Revizija I Kontrola IT Sistema

IS360 - Revizija i kontrola IT sistema
Lekcija 08
COBIT MODEL (2. DEO)
Metropolitan
PRIRUČNIK ZA STUDENTE
Copyright © 2010 – UNIVERZITET METROPOLITAN, Beograd. Sva prava
zadržana. Bez prethodne pismene dozvole od strane Univerziteta
METROPOLITAN zabranjena je reprodukcija, transfer, distribucija ili
memorisanje nekog dela ili čitavih sadržaja ovog dokumenta.,
kopiranjem, snimanjem, elektronskim putem, skeniranjem ili na bilo koji
drugi način.
Copyright © 2010 BELGRADE METROPOLITAN UNIVERSITY. All rights

reserved. No part of this publication may be reproduced, stored in a
retrieval system or transmitted in any form or by any means, electronic,
mechanical, photocopying, recording, scanning or otherwise, without the
prior written permission of Belgrade Metropolitan University.
IS360 - Revizija i kontrola IT sistema
Lekcija 08
COBIT MODEL (2. DEO)

COBIT model (2. deo)
Poglavlje 1: Kontekst COBIT modela
Poglavlje 2: Definisanje okvira COBIT modela
Poglavlje 3: Navigacija kroz COBIT v.4 model
Poglavlje 4: COBIT v.4 kontrolni ciljevi / procesi
Poglavlje 5: Upotreba COBIT modela za procenu internih
kontrola
Poglavlje 6: Upotreba COBIT modela za procenu rizika
Poglavlje 7: Vežbe
ZAKLJUČAK
Lekcija 08: COBIT model (2. deo)
°°°°° COBIT model (2. deo)
UVOD: ISHODI UČENJA I KLJUČNA

PITANJA
Ishodi učenja i ključna pitanja
ISHODI UČENJA
Razumevanje svrhe COBIT modela za upravljanje/rukovođenje IT u okviru

organizacije, u skladu sa njenim poslovnim ciljevima.
Razumevanje načina upotrebe COBIT modela za procenu internih IT

kotrnola u organizaciji, i to u odnosu na
• IT resurse, i
• Informacione kriterijume/zahteve, koji ujedno predstavljaju I
poslovne zahteve organizacije.
Razumevanje domena okvira (framework) COBIT modela, njigovih

kontrolnih ciljeva / procesa, i elemenata – detaljnih kontrolnih ciljeva /
kontrolnih aktivnosti.
Razumevanje načina upotrebe COBIT smernica za pripremu programa

revizije IT sistema
Razumevanje načina upotrebe COBIT modela za procenu rizika vezanih

za IT u organizaciji.
KLJUČNA PITANJA
1. Kakav je kontekst COBIT modela u organizaciji?
2. Šta je okvir COBIT v.4 modela? Koji su osnovni domeni kontrolnih

ciljeva okvira COBIT v.4 modela i šta oni sadrže?
3. Kako se vrši navigacija kroz COBIT v.4 model? Kako se on koristi za

ocenu internih kontrola i za pripremu revizije IT sistema?
4. Kako se koristi COBIT model za procenu rizika?
4
COBIT model (2. deo)
UVOD: UVODNI TEKST I KLJUČNE REČI
Uvodni tekst i ključne reči
Danas, revizija IT sistema predstavlja nezaobilaznu analitičku kariku

procesa korporativnog upravljanja IT i "most" između menadžmenta i IT.
COBIT model omogućava usaglašenost vođenja/upravljanja IT I
rukovođenja organizacijom odnosno njenim poslovnim ciljevima. On se
koristi za procenu da li je IT infrastruktura u skladu sa poslovnim
ciljevima, u kojoj meri delotvorno i svrsishodno podupire ciljeve
poslovanja i kakva je praksa (zrelost) upravljanja i kontrole IT sistema na
raznim hijerarhijskim nivoima.
U ovoj lekciji biće prikazana uloga COBIT modela u kontekstu
zadovoljenja poslovnih ciljeva organizacije, navigacija kroz COBIT model
sa ciljem korištenja COBIT modela za procenu internih IT kontrola u 4
različita domena kontrolnih ciljeva / procesa (koji su definisani u okviru
COBIT modela).
Ključne reči:
• COBIT model
• Revizija IT sistema
• Poslovni zahtevi
• Resursi IT
• IT procesi
• IT aktivnosti
• Informacije
• Rukovođenje IT (IT Governance)
• COBIT kocka
• Informacioni kriterijumi / zahtevi
• Podaci
• Aplikacioni sistemi
• Tehnologije
• Prostorije / postrojenja (facilities)
• Ljudi
• Domeni
• Aktivnosti
• Procesi
• COBIT okvir (framework)

• COBIT v.4
• Kontrolni ciljevi / procesi
• Kontrolne aktivnosti
• Planiranje i organizacije (PO)
• Nabavka i implementacije (AI)
• Isporuka i održavanja (DS)
• Praćenja i ocenivanja (ME)
• COBIT smernice za reviziju
5
• Modeli zrelosti (maturity models)

• CMM model
• Faktori ključni za uspeh (Critical success factors - CSFs)
• Indikatori ključnih ciljeva (Key goal indicators - KGIs)
• Indikatori ključnih performansi (Key performanse indicators - KPIs)
6
Poglavlje 1 Kontekst COBIT modela
COBIT MODEL: RUKOVOĐENJE IT I

ORGANIZACIJOM
Kontekst COBIT modela: pozicija COBIT modela u

kontekstu rukovođenja IT
Kontekst COBIT modela

Kao što je detaljno objašnjeno u prethodnoj lekciji, COBIT je svetski
prihvaćen model u kojem se propisuju podruĉja i pojedinačne kontrole
za upravljanje IT i pripadajućim informatiČkim procesima na nivou
organizacije, odnosno, kompanije. Autori COBIT modela su neprofitne
organizacije, odnosno profesionalne asocijacije ISACA i ITGI. On spaja
poslovne i informatičke ciljeve, pružajući mogućnost da se metrički prati
zrelost IT sistema. COBIT pruža menadžmentu mogućnost optimizacije IT
resursa kao što su aplikacioni prgrami, informacije, infrastruktura i ljudi.
Obzirom na sve značajniju ulogu IT za poslovanje ogranizacija danas,
rukovođenje organizacije je blisko vezano za ruvođenjem / upravljanjem
IT. Strategija upravljanja IT je sastavni deo strategije rukovođenja
organizacije.
Rukovođenje / upravljanje IT obezbeđuje strukturu koja povezuje
IT procese i IT resurse i informacije sa strategijama i ciljevima
organizacije. Rukovođenje / upravljanje IT integriše i institucionalizuje
oprimalne načine planiranja, organizovanja, nabavke, implementacije,
isporuke i podrške, ocenjivanja i praćenja performansi IT.
Sledeća slika prikazuje vezu između rukovođenja organizacijom i
rukovođenje / upravljanja IT (IT Governance).
Rukovođenje organizacijom i rukovođenje IT moraju biti međusobno

usklađeni. A, aktivnosti organizacije u smislu poslovnih procesa, i IT
aktivnosti međusobno zahtevaju informacije jedne od drugih. Time,
COBIT predstavlja dobru stručnu praksu po različitim domenima i
procesima, obzirom da je orijentisan na poslovne procese, baziran na
kontrolama i zasovan na merenju, što će biti detaljnije objašnjeno u
nastavku ove lekcije.
7
Slika 1.1 Rukovođenje

organizacijom i rukovođenje
IT (IT Governance)
COBIT MODEL: 4 DOMENA ZA

RUKOVOĐENJE IT
Menadžment IT u kontekstu COBIT modela predstavlja

rukovođenje IT aktivnostima radi upravljanja rizicima i
ostvarivanja benefita, na bazi četiri domena procesa
COBIT i rukovođenje IT
Dostizanje strateških ciljeva organizacije podrazumeva određeni nivo

rizika, i zbog toga je neophodno uspostaviti kontrole nad strategijom i
operacijama sa ciljem menadžmenta rizika.
Da bi se postigli ciljevi organizacije, nephodno je funkcionisanje

aktivnosti organizacije koje koriste resurse. Rezultati aktivnosti
organizacije se ocenjuju i mere, što poredstavlja ulaz za stalnu reviziju
kontrola – što predstavlja ciklični process koji se kontinuirano odvija.
Adekvatan menadžment tj. rukovođenje / upravljanje IT obezbeđuje

podršku ispunjenju poslovnih ciljeva organizacije, odgovorno korištenje
resursa i upravljanje rizicima vezanim za IT. Osnovu COBIT okvira čini
ideja da shvatanje IT treba fokusirati na informacije, a ne na tehnologiju.
Zato, da bi se stručno razumeli rizici povezani sa IT, treba početi stručnim
shvatanjem informacija potrebnih za poslovanje.
Znači, IT procesi upravljaju resursima IT da bi se dobile informacije koje
imaju neophodan kvalitet.
Najbolje prakse za menadžment IT predstavljaju bazu za

rukovođenje IT aktivnostima koje se mogu podeliti u 4 domena :
8
- Planiranje i organizacija (PO),
- Nabavka i implementacija (AI),
- Isporuka i podrška (DS),
- Praćenje i ocenjivanje (ME),
koje se sprovode sa ciljem upravljanja rizicima (bezbednosti,

pouzdanost i usaglašenost) i ostvarivanjem benefita
(unapređenje efektivnosti i efikasnosti).
Takođe, potrebno je generisati izveštaje o izlazima iz IT aktivnosti, koji se

mere prema određenim praksama i kontrolama. Ovaj ciklus rukovođenja
/ upravljanja IT je prikazan na sledećoj slici.
CIKLUS RUKOVOĐENJA IT: ILUSTRATIVNI

PRIKAZ
Ciklus rukovođenja / upravljanja IT (IT Governance) :

ciljevi – rukovođenje – IT aktivnosti - izveštavanje
COBIT i rukovođenje IT - nastavak
Postoji nekolicina opštih modela za upravljanje i kontrolu poslovanja

(napoznatiji je COSO), ali oni ne obezbeđuju sveobuhvatan praktičan
model za upravljanje IT u smislu podrške poslovnim funkcijama.
Svrha COBIT modela je upravo to – fokusiran je na rukovođenje /

upravljanje IT sa ciljem ostvarenja poslovnih ciljeva organizacije.
Sa IT perspektive, modeli koji su srodni COBIT modelu su SysTrust

(SysTrustTM Principles and Criteria) - model za pouzdanost sistema, i
biblioteka IT infrastrukture (ITIL), koji su objašnjeni u 6.lekciji u ovkiru
ovog kursa.
9
Slika 1.2 Ciklus rukovođenja

IT (IT governance)
Elementi rukovođenja IT se odnose na sledeće:
a.) Ciljevi: IT usaglašene sa poslovnim cijevima, podržava poslovanje i

maksimizira benefite; IT resursi se koriste na odgovoran način; postoji
adekvatan menadžment rizika vezanih za IT
b.) Kontrola dobiva ulaze od ciljeva i daje ulaz za rukovođenje: kontrola

se odnosi na planiranje, izvršenje, provere i reagovanje (korekcije)
c.) Rukovođenje se sprovodi putem IT aktivnosti, i podrazueva domene

PO, AI, DS, ME. Ovo uključuje i menadžment rizika radi soiguranja
bezbednosti, pouzdanosti, usaglašenosti.
COBIT: IT PROCESI, IT RESURSI I

INFORMACIJE
COBIT kocka: zahtevi / kriterijumi za informacije + IT

resursi + IT procesi
OSNOVNI PRINCIP COBIT MODELA
Osnovna postavka COBIT modela je pristup kontroli IT sistema koji

podrazumeva fokus na INFORMACIJE koje su potrebne za podršku
poslovnim ciljevima I zahtevima, a informacija se posmatra kao rezultat
primene IT RESURSA kojim se upravlja IT PROCESIMA.
Da bi se zadovoljili poslovni ciljevi, INFORMACIJA mora da zadovolji

sledeće kriterijume/zahteve:
ZAHTEVI U VEZI KVALITETA (Quality)
• kvalitet, cena, vreme isporuke;
ZAHTEVI POVERENIKA (Fiduciary) – ovo su zahtevi COSO modela:
• efektivnosti I efikasnost operacija,
10
• pouzdanost informacija,
• usklađivanje sa zakonima I regulativama;
ZAHTEVI BEZBEDNOSTI (Security)
• poverljivost, integritet, dostupnost.
IT RESURSI koji su potrebni za ostavrenje poslovnih ciljeva su:
• PODACI (Data) – interni I eksterni objekti, struktuirani ili nestriktuirani,
grafički objekti, zvuk, itd.,
• APLIKACIONI SISTEMI (Application systems) – skup manualenih ili
programerianih procedura,
• TEHNOLOGIJA (Technology) – hardver, operativni sistemi, sistemi baza
podataka, mreže, multimedija, itd.,
• PROSTORIJE/POSTROJENJA (Facilities) – svi resursi potrebni za podršku
IT sistemima (ovo se, zapravo, odnosi na sve resurse koji nisu IT resursi),
• LJUDI (People) – zaposleni eksperti, koji su u stanju da planiraju,
organizju, nabave, isporuče, vrše podršku I ocenu I kontrolu IT sistema I
IT usluga/servisa
IT PROCESI podrazumevaju tri sledeća nivoa hijerarhije:
a.) AKTIVNOSTI – najniži nivo elementarnih zadataka kojim se postiži

neki (merljivi) rezultati; b.) PROCESI – jedan process podrazumeva skup
više povezanih aktivnosti / zadataka; i, c.) DOMENI – najviši nivo koji
špdrazumeva skup više vezanih procesa
Ove tri dimenzije – IT procesi, IT resursi i kriterijumi za informacije koji su

potrebni za realizaciju poslovnih ciljeva organizacije, I čine COBIT kocku.
COBIT V.4: IMPLEMENTACIJA
Video prikaz osnova sertifikacionog kursa za primenu

COBIT v.4.1 modela
OSNOVNI PRINCIP COBIT MODELA
COBIT 4.1 - Foundation and Implementation certification with Mark

Thomas of Interface
VIDEO
https://www.youtube.com/watch?v=e40t7uqYGRA
(trajanje oko 3 minuta)
Video prikazuje osnove tehničke obuke za sertifikacioni kurs za

implementaciju COBIT v.4 radnog okvira. (Interface Technical Training on
COBIT 4.1 Foundation and Implementation certification course).
11
U tom kontekstu, COBIT se razmatra kao model za rukovođenje IT (IT

governance framework) koji uključuje skup alata podrške koji
omogućavaju menadžerima da uspostave most između zahteva za
internim kontrolama, tehničkih problema tj. izazova, i poslovnih rizika.
COBIT omogućava jasan razvoj politika i dobre (najbolje) parkse za
kontrole IT koje treba uspostaviti u celokupnoj organizaciji.
Ova lekcija sadrži video materijal. Ukoliko želite da pogledate

ovaj video morate da otvorite LAMS lekciju.
Time, implementacijom COBIT - a unapređuju se interne kontrole (sa

fokusom na IT kotnrole), a time i značajno umanjuju rizici da isporučene
poslovne informacije nisu pouzdane u bilo kom smislu. Znači, IT se
više ne posmatra izolovano već je uključen u sveobuhvatno upravljanje
poslovanjem. Moguće je zaključiti da je COBIT ošti model za korporativno
upravljanje i menadžment informacionim i pridruženim tehnologijama
(ICT). Zapravo, "udarna snaga" ovog modela jeste razvoj jasnih
preporuka, dobre prakse i kontrola IT koje su generički primenljvie u bilo
kojoj orgainiizaciji.
12
Poglavlje 2 Definisanje okvira

COBIT modela
COBIT MODEL: DEFINISANJE OKVIRA
Ilustrativni prikaz osnovnog okvira (framework) za

kontrolne ciljeve IT u COBIT modelu
Na koji način organizacija može da osigura da je poslovanje bazirano na

informacija koje zadovoljavaju navedene informacione kriterijume (u vezi
kvaliteta, poverenika i bezbednosti)?
Kao odgovor na ovo pitanje, razvije je osnovni okvir za kontrole ciljeve IT.
U ovom modelu, postoje sledeći elementi:
a.) IT resursi daju ulaze za zahteve tj. kriterijume za informacije
b.) Informacije razmatraju pitanje "šta se dobiva?", i daju ulaze za

poslovne procese.
c.) Poslovni procesi razmatraju "šta je potrebno?", u smislu sedam

osnovnih posovnih principa: efektivnosti, efikasnost, poverljivost,
integritet, dostupnost, usaglašenost, pouzdanost.
d.) Na kraju, nad IT resursima se postavlja pitanje "da li se dobiva

ono što je potrebno?", odnosno da li IT resure obezbeđuju ono što je
potrebno polosvnim procesima, i konačno - opštim poslovnim ciljevima
organizacije.
13
Slika 2.1 Osnovni okvir

