بقلم أندريه حنّون
مهندس تطوير برمجي في شركة اتصالات سورية
كوبت COBIT (Control Objectives for Information and Related Technologies) هو إطار عمل لإدارة تقانة المعلومات، أنشأته منظمة التدقيق والتحكم في نظم المعلومات ISACA - Information Systems Audit and Control Association لمساعدة الشركات على تطوير وتنظيم وتنفيذ استراتيجيات إدارة المعلومات والحوكمة [المقصود بالحوكمة مجموعة عمليات التفاعل وصنع القرار بين الجهات الفاعلة المشاركة في قضية جماعية تؤدي إلى إيجاد أو تعزيز أو إعادة إنتاج الأعراف والمؤسسات الاجتماعية.]. وصُمم ليكون أداةً داعمة للمديرين، ولسدِّ الفجوة الكبيرة بين المشكلات الفنية، ومخاطر العمل، ومتطلبات الرقابة.
إطار العمل كوبت هو دليل عمل معروف، يمكن تطبيقه في أي مؤسسة صناعية، ويضمن جودةً عالية لنظم المعلومات ومراقبتها وموثوقيتها في أي مؤسسة، وهو أيضًا أحد أهم الجوانب في أي عمل تجاري حديث.
يقوم توجُّه أعمال كوبت بربط أهداف العمل بالبنية التحتية لتقانة المعلومات عن طريق توفير نماذج ومقاييس مختلفة تقيس كمية الإنجاز مع تحديد مسؤوليات الأعمال المرتبطة بعمليات تقانة المعلومات.
يتوضح التركيز الرئيسي لنسخة كوبت 4.1 في نموذج قائم على العمليات مقسم إلى أربعة مجالات محددة؛ هي:
1. التخطيط والتنظيم
2. التقديم والدعم
3. الاستحواذ والتنفيذ
4. المراقبة والتقييم
أهمية إطار العمل كوبت
مع التطور الكبير في قطاع الأعمال، يتجه العالم الآن نحو توفير بيئة عمل فيها العديد من التقنيات الحديثة؛ مثل: منصّات التواصل الاجتماعي والحوسبة السحابية وتقنيات تحليل المعطيات. ومع أن هذا التطور يؤدي إلى زيادة معدل نجاح الأعمال، إلا أنه - في الوقت نفسه – ينطوي على مخاوف ومخاطر تتعلق بكيفية الإدارة والحوكمة لتقانة المعلومات، مما أدّى إلى ظهور حاجة إلى حلول جذرية لسيناريوهات مخاطر تقانة المعلومات، ولهذا السبب أُنشئ إطار كوبت ليكون حلًّا فعّالًا يُساعد على تسهيل حوكمة تقانة المعلومات في الشركات والمُنشآت.
تاريخ إطار العمل كوبت
صدر إطار العمل كوبت أول مرة عام 1996. وكان في البداية مجموعةً من أهداف التحكم في تقانة المعلومات لمساعدة مجتمع التدقيق المالي على تطور ونمو بيئات تقانة المعلومات بأسلوب أفضل.
في عام 1998 أصدرت ISACA النسخةَ الثانية من كوبت، وُسِّع فيها إطار العمل لتطبيقه خارج مجتمع التدقيق. وفي وقت لاحق طوَّرت ISACA النسخةَ الثالثة منه، حيث جرى فيها جلبُ تقنيات إدارة تقانة المعلومات وإدارة المعلومات الموجودة في إطار العمل اليوم.
وفي عام 2005 صدر كوبت 4، وتلاه كوبت 4.1 في عام 2007. وقد تضمنت تحديثاتُ هذين الإصدارين مزيدًا من المعلومات المتعلقة بالإدارة المحيطة بتقانة المعلومات والاتصالات.
وفي عام 2012 صدر كوبت 5، وجرى تعزيزه في عام 2013 بمزيد من المعلومات للشركات فيما يتعلق بإدارة المخاطر وحوكمة المعلومات.
وفي عام 2018 أصدرت ISACA نسخةً من كوبت، من دون رقم إصدار، وسُمِّي كوبت 2019. وقد صُمِّمت هذه النسخة المحدثة من كوبت لتتطور باستمرار مع "تحديثات أكثر تواترًا وانسيابية". ووفقًا لمنظمة ISACA أُصدر كوبت 2019 لبناء استراتيجيات حوكمة أكثر مرونة وتعاونية ومعالجة التقانة الجديدة والمتغيرة.
