Professional Documents
Culture Documents
Revizija I Kontrola IT Sistema
Revizija I Kontrola IT Sistema
Lekcija 08
COBIT MODEL (2. DEO)
Metropolitan
PRIRUČNIK ZA STUDENTE
Copyright © 2010 – UNIVERZITET METROPOLITAN, Beograd. Sva prava
zadržana. Bez prethodne pismene dozvole od strane Univerziteta
METROPOLITAN zabranjena je reprodukcija, transfer, distribucija ili
memorisanje nekog dela ili čitavih sadržaja ovog dokumenta.,
kopiranjem, snimanjem, elektronskim putem, skeniranjem ili na bilo koji
drugi način.
Lekcija 08
ISHODI UČENJA
• IT resurse, i
• Informacione kriterijume/zahteve, koji ujedno predstavljaju I
poslovne zahteve organizacije.
4
COBIT model (2. deo)
• COBIT model
• Revizija IT sistema
• Poslovni zahtevi
• Resursi IT
• IT procesi
• IT aktivnosti
• Informacije
• Rukovođenje IT (IT Governance)
• COBIT kocka
• Informacioni kriterijumi / zahtevi
• Podaci
• Aplikacioni sistemi
• Tehnologije
• Prostorije / postrojenja (facilities)
• Ljudi
• Domeni
• Aktivnosti
• Procesi
5
Lekcija 08: COBIT model (2. deo)
6
Poglavlje 1: Kontekst COBIT modela
7
Lekcija 08: COBIT model (2. deo)
COBIT i rukovođenje IT
8
Poglavlje 1: Kontekst COBIT modela
9
Lekcija 08: COBIT model (2. deo)
10
Poglavlje 1: Kontekst COBIT modela
• pouzdanost informacija,
• usklađivanje sa zakonima I regulativama;
ZAHTEVI BEZBEDNOSTI (Security)
• poverljivost, integritet, dostupnost.
IT RESURSI koji su potrebni za ostavrenje poslovnih ciljeva su:
• PODACI (Data) – interni I eksterni objekti, struktuirani ili nestriktuirani,
grafički objekti, zvuk, itd.,
• APLIKACIONI SISTEMI (Application systems) – skup manualenih ili
programerianih procedura,
• TEHNOLOGIJA (Technology) – hardver, operativni sistemi, sistemi baza
podataka, mreže, multimedija, itd.,
• PROSTORIJE/POSTROJENJA (Facilities) – svi resursi potrebni za podršku
IT sistemima (ovo se, zapravo, odnosi na sve resurse koji nisu IT resursi),
• LJUDI (People) – zaposleni eksperti, koji su u stanju da planiraju,
organizju, nabave, isporuče, vrše podršku I ocenu I kontrolu IT sistema I
IT usluga/servisa
IT PROCESI podrazumevaju tri sledeća nivoa hijerarhije:
VIDEO
https://www.youtube.com/watch?v=e40t7uqYGRA
11
Lekcija 08: COBIT model (2. deo)
12
Poglavlje 2: Definisanje okvira COBIT modela
Kao odgovor na ovo pitanje, razvije je osnovni okvir za kontrole ciljeve IT.
U ovom modelu, postoje sledeći elementi:
13
Lekcija 08: COBIT model (2. deo)
14
Poglavlje 2: Definisanje okvira COBIT modela
15
Lekcija 08: COBIT model (2. deo)
16
Poglavlje 3: Navigacija kroz COBIT v.4 model
17
Lekcija 08: COBIT model (2. deo)
c.) IT resurse
Na sledećoj slici dat je prikaz ovih veza za kontrolni cilj / proces PO4
- određivanje IT procesa, organizacije i međusobnih odnosa u njoj, iz
domena planiranja i organizacije (PO). Sa slike je vidljivo sledeće:
18
Poglavlje 3: Navigacija kroz COBIT v.4 model
RACI MATRICA
19
Lekcija 08: COBIT model (2. deo)
20
Poglavlje 3: Navigacija kroz COBIT v.4 model
KONTROLNE AKTIVNOSTI
21
Lekcija 08: COBIT model (2. deo)
Revizor / oditor IT sistema pri oceni PO1 – strateški plan za IT, zapravo
vrše pregled i ocenjivanje navedenih 6 elemenata / kontrolnih aktivnosti
PO1.
22
Poglavlje 3: Navigacija kroz COBIT v.4 model
23
Lekcija 08: COBIT model (2. deo)
24
Poglavlje 4: COBIT v.4 kontrolni ciljevi / procesi
25
Lekcija 08: COBIT model (2. deo)
KONTROLNE AKTIVNOSTI
26
Poglavlje 4: COBIT v.4 kontrolni ciljevi / procesi
27
Lekcija 08: COBIT model (2. deo)
28
Poglavlje 4: COBIT v.4 kontrolni ciljevi / procesi
Revizor/oditor IT sistema pri oceni PO1 – strateški plan za IT, zapravo vrše
pregled i ocenjivanje navedenih 6 elemenata PO1.
29
Lekcija 08: COBIT model (2. deo)
30
Poglavlje 4: COBIT v.4 kontrolni ciljevi / procesi
31
Lekcija 08: COBIT model (2. deo)
32
Poglavlje 4: COBIT v.4 kontrolni ciljevi / procesi
33
Lekcija 08: COBIT model (2. deo)
Ovde nije moguće prikazati sve ove međuzavisnosti, ali važo je zapaziti
da COBIT precizira sve međuzavinosti (u smislu ulaza I izlaza)
između 34 kontrolnih procesa / ciljeva.
Prethodno je pomenuto da COBIT obezbeđuje i materijale za
metriku za merenje kontorlnih ciljeva.
34
Poglavlje 4: COBIT v.4 kontrolni ciljevi / procesi
35
Lekcija 08: COBIT model (2. deo)
36
Poglavlje 4: COBIT v.4 kontrolni ciljevi / procesi
37
Lekcija 08: COBIT model (2. deo)
38
Poglavlje 5: Upotreba COBIT modela za procenu internih kontrola
39
Lekcija 08: COBIT model (2. deo)
40
Poglavlje 5: Upotreba COBIT modela za procenu internih kontrola
- RACI matrica,
41
Lekcija 08: COBIT model (2. deo)
42
Poglavlje 5: Upotreba COBIT modela za procenu internih kontrola
43
Lekcija 08: COBIT model (2. deo)
Objašnjenje primera:
Delovi, odnodno, elementi koje treba proveriti, ili - nad kojim treba
ozvršiti reviziju su sledeći: "Pregledati procedure za menadžment
promena. Testirati procedure radi ocene njihove efektivnosti, a posebno
u hitnim situacijama" .
44
Poglavlje 5: Upotreba COBIT modela za procenu internih kontrola
45
Lekcija 08: COBIT model (2. deo)
46
Poglavlje 6: Upotreba COBIT modela za procenu rizika
47
Lekcija 08: COBIT model (2. deo)
48
Poglavlje 6: Upotreba COBIT modela za procenu rizika
49
Lekcija 08: COBIT model (2. deo)
Poglavlje 7 Vežbe
Cilj vežbi
Sadržaj vežbi
50
Poglavlje 7: Vežbe
http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Case-Study-
COBIT-Maturity-Assessment-and-Continual-e-Health-Governance-
Improvement-at-NHS-Fife.aspx
OPIS PROBLEMA
51
Lekcija 08: COBIT model (2. deo)
52
Poglavlje 7: Vežbe
Sledeća slika daje prikaz dela RACI matrice za kontrolni cilj / proces
DS8 - rukovođenje servisnim kadrom I incidentnim situacijama, gde su
prikazane realne pozicije funkcija u NHS (na osnovu predefinisanih
pozicija za RACI matricu iz referentnih COBIT materijala).
