KONTROLL IRÁNYELVEK 3. kiadás MTA Információtechnológiai Alapítvány 2003
COBIT AZ INFORMÁCIÓ TECHNOLÓGIA IRÁNYÍTÁSÁHOZ, KONTROLLJÁ HOZ ÉS ELLEN RZÉSÉHEZ IT GOVERNANCE INSTITUTE
IT GOVERNANCE INSTITUTE COBIT 3. kiadás Kontroll irányelvek 2000. július A COBIT Irányító Bizottsága és az IT Governance Institute TM gondozásában A COBIT küldetése: Mértékadó, naprakész és nemzetközi érvény, általánosan elfogadott informatikai kontroll irányelvek kutatása, kidolgozása, publikálása és támogatása, amelyeket napi munkájuk során tudnak használni az üzletemberek, ellen rök és könyvvizsgálók 3
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION Egyedülálló nemzetközi forrás az informatikai ellen rzés területén Az Information Systems Audit and Control Association (Információs Rendszer Ellen rzési és Kontroll Egyesület) olyan meghatározó jelent ség nemzetközi szakmai szervezet, amely több mint 100 ország szakembereit tömöríti, az információ-technológia minden szintjén fels - és közép-vezet ket valamint gyakorló felhasználókat egyaránt. Az Egyesület pozíciójából ered en egyedülálló szerepet tölt be az informatikai ellen rzési szabványok harmonizációjában. Más pénzügyi, számviteli, ellen rzési és informatikai csoportokkal kialakított stratégiai együttm ködésének köszönhet en egyedülálló módon képes összefogni az üzleti folyamatok irányításában érdekelt feleket. Az Egyesület programjai és szolgáltatásai Az Egyesület magas színvonalú programokat és szolgáltatásokat kínál a nemzetközi szakképesítés, a szabványok, a továbbképzés és a szakmai kiadványok terén: Szakképesítési programja (Okleveles információs rendszer ellen r képzés) az egyetlen olyan, amely nemzetközi képesítést nyújt az informatikai kontroll és ellen rzés területén. Az Egyesület által kidolgozott nemzetközi szabványok az informatika területéhez kapcsolódó ellen rzési és kontroll eljárások min ségi mércéjeként szolgálnak. Továbbképz programjai keretében szakmai és vezet i konferenciákat és szemináriumokat szervez a világ öt földrészén, így segítve azt, hogy az ellen rzési szakemberek a világ minden részén magas szint továbbképzésben részesüljenek. Szakmai kiadványai hivatkozási forrásként és kutatási anyagként szolgálnak, tovább növelve a különböz programok és szolgáltatások értékét. Az Information Systems Audit and Control Association 1969 ben alakult meg azzal a céllal, hogy kielégítse az akkor még gyerekcip ben járó informatikai ágazat egyedi, sokrét és magas szint technológiai igényeit. Az ISACA lépést tart a nemzetközi üzleti közösség és az informatikai szakma igényeinek fejl désével egy olyan ágazatban, ahol nano szekundumokban mérik az el relépéseket. További információk További felvilágosításért hívja a +1.847.253.1545 ös telefonszámot, írjon e mail címünkre (research@isaca.org), vagy keressen fel minket az Internet-en az alábbi oldalakon: www.itgovernance.org www.isaca.org
EK TARTALOMJEGYZÉK Köszönetnyilvánítás Vezet i összefoglaló A COBIT keretrendszer A keretrendszer alapelvei COBIT történelem és el zmények Kontroll irányelvek Összefoglaló táblázat A kontroll irányelvek alapelvei Kontroll irányelvek navigációs áttekintése Kontroll irányelvek közötti kapcsolat: Terület, eljárások és kontroll irányelvek Kontroll irányelvek I. Melléklet II. Melléklet Tervezés és szervezet Beszerzés és bevezetés Informatikai szolgáltatás és támogatás Felügyelet Informatikai irányításhoz kapcsolódó vezet i útmutató COBIT projekt ismertetés III. Melléklet Els dleges COBIT hivatkozási források IV. Melléklet Index Szójegyzék 5
EK A kiadók megjegyzése Az Information Systems Audit and Control Foundation (Információs Rendszerek Ellen rzésével és Vizsgálatával foglalkozó Alapítvány), az IT Governance Institute és a COBIT: Control Objectives for Information and Related Technology (Információ technológiai Kontroll Irányelvek) támogatói els sorban azzal a céllal dolgozták ki az Összefoglaló áttekintés, a Keretrendszer, az Ellen rzési irányelvek, a Vezet i útmutató, az Auditálási útmutató és az Alkalmazási módszerek elnevezés kiadványokat (együttesen a Termék ), hogy forrásanyagot biztosítnak az ellen rzési szakemberek számára. Az Information Systems Audit and Control Foundation, az IT Governance Institute és a támogatók nem állítják azt, hogy a jelen Termékben leírtak alkalmazása garanciát jelent a sikeres eredményre. A kiadók nem állítják azt, hogy a jelen Termék minden megfelel eljárást és tesztet tartalmaz illetve azt, hogy a benne szerepl eljárásokon és teszteken kívül más eljárások és tesztek nem hozhatnak hasonló eredményeket. Az egyes konkrét eljárások illetve tesztek megfelel ségének meghatározásakor az ellen rzési szakembereknek saját szakmai megítélésük alapján kell dönteniük, a konkrét rendszerek illetve ellen rzési környezet függvényében. Közzététel és szerz i jog Copyright 1996, 1998, 2000 by Information Systems Audit and Control