YUSQ ICQ 2006 - International Journal "Total Oualitv Management & Excellence". Vol.34, No. 1-2. 2006.

Stanislav Lisse, dipl.in.el, slisse(a),eiinet.vu

COBIT, ITIL I ISO 17799 -POSLOVNE

DOBITI

COBIT

Rezime:
Dat je kratak opis najbolje prakse i standarda za upravljanje IT
uslugama i sigurnou informacija u obezhedenju podrke poslovnim
ciljevima organizacije. Naglasak je dal na CobiT, koji jo, bez realnog
razloga, nije u fokusu naih IT strunjaka i poslovnih menadera.

best
practices
repository for
IT Processes IT Management

Kljune rei: CobiT, ITIL, ISO/IEC 17799, ITGovernance

Processes IT Governance Processes

UVOD

Implementacija najbolje prakse treba biti konzistentna sa

upravljanjem rizicima u organizaciji i sa kosturom kontrola, da
odgovara organizaciji i treba biti integrisana sa drugim metodama i
praksama koje se koriste. Standardi i najbolja praksa nisu panacea, i
njihova efikasnost ovisi od toga kako je stvarno implementirana i
odravana aurnom. Standardi i najbolja praksa su najkorisniji kada su
primenjeni kao set principa i kao poetna taka prilagoavanja
specifinih procedura. Da bi se izbeglo da prakse postanu 'shelfvvare',
rukovodstvo i osoblje mora razumeti ta treba raditi, kako to raditi,
zato je to vano. Implementacija treba biti prilagoena organizaciji i
planirana da se postigne efektivna upotreba procesa i kontrola u
ostvarivanju stratekih ciljeva organizacije.

Narastajue usvajanje najbolje IT prakse podstaknuto je

zahtevima da IT industrija bolje upravlja kvalitetom i pouzdanou IT
u poslovanju i odgovori na poveani broj rcgulatornih i ugovornih
zahtcva. Meutim, postoji opasnost da e implementacija ovih
potencijalno korisnih najboljih praksi biti skupa i neusmerena ako
bude tretirana kao isto tehnika uputstva. Da bi bila efektivna,
najbolja praksa treba biti primenjena u okviru poslovnog konteksta,
fokusirajui se na mesta gde e obezbediti najveu dobit organizacije.
Najvie rukovodstvo, poslovno rukovodstvo, auditori, osobe
odgovorne za pridravanje propisa i IT menaderi trebaju da rade
zajedno da bi bili sigurni da najbolja praksa vodi ka cost-efektivnoj i
dobro kontrolisanoj isporuci IT.

Ovim radom nisu obuhvaeni standardi ISO/IEC 20000-1:20()5,

Upravljanje IT uslugama (zasnovan na ITIL) i ISO/IEC 27001:2005,
Sistem upravljanja sigurnou informacija - konzistentan sa ISO/IEC
17799. Organizacija treba razmotriti upotrebu i ova dva standarda,
koji na slian nain kao i ISO 9001:2000 potencira uspostavljanje
sistema menadmenta. Tek integrisanim pristupom zasnovanim na
pomenuta tri standarda i napred navedenom najboljom praksom moe
se uspostaviti integrisani sistem menadmenta, koji e omoguiti
organizaciji da identifikuje svoje strateke ciljeve, utvrdi taktike i
operativne ciljeve IT usluga u podrci realizacije stratekih ciljeva
organizacije i uspostavljanjem kostura operativne zatite svojih
informacija postigne poverenje poslovnih partnera i saglasnost sa
zahtevima zakona i propisa u vezi sa sigurnou informacija.

Najbolja IT praksa je vana zbog:

Upravljanje sa IT je kritino za uspeh poslovne strategije.

Ona obezbeduje mnoge dobiti, ukljuujui poveanje

efikasnosti, manju ovisnost o ekspertima, manje greaka,
porast poverenja poslovnih partnera i potovanje od strane
kontrolnih tela.

Ona pomae efektivnom upravljanju procesima u IT.

Kostur upravljanja je potreban da svako zna ta treba da radi
(politika, interne kontrole i definisana praksa).

