Что такое руководство cobit

ISACA

Ассоциация Аудита и Контроля Информационных Систем (ISACA) была основана в 1969 году для финансовых аудиторов в контроле ИТ. Ассоциация Аудита и Контроля Информационных

Систем является ведущей мировой профессиональной организацией с представительствами в более чем 100 странах мира и охватывает все уровни ИТ:

• Организации;
• Управления;
• Практического применения.

Ассоциация занимает уникальную позицию мирового лидера в области разработки и распространения стандартов по аудиту ИТ, ее стратегический альянс с другими ассоциациями и консалтинговыми компаниями в областях финансово-хозяйственной деятельности, бухгалтерского учета и аудита ИТ обеспечивает не имеющий равных уровень интеграции и соответствия требованиям владельцев бизнес-процессов.

Управление и аудит ИТ. Стандарт CobiT

Аббревиатура CobiT расшифровывается как Контрольные ОБъекты для Информационных и смежных Технологий. За этой аббревиатурой скрывается набор документов, в которых изложены принципы управления и аудита информационных технологий. CobiT позиционируется как открытый стандарт «де-факто», в настоящее время переживающий свое третье издание.

В состав стандарта входят шесть книг, ориентированных на разные аудитории:

1. Резюме для руководителя. Описание стандарта CobiT, ориентированное на топ-менеджеров организации для принятия ими решения о применимости стандарта в конкретной организации. С переводом этой книги на русский язык Вы можете ознакомиться: http://www.isaca.ru

2. Описание структуры. Книга содержит развернутое описание структуры стандарта, высокоуровневых целей контроля и пояснения к ним, необходимые для эффективной навигации и результативной работы со стандартом.

3. Объекты контроля. В книгу включены детальные описания объектов контроля, содержащие расшифровку каждого из объектов.

4. Принципы управления. Книга отвечает на вопросы как управлять ИТ, как правильно поставить достижимую цель, как ее достичь и как проконтролировать полноту ее достижения. Предназначена для руководителей ИТ-служб.

5. Принципы аудита. Правила проведения ИТ-аудита. Описание того, у кого можно получить необходимую информацию, как ее проверить, какие вопросы задавать? Книга предназначена для внутренних и внешних аудиторов ИТ, а также консультантов в сфере ИТ.

6. Набор инструментов внедрения стандарта – практические советы по ежедневному использованию стандарта в управлении и аудите ИТ. Книга предназначена для внутренних и внешних аудиторов ИТ, консультантов в сфере ИТ.

Модель процессов, выстраиваемая на базе CobiT, предпочтительней других подходов, в основе которых не лежат бизнес-процессы организации (методики и стандарты аудита производителей программно-аппаратных средств), по нескольким причинам:

1. По определению: процесс – это действие, направленное на достижение результата, при оптимальном использовании ресурсов, и которое может корректироваться при его выполнении. При выполнении процесса все задействованные ресурсы структурируются и выстраиваются таким образом, чтобы максимально эффективно выполнять этот процесс.

2. Во-вторых, процессы в подавляющем большинстве организаций, а особенно их цели не так часто изменяются, по сравнению с организационными объектами (организационно-штатная структура: сотрудники, отделы, департаменты и т.д.).

3. В-третьих, развертывание информационной системы или внедрение информационных технологий не может быть ограничено спецификой одного отдела или департамента, а затрагивает руководителей, пользователей из других подразделений и ИТ-специалистов. Таким образом, прикладные системы (прикладное программное обеспечение то, что видит пользователь) – это неотъемлемая часть структуры CobiT и могут быть стандартно оценены, как и прочие объекты контроля CobiT, в рамках единой структуры и с применением единых метрик.

CobiT – это сохранение единого подхода к сбору, анализу информации, подготовке выводов и заключений на всех этапах управления, контроля и аудита ИТ, возможность сравнения существующих ИТ-процессов с «лучшими» практиками, в том числе отраслевыми.

Основа CobiT. Разделение CobiT на управление и аудит

В основу стандарта CobiT положено следующее утверждение: для предоставления информации, необходимой организации для достижения ее целей, ресурсы ИТ должны управляться набором естественно сгруппированных процессов.

Для этого CobiT выделяет 34 высокоуровневые цели контроля, по одной на каждый ИТпроцесс, которые сгруппированы в 4 домена:

Планирование и Организация; Проектирование и Внедрение; Эксплуатация и Сопровождение; Мониторинг. Предлагаемая структура объединяет все аспекты информации и технологий, поддерживающих ее. Применяя 34 высокоуровневые цели контроля, руководитель может быть уверен, что ему будет предоставлена адекватная система контроля над ИТ-средой, которая учитывает задействованные ресурсы ИТ, дающая возможность оценить ИТ по предлагаемым CobiT семи критериям оценки информации.

Ресурсы ИТ в CobiT описаны пятью составляющими:

1. Данные – объекты в широком смысле (то есть внутренние и внешние), структурированные и неструктурированные, а также графика, звук и т.д.

2. Приложения – совокупность автоматизированных и выполняемых вручную процедур.

3. Технология – аппаратное обеспечение, программное обеспечение, операционные системы, системы управления базами данных, сетью и мультимедиа.

4. Оборудование – все ресурсы, создающие и поддерживающие информационные технологии.

5. Люди – персонал, его навыки: умение планировать и организовывать, комплектовать, обслуживать и контролировать информационные системы и услуги.

При этом денежные средства или капитал не рассматриваются в качестве ИТ-ресурса. Они могут рассматриваться в качестве инвестиций в любой из вышеуказанных ресурсов.

Критерии оценки информации:

• Эффективность – актуальность информации, соответствующего бизнес-процесса, гарантия своевременного и регулярного получения правильной информации.
• Продуктивность – обеспечение доступности информации с помощью оптимального (наиболее продуктивного и экономичного) использования ресурсов.
• Конфиденциальность – обеспечение защиты информации от неавторизованного ознакомления.

• Целостность – точность, полнота и достоверность информации в соответствии с требованиями бизнеса.
• Пригодность – предоставление информации по требованию бизнес-процессов.
• Согласованность – соответствие законам, правилам и договорным обязательствам.
• Надежность – доступ руководства организации к соответствующей информации для текущей деятельности, для создания финансовых отчетов и оценки степени соответствия.

Схема CobiT, объединяющая 34 ИТ-процесса и учитывающая критерии информации и ресурсы ИТ на всем протяжении жизненного цикла, представлена на рисунке 3.

Для достижения целей организации в сфере ИТ, CobiT включает в себя две основные книги, которые отражают Принципы управления и Принципы аудита.

Как следует из названия – это две части одного целого (оказание воздействия и контроль результатов). Управляем – воздействуем на ИТ для достижения поставленных целей. Аудит – контролируем достижение цели.

Необходимо отметить, что в основе стандарта лежат Объекты Контроля CobiT, именно они являются базой стандарта и объединяют все его книги, предлагая пользователю единую основу управления и аудита ИТ.

Принципы управления ИТ, стандарт CobiT

Принципы управления, книга стандарта CobiT, описывающая управление ИТ – одна из последних разработок Института Управления ИТ, пополнившая перечень книг CobiT в 3-ем издании стандарта.

Управление ИТ – составная часть успеха в управлении предприятием, которая гарантирует рациональное и эффективное совершенствование всех взаимосвязанных процессов предприятия. Управление ИТ предоставляет основу, которая связывает ИТ-процессы, ИТ-ресурсы и информацию со стратегией и целями организации, что позволяет максимально эффективно использовать информацию, повышая капитализацию и получая конкурентоспособные преимущества.

Принципы управления созданы для того, чтобы помочь руководителю ИТ ответить на три стратегических вопроса:

1. Существуют ли в настоящее время в организации Информационные Технологии, при управлении которыми “удовлетворяются” все информационные потребности организации?

2. Как организация обеспечивает инфраструктуру и управляет рисками, насколько организация зависит от этого?

3. С какими проблемами организация сталкивается при управлении ИТ?

Чтобы получить ответы на эти стратегические вопросы необходимо непрерывно отвечать на «тактические» вопросы:

• Что является результатом ИТ-процессов? 
• Что является решением проблем в ИТ?
• Из чего состоят эти решения?
• Будут ли работать эти решения?
• Как их реализовать?

Для получения ответов на «тактические» вопросы в книге Принципы управления CobiT, включены Модели Зрелости, Критические Факторы Успеха (КФУ), Ключевые Индикаторы Цели (КИЦ) и Ключевые Показатели Результата (КПР), это дополнение позволило получить качественно улучшенный подход к вопросам управления ИТ, который отвечает потребностям руководителей в части управления и контроля. Предоставляя руководителю организации инструмент управления и измерения ИТ на соответствие тридцати четырем ИТ-процессам, определенным в CobiT.

Для информационной поддержки принятия решений, в книге Принципы управления описаны следующие виды представления информации:

1. Инструментальная панель;

2. Карты оценки;

3. Эталонное тестирование.

Первой целью Принципов управления CobiT явилось создание индикаторов для инструментальной панели, единиц измерения для карт оценки, шкал сравнения для эталонного тестирования.

Необходимость “измерения” процессов организации обусловлена важностью непрерывного совершенствования ИТ, что создает потребность в комплекте инструментов для контроля. При этом трудно определить необходимый уровень совершенствования и остановиться на нем. Перед руководителями в коммерческих и некоммерческих организациях часто возникают задачи оценить объемы инвестиций в ИТ и инфраструктуру, при этом далеко не все могут обосновать инвестиции, отвечая на вопрос: «Как далеко необходимо зайти, и будут ли оправданы затраты выгодой?». Принципы управления CobiT призваны ответить на этот вопрос и помочь в обосновании инвестиций в ИТ.

В настоящее время информационные услуги преобладают над прочими поддерживающими бизнес услугами. Таким образом, ИТ становятся одним из первостепенных показателей бизнеса. Как следствие – отношения между бизнес-целями с их единицами измерения и ИТ с его целями и единицами измерения являются очень важными и могут быть изображены следующим образом (рис. 5).

Создание такой взаимной связи поможет руководителям в контроле над информационными технологиями организации, отвечая на следующие вопросы:

1. О чем беспокоится руководство организации? Необходимо удостовериться, что выполняются все потребности организации.

2. Где измеряется удовлетворение потребностей? Результат бизнес-процесса представлен на сбалансированной карте оценок бизнеса как Ключевой Индикатор Цели.

3. Затрагивают ли проблемы, возникающие в ходе реализации бизнес-процессов, информационные технологии организации? ИТпроцессы своевременно предоставляют организации правильную информацию, позволяя ее бизнес-процессам эффективно и бесперебойно функционировать. Это является Критическим Фактором Успеха для организации.

4. Где это измеряется? Ключевой Индикатор Цели, основанный на сбалансированной карте оценки, представляет ИТ-информацию, сопоставимую с критериями информации (Эффективность, Продуктивность, Конфиденциальность, Целостность, Пригодность, Согласованность, Надежность).

5. Что еще должно быть измерено? Если ответы на первые вопросы – положительные, должно быть учтено влияние множества Критических Факторов Успеха, которые должны быть измерены как Ключевые Индикаторы Результата для ИТ-процессов.

Модели зрелости

Модели зрелости в CobiT предназначены для контроля над ИТ-процессами организации. Они базируются на определении уровня развития организации от несуществующего до оптимизированного (от 0 до 5 уровня модели зрелости). Этот подход был привнесен в CobiT из Моделей Зрелости, разработанных Институтом проектирования и разработки программного обеспечения (Software Engineering Institute), созданных для оценки уровня зрелости разработки программного обеспечения.

