Presentert av

© 2012 ISACA. Med enerett. Ingen deler av denne publikasjonen kan brukes, kopieres, gjengis, endres, distribueres, vises, lagres i et gjenfinningssystem eller overføres i noen som helst form (elektronisk, mekanisk, ved fotokopiering, opptak eller på annen måte) uten at ISACA har gitt sitt skriftlige forhåndssamtykke. Bruk av denne publikasjonen tillates utelukkende for personlig bruk og skal inneholde komplette henvisninger til materialkilden. Ingen annen rettighet eller tillatelse gis med hensyn til dette verket. 2

Informasjon! Informasjon er en viktig ressurs for alle virksomheter. Informasjon opprettes, brukes, oppbevares, formidles og fjernes. Teknologi spiller en viktig rolle ved alle slike handlinger. Teknologi er gjennomgripende innen alle aspekter av forretnings- og privatlivet. Hvilke fordeler kan informasjon og teknologi tilføre virksomheter? 4

Fordeler for virksomheter Virksomheter og ledelsen har følgende mål: Opprettholde kvalitetsinformasjon som grunnlag for forretningsbeslutninger. Generere forretningsverdi fra IT-aktiverte investeringer, som vil si å oppnå strategiske mål og realisere forretningsfordeler via effektiv og innovativ bruk av IT. Oppnå fremragende forretningsdrift gjennom pålitelig og effektiv anvendelse av teknologi. Holde IT-relatert risiko på et akseptabelt nivå. Optimalisere kostnaden ved IT-tjenester og teknologi. Hvordan kan disse fordelene realiseres og dermed skape interessentverdi for virksomheten? 5

Interessentverdi For å kunne levere interessentverdi for virksomheten må informasjons- og teknologiressursene preges av god styring og ledelse. Virksomhetens styrer, sjefer og ledelse må slutte opp om IT på samme måte som andre viktige deler av forretningsdriften. De eksterne juridiske og lovpålagte kravene samt kontraktskravene knyttet til virksomhetens bruk av informasjon og teknologi blir stadig strengere og utgjør en trussel for verdien hvis de brytes. COBIT 5 tilbyr et omfattende rammeverk som kan hjelpe virksomheter med å oppnå målene sine og levere verdi gjennom effektiv styring og ledelse av virksomhetens IT- ressurser. 6

COBIT 5-rammeverket Enkelt sagt skal COBIT 5 hjelpe virksomheter med å skape størst mulig IT-verdi ved å opprettholde en balanse mellom realisering av fordeler og optimalisering av risikonivåer og ressursbruk. COBIT 5 gjør det mulig å styre og håndtere informasjon og tilknyttet teknologi på en helhetlig måte for hele virksomheten med hele spekteret av forretnings- og funksjonsmessige ansvarsområder, sett ut fra de IT- relaterte interessene til interne og eksterne interessenter. Prinsippene og fasilitatorene for COBIT 5 er generiske og nyttige for virksomheter av alle størrelser, uansett om de er kommersielle, veldedige eller i offentlig sektor. 7

Prinsipper for COBIT 5 8 Kilde: COBIT ® 5, figur 2. © 2012 ISACA ® Med enerett.

COBIT 5 fasilitatorer 9 Kilde: COBIT ® 5, figur 12. © 2012 ISACA ® Med enerett.

Styring og ledelse Styring innebærer at man sørger for at virksomhetens mål oppnås ved å evaluere interessentenes behov, forhold og muligheter; at man bestemmer retningen gjennom prioritering og beslutningstaking; og overvåker ytelse, samsvar og fremgang i forhold til avtalt retning og avtalte mål (EDM). Ledelse vil si at man planlegger, utvikler, driver og overvåker aktiviteter i tråd med retningen det styrende organet har bestemt med tanke på å oppnå virksomhetens mål (PBRM). 10