Foundation (ISACF). A termék kereskedelmi célú kiadásához az ISACF el zetes írásbeli hozzájárulása szükséges. Az Összefoglaló áttekintés, a Keretrendszer, a Kontroll irányelvek, a Vezet i útmutató és az Alkalmazási módszerek c. részek nem üzleti célú, bels használatra történ másolása, beleértve azok adatkeres rendszerben történ tárolását és bármilyen eszközön elektronikus, mechanikus, hangfelvétel, vagy más keresztül történ továbbítását, engedélyezett. Az Összefoglaló áttekintés, a Keretrendszer, a Kontroll irányelvek, a Vezet i útmutató és az Alkalmazási módszerek részekr l készített másolatokban az alábbi szerz i jogi nyilatkozatot kell feltüntetni: Copyright 1996, 1998, 2000 by Information Systems Audit and Control Foundation. Az Information Systems Audit and Control Foundation és az IT Governance Institute engedélyével. Az Auditálási útmutató cím rész felhasználása, másolása, reprodukálása, módosítása, terjesztése, adatkeres rendszerben történ tárolása és bármilyen formában, bármilyen eszközön (elektronikus, mechanikus, fénymásolt, hangfelvétel, vagy más) keresztül történ továbbítása nem engedélyezett az ISACF el zetes írásbeli hozzájárulása nélkül; azzal a kikötéssel, hogy az Auditálási útmutató kizárólag bels, nem-kereskedelmi célú felhasználása engedélyezett. A fentiekben jelzetteken kívül semmilyen más jog illetve engedély nem került átadásra a jelen termékkel kapcsolatban. A termékkel kapcsolatos minden jog fenntartva. Information Systems Audit and Control Foundation IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Telefon: +1.847.253.1545 Fax: +1.847.253.1443 E mail: Internet: research@isaca.org www.itgovernance.org www.isaca.org ISBN ISBN 1 893209 15 6 (Összefoglaló áttekintés) 1 893209 13 X (a 6 teljes könyv CD ROM-mal együtt) Készült az Amerikai Egyesült Államokban. 6
EK KÖSZÖNETNYILVÁNÍTÁS COBIT IRÁNYÍTÓ BIZOTTSÁG Erik Guldentops. S.W.I.F.T. sc. Belgium John Lainhart, PricewaterhouseCoopers, USA Eddy Schuermans, PricewaterhouseCoopers, Belgium John Beveridge, State Auditor s Office, Massachusetts, USA Michael Donahue, PricewaterhouseCoopers, USA Gary Hardy, Arthur Andersen, Egyesült Királyság Ronald Saull, Great-West Life Assurance, London Life And Investors Group, Kanada Mark Stanley, Sun America Inc., USA KÜLÖN KÖSZÖNET az ISACA Bostoni és Nemzeti F városi részlegeinek a COBIT Kontroll irányelvek elkészítésében történt közrem ködésükért. KÜLÖN KÖSZÖNET az Information Systems Audit and Control Association Igazgatóságának tagjainak és az Information Systems Audit and Control Foundation vagyonkezel inek, élükön Paul Williams Nemzetközi Elnökkel, a COBIT iránti elkötelezettségükért és folyamatos támogatásukért. 7
EK VEZET I ÖSSZEFOGLALÓ A szervezetek sikere és továbbélése szempontjából kritikus fontosságú az információk és az ahhoz kapcsolódó információ-technológia (IT) eredményes alkalmazása. Napjaink globális információs társadalmában ahol az információ id -, távolsági- és sebesség-korlátok nélkül száguld a kibertérben az alábbi tényez k miatt vált rendkívül fontossá az információk hatékony feldolgozása: a szervezetek egyre nagyobb mértékben függnek az információktól és az azokat feldolgozó és továbbító rendszerekt l; egyre nagyobb mérték a szervezetek sebezhet sége és veszélyeztetettsége, a világhálón keresztül megjelen veszélyek és az információs hadviselés következtében; az informatikai beruházások volumene és költségei jelent s mértékben növekedtek és fognak növekedni a jöv ben; továbbá bizonyos új technológiák radikálisan képesek befolyásolni a szervezeti m ködést és az üzleti gyakorlatot, új lehet ségeket teremtenek és csökkentik a költségeket. Sok szervezet esetében az információ és az azt feldolgozó technológia jelenti a szervezet legértékesebb vagyontárgyait. Mindezek mellett napjaink versenycentrikus és gyorsan változó üzleti környezetében az üzletemberek egyre fokozottabb elvárásokat fogalmaznak meg az információ-technológiával szemben: a vezetés magasabb min séget, funkcionalitást és könnyen használható szolgáltatásokat, egyre gyorsabb kiszolgálást és folyamatosan javuló szolgáltatási színvonalat igényel, ugyanakkor ezeket a célokat sokkal alacsonyabb költségek mellett kívánja megvalósítani. Sok szervezet felismerte, hogy milyen potenciális el nyöket kínál a technológiai fejlesztés. A sikeres szervezetek azonban azzal is tisztában vannak, hogy milyen kockázatok kapcsolódnak az új technológiák bevezetéséhez és hogyan lehet kezelni azokat. Számos olyan változás történt az informatikában és annak m ködési környezetében, amelyek szükségessé teszik az informatikával kapcsolatos kockázatok hatékonyabb kezelését. Az elektronikus információk és az informatikai rendszerek jelent s szerepet játszanak a kulcsfontosságú üzleti folyamatok támogatásában. Emellett a szabályozási környezet egyre szigorúbb el írásokat fogalmaz meg az információk ellen rzésére vonatkozóan. Ezt a folyamatot a napvilágra kerül informatikai katasztrófák és elektronikus csalások csak meger sítik. Az informatikához kapcsolódó kockázatok kezelése a vállalat-irányítás kulcsfontosságú részévé vált napjainkra. A vállalat-irányításon belül egyre jelent sebbé válik az ún. informatikai irányítás. Az informatikai irányítás a vállalat-irányítási és ellen rzési kapcsolatok és eljárások olyan struktúrájaként határozható meg, amely új érték hozzáadásával, ugyanakkor a 8
