IT Expert \ Библиотека \ Control Objectives for Information and related Technology (COBIT)

Control Objectives for Information and related Technology (COBIT)

CobIT – подход к управлению информационными технологиями, созданный Ассоциацией контроля и аудита систем (Information Systems Audit and Control Association - ISACA) и Институтом руководства ИТ (IT Governance Institute - ITGI) в 1992 году. Он предоставляет менеджерам, аудиторам и ИТ пользователям набор утверждённых метрик, процессов и лучших практик с целью помочь им в извлечении максимальной выгоды от использования информационных технологий и для разработки соответствующего руководства и контроля ИТ в компании. Первая редакция Cobit увидела свет в 1996 году. В настоящее время используется версия Cobit 4.1, выпущенная в мае 2007 года. Кардинальных новшеств Cobit 4.1 в себе не содержит, в его основе лежит процессный подход, система сбалансированных показателей BSC, модель зрелости SEI CMM/CMMI, PMBoK (методология проектного управления), а также подходы стандартов PRINCE2, TickIT, ITIL и другие.

Cobit ориентирован прежде всего на руководителей предприятий, ИТ менеджеров, и владельцев бизнес-процессов.

Ключевые области управления ИТ:

1. Соответствие стратегии делает акцент на связи между планами бизнеса и ИТ; выявлении, поддержке и контроле за ценностным предложением ИТ; а также на соответствии ИТ и бизнес операций.
2. Полезность представляет собой реализацию ценностного предложения, контроль за тем, чтобы ИТ обеспечивали определенные стратегией преимущества, сосредоточение на оптимизации затрат и подтверждение подлинной ценности ИТ.

3. Управление ресурсами посвящено вопросам, связанным с управлением критичными ИТ ресурсами, а именно, оптимизацией инвестиций и должному руководству приложениями, информацией, инфраструктурой и персоналом. Ключевые вопросы касаются оптимизации знаний и инфраструктуры.
4. Управление рисками требует осведомленности высшего руководства в области рисков, четкого понимания корпоративного подхода в их отношении, соответствия требованиям прозрачности в отношении существенных рисков, включения функции управления рисками в практику организации.
5. Оценка эффективности представляет собой контроль за реализацией стратегии, результатами проектов, использованием ресурсов, эффективностью процессов и сервисным обслуживанием. Для этого применяются, в частности, системы сбалансированных показателей, которые преобразуют стратегию в последовательность действий, результаты которых измеряются иными, по сравнению с бухгалтерским учетом, методами.

Концепция стандарта предполагает построение механизмов управления ИТ исходя из того, какая информация необходима для достижения бизнес-целей. При этом информация рассматривается как результат использования ИТ ресурсов, управление которыми осуще-ствляется в рамках ИТ процессов. ИТ ресурсы включают в себя приложения, информацию (данные в любой форме), инфраструктуру, персонал.

Для достижения целей бизнеса информация должна удовлетворять определённым критериям, которые в Cobit называют бизнес-требованиями к информации. Выделяют следующие бизнес-требования к информации или информационные критерии: эффективность, рациональность, конфиденциальность, целостность, доступность, соответствие нормам и надёжность информации. Механизмы управления включают в себя политики, организационные структуры, процедуры и регламенты. Задачей управления ИТ является формулировка желаемого результата или цели, которые должны быть достигнуты путём реализации механизмов управления в рамках конкретного ИТ процесса.

Концептуальное ядро CobiT 4.1 сформировано из 34 высокоуровневых процессов (которые покрывают порядка 200 целей контроля), сгруппированных в 4 домена (сферы деятельности):

Планирование и организация: включает стратегию и тактику, а также определение способов наиболее эффективного использования ИТ для достижения бизнес-целей. Регламентируемые процессы:

1. PO1 Разработка стратегического плана
2. PO2 Определение ИТ архитектуры
3. PO3 Определение направлений развития технологий
4. PO4 Формализация ИТ процессов, организации и взаимоотношений с бизнесом
5. PO5 Управление инвестициями в ИТ
6. PO6 Согласованное управление целями и задачами
7. PO7 Управление ИТ персоналом
8. PO8 Управление качеством
9. PO9 Оценка и управление ИТ рисками
10. PO10 Управление проектами

