CobiT (Control Objectives for Information and Related Technology) Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Transcriptie

1 CobiT (Control Objectives for Information and Related Technology) Een introductie Algemene informatie voor medewerkers van: SYSQA B.V.

2 Organisatie SYSQA B.V. Pagina 2 van 12 Inhoudsopgave 1 INLEIDING ALGEMEEN COBIT DOELSTELLING EN OPBOUW VERSIEBEHEER HET COBIT MODEL DOELSTELLINGEN IT PROCES DOMEINEN Planning & Organisatie Acquisitie & Implementatie Levering & Ondersteuning Monitoring & Evaluatie GEBRUIK VAN COBIT VOLWASSENHEIDSMODEL LITERATUURVERWIJZINGEN... 12

3 Organisatie SYSQA B.V. Pagina 3 van 12 1 Inleiding 1.1 Algemeen CobiT staat voor Control Objectives for Information and Related Technology en is ontwikkeld door de Information Systems Audit and Control Foundation (ISACF), het research instituut van de Information Systems Audit and Control Association (ISACA). De eerste versie van CobiT stamt uit 1996, de tweede en derde versie bestaan sinds 1998 respectievelijk De huidige vierde versie is in december 2005 gelanceerd. CobiT is het de facto IT Governance instrument. In CobiT worden de relaties gelegd tussen informatie technologie en beheersingsvraagstukken. CobiT consolideert en harmoniseert wereldwijde 41 IT-standaarden in een integraal IT-model dat gebruikt kan worden door management, adviseurs, auditors en andere IT- en business professionals, die zich bezighouden met aan de IT gerelateerde beheersingsvraagstukken van organisaties. CobiT is gebaseerd op de gedachte dat de IT-resources moeten worden beheerst en beheerd op basis van een set van op een natuurlijke wijze gegroepeerde processen. Hierdoor krijgt een organisatie de beschikking over meetbare en betrouwbare informatie voor het realiseren van haar doelstellingen en de ondersteunende en meetbare IT-dienstverlening. Het voorliggende document is geschreven als een eerste kennismaking met CobiT. Dit document beschrijft de opzet en werking van CobiT en gaat in op de diverse mogelijkheden van CobiT. 1.2 CobiT doel en opbouw Het doel van CobiT is om het management en de proceseigenaren middels een Information Technology (IT) Governance model te ondersteunen bij het begrijpen en beheersen van de aan IT gerelateerde risico s. CobiT helpt bij het overbruggen van de verschillen tussen business risico s, de daaruit voortvloeiende behoefte aan de beheersing van de bedrijfsprocessen en de ondersteunende IT-dienstverlening en - infrastructuur. Het voorziet in een behoefte om te komen tot IT Governance en het waarborgen van betrouwbaarheid van informatie en de gegevensverwerking door de informatiesystemen. 1.3 Versiebeheer Versie Status Datum Auteur Opmerkingen 0.1 Concept 25 augustus 2006 M.H.M. Brouwers Eerste concept 1.0 Definitief 4 september M.H.M. Brouwers Opmerkingen J.J. Cannegieter verwerkt

4 Organisatie SYSQA B.V. Pagina 4 van 12 2 Het CobiT model 2.1 Overview Het Cobit-model is er op gericht de organisatie een redelijke mate van zekerheid te bieden dat de ondersteunende IT processen een bijdrage leveren aan de realisatie van de overkoepelende organisatiedoelstellingen. CobiT doet dit door een verband te leggen tussen business doelstellingen, IT-doelstellingen en IT-processen. Business doelstellingen IT-doelstellingen IT-processen Het centrale uitgangspunt van CobiT is dat IT steeds afgestemd moet zijn op de organisatie en moet bijdragen aan het behalen van de doelstellingen van de organisatie. IT kan dit doen door ervoor te zorgen dat de informatie die zij levert aan de organisatie en haar processen voldoen aan de volgende vereisten (business requirements): effectiviteit, efficiëntie, vertrouwelijkheid, integriteit, beschikbaarheid, compliance en betrouwbaarheid. De informatie wordt op haar beurt voortgebracht door IT-processen en het samenstel van IT-resources: applicaties, informatie, infrastructuur en mensen. De IT-resources worden beheerst middels de 34 IT-processen, die zijn ingedeeld in 4 domeinen: 1. Planning & Organisation; 2. Acquisition & Implementation; 3. Delivery & Support; 4. Monitoring. Onderstaand figuur geeft inzicht in de onderlinge samenhang tussen de organisatiedoelstellingen en de informatievoorziening vanuit de CobiT-domeinen en de bijhorende IT processen, kwaliteitscriteria en IT resources.

5 Organisatie SYSQA B.V. Pagina 5 van 12 BUSINESS OBJECTIVES GOVERNANCE OBJECTIVES ME1 Monitor and evaluate IT performance ME2 Monitor and evaluate internal control ME3 Ensure regulatory compliance ME4 Provide IT governance Monitor & Evaluate Deliver & Support Information Effectiveness Efficiency Confidentiality Integrity Availability Compliance Reliability IT Resources Applications Information Infrastructure People PO1 Define a strategic IT plan PO2 Define the Information architecture PO3 Determine technological direction PO4 Define the IT processes, organisation and relationships PO5 Manage IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects Plan & Organise Acquire & Implement DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Manage service desk and incidents DS9 Manage the configuration DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS13 Manage operations AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources AI6 Manage changes AI7 Install and accredit solutions and changes CobiT Framework 2.2 Doelstellingen CobiT identificeert 20 concrete organisatiedoelstellingen en 28 concrete IT doelstellingen. Deze doelstellingen vormen het kernpunt in Cobit 4.0 en illustreren concreet hoe de relatie tussen bedrijfsdoelstellingen, IT doelstellingen en IT processen kan verlopen. Figuur 1 is een lijst met generieke bedrijfsdoelstellingen, georganiseerd naar de vier categorieën van de business balanced scorecard. Elk van de bedrijfsdoelstellingen is vervolgens gekoppeld aan één of meer IT doelstellingen die de bedrijfsdoelstelling ondersteunen. Dit is aangegeven aan de hand van

6 Organisatie SYSQA B.V. Pagina 6 van 12 nummers die overeenkomen met de IT doelstellingen in figuur 2. Tevens wordt aangegeven wat de meest relevante informatiecriteria zijn die in de bedrijfsdoelstellingen aan bod komen. De IT doelstellingen worden ook gekoppeld aan de informatiecriteria, maar belangrijker is dat tevens wordt aangegeven welke CobiT processen de IT doelstellingen ondersteunen. Dit is telkens aangegeven aan de hand van indexen van de CobiT processen. Op deze manier wordt dus een volledige cascade aangegeven van bedrijfsdoelstellingen naar IT doelstellingen naar IT processen. CobiT Information Criteria Financial Perspective Business Goals IT Goals Effectiveness Efficiency Confidentiality Integrity Availability Compliance Reliability 1 Expand market share * * 2 Increase revenu * * 3 Return on Investment 24 * 4 Optimise asset utilisation 14 * * 5 Manage business risks * * * Customer Perspective 6 Improve customer orientation and service 3 23 * 7 Offer competitive products and services 5 24 * * 8 Service availability * * 9 Agility in responding to changing business requirements (time to market) * * 10 Cost optimisation of service delivery * Internal Perspective 11 Automate and Integrate the enterprise value chain * * 12 Improve and maintain business functionality * * 13 Lower process costs * 14 Compliance with external laws and regulations * 15 Transparency 2 18 * 16 Compilance with internal policies 2 13 * * 17 Improve and maintain operational and staff productivity * * * Learning and Growth Perspective 18 Product/business Innovation * * 19 Obtain and useful information for strategic decision making * * * 20 Acquire and maintain skilled and motivated personnel 9 * * Figuur 1: bedrijfsdoelstellingen en IT doelstellingen IT Goals Processes CobiT Information Criteria Effectiveness Efficiency Confidentiality Integrity Availability Compliance Reliability 1 Respond to business requirements in alignment with the business strategie PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME1 P P S S 2 Respond to governance requirements in line with board direction PO1 PO4 PO10 ME1 ME3 P P 3 Ensure the satusfaction of end users with servies offerings and service levels PO8 AI4 DS1 DS2 DS7 DS8 DS10 DS13 P P S S 4 Optimise the use of information PO2 DS11 S P S 5 Create IT Agility PO2 PO4 PO7 AI3 P P S 6 Define how business functional and control requirements are translated in effective en efficient automated so AI1 AI2 AI6 P P S 7 Acquire and maintain integrated and standardised application systems PO3 AI2 AI5 P P S 8 Acquire and maintain an integrated and standardised IT infrastructure AI3 AI5 S P 9 Acquire and maintain IT skills that respond to the IT strategy PO7 AI5 P P 10 Ensure mutual statisfaction of third-party relationships DS2 P P S S S S S 11 Seamlessly integrate applications and technologie solutions into business processes PO2 AI4 AI7 P P S S 12 Ensure transparency and understanding of IT cost, benefits, strategy, policies and serice levels PO5 PO6 DS1 DS2 DS6 ME1 ME3 P P S S 13 Ensure proper use and performance of the applications and technology solutions PO6 AI4 AI7 DS7 DS8 P S 14 Account for and protect all IT assets PO9 DS5 DS9 DS12 ME2 S S P P P S S 15 Optimise the IT infrastucture, resources and capabilities PO3 AI3 DS3 DS7 DS9 S P 16 Reduce solution and service delivery defects and rework PO8 AI4 AI6 AI7 DS10 P P S S 17 Protect the achievement of IT objectives PO9 DS10 ME2 P P S S S S S 18 Establish clarity of business impact of risks to IT objectives and resources PO9 S S P P P S S 19 Ensure critical and confidential information is withheld from those who should not have access to it PO6 DS5 DS11 DS12 P P S S S 20 Ensure automated business transactions and information exchanges can be trusted PO6 AI7 DS5 P P S S 21 Ensure IT services and infrastructure can properly resist and recover from failures due to error, deliberate attapo6 AI7 DS4 DS5 DS12 DS13 ME2 P S S P 22 Ensure minimum business impact in the event of an IT service disruption or change PO6 AI6 DS4 DS12 P S S P 23 Make sure that IT services are available as required DS3 DS4 DS8 DS13 P P P 24 Improve IT's cost-effeciency and its contribution to business profitability PO5 AI5 DS6 S P S 25 Deliver projects on time and on budget meeting quality standards PO8 PO10 P P S S 26 Maintain the integrity of information and processing infrastucture AI6 DS5 P P P P S 27 Ensure IT compliance with laws and regulations DS11 ME2 ME3 ME4 S S P S 28 Ensure that IT demonstrates cost-efficient service quality, contiuous improvement and readiness for future chpo5 DS6 ME1 ME3 P P P P (Primary) S (Secundary) Figuur 2: IT doelstellingen en IT processen

7 Organisatie SYSQA B.V. Pagina 7 van IT processen CobiT heeft de 34 IT processen ingedeeld in de vier domeinen Planning & Organisatie, Acquisitie & Implementatie, Levering & Ondersteuning en Monitoring & Evaluatie. Planning & Organisation (PO) Delivery & Support (DS) PO1 Define a strategic IT plan. DS1 Define and manage service levels. PO2 Define the information architecture. DS2 Manage third-party services. PO3 Determine technological direction. DS3 Manage performance and capacity. PO4 Define the IT processes, organisation and relationships. DS4 Ensure continuous service. PO5 Manage the IT investment. DS5 Ensure systems security. PO6 Communicate management aims and direction. DS6 Identify and allocate costs. PO7 Manage IT human resources. DS7 Educate and train users. PO8 Manage quality. DS8 Manage service desk and incidents. PO9 Assess and manage IT risks. DS9 Manage the configuration. PO10 Manage projects. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. Acquisition & Implementation (AI) Monitor & Evaluation (ME) AI1 Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes. ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure regulatory compliance. ME4 Provide IT governance. Bron: ITGI (2005) CobiT Planning & Organisatie Het domein planning en organisatie houdt zich bezig met de manier waarop informatietechnologie kan bijdragen aan het realiseren van de doelstellingen van de organisatie en hoe dit concreet moet gebeuren. Hiervoor zijn strategische en tactische uitspraken nodig inzake de informatiearchitectuur, de technologie, de interne IT organisatie, de budgetten, de manier waarop het management doelstellingen communiceert (bijvoorbeeld bewustmaking inzake beveiliging), het management van de in te zetten personele middelen, het kwaliteitsmanagement, het inschatten van risico's en het projectmanagement Acquisitie & Implementatie Acquisitie and implementatie concretiseert de IT strategie door middel van de identificatie van IT oplossingen (insourcing of outsourcing), de acquisitie en/of ontwikkeling en het onderhoud van applicaties, de acquisitie en het onderhoud van hardware en systeemsoftware, het voorbereiden van de operationalisering van de systemen (bijvoorbeeld door kennisoverdracht naar de gebruikers), het aankopen van de nodige IT middelen, het proces van het management van applicatiewijzigingen en het implementeren, installeren en goedkeuren van systemen Levering & Ondersteuning Het domein levering en ondersteuning heeft betrekking op de werkelijke aflevering van de gevraagde diensten en omvat de processen die te maken hebben met de automatiseringsafdeling, de afdeling die instaat voor de verwerking of productie van informatiesystemen: het management

