Návrh metodiky a tvorba PC úloh k procvičení COBITu

Bankovní institut vysoká škola Katedra matematiky, statistiky a informačních technologií Návrh metodiky a tvorba PC úloh k procvičení COBITu Diplomová práce Autor: Bc. Petr Čermák Studijní obor Informatika a management Vedoucí práce: Ing. Lubomír Jankových, CSc. Praha duben 2013

Prohlášení: Prohlašuji, že jsem diplomovou práci zpracoval samostatně a v seznamu uvedl veškerou použitou literaturu. Svým podpisem stvrzuji, že odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, že se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací. V Praze dne: Petr Čermák

Tímto bych chtěl poděkovat Ing. Lubomíru Jankových, CSc. za odborné vedení a cenné rady při vypracování této diplomové práce.

Anotace Práce seznamuje s metodikami COBIT 4.1 a COBIT 5 a dalšími praktikami IT Governance. Praktická část obsahuje šest příkladů, zaměřených na práci studenta vysoké školy, ve kterých je student veden, aby si osvojil základní postupy metodiky COBIT. Vytvořené příklady tvoří přílohu práce, aby se dala použít jako samostatná cvičebnice pro vysokoškolské studenty. Klíčová slova: COBIT 4.1, COBIT 5, IT Governance, IT management Annotation The thesis introduces the reader to the methods of COBIT 4.1 and COBIT 5 and other practices of IT Governance. The practical part contains six examples, focused on the work of an undergraduate in which the student is lead to acquire the basic procedures of COBIT methodology. Created examples constitutes an appendix of this thesis for use as a separate workbook for undergraduates. Keywords: COBIT 4.1, COBIT 5, IT Governance, IT management

Obsah Úvod...6 1. Historie a vývoj metodik k řízení IT...10 1.1 IT Governance...10 1.2 ITIL...10 1.3 Metodika COBIT a její historický vývoj...10 2. Metodika COBIT 4.1...13 2.1 Co tvoří COBIT 4.1...13 2.2 Základní principy COBIT 4.1...13 2.3 Kontrolní cíle procesů...16 2.4 RACI matice...19 2.5 Modely zralosti (Maturity models)...20 3. Metodika COBIT 5 a změny oproti verzi 4.1....23 3.1 Základní pojmy a filosofie metodiky COBIT 5...24 3.2 Principy metodiky COBIT 5...25 3.3 Enablery...29 3.4 Procesy COBIT 5...32 3.5 Hodnocení procesů v metodice COBIT 5...34 3.6 Náklady na pořízení publikací metodiky COBIT 5...35 4. Příklady COBIT...36 4.1 Příklad 1...38 4.2 Příklad 2...38 4.3 Příklad 3...38 4.4 Příklad 4...38 4.5 Příklad 5...38 4.6 Příklad 6...38 Závěr...39 Seznam použité literatury...41 Seznam použitých zkratek...43 Seznam příloh...44 Příloha A Cvičebnice úloh k procvičení metodiky COBIT...1 Příloha B Klíč řešení úloh k procvičení metodiky COBIT...1 5

Úvod Metodika COBIT se čím dál tím více stává oblíbenou mezi firmami napříč podnikatelským spektrem. Metodika COBIT představuje jakýsi sjednocující prvek, pomocí kterého mohou firmy hodnotit úroveň svých procesů a také jakýsi všeobecný návod jakým směrem se vydat při řešení obvyklých problémů s provozem informačních systémů, kterému všechny firmy v aktuálních tržních podmínkách čelí. Ať už se jedná o problémy správné definice vedoucích pracovních rolí nebo o prostý základní seznam kroků, které by měly být při implementaci konkrétních procesů dodrženy, je metodika COBIT v dnešní době nepostradatelným pomocníkem pro firmy jakékoliv velikosti. Metodika COBIT ve verzi 4.1 je zaměřena výhradně na IT sféru podniku, protože informační technologie jsou dnes pro podnik naprosto kriticky důležitou součástí, na kterou se musí bezvýhradně spolehnout. O to více je zavedení těchto technologií do firem a jejich provoz nutno správně manažersky ošetřit s důrazem na celkovou strategii firmy a další důležité aspekty vedení každého podniku. K těmto cílům má dopomoci právě metodika COBIT. Svým zaměřením je metodika určena zejména nejvyššímu vedení firem a představuje základní a celosvětově přijímaný rámec tzv. IT Governance. V současnosti byla představena další verze metodiky COBIT 5 (vydána v dubnu 2012), která pokračuje v integraci s dalšími metodikami pro řízení podniku a již se zajímá o firmu celistvě tedy nejen z pohledu IT procesů. Nová metodika COBIT 5 ještě dnes při vytváření této diplomové práce není zcela vydána, ale veškeré procesy a základní postupy metodiky COBIT 5 srovnatelné s metodikou COBIT 4.1 jsou již známy dnes. Předmět Správa a řízení informačních systémů, který je vyučován na vysoké škole Bankovní Institut Vysoká Škola (BIVŠ), se v rámci bakalářského studijního programu primárně zajímá o metodiky typu COBIT a snaží se studenty s nimi seznámit. Proto je hlavním cílem diplomové práce vytvoření úloh k procvičení postupů metodiky COBIT 4.1 a COBIT 5 pro předmět Správa a řízení informačních systémů. U metodiky COBIT 5 se jedná pouze o základní seznámení, protože metodika COBIT 5 není v dnešní době ještě kompletní a bude trvat ještě několik let, až tato nová metodika nahradí dnes velmi rozšířenou metodiku COBIT 4.1. Pro přípravu studentů na praxi je tedy metodika COBIT 4.1 použitelnější a z tohoto důvodu se na verzi COBIT 4.1 klade v příkladech pro studenty větší důraz. Úlohy pro studenty jsou organizovány do celkem šesti příkladů. Každý příklad by měl časově pokrýt dobu trvání 2 výukových hodin, tj. 90 minut. První čtyři příklady jsou zaměřeny 6

