Anvefaling til God IT-skikk (nr. 0) Grunnleggende retningslinjer for god IT-skikk



Like dokumenter
Norsox. Dokumentets to deler

Egenevalueringsskjema

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Foretakets navn : Dato: Underskrift :

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Accenture Technology Consulting. Hva skal til for å lykkes med IT Governance? Roger Østvold Leder for Accenture IT Strategi og Transformasjon

Kapittel 1 Forankring av IT-ansvar Kapittel 2 Oppgaver og ansvar i foretakets ledelseshierarki

Hvordan beste praksis rammeverk praktiseres aller best

Hvordan kan rammeverk for Prosjekt-, Program- og Porteføljestyring (P3M) bidra til økt gevinstrealisering?

God IT Styring og Kontroll i norske foretak. prosjekt NorSox. Sluttrapport - Del 1: Modell. Standard Norge, desember 2009

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS

Egenevalueringsskjema

Internkontroll i Gjerdrum kommune

Revisjon av informasjonssikkerhet

Gjelder fra: Godkjent av: Camilla Bjørn

Virksomhetsstyring i Bane NOR SF

Risikostyring Intern veiledning

IKT-revisjon som del av internrevisjonen

Standarder for risikostyring av informasjonssikkerhet

Sammenligning av ledelsesstandarder for risiko

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Risikomodenhet en enkel modell. Ayse Nordal & Ole Martin Kjørstad K&R DAGENE

Gjelder fra: Godkjent av: Fylkesrådet

Dokumentasjon av balansen. IT-revisjon. IT-relatert risiko. Metodeutvikling i finansiell revisjon. Revisjonskonseptet

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

IT-revisjon. Dokumentasjon av balansen. E-post som bevis (regnskapsmateriale) Klassisk IT-revisjon Cobit ITIL

ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland

Fra teori til praksis

Sikkert som banken? Hva IT-tilsyn er godt for. Annikken Seip Seniorrådgiver IT-tilsynet Abelia, 22. september 2005

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Egenevaluering av internkontrollen

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

IT I PRAKSIS!!!!! IT i praksis 20XX

Veiledning- policy for internkontroll

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

IT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Profesjonalisering av prosjektledelse

KONTROLLSTRATEGI REISER UTEN REKVISISJON

Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

Presentasjon 1, Requirement engineering process

Med kvalitet menes: WIKIPEDIA. STORE NORSKE LEKSIKON

Nytten ved å jobbe systematisk med intern kontroll Revisjonsdirektør Solbjørg Lie

Økonomisk internkontroll

Avito Bridging the gap

Profesjonalisering av prosjektledelse

Hva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet?

Internkontroll og informasjonssikkerhet lover og standarder

Hvilke faktorer påvirker virksomhetenes tilnærming til risiko

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

Fylkesmannen i Buskerud 22. august Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Mislighetsrisiko ved utkontraktering. NIRF nettverksmøte februar 2008 Lars Erik Fjørtoft og Dag Eidsvik

Egenevalueringsskjema

Hvordan NAV arbeider med internkontroll i et prosessperspektiv. Kristine Bosio Horn Seniorrådgiver Arbeids- og velferdsdirektoratet

Forstudie digitalisering nye Moss kommune

Arkivplan som verktøy for internkontroll i kommunene

IT Service Management

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Prosjekt: Utvikling av egenkontrollen i kommunene

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Policy for Antihvitvask

Hva er et styringssystem?

Styring og intern kontroll.

Internkontroll i praksis (styringssystem/isms)

Strategi: Hvordan lage noe mer enn bare planer? Bergen Næringsråd, Kjapt & Nyttig

Strategiutvikling EDB Business Partner

A. Strategi og styring

prosjekt NorSox God IT Styring og Kontroll i norske foretak Sluttrapport - Del 2: Veiledning for innføring av god IT-styring og -kontroll

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway)

Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016

Barrierestyring. Hermann Steen Wiencke PREPARED.

