COBIT

COBIT (for "  Kontrolmål for information og relateret teknologi  " eller "informationsstyringsmål og tilknyttede teknologier" på fransk) er et lager af bedste praksis inden for revision og corporate governance af IKT til amerikansk oprindelse . I løbet af på hinanden følgende versioner, det har en tendens til at blive et samlende værktøj til styring af informationssystemer ved gradvist at integrere bidrag fra andre standarder såsom ISO 9000 , ITIL ,  etc.

Historisk

Den styring af informationssystemer (Information Technology (IT) Governance) har spredning inden virksomheder i en sammenhæng, hvor på den ene side har automatisering af virksomhedens funktioner bliver et væsentligt element i organisationen. Selskab og på den anden side, ledere gør ikke se, hvordan IS kan give værdi og ydeevne i organisationen. Således kan vi tale om IS-styring og derfor om standarder og certificeringer, der tillader sidstnævnte. Det er også af hensyn til gennemsigtighed i information, at informationssystemer har udviklet, og at deres kontrol er blevet afgørende. Det vigtigste IS-styrings- og revisionslager er COBIT. Sammenfattende er COBIT en referenceramme til styring af styringen af ​​IS over tid. Den er baseret på et sæt god praksis indsamlet fra IS-eksperter.

COBIT blev udviklet i 1994 (og udgivet i 1996 ) af Information Systems Audit and Control Association ( ISACA ). ISACA blev oprettet i 1967 og har været repræsenteret i Frankrig siden 1982 af AFAI ( French Association for IT Audit and Consulting ). Det er en kontrolramme, der har til formål at hjælpe ledelsen med at håndtere risici (sikkerhed, pålidelighed, overholdelse) og investeringer. COBIT har udviklet sig, version 4 dukkede op i Frankrig i 2007.

COBIT er en procesorienteret tilgang, som den grupperer i fire områder (planlægning, konstruktion, udførelse og metrologi, analogt med Deming Wheel ), 34 separate processer, der inkluderer i alt 215 aktiviteter og et endnu større antal "praksis" "kontrol". En “informationssystemvurdering” -komponent, kendt under navnet Val IT, forsøger at gennemføre denne tilgang.

COBIT version 5 har været tilgængelig siden april 2012. COBIT 5 er til dato det eneste lager, der er forretningsorienteret til styring og styring af virksomhedsinformationssystemer. Det repræsenterer en større udvikling af arkivet.

COBIT 5 kan tilpasses til alle typer forretningsmodeller, teknologimiljøer, alle industrier, geografiske områder og virksomhedskulturer. Det kan anvendes til:

• Informationssikkerhed;
• Risikostyring;
• Styring og styring af virksomhedens informationssystem;
• Revisionsaktiviteter;
• Overholdelse af love og regler
• Finansielle transaktioner eller rapporter om virksomheders sociale ansvar.

COBIT 5-arkivet forenkler styringsudfordringer med kun fem principper og syv aktiver. Det muliggør integration med andre tilgange og standarder, herunder TOGAF , PMBOK , PRINCE2 , COSO , ISO / IEC 20000 , ISO / IEC 27001 , ITIL , PCI DSS , Sarbanes-Oxley og Basel III .

I november 2018, ISACA annoncerede den gradvise frigivelse af 2019-versionen af ​​COBIT.

COBIT-principper

COBIT giver ledere, revisorer og brugere af IKT ( informations- og kommunikationsteknologi ) indikatorer, processer og bedste praksis for at hjælpe dem med at maksimere fordelene ved brugen af ​​IT-teknikker og udvikling. Styring og kontrol af en virksomhed. Det hjælper dem med at forstå deres it-systemer og bestemme niveauet for sikkerhed og kontrol, der er nødvendigt for at beskytte deres forretning, gennem udvikling af en styringsmodel for informationssystemer såsom COBIT. Således leverer COBIT nøglemålsindikatorer, nøglepræstationsindikatorer og vigtige succesfaktorer for hver af sine processer. COBIT-modellen fokuserer på, hvad virksomheden skal gøre, ikke hvordan den skal gøre det.