na práci s metodikou COBIT 4.1, zbylé dva příklady jsou pak zaměřeny na základy práce s metodikou COBIT 5. Pro potřeby dalšího užití těchto příkladů byly příklady zpracovány tak, že na konci této diplomové práce byla vytvořena Příloha A, která tvoří ucelenou cvičebnici COBITu obsahující všech šest příkladů ve formátu, ve kterém je lze poskytnout studentům. Tato cvičebnice (Příloha A) je tedy výsledkem autorova tvůrčího přístupu k problematice výuky metodiky COBIT a jako taková tvoří nedílnou součást této diplomové práce. Další příloha této diplomové práce pak obsahuje klíč k řešení úloh. Klíč správných řešení je z praktických důvodů dostupný pouze na elektronickém médiu a je opatřen heslem, aby se zamezilo přístupu studentů k výsledkům těchto úloh. Pro zavedení těchto příkladů do výuky je prakticky nutná dostupnost publikací COBIT 4.1 a COBIT 5 pro studenty i pro lektora tohoto předmětu. Tyto publikace jsou v této práci nazývány materiály. Úlohy počítají s tím, že studenti mají tyto materiály k dispozici. Příklady pro studenty jsou koncipovány tak, aby bylo jasné, jaké části (jaké strany) materiálů COBIT jsou potřebné pro provedení jednotlivých úloh. Tyto části se ale nedají poskytnout veřejnosti obecně, bez souhlasu organizace ISACA, která je vlastníkem autorských práv. Tato práce staví na skutečnosti, že organizace ISACA v rámci své činnosti nabízí tzv. Akademické členství vysokým školám, aby umožnila studentům a učitelům seznámit se s obsahem vyvíjených metodik ISACA, mezi něž metodika COBIT patří, a na skutečnosti, že BIVŠ je počínaje rokem 2013 prvním akademickým členem organizace ISACA v ČR, takže příslušné materiály poskytnout studentům v rámci výuky může. Téma IT Governance a s ním související metodika COBIT je pochopitelně velice dobře známa odborníkům na IT a auditorům, kteří jí využívají k provedení IT auditu. Bohužel dostupné informační zdroje se dost často omezují pouze na základní informace. Pro obecné potřeby jsou publikace COBIT od organizace ISACA k dispozici, ale praktické implementace procesů podle metodiky COBIT jsou samozřejmě velice přísně střeženým obchodním tajemstvím jednotlivých podniků. V podmínkách České republiky je situace ještě o to složitější, že materiály v českém jazyce prakticky neexistují a omezují se na několik obecných odstavců na velmi úzce zaměřených internetových zdrojích. Je to pochopitelné, protože implementace COBIT je velice nákladná záležitost. Nejedná se pouze o cenu základních publikací COBIT, ale spíše o cenu odborníků, které firma musí buď nalézt na trhu práce, nebo si přímo nějaké odborníky vychovat. Dále pak se jedná o cenu rozsáhlých podnikových změn, které musí být pro implementaci procesů na patřičné úrovni provedeny. Vše popsané 7

je značně nákladné a každý podnik, který pracuje s metodikou COBIT a tyto náklady vynaložil, nebude seznamovat ostatní konkurenční firmy s výsledky svojí práce zadarmo. Proto je důležité si uvědomit, že pro plnohodnotnou práci s metodikou COBIT je třeba dobře ovládat základy anglického jazyka a osvojit si základní ekonomické termíny a ustálená slovní spojení. Některé termíny jako například Governance nebo Framework jsou velice obtížně přeložitelné do češtiny, protože čeština nemá odpovídající termín, který by přesně vystihoval obsah těchto slov. Pokud se bavíme o pojmu governance a o pojmu management, pocitově tušíme, že u termínu governance se jedná o vedení (nejvyšší stupeň řízení firmy z pozic vlastníků, představenstva, aj.) a u termínu management o řízení tedy o management podniku, který se zodpovídá právě vedení. Pojem vedení ovšem je v češtině širší a proto zavádějící. Pod pojmem vedení si totiž můžeme představit i normálního vedoucího prodeje pobočky nebo personálního ředitele a to je právě výkladový problém, protože v angličtině je pojem governance a management striktně oddělen a tyto oblasti se nijak nepřekrývají. Proto se v této diplomové práci budou často objevovat pojmy v jejich anglickém znění, aby nedocházelo k výkladovým nejasnostem. 8

Zvolené metody zpracování Při vytváření úloh pro studenty práce čerpá z publikací IT Governance institute (ITGI) pro COBIT 4.1 [3], [4] a z publikací ISACA pro COBIT 5 [2], [1]. Práce také vychází z praktických zkušeností získaných v autorově zaměstnání. Metodika všech příkladů v této práci je vytvořena autorem zcela samostatně a jako taková v základu nečerpá ze žádného dalšího zdroje. Celá cvičebnice příkladů (v příloze A této diplomové práce) je tedy výsledkem autorova tvůrčího přístupu k problematice výuky metodiky COBIT. Dílčí úlohy jsou seskupené do šesti ucelených příkladů a tvoří přílohu A diplomové práce. Příloha B obsahuje klíč řešení úloh a existuje výhradně jako elektronická příloha, aby bylo možné zabezpečit přístup k jejím výsledkům pouze vyučujícímu. Všechny úlohy k procvičení metodiky COBIT jsou postaveny na samostatné práci studentů nebo skupin nanejvýš dvou studentů. V úlohách se často doplňují výsledky do připravených tabulek podle zadání. Student musí tedy při vypracování úlohy pracovat s určitou částí publikace COBIT a odvodit na základě dostupných informací správnou odpověď. Každá úloha v rámci příkladu má i časový údaj v minutách podle náročnosti úlohy. V každém ze šesti příkladů jsou úlohy v celkovém úhrnu 90 minut. Na začátku příkladu se používají před začátkem práce kvízové testy, které mají studentům pomoci oživit získané poznatky z předchozího již vypracovaného příkladu. Kvízové testy jsou obsaženy v příkladech č. 2 až č. 6. Každý příklad vždy končí předáním práce lektorovi. V rámci celkové koncepce příkladů je dodržována určitá hierarchie vedoucích rolí v podniku. Lektor tak vystupuje v roli CEO (Generální ředitel), který určuje a zadává úkoly. Student je pak ve většině případů v roli CIO (Ředitel divize informačních technologií). Cílem je, aby se studenti blíže seznámili s řídícími rolemi v běžném podniku a osvojili si je. 9

1. Historie a vývoj metodik k řízení IT 1.1 IT Governance IT Governance (ITG) je určitým typem podnikového řízení, který má překonávat bariéry mezi útvary IT a vlastníky včetně exekutivy podniků [5]. Nejdůležitějším cílem IT Governance je zajistit, aby informační technologie používané v podniku podporovaly stanovenou podnikovou strategii a dlouhodobé cíle podniku. ITG zdůrazňuje fakt, že oblast IT je sice řízena vedoucím příslušné divize, ale hlavní zodpovědnost za rozvoj IT leží na statutárních orgánech a nejvyšším vedení podniku. ITG zastřešuje IT Governance Institute (ITGI) [11], který byl založen v roce 1998 a vydává řadu dokumentů, jejichž cílem je pomoci podnikům při zavádění a prosazování ITG. ITG se zaměřuje na zvyšování hodnoty podnikatelských procesů pomocí IT a omezování rizik spojených s pořízením a provozem IT. IT Governance Institute je úzce spjata s organizací ISACA (Information Systems Audit and Control Association) [8], která zastřešuje další organizace zabývající se auditem a ITG. 1.2 ITIL Spolu s IT Governance existuje historicky starší metodika a tou je právě ITIL (IT Infrastructure Library) [12]. ITIL poskytuje metodický rámec pro správu IT služeb a je svým zaměřením určen pro úroveň operativního IT managementu podniku, čímž se liší od metodiky COBIT. Dokument s názvem ITIL byl poprvé vydán v roce 1989. [12] Existují tabulky, které mapují procesy ITIL na procesy COBIT, a lze tedy používat obě metodiky v jednom podniku současně. Tato diplomová práce se metodikou ITIL blíže nezabývá a zmínka o ní je zde pouze z důvodu historického kontextu vývoje metodik pro řízení IT. 1.3 Metodika COBIT a její historický vývoj Principy, zásady a postupy ITG reprezentuje metodika COBIT, která je uceleným a veřejně dostupným metodickým rámcem, tzv. frameworkem, který formuluje doporučení pro implementace IT procesů a jejich kontrolních cílů a metrik na bázi tzv. best practices. Z ITG vychází také princip hodnocení zralosti procesů. COBIT (Control Objectives for Information and related Technology) je ucelený volně dostupný metodický rámec tzv. framework, který přináší komplexní pohled na IT procesy, postupy jejich hodnocení a celkovou provázanost na podnikovou strategii. Volně dostupný 10