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Strategisk kobling og IT Styring

SAS-forum BI Strategi og BICC

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter

Veien til ISO sertifisering

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Implementering Fra forbedring til effekt

Bergvall Marine OPPGAVE 3. Jon Vegard Heimlie, s Vijitharan Mehanathan, s Thore Christian Skrøvseth, s171679

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial)

GEVINSTREALISERING - IT I PRAKSIS. Morten Skodbo Rambøll Management Consulting

Overordnet presentasjon av PRINCE2/Prosjektveiviseren, MoP og MSP og hvordan disse henger sammen. Nettverk for program- og porteføljestyring

Prinsipper for virksomhetsstyring i Oslo kommune

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Samarbeidsforum internkontroll

Forslag til oppfølgingsansvar

ROI i et IT-styringsperspektiv ASP Norge din uavhengige rådgiver

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

IT-forum våren ITIL et rammeverk for god IT-drift

Anbefaling til God IT-skikk (nr. 2) Tilgangskontroll Styring av informasjonstilgang

Prosjektmetode i Politiet

Informasjonssikkerhet En tilnærming

Saksframlegg Referanse

Den som har skoen på, burde vite hvor den trykker!,

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES?

Mislighetsrevisjon Sykehuset Innlandet HF

Transkript:

Anvefaling til God IT-skikk (nr. 0) Grunnleggende retningslinjer for god IT-skikk

Innhold Innledning... IT Governance... Kjennetegn ved et godt rammeverk for IT Governance... Forretningsorientert... Prosessorientert... Kontrolltiltak... Vurdering av operasjonell risiko (PO9)... Sikring av systemsikkerhet (DS5)... Katastrofeberedskap (DS4)... Kontrolltiltak ved utkontraktering (DS1 og DS2)... Avvikshåndtering (DS8 og DS10)... Endringshåndtering (AI5 og AI6)......og Kontrollaktiviteter... Oppfølging av målbare parametere... Hvordan oppnå styring og kontroll med IT-bruken i virksomheten?... Ytelsesmålinger... Modenhetsmodell (Maturity modelling)... Veien videre... Referanser... 4 5 6 6 7 9 9 9 9 10 10 10 10 11 11 11 11 13 14 3

