COBIT

COBIT (dla „  celów kontroli w zakresie informacji i związanych z nimi technologii  ” lub „celów kontroli informacji i związanych z nimi technologii” w języku francuskim) jest repozytorium z najlepszych praktyk w dziedzinie kontroli i nadzoru korporacyjnego ICT do amerykańskiego pochodzenia . W ciągu kolejnych wersjach, ma tendencję, aby stać się narzędziem jednoczącym do zarządzania systemami informatycznymi poprzez stopniowe integrowanie wkładów innych standardów, takich jak ISO 9000 , ITIL ,  etc.

Historyczny

Zarządzanie Systemów Informacyjnych (Information Technology (IT) ład) rozprzestrzenił się w przedsiębiorstwa w kontekście, w którym z jednej strony, zautomatyzowanie funkcji biznesowych stała się niezbędnym elementem w firmie, az drugiej strony, przywódcy nie zobaczyć jak to jest może przynieść wartość i wydajności w organizacji. Dlatego możemy mówić o zarządzaniu SI, a zatem o normach i certyfikatach, które pozwalają na to drugie. Również ze względu na przejrzystość informacji systemy informacyjne rozwinęły się, a ich kontrola stała się niezbędna. Głównym repozytorium zarządzania i audytów SI jest COBIT. Podsumowując, COBIT stanowi ramy odniesienia dla kontrolowania zarządzania SI w czasie. Opiera się na zestawie dobrych praktyk zebranych od ekspertów SI.

COBIT został opracowany w 1994 r. (I opublikowany w 1996 r. ) Przez Stowarzyszenie Audytu i Kontroli Systemów Informacyjnych ( ISACA ). ISACA została utworzona w 1967 r. I jest reprezentowana we Francji od 1982 r. Przez AFAI ( Francuskie Stowarzyszenie Audytu i Konsultingu IT ). Jest to struktura kontroli, która ma na celu pomóc kierownictwu w zarządzaniu ryzykiem (bezpieczeństwo, niezawodność, zgodność) i inwestycjami. COBIT ewoluował, wersja 4 pojawiła się we Francji w 2007 roku.

COBIT jest podejściem zorientowanym na proces, które dzieli na cztery obszary (planowanie, konstrukcję, wykonanie i metrologię, analogicznie do koła Deminga ), 34 oddzielne procesy, które obejmują łącznie 215 czynności i jeszcze większą liczbę „praktyk” . kontrola ”. Uzupełnieniem tego podejścia jest komponent „oceny systemów informatycznych”, znany pod nazwą Val IT .

Wersja 5 COBIT jest dostępna od tego czasu kwiecień 2012. COBIT 5 jest jak dotąd jedynym repozytorium zorientowanym biznesowo na zarządzanie i zarządzanie firmowymi systemami informatycznymi. Stanowi poważną ewolucję repozytorium.

COBIT 5 można dostosować do wszystkich typów modeli biznesowych, środowisk technologicznych, wszystkich branż, obszarów geograficznych i kultur korporacyjnych. Można go zastosować do:

• Bezpieczeństwo informacji;
• Zarządzanie ryzykiem;
• Zarządzanie i zarządzanie systemem informatycznym firmy;
• Czynności audytowe;
• Zgodność z prawem i przepisami;
• Raporty dotyczące transakcji finansowych lub społecznej odpowiedzialności biznesu.

Repozytorium COBIT 5 upraszcza wyzwania związane z zarządzaniem za pomocą zaledwie pięciu zasad i siedmiu czynników umożliwiających. Umożliwia integrację z innymi podejściami i standardami, w tym TOGAF , PMBOK , PRINCE2 , COSO , ISO / IEC 20000 , ISO / IEC 27001 , ITIL , PCI DSS , Sarbanes-Oxley i Basel III .

W listopad 2018, ISACA ogłosiła stopniowe wydanie wersji COBIT 2019.

Zasady COBIT

COBIT dostarcza menadżerom, audytorom i użytkownikom technologii informacyjno-komunikacyjnych (ICT) wskaźniki, procesy i najlepsze praktyki, aby pomóc im zmaksymalizować korzyści płynące z wykorzystania technik IT i rozwoju, zarządzania i kontroli firmy. Pomaga im zrozumieć ich systemy informatyczne oraz określić poziom bezpieczeństwa i kontroli, który jest potrzebny do ochrony ich działalności, poprzez opracowanie modelu zarządzania systemami informatycznymi, takiego jak COBIT. W ten sposób COBIT zapewnia kluczowe obiektywne wskaźniki, kluczowe wskaźniki wydajności i kluczowe czynniki sukcesu dla każdego z jego procesów. Model COBIT koncentruje się na tym, co firma musi zrobić, a nie na tym, jak powinna to zrobić.

Repozytorium COBIT stanowi strukturę powiązań i procesów ( ramy odniesienia lub ramy ), których celem jest zarządzanie i kontrola technik informatycznych przez kierownictwo firmy w celu osiągnięcia założonych celów, wykorzystując te techniki jako sposób na usprawnienie działalności i zaspokojenie potrzeb biznesowych , potrzeby skonsolidowane w planie strategicznym firmy. Opiera się na 5 głównych kluczach zarządzania i zarządzania IT:

• Zaspokajać potrzeby interesariuszy;
• Pokrywaj biznes od początku do końca;
• Zastosuj pojedynczą ramkę odniesienia;
• Oddzielne zarządzanie i zarządzanie;
• Promuj podejście holistyczne.

Podstawy COBIT 5

Jedną z głównych nowości COBIT 5 jest zajęcie się systemem informacyjnym , wykraczającym poza procesy już zaproponowane w COBIT 4.1, poprzez inne komplementarne tematy, w ramach podejścia globalnego (lub systemowego). Wszystkie te tematy przyczyniają się w sposób współzależny do kontroli zarządzania i zarządzania SI. 

COBIT 5 definiuje 37 procesów zgrupowanych w pięciu obszarach.

1. Oceniaj, kieruj i monitoruj:
   1. Zapewnienie definicji i utrzymania ram zarządzania
   2. Zapewnij dostarczanie korzyści
   3. Zapewnij optymalizację ryzyka
   4. Zapewnij opłacalność
   5. Zapewnij przejrzystość dla interesariuszy
2. Wyrównaj, zaplanuj i zorganizuj:
   1. Zarządzaj strukturą zarządzania IT
   2. Zarządzaj strategią
   3. Zarządzaj architekturą biznesową
   4. Zarządzaj innowacjami
   5. Zarządzaj portfelem
   6. Zarządzaj budżetem i kosztami
   7. Zarządzaj relacjami międzyludzkimi
   8. Zarządzaj relacjami
   9. Zarządzaj umowami serwisowymi
   10. Zarządzaj dostawcami
   11. Zarządzaj jakością
   12. Zarządzać ryzykiem
   13. Zarządzaj bezpieczeństwem
3. Twórz, zdobywaj i wdrażaj:
   1. Zarządzaj programami i projektami
   2. Zarządzaj definicją wymagań
   3. Zarządzaj identyfikacją i budową rozwiązań
   4. Zarządzaj dostępnością i pojemnością
   5. Zarządzaj zmianami organizacyjnymi
   6. Zarządzaj zmianami
   7. Zarządzaj akceptacją zmian i przejściem
   8. Zarządzaj wiedzą
   9. Zarządzaj zasobami
   10. Zarządzaj konfiguracją
4. Dostarczaj, obsługuj i wspieraj:
   1. Zarządzaj operacjami
   2. Zarządzaj zgłoszeniami serwisowymi i incydentami
   3. Zarządzaj problemami
   4. Zarządzaj ciągłością
   5. Zarządzaj usługami bezpieczeństwa
   6. Zarządzaj kontrolami procesów biznesowych
5. Monitoruj, oceniaj i mierz:
   1. Monitoruj, oceniaj i mierz wydajność i zgodność
   2. Monitoruj, oceniaj i mierz system kontroli wewnętrznej
   3. Monitoruj, oceniaj i mierz zgodność z wymaganiami zewnętrznymi

Do tej wersji wprowadzono adaptacje, aby zapewnić lepszą zbieżność z innymi standardami, takimi jak ITIL i CMMI . W ten sposób COBIT 5, nawet bardziej niż COBIT 4.1, pomoże dyrektorom IT wdrożyć globalne, jednorodne i skoordynowane podejście do doskonalenia, które nie koncentruje się wyłącznie na procesach.

Podstawy CobiT 4.1

COBIT 4.1 definiuje 34 procesy pogrupowane w cztery obszary.

COBIT polega na rozbiciu dowolnego systemu komputerowego na:

1. Planowanie i organizacja  : w tym obszarze staramy się wiedzieć, jak wykorzystać techniki informatyczne, aby firma osiągała swoje cele.
   1. Definicja planu strategicznego IT
   2. Definicja architektury informacji
   3. Definicja kierunku technologicznego
   4. Organizacja działu IT
   5. Zarządzanie inwestycjami
   6. Komunikacja celów zarządzania
   7. Zarządzanie zasobami ludzkimi
   8. Zgodność z wymogami prawnymi
   9. Ocena ryzyka
   10. Zarządzanie projektami
   11. Zarządzanie jakością
2. Nabycie i instalacja  : tutaj COBIT stara się zdefiniować, pozyskać i wdrożyć technologie poprzez dostosowanie ich do procesów biznesowych firmy.
   1. Identyfikacja rozwiązań automatycznych
   2. Nabycie i utrzymanie aplikacji komputerowych
   3. Pozyskiwanie i utrzymanie infrastruktury technicznej
   4. Opracowanie i utrzymanie procedur
   5. Instalacja i certyfikacja systemów
   6. Zarządzanie zmianami
3. Dostawa i wsparcie  : celem jest zagwarantowanie skuteczności i wydajności systemów technologicznych w działaniu.
   1. Definicja poziomów usług
   2. Zarządzanie usługami stron trzecich
   3. Zarządzanie wydajnością i pojemnością
   4. Gwarancja kontynuacji leczenia
   5. Zapewnienie bezpieczeństwa systemu
   6. Identyfikacja i podział kosztów
   7. Trening użytkownika
   8. Wsparcie użytkownika
   9. Zarządzanie konfiguracją
   10. Zarządzanie incydentami
   11. Zarządzanie danymi i aplikacjami
   12. Fizyczne bezpieczeństwo systemu
   13. Kierownictwo operacyjne
4. Monitoring  : W tym miejscu należy zweryfikować, czy wdrożone rozwiązanie jest zgodne z potrzebami firmy w wizji strategicznej.
   1. Monitorowanie procesów
   2. Ocena kontroli wewnętrznej
   3. Certyfikacja przez niezależny organ
   4. Audyt przeprowadzony przez niezależny organ

COBIT jest skierowany do różnych użytkowników:

• Zarządzanie, dla którego oferuje środki wspomagania decyzji;
• Bezpośredni użytkownicy, którym zapewnia gwarancje bezpieczeństwa i kontroli usług IT;
• Audytorzy i konsultanci, którym oferuje uznane na całym świecie środki interwencji.

Pakiet COBIT 4.1

Zawiera sześć publikacji:

• Streszczenie dla kierownictwa (podsumowanie przeglądu metodologii CobiT dla menedżerów w pośpiechu);
• Ramy (wyjaśniające ramy odniesienia dla metody, obszarów i procesów);
• Cele kontroli (215 celów kontroli: cele te są bezpośrednio zorientowane na kierownictwo i zespoły odpowiedzialne za usługi IT);
• Wytyczne audytu : obejmuje to wykrywanie, analizowanie i wyjaśnianie wad systemu i wynikających z nich zagrożeń, a także dostarczanie im rozwiązań;
• Zestaw narzędzi wdrożeniowych (narzędzia do wdrażania CobiT);
• Wytyczne dotyczące zarządzania . Ma model dojrzałości do oceny w pięciostopniowej skali poziomu rozwoju każdego procesu. Ten przewodnik zawiera wzorcową kartę wyników ( Balanced Scorecard ).

Celem jest zapewnienie trwałego dopasowania technologii, procesów biznesowych i strategii firmy.

Kryteria informacyjne

Ta sekcja będzie interesująca dla ogólnego kierownictwa poprzez wskazanie, co wdrożenie danego procesu wniesie do informacji (na przykład do informacji decyzyjnych). Te kryteria to:

• efektywność: jakość i trafność informacji, spójna dystrybucja;
• wydajność: szybkość dostawy;
• poufność: ochrona przed ujawnieniem;
• integralność: dokładność informacji;
• dostępność: dostępność na żądanie i ochrona (kopia zapasowa);
• zgodność: zgodność z zasadami i przepisami;
• wiarygodność: dokładność informacji przekazywanych przez kierownictwo.

Poprawiając informacje zgodnie z tymi kryteriami, organizacja będzie mogła łatwiej osiągać swoje cele, otwierać nowe możliwości i poprawiać rentowność.

Zasoby

Ta część dotyczy bardziej dyrektora systemów informatycznych ( DSI ) lub odpowiedzialnego za systemy informacyjne (RSI), aby poinformować go o zasobach, na które będzie miał wpływ ten proces. Różne zasoby to:

• umiejętności: personel, efektywność współpracowników (wewnętrzne i zewnętrzne);
• zastosowania: wszystkie procedury przetwarzania;
• infrastruktura: wszystkie instalacje, Data Center itp .;
• dane: informacje w sensie globalnym (format, struktura itp.);
• techniki: sprzęt, oprogramowanie, bazy danych, sieci itp.

Proces

Przeznaczone do uwagi kierownika procesu, określą strukturę obszarów, procesów i zadań. Powinieneś wiedzieć, że proces jest zdefiniowany jako zestaw zadań. Na przykład proces „księgowania” interweniuje w domenie „administracyjnej i finansowej” i jest podzielony na czynności, takie jak „wprowadzanie faktur, edycja salda…”. CobiT oferuje model dojrzałości dla każdego procesu w celu umiejscowienia go w odniesieniu do najlepszych praktyk rynkowych. Model ma 6 poziomów (od 0 do 5).