framework znamená, že každý podnik si může zakoupit publikace COBIT od organizace ISACA a může tento framework neomezeně využívat. První verze metodiky COBIT (verze 1) vznikla v roce 1996 a byla vydána organizací ISACA. Byla určena především pro provádění auditu zaměřeného na podnikové informační technologie. Každá vyšší verze přinesla implementaci dalších potřebných součástí jako například manažerské postupy, auditní postupy, implementační nástroje a další (viz obrázek č. 1). Obrázek 1 Vývoj metodik COBIT v čase (zdroj ISACA [9]) Verze COBIT 2 až COBIT 4.1 byly vydány organizací ITGI, ale poslední verze metodiky COBIT 5 vyšla již opět pod hlavičkou organizace ISACA a organizace ITGI je v publikacích zmíněna jako spolutvůrce. V současné době je nejvíce rozšířena metodika COBIT verze 4.1. První publikace metodiky COBIT verze 5 byly vydány teprve v dubnu 2012, a proto zatím není tato verze příliš rozšířena. Obecně lze říci, že nasazování nových verzí metodik v podnicích je spíše pomalé a již nasazené metodiky mají poměrně velkou dobu setrvačnosti. Podniky investující do implementace těchto metodik chtějí své investice využít maximálně a po co nejdelší dobu. Argumentem pro přechod na novou metodiku je například chybějící popis některých procesů ve starší verzi metodiky nebo zcela nové a potřebné postupy. Všechny publikace metodiky COBIT 5 zřejmě budou plně vydány až ve 3. čtvrtletí roku 2013. Až tedy v závěru roku 2013 bude možné plně využít všechny nabízené možnosti nové metodiky COBIT 5. Podle názoru autora bude metodika COBIT 4.1 11

ještě minimálně 5 let stále v praxi hojně používaná, proto nehrozí, že by studenti v rámci úloh v příkladech této práce studovali tuto poněkud starší metodiku zbytečně. 12

2. Metodika COBIT 4.1 2.1 Co tvoří COBIT 4.1 COBIT ve verzi 4.1 představuje jako základ jeden ucelený PDF dokument [3] o rozsahu přibližne 200 stran. Skládá se z těchto částí: Executive Overview (manažerské shrnutí): souhrn účelu COBIT pro vedoucí pracovníky. COBIT Framework: popis metodiky COBIT a způsobu jejího používání. Popis 34 procesů, strukturovaný do odstavců: o Process Description: popis cíle a účelu procesu o Control Objectives: kontrolní cíle daného procesu o Management Guidelines: definice provázanosti ostatních procesů (vstupy, výstupy), seznam klíčových aktivit procesu a funkčních rolí v tzv. RACI matici, dílčí cíle a metriky procesu. o Maturity Model: model zralosti každého procesu pro obecné a porovnatelné hodnocení úrovně jejich implementace. Přílohy: obsahují tabulky pro mapování Business cílů na IT cíle a z nich na vlastní IT procesy, dále postup, jak převést popsané IT procesy z dřívější verze COBIT (3 rd Edition), slovník používaných pojmů, vazby na podobné produkty a další. Dalšími dokumenty tohoto rámce jsou například Val IT (pro podporu řízení investic), Risk IT (pro podporu řízení rizik), Cobit Security Baseline (pro oblast řízení informační bezpečnosti), a další. Pro podporu menších podniků existuje i tzv. zjednodušená forma: Cobit Quickstart. Tato práce se nadále zabývá pro vytváření příkladů pouze základním dokumentem Cobit 4.1 popsaným výše. 2.2 Základní principy COBIT 4.1 2.2.1 Pět klíčových oblastí IT Governance formulovaných v metodice COBIT 4.1 (viz obr. 2): Propojení strategií (Strategic Alignment): vychází z předpokladu, že podmínkou pro generování přidané hodnoty pomocí informačních technologií je soulad mezi 13

investicemi do IS/IT a strategií podniku 1. Jedná se tedy o proces harmonizace IT strategie a business strategie. Obrázek 2 Klíčové oblasti IT Governance (převzato z publikace COBIT 4.1 [3]) Generování hodnot (Value delivery): hlavními hodnotami, co se týče podnikových informačních technologií, je včasné dodání IS/IT, dodržení rozpočtu a dosažení přínosů, se kterými se počítalo 1. Řízení rizik (Risk Management): při implementaci nových informačních technologií vznikají i technologická rizika 1. Tato rizika lze řídit definováním politiky pro jejich řízení, definováním jasných odpovědností a vnitřního kontrolního systému podniku. Řízení zdrojů (Resource Management): zdůrazňuje potřebu řízení podnikových IT zdrojů, zejména hodnocení a řízení dodavatelů podnikového IT. Měření a realizace (Performance Measurement): jedná se o měření a realizace IT/IS v podniku. V rámci governance přístupů se při měření doporučuje používat metodu BSC (Balanced Scorecards). 2 Každá tato klíčová oblast by měla být podle IT Governance řízena tzv. Stakeholder 3 value, neboli hodnotou, kterou daná oblast představuje pro zainteresované osoby v podniku. 1 Svatá, V., Audit Informačního systému [5], kapitola 3.1 2 Větší důraz na metodu BSC (Balanced Scorecard) přináší až metodika COBIT ve verzi 5. 3 Termín Stakeholder označuje obecně jakoukoliv osobu, která má vztah k podniku a nějakým způsobem ho ovlivňuje. Patří sem například vlastníci, vedoucí pracovníci, zaměstnanci, dodavatelé, zákazníci, stát, aj. 14

2.2.2 Kostka COBIT Další velice významnou pomůckou pro osvětlení vztahů mezi podnikatelskými (business) požadavky, IT zdroji a IT procesy je tzv. Kostka COBIT (viz obr. 3) Obrázek 3 Kostka COBIT (převzato z publikace COBIT 4.1 [3]) Pomocí IT zdrojů se vytvářejí IT procesy a tyto IT procesy musí být v souladu s podnikatelskými požadavky každého podniku. V popisu každého procesu [3] lze nalézt typ IT zdroje, kterého se proces týká, a jaký podnikatelský požadavek je procesem uspokojován. IT procesy (IT Processes) COBIT 4.1 obsahuje celkem 34 procesů, ve 4 doménách. Jednotlivé domény přestavují: PO: Plánování a organizace (Plan and Organise) obsahuje celkem 10 procesů. AI: Akvizice a implementace (Acquire and Implement) obsahuje celkem 7 procesů. DS: Dodávka a podpora (Deliver and Support) obsahuje celkem 13 procesů. MI: Sledování a hodnocení (Monitor and Evaluate) obsahuje celkem 4 procesy. IT zdroje (IT Resources) COBIT 4.1 definuje tyto IT zdroje (pravá hrana kostky COBIT): aplikace, informace, infrastruktura a lidé. Tyto zdroje představují obecné IT činitele podniku (nástroje), pomocí 15