Innledning IT Governance ISACA Norway Chapter gir i dette dokumentet en innføring i hva som kjennetegner administrative, ikke-tekniske aspekter så vel som tekniske, operative aspekter ved god IT-styring. Det vil bidra til å gi virksomheten en helhetlig tilnærming til området IT Governance (IT-styring og 1 kontroll). Målgruppen for dokumentet er først og fremst: Beslutningstagere med et Sørge for -ansvar De som beslutter investeringene, de som definerer krav til virksomheten og de forretningsenhetene som bruker IT-tjenestene. Aktører som har et Utføre -ansvar Interne eller eksterne interessenter som tilbyr IT-tjenester. Dette kan være IT-linjeledere, -prosjektledere, -prosessledere, utviklere eller driftspersonell med ansvar for daglig drift. De med et Påse -ansvar Interne og eksterne interessenter som har ansvar for kontroll og risikohåndtering. Dette kan være personell med oppgaver innen sikkerhet, kontroll med behandling av personopplysninger, personell med ansvar for risikohåndtering eller personell med ansvar for intern kontroll og revisjon. ISACA håper at de som leser dette dokumentet vil få en forståelse av de fordeler et godt rammeverk for IT Governance kan gi en virksomhet. Blant annet vil vi trekke frem: Bedre samhandling mellom IT- og forretningsvirksomhet gjennom økt forretningsfokus i IT-virksomheten og at ledelsen får en klarere forståelse for IT-virksomhetens bidrag til forretningsdriften. Klart definert eierskap og ansvarsfordeling basert på prosessorientering i IT-virksomheten. Det medfører blant annet mulighet til å oppnå større verdi av IT-investeringen og å synliggjøre muligheter i IT-virksomheten.. Bedre kommunikasjon både internt, mot tredjepartsleverandører og mot myndigheter gjennom et felles språk, noe som gir bedre forståelse mellom alle involverte parter. Denne type rammeverk bidrar til å møte myndighetenes krav til IT-kontroller gitt i lover, forskrifter og annet regelverk. Dette kan være krav gitt direkte som i Personopplysningsloven med forskrifter. Bokføringsloven og IKT-forskriften eller indirekte i taushetsbestemmelser, bestemmelser og habilitet og opphavsrett. Ansvaret for IT Governance er; som en del av Corporate Governance; lagt til virksomhetens ledelse og styre. IT Governance inkluderer lederskap, organisasjonsstruktur og prosesser som sikrer at virksomhetens bruk av IT understøtter virksomhetsstrategi og -målsetninger. Et godt rammeverk for IT Governance har fokus på følgende egenskaper ved virksomheten: Strategisk tilpasning ( Strategic Alignment ) som sikrer knytningen mellom forretningsstrategien og IT-strategien ved: å definere, vedlikeholde og validere verdien av IT-virksomheten og å innrette IT-virksomheten etter forretningsvirksomheten. Verdiøkende leveransekvalitet ( Value Delivery ) som sikrer kvaliteten på leveransen av de tjenester som forretningssiden i en virksomhet etterspør fra en IT-leverandør. Prosessene skal være optimale med hensyn på økonomisk gevinst i forhold til investering på tjenester og kostnadseffektivitet gjennom leveransesyklusen av IT ved: å sikre at IT-virksomheten leverer i henhold til IT-strategien og å optimalisere forholdet mellom investering/kostnader mot økt produktivitet/ gevinst. Dette bidrar til å synliggjøre verdien av IT. Ressursstyring ( Resource Management ) handler om at optimal investering i og skikkelig håndtering av kritiske IT-ressurser er nøkkelen for å kunne utføre de nødvendige IT-prosessene. Dette vil lede til god understøttelse av forretningsvirksomheten. Ressursene som kan utnyttes er: applikasjoner informasjon infrastruktur mennesker. Risikohåndtering ( Risk Management ) som krever risikobevissthet hos medarbeidere og gir: en klar forståelse av virksomhetens risikovillighet eller risikoappetitt forståelse av krav til etterlevelse åpenhet om viktige risikoer i virksomheten implementering av ansvaret for risikohåndtering i virksomheten Ytelsesmålinger ( Performance Measurement ) som følger og overvåker resultatmål. Balansert målstyring omsetter strategi til konkrete aktiviteter for å oppnå resultatmål som gir merverdi til bedriften. Balansert målstyring kan benyttes til strategiimplementering, prosjektgjennomføring, ressursbruk, prosessytelse og servicenivå. Figur 1: IT Governance: Visualisert som 5 egenskaper ved styring og kontroll av virksomhetens IT- leveranser og -bruk for å oppfylle forretningssidens krav En god organisering og styring av IT vil også komplettere og forbedre oppfyllelse av COSO (the Committee of Sponsoring Organisations of the Treadway Commission) sitt rammeverk (COSO ERM) med hensyn på krav til internkontroll i en virksomhets IT-prosesser. 1 Siden begrepet IT Governance etter hvert er innarbeidet i det norske språket har vi i resten av dokumentet brukt denne betegnelsen fremfor IT-styring og kontroll. 4 5

Kjennetegn ved et godt rammeverk for IT Governance Hvordan skal et rammeverk være for å oppnå disse fordelene og tilfredsstille interessentene? Et godt styringssystem skal være forretningsorientert og prosessorientert, basert på kontrolltiltak (prosedyrer og rutiner), samt på oppfølging av målbare parametre. IT Governance er ikke bare En modell for å styre IT avdelingen, men derimot En modell for å styre virksomhetens bruk av IT. Ved å bruke IT Governance skal man med andre ord kunne ivareta både det administrative og det operative, så vel som det ikke-tekniske og det tekniske. Figur 3: Styringssystemer for en virksomhet; COSO og CobiT virkefelt som rammeverk. Forretningsorientert For at IT-virksomheten skal kunne levere tjenester som understøtter forretningsstrategien, må det være et klart definert eierskap til og styring av kravene til forretningsvirksomheten (kunden), og en klar forståelse av hva som skal leveres av IT-funksjonalitet. Forretningssiden må utarbeide mål for sin bruk av IT og kreve en IT- virksomhet som understøtter forretningsstrategien. Dette vil hjelpe IT-virksomheten til å utarbeide egne målsetninger som understøtter forretningens mål. IT- virksomheten får dermed et grunnlag for å estimere behov for IT- ressurser og kapasitet, og leverer IT- tjenester som støtter opp under forretningens mål. IT-virksomheten kan på sin side tilføre virksomheten verdi ved å definere tjenester som understøtter virksomhetens prosesser og forenkler oppnåelse av resultater. Vanligvis fremstilles de forretningsmessige kravene til IT på en generisk måte som kan uttrykkes: Prosessorientert Et prosessorientert rammeverk introduserer en prosessmodell. Prosessmodellen vil være en referanse og gi et felles språk for alle i virksomheten som vurderer og håndterer IT-aktiviteter. I følge ISO kan ITprosessene deles i fire hovedelementer: Plan, Do, Check, Act (PDCA). En prosessmodell legger til rette for å definere eierskap til og ansvar for alle prosesser. Dette bidrar til at alle deler av IT-virksomheten sikres en korrekt håndtering. CobiT og ITIL er eksempler på prosessorientering som deler prosessene i tråd med ISO sin firedelte PDCA modell. ITIL har som en standard fokus på prosesser som beskriver IT leveranser, mens CobiT som et rammeverk 2 forsøker å beskrive administrative og organisatoriske prosesser i tillegg til det prosessorienterte. ITIL deler prosesser inn i fem hovedområder: Tjenestestrategi (Service Strategy) Tjenestedesign (Service Design) Tjenestetransisjon (Service Transition) Tjenestedrift (Service Operations) Kontinuerlig tjenesteforbedring (Continuous Service Improvement) CobiT deler prosessene i fire hovedområder: Planlegging og Organisering (PO), Anskaffelse og Implementering (AI), Driftsleveranser og Støtte (DS) og Monitorering og Evaluering (ME). Figur 2: Forretningsmessige krav til IT Rene forretningsorienterte rammeverk som for eks. COSO ERM vil ofte medføre en silo-tenking hvor alle prosesser gjentas og beskrives for hvert enkelt forretningsområde som en virksomhet har definert i sin organisasjon. Som oftest faller IT-virksomheten utenfor siden dette understøtter alle forretningsenheter med samme IT støtte og tjenester uansett enhet. 2 IT Governance Institute har laget et dokument som sammenstiller CobiT 4.0 med ITIL 3.0. For de som er interessert i å se hvordan de to rammeverkene utfyller hverandre, anbefales denne litteraturen. (CobiT Mapping: Mapping of ITIL v3 with CobiT 4.1). Dokumentet viser at: CobiT har en ledelsesorientert tilnærming til hvilke prosesser som må være tilstede for å bruke IT optimalt uten å detaljere hvordan rutinene/prosedyrene skal utføres, men legger vekt på hva som skal oppnås i den enkelte underprosess/aktivitet. ITIL utfyller dette ved å gi et sett beskrivelser av Best Practices av hvordan prosessene skal utføres i sitt bibliotek. Dokumentet er fortsatt aktuelt selv om både CobiT og ITIL nå finnes i nyere versjoner. 6 7