(framework) za kontrolne
ciljeve IT
DOMENI COBIT KONTROLNIH CILJEVA
Za svaki od 4 domena, definisani su kontrolni ciljevi /

procesi (slika: COBIT v. 4.1)
COBIT DOMENI I PRIPADAJUĆI KONTROLNI CILJEVI / PROCESI
Identifikovani su DOMENI u okviru prikazanog osnovnog okvira, koji se

odnose na faze poslovanja sa aspekta IT sistema, i to:
- Planiranje i organizacija (planning and organisation– PO) – identifikacija

načina na koji IT na najbolji način doprionsi realizaciji poslovnih ciljeva
organizacije;
- Nabavka/akvizicija i implementacija (acquisition and implementation–

AI) – odnosi se na identifikaciju, razvoj ili nabavku, I implementaciju IT
rešenja potrebnih za realizaciju IT strategije;
- Isporuka i održavanje/podrška (delivery and support– DS) – odnosi se

na isporučivanje IT usluga/servisa I podršku isporuci tj. servisima;
- Praćenje i ocenjivanje (monitoring and evaluation– ME) – svi IT procesi

moraju biti redovno ocenjivani u smislu kvaliteta I usaglašenosti sa
kontrolnim okruženjem, što uključuje i interne i eksterne revizije IT
sistema.
14
Za svaki od 4 domena, definisani su kontrolni ciljevi tj. kontrolni procesi,

kao što je prikazano na sledećoj slici za COBIT verziju 4.1.
OKVIR COBIT MODELA V.4.1:

ILUSTRACIJA
Celokupan okvir (framework) za kontrolne ciljeve IT u

COBIT v.4 modelu
Slika 2.2 Okvir (framework)

COBIT modela v.4.1
15
Poglavlje 3 Navigacija kroz COBIT

v.4 model
COBIT REFERENTNI MATERIJALI
Familija COBIT referentnih materijala podrazumeva

RACI matricu, detaljne ciljeve kontrole i testove,
smernice za reviziju, model zrelosti, CSF, KGI, KPI
COBIT referentni materijali
Kao što je prikazano na sledećo slici, pored prethodno navedenih

elemenata COBIT model podrazumeva i sledeće:
- smernice za menadžment za upravljanje rizicima (tzv. RACI matrica),
- detaljne ciljeve kontrole i kontrolne testove,
- smernice za reviziju / odit IT sistema,
- modele zrelosti ( maturity models): definisana je tabela modela zrelosti

koja za svaku od pet atributa daje ocenu zrelosti, a atributi su: svest
o potrebi upravljanja procesima i komunikacija; pravila, standardi i
procedure; stručnost i veštine; nadležnost i glavna odgovornost;
postavljanje cileva i njihovo merenje;
- faktori ključni za uspeh (CSF - Critical Success Factors),
- Indikatori ključnih ciljeva (KGI - Key Goal Indicators),
- indikatori ključnih performansi - koji predstavljaju smernice za praćenje

performansi od strane menadžmenta (KPI - Key Performance Indicators).
16
Slika 3.1 Familija COBIT

referentnih materijala
Familija COBIT referentnih materijala počinje sumarizacijom / uvodom.

Dalje, slede uputstva za implementaciju koja uključuju: pregled; studije
slučaja; pitanja i odgovore; i konkretne smernice za implementaciju -
dijagnostika za menadžment, i dijagnostika za IT kontrole. Okvir
(framework) sadrži kontrolne cileve / procese višeg nivoa u okviru 4
domena. Okvir dalje sadrži smernice za menadžment, detaljne kontrolne
ciljeve, odnosno kontrolne aktivnosti, kao i smernice za reviziju. Smernice
za menadžment obuhvataju modele zrelosti; faktore ključne za uspeh
(CSF), indikatore ključnih ciljeva (KGI), kao i indikatore ključnih
performansi (KPI).
NAVIGACIJA KROZ COBIT: PROCESI,

RESURSI, INFOMRACIJE
COBIT okvir: kontrolni procesi, informacioni kriterijumi,

IT resursi i njihove međusobne veze
Navigacija kroz okvir COBIT modela
Okvir (framework) COBIT modela definiše 34 kontrolna procesa / cilja, u

okviru 4 domena. Sledeći tekst opisuje navigaciju kroz COBIT model.
Kao što je prethodno prikazano, okvir (framework) COBIT modela sadrži:
a.) Domene i pripadajuće kontrole ciljeve / procese
b.) Informacione kriterijume
17
c.) IT resurse
i njihove međusobne veze koje prikazuju
- koji informacioni kriterijumi su primenljivi na koji kontrolni process / cilj

i to kog nivoa tj. koliko (primarno, sekundardno, neprimenljivo), i
- koji IT resursi su korišteni i upravljani od strane kojih kontrolnih ciljeva /

procesa.
NAVIGACIJA KROZ COBIT: PRIMER
Korištenje COBIT okvira za identifikovanje veze

kontroln. procesa - inform. kriterijuma - IT resursa
PRIMER navigacije kroz okvir COBIT modela
Na sledećoj slici dat je prikaz ovih veza za kontrolni cilj / proces PO4
- određivanje IT procesa, organizacije i međusobnih odnosa u njoj, iz
domena planiranja i organizacije (PO). Sa slike je vidljivo sledeće:
a.) IT resursi koji su korišteni ili upravljani od strane kontrolnog cilja /

procesa PO4 su sledeći:
• Primarni (P) kriterijum je efektivnosti, koji podrazumeva obezbeđenje
relevantnih I informacija za poslovne procese, I isporuka informacija koja
je pravovremena, konzistentna I korektna;
• Sekundarni (S) kriterijum je efikasnost , što zapravo znači obezbeđenje
informacija kroz optimalni kanal korištenja (najproduktivnosti I
najekonomičniji);
• Ostali kriterijumi / zahtevi za informacije nisu primenljivi / važni za PO4.
b.) Informacioni kriterijumi važni za PO4 su:
• Ljudi / zaposleni;
• Ostali IT resursi (aplikacije, tehnologije, infrastruktura / postrojenja,
i podaci) se ne koriste za realizaciju kontrolnog cilja / procesa PO4,
odnosno nisu relevantni za posmatrani kontrolni cilj.
18
Slika 3.2 Primer navigacije za

kontrolni cilj/proces PO4, u
COBIT modelu (v.4.1)
RACI MATRICA U COBIT MODELU
RACI matrica prikazuje uloge i odgovornosti za

određeni kontrolni cilje / proces, tačnije - ko je
odgovoran, ko je ovlašten za izvršenje, koga treba
konsultovati a koga informisati
RACI MATRICA
RACI matrica predstavljaju matricu kojom se za svaki od procesa i

aktivnosti određuju odgovornosti i ovlašćenja.
Za svaku aktivnost u okviru ove matrice definisano je ko je u

organizaciji odgovoran, ovlašćen za izvršenje, a koga treba samo
konsultovati, I informisati za posmatrane aktivnosti.
Preciznije, RACI matrica predstavljaju matricu kojom se za svaki od
procesa i aktivnosti određuju odgovornosti i ovlašćenja, i služe kao
smernice menadžmentu za upravljanje rizicima. Na slici je prikazana je
RACI matrica za kontrolni proces PO4, iz domena planiranja i organizacije,
koji definiše IT procese, uloge i odgovornosti u okviru organizacije. Za
svaku aktivnost u okviru ove matrice definisano ko je u organizaciji
19
odgovoran (engl. Responsible), ovlašćen (engl. Accountable), a koga

treba samo konsultovati (engl. Consulted) i informisati (engl . Informed)
za posmatrane aktivnosti.
Sledeće funkcije mogu se pojaviti u RACI tabeli:
• generalni direktor (eng. Chief Executive Officer, CEO),
• direktor financjia (eng. Chief Financial Officer, CFO),
• poslovni direktori,
• direktor IT odela (eng. Chief Information Officer, CIO),
• vlasnici poslovnih procesa,
• rukovodilac proizvodnje,
• glavni arhitekta IT sistema,
• rukovodilac projekata (eng. Project Management Officer, PMO),
revizori, stručnjaci za IT bezbednosti, i svi oni koji se ne bave operativnim
radom.
Budući da tabela vrlo jasno prikazuje odgovornosti pojedinih ljudi na
pojedinim pozicijama, primenom RACI tablica definisanih COBIT - om
može se osigurati potpuno izvođenje definirasih akcija. Takođe je moguće
njihovo uklapanje u celi sistem organiizacije ili kompanije, s obzirom na
činjenicu da su RACI matricom definisane i poslovne funkcije s kojima je
potrebno obaviti savetovanje prilikom planiranja sistema.
RACI MATRICA U COBIT MODELU:

PRIMER
Primer RACI matrice za PO4: odgovoran (R) – ovlašten

(O) – konsultovan (C) – informisan (I); prikaz RACI
matrice za kontrolni cilj / proces PO4
PRIMER korištenja RACI matrice u okviru COBIT modela
Na sledećoj slici prikazana je RACI matrica za poslovni proces tj. Kontrolni

cilj / proces PO4 - određivanje IT procesa, organizacije i međusobnih
odnosa u njoj, iz domena planiranja i organizacije (PO), koji definiše IT
procese, uloge i odgovornosti u okviru organizacije.
Sa leve strane prikazane su aktivnosti u okviru procesa PO4, I to:

• Uspostaviti IT organizacionu strkuturu,
• Projektovati okvir IT procesa,
• Identifikovati vlasnike sistema,
• Identifikovati valsnike podataka,
• Uspostaviti I implementirati IT uloge, odgovornosti, uključujući nadzor i
separaciju (segregaciju) dužnosti.
20
Sa desne strane su prikazane funkcije za sve aktivnosti procesa PO4, npr.

za prvu aktivnost - Uspostaviti IT organizacionu strukturu - definisane su
sledeće funkcije u smislu uoga i odgovornosti za ovu kontrolnu aktivnost:
- Odgovoran (R) je rukovodilac IT administracije,

- Ovlašten za izvršenje (O) je šef informatike,
- Konsultovani (C) su: generalni director, finansijski director, izvršni

director, glavni rukovodilac, glavni arhitekta IS, rukovodilac razvoja, i
rukovodilac projekta,
- Informisano (I) je nadležno lice za usklađenost (usaglašenost), reviziju,

rizik i bezbednost poslovanja.
Slika 3.3 Primer RACI matrice
za kontrolni cilj/proces PO4, u
COBIT modelu (v.4.1)
KONTROLNE AKTIVNOSTI U COBIT

MODELU
Kontrolne aktivnosti pripadaju kontrolnim ciljevima /

procesima
KONTROLNE AKTIVNOSTI
Prethodno su navedeni kontrolni ciljevi/procesi višeg nivoa, ali COBIT

ih pojašnjava specificirajući detaljne ciljeve kontrole, odnosno
kontrolne aktivnosti.
Na primer, za kontrolni cilj / proces PO1 definisano je sledećih 6 detaljnih

ciljeva / kontrolnih aktivnosti:
- PO1.1 Menadžment IT vrednosti
21
- PO1.2 Usaglašavanje IT sa poslovanjem
- PO1.3 Procena trenutnih performansi
- PO1.4 Strateški planovi IT
- PO1.5 Taktički planovi IT
- PO1.6 Menadžment IT protfolia

Važno je napomenuti da neki od elemenata COBIT PO procesa / ciljeva ne
mogu biti zadovoljeni za manje ili srednje organizacije.
Na primer, element PO3.5 navodi potrebu za funkcijom ili bordom za IT

arhitekturu. U realnom poslovanju, manje ili srednje organizacije nemaju
dovoljno resursa za formalno uspostavljanje funkcije borda za arhitekturu
IT.
Zbog toga je važno shvatiti da COBIT materijali predstavljaju

smernice za rukovođenje IT kao i za reviziju IS, koje nisu obavezne
za implementaciju i treba ih uvek razmatrati u kontekstu
organizacije u kojoj se vrši implementacija ili revizija.
KONTROLNE AKTIVNOSTI U COBIT

MODELU: PRIMER
Primer kontrolne aktivnosti PO1.4: strateški plan za IT
PRIMER korištenja kontrolnih aktivnosti u COBIT modelu
Revizor / oditor IT sistema pri oceni PO1 – strateški plan za IT, zapravo
vrše pregled i ocenjivanje navedenih 6 elemenata / kontrolnih aktivnosti
PO1.
Za svaki od kontrolnih aktivnosti PO1, COBIT materijali sadrže opis. Na

primer, kontrolna aktivnost PO1.4 – strateški planovi IT, definisana je na
sledeći način:
- Kreiranje strateškog plana koji definiše, u saradnji sa zainteresovanim

stranama, kako IT doprinosi strateškim ciljevima organizacije, I koji su
vezani troškovi I rizici.
- Ovo uključuje kako IT podržava investicione projekte/programme I

isporuku vrednosti u smislu IT usluge/servisa.
- Potrebno je definisati kako će se realizovati ciljevi I kako će biti merena

njihova realizacija.
22
- Strateški plan IT uključuje I specifikaciju budžeta, izvore finansiranja,

regulatorne zahteve, itd.
- Strateški plan IT mora biti dovoljno detaljan kako bi se na osnovu njega
razvio taktički plan IT.
Cilj ovog uputstva za strateški IT plan je obezbeđenje smernica za

izgradnju plana, bez obzira na vrstu i veličinu organizacije. Sa druge
strane, ovu definiciju strateškog IT plana koriste revizori za procenu
strateškog plana IT u organizaciji – za utvrđivanje da li posojeći strateški
plan zadovoljava sve elemente opisane gore (u referentnim COBIT
materijalima).
23
Poglavlje 4 COBIT v.4 kontrolni

ciljevi / procesi
KONTROLNI PROCESI – INFOR.

KRITERIJUMI – IT RESURSI
Važnost kontrolnog cilja / procesa za inform.kriterijum;

veza IT resursa i kontrolnog cilja / procesa
VEZA KONTROLNIH CILJEVA I INFORMAC.KRITERIJUMA
Neki od IT procesa su primenjeni na nivou čitave organizacije, neki na

nivou nivou određenih funkcija (sektora/odseka) organizacije, a neki na
nivou manjih delova organizacije koji uključuju , recimo, rad samo par lica
na jednoj aplikaciji.
Jasno je da kontrole nad IT procesima neće zadovoljavati sve poslovne

zahteve za informacijama podjednako. Zbog toga se uvodi klasifikacija
koja pokazuje koliko je određeni kontrolni cilj / proces važan za
određeni informacioni kriterijum / zahtev:
- PRIMARNO (P) - kontrolni cilje direktno utiče na određeni informacioni

kriterijum;
- SEKUNDARNO (S) – kontrolni cilj indirektno (ili manje direktno – manje

važno) utiče na određeni informacioni kriterijum;
- “prazno” ( ) - označava da posmatrani kontrolni cilje ne utiče na

određeni informacioni kriterijum; odnosno da je posmatrani informacioni
kriterijum može biti zadovoljen nekim drugim kontrolnim ciljevima/
procesima.
VEZA KONTROLNIH CILJEVA I IT RESURSA
Analogno prethodnim razmatranjima, određeni kontrolni cilj/proces nema

podjednak uticaj na sve IT resurse. Zbog toga se u COBIT okviru
označava kada je neki IT resurs upravljan od strane posmatranog
kontrolnog cilja / procesa, i to sa oznakom √
Na sledećoj slici prikazani su COBIT kontrolni procesi / ciljevi, i

njihovi odnosi prema informacionim zahtevima / kriterijumima i
prema IT resursima. Odnosi prema informacionim kriterijumima (P, S ili
24
nepostojeće) i prema IT resursima definisani su na osnovu grupnog rada

niza eksperata iz ove oblasti, i preporučuje se njihovo korištenje u praksi.
Na slici su prikazani kontrolni ciljevi / procesi i informacioni kriterijumi

koji podržavaju te kontrolne ciljeve. Za informacione kriterijume/zahteve
svakog cilja definiše se uloga, koja može biti primerna ili sekundarna, ili
nepostojeća. Kontrolni ciljevi mogu imati više primarnih ili sekundarnih
informacionih kriterijuma u okviru jednog cilja. Takođe, za svaki kontrolni
cilj su definisani i IT resursi potrebni za određeni cilj. Kontrolnim ciljevima/
procesima mogu biti dodeljeni svi resursi, kao što je npr. slučaj sa
kontrolnim ciljem PO9, koji definiše upravljanje i procenu rizika, ili može
biti dodeljen samo jedan resurs, kao npr. kontrolni cilj PO7.
VEZA KONTROLNIH PROCESA,

INFORMACIONIH KRITERIJUMA, I IT
RESURSA
Koliko je kontrolni proces važan za informac.kriterijum i

koje IT resurse koristi kontrolni proces?
Veza kontrolnih ciljeva, infomacionih kriterijuma i IT resursa: tumačenje

ilustracije
Za informacione kriterijume svakog kontrolnog cilja definiše se uloga,
koja može biti
primerna ili sekundarna, u zavisnosti koji je informacioni kriterijum
najbitniji, a koji je manje
bitan, ili potpuno nebitan. Kontrolni ciljevi mogu imati više primarnih ili
sekundarnih informacionih kriterijuma u okviru jednog cilja, a u tabeli su
obeleženi početnim slovima uloge Takođe, za svaki cilj su definisani i IT
resursi potrebni za određeni cilj. Resursi mogu biti aplikacije, informacije,
infrastruktura i ljudi. Ciljevima mogu biti dodeljeni svi resursi, kao što je
slučaj sa kontrolnim ciljem PO9, koji definiše upravljanje i procenu rizika,
ili može biti dodeljen
samo jedan resurs kao što je to urađeno za kontrolni cilj PO7. Svaki
kontrolni cilj u okviru COBIT modela sastoji se iz više definisanih
aktivnosti., gde broj aktivnosti u okviru kontrolnih ciljeva nije konstantan
(o tome će biti više reči u nastavku lekcije).
25
Slika 4.1.1 COBIT v.4.1

kontrolni ciljevi/procesi i
njihova veza sa
informacionim kriterijumima i
IT resursima
COBIT KONTROLNE AKTIVNOSTI I

DOMENI
Svaki kontrolni cilj / proces sadrži niz kontrolnih

aktivnosti
KONTROLNE AKTIVNOSTI
26
Svaki kontrolni cilj / proces u okviru COBIT modela sastoji se iz više

definisanih kontrolnih aktivnosti. Postoji ukupno 197 definisanih
aktivnosti u okviru 4 domena u COBIT v.4.
Sledeća slika prikazuje pojedinačan broj kontrolnih aktivnosti za svaki

kontrolni cilj u okviru COBIT modela.
Ukupan broj aktivnosti po domenima je:
- PO: Planiranje i organizovanje – definisano 52 aktivnosti;
- AI: Nabavka i implementacija – definisano 42 aktivnosti;
- DS: Isporuka i podrška – definisano 80 aktivnosti;
- ME: Praćenje i ocenjivanje – definisano 23 aktivnosti.

