COBIT как методика аудита процессов управления ИТ
СOBIT (Control Objectives for Information and related Technology) представляет собой систематизированный набор принципов и рекомендаций по проведению аудита процессов управления ИТ. Данная модель была впервые предложена профессиональной ассоциацией ISACA (The Information Systems Audit and Control Association) в 1996 году. Эта ассоциация позиционирует себя как международная организация, специализирующаяся на разработке общих стандартов в области аудита информационных систем. В 2000 году ее орган – Институт Управления ИТ, выпустил третье издание своих материалов. В случае с COBIT речь идет о позиционировании этой методологии как потенциального стандарта со стороны ее разработчиков.
Основной целью данного материала является формализованное определение лучших практик в области процессов управления ИТ для того, чтобы обеспечить определенный уровень согласованного подхода при оценке качества этих процессов. Модель COBIT предназначена, прежде всего, для использования внешними аудиторами, но может применяться также специалистами ИТ-служб организаций для планирования и самооценки процессов управления ИТ – то есть, фактически, для их оптимизации.
Модель COBIT определяет 34 ключевых процесса управления ИТ в организации, которые сгруппированы в 4 основные области (домены). Список этих доменов включает:
- Планирование и Организация (Planning and Organisation – PO).
- Приобретение и Реализация (Acquisition and Implementation – AI).
- Предоставление (реализация) и поддержка (Delivery and Support – DS).
- Мониторинг (Monitoring – M).
На следующем уровне в рамках этих 4-х доменов в стандарте определены 34 процесса, которые, в свою очередь, включают 318 различных задач. Список этих процессов верхнего уровня приведен в табл. 4.2.
| Домен | Процесс |
Эффектив- ность (результат) |
Эффектив- ность (усилия) |
Конфиден- циальность |
Целост- ность |
Доступ- ность |
Соответ- ствие |
Надеж- ность |
Лю- ди |
Прило- жения |
Техно- логии | Средства (facilities) |
Дан- ные | ||||||||||||
|
Планирование и Организация | PO1 | Разработка ИТ-стратегии | P | S | + | + | + | + | + | ||||||||||||||||
| PO2 | Разработка ИТ-архитектуры | P | S | S | S | + | + | ||||||||||||||||||
| PO3 | Мониторинг технологического развития | P | S | + | + | ||||||||||||||||||||
| PO4 | Формирование ИТ-службы и определение взаимосвязей | P | S | + | |||||||||||||||||||||
| PO5 | Управление инвестициями в ИТ | P | P | S | + | + | + | + | |||||||||||||||||
| PO6 | Распространение корпоративной информации | P | S | + | |||||||||||||||||||||
| PO7 | Управление персоналом | P | P | + | |||||||||||||||||||||
| PO8 | Обеспечение соответствия внешним требованиям | P | P | S | + | + | + | ||||||||||||||||||
| PO9 | Управление рисками | P | S | P | P | P | S | S | + | + | + | + | + | ||||||||||||
| PO10 | Управление проектами | P | P | + | + | + | + | ||||||||||||||||||
| PO11 | Управление качеством | P | P | P | S | + | + | + | + | ||||||||||||||||
|
Приобретение и Реализация | AI1 | Идентификация автоматизируемых решений | P | S | + | + | + | ||||||||||||||||||
| AI2 | Приобретение и поддержка прикладного программного обеспечения | P | P | S | S | S | + | ||||||||||||||||||
| AI3 | Приобретение и поддержка технологической инфраструктуры | P | P | S | + | ||||||||||||||||||||
| AI4 | Разработка и поддержка процедур | P | P | S | S | S | + | + | + | + | |||||||||||||||
| AI5 | Установка и прием в эксплуатацию систем | P | S | S | + | + | + | + | + | ||||||||||||||||
| AI6 | Управление изменениями | P | P | P | P | S | + | + | + | + | + | ||||||||||||||
|
Предоставле- ние и поддержка | DS1 | Определение и управление уровнями обслуживания | P | P | S | S | S | S | S | + | + | + | + | + | |||||||||||
| DS2 | Управление услугами третьих сторон | P | P | S | S | S | S | S | + | + | + | + | + | ||||||||||||
| DS3 | Управление производительностью и мощностью | P | P | S | + | + | + | ||||||||||||||||||
| DS4 | Обеспечение непрерывности обслуживания | P | S | P | + | + | + | + | + | ||||||||||||||||
| DS5 | Обеспечение безопасности | P | P | S | S | S | + | + | + | + | + | ||||||||||||||
| DS6 | Идентификация и управление стоимостью | P | P | + | + | + | + | + | |||||||||||||||||
| DS7 | Обучение пользователей | P | S | + | |||||||||||||||||||||
| DS8 | Помощь клиентам | P | P | + | + | ||||||||||||||||||||
| DS9 | Управление конфигурациями | P | S | S | + | + | + | ||||||||||||||||||
| DS10 | Управление проблемами и инцидентами | P | P | S | + | + | + | + | + | ||||||||||||||||
| DS11 | Управление данными | P | P | + | |||||||||||||||||||||
| DS12 | Управление средствами | P | P | + | |||||||||||||||||||||
| DS13 | Управление операциями | P | P | S | S | + | + | + | + | ||||||||||||||||
| Мониторинг | M1 | Мониторинг процессов | P | P | S | S | S | S | S | + | + | + | + | + | |||||||||||
| M2 | Обеспечение адекватности внутреннего контроля | P | P | S | S | S | P | S | + | + | + | + | |||||||||||||
| M3 | Организация независимого контроля | P | P | S | S | S | P | S | + | + | + | + | + | ||||||||||||
| M4 | Обеспечение независимого аудита | P | P | S | S | S | P | P | + | + | + | + | + |
В таблице буква "P" означает основной (primary) критерий, буква "S" – дополнительный (secondary), знак "+" отмечает применимость процесса для данного типа ресурсов.
Как можно видеть, на условном первом месте в списке процессов помещены такие процессы, как разработка ИТ-стратегии и формирование ИТ-архитектуры. Это является косвенным свидетельством той важной роли, которую данные процессы играют для всех информационных систем предприятия в целом.
Все процессы в COBIT определяются по одному и тому же шаблону: "процесс направлен на обеспечение первичных и вторичных Информационных критериев для бизнеса Предприятия, измеряемых с помощью набора Ключевых Целевых Показателей. Реализация процесса строится с учетом Критических факторов успеха, использует определенные Ресурсы, а ее характеристики измеряются с помощью набора метрик – Ключевых Показателей Производительности. Таким образом, оценка процесса может быть проведена с использованием количественных, измеримых параметров".
Для примера приведем определения соответствующих наборов показателей для двух процессов PO1 (Разработка стратегического плана развития) и PO2 (Разработка ИТ-архитектуры), представляющих для нас наибольший интерес с точки зрения создания и использования архитектуры и стратегии предприятия в области ИТ.
Для всех указанных процессов в модели, в соответствии с принципами CMM, определен набор уровней зрелости – от 0 до 5, характеризующих уровень реализации этого процесса в организации.
Для выбранных нами процессов PO1 и PO2, в СobIT используются следующие критерии отнесения процесса к определенному уровню зрелости.
| В организации отсутствует понимание необходимости разработки ИТ-стратегии для решения задач бизнеса. Какая-либо активность отсутствует | В организации отсутствует понимание важности разработки ИТ-архитектуры вообще. Соответственно, у персонала отсутствует необходимый опыт и квалификация. Какая-либо ответственность не определена |
| Руководство признает необходимость разработки стратегии, однако процесс разработки не определен. Отдельные элементы планирования осуществляются по мере необходимости, поэтому результаты являются непоследовательными и спонтанными. Вопросы ИТ-стратегии обсуждаются иногда только в ИТ-службе, но не бизнес-руководством. Выбор решений осуществляется не на основе стратегии организации, а диктуется предложениями вендоров. Риски определяются неформально и привязываются к отдельным проектам | Руководство признает необходимость разработки архитектуры, однако не определило ни плана, ни процесса разработки. Отдельные мероприятия осуществляются не систематически и зависят от конкретного случая и инициативы исполнителя. Существует некоторое количество диаграмм и описаний процессов, обсуждение ведется спонтанно и непоследовательно. Предпочтение отдается не описанию требуемой для бизнеса информации, а описанию доступных де-факто данных, определенных существующими приложениями ИС |
| Разработка ИТ-стратегии понятна руководству, но не документирована. Она ведется ИТ-службой с привлечением бизнес-подразделений по необходимости. Изменения стратегии происходят только по запросу руководства, вне рамок формального процесса определения изменений бизнес-требований. Решения принимаются отдельно для каждого проекта. Преимущества стратегии, а также основные риски находят понимание на интуитивном уровне | В организации существует общая осведомленность по вопросам ИТ-архитектуры. Проводятся отдельные интуитивные мероприятия по разработке элементов архитектуры, которые могут быть частично скоординированы в рамках возникающего процесса и повторяться впоследствии. В то же время формальное обучение не проводится, а существенная часть опыта приобретается каждым участником самостоятельно. Решение вопросов ориентировано на краткосрочные тактические цели |
| Порядок, процедуры и ответственность за разработку ИТ-стратегии понятны, документированы и доступны всем. Процесс хорошо определен, и вероятность успешного планирования высока. Реализация этого процесса все еще вомногом зависит от индивидуальных исполнителей, регулярных проверок качества процесса нет. ИТ-стратегия включает последовательную оценку рисков, а также учитывает финансовые, технические и кадровые возможности при выборе новых продуктов и технологий | Необходимость разработки ИТ-архитектуры хорошо понятна и принята всей организацией, ответственность за отдельные работы четко определена. Процедуры, приемы и применяемые средства определены, документированы и внедрены. На основе стратегических бизнес-целей определены наиболее общие архитектурные принципы и стандарты, хотя соответствие им не всегда последовательно соблюдается и проверяется. Реализована на практике функция администрирования, ответственная за распространение стандартов, и отчетность по их использованию |
| Стратегическое планирование ИТ является стандартным процессом, отклонения от которого будут заметны для руководства. Для процесса определена ответственность на высшем уровне, а также обеспечивается его мониторинг и оценка эффективности. Ведется как краткосрочное, так и долгосрочное планирование. ИТ-стратегия совместно с бизнес-стратегией направлены на получение преимуществ для бизнеса за счет внедрения новых приложений и проведения реинжиниринга бизнес-процессов. Существует хорошо определенный процесс оптимизации использования внутренних и внешних ресурсов. Проводится формализованное количественное сравнение показателей ИТ-системы с данными конкурентов и отраслевыми нормами | Разработка и внедрение ИТ-архитектуры полностью поддержана формальными методиками и процедурами. Обеспечивается возможность количественного измерения производительности процесса разработки и успешности применения его результатов на практике. Обучение определено, документировано и последовательно применяется в рамках всей организации. Процесс разработки поддержан соответствующими автоматизированными средствами, хотя они могут быть и не полностью интегрированы. Определены и применяются внутренние "лучшие практики". Базовые метрики процесса определены и объединены в целостную измерительную систему. Сам процесс учитывает изменения требований бизнеса и ориентирован на достижение стратегических целей. Реализован автоматизированный репозитарий ресурсов описания архитектуры, позволяющий использовать эту информацию в системах принятия решений и информирования руководства |
| Стратегическое планирование обеспечивает ощутимые бизнес-преимущества за счет инвестиций в информационные технологии. Планирование ИТ неразрывно связано с планированием бизнеса. Существует долгосрочная реалистичная ИТ-стратегия, которая постоянно обновляется с учетом технологических инноваций и изменений требований бизнеса. Краткосрочные планы содержат определенные этапы, выполнение которых постоянно отслеживается, а параметры корректируются в зависимости от изменений. Формализованное количественное сравнение ИТ-показателей с лучшими отраслевыми практиками интегрировано в процесс разработки стратегии. Инновации в ИТ-технологиях отслеживаются и используются для развития бизнеса | Архитектура ИТ-системы последовательно внедряется на всех уровнях, и ее важность для бизнеса постоянно подчеркивается. Персонал ИТ-службы обладает необходимым опытом и квалификацией, позволяющей строить и модифицировать архитектурные решения в соответствии с изменяющимися требованиями бизнеса. Организация широко применяет доступные лучшие практики, в частности, использование хранилищ данных и средства анализа данных. Ведется постоянное развитие и совершенствование ИТ-архитектуры |
