COBIT 4.1 co nowego
- Radosław Kaczorek,
- 04.12.2007
IT Governance Institute wydał nową, rozbudowaną wersję standardu COBIT, obejmującego zbiór celów kontrolnych zarządzania informatyką w przedsiębiorstwie.
IT Governance Institute wydał nową, rozbudowaną wersję standardu COBIT, obejmującego zbiór celów kontrolnych zarządzania informatyką w przedsiębiorstwie.
Information Systems Audit and Control Association opublikował pierwszą wersję standardu COBIT (Control OBjectives for Information and related Technology) w 1996 r. Głównym założeniem przy jego tworzeniu było opracowanie spójnego i przejrzystego modelu ramowego zarządzania IT, adresowanego do menedżerów, audytorów i użytkowników technologii informatycznych. Od 1998 r. COBIT jest rozwijany przez IT Governance Institute stworzony przez ISACA, którego misją jest propagowanie wiedzy i standaryzacja zarządzania w dziedzinie technologii IT.
W maju 2007 r. światło dzienne ujrzał najnowszy, bardziej rozbudowany COBIT w wersji 4.1. Obecnie COBIT składa się z opisu procesów zarządzania IT, szczegółowych celów kontrolnych dla tych procesów, działań w nich podejmowanych wraz z wzorcowym podziałem ról i obowiązków, modelu pomiaru skuteczności i efektywności, powiązań pomiędzy procesami oraz modelu dojrzałości. Wraz ze standardem ITGI opublikował wiele dokumentów, które stanowią kompendium wiedzy nowoczesnego menedżera w dziedzinie zarządzania informatyką.
Opis standardu
COBIT jest standardem zorientowanym biznesowo. Łączy cele biznesowe z celami IT. Dostarcza modelowych wskaźników wydajności i modeli dojrzałości. Wskazuje na wzorcowy zakres odpowiedzialności właścicieli procesów biznesowych i IT. Model ramowy zarządzania IT zawarty w standardzie COBIT odwzorowany jest poprzez naturalny cykl zarządzania. Takie podejście zapewnia postrzeganie IT w szerokiej perspektywie biznesowej. Zawarta w standardzie koncepcja architektury przedsiębiorstwa pozwala na umiejętne zarządzanie dostępnymi zasobami, takimi jak: aplikacje, informacje, infrastruktura oraz personel.Standard COBIT stanowi zbiór najlepszych praktyk zarządzania podzielonych na 4 domeny, 34 procesy zarządzania i szczegółowy opis każdego z tych procesów oraz 214 celów kontrolnych, służących do budowy sprawnych, skutecznych i efektywnych procesów. Katalog procesów zawarty w COBIT oraz sposób ich organizacji ma za zadanie realizować wymogi biznesowe dotyczące jakości, wiarygodności i bezpieczeństwa informacji. Wymogi te w COBIT zdefiniowane są za pomocą siedmiu szczegółowych cech informacji, które powinny być zapewnione przez IT:
- Skuteczność - zapewnia, że informacja jest właściwa, trafna i odnosi się do procesu biznesowego oraz jest dostarczona na czas we właściwy, spójny i użyteczny sposób.
- Efektywność - pozwala na zapewnienie, że informacja jest dostarczona w sposób optymalnie wykorzystujący dostępne zasoby.
- Poufność - chroni informację przed nieuprawnionym dostępem.
- Integralność - obejmuje dokładność i kompletność informacji, jak również jej ważność i słuszność.
- Dostępność - zapewnia, że informacja jest dostępna wtedy, gdy wymaga tego proces biznesowy.
- Zgodność - dotyczy zgodności z przepisami prawa, regulacjami wewnętrznymi i zobowiązaniami umownymi, którym podlega proces biznesowy.
- Rzetelność - pozwala na zapewnienie, że informacja niezbędna do zarządzania jest wiarygodna i kierownictwo może na niej polegać podejmując decyzje w zarządzaniu.
COBIT: jak korzystać
Każdy kto sięga po COBIT zadaje sobie pytanie, jak z niego korzystać. Odpowiedź brzmi... jak najwięcej. Sposób korzystania ze standardu zależy jednak od celu, który chcemy osiągnąć. Wśród wielu kwestii, z którymi zmagają się menedżerowie, są takie, na które COBIT odpowiada wprost - wystarczy sięgnąć do opisu konkretnego procesu zawartego w standardzie i wdrożyć modelowe rozwiązania, np. PO9 - Ocena i zarządzanie ryzykiem IT, AI6 - Zarządzanie zmianami itp. Złożone zagadnienia wymagają jednak kompleksowego podejścia i wykorzystania standardu w bardziej zaawansowany sposób.
Pomiar skuteczności i efektywności
Cele, wskaźniki oraz sposób ich pomiaru są zdefiniowane w COBIT na trzech poziomach:
- Cele i wskaźniki IT określające oczekiwania biznesowe.
- Cele i wskaźniki określające, jaki powinien być wynik procesu dla wsparcia celów IT.
- Cele i wskaźniki poszczególnych działań w procesach określające, jaki powinien być przebieg procesu, aby osiągnąć wymagany poziom wydajności procesów.
Dzięki takiej konstrukcji możliwy jest pomiar skuteczności i efektywności na każdym poziomie organizacji, wychodząc od celów biznesowych, a na poszczególnych działaniach kończąc. Pozwala to na włączenie obszaru IT do kompleksowego systemu pomiaru obowiązującego w organizacji oraz identyfikacji i oceny poszczególnych komponentów procesu zarządzania. Rozbudowując ten model o wskaźniki finansowe (w oparciu o COBIT), można dokonać analizy wartości dostarczanej przez IT dla organizacji i zoptymalizować wykorzystanie dostępnych zasobów.
Board Briefing on IT Governance, 2nd Edition
Pozwala kierownictwu zrozumieć znaczenie IT Governance, na czym polega oraz jaka jest rola kierownictwa w zarządzaniu IT.
IT Governance Implementation Guide: Using COBIT and Val IT, 2nd Edition
Stanowi przewodnik wdrożeniowy IT Governance z wykorzystaniem COBIT i Val IT.
COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition
Dokument stanowiący odpowiedź na pytanie, dlaczego spójny system kontroli wewnętrznej jest ważny i wart wdrożenia oraz zawierający wytyczne do jego wdrożenia.
IT Assurance Guide: Using COBIT
Zbiór wskazówek, taki jak COBIT, może wspierać różnorodne inicjatywy zapewniające prawidłowość zarządzania IT, w tym audyt IT.