Slika 4.1.2 Broj kontrolnih
aktivnosti za svaki od
kontrolnih ciljeva u okviru
COBIT modela (v.4.1)
4.1 KONTROLNI CILJEVI PLANIRANJA I

ORGANIZACIJE (PO)
COBIT V.4 KONTROLNI CILJEVI: PO DOMEN
Planiranje i organizacija (PO) - kontrolni ciljevi / procesi

za planiranje i projektovanje organizacije
Kontrolni ciljevi planiranja i organizovanja (PO)
27
Planiranje i organizacija : Ovaj domen uključuje procese za planiranje

i projektovanje organizacije namenjene postizanju poslovnih ciljeva
organizacije. On obuhvata i procenu rizika. Ovaj domen obuhvata
strategiju I taktiku, I identifikaciju najboljeg načina na koji IT doprinosi
postizanju poslovnih ciljeva. Realizacija strateške vizije mora biti
planirana, saopštena I upravljana iz različitih perspektiva. Takođe,
potrebno je obezbediti postojanje odgovarajuće organizacione I
tehnološke infrastrukture.
Lista kontrolnih ciljeva / procesa visokog nivoa za domen planiranja I

organizacije (PO)
• PO1 – određivanje strateškog plana za IT
• PO2 – određivanje structure/arhitekture podataka
• PO3 – određivanje tehnoloških smernica za IT
• PO4 – određivanje IT procesa, organizacije I međusobnih odnosa u njoj
• PO5 – upravljanje investicijama u IT
• PO6 – komuniciranje ciljeva I smernica menadžmenta/rukovodstva
• PO7 – upravljanje IT kadrovima
• PO8 – upravljanje kvalitetaom IT servisa/usluga
• PO9 – ocena I upravljanje IT rizicima
• PO10 – menadžment/upravljanje projektima
• PO11 – menadžment kvaliteta
Ovo su kontrolni ciljevi / procesi višeg nivoa, ali COBIT ih pojašnjava
specificirajući detaljne ciljeve kontrole (kontrolne aktivnosti).
Na primer, za kontrolni cilj / process PO1 - određivanje strateškog plana

za IT - definisano je sledećih 6 detaljnih ciljeva / kontrolnih aktivnosti
- PO1.1 Menadžment IT vrednosti
- PO1.2 Usaglašavanje IT sa poslovanjem
- PO1.3 Procena trenutnih performansi
- PO1.4 Strateški planovi IT
- PO1.5 Taktički planovi IT
- PO1.6 Menadžment IT protfolia
KONTROLNI CILJ PO1: PRIMER
Proces / cilj PO1 - određivanje strateškog plana za IT :

kontrolne aktivnosti, i RACI matrica
PRIMER kontrolnog procesa / cilja PO1
PO1 – određivanje strateškog plana za IT
28
Revizor/oditor IT sistema pri oceni PO1 – strateški plan za IT, zapravo vrše
pregled i ocenjivanje navedenih 6 elemenata PO1.
Za svaki od kontrolnih aktivnosti PO1, COBIT materijali sadrže opis. Npr.

PO1.4 – strateški planovi IT, definisan je kao:
• Kreiranje strateškog plana koji definiše, u saradnji sa zainteresovanim
stranama, kako IT doprinosi strateškim ciljevima organizacije, I koji su
vezani troškovi I rizici.
• Ovo uključuje kako IT podržava investicione projekte/programme I
isporuku vrednosti u smislu IT usluge/servisa.
• Potrebno je definisati kako će se realizovati ciljevi I kako će biti merena
njihova realizacija.
• Strateški plan IT uključuje I specifikaciju budžeta, izvore finansiranja,
regulatorne zahteve, itd.
• Strateški plan IT mora biti dovoljno detaljan kako bi se na osnovu njega
razvio taktički plan IT.
Cilj ovog uputstva za strateški IT plan je obezbeđenje smernica za
izgradnju plana, bez obzira na vrstu i veličinu organizacije.
Sa druge strane, ovu definiciju strateškog IT plana koriste revizori za
procenu strateškog plana IT u organizaciji – za utvrđivanje da li posojeći
strateški plan zadovoljava sve elemente opisane gore (u referentnim
COBIT materijalima).
Za svaki od COBIT kontrolnih ciljeva / procesa višeg nivoa, postoji

predefinisana RACI matrica. Sledeća slika daje prikaz RACI matrice za
kontrolni cilj PO1 - određivanje strateškog plana za IT.
Slika 4.2.1 Primer RACI
matrice za kontrolni cilj/
proces PO1, u COBIT modelu
(v.4.1)
KONTROLNI CILJ PO9: PRIMER
Proces / cilj PO9 - ocena i upravljanje IT rizicima :

kontrolne aktivnosti
PRIMER kontrolnog procesa / cilja PO9
29
PO9 – ocena i upravljanje IT rizicima
Revizor / oditor IT sistema pri oceni PO9 zapravo vrše pregled i

ocenjivanje navedenih elemenata PO1, odnosno sledećih detaljnih
kotrnolnih ciljeva tj. kontrolnih aktivnosti:
- PO9.1: uključivanje procene rizika IT sistema u sistem upravljanja

rizicima cele organizacije,
- PO9.2: uspostavljanje konteksta procene rizika,
- PO9.3: definisanje ciljeva procene i kriterija po kojima se obavlja

procena rizika
- PO9.4: identifikovanje pretnje,
- PO9.5: procena uticaja nekog događaja na ciljeve i poslovanje

kompanije,
- PO9.6: procena rizika pomoću kvalitativnih i kvantitativnih metoda.

Znači, COBIT model definiše generički model niza procesa koji u
stvarnosti predstavljaju pojedine funkcije unutar IT sistema. Na taj način
pomaže stručnjacima i menadžmentu u razumevanju i upravljanju IT
sistemima. Kako bi se omogućilo upravljanje IT sistemompotrebno je
uvesti kontrolne aktivnosti za sve procese unutar pojedinog sistema. U
tu svrhu COBIT definiše za svaki proces više detaljnih kontrolnih ciljeva,
odnosno, kontrolnih aktivnosti koje se moraju sprovesti kako bi
upravljanje procesom bilo moguće. Kontrolne aktivnosti, ili detaljni
kontrolni ciljevi (eng. detailed controls) se u specifikacijama označavaju
s oznakom procesa i brojem kontrolne aktivnosti.
4.2 KONTROLNI CILJEVI NABAVKE I

IMPLEMENTACIJE (AI)
COBIT V.4 KONTROLNI CILJEVI: AI DOMEN
Nabavka i implementacija (AI) - kontrolni ciljevi /

procesi za naavku i razvoj IT rešenja, i primer
Kontrolni ciljevi nabavke i implementacije (AI)
Akvizicija/ nabavka I implementacija : Realizacija IT strategije mora

biti identifikovana, razvijena ili dobijena, kao I implementirana I
integrisana u poslovni process. Pore toga, ovaj domen obuhvata I
promene I održavanje postojećeg sistema rado obezbeđenja kontinuiteta
30
životnog ciklusa sistema. Ovaj domen uključuje procese se odnose na

nabavku i razvoj IT rešenja i upravljanje promenama tih rešenja u toku
vremena.
Lista kontrolnih ciljeva / procesa visokog nivoa za domen nabavke i

implementacije (AI)
• AI1 – identifikacija automatizovanih rešenja/sollucija
• AI2 – nabavka I održavanje aplikacija
• AI3 – nabavka I održavanje IT infrastrukture
• AI4 – osposobljavanje za upotrebu I rad
• AI5 – nabavka IT resursa
• AI6 – menadžment/upravljanje promenama
• AI7 – instaliranje I validacija/potvrda rešenja I promena
Svaki od ovih kontrolnih ciljeva obuhvata procedure za implementaciju
novih IT resursa. Kao primer kako treba primenjivati COBIT u AI domenu,
pogledajmo kontrolni proces/cilj AI6 - menadžment / upravljanje
promenama.
PRIMER kontrolnog procesa / cilja AI6
AI6 – menadžment / upravljanje promenama
Prethodno je prikazano kako se svaki od 34 IT kontrolnih procesa/ciljeva

se može analizirati kroz 5 koraka. Za AI6 - menadžment / upravljanje
promenama, ovih 5 koraka se prikazuje na sledeći način:
I. Kontrola nad IT procesom:
- menadžment / upravljanje promenama
II. koja zadovoljava poslovne zahteve
- da IT odgovara poslovnim zahtevima za usklađivanje sa poslovnom

strategijom, uz smanjenje grešaka/defekata I dorade
III. fokusirajući se na kontrolu

- uticaja, autorizacije I implementacije svih promena u IT infrastructure,
apliakcijama I tehničkim solucijama, uz minimizaciju grešaka
uzrokovanim nekompletnim zahtevima I neadekvatnom
implementacijom promena u smislu neautorizovanih promena
KONTROLNI CILJ AI6: PRIMER
Proces / cilje AI6 - upravljanje promenama: analiza kroz

5 koraka
PRIMER kontrolnog procesa / cilja AI6 - nastavak
IV. što se postiže koristeći
31
- definisanjem I saopštavanjem procedura za promene, uključjući I hitne

situacije,
- procenom, postavljanjem prioriteta I autorizovanjem promena,
- praćenjem statusa I izveštavanjem o promenama;
V. i mereno je uz pomoć sledeće metrike:
- broj prekida rada ili grešaka u radi koji su uzrokovani netačnom

specifikacijom ili ocenom uticaja promena,
- ponovni rad na aplikaciji ili infrastrukturu usled neadekvatne

specifikacije promena.
Navedeni tekst je preuzet iz referentnih COBIT materijala, I opisuje
kontrolne zahteve za merenje kontrolnih ciljeva AI6. Postoje analogni
tekstovi za svaki od 34 IT kontrolnih ciljeva/procesa.
Navedeni tekst je preuzet iz referentnih COBIT materijala, I opisuje
kontrolne zahteve za merenje kontrolnih ciljeva AI6. Postoje analogni
tekstovi za svaki od 34 IT kontrolnih ciljeva/procesa.
Takođe, u referentnim COBIT materijalima postoje smernice za procenu
kako svaki kontrolni cilj/process se odnosi prema druge 2 dimenzije
COBIT kocke – informacioni zahtevi (poslovni zahtevi) I IT resursi (vidi
sliku: COBIT v.4.1 kontrolni ciljevi / procesi i njihova veza sa
informacionim kriterijumima i IT resursima)
Za AI6, zahtevaju se svi IT resursi. U odnosu na informacione zahteve,

odnosno poslovne zahteve, zahtevi za efektivnost, efkiasnost, integritet I
dostupnost su primarni prioriteti (P), a pouzdanost je sekundarni prioritet
(S). Ostala dva zahteva – poverljivost I usaglašenost nisu od značaja za
kontrolni cilje AI6.
U odnosu na COBIT pentagon, isporuka vrednosti je od primarnog
značaja (P) a menadžment resursa od sekundarnog značaja (S) za AI6.
4.3 KONTROLNI CILJEVI ISPORUKE I

ODRŽAVANJA (DS)
COBIT V.4 KONTROLNI CILJEVI: DS DOMEN
Isporuka i podrška (DS) - kontrolni ciljevi / procesi za

isporuku IT servisa i njihovo održavanje
Kontrolni ciljevi isporuke i održavanja (DS)

Isporuka i održavanje / podrška: Obuhvata stvarnu isporuku
zahtevane usluge, koja varira od tradicionalnih operacija preko
32
bezbedonosnih probelma I problema poslovnog kontinuiteta do obuke.

Mora postojati odgovarajuća podrška za isporuku usluge. Ovaj domen
uključuje I stvarnu obradu podataka od strane aplikacionih sistema, što
se često klasifikuje u grupu aplikacionih kontrola. Ovaj domen uklučuje
procese koji se odnose
na aktuelne isporuke IT usluga organizaciji. On uključuje i procese za
upravljanje problemima i incidentima, upravljanje sigurnošću, i druge
procese koji se odnose na izvršavanje IT.
Lista kontrolnih ciljeva / procesa visokog nivoa za domen isporuke i
održavanja (DS)
• DS1 – definisanje I eukovođenje nivoom usluga
• DS2 – rukovođenje uslugama trećih lica/vendora
• DS3 – rukovođenje performansom I kapacitetom
• DS4 – obezbeđenje/održavanje kontinuiteta usluge
• DS5 – osiguranje bezbednosti sistema
• DS6 – identifikacija I raspoređivanje troškova
• DS7 – edukacija I obuka korisnika
• DS8 – rukovođenje servisnim kadrom (Service Desk) I incidentnim
situacijama
• DS9 – menadžment konfiguracije
• DS10 – menadžment /rukovođenje problemima
• DS11 – menadžment /rukovođenje podacima
• DS12 - menadžment / rukovođenje fizičkim okruženjem
• DS13 – menadžment operacija
Ovaj domena COBIT-a je možda najdirektnije vezan za ITsisteme.
Kao primer, pogledajmo kontrolu DS10 - menadžment / rukovođenje

problemima.
KONTROLNI CILJ DS10: PRIMER
Proces / cilja DS10 - rukovođenje problemima: metrika

za merenje kontrolnih ciljeva – indikatori ključnih
performansi
PRIMER kontrolnog procesa / cilja DS10
DS10 - menadžment / rukovođenje problemima
Efektivan menadžment problema zahteva identifikacij I klasifikaciju,

problema, analizu uzroka I definisanje rešenja. Ovo takođe uključuje
identifikaciju aktivnosti za unapređenje, održavanje zapisa o problemima
I pregled statusa korektivnih mera. Efektivan menadžment problema
unapređuje nivo usluga, smanjuje troškove I unapređuje zadovoljstvo
kupca/korisnika.
33
U ovom primeru posebno je zanimljivo pogledati COBIT

referentne materijale koji povezuju kontrolne ciljeve, u smislu
da izlazi iz nekih kontrolnih ciljeva predstavljaju ulaze u druge
kontrolne ciljeve. Naime, kontrolni ciljevi AI6, DS8, DS9 I DS13 daju
izalze koji predstavljau ulaze u proce DS10.
Ovde nije moguće prikazati sve ove međuzavisnosti, ali važo je zapaziti
da COBIT precizira sve međuzavinosti (u smislu ulaza I izlaza)
između 34 kontrolnih procesa / ciljeva.
Prethodno je pomenuto da COBIT obezbeđuje i materijale za
metriku za merenje kontorlnih ciljeva.
Sledi prikaz metrike za DS10. Sličan skup metrike postoji za svaki od 34

kontrolnih ciljeva/procesa.
Za DS10 – menadžment problema, ključno je izvođenje analize uzroka I

izveštavanje o tome, analize uslova poslovanja, kao I dodela “vlasništva”
nad problemom I rešavanje problema. Za svaki cilj postoje indikatori
ključnih performansi (KPI), koji su za DS10:
- Prosečno vreme između identifikacije problema I otkrivanja njegovih

uzroka,
- Procenat problema za koje analiza uzroka nije izvedena,
- Frekvencija dešvanja problema u odnosu na njihovu ozbiljnost (nivo

uticaja na poslovanje), itd.
4.4 KONTROLNI CILJEVI PRAĆENJA I

OCENJIVANJA (ME)
COBIT V.4 KONTROLNI CILJEVI: ME DOMEN
Praćenje i ocenjivanje (ME): kontrolni ciljevi / procesi
Kontrolni ciljevi praćenja i ocenjivanja (ME)

