Table of Contents
COBIT
- Control Objectives for Information and Related Technology
- COBIT představuje procesně orientovaný nástroj pro řízení informatiky, kontrolní nástroj pro auditory a model zralosti. Je to nástroj pro budování a rozvoj ICT governance (nikoli pro realizaci ICT managementu).
- COBIT je vlastně balíček 6 publikací
- Executive Summary - shrnutí pro top management, popis základních konceptů, principů, obsah, popis 4 domén a 34 IT procesů
- Framework - popis IT procesů, informačních kritérií, a IT zdrojů
- Control Objectives - popisuje smysl a přínosy všech detailních kontrolních kritérií pro ty IT procesy
- IT Assurance Guide (dříve Audit Guidelines) - návrh kontrolních činností a identifikace rizik, pokud nebudou prováděny. Bezva věc pro auditory IT.
- Implementation Tool Set - obsahuje Management Awareness and IT Control Diagnostics, Implementation Guide, FAQ, případové studie uživatelů COBIT a prezentace pro management.
- Management Guidelines - modely vyspělosti procesů, kritické faktory úspěchu, klíčové indikátory splění cílů (KGI) a výkonu (KPI)
Historie
- Metodiku původně vyvinula auditorská organizace ISACA (Information System Audit and Control Association ) v roce 1996
- Na dalším vývoji se od roku 1998 podílí institut IT Governance.
- 1998, druhé vydání přidává “Management Guidelines”.
- 2000, třetí vydání (od 2003 i online verze)
- prosinec 2005, COBIT 4.0
- květen 2007, COBIT 4.1 (přidává “Maturity Model”, zjednodušuje popis “Goals”, kaskádové uspořádání procesů a vztahy mezi “Business”, “IT Goals” a “IT Processes”)
Pro koho je určena
ICT Governance je záležitost plošného vnímání možností využívání ICT a jejich integrace do celkového fungování organizace. Z tohoto pohledu je metodika CobiT určena především pro následující skupiny pracovníků:
- Management - potřebuje rozhodovat o výdajích do rozvoje a provozu ICT a posoudit, zda jsou tyto výdaje správně a efektivně využívány. V tomto směru je CobiT nástrojem pro definování jednoznačného rámce řízení ICT a usnadňuje orientaci managementu v nečitelném prostředí ICT.
- Uživatelé - mají stále vyšší potřebu seznámit se s fungování ICT a nalézt přiměřené záruky za správné a bezpečné fungování služeb ICT, které využívají či garantují.
- Auditoři - při své práci neustále naráží na využívání ICT. V tomto směru CobiT poskytuje základní rámec pro to, jakým způsobem hodnotit správnost a hodnost nasazení ICT vzhledem k posuzované části organizace.
Již výčet uživatelů metodiky CobiT naznačuje, že metodika není přímo určena pro ICT management (vnitřní řízení ICT). CobiT je nástrojem, který dovoluje prezentovat činnosti ICT vůči okolnímu světu, jenž nedisponuje detailními znalostmi o ICT. Cílem je vytvořit rámec pro řídící a kontrolní systém fungující nad prostředím ICT, který je nastaven ve schodě s ostatními řídícími a kontrolními systémy organizace (např. pro finanční oblast, vnitřní řízení apod.).
Obsah metodiky
COBIT pro každý z procesů definuje klíčové cíle, ukazatele výkonnosti a kritické faktory úspěchů (ukázka popisu procesu). Každý proces je tedy charakterizován obecným a detailním kontrolním cílem, informačním kritériem, IT zdroji, kritickými faktory úspěchu, ukazateli výkonnosti, ukazateli dosažení cíle a úrovní zralosti procesu.
COBIT definuje:
- 34 IT procesů
- 4 domény (viz níže)
- 34 obecně definovaných kontrolních cílů - high-level control objectives (viz níže)
- 318 detailních cílů - control objectives
- 5 IT zdrojů (lidé, aplikace, technologie, vybavení, data)
- 7 informačních kritérií (efektivita, výkonnost, důvěryhodnost, integrita, dostupnost, přizpůsobivost, spolehlivost).
Tři základní stavební kameny CobiT: informační kritéria, zdroje ICT a procesy ICT a jejich vzájemné vztahy jsou zachyceny v tabulce vpravo v kapitole Control Objectives, která je jádrem celé metodiky CobiT. Pro každý proces ICT je v tabulce znázorněna míra vlivu na naplnění informačních kritérií (s rozlišením primárního a sekundární účinku) a zdroje ICT, se kterými proces souvisí.
Domény
- Plan and Organize (PO) - Plánování & Organizace - doména se soustředí na definování informační strategie a hledání vhodných taktik pro dosažení nejvyšší míry přispění ICT k naplňování obecných cílů organizace.
