Опубликован: 03.05.2007 | Уровень: специалист | Доступ: платный
Лекция 4:

Управление и аудит инвестиций в ИТ

< Лекция 3 || Лекция 4: 123456 || Лекция 5 >

COBIT как методика аудита процессов управления ИТ

СOBIT (Control Objectives for Information and related Technology) представляет собой систематизированный набор принципов и рекомендаций по проведению аудита процессов управления ИТ. Данная модель была впервые предложена профессиональной ассоциацией ISACA (The Information Systems Audit and Control Association) в 1996 году. Эта ассоциация позиционирует себя как международная организация, специализирующаяся на разработке общих стандартов в области аудита информационных систем. В 2000 году ее орган – Институт Управления ИТ, выпустил третье издание своих материалов. В случае с COBIT речь идет о позиционировании этой методологии как потенциального стандарта со стороны ее разработчиков.

Основной целью данного материала является формализованное определение лучших практик в области процессов управления ИТ для того, чтобы обеспечить определенный уровень согласованного подхода при оценке качества этих процессов. Модель COBIT предназначена, прежде всего, для использования внешними аудиторами, но может применяться также специалистами ИТ-служб организаций для планирования и самооценки процессов управления ИТ – то есть, фактически, для их оптимизации.

Модель COBIT определяет 34 ключевых процесса управления ИТ в организации, которые сгруппированы в 4 основные области (домены). Список этих доменов включает:

  • Планирование и Организация (Planning and Organisation – PO).
  • Приобретение и Реализация (Acquisition and Implementation – AI).
  • Предоставление (реализация) и поддержка (Delivery and Support – DS).
  • Мониторинг (Monitoring – M).

На следующем уровне в рамках этих 4-х доменов в стандарте определены 34 процесса, которые, в свою очередь, включают 318 различных задач. Список этих процессов верхнего уровня приведен в табл. 4.2.

Таблица 4.2. Cписок процессов верхнего уровня модели COBIT
Информационные критерии ИТ-ресурсы
Домен Процесс

Эффектив-

ность (результат)

Эффектив-

ность (усилия)

Конфиден-

циальность

Целост-

ность

Доступ-

ность

Соответ-

ствие

Надеж-

ность

Лю-

ди

Прило-

жения

Техно-

логии

Средства (facilities)

Дан-

ные

Планирование

и

Организация

PO1 Разработка ИТ-стратегии P S + + + + +
PO2 Разработка ИТ-архитектуры P S S S + +
PO3 Мониторинг технологического развития P S + +
PO4 Формирование ИТ-службы и определение взаимосвязей P S +
PO5 Управление инвестициями в ИТ P P S + + + +
PO6 Распространение корпоративной информации P S +
PO7 Управление персоналом P P +
PO8 Обеспечение соответствия внешним требованиям P P S + + +
PO9 Управление рисками P S P P P S S + + + + +
PO10 Управление проектами P P + + + +
PO11 Управление качеством P P P S + + + +

Приобретение

и

Реализация

AI1 Идентификация автоматизируемых решений P S + + +
AI2 Приобретение и поддержка прикладного программного обеспечения P P S S S +
AI3 Приобретение и поддержка технологической инфраструктуры P P S +
AI4 Разработка и поддержка процедур P P S S S + + + +
AI5 Установка и прием в эксплуатацию систем P S S + + + + +
AI6 Управление изменениями P P P P S + + + + +

Предоставле-

ние и

поддержка

DS1 Определение и управление уровнями обслуживания P P S S S S S + + + + +
DS2 Управление услугами третьих сторон P P S S S S S + + + + +
DS3 Управление производительностью и мощностью P P S + + +
DS4 Обеспечение непрерывности обслуживания P S P + + + + +
DS5 Обеспечение безопасности P P S S S + + + + +
DS6 Идентификация и управление стоимостью P P + + + + +
DS7 Обучение пользователей P S +
DS8 Помощь клиентам P P + +
DS9 Управление конфигурациями P S S + + +
DS10 Управление проблемами и инцидентами P P S + + + + +
DS11 Управление данными P P +
DS12 Управление средствами P P +
DS13 Управление операциями P P S S + + + +
Мониторинг M1 Мониторинг процессов P P S S S S S + + + + +
M2 Обеспечение адекватности внутреннего контроля P P S S S P S + + + +
M3 Организация независимого контроля P P S S S P S + + + + +
M4 Обеспечение независимого аудита P P S S S P P + + + + +

В таблице буква "P" означает основной (primary) критерий, буква "S" – дополнительный (secondary), знак "+" отмечает применимость процесса для данного типа ресурсов.

Как можно видеть, на условном первом месте в списке процессов помещены такие процессы, как разработка ИТ-стратегии и формирование ИТ-архитектуры. Это является косвенным свидетельством той важной роли, которую данные процессы играют для всех информационных систем предприятия в целом.

Все процессы в COBIT определяются по одному и тому же шаблону: "процесс направлен на обеспечение первичных и вторичных Информационных критериев для бизнеса Предприятия, измеряемых с помощью набора Ключевых Целевых Показателей. Реализация процесса строится с учетом Критических факторов успеха, использует определенные Ресурсы, а ее характеристики измеряются с помощью набора метрик – Ключевых Показателей Производительности. Таким образом, оценка процесса может быть проведена с использованием количественных, измеримых параметров".

Для примера приведем определения соответствующих наборов показателей для двух процессов PO1 (Разработка стратегического плана развития) и PO2 (Разработка ИТ-архитектуры), представляющих для нас наибольший интерес с точки зрения создания и использования архитектуры и стратегии предприятия в области ИТ.

< Лекция 3 || Лекция 4: 123456 || Лекция 5 >
Грета Березовская
Грета Березовская
Александр Медов
Александр Медов

Здравствуйте, прошел курс МБА Управление ИТ-проектами и направил документы на получение диплома почтой. Подскажите, сроки получения оного в бумажной форме?

:

Вадим Жук
Вадим Жук
Беларусь, г.бобруйск
Владимир Гляделов
Владимир Гляделов
Россия, Набережные Челны