Модели зрелости

Ответом на вопрос «чем и как управлять» явилась разработка моделей зрелости, начатая в конце 80-х годов Институтом проектирования и разработки программного обеспечения (Software Engineering Institute’s), по заказу Министерства обороны США. Первоначальное предназначение – создание эффективного инструмента для классификации и оценки проектов, связанных с разработкой программного обеспечения и гарантированного соблюдения качества при выполнении этих проектов. В дальнейшем модели зрелости были доработаны для управления ИТ-сервисами и аудита процессов управления.

Maturity Models (MM) – «модели зрелости». Соответствие уровням «модели зрелости» означает, что компания готова к плановой модернизации или обновлению. MM – не технология, не стандарт, для нее нет формальных описаний, в ней нет жестких требований, и она не привязана к конкретным информационным технологиям.

Модели зрелости не подсказывают как улучшить работу компании и не объясняют, как работать с персоналом, также нет готовых руководств и по применению моделей зрелости. Рекомендуется каждой конкретной компании разработать подобное руководство для своего бизнеса или пригласить сторонних консультантов для решения этого вопроса. Модели зрелости предназначены для организации эффективного управления. Они определяют ключевые действия, которые указывают, что надо сделать для достижения требуемого качества и содержат способы контроля над правильностью выполнения ключевых ИТ-процессов и методы их корректировки. Ключевые действия подробно описаны в Руководстве на абстрактном уровне, а в процессе использования MM компания может выбрать произвольную степень их формализации.

Беря за основу шкалу моделей зрелости (рис. 6), разработанную для каждого из 34 ИТпроцесса CobiT, руководитель может выяснить следующие сведения:

• Текущий статус организации – оценить, на какой стадии организация находится сегодня.
• Текущий статус лучшей практики в этой отрасли – сравнить свою организацию с лучшей организацией в этой отрасли.
• Текущий статус международных стандартов – провести дополнительное сравнение текущего статуса организации с «лучшей практикой» или международными стандартами.
• Статус организации после усовершенствования (реализация стратегии организации) – оценить стратегию организации, каких результатов организация хочет достичь.

Модель Зрелости Управления ИТ, для бизнеса, предназначена для управления ИТпроцессами с целью увеличения ценности ИТ, при соблюдении равновесия между риском и прибылью.

0. Не существует. Полное отсутствие какихлибо процессов управления ИТ. Организация не признает существования проблем в ИТ, которые нужно решать, и, таким образом, нет никаких сведений о проблемах.

1. Начало (Анархия). Организация признает существование проблем управления ИТ и необходимость их решения. При этом не существует никаких стандартизованных решений. Существуют случайные одномоментные решения, принимаемые кем-то персонально или от случая к случаю. Подход руководства к решению ИТ-проблем хаотичен, признание существования проблем случайно и непоследовательно.

2.Повторение (Фольклор). Существует всеобщее осознание проблем управления ИТ. Показатели деятельности и ИТ-процессов находятся в развитии, охватывая процессы планирования, функционирования и мониторинга ИТ. Деятельность по управлению информационными технологиями описана и интегрирована в процесс управления организацией. Выбраны для улучшения и/или контроля те ИТ-процессы, которые влияют на основные бизнес-процессы предприятия. Эффективно выполняется планирование и управление инвестициями.

Руководство организации регламентировало меры по управлению ИТ, а также методы управления и оценки, но процесс не был принят в организации. Не существует формализованного обучения, набора взаимосвязанных стандартных процедур управления, ответственность возложена на сотрудников.

Сотрудники контролируют процессы управления с помощью проектов и ИТ-процессов. Ограниченные инструменты управления выбираются и внедряются для сбора метрик управления, но не используются в полном объеме из-за недостатков в оценке их функциональности.

3. Описание (Стандарты). Необходимость действовать в соответствии с принципами управления ИТ понимается и принимается. Развивается базовый набор показателей управления ИТ: определена связь между результатом и показателями производительности, она зафиксирована и внедрена в стратегические процессы планирования и мониторинга. Процедуры стандартизованы и документированы, проводится обучение сотрудников по выполнению этих процедур. Показатели производительности всех видов деятельности зафиксированы и отслеживаются, что приводит к повышению эффективности работы всей организации.

Процедуры не сложны, они являются формализацией существующей практики. Идеи сбалансированных карт оценки бизнеса принимаются организацией. Ответственность за обучение, выполнение и применение стандартов возложена на сотрудников организации. Анализ первопричин применяется время-от-времени. Большинство процессов управляются в соответствии с некоторыми основными метриками, и, как правило, отдельными сотрудниками, поэтому ни о каких отклонениях руководители не знают. Однако всеобщая отчетность о выполнении ключевых процессов является четкой, и руководство премирует сотрудников на основе измерения ключевых результатов.

4. Управление (Измеряемый). Существует полное понимание проблем управления ИТ на всех уровнях организации, постоянно происходит обучение сотрудников. Определены и поддерживаются в актуальном состоянии соглашения об уровне обслуживания. Четко распределена ответственность, установлен уровень владения процессами. Процессы ИТ соответствуют бизнесу и стратегии ИТ. В первую очередь улучшения в процессах ИТ основываются на измеряемых количественных показателях. Существует возможность управлять процедурами и метриками процессов, измерять их соответствие. Все совладельцы процесса осознают риски, важность ИТ и возможности, которые они предоставляют. Руководство организации определило допустимые отклонения, при которых процессы должны работать. Если процессы не работают эффективно и продуктивно, действия предпринимаются во многих (но не всех случаях). Процессы постоянно совершенствуются, их результаты соответствуют «лучшим практикам». Формализован порядок анализа первопричин. Присутствует понимание необходимости постоянного совершенствования. Ограниченно применяются передовые технологии, основанные на современной инфраструктуре и модифицированных стандартных инструментах. Все необходимые ИТ-специалисты вовлечены в бизнеспроцессы. Управление ИТ превращается в процесс уровня всей организации. Деятельность управления ИТ интегрируется в процесс управления организацией.

5. Оптимизация (Оптимизируемый). В организации существует углубленное понимание управления ИТ, проблем и решений ИТ, а также перспектив. Обучение и коммуникация поддерживаются на должном уровне, самыми современными средствами. В результате непрерывного улучшения процессы соответствуют моделям зрелости, построенным на основании «лучшей практики». Внедрение этих процедур привело к появлению организаций, людей и процессов, максимально адаптируемых к изменяющимся условиям, а также полностью соответствующих требованиям управления ИТ. Первопричины всех проблем и отклонений тщательно анализируются, по результатам анализа выполняются результативные действия. Информационные технологии интегрированы в бизнес-процессы, полностью их автоматизируют, предоставляя возможность повышать качество и эффективность работы организации.

Критические Факторы Успеха (КФУ)

Критические Факторы Успеха (КФУ) – определяют наиболее важные проблемы или действия руководителей, направленные на достижение контроля над ИТ-процессами. КФУ должны быть управляемыми, ориентированными на успех и описывать, как выполнять необходимые стратегические, технические, организационные или процедурные действия для достижения успеха.

Примеры Критических Факторов Успеха (КФУ):

• Действия по управлению ИТ интегрированы в процессы управления организации и стиль работы руководителей;
• Управление ИТ сосредоточенно на целях организации: стратегических инициативах, использовании технологий для развития бизнеса, достаточности ресурсов и удовлетворения бизнес-требований;
• Действия по управлению ИТ ясно определены, формализованы и осуществляются на основе потребностей предприятия с соответствующей отчетностью;
• Методы управления разработаны для увеличения продуктивности, оптимального использования ресурсов и увеличения эффективности ИТ-процессов;
• Организационные методы следят за окружающей средой и культурой управления; способствуют нормальному контролю; ведению стандартной практики управления рисками; определяют степень соответствия установленным стандартам; управляют и изучают недостатки и риски;
• Методы аудита определены таким образом, чтобы избежать сбоев и ошибок в системе внутреннего контроля;
• Наблюдается интеграция и развитие взаимодействия сложных ИТ-процессов, таких как управление проблемами, изменениями и конфигурациями;
• Учрежден контрольный комитет, назначающий и наблюдающий за независимым аудитом, уделяющий пристальное внимание ИТ при составлении планов аудита, а также принимающий во внимание результаты исследований сторонних организаций и аудиторов.

Ключевые Индикаторы Цели (КИЦ)

Ключевые Индикаторы Цели (КИЦ) описывают комплекс измерений, которые по факту сообщают руководству, что ИТ-процесс достиг предъявляемых бизнес-требований. КИЦ выражается в терминах информационных критериев:

• Пригодность информации, необходимой для поддержки бизнеса;
• Риски отсутствия целостности и конфиденциальности;
• Рентабельность процессов и операций;
• Подтверждение надежности, эффективности и согласованности.

Ключевыми Индикаторами Цели (КИЦ), могут быть:

• Улучшение управления производительностью и стоимостью;
• Увеличение дохода от инвестиций в ИТ;
• Сокращение времени запуска в продажу нового продукта или услуги;
• Улучшение управления качеством, новшествами и рисками;
• Соответствующая интеграция и стандартизация бизнес-процессов;
• Поиск новых и удовлетворение существующих клиентов;
• Выполнение требований и ожиданий клиента по бюджету и времени;
• Соответствие законам, инструкциям, промышленным стандартам и договорным обязательствам;
• Полное осознание меры принимаемого риска, а также соответствие уровню риска,приемлемого для данной организации;
• Эталонное тестирование зрелости управления ИТ.

Ключевые Индикаторы Результата (КИР)

Ключевые Индикаторы Результата (КИР) описывают комплекс действий, необходимых для определения, насколько ИТ-процессы достигают поставленных целей. КИР являются основными индикаторами, отображающими вероятность достижения цели. А также индикаторами, отражающими адекватность способов, методов и навыков, используемых при достижении результата.

Ключевыми Индикаторами Результата (КИР), могут быть:

• Увеличение рентабельности ИТ-процессов;
• Улучшение работы и планирования действий по совершенствованию ИТ-процессов;
• Увеличение нагрузки на ИТ-инфраструктуру;
• Повышение степени удовлетворения пользователей (опросы пользователей и количество жалоб);
• Улучшение взаимодействия и коммуникаций между руководителями ИТ и руководством организации
• Повышение производительности сотрудников (в том числе, повышение морального духа).

Обобщая вышеизложенную информацию, можно сказать следующее:

• Модели зрелости предназначены для стратегического выбора и эталонного сравнения.
• Критические Факторы Успеха (КФУ) предназначены для организации контроля ИТпроцессов.
• Ключевые Индикаторы Цели (КИЦ) предназначены для контроля достижения целей ИТ-процессов.
• Ключевые Индикаторы Результата (КИР) предназначены для контроля результатов каждого ИТ-процесса.

При возрастании роли электронного бизнеса и зависимости от информационных технологий, организации должны стремиться к увеличению статуса организации, связанного, в том числе, с повышением уровней управления и безопасности ИТ. Каждая организация должна знать свои бизнес-процессы и должна отслеживать их совершенствование. Один из путей достижения конкурентоспособного уровня управления и безопасности ИТ – это эталонное тестирование и измерение совершенствования управления ИТ по сравнению с другими организациями отрасли и стратегией организации. Принципы управления CobiT предоставляют руководителю инструмент управления ИТ, позволяя отвечать на бесконечный вопрос: «Какой уровень управления необходим ИТорганизации, насколько он соответствует целям организации?»

