pondělí 23. dubna 2012

COBIT


COBIT je framework vytvořený mezinárodní asociací ISACA pro správu a řízení informatiky (IT Governance). Jedná se o soubor praktik, které by měly umožnit dosažení strategických cílů organizace díky efektivnímu využití dostupných zdrojů a minimalizaci IT rizik.[1] Prakticky se tedy určen především top manažerům k posuzování fungování ICT a auditorovi pro provádění auditu systému řízení ICT. Na rozdíl od ITIL, který je více určen více manažerovi IT (CIO).[2]

Obsah

[editovat]Přehled

COBIT byl poprvé vydán roku 1996 a od té doby se postupně rozšířil například o auditní postupy, implementační nástroje, detailní cíle nebo manažerské postupy.[1] Roku 2007 byla publikovaná verze COBIT 4.1 a v roce 2012 je plánováno vydání nejnovější verze 5.[3]
COBIT vznikl jako akronym z anglického Control Objectives for Information and related Technology a definuje rozdělení IT do čtyř domén - plánování a organizace, akvizice a implementace, dodání a podpora a monitorování a vyhodnocování. V rámci těchto domén je popsáno celkem 34 procesů.

***

Co je COBIT?

COBIT (Control Objectives for Information and related Technology) byl vyvinut jako všeobecně přijímaný standard pro správné postupy řízení, kontroly a auditu informačních technologií.
Řízení a správa podniku, jako systém, kterým je organizace vedena a kontrolována (Enterprise Governance) a řízení a správa podnikové informatiky, jako systém, kterým je IT v organizaci vedeno a kontrolováno (IT Governance), jsou podle COBIT vzájemně podmíněné systémy.
COBIT dává do souvislosti:

  • IT procesy - základní IT procesy jsou:

    • Plánování a organizace
    • Akvizice a implementace
    • Poskytování a podpora
    • Monitorování

    • IT zdroje

    • Aplikace
    • Informace
    • Infrastruktura
    • Lidské zdroje

  • Informační kritéria

    • Účelnost
    • Hospodárnost
    • Důvěryhodnost
    • Integrita
    • Dostupnost
    • Souhlasnost/Shoda
    • Spolehlivost
Multidimenzionální kostka COBITu Multidimenzionální kostka COBITu

COBIT pro jednotlivé oblasti definuje:

  • Cíle řízení

    • definice požadavků ze strany businessuu
    • strategický cíl ke každému procesu
    • detailní cíle jednotlivých procesů

  • Procesy - definuje 34 procesů seskupených do 4 následujících domén:

    • Plánování a organizace
    • Akvizice a implementace
    • Poskytování a podpora
    • Monitorování
    Pro každý proces jsou definovány:
    • Obsah a cíl
    • Dílčí kontrolní cíle
    • Typické aktivity a role
    • Vstupy a výstupy
    • Kritéria pro model vyspělosti
    • Způsob měření
    • Způsob auditu

  • Zdroje přiřazené k procesům:

    • Informace (datové objekty – interní, externí atp.)
    • Aplikační systémy (souhrn manuálních i automatizovaných procedur)
    • Infrastruktura (HW, operační systémy, sítě, lokalizace a podpora informačních systémů)
    • Lidé (znalosti, organizace, získávání, poskytování, podpora, monitoring a ohodnocení informačních systémů a služeb

***


COBIT tajemství zbavený

Publikováno dne: 22.04.2010
V tomto příspěvku se dozvíte, co je to COBIT, pro koho je tato metodika určena a jaký je její přínos.
Metodika CobiT (Control OBjectives for Information and related Technology) je považována za soubor těch nejlepších praktik pro řízení informatiky (IT Governance), které by měly umožnit dosažení strategických cílů organizace díky efektivnímu využití dostupných zdrojů a minimalizaci IT rizik.
Metodika CobiT Je určena především pro executive management a osoby provádějící audit. Poprvé byla vydána v roce 1996 organizací ISACA. První vydání zahrnovalo rámec metodiky (framework). Ve druhém vydání z roku 1998 přibyly auditní postupy (audit guidelines), sada implementačních nástrojů (implementation toolset) a rozpracované procesy a detailní cíle (control objectives). Ve třetím vydání z roku 2000 přibyly manažerské postupy (management guidelines) a byl inovován rámec metodiky, tentokrát však již pod hlavičkou ITGI (IT Governance Institute), což je nezisková organizace založená ISACA. Ve verzi 4.0 z roku 2005 bylo těchto několik dokumentů sloučeno do jednoho, což byl velice rozumný krok a konečně v roce 2007 vyšel CobiT ve verzi 4.1 o rozsahu 213 stran, který rozděluje IT do 4 domén, které zároveň tvoří i hlavní kapitoly knihy, v rámci kterých je popsáno 34 procesů:
  • Plánování a organizace (Plan and Organise) – 10 procesů:
    • PO1 Define a strategic IT plan.
    • PO2 Define the information architecture.
    • PO3 Determine technological direction.
    • PO4 Define the IT processes, organisation and relationships.
    • PO5 Manage the IT investment.
    • PO6 Communicate management aims and direction.
    • PO7 Manage IT human resources.
    • PO8 Manage quality.
    • PO9 Assess and manage IT risks.
    • PO10 Manage projects.
  • Akvizice a implementace (Acquire and Implement) – 7 procesů:
    • AI1 Identify automated solutions.
    • AI2 Acquire and maintain application software.
    • AI3 Acquire and maintain technology infrastructure.
    • AI4 Enable operation and use.
    • AI5 Procure IT resources.
    • AI6 Manage changes.
    • AI7 Install and accredit solutions and changes.
  • Dodání a podpora (Deliver and Support) – 13 procesů:
    • DS1 Define and manage service levels.
    • DS2 Manage third-party services.
    • DS3 Manage performance and capacity.
    • DS4 Ensure continuous service.
    • DS5 Ensure systems security.
    • DS6 Identify and allocate costs.
    • DS7 Educate and train users.
    • DS8 Manage service desk and incidents.
    • DS9 Manage the configuration.
    • DS10 Manage problems.
    • DS11 Manage data.
    • DS12 Manage the physical environment.
    • DS13 Manage operations.
  • Monitorování a vyhodnocování (Monitor and Evaluate) – 4 procesy:
    • ME1 Monitor and evaluate IT performance.
    • ME2 Monitor and evaluate internal control.
    • ME3 Ensure compliance with external requirements.
    • ME4 Provide IT governance.
Pokud se podíváme na zaměření jednotlivých domén, nemůže naší pozornosti ujít, že se ve své podstatě nejedná o nic jiného než klasickýPDCA cyklus, kde Demingově fázi PLAN odpovídá Plánování a organizace (Plan and Organise), fáze DO je zastoupena doménou Akvizice a implementace (Acquire and Implement) + Poskytování a podpora (Deliver and Support) a posledním dvěma fázím CHECK+ACT odpovídá doména Monitorování a vyhodnocování (Monitor and Evaluate).
COBIT podobně jako ITIL vychází ze skutečnosti, že aby podnik mohl dosahovat svých cílů (Business goals), vznáší business požadavky (Business Requirements), které generují požadavky na IT zdroje (IT resources), jež jsou zapojeny do IT procesů (IT processes) přinášející businessu požadovanou službu a informace (Enterprise Information).
Cobit
Dle COBIT by měly informace, která IT poskytuje, splňovat těchto 7 kritérií:
  • důvěrnost (confidentiality) – požadavky zahrnující oblast ochrany důležitých informací proti neautorizovanému použití (prozrazení);
  • integrita (integrity) – požadavky týkající se přesnosti a kompletnosti informace ve vztahu k požadavkům podnikání a jeho očekáváním;
  • dostupnost (availability) – požadavky vztahující se k dostupnosti informace pro podnikání (nyní, ale i v budoucnosti). A dále požadavky na ochranu potřebných zdrojů (např. datových, technologických);
  • efektivita/účelnost/účinnost (effectiveness) – požadavky na včasné doručování relevantních informací ve správném, konzistentním a použitelném tvaru;
  • hospodárnost (efficiency) – požadavky na zpracování informací (nejekonomičtějším a nejproduktivnějším způsobem) prostřednictvím optimálního využívání zdrojů informatiky;
  • soulad (compliance) – požadavky týkající se udržování souladu se zákony, regulacemi, směrnicemi a kontraktačními podmínkami, které se týkají procesů podnikání (hlavních podnikových procesů);
  • spolehlivost (reliability) – požadavky vztahující se k přínosu informace pro rozhodování manažerů. 
Splnit tato kritéria je však možné pouze v okamžiku, kdy IT disponuje potřebnými zdroji a má zavedené odpovídající procesy. V CobiT jsou každému procesu věnovány obvykle 4 strany. Na první straně pojmenované Process Description je proces vždy stručně na několika málo řádcích popsán. U každého procesu je uvedeno, jaký požadavek resp. potřebu podniku daný proces pomáhá uspokojovat a na co se proces zaměřuje resp. co je jeho cílem a jak tohoto cíle dosáhnout a jak ho měřit. Vzhledem k tomu, že k realizaci procesu jsou obvykle potřeba následující zdroje:
  • aplikace,
  • infrastruktura (HW, SW, OS, síť),
  • lidé a
  • informace
a ne vždy je potřeba je zapojit všechny, tak CobiT u každého procesu uvádí, které přesně to jsou. Poté následuje strana pojmenovaná Control Objectives, která se věnuje popisu cílů opatření, obvykle nepřesahujících jednu stranu. Na další straně, pojmenované Management Guidelines, jsou pak vyjmenovány vstupy (inputs) a výstupy (outputs) z daného procesu a z jakých činností se celý proces skládá. Ve formě RACI tabulky (RACI chart) je zachycen vztah mezi jednotlivými činnostmi (activities) a funkcemi (functions), které:
  • dané činnosti fyzicky vykonávají (Responsible),
  • nesou za splnění odpovědnost (Accountable),
  • je potřeba s nimi postup konzultovat (Consulted),
  • včas je informovat (Informed).
U všech procesů jsou uvedeny stejné funkce a to: CIO, CFO, CEO, Business Executive, Business Process Owner, Head Operations, Chief Architect, Head Development, Head IT Administration, PMO, Compliance – Audit – Risk and Security. Na téže straně je pak schematicky znázorněn vztah mezi cíly a metrikami (Goals and Metrics), procesy a činnostmi a popsán způsob, jak je měřit. Poslední čtvrtá strana, pojmenovaná Maturity Model, se věnuje popisu jednotlivých stupňů vyzrálosti a poskytuje též návod jak vyzrálost daného procesu vyhodnotit. Je zřejmé, že musíme také sledovat a měřit jak jsou dosahovány cíle aktivit, procesů, IT a businessu. Kromě konkrétních cílů je pro každý proces definováno šest obecných cílů, které jsou označeny zkratkou PC+číslo a pro aplikace analogicky AC+číslo.
Závěr: S publikací CobiT se velice dobře pracuje a člověk se v ní rychle orientuje, neboť vše je vyvedeno přehledné tabelární formě s pevně danou strukturou. Nicméně přes výše uvedené skutečnosti se nemohu ubránit dojmu, že z celého řízení informatiky se dělá až příliš velká věda a CobiT je navíc psán jazykem, kterým běžný CIO prostě nehovoří, což snazšímu zavedení IT Governance nepřispívá a CobiT se tak stává pouhým nástrojem v rukou auditorů, bohužel.
Poznámka: V CobiT se mimo jiné také dočtete, že vaše cíle by měly být SMARRT (Specific, Measurable, Actionable, Realistic, Results-oriented, Timely). Přitom donedávna všem stačilo, když jejich cíle byly SMART;-) Jsem zvědav, s čím na nás pánové vyrukují v další verzi CobiT, na které se intenzivně pracuje.


