Узнайте нужен ли в Вашей компании Service Desk

8 (495) 726-15-52

COBIT что это такое?

На сегодняшний день в мире существует огромное количество практик, библиотек и стандартов, которые предназначены для регулирования работы в ИТ сфере. Это практики, которые основаны на опыте наиболее успешных и крупных компаний. Они позволяют быстро и легко решать все возникающие стандартные ситуации и проблемы.

COBIT – что это такое? Это специальный подход, предназначенный для управления информационными технологиями. Он создан организацией ISACA, а также Институтом руководства ИТ еще в 1992 году. Такой подход предназначен для менеджеров, ИТ пользователей, аудиторов в виде утвержденных процессов, лучших практик, метрик, которые помогают получить максимальную выгоду от использования различных информационных технологий. Кроме того, такой подход позволяет разрабатывать и контролировать ИТ компании. Последняя версия COBIT представлена в виде процессного подхода.  

Важно понимать, что COBIT – это задачи управления для ИТ. Это стандарты, руководства в сфере управления ИТ аудита. Также здесь представлены практики для управления ИТ процессами. Такой инструмент связан непосредственно с ITIL, он постоянно обновляется и помогает взаимодействовать руководству, аудиторам и ИТ специалистам компании. Кроме того, он позволяет учитывать ИТ риски, которые связаны с применением какого-либо элемента ИТ-инфраструктуры.

В COBIT описаны механизмы управления, задачи, цели, всевозможные ИТ процессы, а также инструменты, позволяющие работать с ИТ-инфраструктурой, вопросы, относящиеся к ИТ безопасности. Необходимо понимать, что данный подход может быть практически бесполезен и неприспособлен для малых и средних компаний. Небольшой бизнес использует ИТ только для такой цели, как поддержка компьютерной сети и создание собственного сайта. Крупный бизнес может иметь более абстрактные задачи, поэтому для такой цели требуется более сложное и специализированное ИТ подразделение, как по своей структуре и задачам, так и по управлению ИТ. Для Высшего руководства крупной организации неинтересно собственно информационные технологии. Данное руководство в большей степени волнует то, как улучшить конкурентоспособность, повысить поток клиентов и решать иные, операционные или стратегические задачи. Соответствие таких требований – задачи для ИТ-директора.

Существенной пользой от применения COBIT является множество KPI. Это существующие показатели качества, стоимости по обработке информации, характеристики доставки такой информации до получателей. Также существуют специальные индикаторы, при помощи которых оценивается комфорт и стиль интерфейсов. Для управления ИТ при помощи COBIT применяется многоступенчатая схема, которая подразумевает подход от общего к индивидуальному. Вначале разрабатывают стратегии, а затем определяют политики в последовательном порядке, после чего реализуют ИТ-стратегии. Стоит отметить, что COBIT можно использовать сразу в двух направлениях: для аудита и для создания идеальной ИТ структуры.

ИТ аудит COBIT

Достаточно важной книгой в COBIT является специальное руководство по аудиту. Здесь описывается, как проводить проверку ИТ-процессов и задач управления, которые определяются в концептуальном ядре данного подхода. Соответственно, аудитор может определить адекватность системы управления и предоставить рекомендации по ее улучшению.

В соответствии с COBIT основная цель ИТ-аудита – это предоставление руководству компании гарантий по эффективному выполнению задач управления. Также ИТ аудит улучшает информационную систему, увеличивает уровень ее безопасности, эффективности процессов управления. Самой распространенной моделью, оценивающей механизмы управления, можно назвать классическую модель. Важно соответствие этой модели критериям аудита. Они определяются при помощи стандарта и других нормативных документов. Еще одним популярным подходом можно назвать модель анализа рисков. Здесь критерии аудита создаются на оценке рисков. Каждая из этих моделей применяется на практике в ходе проведения ИТ-аудита, основанного на COBIT.

Существуют определенные уровни описания самой процедуры аудита. И такой подход основывается на конкретных элементах. Это концептуальное ядро COBIT, которое определяет аппарат понятий и классификации ИТ процессов. Также оно определяет информационные критерии и ИТ ресурсы. Следующий элемент – это общие требования к аудиту ИТ-процессов. Такие требования есть в «Планировании и выработке стратегии аудита», а также в «Обобщенной схеме руководства по аудиту». Дополнительным элементом являются общие принципы управления, которые представлены в «Общих замечаниях по оценке процессов управления». Каждая инструкция и требование используется только как вспомогательное средство и методология в процессе разработки определенных программ для осуществления ИТ аудита. Они не заменяют методики, которые используются аудиторами, но при этом активно применяются в процессе аудита.

Аудит ИТ по COBIT позволяет получить определенные критерии по оценке процессов управления информационными технологиями. Для механизмов управления существуют такие критерии:

  • Подотчетность и возможность распределения ответственности. Для рабочей модели управления вся ответственность за бизнес-процессы должна быть распределена. Также устанавливается ответственность для каждого сотрудника и должностного лица. В противном случае не будет происходить движение управляющей информацией и различные корректирующие действия не станут предприниматься.
  • Стандарты и возможные отклонения. Что касается стандарта по оценке эффективности, то он может быть совершенно разным. То есть, это могут быть высокоуровневые стратегии и индикаторы производительности. Стандарты, которые представлены в документах, имеют актуальное состояние – это важный критерий в показателе эффективности системы управления информационными технологиями.  Для каждого ИТ процесса должны быть точно определены допустимые отклонения от стандарта.
  • Еще одним компонентом являются информационные критерии. Основой для того, чтобы система управления ИТ-процессами функционировала, является актуальность и пригодность информации для управления.

Планирование проведения аудита в первую очередь подразумевает границы его осуществления. При этом анализируются такие процессы как структура бизнес-процессов, структура информационной системы, которая поддерживает бизнес-процессы, структура распределения ответственности, в том числе и аутсорсинговых функций. Также к таким данных относятся бизнес-риски и стратегии.

Основные этапы аудита

После того как будут разработаны план и стратегии для проведения ИТ аудита, осуществляется сам аудит. А после его проведения выполняется разработка рекомендаций и составление отчетности. Сам аудит имеет 4 этапа, которые реализуются последовательно:

  1. В первую очередь происходит идентификация, осуществляется сбор и анализ информации.
  2. Во-вторых, осуществляется оценка механизмов управления.
  3. Следующим шагом является тест соответствия.
  4. На последнем этапе проводится детальное тестирование.

На первом этапе идентифицируются механизмы управления, осуществляется сбор, анализ информации. Для этого проводится опрос сотрудников, руководства компании, чтобы выяснить несколько вопросов. Они касаются требований, рисков в бизнесе, организационной структуры, распределения ролей, политик и процедур, требований в нормативной базе и т. д.

При оценке рисков учитывается политика организации, идентифицируются и измеряются риски, определяется стоимость, эффективность для организации контрмер, проводятся формальные процедуры, которые дают возможность определить цели механизмов управления.

Тест на соответствие – это такой этап, где основной задачей является получение гарантий того, что имеющиеся механизмы управления являются пригодными. Проверка выполняется так, чтобы были получены свидетельства о том, что все процедуры осуществляются правильно.

Детальное тестирование является заключительным этапом. Его цель – это оценка, обоснование рисков, которые связаны с невыполнением задач по управлению благодаря применению аналитических методов и оценок экспертов. Самой последней целью является то, чтобы руководство выполнило корректирующие действия. Это необходимо для того, чтобы улучшить состояние системы управления компании. Все недостатки механизмов управления, рисков документируются, а затем проводится сравнительное тестирование.

Очень важно понимать, что представляет собой структура COBIT, а также из чего исходит такой подход. Такой подходит исходит от того, что ИТ-инфраструктура представляет собой управление информацией. И оценивается такая информация по нескольким критериям. В первую очередь это продуктивность, которая обеспечивает доступность информации при экономичном и эффективном использовании ресурсов. Во-вторых, это эффективность, которая предусматривает актуальную и своевременную информацию. В-третьих, это конфиденциальность, благодаря которой обеспечивается защита информации от различных несанкционированных попыток доступа. Также к таким критериям относят целостность, в соответствии с которой вся информация должна быть достоверной, полной и максимально точной. Согласованность – это соответствие законодательству, а также разнообразным актам, уставам, нормативным документам, договорам. Кроме того, нужно отметить пригодность и простоту доступа, благодаря которым можно получать и использовать информацию для применения в бизнес-процессах. А надежность позволяет отражать настоящее положение дел, которое необходимо для принятия различных управленческих решений.

Прошло достаточно немного времени с тех пор, как концепция COBIT смогла из простого руководства по ИТ-аудиту эволюционировать в бизнес-модель, предназначенную для руководства и управления ИТ в крупной компании. На сегодняшний день текущей версией является COBIT 5. Здесь представлено пять главных принципов:

  1. Первый принцип основан на том, чтобы происходило соответствие потребностям сторон. Такими сторонами являются владельцы предприятия, владельцы акций организации, сотрудники компании и другие люди, которые заинтересованы в том, чтобы такая компания приносила прибыль. Философия данного принципа основана на том, что у каждой заинтересованной стороны будут свои интересы, связанные с компанией. Поэтому в зависимости от выбранной стратегии будет определяться то, какой подход будет выбран для управления организацией. Все это означает, что интересы каждой стороны нужно определенным образом конвертировать в стратегию предприятия.
  2. Второй принцип заключается в том, чтобы был осуществлен комплексный взгляд на компанию. В данном принципе основная мысль заключается в том, что информация и различные информационные технологии, которые применяются в компании, не являются самодостаточными. Они лишь часть всего экономического процесса, позволяющего создать ценность. Это означает, что ИТ и информацией нужно управлять по тем же принципам, по которым в компании управляют любыми другими активами. Но руководство кроме ценности включает в себя и другие элементы. Это могут быть факторы влияния, сферы охвата или применения, виды деятельности, отношения. Факторы влияния относятся к руководству, так как они представляют собой инструменты, с помощью которых и осуществляется руководство. Если говорить об области руководства, то здесь все еще проще. Руководство может осуществляться не только в целом всем предприятием, но и отдельными подразделениями или филиалами. Если говорить о ролях, видах деятельности, отношениях, то это будет показывать, кто, как и каким подразделением руководит.
  3. Третий принцип основан на применении единой интегрированной методологии. Если говорить о представленной методологии, то она позволяет интегрировать только все самое лучшее, что можно взять из самых разнообразных подходов. COBIT не противоречит ни одному из подходов, которые относятся к общему руководству предприятием и информационным технологиям.
  4. В четвертом принципе обеспечивается целостность подхода. В этом принципе детально рассматриваются факторы влияния. Но здесь рассказывается о том, как должен мыслить руководитель, чтобы получить лучший результат. Даже в официальном документе говорится о том, что принимается во внимание набор факторов влияния. То есть, для того, чтобы принимались правильные решения, должен учитываться системный характер принятия мер руководства и управления.
  5. Пятый принцип предлагает разделять руководство и управление. Руководство способно обеспечить уверенность в том, что будут достигнуты цели при помощи выверенной оценки потребностей всех сторон, установления вектора по развитию и принятию решений, непрерывного мониторинга по соответствию продуктивности и уровня выполнения требований направления тем целям, которые преследует предприятие.

Если говорить об управлении, то оно представляет собой планирование, построение, осуществление деятельности в соответствии с тем направлением, которое задано органом руководства. При этом обязательно учитываются стратегические цели компании.

Все это означает, что после внедрения модели управления, которая будет соответствовать рекомендациям COBIT, многие рабочие процессы будут автоматизированы в соответствии с лучшими практиками. При этом в каждом отделе представлен детальный механизм по внедрению и мониторингу, благодаря чему в компании не появятся структуры и подразделения, которые непонятно чем занимаются.