Revizija (re)organizacije IT

1
Revizija (re)organizacije IT
Nataša Žabkar Ljubljana, 15.06.2004
2
Potek
Uvod
Pomen (re)organizacije IT
Revizija (re)organizacije IT
Sklep
3
Izjava
Razlage in komentarji, ki so predmet te
predstavitve, predstavljajo poglede predavatelja
in niso nujno tudi stališca, praksa ali politika
podjetja, v katerem je predavatelj zaposlen.
4
Namen

• Predstavitev revizije (re)organizacije IT
• A (Assurance) Zagotavljanje
• Preizkus COBIT QuickStart
• COBIT vs COBIT QuickStart
• Poskus oblikovanja sodila
• Sodelovanje udeležencev

5
SNR 2410-1 Sodila za porocanje (opažanje)

• SODILA - KAJ NAJ BI OBSTAJALO
• standardi, merila ali pricakovanja, uporabljena
  pri izdelavi in ovrednotenju in/ali potrjevanju
• STANJE - KAJ OBSTAJA
• dejanski dokaz, ki ga je notranji revizor našel
  pri poteku preiskave
• RAZLOG - ZAKAJ OBSTAJA RAZLIKA
• motiv za razliko med pricakovanim in dejanskim
  stanjem
• POSLEDICA - VPLIV RAZLIKE
• tveganje ali izpostavljenost organizacije in/ali
  drugih ugotovitev, ker položaj ni skladen s sodili

6
Udeleženci

• Izkušnje z revizijo (re)organizacije IT
• Uporaba COBIT, COBIT QuickStart
• Sodila Kaj naj bi obstajalo?

7
Organizacija (1)
Organizacija podjetja je "sestav razmerij med
ljudmi - clani podjetja, ki zagotavlja obstoj,
družbeno-ekonomske in druge znacilnosti podjetja
ter smotrno uresnicevanje cilja podjetja".
Lipovec, 1987, str. 34
8
Organizacija (2)

• 1.Staticni del ali formalna organizacijska
  struktura
• Tehnicna struktura,
• Komunikacijska struktura,
• Motivacijska struktura in
• Ravnalna ali oblastna struktura.
• 2. Dinamicni del ali formalni organizacijski
  proces
• Upravljalno-ravnalni proces.

Lipovec, 1987
9
Operativno tveganje

• Tveganje izgube zaradi neustreznih ali
  neuspešnih notranjih postopkov, ljudi in sistemov
  ali zaradi zunanjih dogodkov.
• Basel Committee on Banking Supervision Sound
  Practices for the Management and Supervision of
  Operational Risk, (February 2003).
  www.bis.org/publ/bcbs96.pdf

10
7-S Kriticni dejavniki pri uresnicevanju
strategije
Vir Pascale, Athos, 1986, str. 202
11
Upravljanje z IS
Upravljanje in nadzor
Na kakšen nacin (Interna in eksterna
komunikacija)
Kaj (storitve)
Kdo (ljudje)
Kako (procesi)
Kje (organizacija)
Vir Radi, 2002 (ISACA mesecni sestanek)
12
Omejitve

• SODILA
• Kaj naj bi obstajalo
• COSO - Internal Control, ERM
• COBIT, COBIT-QuickStart
• PO4 Opredelitev IT organizacije in odnosov
• Organizacija
• PO10 Vodenje projektov
• Reorganizacija

13
Potek
Uvod
Pomen (re)organizacije IT
Revizija (re)organizacije IT
Sklep
14
Hierarhija pravil revidiranja (UL RS 96/2002,
14.11.2002)

• Prva raven (obvezno)
• Predpisi državnih organov
• Standardi, nacela
• Druga raven (poklicna skrb)
• Stališca, pojasnila in priporocila rev. sveta
  SIR
• Tretja raven (poklicna skrb)
• Metodološka gradiva in prirocniki SIR
• Cetrta raven
• Domaca in tuja strokovna literatura
• Splošno sprejeto delovanje oz. postopki
  delovanja revizorjev v TUJI PRAKSI, ki jih je
  potrdil rev. svet SIR

15
Revizor (RI) (1)

• Mednarodni standardi revidiranja (MSR)
• 400 Ocenjevanje tveganja in notranje
  kontroliranje
• 8. Ureditev notranjega kontroliranja
• a kontrolno okolje
• organizacijski ustroj podjetja ter metode
  dodeljevanja pooblastil in odgovornosti
• b kontrolni postopki
• 9. samo s tistimi usmeritvami in postopki
  ki ustrezajo uradnim trditvam v racunovodskih
  izkazih.