EK kockázatok és az informatika által kínált el nyök együttes mérlegelésével kívánja megvalósítani a vállalkozás célkit zéseit. Az informatikai irányítás meghatározó szerepet játszik a vállalat-irányítás sikerességében azáltal, hogy hatékony, eredményes és mérhet javulást biztosít a kapcsolódó vállalati folyamatokban. Az informatikai irányítás jelenti azt a struktúrát, amely összekapcsolja az informatikai folyamatokat, az informatikai er forrásokat és az információkat a szervezet stratégiájával és célkit zéseivel. Emellett az informatikai irányítás integrálja és intézményesíti a tervezésre és szervezetre, a beszerzésre és üzembe állításra, az informatikai szolgáltatásokra és támogatásra valamint az informatikai teljesítmény felügyeletére vonatkozó követend (vagy legjobb) gyakorlatokat annak érdekében, hogy a vállalkozás információs- és kapcsolódó technológiái segítsék a szervezet üzleti célkit zéseinek megvalósítását. Az informatikai irányítás tehát lehet vé teszi a vállalat számára, hogy teljes mértékben kihasználja a birtokában lév információk által kínált el nyöket és ezáltal maximális hasznot érjen el, megragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson. Informatikai irányítás A vállalat-irányítási és ellen rzési kapcsolatok és eljárások olyan struktúrája, amely új érték hozzáadásával, ugyanakkor a kockázatok és az informatika által kínált el nyök együttes mérlegelésével kívánja megvalósítani a vállalkozás célkit zéseit. A szervezeteknek az információk kapcsán is, akárcsak a szervezet minden vagyona esetében, figyelembe kell venniük bizonyos min ségi, fiduciáris és biztonsági követelményeket. A vezetésnek emellett gondoskodnia kell a rendelkezésre álló er források ideértve az adatokat, az alkalmazási rendszereket, a technológiát, a berendezéseket és az emberi er forrásokat optimális kihasználásáról. A fenti feladatok teljesítése valamint kit zött céljai megvalósítása érdekében a vezetésnek tisztában kell lennie saját informatikai rendszereinek státuszával és döntenie kell arról, hogy milyen biztonsági és ellen rzési mechanizmusokat kíván kialakítani. A COBIT immár harmadik kiadásában az üzleti kockázatok, az ellen rzési igények és a technikai jelleg kérdések között húzódó szakadékok áthidalása révén segítséget nyújt a vezetés sokrét igényeinek kielégítéséhez. Megfelel gyakorlati megoldásokat kínál, ugyanakkor kezelhet és logikus struktúrában mutatja be a szükséges teend ket. A COBIT által megfogalmazott követend gyakorlatok olyan eljárásokat jelentenek, amelyek kapcsán konszenzusra jutottak a szakért k abban, hogy ezek az eljárások segítik az informatikai beruházások optimalizálását és támpontot kínálnak annak eldöntéséhez, hogy jól mennek-e a dolgok, vagy sem. A vezetésnek egy olyan bels ellen rzési rendszert kell kialakítania, amely támogatja az üzleti folyamatokat, világosan meghatározza, hogy az egyes ellen rzési tevékenységek hogyan járulnak hozzá az információkra vonatkozó követelmények teljesítéséhez és kihatnak az informatikai er forrásokra is. Az informatikai 9
EK rendszerek er forrás-igényeivel valamint az információk eredményességével, hatékonyságával, bizalmas jellegével, sértetlenségével, hozzáférhet ségével, megfelel ségével és megbízhatóságával kapcsolatos üzleti követelményekkel a COBIT Keretrendszer része foglalkozik részletesebben. Az ellen rzés, amely magában foglalja az irányelveket, a szervezeti struktúrát és a gyakorlati eljárásokat is, a vezetés felel sségi körébe tartozik. A vezetésnek kell gondoskodnia arról, a vállalat-irányítás keretében, hogy az információs rendszerek irányításában, használatában, tervezésében, fejlesztésében, karbantartásában és üzemeltetésében részt vev személyek felel sségteljes magatartást tanúsítsanak. Az informatikai kontroll irányelvek azt fogalmazzák meg, hogy az egyes konkrét informatikai területeken a kontroll-eljárások alkalmazása révén milyen kívánt eredmények illetve célok valósíthatóak meg. Az üzleti szemléletmód a COBIT egyik f jellemz je. A COBIT nemcsak a felhasználók és az ellen rök számára készült, hanem, ami talán még ennél is fontosabb, átfogó hivatkozási forrásként szolgál az üzleti folyamatokért felel s vezet k és a vállalati menedzsment számára. Napjainkban egyre elterjedtebb az a szemléletmód, hogy az üzletpolitika részeként az egyes üzleti folyamatokért felel s vezet k teljes felhatalmazást kapnak, tehát