استاندارد کوبیت (COBIT) به حاکمیت فناوری اطلاعات در سازمانها میپردازد و در سالهای اخیر موردتوجه سازمانها و مدیران قرار گرفته است تا به کمک آن بتوانند ارتباط خوبی بین اهداف و خط مشیهای سازمان و فرایندهای سازمانی برقرار کرده و از توانمندسازهای سازمانی به خوبی و در یک راستا بهره بگیرند.
COBIT مخفف Control Objectives for Information & related Technology به معنی کنترل اهداف و اطلاعات مربوط به فناوری های مرتبط است. این چارچوبی است که توسط ISACA (انجمن حسابرسی و کنترل سیستمهای اطلاعاتی) برای مدیریت فناوری اطلاعات ایجاد شده است. این طراحی به عنوان یک ابزار حمایتی برای مدیران طراحی شده است و اجازه می دهد تا شکاف اساسی بین موضوعات فنی، خطرات تجاری و الزامات کنترلی پر شود. COBIT یک راهنمای کاملاً شناخته شده است که می تواند برای هر سازمانی در هر صنعتی اعمال شود.
به طور کلی، COBIT کیفیت، کنترل و قابلیت اطمینان سیستم های اطلاعاتی را در یک سازمان تضمین می کند که یکی از مهمترین جنبه هر تجارت مدرن است.
امروزه، COBIT در سطح جهانی توسط کلیه مدیران فرایندهای تجاری IT برای تجهیز آنها به یک الگوی برای ارزشمند ساختن سازمان، و شیوه های بهتر مدیریت ریسک مرتبط با فرآیندهای IT مورد استفاده قرار می گیرد. مدل کنترل COBIT درستی سیستم اطلاعات را تضمین می کند.
در سالهاي اخير بديهي است که به يک چارچوب مرجع براي کنترل و امنيت در خبرهاي فناوري اطلاعات نياز است، همچنين نياز بيشتري وجود دارد براي اينکه کاربران از ارائه خدمات فناوري اطلاعات، از راه مميزي خدمات ارائه شده توسط گروههاي داخلي و شخص ثالث، اطمينان حاصل كنند. همچنين براي دستيابي به مزيت رقابتي و کارآمد بودن از نظر هزينه با تکيه بر تکنولوژي، براي دستيابي به موفقيت در مديريت سازمان و مديريت فناوري اطلاعات و نظارت و ارزيابي بر عملکرد سازمان، براي برآورده کردن هدفها و الزامات تجاري در جهت پاسخگويي به نيازها، از چارچوب مرجع به نام COBIT استفاده ميشود.
هدف اصلي پروژه COBIT، توسعه خط مشيهاي واضح و مدلهاي مناسب براي امنيت و کنترل فناوري اطلاعات، براي تأييد جهاني توسط سازمانهاي تخصصي، دولتي و تجاري است. هدف COBIT برآورده کردن هدفهاي تجاري است.
پذیرش و اجرای موفق COBIT به آموزش احتیاج دارد. پس از معرفی COBIT در سازمان، ابتدا مسئولان باید با آن آشنایی پیدا کرده و آن را بپذیرند. پس از پذیرش، لازم است کوبیت فناوری اطلاعات در اساسنامه و خط مشی سازمان به عنوان یک مدل مناسب و سودمند مشخص شود. سپس از طریق فرمها ارزیابی ریسک و برنامه ریزی ممیزی انجام شود. این فرمها عبارتند از:
فرم فعالیتهای پیش ممیزی:
شناسایی این موضوع که آیا فعالیتهای ممیزی مرتبط با فرآیند فناوری اطلاعات در حوزه پیش از ممیزی قرار میگیرد یا خیر، بر عهده این دسته از فرمها است. فرم فعالیتهای پیش ممیزی، توسط تیم ممیزی تکمیل میشود.
فرم خلاصه گزارش بخش:
این فرم فرآیندهای مربوط به فناوری اطلاعات را که اهمیت زیادی هم دارند، شناسایی کرده و مورد توجه قرار میدهد. این فرم توسط مدیران بخشها تکمیل میشود.
فرم ارزیابی ریسک:
این فرم به تیم ممیزی در شناسایی فرآیندهای مربوط به فناوری اطلاعات، در جایی که احتمال ریسک وجود دارد، کمک میکند. فرم ارزیابی ریسک توسط تیم ممیزی یا مدیران و یا به طور مشترک تکمیل میشود.
فرم گروههای مسئول:
این فرمها برای شناسایی افرادی مورد استفاده قرار میگیرد که هر فرآیند مربوط به فناوری اطلاعات را انجام میدهند و همچنین افرادی که مسئول نهایی هر فرآیند هستند. فرم گروههای مسئول، توسط تیم ممیزی با مشارکت مدیران بخش ممیزی تکمیل میشود.
پس از برنامهريزی، فرايند مميزی براساس گامهای زير انجام می گيرد:
1. تعيين نوع مميزی: نوع مميزی مورد نياز براي بخشی که بايد مميزی شود را انتخاب کنيد. انواع مميزی هايی که ممکن است انجام شوند، عبارتند از: مالی، عملکرد، مطلوبيت و غیره.
2. تعيين هدفهای مميزی: بعد از انتخاب نوع مميزی، زمان آن است که هدفهای کنترل COBIT برای دستيابي به بينش و آگاهی بيشتر فرايندهای مربوط به فناوری اطلاعات انتخاب شده براي اين مميزی به کار گرفته شود.
