COBIT 5 چیست؟

COBIT چارچوبی برای اعمال حاکمیت (راهبری) و مدیریت فناوری اطلاعات است. این چارچوب مشتمل بر مجموعه ای از تجارب برتر و روش های برتر است. منظور از تجارب برتر، فرآیندها و روش های استانداردی است که توسط برترین متخصصان فناوری اطلاعات در سطح جهان مورد توافق و تایید قرار گرفته است و می تواند توسط تمامی سازمان ها مورد استفاده قرار گیرد.

COBIT مجموعه ای از کنترل ها را برای اعمال حاکمیت و مدیریت فناوری اطلاعات تعریف نموده است. این کنترل ها به کاهش تاثیرات نامطلوب ریسک های فناوری اطلاعات کمک می کنند. همچنین باعث افزایش کارایی و اثربخشی فرآیندهای فناوری اطلاعات می شوند. در چارچوب COBIT، مجموعه ای از فرآیندها برای حاکمیت و مدیریت فناوری اطلاعات به همراه ورودی ها، خروجی ها، فعالیت ها و نقش های مرتبط با آنها تعریف شده است.

COBIT به نحوی تعریف شده است که امکان هم راستایی فناوری اطلاعات را با اهداف سازمان میسر سازد. COBIT فناوری اطلاعات را به شکلی مناسب و استاندارد سازماندهی نموده و از آشفتگی، بی نظمی و اتفاقی بودن آن می کاهد.

COBIT مشتمل بر تجربیات و روش های برتر و استاندارد در سطح جهانی است که می تواند مورد استفاده طیف وسیعی از کاربران از جمله مدیران فناوری اطلاعات، کارشناسان فناوری اطلاعات، مدیران ارشد سازمان، حسابرسان فناوری اطلاعات، کارشناسان تحلیل ریسک فناوری اطلاعات، کارشناسان امنیت اطلاعات فناوری اطلاعات و سایر نقش های یک سازمان قرار گیرد. COBIT 5 به عنوان یک چارچوب جامع مشتمل بر بخش های کلیدی ذیل است:
 

    • اصول: 5 اصل کلیدی که COBIT 5 براساس آن بنا شده است.
    • توانمندساز: در آخرین نسخه COBIT، مجموعه ای از مولفه ها تحت عنوان توانمندسازها تعریف شده اند. این مولفه ها برای تحقق اهداف سازمانی ضروری هستند. اصول، سیاست‌ها و چارچوب‌ها، فرآیندها، ساختار سازمانی، فرهنگ، اطلاعات، سرویس‌های زیرساختی و برنامه‌های کاربردی و افراد، مهارت‌ها و شایستگی‌ها، توانمندسازهای اصلی هستند. همانطور که بیان شد این توانمندساز برای تحقق اهداف فناوری اطلاعات و اهداف سازمان ضروری هستند. چارچوب COBIT برای هریک از توانمندسازها راهنمای استانداردی را ارائه نموده است. به عنوان مثال فرآیندهای فناوری اطلاعات در این چارچوب تعریف شده است. نقش‌های مورد نیاز برای اجرای فرآیندها توصیف شده، ورودی‌ها و خروجی‌های فرآیندها در قالب اطلاعات بیان شده است.
    • مدل بلوغ: این مدل برای سنجش بلوغ فرآیندهای فناوری اطلاعات استفاده می‌شود. براساس این مدل می توان وضعیت فرآیندهای فناوری اطلاعات سازمان را در مقایسه با یک چارچوب استاندارد مورد ارزیابی قرار داده و نقاط ضعف فرآیندها را شناسایی نمود. همچنین این مدل مبنایی برای مطالعه تطبیقی فرآیندهای فناوری اطلاعات با سایر سازمان ها است.

پیوست‌ها: یک سری از دستورالعمل‌ها و راهنماها علاوه بر بخش های اصلی در چارچوب COBIT ارائه شده است. راهنمای پیاده‌سازی، راهنمای ریسک، راهنمای حسابرسی فناوری اطلاعات و راهنمای امنیت از جمله این مستندات هستند.
 

همانطور که بیان شد COBIT 5 یک چارچوب جامع است که می تواند توسط طیف وسیعی از مخاطبان در سازمان‌ها مورد استفاده قرار گیرد. استاندارد COBIT بهعنوان چارچوبي مطرح است كه مديران را در اداره كردن هرچه بهتر فناوري اطلاعات و استفاده از منافع آن راهنمايي ميكند. اين استاندارد از زيرساخت سازمان مستقل بوده و يك استاندارد باز جهت كنترل فناوري اطلاعات ميباشد. استاندارد COBIT بين اهداف كسب و كار و مديريت فناوري اطلاعات در سازمان هماهنگي ايجاد مينمايد و براي كمك به  سه گروه مختلف در سازمان تدوين شده است.

  • مديران: اين افراد نياز دارند تا بين سرمايهگذاري بر روي فناورياطلاعات و ريسكهاي موجود، توازن ايجاد نمايند.
  • كاربران: اين گروه نيازمند آن است تا از امنيت خدمات فناوري اطلاعات اطمينان حاصل نمايد و بتواند خدمات مورد نياز خود را جهت تحويل محصولات به مشتريان  كنترل كند.
  • مميزها: ايشان احتياج دارند تا عقايد و نظرات خود را اثبات نمايند و توصيههايي به مديران جهت كنترل بر منابع داخلي ارائه كنند.

    اين چارچوب، توسط انجمن کنترل و مميزي سيستمها[1] و سازمان راهبري فناوري اطلاعات[2] در سال 1996 ايجاد شده است. COBIT براي مديران، مميزان و کاربران فناوري اطلاعات مجموعهاي از سنجهها، معيارها، فرايندها و روشهاي برتر را ارائه مينمايد تا به آنان در افزايش مزاياي ناشي از بکارگيري فناوري اطلاعات و توسعه کنترل و راهبري فناوري اطلاعات کمک نمايد. اين چارچوب به مديران، مميزان و کاربران اين امکان را ميدهد که سيستمهاي فناوري اطلاعات خود را بهتر درک نمايند و سطح کنترل و امنيت مورد نياز سازمان خود را شناسايي و از طريق توسعه مدل راهبري فناوري اطلاعات به آن دست يابند.

    تاکنون پنج نسخه COBIT توسط انجمن کنترل و مميزي سيستمها (ISACA) انتشار يافته است. نسخه يک COBIT که در سال 1996 به عنوان يک چارچوب مميزي منتشر گرديد. نسخه سوم در سال 2000 بر اساس منابع جديد بين المللي بازبيني شد و مفاهيمي شامل راهنماي مديريت، پشتيباني از افزايش کنترل مديريت، معرفي مديريت عملکرد و گسترش راهبري فناوري اطلاعات به آن افزوده گرديد. نسخه چهارم در سال 2005 با

    يکپارچهسازي کتابهاي مجزا به صورت يک جلد واحد منتشر شد. نسخه 4.1 که در سال 2007 منتشر گرديد، شامل موارد تکميلي زير براي تسهيل بهرهبرداري از COBIT  است:

  • مراجعي شامل وروديها و خروجيهاي فرايندهاي COBIT به يکديگر
  • فعاليتهاي مربوط به هر فرآيند به همراه جدول RACI به ازاي هر فعاليت (وظايف مربوط به مدير خدمات فناوري اطلاعات، مدير توسعه، مدير اجرايي و.. را مشخص نموده است)
  • توضيحات سادهسازي شده از اهداف
  • نمايش فرآيندها و ارتباطات ميان کسب و کار، اهداف فناوري اطلاعات و فرايندهاي فناوري اطلاعات به صورت آبشاري.
  • نسخه 5 اين چارچوب هماکنون انتشار يافته است. اين نسخه از COBIT به يکپارچهسازي چارچوب مخاطرات فناوري اطلاعات، Val IT 2.0  و COBIT نسخه 4.1 پرداخته است. اين نسخه، بر 5 اصل کليدي براي اعمال حاکميت فناوري اطلاعات در سازمانها مبتني است:

  • اصل اول: تحقق نيازمنديهاي ذينفعان
  • اصل دوم: پوشش انتها به انتهاي سازمان
  • اصل سوم: استفاده از يک چارچوب واحد و يکپارچه
  • اصل چهارم: دارا بودن يک رويکرد کلينگر و جامع
  • اصل پنجم: تفكيك حاکميت از مديريت

چارچوب COBIT توسط انجمن کنترل و حسابرسی سیستم های اطلاعاتی ارائه شده است. نسخه اولیه این چارچوب در سال 1996 میلادی عرضه شده است. آخرین نسخه آن نیز در سال 2012 میلادی تحت عنوان COBIT 5 انتشار یافته است.

عموماً نسخه های COBIT 4.1 و COBIT 5 متداول بوده و به عنوان چارچوب های مطرح برای مدیریت و حاکمیت فناوری اطلاعات شناخته شده هستند. در اینجا این سوال مطرح می شود که این دو چارچوب چه تفاوت هایی با یکدیگر دارند. برای اینکه بتوان چارچوب مناسبی برای حسابرسی فناوری اطلاعات انتخاب نمود، باید تفاوت این دو چارچوب به خوبی درک گردد.

مهمترین تفاوت های چارچوب های فوق الذکر عبارتند از:

  • چارچوب COBIT 5 موضوع حاکمیت فناوری اطلاعات را از مدیریت فناوری اطلاعات جدا نموده است. از این رو یک چارچوب مناسب برای اعمال راهبری و حاکمیت فناوری اطلاعات است.
  •  از لحاظ ساختاری، در چارچوب COBIT 4.1، اهداف کنترلی و اقدامات کنترلی تعریف شده اند. اهداف کنترلی و اقدامات کنترلی براساس رویکرد حسابرسی و کنترلی این چارچوب تعریف شده بودند. این اهداف و اقدامات برای حسابرسی فناوری اطلاعات بسیار کاربردی و قابل استفاده هستند. در COBIT 5، اهداف کنترلی و اقدامات کنترلی جای خود را به اقدامات مدیریتی و فعالیت ها داده اند. اقدامات مدیریتی و فعالیت ها در واقع مراحل و فعالیت های مورد نیاز برای اجرای فرآیندها هستند. COBIT 5 سعی نموده است مراحل اجرای فرآیندها را به صورت شفاف تر تبیین کند.
  • درCOBIT 4.1 فرآیندها به عنوان رکن کلیدی چارچوب مطرح هستند. لیکن در COBIT 5، توانمندسازها ارائه شده اند. که فرآیندها یکی از توانمندسازها می باشند.
  • مدل ارزیابی فرآیندها در دو چارچوب متفاوت است. در چارچوب 4.1 با استفاده از مدل CMMI سطح بلوغ فرآیندها ارزیابی می شود. لیکن چارچوب 5 از استاندارد ISO1504 برای سنجش قابلیت های فرآیندها استفاده می کند.
  • ساختار شکست فرآیندها در دو چارچوب با یکدیگر تفاوت هایی دارد.
  • چارچوب COBIT 5 مدل فرآیندی کامل تری نسبت به چارچوب COBIT 4.1 ارائه نموده است. 34 فرآیند در چارچوب COBIT 4.1 به 38 فرآیند در چارچوب COBIT 5 افزایش یافته است.

چارچوب های COBIT 4.1 و COBIT 5 دو رویکرد متفاوت نسبت به حسابرسی فناوری اطلاعات ارائه نموده اند. COBIT 4.1 بر حاکمیت فناوری اطلاعات تمرکز نموده است. علاوه بر مستندات اصلی این چارچوب، ضمیمه ای برای حسابرسی فناوری اطلاعات برای این چارچوب ارائه شده است. ضمیمه مذکور روشی نظام مند برای طراحی و اجرای حسابرسی فناوری اطلاعات است که این روش در ادامه به اجمال معرفی شده است. این چارچوب حسابرسی فناوری اطلاعات را در قالب سه مرحله اصلی برنامه ریزی، تعیین محدوده و اجرای حسابرسی مدیریت می کند.

در مرحله برنامه ریزی ابتدا فضای کلی حسابرسی فناوری اطلاعات در سازمان تعریف می شود. در COBIT 4.1 تعداد 34 فرآیند به عنوان ارکان اصلی برای توصیف فضای حسابرسی فناوری اطلاعات تعیین شده است. در ادامه با انجام تحلیل ریسک مشخص می شود که کدام یک از این فرآیندها در اولویت حسابرسی هستند. به عبارت دیگر فرآیندی برای حسابرسی انتخاب می شود که بیشترین مقدار ریسک را برای سازمان به همراه داشته باشد.

در مرحله برنامه ریزی همچنین با استفاده از چارچوب ارزیابی بلوغ فرآیندها، یک ارزیابی کلی نسبت به فرآیند انجام می گیرد. این ارزیابی شکاف بین وضعیت موجود و مطلوب فرآیند را مشخص نموده و می تواند در برنامه ریزی بهتر فعالیت های حسابرسی مورد استفاده قرار گیرد.

در مرحله تعیین محدوده، چارچوب COBIT 4.1 برای تعیین اهداف کنترلی و اقدامات کنترلی مورد استفاده قرار می گیرد. در این چارچوب ارتباط بین اهداف کسب و کار، اهداف فناوری اطلاعات، فرآیندهای فناوری اطلاعات، اهداف کنترلی و اقدامات کنترلی مشخص شده است. براساس تحلیل ریسک صورت گرفته در مرحله قبل که فرآیندهای حائز اهمیت برای حسابرسی را تعیین نموده است، در این مرحله اهداف و اقدامات کنترلی مشخص خواهد شد.
 

مهمترین فعالیت های مرحله اجرا، طراحی آزمون هایی برای ارزیابی کفایت و اثربخشی کنترل ها است. COBIT در طراحی آزمون های کنترل و آزمون های محتوا به حسابرسان کمک می کند. پس از طراحی و پیاده سازی آزمون ها، نتایج حاصله در خصوص ضعف های آنها مستندسازی می گردد.

چارچوب COBIT 4.1 به ازای هر فرآیند، کنترل ها، ریسک ها، آزمون ها را پیشنهاد نموده است. بنابراین حسابرس راهنمایی جامع برای طراحی و پیاده سازی آزمون ها و گزارش نتایج آنها در دسترس خواهد داشت.

چارچوب COBIT 5 براساس این پیش فرض بنا نهاده شده است که سازمان با هدف خلق ارزش برای ذینفعان و سهامداران ایجاد شده اند. از این رو در این چارچوب بر بهینه سازی منابع، مدیریت موثر ریسک ها و حداکثرسازی ارزش برای سهامداران تاکید می شود. چنین رویکردی با ماموریت های حسابرسان داخلی به صورت مستقیم در ارتباط است. حسابرسان داخلی طی فرآیند اطمینان بخشی، به هیات مدیره اطمینان می دهند که سازمان در مسیر تحقق منافع سهامداران گام بر می دارد.

چارچوب COBIT ابزارها و تکنیک هایی را در اختیار حسابرسان داخلی قرار می دهد تا بتوانند ماموریت های خود را در زمینه حسابرسی فناوری اطلاعات انجام دهند. برخی از مهمترین این ابزارها عبارتند از:

  • راهنمای COBIT for Assurance: این ابزار یکی از ملحقات چارچوب اصلی به شمار می رود و در نسخه های 4.1 و 5 ارائه شده است. این ابزار، راهنمایی مناسب برای طرح ریزی و اجرای فرآیند حسابرسی فناوری اطلاعات است. رویکرد 4.1 مبتنی بر ریسک و کنترل ها بوده و رویکرد چارچوب نسخه 5 براساس شاخص های عملکردی است. این دو چارچوب مبتنی حسابرسی را براساس فرآیندهای فناوری اطلاعات انجام می دهند.
  • راهنمای COBIT for Risk: این مستند نیز از ملحقات چارچوب اصلی است. این مستند راهنمایی برای شناسایی و تحلیل ریسک های فناوری اطلاعات است. حسابرسان داخلی با استفاده از این مستند می توانند فرآیند مدیریت ریسک فناوری اطلاعات را در سازمان ارزیابی نموده و پیشنهادهایی برای بهبود آن ارائه کنند. همچنین در صورت نیاز به تحلیل ریسک برای انجام ماموریت های حسابرسی داخلی از آن بهره گیرند.

راهنمای COBIT Process Assessment Model: همانطور که اشاره شد رویکرد COBIT در زمینه حاکمیت و مدیریت فناوری اطلاعات مبتنی بر فرآیند است. در نسخه های COBIT 4.1 و COBIT 5 مدل مرجع فرآیندی برای فرآیندهای فناوری اطلاعات ارائه شده است که می تواند در حاکمیت، مدیریت یا حسابرسی فناوری اطلاعات مورد استفاده قرار گیرد. برای اینکه بتوان وضعیت فرآیندهای فناوری اطلاعات را مبتنی بر یک چارچوب مرجع ارزیابی نمود در چارچوب COBIT ابزاری تحت عنوان PAM برای سنجش فرآیندها ارائه شده است. این ابزار در نسخه 4.1 سطح بلوغ و در نسخه 5 قابلیت های فرآیندها را اندازه گیری کند. با توجه به رسالت های حسابرسان داخلی برای بهبود عملکرد و شاخص های کارایی و اثربخشی عملیات، این مدل ابزاری مناسب برای ارزیابی فرآیندها و ارائه پیشنهادهای بهبود توسط حسابرسان داخلی خواهد بود.