***




Základní oblasti (tzv. domény) COBIT

  • Plánování a organizace

    Pokrývá úroveň strategického a taktického plánování a organizování IT včetně řízení přidané hodnoty IT pro business. V této části naleznete odpovědi na otázky typu:
    • Jsou business a IT strategie ve vzájemném souladu?
    • Využívá naše organizace své IT zdroje optimálně?
    • Jsou zmapována a řízena všechna rizika spojená s IT?
    • Jsou jasně definované cíle IT projektů a jsou tyto cíle všeobecně známé?

  • Pořízení a implementace

    Identifikace IT řešení vhodného pro realizaci zvolené IT strategie. Řešení může být vyvíjeno vlastními silami nebo pořízeno z vnějších zdrojů, následně musí být implementováno a integrováno se stávajícími systémy a procesy. V této doméně je také zahrnuto potřebné řízení změn – v nových i stávajících systémech. V této části naleznete odpovědi na otázky typu:
    • Splní plánovaný IT projekt očekávání a požadavky businessu?
    • Bude nový projekt dokončen v plánovaném čase, bude dodržen rozpočet projektu?
    • Bude nový systém pracovat po implementaci správně?
    • Neohrozí plánované změny fungování současných podnikových procesů?

  • Dodávka služeb a podpora

    Tato doména je zaměřená na řízení IT služeb, což zahrnuje poskytování služeb, řízení bezpečnosti a kontinuity služeb, podporu služeb, správu dat a potřebné infrastruktury. V této části naleznete odpovědi na otázky typu:
    • Jsou služby IT poskytovány v souladu s prioritami a potřebami businessu?
    • Jsou služby IT nákladově optimální?
    • Jsou splněny všechny požadavky na důvěryhodnost, integritu a dostupnost IT služeb?

  • Monitorování a hodnocení

    Všechny IT procesy musí být pravidelně monitorovány a vyhodnocovány – tzn. kontrolovat, zda jejich výstupy jsou v požadované kvalitě a zda splňují definovaná kontrolní kritéria. Tato doména pokrývá oblasti řízení výkonnosti, monitorování, interní kontroly a správy IT. V této části naleznete odpovědi na otázky typu:
    • Dochází k měření výkonnosti IT, tak aby byly případné problémy řešeny dřív než skutečně nastanou?
    • Je systém interních kontrol efektivní a úplný?
    • Jsou všechna rizika, kontroly a výkonnost měřeny a reportovány?



Vystavil v

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)