Yliopistojen IT

Yhteystiedot

IT UNIVERSITAS

Yhteistyötahot

Ohjeet, säännöt

Tapahtumat

Yhteistoiminta

Linkit

Vinkkinurkka

Päivitetty viimeksi 31.1.2007

Takaisin sisällysluetteloon
IT Universitas nro 1 / 31. tammikuuta 2007

COBIT-malli tietohallinnon kehittämiseen

Kari Pohjola, CISM, CISA

IT Governance Institute’n kehittämä COBIT-malli on saanut kansainvälisesti laajaa huomiota ja suosiota tietohallinnon, -järjestelmien ja -tekniikan saralla. Laaja tutkimustyö, aihepiirin muiden mallien (mm. ITIL, ISO/IEC 27001 ja 17799,
CMM, COSO) yhteensovittaminen ja kansainvälinen hyväksyntä ovat tehneet COBITista ns. de facto -standardin.

Kari Pohjola
Kuva: Jussi Taipale/AdOffice

KUVIO 1. COBIT on ylätason kokoava sateenvarjomalli, joka pyrkii kattamaan koko tietohallintoon liittyvän johtamisen, hallinnan ja valvonnan. Se ei siten korvaa, vaan täydentää rajatumpiin osa-alueisiin tai näkökulmiin keskittyviä muita malleja ja standardeja. (COBIT Mapping, 2006)

 

Tarve hyville käytännöille myös tietohallinnossa

Hyvä johtamis-, hallinto- ja valvontatapa ohjaa toimintaa niin, että se on pitkäjänteisesti hyväksyttävää ja mielekästä yhteiskunnan, omistajien, johdon ja henkilöstön kannalta. 1990-luvulla COSO-mallilla luotiin laajasti hyväksytty sisäisen valvonnan perusta. Sisäinen valvonta on johdon organisoima prosessi, jolla tuotetaan riittävä varmuus toiminnan asianmukaisuudesta, vaikuttavuudesta, tehokkuudesta, vaatimustenmukaisuudesta ja taloudellisen informaation luotettavuudesta.

Eettisesti hyväksyttävät toimintatavat eivät enää perustu pelkästään vapaaehtoisuuteen. Corporate Governance, hyvä hallintotapa, nousi käsitteenä pinnalle vuosituhannen vaihteessa esille tulleiden kirjanpitoepäselvyyksien ja -rikosten kautta. Erityisesti kyse oli taloudellisen informaation luotettavuudesta. Kun USA:ssa tuli 2002 voimaan Sarbanes-Oxley -laki, se täsmensi erityisesti taloudellista raportointia koskevaa toimintaa ja valvontaa mm. pörssiyhtiöiden osalta. Listayhtiöiden johdon on mm. vuosittain annettava arvio ja lausunto sisäisen valvonnan tilasta. Vastaavat velvoitteet kuuluvat nykyisin meilläkin tilinpäätöskäytäntöön.

Mutta mitä tekemistä tällä kaikella on IT-toiminnan kanssa? IT on mukana useissa prosesseissa yhtenä erottamattomana ja kriittisenä osana – niin itse toiminnan kuin sen valvonnan ja mittaamisenkin mahdollistajana. Mm. kasvavat tietomäärät, järjestelmien väliset kytkennät, laskennan monimutkaisuus ja käsittelyn nopeusvaatimukset ovat johtaneet tähän. Vaatimusten vain kasvaessa on kasvanut myös riippuvuus tietojärjestelmistä. Siksi organisaatioiden johdolla ei pitäisi olla varaa siihen, että IT-asiat jätetään yksinomaan IT-asiantuntijoille. Tästä lähtökohdasta on syntynyt IT Governance -käsite. Myös IT:ssä tarvitaan hyvää johtamista, hallintoa ja valvontaa. IT Governance on johdon vastuulla oleva toimintatapa, johon kuuluu johtajuutta, organisointia ja prosesseja, joilla varmistetaan, että IT tukee ja täydentää organisaation strategioita ja tavoitteiden saavuttamista. COBIT-malli (Control Objectives for Information and Related Technology) on nimenomaisesti IT Governance -malli.

 

Kehittyvä malli

COBIT-mallin perusajatuksena on, että varsinaisen toiminnan vaatimukset otetaan huomioon tietotekniikkaprosesseissa ja resursoinnissa siten, että saadaan aikaan vaatimukset täyttävät tulokset. Johtamisen kannalta olennaista on pitää toiminta oikeilla uomillaan ja COBITissa on tämän helpottamiseksi kuvattu kriittiset menestystekijät, ongelmaindikaattorit, tavoiteindikaattorit ja suorituskykyindikaattorit. Lisäksi on huolehdittava eri osapuolten "asiakastyytyväisyydestä". Tarvittavien tuloskorttien laatimiseksi COBITissa on kuvattu mallitavoitteet ja -mittarit. Sopeutumisessa tekniseen kehitykseen ja vertaisorganisaatioiden toimintatapoihin voidaan hyödyntää COBITin kypsyystasoja kriteereineen. COBITin kohderyhmä on poikkeuksellisen laaja. Malli antaa organisaation johdolle tietoa siitä, miten varsinaisen toiminnan ja IT-toiminnan välistä rajapintaa voidaan johtaa ja hallita. Käyttäjäorganisaatiolle malli kertoo, mitä kannattaa vaatia ja ottaa huomioon palveluita hankkiessaan. Palvelun tuottajille (sisäiset ja ulkoiset) malli kertoo vastaavasti, miten palvelut kannattaa rakentaa, jotta ne olisivat laadukkaita. Arvioijille puolestaan esitetään, miten varmennetaan toiminnan ja palveluiden laatu, turvallisuus ja tehokkuus.

COBIT-mallin taustalla ovat ISACA (Information Systems Audit and Control Association) ja nykyisin ITGI (IT Governance Institute). Mallin ensimmäinen versio vuodelta 1996 oli ensisijaisesti tietojärjestelmätarkastajien työkalu. Toiseen versioon lisättiin tietotekniikkaprosessien hyvät käytännöt ja kontrollitavoitteet. Kolmanteen versioon saatiin jo em. prosesseihin liittyvät mittarit ja kypsyystasomalli. Uusin 4.0-versio julkaistiin vuoden 2005 lopussa sisältäen kaikki keskeiset IT Governance -elementit: strateginen yhteensovittaminen, lisäarvon tuottaminen, resurssien hallinta, riskien hallinta ja suorituskyvyn mittaaminen. Laaja tutkimustyö, aihepiirin muiden mallien (mm. ITIL, ISO/IEC 27001 ja 17799, CMM, COSO) yhteensovittaminen ja kansainvälinen hyväksyntä ovat tehneet COBITista ns. de facto -standardin.



Kattava sateenvarjo

Tärkeitä valvontanäkökulmaa tukevia hyveitä ovat mm. vaikuttavuus, tehokkuus, taloudellisuus, vaatimustenmukaisuus, luotettavuus, luottamuksellisuus ja käytettävyys. Kaikki nämä on pyritty huomioimaan myös COBIT-mallissa. Keskeiset hallittavat resurssit ovat informaatio eri muodoissaan, sovellukset, tietojenkäsittelyn infrastruktuuri ja tietysti palveluita tuottavat henkilöt. Tietotekniikkaprosessit ja tehtäväalueet on mallissa jaettu yleisen tehtävien organisoinnin mukaisesti neljään lohkoon: suunnittelu (plan), rakentaminen (build), tuotanto (run) ja arviointi (monitor). Lähestymistapa on myös sukua ns. PDCA-syklille (plan-do-check-act).

Suunnittelu ja organisointi -osiossa malli käsittelee otsikkotasolla seuraavat tehtäväalueet: strateginen suunnittelu, tietoarkkitehtuurit, tekniset arkkitehtuurit, organisointi, investoinnit, viestintä, henkilöresurssit, laatu, riskit ja projektit. Mallin esittämillä keinoilla voidaan mm. edesauttaa varsinaisen toiminnan ja IT:n yhteensovittamista, hyötyjen optimointia sekä riskien ymmärtämistä ja hallintaa.

Strategian toteuttamiseksi tarvitaan vaatimukset täyttäviä järjestelmiä. Hankinta ja toteutus -vaiheen prosessit pureutuvat esitutkimukseen, sovellusten ja infrastruktuurin kehittämiseen ja ylläpitämiseen, käyttöönoton edellytysten rakentamiseen, tarvittavien resurssien varmistamiseen sekä hallittuun muutokseen ja tuotantoon siirtoon.

ITILin kaltaiset palveluprosessit ja toiminnot on koottu kolmanteen ryhmään, tuotanto ja tuki. Siinä käsitellään mm. palvelutasoja, toimittajien hallintaa, suorituskyvyn ja kapasiteetin hallintaa, toiminnan jatkuvuutta ja turvallisuutta, kustannusten hallintaa, koulutusta, käyttäjätukea ja palvelupyyntöjen hallintaa sekä konfiguraation hallintaa.

Viimeinen, neljäs osa-alue kattaa edellä mainittuun kokonaisuuteen liittyvän seurannan ja arvioinnin sekä vaatimustenmukaisuuden varmistamisen. Menettelyillä selvitetään esim. heijastuuko IT:n suorituskyky varsinaisen toiminnan tavoitteiden saavuttamiseen.

 

Missä mennään?

Kypsyystasot ovat ennalta määriteltyjä prosessien profiileja. Kypsyystasomalleissa on kyse prosessin kypsyydestä hallittavuusnäkökulmasta – ei siitä, onko kaikki kontrollit toteutettu. Software Engineering Institute'n ohjelmistokehitykseen ideoima CMM (Capability Maturity Model) on myös COBITin kypsyystasomallin perustana. CMM:n pisteytyksen 1…5 lisäksi COBITissa on mukana myös 0-taso. On täysin mahdollista, ettei jossain organisaatiossa jotain määritellyistä tietotekniikkaprosesseista ole olemassa, eikä sellaiselle ole edes tarvetta.

COBITin yleisen tulkinnan mukaan 0-tasolla prosessia ei ole, eikä sellaisen tarvetta ole tunnistettu. 1-tasolla toimitaan tapauskohtaisesti, reaktiivisesti tilanteen mukaan ja henkilöstä riippuen. Tasolla 2 löytyy jo yhteisiä toimintamalleja. 3-tasolla menettelyt sisältävät ns. hyviä käytäntöjä ja ne on dokumentoitu, jolloin toimintatavat on myös helpompi tarkistaa ja kouluttaa toisillekin. 4-tasolla luodaan jatkuvan parantamisen edellytykset mm. seurannan ja mittauksen avulla. Tasolla 5 edellytetään parhaita käytäntöjä, automatisoituja työkaluja ja vertailupohjaa muihin organisaatioihin. Tämän yleistulkinnan lisäksi COBITissa on täsmennetyt tasokriteerit erikseen kaikkiin mallin kuvaamiin 34 tietotekniikkaprosessiin.

Välimatkat tasojen välillä eivät saa olla liian hienojakoisia, koska se käytännössä tekisi mallin sekavaksi käyttää. Tämänkin mallin ydintarkoitus on tunnistaa heikot kohdat ja priorisoida panostamista vaativat kohdat. COBIT ei ole tarkoitettu kynnysmalliksi, jossa ei saisi siirtyä seuraavalle portaalle, ennen kuin kaikki alemman tason vaatimukset on täytetty. Sen sijaan mallin tulkinta auttaa vastaamaan kysymyksiin: Ollaanko riittävän hyviä? Tehdäänkö tarpeeksi? Mitä pitää tehdä, jotta tilanne olisi parempi?

Mittaamisen tarvitse tiedostetaan hyvin. Usein on kuitenkin vaikea ”keksiä” hyviä mittareita. COBIT-malli esittää laajan kokoelman ehdotuksia mittareista. Ne läpikäymällä voi löytää suoraan omaan toimintaan soveltuvia esimerkkejä tai niiden avulla voi syntyä uusia mittari-ideoita. Mallissa on esimerkkejä tavoiteindikaattoreista (Key Goal Indicators, KGI) ja suorituskykyindikaattoreista (Key Performance Indicators, KPI). KGI kuvaa, onko prosessi saavuttanut tavoitteensa lopputulosten kautta. KPI puolestaan kuvaa prosessin toiminnasta, miten hyvät mahdollisuudet tavoitteiden saavuttamiseen on olemassa.

 

Tutustumisen arvoinen paketti

Asiantuntevasti koottu ja ajantasainen paketti on ehdottomasti työkalu, johon kannattaa tutustua. Vaikka itsellä olisi vankka käsitys hyvästä IT-toiminnasta, on tuskin haitaksi katsoa, mihin asiantuntijat kansainvälisesti ovat asiassa päätyneet. Ja mikä hienoa – mallin saa imuroitua maksutta rekisteröitymällä sivustolla www.isaca.org.

 

Kirjoittaja Kari Pohjola, CISM, CISA, toimii konsulttina tietohallinnon ja -turvallisuuden johtamiseen, hallintaan ja valvontaan keskittyvässä yrityksessä Claritas Security Consulting Oy. Lisätietoja: www.claritas.fi