Ovaj rad je usmeren na tri specifine najbolje prakse, ija

primena je usvojena irom sveta, a to su:

ITILpublikovan od vlade Velike Britanije da obezbedi

najbolju praksu upravljanja IT uslugama

COBITpublikovan od ITGI i pozicioniran kao upravljanje

sa IT na visokom nivou i kostur kontrola

ISO/IEC 17799: 2005standard najbolje prakse za

upravljanje sigurnou informacija

Za postizanje usaglaenosti najbolje prakse sa zahtevima

poslovanja i uspostavljanja upravljanja sa IT treba koristiti formalan
proces. OGC je obezbedio uputstva rukovodstvu kroz svoj
Succcssful Deliverv Toolkit" (www.OKC.gov.uk/sdtoolkit/), a ITGI je
obezbedio ,,IT Governance Implementation Guide".
CobiT se moe koristiti na najviem nivou upravljanja sa IT,
obezbeujui sveukupni kostur IT kontrola zasnovanih na procesnom
modelu koji je namenjen da odgovara bilo kojoj organizaciji. Postoji
takoe potreba za detaljno standardizova-nim procesima. Specifina
praksa i standardi kao to su ITIL i ISO 17799 pokrivaju specifine
oblasti CobiT-ovog kostura, ali im nedostaje uputstvo kako
identifikovati strateke ciljeve organizacije vezane sa IT. U sutini,
namera ITGI je da CobiT inkorporira ili produbi uputstva sadrana u
ITIL, ISO/IEC 17799, ISO/IEC 13335, ISO/IEC 15408, TickIT, NIST,
and COSO.

COBIT, ITIL AND ISO 17799 BUSINESS BENEFITS

Abstract:
A short description of best practices and standards for IT Service
Management and Information Securitv providing support to
organization's business objeelives is given. Emphasis is to CobiT,
which not yet, wilhout real reason.
isn't in focus of our IT proj'essionals and business managers.

Da bi se bolje razumeli odnosi izmeu pomenutih uputstava

najbolje prakse detaljno mapiranje CobiT-ova 34 IT procesa sa ITIL
procesima i ISO 17799 kontrolama bilo je predmet zajednikog rada
ISACA i OGC uz saradnju sa itSMF. Dve institucije, UK
government's Office of Government Commerce (vlasnik ITIL-a) i IT
Governance Institute (vlasnik Cobit-a) i trea nezavisna interesna
strana - IT Service managenment Forum su izradile ovaj pregled kao

Key words: CobiT, ITIL, ISO/IEC 17799, ITGovernance

Dat je samo kratak (stoga i nepotpun) opis CobiT i jedno od

poreenja Cobit sa ITIL i ISO 17799.
1

YUSQ ICQ 2006 - International Journal "Total Oualitv Management & Excellence", Vol.34. No. 1-2. 2006.
odgovor na narastajui znaaj najbolje prakse u IT industriji i potrebe da
najvie rukovodstvo organizacije, ukljuujui i IT menadere, razume
vrednost najbolje prakse u IT i ukae kako implementirati najbolju IT
praksu u organizaciji. Bez obzira to jc pregled uraen korienjem
referenci koje su u meuvremenu zamenjene novim izdanjima (CobiT 3 rd
Edition:2002 sa CobiT 4.0:2005; ISO 17799:2000 sa ISO 1799:2005, i
ITIL:2000 e biti zamenjen sa ITIL:2006) ovaj izvetaj predstavlja
neprocenjivu pomo u razumevanju mesta i uloge svake od pojedinih
referenci u poslovnom sistemu organizacije.

Upravo rad na ovom izvetaju rezultirao je u evidentnu potrebu i

nameru OGC i ITGI da tenje saraduju u usaglaavanju terminologije i
sadraja svojih praksi sa ostalim praksama sa ciljem podrke
jednostavnijoj i lakoj implementaciji i integraciji sa ostalim sistemima
menadmenta u organizaciji.

2. TA I ZATO NAJVIE RUKOVODSTVO TREBA DA

ZNA O NAJBOLJOJ PRAKSI
Porast upotrebe standarda i najbolje prakse kreira nove izazove i
zahteve za uputstva za implementaciju:

1. POSLOVNI DRAJVERI UPOTREBE NAJBOLJE

PRAKSE
Najbolja IT praksa je postala znaajna radi nekoliko faktora:

Poslovni menaderi i upravni odbori zahtevaju vei povratak

investiranog u IT, tj. da IT isporuuje ono to treba poslovanju
organizacije da bi se poveala vrednost za interesne strane (stakeholder
value)

Briga o optem poveanju nivoa IT trokova

Izbor servis provajdera i upravljanje outsorsovanim uslugama i

nabavkama

Narastajui kompleksnost rizika koji se odnose na upotrebu IT, kao to

su sigurnost mrea, itd.