kterých se uskutečňují všechny IT podnikové procesy. Bez jejich existence by nebyl žádný IT proces možný. Podnikatelské požadavky (Business Requirements) COBIT 4.1 definuje tyto podnikatelské požadavky na IT procesy (vrchní hrana kostky COBIT): efektivnost, výkonnost, důvěryhodnost, integrita, dostupnost, shoda a spolehlivost 1. Jedná se o obecné podnikatelské požadavky podniku, které se týkají jak podnikových informačních technologií, tak i všech dalších oblastí aktivit podniku. 2.3 Kontrolní cíle procesů Kontrolní cíle procesů a metriky tvoří největší detail pohledu na IT proces v metodice COBIT 4.1. Kontrolní cíle pomáhají rozdělit implementaci určitého IT procesu na co nejmenší oddělitelné celky, které mohou být libovolně implementovány podle potřeb konkrétní organizace, která tyto procesy zavádí. Pomocí metrik pak lze ověřit dosažení těchto cílů. Metrikou je myšlena určitá kvantifikovaná hodnota (často číselná nebo poměrová), která odráží informaci o aktuálním stavu daného sledovaného cíle v podniku. 2.3.1 Obecné kontrolní cíle V metodice COBIT ještě existují obecné cíle procesů, které doplňují specifické kontrolní cíle 1. Tyto obecné cíle procesů (PC Process Control) jsou společné pro všechny procesy. Jedná se celkem o 6 obecných cílů: PC1 Cíle procesů (Process Goals and Objectives) PC2 Vlastnictví procesu (Process Ownership) PC3 Opakovatelnost procesu (Process Repeatability) PC4 Role a odpovědnosti (Roles and Procedures) PC5 Politiky, plány a procedury (Policy, Plans and Procedures) PC6 Zlepšování realizace procesu (Process Performance Improvement) 1 Svatá, V., Audit Informačního systému [5], kapitola 4.2.2. 16

2.3.2 Specifické kontrolní cíle Každý popis procesu v metodice COBIT obsahuje tzv. kontrolní cíle procesu 1. Tyto kontrolní cíle procesů jsou specifické pro každý proces; identifikují se podobně jako proces, tedy počátečními písmeny domény, číslem procesu a dále za tečkou číslem kontrolního cíle (např. kontrolní cíl procesu AI5 Procurement Control má označení AI5.1). Dohromady představují kompletní sadu požadavků, které by měly zajistit efektivní kontrolu daného procesu 1. Dále rozeznáváme v rámci metodiky COBIT 4.1 tyto další cíle, které se váží ke specifickým kontrolním cílům: Podnikatelské cíle (Business Goals) IT cíle (IT Goals) Cíle IT procesů (Process Goals označované pouze jako Process ) Cíle IT aktivit (Activity Goals označované pouze jako Activity ) Priority (úrovně) těchto cílů jsou definovány ve stejném pořadí, jako byly sepsány výše. Nejvyšší prioritu mají podnikatelské cíle, které jsou nadřazeny IT cílům. IT cíle zase jsou nadřízeny cílům IT procesů atd. 2.3.3 Metriky a jejich vztah k cílům V metodice COBIT 4.1 jsou také u každého popsaného IT procesu zaneseny potřebné metriky 2, pomocí kterých lze měřit dosažení určitého vytyčeného cíle. Metriky obecně mohou být kvantitativní vyjádření reálného stavu v podniku. U každé metriky je třeba správně rozhodnout o významu její hodnoty. Některé metriky jsou tím lepší, čím jsou vyšší (například celkové ušetřené náklady), a jiné zase jsou tím lepší, čím jsou nižší (například počty sporů s dodavateli), je tedy třeba i správně rozhodnout o praktickém významu těchto hodnot. Obecně rozeznáváme dva druhy metrik: prováděcí metriky a výstupní metriky. Metriky mají úzký vztah k cílům procesů. Tyto vztahy lze nalézt v popisu u každého procesu v sekci Goals and Metrics 3. 1 Svatá, V., Audit Informačního systému [5], kapitola 4.2.2. 2 Publikace COBIT 4.1 [3], popis metrik lze nalézt např. u procesu AI5 na straně č. 91 Goals and Metrics. 3 Publikace COBIT 4.1 [3], popis metrik procesu AI5 na straně č. 91. 17

Výstupní metriky (Outcome measure) odpovídají na otázku: Jak mohu dosažení daného cíle měřit?. Například metrika z procesu AI5 1 Počet sporů spojených s dodavatelskými smlouvami (Number of disputes related to procurements contracts) může částečně určovat úroveň splnění IT cíle procesu AI5 Zavedení a udržování integrovaných a standardizovaných aplikačních systémů (Acquire and maintain integrated and standardised application systems). Výstupní metrika odpovídá na otázku: Jak mohu dosažení daného cíle měřit?. Prováděcí metriky (Performance indicators) označovány jako drive 1, jsou výstupními metrikami pro dosažení cíle nižší úrovně. Metodika COBIT tuto dvouznačnost metodik zobrazuje pomocí diagramu šipkou drive (viz obr. 4). Prováděcí metrika odpovídá na otázku: Jak mohu dosáhnout splnění cílů vyšší úrovně?. Z popsaného vyplývá, že jedna výstupní metrika cíle nižší úrovně je současně i prováděcí metrikou cíle vyšší úrovně. Metodika COBIT tedy není pouze seznamem cílů a postupů, jak dosažení cílů měřit pomocí definovaných metrik, ale dává i jasný návod, jak ke splnění cílů dospět. Naznačené cíle a způsoby měření jejich dosažení nelze brát absolutisticky. Jedná se pouze o doporučení a nasměrování uvažování manažerů a nejvyššího vedení podniku správným směrem. Každý podnik je jiný, a proto v praxi dochází u zavedených procesů ke značnému rozšíření a změnám definovaných cílů včetně postupů jejich měření. Díky tomu často vzniká i konflikt mezi různými odborníky, kteří COBIT spíše než jako metodiku označují jako best practises (nejlepší praxe). Obecně se ale COBIT nazývá metodikou, protože je vytvořena s úsilím, aby byla maximálně univerzálně použitelná 1. 1 Svatá, V., Audit Informačního systému [5], kapitola 4.2.2. 18

Obrázek 4 Metriky a cíle procesu AI5 (převzato z publikace COBIT 4.1 [3]) 2.4 RACI matice Pro nastavení správné organizace při implementaci a udržování vybraného IT procesu konkrétně k identifikaci rolí vedoucích pracovníků a s nimi spojených aktivit slouží RACI matice. Každá aktivita procesu má určitý vztah k lidem vystupujícím v některých z pěti pracovních rolí označených v RACI matici takto: Nevyplněné (vztah mezi aktivitou a rolí každého zúčastněného není určen nebo není pro aktivitu významný) R responsible (role má u aktivity odpovědnost za provedení) A accountable (role má u aktivity právní odpovědnost a rozhoduje) C consulted (aktivita se s pracovníkem v roli C konzultuje a pracovník v roli C má právo navrhovat změny) I informed (pracovník v roli I je o dané aktivitě pouze informován) Tabulka vztahů mezi aktivitami a podnikovými rolemi může nabývat hodnot R-A-C-I a od toho je odvozen i název RACI matice. Její podoba je zobrazena v obrázku č. 5. 19

Obrázek 5 RACI matice procesu AI5 (převzato z publikace COBIT 4.1 1 ) 2.5 Modely zralosti (Maturity models) Popis každého procesu uzavírá model zralosti procesu, který se skládá ze 6 úrovní. Úrovně zralosti jsou popsány pro každý IT proces odlišně, aby bylo možné vystihnout rozdíly mezi jednotlivými procesy a jejich zaměřením. Úrovně zralosti se používají při hodnocení procesů při IT auditech. Úrovně zralosti jsou také způsobem, kterým lze porovnávat procesy mezi více podniky. Cílem implementace procesů v podniku není nutně dosažení nejvyššího stupně zralosti, ale dosažení optimální úrovně implementace procesu, který podniku vyhovuje v rámci podnikové strategie. Závisí většinou na strategických cílech podniku pro IT oblast, na rovnováze mezi náklady a výnosy a také na míře rizika a zajištění souladu daného procesu s existující legislativou a dalšími normami 2. Pro vysvětlení úrovní zralostí použijeme jako příklad definici úrovní zralosti procesu AI5 Zajištění IT zdrojů z publikace COBIT 4.1 1 : Úroveň zralosti 0 Neexistující Není definován žádný proces zajištění IT zdrojů. Podnik necítí potřebu mít jasně definované postupy a předpisy, aby se mohl ujistit, že IT zdroje (dodávky IT služeb) jsou dostupné včas a za přijatelných nákladů. 1 Publikace COBIT 4.1 [3], popis procesu AI5 str. 89 92. 2 Svatá, V., Audit Informačního systému [5], str. 89 20

Úroveň zralosti 1 Počáteční (ad hoc) Podnik cítí potřebu mít definované postupy a předpisy pro zajištění IT zdrojů, které se váží na obecné postupy podniku při zajištění jakýchkoliv zdrojů. Konkrétní případy zajištění IT zdrojů jsou vytvářeny a řízeny projektovými manažery nebo dalšími jednotlivci, kteří více věří svému vlastnímu osobnímu úsudku, než doporučením vyplývajících ze stanovených předpisů podniku. Spojitost mezi obecným zajištěním zdrojů podniku, uzavíráním dodavatelských smluv a zajištěním IT zdrojů je pouze náhodná. Dodavatelské smlouvy jsou uzavírány na základě výsledků konkrétních projektů, a nelze je tedy jednoduše vzorově opakovat. Úroveň zralosti 2 Opakovaná, ale intuitivní Podnik si uvědomuje potřebu mít definovány základní interní předpisy a postupy zajištění IT zdrojů. Předpisy a postupy jsou částečně začleněny do celopodnikového procesu zajištění zdrojů. Předpisy a postupy zajištění jsou hlavně používány pro velké a výrazné projekty. Odpovědnosti a rozhodování o IT dodávkách a smluvních pravidlech jsou určovány podle osobních zkušeností jednotlivých řídících pracovníků. Důležitost konzistentního řízení dodavatelských vztahů je rozpoznána, ale je založena pouze na iniciativě jednotlivců. Proces uzavření smlouvy s dodavatelem je opakovatelný pouze u velkých a výrazných projektů. Úroveň zralosti 3 - Definovaná Vedení podniku ustavilo předpisy a postupy pro zajištění IT zdrojů. Předpisy a postupy jsou vytvořeny ve shodě s předpisy a postupy zajištění ostatních zdrojů v podniku. Zajištění IT zdrojů je řešeno v rámci všeobecných podnikových procesů zajištění zdrojů. Existují podnikové standardy pro zajištění IT zdrojů. Dodavatelé IT jsou přímo začleněni do podnikového řízení projektů dodávek a dodavatelé se účastní i procesu definice smluvních podmínek. Vedoucí IT divizí používají k řádnému zajištění IT zdrojů a uzavírání smluv IT technologie. Úroveň zralosti 4 Řízená a měřená Zajištění IT zdrojů je plně začleněno se všemi podnikovými procesy zajištění zdrojů. IT standardy pro zajištění IT zdrojů jsou používány pro veškeré zajištění zdrojů podniku. Údaje získané z projektů uzavírání smluv a zajištění zdrojů jsou odpovídající i pro obchodní případy zajištění IT zdrojů. Jsou dostupné informace o zajištění IT zdrojů, které podporují podnikové cíle. Management si je obvykle vědom procesů, které neodpovídají předpisům zajištění IT 21

zdrojů. Podnik buduje strategické řízení dodavatelských vztahů. Vedoucí IT divizí dbají na dodržování předpisů a postupů pro zajištění IT zdrojů prostřednictvím měřitelných výstupů těchto procesů. Úroveň zralosti 5 - Optimalizovaná Vedení ustavuje zajištění všech podnikových zdrojů používáním procesů pro zajištění IT zdrojů. Vedení dbá na dodržování shody s předpisy a postupy pro zajištění IT zdrojů. Údaje získané z procesu řízení uzavírání smluv a zajištění zdrojů jsou odpovídající i pro obchodní případy zajištění IT zdrojů. Dlouhodobě je dbáno na kvalitu a dobré vztahy s dodavateli a ostatními partnery. Kvalita a úroveň těchto vztahů je pravidelně měřena a vyhodnocována. Vztahy s dodavateli jsou součástí podnikové strategie. IT standardy, předpisy a postupy pro zajištění IT zdrojů jsou součástí strategického řízení a jsou měřitelné jako jakýkoliv jiný proces. Vedoucí IT divizí používají k řádnému zajištění IT zdrojů a uzavírání smluv IT technologie a považují zajištění zdrojů za strategicky důležité. 22

