מתודולוגית CobiT (Control Objectives for Information and related Technology) פותחה על-ידי המכון למנהל IT * וזכתה להכרה עולמית.
מדובר באוסף של שיטות עבודה מקובלות (good practices) המעוגנות במסגרת תהליכית (process framework). המבנה הלוגי המוצג על-ידי CobiT ניתן לניהול בקלות. שיטות העבודה המקובלות שנכללו ב- CobiT מוסכמות על מיטב המומחים בעולם. CobiT מתמקד בעיקר בבקרות על הפעילות ולא בתפעול עצמו.
למה לבחור ב- CobiT ?
באמצעות CobiT ניתן לייעל את ההשקעות ב- IT ולהבטיח מתן שירות הולם. בנוסף, CobiT מהווה קנה מידה שניתן להשוות מולו במקרים כשהדברים משתבשים.
בכללי, יישום CobiT מקנה את היתרונות הבאים לארגון:
• מיפוי פעילות IT עבור ההנהלה
• קישור פעילויות IT לדרישות העסקיות
• הגדרת בעלות ותחומי אחריות המבוססים על תהליכים ב- IT
• אספקת מדדים ומודלים למדידת הצלחה ועמידה ביעדים
• הכרה על-ידי גופים רגולטוריים
• יצירת שפה משותפת לכל הגורמים המעורבים
• עמידת סביבת הבקרה של IT בדרישות מודל COSO
CobiT 4.1 שפורסם לאחרונה מהווה עדכון הגרסה הקודמת (מהדורה 4.0 שפורסמה בנובמבר 2005). CobiT 4.1 מפרט יעדי בקרה, בקרות משופרות על התהליכים ובקרות ליישומי מחשב. המתודולוגיה כוללת הסברים איך למדוד ביצועים.
פירוק לתהליכים
מודל מונחה תהליך של CobiT מחלק את IT לארבעה תחומים ו- 34 תהליכים. לכל הפעילויות ב- IT מוגדרים הגורמים האחראיים על תכנון, בניה, תפעול וניטור.
מהם ארבעת התחומים שהוזכרו לעיל?
• Plan and Organize - PO
• Acquire and Implement - AI
• Deliver and Support - DS
• Monitor and Evaluate - ME
מהם 34 התהליכים שהזכרנו?
ME
1. ניטור והערכת ביצוע IT
2. ניטור והערכת הבקרה הפנימית
3. וידוא ציות לדרישות חיצוניות (כגון: רגולציה)
4. אספקת שירותי מנהל IT
AI
1. זיהוי פתרונות אוטומטיים
2. רכש ותחזוקת יישומי תוכנה
3. רכש ותחזוקת תשתיות טכנולוגיות
4. מתן אפשרות לתפעל ולהשתמש
5. רכש משאבי מחשב
6. ניהול שינויים
7. התקנה ושיוך פתרונות ושינויים
DS
1. הגדרה וניהול של רמות שירות
2. ניהול שירותי צד שלישי
3. ניהול ביצועים וקיבולת
4. הבטחת המשכיות השירות
5. אבטחת המערכות
6. זיהוי והקצאת עלויות
7. הדרכת משתמשים
8. ניהול מוקדי סיוע ואירועים חריגים
9. ניהול תצורה
10. ניהול בעיות
11. ניהול נתונים
12. ניהול הסביבה הפיזית
13. ניהול התפעול
PO
1. הגדרת תוכנית אסטרטגית ל- IT
2. הגדרת ארכיטקטורת המידע
3. קביעת כיוון טכנולוגי
4. הגדרת תהליכי IT, ארגון ומערכות יחסים
5. ניהול השקעות ב- IT
6. הטמעת יעדי הנהלה
7. ניהול משאבי אנוש עבור IT
8. ניהול איכות
9. הערכה וניהול סיכוני IT
10. ניהול פרוייקטים
תיאור הבקרות ב CobiT
בכל תהליך של CobiT נדרש להגדיר מספר בקרות. לכל אחת מהבקרות מוצע במתודולוגיה מבנה בסיסי. המבנה ניתן להרחבה ושינוי בהתאם לדרישות ספציפיות של ארגון זה או אחר.
המבנה כולל:
• שם תהליך מבוקר
• תמצית הדרישה העסקית שלמענה מתקיימת בקרת ה- IT
• פירוט (תוך מיקוד) הדרישה העסקית שלמענה מתקיימת בקרת ה- IT
• אופן ההשגה של המטרה
• אופן המדידה של הצלחת הבקרה
• שמות ותיאור של אובייקטי הבקרה שמשויכים לתהליך
בנוסף, CobiT מספק סיווג (צלעות "הקוביה") לפי שלושת התחומים הבאים:
א. שיוך לתחום IT
Plan and Organize - PO
Acquire and Implement - AI
Deliver and Support - DS
Monitor and Evaluate - ME
ב. עמידה בדרישות עסקיות (אחת או יותר)
יעילות (Effectiveness)
נצילות (Efficiency)
סודיות (Confidentiality)
שלמות (Integrity)
זמינות (Availability)
ציות (Compliance)
אמינות (Reliability)
ג. משאבי IT (אחד או יותר)
יישומים (Applications)
מידע (Information)
תשתיות (Infrastructure)
אנשים (People)
המלצות ליישום
אני ממליץ לחלק את עבודת היישום של CobiT 4.1 לשני שלבים עיקריים.
בשלב הראשון לכל 34 התהליכים אליהם מתייחס CobiT נתאים בקרות (control objectives) באופן הבא:
• בחירת בקרות ישימות
• קבלת החלטה איזו בקרות ייושמו בפועל
• אפיון של הבקרות אותן יוחלט ליישם (תדירות, תחום, אוטומציה ועוד)
• הסכמה על רמת הסיכון המקובלת (הסיכון קיים עקב אי-יישום של חלק מן הבקרות הישימות)
• קביעת בקרות ויישומן באים להבטיח השגת היעדים העסקיים של הארגון והימנעות (או איתור ותיקון) מאירועים בלתי רצויים.
בשלב השני נגדיר:
• Benchmarking לתהליכי IT (ביצועים ויכולות) בהצגה מבוססת Maturity Models (נגזר ממודל CMM ** של המכון להנדסת התוכנה)
• יעדים ומדדים לכל תהליכי IT על-מנת למדוד תוצרים וביצועים, על-פי שיטת Balanced Business Scorecard R. Kaplan, D. Norton ***).
• יעדי פעילות על-מנת לקיים בקרה על התהליכים, על בסיס הבקרות שהוגדרו עם CobiT
ביצוע השלב השני מאפשר להנהלת הארגון ו- IT לזהות פערים ביכולות ולתכנן דרכי פעולה לשיפור המצב והתאמה טובה יותר לדרישות העסקיות.
לסיכום
השגת בקרה טובה על פעילויות IT בארגון מהווה מפתח להצלחת הארגון כולו. בקרה חלשה על IT עלולה למנוע מהארגון השגת יעדים אסטרטגיים ואף להביא לקריסתו (לדוגמא, על-ידי מתן שירות גרוע ללקוחות, חדירה למערכות הארגון, הפסדים כספיים עקב פרוייקטי IT כושלים ועוד).
מתודולוגיית CobiT הוכחה כיעילה ומשמשת היום אלפי מנהלים בכירים ואחראי בקרה בארגונים מסביב לעולם.
באמצעות יישום CobiT הארגונים מצליחים לתכנן טוב יותר את ההשקעה במערך ה- IT, לעמוד בקלות יותר בדרישות הרגולציה, להשיג ניהול סיכונים יעיל יותר ובקרה טובה יותר על הפעילות.
הערות
* המכון למנהל IT IT Governance Institute
CMM ** השיטה פותחה ב- Software Engineering Institute, USA, www.sei.cmu.edu.
Balanced Business Scorecard *** שיטה למדידת ביצועים, כפי שתוארה בהרחבה במקורות הבאים:
Kaplan R S and Norton D P (1992) "The balanced scorecard: measures that drive performance", Harvard Business Review Jan - Feb pp71-80.
Kaplan R S and Norton D P (1996) ?Balanced Scorecard: Translating Strategy into Action? Harvard Business School Press
Kaplan R S and Norton D P (2004). "Measuring the strategic readiness of intangible assets" Harvard Business Review, 82(2): 52-63.
רמי איצלב, M.B.A, CISA
בעל תואר ראשון במדעי המחשב וסטטיסטיקה ותואר שני במנהל עסקים מאוניברסיטת בר-אילן, חוקר פלילי מוסמך ומבקר מערכות מידע (CISA) מוסמך.
מייסד חברת "ארה שירותי ביקורת" - eRA IT Audit Services המתמקצעת בביקורת מערכות מידע, אבטחת מידע, בדיקות חדירה, SOX IT וניהול סיכונים.
אתר: http://www.era-ita.com
דוא"ל: rami@era-ita.com
