Chương 4 bài giảng hệ thống thông tin kế toán nâng cao COBIT

CobiT – công cụ cho quản trị IT  Quản lý IT IT governance: là một cấu trúc gồm các xử lý IT và các vấn đề có liên quan nhằm giúp DN đạt mục tiêu nhưng đảm bảo kiểm soát các rủi ro IT tr

Biết các khác biệt giữa CobiT 4.1 &

CobiT 5

Mô tả quá trình phát triển của CobiT

So sánh Khuôn mẫu CobiT 4.1 Và

CobiT 5 Mối quan hệ của CobiT và quản trị IT

Tại sao CobiT là khuôn mẫu KS/ công cụ quản trị IT

Câu hỏi :

• Tại sao CobiT là một khuôn mẫu/mô hình kiểm soát

• Tại sao CobiT là một công cụ giúp quản trị IT

CobiT – công cụ cho quản trị IT

 Quản lý IT (IT governance): là một cấu trúc gồm các

xử lý IT và các vấn đề có liên quan nhằm giúp DN đạt mục tiêu nhưng đảm bảo kiểm soát các rủi ro IT trong quá trình thực hiện các xử lý IT này

 RR liên quan IT cần được nhận diện và kiểm soát

 CobiT là một trong các công cụ dùng quản trị IT

Các khuôn mẫu/chuẩn kiểm soát/thực hành KS

Khuôn mẫu kiểm soát

 Khuôn mẫu KS liên quan

đối với mục tiêu KS và

thực hành kiểm soát

 Cung cấp các hướng dẫn

trách nhiệm đối với KS

 Cung cấp hướng dẫn liên

quan tới kỹ thuật để đánh

giá mục tiêu kiểm soát; để

thiết kế, phát triển và thực

hiện KS

 Cung cấp các hướng dẫn/

công cụ để giám sát và

đánh giá kiểm soát

 Khuôn mẫu KS cần dựa trên các nguyên tắc có căn cứ vững, logic

có giá trị

Các mô hình kiểm soát

hưởng các mô hình KS khác như

 COSO, CoCo, Cabbury, King

 Sys Trust (Principles and Crireria for Systems reliability)

 ITIL (IT infrastructure); ITCG (Information Technology

COBIT

 CobiT (Control Objective for Information and related Technology) được phát triển bởi ISACF (Information system

Audit and Control Foundation); được giám sát và đánh giá bởi ISACA (Information Systems Audit and Control

Association) và ủy ban CobiT (CobiT Steering Committee)

 Nội dung của CobiT vẫn được nghiên cứu và hoàn thiện để

cung cấp những mục tiêu và thực hành tốt nhất Nó được sự

chấp nhận rộng rãi có tính quốc tế từ cả nhóm người quản

lý, IT và kiểm toán

 Người sử dụng có thể sử dụng CobiT kết hợp với các chuẩn

có tính chi tiết hơn của:

o ITIL : cho việc giao dịch vụ thông tin

o CMM Cho giao giải pháp

o ISO 17799 cho an toàn thông tin

o PMBOK/PRINCE2 cho quản trị dự án

CoBiT

 Một cách cơ bản, các mục tiêu KS và thực hành của

CobiT tập trung vấn đề đảm bảo HTTT tạo thông tin đạt tiêu chuẩn chất lượng

 Ở mức cao hơn, CobiT tập trung vào vấn đề tầm quan trọng của thông tin với việc thành công lâu dài của

doanh nghiệp

 CobiT có thể áp dụng ở một bộ phận sử dụng IT nhưng cũng có thể áp dụng ở toàn doanh nghiệp

Quá trình phát triển của COBIT

 CobiT được ban hành lần đầu 4/1996; sửa đổi 1997

 CobiT phát hành lần 2 4/1998

 CobiT 3.1 (phát hành lần 3) 2/2000

 CobiT 4.1 phát hành 2007

 CobiT 5 Phát hành 2013

Quá trình phát triển của COBIT

Mối quan hệ giữa khuôn mẫu CobiT & quản trị IT

Khuôn mẫu CobiT và các vùng trong quản trị IT

COBIT4.1 Là công cụ để quản trị IT

Các thành phần của CobiT trong mối quan hệ phù hợp với mục tiêu DN

CobiT 4.1 các thành phần của COBIT

CobiT 4.1 Mối quan hệ giữa các thành phần

CobiT 4.1- Chất lượng thông tin và nguồn lực

Information (tin cậy)

tầng

ngoài DN tham gia hệ thống thông tin DN)

