METODIKA PROVÁDĚNÍ AUDITU COBIT

Transkript

1 METODIKA PROVÁDĚNÍ AUDITU COBIT Zkratka COBIT znamená v originále Control Objectives for Information and related Technology. Metodika byla vyvinuta a publikována organizací Information Systems Audit and Control Foundation (ISACF). Cílem této metodiky je využít mezinárodní standardy a nejlepší zkušenosti pro řízení a kontrolu v oblasti informačních technologií. Metodika auditu COBIT je založena na následujících základních standardech: Technické standardy ISO, EDIFACT, atd. Kodexy vydané organizacemi jako Concil of Europe, OECD, ISACA, apod. Kritéria kvality pro IT systémy a procesy: ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Common Criteria, apod. Profesionální standardy mezinárodní kontroly a provádění auditu: COSO report, IFAC, IIA, AICPA, GAO, PCIE, ISACA standardy, apod. Průmyslové standardy a požadavky (ESF, I4) a vlá-

2 dami sponzorované platformy (IBAG, NIST, DTI), atd. Průmyslově krizové požadavky jako jsou požadavky bank, elektronického obchodu a výroby počítačů Celkový rámec metodiky COBIT zahrnuje uživatele, managery a auditory. Měl by pomoci v následujících oblastech: Management by měl pomoci najít možnosti vybalancovat prostor mezi investicemi, rizikem a řízením Uživatelé by měli pomoci při budování důvěry v bezpečnost a řízení produktů a služeb Auditoři s pomocnými nástroji by měli pomoci managementu identifikovat typy interních kontrol a řízení, pokud existují, definovat náklady a přínos od těchto prostředků pro organizaci. Celkové pochopení metodiky COBIT by mělo vést k tomu, že řízení v IT je nezbytné pro podporu obchodních aktivit organizace a nalezení potřebné informace je vlastně souhrou kombinace aplikace nad informačním zdrojem a řízení IT procesu. Toto názorně ilustruje následující převzatý obrázek: O PoÏadavky obchodu IT procesy IT zdroje Obchodní požadavky Požadavky na kvalitu: Kvalita Cena Dodání

3 Požadavky na spolehlivost: Účinnost a účinnost operací Hodnověrnost informací Shoda s právními požadavky Požadavky na bezpečnost: Dostupnost Důvěrnost Integrita Kvalita musí být udržována primárně kvůli negativním aspektům, které je možno rozšířit i na integritní kritéria. Základní premisou je řízení rizika jako protikladu k možnostem. Dodávky se překrývají s dostupností a patří do bezpečnostních aspektů. Ve finále je cena pak určitým vyjádřením efektivnosti. Požadavek spolehlivosti nepoužívá COBIT stejně jako COSO, ale definuje efektivnost, hodnověrnost a soulad s právním řádem. S respektem k bezpečnostním požadavkům definuje COBIT analogicky ISO důvěrnost, integritu a dostupnost a považuje toto za klíčové Začátek analýzy je třeba odvozovat od kvality, spolehlivosti a bezpečnostních požadavků. COBIT také následně definuje informační kritéria. Je jich celkem sedm: Efektivnost je o tom, zda informace jsou relevantní obchodním procesům, jsou relevantní v čase a místě a jsou Výkonnost je o tom, zda jsou informace optimální a zda jsou optimálně využity zdroje, je o ekonomičnosti celé věci. Důvěrnost je o ochraně citlivých informací před neautorizovaným přístupem k nim. Informační kriteria

4 Informační zdroje Integrita se vztahuje k přesnosti a kompletnosti informace a její validaci v souladu s jejím obsahem a hodnotou. Dostupnost je o tom, že informace je dostupná v tom okamžiku, kdy je potřeba a kdy ji vyžaduje obchodní proces, a pochází z bezpečného zdroje. Shoda s právním řádem a případně dalšími zvyklostmi a požadavky regulace (např. ochrana osobních údajů apod.) Hodnověrnost je o tom, že informaci je možné věřit a je možné ji bez obav použít. Informační zdroje identifikují v rámci metodiky auditu COBIT vazbu mezi daty, aplikačními systémy, technologiemi, prostředky a lidmi.obchodní procesy vyžadují řízení využití informačních zdrojů. data data a objekty v nich obsažené, externí, interní, strukturované, nestrukturované, grafické, multimediální apod. aplikační systémy aplikačními systémy zde rozumíme souhrn manuálních a programových procedur. technologie technologie obsahují HW, operační systémy, databáze, řídící systémy, sítě, multimedia apod. příslušenství jedná se o budovy a systémy podpory informačních. lidé jsou to především zaměstnanci, struktury organizace a řízení, plánování apod.. Obchodní požadavky na informace se musejí potkat s adekvátní kontrolou, definováním implementace a monitorováním využití zdrojů. Jaké charakteristiky a v jakém rámci musí organizace kontrolovat? Na to odpovídá následující obrázek.

5 O Pracovní rámec metodiky COBIT obsahuje kontrolu cílů na nejvyšší úrovni a kontrolu cílů i napříč strukturou jejich klasifikace. Přitom pochopení pojmů a teorie klasifikace je základem správného řízení zdrojů. Jednotlivé aktivity se skládají z činností, které mají určitý diskrétní životní cyklus. Na nejvyšší úrovni jsou potom procesy shlukovány do domény. To může odpovídat např. určité organizační struktuře firmy. Může se jednat o obchodní nebo technické oddělení, finanční oddělení apod. Takovéto přirozené seskupování procesů je možné i v rámci informačních procesů. Tuto strukturu ukazuje následující obrázek. O

6 Tato koncepce se může promítat do tří různých směrů, kde jedním jsou (1) Informační kritéria, (2) IT zdroje a (3) IT procesy. Například vedoucí pracovník chce dosahovat určité kvality, bezpečnosti a efektivnosti (k tomu má určitá kritéria), z druhé strany má určité zdroje, které může použít, a celou tu věc realizuje prostřednictvím nějakých strukturovaných procesů. Toto seskupení znázorňuje následující obrázek. Toto by měl být vlastně pohled auditora...tomuto pohledu se říká COBITova krychle. O Základní domény definované metodikou COBIT Plánování a organizace Akvizice a implementace Logistika a podpora Monitorování První z domén je plánování a organizace. Jedná se o plánování strategické a taktické. Aktivity potřebují plán, komunikaci a řízení a také, pochopitelně, technologickou infrastrukturu. Toto musí existovat v každé organizaci. Druhou doménou je akvizice a implementace. Jedná se vlastně o realizaci těchto plánů. Řešení musí být in-

7 tegrována do obchodních procesů. V oblasti IT musí obsahovat řízení a správu systémů, řízení změn, řízení životního cyklu apod. Třetí doménou je logistika a podpora. V této oblasti je třeba kontrolovat, jak probíhají procesy, zda jsou plněny požadavky na kvalitu a bezpečnost. Do této domény je také řazena výuka a tréning. Procesy této domény je možné přirovnat ke krvi vorganizmu. Jsou zde také zahrnuta aktuální zpracování dat, jejich klasifikace a aplikační kontroly. Čtvrtou doménou je monitorování. Obsahem této domény je provádění regulérních inventur a kontrol. Patří sem také interní a externí audity apod. COBITový zlatý kruh potom spojuje všechny tyto domény tak, jak to znázorňuje následující obrázek. Odtud pak plynou i následující kontrolní cíle, jejichž hodnocením se metodika COBIT zabývá. O

8 Kontrola cílů Plánování a organizace Pro každou tuto doménu asociovanou s nějakými IT procesy můžeme pak následně definovat určitá kritéria pro kontrolu cílů. Např. v první doméně je třeba jako první definovat strategické plány IT. Pokud nemáme tyto plány, není možné ani kontrolovat jejich realizaci = implementaci atd., proto je nezbytné, aby tyto plány byly definovány. Takže z těchto úvah v podstatě v dané metodice vycházejí níže uvedené oblasti kontroly. P01 Definice strategického IT plánu P02 Definice informační architektury P03 Určení technologie řízení P04 Definice organizace IT a vztahů a souvislostí P05 Řízení investic do informačních technologií P06 Řízení a cíle komunikace (komunikační management) P07 Řízení lidských zdrojů P08 Zajištění shody s vnějšími požadavky P09 Hodnocení rizik P010 Řízení projektů (projektové řízení) P011 Řízení kvality COBIT postupuje v definici cílů v následujícím kroku více do hloubky, např. pro první cíl, tj. existenci strategického IT plánu, následně požaduje specifikaci krátkodobých a dlouhodobých IT plánů. Tyto plány musejí korespondovat s obdobnými plány na úrovni celé organizace. Musejí být mechanizmy pro změnu a obnovu těchto plánů. Přitom každý krátkodobý plán musí být jakoby blokem dlouhodobého plánu. Druhá doména definuje požadavky akvizice a implementace. Je zde šest hlavních úrovní. Každou z těchto úrovní definuje strategický plán a tyto úrovně si musejí odpovídat mezi sebou.