IT governance inicijative koje ukljuuju usvajanje kostura kontrola i

najbolje prakse da pomognu nadizanje i poboljaju kritine IT
aktivnosti da bi poveali poslovnu vrednost i smanjili poslovne rizike

Potreba da se optimizira cena sledei, gde je to mogue,

standardizovane a ne specijalno razvijene pristupe

Rast zrelosti i konsekventno prihvatanje dobro definisanih kostura, kao

to su ITIL, COBIT, ISO 17799, Project in Controlled Environments
(PRINCE), Managing Successful Programmes (MSP) ISO 9001,
Capabilitv Maturitv Model - CMM i Project Management Body of
Knovvledge - PMBOK, Management of Risk - MoR

Potrebe da organizacije proveravaju kako su pozicioni-rane naspram

opte prihvaenih standarda i u odnosu na konkurenciju

(benehmarking)
Iskaza poslovnih analizatora koji preporuuju usvajanje najbolje
prakse, naprimer:
Jaki alati kostura su presudni za osiguranje da su IT resursi
usuglaeni sa poslovnim ciljevima organizacije, i da usluge i
informacije zadovoljavaju potrebe za kvalitetom, poverenjem i
sigurnou...COBIT i ITIL nisu meusobno iskljuivi i mogu biti
kombinovani da obezbede kostur IT servis menadmenta.
Organizacije koje hoe da svoj program upravljanja IT uslugama
stave u kontekst ireg kostura kontrola i upravljanja treba da koriste
COBIT.

Kreiranje svesti o poslovnoj svrsi i dobitima od upotrebe ove

prakse

Podrku pri donoenju odluka o tome koje prakse koristiti i kako

ih integrisati sa internim politikama i procedurama
Prilagoavanje specifinim zahtevima organizacije

Zbog svoje tehnike prirode, IT standard i najbolja praksa je

uglavnom poznata ekspertima - IT

Potrebe da se zadovolje novi zahtevi zakona i propisa za IT

kontrolama u oblastima kao to su privatnost informacija, finansijsko
izvetavanje i dr. (npr. US Sarbanes-Oxley Act) i u specifinim
sektorima kao to su finansije, farmacija i zdravstvena zatita.

OGC
OGC je organizacija UK vlade odgovrna za nabavke i poboljavanje
efikasnosti u javnom sektoru. OGC je proizveo uputstva najbolje prakse,
ukljuujui PRINCE2 (upravljanje projektom), MSP (Upravljanje uspenim
programi-ma) i ITIL (Upravljanje IT uslugama).
ITIL je ve dvadesetak godina prihvaen kao standard najbolje prakse i
osnova je za BS 15000, nedavno zamenjen sa ISO/IEC 20000:2005
standardom za upravljanje uslugama. www.oqc.qov.uk
ITGI
ITGI is a neprofitna istraivaka organizacija, partner sa ISACA
-Information Svstems Audit and Control Association, globalnom
neprofitnom profesionalnom organizacijom fokusiranom na upravljanje IT,
osiguranje i sigurnost, sa vie od 47,000 lanova u vie od 140 zemalja,
Srbija nije lan.
ITGI je preuzeo razvoj i objavlji-vanje COBIT, otvorenog standarda i kostura
kontrola i najbolje prakse za upravljanje sa IT, www.itqi.org, www.isaca.org
itSMF
IT Service Management Forum
(itSMF) je jedina internacionalno prepoznata nezavisna organizacija
posveena upravljanju IT usluga. To je neprofitna organizacija,
potpuno u vlasnitvu i upravljana od strane lanstva.
itSMF ima veliki uticaj na i doprinos industriju 'najbolje prakse' i na
IT standarde delujui kao partner vladinim organizacijama i telima
za standardizaciju irom sveta.
www.itsmf.com

YUSQ ICQ 2006 - International Journal "Total Oualitv Management & Excellence". Vol.34. No. 1-2. 2006.

profesionalcima, menaderima i savetnicima - koji ih mogu usvojiti i

koristiti sa dobrom namerom ali potencijalno bez poslovnog fokusa ili
bez kupevog ukljuivanja i podrke.