Monitoring / praćenje i evaluacija / ocenjivanje: Svi IT procesi
moraju biti ocenjivani u regularnom vremenskim razmacima, u smislu
ocene kvaliteta I usaglašenosti sa kontrolnim zahtevima. Ovaj domen
obuhvata I ocenu organizacione kontrole procesa od strane
menadžmenta I od strane nezavisnih eksperata (internih I spoljnih). On
uključuje procese za
regularnu proveru IT procesa i njihove uspešnosti u postizanju relativnih
ciljeva IT kontrola.
34
Lista kontrolinh ciljeva / procesa visokog nivoa za domen praćenja i

ocenjivanja (ME)
• ME1 – monitoring I procena IT procesa,
• ME2 – monitoring I procena internih kontrola,
• ME3 – usaglašavanje sa relevantnim regulativama,
• ME4 – uspostavljanje rukovođenja IT (IT Governance).
Važno je podsetiti na Deming-ov ciklus PDCA (plan – do – check –
act), koji zahteva da se poslovni procesi definišu kao petlja – ciklus sa
sledećim koracima (prikaz na sledećoj slici):
1. Korak1. – Planiranje: poslovni procesi trebaju biti planirani –

projektovani ili modifikovani radi unapređenja rezultata poslovanja;
2. Korak 2. – Izvršenje: implementirati planirano I izmeriti performanse;
3. Korak 3. – Provera: proceniti izmrene rezultate I izvestiti o rezultatima;
4. Korak 4. - Reagovati : odlučiti koje promene su potrebne radi

unapređenja.
Ovaj domen je od posebnog značaja za reviziju IT sistema. Kao primer,

razmatraćemo kontrolni process ME2 - monitoring I procena internih
kontrola.
DEMINGOV CIKLUS: ILUSTRACIJA
PDCA ciklus za praćenje i ocenjivanje kontrolnih ciljeva

podrazumeva sledeće aktivnosti: planiranje - izvršenje -
provera - (re) akcija
PDCA u kontekstu ocenjivanja COBIT kontrolnih ciljeva
Proces planiranja (plan) podrazumeva istraživanje sledećih elemenata:

pojašnjenje ciljeva, indetifikacija uzroka, poređenje naboljlih praksi, i,
identifikacija uloga u timu, itd.
Proces izvršenja (do) podrazumeva iplementaciju sledećih elemenata:

provera tj. verifikacija uzroka; analiza podataka radi razumevanja kako
se problem desio; identifikacija mogućih rešenja, i tako dalje...
Proces provere (check) podrazumeva ocenu i vaidaciu sledećeg

implemetacija rešenja radi provere podataka; definisanje protiv mera /
internih kontrola; obuka; saopštavanje i komunikacije, i slično.
35
Slika 4.3.1 Demingov PDCA

ciklus za praćenje i
ocenjivanje kontrolnih ciljeva
Proces akcije ili reakcije (act) uključuje standardizovanje rešenja i

eventualne korekcije. Ovo dalje podrazumevapregled povratnih
informacija i implementaciju potrebnih korektivnih rešenja; kao i
standardiaciju PDCA ciklusa, u smislu njegovom utemeljenja kao deo
standrdnog procesa poslovanja u organizaciji, a posebno u vezi IT
kontrola.
KONTROLNI CILJ ME2: PRIMER
Proces / cilje ME2 - monitoring i procena internih

kontrola : metrika, i kontrolne aktivnosti
PRIMER kontrolnog procesa / cilja ME2
ME2 - monitoring i procena internih kontrola
COBIT referentni materijali navode da se monitoring I procena internih

kontrola postiže definisanjem IT kontrola koje su ugrađene u IT procese,
praćenjem I izveštavanjem o efikasnosti internih kontrola, I analizom
izuzetaka kako bi se specificirale korektivne aktivnosti. Vidljivo je da ovaj
tekst prati Deminog ciklus.
36
Proces ME2 se meri sledećom metrikom: broj prekršaja –

neizvršavanja internih kontrola, broj inicijativa za unapređenje internih
kontrola, broj samo-ocenivanja internih kontrola (od strane njihovih
vlasnika).
Ovaj kontrolni cilj sadrži sledeće detaljne ciljeve / kontrolne

aktivnosti:
- ME2.1. Monitoring okvira internih kontrola – kontinualno praćenje I

unapređenje kontrolnog okruženja;
- ME2.2. Pregled internih kontrola od strane supervajzora/menadžera –
odnosi se na revizije/odite koje treba da izvodi menadžment organizacije,
pored uobičajenih revizija IT sistema;
- ME2.3. Izuzeci – zapisivanje svih izuzetaka (sih elemenata nad kojim

nije uspostavljena kontrola), I analiza razloga za to, kao I preduzimanje
korektivnih aktivnosti;
- ME2.4. Samo-ocenjivanje kontrola- IT menadžment treba da oceni

kompletnost I efektivnost internih kontrola nad IT procesima, politikama,
itd. putem kontinualnog samo-ocenjivanja;
- ME2.5. Osiguranje internih kontrola – osiguranje kompletnosti I

efektivnosti internih kontrola kroz pregled od strane treće strane/lica;
- ME2.6. Interne kontrole kod trećih strana – procena statusa internih

kontrola za koje su zadužene treće strane (eksterna lica ili organizacije);
- ME2.7. Aktivnosti za “lečenje” problema
37
Poglavlje 5 Upotreba COBIT

modela za procenu
internih kontrola
OCENA INTERNIH IT KONTROLA

KORISTEĆI COBIT
Revizija IT sistema u organizaciji podrazumeva ocenu

internih IT kontrola, za šta se koristi COBIT
Upotreba COBIT modela za procenu internih kontrola IT
Pored predstavljenog okvira COBIT modela i kontrolnih procesa, postoji

nekoliko stotina stranica referentnih materijala koji predstavljaju
smernice za reviziju IT sistema, odnosno za procenu internih kontrola
u organizaciji.Nije moguće obuhvatiti sve ove materijale u okviru ovog
predmeta, ali je važno razumeti principe korištenja COBIT modela za
procenu internih IT kontrola.
Na bazi prethodno objašenjenog konteksta, okvira i kontrolnih

ciljeva COBIT modela, svaki od 34 IT kontrolnih procesa/ciljeva se
može analizirati kroz navedenih 5 koraka:
I. Kontrola [Naziv kontrolnog procesa]
II. zadovoljava [Spisak poslovnih zahteva]
III. fokusirajući se na [Spisak važnih ciljeva IT]
IV. što se postiže koristeći [Spisak kontrolnih izjava / tvrdnji –

kontrolnih praksi]
V. i mereno je uz pomoć [Spisak ključne metrike]

U svakom slučaju, COBIT model kaže da se kontrola nad bilo kojim
procesom mora zadovoljiti određene poslovne zahteve, koji se, između
ostalog, odnose/fokusiraju na određene specifične IT ciljeve. Znači
određeni proces mora biti podržan poslovnim i IT zahtevima koji vode,
odnosno upravljaju tim procesom. Svaki od ovih zahteva mora biti
definisan jednom ili više kontrolnih izjava/tvrdnji koje specificiraju
38
Poglavlje 5: Upotreba COBIT modela za procenu internih kontrola
kontrolne prakse. Konačno, potrebno je proceniti efektivnost kontrola,

koristeći ključnu metriku
Iako je COBIT primarno razvijen kao model za reviziju IT sistema,

odnosno procenu internih IT kontrola, gore navedeni princip se može
koristiti za gotovo sve vrste revizija/odita gde se vrši procena internih
kontrola (koje mogu biti IT kontrole ili druge vrste internih kontrola).
OCENA INTERNIH IT KONTROLA:

NAVIGACIJA KROZ COBIT
Kako se koristi COBIT model za procenu internih

kontrola u organizaciji?
Navigacija kroz COBIT model za procenu internih IT kontrola
Sledeća slika prikazuje način kako koristiti COBIT model za procenu

internih kontrola IT, odnosno za reviziju IT sistema.
Gornji levi ugao prikazuje poslovne zahteve [Spisak poslovnih zahteva] –

odnosno, informacione kriterijume (kako su prethodno nazivani u lekciji).
Napomena: U originalnim COBIT materijalima, ovi poslovni zahtevi su

obeleženi sa P, S ili su neobeleženi, što znači da određena kontrola [Naziv
kontrolnog procesa] direktno utiče na postizanje poslovnog zahteva /
informacionog kriterijuma (P) ili indirektno-sekundarno utiče (S) ili uopšte
ne utiče, odnosno kontrola nije primenljiva za taj poslovni zahtev /
informacioni kriterijum.
Donjii desni ugao prikazuje IT resurse koji se koriste za neku kontrolu
[Naziv kontrolnog procesa]. Ovde se “čekiraju” oni resursi koji se koriste
za posmatranu kontrolu.
Donji levi ugao prikazuje COBIT pentagon, i ovde se označava da li

određena kontrola tj. kontrolni proces [Naziv kontrolnog procesa]
primarno ili sekundarno utiče na neku od oblasti COBIT pentagona.
Centralni deo slike, za svaki od 34 IT kontrolni ciljeva / procesa – kontrola,

odrazumeva određeni tekst (koji je definisan u COBIT materijalima).
39
OCENA INTERNIH IT KONTROLA:

ILUSTRACIJA
Ilustrativni prikaz korištenja COBIT modela za procenu

internih IT kontrola u organizaciji
Navigacija kroz COBIT model: objašnjenje ilustracije
Centralni deo navigacije kroz COBIT model predstavljaju faze: kontrola

nad IT procesom (...) - zadovoljava poslove zahteve za IT (...) -
foksuirajući se na (...)- što se postiže koristeći (...) - i mereno je pomoću
(...).
U gornjem levom uglu nalazi se sedam poslovnih zahteva, odnosno

zahteva za informacijom: efektivnost, efikasnost, poverljivsot, integritet,
dostupnost, usaglašenosti, i, pouzdanost.
U donjem levom uglu prikazan je COBIT pentagon, sa domenima za

rukovođenje / upravljanje IT. Gornji desni ugao predstalja domene COBIT
v.4 okvira (PO, AI, ME, DS).
Donji levi ugao prikazuje IT resure: ljudi, palikacije, tehnologije,
infrastruktura (potrojenja, itd.) i podaci.
Slika 5.1.1 Navigacija kroz
COBIT model za procenu
internih kontrola IT
40
OCENA INTERNIH IT KONTROLA

KORISTEĆI COBIT REFERENTNE
MATERIJALE
Revizija IT sistema u organizaciji / ocena internih IT

kontrola: lista potrebnih COBIT materijala
Korištenje COBIT referentnih materijala za ocenu internih IT kontrola
Pored navedenog, pri korištenju COBIT modela za reviziju IT sistema

tj. za procenu internih kontrola, potrebno je iz referentnih COBIT
materijala preuzeti i sledeće elemente za svaki kontrolni proces/cilj
koji se kontroliše:
- RACI matrica,
- Veza sa informacionim zahtevima (primarna, sekundarna ili

nepostojeća),
- Veza sa IT resursima (postoji ili ne – za svaku vrstu resursa),
- Veza sa COBIT pentagonom – koja oblast je od primarnog, koja od

sekundarnog interesa za posmatrani kontrolni cilj,
- Veza sa ostalim kontrolnim ciljevima/procesima, u smislu međuzavinosti

procesa tj.njihovih ulaza/izlaza (npr. izlaz iz jednogprocesa predstavlja
ulaz u drugi process, i slično),
- Ključna metrika – indikatori ključnih performansi za svaki process (KPI),
- Detaljni kontrolni ciljevi/procesi tj. kontrolne aktivnosti koji su elementi

posmatranog kontrolnog cilja/procesa,
- Smernice za reviziju / odit IS koje su definisane za svaki kontrolni

process/cilj i za njihove elemente – detaljne kontorlne ciljeve/procese tj.
kontrolne aktivnosti
41
5.1 UPOTREBA COBIT SMERNICA ZA

REVIZIJU IT SISTEMA
COBIT SMERNICE ZA REVIZIJU IT SISTEMA
Koraci pri razvoju programa revizije IT sistema na bazi

COBIT modela
Upotreba COBIT smernica za reviziju IT sistema
Sledi prikaz tipičnih koraka za razvoj programa revizije IT sistema na bazi

COBIT modela:
1. Pregledati spisak 34 kontrolna cilja / procesa I izabrati one ciljeve/

procese koji se odnose na planiranu svrhu revizije/odita (npr. AI6).
2. Opisati rizike (“izloženost rizicima” ili “efekti”) koji su vezani za

kontrolne procese/ciljeve koji su izabrani u prethodnom koraku.
3. U odnosu na rezultate prethodna dva koraka, izabradi detaljne

kontrolne ciljeve/procese iz COBIT modela. Obično je potrebno pregledati
detaljne ciljeve/procese koji su elementi kontrolnih ciljeva višeg nivoa
izabrani u prvom koraku (npr. AI6.1, AI6.2, …..), ali potrebno je pogledati
I referentni COBIT material koji daje veze između kontrolnih procesa, pa u
odnosu na te zavisnoti treba pogledati da li je potrebno izabrati I detaljne
ciljeve koji su elementi drugih – vezanih kotrnolnih ciljeva (npr. PO10.1,
…itd.).
4. Koristeći COBIT smernice za reviziju (COBIT Audit Guidelines), izabrati

odgovarajuće aktivnosti odita koje je potrebno izvesti za planiranu
reviziju/odit. Revizor IS treba da izabere aktivnosti odita koje su vezane
za detaljne kontrolne ciljeve/procese (koji su izabani u prethodnom
koraku).
5. Radi kompeltiranja programa IT revizije, revizor obično treba da uključi
I dodatne testove koji su vezani za specifične IT platform nad kojim
se vrši revizija/odit. Na primer, revizor treba da pogleda uputsvo za
menadžment sistema baza podataka I na osnovu toga da izabere koje
testove je potrebno izvršiti radi procene kontrola baza podataka.
Cilj revizije IT sistema je da se oceni IT sistem organizacije, radi

uveravanja da li ITproizvodi pravovremene, tačne, potpune i pouzdane
informacije, kao i da se obezbedi poverljivost, integritet, raspoloživost
i pouzdanost podataka, i usklađenost sa relevantnim zakonskim i
regulatornim zahtevima. Ciljevi revizije će se razlikovati zavisno od
prirode ili kategorije revizije. Upućenom menadžmentu i korporativnim
strukturama lako je pomoću COBIT modela utvrditi koji su od tih procesa i
42
u kojoj meri važni. Sa stanovišta kontrole i revizije informacionih sistema

Cobit određuje i 18 aplikativnih ili aplikacionih kontrola i 6 procesnih
kontrola (kontrol IT procesa).
Sledi primer upotrebe COBIT modela, tačnije COBIT smernica za reviziju

IT sistema (COBIT Audit Guidelines).
COBIT SMERNICE ZA REVIZIJU IT SISTEMA: PRIMER
Primer korištenja COBIT smernica za reviziju

menadžmenta promena IT sistema
PRIMER upotrebe COBIT smernica za reviziju IT sistema
U jednoj organizaciji odlučeno je da se izvrši revizija / odit menadžmenta

promena, u okviru revizije IT sistema. Kao okvir zaplaniranje odita,
usvojen je COBIT model. Sledeća slika (standards.narod.ru/COBIT/
cobitits.pdf) prikazuje deo programa odita/revizije menadžmenta
promena u organizaciji.
Druga kolona prikazuje kontrolne ciljeve / procese, koji su usvojeni iz

okvira (framework) COBIT modela, tačnije iz dela koji se odnosi na
kontrolne ciljeve/procese višeg nivoa (tekst koji se nalazi u drugoj koloni
je tekst koji opisuje kontrolni process/cilj AI6 – menadžment promena,
prepisan iz COBIT modela). Treća kolona predstavlja element - rizici – to
su zapravo rizici vezani za posmatrane kontrolne ciljeve / procese, koji su
specifični za posmatranu organizaciju. Četvrta kolona prikazuje detaljne
kontrolne ciljeve / kontrolne aktivnosti – to su elementi kontrolnog
procesa AI6 (AI 6.1., AI 6.2, itd.). Peta kolona prikazuje koji delovi/
elementi organizacije I IT sistema treba da se pregledaju/testiraju –
odituju. Ovaj tekst je preuzet iz COBIT smernica za reviziju. Šesta kolona
se odnosi na dodatne testove, koji zavise od specifičnosti IT
infrastrukture koja spade u domen revizije.
U praksi, koraci za izvođenje revizije IT sistema su sledeći: a.) Pregled,
odnosno „snimak stanja‟ IT sistema ili odabranog područja provere
(revizije); b.) Određivanje prioriteta rada (određivanje objekta revizije IS -
a i ciljeva kontrole); c.) Detaljan pregled objekta revizije IS - a i testiranje
kontrola; d.) Prikupljanje dokaza i procena poslovnih i IT rizika; i, e.)
Preporuke i izvještaj revizora IT sistema.
Znači, u praksi, koristeći COBIT smernice vrši se ocena da li informaciona
tehnologija deluju u skladu sa poslovnim ciljevima, u kojoj meri
delotvorno i svrsishodno podupire ciljeve poslovanja i kakva je praksa
(zrelost) upravljanja i kontrole informacionog sistema na raznim
hijerarhijskim nivoima. Finalni rezultat tih postupaka je izveštaj revizora
informacionih sistema, koji se prema područjima analize, zasnovane na
COBIT modelu, sastoji od sledećih koraka:
- analiza stanja (zrelosti) primene informacionih sistema, kao i njihovih
procesa, i tehnologija u poslovanju prema posmatranim područjima;
43
- procena poslovnih i IT rizika koji proizlaze iz zatečenog stanja;
- preporuke menadžmentu za poboljšanjem tog stanja
DEO PROGRAMA REVIZIJE IT SISTEMA: PRIMER
Prikaz korištenja COBIT smernica za reviziju

menadžmenta promena (proces AI6) IT sistema
Objašnjenje primera:
Kontrolni cilij / proces AI6 - menadžment promena - je opisan na sledeći

način: "Obezbediti identifikaciju automatizovanih rešenja, na osnovu
analize svih mogućih alteratvia koje zadovoljavaju zahteve korisnika".
Primer rizika za ovaj kontrolni cilj je sledeći: "Ako se dosledno ne prate

procedure za menadžment promena, moguće je izazvati prekide u radi,
kompromitovanje zahteva / kriterijuma za infomracije, kašnjenje u obradi
podataka, povećane troškove, i neispunjenje zahteva korisnika. Ovaj rizik
je uvećan u hitnim situacijama".
Pripadajući detaljni kontrolni cilj je seldeći: "Inicijacija i ontrola zahteva

za promenu: Menadžment IT mora da obezbedi da su svi zahtevi za
promenu standardizovani i podvrgnuti formalnim procedurama".
Delovi, odnodno, elementi koje treba proveriti, ili - nad kojim treba
ozvršiti reviziju su sledeći: "Pregledati procedure za menadžment
promena. Testirati procedure radi ocene njihove efektivnosti, a posebno
u hitnim situacijama" .
Sledeći nivo predstavljaju dodatni testovi kontrola, oji su takođe

specificirani u COBIT referentnim materijalima.
44
Slika 5.2.1 Prikaz dela

programa revizije IT sistema
koji se odnosi na
menadžment promena
COBIT APLIKACIJSKE I PROCESNE KONTROLE
COBIT aplikacione kontrole (AC) za autorizaciju

podataka, ulaze, obrade, izlaze i prenos podataka;
COBIT procesne kontrole (PC)
COBIT APLIKACIONE KONTROLE
Sledi spisak aplikacionih kontrola (application controls - AC) specificiranih

u COBIT modelu.
a.) KONTROLE AUTORIZACIJE PODATAKA
• AC1 Procedure pripreme podataka
• AC2 Autorizacija izvornih dokumenata
• AC3 Prikupljanje podataka
• AC4 Upravljanje greškama
• AC5 Pohranjivanje podataka
45
b.) KONTROLE ULAZA PODATAKA

• AC6 Autorizacijski postupci
• AC7 Tačnost, potpunost i autorizacije
• AC8 Upravljanje greškama pri unosu
c.) KONTROLE OBRADE PODATAKA
• AC9 Celovitost tj. kompletnost obrade podataka
• AC10 Provera ispravnosti obrade
• AC11 Upravljanje greškama
d.) KONTROLE IZLAZA PODATAKA

• AC12 Prikaz i pohranjivanje izlaznih podataka
• AC13 Distribucija izlaznih podataka
• AC14 Usklađivanje izlaznih podataka
• AC15 Pregled ispravnosti izlaznih podataka
• AC16 Bezbednost izlaznih podataka
e.) KONTROLE PRI PRENOSU PODATAKA

• AC17 Autentifikacija, autorizacija i provjera celovitosti
• AC18 Zaštita osetljivih podataka pri prenosu na daljinu
COBIT KONTROLE PROCESA
Sledi spisak procesnih kontrola ( process controls - PC) specificiranih u
COBIT modelu, koje se odnose ne samo na IT nego i na posovne procese
u organizaciji.
COBIT PROCESNE KONTROLE
• PC1 Određivanje vlasnika poslovnog procesa
• PC2 Određivanje repetitivnih (ponavljajućih) procesa
• PC3 Određivanje jasnih ciljeva svakog procesa
• PC4 Uloge i odgovornosti
• PC5 Performanse procesa
• PC6 Politike, planovi i procedure
46
Poglavlje 6 Upotreba COBIT

modela za procenu
rizika
PROCENA RIZIKA KORISTEĆI COBIT V.4

MODEL
Upotreba okvira COBIT v.4 modela za procenu rizika, u

okviru revizije IT sistema
Upotreba COBIT modela za procenu rizika
Na narednoj slici sledi primer upotrebe okvira COBIT modela za procenu

rizika u organizaciji, u okviru revizije IT sistema (standards.narod.ru/
COBIT/cobitits.pdf).
Prva slika prikazuje tabelu za procenu rizika u sa ciljem identifikacije

domena – oblasti koje će biti uključene u proces revizije IT sistema, a
druga slika prikazuje procenu rizika za svaki od 34 kontrolnih ciljeva
/ procesa COBIT modela sa ciljem fokusiranja na one oblasti gde su
potrebne dodatne politike, procedure, standardi, I slično..
Vidljivo je da su revizori koristili 34 kontrolna procesa/cilja, vršena je

procena rizika poslovanja u odnosu na njih, I na osnovu toga su planirane
dalje aktivnosti revizije.. Naime, revizori IT sistema su se dalje tokom
odita fokusirali na one procese I oblasti poslovanja za koje su vezani
najviši rizici.
Za te IT procese / oblasti, određen je domen pregleda I ocene, odnosno

revizije/odita, specificirani su problematični IT procesi/aktivnosti kao I
vezani IT resursi.
Navedena primena COBIT modela za procenu rizika je dovela do sledećih
rezultata:
- Specificiranje IT oblasti / procesa koje je potrebno pregledati -nad

kojima je potrebno izvršiti reviziju,
- Fokusiranje na IT procese I njihove kontrole koje je potrebno dodati,

modifikovati ili eliminisati,
47
- Preispitivanje odgovornosti za IT procese,
- Fokus na interne rizike sa navjećom vrednošću (verovatnoćom

nastajanja i/ili uticajem na poslovanje)
- Preporuke za formiranje ili modifikovanje postojećih politika, procedura

I standarda.
Pored ovog primera, važno je napomenuti da COBIT obezbeđuje

smernice za reviziju koje sugerišu izvođenje aktivnosti procene za svaki
od 34 IT kontrolnih ciljeva, I to sa sledećim elementima: koga intervjuisati
/ ispitivati / anketirati, koja pitanja pitati, kako oceniti kontrole, ocena
usaglašavanja, identifikacija I potvrda rizika da neka od kontrola nije
realizovana.
PROCENA RIZIKA KORISTEĆI COBIT V.4:

PRIMER
Prikaz tabele za procenu rizika na bazi COBIT modela,

korištene tokom revizije IT sistema
Forma za procenu rizika prikazuje sledeće:
Sa leve strane, u tabeli se identifikuju koje su to oblasti u organizaciji koje

će biti podvrgnute reviiji IT sistema, a zatim i faktori relevantni za reviziju
(na preimer, kada je iizvršena prethodna revizija posmatrane oblasti;
koji su vezani informaiconi kriterijumi, a koji IT resursi; zahtevi, odnosno
žalbe korisnika, itd.). Zatim, vrši se rangiranje rizika prema izabranoj skali
(u prikazanom primeru to je skala od -10 do 10), a dalje i procena rizika
za svaki proces, nakon čega sledi sumarizacija rizika svih procesa za
posmatranu oblast sistema.
Sa desne strane prikazana je procena pojedinačnih rizika, odnosno vrši

se mapiranje prema COBIT kontrolnim ciljevima / procesima. Za svaki
kontrolni cijle, upisuje se nivo procenjenog rizika (nizak, srednji, ili virsok
ivo rizika), i daje odgovrajući komentar u smislu hirnosti ili neophodnosi
reagovanja na posmatrani nivo rizika.
48
Slika 6.1 Tabele za procenu

rizika, bazirane na COBIT
modelu, korištene tokom
revizije IT sistema
49
Poglavlje 7 Vežbe
COBIT MODEL (2.DEO)
Cilj i sadržaj vežbi
Cilj vežbi
Cilj je da student razume praktične aspekte primene COBIT modela

(COBIT v.4.1), i to za različite situacije – sa različitim, ali srodnim
ciljevima: za ocenjivanje zrelosti i kontinualno unapređenje procesa
organizacije; za upravljanje rizicima u organizaciji; za definisanje domena
i plana revizije IT sistema usvajanjem COBIT okvira; i za upravljanje
rizicima u tehnološki-sepcifičnim poslovnim konceptima ko što je
cloud-računarstvo.
Sadržaj vežbi
• Primena COBIT v.4 za unapređenje rukovođenja IT: studija slučaja

• Integracija COBIT v.4 u funkciju interne revizije: studija slučaja
• Primena COBIT v.4 za procenu rizika cloud-računarstva: studija
slučaja
• Primena COBIT v.4 za menadžment IT rizika
• Primena COBIT v.4 u praksi: preporuke i iskustva
7.1 PRIMENA COBIT V.4 ZA

UNAPREĐENJE RUKOVOĐENJA IT
COBIT V.4 ZA UNAPREĐENJE RUKOVOĐENJA IT:

UVOD
Opis problema u organizaciji NHS
STUDIJA SLUČAJA: COBIT ocenjivanje zrelosti i kontinualno unapređenje

rukovođenja IT u NHS
COBIT Case Study: COBIT Maturity Assessment and Continual e-Health

Governance Improvement at NHS Fife
50
Poglavlje 7: Vežbe
http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Case-Study-
COBIT-Maturity-Assessment-and-Continual-e-Health-Governance-
Improvement-at-NHS-Fife.aspx
OPIS PROBLEMA
NHS je nacionalni zdravstveni servis u Velikon Britaniji.
Ova studija slučaja se odnosi na implementaicju COBIT-a u region

Škotske, sa ciljem kontinualnog unapređenja rukovođenja IT u
organizaciji.
• Sa ciljem unapređenja pružana e-usluga (e-Health) NHS je bila

implementirala ITIL v.2, što je značajno unapredilo nivo prućenih IT
usluga
• Ali uočen je nedostatak u smislu nedostatka opšteg modela za
kontinualna unapređenja procesa – od strategije do operacija
Zbog toga je izabrano da se implementira COBIT v.4, očekujući benefite

u smislu
• unapređenja nivoa IT usluga, ali i

• usaglašavanje sa nacionalnim standardima I regulatornim
zahtevima koji podrazumevaju I unapređenje zaštite bezbednosti
podataka.

IMPLEMENTACIJA
Implementacija COBIT v.4 modela u organizaciji NHS:

ciljevi, i faze implemtacije
IMPLEMETACIJA COBIT modela
Izveden je pilot projekat primene COBITV.4 modela u 3 zdravstvena

centra u Škotskoj.
Definisani ciljevi primene COBIT modela su bili:
• Razumevanje prioriteta u smislu unapređenja nivoa zrelosti procesa,

a u skladu sa strategijom NHS,
• Smanjenje rizika i unapređenje IT bezbednosti,
• Unapređenje rezultata revizije IT sistema, kako interne tako I
eksterne,
• Upostavljanje modela za kontinualno unapređenje poslovanja, koji je
održiv I daje stvarne rezultate,
51
• Dostizanje COBIT nivoa zrelosti 3 za sve ključne procese (kontrolne

ciljeve / procese, prema COBIT v.4 modelu), u okviru jedne godine.
Implementacija je bila podeljena u 2 faze:
1. Prva faza je podrazumevala obuku “vlasnika” ključnih

procesa.
2. Druga faza je podrazumevala niz koraka, opisanih u nastavku.

IMPLEMENTACIJA - NASTAVAK
Implementacija COBIT v.4 modela u organizaciji NHS:

faze impelemtacije - nastavak
IMPLEMETACIJA COBIT modela - nastavak
2. Koraci 2. faze su:
1. Unapređenje razumevanja rukovođenja/upravljanja IT u

organizaciji, I obuka zaposlenih za COBIT.
2. Identifikacija odgovornosti – RACI matrica - za sve relevantne
procese (primer RACI matrice za jedan kontrolni cilja / proces -
DS8 dat je na slici 1.).
3. Detaljan pregled postojećih procesa :
4. procena trenutne situacije, i izbor prioritetnih procesa za
unapređenje u skladu sa prioritetima organizacije (slika 2) –
prioritetni COBIT kontrolni ciljevi / procesi se biraju prema
proceni njihove vanosti za realizaciju IT ciljeva organizacije,
5. uključujući i očekivana unapređenja nivoa zrelosti procesa (slika
3) – za sve kontrolne ciljeve/procese izvršena je analiza tenutnog
nivoa zrelosti i specificiranje željenog nivoa zrelosti. Razvoj plana
za unapređenje (svaki vlasnih procesa je bio zadužen za plan za
svoj proces), na osnovu prethodne analize.
1. Izvođenje istraživanja o zadovoljstvu korisnika pruženim IT

uslugama, kako bi se demonstriralo da li je došlo do unapređenja
zadovoljstva korisnika nakon unapređenja konotrlnih procesa.
2. Izvršiti procenu nakon 3, 6 i 12 meseci, koja uključuje merenje
postignutog nivoa zrelosti procesa.
3. Diseminacija rezultata.
52
Poglavlje 7: Vežbe
DEFINISANJE RACI MATRICE: PRIMER
Primer definisanja RACI matrice za kontrolni cilje /

proces DS8, za organizaciju NHS
Sledeća slika daje prikaz dela RACI matrice za kontrolni cilj / proces
DS8 - rukovođenje servisnim kadrom I incidentnim situacijama, gde su
prikazane realne pozicije funkcija u NHS (na osnovu predefinisanih
pozicija za RACI matricu iz referentnih COBIT materijala).
Slika 7.1.1 Deo RACI matrice
koji prikazuje odgovornosti za
kontrolni cilj / proces DS8 u
organizaciji NHS
VAŽNOST KONTROLNIH PROCESA ZA IT CILJEVE
Analiza COBIT kontrolnih ciljeva / procesa u smislu

njihove važnosti za ostvarivanje IT ciljeva organizacije
NHS
Sledeća slika prikazuje izbor prioritenih procesa, gde su analizirani svi

COBIT procesi (svih 34 kontrolna cilja / procesa). Piroriteti za izbor
procesa su određeni u skladu sa procenom koliko određeni COBIT
kontrolni proces doprinosi ostvarenju IT ciljeva organizacije.
53
Slika 7.1.2 Analiza vrednosti

procesa na bazi važnosti
COBIT kontrolnih ciljeva /
procesa za organizaciju NHS
ANALIZA NIVOA ZRELOSTI KONTROLNIH PROCESA
Procena trnutnog nivoa zrelosti COBIT kontrolnih ciljeva

/ procesa i definisanje željenog nivoa zrelosti, za
organizaciju NHS
Sledeća slika daje prikaz analize nivoa zrelosti procesa u organizaciji:

trenutno stanje (plava boja), i željeno / ciljano stanje (crvena boja), za
sva 34 COBIT kontrolna procesa/cilja u organizaciji. Prvi deo slike se
odnosni na kontrolne procese PO; drugi - na kontrolne procese AI, treći -
na kontrolne procese DS; i četvrti - na kontrolne procese ME.
Slika 7.1.3 Procena trenutnog
nivoa zrelosti procesa (plava
boja) i specificiranje ciljeva
za zrelost procesa (crvena
boja) u organizaciji NHS

REZULTATI
Rezultati: unapređenje nivoa zrelosti procesa
REZULTATI PRIMENE COBIT v.4
54
Poglavlje 7: Vežbe
Nakon primene COBIT modela, što je trajalo oko godinu data, izveden je
eksterni odit / revizija IT sistema u NHS koji se odnosi na menadžment
promena, i koji je pokazao
• da su ključni procesi dostigli nivo zrelosti 3 (a neki čak I nivo 4)

zrelosti.
Unapređenje oblasti menadžmenta promena je uticalo na unapređenje

procesa service-desk i menadžment incidentnih situacija, menadžment
konfiguracija I promena, menadžment nivoa usluga, menadžment
bezbednosti, I kontinuitet poslovanja.
Nakon toga, organizacija je bila gotovo spremna za sertifikaciju prema

standardu ISO 27001.
Pored toga, važno je pomenu da je uspostavljeno redovno merenje
procesa prema definisanoj metrici (skup kvantitativnih ciljeva) za sve
ključne kontrolne procese - za svu IT infrastrukturu (service-desk, dektop
računari, sistemi, aplikacije, mreže, telekomunikaciju, itd.) u organizaciji,
kao I za procese menadžmenta (npr. dogovor o nivou usluga – SLA).
• Ovo ujedno predstvavlja ispunjenje zahteva 4. nivoa zrelosti

procesa, čime su svi ključni procesi sada dostigli nivo zrelosti 4.
7.2 INTEGRACIJA COBIT V.4 U