8 Organisatie SYSQA B.V. Pagina 8 van 12 van de configuratie, van problemen, van de data, van de fysische omgeving van het rekencentrum en andere faciliteiten, van de computeroperaties zelf en van performance en capaciteit van de hardware. In dit kader horen eveneens thuis het definiëren van de service level agreements (sla's), het aansturen van outsourcers, het garanderen van continue service (onder meer disaster recovery planning), het verzekeren van optimale systeembeveiliging, het identificeren en toerekenen van de kosten, de opleiding en training van gebruikers en de ondersteuning en raadgeving aan gebruikers via een servicedesk Monitoring & Evaluatie Monitoring and evaluatie is het vierde domein dat door CobiT wordt geïdentificeerd. De voorgaande dertig IT processen moeten regelmatig worden geëvalueerd op hun kwaliteit en overeenkomst met de gestelde controlevereisten (zoals die in het CobiT raamwerk worden voorgesteld voor elk van de processen). Dit domein verwijst dan ook naar permanente monitoringen evaluatieactiviteiten door het management, het beoordelen van de gepastheid van de interne controles, het ervoor zorgen dat tegemoet wordt gekomen aan externe reguleringen en het voorzien van een IT governance raamwerk.

9 Organisatie SYSQA B.V. Pagina 9 van 12 3 Gebruik van CobiT Bij elk van de 34 IT processen kent CobiT een aantal managementinstrumenten zoals: Control objectives, in feite de beheerdoelstelling per IT proces. Bij elk van de 34 processen horen meerdere, in totaal 318, detailed control objectives. Key Goal Indicators (KGI s), Key Performance Indicators (KPI s) en Critical Success Factors (CSF s). Volwassenheidsniveaus op een schaal van 0 tot en met 5, waarbij 0 staat voor nonexistence en 5 staat voor best practices. Audit guidelines; richtlijnen voor interviews, informatie en tests die kunnen worden uitgevoerd. De opzet van CobiT is gebaseerd op de toepassing van het waterval principe: The control of IT-processes; Which satisfy Business Requirements; Is enabled by Control Statements; And considers Control Practices. In onderstaande figuur wordt dit principe schematisch weergegeven, aangevuld met de samenhang tussen de IT processen, de kwaliteitscriteria en de IT resources. Effectiveness Efficiency Integrity Confidentiality Availability Compliance Reliability Plan & Organise Acquire & Implement Deliver & Support Monitor & Evaluate Control over the IT process of Process name that satifies the business requirement for IT of summary of most important business goals by focusing on summary of most important IT goals is achieved by key controls Performance Measurement Strategic Alignment Value Delivery IT Governance Resource Management Risk Management and is measured by key metrics Applications Information Infrastructure People Primary Secundary

10 Organisatie SYSQA B.V. Pagina 10 van 12 Voor elk van de 34 processen in CobiT worden control objectives, management guidelines en een volwassenheidsmodel beschreven. Typisch omvat elk proces in het nieuwe Cobit-boekwerk vier pagina's: twee pagina's voor de control objectives (high-level en gedetailleerd), één pagina met management guidelines en één pagina met het volwassenheidsmodel.

11 Organisatie SYSQA B.V. Pagina 11 van 12 4 Volwassenheidsmodel Een volwassenheidsmodel is een scoretechniek die het de onderneming mogelijk maakt de volwassenheid voor een bepaald proces te beoordelen van niet-bestaand (score 0) tot optimaal (score 5). Dit instrument is een gemakkelijk te begrijpen manier om de huidige (as-is) en de gewenste (to-be) positie te bepalen en maakt het een organisatie mogelijk zichzelf te vergelijken met de best practices en standaardrichtlijnen. Op deze manier kunnen verschillen tussen de huidige en de gewenste situatie worden geïdentificeerd en specifieke acties worden gedefinieerd om naar de gewenste positie te evolueren. Wanneer deze volwassenheidssbepaling wordt uitgevoerd, is het belangrijk zich te schikken naar de basisprincipes van volwassenheidsmeting: een onderneming kan enkel naar een hoger volwassenheidsniveau evolueren als alle voorwaarden beschreven voor een bepaald volwassenheidsniveau vervuld zijn. Het volwassenheidsmodel voor het CobiT proces DS1 'Define and manage service levels' beschrijft dat een organisatie volwassenheidsniveau 1 voor dit proces bereikt heeft wanneer men zich bewust is van de nood van het beheren van de serviceniveaus, maar het proces nog informeel is. Een onderneming bereikt volwassenheidsniveau 5 wanneer alle gedefinieerde serviceniveaus voortdurend opnieuw worden bekeken om er zeker van te zijn dat IT en business objectives op één lijn liggen.

12 Organisatie SYSQA B.V. Pagina 12 van 12 5 Literatuurverwijzingen Op de volgende websites is meer informatie te vinden over Cobit: Het CobiT model, alsmede enkele andere stukken en artikelen zijn op te vragen bij het productmanagement van Sysqa