Add to collection(s) Add to saved
  1. No category

Методология Цели контроля Руководство по управлению

advertisement 
CobiT
4.1
Методология
Цели контроля
Руководство по управлению
Модели зрелости процессов
2008
Институт управления ИТ (The IT Governance Institute®)
Институт корпоративного управления информационными технологиями (IT Governance Institute, ITGI)
(www.itgi.org) был основан в 1998 году для обсуждения и выработки стандартов в области руководства и контроля информационными технологиями (ИТ). Эффективное руководство ИТ способствует достижению целей
бизнеса, оптимизации инвестиций в ИТ и, соответственно, позволяет управлять рисками и возможностями,
связанными со сферой ИТ. ITGI предлагает оригинальные исследования, данные в электронном виде и примеры из практики в помощь руководству организаций и Советам директоров, в области управления ИТ.
Заявление об ограничении ответственности
ITGI («Собственник») подготовил и опубликовал данное издание под названием COBIT® 4.1 («Произведение») в первую очередь как образовательное пособие для директоров по информационным технологиям,
высшего руководства, руководства службы ИТ и специалистов в области контроля. Собственник не утверждает, что использование Произведения может гарантировать успешные результаты. Данное произведение
не может рассматриваться как эксклюзивный источник надлежащей информации, процедур, тестов, равно
как и не исключает того, что другая информация, процедуры и тесты могут привести к аналогичным результатам. В определении правомерности какой-либо информации, процедуры или теста директора по ИТ,
высшее руководство, руководство службы ИТ и специалисты в области контроля должны руководствоваться собственными профессиональными суждениями, применительно к конкретным обстоятельствам
в условиях существующих систем или среды ИТ в целом.
Предупреждение о разглашении информации и авторских правах
© 2007, 2008 IT Governance Institute. Все права защищены. Никакая часть настоящей книги не может быть
воспроизведена или передана в какой бы то ни было форме и какими бы то ни было средствами, будь то
электронные или механические, включая фотокопирование и запись на какой-либо носитель, если на то
нет разрешения IT Governance Institute. Допускается частичное воспроизведение настоящей книги только
для внутренних, некоммерческих и академических целей при условии полной ссылки на источник.
This Work is translated into Russian from the English language version of COBIT4.1 by the Moscow Chapter of the
Information Systems Audit and Control Association (ISACA) with the permission of the IT Governance Institute.
The Moscow Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.
© 1996, 1998, 2000, 2005 IT Governance Institute (“ITGI”). All rights reserved. No part of this publication may
be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any
form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written
authorization of ITGI.
ITGI created COBIT4.1 (“Work”) primarily as an educational resource for controls professionals. ITGI makes no
claim that use of any of the Work will assure a successful outcome. The Work should not be considered inclusive
of all proper information, procedures and tests or exclusive of other information, procedures and tests that are
reasonably directed to obtaining the same results. In determining the propriety of any specific information, procedure
or test, the controls professional should apply his or her own professional judgment to the specific circumstances
presented by the particular systems or information technology environment.
IT Governance Institute
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
Phone: +1.847.590.7491
Fax: +1.847.253.1443
E-mail: info@itgi.org
Web site: www.itgi.org
Вдовин И. А.: перевод на русский язык, макет, верстка, дизайн обложки.
ISBN 978-5-9901321-1-5
COBIT® 4.1
БЛАГОДАРНОСТИ
Московский филиал ISACA благодарит:
Львов Борис Леонидович, CISA, CIA, CPA, Московский филиал ISACA, Россия
Лежнин Константин Петрович, CISA, CIA, Московский филиал ISACA, Россия
Альфа-Банк
Бучинский Василий Дмитриевич
Колганов Валерий Владиславович
Маланьин Алексей Валерьевич
Меднов Сергей Алексеевич
KPMG
Дроздов Андрей Валентинович, CISM, CISA, Московский филиал ISACA, Россия
Х5
Штернлиб Теймур Томазиевич
Гурская Екатерина Александровна
IT Governance Institute благодарит:
Экспертов-разработчиков и консультантов
Марк Адлер (Mark Adler), CISA, CISM, CIA, CISSP, Allstate Ins. Co., США
Питер Эндрюс (Peter Andrews), CISA, CITP, MCMI, PJA Consulting, Великобритания
Джорджес Атайя (Georges Ataya), CISA, CISM, CISSP, MSCS, PBA, Бизнес школа Solvay, Бельгия
Гари Остин (Gary Austin), CISA, CIA, CISSP, CGFM, KPMG LLP, США
Гари С. Бейкер (Gary S. Baker), CA, Deloitte & Touche, Канада
Дэвид Х. Барнетт (David H. Barnett), CISM, CISSP, Applera Corp., США
Кристин Беллино (Christine Bellino), CPA, CITP, Jefferson Wells, США
Джон В. Беверидж (John W. Beveridge), CISA, CISM, CFE, CGFM, CQA, Администрация государственного
аудитора в штате Массачусетс, США
Алан Бордман (Alan Boardman), CISA, CISM, CA, CISSP, Fox IT, Великобритания
Дэвид Боневелл (David Bonewell), CISA, CISSP-ISSEP, Accomac Consulting LLC, США
Дирк Брюндонкс (Dirk Bruyndonckx), CISA, CISM, KPMG Advisory, Бельгия
Дон Канилглиа (Don Canilglia), CISA, CISM, США
Луи А. Капуа (Luis A. Capua), CISM, Sindicatura General de la Naciуn, Аргентина
Бойд Картер (Boyd Carter), PMP, Elegantsolutions. ca, Канада
Дэн Касциано (Dan Casciano), CISA, Ernst & Young LLP, США
Шон В. Кейси (Sean V. Casey), CISA, CPA, США
Сушил Чаттерий (Sushil Chatterji), Edutech, Сингапур
Эд Чавеннс (Ed Chavennes), Ernst & Young LLP, США
Кристина Чен (Christina Cheng), CISA, CISSP, SSCP, Deloitte & Touche LLP, США
Дхармеш Чокси (Dharmesh Choksey), CISA, CPA, CISSP, PMP, KPMG LLP, США
Джеффри Д. Кустер (Jeffrey D. Custer), CISA, CPA, CIA, Ernst & Young LLP, США
Беверли Г. Дэвис (Beverly G. Davis), CISA, Federal Home Loan Bank of San Francisco, США
Питер Де Брюн (Peter De Bruyne), CISA, Banksys, Бельгия
Стивен Де Хейс (Steven De Haes), Школа менеджмента университета Антверпена, Бельгия
Питер Де Конинк (Peter De Koninck), CISA, CFSA, CIA, SWIFT SC, Бельгия
Филипп Де Пикер (Philip De Picker), CISA, MCA, Национальный Банк Бельгии, Бельгия
Кимберли де Врис (Kimberly de Vries), CISA, PMP, Zurich Financial Services, США
Роджер С. Дебресени (Roger S. Debreceny), Ph. D., FCPA, Университет Гавайи, США
Зама Дламини (Zama Dlamini), Deloitte & Touche LLP, ЮАР
Руперт Доддс (Rupert Dodds), CISA, CISM, FCA, KPMG, Новая Зеландия
Трой ДюМолин (Troy DuMoulin), Pink Elephant, Канада
Билл А. Дюрран (Bill A. Durrand), CISA, CISM, CA, Ernst & Young LLP, Канада
Юстус Экейгв (Justus Ekeigwe), CISA, MBCS, Deloitte & Touche LLP, США
