IT Governance Institute wydał nową, rozbudowaną wersję standardu COBIT, obejmującego zbiór celów kontrolnych zarządzania informatyką w przedsiębiorstwie.

Information Systems Audit and Control Association opublikował pierwszą wersję standardu COBIT (Control OBjectives for Information and related Technology) w 1996 r. Głównym założeniem przy jego tworzeniu było opracowanie spójnego i przejrzystego modelu ramowego zarządzania IT, adresowanego do menedżerów, audytorów i użytkowników technologii informatycznych. Od 1998 r. COBIT jest rozwijany przez IT Governance Institute stworzony przez ISACA, którego misją jest propagowanie wiedzy i standaryzacja zarządzania w dziedzinie technologii IT.

W maju 2007 r. światło dzienne ujrzał najnowszy, bardziej rozbudowany COBIT w wersji 4.1. Obecnie COBIT składa się z opisu procesów zarządzania IT, szczegółowych celów kontrolnych dla tych procesów, działań w nich podejmowanych wraz z wzorcowym podziałem ról i obowiązków, modelu pomiaru skuteczności i efektywności, powiązań pomiędzy procesami oraz modelu dojrzałości. Wraz ze standardem ITGI opublikował wiele dokumentów, które stanowią kompendium wiedzy nowoczesnego menedżera w dziedzinie zarządzania informatyką.

Opis standardu

COBIT jest standardem zorientowanym biznesowo. Łączy cele biznesowe z celami IT. Dostarcza modelowych wskaźników wydajności i modeli dojrzałości. Wskazuje na wzorcowy zakres odpowiedzialności właścicieli procesów biznesowych i IT. Model ramowy zarządzania IT zawarty w standardzie COBIT odwzorowany jest poprzez naturalny cykl zarządzania. Takie podejście zapewnia postrzeganie IT w szerokiej perspektywie biznesowej. Zawarta w standardzie koncepcja architektury przedsiębiorstwa pozwala na umiejętne zarządzanie dostępnymi zasobami, takimi jak: aplikacje, informacje, infrastruktura oraz personel.

Standard COBIT stanowi zbiór najlepszych praktyk zarządzania podzielonych na 4 domeny, 34 procesy zarządzania i szczegółowy opis każdego z tych procesów oraz 214 celów kontrolnych, służących do budowy sprawnych, skutecznych i efektywnych procesów. Katalog procesów zawarty w COBIT oraz sposób ich organizacji ma za zadanie realizować wymogi biznesowe dotyczące jakości, wiarygodności i bezpieczeństwa informacji. Wymogi te w COBIT zdefiniowane są za pomocą siedmiu szczegółowych cech informacji, które powinny być zapewnione przez IT:

1. Skuteczność - zapewnia, że informacja jest właściwa, trafna i odnosi się do procesu biznesowego oraz jest dostarczona na czas we właściwy, spójny i użyteczny sposób.
2. Efektywność - pozwala na zapewnienie, że informacja jest dostarczona w sposób optymalnie wykorzystujący dostępne zasoby.
3. Poufność - chroni informację przed nieuprawnionym dostępem.
4. Integralność - obejmuje dokładność i kompletność informacji, jak również jej ważność i słuszność.
5. Dostępność - zapewnia, że informacja jest dostępna wtedy, gdy wymaga tego proces biznesowy.
6. Zgodność - dotyczy zgodności z przepisami prawa, regulacjami wewnętrznymi i zobowiązaniami umownymi, którym podlega proces biznesowy.
7. Rzetelność - pozwala na zapewnienie, że informacja niezbędna do zarządzania jest wiarygodna i kierownictwo może na niej polegać podejmując decyzje w zarządzaniu.

COBIT: jak korzystać

Każdy kto sięga po COBIT zadaje sobie pytanie, jak z niego korzystać. Odpowiedź brzmi... jak najwięcej. Sposób korzystania ze standardu zależy jednak od celu, który chcemy osiągnąć. Wśród wielu kwestii, z którymi zmagają się menedżerowie, są takie, na które COBIT odpowiada wprost - wystarczy sięgnąć do opisu konkretnego procesu zawartego w standardzie i wdrożyć modelowe rozwiązania, np. PO9 - Ocena i zarządzanie ryzykiem IT, AI6 - Zarządzanie zmianami itp. Złożone zagadnienia wymagają jednak kompleksowego podejścia i wykorzystania standardu w bardziej zaawansowany sposób.

Pomiar skuteczności i efektywności

Cele, wskaźniki oraz sposób ich pomiaru są zdefiniowane w COBIT na trzech poziomach:

• Cele i wskaźniki IT określające oczekiwania biznesowe.
• Cele i wskaźniki określające, jaki powinien być wynik procesu dla wsparcia celów IT.
• Cele i wskaźniki poszczególnych działań w procesach określające, jaki powinien być przebieg procesu, aby osiągnąć wymagany poziom wydajności procesów.

Dzięki takiej konstrukcji możliwy jest pomiar skuteczności i efektywności na każdym poziomie organizacji, wychodząc od celów biznesowych, a na poszczególnych działaniach kończąc. Pozwala to na włączenie obszaru IT do kompleksowego systemu pomiaru obowiązującego w organizacji oraz identyfikacji i oceny poszczególnych komponentów procesu zarządzania. Rozbudowując ten model o wskaźniki finansowe (w oparciu o COBIT), można dokonać analizy wartości dostarczanej przez IT dla organizacji i zoptymalizować wykorzystanie dostępnych zasobów.