COBIT 5
COBIT 5
COBIT 5
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
יסודות <strong>COBIT</strong><br />
ארגז הכלים לממשל טכנולוגיית המידע<br />
1 מהדורה-03<br />
מעגל הכוחות<br />
Business<br />
Requirements<br />
IT<br />
Processes<br />
IT<br />
Resources<br />
2<br />
1
מסגרות עבודה מק ובלות לניה ול IT<br />
יעדי המודל<br />
בקרה<br />
פנימית,<br />
ניהול<br />
סיכונים<br />
גוף הפיתוח וגוף<br />
המשתמשים<br />
מסגרת עבודה<br />
תחומי ידע<br />
Control environment, risk assessment, control<br />
activities, information and communication,<br />
monitoring<br />
,Acquire and Implement ,Plan and Organize<br />
Monitor and Evaluate ,Deliver and Support<br />
service strategy, service design, service<br />
transition, service operation, continual service<br />
improvement<br />
IT Risk governance, risk evaluation, risk<br />
response<br />
COSO, COSO ERM<br />
<strong>COBIT</strong> Framework<br />
ITILv3<br />
Risk IT Framework<br />
COSO<br />
ISACA<br />
ממשל ,IT<br />
בקרה<br />
OGC (משרד המסחר<br />
הבריטי, itSMF<br />
IT Governance<br />
Institute, ISACA<br />
תהליכי IT<br />
ניהול<br />
סיכונים<br />
,Portfolio Management ,Value Governance<br />
Investment Management<br />
VAL IT Framework<br />
ITGI<br />
השאת ערך<br />
מהשקעות<br />
IT<br />
עמוד 3<br />
3<br />
מסגרות עבודה מק ובלות לניה ול IT<br />
יעדי המודל<br />
גוף הפיתוח וגוף<br />
המשתמשים<br />
מסגרת עבודה<br />
תחומי ידע<br />
Project Scope ,Project Integration Management<br />
Project Cost ,Project Time Management ,Management<br />
Project ,Project Quality Management ,Management<br />
Project ,Human Resource Management<br />
Project Risk ,Communications Management<br />
and Project Procurement Management ,Management<br />
PMBOK<br />
PMI<br />
ניהול<br />
פרוי קטים<br />
CMMI for -Product and service development<br />
,Service establishment ,)DEV-CMMI(Development<br />
CMMI for Services -and delivery ,management<br />
–Product and service acquisition ,)SVC-CMMI)<br />
)ACQ-CMMI(CMMI for Acquisition<br />
CMMI<br />
The Carnegie Mellon<br />
Software<br />
Engineering Institute<br />
שיפור<br />
תהליכ י ם<br />
ניהול איכ ות,<br />
אבטחת מידע<br />
וניהול ש יר ותי<br />
IT<br />
אבטחת איכות<br />
ניהול ש ירו תי ITIL/IT<br />
אבטחת מידע<br />
ISO 9000<br />
ISO 20000<br />
ISO 27000<br />
ISO/IEC<br />
אחרי ם<br />
ניהול פרו יקטי ם<br />
מתודולו ג ית איכות במקו ר בת הל יכי י יצו ר<br />
Prince2<br />
SixSigma<br />
עמוד 4<br />
4<br />
2
<strong>COBIT</strong> 5: Now One Complete<br />
Business Framework for<br />
Evolution of scope<br />
IT Governance<br />
Management<br />
Control<br />
Audit<br />
Val IT 2.0<br />
(2008)<br />
Risk IT<br />
(2009)<br />
<strong>COBIT</strong>1<br />
<strong>COBIT</strong>2<br />
<strong>COBIT</strong>3<br />
<strong>COBIT</strong>4.0/4.1<br />
1996 1998 2000 2005/7 2012<br />
An business framework from ISACA, at www.isaca.org/cobit<br />
© 2012 ISACA ® All rights reserved.<br />
5<br />
5<br />
<strong>COBIT</strong><br />
הגדרה<br />
הינו תקן בינלאומי פתוח, המסייע ביישום נושא הניהול והבקרה<br />
של מערכות מידע ארגוניות, תוך תמיכה ביעדים ארגוניים, אופטימיזציה<br />
של השקעות הארגון במערכות המידע וניהול נאות של הסיכונים בסביבה<br />
זו. התקן מחולק ל 4 תחומים וכולל 34 תהליכים .כל תהליך כולל מספר<br />