يوضح الشكل (1) الخط الزمني لتاريخ إطار العمل كوبت.
الشكل (1)
محتوى إطار العمل كوبت
يقوم كوبت 2019 بإنعاش وتحديث إطار العمل للمؤسسات الحديثة عن طريق معالجة التقنيات والاحتياجات الأمنية الجديدة.
وما يزال إطار العمل كوبت يعمل جيدًا مع أطر إدارة تقانة المعلومات الأخرى مثل ITIL وCMMI وTOGAF، مما يجعله خيارًا رائعًا لإطار عمل شامل لتوحيد العمليات في مؤسسة واحدة بكاملها.
تضمَّنت المفاهيم والمصطلحات الجديدة التي أُدخلت في النسخة الأساسية لكوبت 40 هدفًا للحوكمة والإدارة بغرض إنشاء برنامج الحوكمة؛ إذ إن نظام إدارة الأداء يتيح الآن مزيدًا من المرونة عند استعمال قياسات النضج والقدرة.
وقد صُمِّم إطار العمل كوبت - عمومًا - ليمنح الشركات المرونة والراحة عند تخصيص أو اختيار استراتيجية حوكمة محددة لتقانة المعلومات.
وكما هو الحال في أُطر إدارة تقانة المعلومات الأخرى، تساعد كوبت على مواءمة أهداف العمل مع أهداف تقانة المعلومات عن طريق إنشاء روابط بينها، وإنشاء عملية يمكن أن تساعد على سد الفجوة بين تقانة المعلومات والإدارات الخارجية.
يتمثل أحد الاختلافات الرئيسية بين كوبت والأُطر الأخرى في أنه يركز بوجه خاص على الأمن وإدارة المخاطر وحوكمة المعلومات. وقد جرى تأكيد ذلك في كوبت 2019 مع تعريفات أفضل لماهية كوبت؛ فمثلًا، تشير ISACA إلى أن كوبت 2019 ليس إطارًا لتنظيم العمليات التجارية أو إدارة التقانة أو اتخاذ القرارات المتعلقة بتقانة المعلومات أو تحديد استراتيجيات تقانة المعلومات أو هندستها، بل إنه صُمِّم ليكون إطار عمل لحوكمة وإدارة تقانة المعلومات في المؤسسة. يتجلّى ذلك في الأنشطة التجارية في الإصدار المحدث. لذلك هناك قدر أقل من الالتباس يتعلق بكيفية استعمال كوبت وتنفيذه.
أهداف إطار العمل كوبت
وفقًا لمنظمة ISACA، تم تحديث كوبت 2019 ليشمل:
1. مجالات التركيز وعوامل التصميم التي تعطي مزيدًا من الوضوح حول إنشاء نظام حوكمة لاحتياجات العمل.
2. مواءمة أفضل مع المعايير العالمية وأُطر العمل وأفضل الممارسات لتعزيز أهمية إطار العمل.
3. نموذجًا مفتوحَ المصدر (Open-source Model) يتيح التعليقات من مجتمع الحوكمة العالمي لتشجيع التحديثات والتحسينات بطريقة أسرع.
4. إصدارَ تحديثات منتظمة على أساس متجدد.
5. مزيدًا من الإرشادات والأدوات لدعم الشركات عند تطوير أفضل نظام حوكمة ملائم، مما يجعل كوبت 2019 أكثر توجيهية وأكثر تحديدًا للهدف.
6. أداةً أفضل من غيرها لقياس أداء تقانة المعلومات والمواءمة مع CMMI.
7. مزيدًا من الدعم لاتخاذ القرار، ومن ذلك الميزات التعاونية الجديدة عن طريق الإنترنت.
يقدم كوبت 2019 أيضًا مفاهيم تتعلق بـ "مجال التركيز" وتصف موضوعات وقضايا حوكمة محددة، يمكن معالجتها بواسطة أهداف الإدارة أو الحوكمة.