9 AI1 Identifikace řešení AI2 Akvizice a údržba aplikačního software AI3 Akvizice a údržba technologické infrastruktury AI4 Vývoj a údržba IT procedur AI5 Instalace a akreditace systémů AI6. Řízení změn (změnové řízení) Třetí doménou je logistika a support. Existuje zde 13 základních úrovní. DS11 je o tom, ve kterých systémech jsou umístěna která data. Podstatnými jsou kontrola vstupu a kontrola výstupu a úplné uzavření dat v procesu. Velmi důležité jsou také definované úrovně služeb a řízení služeb třetích stran. DS 1 Definice úrovně služeb DS 2 Řízení služeb třetích stran DS 3 Řízení kapacit a odezvy DS 4 Zajištění pokračování služeb DS 5 Zajištění systémové bezpečnosti DS 6 Identifikace a vlastnosti ceny DS 7 Výuka a trénink uživatelů DS 8 Podpora a poradenství pro zákazníky DS 9 Řízení konfigurací (konfigurační management) DS 10 Řešení problémů a incidentů DS 11 Řízení dat DS 12 Řízení příslušenství DS 13 Řízení provozu Poslední, ale rozhodně ne nejméně důležitou doménou, je monitoring. Prvním cílem je monitorování průběhu jednotlivých procesů, především těch, které určí vedení firmy. Důležité je definování odpovědnosti za procesy, vlastníků procesů apod. Tito vlastníci mají obvykle i odpovědnost za monitorování těchto procesů Akvizice a implementace Logistika a podpora

10 Monitoring M1 Monitorování procesů M2 Hodnocení vnitřní kontroly použitelnosti M3 Dosažení nezávislých záruk M4 Provedení nezávislého auditu Následující obrázek jako pomůcka ukazuje, pro který proces a pro které informační kritérium je možné použít který definovaný cíl. Také je možné obvykle určit, zda tento cíl je primární nebo sekundární. Pro IT informační zdroj a existující procesy na následujícím obrázku je zakřížkováno to, co je relevantní O Směrnice pro provedení auditu Provedení auditu podle metodiky COBIT vlastně spočívá v projití jednotlivých (asi 35) cílů. Postup každého takového kroku je možno popsat v podstatě velmi jednoduše. Výsledkem je pak hodnocení dosažení každého jednotlivého cíle a návrh takových opatření, aby případné nedostatky byly odstraněny a byla snížena odpovídající rizika. Toto jsou vlastně závěry a doporučení pro vedení firmy k odpovídající korekci. Hodnocení každého procesu by mělo začít seznámením s dokumentací a následným interview s jednotlivými pracovníky včetně managementu.

11 Například prvním bodem by měla být kontrola pochopení jednotlivých procesů zaměstnanci, kontrola dokumentace, kontrola aktivit, které vedou k řízení dosažení cílů. Auditor si musí projít každý jednotlivý proces. Tento krok dovolí auditorovi proces pochopit. Následujícím krokem je hodnocení toho, jak se podařilo dosáhnout požadovaných cílů. K tomu auditor potřebuje dokumentaci procesu. Proces musí být proveditelný, hodnotitelný, musí mít vlastníka a stanovené odpovědnosti, musí odpovídat průmyslovým standardům a právním normám. Dalším krokem je hodnocení shody, v tomto kroku auditor prověřuje záznamy o jednotlivých krocích procesu, a to buď přímo nebo nepřímo v evidenci. Hodnotí, zda proces proběhl kompletně nebo ne a s jakou úrovní shody. Dalším krokem je hodnocení rizik. Auditor musí určit, jaké je riziko toho, že se řízení procesu nesetká s požadovaným výsledkem. Auditor k tomu využívá obvykle analytické techniky nebo alternativní zdroje. Výsledky musejí být dokumentovány a zranitelnost musí být odhalena. Ve finále musí auditor dokumentovat aktuální a potenciální zranitelnost procesu. Typickým příkladem pro takový druh auditu je audit problému roku 2000, který je možné najít na internetu. Detailní kontrola jednotlivých cílů obsahuje 302 položek. Například hlavní body auditu pro definice strategického IT plánu obsahuje interview s klíčovými pracovníky, kteří jsou za danou problematiku odpovědní včetně CEO, COP, CFOP a CIO. Dokumentace obsahuje politiky a procedury související s plánováním, reportováním a mítinky. Směrnice pro generický audit

12 Implementace a použití Dalším krokem je identifikace informačních služeb a procedur a definice metodologie a modifikace dlouhodobých a krátkodobých IT plánů. Kontrola shody plánů a kroků IT, zajištění výzkumu, tréninku, zaměstnanců, příslušenství, HW a SW a existence implementačních plánů. Ve finále je třeba obecně vždy zhodnotit rizika podle provozu a odezvy, ceny a času, obchodních chyb apod. Metodika auditu COBIT je použitelná pro řízení cílů a pro provádění auditu IT. Je důležitou pomůckou pro manažery, security manažery, auditory a uživatele v soukromých firmách i ve státní správě a samosprávě a také na akademické půdě. Poměrně hodně informací a příklady auditů je možné načerpat na internetové adrese instituce ISACF. COBIT spojuje obchodní činnost organizace, její cíle v této oblasti, s informačními systémy a kontrolou činností a umožňuje najít poučení pro zlepšení těchto činností.