COBIT 4.1- Xác định mục tiêu CNTT

mục tiêu IT -> Xác định các xử lý IT

CobiT 4.1- các hoạt động Xử lý IT

 Xử lý thông tin (processes)

 4 vùng (domain): các xử lý liên quan thường phù hợp với mỗi

vùng trách nhiệm theo cấu trúc của doanh nghiệp; phù hợp với

chu trình phát triển /ứng dụng HT IT Gồm:

 Plan and organise PO- PO1-PO10 (kế hoạch và tổ chức): Dựa vào các

chiến lược, kế hoạch của tổ chức, xác định các chiến lược, kế hoạch, các

vấn đề cần thực hiện của IT để đạt mục tiêu của tổ chức

 Acquire and implement AI-1-7 (hình thành và thực hiện).Kiểm soát giải

pháp, các hoạt động hình thành hệ thống

 Deliver and support DS- 1-13( Cung cấp và hỗ trợ) – kiểm soát sử dụng hệ

thống và cung cấp các dịch vụ IT tới người sử dụng

 Monitor and evaluate ME- 1-4 (giám sát và đánh giá) Các kiểm soát cần

thiết để giám sát, đánh giá hệ thống

 Các xử lý (processes - 34) Là một chuỗi các công việc (tasks)

và hoạt động (activities) gắn kết với nhau phù hợp mục tiêu

kiểm soát – Vd (PO1; PO2 , AI1 v.v )

Hoạt động (activies- 318) là các hoạt động cụ thể cần thực hiện

CobiT 4.1- các hoạt động xử lý

 Trong CobiT 4.1, các hoạt động xử lý:

o Bao trùm các kiểm soát chung

o Liên quan KS ứng dụng: Chỉ đề cập tới định nghĩa trách nhiệm

của người thực hiện trong kiểm soát ứng dụng

 CobiT 4.1, đề xuất các ACn (application controls) để mô

tả các mục tiêu kiểm soát ứng dụng

o AC1 Lập và ủy quyền các chứng từ gốc

o AC2 Thu thập và nhập dữ liệu

o AC3 Kiểm tra chính xác, đầy đủ và tính xác thực

o AC4 Xử lý toàn vẹn và hợp lệ

o AC5 Kiểm tra kết quả, đối chiếu và xử lý sai sót

o AC6 Tính xác thực của nghiệp vụ và toàn vẹn (integrity)

CobiT 4.1- Các hướng dẫn trong Khuôn mẫu

Mỗi thành phần (nội dung) của CobiT thể hiện:

1 Mô tả xử lý: Mục tiêu kiểm soát (Mô hình thác đổ); Mô tả mục tiêu

chất lượng thông tin đạt được; Mô tả các nguồn lực được kiểm soát bởi xử lý; Đáp ứng yêu cầu thông tin thế nào; Đáp ứng các phạm vi quản lý IT nào

2 Mô tả mục tiêu xử lý/kiểm soát IT (cụ thể hóa bằng các xử

lý chi tiết)

3 Hướng dẫn quản lý Đây là các hướng dẫn để thực hiện, đánh giá

và đo lường môi trường IT của doanh nghiệp Cụ thể:

 Sơ đồ RACI: hướng dẫn các người/bộ phận liên quan tới hoạt động

xử lý IT nhằm đạt mục tiêu KS

 Các mục tiêu và các đo lường với từng mục tiêu (IT, Xử lý , hoạt

động)

 Các đầu vào và kết quả đầu ra của mỗi xử lý

4 Mô hình đánh giá: Thang đo 6 mức với định nghĩa cụ thể từng mức

CobiT 4.1 – Mô tả xử lý theo mô hình thác đổ

Tên Xử lý IT

Kiểm soát của (xử lý IT)

Đáp ứng y/c kinh doanh đối với CNTT

Tóm lược mục đích IT quan trọng nhất

Bằng cách tập trung vào mục tiêu

Mục tiêu xử lý (k.soát) IT quan trọng nhất

Đạt được bằng

Mục tiêu hoạt động IT cụ thể

Được đánh giá qua

Chỉ tiêu/ tiêu chuẩn đo lường

CobiT 4.1- Các hướng dẫn quản lý

Hướng dẫn quản lý

• Responsible: có trách nhiệm thực hiện

• Accountable: trách nhiệm đưa ra các định hướng/hướng dẫn và ủy

quyền cho hoạt động

• Consulted / Informed: Tham gia và hỗ trợ xử lý; người được thông

báo hoạt động

CobiT4.1- Đo lường thành quả

CobiT 4.1 Đo lường khả năng tổng hợp

 CobiT 4.1 sử dụng mô hình khả năng (maturity models) theo định hướng của SEI ( the Software Engineering Institute) và điều chỉnh theo các mức độ thang đo của CMM

 Sử dụng mô hình khả năng, để quản lý, người quản lý có thể xác định mức độ đạt được của mỗi qui trình xử lý (process) cho 4 nội dung:

o Kết quả thực sự của doanh nghiệp

o Tình trạng hiện hành của ngành (industry) (cho mục tiêu so sánh)

o Mục tiêu (cấp độ) doanh nghiệp mong muốn đạt được

o Khoảng cách giữa hiện hành (as- is) và mong muốn (to –be)

 Có 6 cấp độ/mức độ khả năng: Từ cấp 0 (không tồn tại) đến cấp 5 optima (tối ưu)

Mô hình khả năng (Maturity Model)

Mô hình khả năng- các tiêu chí đánh giá

cho mỗi cấp độ khả năng :

 Nhận thức và truyền thông (Awareness and

Communication)

 Chính sách, kế hoạc và thủ tục (Policies, Plans and

Procedures)

 Công cụ và sự tự động (Tools and Automation)

 Kỹ năng và sự thành thạo ( Skills and expertise)

 Trách nhiệm và quản lý (Responsibility and

Accountability)

 Thiết lập mục tiêu và đo lường (Goal setting and

Measurement)

Qui trình sử dụng MM đo lường IT DN

Sơ đồ mô tả kết quả đo lường của CNTT của DN

CobiT 5- Những thay đổi trong khuôn mẫu

1 Xây dựng các nguyên tắc quản trị IT doanh nghiệp

2 Tập trung vào các nhóm nhân tố ảnh hưởng

(enablers)

3 Mô hình xử lý mới : Thêm các xử lý mới và điều

chỉnh một số xử lý cũ; mục tiêu &đo lường; Đầu

vào đầu ra; sơ đồ RACI

4 Mô hình đánh giá khả năng

CobiT 5 Nguyên tắc quản trị IT DN

1 Đạt nhu cầu người sử dụng

2 Bao phủ các góc nhìn từ mọi khía cạnh hoạt động của DN (Covering the

Enterprise End-to-end)

3 Một khuôn mẫu riêng và tích hợp

4 Cho phép tiếp cận vấn đề toàn diện

(Enabling a holistic approach)

5 Phân biệt giữa quản trị và quản lý

CobiT 5 Các nguyên tắc quản trị IT DN

Nguyên tắc 1 Đạt nhu cầu người sử dụng

Các nhân tố Định hướng (Môi trường, công nghệ, giải pháp)

Mục tiêu doanh nghiệp

Ảnh hưởng

Nhu cầu các bên liên quan

CobiT 5 Các nguyên tắc quản trị IT DN

Nguyên tắc 2 Bao phủ các góc nhìn từ mọi khía cạnh

hoạt động của DN (Covering the Enterprise End-to-end)

 Cách tiếp cận của CobiT 5 là tiếp cận quản trị ->

Tích hợp quản trị IT doanh nghiệp vào quản trị doanh nghiệp

 Bao phủ tất cả các chức năng hoạt động, các xử

lý IT cần thiết để quản trị và quản lý thông tin và công nghệ liên quan: tất cả các dịch vụ trong và ngoài DN; Các xử lý trong và ngoài DN

CobiT 5 Các nguyên tắc quản trị IT DN

Nguyên tắc 3 Một khuôn mẫu riêng và được tích hợp

lại

 CobiT 5 đã tích hợp các khuôn mẫu, chuẩn mới

nhất do ISACA phát triển: Val IT; Risk IT; CobiT 4.1; BMIS -> là khuôn mẫu đáp ứng cả quản trị

và quản lý

 Bao phủ tất cả các chức năng hoạt động, các xử

lý IT cần thiết để quản trị và quản lý thông tin và công nghệ liên quan: tất cả các dịch vụ trong và ngoài DN; Các xử lý trong và ngoài DN

CobiT 5 Các nguyên tắc quản trị IT DN

Nguyên tắc 4 Cho phép tiếp cận vấn đề toàn diện

 Các vấn đề (issue) được xem xét theo từng nhóm

nhân tố hay gọi nhóm tạo khả năng (Enablers)

Điều này cho phép thấy tất cả các nhân tố và mối

tương tác của chúng để đạt mục tiêu của tổ chức/

mục tiêu IT

 Enable được hiểu theo nghĩa rộng là tất cả những

nguồn lực của tổ chức có thể giúp đạt mục tiêu của

tổ chức VD: chính sách, qui định, nguyên tắc, cấu

trúc tổ chức, xử lý (processes), thực hành

(practices), cơ sở hạ tầng IT, phần mềm ứng dụng,

con người, thông tin

CobiT 5 Các nguyên tắc quản trị IT DN

Nguyên tắc 4 Cho phép tiếp cận vấn đề toàn diện (tiếp

theo)

Nhận xét sự khác biệt nguồn lực được xem xét trong CobiT 4.1 và CobiT 5

Các nhóm nhân tố có mối quan hệ với nhau:

VD thông tin cần xử

lý, cấu trúc tổ chức cần con người, kỹ năng và văn hóa v.v

CobiT 5 Các nguyên tắc quản trị IT DN

Nguyên tắc 4 Cho phép tiếp cận vấn đề toàn diện (tiếp theo)

Các nhóm nhân tố được xem xét theo các nội dung/ chiều (dimensions);

• Các bên liên quan (stakeholders)

• Mục tiêu: goals

• Chu kỳ phát triển (Life Cycle)

• Các thực hành (Good Practices) Xem phụ lục G

CobiT 5 Các nguyên tắc quản trị IT DN

Nguyên tắc 4 Nhóm nhân tố thông tin

CobiT 5 Các nguyên tắc quản trị IT DN

Nguyên tắc 4 Nhóm nhân tố thông tin (Tiêu chuẩn CLTT p82)

CobiT 5 Các nguyên tắc quản trị IT DN

Nguyên tắc 4 Nhóm nhân tố thông tin (so sánh tiêu chản

CLTT cobiT 4.1 và cobiT 5 p63)

CobiT 5 Các nguyên tắc quản trị IT DN

Nguyên tắc 4 Nhóm nhân tố xử lý

CobiT 5 Các nguyên tắc quản trị IT DN

Nguyên tắc 4 Nhóm nhân tố xử lý – Mô hình xử lý

CobiT 5 Các nguyên tắc quản trị IT DN

Nguyên tắc 4 Quản lý hoạt động các nhóm nhân tố

CobiT 5 Các nguyên tắc quản trị IT DN

Nguyên tắc 4 Cho phép tiếp cận vấn đề toàn diện (tiếp

theo)- Ví dụ thực hành về các nhóm khả năng

Xem ví dụ p 29

Xem phụ lục G

CobiT 5 Các nguyên tắc quản trị IT DN

Nhu cầu kinh doanh

Đánh giá ( Evaluate)

Định hướng ( Direct)

Giám sát ( Monitor)

Lập kế

hoạch

( plan)

Xây dựng ( build)

Sử dụng ( run)

Giám sát ( Monitor)

nhiệm khác nhau

• Nhưng giữa quản trị và quản lý có mối tương tác với nhau

CobiT 5 Đo lường khả năng quản trị IT

Mô hình khả năng xử lý (Process Capability Model)

Tài liệu tham khảo

“ Add your company slogan ”

www.themegallery.com