من الأمثلة على مجالات التركيز: الشركات الصغيرة والمتوسطة، والأمن السيبراني، والتحول الرقمي، والحوسبة السحابية. ويمكن إضافة مجالات التركيز وتغييرها حسب الحاجة بناءً على الاتجاهات والبحوث والتعليقات، وليس ثمة حدٌّ أعلى أو قيمة عظمى لعدد مجالات التركيز التي يمكن تضمينها في كوبت 2019.
مكونات إطار العمل كوبت
1. الإطار (Framework): ينظِّم عملية حوكمة تقانة المعلومات، ويقدِّم أفضل الممارسات حسب مجالات تقانة المعلومات ويربطها باحتياجات الأعمال.
2. تعريفات وأوصاف العمليات (Process descriptions): تُقدِّم نموذجًا مرجعيًّا ولغةً مشتركة لكل فرد في المنشأة. وتتضمن أوصافَ العمليات ومجالات المسؤولية (كالتخطيط، والبناء، والتشغيل، والمراقبة) لجميع العمليات على تقانة المعلومات.
3. أهداف التحكم (Control objectives): تُوفِّر مجموعةً كاملة من المتطلبات العالية المستوى التي يجب أن تنظر فيها الإدارة للتحكّم الفعّال في كل عملية.
4. إرشادات الإدارة (Management guidelines): تُساعد على تحديد المسؤوليات بأسلوب أفضل، والاتفاق على الأهداف المشتركة، وقياس الأداء، وتوضيح العلاقات المتبادلة مع العمليات الأخرى.
5. نماذج النضج (Maturity models): تستهدف تقييم نضج العملية وقدرتها، وتساعد على معالجة الفجوات.
فوائد كوبت
يُقدّم إطار كوبت نماذجَ وإرشاداتٍ للمساعدة على تعزيز قيمة تقانة المعلومات داخل المُنشآت والاستفادة منها على الوجه الأمثل. من فوائد كوبت:
1. المساعدة على تحقيق التميّز التشغيلي، وذلك بالتطبيق الفعال والقادر على تعزيز أهمية تقانة المعلومات داخل المُنشآت.
2. ضمان الاستفادة من تقانة المعلومات بطريقة فعّالة ومُبتكرة للتوافق مع الأهداف الاستراتيجية للمُنشأة.
3. المساعدة على إدارة وإيجاد حلول للمخاطر المتعلقة بتقانة المعلومات.
4. المحافظة على معلومات عالية الجودة للمساعدة على دعم قرارات العمل.
5. تقديم الدعم الكامل لشركات تقانة المعلومات التي تلتزم بالسياسات واللوائح والقوانين ذات الصلة والاتفاقيات التعاقدية الموجهة للأعمال.
6. التحقق من أن المنشآت تُدرك قيمة استثمارها في مجال تقانة الأعمال.
7. المساعدة على إيجاد نظام كامل لحوكمة منظومات العمل على مستوى الخدمات المقدمة للعملاء.
8. الاهتمام بزيادة قيمة استثمارات نظم تقانة المعلومات والاتصالات داخل المؤسسة عن طريق التأكد أن لكل منظومة عمل خاص بمنتجات أو خدمات المنشأة لها منظومة عمل أو تطبيق بنظم المعلومات.
9. الاعتماد على إطار موحد وقياسي لرسم خريطة المُنشأة على جميع المستويات المذكورة وربطها بطريقة ديناميكية، والتحقق من فعالية وكفاءة الإطار قبل البدء بالبناء.
10. زيادة الشفافية وتعظيم الرؤية في مستقبل المنشآت.
11. استعمال أدوات قياسية تساعد الأطراف المعنية على سهولة التداول، وعدم الاعتماد على الأفراد فقط، فهذا مما يزيد من قيمة البناء المؤسساتي.
12. رفع كفاءة القائمين على العمل، وذلك لوضوح نشاط المنظومات وربطها بالتواصل الوظيفي للمنشأة.
13. زيادة مستوى الأمان في المُنشأة.
