چارچوب اهداف کنترلی فناوری اطلاعات (COBIT)

در سال‌های اخیر سازمان‌ها و موسسات معتبر دنیا نسبت به تعریف و تدوین چارچوب ها و استانداردهای مرتبط با حاکمیت و راهبری فناوری اطلاعات پرداخته اند . از جمله سازمان بین‌المللی استاندارد (ISO) در سال ۲۰۰۸ استاندارد جهانی جدیدی (ISO/IEC38500-2000) به نام Corporate Governance of IT منتشر کرده است. (ITGI (IT Governance Institute موسسه ای در حوزه راهبری فناوری اطلاعات (از ۱۹۹۸)، در این حوزه چارچوب های را تدوین و ارائه کرده است.

مدیران ارشد به اهمیت فناوری اطلاعات در موفقیت سازمان‌ها بیش از پیش پی برده‌اند. آنان به این امر واقف شده‌اند که می‌بایست در رابطه با نحوه‌ی راهبری فناوری اطلاعات در سازمان آگاهی لازم را داشته باشند. در راستای پاسخگویی به اهدافی نظیر برقراری ارتباط با الزامات سازمان، بهره‌گیری از یک مدل مشخص، شناسایی منابع اصلی و تعریف اهداف کنترلی مدیریتی و … چارچوبی به نام COBIT ایجاد شد که از ویژگی های اصلی آن می‌توان به تمرکز بر کسب و کار، فرایند محوری، بر پایه کنترل و با قابلیت اندازه گیری اشاره نمود.

 تاریخچه COBIT

بنیاد ممیزی و کنترل سیستمهای اطلاعاتی در سال ۱۹۹۶ اقدام به تدوین و انتشار چارچوب COBIT نمود. در سال ۱۹۹۸، ویرایش دوم این مجموعه که شامل محتویات و مطالب بیشتری بود، منتشر شد. در سال ۱۹۹۸، مؤسسه راهبری فناوری اطلاعات به منظور هدایت تحقیقات در راستای حوزه بسیار مهم راهبری فناوری اطلاعات و تمرکز خاص بر چارچوب، فرآیندها، اهداف کنترلی و مدلهای تکامل یافته COBIT تأسیس شد. در همین سال، بنیاد ممیزی و کنترل سیستم­ های اطلاعاتی به همراه مؤسسه راهبری فناوری اطلاعات به یک نهاد مشترک تبدیل شدند که این نهاد نسخه سوم COBIT را در سال ۲۰۰۰ و نسخه چهارم آن تحت عنوان COBIT4 را در سال ۲۰۰۵ منتشر کرد. نهایتاً این نسخه با اصلاحات جزئی در قالب نسخه ۴.۱ در سال ۲۰۰۷ منتشر گردید. آخرین نسخه غیر رسمی این چهارچوب با عنوان COBIT5 در سال ۲۰۱۱ انتشار یافته است و زمان انتشار رسمی این نسخه ۲۰۱۲ اعلام گردید. و در سال ۲۰۱۹ نسخه جدید COBIT2019 منتشر گردید.

 چارچوب اهداف کنترلی فناوری اطلاعات

متشکل از یک چارچوب و مجموعه ای از ابزار پشتیبانی است که موجب توانمندی مدیران در رفع فاصله میان الزامات کنترل، مقولات فنی و مخاطرات کسب و کار میگردد و سطحی از کنترل را به ذینفعان ابلاغ و ارائه میکند. COBIT موجب تدوین سیاستهای شفاف و روشهای عملی کارآمد برای کنترل فناوری اطلاعات در سراسر سازمان‌ها میشود . COBIT به طور مستمر دادهها و اطلاعات خود را به روز میکند و خود را با دیگر استانداردها و سندهای راهنما تطبیق میدهد. از این‌رو، میتوان این چارچوب را به عنوان یکپارچهکننده ای برای روشهای عملی کارآمد فناوری اطلاعات و یک چتر دانشی برای راهبری فناوری اطلاعات در نظر گرفت که میتواند کمک شایانی به درک و مدیریت مخاطرات و منافع فناوری اطلاعات کند. ساختار فرآیندی COBIT و رویکرد کسب و کار گرا و سطح کلان آن موجب خلق منظری جامع از فناوری اطلاعات و اتخاذ تصمیمات کلیدی پیرامون فناوری اطلاعات میشود.

Cobit5 مبتنی بر نسخه قبلی Cobit و چارچوب Val IT و چارچوب Risk IT می‌باشد. بهبودهای قابل توجهی که در نسخه فعلی Cobit روی داده است، این چارچوب را به عنوان مدلی مرجع برای حاکمیت و مدیریت فناوری اطلاعات اتخاذ کرده است. بر خلاف Cobit5 ، Cobit4.1 تمامی سطوح چارچوب حاکمیتی فناوری اطلاعات ، ITIL و TOGAF را شامل می‌شود.