Litt enkelt kan man si at CobiT sine prosessområder PO og ME er forretningsorientert, mens AI og DS er prosessorientert og sammenfaller med ITIL sine mer detaljerte prosessaktiviteter. Hvert hovedområde er delt i prosesser med beskrevne mål for hver prosess eller underprosesser. Til sammen har CobiT definerer følgende 34 prosesser fordelt på de fire hovedområdene: Planlegging og Organisering (POx): PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 AI1 AI2 Definere en IT-strategi Definere en informasjonsarkitektur Definere en informasjonsarkitektur Utforme IT-organisasjonen og IT-prosessene Forvalte IT-investeringer Formidle ledelsens mål og retning Personalledelse Kvalitetsstyring Risikostyring Prosjektstyring Anskaffelse og Implementering (AIx) AI3 AI4 AI5 AI6 AI7 DS1 DS2 Identifisere løsninger Anskaffelse og vedlikehold av applikasjoner Anskaffelse og vedlikehold av teknologisk infrastruktur Utvikle og vedlikeholde prosedyrer Anskaffelse av IT-ressurser Endringsledelse og -håndtering Driftleveranse og Støtte (DSx): DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 Installasjon og godkjenning av systemer Definere og styre servicenivået Styre tjenester fra eksterne IT-leverandører Styring av ytelse og kapasitet Sikre kontinuerlig service-/kriseplanlegging Sikre systemsikkerhet Identifisere og fordele kostnader Brukeropplæring Mottak for behandling av hendelser Mottak for behandling av hendelser Håndtering av problemer og hendelser Håndtering av data Fysiske omgivelser Styring av driften Kontrolltiltak Kontrolltiltak er definert som tiltak for å sikre at forretningsmålene blir nådd og at uønskede hendelser unngås. Dette gjøres ved å utarbeide retningslinjer, prosedyrer, rutiner, tekniske og fysiske tiltak samt organisering av virksomheten. Kontrolltiltak kan deles i to hovedgrupper: Generelle kontrolltiltak som er innebygget i prosedyrer og rutiner og som for eksempel kan omfatte: Systemutvikling Endringshåndtering Sikkerhet Drift Applikasjonsmessige kontroller dvs. kontroller som er implementert i forretningsapplikasjonene. Dette kan omfatte: Fullstendighet (Completeness) Nøyaktighet (Accuracy) Gyldighet (Validity) Autorisert (Authorised) Arbeidsdeling (Segration of duties) Nedenfor er det gitt eksempler på kontrolltiltak knyttet til prosesser i IT-virksomheten: Vurdering av operasjonell risiko (PO9) For dagens virksomheter er operasjonell risiko i stor grad knyttet til IT-systemene. Dette henger sammen med at de fleste virksomhetsprosesser er helt avhengig av IT. Det er derfor viktig å ha en systematisk tilnærming til den risiko IT utgjør for virksomheten. Det finnes både norske og utenlandske veiledninger til hvordan risikoanalyser/ risikovurderinger av IT-virksomheten kan gjennomføres. Sikring av systemsikkerhet (DS5) Sikkerhet skal understøtte virksomhetens strategi og være et virkemiddel for risikostyring og kontroll med risiko i virksomheten. Det er viktig å være klar over at lover og forskrifter stiller konkrete krav til sikkerhet, jfr. for eksempel IKT-forskriften og Personopplysningsloven 13 samt Personopplysningsforskriften. Eksempler på krav er Personopplysningsforskriftens krav til forholdsmessig sikring, jfr. forskriften 2-1 og til risikovurdering, jfr. 2-4. Ansvaret for sikkerhet i privat sektor er regulert i aksjeloven og i offentlig sektor gjennom sikkerhetsloven. NS ISO 27000-serien er anerkjente standarder for informasjonssikkerhet. Disse kan benyttes som utgangspunkt for implementering av et godt sikkerhetsregime i virksomheten. Krav til sikkerhet vil i praksis innebære krav til både tekniske løsninger, prosesser og rutiner, avklarte ansvarsforhold og gode holdninger hos ansatte og ledelse. Driftleveranse og Støtte (DSx): ME1 ME1 ME1 ME1 Overvåke og vurdere IT-ytelse Vurdere internkontroll Sikre etterlevelse av eksterne krav Styring og kontroll Katastrofeberedskap (DS4) Virksomhetens risikovurdering er et utgangspunkt for å vurdere nødvendige krav til katastrofeberedskap på IT-siden. Viktige elementer i vurderingen er: Hva koster det virksomheten å være uten IT-systemene, hvilke konsekvenser har det for kunder, offentligheten og/eller publikum og hvilke krav stilles gjennom lover og forskrifter? IT-katastrofeberedskap innebærer behov for planverk og tekniske løsninger samt regelmessige øvelser. 8 9

Kontrolltiltak Kontrolltiltak ved utkontraktering (DS1 og DS2) Selv om oppgaver utkontrakteres, er det virksomheten selv som står ansvarlig for at oppgavene utføres forsvarlig. Det er nødvendig å ha gode avtaler med leverandør som regulerer leveransen og klargjøre nødvendige kontrolltiltak i leveransen. Tilsvarende må leveransen og kontrolltiltakene følges opp gjennom jevnlige møter med leverandør. Avtale med leverandør skal inneholde virksomhetens rett til revisjon hos leverandøren. Virksomheten må opprettholde tilstrekkelig fagkompetanse i egen organisasjon til å følge opp og sikre at leveransen er i henhold til avtalen. Se for øvrig IKT-forskriften 12 Utkontraktering og Personopplysningsloven med forskrifter som stiller krav til databehandleravtale. Avvikshåndtering (DS8 og DS10) Prosedyrer for avvikshåndtering skal sikre rask gjenopprettelse av IT-systemene. Det er viktig at avvikshåndteringen innrettes for å hindre gjentakelser. Endringshåndtering (AI5 og AI6) Prosedyrer for endringshåndtering skal sikre forsvarlig, formell og dokumentert vurdering, behandling og test av endringen før produksjonssetting.... og Kontrollaktiviteter Det er vanlig å fordele kontrollhandlingene som utføres i Egenkontrollaktiviteter gjøres av den enkelte ansatte for å sikre at prosessaktiviteten er gjennomført i henhold til intensjoner og målsetning. Nøkkelkontrollaktiviteter som sikrer at prosesskjeden ikke går videre til neste fase uten 3 at en viss kvalitet er bakt inn. Man kan således ha mange egenkontroller for å sikre en arbeidsprosess, men et fåtall nøkkelkontroller. Det er viktig i forhold til COSOs krav om innføring og rapportering av Intern Kontroll at man her fokuserer på nøkkelkontrollene, deres kvalitet og det kontrollspor man etablerer som sikrer etterprøving, statistikk, måleparametere og rapporteringsmuligheter. Alle virksomhetens prosesser må inneholde nødvendige sjekkpunkter for å tilfredsstille krav til betryggende kontroll. Det betyr at virksomheten må vurdere behovet for nødvendige kontrolltiltak iverksatt gjennom egne prosedyrer og rutiner. Dokumentene fra IT Governance Institute IT Assurance Guide og CobiT Control Practices beskriver hva som kan være nøkkelkontroller innenfor hver IT prosess og underprosess; og komme med forslag til hvordan kontrolldesignet kan sjekkes. 3 - Et eksempel kan være flypiloten som vi ser gjennomgår en sjekk av flyet for å sikre seg om at det er trygt å fly (egenkontrollaktiviteter), men som først får lov av tårnet til å ta av når en utfylt sjekkliste er signert og overlevert til bakkemannskapet (nøkkelkontroll). Oppfølging av målbare parametere Et grunnleggende behov for all forretningsvirksomhet er å ha en oppfatning om og en forståelse av status på egne IT-ressurser og å bestemme hvilket nivå av styring og kontroll med IT-ressursene man skal legge seg på. Ledelsen bør legge seg på et nivå der kostnadene ved styring og kontroll balanserer nytteverdien for virksomheten. Hvordan oppnå styring og kontroll med IT-bruken i virksomheten? For å kunne forbedre og optimalisere IT-bruken i en virksomhet er man nødt til å finne ut hvilket nivå man holder i dag, hvilket nivå man ønsker å være på i framtiden og legge en plan for å komme dit. Virkemidlene for å oppnå dette kan være en kombinasjon av: Benchmarking av IT-prosessenes dyktighet uttrykt som et nivå på en modenhetsmodell. Mål og måleparametere for IT-prosessene til å definere og måle resultat og ytelse basert på prinsipper for balansert målstyring. Aktiviteter for å sikre kontroll med IT-prosessene Ytelsesmålinger. En tradisjonell måte å gjøre resultatmålinger på er gjennom ytelsesmålinger. Mål og metrikker kan defineres på tre nivåer: IT-mål og måleparametere som definerer hva forretningsvirksomheten forventer av IT-virksomheten og hvordan dette måles. Prosessmål og metrikker som definerer hva IT-prosessen må levere for å støtte IT-virksomhetens målsetninger og hvordan dette måles Aktivitetsmål og metrikker som spesifiserer hva prosessen må inneholde av aktiviteter for å nå ytelseskravene og hvordan dette måles To måleindikatorer som brukes er: Resultatmålinger (outcome measure). Tidligere ble dette kalt Key Goal Indicators (KGI). Det indikerer om mål har blitt nådd og kan bare bli målt etter at en prosess (typisk en prosjektaktivitet) er gjennomført. Ytelsesindikatorer (performance indicators). Tidligere ble dette kalt Key Performance Indicators (KPI). Det indikerer om det er sannsynlig at mål blir nådd og kan måles før utfallet av en aktivitet er klart. Modenhetsmodell (Maturity modelling) En måte å måle status på virksomhetens IT-systemer er å bruke en modell som viser organisasjonens modenhet for forvaltning og kontroll med IT-prosessene. Modenhetsmodellering er basert på en metode for å evaluere virksomheten slik at den kan graderes på en skala for modenhet fra nivå 0 ikke-eksisterende til nivå 5 optimalisert. CobiT tilbyr en slik modell i sitt rammeverk. Til hver enkelt av de 34 prosessene har CobiT definert et modenhetsnivå fra 0 til 5 som et mål på virksomhetens implementering av prosessen. Generelt er nivåene som følger: 0 Ikke-eksisterende > Fullstendig mangel på prosesser. Virksomheten har ikke engang identifisert behovet for prosesser. 1 Ad hoc > Virksomheten har identifisert behov for prosesser. Det er imidlertid ingen standardiserte prosesser. Isteden behandles sakene ad hoc og behandlingen veksler fra sak til sak og fra person til person 10 11