יעדי בקרה. בסה"כ יש 318 יעדי בקרה. על רקע הצורך ההולך וגובר<br />
ה <strong>COBIT</strong> מספק את<br />
של ארגונים לעמוד בדרישות חוק<br />
מסגרת הבקרה הנדרשת בכדי לאפשר עמידה בחוק זה, תוך התמקדות<br />
בתהליך העסקי והתבססות על מדידה.<br />
החזון של :<strong>COBIT</strong> לחקור, ל פתח, לפרסם, ולקדם מסגרת בקרה מקובלת,<br />
בינלאומית ומעודכנת לממשל טכנולוגית מידע לאימוץ ע"י ארגונים,<br />
ולשימוש יום יומי על ידי מנהלי עסקים,<br />
מקצועני טכנולוגית מידע למיניהם ומקצועני ביקורת.<br />
, SOX 404<br />
6 מהדורה-03<br />
3
המטרה<br />
<strong>COBIT</strong> תומך בממשל<br />
IT על ידי אספקת מסגרת המבטיחה:<br />
תאימות בין IT והיעדים העסקיים<br />
מאפשר את הפעילות העסקית וממקסם את תועלתו<br />
משאבי IT מנוצלים בצורה אחראית<br />
סיכוני IT מנוהלים כראוי<br />
ה IT<br />
<br />
<br />
<br />
<br />
7<br />
<strong>COBIT</strong> ו SDLC<br />
<strong>COBIT</strong><br />
•C<br />
ייצור<br />
8<br />
4
מרכיבים<br />
9<br />
מרכיבי <strong>COBIT</strong><br />
10<br />
5
חמשת עק רו נות המסגרת<br />
עמוד 11<br />
11<br />
עק רו ן 5<br />
– הפרדת ממשל מהנהלה<br />
עמוד 12<br />
12<br />
6
IT Governance<br />
A structure of relationships and processes<br />
to direct and control the enterprise in<br />
order to achieve the enterprise’s goals by<br />
adding value while balancing risk versus<br />
return over IT and its processes.<br />
13<br />
הגדרה<br />
IT Governance is the responsibility of the board of directors<br />
and executive management. an integral part of enterprise<br />
governance and consists of the leadership and organizational<br />
structures and processes that ensure that the organization's IT<br />
sustains and extends the organization's strategies and<br />
objectives. (ITGI)<br />
IT Governance is the system by which the current and future<br />
use of ICT is directed and controlled. It involves evaluating and<br />
directing the plans for the use of ICT to support the<br />
organization and monitoring this use to achieve plans. It<br />
includes the strategy and policies for using ICT within an<br />
organization. (AS8015, the Australian Standard for Corporate<br />
Governance of ICT, ISO/IEC 38500:2008)<br />
עמוד 14<br />
14<br />
7
"ממשל"<br />
לעומת<br />
"נ יהול"<br />
"ניהול של הניהול"<br />
תיאום אסטרטגי<br />
מסגרת עבודה/מתודולוגיה<br />
מנגנונים ארגוניים תומכים<br />
טווח ארוך<br />
ציות<br />
מעקב ובקרה<br />
•<br />
•<br />
•<br />
•<br />
•<br />
•<br />
•<br />
עמוד 15<br />
15<br />
ממשל IT באמצעו ת <strong>COBIT</strong><br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
למה זה טוב?<br />
תמונה מובנת לה נהלה<br />
אחריות ובע לויו ת ברורות על תהליכים ויעד ים<br />
מסגרת מ קובלת על רגול טור ים וצדדים שלישיים<br />
תרומה להבנ ה הדדית, בקרב כל בעלי העני ן, המבוס סת ע ל שפה<br />
משותפת<br />
תאימו ת ל COSO ומודלים אחרים<br />
טיפול בכל מ חזור החיים ובכ ל מרכיבי ממשל IT<br />
התאמה טובה למ יקוד הע ס קי<br />
עמוד 16<br />
16<br />
8
SOX Section 404<br />
Section 404 of the Act has two parts:<br />
<br />
<br />
Section 404(a) describes management’s responsibility for<br />
establishing and maintaining an adequate internal control<br />
structure and procedures for financial reporting. It also<br />
outlines management’s responsibility for assessing the<br />
