Cobit 5 Řízení kvality (audit) IS BIVŠ ZS16

Agenda Úvod-změny obecně Cobit 5 Framework Cobit 5 Enabling Processes

1. 2012 ISACA nahradila Cobit 4.1 novou verzí Někteří experti byli skeptičtí: COBIT 4.1 snadno srozumitelný Cobit 4.1 nejvíce vešel do povědomí Hlavní změny obecně Jeden zastřešující rámec (ISO 38500, Risk IT, Val IT) Nový model EGIT Nové komponenty základního modelu Nový model hodnocení procesů Nový koncept sady dokumentů

a.Jeden zastřešující rámec ISO/IEC 38500 ITIL® V3 2011 and ISO/IEC 20000 ISO/IEC 31000 Series Togaf Capability Maturity Model Integration (CMMI) (development) PRINCE2®

Cobit 5 vazba na další rámce

b.Nový model pro GEIT

c. Nové komponenty základního modelu Information criteria Informace Processes Procesy Resources Organizační struktury Lidé, dovednosti, kompetence Služby, infrastruktura, aplikace Kultura, etika a chování Principy, politiky, rámce

d. Nový model hodnocení procesů COBIT 4.1 COBIT 5

e. Nová koncepce struktury dokumentů

COBIT 5 podpůrné produkty Professional Guides: COBIT 5 Implementation COBIT 5 for Information Security COBIT 5 for Assurance COBIT 5 for Risk Enabler Guides: COBIT 5 Enabling processes COBIT 5: Enabling Information COBIT Assessment Programme: Process Assessment Model (PAM): Using COBIT 5 Assessor Guide: Using COBIT 5 Self-assessment Guide: Using COBIT 5

2. COBIT 5 Framework COBIT 5: Poskytuje základní informace k celé sadě dokumentů Obsahuje manažerský souhrn hlavních komponent rámce: Popis pěti principů COBIT 5 Popis sedmi enablerů Úvod k postupu implementace (podrobněji COBIT 5 Implementation) Úvod k programu hodnocení (není specifické pro COBIT 5) a jeho aplikaci na Cobit 5

Principy Cobit 5 Uspokojení potřeb zájmových skupin cílem existence podniků je generování hodnot pro tyto skupiny kaskádování cílů a metriky „End-to-end“ pokrytí podniku Informace celopodniková aktiva, všechny úrovně řízení Aplikace jednoho integrovaného rámce Podpora holistického přístupu 7 předpokladů (Enablers) majících vliv na to, zda bude cílů dosaženo Principy, politiky a rámce; Procesy; Organizační struktury; Kultura, etika a chování; Informace; Služby, infrastruktura a aplikace; Lidé, dovednosti a kompetence. Oddělení úrovně řízení „Governance“ od úrovně řízení „Management“

Cobit 5: Principy

1. Uspokojení potřeb zájmových skupin Cílem existence organizací je vytvářet hodnoty pro stakeholdery Source:  COBIT® 5, figure 3. © 2012 ISACA® All rights reserved.

Uspokojení potřeb zájmových skupin (pokr.) Podniky mají mnoho různých stakeholderů, kteří mají různou představu o tvorbě hodnot, často konfliktních Governance je o poznání, diskuzi a stanovení priorit mezi těmito zájmy Systém řízení Governance musí brát v úvahu při tvorbě zisku, řízení zdrojů a rizik všechny stakeholdery

Uspokojení potřeb zájmových skupin Potřeby stakeholderů se musí převést do reálné strategie podniků Pomůcka – Cobit 5 kaskádování cílů Podrobněji viz Nové kaskádování cílů Source:  COBIT® 5, figure 4. © 2012 ISACA® All rights reserved.

2 Pokrytí podniku End-to-end To znamená Integruje GEIT do EG (celopodnikové governance: corporate a enterprise governance) Pokrývá všechny funkce a procesy, nezabývá se pouze funkcí IT Prezentuje, že informace a s ní spojené technologie jsou stejnými aktivy, jako jiná aktiva (lidé, procesy, finance, …)

3 Aplikace jednoho integrovaného rámce COBIT 5 využívá nejlepší praxe z jiných rámců a standardů: Podnikových: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 Risk management – Principles and guidelines Orientovaných na IT: ISO/IEC 38500, ITIL, ISO/IEC 27000 series, TOGAF, PMBOK/PRINCE2, CMMI Atd. Tento rámec může fungovat jako integrátor/zastřešení regulací/norem/best practice ISACA plánuje průběžné vydávání dokumentů mapujících podrobně vazby mezi Cobit 5 a těmito standardy

4 Podpora holistického přístupu COBIT 5 enablery jsou: Factory, které jednotlivě nebo společně ovlivňují, zda něco bude fungovat – v případě Cobit 5 governance a řízení podnikových IT Jsou součástí kaskádování cílů Sedm kategorií enablerů

Podpora holistického přístupu Source:  COBIT® 5, figure 12. © 2012 ISACA® All rights reserved.

Podpora holistického přístupu Procesy — popisují organizované entity praktik a činností, které vedou k ke splnění určitého cíle a jejichž výstupy podporují dosažení obecnějších IT cílů Organizační struktury—jsou klíčové entity realizující rozhodování Kultura, etika and chování—jednotlivců nebo celé organizace; často podceňované jako faktor ovlivňující procesy Principy, politiky a rámce—jsou nástroje pro transformaci žádoucího chování do praktických návodů pro každodenní řízení Informace—pronikají do všech oblastí řízení, jsou základním integrujícím prvkem . Jsou současně základním předpokladem pro fungování podniků a klíčovým produktem samotné organizace Služby, infrastruktura a aplikace—umožňují zpracování informací a poskytování IT služeb Lidé, dovednosti a kompetence—jsou potřebné pro úspěšné plnění procesů (aktivit), provádění správných rozhodování a opravných akcí

Podpora holistického přístupu Dimenze enablerů v Cobit 5: Všechny enablery mají jednotný způsob popisu: 4 společné dimenze popisu enablerů (Enabler Dimension) Od výstupů implementace enablerů organizace očekávají pozitivní výsledky, které je potřeba měřit (Enabler Performance Management) Processes Org.str. Culture Cobit 5 for Security Principles Information Infrastructure Source:  COBIT® 5, figure 13. © 2012 ISACA® All rights reserved. People

5 Oddělení Governance od řízení (Management) Jasné oddělení procesů (různé procesy, organizační struktury, cíle) Governance— je většinou v odpovědnosti statutárních orgánů; hodnocení potřeb stakeholderů, stanovení priorit a monitoring dosažení potřeb; EDM (evaluate, direct, monitor) Management—je většinou v odpovědnosti exekutivy (CEO); management plánuje, tvoří, realizuje a monitoruje; PBRM

Oddělení Governance od řízení (Management) Source:  COBIT® 5, figure 15. © 2012 ISACA® All rights reserved.

3. COBIT 5: Enabling Processes Kapitola 1: obsah dokumentu a jeho vazby na další dokumenty Cobit 5; rozsah 1 stránka A4), Kapitola 2: vysvětlení úrovní cílů, jejich popis a příklady metrik pro podnikové cíle (enterprise goals) a IT cíle (IT goals); rozsah 6 stránek A4, Kapitola 3: představuje komponenty popisu každého procesu (governance a manažerské procesy);rozsah 3 stránky A4, Kapitola 4: referenční model procesů; popis je obecný, je potřeba ho přizpůsobit podmínkám v každé organizaci; rozsah 2 stránky A4, Kapitola 5: hlavní; podrobný popis všech 37 procesů referenčního modelu; rozsah 176 stránek A4, Příloha A: mapování procesů mezi Cobit 5, Val IT a Risk IT do úrovně cílů kontrol/řízení; rozsah 8 stránek A4, Příloha B a C: mapování mezi podnikovými cíli, IT cíli a procesy Cobit 5; rozsah 5 stránek A4.

COBIT 5: Enabling Processes (cont.) Domény Oblasti Source:  COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.