43 knjige, koje su nakon deset godina upotrebe revidirane po sadraju i

obimu tako da drugo izdanje ITIL, izdato krajem 1990-tih, ima sedam
tomova. Neposredno posle toga, u potpunosti zasnovani na ITIL,
izdata su dva standarda BS 15000-1, -2, koji su na visokom nivou
specificirala zahteve i najbolju praksu upravljanja IT uslugama,
respektivno. Krajem 2005-te BS 15000 je zamenjen sa ISO/IEC
20000-1, -2, sa neznatnim editorijalnim i strukturnim izmenama.

ak i u organizacijama gde su implementirane prakse kao to

COBIT i ITIL, neki poslovni menaderi vrlo malo razumeju realnu
svrhu tih praksi i nisu sposobni da utiu na nju. Slika 1 ilustruje
redosled poteza u uspostavljanju ITGovernance". Ako se prisetimo
zahteva ISO 9001, primenjivih na bilo koju organizaciju, neovisno od
provredne delatnosti i veliine, i ovde je odran prirodan sled stvari:
najvie rukovodstvo mora utvrditi strateke ciljeve organizacije,
potom sledi utvrivanje politike i strategije postizanja. Da bi shvatili
punu vrednost, kupci IT usluga trebaju biti ukljueni, poto efektivna
upotreba IT treba biti zajedniko iskustvo nastalo izmeu kupca i
internog i eksternog isporuioca usluga (servis provider), sa ulogom
kupca da utvruje i ugovara zahteve za IT usluge. Druge interesne
strane, kao to mogu biti odbor direktora, odgovorno rukovodstvo,
auditori i regulatoma tela, takoe imaju steena prava u ili prijemu ili
obezbeenju osiguranja da e IT investicija biti odgovarajue
zatiena i da e isporuiti planiranu vrednost. Tabela 1 sumira ko
ima interes kako IT standardi i najbolja praksa mogu pomoi u
adresiranju IT menadment pitanja.

Jedan od sedam tomova posveen je "Securitv Management" u

kojem OGC identifikuje mnoge od realno prisutnih rizika, tako da
menaderi i IT specijalisti ne moraju da ponovo otkrivaju toak,
dovoljno je da prihvate daje najbri put do pouzdanih informacija o
predmetu od interesa sadran u standardima i najboljoj praksi.

3.2

ISO/IEC 17799&27001

Kodovi prakse IT sigurnosti, razvijeni inicijalno kao jedna od IT

disciplina, dokumentovani u ITIL, bili su osnova za razvoj BS 7799-1,
-2, u kojima je specificirana najbolja praksa i zahtevi za sistem
menadmenta sigurnosti informacija, respektivno. Ova dva standarda
su tokom 1990-tih doivela nekoliko izdanja i najpre je najbolja praksa
u zatiti informacija dobila svoj ISO naslov. Izdanje ISO/IEC
17799:2000 zamenjeno je sa ISO/IEC 17799:2005, uz znaajne
editorijalne izmene. Specifikacija zahteva za sistem menadmenta
sigurnosti informacija je tek prole godine dobila svoje ISO izdanje.
ISO je za sigurnost informacija rezervisao seriju 27000. Serija, pored
ve objavljenih naslova, treba da obuhvati renik, menadment
rizikom, i jo nekoliko naslova vezanih za sigurnost informacija; vie
pouzdanih informacija nije raspoloivo na ISO sajtu. Neovisno o tome
to je razvoj standarda za sigurnost informacija prela sa nacionalnog
(BS) na internacionalni (ISO) nivo, poetkom 2006.g. objavljen je BS
7799-3,
Menadment
3.2 ISO/IEC 17799&27001
rizikom
sigurnosti
informacija
Kodovi prakse IT sigurnosti, r; jedna
od IT disciplina, dokument osnova za
razvoj BS 7799-1, -2, u najbolja praksa i
zahtevi za sistem rr informacija, respektivno.
Ova dva 1990-tih doivela nekoliko izdanja
praksa u zatiti informacija dobila s\
ISO/IEC 17799:2000 zamenjeno je s uz
znaajne editorijalne izmene. Sf sistem
mcnadmenta sigurnosti infi godine dobila
svoje ISO izdanje, informacija rezervisao
seriju 270C objavljenih naslova, treba da
obuhvj rizikom, i jo nekoliko naslova
informacija; vie pouzdanih informai ISO
sajtu. Neovisno o tome to j sigurnost
informacija prela sa internacionalni (ISO)
nivo, poetkoi BS 7799-3, Menadment
rizikom sig

3. ZATO JE VANA NAJBOLJA PRAKSA?

Efektivna upotreba IT je kritina za uspeh strategije organizacije,
kao stoje ilustrirano u sledeem citatu1: Upotreba IT ima potencijal da
bude pokretaka snaga ekonomskog prosperiteta a 2T' stoljeu. Poto
je ionako kritina za uspeh organizacije, obezbeujui mogunosti
postizanja kompetitivne prednosti i nudei sredstva za poveanje
produktivnosti, ona e imati tu ulogu ak i u veoj meri u budunosti.
Zahtevi

IT takoe nosi rizike. Jasno je da dananje poslovanje u globalnim

okvirima tokom celog dana je takvo da je neraspoloivost sistema i
mrea postalo suvie skupo za bilo koju organizaciju. U nekim
industrijama, IT je neophodan resurs koji izdvaja i obezbeuje
kompetitivnu prednost organizacije, a u nekim drugim od
fimkcionisanja IT ovisi ne samo prosperitet nego i opstanak o
organizacije.

Smernicc
Ciljevi
kontrola
(IT strategiju i Politika)

Strateki Ciljevi

Poslovanje
Narastajue, upotreba standarda i najbolje prakse, kao stoje ITIL,
CobiT i ISO 17799, je pokretana poslovnim
Odgovornosti
zahtevima za poboljane performanse,
transparentnost vrednosti i poveanu kontrolu IT
aktivnosti.
Gcvernance

3.1ITIL
Vlada UK je jo krajem 1980-tih prepoznala znaaj najbolje IT
prakse za podrku svojim procesima i poslovanju i sponzorisala preko
svojih agencija razvoj najbolje prakse da bi vodila upotrebu IT u
vladina odeljenja. Ova praksa je danas postala de facto svetski
standard i za privatni i za javni sektor. U razvoju ITIL uestvovali su
eksperti IT industrije, konsultanti i praktiari. ITIL dokumentuje
najbolju praksi upravljanja IT uslugama. Prvo izdanje ITIL sadralo je
1

ITGI, Board Briefing on IT Governance, 2nd Edition, 2003

3

YUSQ ICQ 2006 - International Journal "Total Oualitv Management & Excellence". Vol.34. No. 1-2. 2006.

T
Informacijo poslovnim
potrebama o postizanju
njihovih ciljeva

Informacije (IT
kontrole, rizik i
osiguranje)

YUSQ ICQ 2006 - International Journal "Total Oualitv Management & Excellence". Vol.34. No. 1-2. 2006.

IT Governance
Slika I, Model toka informacija u COBIT

YUSQ ICQ 2006 - International Journal "Total Oualitv Management & Excellence", Vol.34, No. 1-2, 2006.
(autor ga nije jo nabavio). Tabela l - Interesne strane u pitanjima oko IT
standarda i najbolje prakse
Ko ima primarni interes?
O
o
o

Pitanja
za
najvie
rukovodstvo u vezi IT
standarda i najbolje IT
prakse
(za
sn
ov
an
a
na
C
O
BI
T
ko
stu
ra)
W
.2

2
c

Upra
vljanje
rizicima je
odavno
identifoko
vano kao
obavezna
menadm
ent
disciplina,
o
emu
svedoi
drugo
izdanje
standarda
AS/NZS
4360:2004
Risk
Managem
ent
i
pripadaju
a
HB436:20
04
uputsva smernice
za
menadm
ent
rizikom.
Opti
pristup
bilo kom
riziku
specificira
n
ovim
standardo
m moe
6

biti
od
interesa
bilo
kojem
rukovodio
cu,
ukljuuju
i i IT
projektant
e
i
menader
e, za koje
verujem
da e se
radije
opredeliti
za
BS
77992:2006.
Osnovna
poruka
ovog
pasusa bi
trebala da
bude da je
centralna
disciplina
u zatiti
informacij
a
upravljanj
e rizicima,
poev od
stratekog
,
preko
taktikog
do
operativni

YUSQ ICQ 2006 - International Journal "Total Oualitv Management & Excellence", Vol.34, No. 1-2, 2006.
Planiranje i organizacija

Da li su IT i poslovna strategija uravnoteeni?

Da lije organizacija postigla optimum upotrebe svojih resursa?

Da li svi u organizaciji razumeju IT ciljeve?

s
s

Da li su rizici identifikovani, procenjeni i upravljani?

Da li kvalitet IT sistema odgovara poslovnim potrebama?

Nabavka i implementacija

Da lije verovatno da e novi projekti isporuiti reenja koja zadovoljavaju poslovne potrebe?
Da li je verovatno da e novi projekti biti zavreni na vreme i u okviru budeta?

Da li e novi sistemi funkcionisati kako je projektovano?

Da li e promene nastale instalacijom novog sistema poremetiti postojee poslovne operacije?
Isporuka i podrka

Da li su IT usluge isporuene u skladu sa poslovnim zahtevima i prioritetima?

Da li je cena IT optimizirana?

Da li su zaposleni u stanju da koriste IT sisteme produktivno i sigurno?

Da lije uspostavljena adekvatna poverljivost, integritet i raspoloivost informacija?

Nadzor
Da li se mogu meriti performanse IT. i mogu li se problemi detektovati pre nego je prekasno?

</

Da li je nezavisno osiguranje potrebno da se osigura da kritine oblasti funkcioniu kako je nameravano?

h nivoa. Poto rezultati mera

preduzetih u zatiti informacija nisu
vidljivi, naprotiv najee su vidljivi
propusti, nije lako doneti/donostiti
odluke u vezi nivoa trokova koje
organizacija mora/treba podneti. Jedan
od moguih odgovora je korienje
COBIT. Disciplina koja je u fokusu
panje organizacija koje dre do sebe
je Disaster recoverv". Cena provere
kree se u ciframa sa Scst nula, a
centralna taka seta mera i kontrola je
upravljanje rizikom.

3.3 COBIT
ISACA je ranih 1990-tih
prepoznala da auditori15, koji su imali
svoje sopstvene ek liste za ocenu IT
kontrola i efektivnost, koriste razliit
renik u odnosu na poslovne
menadere i IT praktiare. Kao
odgovor na ovaj komunikacijski
raskorak, kreiran je CobiT kao kostur
IT kontrola za poslovne menadere, IT
menadere i auditore zasnovan na
generikom setu IT procesa znaajnih
IT osoblju i, narastajue, poslovnim
menaderima. Cilj ISACA u razvoju
CobiT-a je bio da istrai, razvije,
publikuje
i
promovie
jedan
autoritativni,
savremen,
internacionalni set opte prihvaenih
ciljeva IT kontrola za svakodnevnu
upotrebu
od
strane
poslovnih

menadera i auditora. CobiT je

relativno detaljan u odnosu na ciljeve
IT kontrola, i njegova iroka
usvojenost od strane IT auditora ini
CobiT
idealnim
okvirom
za
adresiranje usaglaenosti sa zakonima
i drugim propisima.
Najbolje prakse u CobiT su opti
pristup dobroj IT kontroli -implementiranoj od poslovnih i IT
menadera, i proveravanoj na istoj
osnovi od strane auditora. I998.g.
ISACA je osnovala poseban institut,
IT Governace Institute, da bi
intenzivirala razvoj CobiT-a, ostvarila
bolju komunikaciju sa korisnicima
dokumenta, posebno sa lanovima
upravnih odbora. Postoje rcnik
koricn u CobiT razliit od ISO
renika, potrebno je pojasniti ta u
15

posl
ovan
ja,
kr
ae,
k
azne
,
s
udsk
i
post
upci,
itd.
Inte
rne

P
r
e
v
e
n
ti
v
e
k
o

auditor = revizor, finansijski revizor, proverava

CobiT podrazumevaju pod control".

Interne kontrole su procesi,
procedure,
praksa,
politike
i
organizacijske strukture kojima se
upravlja poslovnim aktivnostima i tite
dobra na nain da se izbegnu rizici po
organizaciju.
Rizik je verovatnoa da e
poslovne aktivnosti imati negativan
ishod, ukljuujui:
gubitke prihoda,
gubitak poslovnog imida,
prekid u kontinuitetu
7

vie
takvih
negativnih
ishoda.
Postoje tri
tipa
internih
kontrola:

kontrole
su
mehanizm
i kojima
se
poslovanj
e
postavlja
tako da se
reducira smanji
rizik
jednog ili

n
tr
ol
e
s
u
n
a
m
e
nj
e
n
e
s
p
e

YUSQ ICQ 2006 - International Journal "Total Oualitv Management & Excellence", Vol.34, No. 1-2, 2006.
e ili smanje verovatnou
sigurnou, i druge procese
najbolje
CobiT je
pojave pojedinih negativnih
koji se odnose na izvravanje
prakse su
da
ovaj
ishoda.
IT.
dokument
model
Kontrole detekcije su
Nadzor
(Monitoring)
ovane
i
najbolje
namenjene za detekciju i
ukljuuje procese za regularnu
representu
prakse ve
izvetavanje o pojedinom
proveru IT procesa i njihove
ju
usaglaen
negativnom ishodu koji je
efektivnosti u postizanju
nastao.
akumulira
sa
relativnih ciljeva IT kontrola.
no
standardi
Korektivne kontrole su
CobiT identifikuje i specificira
iskustvo
ma i sa
namenjene da minimiziraju,
ukupno 34 IT procesa Za svaki proces
otklone, i koriguju
stotina IT
Sarbanes(high-level
process),
CobiT
pojedinane negativne ishode
profesiona
Oxley
obezbeuje set ciljeva kontrole sa
koji su se pojavili.
laca,
Act-om.
pridruenom praksom da bi ublaio
Efektivnost primenjenih kontrola
auditora, i
Ovo
rizik koji se odnosi na efektivnost,
zavisi od kontro-lisanja
rizika
business
podrazum
efikasnost, poverljivost, integritet,
sadranog u upotrebi IT korienih za
menader
eva daje
raspoloivost,
usaglaenost
i
implementaciju poslovnih aplikacija.
a. (Free
ne samo
pouzdanost IT sistema.
download,
vredan
Danas se bilo koja organizacija
available
alat
za
susree sa nizom kompleksnih
Sumarno, IT resursima se
to you at
vae
problema u upravljanju poslovnim
upravlja preko IT procesa radi
no cost.)
interno
procesima i upravljanju sigurnosti
postizanja ciljeva koji odgovaraju
Umesto
upravljanj
informacija potrebnih organizaciji.
Poslovnim zahtevima. Ovaj bazni
da
e sa IT,
Efektivna upotreba odgovarajuih
princip COBIT okvira je ilustrovan
otponete
nego
alata i metodologija jeste nuna i
o nule na
moe,
zahteva odgovarajue znanje, vetine i
takoe,
disciplinu u primeni, no utvreno je
biti
da, naalost, veina problema u vezi sa
korien
sigurnou informacija dolazi iznutra,
od strane
tj. od zaposlenih u organizaciji koji
auditora i
ve imaju odgovarajua prava pristupa
drugih
tim informacijama. Optimizovana
treih
upotreba IT resursa i redukcija rizika
strana u
nisu tehniko-tehnoloko pitanje ve
proceni
menadment pitanje. Glavni rizici IT
vaeg
na taktikom nivou mogu biti:
uspeha u
Promaeni projekti - pogrene
implement
investicije
aciji
Neuspeli projekti
kontrolnih
Procesi
struktura.
Naruavanje sigurnosti
Sutra i nas
Padovi sistema
ovo eka,
Pogreke od strane servis
budite
Posl
provajdera u razumevanju i
Aktivnosti
spremni.
adhoc
zadovoljavanju zahteva kupca

ovni
zaht
evi

CobiT razvrstava IT procese u

etiri kategorije (domena):

Planiranje i Organizacija
(Planning and Organization)
ukljuuje
procese
za
planiranje
i
dizajn
organizacije
namenjene
postizanju poslovnih ciljeva
organizacije. Ovaj domen
obuhvata i procenu rizika.
Akvizicija i Implementacija
(Acquisition
and
Implementation) ukLjuuje
procese koji se odnose na
akviziciju i razvoj IT reenja i
menadment promenama tih
reenja tokom vremena.
Isporuka
i
Podrka
(Deliverv and Support)
ukljuuje procese koji se
odnose na aktuelne isporuke
IT usluga organizaciji. Ovaj
domen ukljuuje procese za
mendment problemima i
incidentima,
menadment

