COBIT5 – Framework

Wdrożenie ładu IT w organizacji - część 1

Aby przejść z zarządzania operacyjnego (managamnet) do organizacji uporządkowanej procesowo i organizacyjnie (governanace) należny oprzeć się o wybrany standard ładu korporacyjnego. Jednym z najbardziej dojrzałych modeli jest niewątpliwie standard COBIT, który ca le podejście do ładu organizacyjnego opiera na IT. COBIT ewoluował od audytu IT (1996), poprzez kontrolę IT (1998), zarządzanie IT (2000), ład IT (2005-2010), aż do COBIT5 – powstałego w 2012 roku modelu ładu korporacyjnego IT (Governance of Enterprise IT).

COBIT5 wskazuje 5 pryncypiów jakimi należy się kierować przygotowując wdrożenie ładu korporacyjnego IT. Są to:

1. Spełniać potrzeby interesariuszy – na każdym etapie transformacji należy się koncentrować na rzeczywistych potrzebach.
2. Uwzględnić całą organizację – transformacja musi uwzględniać każdy obszar przedsiębiorstwa, a pominięcie jakiejś jego części spowoduje, że będzie ona niekompletna, a przez to nieudana.
3. Stosować spójną metodykę – transformacja musi być zaplanowana i zarządzana w sposób spójny, adresujący wszystkie potrzebne obszary.
4. Zastosować podejście holistyczne -należy jednocześnie uwzględniać wszystkie czynniki (Enablers).
5. Oddzielić nadzór od zarządzania – wyraźnie określić obszar podlegający ścisłym regulacjom od obszaru dla którego zostaje pozostawiona swoboda zarządzania.

Podstawą ładu wg COBIT5 są tzw. czynniki umożliwiające (Enablers). Czynnik umożliwiający można w uproszczeniu rozumieć jako zasób (również niematerialny) jakim dysponuje przedsiębiorstwo i jakich używa do realizowania swoich celów. Proces transformacji polega na zmianie poszczególnych czynników zgodnie z przyjętym modelem.

Czynniki umożliwiające jakie wprowadzane przez COBIT5 to:

1. Zasady, polityki i metodyki – są to narzędzia służące do przekazywania instrukcji oraz kierunków i metod działania jakich stosowania wymaga się od pracowników przedsiębiorstwa. Zasady są prostymi komunikatami (np. jakość bez kompromisów, dostarczaj na czas). Polityki to szczegółowe instrukcje postepowania w określonych obszarach (np. Polityka bezpieczeństwa informacji). Metodyki to uporządkowane sposoby realizowania określonych działań (np. metodyka zarządzania projektami PRINCE2).
2. Procesy – są to sformalizowane sposoby realizowania określonych sekwencji działań wraz z rolami zaangażowanymi w ich realizację i produktów używanych i wytwarzanych przez te procesy. Każdy proces daje się opisać za pomocą: ról procesowych, praktyk procesowych, czynności procesowych oraz dane wejścia i wyników. COBIT5 wprowadza 5 domen procesowych (1 domena nadzoru i 4 domeny zarządzania) obejmujących łącznie 37 predefiniowanych procesów.
3. Struktury organizacyjne – jest to ogół zależności zachodzących pomiędzy komórkami organizacyjnymi (funkcjonalnych i hierarchicznych), takich jak praktyczne ustalenia dotyczące sposobu działania struktury (zasady działania), granice praw decyzyjnych wewnątrz struktury organizacyjnej (rozpiętość władzy), decyzje, do których podejmowania struktura jest upoważniona (poziom władzy), delegowanie odpowiedzialności i procedury eskalacji. Jak widać struktura organizacyjna to pojęcie znacznie szersze od schematu organizacyjnego (często błędnie nazywanego strukturą).
4. Kultura, etyka i postępowanie – jest to system wzorów myślenia oraz działania utrwalonych w środowisku społecznym przedsiębiorstwa. Do najważniejszych dobrych praktyk w tym zakresie można zaliczyć świadomość oraz komunikowanie pożądanych zachowań.
5. Informacje – są to wszelkie dane będące w podsiadaniu przedsiębiorstwa, które zostały przetworzone tak, by stały się użyteczne w podejmowaniu decyzji w zarządzaniu [3]. Informacje wg COBIT oceniane są pod względem następujących kryteriów: Efektywność (effectiveness) – zapewnienie informacji istotnej, stosownej i użytecznej, oraz dostarczenia jej na czas w poprawnej i spójnej formie. Wydajność (efficiency) – dostarczenie informacji wykorzystując dostępne zasoby w sposób optymalny (ekonomiczny). Poufność (confidentiality) – zabezpieczenie informacji przed nieuzasadnionym ujawnieniem i użyciem. Integralność (integrity) – dokładność i kompletność informacji oraz jej poprawności w odniesieniu do oczekiwań biznesowych. Dostępność (availability) – zapewnienie, że informacja jest dostępna dla określonego procesu biznesowego uwzględniając również aspekt czasowy (dostępność w wymaganym czasie). Zgodność (compliance) – zapewnienie zgodności z  regulacjami (wewnętrznymi i zewnętrznymi). Wiarygodność (reliability) – zapewnienie, ze informacja pochodzi z wiarygodnych źródeł.
6. Usługi, infrastruktura i aplikacje – są to wszystkie warstwy infrastruktury teleinformatycznej od poziomu infrastruktury techniczno-systemowej przez aplikacyjną łącznie z usługami IT świadczonymi przy jej użyciu. IT Governance (w odróżnieniu od Governance of Enterprise IT) odnosi się wyłącznie do tego czynnika.
7. Ludzie, umiejętności i kompetencje – jest to zespół jaki dysponuje przedsiębiorstwo wraz z kompetencjami miękkimi i technicznymi jakie posiadają poszczególni członkowie tego zespołu.

Czynniki od 1 do 4 są całkowicie niematerialne, natomiast czynniki 5 – 7 stanowią zasoby przedsiębiorstwa. Jak widać pojęcie czynnika umożliwiającego jest szersze od pojęcia zasobu.

Każdy czynnik umożliwiający podlega ocenie w 4 wymiarach:

1. Interesariusze – Czy ich potrzeby i oczekiwania są zaspokojone? Np. Czy są usatysfakcjonowani procesami działającymi w przedsiębiorstwie, kompetencjami zespołu, jakością usług świadczonych przez IT itd.?
2. Cele czynnika – Na jakim poziomie dojrzałości znajdują się procesy biznesowe przedsiębiorstwa? Np. Czy zespół posiada kompetencje adekwatne do zajmowanych stanowisk? Czy usługi IT są świadczone zgodnie z SLA?
3. Cykl życia – Czy przedsiębiorstwo kontroluje cykl życia czynnika, czyli czy planuje rozwój bądź wycofanie? Np. Czy w umowach serwisowych mamy zagwarantowaną migrację danych w przypadku wycofania się z używania danej aplikacji? Czy mamy plan zatrudnienia i rozwoju kompetencji? Czy zmiana procesu biznesowego może zostać bezproblemowo odzwierciedlona w systemie ERP?
4. Dobre praktyki – Czy w przedsiębiorstwie stosuje się powszechnie uznane i stosowane standardy? Np. Czy procesy biznesowe modeluje się notacji BPMN 2.0? Czy usługi IT są świadczone wg standardu ITIL? Czy do oceny kompetencji używa się metodyki 360^o?

Wymiary oceny czynników dzielą się na dwa rodzaje:

1. Lag Indicators – obejmują ocenę działań reaktywnych i polegają na sprawdzeniu jaki jest stan aktualny.
2. Lead Indicators – obejmują działania proaktywne i polegają na sprawdzeniu czy przewidujemy stan przyszły.