COBIT 5

יסודות COBIT 

ארגז הכלים לממשל טכנולוגיית המידע 

1 מהדורה-‏‎03‎ 

מעגל הכוחות 

Business 

Requirements 

IT 

Processes 

IT 

Resources 

2 

1

מסגרות עבודה מק ובלות לניה ול IT 

יעדי המודל 

בקרה 

פנימית,‏ 

ניהול 

סיכונים 

גוף הפיתוח וגוף 

המשתמשים 

מסגרת עבודה 

תחומי ידע 

Control environment, risk assessment, control 

activities, information and communication, 

monitoring 

,Acquire and Implement ,Plan and Organize 

Monitor and Evaluate ,Deliver and Support 

service strategy, service design, service 

transition, service operation, continual service 

improvement 

IT Risk governance, risk evaluation, risk 

response 

COSO, COSO ERM 

COBIT Framework 

ITILv3 

Risk IT Framework 

COSO 

ISACA 

ממשל ,IT 

בקרה 

OGC ‏(משרד המסחר 

הבריטי,‏ itSMF 

IT Governance 

Institute, ISACA 

תהליכי IT 

ניהול 

סיכונים 

,Portfolio Management ,Value Governance 

Investment Management 

VAL IT Framework 

ITGI 

השאת ערך 

מהשקעות 

IT 

עמוד 3 

3 

מסגרות עבודה מק ובלות לניה ול IT 

יעדי המודל 

גוף הפיתוח וגוף 

המשתמשים 

מסגרת עבודה 

תחומי ידע 

Project Scope ,Project Integration Management 

Project Cost ,Project Time Management ,Management 

Project ,Project Quality Management ,Management 

Project ,Human Resource Management 

Project Risk ,Communications Management 

and Project Procurement Management ,Management 

PMBOK 

PMI 

ניהול 

פרוי קטים 

CMMI for -Product and service development 

,Service establishment ,)DEV-CMMI(Development 

CMMI for Services -and delivery ,management 

–Product and service acquisition ,)SVC-CMMI) 

)ACQ-CMMI(CMMI for Acquisition 

CMMI 

The Carnegie Mellon 

Software 

Engineering Institute 

שיפור 

תהליכ י ם 

ניהול איכ ות,‏ 

אבטחת מידע 

וניהול ש יר ותי 

IT 

אבטחת איכות 

ניהול ש ירו תי ITIL/IT 

אבטחת מידע 

ISO 9000 

ISO 20000 

ISO 27000 

ISO/IEC 

אחרי ם 

ניהול פרו יקטי ם 

מתודולו ג ית איכות במקו ר בת הל יכי י יצו ר 

Prince2 

SixSigma 

עמוד 4 

4 

2

COBIT 5: Now One Complete 

Business Framework for 

Evolution of scope 

IT Governance 

Management 

Control 

Audit 

Val IT 2.0 

(2008) 

Risk IT 

(2009) 

COBIT1 



COBIT4.0/4.1 

1996 1998 2000 2005/7 2012 

An business framework from ISACA, at www.isaca.org/cobit 

© 2012 ISACA ® All rights reserved. 

5 

5 

COBIT 

הגדרה 

הינו תקן בינלאומי פתוח,‏ המסייע ביישום נושא הניהול והבקרה 

של מערכות מידע ארגוניות,‏ תוך תמיכה ביעדים ארגוניים,‏ אופטימיזציה 

של השקעות הארגון במערכות המידע וניהול נאות של הסיכונים בסביבה 

זו.‏ התקן מחולק ל 4 תחומים וכולל 34 תהליכים ‏.כל תהליך כולל מספר 

יעדי בקרה.‏ בסה"כ יש 318 יעדי בקרה.‏ על רקע הצורך ההולך וגובר 

ה COBIT מספק את 

של ארגונים לעמוד בדרישות חוק 

מסגרת הבקרה הנדרשת בכדי לאפשר עמידה בחוק זה,‏ תוך התמקדות 

בתהליך העסקי והתבססות על מדידה.‏ 

החזון של :COBIT לחקור,‏ ל פתח,‏ לפרסם,‏ ולקדם מסגרת בקרה מקובלת,‏ 

בינלאומית ומעודכנת לממשל טכנולוגית מידע לאימוץ ע"י ארגונים,‏ 

ולשימוש יום יומי על ידי מנהלי עסקים,‏ 

מקצועני טכנולוגית מידע למיניהם ומקצועני ביקורת.‏ 

, SOX 404 

6 מהדורה-‏‎03‎ 

3

המטרה 

COBIT תומך בממשל 

IT על ידי אספקת מסגרת המבטיחה:‏ 

תאימות בין IT והיעדים העסקיים 

מאפשר את הפעילות העסקית וממקסם את תועלתו 

משאבי IT מנוצלים בצורה אחראית 

סיכוני IT מנוהלים כראוי 

ה IT 

 

 

 

 

7 

COBIT ו SDLC 


•C 

ייצור 

8 

4

מרכיבים 

9 

מרכיבי COBIT 

10 

5

חמשת עק רו נות המסגרת 

עמוד 11 

11 

עק רו ן 5 

– הפרדת ממשל מהנהלה 

עמוד 12 

12 

6

IT Governance 

A structure of relationships and processes 

to direct and control the enterprise in 

order to achieve the enterprise’s goals by 

adding value while balancing risk versus 

return over IT and its processes. 

13 

הגדרה 

IT Governance is the responsibility of the board of directors 

and executive management. an integral part of enterprise 

governance and consists of the leadership and organizational 

structures and processes that ensure that the organization's IT 

sustains and extends the organization's strategies and 

objectives. (ITGI) 

IT Governance is the system by which the current and future 

use of ICT is directed and controlled. It involves evaluating and 

directing the plans for the use of ICT to support the 

organization and monitoring this use to achieve plans. It 

includes the strategy and policies for using ICT within an 

organization. (AS8015, the Australian Standard for Corporate 

Governance of ICT, ISO/IEC 38500:2008) 

עמוד 14 

14 

7

‏"ממשל"‏ 

לעומת 

‏"נ יהול"‏ 

‏"ניהול של הניהול"‏ 

תיאום אסטרטגי 

מסגרת עבודה/מתודולוגיה 

מנגנונים ארגוניים תומכים 

טווח ארוך 

ציות 

מעקב ובקרה 

• 

• 

• 

• 

• 

• 

• 

עמוד 15 

15 

ממשל IT באמצעו ת COBIT 

 

 

 

 

 

 

 

למה זה טוב?‏ 

תמונה מובנת לה נהלה 

אחריות ובע לויו ת ברורות על תהליכים ויעד ים 

מסגרת מ קובלת על רגול טור ים וצדדים שלישיים 

תרומה להבנ ה הדדית,‏ בקרב כל בעלי העני ן,‏ המבוס סת ע ל שפה 

משותפת 

תאימו ת ל COSO ומודלים אחרים 

טיפול בכל מ חזור החיים ובכ ל מרכיבי ממשל IT 

התאמה טובה למ יקוד הע ס קי 

עמוד 16 

16 

8

SOX Section 404 

Section 404 of the Act has two parts: 

 

 

Section 404(a) describes management’s responsibility for 

establishing and maintaining an adequate internal control 

structure and procedures for financial reporting. It also 

outlines management’s responsibility for assessing the 

effectiveness of internal control over financial reporting. 

Section 404(b) describes the independent auditor’s 

responsibility for attesting to and reporting on management’s 

internal control assessment. 

17 

How Does COBIT Link to IT Governance? 

Requirements 

Direction 

(IT Strategy and Policy) 

Goals 

Control 

Objectives 

Responsibilities 

Business 

IT 

Governance 

Information the 

Business Needs to 

Achieve Its Objectives 

Information (IT 

Control, Risk and 

Assurance) 

IT Governance 

18 

9


עמוד 19 

19 


– גישה כו ללת לארג ונ יי ם 

עמוד 20 

20 

10


עמוד 21 

21 

– עמ ידה ב צרכ י בעל י ה ענ ין.‏ מי מעורב?‏ 

עקרון 1 

 

 

 

 

 

 

 

 

 

Executive manager 

Business manager 

IT manager 

Project manager 

Developer 

Operations 

User 

Information security officer 

Auditor 

22 

11

Who needs COBIT ? 

 

 

 

Management needs COBIT 

to evaluate IT investment decisions 

to balance risk and control of investment in an often unpredictable 

IT environment 

to benchmark existing and future IT environment 

Users need COBIT 

to obtain assurance on security and controls of products and 

services provided by internal and third-parties. 

IS auditors need COBIT 

to substantiate opinions to management on internal controls 

to answer the question: What minimum controls are necessary? 

23 


עמוד 24 

24 

12


– מסגרת אחת משותפת 

עמוד 25 

25 

המשאבים המשאבים שעומדים שעומדים 

לרשות לרשות הIT IT 

ונבנים ונבנים על על ידי ידי ה 

IT IT 

ציפיות ציפיות בעלי בעלי העניין העניין 

מ 

מעגל הכ וחות 

כיצד כיצד הIT IT מאורגן מאורגן 

למתן למתן מענה מענה 

לדרישות לדרישות 

IT IT 

משאבי 

IT 

נתונים 

יישומים 

טכנולוגיה 

מתקנים 

אנשים 

תהליכי IT 

אפקטיביות 

יעילות 

סודיות 

שלמות 

זמינות 

התאמה לכללים 

אמינות 

תכנון וארגון 

רכש ויישום 

אספקה ותמיכה 

מעקב והערכה 

26 

דרישות 

עסקיות 

13

COBIT Framework 

Criteria 

• Effectiveness 

• Efficiency 

• Confidentiality 

• Integrity 

• Availability 

• Compliance 

• Reliability 

Business Objectives 

Monitor and 

Evaluate 

IT Resources 

• Data 

• Application systems 

• Technology 

• Facilities 

• People 

IT Life Cycle 

Plan and 

Organise 

Deliver and 

Support 

Acquire and 

Implement 

27 

עקרון – 2 לכסות את כל הפעילות העסקית 

עמוד 28 

28 

14

עקרון – 2 לכסות את כל הפעילות העסקית 

עמוד 29 

29 

Business Goals 

30 

15


31 


32 

16


Framework 

M1 Monitor the process 

M2 Assess internal control adequacy 

M3 Obtain independent assurance 

M4 Provide for independent audit 

DS1 Define service levels 

DS2 Manage third-party services 

DS3 Manage peformance and capacity 

DS4 Ensure continuous service 

DS5 Ensure systems security 

DS6 Identify and attribute costs 

DS7 Educate and train users 

DS8 Assist and advise IT customers 

DS9 Manage the configuration 

DS10 Manage problems and incidents 

DS11 Manage data 

DS12 Manage facilities 

DS13 Manage operations 

Business Objectives 

Criteria 

• Effectiveness 

• Efficiency 

• Confidenciality 

• Integrity 

• Availability 

• Compliance 

• Reliability 

IT 

RESOURCES 

MONITOR AND 

EVALUATE 

• Data 

• Application systems 

• Technology 

• Facilities 

• People 

DELIVER AND 

SUPPORT 

PO1 Define a strategic IT plan 

PO2 Define the information architecture 

PO3 Determine the technological direction 

PO4 Define the IT organisation and relationships 

PO5 Manage the IT investment 

PO6 Communicate management aims and direction 

PO7 Manage human resources 

PO8 Ensure compliance with external requirements 

PO9 Assess risks 

PO10 Manage projects 

PO11 Manage quality 

ACQUIRE AND 

IMPLEMENT 

PLAN AND 

ORGANISE 

AI1 Identify automated solutions 

AI2 Acquire and mantain application software 

AI3 Acquire and maintain technology infrastructure 

AI4 Develop and maintain IT procedures 

AI5 Install and accredit systems 

AI6 Manage changes 

33 

COBIT Processes 

Plan and 

Organise 

PO1 

PO2 

PO3 

PO4 

PO5 

PO6 

PO7 

PO8 

PO9 

PO10 

Define an IT strategic plan. 