ouo

o.
r-

S
lika
3,
Cobi
T
kock
a
COBI
T
kock
om,
slika
4.
4. COBIT - VANE DOBITI
Koje su dobiti od upotrebe
COBIT-a? Prve dve, dostupne i nama,
su novac i vreme. Procedure i uputstva
8

osnovi,
CobiT
vam
donosi
znanje i
kompletan
okvir sa
informacij
ama
o
ciljevima i
koracima
koje treba
slediti to
minimizir
a moguu
konfuziju
oko
ciljeva.
Tre
a
vana
dobit koju
nudi

etv
rta vana
dobit
je
vaa
sposobnos
t
da
razmenjuj
ete
sa
dmgim
organizaci
jama
uputstva
kontrola i
informacij
e
o
procesu
auditiranja
u CobiTovom
kosturu i
iskustva

YUSQ ICQ 2006 - International Journal "Total Oualitv Management & Excellence", Vol.34, No. 1-2, 2006.
vajcarskoj banci uz podcijeni prezir
upotrebe u vaem sopstvenom
javnosti. No vremena se menjaju, ne
poslovnom okruenju. Da bismo bili
samo sa stanovita pristupa drave
ravnopravni sa ostalima morali bi i u
ovoj problematici, mnoge organizacije
naoj sredini osnovati ISACA
su sposobne za integraciju sa
podrunicu.
inostranim kompanijama, koje e u
5. ZAKLJUAK
procenjivanju
naih
organizacija
koristiti, verovatno, iste principe
1 na kraju odgovor na pitanje: A
interne kontrole kao i u svojoj
zato bi se u naem okruenju neko
matinoj dravi. K.ako se uklopiti u
baktao sa svim ovim kontrolama i
sistem koji funkcionie na nepoznat
standardima? U USA je odgovor prost,
nain, kako stei uverenje da drite
SOX usaglaenost se ne moe postii
uzde u ruci i da ste osposobljeni da
bez primene napred navedenog. Samo
upravljate svojom kompanijom?
je teroristiki napad sa pretnjom
nacionalnoj bezbednosti stroi po
Nadam se daje ovaj rad pobudio
sankcijama od SOX, a odgovorni za
Vae intcrcsovanjc da postavite slina
naene neusaglaenosti su pre svega
pitanja i potraile odgovore, hitno.
izvrni direktori organizacija.
Ako vama ne treba, izvesno je da e
trebati dravi. Pritom imajte na umu i
praksu uvoenja novih propisa, dok je
Literatura:
u USA period za pridravanje HIPPA
[ 1 ]. Aligning COBIT, ITIL and
bio dve godine, kod nas je nedavni
ISO 17799 for
prelazak na novi nain izvetavanja o
Business Benefit, A
realizovanim zdravstvenim uslugama
Management Briefing
(obavezna upotreba IT i Web) bio
from
manje od ..........., ne usuujem se rei,
ITGI and OGC
poznavaoci oblasti
(www.isaca.org) [2]. CobiT 4.0.
zdravstvene zatite prepoznae o emu
Control Objectives, Management
je re.
Guidelines, Maturitv
Models (www.itgi.org) [3]. S.
Lisse: Menadment rizikom [5]. Securitv Management,
ta je to?",
ITIL Managing IT
asopis "Kvalitet" br. 1services, OGC, TSO ,
2/03. [4]. S. Lisse: Usluge u
1999-2005, ISBN 0 11
lnformacionim
330014 x,
tehnologijama [6]. ISO/IEC 20000-1:2005, IT
odravanje IT
service managemcnt
infrastrukture,
Part 1: Specification
JUSK2005
for information
Kod nas, dui niz godina ima niz
technologv service
slinih primera koji obuhvataju mnoge
management
organizacije u kojima je na
[7]. ISO/IEC 20000-2:2005, IT
neobjanjiv i nedokaziv nain (drava
service management
nije
obezbedila
funkcionisanje
Part 2: Code of
adekvatnih
kontrola)
poslovanje
practice for service
dovedeno do bankrota da bi bile
management
prodate/privatizovane za cenu desetine
[8]. ISO/IEC 17799:2005
vrednosti. Ono to je u dragim
Information
dravama kriminalni prekraj broj
technologv Securitv
jedan: utaja poreza", kod nas je
techniques Code of
uobiajen postupak koji se zavrava
practice for information
sticanjem podebelog rauna u nekoj
securitv