Приобретение и внедрение: для реализации ИТ стратегии нужно идентифицировать, разработать или приобрести соответствующие ИТ решения, которые должны быть внедрены и интегрированы в бизнес-процессы, а также внести изменения в информационные системы. Регламентируемые процессы:

1. AI1 Идентификация и выбор решений по автоматизации
2. AI2 Проектирование и разработка приложений
3. AI3 Проектирование и поддержка технической инфраструктуры
4. AI4 Обеспечение работы и использования ИС
5. AI5 Закупка ИТ ресурсов
6. AI6 Управление изменениями
7. AI7 Установка и утверждение решений и изменений

Предоставление и поддержка: включает предоставление требуемых информационных служб, в том числе обеспечение безопасности и непрерывности бизнеса, обучение, а также обработку данных прикладными системами. Регламентируемые процессы:

1. DS1 Определение и управление уровнями сервиса
2. DS2 Управление сервисами подрядчиков
3. DS3 Управление производительностью и мощностью
4. DS4 Обеспечение непрерывности сервисов
5. DS5 Обеспечение безопасности систем
6. DS6 Определение и распределение ИТ затрат
7. DS7 Обучение пользователей
8. DS8 Управление службой поддержки и инцидентами
9. DS9 Управление конфигурацией
10. DS10 Управление проблемами
11. DS11 Управление данными
12. DS12 Управление физическим оборудованием
13. DS13 Управление эксплуатацией

Мониторинг и оценка: качество и соответствие ИТ процессов требованиям контроля должны оцениваться на регулярной основе. Этот домен включает в себя надзор со стороны руководства за процессами управления в организации, а также независимый контроль со стороны внутренних и внешних аудиторов. Регламентируемые процессы:

1. ME1 Отслеживать и оценивать производительность ИТ
2. ME2 Отслеживать и оценивать внутренние контроли
3. ME3 Гарантировать соответствие регулирующим требованиям
4. ME4 Обеспечивать руководство ИТ

Домены соотносятся с традиционными сферами ответственности ИТ: планирование, внедрение, эксплуатация и мониторинг. Такая структура охватывает все аспекты управления и использования ИТ. Выполнение всех 34 высокоуровневых процессов позволяет гарантировать владельцу бизнес-процесса, что система управления ИТ является адекватной задачам бизнеса.

В CobiT детально описаны цели и принципы управления, объекты управления, чётко оп-ределены все ИТ процессы (для каждого процесса определены входы и выходы, исполнители и ответственные, а также объекты контроля и метрики) и требования к ним, описан возможный инструментарий (практики) для их реализации. В описании ИТ процессов также приведены практические рекомендации по управлению ИТ безопасностью. Cobit применяется для контроля и аудита существующей системы управления информационными технологиями, организации оперативного и стратегического управления ИТ, анализа расходов на ИТ проекты и поддержку соответствующей инфраструктуры, соответствия требованиям стандартам и регулирующим организациям, таких как SOX и COSO.

Посредством использования CobiT руководители ИТ подразделений преобразуют задачи бизнеса в чёткие и понятные планы развития ИТ. Основным преимуществом стандарта Cobit является его полнота и отчётливые практиче-ские рекомендации и инструменты, с помощью которых можно построить систему управления информационными технологиями корпорации. Таким образом, при использовании методологии CobiT информационная система строится исходя из требований бизнеса и условий жесткой экономии ресурсов, а также эффективного использования этих ресурсов. Другими словами, CobiT описывает бизнес-ориентированный подход к созданию информационной среды: ИТ рассматриваются в виде инструмента бизнеса, а стандарт определяет принципы построения и организации работы ИТ департамента.

---

Смотри также:

1. Описание курса GOVERN
2. Все курсы, экзамены, игры

CMK компании IT Expert сертифицирована по стандарту ISO 9001