Define the information architecture. 

Determine technological direction. 

Define the IT processes, organisation and relationships. 

Manage the IT investment. 

Communicate management aims and direction. 

Manage IT human resources. 

Manage quality. 

Assess and manage IT risks. 

Manage projects. 

Acquire and 

Implement 

AI1 

AI2 

AI3 

AI4 

AI5 

AI6 

AI7 

Identify automated solutions. 

Acquire and maintain application software. 

Acquire and maintain technology infrastructure. 

Enable operation and use. 

Procure IT resources. 

Manage changes. 

Install and accredit solutions and changes. 

34 

17


Deliver and 

Support 

DS1 

DS2 

DS3 

DS4 

DS5 

DS6 

DS7 

DS8 

DS9 

DS10 

DS11 

DS12 

DS13 

Define and manage service levels. 

Manage third-party services. 

Manage performance and capacity. 

Ensure continuous service. 

Ensure systems security. 

Identify and allocate costs. 

Educate and train users. 

Manage service desk and incidents. 

Manage the configuration. 

Manage problems. 

Manage data. 

Manage the physical environment. 

Manage operations. 

Monitor and 

Evaluate 

ME1 

ME2 

ME3 

ME4 

Monitor and evaluate IT performance. 

Monitor and evaluate internal control. 

Ensure compliance with external requirements. 

Provide IT governance. 

35 


36 

18

COBIT 5: Enabling Processes 

COBIT 5: Enabling Processes complements COBIT 5 and 

contains a detailed reference guide to the processes that are 

defined in the COBIT 5 process reference model: 

In Chapter 2, the COBIT 5 goals cascade is recapitulated and 

complemented with a set of example metrics for the enterprise 

goals and the IT-related goals. 

In Chapter 3, the COBIT 5 process model is explained and its 

components defined. 

Chapter 4 shows the diagram of this process reference model. 

Chapter 5 contains the detailed process information for all 37 

COBIT 5 processes in the process reference model. 

37 

37 

COBIT 5: Enabling Processes (cont.) 

Source: COBIT ® 5, figure 29. © 2012 ISACA ® All rights reserved. 

38 

38 

19

COBIT 5: Enabling Processes (cont.) 

Source: COBIT ® 5, figure 16. © 2012 ISACA ® All rights reserved. 

39 

39 

COBIT 5: Enabling Processes (Cont.) 

COBIT 5: Enabling Processes: 

• The COBIT 5 process reference model subdivides the ITrelated 

practices and activities of the enterprise into two 

main areas—governance and management— with 

management further divided into domains of processes: 

• The GOVERNANCE domain contains five 

governance processes; within each process, evaluate, 

direct and monitor (EDM) practices are defined. 

• The four MANAGEMENT domains are in line with 

the responsibility areas of plan, build, run and monitor 

(PBRM). 

40 

40 

20

COBIT דגשים 

CobiT focuses on information having integrity and 

being secure and available. 

At the highest level, it focuses on the importance of 

information to the long-term success of the 

organization. 

41 

Audit Guidelines 

The process is audited by: 

Obtaining an understanding of business requirements, related risks, 

and relevant control measures 

Evaluating the appropriateness of stated controls 

Assessing compliance by testing whether the stated controls are 

working as prescribed, consistently and continuously 

Substantiating the risk of the control objectives not being met by 

using analytical techniques and/or consulting alternative sources. 

42 

21

Generic Audit Guideline 

 

Gain an understanding of: 

 

Assess compliance 

 

Business requirements 

 

procedures 

 

Organisation structure 

 

process deliverables 

 

Roles and responsibilities 

 

Determine level of testing 

 

 

Policies and procedures 

Laws and regulations 

 

provide assurance that the IT 

process is adequate 

 

Control measures in place 

 

Evaluate the controls 

 

Substantiate the risk 

 

Documented processes 

 

control weaknesses 

 

Appropriate deliverables 

 

actual and potential impact 

 

Responsibility/accountability 

 

Compensating controls 

43 

מודל הבשלות לפי CMMI 

עמוד 44 

44 

22

CobiT 4.1 Maturity Model 

 

 

 

 

 

 

0 Non-existent. 

‏.התהל י ך אינו ק יי ם כלל , האר גון לא זיה ה כלל את הצו רך לטפל בתהלי ך זה 

1 Initial. 

האר גון זי ה ה את הצור ך בת הל יך בתחו ם אין סטנדרטים מו גד רי ם לתהל י ך.‏ הטיפול בו נעשה ב ג יש ה אד הו ק תוך 

טיפול בכל מקר ה לגופו של עני ין.‏ התמונ ה ה גדול ה ש ל התהל יך אינ ה חשופה להנהל ה.‏ 

2 Repeatable. 

Processes have developed to the stage where similar procedures are followed by different 

people undertaking the same task. There is no formal training or communication of standard 

procedures, and responsibility is left to the individual. There is a high degree of reliance on the 

knowledge of individuals and, therefore, errors are likely. 

3 Defined. 

Procedures have been standardized and documented, and communicated through training. It is, 

however, left to the individual to follow these processes, and it is unlikely that deviations will 

be detected. The procedures themselves are not sophisticated but are the formalization of 

existing practices. 

4 Managed. 

It is possible to monitor and measure compliance with procedures and to take action where 

processes appear not to be working effectively. Processes are under constant improvement and 

provide good practice. Automation and tools are used in a limited or fragmented way. 

5 Optimized. 

Processes have been refined to a level of best practice, based on the results of continuous 

improvement and maturity modeling with other enterprises. IT is used in an integrated way to 

automate the workflow, providing tools to improve quality and effectiveness, making the 

enterprise quick to adapt. 

. 

45 

בשלות התהליכים השונ ים בא רגו ן מסו יים 

עמוד 46 

46 

23

מימוש – Guide Implementation 

עמוד 47 

47 

COBIT’s Waterfall and Navigation Aids 

Planning & 

Organisation 

effectiveness 

S 

efficiency 

confidentiality 

integrity 

P 

availability 

compliance 

reliability 

Acquisition & 

Implementation 

Delivery & 

Support 

Monitoring 

The control of 

IT Processes 

which satisfy 

Business 

Requirements 

is enabled by 

Control 

Statements 

and considers 

Control 

Practices 

people 

applications 

technology 

 