teljes felel sséggel tartoznak az adott üzleti terület m ködéséért, annak minden aspektusát beleértve. Ehhez hozzátartozik a megfelel kontroll-funkciók, ellen rzési mechanizmusok kialakítása is. A COBIT Keretrendszer segítséget nyújt az üzleti folyamatokért felel s vezet knek fentebb említett feladataik teljesítéséhez. A Keretrendszer egy egyszer és pragmatikus alaptételb l indul ki: A szervezeti célkit zések teljesítéséhez szükséges információk biztosítása érdekében az informatikai er forrásokat bizonyos természetszer leg összetartozó eljárások keretében kell kezelni. A Keretrendszerben bemutatásra kerül 34 ún. általános Kontroll Irányelv, az egyes informatikai folyamatokhoz kapcsolódóan, amelyek négy területre csoportosíthatóak: tervezés és szervezet; beszerzés és üzembe állítás; informatikai szolgáltatás és támogatás valamint felügyelet. Ez a struktúra az információk és az azok feldolgozásához kapcsolódó technológia minden aspektusát lefedi. A fenti 34 általános Kontroll Irányelv segítségével az üzleti folyamatokért felel s vezet k megfelel ellen rzési rendszert alakíthatnak ki az informatikai környezetre vonatkozóan. A COBIT Keretrendszer ugyanakkor informatikai irányítási útmutatót is kínál. Az informatikai irányítás biztosítja azt a struktúrát, amely összekapcsolja az informatikai folyamatokat, az informatikai er forrásokat és az információkat a szervezet stratégiájával és célkit zéseivel. Az informatikai irányítás összehangolja a tervezés és szervezet, a beszerzés és üzembe állítás, az informatikai szolgáltatás és támogatás valamint az informatikai teljesítmény felügyeletének optimális módjait. Az informatikai irányítás lehet vé teszi a vállalat számára, hogy teljes mértékben kihasználja a birtokában lév információk által kínált el nyöket és ezáltal maximális 10
EK hasznot érjen el, megragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson. Mindezek mellett mind a 34 általános Kontroll Irányelvhez kapcsolódóan kidolgozásra került egy Auditálási útmutató is, amelynek segítségével ellen rizni lehet, hogy az informatikai eljárások megfelelnek e a COBIT által javasolt 318 részletes kontroll követelménynek, amelyek egyúttal az esetleges javításokra vonatkozóan is tartalmaznak tanácsokat. A Vezet i útmutató a COBIT termék-család legújabb tagja, további segítséget és újabb eszközt kínál a vállalat-vezetés részére az informatikai irányításhoz kapcsolódó igények és követelmények még hatékonyabb kezeléséhez. Az útmutató, amely tevékenység-központú és általános jelleg, javaslatokat ad a vállalatvezetésnek arra vonatkozóan, hogy hogyan alakíthatóak ki megfelel ellen rzési eljárások a vállalkozás információs rendszereire és az azokhoz kapcsolódó eljárásokra vonatkozóan, hogyan kísérhet figyelemmel a szervezeti célok teljesítésének alakulása, hogyan kísérhet figyelemmel az egyes informatikai eljárások teljesítményének alakulása és hogyan mérhet küls összehasonlítások alapján a szervezet teljesítménye. A COBIT ún. Érettségi Modelleket kínál az informatikai folyamatok kontrolljához, amelyek alapján a vezetés meg tudja határozni azt, hogy éppen hol tart a szervezet az iparág legjobbjaihoz képest, a nemzetközi szabványokhoz viszonyítva, illetve ahhoz képest, ahol szeretne tartani; ún. Kritikus sikertényez ket kínál, amelyek meghatározzák a vezetés számára az informatikai folyamatok fölötti és azokon belüli kontroll megvalósításához szükséges legfontosabb végrehajtási irányelveket; ún. Kritikus cél indexeket kínál, amelyek meghatározzák azokat a mér számokat, amelyek - a megvalósítást követ en - megmondják a vezetésnek, hogy vajon megfelelnek-e az egyes informatikai eljárások az üzleti követelményeknek; továbbá ún. Kritikus teljesítmény indexeket is meghatároz, amelyek a legfontosabb mutatók azoknak a mér számoknak a meghatározásához, amelyek alapján megválaszolható az a kérdés, hogy az egyes informatikai eljárások milyen mértékben járulnak hozzá a célok teljesítéséhez. A COBIT Vezet i útmutató -jában szerepl ajánlások tevékenység-központúak és általános jelleg ek, amelyek a vezetésnél felmerül alábbi típusú kérdések megválaszolásához nyújtanak segítséget: Meddig érdemes elmennünk és indokoljáke a költségeket az el nyök? Melyek a jó teljesítmény mutatói? Melyek a kulcsfontosságú sikertényez k? Milyen kockázatokkal jár az, ha nem sikerül teljesíteni a célkit zéseket? Mit csinálnak mások? Hogyan mérjük a teljesítményünket és hogyan hasonlítsuk azt össze mások teljesítményével? A COBIT csomaghoz hozzátartozik egy Alkalmazási módszereket ismertet rész is, amely összefoglalja a COBIT-ot már sikeresen alkalmazó szervezeteknél összegy lt tapasztalatok tanulságait. Az alkalmazási útmutató két hasznos módszert kínál 11
EK Vezet i ismeretek diagnosztizálása és Informatikai kontroll diagnosztizálása a szervezetek informatikai kontroll környezetének felméréséhez és elemzéséhez. Az elkövetkez évek során a vállalatok és szervezetek magasabb szint biztonság és kontroll kialakítására fognak kényszerülni. A COBIT olyan eszköz, amely lehet vé teszi a vezet k számára az ellen rzési követelmények, a technikai jelleg kérdések és az üzleti kockázatok közötti szakadékok áthidalását, továbbá azt, hogy igazolják az adott szint kontroll m ködését a döntéshozók felé. A COBIT a szervezet egészére kiterjed, világos informatikai kontroll irányelvek és eljárások kidolgozását teszi lehet vé, a világ minden részén. A COBIT tehát egy olyan úttör jelent ség informatikai irányítási eszköz, amely az információkhoz és az információ technológiához kapcsolódó kockázatok és el nyök megértéséhez és kezeléséhez nyújt segítséget. 12
EK A COBIT ÁLTAL MEGHATÁROZOTT INFORMATIKAI ELJÁRÁSOK NÉGY TERÜLETRE BONTVA F1 folyamatok felügyelete F2 bels ellen rzés megfelel ségének felmérése F3 független értékelés szerzése F4 független ellen rzés (audit) biztosítása ÜZLETI CÉLOK INFORMATIKAI IRÁNYÍTÁS COBIT INFORMÁCIÓ eredményesség hatékonyság bizalmas jelleg sértetlenség hozzáférhet ség szabályosság megbízhatóság TSZ1 informatikai stratégiai terv kidolgozása TSZ2 információs struktúra meghatározása TSZ3 technológiai irány meghatározása TSZ4 IT szervezet és kapcsolatok meghat. TSZ5 IT befektetések kezelése TSZ6 vezet i célok és irányvonal kommunikációja TSZ7 emberi er források kezelése TSZ8 küls követelmények betartásának biztosítása TSZ9 kockázat-becslés TSZ10 projekt-irányítás TSZ11 min ség kezelése FELÜGYELET INFORMATIKAI SZOLGÁLTATÁS ÉS TÁMOGATÁS IT1 szolgáltatási szintek meghatározása és kezelése IT2 küls szolgálttaások kezelése IT3 teljesítmény és kapacitás kezelése IT4 folyamatos m ködés biztosítása IT5 rendszer biztonságának biztosítása IT6 költségek felmérése és felosztása IT7 felhasználók képzése IT8 IT ügyfelek segítése IT9 konfiguráció kezelése IT10 problémák kezelése IT11 adatok kezelése IT12 technikai környezet kezelése IT13 m ködés irányítása IT ER FORRÁSOK emberek alkalmazási rendsz. k technológia technikai környezet adatok TERVEZÉS ÉS SZERVEZET BESZERZÉS ÉS BEVEZETÉS BB1 automatizált megoldások keresése BB2 alkalmazási szoftverek beszerzése és karbantartása BB3 technológiai infrastruktúra beszerzése és karbantartása BB4 IT eljárások kialakítása és karbantartása BB5 rendszerek kiépítése és jóváhagyása BB6 változások kezelése 13
EK A COBIT KERETRENDSZER A KONTROLL SZÜKSÉGESSÉGE AZ INFORMÁCIÓ TECHNOLÓGIÁBAN Az utóbbi években egyre nyilvánvalóbbá vált, hogy szükség van valamilyen hivatkozási keretrendszerre az informatikához kapcsolódó biztonsági és ellen rzési kérdések terén. A szervezet sikeressége szempontjából elengedhetetlenül szükséges az, hogy a vállalkozáson belül minden szinten tisztában legyenek az informatikához kapcsolódó kockázatokkal és korlátokkal, mert csak így lehet megfelel en és hatékonyan teljesíteni az irányítási és ellen rzési feladatokat. A VEZETÉSNEK kell döntenie arról, hogy milyen befektetéseket érdemes eszközölni az információs rendszerek biztonsága és kontrollja érdekében és arról, hogy hogyan lehet ellensúlyozni a kockázatokat és kontrollálni a befektetéseket olyan informatikai környezetben, amelyre gyakran a kiszámíthatatlanság jellemz. Bár igaz, hogy az információs rendszerek védelme és kontrollja segít a kockázatok kezelésében, nem tudja kiküszöbölni azokat. Mindemellett a kockázatok pontos szintjét soha nem lehet tudni, mivel mindig van bizonyos mérték bizonytalanság. Tehát végs soron a vezetésnek arról kell döntenie, hogy milyen kockázati szintet hajlandó elfogadni. Az elviselhet kockázati szint megítélése, különösen ha mérlegelni kell a kapcsolódó költségeket is, nehéz döntési helyzet elé állíthatja a vezetést. Szükségük van tehát egy olyan, az információ-technológiához kapcsolódó általánosan elfogadott biztonsági és kontroll irányelveket meghatározó keretrendszerre, amelynek segítségével értékelni tudják meglév és tervezett információs rendszereiket. Az informatikai szolgáltatások FELHASZNÁLÓI számára is egyre fontosabb szempont az, hogy megfelel biztonsági és kontroll eljárások legyenek életben, amely a bels illetve küls felek által nyújtott informatikai szolgáltatások akkreditálásán és auditálásán keresztül biztosítható. Jelenleg azonban az információs rendszerekhez kapcsolódó megfelel kontroll-funkciók kialakítását, legyen szó akár üzleti, non profit vagy kormányzati szervezetekr l, gyakran akadályozza az ezen a területen megfigyelhet z rzavar. Ez a z rzavar a különböz értékelési módszerekb l ered: ITSEC, TCSEC, ISO 9000 értékelések, COSO bels ellen rzési normák, stb.. A felhasználóknak tehát szükségük van egy olyan általános alapra, amelyr l kiindulva megtehetik az els lépést. Gyakran maguk az ELLEN RÖK és KÖNYVVIZSGÁLÓK állnak a nemzetközi szabványosítás folyamatának élére, mivel k nap mint nap szembesülnek azzal az igénnyel, hogy a bels ellen rzéssel kapcsolatos véleményüket alá kell támasztaniuk valamilyen norma-rendszerre hivatkozva a vezetés felé. Egy megfelel keretrendszer hiányában ez rendkívül nehéz feladat. Emellett egyre gyakrabban el fordul, hogy a vezetés az információs rendszerek biztonsági és ellen rzési kérdéseivel kapcsolatban el zetes konzultációra és tanácsadásra kéri fel a könyvvizsgálókat és ellen röket. 14
