7. Cobit 5

Agenda Úvod – rozdíly v koncepci Cobit 5 Framework Cobit 5 Enabling Processes

1. 2012 ISACA nahradila Cobit 4.1 novou verzí Někteří experti byli skeptičtí: COBIT 4.1 je jednoduchý Obsah již známe Hlavní změny v koncepci Jeden všezahrnující rámec (ISO 38500, Risk IT, Val IT) Nové pojetí EGIT Nové komponenty základního modelu Nový způsob hodnocení procesů Nová koncepce dokumentů celé rodiny

a. Jeden všezahrnující rámec

a. Jeden všezahrnující rámec cont.

Cobit 5 vazba na jiné dokumenty

b. Nový model GEIT

c. Nové komponenty základního modelu Information criteria Information enabler Processes Process enabler Resources Organizational structures enabler People, skills and competences enabler Services, infrastructure and applications Culture, ethics, Principles and policies

d. Nové hodnocení procesů COBIT 4.1 COBIT 5

e. Nová koncepce dokumentů celé rodiny Cobit 5

COBIT 5 Podpůrné publikace Professional Guides: COBIT 5 for Information Security COBIT 5 for Assurance COBIT 5 for Risk Enabler Guides: COBIT 5: Enabling Information COBIT Assessment Programme: Process Assessment Model (PAM): Using COBIT 5 Assessor Guide: Using COBIT 5 Self-assessment Guide: Using COBIT 5

2. COBIT 5 Framework COBIT 5: Hlavní úvodní dokument k celé rodině Obsahuje shrnutí pro manažery a popis všech komponent rámce Cobit 5: Pět principů Sedm enablerů Základní popis implementace (úvod k dokumentu COBIT 5 Implementation) Úvod k programu pro hodnocení procesů (není specifický pro COBIT 5, využívá ISO/IEC 15504)

Cobit 5 – Základní model

Pět principů Cobit 5 Uspokojování potřeb stakeholderů Úplné pokrytí organizace (Covering the Enterprise End-to-end) Aplikace jednoho integrovaného rámce Podpora holistického přístupu Oddělení Governance od Managementu

2.1. Uspokojování potřeb stakeholderů Základním cílem organizací je vytvářet hodnoty pro své stakeholdery Source:  COBIT® 5, figure 3. © 2012 ISACA® All rights reserved.

Uspokojování potřeb stakeholderů (pokr.) Organizace mají mnoho stakeholderů a pro každého z nich má „vytváření hodnot“ jiný význam, často protichůdný Governance znamená hlavně projednávání a rozhodování o různých zájmech stakeholderů Systém opírající se o governance principy musí vzít v úvahu při rozhodování o vytváření zisku, spotřebě zdrojů a hodnocení rizika zájmy všech stakeholderů

Uspokojování potřeb stakeholderů (pokr.) Potřeby stakeholderů se musí promítnout do reálné strategie organizace COBIT 5 kaskádování cílů toto umožňuje Source:  COBIT® 5, figure 4. © 2012 ISACA® All rights reserved.

Potřeby stakeholderů a podnikové cíle (Příklad) Source:  COBIT® 5, figure 5. © 2012 ISACA® All rights reserved.

2.2 End-to-end pokrytí organizace Co to znamená? Cobit 5 nenásilně integruje ITG a EG do EGIT na základě nejnovějších zkušeností Pokrývá všechny funkční oblasti, úrovně řízení a procesy v organizaci, nezabývá se pouze řízením IT

2.3 Poskytuje jeden integrovaný rámec COBIT 5 je propojen s hlavními standardy a rámci, které se využívají v organizacích: Business: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 Risk management – Principles and guidelines IT: ISO/IEC 38500, ITIL, ISO/IEC 27000 series, TOGAF, PMBOK/PRINCE2, CMMI Atd. To umožňuje organizacím užívat COBIT 5 jako jeden nadřazený rámec všem ostatním – integrátor regulací ISACA plánuje postupně podrobnější mapování na tyto rámce

2.4 Umožňuje holistický přístup COBIT 5 nabízí využití tzv.enablerů: Faktory, které jednotlivě nebo společně ovlivňují, zda „něco“ bude fungovat V případě Cobit „něco“ je EGIT Poslední úroveň v kaskádování cílů Sedm kategorií

Umožňuje holistický přístup pokr. Source:  COBIT® 5, figure 12. © 2012 ISACA® All rights reserved.

