IT Governance – Cobit

Baza znanja

 

COBIT (Control Objectives for Information and Related Technologies) je međunarodno priznat okvir za upravljanje i nadzor IT-a koji povezuje poslovne ciljeve s IT procesima. Omogućuje organizacijama da uspostave transparentno, sigurno i učinkovito IT upravljanje (eng. IT Governance), usklađeno s regulatornim zahtjevima i strategijom poduzeća.

COBIT definira jasne ciljeve, metrike i odgovornosti za optimalno korištenje informacijske tehnologije. Kroz strukturiran pristup, pomaže u upravljanju rizicima, kontroli troškova i povećanju poslovne vrijednosti IT-a. Implementacijom COBIT okvira, poduzeća postižu bolju usklađenost, veću pouzdanost sustava i snažniju digitalnu otpornost.

 

COBIT – EDUKACIJA
BAZA ZNANJA

Cobit (IT Governance)  baza znanja

“Governance is about planning the framework for work and ensuring it is done.
Management is organizing the work
…and Operations is doing the work”

COBIT (Control Objectives for Information and Related Technology) je opće radni okvir ( eng. framework) za vladanje (eng. governance) i upravljanje (eng. Management) IT-em. Namjenjen je korištenju od strane uprave i visokog menadžmenta, IT i operativnog menadžmenta, ICT stručnjaka, korisnika IT-a, revizora, kao i ljudi na poslovima kontrole i sigurnosti sustava.

IT Govarnance i Cobit

IT Governance je sustav principa, procesa i odluka kojim se osigurava da IT podupire poslovnu strategiju, isporučuje vrijednost, upravlja rizicima i usklađen je s propisima. Fokusira se na tko odlučuje, kako se mjeri uspjeh i koje se kontrole primjenjuju da bi IT radio u korist poslovnih ciljeva.

COBIT (Control Objectives for Information and Related Technologies) je međunarodno priznati okvir koji IT upravljanje prevodi u konkretne prakse, procese, metrike i odgovornosti. Razvio ga je ISACA i služi kao „priručnik“ za uspostavu i mjerenje zrelosti IT Governancea u organizaciji. Ukratko: IT Governance je što i zašto, a COBIT je kako – strukturiran način da se dobre namjere pretvore u ponovljive rezultate.

  • Usklađenost IT-a s poslovanjem

  • IT koji omogućava poslovanje i maksimizira korist

  • Odgovorno korištenje IT resursa

  • Prikladno upravljanje IT rizicima

COBIT 5 je radni okvir baziran na 5 osnovnih principa ( eng. principles). Ujedno za uspješnu provedbu bitno je imati i cjelovit pristu koji prepoznaje kategorije bitnih 7 pokretača ( eng. enablers);

5 temeljnih principa COBIT 5 su:

  1. Ispunjenje potreba dionika (eng. Meeting stakeholders needs) COBIT 5 daje sve potrebne procese i pokretače kako bi bilo podržano stvaranje poslovne vrijednosti kroz korištenje IT-a
  2. Obuhvaćanje cjelokupnog poslovanja (eng. Covering the enterprise end-to-end) COBIT 5 integrira vladanje IT-em u vladanje cjelokupnom organizacijom, pokrivajući sve funkcije i procese unutar organizacije, a ne samo IT-a.
  3. Primjena jedinstvenog integriranog radnog okvira (eng. Applying a single integrated framework)COBIT 5 je usklađen s drugim značajnim standardima i radnim okvirima na općem nivou te se kroz to može koristiti za sveukupni radni okvir vladanje i upravljanje IT-em.
  4. Omogućavanje cjelovitog pristupa(eng. Enabling a holistic approach) . Efektivno i efikasno vladanje i upravljanje IT-em zahtjeva cjeloviti pristup koji uzima u obzir nekoliko neđusobno povezanih komponenti i pokretača. COBIT 5 definira 7 kategorija pokretača (eng. enablers)
    • principi, politike i radni okvir (eng. Principles, policies and frameworks)
    • procesi (eng. Processes)
    • organizacijska struktura (eng. Organisational structures)
    • kultura, etika i ponašanje (eng. Culture, ethics and behaviour)
    • informacije (eng. Information)
    • usluge, infrastruktura i aplikacije (eng. Services, infrastructure and applications)
    • ljudi, vještine i kompetencije (eng. People, skills and competencies)
  5. Odvajanje vladanja i upravljanja (eng. Separating governance from management) COBIT 5 radni okvir radi jasnu razliku između vladanja i upravljanja, identificiranih kao domene vladanja i upravljnja.

COBIT 5 Process Reference Model – Poster-download

COBIT 5 radnog okvira prepoznaju faze životnog ciklusa IT rješenja odnosno domene i procese koji su bitni kako bi se rješenje na ispravan uvedelo u sustav te koristilo.COBIT 5 radni okvira podjeljen je u 2 područja i 5 domena s ukupno 37 procesa.

Dva područja i pet domena COBIT 5 su:

  1. vladanje poslovnim IT procesima (eng. Governance)
    • EDM – (eng. EDM (Evaluating, Direction, Monitoring)) – procjena, smjer, nadzor
  2. upravljanje/menadžment poslovnih IT procesa (eng. Management)
    • APO – (eng. APO (Align, Plan and Organize)) – usklađivanje, planiranje i organiziranje
    • MEA – (eng. MEA (Monitor, Evaluate, Access)) – nadzor, procjena i ocjena
    • DSS – (eng. DSS (Delivery, Service and Support)) – isporuka, usluga i podrška
    • BAI – (eng. BAI (Build, Acquire and Implement)) – izgradnja, stjecanje i uspostava

Navedenih 5 domena imaju ukupno 37 procesa;

EDM ( Evaluating, Direction, Monitoring) – procjena, smjer, nadzor:

  • EDM1 Ensure Governance Framework Setting and Maintenance – Osiguravanje postavki i održavanje okvira za upravljanje
  • EDM2 Ensure Benefits Delivery – Osiguravanje isporuke benefita
  • EDM3 Ensure Risk Optimisation – Osiguravanje optimizacije rizika
  • EDM4 Ensure Resource Optimisation – Osiguravanje optimizacije resursa
  • EDM5 Ensure Stakeholder Transparency – Osiguravanje transparentnosti

APO (Align, Plan and Organize) – usklađivanje, planiranje i organiziranje

  • APO1 Manage the IT Management Framework – Upravljanje radnim okvirom za upravljanje IT-a
  • APO2 Manage Strategy – Upravljanje strategijom
  • APO3 Manage Entreprise Architecture – Upravljanje enterprise arhitekturom
  • APO4 Manage Innovation – Upravljanje inovacijama
  • APO5 Manage Portfolio – Upravljanje portfeljem
  • APO6 Manage Budgets and Costs – Upravljanje budžetom i troškovima
  • APO7 Manage Human Relations – Upravljanje ljudskim resursima
  • APO8 Manage Relationships – Upravljanje odnosima
  • APO9 Manage Service Agreements – Upravljanje Uslugama sukladno dogovoru
  • APO10 Manage Suppliers – Upravljanje dobavljačima
  • APO11 Manage Quailty – Upravljanje kvalitetom
  • APO12 Manage Risk – Upravljanje rizicima
  • APO13 Manage security – Upravljanje sigurnošću

MEA ( Monitor, Evaluate and Access) – nadzor, procjena i ocjena

  • MEA1 Monitor, Evaluate and Assess Performance and Conformance – Nadzor, procjena i ocjena performansi i sukladnosti
  • MEA2 Monitor, Evaluate and Asses the System of Internal Control – Nadzor, procjena i ocjena sustava interne kontrole
  • MEA3 Evaluate and Assess Compliance with External Requirements – Procjena i ocjena usklađenosti s eksternim zahtjevima

