COBIT

Control Objectives for Information and Related Technologies — rama zarządzania i audytu IT opracowana przez ISACA. Dostarcza organizacjom strukturę procesów, celów kontroli i wskaźników dla efektywnego zarządzania technologią informacyjną.

SPIS TREŚCI

  1. Definicja i historia
  2. Struktura COBIT 2019
  3. Zasady zarządzania
  4. Zastosowanie w enterprise
  5. Pytania i odpowiedzi
Zastrzeżenie technologiczne Articles published on this website summarize publicly available information, industry research and educational materials.

Definicja i historia

COBIT (ang. Control Objectives for Information and Related Technologies) to rama (framework) zarządzania i nadzoru IT opracowana przez ISACA (Information Systems Audit and Control Association). Pierwsza wersja została opublikowana w 1996 roku jako narzędzie dla audytorów IT. Kolejne wydania (COBIT 4.1 — 2007, COBIT 5 — 2012) rozszerzały zakres o zarządzanie ryzykiem, zgodność i tworzenie wartości.

Aktualna wersja COBIT 2019 zastąpiła COBIT 5, wprowadzając bardziej elastyczne podejście oparte na czynnikach projektowych (design factors) i skupiając się na celach zarządzania (governance and management objectives) zamiast na procesach.

Kluczowe role COBIT

  • Rama zarządzania IT na poziomie organizacji (nie metodyka projektowa)
  • Narzędzie audytu i oceny dojrzałości procesów IT
  • Struktura celów dla planowania, budowania, dostarczania i monitorowania IT

Struktura COBIT 2019

COBIT 2019 definiuje 40 celów zarządzania podzielonych na dwie kategorie:

KategoriaSkrótLiczba celówOdpowiedzialność
GovernanceEDM5Zarząd / Rada nadzorcza
Management: Align, Plan, OrganizeAPO14CIO / Kadra kierownicza IT
Management: Build, Acquire, ImplementBAI11Zespoły projektowe
Management: Deliver, Service, SupportDSS6Operacje IT
Management: Monitor, Evaluate, AssessMEA4Audyt / Compliance

Czynniki projektowe (Design Factors)

COBIT 2019 wprowadza 11 czynników projektowych umożliwiających dostosowanie ramy do specyfiki organizacji: strategia enterprise, środowisko IT, tolerancja ryzyka, rozmiar organizacji, model dostaw IT (cloud, outsourcing), profil usług, znaczenie zgodności regulacyjnej, rola IT w modelu biznesowym i in.

Zasady zarządzania COBIT 2019

COBIT 2019 opiera się na sześciu zasadach systemu zarządzania IT:

  1. Dostarczanie wartości dla interesariuszy — każda decyzja IT powinna przekładać się na mierzalne korzyści dla organizacji i jej interesariuszy
  2. Podejście holistyczne — efektywne zarządzanie IT wymaga uwzględnienia wszystkich komponentów systemu łącznie
  3. System dynamiczny — system zarządzania musi adaptować się do zmian otoczenia
  4. Oddzielenie governance od management — zarząd wyznacza kierunki (governance), kadra zarządcza je realizuje (management)
  5. Dostosowanie do potrzeb organizacji — rama jest elastyczna i skalowalna
  6. System end-to-end — obejmuje całą organizację, nie tylko dział IT

Zastosowanie w organizacjach enterprise

COBIT stosowany jest w organizacjach jako:

  • Podstawa programów zgodności (compliance) z regulacjami sektorowymi (SOX, Solvency II, DORA)
  • Narzędzie oceny dojrzałości IT (IT Capability Model) — skala 0–5 dla każdego celu zarządzania
  • Rama uzupełniająca ISO/IEC 27001 (bezpieczeństwo informacji) i ITIL (zarządzanie usługami)
  • Podstawa raportowania dla zarządów i rad nadzorczych w zakresie ryzyka IT

COBIT i ITIL są komplementarne: COBIT odpowiada na pytanie "co" kontrolować, ITIL — "jak" dostarczać usługi.

Pytania i odpowiedzi

Czym COBIT różni się od ITIL?
COBIT to rama zarządzania i nadzoru IT (governance framework) — definiuje cele kontroli, odpowiedzialności i wymagania. ITIL to metodyka zarządzania usługami IT (ITSM) — opisuje procesy operacyjne: zarządzanie incydentami, zmianami, problemami, aktywami. Obie ramy są komplementarne: organizacja może wdrożyć procesy ITIL i zarządzać nimi zgodnie ze strukturą celów COBIT.
Czy wdrożenie COBIT jest obowiązkowe?
COBIT nie jest obowiązującym standardem prawnym. Może być wymagany pośrednio przez regulatorów sektorowych (np. KNF dla banków i ubezpieczycieli) jako akceptowana metodyka zarządzania ryzykiem operacyjnym IT. Certyfikat COBIT 5/2019 jest wymagany dla audytorów IT przystępujących do egzaminu CISA/CRISC prowadzonego przez ISACA.
Jak mierzyć dojrzałość procesów COBIT?
COBIT 2019 używa modelu dojrzałości procesów (CMM-based) w skali 0–5: 0 — Incomplete (brak procesu), 1 — Performed (nieformalny), 2 — Managed (planowany i monitorowany), 3 — Established (udokumentowany standard), 4 — Predictable (mierzony ilościowo), 5 — Optimizing (ciągle doskonalony). Ocenę przeprowadza się przez przegląd dokumentacji, wywiady i obserwację procesów.

POWIĄZANE HASŁA

Zarządzanie usługami
ITIL — zarządzanie usługami IT
Kontrola
Audyt IT
Struktury
Rada IT