حسابرسی فناوری اطلاعات

معرفی مستندات چارچوب کوبیت 2019 (COBIT 2019)

پس از ارائه چندین نسخه از چارچوب  COBIT در سال 2019 میلادی ISACA چارچوب COBIT 2019 را عرضه نمود. با مرور سیر تحول چارچوب COBIT از سال 1995 میلادی تاکنون مشخص می شود که هر نسخه از این چارچوب نسبت به نسخه های قبلی محدوده گسترده تر و وسیع تری را در حوزه فناوری اطلاعات و ارتباطات سازمان پوشش داده است. در نسخ اولیه این چارچوب تمرکز بر کنترل و ممیزی فناوری اطلاعات بود. در ادامه چارچوب ابعاد مدیریتی فناوری اطلاعات را پوشش داد. لیکن در نسخه انتهایی خصوصا چارچوب COBIT 5 موضوع راهبری یا حاکمیت فناوری اطلاعات در چارچوب مورد تمرکز و توجه قر ار گرفته است. چارچوب COBIT 5 مولفه های جدیدی را تحت عنوان توانمندساز ها ارائه نمود. بر تکفیک بین حاکمیت و مدیریت فناوری اطلاعات تاکید نمود و فرآیندهای حاکمیت فناوری اطلاعات را به چارچوب افزود.

 

نسخه 2019 این چارچوب را می توان در ادامه نسخه COBIT 5 به شمار آورد . در این نسخه نیز کوبیت جایگاه خود را به عنوان یک ابزار طراحی و استقرار نظام حاکمیت فناوری اطلاعات در سازمان تقویت نموده است. COBIT 2019 نسبت به نسخه کوبیت 5 تغییراتی داشته است. مجموعه این تغییرات در چهار مستند  اصلی توسط ISACA ارائه شده است:

  • چارچوب کوبیت 2019: مقدمه و متدولوژی:  در این مستند تعریف حاکمیت فناوری اطلاعات بسط  داده شده و اصول کوبیت به روزرسانی شده است. در این مستند اهداف 40 گانه حاکمیت فناوری اطلاعات ارائه شده اند. فاکتورهای طراحی نظام حاکمیت فناوری اطلاعات معرفی شده اند. حوزه های تمرکز در نظام حاکمیت فناوری اطلاعات از جمله تحول دیجیتال و امنیت سایبری نیز بیان شده اند.
  • چارچوب کوبیت 2019: اهداف حاکمیت و مدیریت: این سند به صورت تفصیلی به بین اهداف 40 گانه حاکمیت و مدیریت فناوری اطلاعات پرداخته است. در این سند هریک از اهداف توصیف شده و ارتباطات آنها با فرآیندها مشخص شده است. به عبارت دیگر این سند تبیین کننده نظام همراستایی بین فرآیندها، اهداف فرآیندها و اهداف حاکمیت و مدیریت فناوری اطلاعات است.
  • راهنمای طراحی کوبیت 2019: طراحی راهکار حاکمیت فناوری اطلاعات: این سند در واقع ی راهنمای کاربردی برای طراحی نظام حاکمیت فناوری اطلاعات است. نکته مهم در این سند در نظر گرفتن مجموعه ای از معیارهای طراحی به نحوی است که هر سازمان می تواند براساس این معیارهای طراحی و مبتنی بر شرایط خاص خود نظام مناسبی را برای حاکمیت فناوری اطلاعات طراحی کند.
  • راهنمای پیاده سازی کوبیت 2019: پیاده سازی و بهینه سازی راهکار حاکمیت فناوری اطلاعات: این سند به روز شده نسخه قبلی راهنمای پیاده سازی کوبیت است. البته مفاهیم جدید کوبیت از جمله معیارهای طراحی نیز در این راهنما اعمال شده است.

 

فاکتورهای طراحی

یکی از تفاوت های کلیدی کوبیت 2019 با نسخه های قبلی کوبیت، اضافه شدن مفهومی تحت عنوان فاکتورهای طراحی (Design Factors) به این چارچوب است. فاکتورهای طراحی مواردی هستند که می توانند بر طراحی نظام حاکمیت فناوری اطلاعات تاثیرگذار باشند. همانطور که اشاره شد یکی از خروجی های اصلی کوبیت 2019 راهنمای طراحی نظام حاکمیت فناوری اطلاعات است. در طراحی نظام حاکمیت فناوری اطلاعات می توان مجموعه ای از عوامل و فاکتورها را مورد توجه قرار داد. در چارچوب کوبیت 2019 یازده عامل به عنوان فاکتورهای طراحی معرفی شده اند. فاکتورهای طراحی براساس ماهیت به سه دسته زیر تقسیم می شوند:

  • فاکتورهای محیطی: این فاکتورها مواردی هستند که خارج از کنترل سازمان می باشند. به عنوان مثال تهدیدهای محیطی یکی از این موارد هستند.
  • فاکتورهای استراتژیک: این فاکتورها نشان دهنده تصمیماتی هستند که توسط سازمان اتخاذ می شوند. به عنوان مثال نقش فناوری اطلاعات در موفقیت سازمان یا تعیین اشتهای ریسک سازمان در زمره این موارد هستند.
  • فاکتورهای تاکتیکی: مجموعه ای از عوامل هستند که براساس گزینه های عملیاتی و پیاده سازی موضوعیت می یابند. به عنوان مثال مدل منبع یابی فناوری اطلاعات جزیی از این فاکتورها است.

براساس تفاسیر فوق الذکر یازده فاکتور طراحی به شرح زیر در چارچوب کوبیت 2019 ارائه شده است:

  • استراتژی سازمان
  • اهداف سازمان
  • پروفایل ریسک
  • اندازه سازمان
  • دورنمای تهدیدها
  • الزامات تطبیق
  • نقش فناوری اطلاعات
  • مدل منبع یابی فناوری اطلاعات
  • روش های اجرایی فناوری اطلاعات
  • استراتژی استقرار و تطبیق فناوری

حال این سوال مطرح می شود که چگونه از عوامل فوق الذکر برای طراحی نظام حاکمیت فناوری اطلاعات استفاده می شود؟ جزییات طراحی نظام حاکمیت فناوری اطلاعات براساس چارچوب کوبیت 2019 در راهنمای طراحی نظام حاکمیت فناوری اطلاعات ارائه شده است. در این مستند فرآیندی چهار مرحله ای برای طراحی نظام براساس عوامل فوق بیان شده است. این فرآیند مبتنی بر این عوامل و شرایط محیطی و درونی سازمان، اولویت های اهداف نظام حاکمیت فناوری اطلاعات را مشخص می سازد و اجزای کلیدی این نظام برای تحقق اهداف را تبیین می کند. فرآیند مذکور طی چهار مرحله زیر محقق می شود:

  1. شناخت محیط و استراتژی سازمان
    • شناخت استراتژی سازمان
    • شناخت اهداف سازمان
    • شناخت پروفایل ریسک سازمان
    • شناخت موضوعات و مشکلات جاری فناوری و اطلاعات در سازمان

 

  1. تعیین محدوده اولیه نظام حاکمیت فناوری اطلاعات
    • تحلیل استراتژی سازمان
    • تحلیل اهداف سازمان و اعمال ساختار شکست اهداف کوبیت
    • تحلیل پروفایل ریسک سازمان
    • تحلیل موضوعات و مشکلات جاری فناوری و اطلاعات در سازمان

 

  1. پالایش و تدقیق محدوده نظام حاکمیت فناوری اطلاعات
    • تحلیل اندازه سازمان
    • تحلیل دورنمای تهدیدها
    • تحلیل الزامات تطبیق
    • تحلیل نقش فناوری اطلاعات در سازمان
    • تحلیل مدل منبع یابی
    • تحلیل روش های پیاده سازی فناوری اطلاعات
    • تحلیل استراتژی استقرار و تطبیق فناوری

 

  1. جمع بندی طراحی نظام حاکمیت فناوری اطلاعات
    • اولویت بندی و رفع تعارض ها
    • جمع بندی طراحی نظام حاکمیت فناوری اطلاعات

نظر دهید