COBIT: Verktyg för att uppnå optimal IT-styrning och att hantera risker

COBIT, som på engelska står för Control Objectives for Information and Related Technology, är ett ramverk som används inom affärsvärlden. Ramverket syftar till att hjälpa företagen med förvaltningen och användningen av deras IT och processer. Den senaste versionen av COBIT släpptes 2019 och beskrivs som ett holistiskt ramverk för styrning och förvaltning av företagets IT-system som riktar sig till hela organisationen. COBIT skapades av ISACA, vilket är en internationell yrkesorganisation med inriktning på IT-styrning som står för och som tidigare kallades för Information Systems Audit and Control Association. Idag används COBIT inom företag världen över för att utrusta dem med en modell för att leverera värde till organisationen samtidigt som man hanterar risker bättre i samband med företagets IT-processer.

COBIT

 

Den här texten tittar närmre på COBIT, vilka komponenter som utgör det här ramverket och vad som utmärker den nyaste versionen från 2019. De främsta fördelarna med att använda sig av COBIT utreds också.

Vad är COBIT?

COBIT utvecklades för att användas som ett stöttande verktyg av chefer inom framför allt IT. I praktiken hjälper COBIT företagen att utveckla, organisera och implementera olika strategier inom informationssystem och styrning. Framför allt är COBIT till för att mäta så kallad processmognad. När man mäter processmognad kan man nämligen identifiera de områden inom ett IT-system och dess styrning som är i behov av förbättring. Att mäta processmognad är viktigt för att hålla sig uppdaterad om eventuella problem men också om potentiella utvecklingsmöjligheter inom företaget. Genom att analysera och mäta sina processer blir det lättare att bestämma vilka åtgärder som behöver sättas in, och samtidigt blir företaget bättre på att förebygga risker och fel.

Med hjälp av COBIT kan det bli enklare för företagen att överbrygga det ofta förekommande gapet mellan tekniska problem, affärsrelaterade risker och de krav som ställs på kontroll av företagen. COBIT som ramverk är väl genomtänkt och strukturerat och kan på grund av det appliceras av företag inom många olika branscher och industrier. Sammantaget säkerställer COBIT en hög kvalitet, kontroll och tillförlitlighet av informationssystem i ett företag. Dessa aspekter är ofta bland de viktigaste aspekterna av varje modern företagsverksamhet.

Historian bakom COBIT

COBIT släpptes för första gången 1996, och var ursprungligen utformat som en uppsättning av kontrollmål för IT för att framför allt bistå den finansiella revisionsvärlden i att bättre hantera utvecklingen av IT-system och -miljöer. År 1998 släppte ISACA (Information Systems Audit and Control Association) den andra versionen av COBIT, vilken expanderade ramverket för att göra det möjligt att också tillämpa COBIT inom områden utanför finansiell revision. Senare, under 2000-talet, utvecklade ISACA version nummer 3 som inkorporerade de IT- och informationsstyrningsteknikerna som ingår i ramverket idag.

Utvecklingen av COBIT har sedan fortsatt och 2005 släpptes COBIT 4, vilket följdes av COBIT 4.1 år 2007. Dessa uppdateringar inkluderade ännu mera kunskap och verktyg inom styrning kring information- och kommunikationsteknik. År 2012 släpptes COBIT 5 och 2013 släppte ISACA ett tillägg till COBIT 5, som inkluderade mer information för företagen om riskhantering och informationsstyrning.

ISACA presenterade en uppdaterad version av COBIT 2018. Då gav ISACA upp versionsnumret och gav istället ramverket namnet COBIT 2019. Den här senaste versionen av COBIT är konstruerad på ett sätt för att ständigt utvecklas med “frekventa och flytande uppdateringar”, enligt ISACA. COBIT 2019 introducerades för att hjälpa företagen att bygga styrningsstrategier som är mer flexibla och kompatibla, och som smidigt kan adressera ny och förändrad teknik.

Vad är COBIT 2019?

COBIT 2019, den senaste versionen, har uppdaterat ramverket för att göra det bättre lämpat för moderna företag genom att adressera nya trender, teknologier och säkerhetsbehov. COBIT 2019 fungerar bra med andra IT-ramverk och system, vilket gör COBIT 2019 till ett bra alternativ för ett så kallat paraply-ramverk som förenar processer över en hel organisation. Nya koncept och terminologi har introducerats i den här senaste versionen av COBIT, vilket inkluderar uppemot 40 stycken målsättningar inom styrning och förvaltning för att etablera ett program eller strategi för IT-styrning inom företagen. Generellt syftar COBIT 2019 till att ge företagen mycket mer flexibilitet och en högre anpassningsförmåga när det kommer till att skräddarsy sina IT-system och styrningen över dessa.

Liksom många andra ramverk inom IT hjälper COBIT till med att anpassa företagets affärsmål med dess IT-mål, genom att skapa länkar mellan de två och skapa en process som kan hjälpa till att överbrygga gapet mellan IT-avdelningar och andra avdelningar inom företaget. En stor skillnad mellan just COBIT och andra ramverk är att det fokuserar specifikt på säkerhet, riskhantering och informationsstyrning. Det här fokuset stärktes allt mer i COBIT 2019, med hjälp av bland annat bättre och mer exakta definitioner av vad COBIT är och vad det inte är. ISACA menar till exempel att COBIT 2019 inte är ett ramverk för att organisera affärsprocesser, hantera teknik, fatta IT-relaterade beslut eller bestämma IT-strategier eller arkitektur. Det är snarare utformat som ett ramverk för styrning och hantering av företagets IT inom hela organisationen.

Målsättningarna med COBIT 2019

Enligt ISACA uppdaterades COBIT till 2019-versionen för att inkludera följande:

  • Fokusområden och designfaktorer som inger mer klarhet kring hur man skapar ett styrningssystem för affärsbehov
  • En bättre anpassning till globala standarder, ramverk och principer för att göra COBIT till ett mer relevant och modernt ramverk
  • En öppen modell av ramverket som gör det enklare att ge feedback, vilket i sin tur pushar för snabbare uppdateringar och förbättringar
  • Regelbundna uppdateringar som släpps på en kontinuerlig basis
  • Mera vägledning och verktyg som stöttar företagen i deras arbete med att utveckla så skräddarsydda IT-system och styrningsstrategier som möjligt
  • Ett bättre verktyg för att mäta resultat och processmognad

COBIT 2019 introducerar också fokusområden som koncept, vilka beskriver specifika ämnen inom styrning. Sådana ämnen och fokusområden kan till exempel vara små eller stora företag, internetsäkerhet, digital transformation och molnlagring. Fokusområden kan läggas till och förändras allt eftersom baserat på trender, forskning och feedback.

Komponenterna i COBIT 2019

Ramverket COBIT 2019 består av flera olika delar:

  1. Introduktion och metodologi: Den huvudsakliga guiden som introducerar grunderna till COBIT och dess principer, samt själva strukturen för det övergripande ramverket.
  2. Styrnings- och ledningsmål: En kompletterande guide som dyker in i COBIT Core Model och listar dess 40 styrnings- och ledningsmål. Varje mål beskrivs tillsammans med dess syfte, hur det relaterar till företaget i fråga och hur det kopplas samman med andra mål.
  3. Design guide: En kompletterande guide som erbjuder fördjupad vägledning i att utveckla en unik och skräddarsydd lednings- och styrningsstrategi för det egna företaget.
  4. Guide för implementering: Den här fjärde guiden vägleder företagen igenom implementering av den skräddarsydda strategi som företaget i fråga har utvecklat. Det inkluderar vägledande principer, olika sätt att förebygga misstag på och tips för hur man bäst integrerar ens COBIT 2019 strategi i företaget.

Positiva aspekter med COBIT 2019

En av de största skillnaderna mellan COBIT 2019 och de tidigare versionerna är att användarna av den senaste versionen nu aktivt uppmuntras till att dela med sig av sin feedback tillbaka till COBIT och dess skapare. Som användare av COBIT kan man numera lämna kommentarer, samt föreslå förbättringar eller nya koncept och idéer.

COBIT 2019 är utformat för att vara mer anpassningsbart. Syftet med det är att ramverket ska kunna vägleda företag i att utveckla en styrningsstrategi, samtidigt som det vill göra det så smidigt och enkelt som möjligt för företagen att skräddarsy en unik och bäst lämpad strategi för sig själva med hjälp av COBIT. Enligt ISACA definierar COBIT 2019 ”komponenter för att bygga och upprätthålla ett styrningssystem: processer, policys och procedurer, organisationsstrukturer, informationsflöden, kompetenser, infrastruktur samt kultur och beteenden”. Dessa komponenter beskriver vad företag behöver för att utveckla ett starkt styrningssystem. Därtill menar ISACA att COBIT 2019 lämpar sig allra bäst för de företag och klienter som använder sig av flera olika ramverk och system samtidigt. Det är också ett lämpligt ramverk för de företag och organisationer som är tvungna att följa specifika regler och förordningar från statliga institutioner.

COBIT 2019 ramverket hjälper företagen att anpassa redan existerande ramverk, metoder, processer och system inom organisationen samt att förstå hur var och en av dessa passar in i företagets övergripande strategi. Det kan också hjälpa företagen att övervaka hur bra de andra ramverken, systemen, processerna etc. fungerar och hur deras resultat ser ut. Det gäller särskilt när det kommer till faktorer som efterlevnad, informationssäkerhet och riskhantering. COBIT 2019 är också designat för att ge de mer seniora ledarna bättre insikt i hur olika teknologiska lösningar kan stötta företaget i att nå dess organisatoriska målsättningar.

Principerna bakom COBIT-ramverket

COBIT byggs upp av fem stycken grundläggande principer. Samtliga fem principer är avgörande för att skapa en miljö som fokuserar på effektiv förvaltning och styrning av IT-system inom företag. De fem principerna kretsar framför allt kring att möta olika intressenters behov, inkludera hela organisationen och skapa en holistisk approach för styrning. De fem principerna beskrivs mer djupgående nedan.

Möta sina intressenters behov

Prioriteten för de flesta sorters företag är att uppfylla sina kunders och andra intressenters behov, medan man samtidigt säkerställer en optimal säkerhet och skydd för företagets IT och data. COBIT gör en transformation till en sådan verklighet möjlig och hjälper företagen att skapa strategier som i sin tur hjälper dem att nå sina målsättningar. Den här transformationen består i regel av tre stycken faktorer. Företagen måste till att börja med förvalta och använda sina resurser så optimalt som möjligt. Därtill måste de också kunna dra nytta av sina resurser när tillfälle ges. Samtidigt ingår också en hel del risk i processen. COBIT skapar en balans mellan alla tre faktorerna för företagen, det vill säga att förvalta resurser, utnyttja dem och att hantera risk. Processen involverar att hantera samtliga behov som uttrycks av de olika intressenterna, även de som kan leda till konflikt, genom lämplig styrning och beslutsfattande samt en del förhandling så att slutresultatet alltid levererar det utlovade värdet.

Ta en holistisk approach till styrning

Styrning och förvaltning av ett företags IT handlar om mer än enbart deras IT-avdelning. Det behöver nämligen sträcka sig över hela organisationen, och det är just detta som COBIT hjälper företagen med att göra. En av de viktigaste syftena med COBIT är att hjälpa företagen inta ett holistiskt tillvägagångssätt till styrning av och arbete med IT, revision och förvaltning genom så kallade ”enablers” (faktorer som möjliggör något). Dessa enablers kan tillämpas på alla avdelningar inom ett företag och är uppdelade i fem stycken kategorier:

  • Principer och policys
  • Strukturer inom företaget
  • All information och data om företaget
  • Företagets processer
  • De anställdas kompetenser och kunskaper

Täcka hela projekt

COBIT fokuserar också på att täcka och involvera projekt som en helhet när det kommer till styrning. Det integrerar IT med styrningen av företaget och affärsverksamheten till en enda plattform, genom att kombinera IT-tjänster och -processer med företagets centrala affärsprocesser. COBIT har fyra stycken centrala målsättningar inom det här fokusområdet, nämligen:

  1. Att skapa ett mervärde med hjälp av styrningen
  2. Använda sig av ens ”enablers” så effektivt som möjligt
  3. Tilldela och fördela roller och ansvarsområden
  4. Specificera avgränsningarna och omfånget för varje projekt.

Ett enda integrerat ramverk

COBIT är ett enda komplett ramverk som i sig självt syftar till att tackla alla teknologiska förändringar som sker, hantera risker av olika slag och förvalta information. På så sätt täcker det hela organisationen på ett konsekvent sätt. COBIT kan också skräddarsys för att möta varje företags specifika och unika behov och upprätthålla dess standarder.

Skapa och belysa en skillnad mellan styrning och förvaltning

Eftersom att styrning och förvaltning (ledning) ofta har olika målsättningar, ansvarsområden och består av olika aktiviteter behöver de också olika strukturer för att fungera. COBIT integrerar styrningen och förvaltningen, samtidigt som de separeras genom att använda två olika ramverk.

Strukturen på COBIT-ramverket

Tre stycken nivåer formar tillsammans strukturen på COBIT. Dessa tre nivåer inkluderar följande:

  • IT-resurser, vilket inkluderar:
    • IT-infrastruktur
    • IT-applikationer
    • Information och data
    • De anställda som jobbar med IT
  • IT-processer, som består av de två aspekterna:
    • Processer
    • IT-domän
  • Affärsmål, inkluderar följande mätvärden:
    • Tillgänglighet
    • Effektivitet
    • Integritet
    • Efterlevnad
    • Pålitlighet
    • Sekretess

COBIT-ramverket har skapats för att länka företagens affärsmål med dess IT-verksamhet. Det gör COBIT genom att tillhandahålla vissa mätvärden för information och mognadsmodeller som hjälper till att integrera ansvaret för IT och affärsaspekter i en organisation och kontrollera framstegen som görs. Det finns två huvudsakliga parametrar som är inblandade i COBIT-ramverket som hjälper till med dess omfattning och funktion. De är så kallade kontroll- och IT-kontrollmål. Kontrollaspekten i COBIT handlar om att skapa olika förfaranden, policys, metoder och organisationsstrukturer. Dessa hjälper företagen att försäkra intressenterna om att alla affärsprocesser kommer att uppnå sina mål samt förhindra oönskade resultat genom att hantera IT- och affärsrelaterade risker. IT-kontrollmål definierar det förväntade resultat som behöver uppnås genom att implementera de processer som skapats av kontrollmålen som berör IT. En av anledningarna till att COBIT är så omtyckt är att det definierar IT-styrningen som en komplett struktur i sig självt, istället för som en del av företagets IT. Det hjälper som sagt till med att inkludera hela organisationen och att upprätthålla en hög säkerhet och samtidigt uppnå företagets målsättningar.

COBITs fem komponenter

COBIT består i huvudsak av fem stycken komponenter:

  • COBIT-ramverket: COBIT-ramverket är designat för att hjälpa företagen organisera och kategorisera alla sina målsättningar när det kommer till framför allt sin IT. Det hjälper också företagen att se till så att alla inom företaget följer specifika tillvägagångssätt, och att integrera IT-systemet med företagets målsättningar.
  • Processbeskrivningar: De här beskrivningarna förser företagen med en processmodell och skapar ett gemensamt språk för alla avdelningar och enheter inom företaget.
  • Riktlinjer för management: De här riktlinjerna är till för att fördela arbetsroller och ansvar inom IT-styrningen. Det hjälper till i arbetet med att skapa en enhetlig struktur igenom hela organisationen och gör det enklare för de olika avdelningarna att jobba tillsammans. Samtidigt går det också smidigare att få alla avdelningar och chefer till att komma överens om företagets mål och vision, och att mäta resultat och prestation på ett enhetligt sätt.
  • Mognadsmodeller: Mognadsmodeller i COBIT används för att bättre förstå varje enskild process och dess förmåga samt mognadsnivå, för att på så sätt kunna fylla igen de kunskapsluckor eller problem som identifieras.
  • Kontrollmål: Kontrollmålen som skapas genom COBIT-ramverket förser företagen med de krav som de måste möta för att kunna sköta sina IT-processer så effektivt som möjligt.

 

Slutsats

COBIT och dess ramverk har hjälpt organisationer och företag i flera år att uppnå optimal IT-styrning och att hantera risker. COBIT syftar till att koppla samman ett företags affärsmål, struktur, verksamhet och anställda med dess IT och styrningen av IT-systemet. Genom att anta en holistisk approach för IT-styrningen så blir IT en naturlig och integrerad del av hela företaget och igenom hela organisationen. COBIT skapades av ISACA 1996, och sedan dess har ramverket utvecklats och flera nya versioner har släppts. Den senaste versionen heter COBIT 2019, och syftar till att göra det enklare för företagen att få skräddarsydd hjälp av COBIT samtidigt som det också har blivit lättare för COBITs användare att lämna feedback om ramverket. På så sätt kan COBIT kontinuerligt förbättras utifrån dess användares behov.