Børge Sundli: Hva er Cobit?

TRONDHEIM KOMMUNE
Trondheim kommunerevisjon
Hva er COBIT?
Til nytte i kommunal revisjon?
Erfaringer fra gjennomførte prosjekter...
Børge Sundli CISA, Trondheim kommunerevisjon
23.01.2013
MNKRF Nyttårsmøte 2013
1
TRONDHEIM KOMMUNE
Trondheim kommunerevisjon
TRONDHEIM KOMMUNE
Trondheim kommunerevisjon
ISACA Norge utgir Anbefalinger til God
IT-skikk som er hefter som gir oversikt
over hva som oppfattes som god ITskikk på utvalgte områder. Heftene er
skrevet i en stil som gjør de gyldige
over lang tid, til tross for utviklingen
ellers på IT-området. Blant annet
basert på COSO og har etter hvert tatt
med seg elementer også fra COBIT.
•
•
•
•
•
23.01.2013
Dokumentasjon av IT-systemer
Tilgangskontroll- styring av
informasjonstilgang
Kontinuitet i den operasjonelle
drift av sentrale og desentrale ITsystemer
Endringsadministrasjon
Bruk av Internett
MNKRF Nyttårsmøte 2013
3
TRONDHEIM KOMMUNE
Trondheim kommunerevisjon
© Prosjekt NorSox 2009
Illustrasjon over innbyrdes plassering av de forskjellige rammeverk og standarder .
23.01.2013
MNKRF Nyttårsmøte 2013
4
TRONDHEIM KOMMUNE
Trondheim kommunerevisjon
23.01.2013
MNKRF Nyttårsmøte 2013
5
TRONDHEIM KOMMUNE
Trondheim kommunerevisjon
COSO
"Helhetlig risikostyring - et
integrert rammeverk" er den
norske oversettelsen av COSO
Enterprice Risk Management fra
2004. Rammeverket bygger
på COSO-rapporten "Intern
kontroll - et integrert
rammeverk", og setter et
sterkere og mer omfattende
fokus på temaet helhetlig
risikostyring.
Det samme rammeverket er
sentralt i utredningen - 85
tilrådingar for styrkt
eigenkontroll i kommunane -,
som ble overlevert til
Kommunal- og
regionaldepartementet 15.
desember 2009.
23.01.2013
MNKRF Nyttårsmøte 2013
6
TRONDHEIM KOMMUNE
Trondheim kommunerevisjon
COBIT historikk
Governance of Enterprise IT (GEIT)
5. 0 prosesser
IT Governance (IT Styring)
4.O –produkter
4.0 prosesser
Management (Ledelse)
Control (Kontroll)
Audit (revisjon)
kontrollmål
COBIT 1
1996
23.01.2013
COBIT 2 COBIT 3 COBIT 4.0/4.1
20122000
22005/2006
1998
2005
MNKRF Nyttårsmøte 2013
COBIT 5
2012
7
TRONDHEIM KOMMUNE
Trondheim kommunerevisjon
Et prinsipp i COBIT 5 er å skille styring fra ledelse og det foreslås
at organisasjoner implementere styring og ledelsesprosesser slik
at de viktigste områdene er dekket, som vist her:
Source: COBIT® 5, figure 15. © 2012 ISACA® All rights reserved.
23.01.2013
MNKRF Nyttårsmøte 2013
8
TRONDHEIM KOMMUNE
Trondheim kommunerevisjon
23.01.2013
MNKRF Nyttårsmøte 2013
9
TRONDHEIM KOMMUNE
Trondheim kommunerevisjon
Enablers
1. Prinsipper, policyer og rammeverk, som er verktøyene for å overføre den
2.
3.
4.
5.
6.
7.
ønskede atferden til en praktisk veiledning for den daglige ledelse.
Prosesser, beskrivelser, organiserte kutymer og aktiviteter for å oppnå og
beholde virksomhetens mål samtidig med, at prosessene produserer et resultat,
som understøtter oppnåelsen av it relaterte mål.
Virksomhetsstruktur, er de beslutningstakende enhetene i en virksomhet.
Kultur, etikk og adferd av individer og av virksomheten i governance- og
managementaktiviteter, er ofte undervurdert faktorer i forhold til virksomhetens
fremgang.
Informasjon er utbredt i enhver virksomhet og omfatter alle opplysninger, som
produseres og anvendes i virksomheten. Likeså er informasjon nødvendig for å
oppebære virksomheten, og på et operasjonelt nivå kan information være dét
vesentligste for virksomheden.
Service, infrastruktur og applikasjoner, omfatter infrastrukturen, teknologien og
applikasjonene, som tilfører virksomheten informasjonsteknologisk behandling og
service.
Personer, ferdigheter og kompetanse, relatert til personer i virksomheten, som er
nødvendige for å oppnå optimale beslutningstakninger og handlinger.
23.01.2013
MNKRF Nyttårsmøte 2013
10
TRONDHEIM KOMMUNE
Trondheim kommunerevisjon
COBIT til nytte i kommunal revisjon?
• Revisjonen gjennomførte i 2001 et forvaltningsrevisjonsprosjekt av
IT-virksomheten i Trondheim kommune som omfattet to hoveddeler:
• I: En undersøkelse av om det er nødvendig kontroll innenfor ITvirksomheten
og
• II: En undersøkelse av om det har vært gode beslutningsprosesser for
Elevnett.
23.01.2013
MNKRF Nyttårsmøte 2013
11
TRONDHEIM KOMMUNE
Trondheim kommunerevisjon
Anskaffelse og innføring av IT-system for ressurs- og
virksomhetsstyring i Trondheim kommune
• forvaltningsrevisjonsprosjekt som undersøker Trondheim
kommunes anskaffelse og innføring av nytt IT-system for
ressurs- og virksomhetsstyring. Rapporten gjelder LØP- og
BRIS-prosjektet, og revisjonen fokuserer på arbeid disse
prosjektene har utført i perioden 2005-2012.
23.01.2013
MNKRF Nyttårsmøte 2013
12
TRONDHEIM KOMMUNE
Trondheim kommunerevisjon
Takk for oppmerksomheten ! 
23.01.2013
MNKRF Nyttårsmøte 2013
13