effectiveness of internal control over financial reporting.<br />
Section 404(b) describes the independent auditor’s<br />
responsibility for attesting to and reporting on management’s<br />
internal control assessment.<br />
17<br />
How Does <strong>COBIT</strong> Link to IT Governance?<br />
Requirements<br />
Direction<br />
(IT Strategy and Policy)<br />
Goals<br />
Control<br />
Objectives<br />
Responsibilities<br />
Business<br />
IT<br />
Governance<br />
Information the<br />
Business Needs to<br />
Achieve Its Objectives<br />
Information (IT<br />
Control, Risk and<br />
Assurance)<br />
IT Governance<br />
18<br />
9
חמשת עק רו נות המסגרת<br />
עמוד 19<br />
19<br />
עק רו ן 4<br />
– גישה כו ללת לארג ונ יי ם<br />
עמוד 20<br />
20<br />
10
חמשת עק רו נות המסגרת<br />
עמוד 21<br />
21<br />
– עמ ידה ב צרכ י בעל י ה ענ ין. מי מעורב?<br />
עקרון 1<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Executive manager<br />
Business manager<br />
IT manager<br />
Project manager<br />
Developer<br />
Operations<br />
User<br />
Information security officer<br />
Auditor<br />
22<br />
11
Who needs <strong>COBIT</strong> ?<br />
<br />
<br />
<br />
Management needs <strong>COBIT</strong><br />
to evaluate IT investment decisions<br />
to balance risk and control of investment in an often unpredictable<br />
IT environment<br />
to benchmark existing and future IT environment<br />
Users need <strong>COBIT</strong><br />
to obtain assurance on security and controls of products and<br />
services provided by internal and third-parties.<br />
IS auditors need <strong>COBIT</strong><br />
to substantiate opinions to management on internal controls<br />
to answer the question: What minimum controls are necessary?<br />
23<br />
חמשת עק רו נות המסגרת<br />
עמוד 24<br />
24<br />
12
עק רו ן 3<br />
– מסגרת אחת משותפת<br />
עמוד 25<br />
25<br />
המשאבים המשאבים שעומדים שעומדים<br />
לרשות לרשות הIT IT<br />
ונבנים ונבנים על על ידי ידי ה<br />
IT IT<br />
ציפיות ציפיות בעלי בעלי העניין העניין<br />
מ<br />
מעגל הכ וחות<br />
כיצד כיצד הIT IT מאורגן מאורגן<br />
למתן למתן מענה מענה<br />
לדרישות לדרישות<br />
IT IT<br />
משאבי<br />
IT<br />
נתונים <br />
יישומים <br />
טכנולוגיה <br />
מתקנים <br />
אנשים <br />
תהליכי IT<br />
אפקטיביות <br />
יעילות <br />
סודיות <br />
שלמות <br />
זמינות <br />
התאמה לכללים <br />
אמינות <br />
תכנון וארגון <br />
רכש ויישום <br />
אספקה ותמיכה <br />
מעקב והערכה <br />
26<br />
דרישות<br />
עסקיות<br />
13
<strong>COBIT</strong> Framework<br />
Criteria<br />
• Effectiveness<br />
• Efficiency<br />
• Confidentiality<br />
• Integrity<br />
• Availability<br />
• Compliance<br />
• Reliability<br />
Business Objectives<br />
Monitor and<br />
Evaluate<br />
IT Resources<br />
• Data<br />
• Application systems<br />
• Technology<br />
• Facilities<br />
• People<br />
IT Life Cycle<br />
Plan and<br />
Organise<br />
Deliver and<br />
Support<br />
Acquire and<br />
Implement<br />
27<br />
עקרון – 2 לכסות את כל הפעילות העסקית<br />
עמוד 28<br />
28<br />
14
עקרון – 2 לכסות את כל הפעילות העסקית<br />
עמוד 29<br />
29<br />
Business Goals<br />
30<br />
15
Business Goals<br />
31<br />
Business Goals<br />
32<br />
16
