Управление и аудит инвестиций в ИТ

COBIT как методика аудита процессов управления ИТ

СOBIT (Control Objectives for Information and related Technology) представляет собой систематизированный набор принципов и рекомендаций по проведению аудита процессов управления ИТ. Данная модель была впервые предложена профессиональной ассоциацией ISACA (The Information Systems Audit and Control Association) в 1996 году. Эта ассоциация позиционирует себя как международная организация, специализирующаяся на разработке общих стандартов в области аудита информационных систем. В 2000 году ее орган – Институт Управления ИТ, выпустил третье издание своих материалов. В случае с COBIT речь идет о позиционировании этой методологии как потенциального стандарта со стороны ее разработчиков.

Основной целью данного материала является формализованное определение лучших практик в области процессов управления ИТ для того, чтобы обеспечить определенный уровень согласованного подхода при оценке качества этих процессов. Модель COBIT предназначена, прежде всего, для использования внешними аудиторами, но может применяться также специалистами ИТ-служб организаций для планирования и самооценки процессов управления ИТ – то есть, фактически, для их оптимизации.

Модель COBIT определяет 34 ключевых процесса управления ИТ в организации, которые сгруппированы в 4 основные области (домены). Список этих доменов включает:

• Планирование и Организация (Planning and Organisation – PO).
• Приобретение и Реализация (Acquisition and Implementation – AI).
• Предоставление (реализация) и поддержка (Delivery and Support – DS).
• Мониторинг (Monitoring – M).

На следующем уровне в рамках этих 4-х доменов в стандарте определены 34 процесса, которые, в свою очередь, включают 318 различных задач. Список этих процессов верхнего уровня приведен в табл. 4.2.

В таблице буква "P" означает основной (primary) критерий, буква "S" – дополнительный (secondary), знак "+" отмечает применимость процесса для данного типа ресурсов.

Как можно видеть, на условном первом месте в списке процессов помещены такие процессы, как разработка ИТ-стратегии и формирование ИТ-архитектуры. Это является косвенным свидетельством той важной роли, которую данные процессы играют для всех информационных систем предприятия в целом.

Все процессы в COBIT определяются по одному и тому же шаблону: "процесс направлен на обеспечение первичных и вторичных Информационных критериев для бизнеса Предприятия, измеряемых с помощью набора Ключевых Целевых Показателей. Реализация процесса строится с учетом Критических факторов успеха, использует определенные Ресурсы, а ее характеристики измеряются с помощью набора метрик – Ключевых Показателей Производительности. Таким образом, оценка процесса может быть проведена с использованием количественных, измеримых параметров".

Для примера приведем определения соответствующих наборов показателей для двух процессов PO1 (Разработка стратегического плана развития) и PO2 (Разработка ИТ-архитектуры), представляющих для нас наибольший интерес с точки зрения создания и использования архитектуры и стратегии предприятия в области ИТ.