EK AZ ÜZLETI KÖRNYEZET: VERSENY, VÁLTOZÁS ÉS KÖLTSÉG A globális verseny korszakába léptünk. A szervezetek folyamatosan racionalizálják m ködésüket, ugyanakkor megpróbálják kihasználni az informatika által kínált el nyöket versenypozíciójuk javítása érdekében. A szerkezet-átalakítás, a karcsúsítás, a küls szolgáltatók alkalmazása (outsourcing), a részlegek önállósítása és a megosztott feldolgozás mind olyan változások, amelyek befolyásolják az üzleti és a kormányzati szervezetek m ködésének módját. Ezek a fejlemények alapvet változásokat idéztek el és fognak még el idézni a szervezetek irányítási struktúrájában és m ködésének ellen rzésében. A költséghatékonyság és a versenyel nyök kihasználásának el térbe kerülése nyomán a legtöbb szervezet stratégiájában egyre fontosabb szerepet kap a technológia. A szervezeti funkciók automatizálása, természetéb l adódóan, megköveteli, hogy hatékonyabb kontroll-mechanizmusok kerüljenek beépítésre a számítógépekbe és hálózatokba, mind hardver, mind szoftver szinten. Mindemellett az ilyen kontroll-mechanizmusok alapvet strukturális jellemz i ugyanolyan ütemben és ugyanolyan bakugrás jelleggel változnak és fejl dnek, ahogy maga a számítógépes és hálózati technológia. Ebben a gyorsuló változással jellemezhet környezetben a vezet k, az információs rendszer szakért k és az ellen rök csak akkor tudják hatékonyan ellátni feladataikat, ha képességeiket és ismereteiket állandóan fejlesztve lépést tartanak a technológia fejl désével és a környezet változásaival. Aki megalapozott és józan értékelést akar készíteni az üzleti illetve kormányzati szervezeteknél alkalmazott ellen rzési eljárásokról, annak tisztában kell lennie az ellen rzési eljárások technológiájával és azok változó jellegével. A VÁLLALAT-IRÁNYÍTÁS ÉS AZ INFORMATIKAI IRÁNYÍTÁS KAPCSOLATA Napjaink ún. információs gazdaságában a sikeres vállalatok már nem kezelhetik különálló és egymástól különválasztható területekként a vállalat-irányítást és az informatikai irányítást. A hatékony vállalat-irányítás arra a területre koncentrálja az egyéni és csoportos szaktudást és tapasztalatokat, ahol azok a leghatékonyabban hasznosíthatóak, figyelemmel kíséri és méri a teljesítményt és állást foglal a kritikus kérdésekkel kapcsolatban. Az informatika, amelyet régebben a vállalati stratégia megvalósítását segít eszközként kezeltek, mára a stratégia elválaszthatatlan részévé vált. Az informatikai irányítás jelenti azt a struktúrát, amely összekapcsolja az informatikai folyamatokat, az informatikai er forrásokat és az információkat a szervezet stratégiájával és célkit zéseivel. Az informatikai irányítás összehangolja a tervezés és szervezet, a beszerzés és üzembe állítás, az informatikai szolgáltatás és támogatás valamint az informatikai teljesítmény felügyeletének optimális módjait. Az informatikai irányítás meghatározó szerepet játszik a vállalat-irányítás sikerességében azáltal, hogy hatékony, eredményes és mérhet javulást biztosít a kapcsolódó vállalati folyamatokban. Az informatikai irányítás lehet vé teszi a vállalat számára, hogy teljes mértékben kihasználja a birtokában lév információk 15
EK által kínált el nyöket és ezáltal maximális hasznot érjen el, megragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson. Ha közelebbr l megvizsgáljuk a vállalat-irányítás és az informatikai irányítás egymáshoz való viszonyát, kiderül, hogy a vállalat-irányítás, vagyis az a rendszer, amely az egyes egységeket irányítja és kontrollálja, befolyással és hatással van az informatikai irányításra. Ugyanakkor az informatika kritikus inputokat biztosít és fontos alkotóeleme a stratégiai terveknek. A gyakorlatban az informatika befolyásolhatja a vállalkozás által meghatározott stratégiai lehet ségeket. (ábra) Vállalatirányítás befolyás és hatás Informatikai irányítás Az üzleti célkit zések teljesítéséhez a vállalati tevékenységek során szükség van az informatikai tevékenységekb l származó információkra. A sikeres szervezetek olyan rendszert alakítanak ki, amely biztosítja a stratégiai tervezés és az informatikai tevékenységek egymástól való függetlenségét. Az informatikai rendszert úgy kell kialakítani, hogy annak segítségével a vállalkozás teljes mértékben ki tudja használni a birtokában lév információk által kínált el nyöket és ezáltal maximális hasznot tudjon elérni, meg tudja ragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson. (ábra) Vállalati tevékenységek információ igény Informatikai tevékenységek A vállalat-irányításra vonatkozóan érvényben vannak olyan általánosan elfogadott, ún. követend (vagy legjobb) gyakorlatok, amelyek gondoskodnak arról, hogy a vállalkozás teljesítse céljait ezek megvalósítását bizonyos kontroll eljárások garantálják. A vállalat-irányítás ezekb l a célokból kiindulva határozza meg a szükséges vállalati tevékenységeket, a vállalat er forrásainak felhasználásával. A vállalati tevékenységek eredményeit mérik és értékelik, amelynek alapján folyamatosan módosítják és korrigálják a kontroll eljárásokat, újra kezdve ezzel a ciklust. 16