<strong>COBIT</strong><br />
Framework<br />
M1 Monitor the process<br />
M2 Assess internal control adequacy<br />
M3 Obtain independent assurance<br />
M4 Provide for independent audit<br />
DS1 Define service levels<br />
DS2 Manage third-party services<br />
DS3 Manage peformance and capacity<br />
DS4 Ensure continuous service<br />
DS5 Ensure systems security<br />
DS6 Identify and attribute costs<br />
DS7 Educate and train users<br />
DS8 Assist and advise IT customers<br />
DS9 Manage the configuration<br />
DS10 Manage problems and incidents<br />
DS11 Manage data<br />
DS12 Manage facilities<br />
DS13 Manage operations<br />
Business Objectives<br />
Criteria<br />
• Effectiveness<br />
• Efficiency<br />
• Confidenciality<br />
• Integrity<br />
• Availability<br />
• Compliance<br />
• Reliability<br />
IT<br />
RESOURCES<br />
MONITOR AND<br />
EVALUATE<br />
• Data<br />
• Application systems<br />
• Technology<br />
• Facilities<br />
• People<br />
DELIVER AND<br />
SUPPORT<br />
PO1 Define a strategic IT plan<br />
PO2 Define the information architecture<br />
PO3 Determine the technological direction<br />
PO4 Define the IT organisation and relationships<br />
PO5 Manage the IT investment<br />
PO6 Communicate management aims and direction<br />
PO7 Manage human resources<br />
PO8 Ensure compliance with external requirements<br />
PO9 Assess risks<br />
PO10 Manage projects<br />
PO11 Manage quality<br />
ACQUIRE AND<br />
IMPLEMENT<br />
PLAN AND<br />
ORGANISE<br />
AI1 Identify automated solutions<br />
AI2 Acquire and mantain application software<br />
AI3 Acquire and maintain technology infrastructure<br />
AI4 Develop and maintain IT procedures<br />
AI5 Install and accredit systems<br />
AI6 Manage changes<br />
33<br />
<strong>COBIT</strong> Processes<br />
Plan and<br />
Organise<br />
PO1<br />
PO2<br />
PO3<br />
PO4<br />
PO5<br />
PO6<br />
PO7<br />
PO8<br />
PO9<br />
PO10<br />
Define an IT strategic plan.<br />
Define the information architecture.<br />
Determine technological direction.<br />
Define the IT processes, organisation and relationships.<br />
Manage the IT investment.<br />
Communicate management aims and direction.<br />
Manage IT human resources.<br />
Manage quality.<br />
Assess and manage IT risks.<br />
Manage projects.<br />
Acquire and<br />
Implement<br />
AI1<br />
AI2<br />
AI3<br />
AI4<br />
AI5<br />
AI6<br />
AI7<br />
Identify automated solutions.<br />
Acquire and maintain application software.<br />
Acquire and maintain technology infrastructure.<br />
Enable operation and use.<br />
Procure IT resources.<br />
Manage changes.<br />
Install and accredit solutions and changes.<br />
34<br />
17
<strong>COBIT</strong> Processes<br />
Deliver and<br />
Support<br />
DS1<br />
DS2<br />
DS3<br />
DS4<br />
DS5<br />
DS6<br />
DS7<br />
DS8<br />
DS9<br />
DS10<br />
DS11<br />
DS12<br />
DS13<br />
Define and manage service levels.<br />
Manage third-party services.<br />
Manage performance and capacity.<br />
Ensure continuous service.<br />
Ensure systems security.<br />
Identify and allocate costs.<br />
Educate and train users.<br />
Manage service desk and incidents.<br />
Manage the configuration.<br />
Manage problems.<br />