- Acquire and Implement (AI) - Akvizice (Pořízení) & Implementace - aby bylo možné realizovat strategie ICT je důležité identifikovat, vyvinout nebo nakoupit a implementovat zdroje ICT, které jsou důsledně provázány s příslušnými procesy organizace.
- Deliver and Support (DS) - Dodání & Podpora - doména se soustředí na zajištění kvalitního dodání požadovaných služeb ICT, což zahrnuje činnosti od provozu přes bezpečnost až po přípravu uživatelů.
- Monitor and Evaluate (M) - Monitorování - všechny procesy ICT musí být pravidelně sledovány a hodnoceny, zda kvalita jejich provádění odpovídá stanoveným požadavkům a potřebám. Tato doména je zaměřena na získávání objektivního přehledu o prováděných činnostech ICT.
Control Objectives (obecné cíle)
| Plan and Organize | |
|---|---|
| PO1 | Define a Strategic IT Plan and direction |
| PO2 | Define the Information Architecture |
| PO3 | Determine Technological Direction |
| PO4 | Define the IT Processes, Organization and Relationships |
| PO5 | Manage the IT Investment |
| PO6 | Communicate Management Aims and Direction |
| PO7 | Manage IT Human Resources |
| PO8 | Manage Quality |
| PO9 | Assess and Manage IT Risks |
| PO10 | Manage Projects |
| Acquire and Implement | |
| AI1 | Identify Automated Solutions |
| AI2 | Acquire and Maintain Application Software |
| AI3 | Acquire and Maintain Technology Infrastructure |
| AI4 | Enable Operation and Use |
| AI5 | Procure IT Resources |
| AI6 | Manage Changes |
| AI7 | Install and Accredit Solutions and Changes |
| Deliver and Support | |
| DS1 | Define and Manage Service Levels |
| DS2 | Manage Third-party Services |
| DS3 | Manage Performance and Capacity |
| DS4 | Ensure Continuous Service |
| DS5 | Ensure Systems Security |
| DS6 | Identify and Allocate Costs |
| DS7 | Educate and Train Users |
| DS8 | Manage Service Desk and Incidents |
| DS9 | Manage the Configuration |
| DS10 | Manage Problems |
| DS11 | Manage Data |
| DS12 | Manage the Physical Environment |
| DS13 | Manage Operations |
| Monitor and Evaluate | |
| ME1 | Monitor and Evaluate IT Processes |
| ME2 | Monitor and Evaluate Internal Control |
| ME3 | Ensure Regulatory Compliance |
| ME4 | Provide IT Governance |
Závěr
Metodika CobiT je ucelenou a komplexní metodikou, která nachází uplatnění u manažerů, uživatelů i auditorů ICT. Cílem metodiky CobiT je propojení principů obecného řízení organizace s pravidly, která jsou uplatňovaná v prostředí ICT.
Základní snahou metodiky je jasně strukturovat vysoce složitý systém řízení ICT tak, aby tato struktura byla srozumitelné pro manažery a uživatele bez detailních znalostí ICT. Metodika CobiT dovoluje těmto pracovníkům sestavit vhodná objektivní kritéria, podle kterých bude možné posuzovat úspěšnost či neúspěšnost jednotlivých oblastí řízení ICT.
Ve smyslu úspěšného řízení ICT metodika CobiT definuje následující čtyři obecné cíle řízení ICT:
- Přispět ke kvalitnímu fungování organizace,
- Orientovat se na zákazníka resp. uživatele,
- Zajistit provozní dokonalost,
- Orientovat se na možnosti rozvoje v budoucnosti.
Zajištění těchto obecných cílů není vůbec jednoduché a správné pochopení principů a vztahů, které jsou v metodice CobiT zformulovány je velmi důležité pro zvládnutí tak nelehlého úkolu, jakým řízení ICT bezesporu je. Pomocí metodiky CobiT na tento problém nezůstáváte sami, ale můžete využít zkušenosti mnoha odborníků z celého světa. Tak proč se alespoň nepoučit.
Z pohledu manažerů ICT je důležité vnímat skutečnost, že metodika CobiT není určena pro každodenní řízení chodu ICT útvarů. Její použití by mělo sloužit pro komunikaci s pracovníky mimo ICT. Pro účely vnitřního řízení ICT útvarů je pak vhodné sáhnout jiných osvědčených nástrojích (např. ITIL), jejichž implementace není v rozporu s využitím metodiky CobiT.
Další zdroje
- prezentace o MMDIS od Voříška (pouze část o COBIT)
- Wikipedia COBIT