FUNKCIJU INTERNE REVIZIJE
INTEGRACIJA COBIT V.4 U FUNKCIJU INTERNE

REVIZIJE: UVOD
Opis problema i implementacija COBIT modela
STUDIJA SLUČAJA: Integracija COBIT v.4.1. modela u funkciju interne

revizije
COBIT Case Study: Integrating COBIT 4.1 Into the Internal Audit Function
Integrating-COBIT-4-1-Into-the-Internal-Audit-Function.aspx
OPIS PROBLEMA
U banci ( TT Hellenic Postbank S.A., Athens, Greece) menadžment je
zaključio da je potrebno uvesti novu tehnologiju za procenu efektivnosti i
efikasnost internog IT kontrolnog okruženja.
Menadžment zadužen za reviziju IT je odlučio da uspostavi
standardizovani metod planiranja i implementacije IT revizije, odnosno
da usvoji okvir COBIT modela (v.4.1)
IMPLEMENTACIJA COBIT MODELA
55
Tokom 2008.godine impplementiran je COBIT v.4.1. model, fokusirajući

se na sledeće oblasti:
1. Definisanje „univerzuma“ revizije IT. Kreiran je okvir rukovođenja
/ upravljanja IT koji specificira trenutne IT operacije (prikaz na sledećoj
slici – slika 1). Ovaj okvir je korišten kao formiranje „univerzuma“ revizije
IT, gde su postojeće IT operacije i okvir za rukovođenje/upravljanje IT
mapirani prema COBIT-ova 34 kontrolna procesa / cilja (prikaz na slici 2).
• Na primer, procesi DS5 I DS9 su mapirani u domenu menadžmenta

bezbednosti konfiguracija.
Sve IT operacije višeg nivoa u organizaciji su procenjene, u smislu

procene nivoa zrelosti, i rezultati su bili 0 (nepostojeći) ili 1 (inicijalni
nivo zrelosti). Pored toga, IT operacijama organizacije su dodeljeni IT
resursi (aplikacije, informacije, infrastruktura i ljudi) – oni resursi koje te
operacije zaista koriste u realnom radu. U skladu sa tim, svaka promena
IT operacija ili resursa mora biti redovno ažurirana u „univerzuju“ revizije
IT.
OKVIR RUKOVOĐENJA IT U BANCI
Ilustrativni prikaz okvira rukovođenja/upravljanja IT koji

specificira trenutne IT operacije u banci
Slika 7.2.1 Okvir

rukovođenja/upravljanja IT u
banci
56
Poglavlje 7: Vežbe
MAPIRANJE COBIT KONTROLNIH PROCESA SA

POSLOVNIM PROCESIMA
Ilustrativni prikaz mapiranja postojećih IT operacija i

okvira za rukovođenje/upravljanje IT prema COBIT 34
kontrolna procesa/cilja u banci
Slika 7.2.2 Mapiranje COBIT

kontrolnih ciljeva/procesa sa
realnim IT operacijama u
banci
INTEGRACIJA COBIT V.4 U FUNKCIJU INTERNE

REVIZIJE: IMPLEMENTACIJA
Implementacija COBIT modela
IMPLEMENTACIJA COBIT MODELA – nastavak
2. Definisan je plan revizije IT na bazi rizika. Kreirana je

metodologija za rangiranje IT procesa prema nivou preostalog rizika.
Inicijalno, menadžment za IT reviziju je saradđivao sa menadžmentom
IT sektora u organizaciji sa ciljem procene postojećih-nasleđenih rizika
IT procesa, uzimajući u obzir faktore rizika kao što su finansijski ili
operacioni rizici. Nakon toga, uzet je u obzir i trenutni nivo zrelosti
procesa i proraunati su preostali rizici. Analiza postojećih rizika se
izvodila jednom godišnje, i procesi sa navišim nivoom/rangom rizika su
uključeni u godišnji plan revizije IT sistema.
3. Specificiranje domena-oblika angažovanja revizije IT sistema.
Interne politike i procedure, kao i eksterne regulative i COBIT konotrlni
57
procesi su kombinovani radi definisanja prciznog domena – oblika (scope)

revizije. Ovaj domen obavezno uključuje i najkritičnije IT resurse.
4. Ocena procesa. COBIT - ov model nivoa zrelosti procesa je
korišten za ocenu IT operacija. Kao što je prethodno rečeno,
inicijalno, procesi su ocenjeni nivoom 0 ili 1. Nakon izvršenja
implementacije COBIT modela, izvršena je ponovna procena nivoa
zrelosti procesa.
5. Izveštavanje o reviziji IT sistema. Model COBIT v.4.1 obezbeđuje
način podešavanja – mapiranja IT procesa/ciljeva sa poslovnim ciljevima.
Ovo je korišteno za prezentovanje benefita od preduzimanja korektivnih
aktivnosti višem menadžmentu. Na primer, u slučaju menadžmenta
bezbednosti konfiguracija, menadžment za IT reviziju je u stanju da na
efektivan način prezentuje tehničke probleme i probleme usaglašenosti
u skladu sa poslovnim ciljevima organizacije.
7.3 PRIMENA COBIT V.4 ZA PROCENU

RIZIKA CLOUD-C
PROCENA RIZIKA C-C PRIMENOM COBIT V.4: UVOD
Opis problema u kompaniji A
STUDIJA SLUČAJA: Procena rizika cloud-računarstva koristeći COBIT

model
Cloud Computing Risk Assessment: A Case Study
http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Cloud-
Computing-Risk-Assessment-A-Case-Study.aspx
Napomena: ova studija slučaja je bila prikaza u okviru 3. lekcije, u

kontekstu razmatranja praktičnih aspekata analize rizika
OPIS PROBLEMA
Kompanija A je tek započela sa radom i razvija poslovnih softvere pod

imenom/brendom BusinessExpress, koje nudi kao Software as a Service
(SaaS) solucije.
Sledeća slika prikazuje Cloud Hosting BusinessExpress softver koji se
nudi korisnicima kao SaaS.
Osnovna delatnost kompanije A je bila razvoj softvera.
Koncept Infrastructure as a Service (IaaS) cloud service providers (CSPs)
je omogućila kompaniji sledeće benefite:
• Mogućnost ponude softvera za različite platofmr (operativne

sisteme) kao što su Windows, UNIX I Linux;
58
Poglavlje 7: Vežbe
• Skalabilnost, I mogućnost plaćanja segmenata softvera koji je kupuju

• Dostupnost, resursa, itd.
Sa druge strane, prelazak na koncept cloud-računarstva uvodi specifične

rizike u poslovanje, pa je zbog toga pozvan IT revizor / oditor da izvrši
procenu rizika vezanih za ponudu SaaS solucija i uvođenje Iaas cloud-
računarstva.
Sledi prikaz koraka odita / revizije ovog koncepta prema proceni /
menadžmentu rizika.
ILUSTRATIVNI PRIKAZ SAAS REŠENJA
Prikaz Cloud Hosting BusinessExpress softvera koji

kompanija A nudi korisnicima kao SaaS
Slika 7.3.1 Koncept Cloud

Hosting BusinessExpress
softvera koji kompanija A
nudi korisnicima kao SaaS
PROCENA RIZIKA C-C PRIMENOM COBIT V.4:

PRIMENA
Izvođenje revizije IT sistema u kompaniji A: izbor

modela / okvira
Revizija IT rizika za koncept cloud-računarstva
Postoji više opštih / generičkih okvira / modela za izvođenje procene na

bazi rizika okruženja cloud-računarstva . Pored toga, postoje i specifični
okviri više fokusirani na IT, kao npr. standard ISO 27001 i ITIL. Postoje
i različite smernice za bezbednosti kontrole cloud-računarstva izdate od
strane različitih tela u Evropi, Americi I Aiziji.
59
U ovom slučaju , revizor IT je odlučio da izvede procenu na bazi

kombinacije sledećih standarda / smernica / modela:
• Risk IT u okviru COBIT modela – predstavlja osnovu za izvođenje

ovog odita, a uz pomoć sledećih smernica:
• Matrica za kontrole cloud-računarstva ( Cloud Controls Matrix),
• Ocena rizika cloud-računarsta ( cloud computing risk assessment)
- dokument izdat od strane European Network and Information
Security Agency (ENISA) koji definiše principe bezbednosti kao
smernice za cloud provajdere I korisnike/klijente).
• Smernice za bezbednost I privatnost cloud-računarstva (NIST Special

Publication [SP] 800-144), izdate od strane NIST-a (Američki National
Institute of Standards and Technology).
Model Risk IT u okviru COBIT razvijen od strane ISACA je izabran kao

osnova za ovu reviziju, jer predstavlja balans između opštih okvira/
modela za procenu rizika I specifičnih, tehnički-fokusiranih smernica.
Model Risk IT je baziran na COBIT modelu kontrolnih cilijeva za IT.
• COBIT, između ostalog, sadrži I spisak od 36 generičkih scenaria za

IT rizike, koji mogu biti primenjeni za sve organizacije,I koji pomaže
revizorima na ne previde ni jedan scenario- prikaz na sledećoj slici
(slika 2).
GENERIČKI SCERARIJI ZA IT RIZIKE U COBIT

MODELU
Prikaz dela generičkih scenaria za IT rizike, koji su

predefinisani u ovkiru COBIT modela
Slika 7.3.2 Spisak od 36

generička / opšta scenarija za
IT rizike, definisan u okviru
COBIT modela
60
Poglavlje 7: Vežbe
MAPIRANJE SCENARIJA RIZIKA PREMA COBIT

PROCESIMA
Prikaz mapiranja generičkih scenaria rizika prema

COBIT kontrolnim ciljevima, u kompaniji A
Sledeća tabela daje prikaz mapiranja između predefinisanih generičkih

scenaria rizika (sa spiska od 36 opštih scenaria IT rizika) i vezanih
COBIT kontrolnih ciljeva / procesa (koji se mogu pronaći u okviru –
framework COBIT modela), specifičan za ovaj primer cloud-računarstva,
tj. za posmatranu kompanije A.
Definisani COBIT kontrolni ciljevi služe revizoru IT za razvoj programa
odita na bazi IT rizika (COBIT sadrži specifikacije za odit za sve kontrolne
ciljeve). Na osnovu razvijenog programa za reviziju, izvedena je revizija
IT – sledi prikaz rezultata.
Slika 7.3.3 Mapiranje između
predefinisanih generičkih
scenaria rizika i
odgovarajućih COBIT
kontrolnih ciljeva , u
kompaniji A
REVIZIJA RIZIKA C-C PRIMENOM COBIT-A: REZULTATI
PPrikaz dela rezultata revizije IT koji se odnosu na

identifikovane rizike i nedostatke kontrola
Rezultati revizije cloud-računarstva za kompaniju A (provajdera cloud

servisa) na bazi rizika
Sledeća tabela prikazuje deo sumarizacije rezultata revizije IT – deo

prikaza specifičnih rizika i nedostataka u smislu nedostatka
odgovarajućih kontrola, za sve prethodno izabrane generičke scenarije
rizika.
61
Slika 7.3.4 Deo rezultata

revizije IT – deo prikaza rizika
i nedostatka odgovarajućih
kontrola za izabrane
generičke scenarije rizika, u
kompaniji A
REVIZIJA RIZIKA C-C PRIMENOM COBIT-A: MAPA

RIZIKA
Rezultati revizije IT u kompaniji A: mapa rizika
Na osnovu navedenih rezultata I detaljne analize rizika, revizor je

formirao mapu rizika – prikaz odnosa verovatnoće nastajanja rizikai
uticaja rizika na poslovanje kompanije A. Jasno je da kombinacija visokog
uticaja i visoke verovatnoće daje visok nivo rizika za organizaciju – ovi
rizici se nalaze u gornjem desnom delu slike, i predstavljaju neprihvatljive
rizike koje je neophodno hitno ublažiti.
Slika 7.3.5 Mapa rizika:
odnosu verovatnoće
nastanka i uticaj rizika na
poslovanje u kompaniji A
62
Poglavlje 7: Vežbe
PROCENA RIZIKA C-C PRIMENOM COBIT V.4:

ZALJUČAK
Rezultati revizije IT sistema – mapa rizika, i zaključak
Revizija IT rizika za koncept cloud-računarstva - nastavak
Kao odgovor na navedenu mapu rizika , potrebno je primeniti tehnike za

menadžment rizika :
• Implementacija odgovarajućih kontrola (neke od njih su već

sugerisane u prethodnoj tabeli), sa ciljem ublažavanja rizika:
• Transfer rizika;
• Izbegavanje rizika; i/ ili
• Prihvatanje rizika – ovo važi samo za one rizike koje je moguće
prihvatiti, odnosno čiji proizvod verovatnoće I uticaja nije visok (ne
nalazi se u gornjem desnom delu prethodne slike).
Ova procena IT rizika / revizija IT sistema je kao rezultat naglasila potrebu

da kompanija A ublaži nekoliko IT rizika što se postiže implementacijom
adekvatnih kontrola.
Kontrole je potrebno projektovati I implementirati u odnosu na analizu
benefita I troškova implementacija kontrola.
Zaključak
• Ova studija slučaja je prikazala analizu/procenu IT rizika cloud-

računarstva za kompaniju A koja je provajder cloud-aplikacija, tj
usluga. Takođe, prikazan je način / model otkrivanja rizika, rangiranje
rizika (prioriteti) I formulisanje plana aktivnosti za ublažavanje
neprihvatljivih rizika.
• Obzirom na prirodu cloud-računarstva, nephodno je vršiti
kontinualnu, ili barem periodičnu procenu IT rizika za provajdere
cloud-aplikacija.
• Takođe, za organizacije koje planiraju da započnu sa pružanjem
cloud-usluga, preporučuje se da pre započinjanja ovih aktivnosti
izvedu temeljnu analizu IT rizika.
63
7.4 PRIMENA COBIT V.4 ZA

MENADŽMENT IT RIZIKA
PRIMENA COBIT V.4 ZA MENADŽMENT IT RIZIKA:

UVOD
Opis problema u banci Y, kao i razloga za

uspostavljanje jedinstvenog modela za menadžment
rizika
STUDIJA SLUČAJA: Menadžment IT rizika u Banci Y
COBIT Case Study: IT Risk Management in a Bank
http://www.isaca.org/knowledge-center/cobit/pages/cobit-case-study-it-
risk-management-in-a-bank.aspx
OPIS PROBLEMA
Studija slučaja opisuje primer korištenja COBIT modela za menadžment

IT rizika u banci Y, koja posluje širom sveta (u više od 50 zemalja, sa
preko 120 000 zaposlenih), i, gde je COBIT efektivno korišten unutar tima
IT eksperata radi obezbeđenja adekvatnog rukovođenja IT i adekvatne
podrške poslovnim procesima banke.
• Tim IT eksperata se nalazi u različitim delovima sveta, pružajući

podršku poslovanju,i uključuje razvojne IT centre unutar banke,
podršku IT infrastrukturi i uslugama, kao i outsourcingaktivnosti
(vendor).
• U banci postoji više načina rukovođenja IT i više obrazaca
(templates) za procenu rizika, koji su definisani od strane različitih IT
timova u zavisnosti od regiona u kom posluju. Ovde je osnovni izazov
bio uspostaviti jedinstveno rukovođenje IT u svim poslovnicama
banke širom sveta.
Zbog toga, projektovan je jedinstven program rukovođenja IT u

smislu jedinstvenog okvira za menadžment rizikakoji treba da pruži
odgovore na sledeće nedostatke: nedovoljna zrelost procesa procene
I testiranja usaglašenosti poslovanja sa regulatornim zahtevima,
nedostatak jedinstvenog repozitorijuma za konotrle, što dovodi do pojave
dupliciranja kontrola, kao i, nedostatak jasnog i ponovljivog procesa
procene rizika.
Od novog okvira za procenu rizika se očekuje da omogući jedistvenu

procenu operacionih rizika i njihovih uticaja na organizaciju, kroz sledeće
elemente:
64
Poglavlje 7: Vežbe
• Identifikacija oblasti u kojim se rizici ne kontrolišu efikasno,

• Podrška IT ekspertima da demonstriraju usaglašenost sa
regulativama,
• Korištenje jedinstvene platform za izveštavanje – saopštavanje svih
regulatornih zahteva u svim zemljama I regionima sveta u kojim
banka posluje,
• Efektivno izveštavanje o tehnološkim (IT) rizicima I nedostacima
kontrola,
• Implementacija standardizovanog procesa, za sve zemlje/regione,
kako bi se obezbedilo konzistentno izveštavanje bez dupliciranja.
COBIT V.4 ZA MENADŽMENT IT RIZIKA:

IMPLEMENTACIJA
Implementacija COBIT v.4 modela za menadžment IT

rizika u banci Y: ciljevi, i korak 1
IMPLEMETACIJA COBIT modela
Odlučeno je da se usvoji COBIT v.4 model kao standardni okvir

za upravlajnje rizicima. Tim profesionalaca, uključujući eksperte iz
domena IT bezbednosti i domena regulatornih usaglašenosti (Sarbanes-
Oxley Act) su definisali procese i forme (templates). Tim je primarno bio
zadužen za sledeće korake:
1. Definisanje okvira za kontrolne ciljeve (Control objective

framework - COF),
2. Identifikacija standardne definicije – obrasca koju treba da
koriste svi entiteti pri oceni rizika i kontrola (Key entity
management model),
3. Identifikacija procesa za menadžment rizika – procenu rizika
i kontrola (Risk and control assessment- RCA).
Preduzeti su sledeći ključni koraci pri izgradnji novog okvira za

menadžment rizika.
KORAK 1 – Defnisanje okvira za kontrolne ciljeve (COF)
Pri definisanju okvira za kontrolne ciljeve - COF postavljena su tri cilja:
• COF treba da bude alat koji pomaže efektivno ocenjivanje rizika I

kontrola unutar postojećih tehnologija organizacije,
• COF treba da bude okvir za izveštavanje u smislu usklađenosti
načina izveštavanja sa formalnim zahtevima – regulativama
(uključujući Sarbanes-Oxley Act),
• COF treba da obezbedi okvir za adekvatan menadžment –
rukovođenje IT u skladu sa poslovanjem organizacije.
65
COBIT V.4 IMPLEMENTACIJA – KORAK 1
Korak 1 podrazumeva definisanje okvira za kontrolne

ciljeve
KORAK 1 – Defnisanje okvira za kontrolne ciljeve (COF) - nastavak
Koraci za implementaciju okvira za kontrolne ciljeve - COF na osnovu

COBIT modela su:
• Identifikacija glavnih rizika – rizici nivoa I - vezani su za tehnologije,

operacije, ljude, regulatorne zahteve, finansijsko izveštavanje,
finansijski kriminal, zaštitu brenda i promene.
• Rizici nivoa I su dalje analizirani Iipodeljeni na više rizika koji se
kategorišu kao rizici nivoa II. Na primer, glavni tehnološki rizici
(nivo I) su rasparčani na sledeće rizike nivoa II:
• Neadekvatno projektovanje I testiranje IT sistema,
• Nedostupnost IT sistema
• Nedostatak bezbednosti IS.
Identifikacija kontrolnih ciljeva - za svaki rizik nivoa II identifikuju se

kontrolni ciljevi koristeći COBIT (slika 1).
Benefiti koraka 1
Pre implementacije ovog okvira, svaki deo/poslovnica u okviru banke je

imao sopstveni skup kontrola.
• COBIT je pomogao u definisanju jedinstvenog skupa konotrlna za

svaki tim rizika, na osnovu mapiranja prema COBIT kontrolnim
ciljevima/procesima.
• Ovo dalje pomaže razvoju procesa za ocenu rizika i kontrola, što
predstavlja bazu za uspostavljanje adekvatnih kontrola u smislu
sanacije glavnih rizika i rizika nivoa II.
MAPIRANJE RIZIKA PREMA COBIT KONTROLNIM

PROCESIMA
Mapiranje rizika koji su vezani za tehnološke rizike

prema COBIT kontrolnim ciljevima, u banci Y
Sledeća tabela pokazuje mapiranje rizika nivoa II u odnosu na COBIT

kontrolne ciljeve, i to za sve rizike nivoa II koji su vezani za glavni
tehnološki rizik (nivoa I).
a.) Rizici vezani za neadekvatno projektovanje i testiranje sistema, se

odnose na sledeće COBIT kontrolne cijeve: PO2 (određivanje arhitekture
podataka), PO3 (određivanje tehnoloških smernica za IT), PO8
66
Poglavlje 7: Vežbe
(upravljanje kvalitetom IT servisa), PO10 (upravljanje projektima), AI1

(identifikovanje automatizovanih solucija), AI2 (nabavka i održavanje
aplikativnih sistema), AI3 (nabavka i održavanje IT infrastrukture), AI6
(upravljanje promenama), i AI7 (instaliranje i validiranje rešenja i
promena).
b.) Rizici vezani za nedostupnost IT sistema se direktno odnose na

sledeće COBIT kontrolne ciljeve: AI2 (nabavka i održavanje aplikativnih
sistema), AI3 (nabavka i održavanje IT infrastrukture), AI5 (nabavka
IT resursa), DS1 (definisanje i rukovođenje nioom servisa), DS3
(rukovođenje performansama i kapacitetima), DS4 (održavanje
kontinuiteta servisa),
Slika 7.4.1 Mapiranje rizika
nivoa II koji su delovi glavnog
tehnološkog rizika (nivoa I),
prema COBIT kontrolnim
ciljevima / procesima, u banci
Y
DS8 (menadžment servisnog kadra i incidentnih situacija), DS10

(menadžment problema); DS11 (menadžment podataka), DS12
(menadžment fizičkog okruženja)., kao i DS13 (menadžment operacija).
c.) Rizici vezani za nedostatake bezebosti IT sistema su direktno vezani

za sledeće COBIT kontrolne ciljeve: PO2 (određivanje arhitekture
podataka), PO4 (određivanje IT procesa, organizacije i odnosa u njoj),
PO9 (ocena i upravljanje IT rizicima), AI2 (nabavka i održavanje
aplikacija), DS5 (osiguranje bezbednosti sistema), DS11 (menadžment
podataka), i DS12 (menadžment fizičkog okruženja).
Korak 2 podrazumeva identifikaciju entiteta potrebih za

menadžment rizika kao i kontrola
KORAK 2 – Identifikovanje entiteta za menadžment rizika i kontrola
67
Definisan je model menadžmenta ključnih entiteta da bi se definisali

ključni IT blokovi u odnosu na koje se vrši procena rizika i kontrola. IT
blokovi su logički povezani međusobno sa ciljem izveštavanja, kako bi
obezbediti procenu rizika i kontrola za sve servise podrške. Izgradnja IT
blokova je bila definisana na sledeći način:
• Entitet procesa: Procesi koji se odnosu na podršku, konotrlu I

menadžment IT okruženja. Bilo koji problem koji se desi u entitetu
procesa utiče na većinu IT usluga/servisa.
• Entitet usluga podrške: Povezivanje sa entitetom procesa I
entitetom tehnologija omogućava potpunu-sveobuhvatnu procenu
rizika I kontrola koji se odnose na usluge podrške, npr. rizici koji su
deljeni između entiteta tehnologija, rizici nivoa usluga, I integracioni
rizici (menadžment između sektora orgnizacije).
• Entitet tehnologija: Ovo se odnosi na “tradicionalne” IT
komponente – servisi, aplikacije, mreže, firewall, itd. Mapiranje
usluga I analiza rizika I kontrola (Risk and Control Assesment –
RCA) su se koristii za identifikaciju ključnih entiteta tehnologija kojie
supotrebne za usluge podrške.
• Entitet pojekata: Vezan za specifične projekte koji se sprovode u
organizaciji. Potrebno je proceniti rizike i kontrole za nove razvojne
projekte ili projekte promena, pre nego što se oni implementiraju.
Kroz katalog IT usluga/servisa definisane su IT usluge, a među njima

glavih 20 IT usluga/servisa koji su potrebni za usluge podrške. Mapa
IT servisa je kreirana za svaki servis podrške, i prikazuje tehnološke IT
komponente koje su potrebne za pružanje servisa podrške korisnicima.
Svaki entitet procesa i entitet tehnologija je poseban i može biti vezan –
potreban za više entiteta usluga podrške korisnicima. Kao rezultat, model
menadžmenta ključnih entiteta je fleksibilan I moguće ga je dopuniti
dodatnih IT uslugama. Povezivanje između entiteta obezbeđuje
agregiranje (“sabiranje”) rizika kako bi se razvili profile rizika.
Benefiti koraka 2
Pre implementacije ovog pristupa, svaki deo / poslovnica je imao

sopstvenu matricu za rizike i kontrole, što je znatno otežavalo
sagledavanja važnosti rizika i kontrola za konačnog korisnika.
• Implementacija COBIT-a je doprinela identifikaciji ključnih usluga sa

stanovišta krajnjeg korisnika.
• Kada su identifikovati rizici, analizirane su kontrole prema COBIT
modelu - sa jasnim ciljem procene efikasnosti kontrola u smislu
uticaja na podršku krajnjim kupcima. Ovo je dovelo do smanjenja
broja incidentnih situacija I žalbi korisnika.
68
Poglavlje 7: Vežbe
Korak 3 ukjučuje definisanje i implementaciju procene

rizika i kontrola
KORAK 3 – Definisanje i implementacija procene rizika i kontrola
Ovaj korak podrazumeva definisanje i implementaciju procene rizika i

kontrola (Risk and Control Assesment – RCA)
Sledeća slika (slika 2) prikazuje korake procene rizika. Za svaki korak

identifikovani su ključni zadaci.
Cilj razvoja jedinstvenog RCA je obezbeđenje da se analiza rizika I

kontrola konzistentno sprovodi u čitavoj organizaciji.
Jedan od jednostavnih alata koji je definisan za korištenje u čitavoj

organizaciji je bio MS Excel formular/obrazac (template), koji je sadržao
sledeće elemete:
• Glavni rizici nivoa I, i pripadajući rizici nivoa II,

• Kontrolni ciljevi u odnosu na COBIT kontrolne procese/ciljeve,
• Referenca ka regulatornim kontrolnim zahtevima (SO Act),
• Vlasnici kontrola,
• Procena kontrola (da li su efektivne ili ne),
• Aktivnosti koje je potrebno preduzeti da bi se kontrole učinile
efektivnim,
• Detaljni aktivnosti za unapređenje kontrola (vlasnik, ciljani datum,
resursi, itd.).
Ova obrazac su popunjavali vlasnici rizika i kontrola, i poslali centralnom

timu za procenu rizka i kontrola. Nakon pregleda i verifikacije od strane
centralnog tima, ovi podaci su uneseni u centralni alat za menadžment
rizika da bi se pratile aktivnosti za unapređenje kontrola i vršilo
izveštavanje o nesaniranim rizicima.
Za svaki rizik, precizirani su sledeći elementi:
• Vlasnik entiteta – ovo je obično vlasnik RCA,

• Vlasnik rizika – lice zaduženo za taj rizik,
• Vlasnik kontrole – lice zaduženo za održavanje efektivnosti kontrole,
• Vlasnik aktivnosti – lice zaduženo za aktivnosti za unapređenje
neefektivnih kontrola.
Benefiti koraka 3
Kroz program obuke, objašnjeni su termini korišteni u ovom koraku i to u

skladu sa COBIT-ovim RACI matricama.
69
Sledeća slika (slika 3) prikazuje primer RACI matrice. Odgovornosti su

mapirane prema opisu poslova zaposlenih I njihovih zaduženja.
MODEL ZA PROCENU RIZIKA
Prikaz koraka za procenu rizika sa pripadajućim

zadacima, u banci Y
Razvijeni model za procenu rizika: objašnjenje ilustracije
Model prikazuje korake za procenu rizika koji čine jedinstvaen model u

posmatranoj banci. Koraci su sledeći:
a.) Uvodni angažman, koji obuhvata sledeće: definisanje zaduženja

zaposlenih lica, kao i ostalih zainteresovanih strana; razumevanje
poslovnih ciljeva i dogovora o niou servisa (SLA); razumevanje domena
odnosno okvira RCA; izvođenje radionica za diskusiju zaintersovanih
strana po ovim pitanjima.
b.) Priprema, koja obuhvata: prikupljanje relevantnih osnovnih

informacija; identifikacija ključnih razlika; priprema jedinstvenog
obrasca, odnosno formulara za RCA.
c.) Ocena, obuhvata sledeće aktivnosti: izvođenje radionica za analizu i

detaljnu diskusiju zaintresovaanih strana; ocenu eksternih rizka; ocenu
internih kontrola u organizaciji; ocenjivanje očekivanih rizika.
d.) Finalizacija, koja podrazumeva sledeće elemente: finalizacija izrade

RCA; dogovor o korektivnim aktivnostima za rizike koji nisu do sada
sanirani; dobivanje odobrenja, odnosno saglasnosti za izvođenje
navedenih korektnivnih aktivnosti, kao i za očekivane rizike.
e.) Implementacija, koja podrazumeva: unos pojedinačnih urađenih RCA

u jedinste model / alat razvijen u organiizaciji; unos svih pojedinačnih
kontrola u repozitorijum, odnosno skup kontrola u organizaciji; i,
eliminacija rizika i kontrola koji nisu više važeći, odnosno - nisu
primenljivi.
70
Poglavlje 7: Vežbe
Slika 7.4.2 Koraci procene

rizka i kontrola u banci Y
PRIMER RACI MATRICE
Prikaz RACI matrice za menadžment fizičke

bezbednosti, u banci Y
Primer RACI matrice:
• direktor postrojenja/infrastrukture (head of facilities) zadužen-

ovlašten (Accountable) za menadžment fizičke bezbednosti,
• direktor operacija (chief operations officer - COO) treba biti
konsultovan i informisan (Consulted, Informed) o menadžmentu
fizičke bezbednosti
• za zaduženje i incidente zaposlenih u organizaciji ili spoljnih lica
– vendora, kadrovska služba (human resources - HR) mora biti
konsultovana i informisana (Consulted, Informed) .
71
Slika 7.4.3 Primer RACI

matrice u banci Y
Primer prikazan na slici objašnjava npr.
• mada je da direktor postrojenja/infrastrukture (head of facilities)

zadužen-ovlašten (Accountable) za menadžment fizičke
bezbednosti,
• direktor operacija (chief operations officer- COO) treba biti
konsultovan i informisan (Consulted, Informed) o menadžmentu
fizičke bezbednosti.
• pored toga, za zaduženje i incidente zaposlenih u organizaciji ili
spoljnih lica – vendora, kadrovska služba (human resources- HR)
mora biti konsultovana i informisana. Consulted, Informed).
Korak 4 obuhvata obuku sa ciljem razumevanja rizika i

kontrola u različitim delovima kompanije
KORAK 4 – Obuka
Jedan od većih izazova je bio adekvatno objasniti kompletan proces

zaposlenima, ali I drugim zainteresovanim stanama (stakeholders), sa
ciljem razumevanja rizika i kontrola u različitm sektorima organizacije.
Obuka je organizovana na različitim nivoima, uključjući sledeće.
• Formiranja eksperata za rizik u svim regionima gde banka posluje

– uglavnost lica koja poseduju CISA sertifikat, I ovi eksperti su bili
zaduženi za obuku ostalih zaposlenih,
• Formiranje specifičnih programa obuke za specifične grupacije
zaposlenih. Na primer, za vlasnike rizika I kontrola, predviđen je
detaljniji trening koji je uključivao izradu zadataka – primera kao
I ocenjivanje – testove. Trening je bio održan preko web-resursa,
obzirom da organizacije posluje širom sveta.
• Za sve zaposlene održana je osnovna obuka u vezi procene kontorla
i rizika.
• Održane su radionice da bi se diseminirale informacije svim
zainteresovanim stranama.
Benefiti koraka 4
72
Poglavlje 7: Vežbe
Kroz program obuke, objašnjeni su termini korišteni u ovom koraku i to u

skladu sa COBIT-ovim RACI matricama.
• Usled primene ovog pristupa odozgo-na-dole (top-down approach),

važnost menadžmenta rizika je dobro shvaćena u organizaciji, i
efektivno je pristupljeno ovom problemu u svim delovima
organizacije.
Korak 5 obuhvata definisanje anata za izveštavanje,

kao i samo izveštavanje o rizicima i ontrolama širom
organizacije
KORAK 5 – Alat za izveštavanje
Jednostavan Excel fajl je korišten za održavanje repozitorijuma rizika i

kontrola za svaki entitet. Unutar entiteta, tim za rizike je koristio Excel
tabelu za praćenje rizika, kontrola I aktivnosti za njihovo unapređenje.
Ali, bilo je potrebno imati jedinstvenu bazu repozitorijuma za

praćenje rizika i kontrola širom organizacije. Zbog toga je razvijen
alaz za sakupljanje informacija za sve entitete širom organizacije, sa
ciljem:
• Prikupljanja svih rizka vezanih za određenje usluge/servise,

• Praćenje svih aktivnosti koje su definisane za RCA,
• Praćenje izvršenja korektivnih aktivnosti,
• Izveštavanje višem menadžmentu u vezi rizika, i to na bazi nivoa
rizika,
• Izbeštavanje u vezi usaglašenosti sa regulatornim zahtevima.
Benefiti koraka 5
• Implementiran je jedinstven repozitorijum svih rizika, kontrola I

aktivnosti vezanih za unapređenje kontrola, koji se koristi za
generisanje izveštaja za viši menadžment – prvenstveno za direktora
IT (CIO).
PRIMENA COBIT V.4: ZAKLJUČAK
Benefiti: smanjen broj entiteta za praćenje kontrola i

rizika; smajen broj samih kontrola; unapređena
usaglašenost sa relevantnim standardima i
legislativama, itd.
ZAKLJUČAK
73
Razvoj i implementacija opisanog sistema je trajala gotovo dve godine.
• Centralni tim je bio odgovoran za razvoj i implementaciju sistema, a

lokalni timovi su bili zaduženi za implementaciju I obuku na lokalnom
nivou.
• Pošto su lokalni timovi radili na različitim lokacijama – u različtim
delovima sveta, povratne informacije dobivene od njih su korištene
za modifikacije I korekcije sistema, što je dalje pomoglo unapređenju
zrelosti procesa.
Ostali merljivi benefiti su:
• Pre implementacije, postojalo je više od 500 entiteta za koje su rizici

i kontrole bili procenjivani zasebno. Implementacijom Key entity
management model-a, broj entiteta za praćenje kontrola i rizika je
smanjen na oko 100.
• Pre implementacije, postojalo je više od 1000 definanih kontrola.