Cobit 5 Struktura popisu procesu Popis procesu (Process description, např. APO10 Manage Suppliers) Účel procesu (Process purpose statement) Seznam cílů IT podporovaných procesem a jejich metriky Seznam cílů procesu a jejich metriky RACI chart Seznam manažerských praktik (např. APO10.01 Identify and evaluate supplier relationships and contracts) Krátký popis, vstupy, výstupy, činnosti Návazné návody (Related guidance)

Sumarizace změn mezi Cobit 4 Sumarizace změn mezi Cobit 4.1 Framework and Cobit 5 Enabling Processes Nový referenční model procesů Terminologie, dekompozice procesů, úroveň detailu Nové kaskádování cílů Rozšířená RACI chart Rozdíly v hodnocení prodcesů (bude předmětem samostatné přednášky)

Nový referenční model procesů na první pohled nedošlo k velké změně v počtu procesů (Cobit 4.1 –obsahuje 34 procesů, Cobit 5 obsahuje 37 procesů) hlavní změny se odehrály na úrovni cílů kontrol/řízení (Control Objectives- v terminologii Cobit 4.1) a praktik procesů/řízení (Process Practices v terminologii Cobit 5). Dokument Cobit 5 Enabling Processes obsahuje ve své příloze A mapující tabulku mezi těmito dvěma procesními modely.

Příklady nových nebo upravených procesů APO03 Manage enterprise architecture. APO04 Manage innovation. APO05 Manage portfolio. APO06 Manage budget and costs. APO08 Manage relationships. APO13 Manage security. BAI05 Manage organisational change enablement. BAI08 Manage knowledge. BAI09 Manage assets. DSS05 Manage security service. DSS06 Manage business process controls.

COBIT 4.1 Control Objectives Mapované na COBIT 5 (příklad)

Cobit 5 Process Model

2. Terminologie, dekompozice procesního modelu a detail popisu opuštění termínu cíl kontrol/řízení – Control Objective a nahrazení termínem procesní praktika – Process Practice, případně manažerská praktika (Management Practice) Control – definice: navržené politiky, procedury a praktiky a organizační struktury, které poskytují záruky, že bude dosaženo business cílů a že nežádoucí události budou eliminovány, nebo včas odhaleny a napraveny (Cobit 3) Practice – definice: ověřená činnost nebo proces, které byly úspěšně použity v řadě organizací a prokázaly, že vedou ke spolehlivým výsledkům (Cobit 5) The underlying idea is that process practices describe what a process needs to achieve to realise its process goals in support of enterprise goals. As it happens, this is also exactly what auditors used to call control objectives. Because the concepts are equivalent, there was no reason to maintain two separate names for them, and the concept of process practices was retained. Dobré: nejasný překlad termínu Control Objective do češtiny (překladatelsky správně cíl řízení; logicky ale správně spíše cíl kontrol) nejasná vazba mezi procesem, cíli kontrol a aktivitami procesu, (viz další slide)

Rozdíly v dekompozici Doména Proces Praktika Aktivita Aktivita Cíl kontrol Doména Proces

3. Nové kaskádování cílů a metrik Cobit 4.1 formuloval 4 úrovně cílů: Business cíle (17) členěné do 4 perspektiv BSC IT cíle (28) Cíle procesů Cíle aktivit procesů Cobit 5 pracuje s těmito úrovněmi cílů: Governance cíle (3) Potřeby stakeholderů (22) Podnikové (Enterprise) cíle (17) členěné do 4 perspektiv podle BSC Nově mapování governance a management potřeb/otázek na EG IT cíle (17) členěné do 4 perspektiv podle BCS Procesní cíle (plus cíle dalších enablerů)

Cobit 5 podnikové cíle (Enterprise Goals)

Mapování podnikových cílů na Governance a managementpotřeb/otázek

Cobit 5 IT cíle

Mapování COBIT 5 podnikové cíle na IT-cíle

Mapování IT cílů na procesy

Cobit5 Enabling processes poskytuje informace pro další enablery

4. Rozšířená RACI Chart Cobit 4.1: R- Resposible, A-Accountable, C-consulted a I-Informed na úrovni aktivit procesů Cobit 5: na úrovni praktik Cobit 5: Rozdělení business rolí a IT rolí Cobit 4 /Cobit 5: business role 6/17 IT role 5/9

Změny v RACI