Manage data.<br />
Manage the physical environment.<br />
Manage operations.<br />
Monitor and<br />
Evaluate<br />
ME1<br />
ME2<br />
ME3<br />
ME4<br />
Monitor and evaluate IT performance.<br />
Monitor and evaluate internal control.<br />
Ensure compliance with external requirements.<br />
Provide IT governance.<br />
35<br />
<strong>COBIT</strong> Processes<br />
36<br />
18
<strong>COBIT</strong> 5: Enabling Processes<br />
<strong>COBIT</strong> 5: Enabling Processes complements <strong>COBIT</strong> 5 and<br />
contains a detailed reference guide to the processes that are<br />
defined in the <strong>COBIT</strong> 5 process reference model:<br />
In Chapter 2, the <strong>COBIT</strong> 5 goals cascade is recapitulated and<br />
complemented with a set of example metrics for the enterprise<br />
goals and the IT-related goals.<br />
In Chapter 3, the <strong>COBIT</strong> 5 process model is explained and its<br />
components defined.<br />
Chapter 4 shows the diagram of this process reference model.<br />
Chapter 5 contains the detailed process information for all 37<br />
<strong>COBIT</strong> 5 processes in the process reference model.<br />
37<br />
37<br />
<strong>COBIT</strong> 5: Enabling Processes (cont.)<br />
Source: <strong>COBIT</strong> ® 5, figure 29. © 2012 ISACA ® All rights reserved.<br />
38<br />
38<br />
19
<strong>COBIT</strong> 5: Enabling Processes (cont.)<br />
Source: <strong>COBIT</strong> ® 5, figure 16. © 2012 ISACA ® All rights reserved.<br />
39<br />
39<br />
<strong>COBIT</strong> 5: Enabling Processes (Cont.)<br />
<strong>COBIT</strong> 5: Enabling Processes:<br />
• The <strong>COBIT</strong> 5 process reference model subdivides the ITrelated<br />
practices and activities of the enterprise into two<br />
main areas—governance and management— with<br />
management further divided into domains of processes:<br />
• The GOVERNANCE domain contains five<br />
governance processes; within each process, evaluate,<br />
direct and monitor (EDM) practices are defined.<br />
• The four MANAGEMENT domains are in line with<br />
the responsibility areas of plan, build, run and monitor<br />
(PBRM).<br />
40<br />
40<br />
20
<strong>COBIT</strong> דגשים<br />
CobiT focuses on information having integrity and<br />
being secure and available.<br />
At the highest level, it focuses on the importance of<br />
information to the long-term success of the<br />
organization.<br />
41<br />
Audit Guidelines<br />
The process is audited by:<br />
Obtaining an understanding of business requirements, related risks,<br />
and relevant control measures<br />
Evaluating the appropriateness of stated controls<br />
Assessing compliance by testing whether the stated controls are<br />
working as prescribed, consistently and continuously<br />
Substantiating the risk of the control objectives not being met by<br />
using analytical techniques and/or consulting alternative sources.<br />
42<br />
21
Generic Audit Guideline<br />
<br />
Gain an understanding of:<br />
<br />
Assess compliance<br />
<br />
Business requirements<br />
<br />
procedures<br />
<br />
Organisation structure<br />
<br />
process deliverables<br />
<br />
Roles and responsibilities<br />
