Лекция № 12
Методология управления ИС COBIT
Оглавление
1.Понятие и основные принципы методологии COBIT.
2. Взаимосвязь
информационных технологий и бизнеса в методологии COBIT.
В современных
организациях, в которых информационные технологии являются неотъемлемой частью
деятельности, перед руководством часто встает вопрос о выборе методологии, в
соответствии с которой будут организованы основные процессы ИТ. В настоящее
время существует множество стандартов и методологий, посвященных вопросам
управления ИТ. Одной из них является методология COBIT.
COBIT (сокращение от Control Objectives for Information and Related Technology,
«Задачи информационных и смежных технологий») представляет собой пакет открытых
документов, около 40 международных и национальных стандартов и руководств в
области управления IT, аудита и IT-безопасности.
Создателем
COBIT
является Международная ассоциация аудита и контроля за информационными
системами (ISACA),
которая провела анализ и оценку практик управления информационными системами,
объединив лучшее из международных технических стандартов, стандартов управления
качеством, аудиторской деятельности, а также из практических требований и опыта.
Впервые будучи опубликованным в апреле 1996 года, COBIT с тех пор претерпел немало
изменений как в части структуры, так и по содержанию. На сегодняшний день для
наиболее полного описания руководства и управления ИТ на предприятии создано
целое семейство публикаций COBIT
5, среди основных областей внимания которых:
‒
Информационная безопасность;
‒
Управление рисками;
‒
Управление непрерывностью бизнеса;
‒
Управление качеством;
‒
Обеспечение соответствия требованиям регуляторов;
‒ Защита
интеллектуальной собственности.
COBIT, будучи единым
сборником рекомендаций, включает некоторые элементы таких концепций и
методологий, как Закон Сарбейнса-Оксли (Sarbanes-Oxley), Базельское
соглашение (Basel III), стандарты проектного
управления PRINCE2, PMBOK, методологии COSO, ITIL, TOGAF, PCI DSS. Среди данного
списка отсутствуют такие популярные руководства, как Val
IT и Risk IT, так как пятая версия интегрирует их
содержание.
Основной
целью COBIT является управление информационными технологиями. Управление информационными
технологиями в свою очередь является неотъемлемой частью корпоративного
управления. Корпоративное управление – комплекс управленческих решений и
практик, применяемых высшим руководством с целью:
·
определения стратегического направления;
·
обеспечения достижения целей;
·
адекватного управления рисками;
В COBIT используется
термин заинтересованные стороны. В первую очередь к ним
относятся:
Ключевым понятием COBIT
является сервис или услуга. Услуга или сервис (от англ. service) – способ предоставления ценности
заказчикам через содействие им в получении результатов на выходе, которых
заказчики хотят достичь без владения специфическими затратами и рисками.
Основные принципы
COBIT:
‒
цели ИТ должны соответствовать целям бизнеса;
‒
использование процессного подхода;
‒
система контроля ИТ должна быть избирательной, то есть определять основные
ресурсы ИТ и работать с ними;
‒
цели контроля должны быть четко определены.
Преимущества внедрения
COBIT:
‒
достижение соответствия ИТ бизнесу, основанное на его потребностях;
‒
деятельность ИТ становится понятной бизнесу;
‒
процессный подход дает возможность четкого определения ролей и
ответственностей;
‒
обеспечение соответствия требованиям регуляторов и законодательства;
‒
понимание заинтересованных сторон, основанное на построении тесного
взаимодействия и использовании общего языка;
‒
выполнение требований COSO к контролю в сфере ИТ. COSO является общепризнанной
методологией внутреннего контроля в организациях в целом (COBIT – для
внутреннего контроля ИТ).
Информационные
технологии должны быть ориентированы, прежде всего, на потребности бизнеса, а
не руководствоваться только своими целями и возможностями.
Пятая версия COBIT
связывает информационные технологии и цели бизнеса при помощи четырех измерений
Системы сбалансированных показателей (BSC).
Система
сбалансированных показателей (Balanced
ScoreCard)
– это методология управления организацией, основанная на оценке финансовых и
нефинансовых показателей, которая отражает всю деятельность предприятия через
призму четырех составляющих: финансовая, клиентская, внутренних
бизнес-процессов, обучение и развитие.
В соответствии с
Системой сбалансированных показателей определяются цели предприятия, которые в
свою очередь реализуют потребности заинтересованных сторон (в реализации выгод,
оптимизации рисков или оптимизации ресурсов). В дальнейшем цели предприятия
переводятся в плоскость ИТ-целей.
Пример.
Допустим, бизнес-целью является «Обеспечить
корпоративную репутацию и лидерство». Эта цель может быть измерена числом
инцидентов, вызывающих публичные проблемы. В таком случае ИТ-целью
будет «Обеспечить защиту и восстановление ИТ-сервисов
от атак», индикатором для которой является «Число ИТ-инцидентов
с последствиями для бизнеса».
Для
того, чтобы организация обеспечила себя информацией, которая
необходима для достижения ее бизнес-целей,
организация должна инвестировать и управлять ресурсами ИТ посредством сервисов (услуг) (Рис.1).
Рис.
1. Ориентация COBIT на бизнес.
Требования
бизнеса обуславливают и направляют инвестиции в ресурсы ИТ. Ресурсы ИТ
используются для обеспечения и поддержки процессов ИТ. Процессы ИТ работают с
корпоративной информацией и производят ее. Результатом цикла
является соответствие корпоративной информации требованиям бизнеса. COBIT
выделяет следующие корпоративные требования к информации:
·
полезность;
Организация
для достижения своих целей и рассмотренных требований к информации должна
инвестировать средства в ИТ-область, в частности, в
ресурсы. К ресурсам ИТ, согласно COBIT, относятся:
Ресурсы
ИТ обеспечивают выполнение процессов ИТ. В COBIT основные деятельности ИТ
представлены в виде процессов, которые в свою очередь работают с корпоративной
информацией и обеспечивают ее соответствие целям ИТ. Цели ИТ соответствуют
целям и требованиям бизнеса, что в конечном итоге приводит нас к соответствию
информации требованиям и целям бизнеса. Графически это можно отобразить в виде
куба (Рис. 2).
Рис.
2. Куб COBIT
COBIT делит всю деятельность ИТ на 5 доменов (группы или сферы
деятельности), которые включают 37
процессов (в версии COBIT
5).
В
терминах COBIT
процесс – набор задач (действий), объединенных естественным образом и содержащих
детальные цели контроля. Цели контроля описывают требования по эффективному
контролю и представляют собой:
‒
Формулировки управленческих действий,
‒ Политики,
процедуры, практики, организационные структуры.
Процессы таким образом
объединяются в следующие домены:
1) Координация,
планирование и организация, APO
(Align,
Plan,
Organise)
– 13 процессов.
Согласованность ИТ-стратегии с бизнесом и корпоративной стратегией,
обеспечение соответствия ИТ потребностям бизнеса, вопросы управления
инвестициями в ИТ и оптимального использования имеющихся ИТ-ресурсов.
2) Разработка, приобретение
и внедрение, BAI (Build,
Acquire, Implement) – 10 процессов.
Выбор платформ и
инфраструктурных ресурсов для соответствия потребностям бизнеса, вопросы
интеграции систем и управления изменениями.
3) Предоставление,
обслуживание и поддержка, DSS (Deliver, Service, Support)
– 6 процессов.
Управление уровнем
обслуживания и обеспечение непрерывности бизнеса, управление информационной
безопасностью.
4) Мониторинг, оценка и
анализ, MEA (Monitor, Evalutate,
Assess)
– 3 процесса.
Обеспечение обратной
связи: «эффективность ИТ» – «цели бизнеса», корпоративное управление ИТ и
оценка эффективности ИТ.
5) Оценка, задание
направления и мониторинг, EDM (Evaluate,
Direct,
Monitor)
– 5 процессов.
Отсутствует в COBIT 4.1. Именно в подобной модели
процессов и становится более очевидной связь с ITIL и TOGAF в силу
использования соответствующей терминологии и сходства упоминаемых процессов.
Для каждого процесса
определены:
1. Ключевые индикаторы
достижения цели (KGI) – метрики, которые показывают руководству, достигнуты ли
цели бизнеса с помощью ИТ-процесса, и в какой
степени.
2. Ключевые показатели
эффективности (KPI) – метрики, которые показывают, насколько хорошо работает ИТ-процесс.
3. Степень зрелости
процесса – определяется по шкале от 0 до 5
и помогает организациям понять, где они сейчас находятся и куда могут
прийти в будущем.
Ключевой составляющей
управления ИТ является оценка процесса на основе предлагаемых COBIT моделях
зрелости.
Рис.
3. Ключевые области управления ИТ.
COBIT выделяет
следующие ключевые области управления ИТ (Рис. 3):
- Соответствие стратегии обеспечивает связь бизнеса и ИТ, их
соответствие друг другу;
- Полезность отвечает за реализацию того, что может принести ценность
бизнесу, контроль за тем, чтобы ИТ обеспечивала определенные стратегией
преимущества, оптимизацию затрат и подтверждение подлинной ценности ИТ.
- Управление ресурсами отвечает за управление критичными ИТ-ресурсами, оптимизацию инвестиций и должное руководство
приложениями, информацией, инфраструктурой и персоналом.
- Управление рисками требует осведомленности высшего руководства в
области рисков, четкого понимания корпоративного подхода в их отношении,
соответствия требованиям прозрачности в отношении существенных рисков,
включения функции управления рисками в практику организации.
- Оценка эффективности отвечает за контроль над реализацией
стратегии, планов, использованием ресурсов и эффективностью процессов.
Модели зрелости предназначены
для управления и контроля ИТ-процессов. Зрелость процесса
– понятие, характеризующее степень, в
которой бизнес может положиться на определенный процесс, ведущий к достижению
желаемых целей.
Модель зрелости, предлагаемая COBIT, аналогична
модели зрелости архитектуры предприятия и содержит шесть уровней зрелости: от "несуществующего"
(0) до "оптимизированного"(5):
0 – Несуществующий.
Процессы управления не применимы вообще.
1 –
Начальный/Повторяющийся эпизодически и бессистемно. Процессы используются
разово или в отдельных случаях и не организованы должным образом.
2 – Повторяющийся, но
интуитивный. Процессы повторяются по образцу.
3 – Определенный.
Процессы документально оформлены и доведены до сведения заинтересованных лиц.
4 – Управляемый и
измеряемый. Ведется мониторинг процессов в измеряемых показателях.
5 – Оптимизированный.
Лучшие практики внедрены и оптимизированы.
На нулевом, самом
нижнем уровне о зрелости речь вообще не идет, системы управления ИТ как таковой
не существует, а необходимость ее создания не осознается. Наблюдается полное
отсутствие управляемых ИТ-процессов. Также
отсутствует общая стратегия развития ИТ.
В организациях,
находящихся на первом уровне зрелости, руководство начинает осознавать
необходимость реализации комплексного подхода к управлению ИТ. На этом уровне
еще не существует стандартизированных ИТ-процессов.
Руководство только начинает задумываться о получении возврата инвестиций,
сделанных в ИТ, не располагая, однако, методикой оценки их эффективности. Связь
между бизнес-целями и деятельностью ИТ-департамента отсутствует.
На втором уровне
зрелости уже существуют стандартизированные ИТ-процессы,
однако они не документированы и пока не являются частью системы управления. На
этом уровне осознана необходимость внедрения системы управления ИТ. Руководство
организации принимает активное участие в формировании управляемых ИТ-процессов. Однако сказывается недостаток опыта
управления ИТ: используется ограниченное количество механизмов управления и
показателей эффективности.
На третьем уровне все
процедуры стандартизированы и документированы, а сотрудники обучены их
использованию. Деятельность ИТ-отдела
регламентирована этими процедурами. Однако механизмы контроля качества
выполнения процедур пока не работают, а сами процедуры далеки от совершенства,
и об их оптимизации говорить не приходится.
Четвертый уровень
зрелости характеризуется наличием системы контроля качества ИТ-процессов.
Это позволяет выявлять неэффективно действующие механизмы управления ИТ-системой и постоянно работать над повышением их
эффективности. На этом уровне существуют управляемые ИТ-системы.
На высшем уровне
система управления ИТ отличается от предыдущего по существу лишь более высоким
уровнем оптимизации ИТ-процессов, которые являются
управляемыми и измеряемыми. Информация о выполнении каждого ИТ-процесса
фиксируется. ИТ являются эффективным инструментом бизнеса, а система управления
ими - одной из составных частей системы управления организацией.
Каждому уровню зрелости соответствует
определенный набор требований. При этом COBIT не регламентирует, что для
перехода на следующий уровень процесс должен выполнить абсолютно все требования
предыдущих уровней. Любой процесс в той или иной мере выполняет определенное
количество требований каждого уровня – Рис
4.
Рис. 4. Возможная
модель зрелости для ИТ-процесса.
На Рис. 4 показан
процесс, который по уровню зрелости больше
соответствует 4 уровню, так как выполняет большинство требований данного
уровня. Конечно, если требования более низких уровней зрелости частично не
выполняются, может возникнуть ряд проблем, но в то же время показанный
на Рис. 4 процесс выполняет ряд требований 5-го уровня.
Использованная при
составлении лекции литература:
1. Зараменских
Е.П. Управление жизненным циклом информационных систем: монография / Е.П. Зараменских. – Новосибирск: Издательство ЦРНС, 2014. – 270
с.
2. НОУ ИНТУИТ, Курс: Управление
ИТ на основе COBIT 4.1: www.intuit.ru