COBIT tajemství zbavený
V tomto příspěvku se dozvíte, co je to COBIT, pro koho je tato metodika určena a jaký je její přínos.
Metodika CobiT (Control OBjectives for Information and related Technology) je považována za soubor těch nejlepších praktik pro řízení informatiky (IT Governance), které by měly umožnit dosažení strategických cílů organizace díky efektivnímu využití dostupných zdrojů a minimalizaci IT rizik.
Metodika CobiT Je určena především pro executive management a osoby provádějící audit. Poprvé byla vydána v roce 1996 organizací ISACA. První vydání zahrnovalo rámec metodiky (framework). Ve druhém vydání z roku 1998 přibyly auditní postupy (audit guidelines), sada implementačních nástrojů (implementation toolset) a rozpracované procesy a detailní cíle (control objectives). Ve třetím vydání z roku 2000 přibyly manažerské postupy (management guidelines) a byl inovován rámec metodiky, tentokrát však již pod hlavičkou ITGI (IT Governance Institute), což je nezisková organizace založená ISACA. Ve verzi 4.0 z roku 2005 bylo těchto několik dokumentů sloučeno do jednoho, což byl velice rozumný krok a konečně v roce 2007 vyšel CobiT ve verzi 4.1 o rozsahu 213 stran, který rozděluje IT do 4 domén, které zároveň tvoří i hlavní kapitoly knihy, v rámci kterých je popsáno 34 procesů:
- Plánování a organizace (Plan and Organise) – 10 procesů:
- PO1 Define a strategic IT plan.
- PO2 Define the information architecture.
- PO3 Determine technological direction.
- PO4 Define the IT processes, organisation and relationships.
- PO5 Manage the IT investment.
- PO6 Communicate management aims and direction.
- PO7 Manage IT human resources.
- PO8 Manage quality.
- PO9 Assess and manage IT risks.
- PO10 Manage projects.
- Akvizice a implementace (Acquire and Implement) – 7 procesů:
- AI1 Identify automated solutions.
- AI2 Acquire and maintain application software.
- AI3 Acquire and maintain technology infrastructure.
- AI4 Enable operation and use.
- AI5 Procure IT resources.
- AI6 Manage changes.
- AI7 Install and accredit solutions and changes.
- Dodání a podpora (Deliver and Support) – 13 procesů:
- DS1 Define and manage service levels.
- DS2 Manage third-party services.
- DS3 Manage performance and capacity.
- DS4 Ensure continuous service.
- DS5 Ensure systems security.
- DS6 Identify and allocate costs.
- DS7 Educate and train users.
- DS8 Manage service desk and incidents.
- DS9 Manage the configuration.
- DS10 Manage problems.
- DS11 Manage data.
- DS12 Manage the physical environment.
- DS13 Manage operations.
- Monitorování a vyhodnocování (Monitor and Evaluate) – 4 procesy:
- ME1 Monitor and evaluate IT performance.
- ME2 Monitor and evaluate internal control.
- ME3 Ensure compliance with external requirements.
- ME4 Provide IT governance.
Pokud se podíváme na zaměření jednotlivých domén, nemůže naší pozornosti ujít, že se ve své podstatě nejedná o nic jiného než klasický PDCA cyklus, kde Demingově fázi PLAN odpovídá Plánování a organizace (Plan and Organise), fáze DO je zastoupena doménou Akvizice a implementace (Acquire and Implement) + Poskytování a podpora (Deliver and Support) a posledním dvěma fázím CHECK+ACT odpovídá doména Monitorování a vyhodnocování (Monitor and Evaluate).
COBIT podobně jako ITIL vychází ze skutečnosti, že aby podnik mohl dosahovat svých cílů (Business goals), vznáší business požadavky (Business Requirements), které generují požadavky na IT zdroje (IT resources), jež jsou zapojeny do IT procesů (IT processes) přinášející businessu požadovanou službu a informace (Enterprise Information).
Dle COBIT by měly informace, která IT poskytuje, splňovat těchto 7 kritérií:
- důvěrnost (confidentiality) – požadavky zahrnující oblast ochrany důležitých informací proti neautorizovanému použití (prozrazení);
- integrita (integrity) – požadavky týkající se přesnosti a kompletnosti informace ve vztahu k požadavkům podnikání a jeho očekáváním;
- dostupnost (availability) – požadavky vztahující se k dostupnosti informace pro podnikání (nyní, ale i v budoucnosti). A dále požadavky na ochranu potřebných zdrojů (např. datových, technologických);
- efektivita/účelnost/účinnost (effectiveness) – požadavky na včasné doručování relevantních informací ve správném, konzistentním a použitelném tvaru;
- hospodárnost (efficiency) – požadavky na zpracování informací (nejekonomičtějším a nejproduktivnějším způsobem) prostřednictvím optimálního využívání zdrojů informatiky;
- soulad (compliance) – požadavky týkající se udržování souladu se zákony, regulacemi, směrnicemi a kontraktačními podmínkami, které se týkají procesů podnikání (hlavních podnikových procesů);
- spolehlivost (reliability) – požadavky vztahující se k přínosu informace pro rozhodování manažerů.
Splnit tato kritéria je však možné pouze v okamžiku, kdy IT disponuje potřebnými zdroji a má zavedené odpovídající procesy. V CobiT jsou každému procesu věnovány obvykle 4 strany. Na první straně pojmenované Process Description je proces vždy stručně na několika málo řádcích popsán. U každého procesu je uvedeno, jaký požadavek resp. potřebu podniku daný proces pomáhá uspokojovat a na co se proces zaměřuje resp. co je jeho cílem a jak tohoto cíle dosáhnout a jak ho měřit. Vzhledem k tomu, že k realizaci procesu jsou obvykle potřeba následující zdroje:
- aplikace,
- infrastruktura (HW, SW, OS, síť),
- lidé a
- informace
a ne vždy je potřeba je zapojit všechny, tak CobiT u každého procesu uvádí, které přesně to jsou. Poté následuje strana pojmenovaná Control Objectives, která se věnuje popisu cílů opatření, obvykle nepřesahujících jednu stranu. Na další straně, pojmenované Management Guidelines, jsou pak vyjmenovány vstupy (inputs) a výstupy (outputs) z daného procesu a z jakých činností se celý proces skládá. Ve formě RACI tabulky (RACI chart) je zachycen vztah mezi jednotlivými činnostmi (activities) a funkcemi (functions), které:
- dané činnosti fyzicky vykonávají (Responsible),
- nesou za splnění odpovědnost (Accountable),
- je potřeba s nimi postup konzultovat (Consulted),
- včas je informovat (Informed).
U všech procesů jsou uvedeny stejné funkce a to: CIO, CFO, CEO, Business Executive, Business Process Owner, Head Operations, Chief Architect, Head Development, Head IT Administration, PMO, Compliance – Audit – Risk and Security. Na téže straně je pak schematicky znázorněn vztah mezi cíly a metrikami (Goals and Metrics), procesy a činnostmi a popsán způsob, jak je měřit. Poslední čtvrtá strana, pojmenovaná Maturity Model, se věnuje popisu jednotlivých stupňů vyzrálosti a poskytuje též návod jak vyzrálost daného procesu vyhodnotit. Je zřejmé, že musíme také sledovat a měřit jak jsou dosahovány cíle aktivit, procesů, IT a businessu. Kromě konkrétních cílů je pro každý proces definováno šest obecných cílů, které jsou označeny zkratkou PC+číslo a pro aplikace analogicky AC+číslo.
Závěr: S publikací CobiT se velice dobře pracuje a člověk se v ní rychle orientuje, neboť vše je vyvedeno přehledné tabelární formě s pevně danou strukturou. Nicméně přes výše uvedené skutečnosti se nemohu ubránit dojmu, že z celého řízení informatiky se dělá až příliš velká věda a CobiT je navíc psán jazykem, kterým běžný CIO prostě nehovoří, což snazšímu zavedení IT Governance nepřispívá a CobiT se tak stává pouhým nástrojem v rukou auditorů, bohužel.
Poznámka: V CobiT se mimo jiné také dočtete, že vaše cíle by měly být SMARRT (Specific, Measurable, Actionable, Realistic, Results-oriented, Timely). Přitom donedávna všem stačilo, když jejich cíle byly SMART;-) Jsem zvědav, s čím na nás pánové vyrukují v další verzi CobiT, na které se intenzivně pracuje.
A jaké jsou vaše zkušenosti s metodikou CobiT?
ČERMÁK, Miroslav, 2010. COBIT tajemství zbavený. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/cobit-tajemstvi-zbaveny/. [citováno 07.12.2024].
Štítky: CobiT, IT governance
K článku “COBIT tajemství zbavený” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.