Sada je taj broj smanjen, tako što se sve kontrole mapirane prema
COBIT kontrolnim ciljevima/procesima. Time, broj kontrola je
smanjen na oko 350 kontrola na nivou čitave organizacije.
• Unapređenje menadžmenta rizika i kontrola, u smislu usaglašenosti
sa regulatornim zahtevima (Sarbanes-Oxley Act).
• Jedinstven reporizitorijum procesa je pomogao održanju
konzistentnosti kroz čitavu organizaciju.
• Obuka je izvršena o nivou čitave organizacije, a formirana prema
posebnim potrebama određenih sektora/funkcija I timova, a
instaliran je I e-learning portal.
7.5 PRIMENA COBIT V.4 U PRAKSI
BENEFITI IMPLEMENTACIJE COBIT MODELA
Video prikaz intervjua sa bivšim predsednikom ISACA

asocijacije, na temu benefita primene COBIT modela
kao okvira / modela za rukovođenje IT
Benefti implementacije COBIT modela
What are the Benefits of Implementing CobiT?
VIDEO
https://www.youtube.com/
watch?v=bg_GEN8AZA0&list=PL81663CCE14B5893E
74
Poglavlje 7: Vežbe
Video prikazuje intervju sa Michael P. Cangemi, koji je bivši predsednik

ISACA asocijacije i Editor-in-Chief časopisa IS Control Journal, koji
objašnjava detaljno čemu služi COBIT model za upravljanje IT, njegovu
vezu sa VaIT modelom, kao i ključne benefite njegove implementacije.

COBIT: USAGLAŠAVANJE IT I POSLOVANJA
Video prikaz načina kako COBIT pomaže usaglašavanju

IT u organizaciji sa korporativnim cijevima
COBIT: usaglašavanje IT sa poslovnom strategijom
CobiT: Helping to align IT with Business Strategy
VIDEO
watch?v=WxwXshM2v3Y&index=7&list=PL81663CCE14B5893E
Video prikazuje kako implementacija COBIT modela ima uticaj na

usaglašavanje IT sa poslovnim ciljevima, i poslovnom strategijom uopšte,
koristeći 4 domena modela COBIT v.4, kao i način kako se koriste merenje
performansi u tom konktekstu.

COBIT I VALIT
Video prikaz načina kako kombinacija COBIT modela sa

ValIt modelom doprinosi jednostavnijem rukovođenju IT
u organizacijama
Primena ValIT i COBIT za rukovođenje IT
IT Governance Made Simple - Val IT & CoBIT
VIDEO
75
watch?v=slBtTh5DTIY&list=PL81663CCE14B5893E&index=4
Video prikazuje kako implementacija COBIT modela u kombinaciji sa ValIt

modelom pojednostavljuje i onako vrlo komplikovan proces rukovođenja
IT u savemenim organiizacijama.
Napomena: model ValIt će biti detaljno izučavan u narednim lekcijama

76
ZAKLJUČAK
ZAKLJUČAK
PITANJA ZA SAMOOCENJIVANJE
Pitanja
1. Objasniti šta je okvir (framework) COBIT v.4 modela, čemu služi,

i koji su pripadajući domeni kontrolnih ciljeva/procesa. Objasniti
vezu između COBIT kontrolnih procesa, informacionih kriterijuma
i IT resursa
2. Prikazati šta sve spade u COBIT referentne materijale, i objasniti
RACI matricu.
3. Objasniti kako se koristi COBIT model za procenu internih
kontrola u organizaciji, i koji su svi obavezni elementi koje je
potrebno preuzeti iz referentnih COBIT materijala pri reviziji
internih kontrola.
4. Objasniti upotrebu COBIT smernica za definisanje progrma
revizije IT sistema u organizaciji.
ODGOVORI NA PITANJA POSTAVLJENA U

UVODU (1)
Kakav je kontekst COBIT modela u organizaciji? Šta je

okvir COBIT v.4 modela? Koji su osnovni domeni
kontrolnih ciljeva okvira COBIT v.4
COBIT predstavlja model za vođenjeupravljanje IT u organizaciju, u

skladu sa poslovnim ciljevima organizacije. Adekvatan menadžment IT
treba da obezbedi podršku ispunjenju poslovnih ciljeva organizacije,
odgovorno korištenje resursa I upravljanje rizicima vezanim za IT. U tok
konteksktu:
- osnovni ciljevi organizacije se definišu kao informacioni zahtevi/

kriteriju;
- zatim, postoje IT procesi koji se sprovode sa ciljem upravljanja rizicima

(bezbednosti, pouzdanost I usaglašenost) I ostvarivanjem benefita
(unapređenje efektivnosti I efikasnosti). Ovi IT procesi se nazivaju
77
kontrolnim ciljevima/procesima u COBIT modelu, I grupišu se u 4

domena;
- na kraju, za realizaciju IT procesa, kao I poslovnih procesa, potrebni su

IT resurs.
Ova tri elementa (informacioni kriterijumi – poslovni zahtevi, IT procesi I

IT resursi) istovremeno predsatvljaju 3 dimenzije COBIT kocke. Osnovna
postavka COBIT modela je pristup kontroli IT sistema koji podrazumeva
fokus na INFORMACIJE koje su potrebne za podršku poslovnim ciljevima I
zahtevima, a informacija se posmatra kao rezultat primene IT RESURSA
kojim se upravlja IT PROCESIMA.
COBIT okvir je međunarodno prihvaćeni okvir za kontrole ruvođenja /
upravljanja IT (IT Governance) u organizacijama, koji se može
primenjivati za bilo koju organizaciju , i koji podrazumeva generički
spisak kontrola grupisanih u 4 domena: 1.) Planiranje i organizovanje
(PO) – identifikacija načina na koji IT na najbolji način doprionsi realizaciji
poslovnih ciljeva organizacije; 2.) Nabavka i implementacija (AI) – odnosi
se na identifikaciju, razvoj ili nabavku, I implementaciju IT rešenja
potrebnih za realizaciju IT strategije; 3.) Isporuka i održavanje/podrška
(DS) – odnosi se na isporučivanje IT usluga/servisa I podršku isporuci; 4.)
Praćenje i ocenjivanje (ME) – svi IT procesi moraju biti redovno ocenjivani
u smislu kvaliteta I usaglašenosti sa kontrolnim okruženjem, što uključuje
I interne I eksterne revizije IT sistema.
Svaki od domena sadrži određen broj kontrolnih ciljeva/procesa, a svaki

kontrolni cilj / proces sadrži određen broj detaljnih konotrlnih ciljeva (ovi
detaljni konotrlni ciljevi se nazivaju i kontrolnim aktivnostima). Okvir
COBIT v.4 modela obuhvata 34 kontrolna procesa/cilja (grupisani u 4
navedena domena), i njihove veze sa IT resursima i informacionim
(poslovnim) zahtevima. Tačnije, u okviru COBIT modela postoje
predefinisane relacije koje prikazuju koliko je određeni kontrolni cilj važan
za neki informacioni zahtev (primarno, sekundarno ili nevažno), kao i da
li određeni kontrolni proces upravlja nekim IT resursom.

UVODU (2)
Kako se vrši navigacija kroz COBIT v.4 model? Kako se

on koristi za ocenu internih kontrola i za pripremu
revizije IT sistema?
Navigacija kroz COBIT modela podrazumeva sledeće: Kontrola nad bilo

kojim kontorlnim procesom mora zadovoljiti određene poslovne
(informacione) zahteve, koji se, između ostalog, fokusiraju na određene
78
ZAKLJUČAK
specifične IT ciljeve, gde svaki od ovih zahteva mora biti definisan

jednom ili više kontrolnih izjava/tvrdnji – koje specificiraju kontrolne
prakse, I, konačno, potrebno je proceniti efektivnost kontrola koristeći
ključnu metriku
Pored navedenog, pri korištenju COBIT modela za procenu internih

kontrola, potrebno je iz referentnih COBIT materijala preuzeti i sledeće
elemente za svaki kontrolni process/cilj koji se procenjuje:
- RACI matrica,
- Veza sa informacionim zahtevima (primarna, sekundarna ili

nepostojeća),
- Veza sa IT resursima (postoji ili ne – za svaku vrstu resursa),
- Veza sa COBIT pentagonom – koja oblast je od primarnog, koja od

sekundarnog interesa za posmatrani kontrolni cilj,
- Veza sa ostalim kontrolnim ciljevima/procesima, u smislu međuzavinosti
procesa tj.njihovih ulaza/izlaza (npr. izlaz iz jednogprocesa predstavlja
ulaz u drugi process, I slično),
- Ključna metrika – ključni indikatori performansi za svaki process (KPI),
- Detaljni kontrolni ciljevi/procesi koji su elementi posmatranog

kontrolnog cilja/procesa,
- Smernice za reviziju/odit koje su definisane za svaki kontrolni process/
cilj I za njihove elemente – detaljne kontorlne ciljeve/procese.
Za planiranje revizije IT sistema, obično se koriste i COBIT smernice koje
sugerišu izvođenje aktivnosti procene za svaki od 34 IT kontrolnih ciljeva,
I to sa sledećim elementima: koga intervjuisati/ispitivati; koja pitanja
pitati; kako oceniti kontrole; ocena usaglašavanja; identifikacija I potvrda
rizika da neka od kontrola nije realizovana.

UVODU (3)
Kako se on koristi za ocenu internih kontrola i za

pripremu revizije IT sistema? - nastavak; Kako se koristi
COBIT model za procenu rizika?
Za planiranje revizija IT sistema, obično se koriste sledeći koraci:
- Izbor onih kontrolnih ciljeva/procesa koji se odnose na domen/svrhu

planirane revizije IT sistema, sa COBIT spiska od 34 kontrolna cilja/
79
procesa; Opis rizika (verovatnoća nastanka i uticaj/efekat) vezanih za

izabrane kontrolne procese/ciljeve;
- Iz referentne COBIT literature pronaći detaljne kontrolne ciljeve –

elemente kontrolnih ciljeva izabranih u 1.koraku, i izabrati one koji su
primenljivi za planiranu IT reviziju. Takođe, potrebno je pogledati i
referentni COBIT material koji daje veze između kontrolnih procesa, pa u
odnosu na te zavisnoti treba pogledati da li je potrebno izabrati I detaljne
ciljeve koji su elementi drugih – vezanih kotrnolnih ciljeva/procesa;
- Koristeći COBIT smernice za reviziju, izabrati odgovarajuće aktivnosti

reviizije koje je potrebno izvesti za planiranu reviziju (aktivnosti odita
koje su vezane za detaljne kontrolne ciljeve/procese koji su izabani u
prethodnom koraku);
- Uključiti I dodatne testove koje treba izvesti pri reviziji, a koji se odnose
na specifične IT platform – specifični deo IT infrastructure nad kojim se
izvodi revizija.
Za procenu rizika IT sistema u organizaciji, obično se koriste 34 COBIT
kontrolna cilja/procesa i vrši se mapiranje poslovnih procesa prema
kontrolnim ciljevima/procesima I za svaki kontrolni cilje/proces se vrši
procena rizika.
Zatim, vrši se rangiranje rizika I fokus na procese sa najbišim niovom

rizika, na osnovu čega se vrši dalje planiranje revizije IT sistema, odnosno
oblasti (skupa procesa) koje je potrebno pregledati/proceniti – izvršiti
reviziju/odit IT sistema.
REFERENCE I LINKOVI
Resursi – reference i linkovi
Reference:
Various authors (2010) Information System Control and Audit, The

Institute of Chartered Accountants of India, ISBN: 978-81-8441-077-8 ,
Sahitya Bhawan Publications
Various authors (2004) COBIT® STUDENTBOOK, IT Governance

Institute®, ISBN 1-893209-96-2
Moeller Robert R. (2010) IT audit, control, and security , ISBN:

978-0-471-40676-1 (cloth); 978-0-470-87741-8 (ebk);
978-0-470-87767-8 (ebk); 978-0-470-87768-5 (ebk) John Wiley &
Sons, Inc.
80
ZAKLJUČAK
COBIT®, 3rd Edition, ImplementationTool Set, July 2000, Released

by the COBIT Steering Committee and the IT Governance Institute
(standards.narod.ru/COBIT/cobitits.pdf)
Stanišić M., Radovanović D., Lučić D. (2010) Analiza koncepta revizije

informacionih sistema prema COBIT metodologiji, 6. Naučni skup sa
međunarodnim učešćem - Sinergija 2010, Bijeljina
(http://www.singipedia.com/content/322-Analiza-koncepta-revizije-
informacionih-sistema-prema-COBIT-metodologiji)
Linkovi:
www.isaca.org/ - Information Systems Audit and Control Association
www.itgi.org - IT Governance Institute
COBIT-Maturity-Assessment-and-Continual-e-Health-Governance-
Improvement-at-NHS-Fife.aspx - Članak: COBIT Case Study: COBIT
Maturity Assessment and Continual e-Health Governance Improvement
at NHS Fife
http://www.isaca.org/knowledge-center/cobit/pages/cobit-case-study-it-
risk-management-in-a-bank.aspx - Članak: COBIT Case Study: IT Risk
Management in a Bank
Integrating-COBIT-4-1-Into-the-Internal-Audit-Function.aspx - Članak:
COBIT Case Study: Integrating COBIT 4.1 Into the Internal Audit Function
http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Cloud-
Computing-Risk-Assessment-A-Case-Study.aspx- Članak: Cloud
Computing Risk Assessment: A Case Study
81

Revizija I Kontrola IT Sistema

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Revizija I Kontrola IT Sistema

Uploaded by

Copyright:

Available Formats

IS360 - Revizija i kontrola IT sistema

Copyright © 2010 BELGRADE METROPOLITAN UNIVERSITY. All rights

COBIT MODEL (2. DEO)

°°°°° COBIT model (2. deo)

UVOD: ISHODI UČENJA I KLJUČNA

Ishodi učenja i ključna pitanja

Razumevanje svrhe COBIT modela za upravljanje/rukovođenje IT u okviru

Razumevanje načina upotrebe COBIT modela za procenu internih IT

Razumevanje domena okvira (framework) COBIT modela, njigovih

Razumevanje načina upotrebe COBIT smernica za pripremu programa

Razumevanje načina upotrebe COBIT modela za procenu rizika vezanih

1. Kakav je kontekst COBIT modela u organizaciji?

2. Šta je okvir COBIT v.4 modela? Koji su osnovni domeni kontrolnih

3. Kako se vrši navigacija kroz COBIT v.4 model? Kako se on koristi za

4. Kako se koristi COBIT model za procenu rizika?

UVOD: UVODNI TEKST I KLJUČNE REČI

Uvodni tekst i ključne reči

Danas, revizija IT sistema predstavlja nezaobilaznu analitičku kariku

• COBIT okvir (framework)

• Modeli zrelosti (maturity models)

Poglavlje 1 Kontekst COBIT modela

COBIT MODEL: RUKOVOĐENJE IT I

Kontekst COBIT modela: pozicija COBIT modela u

Kontekst COBIT modela

Rukovođenje organizacijom i rukovođenje IT moraju biti međusobno

Slika 1.1 Rukovođenje

COBIT MODEL: 4 DOMENA ZA

Menadžment IT u kontekstu COBIT modela predstavlja

Dostizanje strateških ciljeva organizacije podrazumeva određeni nivo

Da bi se postigli ciljevi organizacije, nephodno je funkcionisanje

Adekvatan menadžment tj. rukovođenje / upravljanje IT obezbeđuje

Najbolje prakse za menadžment IT predstavljaju bazu za

- Planiranje i organizacija (PO),

- Nabavka i implementacija (AI),

- Isporuka i podrška (DS),

- Praćenje i ocenjivanje (ME),

koje se sprovode sa ciljem upravljanja rizicima (bezbednosti,

Takođe, potrebno je generisati izveštaje o izlazima iz IT aktivnosti, koji se

CIKLUS RUKOVOĐENJA IT: ILUSTRATIVNI

Ciklus rukovođenja / upravljanja IT (IT Governance) :

COBIT i rukovođenje IT - nastavak

Postoji nekolicina opštih modela za upravljanje i kontrolu poslovanja

Svrha COBIT modela je upravo to – fokusiran je na rukovođenje /

Sa IT perspektive, modeli koji su srodni COBIT modelu su SysTrust

Slika 1.2 Ciklus rukovođenja

Elementi rukovođenja IT se odnose na sledeće:

a.) Ciljevi: IT usaglašene sa poslovnim cijevima, podržava poslovanje i

b.) Kontrola dobiva ulaze od ciljeva i daje ulaz za rukovođenje: kontrola

c.) Rukovođenje se sprovodi putem IT aktivnosti, i podrazueva domene

COBIT: IT PROCESI, IT RESURSI I

COBIT kocka: zahtevi / kriterijumi za informacije + IT

OSNOVNI PRINCIP COBIT MODELA

Osnovna postavka COBIT modela je pristup kontroli IT sistema koji

Da bi se zadovoljili poslovni ciljevi, INFORMACIJA mora da zadovolji

a.) AKTIVNOSTI – najniži nivo elementarnih zadataka kojim se postiži

Ove tri dimenzije – IT procesi, IT resursi i kriterijumi za informacije koji su

COBIT V.4: IMPLEMENTACIJA

Video prikaz osnova sertifikacionog kursa za primenu

OSNOVNI PRINCIP COBIT MODELA

COBIT 4.1 - Foundation and Implementation certification with Mark

(trajanje oko 3 minuta)

Video prikazuje osnove tehničke obuke za sertifikacioni kurs za

U tom kontekstu, COBIT se razmatra kao model za rukovođenje IT (IT