3. Metodika COBIT 5 a změny oproti verzi 4.1. Nová metodika COBIT 5 byla zveřejněna v dubnu 2012. Oproti starší verzi (COBIT 4.1) mění celkově organizaci metodiky. V nové verzi je více důrazu kladeno na potřeby tzv. Stakeholder needs, což znamená, že metodika se primárně řídí potřebami všech možných zúčastněných osob, které mají význam pro podnik, tedy i externími subjekty, jakými jsou například dodavatelé. Stávající vztahy mezi podnikatelskými požadavky, IT zdroji a IT procesy (tzv. kostka COBIT) byly přepracovány pomocí tzv. 5 principů COBIT 5. IT zdroje (aplikace, informace, infrastruktura a lidé) byly nahrazeny tzv. enablery 1. Při vytváření popisů IT procesů i tabulek IT cílů a podnikatelských cílů bylo použito třídění pomocí BSC dimenzí, které bylo ve verzi 4.1 metodiky COBIT viditelně použito pouze při třídění podnikatelských cílů. Metodika COBIT 5 v sobě sdružuje dříve oddělené metodiky pro hodnocení a řízení IT investic (Val IT) a pro hodnocení a řízení IT rizik (Risk IT). Verze 5 obsahuje odkazy i na jiné metodiky (tzv. Related Guidance), například ITIL V3, ISO/IEC 20000, aj. Primárně metodika COBIT 5 již není zaměřena pouze na IT sféru, ale obsahuje i procesy týkající se podnikového řízení obecně, tedy i dalších důležitých podnikových procesů. Metodika COBIT 5 se skládá ze sedmi základních publikací 2 : COBIT 5: A Business Framework for the Governance and Management of Enterprise IT [2]. Jedná se o základní kompletní popis Frameworku COBIT 5. COBIT 5: Enabling Processes [1]. Zde nalezneme popisy všech podporovaných podnikových procesů, převodní vztahy mezi procesy COBIT 4.1, COBIT 5 a seznam podnikatelských cílů a IT cílů v členění dle dimenzí BSC. COBIT 5: Implementation. Jedná se o praktickou publikaci, která je obecným návodem k implementaci metodiky COBIT 5. COBIT 5: For Information Security. Publikace umožňuje zavedení postupů zabezpečení podnikových informací. 1 Enabler znamená v pojetí COBIT 5 doslova umožňovatel nebo pomahač. Díky enablerům se mohou uskutečňovat procesy a jsou tedy náhradou za tzv. IT zdroje z předchozí metodiky COBIT 4.1. 2 Čerpáno z oficiálních internetových stránek organizace ISACA, viz [10]. 23

COBIT 5: Enabling Information. Publikace je plánována k vydání v průběhu 2. čtvrtletí 2013. Měla by popisovat podporu řízení podnikových informací. COBIT 5: For Risk. Publikace je plánována k vydání v průběhu 3. čtvrtletí 2013. Měla by přinést detailní postup pro řízení rizik. COBIT 5: For Assurance. Publikace má plánované vydání v 2. čtvrtletí 2013 a má přinést kompletní podporu auditu firemního IT. Dále u metodiky COBIT 5 existují i doprovodné publikace, které mají pomáhat dalším osobám pracujícím s metodikou COBIT šířeji, zejména auditorům: COBIT 5: Process Assessment Model (PAM): Using COBIT 5. Model pro hodnocení podnikových procesů. COBIT 5: Self-Assesment Guide: Using COBIT 5. Publikace pro interní audit. COBIT 5: Assessor Guide: Using COBIT 5. Publikace pro externí auditory. 3.1 Základní pojmy a filosofie metodiky COBIT 5 Metodika COBIT 5 pokračuje stejně jako starší verze v implementaci myšlenek IT Governance. Vychází tedy z toho, že informace jsou klíčové aktivum pro jakýkoliv druh podniku. Práce s informacemi si v dnešní době vyžaduje používání vysoce specializovaných a složitých technologií, kterým detailně rozumí pouze IT odborníci, a nikoliv vedení podniku a vrcholoví manažeři. IT technologie tedy hrají v podniku zcela klíčovou roli při práci s informacemi a zasahují tak prakticky do všech aspektů existence podniku. Správně implementované procesy získání a správy informací umožňují zajišťování podkladů pro obchodní rozhodování, generování přidané hodnoty z IT investic a dosahování strategických cílů, včetně realizace podnikatelských přínosů prostřednictvím efektivního a inovativního využití IT technologií. Metodika COBIT 5 také podporuje řízení IT rizik a jejich udržení na přijatelné úrovni a optimalizaci nákladů na IT služby a IT technologie. COBIT 5 pomáhá podnikům vytvořit optimální hodnotu z jejich podnikového IT tím, že udržuje rovnováhu mezi vytvářením zisku, optimalizací úrovně podnikatelských rizik a využíváním zdrojů. COBIT 5 vytváří 24

Framework pro řízení podnikových procesů k řízení informací a s nimi spojených IT technologií, přičemž se snaží obsáhnout celé podnikání od počátku do konce 1. Stakeholder Value představuje tedy přidanou hodnotu pro zúčastněné osoby. K jejímu vytvoření je třeba správné vedení a řízení IT aktiv. Nejvyšší vedení podniku (dozorčí rada, představenstvo a top management) musí dle COBIT 5 přijmout IT jako další významnou součást podniku. Neustálé zvyšování externích nároků na IT z právních, regulačních a smluvních hledisek hrozí stále většími problémy pro podnik v případě jejich nedodržení 1. Základních 5 principů COBIT 5 a definované enablery jsou maximálně obecné a užitečné pro podniky jakékoliv velikosti. 3.2 Principy metodiky COBIT 5 Metodiku COBIT 5 tvoří těchto 5 principů (viz obr. 6): Uspokojování potřeb Stakeholderů (Meeting Stakeholder Needs) Pokrytí celého podnikání od začátku do konce (Covering the Enterprise End-to-End) Použití jednotného integrovaného frameworku (Aplying Single Integrated Framework) Zavedení holistického (celostního) přístupu (Enabling a Holistic Approach) Oddělení vedení od managementu (Separating Governance From Management) 1 Prezentace organizace ISACA 02 COBIT 5 Introduction, viz [6], str. 6. 25

Obrázek 6 - Pět principů metodiky COBIT 5 (převzato z publikace COBIT 5 [2]) 3.2.1 Uspokojování potřeb Stakeholderů Základním posláním podniku je uspokojování potřeb všech svých Stakeholderů 1. Potřeby stakeholderů (Stakeholder needs) pramení z technologického vývoje, vlivu prostředí a dalších vlivů, které jsou označovány souhrnně jako Stakeholder drivers. Mezi základní cíle vedení podniku patří hlavně generování hodnot. Hodnotou se rozumí zejména dosažení zisku, optimalizace rizik nebo optimalizace nákladů. V rámci jednoho podniku existuje mnoho různých stakeholderů (např. vlastníci, zaměstnanci, dodavatelé, zákazníci, stát, aj.). Uspokojování potřeb pro všechny tyto stakeholdery vede často k protichůdným a konfliktním stavům (např. zaměstnanci chtějí drahý SW, který potřebují ke své práci, vedení chce redukovat náklady). Vedení tedy musí vyjednávat a správně rozhodnout mezi rozdílnými potřebami různých zájmových skupin. Vedení by mělo brát do úvahy všechny stakeholdery, pokud vytvářejí nějaký přínos podnikání, zajišťují zdroje nebo umožňují správné ošetření rizik. Pro každé rozhodnutí by měly být zodpovězeny otázky: Kdo na tom vydělá? Kdo nese riziko? 1 Prezentace organizace ISACA 02 COBIT 5 Introduction, viz [6], str. 17. 26

Jaké zdroje jsou k tomu potřeba? Potřeby stakeholderů musí být transformovány do podnikatelské strategie. Podle kaskády cílů dle metodiky COBIT 5 (viz obr. 7) jsou potřeby stakeholderů převáděny na specifické, vykonatelné a přizpůsobitelné podnikatelské cíle a IT cíle. Jako poslední v této kaskádě jsou tzv. Enabler Goals (volně přeloženo - cíle pomahačů), které znázorňují, jaké enablery musíme použít pro dosažení zvolených IT cílů. Důležitý je také způsob využití těchto enablerů. Obrázek 7 - Kaskády cílů dle metodiky COBIT 5 (převzato z publikace COBIT 5 [2]) 27