3. توسعه و برنامهريزی مميزی: در صورتی که يک برنامه مميزی وجود داشته باشد، آن برنامه با راهنمای مميزی COBIT مقايسه ميشود و اگر برنامه مميزی وجود نداشته باشد، از راه راهنمای مميزی COBIT يک برنامه مميزی تهيه می شود. در اين گام فعاليتهای زير انجام ميشود: مقايسه هدفهای مميزی با هدفهای کنترل COBIT، مقايسه برنامه مميزی با برنامه مميزی COBIT، افزودن فعاليتهای مميزی پيشنهاد شده از راه نظامنامهها و راهنماهای سازمانی و قانونی.
4. انجام مميزی: مميزی مطابق راهنمای مميزی COBIT انجام ميگيرد.
5. نوشتن گزارش مميزی: نوشتن نتايج با تمرکز روی هدفهايی که برآورده شدهاند و هدفهایی که برآورده نشدهاند.
خیلی از کارشناسان حوزه فناوری اطلاعات ارتباط و تشابه ویرایش جدید COBIT را با سایر چارچوب ها ی شناخته شده همچون ITIL (ISO/IEC 20000), TOGAF و CMMI بیش از پیش مطرح میکنند ولی علیرغم اینکه همه آنها در بستر فناوری اطلاعات و ارتباطات سازمان محقق می شوند، تفاوت های قابل توجهی با یکدیگر دارند. چاچوب (ITIL (ISO/IEC 20000 به مدیریت خدمات فناوری اطلاعات و TOGAF نیز در حوزه معماری فرایندهای سازمانی می پردازد ولی COBIT صرفا حاکمیت و مدیریت اطلاعات و فناوری سازمان را در می گیرد. به عبارتی COBIT به چرایی موضوع و ITIL به چگونگی انجام موضوع در سازمان میپردازد که البته بکارگیری این دو چارچوب در سازمان هیچ مغایرتی نداشته و استفاده از هر دو پیشنهاد می گردد.
چارچوب ITIL به عنوان یک چارچوب مدیریت سرویس فناوری اطلاعات (ITSM) برای بسیاری از متخصصین IT شناخته شده است. با در نظر گرفتن اینکه ITIL نسبت بهCOBIT از محبوبیت بالاتری برخوردار است، اما به نظر میرسد که تا حد زیادی هدف هر دو چارچوب، فراهم کردن رهنمونهایی جهت مدیریت و حکمرانی سرویسهای مرتبط با IT است. پس چه چیزی COBIT را از ITIL متمایز میسازد؟
هدف اصلی چارچوب کوبیت فراهم کردن رهنمونهایی برای پیادهسازی، عملیاتی کردن و همچنین بهبود تمامی امور مربوط به حکمرانی و مدیریت IT میباشد. ITIL رهنمونها و توصیههایی برای عملیاتیسازی ITSM با رویکرد افزایش ارزش تجاری فراهم میکند که عمدتاً مختص به فراهم کنندگان سرویسهای IT است. به طور کلی، چارچوب COBIT گستردهتر از ITIL است، اما چارچوب ITIL مفاهیم و رهنمونهای عمیقتر و جزئیتری را در خصوص ITSM فراهم میکند.
تفاوت بین این دو چارچوب در برخی منابع به یک عبارت کوتاه خلاصه میشود: “کوبیت به چرایی موضوع میپردازد حال آنکه ITIL به چگونگی انجام آن توجه میکند”. به طور دقیقتر، اگر به عنوان متخصص IT به دنبال برطرف کردن نیازهای تجاری خود در خصوص ITSM هستید، میتوانید از رهنمونهای هر دو چارچوب بهره ببرید. در بسیاری از موارد چارچوبهای شناخته شدهی دیگر مانند چارچوب عملیاتی مایکروسافت (MOF) نیز میتواند فرایندهای IT را بهبود بخشد.
1. آیا بخش سازمان فن آوری اطلاعات من رسالت خود را به درستی انجام می دهد یا خیر؟
2. آیا بخش IT در مسیر درستی حرکت کرده و به اهداف خود دست می یابد یا خیر؟
3. آیا پروژه های این بخش بدرستی انجام و به پایان می رسد یا خیر؟
4. آیا سازمان من از سود و مزایای IT بهره مند می گردد یا خیر؟
1. طراحی و سازماندهی فرآیندهای IT
2. بدست آوردن و پیاده سازی فرآیندها
3. تحویل و پشتیبانی فرآیندها
4. پایش و ارزیابی مستمر فرآیندهای IT می باشد.
این بدان معنی است که این چهارچوب سبب می شود که تمامی فرآیندها و پروژه های IT محور بصورت مداوم شامل این چرخه شده تا در سازمان شما به نهایت بلوغ خود نزدیک شود. در این چهارچوب منابع شامل برنامه های کاربردی، اطلاعات، زیرساخت و نیروی انسانی می شود که می بایست فرآیند های شما بر اساس این منابع طراحی و پیاده سازی گردد.
از یک منظر می توان گفت که COBIT یک هارمونی زیبا بین استاندارهایی مانند ITIL، PMBOK و ISO 27001 و ISO 27002 می باشد که در درون خود چرخه حیات IT، نحوه مدیریت پروژه های IT و ایجاد یک چتر امنیتی استاندارد را در بر دارد.