مبادئ إطار العمل كوبت
لبناء نظام إدارة وحوكمة تقانة معلومات فعّال داخل المُنشآت، يجب مراعاة الأسلوب الذي يتبعه إطار كوبت في إدارة تقانة المعلومات؛ فهو يعتمد على خمسة مبادئ أساسية هي:
1. يعمل إطار كوبت على تلبية احتياجات أصحاب المصلحة: المبدأ الأول هو الأهم، فهو يساعد على تحديد أصحاب المصلحة الرئيسيين وتلبية احتياجاتهم ومتطلباتهم عن طريق إجراء تحليل مناسب لاحتياجات أصحاب المصلحة وتقديم الفائدة المناسبة لهم في الوقت المناسب.
يعمل إطار كوبت على ترجمة احتياجات أصحاب العمل إلى أهداف محددة قابلة للتنفيذ ومخصصة في سياق الأهداف المتعلقة باستغلال تقانة المعلومات والأهداف التمكينية وأهداف المؤسسة.
إذ إنَّ تلبية احتياجات أصحاب العمل يتطلب إنشاء نظام إدارة وحوكمة لأصول تقانة المعلومات داخل المُنشأة، حيث تُطرح الأسئلة التالية قبل اتخاذ كل قرار:
1- لمن هي المنافع؟ أو من هم المستفيدون؟
2- من يتحمل المخاطر؟ أو من يتحمل المسؤولية عن المخاطر التي تنطوي عليها؟
3- ما هي الموارد المطلوبة لضمان تلبية المتطلبات بسلاسة؟
2. شمول المنشآت من البداية إلى النهاية: ينص إطار عمل كوبت على ضرورة شمول المنشأة كلها من البداية إلى النهاية؛ وذلك كي تتمكن من إدارة وتشغيل كل قسم بنفس المستوى، ومعالجة جميع خدمات تقانة المعلومات الداخلية والخارجية ذات الصلة، ومعالجة العمليات التجارية الداخلية والخارجية.
3. تطبيق إطار واحد متكامل: يعتبر إطار العمل كوبت إطارَ عملٍ متكاملًا للأسباب التالية:
1. قدرته على التوافق أو الاندماج مع أحدث الأُطر والمعايير ذات الصلة، مثل:
CMMI Prince, ISO 9001, ISO 27001, ISO38500, ITIL, TOGAF…
2. يعتبر الوسيلة الشاملة للمنشأة بأسلوب متكامل مع إطار الإدارة والحوكمة.
3. يوفر أساسًا قويًّا لدمج الأُطر والمعايير والممارسات الأُخرى بطريقة فعّالة؛ لجعل عمل المُنشأة يُحقق آفاقًا جديدة.
4. يدمج المعرفة، التي توزَّع سلفًا، عن طريق أُطر تقانة المعلومات الإدارية المختلفة.
5. يوفر بنية بسيطة لهيكلية مواد التوجيه وإنتاج مجموعة منتجات متّسقة.
4. تمكين نهج شمولي: يهتم هذا المبدأ بتمكين نهج شامل في العمل التنظيمي؛ بمعنى أن تعمل المنشأة كلها كوحدة واحدة.
ويعمل الإطار أيضًا على دمج حوكمة تقانة المعلومات في المنشاة مع حوكمة المنشآت، لأن جميع أجزاء أي مشروع يرتبط بعضها ببعض؛ وهذا يعني أن أي نوع من المشكلات في أي قسم قد يُؤدي إلى حدوث مشاكل في القسم الآخر.
5. فصل التحكم عن الإدارة: يعمل إطار كوبت على التمييز الواضح بين الحوكمة والإدارة، حيث يُطلَب من كل قسم أنواعٌ مختلفة من الأنشطة، وهذه تتطلب أيضًا هياكل تنظيمية مختلفة تخدم أغراضًا مختلفة.
يهتم كوبت بتحديد اتّجاه المُنشأة وذلك بتحديد الأولويات، وآلية اتّخاذ القرار، إضافة إلى مراقبة الامتثال ومدى التقدّم مقابل الأهداف والاتجاهات الثابتة، والتخطيط للأنشطة المختلفة ومراقبتها وإدارتها بما يتناسب مع الاتجاه الذي حددته هيئة الحوكمة لتحقيق أهداف المنشأة.
وهذا يعني أن الدورة مفيدة بوجه خاص لعدة جهات؛ منها:
1. رئيس مكتب المعلومات / مديرو تقانة المعلومات.
2. لجنة المخاطر.
3. أصحاب العمليات.
4. أعضاء لجنة المراجعة.
