COBIT (for " Kontrollmål for informasjon og relatert teknologi " eller "informasjonskontrollmål og tilhørende teknologier" på fransk) er et lager med beste praksis innen revisjon og eierstyring av IKT til amerikansk opprinnelse . I løpet av de påfølgende versjonene har det en tendens til å bli et samlende verktøy for styring av informasjonssystemer ved gradvis å integrere bidrag fra andre standarder som ISO 9000 , ITIL , etc.
Den styring av informasjonssystemer (informasjonsteknologi (IT) Governance) har spredning i bedrifter i en sammenheng der, på den ene siden har automatisering av bedriftens funksjoner blitt en viktig komponent i selskapet. Selskapet og på den annen side, ledere gjør ikke se hvordan IS kan gi verdi og ytelse i organisasjonen. Dermed kan vi snakke om IS-styring og derfor om standarder og sertifiseringer som tillater sistnevnte. Det er også av hensyn til informasjonens gjennomsiktighet at informasjonssystemer har utviklet seg og at deres kontroll har blitt viktig. Det viktigste IS-styrings- og revisjonsregisteret er COBIT. Oppsummert er COBIT et referanseramme for å kontrollere styringen av IS over tid. Den er basert på et sett med god praksis samlet fra IS-eksperter.
COBIT ble utviklet i 1994 (og utgitt i 1996 ) av Information Systems Audit and Control Association ( ISACA ). ISACA ble opprettet i 1967 og har vært representert i Frankrike siden 1982 av AFAI ( French Association for IT Audit and Consulting ). Det er et kontrollrammeverk som har som mål å hjelpe ledelsen med å håndtere risikoer (sikkerhet, pålitelighet, samsvar) og investeringer. COBIT har utviklet seg, versjon 4 dukket opp i Frankrike i 2007.
COBIT er en prosessorientert tilnærming, som den grupperer i fire områder (planlegging, konstruksjon, utførelse og metrologi, analogt med Deming Wheel ), 34 separate prosesser som inkluderer totalt 215 aktiviteter og et enda større antall "praksis" . kontroll ". En "informasjonssystemvurdering" -komponent, kjent under navnet Val IT, prøver å fullføre denne tilnærmingen.
COBIT versjon 5 har vært tilgjengelig siden april 2012. COBIT 5 er hittil det eneste depotet som er forretningsorientert for styring og styring av selskapets informasjonssystemer. Det representerer en stor utvikling av depotet.
COBIT 5 kan tilpasses alle typer forretningsmodeller, teknologimiljøer, alle bransjer, geografier og bedriftskulturer. Den kan brukes på:
COBIT 5-depotet forenkler styringsutfordringer med bare fem prinsipper og syv aktiverere. Det muliggjør integrasjon med andre tilnærminger og standarder, inkludert TOGAF , PMBOK , PRINCE2 , COSO , ISO / IEC 20000 , ISO / IEC 27001 , ITIL , PCI DSS , Sarbanes-Oxley og Basel III .
I november 2018, ISACA kunngjorde den gradvise utgivelsen av 2019-versjonen av COBIT.
COBIT gir informasjons- og kommunikasjonsteknologi (IKT) ledere, revisorer og brukere indikatorer, prosesser og beste praksis for å hjelpe dem med å maksimere fordelene ved å bruke IT-teknikker og utvikling. Styring og kontroll av et selskap. Det hjelper dem å forstå sine IT-systemer og bestemme nivået på sikkerhet og kontroll som er nødvendig for å beskytte virksomheten deres, gjennom utvikling av en styringsmodell for informasjonssystemer som COBIT. Dermed gir COBIT sentrale målindikatorer, nøkkel ytelsesindikatorer og viktige suksessfaktorer for hver av sine prosesser. COBIT-modellen fokuserer på hva virksomheten trenger å gjøre, ikke hvordan den trenger å gjøre det.
COBIT-depotet utgjør en struktur av relasjoner og prosesser (referanserammeverk eller rammeverk ) rettet mot styring og kontroll av IT-teknikker av ledelsen i selskapet for å nå sine mål, og bruker disse teknikkene som et middel for å forbedre aktiviteten og møte forretningsbehovene , trenger konsolidering i selskapets strategiske plan. Den er basert på fem hovednøkler for styring og IT-styring:
En av de viktigste nyhetene til COBIT 5 er å nærme seg informasjonssystemet , utover prosessene som allerede er fremsatt av COBIT 4.1, gjennom andre komplementære temaer, som en del av en global (eller systemisk) tilnærming. Alle disse temaene bidrar på en gjensidig avhengig måte til kontrollen av styring og styring av IS.
