Børge Sundli: Hva er Cobit?
Transcription
Børge Sundli: Hva er Cobit?
TRONDHEIM KOMMUNE Trondheim kommunerevisjon Hva er COBIT? Til nytte i kommunal revisjon? Erfaringer fra gjennomførte prosjekter... Børge Sundli CISA, Trondheim kommunerevisjon 23.01.2013 MNKRF Nyttårsmøte 2013 1 TRONDHEIM KOMMUNE Trondheim kommunerevisjon TRONDHEIM KOMMUNE Trondheim kommunerevisjon ISACA Norge utgir Anbefalinger til God IT-skikk som er hefter som gir oversikt over hva som oppfattes som god ITskikk på utvalgte områder. Heftene er skrevet i en stil som gjør de gyldige over lang tid, til tross for utviklingen ellers på IT-området. Blant annet basert på COSO og har etter hvert tatt med seg elementer også fra COBIT. • • • • • 23.01.2013 Dokumentasjon av IT-systemer Tilgangskontroll- styring av informasjonstilgang Kontinuitet i den operasjonelle drift av sentrale og desentrale ITsystemer Endringsadministrasjon Bruk av Internett MNKRF Nyttårsmøte 2013 3 TRONDHEIM KOMMUNE Trondheim kommunerevisjon © Prosjekt NorSox 2009 Illustrasjon over innbyrdes plassering av de forskjellige rammeverk og standarder . 23.01.2013 MNKRF Nyttårsmøte 2013 4 TRONDHEIM KOMMUNE Trondheim kommunerevisjon 23.01.2013 MNKRF Nyttårsmøte 2013 5 TRONDHEIM KOMMUNE Trondheim kommunerevisjon COSO "Helhetlig risikostyring - et integrert rammeverk" er den norske oversettelsen av COSO Enterprice Risk Management fra 2004. Rammeverket bygger på COSO-rapporten "Intern kontroll - et integrert rammeverk", og setter et sterkere og mer omfattende fokus på temaet helhetlig risikostyring. Det samme rammeverket er sentralt i utredningen - 85 tilrådingar for styrkt eigenkontroll i kommunane -, som ble overlevert til Kommunal- og regionaldepartementet 15. desember 2009. 23.01.2013 MNKRF Nyttårsmøte 2013 6 TRONDHEIM KOMMUNE Trondheim kommunerevisjon COBIT historikk Governance of Enterprise IT (GEIT) 5. 0 prosesser IT Governance (IT Styring) 4.O –produkter 4.0 prosesser Management (Ledelse) Control (Kontroll) Audit (revisjon) kontrollmål COBIT 1 1996 23.01.2013 COBIT 2 COBIT 3 COBIT 4.0/4.1 20122000 22005/2006 1998 2005 MNKRF Nyttårsmøte 2013 COBIT 5 2012 7 TRONDHEIM KOMMUNE Trondheim kommunerevisjon Et prinsipp i COBIT 5 er å skille styring fra ledelse og det foreslås at organisasjoner implementere styring og ledelsesprosesser slik at de viktigste områdene er dekket, som vist her: Source: COBIT® 5, figure 15. © 2012 ISACA® All rights reserved. 23.01.2013 MNKRF Nyttårsmøte 2013 8 TRONDHEIM KOMMUNE Trondheim kommunerevisjon 23.01.2013 MNKRF Nyttårsmøte 2013 9 TRONDHEIM KOMMUNE Trondheim kommunerevisjon Enablers 1. Prinsipper, policyer og rammeverk, som er verktøyene for å overføre den 2. 3. 4. 5. 6. 7. ønskede atferden til en praktisk veiledning for den daglige ledelse. Prosesser, beskrivelser, organiserte kutymer og aktiviteter for å oppnå og beholde virksomhetens mål samtidig med, at prosessene produserer et resultat, som understøtter oppnåelsen av it relaterte mål. Virksomhetsstruktur, er de beslutningstakende enhetene i en virksomhet. Kultur, etikk og adferd av individer og av virksomheten i governance- og managementaktiviteter, er ofte undervurdert faktorer i forhold til virksomhetens fremgang. Informasjon er utbredt i enhver virksomhet og omfatter alle opplysninger, som produseres og anvendes i virksomheten. Likeså er informasjon nødvendig for å oppebære virksomheten, og på et operasjonelt nivå kan information være dét vesentligste for virksomheden. Service, infrastruktur og applikasjoner, omfatter infrastrukturen, teknologien og applikasjonene, som tilfører virksomheten informasjonsteknologisk behandling og service. Personer, ferdigheter og kompetanse, relatert til personer i virksomheten, som er nødvendige for å oppnå optimale beslutningstakninger og handlinger. 23.01.2013 MNKRF Nyttårsmøte 2013 10 TRONDHEIM KOMMUNE Trondheim kommunerevisjon COBIT til nytte i kommunal revisjon? • Revisjonen gjennomførte i 2001 et forvaltningsrevisjonsprosjekt av IT-virksomheten i Trondheim kommune som omfattet to hoveddeler: • I: En undersøkelse av om det er nødvendig kontroll innenfor ITvirksomheten og • II: En undersøkelse av om det har vært gode beslutningsprosesser for Elevnett. 23.01.2013 MNKRF Nyttårsmøte 2013 11 TRONDHEIM KOMMUNE Trondheim kommunerevisjon Anskaffelse og innføring av IT-system for ressurs- og virksomhetsstyring i Trondheim kommune • forvaltningsrevisjonsprosjekt som undersøker Trondheim kommunes anskaffelse og innføring av nytt IT-system for ressurs- og virksomhetsstyring. Rapporten gjelder LØP- og BRIS-prosjektet, og revisjonen fokuserer på arbeid disse prosjektene har utført i perioden 2005-2012. 23.01.2013 MNKRF Nyttårsmøte 2013 12 TRONDHEIM KOMMUNE Trondheim kommunerevisjon Takk for oppmerksomheten ! 23.01.2013 MNKRF Nyttårsmøte 2013 13