facilities 

data 

48 

24

מתודולוג ית BDO לייש ום COBIT 

שלב 

1 

שלב 

2 

לימוד והתארגנות – לימוד ,COBIT מנהלת פרויקט,‏ מבנה ארגוני תומך,‏ 

גיוס הנהלה,‏ בחינת ישימות וכו'‏ 

בחינת יישום COBIT מלא/‏ QuickStart 

בניה ראשונית על עץ היישויות ותשתית המודל – הגדרת יעדי IT 

בהתאמה ליעדים עסקיים,‏ תחומים,‏ תהליכים,‏ פעילויות,‏ יעדי בקרה,‏ 

בקרות,‏ הקצאת תחומי אחריות,‏ ,Process Owners משאבים,‏ קישור 

למסגרות עבודה אחרות 

הכשרות הנהלה ועובדים 

הערכת סיכונים ותועלות לצורך מיקוד בתהליכים ‏"מסוכנים"‏ 

הערכת מצ ב AS-IS ומצב TO-BE בכל יעד בקרה ע"פ מודל הבשלות 

ניתוח פערים ובנית תוכנית לשיפור 

הגדרת יעדים ומדדים ,KGI,KPI אמצעים למימוש וקישור למנגנוני הערכה 

ותגמול 

יישום התוכנית,‏ מדידה וניטור שוטפים/תהליכי ביקורת 

שכלול ועיבוי עץ הישויות ותשתית המודל 

שלב 

3 

שלב 

4 

שלב 

5 

שלב 

6 

שלב 

7 

שלב 

8 

שלב 

עמוד 9 49 

49 

יעד 

עסקי 

יעד ט"מ 

3 

ט"מ תהליך 

DS-8 

דוגמא לתהלי ך 

שיפור השרות ללקוח 

זמינות שירותי ט"מ 

ניהול מוקד שירות ואירועים 

נהלים,‏ פעילויות וגורמים אחראים 

עמוד 50 

50 

25

סיפורי מעילות 

51 


52 

26


53 


שימוש בד וחות חכמים – 

כלי בקר ה נוסף בעס קים ק טנים כגדו לים הו א שימו ש בדוחות חכמים.‏ 

לדוגמה שקים מסדר ות ע תידי ות,‏ שינו ים חריגים במל אי ביחס לק ני ות 

ומכיר ות,‏ 

חוסר רציפות במספרי שקי ם,‏ גידול בשקים ביח ס למחזור,‏ 

קיום שקים במערכת על ש ם עובדים בעסק,‏ 

ירידה בת קבו לים במזומן וע וד 

יכו לים להת קבל בק לות על ידי המנ הל ים ולס ייע בא יתו ר מעילות.‏ 

עסקים קטנ ים נוטים פחות להיעזר ב כלים א לו אשר י כו לים לסי יע רבות 

לכל מנה ל בעסק.‏ 

קיימ ים כיום מומח ים רבים אשר מסיעים ל ארגו נים לה פיק דוחות כאמ ור 

בעלות נמו כה ובתמ ורה גב והה לע סק 

54 

27

הבדלים בין COBIT5 ל COBIT4.1 

– 

גורמים/מחול לים ארגו ניים 

עדכון במודל התה ליכי אזור ממשל חדש הכול ל תהליכים,‏ 

תהליכים חדשים וכמ ה תהל יכים שונו.‏ 

תכנון וארג ון ‏(כיום הלי מות,‏ תכנון ואר גון)‏ 10 ת הל יכים ל 

תהליכים.‏ נ וספו ניהול חדשנות,ניה ול ת קציב ועלו יות,‏ ניהול 

אבטחה 

רכש ויישום ‏(כיום בניה,‏ רכש ויישום)‏ מ תהליכים ל 

תהליכים.‏ נו ספו – ניהול השי נוי הארגו ני,‏ ניה ול ידע,‏ ני הול נכסים.‏ 

אספקה ותמ יכה ‏(כיום אס פ קה,‏ שירות ו תמיכה)‏ מ 13 ת הליכים ל 

תהליכים.‏ נו סף ניהו ל בקרות יישום עסקי ות.‏ 

ניטור והערכה – מ 4 תהליכ י ם ל 3 תהליכים.‏ 

שילוב מסגרו ת VAL IT ו RISK IT בתוך המסגרת הרא שית.‏ 

מודל בשלות חדש ה מבוסס ע ל .ISO/IEC 15504 

התאמה טובה יו תר ל .ISO/IEC 38500 

13 

10 

6 

5 

7 

– מ 

– 

– 

 

 

 

 

 

 

 

 

 

עמוד 55 

55 

COSO – COBIT Mapping 

56 

28

פרסומי COBIT 

עמוד 57 

57 

Helpful Links 

 

 

 

 

 

Committee of the Sponsoring Organizations of the Treadway 

Commission www.coso.org 

Public Company Oversight Board www.pcaobus.org 

IT Governance Institute www.itgi.org 

Information Systems Audit and Control Association 

www.isaca.org 

Ernst & Young, LLP www.ey.com 

58 

29

COBIT 5

Create successful ePaper yourself

Delete template?

Save as template?