<br />
Determine level of testing<br />
<br />
<br />
Policies and procedures<br />
Laws and regulations<br />
<br />
provide assurance that the IT<br />
process is adequate<br />
<br />
Control measures in place<br />
<br />
Evaluate the controls<br />
<br />
Substantiate the risk<br />
<br />
Documented processes<br />
<br />
control weaknesses<br />
<br />
Appropriate deliverables<br />
<br />
actual and potential impact<br />
<br />
Responsibility/accountability<br />
<br />
Compensating controls<br />
43<br />
מודל הבשלות לפי CMMI<br />
עמוד 44<br />
44<br />
22
CobiT 4.1 Maturity Model<br />
<br />
<br />
<br />
<br />
<br />
<br />
0 Non-existent.<br />
.התהל י ך אינו ק יי ם כלל , האר גון לא זיה ה כלל את הצו רך לטפל בתהלי ך זה <br />
1 Initial.<br />
האר גון זי ה ה את הצור ך בת הל יך בתחו ם אין סטנדרטים מו גד רי ם לתהל י ך. הטיפול בו נעשה ב ג יש ה אד הו ק תוך <br />
טיפול בכל מקר ה לגופו של עני ין. התמונ ה ה גדול ה ש ל התהל יך אינ ה חשופה להנהל ה.<br />
2 Repeatable.<br />
Processes have developed to the stage where similar procedures are followed by different<br />
people undertaking the same task. There is no formal training or communication of standard<br />
procedures, and responsibility is left to the individual. There is a high degree of reliance on the<br />
knowledge of individuals and, therefore, errors are likely.<br />
3 Defined.<br />
Procedures have been standardized and documented, and communicated through training. It is,<br />
however, left to the individual to follow these processes, and it is unlikely that deviations will<br />
be detected. The procedures themselves are not sophisticated but are the formalization of<br />
existing practices.<br />
4 Managed.<br />
It is possible to monitor and measure compliance with procedures and to take action where<br />
processes appear not to be working effectively. Processes are under constant improvement and<br />
provide good practice. Automation and tools are used in a limited or fragmented way.<br />
5 Optimized.<br />
Processes have been refined to a level of best practice, based on the results of continuous<br />
improvement and maturity modeling with other enterprises. IT is used in an integrated way to<br />
automate the workflow, providing tools to improve quality and effectiveness, making the<br />
enterprise quick to adapt.<br />
.<br />
45<br />
בשלות התהליכים השונ ים בא רגו ן מסו יים<br />
עמוד 46<br />
46<br />
23
מימוש – Guide Implementation<br />
עמוד 47<br />
47<br />
<strong>COBIT</strong>’s Waterfall and Navigation Aids<br />
Planning &<br />
Organisation<br />
effectiveness<br />
S<br />
efficiency<br />
confidentiality<br />
integrity<br />
P<br />
availability<br />
compliance<br />
reliability<br />
Acquisition &<br />
Implementation<br />
Delivery &<br />
Support<br />
Monitoring<br />
The control of<br />
IT Processes<br />
which satisfy<br />
Business<br />
Requirements<br />
is enabled by<br />
Control<br />
Statements<br />
and considers<br />
Control<br />
Practices<br />
people<br />
applications<br />
technology<br />
<br />
facilities<br />
data<br />
48<br />
24
מתודולוג ית BDO לייש ום <strong>COBIT</strong><br />
שלב<br />
1<br />
שלב<br />
2<br />
