COBIT Przekierowano ze strony: Control Objectives for Information and Related Technology ang. Control Objectives for Information and Related Technology

COBIT
Best Practice
Nadzór IT
Logo COBIT
WłaścicielIT Governance Institute
RozpowszechnianieISACA
Powstanie1994 r.
Aktualna wersjav.5 (2012 r.)
CertyfikacjaISACA
SpołecznośćISACA
COBIT Framework

Oficjalna strona internetowa
COBIT - standard opracowany przez ISACA oraz IT Governance Institute, przeznaczony dla zarządzania technologiami informatycznymi (IT) oraz utrzymywania ładu w IT (tzw. IT Governance), który mogą być wykorzystywane w szczególności przez audytorów IT. Jest to zestaw wskazówek wspierających menedżerów w zmniejszaniu różnic jakie występują pomiędzy wymogami kontrolnymi, problemami technicznymi i zagrożeniami biznesowymi.

Spis treści

Rys ogólny

Pochodzenie

Za powstanie standardu, urzeczywistnienie jego wizji, odpowiedzialny był Erik Guldentops, profesor szkoły zarządzania Uniwersytetu w Antwerpii. Dzięki niemu pojawiła się pierwsza publikacja dotycząca COBIT, za sprawą której standard szybko zainteresował wiele firm, co przyczyniło się do jego dalszego rozwoju. Od tamtej pory, do dziś, COBIT miał pięć głównych wydań:
  • 1994 rok - pierwsza edycja CobiT
  • 1996/98 rok - drugie wydanie, do którego dodano "Wytyczne zarządzania"
  • 2000 rok - wydanie CobiT 3
  • 2003 rok - udostępnienie wersji on-line
  • grudzień 2005 - wydanie CobiT 4.0
  • maj 2007 - aktualizacja i wydanie CobiT 4.1
  • kwiecień 2012 - wydanie COBIT 5, który łączy CobiT 4.1, Val IT 2.0 i Risk IT, a także uwzględnia elementy ITAF i BMIS

Misja

Misją COBIT jest "badanie, rozwijanie, publikowanie i promocja ogólnie przyjętych, wiarygodnych, aktualnych celów kontrolnych dla informatyki do codziennego stosowania przez menedżerów i specjalistów IT". COBIT, akronim tłumaczony jako "cele kontrolne dla informatyki i technologii powiązanych" w pierwszych wersjach określa 34 ogólnych procesów zarządzania IT. Każdy proces jest zdefiniowany wspólnie z wejściami i wyjściami, głównymi działaniami, celami procesu, miarami wydajności oraz elementarnym modelem dojrzałości. COBIT wspiera nadzór IT, poprzez określenie dostosowywanie celów biznesowych do celów i procesów IT.

Struktura

COBIT składa się z następujących komponentów:
  • Ramy organizacyjne: jak zorganizować cele nadzoru informatyki oraz dobre praktyki, w ramach obszarów IT i procesów, łącząc je z wymaganiami biznesowymi.
  • Opis procesu:jReferencyjny model procesów i wspólny język dla wszystkich jednostek w organizacji. Mapa procesów dla obszarów odpowiedzialności w zakresie planowania, budowy, uruchomienia i monitorowania.
  • Cele kontroli: kompletny zestaw wymagań wysokopoziomowych, które kierownictwo powinno uwzględnić dla skutecznej kontroli każdego procesu IT.
  • Wytyczne zarządzania: pomoc w powierzeniu odpowiedzialności, uzgadnianiu celów, ocenie wydajności i zilustrowaniu wzajemnych powiązań z innymi procesami
  • Modele dojrzałości: ocena dojrzałości i zdolności każdego procesu i pomoc w zniwelowaniu braków.


Inne publikacje ISACA oparte na ramach COBIT obejmują:
  • Board Briefing for IT Governances, 2nd Edition
  • COBIT and Application Controls
  • COBIT Control Practices, 2nd Edition
  • IT Assurance Guide: Using COBIT
  • Implementing and Continually Improving IT Governance
  • COBIT Quickstart, 2nd Edition
  • COBIT Security Baseline, 2nd Edition
  • IT Control Objectives for Sarbanes-Oxley, 2nd Edition
  • IT Control Objectives for Basel II
  • COBIT User Guide for Service Managers
  • COBIT Mappings (na ISO/IEC 27002, CMMI, ITIL, TOGAF, PMBoK itd.)
  • COBIT Online


Zakres

Zorientowanie na biznes COBIT-u jest rozumiane jako połączenie celów biznesowych z celami IT, dostarczanie metryk i modeli dojrzałości do pomiaru, czy cele te zostały osiągnięte, oraz określenie obowiązków dotyczących właścicieli procesów IT i właścicieli biznesowych.

COBIT koncentruje się na procesach co ilustruje model procesu dzielący obszar IT na cztery domeny (planowanie i organizacja, zakupy i wdrożenia, dostarczanie i wspieranie oraz monitorowanie i ocena) oraz 34 procesy zgodne z obszarami odpowiedzialności: planowanie, budowanie, uruchamianie i monitorowanie. COBIT 5 ustawiony jest na wysokim poziomie ogólności i dostosowuje się do innych bardziej szczegółowych standardów IT, jak również i zbiorów dobrych praktyk, takich jak COSO, ITIL, ISO/IEC 27000, CMMI, TOGAF, i PMBoK. COBIT pełni rolę integracyjną dla tych standardów i sumuje główne cele w ramach jednego zbioru ogólnych wytycznych, które łączą modele i dobre praktyk z ładem korporacyjnym i wymaganiami biznesowymi.



Sam COBIT 5, który ukazał się stosunkowo niedawno, łączy standardy CobiT 4.1, Val IT 2.0 i Risk IT, a także uwzględnia elementy ITAF (ang. IT Assurance Framework - opracowany przez ISACA ramowy standard zapewnienia jakości IT) i BMIS (ang. Business Model for Information Security - biznesowy model bezpieczeństwa Informacji).

COBIT 5 dostosowuje się do takich norm i standardów jak ITIL (standard dla zarządzania usługami informatycznymi), ISO (rozumiane jako normy opracowane przez organizację ISO - Międzynarodową Organizację Normalizacyjną), PMBoK (zbiór standardów i rozwiązań w dziedzinie zarządzania projektami zebranych i opublikowanych przez członków Project Management Institute), PRINCE2 (metodyka zarządzania projektami oparta na produktach) i TOGAF (ramowa architektura korporacyjna).

Domeny COBIT 5

W COBIT 5 procesy są podzielone na należące do "obszarów" ładu (ang. governance) i zarządzania (ang. management). Te dwa obszary zawierają łącznie 5 domen i 37 procesów:
  • Governance of Enterprise IT
    • EDM (ang. Evaluate, Direct and Monitor) – 5 procesów
  • Management of Enterprise IT
    • APO (ang. Align, Plan and Organise) – 13 procesów
    • BAI (ang. Build, Acquire and Implement) – 10 procesów
    • DSS (ang. Deliver, Service and Support) – 6 procesów
    • MEA (ang. Monitor, Evaluate and Assess) - 3 procesy

Domeny CobiT 4.1

Poprzednia wersja standardu czyli CobiT 4.1 opisywał 34 wysokopoziomowe procesy, które obejmują 210 celów kontrolnych pogrupowanych w czterech domenach:
  • Planowanie i organizacja (ang. Planning and Organization),
  • Nabywanie i wdrażanie (ang. Acquisition and Implementation),
  • Dostarczanie i wsparcie (ang. Delivery and Support),
  • Monitorowanie i ocena (ang. Monitoring and Evaluation).


Zastosowanie

COBIT opisuje wszystkie obszary zarządcze, administracyjne oraz operacyjne w IT. Nie skupia się, tak jak standardy ISO, na poszczególnych wycinkach IT, jak bezpieczeństwo systemów informatycznych czy zarządzanie jakością. Nie koncentruje się też wyłącznie na obsłudze usług IT, tak jak ITIL, chociaż korzysta z podejścia usługowego w opisie obszarów operacyjnych IT. Warto zaznaczyć, że COBIT jest kompleksowym standardem dla wdrażania mechanizmów kontrolnych i dobrych praktyk w informatyce. Korzystanie z COBIT oczywiście nie wyklucza, ani też nie zastępuje stosowania innych standardów. W celu budowania dobrze funkcjonującego i przejrzystego organizacyjnie działu IT, wskazane jest nawet żeby sięgnąć po bardziej szczegółowo opisujące dany proces dobre praktyki. COBIT może pomóc, w wydatny sposób, wskazać jakie mechanizmy i w jakim stopniu powinny być wdrożone, lecz sam w sobie rzadko może być ostatecznym rozwiązaniem.

Przykład wykorzystania COBIT w procesie zarządzania zmianami

W przypadku, gdy z analizy dojrzałości wynika, że nasza organizacja jest daleko w tyle za konkurencją w obszarze Change Management, a dodatkowo, proces ten nie realizuje postawionych mu celów biznesowych, korzystając z COBIT, można określić docelowy poziom dojrzałości procesu oraz zidentyfikować, którą z aktywności w jego ramach należy usprawnić, by cele biznesowe zostały osiągnięte.