Kort sagt... COBIT 5 forener de fem prinsippene som gjør det mulig for virksomheten å bygge opp et effektivt rammeverk for styring og ledelse basert på et helhetlig sett av sju fasilitatorer som optimaliserer investeringen og bruken av informasjon og teknologi til interessentenes fordel. 11

Styring av virksomhetens IT-ressurser COBIT 5 IT-styring C OBI T4.0/4.1 Ledelse C OBI T3 Kontroll C OBI T2 Et forretningsrammeverk fra ISACA, på Revisjon C OBI T1 COBIT 5: Nå ett komplett rammeverk for 2005/ Stadig større omfang Val IT 2.0 (2008) Risk IT (2009) 13 © 2012 ISACA ® Med enerett.

COBIT 5 Rammeverk COBIT 5: Det overordnede COBIT 5-produktet Inneholder ledelsens sammendrag og komplett beskrivelse av alle komponentene i COBIT 5-rammeverket: De fem COBIT 5-prinsippene De sju COBIT 5-fasilitatorene pluss En innføring i implementeringsveiledningen fra ISACA (COBIT 5 Implementation) En innføring i COBIT Assessment Programme (ikke spesifikt for COBIT 5) og hvordan ISACA tilnærmer seg prosessfunksjoner for COBIT 14

15 COBIT 5 Produktfamilie Kilde: COBIT ® 5, figur 11. © 2012 ISACA ® Med enerett.

Fem prinsipper for COBIT 5 De fem COBIT 5-prinsippene: 1. Oppfylle interessentenes behov 2. Dekke alle aspekter ved virksomheten 3. Benytte ett enkelt integrert rammeverk 4. Muliggjøre en helhetlig tilnærming 5. Skille styring fra ledelse 16

1. Oppfylle interessentbehov Prinsipp 1. Oppfylle interessentenes behov Virksomheter eksisterer for å skape verdi for interessentene. 17 Kilde: COBIT ® 5, figur 3. © 2012 ISACA ® Med enerett.

1. Oppfylle interessentbehov (forts.) Prinsipp 1. Oppfylle interessentenes behov: Virksomheter har mange interessenter, og ‘verdiskaping’ betyr forskjellige—og noen ganger motstridende—ting for dem. Styring dreier seg om å forhandle og ta beslutninger blant forskjellige interessenters verdiinteresser. Styringssystemet skal ta hensyn til alle interessenter ved beslutninger som gjelder fordeler, ressurser og risikovurdering. For hver beslutning kan og bør man stille seg følgende spørsmål: ­ Hvem får fordelene? ­ Hvem bærer risikoen? ­ Hvilke ressurser er nødvendige? 18

1. Oppfylle interessentbehov (forts.) Prinsipp 1. Oppfylle interessentbehov: Interessentens behov må omskapes til en virksomhets praktiske strategi. I målprosessen for COBIT 5 omgjøres interessentens behov til spesifikke, praktiske og tilpassede mål innenfor virksomhetens IT-relaterte mål og fasilitatormål. 19 Kilde: COBIT ® 5, figur 4. © 2012 ISACA ® Med enerett.

1. Oppfylle interessentbehov (forts.) Prinsipp 1. Oppfylle interessentenes behov: Fordeler ved målprosessen for COBIT 5: Den gjør det mulig å definere prioriteringer for implementering, forbedring og sikkerhet knyttet til IT-styring i virksomheten, basert på (strategiske) mål for virksomheten og tilknyttet risiko. Målprosessen har i praksis følgende funksjon: Definere relevante og konkrete mål på forskjellige ansvarsnivåer. Filtrere COBIT 5-kunnskapsbasen basert på virksomhetens mål, for å hente ut relevant veiledning som skal innlemmes i spesifikke implementerings-, forbedrings- eller sikkerhetsprosjekter. Identifisere og formidle hvordan (noen ganger svært driftsrelaterte) fasilitatorer er viktige for å oppnå virksomhetens mål. 20