EK (ábra) Célok KONTROLL Vállalat-irányítás KÖZVETLEN Vállalati tevékenységek Er források JELENTÉS FELHASZNÁLÁS Az informatikára vonatkozóan is érvényben vannak olyan ún. követend (vagy legjobb) gyakorlatok, amelyek biztosítják azt, hogy a vállalkozás információi és az azokhoz kapcsolódó technológia támogassák az üzleti célkit zéseket, az er források hatékony felhasználását és a kockázatok megfelel kezelését. Ezek a gyakorlatok illetve normák szolgálnak az informatikai tevékenységek irányításának alapjául, amely tevékenységek az alábbi területekre bonthatóak a kockázatok kezelése (úm. a biztonság, megbízhatóság és szabályosság megvalósítása) és az el nyök elérése (úm. a hatékonyság és eredményesség növelése) szempontjából: tervezés és szervezet, beszerzés és bevezetés/üzembe állítás, informatikai szolgáltatás és támogatás, és felügyelet. Az informatikai tevékenységek eredményeir l jelentéseket készítenek, amelyeket összevetnek a különböz gyakorlatokkal, normákkal és kontroll eljárásokkal, és a ciklus elölr l kezd dik újra. (ábra) Informatikai irányítás Célok Közvetlen Informatikai tevékenységek Szükséges igazodik és támo- TERV Tervezés és szerv. gatja az üzleti cé- CSELEKVÉS Beszerz. és bevez. lokat és maxima- ELLEN RZÉS M ködt. és támog. lizálja az el nyö- KORREKCIÓ Felügyelet ket - Az informatikai Kockázater El nyök elérése forrásokat KONTROLL kezelés hatékonyan hasz- biztonság Automatizá- Költségek nálják fel megbízhatóság ció növelése - csökkentése - Az informatiká- szabályosság eredményesség - hatékonyság hoz kapcsolódó kockázatokat megfelel en Jelentés kezelik 17
EK Ahhoz, hogy a vezetés teljesíteni tudja üzleti célkit zéseit, informatikai tevékenységeket kell irányítania, megfelel egyensúlyt kialakítva a kockázatok kezelése és az el nyök elérése között. Ennek érdekében a vezetésnek meg kell határoznia a legfontosabb szükséges tevékenységeket, mérnie kell a célok teljesítése irányában történt el relépéseket és értékelnie kell azt, hogy az informatikai eljárások teljesítménye mennyire jó. Mindezek mellett a vezetésnek értékelnie kell azt is, hogy a szervezet milyen érettségi szinten áll a követend ágazati normák és a nemzetközi szabványok alapján. A fenti vezet i feladatok végrehajtásához a COBIT Vezet i útmutatója konkrét Kritikus Sikertényez ket, Kritikus Cél Mutatókat és Kritikus Teljesítmény Mutatókat határoz meg és bemutat egy az informatikai irányításhoz kapcsolódó ún. Érettségi Modellt, az I. Mellékletben foglaltaknak megfelel en. AZ IGÉNYEK FIGYELEMBE VÉTELE A fentiekben felvázolt állandó változások közepette az információ-technológiához kapcsolódó ellen rzési irányelveket összefogó COBIT keretrendszer, és az erre épül folyamatos kutatás, alappillérként szolgálnak a folyamatos el relépéshez az információk és az azokhoz kapcsolódó technológiák ellen rzése területén. Egyrészr l tanúi lehettünk olyan általános üzleti kontroll modellek kifejlesztésének és megjelenésének, mint amilyen a COSO * az Amerikai Egyesült Államokban, a Cadbury az Egyesült Királyságban, a CoCo Kanadában vagy a King Dél-Afrikában. Másrészr l viszont jó néhány koncentráltabb irányú ellen rzési modell is kidolgozásra került az informatika területén. Jó példa erre a Brit Ipari Kereskedelmi Minisztérium (rövidítve DTI) Biztonsági Kódexe, a CICA (Bejegyzett Könyvvizsgálók Kanadai Intézete) által kidolgozott Informatikai Kontroll Irányelvek és a NIST (National Institute of Standards and Technology, USA) által kiadott Biztonsági Kézikönyv. Ezek az ellen rzési modellek azonban nem kínálnak teljeskör és használható ellen rzési modellt az üzleti folyamatokhoz kapcsolódó informatikai eljárásokhoz. A COBIT célja az, hogy betömje ezt a rést azáltal, hogy egy olyan keretrendszert és alapot biztosít, amely szorosan kapcsolódik az üzleti célkit zésekhez, ugyanakkor az informatikára koncentrál. (A COBIT-hoz leginkább hasonlító modell az AICPA/CICA által nemrégen kiadott SysTrust TM Rendszer-megbízhatósági alapelvek és kritériumok csomag. A SysTrustot, amely részben a COBIT Kontroll irányelveire épül, egyaránt mérvadó modellként kezeli az egyesült államokbeli Assurance Services Executive Committe és a kanadai Assurance Services Development Board. A SysTrust célja az, hogy a vezetés, az ügyfelek és az üzleti partnerek könnyebben boldoguljanak az üzleti folyamatokat illetve az egyes konkrét tevékenységeket támogató rendszerekkel. A SysTrust segítségével a könyvvizsgálók értékelhetik és véleményezhetik azt, hogy egy adott rendszer megbízhatónak min sül-e négy alapvet kritérium alapján: elérhet ség, biztonság, sértetlenség és fenntarthatóság.) * Committe of Sponsoring Organizations of the Treadway Commission Internal Control Integrated Framework, 1992 18
