Kandidatafhandling i it ledelse Cand.merc.aud Aalborg Universitet Forår 2012 Titelblad Aalborg Universitet – Cand.merc.aud 10. Semester Vejleder: Hans Henrik Aabenhus Berthing Betegnelse: Kandidatafhandling Titel: Cobit 5 - Alignment Emne: It ledelse Afleveringstidspunktet: 15 maj 2012 Antal tegn og side antal: 334.951 tegn svarende til 139,56 normalsider Kandidatafhandlingen er udarbejdet af1: Marie Krupsdahl A. Elling __________________________________ Mette Blanner Holleufer __________________________________ 1 For ansvarsområder se Bilag 9 Side 2 af 195 Kandidatafhandling i it ledelse Cand.merc.aud Aalborg Universitet Forår 2012 Executive Summary The new age and information society caused information technology (IT) to become one of the founda- tions of today’s businesses where competition in the market triggers new opportunities. These opportu- nities can provide competitive advantages and achieve optimal utilization of company resources, result- ing in an increase of company productivity. If companies can exploit and manage their IT in a reasona- ble manner, they are able to increase company profits. Thus, today’s companies rely on IT and are compelled to recognize the IT challenges that exist in order to control the IT security within a company. Since management does not always have the necessary insight into the threats and opportunities in the IT field, they can seek advice from an auditor. It is nec- essary to distinguish the auditor’s function between advising the company in decisions and performing the audit of company accounts. Frameworks have been a part of enterprise IT management because of the managements and stakehold- ers’ desires for an improved return from IT investments, concern about rising costs of IT and the need to fulfill more strict regulatory requirements. Businesses establish frameworks and standards to control the quality and reliability in IT application and regulatory requirements. It may have implications for the company, it the introduction of frame- works and standards are not focused and processed too in-depth in relation to business needs, thereby becoming too costly for the company. Thus, implementation of frameworks and standards should be considered in relation to the company’s risk management, to what is most beneficial in relation to the individual company and to the methods the company already uses, creating a perfect synergy between the existing methods and potentially implemented standards. IT addresses not only technology but also the entire enterprise approach to IT and IT security. This has to be done from the top management all the way down to the individual employee. The Board of Direc- tors and the management therefore need to expand IT management, thereby ensuring that the overall Side 3 af 195 Kandidatafhandling i it ledelse Cand.merc.aud Aalborg Universitet Forår 2012 goals and strategies of the company is maintained. In this way, IT management should not be separated from the remaining leadership of the company, but instead become an integrated part of overall man- agement. IT should be incorporated into the company’s business like any other strategic considerations. The purpose of this thesis is to investigate: How can an auditor counsel the board of directors to obtain the best utilization of the IT resources within the enterprise? When operating within the IT field, auditors and management should be aware of published frame- works and standards that can serve as inspiration and guidance for managing IT. The frameworks and standards presented in this thesis are: - ISACA’s Cobit 5 - COSO’s Enterprise Risk Management (ERM) - ISO/IEC 27001 and 27002 - ISO/IEC 20000-series - ISO/IEC 38500 - SEI’s CMMI - OGC’s Prince2 - OGC’s ITILv3 - ISF’s The 2011 Standard Since companies are now aware of the importance of IT processes, Cobit 5 is an optimal tool for con- trolling and understanding all levels of internal controls. Therefore; Cobit 5 and its processes is the overall framework and has been the base for alignment with the other frameworks and standards. The presented frameworks and standards contain different focus areas, and it may be necessary for the company to build a model that is tailored to the specific needs of the business. In addition, it is neces- sary to align the various frameworks and standards. Auditors must agree with the company they advise, while the auditor must have insight into the various frameworks and standards in order to provide the best possible advice for the specific company. Since no companies are alike, there is no single frame- Side 4 af 195 Kandidatafhandling i it ledelse Cand.merc.aud Aalborg Universitet Forår 2012 work or one standard that is optimal for all businesses. It is necessary that the company selects process- es from the various frameworks and standards, and puts together its own model to create an ideal set of standards, so that the company utilizes their IT resources in the best possible way. Side 5 af 195 Kandidatafhandling i it ledelse Cand.merc.aud Aalborg Universitet Forår 2012 Indholdsfortegnelse EXECUTIVE SUMMARY ..................................................................................................................................................... 3 INDLEDNING ........................................................................................................................................................................ 8 1. PROBLEMFELT .............................................................................................................................................................................................8 2. BEGREBSFORKLARING ............................................................................................................................................................................ 11 3. AFGRÆSNING ............................................................................................................................................................................................ 12 4. PROJEKTDESIGN & METODE ................................................................................................................................................................. 14 5. KILDEKRITIK ............................................................................................................................................................................................. 16 TEORI ...................................................................................................................................................................................17 6. COBIT 5 SOM DET OVERORDNEDE FRAMEWORK ............................................................................................................................. 17 COBIT 5 ................................................................................................................................................................................18 7 PRINCIP 1: IMØDEGÅ INTERESSENTERNES BEHOV. ........................................................................................................................ 19 8 PRINCIP 2: DÆKKE VIRKSOMHEDEN ”END-TO-END”..................................................................................................................... 21 9 PRINCIP 3: ANVENDE ÉT INTEGRERET FRAMEWORK..................................................................................................................... 22 10 PRINCIP 4: MULIGGØR EN HOLISTISK TILGANG ............................................................................................................................ 23 11 PRINCIP 5: ADSKILLE GOVERNANCE FRA MANAGEMENT ........................................................................................................... 25 12 IMPLEMENTERINGSVEJLEDNING ........................................................................................................................................................ 26 13 PROCESS CAPABILITY MODEL ............................................................................................................................................................ 28 14 COBIT 5 - PROCESSERNE ...................................................................................................................................................................... 30 ENTERPRISE RISK MANAGEMENT .............................................................................................................................47 ISO/IEC 27001 ...................................................................................................................................................................52 15. STYRINGSMÅ L OG FORÅNSTÅLTNINGER I ISO/IEC 27001....................................................................................................... 54 ISO/IEC 27002 ...................................................................................................................................................................60 16. CLAUSES I ISO/IEC 27002 ............................................................................................................................................................... 60 ISO/IEC 20000-SERIEN...................................................................................................................................................69 17 ISO/IEC 20000-1- SERVICE MANAGEMENT SYSTEM REQUIREMENTS ................................................................................ 69 18 ISO/IEC 20000-2 – CODE OF PRACTICE ....................................................................................................................................... 75 19 ISO/IEC 20000-4 - PROCESS REFERENCE MODEL .................................................................................................................... 82 ISO/IEC 38500 ...................................................................................................................................................................88 20 PRINCIPPER I ISO/IEC 38500.......................................................................................................................................................... 90 CMMI .....................................................................................................................................................................................92 21 KERNEPROCESSER I CMMI ................................................................................................................................................................. 94 22 CAPABILITY LEVELS OG MATURITY LEVELS ................................................................................................................................... 97 23 CMMI FOR DEVELOPMENT .............................................................................................................................................................. 100 24 CMMI FOR ACQUISITION .................................................................................................................................................................. 102 25 CMMI FOR SERVICES ......................................................................................................................................................................... 104 PRINCE 2........................................................................................................................................................................... 106 26 PRINCIPPER I PRINCE2 ...................................................................................................................................................................... 106 27 PROCESSER I PRINCE2 ....................................................................................................................................................................... 109 Side 6 af 195 Kandidatafhandling i it ledelse Cand.merc.aud Aalborg Universitet Forår 2012 ITIL ..................................................................................................................................................................................... 112 28 ITIL SERVICE STRATEGY .................................................................................................................................................................. 