2. Dekke alle aspekter ved virksomheten Prinsipp 2. Dekke alle aspekter ved virksomheten: COBIT 5 håndterer styringen og ledelsen av informasjon og relatert teknologi ut fra et perspektiv som omfatter alle aspekter ved virksomheten. Dette betyr at COBIT 5: Integrerer IT-styringen i virksomheten med styringen av virksomheten. Det styringssystemet COBIT 5 foreslår for IT-styring i virksomheten kan dermed integreres sømløst med et hvilket som helst styringssystem, fordi COBIT 5 er tilpasset den siste utviklingen innen området. Dekker alle funksjoner og prosesser innenfor virksomheten; COBIT 5 fokuserer ikke bare på ‘IT- funksjonen’, men behandler informasjon og tilknyttet teknologi som ressurser som alle i virksomheten må behandle på akkurat samme måte som andre ressurser. 21

2. Dekke alle aspekter ved virksomheten (forts.) Prinsipp 2. Dekke alle aspekter ved virksomheten Viktige komponenter i et styringssystem 22 Kilde: COBIT ® 5, figur 9. © 2012 ISACA ® Med enerett. Kilde: COBIT ® 5, figur 8. © 2012 ISACA ® Med enerett.

3. Benytte ett enkelt integrert rammeverk Prinsipp 3. Benytte ett enkelt integrert rammeverk COBIT 5 er tilpasset de siste gjeldende standardene og rammeverkene som benyttes av virksomheter: Virksomhetsrelaterte: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC IT-relaterte: ISO/IEC 38500, ITIL, ISO/IEC serien, TOGAF, PMBOK/PRINCE2, CMMI Virksomheten kan dermed bruke COBIT 5 som overgripende integrator for styrings- og ledelsesrammeverk. ISACA planlegger en funksjon som skal lette COBIT- brukerkartlegging av praksis og aktiviteter med tanke på tredjeparter. 23

4. Muliggjøre en helhetlig tilnærming Prinsipp 4. Muliggjøre en helhetlig tilnærming COBIT 5-fasilitatorer er: Faktorer som, individuelt og kollektivt, har innvirkning på om noe vil fungere—i COBITs tilfelle styring og ledelse av virksomhetens IT-ressurser Styrt av målprosessen, som vil si at IT-relaterte mål på et høyere nivå definerer hva de forskjellige fasilitatorene skal oppnå Beskrevet av COBIT 5-rammeverket i sju kategorier 24

4. Muliggjøre en helhetlig tilnærming (forts.) Prinsipp 4. Muliggjøre en helhetlig tilnærming 25 Kilde: COBIT ® 5, figur 12. © 2012 ISACA ® Med enerett.

4. Muliggjøre en helhetlig tilnærming (forts.) Prinsipp 4. Muliggjøre en helhetlig tilnærming: 1. Prosesser—beskriver et organisert sett av praksiser og aktiviteter som brukes til å oppnå visse mål og skape resultater som bidrar til at man oppnår de overordnede IT-relaterte målene 2. Organisasjonsstrukturer—er de viktigste elementene for beslutningstaking i en organisasjon 3. Kulturen, de etiske prinsippene og atferden—til den enkelte og selve organisasjonen blir svært ofte undervurdert som en suksessfaktor for styrings- og ledelsesaktiviteter 4. Prinsipper, retningslinjer og rammeverk—er verktøyene som omsetter ønsket atferd til praktisk veiledning for den daglige driften 5. Informasjon—er gjennomgripende i en hvilken som helst organisasjon, fordi man her snakker om all informasjon som produseres og brukes av virksomheten. Informasjon er nødvendig for å holde organisasjonen i gang og sørge for god styring, og på driftsnivå er informasjon svært ofte det viktigste produktet for selve virksomheten. 6. Tjenester, infrastruktur og applikasjoner—omfatter infrastrukturen, teknologien og applikasjonene som sørger for IT-behandling og IT-tjenester i virksomheten. 7. Mennesker, ferdigheter og kompetanse—er knyttet til mennesker og er nødvendig for å lykkes med gjennomføringen av alle aktiviteter, og for å ta de riktige beslutningene og gjennomføre korrigeringer 26

4. Muliggjøre en helhetlig tilnærming (forts). Prinsipp 4. Muliggjøre en helhetlig tilnærming: Gjennomgripende styring og ledelse gjennom nært tilknyttede fasilitatorer—For å oppnå hovedmålene for virksomheten må man alltid vurdere et nært tilknyttet sett av fasilitatorer, dvs. at den enkelte fasilitatoren må: Ha innspill fra andre fasilitatorer for å fungere som den skal, f.eks. trenger prosesser informasjon, og organisasjonsstrukturer trenger ferdigheter og atferd Gi innspill til fordel for andre fasilitatorer, f.eks. gir prosesser informasjon, og ferdigheter og atferd gjør prosessene effektive Dette er et VIKTIG prinsipp som har sitt utspring i ISACAs utviklingsarbeid i forbindelse med BMIS (Business Model for Information Security). 27

4. Muliggjøre en helhetlig tilnærming (forts). Prinsipp 4. Muliggjøre en helhetlig tilnærming COBIT 5 fasilitatoraspekter: Alle fasilitatorer har visse fellesaspekter. Disse fellesaspektene: Sørger for en felles, enkel og strukturert måte å forholde seg til fasilitatorer på Sørger for at enheter kan håndtere alle de sammensatte oppgavene sine Legger til rette for at fasilitatorene skaper vellykkede resultater 28 Kilde: COBIT ® 5, figur 13. © 2012 ISACA ® Med enerett.

5. Skille styring fra ledelse Prinsipp 5. Skille styring fra ledelse: COBIT 5-rammeverket skiller klart mellom styring og ledelse. Disse to disiplinene: Omfatter forskjellige typer aktiviteter Krever forskjellige organisasjonsstrukturer Har forskjellige formål Styring—I de fleste virksomheter er styring ansvaret til styret, ledet av en styreleder. Ledelse—I de fleste virksomheter er ledelse ansvaret til ledelsen, med administrerende direktør som øverste leder. 29

5. Skille styring fra ledelse (forts.) Prinsipp 5. Skille styring fra ledelse: Styring vil si at man sørger for at interessentenes behov, forhold og muligheter evalueres, slik at man kan fastsette balanserte, avtalte mål som virksomheten skal oppnå; at man kan bestemme retningen ved hjelp av prioritering og beslutningstaking; og overvåke ytelse og samsvar i forhold til avtalt retning og avtalte mål (EDM). Ledelse vil si at man planlegger, utvikler, driver og overvåker aktiviteter i tråd med retningen det styrende organet har bestemt, med tanke på å oppnå virksomhetens mål (PBRM). 30

5. Skille styring fra ledelse (forts.) Prinsipp 5. Skille styring fra ledelse: COBIT 5 gir ingen påbud, men den anbefaler at organisasjoner implementerer styrings- og ledelsesprosesser slik at hovedområdene dekkes, som vist. 31 Kilde: COBIT ® 5, figur 15. © 2012 ISACA ® Med enerett.

5. Skille styring fra ledelse (forts.) Prinsipp 5. Skille styring fra ledelse: COBIT 5-rammeverket beskriver sju fasilitatorkategorier (prinsipp 4). Prosesser er én kategori. En virksomhet kan organisere prosessene sine slik den mener det er best, så lenge alle nødvendige styrings- og ledelsesmål dekkes. Mindre virksomheter kan ha færre prosesser, og større og mer sammensatte virksomheter kan ha mange prosesser for å dekke de samme behovene. COBIT 5 inneholder en prosessreferansemodell (PRM) som i detalj definerer og beskriver en rekke styrings- og ledelsesprosesser. Nærmere opplysninger om denne spesifikke fasilitatormodellen finnes i COBIT 5: Enabling Processes. 32

