2007
Efektivnost (Effectiveness) – poskytovat relevantní informace ve správný čas na
správném místě.
•
Efektivita (Efficiency) – poskytovat informace ekonomicky optimálním způsobem.
•
Důvěrnost (Confidentiality) – zajistit utajení důvěrných informací.
•
Integrita (Integrity) – zajistit přiměřenou přesnost a úplnost informací.
•
Dostupnost (Availability) – informace musí být k dispozici vždy, kdy jsou potřeba.
•
Shoda s legislativou (Compliance) – informatika musí fungovat v rámci vymezeném
platnou legislativou.
•
Spolehlivost – management se může při výkonu svých pravomocí spoléhat na dodávané
informace.
Aby informatika mohla dodávat informace vyhovující daným kritériím a plnit tak podnikové cíle, musí
nejprve disponovat určitými zdroji a musí probíhat určité procesy, které zdroje využívají. Zdroje a
procesy potom společně tvoří architekturu IT. Zdroje jsou dle CobiTu tyto:
•
Aplikace a manuální činnosti zpracování informací.
•
Informace ve formě dat.
•
Technologická infrastruktura (Hardware a Software)
•
Lidé
Druhou část architektury tvoří informatické procesy. CobiT popisuje kompletní referenční model
procesů podnikové informatiky. Model sestává z 34 procesů, které jsou organizovány do čtyř domén.
Procesy jsou nazývány „high-level control objectives“ a jsou pro ně definovány podrobnější cíle
opatření (control objectives). Domény odpovídají určitému životnímu cyklu IT investic. Rozdělení je
následující:
•
Plánování a Organizace (Plan and Organise – PO) – Procesy této domény pokrývají,
řekněme, strategickou přípravu a taktické řízení. Zahrnují činnosti jako: Vytvoření
informační strategie, Definici architektury informačního systému, definování organizační
struktury v rámci IT, řízení lidí, investic, rizik, projektů a kvality a další.
•
Akvizice a Implementace (Acquire and Implement – AI) – Tato doména zahrnuje nákup
či vývoj určitého IT řešení, včetně činností jako: Vytipování oblastí, které mají být
podpořeny IT, nákup či vývoj software, nákup infrastruktury, lidí a dalších zdrojů, řízení
změn a další.
Seminární práce
•
Jiří Horník
ZS 2006/2007
Dodání a Podpora (Delivery and Support – DS) – Doména zahrnuje v podstatě provoz
jednotlivých IT služeb. Například definice a zajištění úrovně služeb (pomocí SLA a OLA)
včetně monitoringu dodržování dohodnutých parametrů. Dále řízení služeb nakoupených
na trhu (outsourcing), řízení kapacity zdrojů, zajištění kontinuity a bezpečnosti, účtování
nákladů, trénink personálu, provoz service desku (incidenty a problémy), řízení
konfigurací, infrastruktury atd.
•
Měření a Hodnocení (Monitor and Evaluate – ME) – Poslední doména poskytuje zpětnou
vazbu managementu. Snaží se definovat metriky a systém pravidelného smysluplného
reportování, popisuje také interní audit, zajištění shody s legislativou, měření výkonu,
řízení rizik apod.
Nutno říci, že metodika CobiT je sice komplexní, ale na druhou stranu relativně obecná. Jinými slovy i
přesto, že definuje referenční procesní model řízení informatiky, stále ponechává relativně velký
prostor pro kreativitu manažerů, jejichž úkolem je implementovat metodiku v konkrétních
podmínkách. Metodika definuje, co by mělo být cílem, ale neříká, jak toho dosáhnout. Metodiku je
možné kombinovat s detailnějšími normami a standardy.
Seminární práce
Jiří Horník
ZS 2006/2007
Závěr
Název CobiT je ve světě řízení informatiky stále častěji skloňován. Jedná se o metodiku řízení
informatiky, jejímž cílem je zastřešovat a integrovat ostatní detailnější standardy. Z toho vyplývá, že
CobiT je spíše obecný. Poskytuje referenční model 34 informatických procesů, u kterých definuje
měřítka, která má daný proces splňovat. Metodika již ale neříká jakými konkrétně opatřeními
definovaných výsledků dosáhnout. Tato obecnost je ale spíše výhodou než naopak. Dělá totiž z
CobiTu nástroj, který se dá přizpůsobit potřebám libovolné firmy. Konkrétní implementace již záleží
na kreativitě konkrétních manažerů.
Tento text popisuje relativně stručně základní ideu a strukturu metodiky CobiT. Kromě toho jsem však
zařadil hned na úvod kapitolu o auditu, ze které by měly být zřejmé vazby CobiTu a auditu
informačních systémů a význam metodiky CobiT pro auditory. Tyto vazby bych shrnul asi tak, že
CobiT je nástroj, který umožňuje definování předmětu auditu. Může sloužit jako referenční měřítko,
podle kterého je stav podnikové informatiky hodnocen. Velmi užitečným nástrojem jsou například
modely zralosti založené na známém CMM. Mimo to metodika obsahuje dokument audit guidelines,
který je přímo návodem pro auditory jak při auditu informačního systému postupovat – obsahuje
generický model postupu auditu. Důležité je, že audit guidelines respektují procesní model
informatiky navržený metodikou CobiT. Význam CobiTu v posledních letech stoupá také díky tomu,
že existuje možnost namapovat některé z 215 cílů opatření (control objectives) na normy typu SOX
nebo BASEL II a zajistit tak shodu s jim podobnou legislativou. Zároveň je možné tímto směrem
postupovat i při auditu shody s těmito normami.
CobiT je dnes skutečně obecně uznávaným standardem ve specifické oblasti podnikové informatiky.
Seminární práce
Jiří Horník
ZS 2006/2007
Zdroje informací
[LIT_ 1]COBIT 4.0. Rolling Meadows: IT Governance Institute, 2005. 194 s. ISBN 1–933284-37–4.
[LIT_ 2]SVATÁ, Vlasta. Audit informačního systému. 1. vyd. Praha: VŠE – Oeconomica, 2005. 168 s.
ISBN 80–245-0975X.
[LIT_ 3]PETTERSON, Mark. The Keys to Effective IT Auditing. Wiley InterScience. 2005.
[LIT_ 4]THIBODEAU, Patrick. IT Auditors Turn to Cobit for Sarb-Ox Guidance. Computerworld.
2006 pg. 9
[LIT_ 5]Wikipedia, the free encyclopedia. www.wikipedia.org. Následující články:
a. Information technology audit - http://en.wikipedia.org/wiki/IS_audit
b. History of information technology auditing http://en.wikipedia.org/wiki/History_of_information_technology_auditing
c. COBIT - http://en.wikipedia.org/wiki/COBIT
d. Sarbanes-Oxley Act - http://en.wikipedia.org/wiki/Sarbanes-Oxley_Act
e. Basel II - http://en.wikipedia.org/wiki/Basel_II
[LIT_ 2]Web ISACA. http://www.isaca.org/
[LIT_ 3]Web ITGI. http://www.itgi.org/

Metodika COBIT 4 a její vazby na audit

Transkript

Podobné dokumenty

zde - Grand Prix

Souřadnicové měřící stroje - Katedra výrobních systémů a

Semestrální práce z 4IT321

Lynchův syndrom v rukách patologa

zde - Absolventi VŠE - Vysoká škola ekonomická v Praze

Implementace metodiky řízení projektů