Процессный подход COBIT. Понятие контроля

2.1. Процессный подход

Как уже отмечалось ранее, COBIT использует процессный подход к управлению ИТ. Процессный подход предполагает представление основных деятельностей ИТ в виде процессов, состоящих из действий. В COBIT выделено 34 процесса ИТ.

Процесс - структурированный набор видов деятельности, спроектированный для достижения определенной цели. В общем, процесс представляет собой набор процедур, на которые оказывает влияние политика организации и процедур, происходящих из других источников, в том числе процессов. Процессы имеют четкие, обусловленные бизнесом, причины возникновения, ответственных владельцев, должностные обязанности, связанные с наполнением процесса и средства измерения эффективности.

Процессы имеют следующие характеристики:

1. Процессы измеряемы, то есть можно измерить процесс каким-либо подходящим методом. Менеджеры стремятся измерить в первую очередь стоимость и качество, а практикующие пользователи – продолжительность и продуктивность процесса.
2. Процессы служат для достижения конкретных результатов. Причина существования процесса – предоставление конкретного результата, который можно идентифицировать и посчитать.
3. Процессы имеют потребителей – каждый процесс предоставляет свои результаты потребителям или другим процессам. Потребители могут быть внутри или вне организации, но процессы в любом случае должны удовлетворять их ожиданиям.
4. Процессы состоят из действий. Действие (Activity) – основные виды деятельности, предпринимаемые в рамках процесса.

Процессы в свою очередь объединены в домены (рис.2.1). Домен (Domain) – группирование контрольных целей в логические этапы внутри жизненного цикла ИТ-инвестиций. COBIT выделяет 4 домена:

• Планирование и организация (PO) – определяет направления в отношении внедрения решений(AI) и обеспечения сервисов (DS).
• Приобретение и внедрение (AI) – обеспечивает внедрение решений и оказание сервисов на их основе.
• Эксплуатация и сопровождение(DS) – представляет решения и делает их применимыми для конечных пользователей.
• Мониторинг и оценка (ME) – выполняет контроль за всеми процессами.

На рис.2.1 изображена процессная модель COBIT, на рис.2.2 – взаимосвязь между доменами.

Рис. 2.1. Процессная модель COBIT

Рис. 2.2. Взаимосвязь доменов

Процессы домена "Планирование и организация" являются основополагающими, так как именно они определяют стратегию развития ИТ, цели, а также то, как ИТ поможет бизнесу в осуществлении поставленных бизнес-целей. Продуманность, целостность и рациональность стратегии приведет к успеху деятельности ИТ в целом. Процессы этого домена отвечают на следующие вопросы:

• Согласованы ли стратегия бизнеса и стратегия ИТ?
• Оптимально ли организация использует свои ресурсы?
• Достигнуто ли понимание целей ИТ?
• Осознаются ли ИТ-риски и как осуществляется управление ими?
• Соответствует ли качество ИТ-систем потребностям бизнеса?

Следующий домен "Приобретение и внедрение" отвечает за воплощение стратегии, принятой на этапе "Планирование и организация". Соответствующие ИТ-решения должны быть определены, разработаны или приобретены, а затем интегрированы в бизнес-процессы организации. Этот раздел также рассматривает внесение изменений в существующие технологии. Процессы этого домена отвечают на следующие вопросы:

• Решения, предлагаемые новыми проектами, отвечают требованиям бизнеса?
• Укладываются ли новые проекты в сроки и бюджет?
• Будут ли новые решения работать должным образом после внедрения?
• Получится ли внедрить изменения без сбоев в текущих бизнес-операциях?

Домен "Эксплуатация и сопровождение" посвящен непосредственному использованию услуг, их сопровождению и поддержке. Это включает в себя вопросы эксплуатации услуг, обеспечения их безопасности и непрерывности, поддержку пользователей, управление данными и операционной инфраструктурой. Процессы этого домена отвечают на следующие вопросы:

• Предоставляются ли услуги в соответствии с приоритетами бизнеса?
• Оптимизированы ли затраты на ИТ?
• Способен ли персонал использовать ИТ системы эффективно и безопасно?
• Обеспечивается ли должный уровень информационной безопасности (доступность, конфиденциальность и целостность информации)?

Последний домен "Мониторинг и оценка" отвечает за мониторинг процессов. Недостаточно просто внедрить процессы ИТ в организации, необходимо непрерывно контролировать их качество и соответствие требованиям. Этот домен отвечает на следующие вопросы:

• Как своевременно выявить проблемы, связанные с эффективностью ИТ-процессов?
• Эффективны ли меры внутреннего контроля?
• Как установить обратную связь между эффективностью ИТ и целями бизнеса?
• Обеспечивается ли должный уровень конфиденциальности, доступности и целостности информации?

Для каждого процесса в рамках домена COBIT определяет цели бизнеса и ИТ, которые поддерживает/обеспечивает данный процесс, а также то, как оценивается процесс, кто за него ответственен, из каких основных деятельностей он состоит и какие результаты приносит.

Понятно, что на практике организации, реализовавшие все, описанные COBIT, процессы, встречаются редко, более того, структура процессов отличается в зависимости от особенностей конкретной организации. 34 процесса – это своего рода идеальная структура организации управления ИТ, предлагаемая COBIT.