DSS (Delivery, Service and Support) – isporuka, usluga i podrška

  • DSS1 Manage Operations – Upravljanje operacijama
  • DSS2 Manage Service Requests and Incidents – Upravljanje zahtjevima za uslugom i incidentima
  • DSS3 Manage Problems – Upravljanje problemima
  • DSS4 Manage Continuity – Upravljanje kontinuitetom
  • DSS5 Manage Security Services – Upravljanje uslugama sigurnosti
  • DSS6 Manage Business Process Controls – Upravljanje provjerama poslovnih procesa

BAI (Build, Acquire and Implement) – izgradnja, stjecanje i uspostava

  • BAI1 Manage the IT Management Framework – Upravljanje radnim okvirom za upravljanje IT-a
  • BAI2 Manage Programs and Projects – Upravljanje programima i projektima
  • BAI3 Manage Requirements Definition – Upravljanje definiranjem zahtjeva
  • BAI4 Manage Solutions Identification and Build – Upravljanje pronalaženjem rješenja i izgradnjom
  • BAI5 Manage Organisational Change Enablement – Upravljanje omogućavanjem ogranizacijskih promjena
  • BAI6 Manage Changes – Upravljanje promjenama
  • BAI7 Manage Changes Acceptance and Transitioning – Upravljanje prihvatom promjena i tranzicijom
  • BAI8 Manage Knowledge – Upravljanje znanjem
  • BAI9 Manage Assets – Upravljanje imovinom
  • BAI10 Manage Configuration – Upravljanje konfiguracijom

Osnovni sadržaj (core content) Cobit-a 5 se nadalje odnosi na svaki od prethodno navedenih procesa . Točnije, svaki se pojedinačni proces pokriva kroz četiri uzastopna dijela:

  1. High-level kontrolni ciljevi procesa, koji uključuju:
    • Opis procesa sa sumiranim ciljevima procesa
    • High-level kontrolni cilj predstavljen kroz vodopadni prikaz procesnih ciljeva, metrika i praksi
    • Mapiranje procesa s procesnim domenama, kriteriji za informacije, IT resursi i područja fokusa Upravljanja IT-om
  2. Detaljni kontrolni ciljevi procesa
  3. Smjernice za menadžment: ulazi i izlazi iz procesa, RACI model (Responsible, Accountable, Consulted, and/or Informed), ciljevi i metrike
  4. Modeli zrelosti

Implementacija COBIT-a započinje procjenom cjelokupne zrelosti IT procesa u organizaciji. Model zrelosti procesa (Maturity Model), koji definira stupnjeve zrelosti od 0 do 5, gdje je 0 nepostojeći proces, a 5 optimiziran proces. Između su Inicijalni, Ponavljajući, Definirani i Upravljani procesi.

COBIT 5 za svaki od navedenih procesa specificira kriterije na koje treba obratiti pažnju pri ocjenjivanju zrelosti.

Kako započeti (prvih 90 dana)

  1. Definirajte „zašto“ i ciljeve – povežite IT upravljanje s 2–3 poslovna ishoda (npr. smanjenje operativnih incidenata za 30%, skraćenje time-to-market za 20%).
  2. Procijenite zrelost (baseline) – brza procjena ključnih COBIT domena (APO, BAI, DSS, MEA) i identifikacija praznina.
  3. Uspostavite strukture upravljanja – formirajte IT Steering Committee, definirajte RACI i vlasnike procesa.
  4. Prioritizirajte procese – krenite s 5–7 najutjecajnijih (npr. APO01 Upravljanje IT strategijom, BAI03 Rukovođenje rješenjima, DSS02 Upravljanje uslugama, MEA01 Praćenje performansi).
  5. Postavite politike i kontrole – minimalni set: upravljanje promjenama, upravljanje rizicima, sigurnosna politika, upravljanje dobavljačima.
  6. Metrike i dashboard – definirajte KPI/KGI (npr. SLA ispunjenje, broj kritičnih incidenata, % usklađenosti s kontrolama) i izvještavajte mjesečno.
  7. Quick wins i plan poboljšanja – zatvorite 2–3 brza poboljšanja (npr. standardizirani CAB, katalog usluga, registar rizika) i objavite 6-mjesečni roadmap.