16
Revizor (RI) (2)

• Mednarodna stališca o revidiranju (MSR)
• 1008 Ocenjevanje tveganja in notranje
  kontroliranje - znacilnosti in upoštevanje
  racunalniškega informacijskega sestava (RIS) oz.
  z racunalniško informacijsko ureditvijo (RIU)
• 6. Splošne kontrole RIS vkljucujejo
• a organizacijske in ravnateljske kontrole,
  namenjene za ustvarjanje organizacijskega
  okvirja delovanja RIS
• pravila in postopke v zvezi s kontrolnimi
  funkcijami
• ustrezno locevanje nezdružljivih funkcij

17
Notranji revizor (1)

• Standardi strokovnega ravnanja pri notranjem
  revidiranju (SNR)
• 2100-1 Narava dela
• 8. Vsa ureditev poslovanja, procesi, podrocje
  dela in dejavnosti organizacije so predmet
  ovrednotenj pri notranjem revidiranju.
• Pojmovnik
• Obvladovalno okolje (Control Environment)
• organizacijski ustroj
• dodeljevanje pooblastil in odgovornosti

18
Notranji revizor (2)

• CIA-III, str. 40
• Organizacija
• Odobreno namerno
• strukturiranje vlog dodeljenih zaposlenim
• z namenom, da podjetje doseže cilje
• ucinkovito in
• uspešno.

19
CIA-III, str. 40
Organiziranje je zacetek kontrole.
20
Revizor IS (1)

• Kodeks poklicne etike revizorja IS (Revizor
  1/01)
• 2.2 Revizor upošteva standarde in smernice
  revidiranja IS, ki jih je izdal Inštitut oziroma
  ISACA.
• Revizor mora upoštevati smernice in uporabiti
  strokovno presojo glede uporabe ter mora biti
  pripravljen pojasniti odstopanja.

21
Revizor IS (2)

• ISACA - smernice Ucinek (effect) prodornih IS
  kontrol (01.03.2000)
• ISACA - standard 060.020 (Dokaz)
• Prodorne kontrole
• Splošne kontrole iz domen PO in M
• 1.2.6 Pri revidiranju podrobnih kontrol naj bi
  revizor pregledal tudi prodorne kontrole, tudi ce
  niso v obsegu revizije.
• 2.2.3 Ce so prodorne kontrole slabe, obstaja
  velika verjetnost, da so podrobne kontrole
  neuspešne.
• 5.2.1 opozoriti poslovodstvo ...

22
COBIT
Organizacijska struktura je sestavni del kontrole
in upravljanja IT.
23
Potek
Uvod
Pomen (re)organizacije IT
Revizija (re)organizacije IT
Sklep
24
COSO - Enterprise Risk Framework
25
COSO - Internal Control Framework
26
COBIT Framework
27
Organizacijska struktura

• Upravljanje IT (Board Briefing on IT Governance,
  ISACA, 2003)
• Vodenje, organizacijske strukture in procesi, ki
  zagotavljajo, da IT podjetja podpira in razvija
  strategijo in cilje podjetja.
• Kontrola (COBIT, 2000)
• Politike, postopki, prakse in organizacijske
  strukture, katerih namen je dati razumno
  zagotovilo, da bodo poslovni cilji doseženi in da
  bodo neželjeni dogodki prepreceni ali odkriti in
  odpravljeni.

28
Vodstvene kontrole (CIPFA, 1998)

• 01 Odgovornosti za ravnanje z IT so dobro
  opredeljene.
• 02 Opisi delovnih nalog jasno opisujejo obseg
  dolžnosti.
• 03 Standardi in navodila za vse vidike IT1
  obstajajo, se nadzirajo in redno ažurirajo.
• 04 Razmejitev dolžnosti zagotavlja varno
  uporabo IT.

29
COSO - Organizacijska struktura

• Vir COSO - IC Evaluation Tools
• 1. USTREZNOST organizacijske strukture,
  zmožnost omogociti tok informacij potreben za
  poslovanje podjetja
• 1.1 Ustreznost (de)centralizacije
• 1.2 Struktura omogoca tok informacij

30
COBIT - Organizacijska struktura

• Vir IT Governance Implementation Guide
• PO4.2 Položaj IT v organizaciji (Organisational
  Placement of the IT Function)
• PO4.15 Odnosi
• QS8. Opredeliti kje se lahko uporabijo storitve
  zunanjega izvajalca in nacin kontrole

31
COBIT - Organizacijske enote

• PO4.1 Odbor za planiranje IT (IT Planning or
  Steering Committee)
• DS7.2 Organizacija usposabljanja (Training
  organization)
• ISO17799 5.2.1 6.2.1 Information security
  education and training
• DS8.1 Center za pomoc uporabnikom (Help Desk)
• ITIL Service Desk

32
Likertov vedenjski model organizacije
Vir Pucko, 1996, str. 265
33
COBIT - Delovna mesta

• PO4.12 Opisi delovnih mest (Job or Position
  Descriptions for Staff)
• PO4.4, PO7.3 Vloge in odgovornosti (Roles and
  responsibilities)
• QS 5. Dodeliti IT vloge in odgovornosti jasno, z
  ustreznimi pristojnostmi in razumnimi
  pricakovanji ter seznaniti zaposlene z njimi.
• ISO17799 2.1.3 4.1.3 Allocation of information
  security responsibilities
• ISO17799 5.1.1 6.1.1 Including security in job
  responsibilities

34
COBIT - Matrika odgovornosti

• COBIT-AG Zrelostni model
• Nivo 3 (Opredeljen proces)
• Opredeljene vloge in odgovornosti
• IT organizacija je skladna s poslovno

35
COSO - Odgovornosti

• 2. USTREZNOST dodelitve odgovornosti kljucnega
  poslovodstva in njihovo razumevanje teh
  odgovornosti
• 2.1 Odgovornosti in pricakovanja glede poslovnih
  aktivnosti so jasno komunicirane poslovodstvu, ki
  je zadolženo za te aktivnosti.

36
COBIT - Odgovornosti (1)

• PO4.5 Odgovornost za zagotavljanje kakovosti
  (Responsibility for Quality Assurance)
• ISO 90012000
• PO4.6 Odgovornost za logicno in fizicno varnost
  (Responsibility for Logical and Physical
  Security)
• ISO17799 2.1.1 4.1.1 Management information
  security forum
• ISO17799 2.1.2 4.1.2 Information security
  co-ordination
• QS 6. Upoštevati potrebo za dodelitev
  specificnih odgovornosti na podrocju
  zagotavljanja kakovosti in varnosti IT.

37
COBIT - Odgovornosti (2)

• PO4.8 Lastništvo podatkov in sistemov (Data and
  System Ownership)
• ISO17799 4.1.1 5.1.1 Inventory of assets

38
COBIT - Razmejitev dolžnosti

• PO4.9 Nadzor (Supervision)
• PO4.10 Razmejitev dolžnosti (Segregation of
  Duties)
• ISO17799 8.1.4 8.1.4 Segregation of duties
• QS 7. Periodicno pregledati, ali se IT vloge in
  odgovornosti pravilno razumejo in izvajajo.
• Oceniti, ali imajo zaposleni vire za uresnicitev
  teh odgovornosti. Zavedati se, da se lahko
  koncentrirane vloge in odgovornosti zlorabijo.

39
COBIT - Quick Start PO4

• QS 5. Dodeliti IT vloge in odgovornosti jasno, z
  ustreznimi pristojnostmi in razumnimi
  pricakovanji ter seznaniti zaposlene z njimi.
  (4.4)
• QS 6. Upoštevati potrebo za dodelitev
  specificnih odgovornosti na podrocju
  zagotavljanja kakovosti in varnosti IT. (4.5,
  4.6)
• QS 7. Periodicno pregledati, ali se IT vloge in
  odgovornosti pravilno razumejo in izvajajo.
• Oceniti, ali imajo zaposleni vire za uresnicitev
  teh odgovornosti. Zavedati se, da se lahko
  koncentrirane vloge in odgovornosti zlorabijo.
  (4.9, 4.10)
• QS 8. Opredeliti kje se lahko uporabijo storitve
  zunanjega izvajalca in nacin kontrole (4.14, 4.15)

40
COBIT - Quick Start PO4

• Upravljanje IT
• Skladnost IT strategije in poslovne strategije
• Doseganje vrednosti
• Upravljanje IT virov
• Obvladovanje performans
• Tehnologija
• Arhitektura podjetja

41
Udeleženci

• Sodilo
• COBIT
• Kaj naj bi obstajalo (?)

42
Prirejeno po Internal Auditing (Sawyer, 2003)

• 1. Kaj so cilji predlagane organizacije?
• 2. Kako so ti cilji usklajeni s cilji podjetja?
• 3. Katere kontrole obstajajo, ali bi morale
  obstajati, da bi cilji bili uresniceni?

43
COSO - Enterprise Risk Framework
44
Sodilo
Opredelitev podsistemov
DR/BCP
Upravljanje z IS
Arhitektura podsistemov
Skrbništvo
Investicije in stroški
Analiza tveganj
Upravljanje s kadri
Vir Prirejeno po Radi, 2002 (ISACA mesecni
sestanek)
45
Revizija reorganizacije IT
46
Revizija reorganizacije IT

• 1. Sedanja organizacija
• PO4 Opredeliti IT organizacijo in odnose
• 2. Željena organizacija
• PO4 Opredeliti IT organizacijo in odnose
• 3. Prehod iz sedanje v željeno organizacijo
• PO10 Vodenje projektov

47
Model poslovodenja sprememb
Vir Nadler, 1992, str. 64
48
IT Service Management (itSMF, 2001)

• 1. Kje bi radi bili?
• Vizija in poslovni cilji
• 2. Kje smo?
• Ocena
• 3. Kako bomo prišli v 1?
• Izboljšanje procesov
• 4. Kako bomo vedeli, da smo prišli v 1?
• Merjenje

49
Poslovodenje kompleksnih sprememb
Vir Aaker, 1995, str. 745
50
COBIT - Quick Start PO10 Vodenje projektov

• QS 19. Jasno opredeliti kaj mora biti doseženo,
  kdo bo to dosegel, kdaj in ob kakšnih stroških
  (10.1, 10.5, 10.7)
• QS 20. Biti pozoren na težave, prepreciti jih
  kjer je to možno in prenesti tveganja s pogodbo,
  ce je to koristno. (10.10)
• QS 21. Stalno nadzirati rezultate projekta,
  stroške, cas in tveganja. (10.1, 10.7, 10.10)
• QS 22. Biti jasen in ekspliciten glede prevzema
  koncnega izdelka. (10.4, 10.2)
• www.pmi-slo.org PMBok3 (257 strani)

51
COBIT - Quick Start PO10

• Upravljanje IT
• Skladnost IT strategije in poslovne strategije
• Doseganje vrednosti
• Obvladovanje tveganj
• Obvladovanje performans
• Tehnologija
• Optimizacija stroškov
• Doseganje storitev
• Selektivno najemanje storitev zunanjih
  izvajalcev
• Dolocanje prioritet in planiranje

52
Potek
Uvod
Pomen (re)organizacije IT
Revizija (re)organizacije IT
Sklep
53
Namen

• Predstavitev revizije (re)organizacije IT
• A (Assurance) Zagotavljanje
• Preizkus COBIT QuickStart
• COBIT vs COBIT QuickStart
• Poskus oblikovanja sodila
• Sodelovanje udeležencev

54
Namen

• KAJ?
• Revizija (re)organizacije IT
• CEMU?
• Operativno tveganje, poklicna skrbnost
• KJE? (VIRI)
• ZDA, Slovenija
• KAKO?
• Sodilo
• COSO, COBIT, Radi (2002), ...
• KDO?

55
Vprašanja
56
Viri

• www.bis.org/pub/bcbs96.pdf
• Basel Committee on Banking Supervision Sound
  Practices for the Management and Supervision of
  Operational Risk, (February 2003). (open)
• www.coso.org
• COSO - Enterprise Risk Management Framework -
  Draft (open)
• www.ferma-asso.org
• A Risk Management Standard (open)
• www.isaca.org
• COBIT (open)
• www.pmi-slo.org
• PMBok3 Project Management Book of Knowledge
  (open)

57
Viri

• www.sei.cmu.edu/cmm/
• Capability Maturity Model for Software (open)
• www.sse-cmm.org/index.html
• Systems security engineering - capability
  maturity model (open)
• www.itservicecmm.org
• IT service CMM (open)
• www.itsmf.com (ITIL)
• Pocket Guide (Security Management, Service
  Management) (7-10 GBP)