COBIT и связанные методики

Процессная модель COBIT

Процессная модель COBIT организована следующим образом. Всего имеется 34 процесса, сгруппированных в четыре процессные области. Перечень областей и составляющих их процессов приведен ниже.

Процессная область " Планирование и организация^{2англ. Plan and Organize} " включает следующие процессы:

• разработка стратегического плана развития ИТ;
• определение информационной архитектуры;
• определение направления технологического развития;
• разработка ИТ-процессов, методов организации и взаимосвязей;
• управление ИТ-инвестициями;
• информирование о директивных целях и направлениях развития ИТ;
• управление персоналом;
• управление качеством;
• оценка ИТ-рисков и управление ими;
• управление проектами.

Процессная область " Приобретение и внедрение^{3англ. Acquire and Implement} " включает процессы:

• выбор программного решения;
• проектирование, разработка и поддержка программного обеспечения;
• приобретение и поддержка технологической инфраструктуры;
• обеспечение использования;
• приобретение ИТ-ресурсов;
• управление изменениями;
• установка и формальная приемка.

Процессная область " Эксплуатация и сопровождение^{4англ. Deliver and Support} " включает следующие процессы:

• определение уровней обслуживания и управление ими;
• управление услугами сторонних организаций;
• управление производительностью и мощностями;
• обеспечение непрерывности обслуживания;
• обеспечение безопасности систем;
• определение и распределение затрат;
• обучение и подготовка пользователей;
• управление службой поддержки и инцидентами;
• управление конфигурацией;
• управление проблемами;
• управление данными;
• управление физической защитой ИТ-ресурсов;
• управление функционированием.

Процессная область " Мониторинг и оценка^{5англ. Monitor and Evaluate} " включает следующие процессы:

• мониторинг и оценка эффективности ИТ;
• мониторинг и оценка системы управления ИТ;
• обеспечение соответствия внешним требованиям;
• обеспечение корпоративного управления ИТ.

В большинстве случаев названия процессов достаточно точно выражают их смысл. Первое, что обращает на себя внимание, - это очень высокий уровень абстракции при описании процессов. Примерами могут служить процессы "Управление проектами" или "Проектирование, разработка и поддержка программного обеспечения". Второе - это несомненное близкое родство процессов процессной области "Эксплуатация и сопровождение" с процессами ITIL v.2 (см. рис. 10.1). Учитывая, что процессная область "Приобретение и внедрение" по существу представляет собой просто высокоуровневую модель управления жизненным циклом систем, а такие процессы, как "Управление проектами", "Управление качеством", "Разработка ИТ-процессов, методов организации и взаимосвязей", "Управление ИТ-инвестициями", "Мониторинг и оценка эффективности ИТ", "Обеспечение корпоративного управления ИТ" и некоторые другие были с разной степенью детальности описаны в рассмотренных ранее процессных стандартах, можно утверждать, что собственный вклад COBIT в процессные модели управления ИТ ограничивается несколькими процессами стратегического управления из процессной области "Планирование и организация" и процессом "Обеспечение соответствия внешним требованиям" из области "Мониторинг и оценка".

Для того чтобы оценить величину этого вклада, я ниже рассмотрю в качестве примера процесс "Разработка стратегического плана развития ИТ".

В COBIT формулируются так называемые требования к управлению, одинаковые для всех процессов. Эти требования выглядят следующим образом (нумерация сохранена):

" PC1. Цели и задачи процесса

Определить конкретные, измеримые, выполнимые, реалистичные, нацеленные на результат и привязанные ко времени^{6В оригинале используется аббревиатура SMARRT, которая обычно означает Specific, Measurable, Actionable, Realistic, Results-oriented, Timely, хотя встречаются и другие варианты расшифровки.} цели и задачи процесса и цели управления для обеспечения результативности каждого ИТ-процесса. Обеспечить их связь с целями бизнеса и поддержку их метриками. Сделать эти цели доступными для заинтересованных лиц.

PC2. Владение процессом

Назначить владельца для каждого ИТ-процесса и явно определить его роли и ответственности. Включить, например, ответственность за структуру процесса, его взаимодействие с другими процессами, единоличную ответственность за конечный результат, измерение эффективности и определение возможностей улучшения.

PC3. Повторяемость процесса

Спроектировать и внедрить каждый ИТ-процесс так, чтобы он был повторяемым и устойчиво генерировал ожидаемые результаты. Разработать разумную, но гибкую^{7в оригинале - logical but flexible} ( sic! - АБ ) и масштабируемую последовательность активностей, которая приводит к желаемому результату, и достаточно адаптивную, чтобы реагировать на исключительные и непредвиденные ситуации. Использовать устойчивые процессы всегда, когда это возможно, перекраивая их только по необходимости.

PC4. Роли и ответственности

Определить ключевые активности и выходные результаты каждого ИТ-процесса. Назначить однозначно определенные роли и ответственности для результативного и эффективного выполнения ключевых активностей и их документирование, а также определить единоличную ответственность за конечные результаты процесса; довести эту информацию до всех заинтересованных лиц.

PC5. Политики, планы и процедуры

Определить, как политики, планы и процедуры, управляющие ИТ-процессами, документируются, пересматриваются, сопровождаются, утверждаются, хранятся, доводятся до заинтересованных лиц и используются в целях обучения; в свою очередь, довести эту информацию до заинтересованных лиц. Назначить ответственных за каждое из перечисленных действий и периодически в назначенное время проверять, выполняются ли они корректно. Обеспечить, чтобы планы, политики и процедуры были доступны, корректны, правильно поняты и актуальны.

PC6. Повышение эффективности процессов

Определить набор метрик, обеспечивающих глубокое понимание выходов и эффективности процесса. Определить целевые значения, соответствующие целям процесса, и показатели эффективности, стимулирующие достижение целей процесса. Определить способ получения соответствующих данных. Сравнивать измеренные значения с целевыми и предпринимать действия при обнаружении отклонений, если это необходимо. Разрабатывать метрики, цели и методы в соответствии с глобальным подходом к мониторингу ИТ".

Смысл этих требований в том, чтобы проиллюстрировать общий методический подход, которым руководствовались авторы COBIT при разработке своей модели ИТ-процессов.