5. متخصصو تقانة المعلومات في قطاعات التدقيق والمخاطر والأمن والحوكمة والضمان.
6. كوبت 4.1، والمستعملون القدامى.
عوامل تمكين إطار العمل كوبت
يعتمد كوبت اعتمادًا كاملًا على مجموعة شاملة تتكون من سبعة عوامل تمكين تعمل على تحسين الاستثمار في تقانة المعلومات واستعمالها لمصلحة جميع أصحاب العمل، وهي:
1. الأشخاص والسياسات والأُطر.
2. العمليات.
3. الهياكل التنظيمية.
4. الثقافة والأخلاق والسلوك.
5. المعلومات.
6. الخدمات والبنية التحتية والتطبيقات.
7. الأشخاص والمهارات والكفاءات.
أهمية شهادة إطار العمل كوبت
تحتاج كل مُنشأة يتم تدقيق العمل فيها إلى لغة مشتركة، وذلك بسبب الاضطرار إلى تثقيف المُدقّقين الأفراد بما يتعلق بإنشاء ضوابط محددة لتقانة المعلومات ومتى وأين وكيف ولماذا. ولذلك يهدف إطار عمل كوبت إلى توفير لغة مشتركة لجميع متخصصي تقانة المعلومات ورجال الأعمال ومراجعي الامتثال للتواصل فيما بينهم فيما يتعلق بضوابط تقانة المعلومات والأهداف والغايات والنتائج.
وتُمكِّن شهادة كوبت من تعزيز الفرص في الحياة المهنية، إذ إنّها تُؤهِّل المهنيين والأفراد لمواجهة التحديات العالمية الخاصة بـتقانة المعلومات، وتُمكِّن أيضًا من الحصول على معرفة عميقة بإدارة وحوكمة تقانة المعلومات، والتي بواسطتها يمكنك معرفة كيفية إدارة الأعمال والمُنشآت، إضافة إلى أنَّ شهادة كوبت تُوفِّر قدرًا كبيرًا من الخبرة في النقاط الآتية:
1. قضايا إدارة تقانة المعلومات، وكيف يمكن أن تُؤثّر في عمل المُنشآت.
2. مبادئ حوكمة تقانة المعلومات في المُنشآت.
3. الوصول إلى طرائق تحقيق المبادئ الأساسية الخمسة لإطار كوبت – كوبت، إضافة إلى عوامل تمكينها.
4. مناقشة إطار عمل كوبت – كوبت فيما يتعلق بالنموذج المرجعي للمراحل وتسلسل الأهداف.
الخلاصة
إطار عمل كوبت هو:
- إطار عمل لحوكمة وإدارة أيّ مشروع في مجال تقانة المعلومات.
- يحدد إطار العمل كوبت المكونات اللازمة لبناء نظام حوكمة ما والحفاظ عليه.
- يحدد كوبت عوامل التصميم التي يجب أن تأخذها المؤسسة في الحسبان لبناء أفضل وأنسب نظام حوكمة.
- كوبت مَرِن ويمكِّن من إضافة إرشادات حول مواضيع جديدة.
- إطار عمل كوبت ليس:
- وصفًا كاملًا لبيئة تقانة المعلومات الكاملة للمؤسسة.
- إطارًا لتنظيم العمليات التجارية.
- إطارًا تقنيًّا في اختصاص تقانة المعلومات لإدارة جميع التقنيات.
- كوبت لا يتخذ ولا ينص على أي قرارات متعلقة بتقانة المعلومات.
المراجع
1. https://www.isaca.org/resources/news-and-trends/industry-news/2019/impressions-from-delivering-cobit-2019-foundation-training-for-auditors
2. https://www.cio.com/article/3243684/what-is-cobit-a-framework-for-alignment-and-governance.html
3. https://www.simplilearn.com/what-is-cobit-significance-and-framework-rar309-article
4. https://www.rmg-sa.com
قد ترغب كذلك بقراءة
الخدمات المعلوماتية وإدارتها
تطوير شركات صناعة البرمجيات، أفضل النماذج CMMI
خريطة عمليات الاتصالات المحسنة eTOM
DevOps الأدوات وإطار العمل والتطبيق
مكتبة البنية التحتية للمعلوماتية ITIL