113 29 ITIL SERVICE DESIGN ........................................................................................................................................................................ 115 30 ITIL SERVICE TRANSITION............................................................................................................................................................... 117 31 ITIL SERVICE OPERATION ................................................................................................................................................................ 119 32 ITIL CONTINUAL SERVICE IMPROVEMENT .................................................................................................................................. 121 THE 2011 STANDARD OF GOOD PRACTICE FOR INFORMATION SECURITY ............................................ 122 33 KATEGORIER I THE 2011 STANDARD ........................................................................................................................................... 124 INTERVIEW ..................................................................................................................................................................... 144 ALIGNMENT..................................................................................................................................................................... 146 34 ALIGNMENT - EDM DOMÆNET ...................................................................................................................................................... 147 35 ALIGNMENT - APO DOMÆNET ....................................................................................................................................................... 152 36 ALIGNMENT - BAI DOMÆNET ......................................................................................................................................................... 166 37 ALIGNMENT - DSS DOMÆNET ........................................................................................................................................................ 172 38 ALIGNMENT - MEA DOMÆNET....................................................................................................................................................... 178 KONKLUSION .................................................................................................................................................................. 180 LITTERATURLISTE ....................................................................................................................................................... 183 PUBLIKATIONER......................................................................................................................................................................................... 183 INTERNET .................................................................................................................................................................................................... 184 LOVE.............................................................................................................................................................................................................. 184 STANDARDER .............................................................................................................................................................................................. 184 INTERVIEW .................................................................................................................................................................................................. 185 BILAG 1 – COBIT 5’S FORRETNINGSMÅL............................................................................................................... 186 BILAG 2 – COBIT 5’S IT RELATEREDE MÅL .......................................................................................................... 187 BILAG 3 – COBIT 5’S PRM ........................................................................................................................................... 188 BILAG 4 – ALIGNMENT AF EDM DOMÆNET ......................................................................................................... 189 BILAG 5 – ALIGNMENT AF APO DOMÆNET .......................................................................................................... 190 BILAG 6 – ALIGNMENT AF BAI DOMÆNET ........................................................................................................... 191 BILAG 7 – ALIGNMENT AF DSS DOMÆNET ........................................................................................................... 192 BILAG 8 – ALIGNMENT AF MEA DOMÆNET ......................................................................................................... 193 BILAG 9 – ANSVARSOMRÅDER ................................................................................................................................. 194 Side 7 af 195 Kandidatafhandling i it ledelse Cand.merc.aud Aalborg Universitet Forår 2012 Indledning 1. Problemfelt Informationssamfundet bevirker, at informationsteknologi (it) er en af grundstenene for virksomheder, når de skal konkurrere på markedet, og medfører derved muligheder for virksomhederne. Muligheder som konkurrencemæssige fordele samt at opnå optimal udnyttelse af virksomhedens ressourcer, så pro- duktiviteten i virksomheden således øges. Hvis virksomhederne forstår at udnytte og administrere deres it på en fornuftig måde, kan de derved øge virksomhedens overskud.2 Derfor er virksomheder i dag afhængige af it og er nødsaget til at erkende de it relaterede udfordringer, som eksisterer for derved at styre it sikkerheden i virksomheden. Da ledelsen ikke altid har den nød- vendige indsigt i virksomhedens trusler og muligheder på it området, kan de søge rådgivning hos en revisor. Dog er revisors opgave ikke blot at rådgive ledelsen, men også at revidere virksomhedens it kontroller. Som revisor er det ifølge den International Standards of Auditing (ISA) 315: Identifikation og vurdering af risici for væsentlig fejlinformation igennem forståelse af virksomheden og dens omgi- velser et krav, at der opnås en forståelse af virksomhedens interne kontroller og vurderer de potentielle risici, som eksisterer, heriblandt it relaterede risici, så der kan udformes og implementeres reaktioner på risiciene. Andre revisionsstandarder end ISA 315 indeholder ligeledes it relaterede overvejelser revisor skal vurdere ved revision.3 Det er nødvendigt at skelne mellem om revisor skal rådgive virksomheden i beslutninger, eller om revisor skal udføre revision af virksomhedens regnskabsaflæggelse. Der skal ifølge International Standard on Quality Control (ISQC) 1: Kvalitetsstyring i firmaer, som udfører revi- sion og review af regnskaber, andre erklæringer med sikkerhed og beslægtede opgaver etableres poli- tikker og procedurer, for at opnå en høj grad af sikkerhed for om revisionsfirmaet og dets personale, som er underlagt uafhængighedskravene, også opretholder denne uafhængighed. Disse politikker og procedurer skal identificere og vurdere omstændigheder og relationer, som kan udløse en trussel mod uafhængigheden. Derudover skal disse politikker og procedurer muliggør eliminering af disse trusler eller reducere dem til et acceptabelt niveau ved at indføre sikkerhedsforanstaltninger. Derfor kan det 2 ITGI: IT Governance Using CobiT and Val IT Student Book s. 3 3 Karnov Group: Revisorhåndbogen 2011 s. 1111 Side 8 af 195 Kandidatafhandling i it ledelse Cand.merc.aud Aalborg Universitet Forår 2012 påvirke revisors uafhængighed, hvis samme revisor er ansvarlig for at rådgive virksomheden, såfremt revisoren ligeledes skal udføre revision af regnskabsaflæggelsen.4 It omhandler ikke blot teknik, men handler også om hele virksomhedens holdning til it og it sikkerhed. Dette er helt oppe fra øverste ledelsesniveau og ned til den enkelte medarbejder. It bør indarbejdes i virksomhedens forretning ligesom alle andre strategiske overvejelser. Bestyrelsen og direktionen har derfor behov for at udvide it styringen, så virksomhedens overordnede mål og strategier bliver opret- holdt. Således skal it ledelse ikke adskilles fra den resterende ledelse af virksomheden, men i stedet blive en integreret del af den samlede styring.5 Frameworks er blevet en del af virksomhedens it ledelse på grund af ledelsens og interessenternes øn- ske for et bedre afkast fra it investeringer, bekymring for stigende udgifter til it og behovet for at opfyl- de strengere lovgivningsmæssige krav som blandt andet US Sarbanes-Oxley Act.6 US Sarbanes-Oxley Act blev i 2002 vedtaget som ny lov i USA, der indeholder krav om nøjagtighed og troværdighed til de informationer, som virksomheden skal videregive til offentligheden. Årsagen til regelsættet var erhvervsskandaler som blandt andet Enron-skandalen, hvor de finansielle resultater ikke var pålidelige på grund af regnskabssvindel. US Sarbanes-Oxley Act ændrede kravene til interne pro- cesser som offentlige virksomheder havde anvendt i deres ledelse og til udarbejdelse af årsrapporten til Securities and Exchange Commission (SEC). Desuden havde US Sarbanes-Oxley Act betydning for såvel ekstern revisor som intern revisors aktiviteter og ansvar, selvom disse revisorer skal overholde forskellige standarder som Public Company Accounting Oversight Board (PCAOB) og har forskellige målsætninger. PCAOB introducerede på baggrund af US Sarbanes-Oxley Act den risikobaserede Au- diting Standard No. 57, som fastlægger krav og retningslinjer for revisors revision af den interne kon- trol ved regnskabsaflæggelsen.8 4 Karnov Group: Revisorhåndbogen 2011 s. 924 punkt 21 5 ITGI: IT Governance Using CobiT and Val IT Student Book s. 3 6 ITGI: Aligning CobiT 4.1, ITIL v3 and ISO/IEC 27002 for Business Benefit s. 8 7 Robert R. Moeller: Sarbanes-Oxley Internal Controls –Effective Auditing with AS5, CobiT and ITIL s. 1 + 2 8 PCAOB: Auditing Standard No. 5 Side 9 af 195 Kandidatafhandling i it ledelse Cand.merc.aud Aalborg Universitet Forår 2012 Virksomheder indfører frameworks for at styre kvaliteten og pålideligheden af it anvendelse samt lov- givningsmæssige krav. Det kan få konsekvenser for virksomheden, hvis indførelsen af frameworks ikke er fokuseret og behandles for dybdegående i forhold til virksomhedens behov, og derved bliver for om- kostningsfuldt for virksomheden. Derfor bør implementeringen af frameworks overvejes i forhold til virksomhedens risikostyring, hvad der er mest fordelagtig i forhold til den enkelte virksomhed samt de metoder virksomheden i forvejen anvender.9 1.1 Problemformulering Således er it et af fundamenterne for virksomheder og bør indarbejdes i virksomhedens forretning lige- som andre strategiske overvejelser. It ledelse skal være en integreret del af virksomhedens samlede styring når der foretages ledelsesmæssige beslutninger. Det får betydning for produktiviteten i virk- somheden, om ledelsen formår at få det optimale ud af virksomhedens it ressourcer, så konkurrence- mæssige fordele bliver potentielle. Med udgangspunkt i ovenstående problemstilling vil nedenstående problemformulering være udgangs- punktet for denne kandidatafhandling: Hvordan kan revisor rådgive ledelsen til at få det optimale ud af virksomhedens it ressourcer? Når der i problemformuleringen nævnes revisor, relaterer dette både til interne og eksterne revisorer, da ledelsen i deres beslutningsproces har mulighed for at tilegne sig informationer fra såvel interne reviso- rer som eksterne revisorer. Ordet rådgivning i problemformuleringen sidestilles med revisors kendskab til diverse love, standarder og frameworks indenfor it området, og revisors mulighed for at videreføre disse i ledelsens beslutningsgrundlag og som inspiration til ledelsen. Med ledelsen refereres der til virksomhedens øverste ledelse, som varetager udarbejdelsen af virksomhedens overordnede forret- ningsstrategi.10 Når ordet optimal anvendes i problemformuleringen, er det et udtryk for, at der opnås det mest fordelagtige alternativ på baggrund af omstændighederne. Virksomhedens it ressourcer relate- rer sig til, at alt afhængig af hvilken virksomhed der tages udgangspunkt i, har virksomhederne forskel- 9 ITGI: Aligning CobiT 4.1, ITIL v3 and ISO/IEC 27002 for Business Benefit s. 6 10 Selskabsloven § 115 Side 10 af 195
Description: