מתווה ל- CobiT® 5

 

על תמצית המנהלים

דניאל מאיר*, CISA

אוקטובר 2013

 

 

 

המאמר הנוכחי מתמקד בתמצית המנהלים ומתבסס על המהדורה האנגלית של מסגרתCobiT® 5 . מדובר בהצגתה ולא בתרגומה. בהמשך למעורבותי ביישום הגישה ובתרגום מהדורה 4.1 של המסגרת על מגוון אפשרויותיה, אבטא במאמר עמדות המשקפות את ניסיוני מהתבוננות על ארגונים הן מן הצד המערכתי הכולל (מלמעלה למטה)  והן מן הצד הפרטני (מלמטה למעלה).

 

הארות והערות יתקבלו בברכה – mayerd@netvision.net.il

*  דניאל מאיר: יועץ עצמאי בתחומי ממשל IT, רגולציה והשימוש ב CobiT® ובדרכי יישומו. נסיון רב שנים בתחומי בקרה, ביקורת, אבטחה וממשל בסביבת טכנולוגיות המידע. עסק בהקמה וניהול יחידת ביקורת טכנולוגיות מידע ועסק בהיבטים של רגולציה ופיקוח בתחום זה.  הרצה בתחומי הבקרה והביקורת במסגרות שונות. פעיל באיגוד הישראלי לביקורת ואבטחת מערכות מידע (ISACA-IL) בו שימש כנשיא האיגוד. הוביל את תרגום מהדורתCobiT® 4.1  ומעורב בתרגום CobiT® 5. קידם את הסמכה CISA בישראל ומעורב בועדות של ISACA הבינלאומית.

פתיח

מידע הוא משאב מפתח לכל ארגון ומן הרגע שנוצר ועד למועד השמדתו ממלאת הטכנולוגיה תפקיד מהותי בטיפול בו. לא בכדי פותח משפט זה את תמצית המנהלים של מה שאנו מכנים על דרך קיצור  CobiT®5. בעיני, זהו הנדבך עליו נשען הרציונאל שהביא את ISACA® להשקיע עשרות אלפי דולרים בפיתוח ובשיפור מסגרת לממשל וניהול טכנולוגיות המידע ושם גם ממוקם המניע לאמץ מסגרת זו בחלקה או במלואה על ידי דרגי הניהול השונים. המסגרת מכילה יותר ממה שעולה מתוך התמצית. היותה סוג של מפת דרכים לשיפור ממשל וניהול טכנולוגיות המידע, היותה משלבת מדדי ביצוע לתהליכי טכנולוגיות המידע[1] והיותה בסיס למסגרות הערכה[2] - אלו הם, לדעתי, נכסיה המרכזיים של מסגרתCobiT®5  אף שאינם באים לידי ביטוי ברור בתמצית המנהלים. על אלו ארחיב באחד המאמרים הבאים.  עם זאת ראוי לקרוא את שני עמודי תמצית המנהלים של CobiT®5  ואני מביא כאן נקודת מבט ודגשים משלי.

מסגרת CobiT®5, מבית ISACA, היא הבסיס לדור הבא של קווים מנחים לממשל וניהול טכנולוגיות המידע. שמה המלא "CobiT®5 A Business Framework for the Governance and Management of Enterprise IT" (אשר לבטח לא נבחר במקרה) שם דגש להיותה מסגרת עסקית לממשל וניהול של IT תאגידי. לא עוד מרכז עלות אלא תשתית טכנולוגית וארגונית התורמת את חלקה לפיתוח, לצמיחה ולהשגה של יעדי הארגון. טכנולוגיות המידע והעומד בראשה כבר לא יכולים להיות "אי-בודד" בארגון. במציאות המתהווה, יישור קו (alignment), כפי שבא לידי ביטוי במהדורה CobiT®4.1, של טכנולוגיות המידע עם הפעילות העסקית כבר לא ממש מספיק.  מובנת איפה ההתייחסות של CobiT®5 לטכנולוגיות המידע כאל חלק אינטגרטיבי מהפעילות העסקית ועקב כך להשתלבותן בפרויקטים העסקיים, במבנים הארגוניים בניהול הסיכונים, במדיניות ובתהליכים. זה הרקע לכיסוי של CobiT®5 לגבי האחריות העסקית של טכנולוגיות המידע ובכלל זה ממשל וניהול יעילים של טכנולוגיות המידע התאגידי לכל רוחב (מה שמכונה End-to-End) הארגון. המסגרת מכוונת לסייע בחילוץ ערך אופטימאלי מטכנולוגיות המידע שבארגון. השימוש במילה אופטימאלי מבטא את ההכרה במגבלות ובאילוצים בפניהם מצויים בעלי העניין[3] בתחום טכנולוגיות המידע  ולתת ביטוי לאיזון הנחוץ בין החזר על השקעה לבין מימוש תועלות מתוכננות תוך שמירה על רמת סיכון ההולמת את הארגון.

מסגרת CobiT®5 מנוסחת במונחים כלליים (generic היא המילה שבה משתמשים במקור) ובכך זמינה לארגונים מכל הסוגים (עסקיים – כל הענפים, ללא כוונות רווח, ציבוריים וכד') ומכל הגדלים. המסגרת אינה מובילה לאחידות וחד גוניות שכן השימוש בה מתחייב התאמה לצרכים הייחודיים לכל ארגון. עבור ארגונים המאמצים אותה היא מהווה מעין "מטריה" מנחה המאפשרת להם לשמור על מאפייניהם ותרבותם בחתירה להעמדת מידע איכותי לתמיכה בקבלת החלטותיו העסקיות; בהשגת תפעול מיטבי באמצעות יישום אמין ויעיל של הטכנולוגיה; בשמירה על סיכוני טכנולוגיות המידע ברמה מקובלת לארגון ועוד[4]. המסגרת מקיפה, מבוססת על 5 עקרונות, מכסה את נושא ממשל וניהול טכנולוגיות המידע לכל רוחב הארגון ותוך כך יוצרת קשר גומלין ישיר בין יעדי הארגון (התאגיד – ללא קשר לגודלו) לבין יעדי טכנולוגיות המידע (ראו מיפוי בנספח B[5]).

 

 חמש העקרונות

מסגרת CobiT®5 נשענת על חמישה עקרונות בסיסיים להשגת ממשל וניהול טכנולוגיות המידע הארגוני.
 

עקרון 1:
מתן מענה לצרכים של בעלי עניין - נקודת המוצא היא, כמובן, שארגונים קיימים כדי לייצר ערך לבעלי העניין (לרוב הכוונה לערך כספי אך המילה "ערך" היא כללית במכוון ומציינת גם ערכים שאינם כספיים או בעלי שווי כלכלי). המסגרת מכילה ומתייחסת לכול התהליכים הדרושים ולגורמים מאפשרים האחרים הנחוצים לתמוך ביצירת ערך באמצעות השימוש בטכנולוגיות המידע.  CobiT®5 מבקש, ולדעתי גם מצליח, לתת מענה לדרישות, לצרכים ולציפיות של בעלי העניין (הפנים-ארגוניים והחוץ-ארגוניים) ובכלל זה:

-      יצירת ערך לתאגיד באמצעות שימוש יעיל וחדשני בטכנולוגיות המידע התאגידי;

-      השגת שביעות רצונם של מגוון המשתמשים (עסקיים ואחרים) מהשירותים
       המתקבלים מטכנולוגיות המידע ומהקשר עמם;

-      ציות לחוקים ותקנות, הסכמים ומדיניות פנים ארגונית רלבנטיים (הן מצד
       טכנולוגיות המידע לעצמה כישות ארגונית והן כתרומה של טכנולוגיות המידע
       לנושאים אלו בישויות ארגוניות האחרות);

-      ושיפור הקשר שבין צרכים עסקיים ויעדי טכנולוגיות המידע
       [נעסוק בהרחבה בעקרון זה במאמר נפרד]
 