COBIT 5 definerer 37 prosesser gruppert i fem områder.
Det er gjort tilpasninger til denne versjonen for å sikre bedre konvergens med andre standarder som ITIL og CMMI . Dermed vil COBIT 5, enda mer enn COBIT 4.1, hjelpe CIO-er med å implementere en global forbedringsmetode for CIO, homogen og koordinert, som ikke bare fokuserer på prosesser.
COBIT 4.1 definerer 34 prosesser gruppert i fire områder.
COBIT består i å bryte ned ethvert datasystem i:
COBIT er rettet mot forskjellige brukere:
Den inneholder seks publikasjoner:
Målet er å sikre en varig samsvar mellom teknologier, forretningsprosesser og selskapets strategi.
Denne delen vil være av interesse for den generelle ledelsen ved å indikere hva implementeringen av en gitt prosess vil føre til informasjonen (for eksempel informasjon om beslutninger). Disse kriteriene er:
Ved å forbedre informasjonen i henhold til disse kriteriene, vil organisasjonen være i stand til å nå sine mål lettere, åpne for nye muligheter og forbedre lønnsomheten.
Denne delen gjelder mer direktøren for informasjonssystemer ( DSI ) eller ansvarlig for informasjonssystemer (RSI), for å informere ham om ressursene som vil bli påvirket av prosessen. De forskjellige ressursene er:
De er ment for prosesslederens oppmerksomhet og vil definere strukturen til områder, prosesser og oppgaver. Du bør vite at en prosess er definert som et sett med oppgaver. For eksempel forekommer "regnskapsprosessen" i "administrativt og økonomisk" domene og er delt inn i aktiviteter som "å legge inn fakturaer, redigere saldoen ...". CobiT tilbyr en modenhetsmodell for hver prosess for å plassere den i forhold til beste markedspraksis. Modellen har 6 nivåer (0 til 5).
De viktigste suksessfaktorene definerer de viktigste handlingene som skal tas for å kontrollere prosessene. De sentrale målindikatorene gjør det mulig å vite senere om en prosess har oppfylt målene (med hensyn til informasjonskriteriene). Til slutt bestemmer viktige ytelsesindikatorer kvaliteten på driften av en prosess (evne til å nå mål).
Denne forenklede versjonen av CobiT er hovedsakelig rettet mot små og mellomstore bedrifter der IT-teknikker ikke representerer et strategisk spørsmål, men bare en spak i deres vekststrategi. Den er basert på følgende forutsetninger:
Denne versjonen av COBIT beholder 30 av de 34 prosessene, og 62 av de 318 kontrollmålene.
Quickstart-implementeringen består av seks trinn:
I følge Georges Épinette, administrator av CIGREF , må tilnærmingen til å gripe dette depotet gjøres intelligent, spesielt når det gjelder livssyklusen til forholdet mellom kunde og leverandør. Faktisk presenterer CobiT relativ fattigdom når det gjelder:
Spesielt er CobiT basert på en veldig funksjonell tilnærming til organisasjonen. På denne modellen, Information System opererer parallelt med den virkelige organisasjonen - og på en måte, koblet fra det - fordi det er basert på den nominelle arrangement av funksjoner. I denne sammenheng består tilretteleggingen av informasjonssystemet i å forene, ofte på ad hoc-basis, virkeligheten i operasjoner med en idealisert visjon om organisasjonen. Andre tilnærminger, som dynamisk kombinerer informasjonssystem og organisasjon i henhold til modeller som utvider den funksjonelle modellen, unngår denne fallgruven: dette er for eksempel tilfellet med beslutningsanalysen av komplekse systemer inspirert av arbeidet til den ' sosio-tekniske skolen og nåværende kybernetikk .
I 2006 publiserte en arbeidsgruppe fra klubben med eiere av informasjonssystemer en studie om CobiT, der det vises en rekke merknader om bidrag og begrensninger fra CobiT.