Рафаэль Эдуардо Фабиус (Rafael Eduardo Fabius), CISA, Republica AFAP S. A., Уругвай
COBIT 4.1
Урс Фишер (Urs Fischer), CISA, CIA, CPA (Swiss), Swiss Life, Швейцария
Кристофер Фокс (Christopher Fox), ACA, PricewaterhouseCoopers, США
Боб Фрелингер (Bob Frelinger), CISA, Sun Microsystems Inc., США
Живэй Фу (Zhiwei Fu), Ph. D, Fannie Mae, США
Моник Гарсо (Monique Garsoux), Dexia Bank, Бельгия
Эдсон Джин (Edson Gin), CISA, CFE, SSCP, США
Саувик Гхош (Sauvik Ghosh), CISA, CIA, CISSP, CPA, Ernst & Young LLP, США
Гай Гронтер (Guy Groner), CISA, CIA, CISSP, США
Эрик Гилдентопс (Erik Guldentops), CISA, CISM, Школа менеджмента университета Антверпена, Бельгия
Гари Харди (Gary Hardy), IT Winners, ЮАР
Джимми Хешл (Jimmy Heschl), CISA, CISM, KPMG, Австрия
Бенджамин К. Хсайо (Benjamin K. Hsaio), CISA, Federal Deposit Insurance Corp., США
Том Хьюджхес (Tom Hughes), Acumen Alliance, Австралия
Могика Джайн (Monica Jain), CSQA, Covansys Corp., US
Уэйн Д. Джонс (Wayne D. Jones), CISA, Национальная аудиторская служба Австралии, Австралия
Джон А. Кэй (John A. Kay), CISA, США
Лиза Киньон (Lisa Kinyon), CISA, Countrywide, США
Родни Кокот (Rodney Kocot), Systems Control and Security Inc., США
Люк Кордел (Luc Kordel), CISA, CISM, CISSP, CIA, RE, RFA, Dexia Bank, Бельгия
Линда Костик (Linda Kostic), CISA, CPA, США
Джон В. Лайнхарт IV (John W. Lainhart IV), CISA, CISM, IBM, США
Филипп Ле Гран (Philip Le Grand), Capita Education Services, Великобритания
Эльза К. Ли (Elsa K. Lee), CISA, CISM, CSQA, AdvanSoft International Inc., США
Кенни К. Ли (Kenny K. Lee), CISA, CISSP, Countrywide SMART Governance, США
Дебби Лью (Debbie Lew), CISA, Ernst & Young LLP, США
Дональд Лорете (Donald Lorete), CPA, Deloitte & Touche LLP, США
Эдди С. П. Люи (Addie C. P. Lui), MCSA, MCSE, First Hawaiian Bank, США
Дебра Маллете (Debra Mallette), CISA, CSSBB, Kaiser Permanente, США
Чарльз Мансур (Charles Mansour), CISA, Charles Mansour Audit & Risk Service, Великобритания
Марио Микалеф (Mario Micallef), CPAA, FIA, National Australia Bank Group, Австралия
Нильс Тор Миккелсен (Niels Thor Mikkelsen), CISA, CIA, Danske Bank, Дания
Джон Митчелл (John Mitchell), CISA, CFE, CITP, FBCS, FIIA, MIIA, QiCA, LHS Business Control, Великобритания
Анита Монтгомери (Anita Montgomery), CISA, CIA, Countrywide, США
Карл Мюиз (Karl Muise), CISA, City National Bank, США
Джей С. Муннелли (Jay S. Munnelly), CISA, CIA, CGFM, Federal Deposit Insurance Corp., США
Санг Нгуен (Sang Nguyen), CISA, CISSP, MCSE, Nova Southeastern University, США
Эд О’Доннелл (Ed O’Donnell), Ph. D., CPA, Университет Канзаса, США
Сью Оуэн (Sue Owen), Department of Veterans Affairs, Австралия
Роберт Г. Паркер (Robert G. Parker), CISA, CA, CMC, FCA, Robert G. Parker Consulting, Canada
Роберт Пэйн (Robert Payne), Trencor Services (Pty) Ltd., ЮАР
Томас Фелпс IV (Thomas Phelps IV), CISA, PricewaterhouseCoopers LLP, США
Виктор Прииска (Vitor Prisca), CISM, Novabase, Португалия
