COBIT

Många organisationer förlitar sig på sitt IT-stöd för sin affärsverksamhet och för att uppnå strategiska mål. Verksamheten utmanas konstant och behöver anpassa sig gentemot förändringar i en allt mer dynamisk affärs värld. Om IT-processer och IT-tjänster införs, samt hanteras och stöds på lämpligt sätt, kommer verksamheten att bli framgångsrik och nå sina affärsmål. Några utmaningar som organisationer står inför: styra IT verksamheten; leverera värde till kund; hantera IT kostnader; hantera komlexitet; anpassa IT till verksamheten; säkerställa att lagar och förordningar uppfylls samt hantera säkerhetsaspekter.

IT-styrning är en struktur av beroenden och processer som syftar till att rikta företaget mot att uppnå sina mål. Principerna för IT-styrning är: styra och kontrollera; ansvar och befogenhet; aktiviteter. Omfattningen av IT-styrning kategoriseras av fem fokusområden: Strategisk inriktning, värde leverans, riskhantering, resursförvaltning samt prestanda.

COBIT (Control Objectives for Information and Related Technology) är ett ramverk för styrning och kontroll av IT-organisationen och beskrivs nedan.

COBIT fokuserar på ”Vad som måste uppnås” i motsats till ITILs ”Hur man uppnår” samt tillhandahåller ett verktyg för att mäta mognadsgraden för varje process område. COBIT fokuserar på att förbättra IT-styrning i organisationer och tillhandahåller ett ramverk för att styra och kontrollera IT-processer och dess aktiviteter samt stödjer de fem krav som ställs på ett ledningsramverk: Fokus på affärsmål och strategi, organisatorisk processorientering, generell acceptans, uppfyllande av regulatoriska krav samt ett gemensamt språk.

COBITs ramverk beskriver hur IT-processer levererar den information som företaget behöver för att uppnå sina mål. För styrning av denna leverans tillhandahåller COBIT tre viktiga komponenter, som var och en ger en dimension av ramverket-som brukar beskrivas med en kub. De viktigaste komponenterna i COBITs ramverk är:

• Affärskrav

• IT-resurser

• IT-processer

Ramverket tillhandahåller goda erfarenheter tillämpbara tvärs en domän och process ramverket. Verksamhetsorienteringen i COBIT består av koppling från affärsmål till IT mål, erbjuda mätetal och mognadsmodeller för att mäta deras prestation samt att identifiera tillhörande ansvar inom affärutveckling och dess IT process ägare.

Vad är det bra till?

COBIT ramverk erbjuder:

  • Mappning av affärsmål till IT mål och IT process vilket skapar en möjlighet att relatera process prestanda till IT- och affärs mål.
  • Tydligt ägande, ansvar och befogenhet kopplat per process
  • Tydlig visualisering, förståbar för ledningen av vad som är aktuell status och vilka aktiviter som krävs.
  • Mognadsmodell för konkurrentanalys samt identifiering av nödvändig mognadsgrad och förbättringar.

Utmaningar
De huvudsakliga utmaningarna är:

  • Att starta förbättringsarbetet med COBIT beroende på bristande kunskap och erfarenhet av process förbättring.
  • Att analysera kontroll kraven och anpassa COBIT baserat på verksamheten: Värderingar, risk profil, IT infrastruktur, organisation samt projekt portfölj.

Vad är COBIT?

COBIT identifierar den IT-process som bör finnas för att säkerställa att den ligger i linje affärsverksamheten. COBIT främsta egenskaper är: affärsfokus, processorientering, kontrollbaserad och mätningsdriven.

Den nuvarande versionen av COBIT är 4,1 med följande huvudkomponenter:

  • Affärs krav (eng. Business Requirements): För att tillfredsställa affärsmål, behöver information uppfylla vissa kontrollkriterier, vilka COBIT kallar affärs krav på information. Sju olika kriterier är definierade; effektivitet, ändamålsenlighet, konfidens, integritet, tillgänglighet, kompatibilitet och tillförlitlighet.

 

IT resurser (eng. IT resources): IT resurser är resurser som görs tillgängliga för att stödja affärsmål. Dessa definierar COBIT som: applikationer, information, infrastruktur samt människor.

  • IT-processer: COBIT beskriver IT livscykeln med fyra domäner. Varje COBIT domän har ett antal processer. Det finns 34 processer över de fyra domänerna. COBITs fyra domäner är:
    • Planera och organisera: Målen för denna domän är: att formulera strategi och taktik, att identifiera hur IT bäst kan bidra till att uppnå företagets mål, planering, kommunikation och realisering av den strategiska visionen samt införa organisatoriska och tekniska infrastrukturer. Denna domän innehåller 10 processer.
    • Förvärva och införa: Målen för denna domän är: att identifiera, utveckla eller förvärva, genomföra och integrera IT-lösningar samt ändra och underhålla befintliga systemet. Denna domän innehåller 7 processer.
    • Leverera och support: Målen för denna domän är: att levererar de tjänster som krävs, bland annat tillhandahållande av service, hantering av säkerhet, kontinuitet, data och operativa anläggningar samt ge service support för användarna. Denna domän innehåller 13 processer
    • Följa upp och utvärdera: Målet för denna domän är: Prestanda leding, övervakning av intern kontroll, regelefterlevnad och styrning. Denna domän innehåller 4 processer.

Varje COBIT IT process har:

  • Process indata och utdata, kontrollmål, RACI diagram samt Process mål och mätetal kopplade till IT-mål och dess mätetal
  • Ett antal IT-kontrollmål tillhandahålls som allmänna åtgärder kring minsta nödvändiga styrning baserad på god praxis för att säkerställa att processen hålls under kontroll. Olika processer har olika antal av kontrollmål.
  • Sex mognads attribut: Mognadsgradens attribut används för att mäta mognadsgraden för varje IT-processen. Mognadsgraden beskriver egenskaperna hur IT processer hanteras och hur de utvecklas från en icke-existerande till en optimerad process. De sex mognadsattributen är:
    • Medvetenhet och kommunikation
    • Policy, planer och rutiner
    • Verktyg och automation
    • Kompetens
    • Ansvar och redovisningsskyldighe
    • Målformulering och värdering
  • Mognads nivåer: Det finns sex mognads nivåer definierade i COBIT:

0   Icke existerande: ledningsprocesser tillämpas inte alls

1   Inledande: Processer är ad hoc och oorganiserade

2   Repeterbar: Processer följer ett regelbundet mönster

3   Definierad: Processer dokumenteras och kommuniceras

4   Managerad: Processerna övervakas och mäts

5   Optimerad: God praxis tillämpas och är automatiserade

Mognadsgrad presentation bygger på en Till stor del (eng Largely) skala. Exemplet nedan illustrerar en process som till stor del är på nivå 3 men har fortfarande vissa uppfyllnads problem med krav på lägre nivå samtidigt uppfyller dock processen krav på prestandamätning(nivå 4) och optimering (nivå 5).

Var kommer det ifrån?
COBIT har skapats av Information Systems Audit and Control Association (ISACA) för informationsteknologi och IT styrning. COBIT släpptes första gången 1996, och den förnärvarande tillgängliga versionen är 4,1. COBIT är allmänt accepterat som ett ramverk för IT styrning och är harmoniserat med andra ramverk och standarder som COSO, ITIL, ISO/IEC 17799 och CMM.

Följande produkter i COBIT sviten finns tillgängliga från IT Governance Institute (ITGI) för att hjälpa organisationer att anpassa sig, implementera och hantera krav på IT styrning med hjälp av COBIT:

  • COBIT Online
  • COBIT Quickstart
  • IT Governance Implementation Guide Using COBIT and Val IT, 2nd Edition
  • COBIT Security Baseline

COBIT är inte en standard, men den refererar andra standarder såsom ISO 27001, ISO 20000, etc. Det finns för närvarande ingen "certifiering" i samband med COBIT, och därför kan ingen byrå eller leverantör ge en COBIT certifiering.

Vår erfarenhet

Addalot har en bred erfarenhet att stödja kunder med processförbättringar inom IT-utveckling och IT-drift. Följande tjänster, i både små och stora organisationer, kan ges:

  • Introduktion till COBIT
  • IT-utvärdering baserad på COBIT
  • COBIT Processförbättring - initiering och utförande
  • COBIT Processförbättring - mentorskap
  • COBIT Process-Arbetsgrupp- etablering och stöd

 

Läs mera

Följande offentliga ramverk och standarder är relevanta: