CobIT – подход к
управлению
информационными технологиями, созданный Ассоциацией контроля и аудита систем
(Information Systems Audit and Control Association - ISACA) и Институтом
руководства ИТ (IT Governance Institute - ITGI) в 1992 году. Он предоставляет
менеджерам, аудиторам и ИТ пользователям набор утверждённых метрик, процессов и
лучших практик с целью помочь им в извлечении максимальной выгоды от
использования информационных технологий и для разработки соответствующего
руководства и контроля ИТ в компании. Первая редакция Cobit увидела свет в 1996
году. В настоящее время используется версия Cobit 4.1, выпущенная в мае 2007
года. Кардинальных новшеств Cobit 4.1 в себе не содержит, в его основе лежит
процессный подход, система сбалансированных показателей BSC, модель зрелости SEI
CMM/CMMI, PMBoK (методология проектного управления), а также подходы стандартов
PRINCE2, TickIT,
ITIL® и другие.
Стандарт Cobit ориентирован прежде всего на руководителей
предприятий, ИТ менеджеров, и владельцев бизнес-процессов.
Ключевые области управления ИТ:
- Соответствие стратегии делает акцент на связи между планами бизнеса и
ИТ; выявлении, поддержке и контроле за ценностным предложением ИТ; а также
на соответствии ИТ и бизнес операций.
- Полезность представляет собой реализацию ценностного предложения,
контроль за тем, чтобы ИТ обеспечивали определенные стратегией преимущества,
сосредоточение на оптимизации затрат и подтверждение подлинной ценности ИТ.
- Управление ресурсами посвящено вопросам, связанным с управлением
критичными ИТ ресурсами, а именно, оптимизацией инвестиций и должному
руководству приложениями, информацией, инфраструктурой и персоналом.
Ключевые вопросы касаются оптимизации знаний и инфраструктуры.
- Управление рисками требует осведомленности высшего руководства в
области рисков, четкого понимания корпоративного подхода в их отношении,
соответствия требованиям прозрачности в отношении существенных рисков,
включения функции или системы управления рисками в практику организации.
- Оценка эффективности представляет собой контроль за реализацией
стратегии, результатами проектов, использованием ресурсов, эффективностью
процессов и сервисным обслуживанием. Для этого применяются, в частности,
системы сбалансированных показателей, которые преобразуют стратегию в
последовательность действий, результаты которых измеряются иными, по
сравнению с бухгалтерским учетом, методами.
Концепция стандарта предполагает построение механизмов
управления ИТ исходя из того, какая информация необходима для достижения
бизнес-целей. При этом информация рассматривается как результат использования ИТ
ресурсов, управление которыми осуще-ствляется в рамках ИТ процессов. ИТ ресурсы
включают в себя приложения, информацию (данные в любой форме), инфраструктуру,
персонал.
Для достижения целей бизнеса информация должна удовлетворять
определённым критериям, которые в стандарте Cobit называют бизнес-требованиями к
информации. Выделяют следующие бизнес-требования к информации или информационные
критерии: эффективность, рациональность, конфиденциальность, целостность,
доступность, соответствие нормам и надёжность информации. Механизмы управления
включают в себя политики, организационные структуры, процедуры и регламенты.
Задачей управления ИТ является формулировка желаемого результата или цели,
которые должны быть достигнуты путём реализации механизмов управления в рамках
конкретного ИТ процесса.
Концептуальное ядро стандарта CobiT 4.1 сформировано из 34
высокоуровневых процессов (которые покрывают порядка 200 целей контроля),
сгруппированных в 4 домена (сферы деятельности):
Планирование и организация: включает стратегию и тактику, а
также определение способов наиболее эффективного использования ИТ для достижения
бизнес-целей. Регламентируемые процессы:
- PO1 Разработка стратегического плана
- PO2 Определение ИТ архитектуры
- PO3 Определение направлений развития технологий
- PO4 Формализация ИТ процессов, организации и взаимоотношений с бизнесом
- PO5 Управление инвестициями в ИТ
- PO6 Согласованное управление целями и задачами
- PO7 Управление ИТ персоналом
- PO8 Управление качеством
- PO9 Оценка и управление рисками ИТ
- PO10 Управление проектами
Приобретение и внедрение: для реализации ИТ стратегии нужно
идентифицировать, разработать или приобрести соответствующие ИТ решения, которые
должны быть внедрены и интегрированы в бизнес-процессы, а также внести изменения
в информационные системы. Регламентируемые процессы:
- AI1 Идентификация и выбор решений по автоматизации
- AI2 Проектирование и разработка приложений
- AI3 Проектирование и поддержка технической инфраструктуры
- AI4 Обеспечение работы и использования ИС
- AI5 Закупка ИТ ресурсов
- AI6 Управление изменениями
- AI7 Установка и утверждение решений и изменений
Предоставление и поддержка: включает предоставление требуемых
информационных служб, в том числе обеспечение безопасности и непрерывности
бизнеса, обучение, а также обработку данных прикладными системами.
Регламентируемые процессы:
- DS1 Определение и управление уровнями сервиса
- DS2 Управление сервисами подрядчиков
- DS3 Управление производительностью и мощностью
- DS4 Обеспечение непрерывности сервисов
- DS5 Обеспечение безопасности систем
- DS6 Определение и распределение ИТ затрат
- DS7 Обучение пользователей
- DS8 Управление службой поддержки и инцидентами
- DS9 Управление конфигурацией
- DS10 Управление проблемами
- DS11 Управление данными
- DS12 Управление физическим оборудованием
- DS13 Управление эксплуатацией
Мониторинг и оценка: качество и соответствие ИТ процессов
требованиям контроля должны оцениваться на регулярной основе. Этот домен
включает в себя надзор со стороны руководства за процессами управления в
организации, а также независимый контроль со стороны внутренних и внешних
аудиторов. Регламентируемые процессы:
- ME1 Отслеживать и оценивать производительность ИТ
- ME2 Отслеживать и оценивать внутренние контроли
- ME3 Гарантировать соответствие регулирующим требованиям
- ME4 Обеспечивать руководство ИТ
Домены соотносятся с традиционными сферами ответственности
ИТ: планирование, внедрение, эксплуатация и мониторинг. Такая структура
охватывает все аспекты управления и использования ИТ. Выполнение всех 34
высокоуровневых процессов позволяет гарантировать владельцу бизнес-процесса, что
система управления ИТ является адекватной задачам бизнеса.
В стандарте CobiT детально описаны цели и принципы
управления, объекты управления, чётко оп-ределены все ИТ процессы (для каждого
процесса определены входы и выходы, исполнители и ответственные, а также объекты
контроля и метрики) и требования к ним, описан возможный инструментарий
(практики) для их реализации. В описании ИТ процессов также приведены
практические рекомендации по управлению ИТ безопасностью. Cobit применяется для
контроля и аудита существующей системы управления информационными технологиями,
организации оперативного и стратегического управления ИТ, анализа расходов на ИТ
проекты и поддержку соответствующей инфраструктуры, соответствия требованиям
стандартам и регулирующим организациям, таких как SOX и COSO.
Посредством использования стандарта CobiT руководители ИТ
подразделений преобразуют задачи бизнеса в чёткие и понятные планы развития ИТ.
Основным преимуществом стандарта Cobit является его полнота и отчётливые
практические рекомендации и инструменты, с помощью которых можно построить
систему управления информационными технологиями корпорации и, в том числе,
эффективную систему управления рисками в ИТ. Таким образом, при использовании
методологии CobiT информационная система строится исходя из требований бизнеса и
условий жесткой экономии ресурсов, а также эффективного использования этих
ресурсов. Другими словами, стандарт CobiT описывает бизнес-ориентированный
подход к созданию информационной среды: ИТ рассматриваются в виде инструмента
бизнеса, а стандарт определяет принципы построения и организации работы ИТ
департамента.
Источник itexpert.ru