עקרון 2:
כיסוי כל רוחב הארגוןCobiT®5 מתמודד עם המעבר ממה שאנו מכנים זה כחמש שנים "ממשל IT" אל "ממשל של IT תאגידי" ושילובו בממשל תאגידי[6]. עקרונית מצביע המעבר על הסתכלות לרוחב הארגון, כלומר: כיסוי כל הפונקציות והתהליכים בארגון ולא רק התמקדות בפונקציות טכנולוגיות המידע, בבחינת הכללת כל מה וכל מי – פנימי וחיצוני - שהוא רלבנטי לעניין ממשל וניהול מידע תאגידי וטכנולוגיות המידע הנגזרות וכן, התייחסות למידע ולטכנולוגיות הרלבנטיות כנכס שיש להתייחס אליו ולטפל בו – מהבחינה הארגונית – כמו לכל נכס ארגוני אחר. יש כאן הכרה – וכדאי לרובד הניהולי הבכיר להפנים זאת – יש כאן הכרה בכך שטכנולוגיות המידע הן חלק אינטגראלי של הארגון ותופסות מקום ומשקל המקביל לזה שיש לתחומי השיווק, המימון, והייצור על כל המשתמע מכך מהבחינה הארגונית.

עקרון 3:
יצירת מסגרת אינטגרטיבית אחת – למעלה מחמש שנים עברו מאז יצאה המהדורה הקודמת, CobiT®4.1.  שנים שבהן מסגרות עבודה, קווים מנחים, והוראות חוק ורגולציה התאימו את עצמם לנוכח השתנות הטכנולוגיה שאינה מפסיקה להתחדש ולהפתיע[7]. במסגרת CobiT®5 נעשה נסיון, מוצלח למדי וראוי לבחינה, ליישר קו עם כל התקנים והמסגרות[8] הבולטות כיום בשוק. בנוסף CobiT®5 משלב את הקווים המנחים ומסגרות העבודה[9] הנלווים ל- 4.1 CobiT® אותם פיתחה ISACA במהלך השנים. כך ש CobiT®5 בעצם מכסה את התאגיד במלואו ועושה אינטגראציה מקיפה ומשלב תקנים, קווים מנחים, מסגרות ונוהגים מיטביים אחרים. התוצאה המפתיעה בעיני, ועל כך נשענת הטענה שהבאתי לעיל, היא ש- CobiT®5 יכול לשמש כמסגרת "מטריה" לכל יתר המסגרות והתקנים המוכרים. זה מעודד במיוחד שכן CobiT®5 אינו מכתיב "זריקה החוצה" של מה שנעשה בארגון או "החלפה" של מסגרת קיימת במסגרת אחרת, אלא מעמיד לרשות המשתמש מעין סרגל השוואה – ברמת העל – מולה יכול הארגון א') לזהות מה חסר מבחינות של קיום נוהגים מיטביים ו-ב') להשלים את החסר על פי ניתוח פערים או מתוך  CobiT®5 עצמו או מתוך מסגרת אחרת שמתאימה לארגון.

עקרון 4:
גישה הוליסטית CobiT®5 מגדיר סט של 7 רכיבים התומכים ביישום ממשל וניהול של טכנולוגיות המידע התאגידים. הרציונל הוא שנדרשת גישה כוללנית (Holistic) להשגת ממשל וניהול יעילים ואפקטיביים של IT התאגידי. הגורמים המאפשרים (enablers - בחרנו ב "גורמים מאפשרים" ובהקשר המתאים אף לקצר ל- "המאפשרים") מוגדרים באופן כולל ככול דבר שמסייע בהשגת יעדיו של התאגיד. בשל חשיבותם אקדיש מאמר נפרד לגורמים המאפשרים (enablers) של CobiT®5 ואסתפק כאן בציון שמם בשפת המקור, ובתרגום חופשי:

1. עקרונות, מדיניות ומסגרות –   
     Principles, Policies and Frameworks

2. תהליכים - Processes

3. מבנים ארגוניים – Organisational Structures

4. תרבות, אתיקה והתנהגות – Culture, Ethics and Behavior

5. מידע - Information

6. שירותים, תשתיות ויישומים –
    Services, Infrastructure and Applications

7. אנשים, מיומנויות וכישורים –
    People, Skills and Competencies

עקרון 5:
הפרדה ברורה בין ממשל לבין ניהול - CobiT®5 רואה בממשל ובניהול שתי דיסציפלינות נפרדות אשר דורשות מבנים ארגוניים שונים, משרתות מטרות נפרדות, ויש להן דפוסי פעילויות שונים. ב CobiT®5 בחרו להבחין בין ממשל לבין ניהול למרות הקושי הרעיוני והתפיסתי הכרוך בכך.

ממשל - ב CobiT®5 הכוונה לממשל מבטיח שנעשית הערכה של הצרכים, התנאים, והאפשרויות של בעלי העניין מתוך מגמה לקבוע יעדים להשגה מאוזנים ומוסכמים. זאת תוך הכוונה באמצעות קביעת סדרי עדיפות וקבלת החלטות וכן באמצעות ניטור ביצוע וציות למול יעדים וכיוונים מוסכמים.

ניהול - ב CobiT®5 הכוונה ל: ההנהלה מתכננת, בונה, מפעילה ומנטרת פעילויות בתיאום עם ההכוונה שנקבעה על ידי גוף הממשל במטרה להשיג את יעדי התאגיד.


CobiT®5 מתוכנן להכיל משפחה שלמה של מוצרים. נכון לנובמבר 2013 קיימים מוצרים אותם ניתן להוריד (ללא תשלום או בהנחה משמעותית למי שחבר ב-ISACA  ובאיגוד הישראלי לביקורת ואבטחת מידע). משפחה זו כוללת את הבאים (רשימה לא מלאה, בשמם המקורי). לפרטים נוספים ולאפשרויות הורדה ו/או רכישה של מוצרי CobiT®5 ראוי לפנות לאתר של ISACA
  http://www.isaca.org/COBIT/Pages/Product-Family.aspx

 

  • CobiT®5 (The framework)
  • CobiT®5: Enabling Process
  • CobiT®5: Enabling Information (in development)
  • CobiT®5 Implementation

 

  • CobiT®5 for Information Security
  • CobiT®5 for Assurance
  • CobiT®5 for Risk
  • CobiT Self-Assessment Guide: Using CobiT®5
  • COBIT Process Assessment Model (PAM): Using CobiT®5

 

 

 


 

1. ראו  CobiT®5 Enabling Processes

2. ראו Process Assessment Model (PAM): Using CobiT®5

3. כל מי שיש לו אחריות בארגון, או שיש לו ציפייה ממנו או שיש לו עניין כלשהו בו – למשל בעלי המניות, המנהלים, העובדים למיניהם, המשתמשים, הספקים, הלקוחות, הציבור, רגולאטורים רלבנטיים ועוד..

4. התמצית מפרטת 6 מטרות  ולאלו לעיל יש להוסיף: יצירת ערך עסקי מהשקעות בטכנולוגיות המידע, להביא את עלויות שירותי טכנולוגיות המידע לאופטימום וכן לציות לדרישות החוק והרגולטורים השונים.

5. נספח B ממפה את יעדי הארגון מול יעדי טכנולוגיות המידע במטריצה תוך אפיון יעדים ראשיים ויעדים משניים המספקים מדד סדר עדיפות הכול כך חיוני בבחירת היכן להקצות את המשאבים של הארגון. 

6. from “IT Governance” to “Governance of Enterprise IT” integrated into Enterprise Governance

7. מי בכלל חשב על "עננים" בעת השקת מהדורה 4.1? וכי אפשר להעלות על הדעת שלא תהיה התייחסות אל נושא זה במהדורה 5?

8. ביניהם ITIL, TOGAF, PMBOK, PRINCE2, COSO ותקנים של ISO.

9. ובפרט COBIT- מהדורות קודמות,Val-IT ,Risk-IT , BMIS, ITAF  ואחרים.

 

Open Accessibilty Menu