Управление ИТ по CobiT

1. Управление ИТ осуществляется с учетом бизнес-потребностей.

2. Для управления ИТ определены информационные критерии.

Потребности бизнеса определяются Ключевыми Индикаторами Цели, чему способствует организация постоянного контроля над всеми ресурсами ИТ. Достижение необходимого уровня контроля измеряется Ключевыми Показателями Результата, которые учитывают Критические Факторы Успеха.

Модель Зрелости используется для оценки уровня управления ИТ в данной организации – от несуществующего (самый низкий уровень) до оптимизированного (самый высокий уровень).

Для достижения пятого, «оптимизированного» уровня зрелости в управлении ИТ организация должна быть, по крайней мере, на пятом уровне в домене мониторинг и как минимум на четвертом уровне моделей зрелости для всех других доменов.

В Принципах Управления CobiT сосредоточено краткое описание Критических Факторов Успеха, Ключевых Индикаторов Цели и Ключевых Индикаторов Результата для каждого ИТ-процесса, дополняя общий подход к управлению ИТ, изложенный в Структуре CobiT.

Принципы аудита ИТ, стандарт CobiT

Принципы аудита CobiT – книга стандарта, которая в большей степени ориентирована на аудит ИТ-процессов, чем на аудит конкретных функций или приложений. CobiT состоит из высокоуровневых целей контроля (определенных для ИТ-процессов организации), которые охватывают все параметры информационных систем и применяемых информационных технологий, учитывают цикл жизни и специфические задачи, решаемые ИТ.

CobiT Advisor 3rd Edition (Audit)

Цель написания программного продукта «CobiT Advisor» – максимально облегчить проведение аудита ИТ. Основываясь на открытом стандарте CobiT, программа Advisor обновляется в соответствии с редакциями стандарта. На основании изменений и дополнений третьего издания стандарта CobiT в «CobiT Advisor» были внесены соответствующие изменения. Программный продукт был дополнен 16 новыми объектами контроля и новыми формами отчетов. «CobiT Advisor» представляет собой базу данных Foxpro, структурированную в соответствии с 34 процессами и 318 объектами контроля стандарта CobiT, которая позволяет хранить, обрабатывать и предоставлять информацию о результатах проведения аудита в форме отчетов в различных форматах (например, MS Word, Excel).

Одним из типовых отчетов являются модели зрелости, которые можно построить как для каждого процесса управления ИТ, так и для совокупной модели зрелости всех ИТ-сервисов организации (рис. 7).

Этика аудитора ИТ

Для обеспечения высокого качества оказания услуг, обеспечения профессионализма аудиторов ИТ и разрешения сложных этических ситуаций, возникающих в процессе аудита ИТ, ассоциация ISACA определила основные требования к аудитору ИТ. Они описаны в «Этическом кодексе аудитора».

Этический кодекс аудитора (Ассоциация ISACA)

1. Содействовать приведению информационных систем в соответствие с принятыми стандартами и руководствами;

2. Осуществлять свою деятельность в соответствии со стандартами в области аудита информационных систем, принятыми THE INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA);

3. Действовать в интересах работодателей, акционеров, клиентов и общества в старательной, лояльной и честной манере;

4. Сознательно не принимать участия в незаконной, либо недобросовестной деятельности;

5. Сохранять конфиденциальность информации, полученной при выполнении своих должностных обязанностей;

6. Не использовать конфиденциальную информацию для получения личной выгоды и не передавать ее третьим лицам без разрешения ее владельца;

7. Выполнять свои должностные обязанности, оставаясь независимым и объективным;

8. Избегать деятельности, которая ставит под угрозу независимость аудитора;

9. Поддерживать на должном уровне свою компетентность в областях знаний, связанных с проведением аудита информационных систем, принимать участие в профессиональных мероприятиях;

10. Проявлять добросовестность при получении и документировании фактографических материалов, на которых базируются выводы и рекомендации аудитора;

11. Информировать все заинтересованные стороны о результатах проведения аудита;

12. Способствовать повышению осведомленности руководства организаций, клиентов и общества в вопросах, связанных с проведением аудита информационных систем;

13. Соответствовать высоким этическим стандартам в профессиональной и личной деятельности;

14. Совершенствовать свои личные качества.

Структура принципов аудита CobiT

Для каждого ИТ-процесса, определенного CobiT, в Принципах аудита представлена следующая информация.

Секция высокого уровня принципов аудита CobiT отражает:

• Название бизнес-процесса;
• Требования бизнеса (Объекты контроля высокого уровня);
• Как осуществлять контроль;
• Что учитывать.

Для перехода на уровень детального аудита ИТ-процесса:

• Детальные объекты контроля;
• Как понять ИТ-процесс (кому задавать вопросы);
• Как оценить контроль ИТ-процесса;
• Как оценить соответствие этого контроля – управлению;
• Как доказать риск не выполнения целей управления.

На практике при проведении аудита для каждого ИТ-процесса ИТ-аудитору, как минимум необходимо выполнить следующую работу:

1. Определить высокоуровневый объект контроля;

2. Определить ИТ-процесс;

3. Проанализировать границы аудита;

4. Определить детальные объекты контроля; 5. Провести интервью с сотрудниками (ориентировочные названия должностей для каждого объекта контроля приведены в принципах управления);

6. Назначить задания на оценку средств контроля (Принято ли во внимание …);

7. Оценить соответствие;

8. Проверить доказательства.

Область охвата CobiT

В силу объективных причин у каждого из ИТспециалистов разное образование, подготовка и опыт в сфере информационных технологий. Зачастую мы используем разные термины для описания одних и тех же событий, происходящих в информационной системе. На практике это приводит к недопониманию распоряжений руководства, выполнению излишней, ненужной работы, что, в свою очередь, мешает работе и сказывается на эффективности деятельности организации. Типичный пример, когда головной офис располагается в Москве, а офисы организации разбросаны по всей стране, и отчеты ИТслужб с мест приходят в головной офис в виде, не поддающемся анализу. Руководители компаний пытаются решить эти и подобные проблемы доступными способами, самые популярные из которых – совещания по обмену опытом, дополнительное обучение и повышение квалификации сотрудников.

CobiT, в свою очередь, является своеобразной платформой для конструктивного диалога между всеми участниками процесса, формализуя через термины и определения общение между:

1. Топ-менеджерами;

2. Руководителями среднего звена (ИТ – директором, начальниками отделов);

3. Непосредственными исполнителями (инженерами, программистами и т.д.);

4. Внутренними и внешними аудиторами;

5. Подрядчиками работ.

CobiT предоставляет всем сотрудникам организации единую терминологию в сфере ИТ, гарантируя возможность общения на «одном языке», в частности, при открытии проектов, описании проблем и инцидентов и т.д. Облегчая управление и контроль, предоставляя компетентные однозначные ответы на вопросы, в том числе при внешних проверках.

Рассмотрим, каким образом стандарт CobiT может быть применен в повседневной деятельности организации? Рассмотрим организацию, которая ставит перед собой цель: «предоставлять на рынке собственные услуги при максимально высоком качестве». Для достижения этой цели организация формализовала свою деятельность в соответствии с рекомендациями набора стандартов ISO 9000, ISO/IEC TR 15504 SPICE и т.п. Допустим, что подавляющее большинство бизнес-процессов организации соответствует положениям ISO 9000, внедрение стандарта управляется и поддерживается высшим руководством организации. Как и у любого стандарта, предполагающего собственное внедрение, ISO 9000 запускает механизмы контроля и управления, но это механизмы контроля и управления бизнес-процессами организации. Вопросы же, связанные с ИТ, рассматриваются как неотъемлемая часть бизнес-процессов организации. Но при этом выделить ИТ-составляющую из общего результата достаточно проблематично, и, как следствие, на базе подобной информации затрудняется управление ИТ-составляющей.

Рассмотрим рисунок, иллюстрирующий процессы управления и аудита (Рис. 8).

Проведение аудита ИТ по стандарту CobiT представлено в левой части рисунка. Объекты контроля располагаются в соответствующих фазах бизнес-процессов, которые могут быть формализованы с соблюдением требований стандартов, предоставляя информацию с каждого объекта контроля на более высокий уровень. Рассматривая бизнес-процессы организации мы подразумеваем, что они могут быть созданы по стандартам качества или без них. Собираемая информация объединяется в высокоуровневые объекты контроля, которые затем сводятся в четыре домена CobiT. Оценка организации выводится на шкале модели зрелости организации, и лицу, принимающему решения, гарантируется возможность оценки текущего состояния ИТ в организации, сравнения с требованиями международных стандартов, а также с «лучшей» практикой и стратегией организации в той же отрасли.

Процессы управления схематично отражены в правой половине рисунка. По результатам проведенного обследования руководитель анализирует нужды и требования бизнес-процессов к ИТ, переходя тем самым к управлению. При этом необходимо принимать во внимание тот факт, что невозможно управлять организацией в соответствии с положениями стандарта CobiT (при этом не проводя аудит в соответствии с CobiT), который позволяет получить в достаточном объеме необходимую и достоверную информацию для принятия решений и наоборот. Таким образом, оба эти процесса должны осуществляться в соответствии с рекомендациями CobiT.

Для надлежащего управления ИТ по CobiT требуется информация, представляемая в соответствии с рекомендациями стандарта, а хотя аудит по CobiT проверяет информационные технологии организации на соответствие рекомендациям CobiT, наиболее существенную роль играет при этом интерпретация результатов. Таким образом, выпадение одного из звеньев из этой цепочки снижает уровень достоверности полученной информации и эффективности ее дальнейшего использования.

Взаимосвязь CobiT и других требований и стандартов

Открытый стандарт CobiT имеет свою нишу в общем комплексе стандартов, методик и руководств. Прежде всего, это стандарт управления и аудита ИТ. На что следует резонный вопрос, но, например, ITIL тоже содержит рекомендации по управлению ИТ-услугами, как они пересекаются? ITIL – библиотека лучшего практического опыта в части предоставления ИТ-услуг, а CobiT специализируется и на управлении и на

аудите ИТ. Процессы ITIL, как и любые другие процессы, могут управляться и контролироваться стандартом CobiT.

Повторюсь, что для управления предназначены цели управления, изложенные в Принципах управления, а для аудита – объекты контроля, изложенные в Принципах аудита. На рисунке это разделение представлено схематично (рис. 9).

Как следует из рисунка, CobiT предоставляет топ-менеджерам возможность донести цели и задачи бизнеса до руководителей ИТслужб, преобразовав стратегические и тактические планы организации в четкие и понятные планы развития ИТ. Руководители ИТ-служб, в свою очередь, управляют руководителями подразделений на основе полученных указаний в соответствии с CobiT. Методология ITIL применяется для оптимизации процесса обслуживания информационных систем с точки зрения управления. Если процессы предоставления и поддержки ИТ услуг (ITIL) в организации не внедрены, то Cobit предоставляет механизмы управления и на этом уровне. При этом CobiT можно применить в части управления эксплуатацией информационной системой, но только в качестве инструмента общего управления и контроля. Здесь необходимо учитывать, что CobiT не предоставляет инструментов для управления или аудита аппаратно-программного обеспечения конкретных фирм производителей. Так, например, аудит программного обеспечения Microsoft должен выполняться в соответствии с методиками, разработанными Microsoft, и на соответствие требованиям Microsoft, но результаты подобной проверки могут и должны быть использованы в процессах CobiT. Так очень схематично можно определить место и роль CobiT в части управления ИТ.

Итак, ИТ-аудиторы собирают, анализируют информацию и предоставляют отчеты и заключения руководителям организации в соответствии с руководством аудитора CobiT (объекты контроля, «размещенные» в соответствии с рекомендациями CobiT). Основываясь на аудиторских оценках и заключениях о степени достижения целей управления, руководители организации обоснованно, с точки зрения соответствия ИТ целям и задачам бизнеса, осуществляют управление процессами организации для реализации ее бизнес-целей.

Практические рекомендации

Как уже говорилось выше, главной связующей нитью между аудитом и управлением являются полученные результаты аудита, на основе которых в дальнейшем создается система управления. Результаты должны оформляться в виде отчета, минимальный перечень разделов которого приведен ниже:

1. Общий раздел.

2. Описание текущей ситуации.

3. Выводы и заключения.

4. Рекомендации.

5. Приложения, в которые включаются документы, результаты интервью и другая фактическая информация, на которой базируются заключения и рекомендации.

Содержание отчетов может варьироваться в зависимости от уровней предоставления информации:

1. «Резюме для руководителей» – резюме по результатам аудита объемом в 1-3 страницы, содержащих краткую оценку текущей ситуации, основные рекомендации с указанием ожидаемого эффекта, сопутствующие риски и указание ориентировочной стоимости. Документ предоставляется высшему руководству на уровне генерального директора, финансового директора, исполнительного директора.

2. «Общий» – полный отчет, созданный по результатам проведенного ИТ-аудита. Должен включать, как минимум, следующие разделы: описание текущей ситуации, выводы и заключения, рекомендации (детальные). Документ предоставляется менеджерам среднего звена.

В западной практике результатом аудита считается заключение аудиторской организации, на основании которого консультанты из этой же или другой фирмы, подготавливают рекомендации, направленные на повышение таких показателей организации, как эффективность, производительность, экономичность, качество и т.п. На российском рынке ИТ-консалтинга Заказчик в большинстве случаев требует от подрядчика (в основном от аудиторской компании) не только заключения и рекомендаций, но и их реализации, хотя бы до стадии проведения тендеров на поставку оборудования или услуг.

Преимущества проведения регулярного аудита

На практике в большинстве организаций необходимый уровень управления обеспечивается внутренней иерархией: вершину дерева занимает лицо, принимающее решение, например, генеральный директор, консультант по ИТ, директор департамента ИТ. Управление осуществляется через менеджеров среднего звена (руководителей департаментов, отделов, рабочих групп, менеджеров проектов). Контроль выполнения руководящих указаний обеспечивается формальными отчетами о проделанной работе, при этом полнота и объективность отчетов остается на совести исполнителей работ. Одним из решений задач управления и контроля в сфере информационных технологий организации является создание собственного подразделения внутреннего аудита ИТ.

Основным преимуществом регулярного проведения аудита является накопление знаний организации, создание собственной базы знаний, которая позволит быстро и достоверно ответить на большинство вопросов, возникающих в организации.

Внутренний аудит предоставляет отчеты и информацию по запросу в любое время, а внешний (сторонние аудиторы) – лишь после заключения и соблюдения договорных обязательств. Построение и поддержка актуальности базы знаний об ИТ-организации позволит обеспечить прозрачность ИТ-служб, организовать эффективное взаимодействие служб ИТ, эффективно управлять ИТ.

Таким образом, делая выбор, базирующийся на возможностях и целях организации, придется выбирать между подрядом внешней команды с расчетом на долгосрочное сотрудничество или лишь для проверки результатов «первичного» аудита, который в дальнейшем попадает в сферу компетенции внутренней аудиторской службы. То есть сторонние аудиторы, проводя первичный аудит, позволяют руководителям, в том числе и с точки зрения временного задела, сконцентрировать усилия на создании высокопрофессиональной службы внутренних аудиторов к моменту сдачи результатов проверки.

Как мы уже выяснили, «первичный» аудит отличается от последующих относительной сложностью и большим объемом собираемой и анализируемой информации. Руководитель организации, заказавший аудит ИТ у внешней аудиторской компании, должен понимать, что через полгода-год (в зависимости от динамики развития) ситуация в организации изменится, результаты аудита потеряют свою актуальность.

«Первичный» аудит – термин не общепринятый, но все же, это состояние, когда информация об ИТ-организации собирается впервые.

Если в этот момент не провести повторный аудит для сравнения с предыдущими результатами, то деньги, вложенные в «первый» аудит, можно считать потерянными и придется проводить «первичный» аудит заново.

Идеальная ситуация, когда аудит и управление выполняются по CobiT, предоставляя лицу, принимающему решение, полнофункциональный инструмент управления и контроля над ИТ организации, но на практике мы сталкиваемся с отсутствием формального управления.

В этом случае требуется дополнительная предварительная работа, направленная на описание производственных процессов организации.

Причины постановки управления и проведения аудита ИТ

Аудит ИТ проводят для того, чтобы оперативно получать систематизированную и достоверную информацию для оценки ИТ, принятия решения, управления ИТ.

Результаты аудита ИТ позволяют:

1. Оценить соответствие ИТ требованиям бизнеса

• Выявить недостатки и упущения;
• Обосновать инвестиции в ИТ.

2. Прогнозировать развитие ситуации

• Эффективно планировать развитие ИТ-организации;
• Понимать выгоды и риск при внесении изменений в информационную систему;
• Прогнозировать возникновение проблемных ситуаций (проблем и инцидентов).

3. Принимать решения

• Обоснованно решать проблемы безопасности и контроля;
• Обоснованно приобретать или модернизировать аппаратно-программные средства;
• О приобретении услуг (outsourcing);
• Планировать повышение квалификации сотрудников ИТ-подразделений.

4. Контролировать исполнение решений

• Управлять ИТ составляющей проектов (контролировать время и стоимость их реализации, оценивать полноту достижения целей);
• Контролировать стоимость владения ИС.

Причины применения стандарта CobiT для управления и аудита ИТ

После проведения ИТ-аудита с использованием принципов аудита, изложенных в CobiT, организация получит возможность:

1. Оценить степень соответствия ИТ-организации требованиям бизнеса.

2. Определить приоритеты основных ИТ-процессов.

3. Выявить критически важные элементы ИТ. 4. Выявить и оценить факторы риска.

5. Определить степень адекватности мер, принимаемых для управления рисками.

6. Оценить степень защищенности компании от чрезвычайных происшествий и их последствий.

7. Реализовать рекомендации по обеспечению бесперебойности функционирования ИТ.

8. Создать план работ по устранению недостатков и разработать способы их устранения.

Кроме того, управление и аудит в соответствии со стандартом CobiT предоставляет организации следующие дополнительные преимущества:

1. Возможность получения результата в сравнительно короткие сроки.

2. Гарантия того, что при проведении аудита ничто не будет забыто: стандарт охватывает все уровни ИТ.

3. После проведения «первичного» аудита производится наполнение информационной базы, что делает процессы проведения последующих проверок проще, легче и, как следствие, дешевле.

4. CobiT как инструмент управления остается и внедряется в организации, автоматически переводя ее на уровень управления, сопоставимый, как минимум, со 2 уровнем модели зрелости CMM, несмотря на то, что достижение уровней зрелости не является прямой целью аудита – это специфические задачи бизнес-консалтинга.

Предложение услуг по ИТ аудиту на Российском рынке

На Российском рынке в настоящее время, в части предложения услуг по проведению ИТ-аудита, очень условно можно выделить следующие виды:

• Обследование ИТ, частный случай это обычная инвентаризация – сбор информации, которая будет использоваться для проведения последующих работ, например, проектных работ, когда требуется грамотно собрать достоверную информацию о текущем состоянии ИТ. Основную роль здесь играет сбор и структуризация информации, анализ и оценка не производится.

• Экспертная оценка ИТ – оценка ИТ-проектов (проектных решений), оценка правильности (обоснованности) инвестиций в ИТ, сколько стоит ИТ-составляющая организации, не только балансовая стоимость компьютеров и программ, но и долгосрочность примененных проектных решений, оценка текущих ИТ-проектов, возможность перепрофилирования существующей ИТ-инфраструктуры под решение качественно других задач, организация эксплуатации ИТ, подготовка пользователей. Мы не говорим об возврате инвестиций, это тема отдельного исследования, мы говорим об оценки адекватности финансирования проектных решений, инвестиций в закупку оборудования и ИТ-услуг. Большинство современных компаний строят свой бизнес, взаимодействуют с клиентами и партнерами с широким применением информационных технологий. Однако существующие в настоящее время методики оценки предприятий сведены к экспертным заключениям о денежных потоках, материальных активах, финансовых показателях текущей деятельности и т.д., практически не учитывая совокупной стоимости и значимости для бизнеса информационных ресурсов предприятия.

• Технический аудит ИТ – сбор, анализ информации и выдача рекомендаций по улучшению работы отдельного элемента ИТ-инфраструктуры. Характерные особенности – малый масштаб работы («железка» с ее входами-выходами) и узкая прикладная специализация исследования, можно сказать что это «штучная» работа, для каждого конкретного случая.

• Аудит ИТ бизнес-процесса – Аудит информационных технологий, поддерживающих определенный (выделенный или заданный) бизнес-процесс организации на соответствие заданным (или разработанным) критериям оценки. Для проведения подобного аудита необходимо определить ответственного за процесс, пользователей и участников, выявить применяемое оборудование и программы, обслуживающий персонал, проектные и регламентирующие документы. На базе собранной информации построить модель, с указанием мест взаимодействия (стыка) с другими бизнес-процессами.

• Аудит критерия ИТ– сбор, анализ информации и выдача рекомендаций по какому-то выбранному критерию ИТ: безопасность, производительность, надежность, доступность и т.д. При проведении аудита по определенному критерию оценки мы говорим не только об отдельном элементе ИТ-инфраструктуры, но и обо всей совокупности программных, аппаратных средств, процессов их сопровождения и обслуживания во всей проверяемой организации.

• Комплексный аудит ИТ. Руководство должно знать и иметь возможность оценить все, что происходило и происходит в ИТ-организации, сравнить адекватность ИТ-потребностям бизнеса. Иначе говоря, прогнозировать развитие организации и соизмерять его с текущим состоянием и перспективами развития ИТ. В результате получается сложная многомерная матрица взаимосвязей бизнеспроцессов, их требований, информационных и смежных технологий, совокупности программно-аппаратных средств их возможностей/ограничений и многого другого должна быть представлена в виде простого и понятного образа, при этом сохранив достоверность информации. Информации об успешной реализации таких проектов в России очень мало, потому что, прежде всего, это требует объединения ресурсов различных компаний и организации единой коллективной работы.

Приведенная классификация, является условной, автор будет благодарен за любые отзывы о ней как ИТ-специалистов, маркетологов, так и других заинтересованных лиц.

Заключение

Перефразируя утверждение, что «у каждой бумаги должны быть ноги», можно сказать, что у каждого стандарта должна быть голова. CobiT не является исключением, именно его переосмысление и адаптация под нужды каждого конкретного Заказчика, будь то ИТ-руководитель, внешний или внутренний аудитор, либо консультант – это большая ежедневная работа.

Термины и определения

Аудит – Что такое аудит? Что под этим термином понимается? Определений как таковых много, на мой взгляд, наиболее лаконичным и верным по сути является трактовка Комитета Американской бухгалтерской ассоциации по основным концепциям учета: «Аудит — это системный процесс получения и оценки объективных данных об экономических действиях и событиях, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заинтересованным пользователям…».

В данном случае для осознания, что есть такое аудит ИТ, необходимо лишь изменить обозначенную в приведенном выше определении область применения, экономическую на интересующую нас сферу информационных технологий. Таким образом, Аудит ИТ — системный процесс получения и оценки объективных данных о текущем состоянии информационной системы, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенным критериям и предоставляющий результаты Заказчику.

Стандарт аудита – нормативно-технический документ (или эталон, модель, которая является отправной точкой), устанавливающий комплекс требований и правил к объекту аудита, квалификации исполнителей, организации аудита, методическим приемам анализа документации и представлению аудиторского заключения в предметной области и т.д.

Методика аудита – совокупность теоретических и практических способов проведения аудита, разработанные аудитором на базе стандартизированных правил и норм проведения аудита в предметной области, в определенной степени, на основе личного профессионального опыта.

Информационно-коммуникационные технологии (определение Информационного общества www.iis.ru) – совокупность методов, производственных процессов и программнотехнических средств, интегрированных с целью сбора, обработки, хранения, распространения, отображения и использования информации в интересах ее пользователей.

Каждое предприятие осуществляет определенную деятельность, направленную на достижение своих стратегических целей и удовлетворение потребностей. Любую деятельность можно разбить на функционально законченные процессы (для коммерческих предприятий – бизнес процессы). В качестве ключевых обычно выделяют: производство, сбыт, продвижение продукции, управление и другие процессы, типичные для большинства предприятий. Роль информационных технологий (ИТ) заключается в поддержке деятельности предприятия. ИТ должны обеспечить выработку правильного управленческого решения в каждой конкретной ситуации, т. е. в нужное время, в нужном месте и в нужном объеме дать достоверную информацию, необходимую для принятия управленческого решения.

Смежные технологии – смежные с ИТ сферы деятельности: инженерные системы (например, концепция интеллектуального здания, включающая в себя гарантированное электропитание, кондиционирование, водоснабжение и т.д.). Технологии, не относящиеся к информации, но являющиеся критически важными для нее это пример, знакомый страховщикам, – выплата страховки за страховой случай, связанный с пожаром или затоплением серверной. На данный момент практически все компании, предлагающие комплексные ИТ решения обладают наряду с лицензиями на осуществление оценочной и аудиторской деятельности еще и лицензиями на строительство и проектирование зданий и сооружений. Что само иллюстрирует неразрывную связь между указанными технологиями.

Информационные системы (определение Информационного общества www.iis.ru) – организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.

Глоссарий

Одним из недостатков на российском ИТ рынке является отсутствие единой терминологической базы, чтобы точно обозначить термины, взятые мной из первоисточников, привожу краткий глоссарий примененный к ключевым терминам данной статьи.

IT Governance Institute – Институт Управления ИТ

Information and related Technology – Информационные и смежные Технологии

high-level approach – высокоуровневый подход Maturity Models – Модели Зрелости

Critical Success Factors (CSFs) – Критические Факторы Успеха (КФУ)

Key Goal Indicators (KGIs) – Ключевые Индикаторы Цели (КИЦ)

Key Performance Indicators (KPIs) – Ключевые Индикаторы Результата (КИР)

Networking – сеть организации (ЛВС) management of IT related risks – Управление сопутствующими рисками в ИТ enterprise governance – управление предприятием

IT governance – управление ИТ

Dashboards – инструментальная панель Scorecards – карты оценок

Balanced Business Scorecard – Сбалансированные карты оценки бизнеса

Measures – единицы измерения Benchmarking – эталонное тестирование Scale for comparison – шкала сравнения Effectiveness – Эффективность Efficiency – Продуктивность Confidentiality – Конфиденциальность Integrity – Целостность

Availability – Пригодность

Compliance – Согласованность Reliability – Надежность

Cost-efficiency – рентабельность

Книги CobiT

Executive Summary – Резюме для руководителей

CobiT Framework – Структура CobiT

Control Objectives – Объекты Контроля Management guidelines – Принципы управления

Audit guidelines – Принципы аудита

Источники информации и полезные ссылки

«The Balanced Business Scorecard — Measurements that Drive Performance,» Robert S. Kaplan and David P. Norton, Harvard Business Review, January-February 1992

«Capability Maturity ModelSM for Software,» Version 1.1. Technical Report CMU/SEI-93-TR024, Software Engineering Institute, Carnegie Mellon University, Pittsburgh, PA, February 1993

http://www.isaca.org

http://www.pinkelephant.org

http://www.isaca.ru

http://itsm.itpark.ru/

http://www.methodware.com

http://krilov.lib.ru

What is COBIT?

COBIT is an IT management framework developed by the ISACA to help businesses develop, organize and implement strategies around information management and governance.

First released in 1996, COBIT (Control Objectives for Information and Related Technologies) was initially designed as a set of IT control objectives to help the financial audit community better navigate the growth of IT environments. In 1998, the ISACA released version 2, which expanded the framework to apply outside the auditing community. Later, in the 2000s, the ISACA developed version 3, which brought in the IT management and information governance techniques found in the framework today.

COBIT 4 was released in 2005, followed by COBIT 4.1 in 2007. These updates included more information regarding governance surrounding information and communication technology. In 2012, COBIT 5 was released and in 2013, the ISACA released an add-on to COBIT 5, which included more information for businesses regarding risk management and information governance.

The ISACA announced an updated version of COBIT in 2018, ditching the version number and naming it COBIT 2019. This updated version of COBIT is designed to constantly evolve with “more frequent and fluid updates,” according to the ISACA. COBIT 2019 was introduced to build governance strategies that are more flexible, collaborative and address new and changing technology.

What’s in COBIT 2019?

COBIT 2019 updates the framework for modern enterprises by addressing new trends, technologies and security needs. The framework still plays nicely with other IT management frameworks such as ITIL, CMMI and TOGAF, which makes it a great option as an umbrella framework to unify processes across an entire organization.

New concepts and terminology have been introduced in the COBIT Core Model, which includes 40 governance and management objectives for establishing a governance program. The performance management system now allows more flexibility when using maturity and capability measurements. Overall, the framework is designed to give businesses more flexibility when customizing an IT governance strategy.

Like other IT management frameworks, COBIT helps align business goals with IT goals by establishing links between the two and creating a process that can help bridge a gap between IT — or IT silos — and outside departments.

One major difference between COBIT and other frameworks is that it focuses specifically on security, risk management and information governance. This is emphasized in COBIT 2019, with better definitions of what COBIT is and what it isn’t. For example, ISACA says COBIT 2019 isn’t a framework for organizing business processes, managing technology, making IT-related decisions, or determining IT strategies or architecture. Rather, it’s designed strictly as a framework for governance and management of enterprise IT across the organization. That’s better clarified for businesses in the updated version, so there’s less confusion about how COBIT should be used and implemented.

COBIT 2019 goals

According to the ISACA, COBIT 2019 was updated to include:

• Focus areas and design factors that give more clarity on creating a governance system for business needs
• Better alignment with global standards, frameworks and best practices to bolster the framework’s relevance
• An open-source model that allows for feedback from the global governance community to encourage faster updates and enhancements
• Regular updates released on a rolling basis
• More guidance and tools to support businesses when developing a “best-fit governance system, making COBIT 2019 more prescriptive”
• A better tool to measure performance of IT and alignment with the CMMI
• More support for decision making including new online collaborative features

COBIT 2019 also introduces “focus area” concepts that describe specific governance topics and issues, which can be addressed by management or governance objectives. Some examples of these focus areas include small and medium enterprises, cybersecurity, digital transformation and cloud computing. Focus areas will be added and changed as needed based on trends, research and feedback – there’s no limit for the number of focus areas that can be included in COBIT 2019.

COBIT 2019 components

• COBIT 2019 Framework: Introduction and methodology: The main guide that introduces the basic COBIT principles alongside the structure of the overall framework.
• COBIT 2019 Framework: Governance and management objectives: A companion guide that dives into the COBIT Core Model and 40 governance and management objectives. Each objective is described including its purpose, how it connects with the enterprise and how it aligns goals.
• COBIT 2019 Design Guide: A companion guide that offers in-depth guidance for developing a uniquely tailored governance system for your organization.
• COBIT 2019 Implementation Guide: The fourth companion guide in the framework, which guides businesses through implementing the governance strategy once it’s developed. This includes best practices, ways to avoid pitfalls and how to integrate your COBIT 2019 strategy with your COBIT 5 strategy.

COBIT principles and benefits

One major change to COBIT 2019 is that it now encourages feedback from the practitioner community. You will be able to purchase the COBIT 2019 Design Guide, but in early 2019 the ISACA will also release a crowdsourced version of COBIT where practitioners can leave comments, suggest improvements or propose new concepts and ideas.

COBIT 2019 is designed to be more prescriptive to guide companies in developing a governance strategy, while also allowing organizations to more comfortably tailor a unique best-fits governance strategy. It defines the “components to build and sustain a governance system: processes, policies and procedures, organizational structures, information flows, skills, infrastructure, and culture and behaviors,” according to the ISACA. Formerly referred to as “enablers” in COBIT 5, these components better define what businesses need for a strong governance system.

According to the ISACA, COBIT 2019 best suits clients that use multiple frameworks — such as ITIL, ISO/IEC 2000 and CMMI — with certain silos within IT using their own framework or standard. It’s also well suited to organizations that are required to follow specific regulatory guidelines from the government and local authorities.

The COBIT 2019 framework helps businesses align existing frameworks in the organization and understand how each framework will fit into the overall strategy. It can also help businesses monitor the performance of these other frameworks, especially in terms of security compliance, information security and risk management.

It’s also designed to give senior management more insight into how technology can align with organizational goals. You can directly map pain points in the business to certain aspects of the framework, emphasizing the need for “control-driven IT,” according to the ISACA. The framework gives CIOs and other IT executives a way to demonstrate the ROI on an IT project and how it will help reach key business objectives.

COBIT certification

If you’re already certified in COBIT 5 through ISACA or in the middle of getting your certification, the ISACA will continue to support the accreditation and delivery of COBIT 5 training and certifications and it will “continue to live alongside COBIT 2019 training.” 

Certifications for COBIT 2019 include:

• COBIT Bridge Workshop: a one-day course that covers the concepts, models and key definitions in COBIT 2019 with a heavy focus on the differences between COBIT 5 and COBIT 2019.
• COBIT 2019 Foundation exam: prepares attendees for the COBIT 2019 foundation certificate exam, covering the “context, components, benefits and key reasons COBIT is used as an information and technology governance framework.” You’ll be able to earn your certificate in COBIT 2019 foundations after a two-day course.
• COBIT 2019 Design and Implementation exam: this certification will launch in April 2019 and will cover designing a tailor-made best-fit governance system using COBIT.

As of this writing, this is the only available information on the COBIT 2019 certification scheme, but the ISACA notes that the “COBIT 2019 product family and training is open ended. ISACA will continue to evaluate the development of future training modules based on feedback and market need.”

For more IT management certifications, see «10 IT management certifications for IT leaders.»

Не секрет, что информация в современном мире играет ключевую роль и является самым ценным активом для любой организации. Стоимость информации и ее качество стали ключевыми факторами бизнеса. Согласно оценке Brookings Institute, 15 % рыночной стоимости организации находится в материальных активах, и 85% — в нематериальных, большая часть которых является информацией. Вместе с ростом ценности и значимости информации, возникла необходимость эффективного управления информационными технологиями. Если раньше бизнес не задумывался о роли и ценности ИТ-области, то теперь он хочет наладить взаимодействие, понять, какую пользу может принести ИТ и что он, бизнес, может сделать, чтобы содействовать развитию ИТ. При этом возникает необходимость в систематизации накопленных знаний, создании системы принятия решений и контроля. Перед руководством встает вопрос о выборе методологии, в соответствии с которой будут организованы основные процессы ИТ. В настоящее время существует множество стандартов и методологий, посвященных вопросам управления ИТ. Этот курс посвящен методологии COBIT, созданной организацией ISAСA. Ассоциация Аудита и Контроля Информационных Систем (ISACA) была основана в 1969 году для финансовых аудиторов в контроле ИТ. В настоящее время организация занимает одну из лидирующих ролей в области разработки стандартов по аудиту ИТ.

Control Objectives for Information and Related Technology (COBIT) представляет собой набор открытых документов, около 40 международных стандартов и руководств в области управления ИТ, аудита и информационной безопасности. Буквально на русский язык COBIT переводится как «Контрольные Объекты для Информационных и смежных Технологий», но в некоторых изданиях встречается более привычный для русского уха «Цели контроля для информационных и смежных технологий».

Вот как говорит о своей миссии сам COBIT:»Исследование, разработка, публикация и продвижение авторитетной, современной, международно-признанной методологии корпоративного управления в сфере ИТ, предназначенной для внедрения в организациях и повседневного использования бизнес менеджерами, специалистами в сфере ИТ и аудиторами».

Итак, основной целью COBIT является управление ИТ. Управление ИТ в свою очередь является неотъемлемой частью корпоративного управления. Корпоративное управление – комплекс управленческих решений и практик, применяемых высшим руководством с целью:

• определения стратегического направления;
• обеспечения достижения целей;
• адекватного управления рисками;
• эффективного использования корпоративных ресурсов.

Корпоративное управление и управление ИТ требуют баланса между целями, связанными с необходимостью соответствия требованиям и повышения эффективности, установленными высшим руководством. Ответственность за корпоративное управление лежит на Совете директоров и высшем руководстве.

В COBIT используется термин заинтересованные стороны. В первую очередь к ним относятся:

• Совет директоров и высшее руководство – определение направлений развития ИТ, оценка результатов и требования по исправлению недостатков;
• Руководители бизнес-подразделений – определение бизнес-требований к ИТ, обеспечение достижения пользы от ИТ и управление рисками;
• Руководство ИТ-служб – обеспечение и совершенствование ИТ-услуг в соответствии с требованиями бизнеса;
• Внутренний аудит/Служба внутреннего контроля (СВК)/ИТ-аудит – обеспечение независимой оценки, что ИТ предоставляет требуемые услуги;
• Управление рисками и Compliance – оценка соответствия нормативным документам с учетом рисков.

Ключевым понятием COBIT является сервис или услуга. Что же это такое? Сам COBIT ответа на этот вопрос не дает, а лишь приводит примеры. Предоставление доступа в Интернет или защищенного хранилища информации является услугой. Возьмем определение из публикаций ITIL, которые также посвящены управлению услугами. Услуга или сервис (от англ. service) – способ предоставления ценности заказчикам через содействие им в получении результатов на выходе, которых заказчики хотят достичь без владения специфическими затратами и рисками. Предоставление услуг является сложной и нетривиальной задачей, которая требует в первую очередь системы внутреннего контроля.

Основные принципы COBIT:

• цели ИТ должны соответствовать целям бизнеса;
• использование процессного подхода;
• система контроля ИТ должна быть избирательной, то есть определять основные ресурсы ИТ и работать с ними;
• цели контроля должны быть четко определены.

Современный подход к управлению услугами делает упор на взаимодействие бизнеса и ИТ. Раньше бизнес зачастую воспринимал ИТ-область как нечто несущественное и не требующее особого внимания. Теперь, когда от информационных технологий напрямую зависит прибыль компании, руководство хочет понять, какую пользу может принести ИТ, какие средства необходимо в нее инвестировать и как можно проконтролировать и измерить результаты. В свою очередь ИТ должна быть ориентирована, прежде всего, на потребности бизнеса, а не руководствоваться только своими целями и возможностями. Подводя итог, мы приходим к пониманию первого принципа COBIT – цели бизнеса и ИТ должны быть взаимосвязаны, но лидером этих «отношений» являются цели бизнеса.

Второй принцип – использование процессного подхода. COBIT выделяет 34 ИТ-процесса, которые объединяются в четыре домена. Такая структура позволяет систематизировать область и обеспечить организацию информации, необходимой для достижения ее бизнес-целей.

Принцип ранжирования ресурсов понятен. Не стоит следить за всеми ресурсами, а только за теми, которые влияют на бизнес-процессы и их результаты.

Определение целей, пожалуй, является одной из самых сложных и важных задач. В глобальном смысле руководство и менеджеры преследуют две цели – достижение поставленных бизнес-целей и предотвращение нежелательных событий ( или исправление их последствий). Например, инвестирование средств в систему резервного копирования никак не поможет напрямую бизнесу, то есть не принесет ему непосредственной выгоды. Но оно сможет помочь в случае сбоя для быстрого восстановления информации и нормального функционирования. Другой немаловажный вопрос для руководства – где необходимы улучшения, сколько нужно в них инвестировать и как измерить результат? COBIT дает руководству ИТ методологию для поиска ответов на указанные вопросы.

Ключевой составляющей управления ИТ является оценка процесса на основе предлагаемых COBIT моделях зрелости.

COBIT выделяет следующие ключевые области управления ИТ (рис.1.1):

• Соответствие стратегии обеспечивает связь бизнеса и ИТ, их соответствие друг другу;
• Полезность отвечает за реализацию того, что может принести ценность бизнесу, контроль за тем, чтобы ИТ обеспечивала определенные стратегией преимущества, оптимизацию затрат и подтверждение подлинной ценности ИТ.
• Управление ресурсами отвечает за управление критичными ИТ-ресурсами, оптимизацию инвестиций и должное руководство приложениями, информацией, инфраструктурой и персоналом.
• Управление рисками требует осведомленности высшего руководства в области рисков, четкого понимания корпоративного подхода в их отношении, соответствия требованиям прозрачности в отношении существенных рисков, включения функции управления рисками в практику организации.
• Оценка эффективности отвечает за контроль над реализацией стратегии, планов, использованием ресурсов и эффективностью процессов.

COBIT предназначен для:

• высшего руководства и Совета директоров;
• Бизнес и ИТ-менеджмента;
• профессионалов отдельных областей (безопасности, управления, аудита и т.п.).

Вот какие продукты включает COBIT 4.1:

1. Совещание по вопросам управления сферой ИТ, второе издание (Board Briefing on IT Governance, 2nd Edition). Предназначено для высшего руководства для ответа на вопросы почему важно ИТ, как к ним относиться и как управлять.
2. Руководство по внедрению управления сферой ИТ:Применение COBIT и Val IT TM, второе издание (IT Governance Implementation Guide: Using COBIT andVallTTM, 2ndEdition). Описывает процесс внедрения методологий COBIT и Val IT.
3. Контрольные практики COBIT: Руководство по достижению целей контроля для успешного управления сферой ИТ, второе издание (COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition). Объясняет, зачем нужны меры контроля и как их организовать.
4. Руководство по обеспечению надежности в сфере ИТ: применение COBIT (IT Assurance Guide: Using COBIT). Объясняет как использовать COBIT для обеспечения надежности.

На рис.1.2 изображены основные публикации COBIT и их аудитории. Существует также ряд продуктов по специфическим вопросам, в частности, аудиту и безопасности, которые не являются открытыми и за которые нужно платить. Данный курс основан на открытых публикациях, в частности, на российском издании COBIT 4.1, доступном на официальном сайте ISACA.

Итак, основная идея COBIT – ориентация ИТ на бизнес. В общем случае предлагаемая методология основана на следующем принципе – для того, чтобы организация обеспечила себя информацией, которая необходима для достижения ее бизнес-целей, организация должна инвестировать и управлять ресурсами ИТ посредством структурированного комплекса процессов, которые обеспечивают сервисы (услуги) для предоставления информации (рис.1.3).

Требования бизнеса обуславливают и направляют инвестиции в ресурсы ИТ. Ресурсы ИТ используются для обеспечения и поддержки процессов ИТ. Процессы ИТ работают с корпоративной информацией и производят ее. Результатом цикла является соответствие корпоративной информации требованиям бизнеса. COBIT выделяет следующие корпоративные требования к информации:

• полезность (результативность)– информация является значимой и имеет отношение к бизнес-процессам. Она получается регулярно, корректно, последовательно и в удобном виде;
• эффективность – информация получается посредством оптимального использования ресурсов;
• конфиденциальность – информация защищена от несанкционированного доступа и использования;
• целостность – исключено изменение информации субъектами, не имеющими на нее прав;
• доступность – субъекты, имеющие право доступа к информации, могут реализовывать его беспрепятственно;
• соответствие – информация соответствует законам, регулирующим актам и условиям контрактов.
• достоверность – руководству предоставляется вся необходимая информация для выполнения им своих обязанностей.

Рассмотрим составляющие рис.1.3 более подробно. Организация для достижения своих целей и рассмотренных требований к информации должна инвестировать средства в ИТ-область, в частности, в ресурсы. К ресурсам ИТ, согласно COBIT, относятся:

• приложения – прикладные системы и ручные процедуры для обработки информации;
• информация – данные в любой форме, введенные, обработанные и выведенные информационными системами в любой используемой бизнесом форме;
• инфраструктура – технологии и технические средства (аппаратное обеспечение, операционные системы, СУБД, сетевое оборудование), которые обеспечивают работу приложений.
• персонал – люди и их квалификация, необходимые для планирования, организации, приобретения, внедрения, работы, обслуживания, мониторинга и оценки информационных систем и ИТ-услуг. Персонал может быть внутренним и внешним, то есть привлеченным посредством аутсорсингового контракта.

Ресурсы ИТ обеспечивают выполнение процессов ИТ. В COBIT основные деятельности ИТ представлены в виде процессов ( об этом в следующей лекции), которые в свою очередь работают с корпоративной информацией и обеспечивают ее соответствие целям ИТ. Цели ИТ соответствуют целям и требованиям бизнеса, что в конечном итоге приводит нас к соответствию информации требованиям и целям бизнеса.

Методология COBIT (рис.1.4) связывает требования бизнеса к информации и управлению ею с целями ИТ.

Вот какие преимущества внедрения COBIT описаны в самом стандарте:

• достижение большего соответствия ИТ бизнесу, основанное на потребностях последнего;
• деятельность ИТ становится понятной бизнесу;
• процессный подход дает возможность четкого определения ролей и ответственностей;
• обеспечение большего соответствия требованиям регуляторов и законодательства;
• понимание заинтересованных сторон, основанное на построении тесного взаимодействия и использовании общего языка;
• выполнение требований COSO к контролю в сфере ИТ. COSO является общепризнанной методологией внутреннего контроля в организациях в целом (COBIT – для внутреннего контроля ИТ).

Подход к управлению ИТ, предлагаемый COBIT, позволит гарантировать согласованность целей бизнеса и ИТ, внедрение адекватных и своевременных мер контроля в соответствии с лучшими практиками и осуществить мониторинг эффективности ИТ.

Стоп! Уже началась путаница.
Ты привыкай, дружок, — путаницы
здесь будет предостаточно.

Алиса в Стране чудес», аудиоспектакль¹

Год назад, в апреле 2012, вышли в свет первые три публикации обновленного свода знаний в области руководства, управления и контроля ИТ. Новая версия называется COBIT 5, и это не просто обновление популярного подхода, это качественно другой продукт: с иным охватом, иной целевой аудиторией, иной структурой и претензией на новую, более важную роль в системе знаний об управлении корпоративными ИТ. За год накопилось немало впечатлений, сформировалось определенное мнение, сформулировались вопросы к авторам и редакторам проекта. Вот некоторые из этих впечатлений, мнений и вопросов.

Как написано в COBIT, «COBIT 5 объединяет 5 принципов, позволяющих предприятию организовать на основе семи факторов влияния эффективное руководство и управление, оптимизирующие инвестиции в информацию и технологии и их использование на благо заинтересованных лиц». В этой фразе упомянуты почти все ключевые компоненты обновленной методологии, и почти все они требуют пояснений уже на этапе перевода на русский. Структуру изложению материала COBIT 5, а также идеологическую основу для применения подхода на практике создают пять принципов COBIT.

Принципы

Принципы (principles) – это действительно постулаты, на которых строится почти весь материал COBIT5. Принципов – пять, и по меньшей мере за четырьмя из их стоят конкретные и обладающие большим практическим потенциалом инструменты. Фактически принципы обеспечивают мотив и возможность для различных практических действий по руководству и управлению ИТ.

Принцип 1: Соответствие требованиям заинтересованных сторон.

• Мотив: система руководства и управления ИТ должна поддерживать реализацию целей предприятия и отвечать потребностям внешних и внутренних заинтересованных сторон (stakeholders).
• Возможность: COBIT 5 предлагает расширенный и дополненный каскад целей, демонстрирующий декомпозицию интересов заинтересованных сторон в цели предприятия, далее в цели руководства и управления ИТ на предприятии и наконец – в цели отдельных компонентов системы руководства и управления ИТ.² Расширенный и дополненный – потому что в COBIT 4.1 подобный каскад тоже был описан, но состоял из трех уровней: бизнес-цели – ИТ-цели – цели ИТ-процессов. В COBIT 5 над целями бизнеса добавились требования заинтересованных сторон, а цели процессов дополнены целями других компонентов системы управления ИТ. Что не менее важно, в COBIT 5 появилось явное предостережение: нельзя слепо копировать эти цели в практику конкретной компании, следует использовать принцип каскадирования целей и сверяться со списками целей, предложенными COBIT, для проверки собственных решений.
• Впечатления: хорошо, что каскад целей перенесен из приложений в основной текст базовой публикации. Хорошо, что бизнес-цели и ИТ-цели сгруппированы по областям BSC, немного странно, что для бизнеса и ИТ эти области идентичны. Очень многообещающе выглядит заявленная декомпозиция ИТ-целей на цели не только ИТ-процессов, но и других компонентов системы управления. Сами цели, однако, на этом уровне определены пока только для процессов, поэтому – лишь «многообещающе». Ждём продолжения.

Принцип 2: Комплексный взгляд на предприятие.

• Мотивы: 1. Руководство ИТ следует рассматривать как неотъемлемую часть руководства предприятием в целом. 2. COBIT описывает все функции и процессы, необходимые, чтобы руководить и управлять информационными технологиями на предприятии.
• Возможности: специальных инструментов, поддерживающих второй принцип, COBIT не предлагает. Тем не менее, следование этому принципу, по-видимому, определило состав ролей в RACI-матрицах для процессов, состав заинтересованных лиц, а также структуру и состав процессной модели. Как написано на обложке базовой книжки подхода, COBIT 5 – «методология для бизнеса», не для ИТ-отдела.
• Впечатления: это единственный принцип COBIT 5, не поддержанный соответствующим инструментом управления, поэтому, особенно в сравнении с остальными четырьмя, он оставляет ощущение декларации, принципа-в-чистом-виде – важного с идеологической точки зрения, но второстепенного с прикладной. Впрочем, такое впечатление остаётся только если подходить к COBIT как к набору инструментов для управления ИТ, выбор и способ применения которых мастер волен определять сам. Если же рассматривать COBIT с позиции руководства ИТ³, то есть с позиции бизнеса, он оказывается чуть ли не основным: отсутствие у руководителей предприятия указанных в нём мотивов может сделать бессмысленными все попытки применения инструментов управления, описанных в COBIT.

Принцип 3: Применение единой интегрированной методологии.

• Мотив: Для руководства и управления ИТ удобно использовать единую методологию, объединившую всё лучшее из современных стандартов и сводов знаний.
• Возможность: В COBIT использованы элементы стандартов (ISO 38500, ISO 27002, ISO 20000, ISO 15504, NIST и других) и сводов знаний (ITIL®, PMBOK, PRINCE2®, ValIT, RiskIT, SFIA…), авторские подходы (Д.Коттер). В большинстве случаев явно указана ссылка на источник, во многих случаях – на конкретные главы/разделы/положения источника.
• Впечатления: Очень интересная и очень амбициозная идея. Такой подход позволяет не просто лучше понимать связи рекомендаций COBIT с уже используемыми на предприятии подходами и стандартами, но и даёт направление для развития компетенций при решении прикладных задач организации управления ИТ. Интересно, как авторы COBIT планируют поддерживать актуальность своих рекомендаций и ссылок при обновлении связанных источников – шансы, что какая-то из полутора десятков связанных публикаций будет обновлена, довольно высоки. Кроме того, к сожалению, уже сейчас многие ссылки на источники в COBIT 5 неполны, а некоторые – некорректны. Кстати, обновление, вышедшее через полгода после апрельского релиза COBIT 5, содержало много исправлений именно в этой части материала.

Принцип 4: Обеспечение целостности подхода.

• Мотив: Для эффективного руководства и управления ИТ одних процессов недостаточно. Нужны и другие компоненты.
• Возможность: Эти компоненты называются в COBIT 5 enablers, что можно перевести как «факторы влияния». Их семь:

1. Политики, принципы и подходы
2. Процессы
3. Оргструктура
4. Культура, этика, поведение
5. Информация
6. Услуги, инфраструктура и приложения
7. Люди, навыки и компетенции

Три последних объединены понятием «ресурсы». Для каждого фактора влияния приведено краткое описание – в единой структуре, включающей в себя заинтересованные стороны, цели, жизненный цикл, практики и продукты, а также метрики.

Структура публикаций COBIT предполагает выпуск так называемых Enabler guides, детально описывающих каждый фактор влияния. Опубликованная одновременно с базовой публикацией в апреле прошлого года книжка Enabling processes – это 230 страниц, на которых детально описаны 37 процессов. Видимо, аналогичного уровня детализации можно ожидать и в других публикациях этой группы, если и когда они выйдут в свет.

• Впечатления: попытки систематизировать компоненты системы управления ИТ предпринимались и ранее. Так, ITIL предлагает читателям список из 9 «сервисных активов», объединяющих ресурсы и способности, необходимые для управления ИТ-услугами. Однако обычно эти попытки заканчиваются простым перечислением компонентов, COBIT же содержит детальную характеристику каждого и обещает еще больше. Группировка компонентов вызывает вопросы, но скорее академического характера, не умаляющие достоинств самого комплексного подхода⁴. Если в состав COBIT войдут enabler guides по таким направлениям, как «культура, этика, поведение» и «люди, навыки и компетенции», ценность этого свода знаний возрастет многократно: в настоящее время структурированных рекомендаций по этим вопросам, учитывающих специфику руководства и управления ИТ, практически не существует.

 Принцип 5: Разделение руководства и управления

• Мотив: должна быть определена четкая граница между руководством и управлением. Эти две дисциплины включают в себя разные виды деятельности, требуют разных организационных структур и служат разным целям.
  • Руководство (governance) обеспечивает уверенность в достижении бизнес-целей, путём оценки потребностей заинтересованных сторон, условий и вариантов , задания направления движения через приоритизацию и принятие решений и сравнения фактической производительности, степени завершения и соответствия правилам с плановыми значениями.
  • Управление (management) заключается в планировании, построении, выполнении и отслеживании деятельности, в соответствии с направлением, заданным органом руководства, для достижения бизнес-целей.
• Возможность: COBIT предлагает референтную модель системы руководства и управления ИТ, описывающую 5 процессов руководства и 32 процесса управления. Процессы управления ИТ в модели сгруппированы в четыре домена. В целом модель является развитием модели COBIT предыдущих версий, хотя изменения нельзя назвать косметическими: некоторые процессы были объединены, некоторые перенесены в другой домен, появилось несколько новых процессов. Существенно переработана ролевая модель, используемая при распределении ответственности за реализацию процессных практик. Изменен уровень детализации описания процессов: теперь в каждом процессе выделены ключевые практики, для каждой из которых определены виды деятельности. Входы и выходы (документы и записи) определены для каждой практики, а не для процесса в целом, как было ранее. Терминология и структура описания процессов приведены в соответствие с требованиями стандарта ISO 15504. Для большинства процессов приведены ссылки на связанные источники, что поддерживает реализацию принципа №3.
• Впечатления: очень детальная, очень масштабная модель, хорошо совместимая с другими сводами знаний, в первую очередь ITIL. Устранены многие ошибки и нестыковки модели COBIT 4.1. Тем не менее, к каждому домену есть вопросы по составу процессов, распределению ответственности, структуре практик некоторых процессов, ссылкам на источники. Вопросов много, хватит на отдельную статью, и среди них есть важные. Поэтому общее впечатление от процессной модели схоже с общим впечатлением от COBIT 5 в целом:
  • Амбиции авторов вызывают уважение.
  • Продукт требует доработки и устранения неточностей.
  • Возможности практического применения уже сейчас широки и разнообразны
  • Использовать эти возможности надо с умом и осторожностью.

Что, кроме принципов?

Несмотря на то, что большая часть компонентов COBIT 5 описана в рамках пяти принципов, есть публикации и инструменты, поддерживающие следование этим принципам, но явно в них не входящие.

В первую очередь, это рекомендации по внедрению, изложенные в книге COBIT 5 Implementation – первой из группы публикаций под общим название Professional guides. Книга содержит детальные рекомендации по реализации принципов COBIT на трех уровнях – управления организационными изменениями, управления программами и постоянного совершенствования.

Кроме того, в начале 2013 года была опубликована модель оценки процессов (Process assessment model), основанная на процессной модели COBIT 5 и модели оценки процессов ISO 15504, а позднее к ней были добавлены рекомендации по проведению самооценки и удобные для этой цели таблицы, опросники и другие инструменты сбора и анализа свидетельств.

Ожидается продолжение публикации книг серий enabler guides и professional guides, что, очевидно, делает COBIT наиболее динамично развивающимся, одним из самых полных и подробных сводов знаний по руководству и управлению ИТ. И уже сегодня одним из самых практически полезных.

---

Сноски

1. Мелодия, 1976.
2. Эти компоненты называются в COBIT 5 факторами влияния, enablers. Подробнее о них – в принципе №4.
3. О разнице между руководством и управлением ИТ написано в принципе №5.
4. Подробнее об этих вопросах можно узнать на портале RealITSM: http://www.realitsm.ru/2012/07/gentleman-set/

На сегодняшний день в мире существует огромное количество практик, библиотек и стандартов, которые предназначены для регулирования работы в ИТ сфере. Это практики, которые основаны на опыте наиболее успешных и крупных компаний. Они позволяют быстро и легко решать все возникающие стандартные ситуации и проблемы.

COBIT – что это такое? Это специальный подход, предназначенный для управления информационными технологиями. Он создан организацией ISACA, а также Институтом руководства ИТ еще в 1992 году. Такой подход предназначен для менеджеров, ИТ пользователей, аудиторов в виде утвержденных процессов, лучших практик, метрик, которые помогают получить максимальную выгоду от использования различных информационных технологий. Кроме того, такой подход позволяет разрабатывать и контролировать ИТ компании. Последняя версия COBIT представлена в виде процессного подхода.  

Важно понимать, что COBIT – это задачи управления для ИТ. Это стандарты, руководства в сфере управления ИТ аудита. Также здесь представлены практики для управления ИТ процессами. Такой инструмент связан непосредственно с ITIL, он постоянно обновляется и помогает взаимодействовать руководству, аудиторам и ИТ специалистам компании. Кроме того, он позволяет учитывать ИТ риски, которые связаны с применением какого-либо элемента ИТ-инфраструктуры.

В COBIT описаны механизмы управления, задачи, цели, всевозможные ИТ процессы, а также инструменты, позволяющие работать с ИТ-инфраструктурой, вопросы, относящиеся к ИТ безопасности. Необходимо понимать, что данный подход может быть практически бесполезен и неприспособлен для малых и средних компаний. Небольшой бизнес использует ИТ только для такой цели, как поддержка компьютерной сети и создание собственного сайта. Крупный бизнес может иметь более абстрактные задачи, поэтому для такой цели требуется более сложное и специализированное ИТ подразделение, как по своей структуре и задачам, так и по управлению ИТ. Для Высшего руководства крупной организации неинтересно собственно информационные технологии. Данное руководство в большей степени волнует то, как улучшить конкурентоспособность, повысить поток клиентов и решать иные, операционные или стратегические задачи. Соответствие таких требований – задачи для ИТ-директора.

Существенной пользой от применения COBIT является множество KPI. Это существующие показатели качества, стоимости по обработке информации, характеристики доставки такой информации до получателей. Также существуют специальные индикаторы, при помощи которых оценивается комфорт и стиль интерфейсов. Для управления ИТ при помощи COBIT применяется многоступенчатая схема, которая подразумевает подход от общего к индивидуальному. Вначале разрабатывают стратегии, а затем определяют политики в последовательном порядке, после чего реализуют ИТ-стратегии. Стоит отметить, что COBIT можно использовать сразу в двух направлениях: для аудита и для создания идеальной ИТ структуры.

ИТ аудит COBIT

Достаточно важной книгой в COBIT является специальное руководство по аудиту. Здесь описывается, как проводить проверку ИТ-процессов и задач управления, которые определяются в концептуальном ядре данного подхода. Соответственно, аудитор может определить адекватность системы управления и предоставить рекомендации по ее улучшению.

В соответствии с COBIT основная цель ИТ-аудита – это предоставление руководству компании гарантий по эффективному выполнению задач управления. Также ИТ аудит улучшает информационную систему, увеличивает уровень ее безопасности, эффективности процессов управления. Самой распространенной моделью, оценивающей механизмы управления, можно назвать классическую модель. Важно соответствие этой модели критериям аудита. Они определяются при помощи стандарта и других нормативных документов. Еще одним популярным подходом можно назвать модель анализа рисков. Здесь критерии аудита создаются на оценке рисков. Каждая из этих моделей применяется на практике в ходе проведения ИТ-аудита, основанного на COBIT.

Существуют определенные уровни описания самой процедуры аудита. И такой подход основывается на конкретных элементах. Это концептуальное ядро COBIT, которое определяет аппарат понятий и классификации ИТ процессов. Также оно определяет информационные критерии и ИТ ресурсы. Следующий элемент – это общие требования к аудиту ИТ-процессов. Такие требования есть в «Планировании и выработке стратегии аудита», а также в «Обобщенной схеме руководства по аудиту». Дополнительным элементом являются общие принципы управления, которые представлены в «Общих замечаниях по оценке процессов управления». Каждая инструкция и требование используется только как вспомогательное средство и методология в процессе разработки определенных программ для осуществления ИТ аудита. Они не заменяют методики, которые используются аудиторами, но при этом активно применяются в процессе аудита.

Аудит ИТ по COBIT позволяет получить определенные критерии по оценке процессов управления информационными технологиями. Для механизмов управления существуют такие критерии:

• Подотчетность и возможность распределения ответственности. Для рабочей модели управления вся ответственность за бизнес-процессы должна быть распределена. Также устанавливается ответственность для каждого сотрудника и должностного лица. В противном случае не будет происходить движение управляющей информацией и различные корректирующие действия не станут предприниматься.
• Стандарты и возможные отклонения. Что касается стандарта по оценке эффективности, то он может быть совершенно разным. То есть, это могут быть высокоуровневые стратегии и индикаторы производительности. Стандарты, которые представлены в документах, имеют актуальное состояние – это важный критерий в показателе эффективности системы управления информационными технологиями.  Для каждого ИТ процесса должны быть точно определены допустимые отклонения от стандарта.
• Еще одним компонентом являются информационные критерии. Основой для того, чтобы система управления ИТ-процессами функционировала, является актуальность и пригодность информации для управления.

Планирование проведения аудита в первую очередь подразумевает границы его осуществления. При этом анализируются такие процессы как структура бизнес-процессов, структура информационной системы, которая поддерживает бизнес-процессы, структура распределения ответственности, в том числе и аутсорсинговых функций. Также к таким данных относятся бизнес-риски и стратегии.

Основные этапы аудита

После того как будут разработаны план и стратегии для проведения ИТ аудита, осуществляется сам аудит. А после его проведения выполняется разработка рекомендаций и составление отчетности. Сам аудит имеет 4 этапа, которые реализуются последовательно:

1. В первую очередь происходит идентификация, осуществляется сбор и анализ информации.
2. Во-вторых, осуществляется оценка механизмов управления.
3. Следующим шагом является тест соответствия.
4. На последнем этапе проводится детальное тестирование.

На первом этапе идентифицируются механизмы управления, осуществляется сбор, анализ информации. Для этого проводится опрос сотрудников, руководства компании, чтобы выяснить несколько вопросов. Они касаются требований, рисков в бизнесе, организационной структуры, распределения ролей, политик и процедур, требований в нормативной базе и т. д.

При оценке рисков учитывается политика организации, идентифицируются и измеряются риски, определяется стоимость, эффективность для организации контрмер, проводятся формальные процедуры, которые дают возможность определить цели механизмов управления.

Тест на соответствие – это такой этап, где основной задачей является получение гарантий того, что имеющиеся механизмы управления являются пригодными. Проверка выполняется так, чтобы были получены свидетельства о том, что все процедуры осуществляются правильно.

Детальное тестирование является заключительным этапом. Его цель – это оценка, обоснование рисков, которые связаны с невыполнением задач по управлению благодаря применению аналитических методов и оценок экспертов. Самой последней целью является то, чтобы руководство выполнило корректирующие действия. Это необходимо для того, чтобы улучшить состояние системы управления компании. Все недостатки механизмов управления, рисков документируются, а затем проводится сравнительное тестирование.

Очень важно понимать, что представляет собой структура COBIT, а также из чего исходит такой подход. Такой подходит исходит от того, что ИТ-инфраструктура представляет собой управление информацией. И оценивается такая информация по нескольким критериям. В первую очередь это продуктивность, которая обеспечивает доступность информации при экономичном и эффективном использовании ресурсов. Во-вторых, это эффективность, которая предусматривает актуальную и своевременную информацию. В-третьих, это конфиденциальность, благодаря которой обеспечивается защита информации от различных несанкционированных попыток доступа. Также к таким критериям относят целостность, в соответствии с которой вся информация должна быть достоверной, полной и максимально точной. Согласованность – это соответствие законодательству, а также разнообразным актам, уставам, нормативным документам, договорам. Кроме того, нужно отметить пригодность и простоту доступа, благодаря которым можно получать и использовать информацию для применения в бизнес-процессах. А надежность позволяет отражать настоящее положение дел, которое необходимо для принятия различных управленческих решений.

Прошло достаточно немного времени с тех пор, как концепция COBIT смогла из простого руководства по ИТ-аудиту эволюционировать в бизнес-модель, предназначенную для руководства и управления ИТ в крупной компании. На сегодняшний день текущей версией является COBIT 5. Здесь представлено пять главных принципов:

1. Первый принцип основан на том, чтобы происходило соответствие потребностям сторон. Такими сторонами являются владельцы предприятия, владельцы акций организации, сотрудники компании и другие люди, которые заинтересованы в том, чтобы такая компания приносила прибыль. Философия данного принципа основана на том, что у каждой заинтересованной стороны будут свои интересы, связанные с компанией. Поэтому в зависимости от выбранной стратегии будет определяться то, какой подход будет выбран для управления организацией. Все это означает, что интересы каждой стороны нужно определенным образом конвертировать в стратегию предприятия.
2. Второй принцип заключается в том, чтобы был осуществлен комплексный взгляд на компанию. В данном принципе основная мысль заключается в том, что информация и различные информационные технологии, которые применяются в компании, не являются самодостаточными. Они лишь часть всего экономического процесса, позволяющего создать ценность. Это означает, что ИТ и информацией нужно управлять по тем же принципам, по которым в компании управляют любыми другими активами. Но руководство кроме ценности включает в себя и другие элементы. Это могут быть факторы влияния, сферы охвата или применения, виды деятельности, отношения. Факторы влияния относятся к руководству, так как они представляют собой инструменты, с помощью которых и осуществляется руководство. Если говорить об области руководства, то здесь все еще проще. Руководство может осуществляться не только в целом всем предприятием, но и отдельными подразделениями или филиалами. Если говорить о ролях, видах деятельности, отношениях, то это будет показывать, кто, как и каким подразделением руководит.
3. Третий принцип основан на применении единой интегрированной методологии. Если говорить о представленной методологии, то она позволяет интегрировать только все самое лучшее, что можно взять из самых разнообразных подходов. COBIT не противоречит ни одному из подходов, которые относятся к общему руководству предприятием и информационным технологиям.
4. В четвертом принципе обеспечивается целостность подхода. В этом принципе детально рассматриваются факторы влияния. Но здесь рассказывается о том, как должен мыслить руководитель, чтобы получить лучший результат. Даже в официальном документе говорится о том, что принимается во внимание набор факторов влияния. То есть, для того, чтобы принимались правильные решения, должен учитываться системный характер принятия мер руководства и управления.
5. Пятый принцип предлагает разделять руководство и управление. Руководство способно обеспечить уверенность в том, что будут достигнуты цели при помощи выверенной оценки потребностей всех сторон, установления вектора по развитию и принятию решений, непрерывного мониторинга по соответствию продуктивности и уровня выполнения требований направления тем целям, которые преследует предприятие.

Если говорить об управлении, то оно представляет собой планирование, построение, осуществление деятельности в соответствии с тем направлением, которое задано органом руководства. При этом обязательно учитываются стратегические цели компании.

Все это означает, что после внедрения модели управления, которая будет соответствовать рекомендациям COBIT, многие рабочие процессы будут автоматизированы в соответствии с лучшими практиками. При этом в каждом отделе представлен детальный механизм по внедрению и мониторингу, благодаря чему в компании не появятся структуры и подразделения, которые непонятно чем занимаются.