Введение в COBIT
Не секрет, что информация в современном мире играет ключевую роль и является самым ценным активом для любой организации. Стоимость информации и ее качество стали ключевыми факторами бизнеса. Согласно оценке Brookings Institute, 15 % рыночной стоимости организации находится в материальных активах, и 85% - в нематериальных, большая часть которых является информацией. Вместе с ростом ценности и значимости информации, возникла необходимость эффективного управления информационными технологиями. Если раньше бизнес не задумывался о роли и ценности ИТ-области, то теперь он хочет наладить взаимодействие, понять, какую пользу может принести ИТ и что он, бизнес, может сделать, чтобы содействовать развитию ИТ. При этом возникает необходимость в систематизации накопленных знаний, создании системы принятия решений и контроля. Перед руководством встает вопрос о выборе методологии, в соответствии с которой будут организованы основные процессы ИТ. В настоящее время существует множество стандартов и методологий, посвященных вопросам управления ИТ. Этот курс посвящен методологии COBIT, созданной организацией ISAСA. Ассоциация Аудита и Контроля Информационных Систем (ISACA) была основана в 1969 году для финансовых аудиторов в контроле ИТ. В настоящее время организация занимает одну из лидирующих ролей в области разработки стандартов по аудиту ИТ.
Control Objectives for Information and Related Technology (COBIT) представляет собой набор открытых документов, около 40 международных стандартов и руководств в области управления ИТ, аудита и информационной безопасности. Буквально на русский язык COBIT переводится как "Контрольные Объекты для Информационных и смежных Технологий", но в некоторых изданиях встречается более привычный для русского уха "Цели контроля для информационных и смежных технологий".
Вот как говорит о своей миссии сам COBIT:"Исследование, разработка, публикация и продвижение авторитетной, современной, международно-признанной методологии корпоративного управления в сфере ИТ, предназначенной для внедрения в организациях и повседневного использования бизнес менеджерами, специалистами в сфере ИТ и аудиторами".
Итак, основной целью COBIT является управление ИТ. Управление ИТ в свою очередь является неотъемлемой частью корпоративного управления. Корпоративное управление – комплекс управленческих решений и практик, применяемых высшим руководством с целью:
- определения стратегического направления;
- обеспечения достижения целей;
- адекватного управления рисками;
- эффективного использования корпоративных ресурсов.
Корпоративное управление и управление ИТ требуют баланса между целями, связанными с необходимостью соответствия требованиям и повышения эффективности, установленными высшим руководством. Ответственность за корпоративное управление лежит на Совете директоров и высшем руководстве.
В COBIT используется термин заинтересованные стороны. В первую очередь к ним относятся:
- Совет директоров и высшее руководство – определение направлений развития ИТ, оценка результатов и требования по исправлению недостатков;
- Руководители бизнес-подразделений – определение бизнес-требований к ИТ, обеспечение достижения пользы от ИТ и управление рисками;
- Руководство ИТ-служб – обеспечение и совершенствование ИТ-услуг в соответствии с требованиями бизнеса;
- Внутренний аудит/Служба внутреннего контроля (СВК)/ИТ-аудит – обеспечение независимой оценки, что ИТ предоставляет требуемые услуги;
- Управление рисками и Compliance – оценка соответствия нормативным документам с учетом рисков.
Ключевым понятием COBIT является сервис или услуга. Что же это такое? Сам COBIT ответа на этот вопрос не дает, а лишь приводит примеры. Предоставление доступа в Интернет или защищенного хранилища информации является услугой. Возьмем определение из публикаций ITIL, которые также посвящены управлению услугами. Услуга или сервис (от англ. service) – способ предоставления ценности заказчикам через содействие им в получении результатов на выходе, которых заказчики хотят достичь без владения специфическими затратами и рисками. Предоставление услуг является сложной и нетривиальной задачей, которая требует в первую очередь системы внутреннего контроля.
Основные принципы COBIT:
- цели ИТ должны соответствовать целям бизнеса;
- использование процессного подхода;
- система контроля ИТ должна быть избирательной, то есть определять основные ресурсы ИТ и работать с ними;
- цели контроля должны быть четко определены.
Современный подход к управлению услугами делает упор на взаимодействие бизнеса и ИТ. Раньше бизнес зачастую воспринимал ИТ-область как нечто несущественное и не требующее особого внимания. Теперь, когда от информационных технологий напрямую зависит прибыль компании, руководство хочет понять, какую пользу может принести ИТ, какие средства необходимо в нее инвестировать и как можно проконтролировать и измерить результаты. В свою очередь ИТ должна быть ориентирована, прежде всего, на потребности бизнеса, а не руководствоваться только своими целями и возможностями. Подводя итог, мы приходим к пониманию первого принципа COBIT – цели бизнеса и ИТ должны быть взаимосвязаны, но лидером этих "отношений" являются цели бизнеса.
Второй принцип – использование процессного подхода. COBIT выделяет 34 ИТ-процесса, которые объединяются в четыре домена. Такая структура позволяет систематизировать область и обеспечить организацию информации, необходимой для достижения ее бизнес-целей.
Принцип ранжирования ресурсов понятен. Не стоит следить за всеми ресурсами, а только за теми, которые влияют на бизнес-процессы и их результаты.
Определение целей, пожалуй, является одной из самых сложных и важных задач. В глобальном смысле руководство и менеджеры преследуют две цели – достижение поставленных бизнес-целей и предотвращение нежелательных событий ( или исправление их последствий). Например, инвестирование средств в систему резервного копирования никак не поможет напрямую бизнесу, то есть не принесет ему непосредственной выгоды. Но оно сможет помочь в случае сбоя для быстрого восстановления информации и нормального функционирования. Другой немаловажный вопрос для руководства – где необходимы улучшения, сколько нужно в них инвестировать и как измерить результат? COBIT дает руководству ИТ методологию для поиска ответов на указанные вопросы.
Ключевой составляющей управления ИТ является оценка процесса на основе предлагаемых COBIT моделях зрелости.
COBIT выделяет следующие ключевые области управления ИТ (рис.1.1):
- Соответствие стратегии обеспечивает связь бизнеса и ИТ, их соответствие друг другу;
- Полезность отвечает за реализацию того, что может принести ценность бизнесу, контроль за тем, чтобы ИТ обеспечивала определенные стратегией преимущества, оптимизацию затрат и подтверждение подлинной ценности ИТ.
- Управление ресурсами отвечает за управление критичными ИТ-ресурсами, оптимизацию инвестиций и должное руководство приложениями, информацией, инфраструктурой и персоналом.
- Управление рисками требует осведомленности высшего руководства в области рисков, четкого понимания корпоративного подхода в их отношении, соответствия требованиям прозрачности в отношении существенных рисков, включения функции управления рисками в практику организации.
- Оценка эффективности отвечает за контроль над реализацией стратегии, планов, использованием ресурсов и эффективностью процессов.
COBIT предназначен для:
- высшего руководства и Совета директоров;
- Бизнес и ИТ-менеджмента;
- профессионалов отдельных областей (безопасности, управления, аудита и т.п.).
Вот какие продукты включает COBIT 4.1:
- Совещание по вопросам управления сферой ИТ, второе издание (Board Briefing on IT Governance, 2nd Edition). Предназначено для высшего руководства для ответа на вопросы почему важно ИТ, как к ним относиться и как управлять.
- Руководство по внедрению управления сферой ИТ:Применение COBIT и Val IT TM, второе издание (IT Governance Implementation Guide: Using COBIT andVallTTM, 2ndEdition). Описывает процесс внедрения методологий COBIT и Val IT.
- Контрольные практики COBIT: Руководство по достижению целей контроля для успешного управления сферой ИТ, второе издание (COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition). Объясняет, зачем нужны меры контроля и как их организовать.
- Руководство по обеспечению надежности в сфере ИТ: применение COBIT (IT Assurance Guide: Using COBIT). Объясняет как использовать COBIT для обеспечения надежности.