Najčešće pogreške (i kako ih izbjeći)

  • „Okvir radi okvira“ – implementacija bez jasne poslovne vrijednosti.
    Rješenje: svaki proces ima poslovni cilj, KPI i vlasnika.

  • Prevelik opseg od starta – pokušaj uvesti sve COBIT prakse odjednom.
    Rješenje: fazno uvođenje; prvo kritični procesi, zatim širenje.

  • Nedefinirane odgovornosti – preklapanje uloga, spora odluka.
    Rješenje: jasan RACI, mandat odbora i vlasništvo nad procesima.

  • Bez mjerenja i nadzora – nema dokaza o napretku.
    Rješenje: KPI/KGI set i MEA nadzor s redovitim izvještavanjem.

  • Ignoriranje rizika i usklađenosti – kontrole postoje „na papiru“.
    Rješenje: registar rizika, plan tretmana, periodični test kontrola.

  • Izolirani IT – IT upravljanje bez uključenog biznisa i dobavljača.
    Rješenje: zajednički odbor, ugovorene SLA/OLA, upravljanje dobavljačima.

  • Nema upravljanja promjenama – ad-hoc promjene uzrokuju incidente.
    Rješenje: formalni Change Management (CAB, procjena rizika, rollback plan).

  • Preskakanje edukacije i komunikacije – otpor i „shadow IT“.
    Rješenje: plan edukacije, komunikacija benefita i odgovornosti.

  • Neusklađena arhitektura i portfolio – projekti ne prate strategiju.
    Rješenje: APO portfeljno upravljanje, arhitekturna načela, stage-gate.

Brzi checklist za spremnost

  • IT ciljevi povezani s poslovnim KPI-jevima

  • Procjena zrelosti (APO/BAI/DSS/MEA) i prioriteti

  • Uspostavljen Steering Committee i RACI

  • Definiran minimalni skup politika i kontrola

  • KPI/KGI dashboard i MEA ritam izvještavanja

  • Roadmap s quick wins i vlasnicima zadataka

Cobit je razvijen od strane IT Governance Institute-a, neprofitne organizacije osnovane 1998.g. u sklopu udruge ISACA-e (Information Systems Audit and Control).

Trenutno aktualna (najnovija) verzija je COBIT 5. Cobit 5 nastavlja se na Cobit 4.1 te ujedno integrira druge značajne radne okvire, standarde i resurse uključivo Val IT, Risk IT, ITIL v3, TOGAF, CMMI, Prince2 i povezane ISO standarde (npr. ISO 20000, ISO 27000 serija, ISO 31000 serija).

VIDEO: What is Cobit 5? (Cobit Distilled)

VIDEO: What are the benefits of Cobit 5? (Cobit Distilled)

VIDEO: Dangers of avoiding Cobit? (Cobit Distilled)

VIDEO: Comparing Cobit 4.1 and Cobit 5 (Cobit Distilled)

VIDEO: Creating value with Cobit 5 (Cobit Distilled)

VIDEO: Cobit 5 Principles (Cobit Distilled)

VIDEO: Cobit 5 Principle One (Cobit Distilled)

VIDEO: Cobit 5 Principle Two (Cobit Distilled)

VIDEO: Cobit 5 Principle Three (Cobit Distilled)

VIDEO: Cobit 5 Principle Four (Cobit Distilled)

VIDEO: Cobit 5 Principle Five (Cobit Distilled)

VIDEO: Cobit 5 Goals Cascade (Cobit Distilled)

VIDEO: Cobit 5 Enablers (Cobit Distilled)

VIDEO: COBIT 5 Enabler Dimensions and Performance Management (Cobit Distilled)

Cobit 5- Pinterest

IT GOVERNANCE AND COMPLIANCE

E-learning

COBIT - EDUKACIJA
KONTAKT / PRIJAVA