COBIT 5: Aktivere prosesser COBIT 5: Enabling processes utfyller COBIT 5 og inneholder en detaljert referanseveiledning til prosessene som er definert i referansemodellen for COBIT 5-prosessen: I kapittel 2 gjennomgås COBIT 5-målprosessen sammen med eksempelmetrikk for virksomhets- og IT-relaterte mål. I kapittel 3 blir COBIT 5-prosessmodellen forklart og komponentene definert. I kapittel 4 vises diagrammet over denne prosessreferansemodellen. Kapittel 5 inneholder detaljert prosessinformasjon for alle 37 COBIT 5-prosessene i prosessreferansemodellen. 34

COBIT 5: Aktivere prosesser (forts.) 35 Kilde: COBIT ® 5, figur 29. © 2012 ISACA ® Med enerett.

COBIT 5: Aktivere prosesser (forts.) 36 Kilde: COBIT ® 5, figur 16. © 2012 ISACA ® Med enerett.

COBIT 5: Aktivere prosesser (forts.) COBIT 5: Aktivere prosesser: Referansemodellen for COBIT 5-prosessen deler inn virksomhetens IT-relaterte praksiser og aktiviteter i to hovedområder—styring og ledelse— der ledelse igjen er inndelt i prosessdomener: Domenet STYRING inneholder fem styringsprosesser, og innen hver prosess er det definert praksiser for å evaluere, bestemme retning og overvåke (EDM). De fire domenene for LEDELSE er tilpasset ansvarsområdene planlegging, utvikling, drift og overvåking (PBRM). 37

COBIT 5 Implementering Bedre styring av virksomhetens IT-ressurser (GEIT) er noe toppledelsen generelt anser som et vesentlig ledd i styringen av en virksomhet. Informasjon og informasjonsteknologi får stadig større omfang i ethvert ledd av forretningslivet og det offentlige liv. Behovet for å få IT-investeringene til å gi større verdi og å kunne håndtere et økende spekter av IT-relatert risiko har aldri vært større. Et økende antall bestemmelser og lover som regulerer bruk av informasjon i forretningslivet, gir også større bevissthet om hvor viktig det er å ha et IT-miljø preget av god styring og ledelse. 39

COBIT 5 Implementering (forts.) ISACA har utviklet COBIT 5-rammeverket for å hjelpe virksomheter med å gjennomføre pålitelige fasilitatorer for styring. Faktisk er det så å si umulig å oppnå god styring av virksomhetens IT-ressurser uten et effektivt styringsrammeverk. Beste praksis og beste standarder er også faktorer som understøtter COBIT 5. Rammeverk, beste praksis og beste standarder er nyttige bare hvis de innføres og tilpasses på en effektiv måte. For å kunne gjennomføre god IT-styring (GEIT) for virksomheten må man takle visse utfordringer og spørsmål. COBIT 5: Implementation gir veiledning i hvordan dette gjøres. 40

COBIT 5 Implementering (forts.) COBIT 5: Implementation dekker følgende emner: Plassere GEIT i en virksomhet Ta de første skrittene mot forbedring av GEIT Implementeringsutfordringer og suksessfaktorer Aktivere GEIT-relaterte organisasjons- og atferdsendringer Implementere fortsatt forbedring, blant annet muligheter til endring og programhåndtering Bruke COBIT 5 med tilhørende komponenter 41

COBIT 5 Implementering (forts.) 42 Kilde: COBIT ® 5, figur 17. © 2012 ISACA ® Med enerett.

COBIT 5 Produktfamilie 44 Kilde: COBIT ® 5, figur 11. © 2012 ISACA ® Med enerett.

COBIT 5 Fremtidige støtteprodukter Fremtidige støtteprodukter: Profesjonelle håndbøker: COBIT 5 for Information Security COBIT 5 for Assurance COBIT 5 for Risk Fasilitatorhåndbøker: COBIT 5: Enabling Information COBIT Online Replacement COBIT Assessment Programme: Process Assessment Model (PAM): Using COBIT 5 Assessor Guide: Using COBIT 5 Self-assessment Guide: Using COBIT 5 45