Kluczowe czynniki sukcesu określają najważniejsze działania, które należy podjąć w celu kontrolowania procesów. Kluczowe wskaźniki obiektywne umożliwiają poznanie a posteriori, czy proces osiągnął cele (w odniesieniu do kryteriów informacyjnych). Wreszcie, kluczowe wskaźniki wydajności określają jakość działania procesu (zdolność do osiągania celów).

CobiT Quickstart

Ta uproszczona wersja CobiT jest skierowana głównie do MŚP, dla których techniki informatyczne nie stanowią problemu strategicznego, a jedynie dźwignię w strategii rozwoju. Opiera się na następujących założeniach:

• infrastruktura IT nie jest skomplikowana;
• ze względu na wielkość firmy system informacyjny i działalność są dobrze dopasowane;
• najbardziej złożone zadania są zlecane na zewnątrz;
• tolerancja ryzyka jest stosunkowo wysoka;
• zakres kontroli jest niewielki;
• struktura poleceń jest prosta.

Ta wersja COBIT zachowuje 30 z 34 procesów i 62 z 318 celów kontrolnych.

Wdrożenie Quickstart składa się z sześciu kroków:

• Ocena merytoryczna, czyli określenie, czy ta wersja jest odpowiednia dla firmy;
• Ocenić obecną sytuację na podstawie informacji zebranych od kluczowych osób i raportów z audytów;
• Określ cel z definicją działalności, ograniczeniami prawnymi i zależnością firmy od technologii;
• Analizuj odchylenia, badając praktyki kontrolne i kluczowe czynniki sukcesu;
• Zdefiniuj projekty doskonalenia procesów
• Opracuj program wdrażania zintegrowanego zarządzania, biorąc pod uwagę bezpośrednie potrzeby biznesu, współzależności między projektami i dostępne zasoby.

Limity

Według Georgesa Épinette, administratora CIGREF , podejście do ujmowania tego repozytorium musi być inteligentne, zwłaszcza jeśli chodzi o cykl życia relacji klient-dostawca. Rzeczywiście, CobiT przedstawia względne ubóstwo w kategoriach:

• o dostosowanie systemu informatycznego  ;
• od zarządzania ryzykiem i bezpieczeństwem .

W szczególności CobiT opiera się na bardzo funkcjonalnym podejściu do organizacji. W tym modelu System Informacyjny działa równolegle z rzeczywistą organizacją - i niejako oderwany od niej - ponieważ opiera się na nominalnym układzie funkcji. W tym kontekście dostosowanie systemu informacyjnego polega na godzeniu, często na zasadzie ad hoc, rzeczywistości działania z wyidealizowaną wizją organizacji. Inne podejścia, które dynamicznie łączą system informacyjny i organizację według modeli rozszerzających model funkcjonalny, pozwalają uniknąć tej pułapki: tak jest na przykład w przypadku analizy decyzyjnej złożonych systemów inspirowanych pracą `` szkoły socjotechnicznej i aktualna cybernetyka .

W 2006 roku grupa robocza z klubu właścicieli systemów informatycznych opublikowała opracowanie na temat CobiT, w którym pojawia się szereg uwag na temat wkładu i ograniczeń CobiT.

Uwagi i odniesienia

1. ISACA publikuje ramy zarządzania COBIT 5 - Isaca.org, 10 kwietnia 2012
2. „  ISACA Refreshes COBIT Framework to Address Latest Business Technology Trends and Standards  ” , na www.isaca.org (dostęp 7 grudnia 2018 )
3. ISACA: „Zorientowane biznesowo repozytorium ładu korporacyjnego i zarządzania IT” i „Procesy umożliwiające”.
4. Ahmed Bounfour, Kapitał niematerialny, wiedza i wydajność , Harmattan, 2006 ( ISBN  978-2-2960-1128-1 ) str.  127
5. System informacyjny: analiza perspektywiczna - Philippe Gautier, IGD
6. COBIT (Control Objectives for Information and related Technologies), wersja 4.0, 2005 - Klub właścicieli systemów informatycznych, Volle.com, 31 grudnia 2006

Załączniki

Powiązane artykuły

• Zarządzanie technologiami informacyjnymi
• Analiza decyzyjna złożonych systemów
• Ład korporacyjny, zarządzanie ryzykiem i zgodność

Bibliografia

• Frédéric Georgel, Zarządzanie IT: strategiczne zarządzanie systemem informacyjnym , Paryż, Dunod, 2009 ( ISBN  978-2100525744 )
• D. Moisand i F. Garnier de Labareyre, CobiT : Dla lepszego zarządzania systemami informacyjnymi , Paryż, Eyrolles, 2009 ( ISBN  978-2212124279 )

Linki zewnętrzne

• (en) Co to jest COBIT 5 - Isaca.org
• (en) Cobit 5 Checklist - Minimarisk.com, 2013 [PDF] (zobacz archiwum)