COBIT-arkivet udgør en struktur af relationer og processer (referenceramme eller ramme ) rettet mod styring og kontrol af it-teknikker fra ledelsen af ​​virksomheden for at nå sine mål ved at bruge disse teknikker som et middel til at forbedre aktiviteten og imødekomme forretningsbehov , skal konsolideres i virksomhedens strategiske plan. Det er baseret på fem hovednøgler til styring og it-styring:

• Opfyld interessenternes behov
• Dæk virksomheden fra start til slut;
• Anvend en enkelt referenceramme;
• Separat styring og ledelse
• Fremme en holistisk tilgang.

Grundlæggende COBIT 5

En af de vigtigste nyheder ved COBIT 5 er at adressere informationssystemet ud over de processer, der allerede er fremsat af COBIT 4.1, gennem andre supplerende temaer som en del af en global (eller systemisk) tilgang. Alle disse temaer bidrager på en indbyrdes afhængig måde til styringen af ​​styring og styring af IS. 

COBIT 5 definerer 37 processer grupperet i fem områder.

1. Evaluer, direkte og overvåg:
   1. Sikre definition og vedligeholdelse af en styringsramme
   2. Sikre levering af fordele
   3. Sikre risikooptimering
   4. Sikre værdi for pengene
   5. Sikre gennemsigtighed for interessenter
2. Juster, planlæg og organiser:
   1. Administrer rammerne for it-styring
   2. Administrer strategi
   3. Administrer forretningsarkitekturen
   4. Administrer innovation
   5. Administrer porteføljen
   6. Administrer budget og omkostninger
   7. Administrer menneskelige relationer
   8. Administrer relationer
   9. Administrer serviceaftaler
   10. Administrer leverandører
   11. Administrer kvalitet
   12. Håndter risiko
   13. Administrer sikkerhed
3. Byg, erhverv og implementer:
   1. Administrer programmer og projekter
   2. Administrer definitionen af ​​krav
   3. Administrer identifikation og konstruktion af løsninger
   4. Administrer tilgængelighed og kapacitet
   5. Administrer organisationsændringer
   6. Administrer ændringer
   7. Administrer accept af forandring og overgang
   8. Administrer viden
   9. Administrer aktiver
   10. Administrer konfiguration
4. Lever, server og support:
   1. Administrer operationer
   2. Administrer serviceanmodninger og hændelser
   3. Administrer problemer
   4. Administrer kontinuitet
   5. Administrer sikkerhedstjenester
   6. Administrer forretningsproceskontroller
5. Overvåge, evaluere og måle:
   1. Overvåge, evaluere og måle ydeevne og overholdelse
   2. Overvåge, evaluere og måle det interne kontrolsystem
   3. Overvåge, evaluere og måle overholdelse af eksterne krav

Der er foretaget tilpasninger til denne version for at sikre bedre konvergens med andre standarder som ITIL og CMMI . Således vil COBIT 5, endnu mere end COBIT 4.1, hjælpe CIO'er med at implementere en samlet forbedringsmetode til CIO, homogen og koordineret, som ikke kun fokuserer på processer.

CobiT 4.1 Grundlæggende

COBIT 4.1 definerer 34 processer grupperet i fire områder.

COBIT består i at nedbryde ethvert computersystem i:

1. Planlægning og organisering  : inden for dette område søger vi at vide, hvordan man bruger it-teknikker, så virksomheden når sine mål.
   1. Definition af IT-strategiplanen
   2. Definition af informationsarkitektur
   3. Definition af teknologisk retning
   4. IT-afdeling organisation
   5. Investeringsforvaltning
   6. Kommunikation af ledelsesmål
   7. Human Resource Management
   8. Overholdelse af lovkrav
   9. Risikovurdering
   10. Projektledelse
   11. Kvalitetsstyring
2. Erhvervelse og installation  : her forsøger COBIT at definere, erhverve og implementere teknologier ved at tilpasse dem til virksomhedens forretningsprocesser.
   1. Identifikation af automatiske løsninger
   2. Erhvervelse og vedligeholdelse af computerapplikationer
   3. Erhvervelse og vedligeholdelse af teknisk infrastruktur
   4. Udvikling og vedligeholdelse af procedurer
   5. Installation og certificering af systemer
   6. Forandringsledelse
3. Levering og support  : Målet er at garantere effektiviteten af ​​de teknologiske systemer i aktion.
   1. Definition af serviceniveauer
   2. Forvaltning af tredjeparts tjenester
   3. Performance og kapacitetsstyring
   4. Garanti for fortsættelse af behandlingen
   5. Sikrer systemsikkerhed
   6. Identifikation og fordeling af omkostninger
   7. Brugertræning
   8. Bruger support
   9. Konfigurationsstyring
   10. Incident management
   11. Data- og applikationsstyring
   12. Systemets fysiske sikkerhed
   13. Operationel ledelse
4. Overvågning  : Her er det nødvendigt at kontrollere, at den implementerede løsning er i tråd med virksomhedens behov i en strategisk vision.
   1. Procesovervågning
   2. Vurdering af intern kontrol
   3. Certificering af et uafhængigt organ
   4. Revision foretaget af et uafhængigt organ