ویژگی های چارچوب COBIT

COBIT  برای پاسخگویی به نیازهای مطرح شده، دارای چهار مشخصه «کسب­ و کار محور» ، «فرآیندگرا» ، «کنترل ‌محور» و «سنجش محور» است.

کسب و کار محوری : کسب و کار محوری ویژگی و مشخصه اصلی COBIT است.

فرآیندگرایی : COBIT مدل فرآیندی مرجعی را برای هر شخصی که در سازمان‌ها به نحوی با نظارت و مدیریت فعالیت‌های فناوری اطلاعات در ارتباط است، ارائه میدهد.

کنترل محوری : COBIT مجموعه ای از اهداف کنترلی را برای تمامی فرآیندهای راهبری فناوری اطلاعات تعریف میکند.

سنجش محوری : چارچوب COBIT با فراهم نمودن یکسری اهداف و شاخصهای عملکرد برای فرآیندهای فناوری اطلاعات و همچنین اهداف فعالیت برای دستیابی به عملکرد موثر فرآیندها به این امور رسیدگی می نماید.

چارچوب COBIT5 ، پنج اصل را پیروی می کند که این ۵ اصل عبارت است از :

اصل ۱ : تامین نیازهای ذینفعان

سازمان‌ها برای خلق ارزش برای ذینفعان خود وجود دارند. COBIT5 به سازمان‌ها کمک می کند تا از طریق برقراری توازن بین تحقق منافع و بهینه  سازی ریسک ها و استفاده موثر از منابع،  ارزش بهینه برای ذینفعان خلق کند. COBIT5 تمام فرایندها و توانمندسازهای لازم برای پشتیبانی از خلق ارزش کسب و کاری از طریق IT را فراهم می‌کند. نیازهای ذینفعان باید بتواند به استراتژی‌های قابل اجرای سازمان تبدیل شود. آبشار اهداف (COBIT5 (Goals Cascade ، مکانیزمی برای ترجمه و تبدیل  این نیازها به اهداف قابل اجرای خاص در سازمان، اهداف مرتبط با IT و اهداف توانمندسازها فراهم می‌کند.

اصل ۲ : پوشش کل سازمان

به راهبری و مدیریت اطلاعات و فناوری‌های مرتبط با آن از منظر کل سازمان می‌نگرد. راهبری IT سازمان را در راهبری سازمان یکپارچه می‌کند. یعنی سیستم راهبری طراحی شده توسط COBIT5 برای راهبری IT سازمان، در هر سیستم راهبری قابل یکپارچه شدن است. زیرا COBIT5 با آخرین دیدگاه‌های راهبری همسو است. COBIT5 نه فقط بر وظایف IT تمرکز دارد بلکه :

تمام وظایف و فرایندهای سازمان را از منظر IT پوشش می‌دهد

اطلاعات و فناوری‌های مرتبط با آنرا دارایی تلقی می کند که باید با آن مثل سایر دارایی‌ها رفتار کرد.

اصل ۳ : بکارگیری چارچوب یکپارچه واحد

اصل ۴ : امکان پذیر ساختن رویکرد کل‌گرایی

توانمندسازهای COBIT5 ، عواملی هستند که : به صورت فردی یا جمعی بر اینکه آیا چیزی بخوبی کار می‌کند یا نه اثر می‌گذارند. مبتنی بر آبشار اهداف هستند یعنی اهداف سطح بالاتر IT تعیین می‌کند که توانمندسازهای مختلف چه اهدافی را باید کسب کنند.

توانمندسازهای چارچوب COBIT5 در ۷ گروه زیر قرار می‌گیرند :

• فرایندها
• ساختارهای سازمانی
• فرهنگ، اخلاق و رفتار
• اصول، سیاست‌ها و چارچوب‌ها
• اطلاعات
• خدمات، زیر ساخت‌ها و کاربردها
• افراد، مهارت‌ها و صلاحیت‌ها

 اصل ۵ : جداسازی فرایندهای مدیریت و راهبری در COBIT5

COBIT5 براساس استاندارد ISO/IEC38500 مشخصاً وظایف مدیریتی را از راهبری آن جدا می‌کند. COBIT5 هفت گروه توانمندساز (اصل ۴) تعریف می‌کند که فرایندها یکی از آنهاست.

COBIT5 دارای یک مدل مرجع فرایندی با مشخصات زیر است :

حوزه کاری (Domain)

۳۷ فرایند (Processes)

۲۰۸ بهروش/تجربه خوب (Practices Good) راهبری و مدیریت

فرایند های COBIT5

COBIT مدل فرآیندی مرجعی را ارائه میدهد. این مدل مرجع از پنج حوزه برنامه ریزی، پیاده سازی، اجرا، پشتیبانی و نظارت و راهبری تشکیل میشود.

هر یک از حوزه ها شامل فرآیندهایی می باشد که در مجموع شامل ۳۷ فرآیند است .