مقایسه اجمالی بین چارچوب کوبیت 4.1 و کوبیت 5

مقدمه
انجمن حسابرسی و کنترل سیستمهای اطلاعاتی1 (ISACA) در کار نظارت، کنترل و اطمینان‌بخشی فناوری اطلاعات (IT) پیشتازی جهانی است که همایشهای بین‌المللی، دوره‌های آموزشی و یک شبکه دانش جهانی را پشتیبانی مالی و پرورش و معرفی حسابرس رسمی سیستمهای اطلاعاتی2 (CISA)، مدیر رسمی امنیت اطلاعات3 (CISM)، متخصص نظام راهبری فناوری اطلاعات سازمان4 (CGEIT) و متخصص کنترل سیستمهای اطلاعاتی و ریسک5 (CRISC) را در سطح جهان رهبری می‌کند و حسابرسی سیستمهای اطلاعاتی کاربردی و استانداردهای کنترل را در سطح جهانی توسعه می‌دهد. کوبیت6 (COBIT)، چارچوبی ارائه‌شده توسطموسسه نظام راهبری فناوری اطلاعات7 (ITGI) و راه‌اندازی‌شده توسط انجمن حسابرسی و کنترل سیستمهای اطلاعاتی برای حسابرسی، کنترل و راهبری فناوری اطلاعات است. کوبیت چارچوب جامعی از هدفهای کنترلی است که به حسابرسان فناوری اطلاعات، مدیران عامل و مدیران فناوری اطلاعات کمک می‌کند که سیستمهای فناوری اطلاعات خود را درک کرده و تصمیم بگیرند چه سطح امنیت و کنترلی کافی است. کوبیت، شامل رهنمودهای مدیریتی برای پر کردن شکافهای میان ریسکهای کسب‌وکار، نیازهای کنترلی و موضوعهای فنی است. یک مجموعه ابزار پشتیبانی است که این امکان را به مدیران می‌دهد که شکاف بین نیازهای کنترلی، موضوعهای فنی و ریسکهای کسب‌وکار را پر کنند. این ابزار جدید به تعیین فرایندهای نظارتی کسب‌وکارها با استفاده از عوامل حیاتی موفقیت8 (CSFs)، شاخصهای کلیدی هدف کلان9(KGIs) و شاخصهای کلیدی عملکرد10 (KPIs) کمک می‌کنند. ماموریت آن تحقیق، توسعه، انتشار و ترویج یک مجموعه بین‌المللی، معتبر و به‌روز از هدفهای کلی کنترل فناوری اطلاعات پذیرفته‌شده برای استفاده روزمره به‌وسیله مدیران کسب‌وکار، مشاغل فناوری اطلاعات و مشاغل اطمینان‌بخشی است. اولین نسخه از کوبیت توسط موسسه نظام راهبری فناوری اطلاعات در سال 1996 عرضه شد. در سال 1998 و در نسخه دوم، «رهنمودهای مدیریتی» به آن افزوده شد. در سال 2000، نسخه سوم به‌صورت کاملتری ارائه شد. در سال 2003، یک نسخه اینترنتی در دسترس قرار گرفت. در دسامبر سال 2005، نسخه اولیه چاپ چهارم با افزودن بخش نظام راهبری فناوری اطلاعات عرضه شد. در ماه مه ‌2007، نسخه تجدیدنظرشده آن نسخه 4/1 چاپ شد. نسخه کوبیت 5 برای ارائه در سال 2012 زمانبندی شده بود که پس از ارائه پیش‌نویس آن در سال 2011، در آوریل سال 2012 و پس از به‌روزآوری، ارائه شد. کوبیت 5 به یکپارچگی چارچوبهای کوبیت 4/1، چارچوب وال آی‌تی 2/0 (Val IT 2.0) و چارچوب آی‌تی ریسک (IT Risk) می‌پردازد و همچنین، به میزان درخورتوجهی الگوی کسب‌وکار برای امنیت اطلاعات11 (BMIS) و چارچوب اطمینان‌بخشی فناوری اطلاعات12 (ITAF) را ترسیم می‌کند (سروش، 1391). در این مقاله، قصد داریم به‌صورت اجمالی به مقایسه تفاوتهای میان کوبیت 4/1 و کوبیت 5 بپردازیم.

چارچوب کوبیت
این چارچوب شیوه‌های مناسب در کل چارچوب فرایند و حوزه را فراهم می‌کند. جهتگیری کسب‌وکار کوبیت از پیوند هدفهای کسب‌وکار با هدفهای فناوری اطلاعات، ایجاد سنجه‌ها و الگوهای رشد برای سنجش موفقیت آنها و شناسایی مسئولیتهای همبسته با کسب‌وکار و افراد درگیر در فرایند فناوری اطلاعات است. تمرکز فرایند کوبیت 4/1 به‌وسیله یک الگوی فرایندی نشان داده می‌شود که فناوری اطلاعات را به چهار حوزه (طرحریزی و سازماندهی، اکتساب و اجرا، تحویل و پشتیبانی، و نظارت و ارزیابی) و 34 فرایند همراستا با حوزه‌های مسئولیتی طرح‌ریزی، ایجاد، اجرا و نظارت تقسیم می‌کند. هر فرایند به همراه ورودیها و خروجی‌های فرایند، فعالیتهای کلیدی فرایند، هدفهای فرایند، سنجه‌های عملکردی و یک الگوی رشد اولیه تعریف ‌شده است. چارچوب نظام راهبری فناوری اطلاعات با تعریف و تنظیم هدفهای کسب‌وکار با هدفهای فناوری اطلاعات و فرایندهای فناوری اطلاعات پشتیبانی می‌شود. به‌علاوه، کوبیت، چارچوب مورد استفاده بیشتر شرکتها برای تطبیق با ساربنز-آکسلی است. شرکتهایی که در ایالات‌متحد تجارت می‌کنند باید از قانون ساربنز-آکسلی 2002 پیروی ‌کنند (سروش، 1391). در ادامه، به توصیف کلی کوبیت 5 می‌پردازیم و بهبودهایی را که در آن نسبت به کوبیت 4/1 ایجاد شده است به اختصار بیان می‌کنیم.

بهبودها در کوبیت 5 
کوبیت 5، محک جدیدی برای وظایف، سازمانها و ارائه‌کنندگان خدمات فناوری اطلاعات است. کوبیت 5، مرحله بعدی تکاملی در تعریف چارچوب مدیریت فناوری اطلاعات برای پشتیبانی عملیات کسب‌وکار سازمان است که علاوه بر نمایش نیازهای عملیاتی، دستیابی به هدفهای راهبردی را ممکن می‌سازد. امروزه، اطلاعات و فناوریهای مرتبط بیش از پیش نیاز به راهبری، مدیریت و عملیاتی شدن از طریق یک الگوی فرایندی یکپارچه به روشی کل‌نگر داشته که پوشش کاملی از نقشها، مسئولیتها و رویه‌های مورد نیاز را فراهم می‌کند (IT Governance Network, 2011). بهبودهای چشمگیری در کوبیت جهت استقرار آن به‌عنوان الگویی برای نظام راهبری فناوری اطلاعات شرکت ایجاد شده است. تصویر 1، اصول جدید نظام راهبری فناوری اطلاعات سازمان13 (GEIT) در کوبیت 5 را نشان می‌دهد (ISACA, 2012).

چارچوبهای وال آی‌تی و آی‌تی ریسک مبتنی بر این اصول هستند. بازخوردها نشان داده که اصول به سادگی درک‌پذیرند و در متن سازمان قرار می‌گیرند و امکان کسب ارزش از راهنمای پشتیبانی‌کننده را کاراتر می‌سازند. همچنین، استاندارد ایزو/آی‌ایی‌سی 38500 (ISO/IEC 38500)، اصول را برای دستیابی به سود بازاری همان کار به یکدیگر پیوند می‌دهد؛ اگرچه این اصول در این استاندارد و کوبیت 5 یکسان نیستند.
به علاوه، کوبیت 4/1، توانمندسازها14 را نداشت، البته آنها به‌صورت واضح یا مفهومی وجود داشتند؛ اما تحت نام توانمندسازها شناخته نمی‌شدند. تصویر 2، توانمندسازها در کوبیت 5 را نشان می‌دهد (ISACA, 2012).

همان‌طور که در تصویر 2 دیده می‌شود، اطلاعات، زیرساخت، نرم‌افزارهای کاربردی (خدمات) و افراد (افراد، مهارتها و صلاحیتها) منابع کوبیت 4/1 بودند. اصول، سیاستها و چارچوبها در تعداد کمی از فرایندهای کوبیت 4/1 ذکر شده بودند. فرایندها بر استفاده از کوبیت 4/1 متمرکز بودند. ساختار سازمانی از طریق نقشهای مسئول، پاسخگو، مشاور و مطلع15 (RACI) و تعریفهایشان استنتاج شده بود. موارد مربوط به فرهنگ، اخلاق و رفتار نیز در تعداد کمی از فرایندهای کوبیت 4/1 ذکر شده بودند (ISACA, 2012).
بر‌اساس تحقیقی در سال 2011، کوبیت در سطحی بالاتر قرار می‌گیرد و با شیوه‌های مناسب و سایر استانداردهای فناوری اطلاعات همچون کوزو16 (COSO)، مدرک آی‌تی‌آی‌ال17 (ITIL)، ایزو/آی‌ایی‌سی 17799 (ISO/IEC 17799)، ایزو/آی‌ایی‌سی 20000 (ISO/IEC 20000)، پیکره دانش مدیریت پروژه18 (PMBOK)، یکپارچگی مدل بلوغ قابلیت19 (CMMI)، چارچوب معماری گروه باز20 (TOGAF) و شورای آزمون موسسه‌های مالی فدرال21 (FFIEC) به‌صورت دقیق تنظیم و هماهنگ شده است. در این تحقیق، نگاشتی از مقایسه فرایندهای کوبیت 4/1 با سایر استانداردها صورت گرفته است. نتایج نشان می‌دهد که کوزو تنها 24 فرایند، مدرک آی‌تی‌آی‌ال تنها 16 فرایند، ایزو/آی‌ایی‌سی 17799 تنها 24 فرایند، ایزو/آی‌ایی‌سی 2000 تنها 25 فرایند، پیکره دانش مدیریت پروژه تنها 5 فرایند، یکپارچگی مدل بلوغ قابلیت تنها 11 فرایند، چارچوب معماری گروه باز تنها 5 فرایند، کنترلهای امنیتی توصیه‌شده برای سازمانها و سیستمهای اطلاعاتی فدرال (NIST 800-53) نیز تنها 11 فرایند از 34 فرایند کوبیت را پوشش می‌دهند. در میان چارچوبها و استانداردهای موجود، تنها شورای آزمون موسسه‌های مالی فدرال کلیه 34 فرایند کوبیت را پوشش می‌دهد؛ اما دو حوزه اکتساب و اجرا و تحویل و پشتیبانی از گستردگی و عمق کمتری نسبت به کوبیت برخوردار است (ISACA, 2012).
علاوه بر این، برخلاف نسخه قبلی آن (کوبیت 4/1) و مدرک آی‌تی‌آی‌ال نسخه 3 (ITIL V3)، چارچوب کوبیت 5 هر سه سطح چارچوب نظام راهبری فناوری اطلاعات را نشان می‌دهد. هم  کوبیت 4/1 و هم مدرک آی‌تی‌آی‌ال نسخه 3، الگوهایی فرایندی هستند که رویه‌های فناوری اطلاعات را در سطح عملیاتی مبتنی بر منبع مفیدی از رویه‌های مناسب تشریح می‌کنند. به هر حال، کوبیت 4/1 و مدرک آی‌تی‌آی‌ال نسخه 3 رویه‌های مدیریتی لازم برای هدایت را نداشته و از منابع فناوری اطلاعات به‌طور کارا و اثربخش استفاده نمی‌کنند. به‌علاوه، کوبیت 4/1 و مدرک آی‌تی‌آی‌ال نسخه 3 فرایندهای نظام راهبری شرکت لازم برای هدایت و کنترل استفاده از فناوری اطلاعات را تشریح نمی‌کنند (IT Governance Network, 2011). تصویر3، میزان پوشش کوبیت 5 شامل سایر استانداردها و چارچوبها را نمایش می‌دهد (ISACA, 2012).
همان‌طور که در تصویر3 مشاهده می‌شود، در کوبیت 5 سعی شده است که کلیه روشهای موجود در سایر استانداردها و چارچوبها در نظر گرفته شوند تا چارچوب حاصل‌ پوشش‌دهنده کل فرایندهای فناوری اطلاعات سازمان و به‌روز و کامل باشد.

بهبودها در کوبیت 5 شامل بازسازی تشریح فرایندها، شناسایی رویه‌های اساسی واقعی در هر فرایند و تشریح فعالیتهای کلیدی در هر رویه اساسی است. آبشار هدفهای کلان در کوبیت 5 جهت پشتیبانی نیازهای ذینفعان دوباره بررسی و به‌روز شده است. مهمترین تغییر در کوبیت 5، سازماندهی مجدد چارچوب از یک الگوی فرایندی فناوری اطلاعات به یک چارچوب نظام راهبری فناوری اطلاعات با مجموعه‌ای از رویه‌های نظام راهبری برای فناوری اطلاعات، یک سیستم مدیریتی برای بهبود مداوم فعالیتهای فناوری اطلاعات و یک الگوی فرایندی همراه با رویه‌های اساسی است (IT Governance Network, 2011).

ارتقا از کوبیت 1/4 به کوبیت 5
کوبیت 5 (کوبیت 4/1 به‌علاوه چارچوب وال آی‌تی و چارچوب آی‌تی ریسک) براساس الگوی فرایندی که پیش از این در نسخه‌های قبلی کوبیت تعریف شد، ایجاد شده است. تغییری تکاملی است که فرایندهای موجود را از طریق ترکیب و تخصیص مجدد رویه‌ها در محدوده فرایندهای موجود و در نظر گرفتن فرایندها و رویه‌های اضافی برای مدیریت و راهبری فناوری اطلاعات به‌صورت معقولی توجیه کرده است (IT Governance Network, 2011).
پیش از این، سازمانها در سطح بلوغ حداقل 2 (اندازه‌گیری‌شده با استفاده از ایزو 15504) با ارتقای به‌نسبت آسانی روبه‌رو می‌شدند. اگرچه، احتمال دارد سازمانها در سطح بلوغ 1 در ارتقا از کوبیت 4/1 به کوبیت 5 با چالش روبه‌رو شوند. سازمانهایی که در حال حاضر در سطح بلوغ 1 یا کمتر (یعنی بدون فرایندهای به‌درستی تعریف‌شده) عمل می‌کنند، ممکن است آن را آسانتر یافته و با صرف هزینه بیشتری کوبیت 5 را انتخاب و از نو با استفاده از چارچوب جدید کوبیت 5 آغاز کنند (IT Governance Network, 2011).
البته، در جایی که سازمان سرمایه‌گذاریهای چشمگیری را در اجرای فرایندهای کوبیت 4/1 انجام داده، ممکن است مطلوب باشد که ابتدا این عملیات قبل از ادغام فرایندهای کوبیت 4/1 برای همسوسازی با فرایندهای کوبیت 5 کامل شود. تصویر 4، الگوی مرجع فرایندی کوبیت 5 را نشان می‌دهد (ISACA, 2012).
همان‌طور که در تصویر4 مشاهده می‌شود، فرایندهای نظام راهبری فناوری اطلاعات از فرایندهای مدیریت فناوری اطلاعات سازمان جدا شده‌اند. از این‌رو، برای بیشتر سازمانها معرفی سیستم مدیریتی و چارچوب نظام راهبری کاملاً جدید خواهد بود. شرط لازم کار این است که مدیران رویکردی ساختاریافته را جهت چگونگی طرح‌ریزی، سازماندهی، اداره و کنترل منابع و ارائه عملکرد مورد نیاز تدوین کنند. در بخش بعد، به‌صورت تفصیلی‌تر به تشریح تغییرهای ایجادشده در فرایندهای کوبیت خواهیم پرداخت.

خلاصه تغییرهای کوبیت 1/4 به کوبیت 5  

در کوبیت 5، پنج فرایند نظام راهبری جدید معرفی شده است که رویکردهای نظام راهبری کوبیت 4/1، چارچوب وال آی‌تی و  چارچوب آی‌تی ریسک را به کار بسته و بهبود می‌دهد. این راهنما به سازمانها در پالایش و تقویت بیشتر رویه‌ها و فعالیتهای نظام راهبری فناوری اطلاعات سازمان در سطح مدیریت اجرایی کمک می‌کند. از یکپارچگی نظام راهبری فناوری اطلاعات سازمان با رویه‌های موجود نظام راهبری سازمان پشتیبانی کرده و با ایزو/آی‌یی‌سی 38500 همسو می‌شود. در ادامه، مقایسه‌ای بین فرایندهای کوبیت 4/1 و کوبیت 5 انجام گرفته و تغییرهای ایجادشده به‌صورت طبقه‌بندی‌شده بیان شده است (IT Governance Network, 2011).
* فرایندهای کوبیت 4/1 که در کوبیت 5 دوباره جایابی ‌شده یا تغییر نام داده شده‌اند، عبارتند از:

• پی‌او01 (PO01) به ای‌پی‌او02 (APO02) (مدیریت راهبرد)
• پی‌او02 (PO02) به ای‌پی‌او03 (APO03) (مدیریت معماری سازمان)
• پی‌او08 (PO08) به ای‌پی‌او11 (APO11) (مدیریت کیفیت)
• پی‌او09 (PO09) به ای‌پی‌او12 (APO12) (مدیریت ریسک)
• پی‌او10 (PO10) به بی‌ای‌آی01 (BAI01) (مدیریت برنامه‌ها و پروژه‌ها)
• ای‌آی01 (AI01) به بی‌ای‌آی02 (BAI02) (مدیریت تعریف نیازها)
• ای‌آی05 (AI05) به ای‌پی‌او10 (APO10) (مدیریت تامین‌کنندگان)
• ای‌آی06 (AI06) به بی‌ای‌آی06 (BAI06) (مدیریت تغییرها)
• ای‌آی07 (AI07) به بی‌ای‌آی07 (BAI07) (مدیریت پذیرش تغییرها و انتقال)
• دی‌اس01 (DS01) به ای‌پی‌او09 (APO09) (مدیریت توافقنامه‌های خدمات)
• دی‌اس03 (DS03) به بی‌ای‌آی04 (BAI04) (مدیریت دسترس‌پذیری و ظرفیت)
• دی‌اس04 (DS04) به دی‌اس‌اس04 (DSS04) (مدیریت استمرار)
• دی‌اس09 (DS09) به بی‌ای‌آی10 (BAI10) (مدیریت پیکربندی)
• دی‌اس10 (DS10) به دی‌اس‌اس03 (DSS03) (مدیریت مشکلات)
• ام‌ایی 01 (ME01) به ام‌‌ایی‌ای01 (MEA01) (نظارت، سنجش و ارزیابی عملکرد و تطبیق)
• ام‌ایی‌02 (ME02) به ام‌ایی‌ای02 (MEA02) (نظارت، سنجش و ارزیابی سیستم کنترل داخلی)
• ام‌ایی‌03 (ME03) به ام‌ایی‌ای03 (MEA03) (نظارت، سنجش و ارزیابی تطبیق با نیازهای بیرونی)

* فرایندهای کوبیت 4/1 که در کوبیت 5 ادغام شده‌اند، عبارتند از:

• ای‌آی02 (AI02) با ای‌آی03 (AI03) (اکتساب و نگهداری نرم‌افزار کاربردی با اکتساب و نگهداری زیرساخت فناوری) ادغام و بی‌ای‌آی03 (BAI03) حاصل شده است.
• ای‌آی05 (AI05) با دی‌اس02 (DS02) (مدیریت تدارک منابع با مدیریت خدمات شخص ثالث) ادغام و ای‌پی‌او10 (APO10) حاصل شده است.
• دی‌اس06 (DS06) با پی‌او05 (PO05) (شناسایی و تخصیص هزینه‌ها با مدیریت سرمایه‌گذاری) ادغام و ای‌پی‌او06 (APO06) حاصل شده است.
• دی‌اس07 (DS07) با پی‌او07 (PO07) (تعلیم و تربیت کاربران با مدیریت منابع انسانی) ادغام و ای‌پی‌او07 (APO07) حاصل شده است.
• بخشی از دی‌اس09 (DS09) با دی‌اس08 (DS08) (مدیریت پیکربندی با مدیریت رخدادها و میز خدمت‌دهی) ادغام و دی‌اس‌اس02 (DSS02) حاصل شده است.
• بخشی از دی‌اس11 (DS11)، دی‌اس12 (DS12) و دی‌اس13 (DS13) با بخش عمده‌ای از دی‌اس05 (DS05) (مدیریت داده‌ها، مدیریت محیط فیزیکی و مدیریت عملیات با اطمینان از امنیت سیستمها) ادغام و دی‌اس‌اس05 (DSS05) حاصل شده است.
• بخشی از دی‌اس11 (DS11) و دی‌اس12 (DS12) با بخش عمده‌ای از دی‌اس13 (DS13) (مدیریت داده‌ها و مدیریت محیط فیزیکی با مدیریت عملیات) ادغام ودی‌اس‌اس01 (DSS01) حاصل شده است.

* فرایندهای کوبیت 4/1 که از کوبیت 5 حذف یا در سایر فرایندها تقسیم شده‌اند، عبارتند از:

• پی‌او03 (PO03) در ای‌پی‌او01 (APO01)، ای‌پی‌او02 (APO02)، ای‌پی‌او03 (APO03)، ای‌پی‌او 04 (APO04)
• دی‌اس08 (DS08) به دی‌اس‌اس02 (DSS02) (حذف میز خدمات مطابق با مدرک آی‌تی‌آی‌ال نسخه 3)
• دی‌اس11 (DS11) در دی‌اس‌اس01 (DSS01)، دی‌اس‌اس04 (DSS04)، دی‌اس‌اس05 (DSS05) و دی‌اس‌اس06 (DSS06)
• دی‌اس‌12 (DS12) در دی‌اس‌اس01 (DSS01) و دی‌اس‌اس05 (DSS05)

* فرایندهای جدید در کوبیت 5، عبارتند از:

• ایی‌دی‌ام01 (EDM01): تنظیم و نگهداشت چارچوب نظام راهبری (بخشی از پی‌او03 (PO03) و ام‌ایی‌04 ((ME04)
• ایی‌دی‌ام‌02 (EDM02): اطمینان از تحویل منافع (بخشی از پی‌‌او01 (PO01) و ام‌ایی‌ 04)
• ایی‌دی‌ام03 (EDM03): اطمینان از بهینه‌سازی ریسک (بخشی از پی‌او 06 (PO06)، پی‌او09 (PO09) و ام‌‌ایی‌04)
• ایی‌دی‌ام04 (EDM04): اطمینان از بهینه‌سازی منابع (بخشی از ام‌ایی‌04)
• ایی‌دی‌ام05 (EDM05): اطمینان از شفافیت ذینفعان (بخشی از ام‌ایی‌04)
• ایی‌پی‌او01 (APO01): مدیریت چارچوب مدیریت  فناوری اطلاعات(بخش اندکی از پی‌او02 (PO02)، پی‌او03 (PO03)، پی‌او07 (PO07)، پی‌او09 (PO09) و بخش عمده‌ای از پی‌او04 (PO04)، پی‌او06 (PO06))
• ای‌پی‌او04 (APO04): مدیریت نوآوری (بخشی از پی‌او03 (PO03))
• ای‌پی‌او05 (APO05): مدیریت پورتفوی (بخشی اندکی از پی‌او01 (PO01) و پی‌او05 (PO05))
• ای‌پی‌او08 (APO08): مدیریت روابط (بخش اندکی از پی‌او04 (PO04))
• ای‌پی‌او13 (APO13): مدیریت امنیت (بخشی از دی‌اس05 (DS05))
• بی‌ای‌آی08 (BAI08): مدیریت دانش (بخش عمده‌ای از ای‌آی04 (AI04))
• بی‌ای‌آی05 (BAI05): مدیریت مهیاسازی جهت تغییر سازمانی (بخش اندکی از ای‌آی04 (AI04) و ای‌آی07 (AI07))
• بی‌ای‌آی09 (BAI09): مدیریت داراییها (بخش اندکی از دی‌اس‌13 (DS13))
• دی‌اس‌اس06: مدیریت کنترلهای فرایند کسب‌وکار (بخشی از دی‌اس11 و پی‌او04)

علاوه بر این موارد، شیوه‌های کلیدی مدیریت22 چارچوب وال آی‌تی در فرایندهای ایی‌دی‌ام01، ایی‌دی‌ام 02، ای‌پی‌او01، ای‌پی‌او02، ای‌پی‌او05، ای‌پی‌او06، ای‌پی‌او07(APO07)، بی‌ای‌آی01 (BAI01) و بی‌ای‌آی10 (BAI10) و شیوه‌های کلیدی مدیریت چارچوب مدیریت ریسک در فرایندهای ایی‌دی‌ام01، ایی‌دی‌ام03، ایی‌دی‌ام04، ایی‌پی‌او07، ای‌پی‌او12 (APO12) در کوبیت 5 افزوده شده‌اند.
به این ترتیب، اکنون فرایندهای کوبیت5 کل کسب‌وکار و فعالیتهای فناوری اطلاعات را پوشش می‌دهند؛ به‌طوری که پوشش جامعتر و کاملتری از رویه‌های انعکاس فراگیر نوع استفاده از فناوری اطلاعات در کل سازمان ارائه می‌کنند. همچنین، میزان درگیری، مسئولیتها، پاسخگوییهای ذینفعان کسب‌وکار در استفاده از فناوری اطلاعات را واضحتر و شفافتر می‌سازد (ISACA, 2012).

اجرای کوبیت 5
کوبیت 5، دربرگیرنده یک الگوی عملیاتی و یک زبان مشترک برای کلیه بخشهای کسب‌وکار درگیر در فعالیتهای فناوری اطلاعات است. همچنین، چارچوبی را برای سنجش و پایش عملکرد فناوری اطلاعات، یکپارچه‌سازی بهترین رویه‌های مدیریتی، نظام راهبری و برقراری ارتباط با ذینفعان فراهم می‌کند. چارچوب کوبیت 5 شامل یک الگوی مرجع فرایندی است و فرایندهای نظام راهبری و مدیریتی را تعریف و تشریح می‌کند. الگوی مرجع فرایندی، کلیه فرایندهای بر پا شده در سازمان در رابطه با فعالیتهای فناوری اطلاعات را به‌عنوان یک الگوی مرجع مشترک و درک‌پذیر برای مدیران کسب‌وکار و فناوری اطلاعات عملیاتی، شامل می‌شود
(IT Governance Network, 2011).

فعالیتهای کوبیت 5، معادل با رویه‌های کنترلی کوبیت 4/1 و رویه‌های مدیریتی چارچوب وال آی‌تی و چارچوب آی‌تی ریسک هستند. کوبیت 5، هدف و مفاهیم سنجش مشابهی را همچون کوبیت 4/1، چارچوب وال آی‌تی و چارچوب آی‌تی ریسک دنبال می‌کند. اما اینها به هدفهای سازمان، هدفهای مرتبط با فناوری اطلاعات و هدفهای فرایند که منعکس‌کننده نمایی از سطح سازمان هستند، تغییر نام داده می‌شوند. کوبیت 5، نمونه‌هایی از هدفهای کلان و سنجه‌ها را در سطوح عملی سازمان، فرایندی و مدیریتی ارائه می‌کند. این تغییری است که نسبت به کوبیت 4/1، چارچوب وال آی‌تی و چارچوب آی‌تی ریسک ایجاد شده است؛ زیرا آنها باید یک سطح پایینتر می‌رفتند. کوبیت 5، ورودی‌ها و خروجی‌ها را برای هر رویه مدیریتی فراهم می‌کند؛ درحالی‌که کوبیت 4/1 تنها این موارد را در سطح فرایند فراهم می‌کرد. همچنین، راهنمای تفصیلی اضافی را برای طراحی فرایندها جهت در نظر گرفتن محصولات کاری حیاتی و کمک به یکپارچگی فرایند داخلی فراهم می‌کند (ISACA, 2012).
کوبیت 5، رویکرد الگوسازی بلوغ قابلیت23 (CMM) را برای کوبیت 4/1، چارچوب وال آی‌تی  و چارچوب آی‌تی ریسک ادامه نمی‌دهد. کوبیت 5، با یک رویکرد ارزیابی قابلیت فرایند جدید مبتنی بر ایزو/آی‌ایی‌سی 15504 (ISO/IEC 15504) و برنامه ارزیابی کوبیت24 که پیش از این برای کوبیت 4/1 به‌عنوان راهکار دیگری مطابق با رویکرد الگوسازی بلوغ قابلیت برپا شده است، پشتیبانی می‌شود. رویکردهای مبتنی بر الگوسازی بلوغ قابلیت به کار گرفته‌شده برای چارچوبهای کوبیت 4/1، چارچوب وال آی‌تی و چارچوب آی‌تی ریسک با رویکرد ایزو/آی‌ای‌سی 15504 همساز نیستند؛ زیرا این روشها از مقیاسهای اندازه‌گیری و ویژگیهای متفاوتی استفاده می‌کنند. خواسته کاربران کوبیت 4/1، چارچوب وال آی‌تی و چارچوب آی‌تی ریسک ادامه دادن با رویکرد مبتنی بر الگوسازی بلوغ قابلیت است. آنها به عنوان رویکردی موقتی یا دائمی می‌توانند از راهنمای کوبیت 5 استفاده کنند؛ اما باید جدول ویژگی عمومی کوبیت 4/1 را بدون الگوهای بلوغ سطح بالا به کار گیرند (ISACA, 2012).

نتیجه‌گیری
با این احوال می‌توان گفت که الگوی فرایندی کوبیت 5، الگویی کامل و جامع است که سازمان باید آن را پس از گرفتن نیازهای داخلی کسب‌وکار، فشارهای خارجی کسب‌وکار و انتظارهای مختلف ذینفعان سازمان و وظیفه فناوری اطلاعات با نیازهای خاص خودش متناسب کند.
اجرای کوبیت 5 با تعیین اینکه کدام علاقه‌های ذینفعان اولویت دارند، انتظارهای آنها چه چیزهایی است، قابلیتهای کاری فناوری اطلاعات برای براورده‌سازی این انتظارها چیست و چه کسی برای انجام آن پاسخگو است و موارد از این دست، آغاز می‌شود. شرط لازم تحقق این موضوع، کسب دانش درباره فرایندهای اساسی و سیستم مدیریتی خواهد بود که بتواند کار فناوری اطلاعات را در خصوص تحویل خدمات و عملکرد مورد انتظار، پشتیبانی نماید(IT Governance Network, 2011). به‌علاوه، اجرای کوبیت 5 موضوعهایی همچون تثبیت موقعیت نظام راهبری فناوری اطلاعات سازمان در سازمان، اتخاذ مراحل ابتدایی به‌سوی بهبود نظام راهبری فناوری اطلاعات سازمان، چالشهای اجرا و عوامل موفقیت، راه‌اندازی تغییر رفتاری و سازمانی مرتبط با نظام راهبری فناوری اطلاعات سازمان، اجرای بهبود دائمی شامل مدیریت برنامه و راه‌اندازی تغییر، استفاده از کوبیت 5 و اجزای آن را پوشش می‌دهد.

پانوشتها:

منابع:

• سروش علیرضا، ضرورت حسابرسی فناوری اطلاعات در هزاره‌ جدید، همایش ملی حسابداری و حسابرسی، دانشگاه سیستان‌وبلوچستان، زاهدان، ایران، 1391، صص 397-413
• ISACA, COBIT 5: A Business Framework for the Governance and Management of Enterprise IT, 2012
• ISACA, COBIT Mapping: Overview of International IT Guidance, 3rd Edition, 2011
• SACA, Comparing COBIT 4.1 and COBIT 5, www.isaca.org/COBIT/Documents/Compare-with-4.1.pdf, 2012
• IT Governance Network, Summary of Differences between COBIT 4.1 and COBIT 5, http://www.qualified-audit-partners.be/user_files/COBIT5forAuditors/Summary_of_differences_between_COBIT_4_1_and_COBIT_5___2012___IT_Governance_Network.pdf, 2011

نویسنده : دکتر علیرضا سروش / مجله حسابرس