לימוד והתארגנות – לימוד ,<strong>COBIT</strong> מנהלת פרויקט, מבנה ארגוני תומך,<br />
גיוס הנהלה, בחינת ישימות וכו'<br />
בחינת יישום <strong>COBIT</strong> מלא/ QuickStart<br />
בניה ראשונית על עץ היישויות ותשתית המודל – הגדרת יעדי IT<br />
בהתאמה ליעדים עסקיים, תחומים, תהליכים, פעילויות, יעדי בקרה,<br />
בקרות, הקצאת תחומי אחריות, ,Process Owners משאבים, קישור<br />
למסגרות עבודה אחרות<br />
הכשרות הנהלה ועובדים<br />
הערכת סיכונים ותועלות לצורך מיקוד בתהליכים "מסוכנים"<br />
הערכת מצ ב AS-IS ומצב TO-BE בכל יעד בקרה ע"פ מודל הבשלות<br />
ניתוח פערים ובנית תוכנית לשיפור<br />
הגדרת יעדים ומדדים ,KGI,KPI אמצעים למימוש וקישור למנגנוני הערכה<br />
ותגמול<br />
יישום התוכנית, מדידה וניטור שוטפים/תהליכי ביקורת<br />
שכלול ועיבוי עץ הישויות ותשתית המודל<br />
שלב<br />
3<br />
שלב<br />
4<br />
שלב<br />
5<br />
שלב<br />
6<br />
שלב<br />
7<br />
שלב<br />
8<br />
שלב<br />
עמוד 9 49<br />
49<br />
יעד<br />
עסקי<br />
יעד ט"מ<br />
3<br />
ט"מ תהליך<br />
DS-8<br />
דוגמא לתהלי ך<br />
שיפור השרות ללקוח<br />
זמינות שירותי ט"מ<br />
ניהול מוקד שירות ואירועים<br />
נהלים, פעילויות וגורמים אחראים<br />
עמוד 50<br />
50<br />
25
סיפורי מעילות<br />
51<br />
סיפורי מעילות<br />
52<br />
26
סיפורי מעילות<br />
53<br />
סיפורי מעילות<br />
שימוש בד וחות חכמים –<br />
כלי בקר ה נוסף בעס קים ק טנים כגדו לים הו א שימו ש בדוחות חכמים.<br />
לדוגמה שקים מסדר ות ע תידי ות, שינו ים חריגים במל אי ביחס לק ני ות<br />
ומכיר ות,<br />
חוסר רציפות במספרי שקי ם, גידול בשקים ביח ס למחזור,<br />
קיום שקים במערכת על ש ם עובדים בעסק,<br />
ירידה בת קבו לים במזומן וע וד<br />
יכו לים להת קבל בק לות על ידי המנ הל ים ולס ייע בא יתו ר מעילות.<br />
עסקים קטנ ים נוטים פחות להיעזר ב כלים א לו אשר י כו לים לסי יע רבות<br />
לכל מנה ל בעסק.<br />
קיימ ים כיום מומח ים רבים אשר מסיעים ל ארגו נים לה פיק דוחות כאמ ור<br />
בעלות נמו כה ובתמ ורה גב והה לע סק<br />
54<br />
27
הבדלים בין <strong>COBIT</strong>5 ל <strong>COBIT</strong>4.1<br />
–<br />
גורמים/מחול לים ארגו ניים<br />
עדכון במודל התה ליכי אזור ממשל חדש הכול ל תהליכים,<br />
תהליכים חדשים וכמ ה תהל יכים שונו.<br />
תכנון וארג ון (כיום הלי מות, תכנון ואר גון) 10 ת הל יכים ל<br />
תהליכים. נ וספו ניהול חדשנות,ניה ול ת קציב ועלו יות, ניהול<br />
אבטחה<br />
רכש ויישום (כיום בניה, רכש ויישום) מ תהליכים ל<br />
תהליכים. נו ספו – ניהול השי נוי הארגו ני, ניה ול ידע, ני הול נכסים.<br />
אספקה ותמ יכה (כיום אס פ קה, שירות ו תמיכה) מ 13 ת הליכים ל<br />
תהליכים. נו סף ניהו ל בקרות יישום עסקי ות.<br />
ניטור והערכה – מ 4 תהליכ י ם ל 3 תהליכים.<br />
שילוב מסגרו ת VAL IT ו RISK IT בתוך המסגרת הרא שית.<br />
מודל בשלות חדש ה מבוסס ע ל .ISO/IEC 15504<br />
התאמה טובה יו תר ל .ISO/IEC 38500<br />
13<br />
10<br />
6<br />
5<br />
7<br />
– מ<br />
–<br />
–<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
עמוד 55<br />
55<br />
COSO – <strong>COBIT</strong> Mapping<br />
56<br />
28
פרסומי <strong>COBIT</strong><br />
עמוד 57<br />
57<br />
Helpful Links<br />
<br />
<br />
<br />
<br />
<br />
Committee of the Sponsoring Organizations of the Treadway<br />
Commission www.coso.org<br />
Public Company Oversight Board www.pcaobus.org<br />
IT Governance Institute www.itgi.org<br />
Information Systems Audit and Control Association<br />
www.isaca.org<br />
Ernst & Young, LLP www.ey.com<br />
58<br />
29