EK Az információs rendszerek kontrolljával szemben támasztott üzleti követelményekb l kiindulva, az újonnan kidolgozott ellen rzési modellek és nemzetközi szabványok alkalmazása révén, az ellen rök munkáját segít Kontroll Irányelvekb l megszületett a COBIT, amely egy vezetési eszköz. Ezt követ en az informatikai irányításhoz kapcsolódó Vezet i útmutató kidolgozása révén újabb lépést tett el re a COBIT. A Vezet i útmutató Kritikus Sikertényez ket, Kritikus Cél Mutatókat, Kritikus Teljesítmény Mutatókat és ún. Érettségi Modelleket kínál a vezetésnek, amelyek segítséget nyújtanak a szervezet informatikai környezetének értékeléséhez és a megfelel informatikai kontroll eljárások kiválasztásához illetve azok javításához. A COBIT projekt f célja tehát az, hogy világos irányelveket és követend gyakorlati eljárásokat határozzon meg az információs rendszerek biztonságához és kontrolljához kapcsolódóan, és elfogadtassa azokat az üzleti, kormányzati és szakmai érdekképviseleti szervezetekkel a világ minden részén. Az is fontos célja a projektnek, hogy a fenti kontroll irányelveket az üzleti célkit zésekb l és igényekb l kiindulva határozza meg. (Ez igazodik a COSO szemléletmódjához, amely mindenekel tt egy a bels ellen rzéshez kapcsolódó irányítási keretrendszer). Ezt követ en az ellen rzési követelményekb l (pénzügyi információk hitelességének igazolása, bels ellen rzési eljárások hatékonyságának és eredményességének igazolása, stb.) kontroll irányelveket dolgoztunk ki. A CÉLKÖZÖNSÉG: VEZETÉS, FELHASZNÁLÓK ÉS ELLEN RÖK A rendszer kidolgozása során három célfelhasználói kör került meghatározásra, amelyek számára az alábbi támogatást kínálja a COBIT: VEZETÉS: a kockázatok ellensúlyozása és a befektetések kontrollálásának segítése, amely gyakran kiszámíthatatlan informatikai környezetben történik meg. FELHASZNÁLÓK: a bels illetve küls felek által nyújtott informatikai szolgáltatások biztonságáról és megfelel kontrolljáról történ megbizonyosodás. INFORMÁCIÓS RENDSZER ELLEN RÖK: az ellen ri vélemények alátámasztása és a bels ellen rzéssel kapcsolatos tanácsadás segítése. AZ ÜZLETI CÉLOK EL TÉRBE ÁLLÍTÁSA A COBIT az üzleti célkit zésekkel foglalkozik. A kidolgozott Kontroll Irányelvek egyértelm en hozzárendelhet k különböz üzleti célokhoz, így azokat az ellen rökön kívül más felhasználói körök is használhatják. Az egyes Kontroll Irányelvek meghatározása folyamat-orientált módon történt meg, az üzleti szerkezetátalakítás alapelvét követve. A meghatározott eljárásokhoz és területekhez kapcsolódóan általános kontroll irányelveket fogalmaztunk meg, és kifejtjük azt is, hogy ezek hogyan kapcsolódnak a különböz üzleti célokhoz. Emellett 19
EK magyarázatot és útmutatást adunk a Kontroll Irányelvek definiálásához és alkalmazásához. A COBIT által kialakított Keretrendszer az általános kontroll irányelvek alkalmazási területeinek (területek és eljárások) osztályozásából, az információkhoz kapcsolódó üzleti követelmények ismertetéséb l valamint az egyes ellen rzési irányelvek által közvetlenül érintett IT er források bemutatásából áll össze. A Keretrendszer kidolgozása során 34 általános kontroll irányelv és 318 részletes ellen rzési követelmény került meghatározásra. A Keretrendszer végleges tartalmának kialakításába az informatikai ágazat és az ellen rzési szakma képvisel it is bevontuk. ÁLTALÁNOS DEFINÍCIÓK A projekt során az alábbi definíciók kerültek meghatározásra. A kontroll kifejezés jelentését a COSO Jelentésb l (Internal Control Integrated Framework, Committe of Sponsoring Organizations of the Treadway Commission, 1992), az Informatikai (IT) Kontroll Irányelv kifejezés jelentését pedig a SAC jelentésb l vettük át (System Audibility and Control Report - Internal Auditors Research Foundation, 1991 és 1994) A kontroll definíciója Az üzleti célkit zések megvalósítása és a nem-kívánatos események megel zése, felderítése és korrigálása céljából kialakított szabályok, eljárások, normák és szervezeti struktúrák. Az informatikai Kontroll Irányelv definíciója Azon kívánt eredmények illetve célok meghatározása, amelyek valamely konkrét informatikai területen a kontroll-eljárások alkalmazása révén megvalósíthatóak. Az informatikai irányítás definíciója A vállalat-irányítási és ellen rzési kapcsolatok és eljárások olyan struktúrája, amely új érték hozzáadásával, ugyanakkor a kockázatok és az informatika által kínált el nyök együttes mérlegelésével kívánja megvalósítani a vállalkozás célkit zéseit. 20