Szukając sprawdzonych rozwiązań można wykorzystać ITIL, w którym zarządzanie zmianą jest szczegółowo opisane. Następnie wykorzystuje się wybrane elementy ITIL w organizacji, łącznie z metrykami efektywności procesu zmian. Dzięki dostępnym mapowaniom ITIL i COBIT, przenosi się rezultaty wdrożonych rozwiązań na wcześniej użyty model dojrzałości i sprawdza się zarówno czy osiągnięto jej oczekiwany poziom, jak i czy zrealizowano postawione cele biznesowe.

Zalety

  • Darmowy – każdy może ściągnąć i z powodzeniem (lub nie) używać standardu w organizacji
  • Kompletny – opisuje IT wszerz i wzdłuż, co sprawia, że każdy proces w danej firmie znajdzie swoje odzwierciedlenie w standardzie
  • Bogaty – standard nie na samym CobiT 4.1 czy na wersji 5.0 się kończy, bowiem istnieje spora liczba dodatkowych publikacji, które stanowią uzupełnienie standardu, np. mapowania COBIT z innymi standardami, mini COBIT dla MŚP, COBIT dla audytorów
  • Przejrzysty i zrozumiały – opis, struktura jest zrozumiała zarówno dla ludzi związanych z IT, jak i samym biznesem
  • Rozwijany – ja ciągłymi aktualizacjami stoją wiarygodne organizacje, takie jak ISACA oraz IT Governance Institute
  • Rozpoznawany – tak jak w przypadku ITIL, firmy korzystające z dobrych praktyk COBIT, są kojarzone z dojrzałą i wartościową organizacją


Miejsce w dziedzinie zarządzania

Kierownictwo firm i działów IT może czerpać wiele korzyści ze stosowania standardu COBIT przy implementacji procesów nadzoru. Efekty widać głównie w trzech obszarach:
  • budowaniu potencjału wykonawczego
  • ukierunkowaniu działań IT na realizację jasno określonych zysków i korzyści
  • pomiarach wydajności, która ma osiągać poziom, gwarantujący realizację celów biznesowych


Dzięki wykorzystaniu COBIT firmy mogą rozwinąć takie domeny jak zarządzanie ryzykiem, dopasowanie strategiczne, zarządzanie zasobami czy pomiary wydajności. Standard może być także wykorzystany jako kamień węgielny procedur zarządzania bezpieczeństwem informacji. W wielu przypadkach kierownictwo IT, zamiast od razu wykorzystywać możliwości sourcingowe albo wdrażać procedury planowanie zasobów przedsiębiorstwa, powinno skorzystać z możliwości standardu COBIT, aby lepiej zrozumieć własną gotowość organizacyjną i poznać swój potencjał wykonawczy. To może w znaczny sposób ukierunkować firmę w odpowiednim kierunku rozwojowym, co jest kluczowe dla osiągnięcia sukcesu. COBIT może służyć kierownictwu także pomocą przy planowaniu wykorzystania usług firm zewnętrznych oraz przy przygotowywaniu kontraktów, w taki sposób by nie występowały potem jakiekolwiek kłopoty.

Odwołując się z kolei do kwestii audytów, warto zaznaczyć, że standard COBIT oferuje ogromne wsparcie nie tylko audytorom, ale również menedżerom. Audytorzy IT znajdą w tym frameworku zarówno informacje jak badać poszczególne obszary IT w organizacji, jak i wytyczne do dokumentowania swojej pracy oraz raportowania wyników. Wiedza ta jest równie nieoceniona dla menedżerów IT, którzy rozumiejąc oczekiwania audytora mogą się odpowiednio przygotować i w pełni skorzystać z audytu i jego rezultatów. Ma to szczególne znaczenie dla jakości współpracy pomiędzy audytorem i audytowanym.

Zobacz też

Linki zewnętrzne

Bibliografia

Znaki towarowe

  • COBIT® is protected by copyright under U.S. and other national/international laws. ISACA owns all rights, title and interest in COBIT;
  • PRINCE® and PRINCE2® are registered trade marks of the Cabinet Office;
  • IT Infrastructure Library®, ITIL® are registered trade marks of the Cabinet Office;
  • TOGAF®, TOGAF® 9.1 are registered trade marks of The Open Group in the United States and other countries;
ostatnia modyfikacja 20 sierpnia 2016 r.