som håndterer dem. Det overordnede ledelsesansvaret er pulverisert. 2 Repeterende, men intuitiv > Prosesser har blitt utviklet til et nivå der lignende prosedyrer blir fulgt av ulike mennesker for håndtering av samme type oppgaver. Det er ingen formell opplæring eller kommunikasjon av standard prosedyrer og ansvaret er overlatt til den enkelte. Det er høy grad av tiltro til individuell kunnskap (nøkkelressurser) og derfor sannsynlighet for feil. 3 Definerte prosesser > Prosesser er standardisert og dokumentert og kommunisert gjennom opplæring. Det er stadfestet at disse prosessene skal etterleves, imidlertid er det usannsynlig at avvik vil bli oppdaget. Prosedyrene er i seg selv ikke avanserte, men er en formalisering av eksisterende praksis. 4 Håndtert og målbart > Ledelsen overvåker og måler etterlevelse av prosedyrene og iverksetter tiltak dersom prosedyrene ikke ser ut til å virke effektivt. Prosessene er under konstant forbedring og besørger god praksis. Automasjon og verktøy er brukt på en begrenset og fragmentert måte. 5 Optimalisert > Basert på resultatene av kontinuerlig forbedring og modenhetsmodellering med andre virksomheter, har prosesser blitt raffinert til et nivå som er i tråd med god praksis. IT blir brukt på en integrert måte for å automatisere arbeidsflyt, tilby verktøy til forbedring av kvalitet og effektivitet og gjøre virksomheten i stand til raske tilpasninger. Veien videre Det er viktig at ledelsen i en virksomhet forstår behovet for å kombinere de forskjellige målemetodene. Mange starter opp med ytelsesmålinger uten at man har dokumenterte prosedyrer som beskriver hva man skal gjøre og hva som skal ivareta kontrollaktivitetene i aktivitetene. Det betyr at man aldri kan være sikre på at en aktivitet og prosess er utført på en optimal og gjennomarbeidet måte. For virksomheter som ligger på modenhetsnivå 2 eller lavere vil derfor ytelsesmålinger ha en tvilsom verdi. For virksomheter som tar i bruk modenhetsmåling antar man at de fleste starter med en organisasjon som har et modenhetsnivå under 3, men forhåpentligvis over 2; og at man ønsker å utvikle seg til å være på 3 til 4 på den gitte skalaen som et første mål. Det betyr at prosessene må være dokumentert i prosedyrer og kontrollaktiviteter være beskrevet. Når virksomheten har fått innarbeidet målbare prosesser og kontrollaktiviteter kan man arbeide med å forbedre bruken av IT ytterligere. Her vil etter hvert ytelsesmålingene bli viktige for å sikre at virksomhetens IT aktiviteter er Håndtert og målbare. Mange virksomheter har i dag et slikt modenhetsnivå som mål for sin virksomhet. For de som ønsker å bygge videre til et optimalisert nivå og derved få et konkurransefortrinn som skiller seg ut fra andre virksomheter, er en mulig løsning fra IT Governance Institute beskrevet i dokumentet Enterprise Value: Governance of IT Investments; The Val IT Framework 2.0. Her beskriver man en synergi mellom CobiT som fokuserer på - Gjør vi de riktige aktivitetene på riktig måte - Får vi levert tjenestene med en skikkelig kvalitet Og Val IT som fokuserer på - Gjør vi de riktige tingene - Får vi ut fordelene og besparelsene/verdiene ved det vi gjør. Val IT presenterer tre områder hvor man gjennom å være bevisst på og styrke arbeidsprosessene i disse områdene kan optimalisere IT i en virksomhet slik at den blir et konkurransefortrinn og har en egenverdi som ledelsen kan vurdere. De tre områdene er: Verdistyring (Value Governance) Porteføljestyring (Portfolio Management) Investeringsstyring (Investment Management) For virksomheter som søker en slik optimalisering av IT i sin virksomhet anbefales den nevnte litteraturen fra IT Governance Institute. Det er også tilgjengelig Case Studies som beskriver virksomheter som har forsøkt en slik optimalisering og deres erfaringer. 13

Referanser CobiT versjon 4.1 CobiT Assurance Guide CobiT Control Practises Enterprise Value: Governance of IT Investments; The Val IT Framework 2.0 CobiT mapping of ITIL v3 with CobiT 4.1 (July 2008) Aligning CobiT 4.1, ITIL v3 and ISO/IEC 27002 for Business Benefit (November 2008) ITIL versjon 3 NS ISO 27000 NS ISO 9001 Software Engineering Institute: Capability Maturity Model CISA Review Manual 2008 Helhetlig risikostyring et integrert rammeverk COSO 2 Sikkerhetsloven med forskrifter Aksjeloven med forskrifter Personopplysningsloven med forskrifter IKT-forskriften Bokføringsloven med forskrifter Økonomireglementet i staten Hvitvaskingsloven med forskrifter Kapitalkravsforskriften Høringsnotat Om endring av internkontrollforskriften av 20. juni 1997 nr. 1057, Kredittilsynet COSO (the Committee of Sponsoring Organisations of the Treadway Commission) sitt rammeverk COSO ERM 14

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding