COBIT 4.1 co nowego

IT Governance Institute wydał nową, rozbudowaną wersję standardu COBIT, obejmującego zbiór celów kontrolnych zarządzania informatyką w przedsiębiorstwie.

IT Governance Institute wydał nową, rozbudowaną wersję standardu COBIT, obejmującego zbiór celów kontrolnych zarządzania informatyką w przedsiębiorstwie.

Information Systems Audit and Control Association opublikował pierwszą wersję standardu COBIT (Control OBjectives for Information and related Technology) w 1996 r. Głównym założeniem przy jego tworzeniu było opracowanie spójnego i przejrzystego modelu ramowego zarządzania , adresowanego do menedżerów, audytorów i użytkowników technologii informatycznych. Od 1998 r. COBIT jest rozwijany przez IT Governance Institute stworzony przez ISACA, którego misją jest propagowanie wiedzy i standaryzacja zarządzania w dziedzinie technologii IT.

W maju 2007 r. światło dzienne ujrzał najnowszy, bardziej rozbudowany COBIT w wersji 4.1. Obecnie COBIT składa się z opisu procesów zarządzania IT, szczegółowych celów kontrolnych dla tych procesów, działań w nich podejmowanych wraz z wzorcowym podziałem ról i obowiązków, modelu pomiaru skuteczności i efektywności, powiązań pomiędzy procesami oraz modelu dojrzałości. Wraz ze standardem ITGI opublikował wiele dokumentów, które stanowią kompendium wiedzy nowoczesnego menedżera w dziedzinie zarządzania informatyką.

Opis standardu

COBIT jest standardem zorientowanym biznesowo. Łączy cele biznesowe z celami IT. Dostarcza modelowych wskaźników wydajności i modeli dojrzałości. Wskazuje na wzorcowy zakres odpowiedzialności właścicieli procesów biznesowych i IT. Model ramowy zarządzania IT zawarty w standardzie COBIT odwzorowany jest poprzez naturalny cykl zarządzania. Takie podejście zapewnia postrzeganie IT w szerokiej perspektywie biznesowej. Zawarta w standardzie koncepcja architektury przedsiębiorstwa pozwala na umiejętne zarządzanie dostępnymi zasobami, takimi jak: aplikacje, informacje, infrastruktura oraz personel.

Standard COBIT stanowi zbiór najlepszych praktyk zarządzania podzielonych na 4 domeny, 34 procesy zarządzania i szczegółowy opis każdego z tych procesów oraz 214 celów kontrolnych, służących do budowy sprawnych, skutecznych i efektywnych procesów. Katalog procesów zawarty w COBIT oraz sposób ich organizacji ma za zadanie realizować wymogi biznesowe dotyczące jakości, wiarygodności i bezpieczeństwa informacji. Wymogi te w COBIT zdefiniowane są za pomocą siedmiu szczegółowych cech informacji, które powinny być zapewnione przez IT:

  1. Skuteczność - zapewnia, że informacja jest właściwa, trafna i odnosi się do procesu biznesowego oraz jest dostarczona na czas we właściwy, spójny i użyteczny sposób.
  2. Efektywność - pozwala na zapewnienie, że informacja jest dostarczona w sposób optymalnie wykorzystujący dostępne zasoby.
  3. Poufność - chroni informację przed nieuprawnionym dostępem.
  4. Integralność - obejmuje dokładność i kompletność informacji, jak również jej ważność i słuszność.
  5. Dostępność - zapewnia, że informacja jest dostępna wtedy, gdy wymaga tego proces biznesowy.
  6. Zgodność - dotyczy zgodności z przepisami prawa, regulacjami wewnętrznymi i zobowiązaniami umownymi, którym podlega proces biznesowy.
  7. Rzetelność - pozwala na zapewnienie, że informacja niezbędna do zarządzania jest wiarygodna i kierownictwo może na niej polegać podejmując decyzje w zarządzaniu.

COBIT: jak korzystać

Każdy kto sięga po COBIT zadaje sobie pytanie, jak z niego korzystać. Odpowiedź brzmi... jak najwięcej. Sposób korzystania ze standardu zależy jednak od celu, który chcemy osiągnąć. Wśród wielu kwestii, z którymi zmagają się menedżerowie, są takie, na które COBIT odpowiada wprost - wystarczy sięgnąć do opisu konkretnego procesu zawartego w standardzie i wdrożyć modelowe rozwiązania, np. PO9 - Ocena i zarządzanie ryzykiem IT, AI6 - Zarządzanie zmianami itp. Złożone zagadnienia wymagają jednak kompleksowego podejścia i wykorzystania standardu w bardziej zaawansowany sposób.

Pomiar skuteczności i efektywności

Cele, wskaźniki oraz sposób ich pomiaru są zdefiniowane w COBIT na trzech poziomach:

  • Cele i wskaźniki IT określające oczekiwania biznesowe.
  • Cele i wskaźniki określające, jaki powinien być wynik procesu dla wsparcia celów IT.
  • Cele i wskaźniki poszczególnych działań w procesach określające, jaki powinien być przebieg procesu, aby osiągnąć wymagany poziom wydajności procesów.

Dzięki takiej konstrukcji możliwy jest pomiar skuteczności i efektywności na każdym poziomie organizacji, wychodząc od celów biznesowych, a na poszczególnych działaniach kończąc. Pozwala to na włączenie obszaru IT do kompleksowego systemu pomiaru obowiązującego w organizacji oraz identyfikacji i oceny poszczególnych komponentów procesu zarządzania. Rozbudowując ten model o wskaźniki finansowe (w oparciu o COBIT), można dokonać analizy wartości dostarczanej przez IT dla organizacji i zoptymalizować wykorzystanie dostępnych zasobów.

W bibliotece COBIT znajdziemy:

Board Briefing on IT Governance, 2nd Edition

Pozwala kierownictwu zrozumieć znaczenie IT Governance, na czym polega oraz jaka jest rola kierownictwa w zarządzaniu IT.

IT Governance Implementation Guide: Using COBIT and Val IT, 2nd Edition

Stanowi przewodnik wdrożeniowy IT Governance z wykorzystaniem COBIT i Val IT.

COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition

Dokument stanowiący odpowiedź na pytanie, dlaczego spójny system kontroli wewnętrznej jest ważny i wart wdrożenia oraz zawierający wytyczne do jego wdrożenia.

IT Assurance Guide: Using COBIT

Zbiór wskazówek, taki jak COBIT, może wspierać różnorodne inicjatywy zapewniające prawidłowość zarządzania IT, w tym audyt IT.