COBIT er rettet mod forskellige brugere:

• Ledelse, som den tilbyder et middel til beslutningsstøtte til;
• Direkte brugere, for hvem det giver garantier for sikkerheden og kontrollen af ​​it-tjenester
• Revisorer og konsulenter, som det tilbyder internationalt anerkendte midler til intervention.

COBIT 4.1-pakken

Den indeholder seks publikationer:

• Resumé (resumé af oversigten over CobiT-metoden for ledere, der har travlt)
• Framework (forklarende referenceramme for metoden, områder og processer);
• Kontrolmål (215 kontrolmål: disse mål er direkte orienteret mod ledelse og de teams, der er ansvarlige for it-tjenester);
• Retningslinjer for revision : dette indebærer at opdage, analysere og forklare manglerne i et system og de deraf følgende risici samt give dem løsninger;
• Implementeringsværktøjssæt (værktøjerne til implementering af CobiT);
• Retningslinjer for ledelse . Dette har en modenhedsmodel til på en skala fra fem grader at vurdere udviklingsniveauet for hver proces. Denne vejledning giver et rammetypestyringsscorekort ( Balanced Scorecard ).

Målet er at sikre et varigt match mellem teknologier, forretningsprocesser og virksomhedsstrategi.

Informationskriterier

Dette afsnit vil være af interesse for den generelle ledelse ved at angive, hvad implementeringen af ​​en given proces vil bringe til informationen (for eksempel til beslutningsprocesinformation). Disse kriterier er:

• effektivitet: kvalitet og relevans af information, ensartet distribution
• effektivitet: leveringens hastighed;
• fortrolighed: beskyttelse mod videregivelse
• integritet: nøjagtighed af information;
• tilgængelighed: tilgængelighed efter behov og beskyttelse (backup)
• overholdelse: overholdelse af regler og love;
• pålidelighed: nøjagtigheden af ​​oplysninger transmitteret af ledelsen.

Ved at forbedre informationen i henhold til disse kriterier vil organisationen være i stand til lettere at nå sine mål, åbne nye muligheder og forbedre rentabiliteten.

Ressourcerne

Denne del vedrører mere direktøren for informationssystemer ( DSI ) eller ansvarlig for informationssystemer (RSI) for at informere ham om de ressourcer, der vil blive påvirket af processen. De forskellige ressourcer er:

• færdigheder: personale, effektivitet af samarbejdspartnere (intern og ekstern)
• ansøgninger: alle behandlingsprocedurer
• infrastruktur: alle installationer, datacenter osv .;
• data: information i global forstand (format, struktur osv.)
• teknikker: udstyr, software, databaser, netværk osv.

Processen

De er beregnet til proceslederens opmærksomhed og definerer strukturen i områder, processer og opgaver. Du skal vide, at en proces er defineret som et sæt opgaver. For eksempel griber "regnskabsprocessen" ind i det "administrative og økonomiske" domæne og er opdelt i aktiviteter såsom "indtastning af fakturaer, redigering af saldoen ...". CobiT tilbyder en modenhedsmodel for hver proces for at placere den i forhold til bedste markedspraksis. Modellen har 6 niveauer (0 til 5).

De vigtigste succesfaktorer definerer de vigtigste handlinger, der skal tages for at kontrollere processerne. De vigtigste objektive indikatorer gør det muligt at vide efterfølgende, om en proces har opfyldt målene (med hensyn til informationskriterierne). Endelig bestemmer nøglepræstationsindikatorer kvaliteten af ​​driften af ​​en proces (evne til at nå mål).

CobiT hurtigstart

Denne forenklede version af CobiT er primært rettet mod SMV'er, for hvilke it-teknikker ikke repræsenterer et strategisk spørgsmål, men blot et løftestang i deres vækststrategi. Det er baseret på følgende antagelser:

• it-infrastrukturen er ikke kompleks;
• på grund af virksomhedens størrelse er informationssystemet og aktiviteten godt afstemt;
• de mest komplekse opgaver outsources;
• risikotolerance er relativt høj;
• rækkevidden af ​​kontroller er lille;
• kommandostrukturen er enkel.

Denne version af COBIT bevarer 30 af de 34 processer og 62 af de 318 kontrolmål.

Quickstart-implementeringen består af seks trin:

• Evaluere fordelene, dvs. afgøre, om denne version er egnet for virksomheden;
• Evaluer den aktuelle situation baseret på indsamling af oplysninger fra nøglepersoner og revisionsrapporter
• Bestem målet med definitionen af ​​aktiviteten, juridiske begrænsninger og virksomhedens afhængighed af teknologi;
• Analyser afvigelser ved at undersøge kontrolpraksis og vigtige succesfaktorer;
• Definer procesforbedringsprojekter
• Udvikle et integreret implementeringsprogram for regeringsførelse under hensyntagen til virksomhedens øjeblikkelige behov, den indbyrdes afhængighed mellem projekterne og de tilgængelige ressourcer.

Grænser

Ifølge Georges Épinette, administrator af CIGREF , skal tilgangen til at gribe dette arkiv gøres intelligent, især når det kommer til livscyklussen i forholdet mellem kunde og leverandør. Faktisk præsenterer CobiT relativ fattigdom med hensyn til:

• af tilpasningen af informationssystemet  ;
• af risikostyring og sikkerhed .

Især er CobiT baseret på en meget funktionel tilgang til organisationen. På denne model, den informationssystemet fungerer parallelt med den virkelige organisation - og på en måde, afbrudt fra det - fordi den er baseret på den nominelle arrangement af funktioner. I denne sammenhæng består tilpasningen af ​​informationssystemet i at forene, ofte på ad hoc-basis, operationens virkelighed med en idealiseret vision for organisationen. Andre tilgange, der dynamisk kombinerer informationssystem og organisation i henhold til modeller, der udvider den funktionelle model, undgår denne faldgrube: dette er for eksempel tilfældet med beslutningsanalysen af ​​komplekse systemer inspireret af arbejdet i den ' socio-tekniske skole og nuværende cybernetik .

I 2006 offentliggjorde en arbejdsgruppe fra klubben med ejere af informationssystemer en undersøgelse om CobiT, hvor en række bemærkninger fremgår af CobiTs bidrag og begrænsninger.

Noter og referencer

1. ISACA udgiver COBIT 5-styringsramme - Isaca.org, 10. april 2012
2. "  ISACA opdaterer COBIT-rammen for at adressere de nyeste forretningsteknologiske tendenser og standarder  " på www.isaca.org (adgang til 7. december 2018 )
3. ISACA: “Et forretningsorienteret lager for virksomhedsstyring og IT-styring” og “Aktivering af processer”.
4. Ahmed Bounfour, Immateriel kapital, viden og ydeevne , Harmattan, 2006 ( ISBN  978-2-2960-1128-1 ) s.  127
5. Informationssystem: prospektiv analyse - Philippe Gautier, IGD
6. COBIT (kontrolmål for information og relaterede teknologier), version 4.0, 2005 - Klub af ejere af informationssystemer, Volle.com, 31. december 2006

Tillæg

Relaterede artikler

• Styring af informationsteknologi
• Beslutningsanalyse af komplekse systemer
• Styring, risikostyring og overholdelse

Bibliografi

• Frédéric Georgel, IT Governance: Strategisk styring af et informationssystem , Paris, Dunod, 2009 ( ISBN  978-2100525744 )
• D. Moisand og F. Garnier de Labareyre, CobiT: For bedre styring af informationssystemer , Paris, Eyrolles, 2009 ( ISBN  978-2212124279 )

eksterne links

• (da) Hvad er COBIT 5 - Isaca.org
• (da) Cobit 5-tjekliste - Minimarisk.com, 2013 [PDF] (se arkiv)