Umožňuje holistický přístup (pokr.) COBIT 5 dimenze enablerů: Společné dimenze: Poskytují společný strukturovaný způsob zacházení s enablery Specifické řízení výkonnosti enablerů Processes Org.str. Culture Cobit 5 for Security Principles Information Infrastructure People

2.5 Oddělení Governance od Managementu Tyto dvě oblasti zahrnují různé činnosti Vyžadují různé orhanizační struktury Slouží pro jiné účely Governance—odpovědnost nevyššího vedení a statutárních orgánů v čele s předsedou představenstva EDM – Evaluation – Direction - Monitoring Management— je v odpovědnosti středního a nižšího vedení v čele s CEO (generální ředitel) PBRM - Plans, Builds, Runs and Monitors

Oddělení Governance od Managementu (pokr.) Source:  COBIT® 5, figure 15. © 2012 ISACA® All rights reserved.

3. COBIT 5: Enabling Processes COBIT 5: Enabling Processes doplňuje COBIT 5 a poskytuje podrobný návod pro implementaci procesů: Chapter 2 – rakapitulace kaskádování cílů a doplnění metrik pro podnikové a IT cíle Chapter 3 – popis a vysvětlení komponent modelu Chapter 4 – diagram procesního referenčního modelu Chapter 5 - podrobný popis 37 COBIT procesů

COBIT 5: Enabling Processes (pokr.) Domény Oblasti Source:  COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.

Struktura popisu procesů Popis procesu (e.g. APO10 Manage Suppliers) Cíl procesu Seznam IT cílů, které proces podporuje a návazné metriky Seznam cílů procesu a návazné metriky RACI chart Seznam manažerských praktik (např. APO10.01 Identify and evaluate supplier relationships and contracts) Krátký popis, vstupy, výstupy, činnosti Odkaz na další návody (ISO, …)

Shrnutí změn mezi Cobit 4.1 Framework a Cobit 5 Enabling Processes Nový procesní model Terminologie, dekompozice procesů, úroveň detailu Nové kaskádování cílů Rozšířená RACI chart Rozdíl v hodnocení procesů (COBIT 4.1 Maturity Model a COBIT 5 Process Capability Model)

Č1. Nový referenční model procesů Nejsou velké změny v počtu procesů (Cobit 4.1 –34 procesů, Cobit 5 - 37 procesů) Velké změny v obsahu na úrovni Control Objectives (Cobit 4.1) and Process Practices (Cobit 5) Appendix A - Cobit 5 Enabling Processes: MAPPING BETWEEN COBIT 5 AND LEGACY ISACA FRAMEWORKS

COBIT 4.1 Mapování Control Objectives na COBIT 5 (příklad)

Příklady nových nebo změněných procesů APO03 Manage enterprise architecture. APO04 Manage innovation. APO05 Manage portfolio. APO06 Manage budget and costs. APO08 Manage relationships. APO13 Manage security. BAI05 Manage organisational change enablement. BAI08 Manage knowledge. BAI09 Manage assets. DSS05 Manage security service. DSS06 Manage business process controls.

Cobit 5 Procesní model

Č2: Terminologie, dekompozice procesního modelu, úroveň podrobnosti Control Objective - Control Practice (Management Practice) Kontrola – prostředek pro řízení rizik, včetně politik, postupů, návodů, praktik, organizačních struktur, které mohou mít charakter administrativní, technický, řídící, právní (totéž co opatření) Interní kontroly – politiky, postupy a praktiky, organizační struktury, které jsou navrženy pro to, aby poskytly přiměřenou míru ujištění, že budou splněny business cíle a že se předejde nebo se odhalí nežádoucí události a v případě nežádoucích důsledků budou tyto důsledky napravené Control Practice – klíčový kontrolní mechanismus, který podporuje dosažení kontrolních cílů prostřednictvím spotřeby zdrojů, řízení rizika a propojení IT s businessem Výhody: Srozumitelnější vazba mezi procesem – praktikou - činností

Změny v dekompozici Domain Domain Process Process Practice Activity Control Objectives Domain Process

Č 3. Nové kaskádování cílů Cobit 4.1 - 4 úrovně cílů: Business goals (17), kategorizované podle 4 perspektiv BSC IT goals (28) Process goals (34) Activity goals Cobit 5 - 4 úrovně cílů: Governance goals (3) Enterprise goals (17) categorized according to 4 perspectives of BSC IT goals (17) categorized according to 4 perspectives of BSC Enabler Goals (7) Změny v metrikách

COBIT 5 Goals Cascade

Cobit 5 Enterprise Goals

Mapování COBIT 5 podnikové cíle na governance a manažerské otázky

Cobit 5 IT Goals

Mappování COBIT 5 Enterprise Goals na ITcíle

Cobit5 Enabling processes poskytuje informace o těchto enablerech:

Č 4. Rozšířená RACI Chart Cobit 4.1: R- Resposible, A-Accountable, C-consulted a I-Informed na úrovni aktivit procesů Cobit 5: na úrovni prakatik procesů

Změny in RACI

Č 5. Změny v hodnocení procesů