На рис.1.2 изображены основные публикации COBIT и их аудитории. Существует также ряд продуктов по специфическим вопросам, в частности, аудиту и безопасности, которые не являются открытыми и за которые нужно платить. Данный курс основан на открытых публикациях, в частности, на российском издании COBIT 4.1, доступном на официальном сайте ISACA.
Итак, основная идея COBIT – ориентация ИТ на бизнес. В общем случае предлагаемая методология основана на следующем принципе – для того, чтобы организация обеспечила себя информацией, которая необходима для достижения ее бизнес-целей, организация должна инвестировать и управлять ресурсами ИТ посредством структурированного комплекса процессов, которые обеспечивают сервисы (услуги) для предоставления информации (рис.1.3).
Требования бизнеса обуславливают и направляют инвестиции в ресурсы ИТ. Ресурсы ИТ используются для обеспечения и поддержки процессов ИТ. Процессы ИТ работают с корпоративной информацией и производят ее. Результатом цикла является соответствие корпоративной информации требованиям бизнеса. COBIT выделяет следующие корпоративные требования к информации:
- полезность (результативность)– информация является значимой и имеет отношение к бизнес-процессам. Она получается регулярно, корректно, последовательно и в удобном виде;
- эффективность – информация получается посредством оптимального использования ресурсов;
- конфиденциальность – информация защищена от несанкционированного доступа и использования;
- целостность – исключено изменение информации субъектами, не имеющими на нее прав;
- доступность – субъекты, имеющие право доступа к информации, могут реализовывать его беспрепятственно;
- соответствие – информация соответствует законам, регулирующим актам и условиям контрактов.
- достоверность – руководству предоставляется вся необходимая информация для выполнения им своих обязанностей.
Рассмотрим составляющие рис.1.3 более подробно. Организация для достижения своих целей и рассмотренных требований к информации должна инвестировать средства в ИТ-область, в частности, в ресурсы. К ресурсам ИТ, согласно COBIT, относятся:
- приложения – прикладные системы и ручные процедуры для обработки информации;
- информация – данные в любой форме, введенные, обработанные и выведенные информационными системами в любой используемой бизнесом форме;
- инфраструктура – технологии и технические средства (аппаратное обеспечение, операционные системы, СУБД, сетевое оборудование), которые обеспечивают работу приложений.
- персонал – люди и их квалификация, необходимые для планирования, организации, приобретения, внедрения, работы, обслуживания, мониторинга и оценки информационных систем и ИТ-услуг. Персонал может быть внутренним и внешним, то есть привлеченным посредством аутсорсингового контракта.
Ресурсы ИТ обеспечивают выполнение процессов ИТ. В COBIT основные деятельности ИТ представлены в виде процессов ( об этом в следующей лекции), которые в свою очередь работают с корпоративной информацией и обеспечивают ее соответствие целям ИТ. Цели ИТ соответствуют целям и требованиям бизнеса, что в конечном итоге приводит нас к соответствию информации требованиям и целям бизнеса.
Методология COBIT (рис.1.4) связывает требования бизнеса к информации и управлению ею с целями ИТ.
Вот какие преимущества внедрения COBIT описаны в самом стандарте:
- достижение большего соответствия ИТ бизнесу, основанное на потребностях последнего;
- деятельность ИТ становится понятной бизнесу;
- процессный подход дает возможность четкого определения ролей и ответственностей;
- обеспечение большего соответствия требованиям регуляторов и законодательства;
- понимание заинтересованных сторон, основанное на построении тесного взаимодействия и использовании общего языка;
- выполнение требований COSO к контролю в сфере ИТ. COSO является общепризнанной методологией внутреннего контроля в организациях в целом (COBIT – для внутреннего контроля ИТ).
Подход к управлению ИТ, предлагаемый COBIT, позволит гарантировать согласованность целей бизнеса и ИТ, внедрение адекватных и своевременных мер контроля в соответствии с лучшими практиками и осуществить мониторинг эффективности ИТ.