Slika 7.1.1 Deo RACI matrice
koji prikazuje odgovornosti za
kontrolni cilj / proces DS8 u
organizaciji NHS
53
Lekcija 08: COBIT model (2. deo)
54
Poglavlje 7: Vežbe
Nakon primene COBIT modela, što je trajalo oko godinu data, izveden je
eksterni odit / revizija IT sistema u NHS koji se odnosi na menadžment
promena, i koji je pokazao
COBIT Case Study: Integrating COBIT 4.1 Into the Internal Audit Function
http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Case-Study-
Integrating-COBIT-4-1-Into-the-Internal-Audit-Function.aspx
OPIS PROBLEMA
U banci ( TT Hellenic Postbank S.A., Athens, Greece) menadžment je
zaključio da je potrebno uvesti novu tehnologiju za procenu efektivnosti i
efikasnost internog IT kontrolnog okruženja.
Menadžment zadužen za reviziju IT je odlučio da uspostavi
standardizovani metod planiranja i implementacije IT revizije, odnosno
da usvoji okvir COBIT modela (v.4.1)
IMPLEMENTACIJA COBIT MODELA
55
Lekcija 08: COBIT model (2. deo)
56
Poglavlje 7: Vežbe
57
Lekcija 08: COBIT model (2. deo)
OPIS PROBLEMA
58
Poglavlje 7: Vežbe
59
Lekcija 08: COBIT model (2. deo)
60
Poglavlje 7: Vežbe
61
Lekcija 08: COBIT model (2. deo)
62
Poglavlje 7: Vežbe
63
Lekcija 08: COBIT model (2. deo)
http://www.isaca.org/knowledge-center/cobit/pages/cobit-case-study-it-
risk-management-in-a-bank.aspx
OPIS PROBLEMA
64
Poglavlje 7: Vežbe
65
Lekcija 08: COBIT model (2. deo)
66
Poglavlje 7: Vežbe
67
Lekcija 08: COBIT model (2. deo)
68
Poglavlje 7: Vežbe
Benefiti koraka 3
69
Lekcija 08: COBIT model (2. deo)
70
Poglavlje 7: Vežbe
71
Lekcija 08: COBIT model (2. deo)
KORAK 4 – Obuka
Benefiti koraka 4
72
Poglavlje 7: Vežbe
Benefiti koraka 5
ZAKLJUČAK
73
Lekcija 08: COBIT model (2. deo)
VIDEO
https://www.youtube.com/
watch?v=bg_GEN8AZA0&list=PL81663CCE14B5893E
74
Poglavlje 7: Vežbe
VIDEO
https://www.youtube.com/
watch?v=WxwXshM2v3Y&index=7&list=PL81663CCE14B5893E
COBIT I VALIT
VIDEO
75
Lekcija 08: COBIT model (2. deo)
https://www.youtube.com/
watch?v=slBtTh5DTIY&list=PL81663CCE14B5893E&index=4
76
ZAKLJUČAK
ZAKLJUČAK
PITANJA ZA SAMOOCENJIVANJE
Pitanja
77
Lekcija 08: COBIT model (2. deo)
78
ZAKLJUČAK
- RACI matrica,
79
Lekcija 08: COBIT model (2. deo)
- Uključiti I dodatne testove koje treba izvesti pri reviziji, a koji se odnose
na specifične IT platform – specifični deo IT infrastructure nad kojim se
izvodi revizija.
Za procenu rizika IT sistema u organizaciji, obično se koriste 34 COBIT
kontrolna cilja/procesa i vrši se mapiranje poslovnih procesa prema
kontrolnim ciljevima/procesima I za svaki kontrolni cilje/proces se vrši
procena rizika.
REFERENCE I LINKOVI
Reference:
80
ZAKLJUČAK
http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Case-Study-
COBIT-Maturity-Assessment-and-Continual-e-Health-Governance-
Improvement-at-NHS-Fife.aspx - Članak: COBIT Case Study: COBIT
Maturity Assessment and Continual e-Health Governance Improvement
at NHS Fife
http://www.isaca.org/knowledge-center/cobit/pages/cobit-case-study-it-
risk-management-in-a-bank.aspx - Članak: COBIT Case Study: IT Risk
Management in a Bank
http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Case-Study-
Integrating-COBIT-4-1-Into-the-Internal-Audit-Function.aspx - Članak:
COBIT Case Study: Integrating COBIT 4.1 Into the Internal Audit Function
http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Cloud-
Computing-Risk-Assessment-A-Case-Study.aspx- Članak: Cloud
Computing Risk Assessment: A Case Study
81