3.2.2 Pokrytí celého podnikání od začátku do konce COBIT 5 řeší správu a řízení informací a s nimi svázaných technologií z pohledu celého podnikání 1. COBIT 5 integruje správu podnikového IT do správy a řízení celého podniku. Všechny funkce a procesy v podnikání jsou metodikou COBIT 5 pokryty. COBIT 5 není zaměřen jen na IT funkce, ale zachází s informacemi a IT technologiemi jako s aktivy, která je třeba správně posuzovat jako všechna ostatní aktiva v podniku. 3.2.3 Použití jednotného integrovaného frameworku Metodika COBIT 5 je vytvořena s ohledem na nejnovější mezinárodní standardy a frameworky. Jedná se např. o standardy COSO, ISO/IEC 9000, ITIL, TOGAF, PMBOK/PRINCE2, CMMI a další. Pro management a vedení podniku je možné použít metodiku COBIT 5 jako hlavní podnikový framework zastřešující i ostatní standardy. Organizace ISACA plánuje v budoucnosti usnadnit 3. stranám použití metodiky COBIT 5 pomocí mapování postupů a aktivit na ostatní metodiky a frameworky 2. 3.2.4 Zavedení holistického (celostního) přístupu Holistický přístup k podniku jako celku je uskutečněn pomocí nově zavedených enablerů, které nahradily (rozšířily) původní IT zdroje známé ze starší metodiky COBIT 4.1. Enablerů je celkem sedm a jsou blíže popsány v kapitole č. 3.3. 3.2.5 Oddělení IT governance od IT managementu V metodice COBIT 5 se jasně rozlišuje mezi vedením podniku (Governance - představenstvo) a řízením podniku (management v čele s generálním ředitelem). Vedení resp. management podniku řídí různé druhy činností, vyžadují odlišné organizační struktury a slouží k rozdílným účelům 3, proto je nelze slučovat. Tento princip je v metodice COBIT 5 použit při definici tzv. klíčových oblastí (domén) procesů. Čtyři domény pro IT management, známé z původní verze metodiky COBIT 4.1 se rozšířily právě o 1 doménu pro oblast vedení podniku (Governance), viz obr. 8. 1 Prezentace organizace ISACA 02 COBIT 5 Introduction, viz [6], str. 20. 2 Prezentace organizace ISACA 02 COBIT 5 Introduction, viz [6], str. 22. 3 Prezentace organizace ISACA 02 COBIT 5 Introduction, viz [6], str. 28 28

Obrázek 8 Referenční model procesů COBIT 5 (převzato z publikace COBIT 5 [2]) 3.3 Enablery Pojem Enabler v metodice COBIT 5 přibližně odpovídá pojmu IT zdroj z verze metodiky COBIT 4.1. Enabler je určitá entita, která v podniku musí být přítomná, aby jejím prostřednictvím bylo možné dosahovat strategických cílů podniku. Metodika COBIT 5 popisuje celkem 7 enablerů. Pro dosažení cílů je vždy třeba více enablerů (procesy potřebují informace, organizační struktura je úzce propojena s lidmi, jejich dovednostmi a chováním). Tento klíčový princip metodiky COBIT 5 vznikl z výzkumné práce organizace ISACA týkajícího se obchodního modelu pro informační bezpečnost (BMIS Business Model for Information Security) 1. 7 enablerů dle metodiky COBIT 5 (viz obr. 9): 1. Principy, předpisy a frameworky (Principles, Policies and Frameworks): jsou nástroje, které pomáhají převést potřebné chování do praktických rad pro každodenní řízení podniku. 2. Procesy (Processes): jsou organizovaným souborem praktik a aktivit, které jsou potřebné k dosažení určitých cílů a vytvářejí soubor výstupů potřebných pro dosažení všeobecných 1 Prezentace organizace ISACA 02 COBIT 5 Introduction, viz [6], str. 23 26. 29

podnikových cílů. Z pohledu předchozí verze metodiky COBIT jsou tedy podnikové procesy samotným enablerem podniku. 3. Organizační struktury (Organisational Structures): jsou klíčové k rozhodování podniku a přehledně stanovují prvky, z nichž se skládá celý zkoumaný podnik. Umožňují pochopit děje ve sledovaném podniku. 4. Kultura, etika a chování (Culture, Ethics an Behaviour): se týká jak jednotlivců (vedení, management, zaměstnanci, aj.), tak i podniku jako celku. Je to velmi často podceňovaný faktor úspěchu při vedení a řízení podniku. 5. Informace (Information): jsou v podniku všudypřítomné a jedná se tedy o tzv. zdrojový enabler (resources). Metodika COBIT 5 se zabývá veškerými informacemi používanými při podnikání. Informace jsou nutné pro udržení funkčního podniku i k jeho správnému řízení. Velice často jsou informace klíčovým produktem podnikání zejména na operativní úrovni. 6. Služby, infrastruktura a aplikace (Services, Infrastucture and Applications): zahrnuje celou infrastrukturu, technologie a aplikace, které poskytují podniku zpracování informací a informační služby. Jedná se o další zdrojový enabler podniku. 7. Lidé, dovednosti a kompetence (People, Skills and Competencies): jsou potřebné pro úspěšné dokončení všech činností, pro vytváření správných rozhodnutí a pro provedení potřebných změn. Jedná se o další ze skupiny zdrojových enablerů podniku. 30

Obrázek 9 Enablery COBIT 5 (převzato z publikace COBIT 5 [2]) Enablery metodiky COBIT 5 mají ještě sadu dimenzí, které jsou pro všechny enablery společné. Tyto dimenze poskytují společný, jednoduchý a strukturovaný způsob určení použití enablerů. Identifikace jednotlivých dimenzí enablerů jsou předpokladem pro úspěšné využití enablerů v podniku. Jedná se o dimenze (viz obr. 10): Stakeholders: každý enabler uspokojuje určitou potřebu Stakeholderů, a proto musí být jasné, kterým stakeholderům je určen. Goals (Cíle): každý enabler je použit k dosažení určitého podnikového cíle. Metodika COBIT 5 definuje typy hlavních podnikových cílů, jako je například dosažení kvality podnikových procesů (např. relevantnost cíle v daných podmínkách podniku a jeho efektivita). Life Cycle (Životní cyklus): každý enabler je použit v určité fázi životního cyklu podnikového procesu. Jedná se o fáze: Plánování, Design, Vytvoření (Akvizice, Implementace), Použití, Sledování a Hodnocení, Aktualizace a Implementace změn. Good Practices (Nejlepší praxe): každý enabler obsahuje v sobě praktická doporučení (Practices) a odkazy na další příbuzné metodiky pro správu a řízení IT (Work Products inputs / outputs). 31

Obrázek 10 Dimenze enablerů metodiky COBIT 5 (převzato z publikace COBIT 5 [2]) 3.4 Procesy COBIT 5 Podnikové procesy jsou v metodice COBIT 5 jedním z enablerů. Jejich implementace je popsána v samostatné publikaci COBIT 5: Enabling Processes [1]. Tato publikace obsahuje detailní referenční příručku procesů, tzv. Process Reference Model (Referenční model procesů viz obr. 8). Každý popis jednotlivého procesu v publikaci COBIT 5 obsahuje: Označení oblasti, pro kterou je proces určen: Vedení (Governance pouze procesy domény EDM) nebo Řízení (Management procesy domén APO, BAI, DSS, a MEA) a označením domény, do které proces patří. Tabulku IT a procesních cílů a všech s nimi spojených metrik. Standardní RACI matici s definicemi rolí u jednotlivých aktivit a významnosti tohoto vztahu 1. Popis klíčových praktik managementu (Key Management Pracitce) nebo Klíčových praktik vedení (Key Governance Practice tento popis se vyskytuje pouze u domény EDM), které byly v předchozí verzi označovány za kontrolní cíle (Control Objectives). 1 Formát RACI matice je naprosto shodný jako formát použitý u metodiky COBIT 4.1. 32

Popisy procesů neobsahují definici modelu zralosti, jako tomu bylo u předchozí verze metodiky COBIT 4.1., ale hodnocení procesů je definováno společně pro všechny procesy na základě metodiky ISO/IEC 15504 (audit IT procesů). Hodnocení procesů je blíže popsáno v kapitole 3.5. Procesy jsou (podobně jako u předchozí verze metodiky 4.1) členěny do pěti domén (klíčových oblastí), které vycházejí z životního cyklu podniku (viz obr. 8): Doména EDM (Evaluate, Direct and Monitor) Vyhodnocení, Přikazování a Sledování Jedná se o celkem 5 procesů určených pro oblast Governance (nejvyšší vedení podniku). Procesy jsou obecně orientovány na nastavení základních pravidel dodání, minimalizace rizik, optimalizace zajištění zdrojů a jasnou definici všech stakeholderů významných pro podnik. Jedná se o zcela novou doménu procesů, která v předchozí verzi metodiky COBIT nebyla definována. Doména APO (Align, Plan and Organise) Setřídění, Plánování a organizace Jedná se celkem o 13 procesů určených zejména pro oblast managementu týkající se plánovacích procesů. Tato doména odpovídá svým určením původní doméně PO (Plan and Organise) ze starší metodiky COBIT 4.1. Doména BAI (Build, Acquire and Implement) Vytváření, Akvizice a Implementace Jedná se celkem o 10 procesů určených zejména pro oblast managementu týkající se akvizic a implementací. Tato doména odpovídá svým určením původní doméně AI (Acquire and Implement) ze starší metodiky COBIT 4.1. Doména DSS (Deliver, Service and Support) Dodání, Služby a Podpora Jedná se celkem o 6 procesů určených pro oblast managementu týkající se řízení uživatelské podpory a služeb. Tato doména odpovídá svým určením původní doméně DS (Deliver and Support) ze starší metodiky COBIT 4.1. 33

Doména MEA (Monitor, Evaluate and Assess) Sledování, Vyhodnocení a Audit Jedná se celkem o 3 procesy určené pro oblast managementu, týkající se sledování a vyhodnocování. Tato doména odpovídá svým určením původní doméně ME (Monitor and Evaluate) ze starší metodiky COBIT 4.1. Všechny domény COBIT 5 obsahují dohromady 37 procesů. 3.5 Hodnocení procesů v metodice COBIT 5 Model zralosti procesů, který byl použit u starší verze metodiky COBIT 4.1, byl v nové verzi nahrazen Modelem hodnocení procesů (Process Capability Model) 1. Model hodnocení procesů je založen na normě ISO/IEC 15504, která se používá pro audit IT procesů. Díky provázanosti s touto obecnou normou by měla být zajištěna ještě větší míra porovnatelnosti úrovně implementace procesů mezi různými podniky a také by měla být známější zejména auditorium informačních systémů. Stávajících devět výkonnostních (performance) atributů normy ISO/IEC 15504 je převedeno na 5 základních úrovní hodnocení procesu (do celkového počtu úrovní se počítá i nultá úroveň, kdy proces neexistuje nebo nefunguje. Úrovní v metodice COBIT 5 je tedy celkem 6). Tento postup byl zvolen kvůli konzistenci s modelem zralosti procesů, který byl použit ve verzi metodiky COBIT 4.1 (popis modelu zralosti procesů je v kapitole 2.5). Převoditelnost hodnocení procesů z verze metodiky COBIT 4.1, je zajištěna pomocí tabulky popsané v publikaci COBIT 5 2. Nutným předpokladem pro hodnocení procesu vyšší úrovně je splnění podmínek všech nižších úrovní hodnocení. Úrovně hodnocení procesů v metodice COBIT 5 jsou: Level 0 - Incomplete Process (Nekompletní proces): proces není vůbec implementován nebo neslouží svému účelu. Level 1 - Performed Process (Fungující proces): proces slouží svému účelu. Funkčnost se dá ověřit výstupy tohoto procesu. 1 Publikace COBIT 5 [2], kapitola 8. 2 Publikace COBIT 5 [2], str. 44 - Figure 20 Comparsion Table of Maturity Levels (COBIT 4.1) and Process Capability Levels (COBIT 5). 34

Level 2 - Managed Process (Řízený proces): je splněna předchozí úroveň (Level 1) a proces je řízeně implementován (proces je tedy plánován, nastaven a sledován), jeho výstupy jsou kontrolovány a správně využity. Level 3 - Established Process (Stanovený proces): je splněna předchozí úroveň (Level 2), proces je definován na podnikové úrovni a je schopen dodávat požadované výstupy. Level 4 - Predictable Process (Předvídatelný proces): je splněna předchozí úroveň (Level 3) a proces funguje v rámci svých stanovených limitů k dosažení požadovaných výstupů. Level 5 - Optimising Process (Optimalizovaný proces): předchozí úroveň (Level 4) je průběžně znovu stanovována, aby bylo dosaženo vyprojektovaných podnikových cílů. 3.6 Náklady na pořízení publikací metodiky COBIT 5 Pokud můžeme čerpat z aktuálních informací na internetových stránkách organizace ISACA 1, vychází celý soubor v současnosti vydaných publikací nejnovější metodiky COBIT 5 (4 publikace) na cca 500 USD. U této ceny je třeba podotknout, že v dnešní době stále nejsou vydány zbývající 3 důležité publikace COBIT 5, které mohou stát celkově okolo 500 USD a které budou vydány do konce roku 2013. Celková cena všech publikací se tedy bude pohybovat přibližně okolo 1000 USD, pokud bereme v úvahu, že publikace jsou vytištěné (elektronické verze publikací jsou obecně dražší) a daný subjekt, který metodiku kupuje, není členem organizace ISACA a publikace jsou v anglickém jazyce. Členství v organizaci ISACA předpokládá, že členové hradí pravidelné roční příspěvky a za to dostávají kromě levnějších základních publikací další benefity. Celkové náklady podniků na zavedení metodiky COBIT do praxe jsou oproti nákladům na pořízení publikací neporovnatelně vyšší, protože představují zásadní změny v organizačních strukturách a v podnikových procesech. 1 http://www.isaca.org/cobit [10]. 35