Мартин Розенберг (Martin Rosenberg), Ph. D., IT Business Management, Великобритания
Клаус Розенквист (Claus Rosenquist), CISA, TrygVesata, Дания
Джако Сади (Jaco Sadie), Sasol, ЮАР
Макс Шанахан (Max Shanahan), CISA, FCPA, Max Shanahan & Associates, Австралия
Крейг В. Сильверторн (Craig W. Silverthorne), CISA, CISM, CPA, IBM Business Consulting Services, США
Чад Смит (Chad Smith), Great-West Life, Канада
Роджер Саутгейт (Roger Southgate), CISA, CISM, FCCA, CubeIT Management Ltd., Великобритания
Паула Спиннер (Paula Spinner), CSC, США
Марк Стенли (Mark Stanley), CISA, Toyota Financial Services, США
Дирк Е. Стюперер (Dirk E. Steuperaert), CISA, PricewaterhouseCoopers, Бельгия
Роберт Е. Страуд (Robert E. Stroud), CA Inc., США
Скотт Л. Саммерс (Scott L. Summers), Ph. D., Brigham Young University, США
Лэнс М. Туркато (Lance M. Turcato), CISA, CISM, CPA, City of Phoenix IT Audit Division, США
Вим Ван Гремберген (Wim Van Grembergen), Ph. D., Школа менеджмента университета Антверпена, Бельгия
6
COBIT 4.1
Джоан Ван Грикен (Johan Van Grieken), CISA, Deloitte, Бельгия
Грит Волдерс (Greet Volders), Voquals NV, Бельгия
Томас М. Вагнер (Thomas M. Wagner), Gartner Inc., США
Роберт М. Уолтерс (Robert M. Walters), CISA, CPA, CGA, Office of the Comptroller General, Канада
Фредди Витхэгельс (Freddy Withagels), CISA, Capgemini, Бельгия
Том Вонг (Tom Wong), CISA, CIA, CMA, Ernst & Young LLP, Канада
Аманда Ксю (Amanda Xu), CISA, PMP, KPMG LLP, США
Попечительский совет ITGI
Эверетт С. Джонсон (Everett C. Johnson), CPA, Deloitte & Touche LLP (в отставке), США, Международный
президент
Джорджес Атайя (Georges Ataya), CISA, CISM, CISSP, Бизнес школа Solvay, Бельгия, Вице-президент
Вильям С. Бони (William C. Boni), CISM, Motorola, США, Вице-президент
Авинаш Кадам (Avinash Kadam), CISA, CISM, CISSP, CBCP, GSEC, GCIH, Miel e-Security Pvt. Ltd., Индия,
Вице-президент
Жан-Луи Ленель (Jean-Louis Leignel), MAGE Conseil, Франция, Вице-президент
Лусио Аугусто Молина Фокаццио (Lucio Augusto Molina Focazzio), CISA, Колумбия, Вице-президент
Говард Николсон (Howard Nicholson), CISA, город Солсбери, Австралия, Вице-президент
Фрэнк Ям (Frank Yam), CISA, FHKIoD, FHKCS, FFA, CIA, CFE, CCP, CFSA, Focus Strategic Group, Гонконг,
Вице-президент
Мариос Даминиадес (Marios Damianides), CISA, CISM, CA, CPA, Ernst & Young LLP, США, Международный президент (в отставке)
Роберт С. Русси (Robert S. Roussey), CPA, University of Southern California, США, Международный президент (в отставке)
Рональд Саулл (Ronald Saull), CSP, Great-West Life and IGM Financial, Канада, член правления
Комитет по управлению IT
Тони Хэйс (Tony Hayes), FCPA, Queensland Government, Австралия, Председатель
Макс Бличер (Max Blecher), Virtual Alliance, ЮАР
Сушил Чаттерий (Sushil Chatterji), Edutech, Сингапур
Анид Йогани (Anil Jogani), CISA, FCA, Tally Solutions Limited, Великобритания
Джон В. Лайнхарт IV (John W. Lainhart IV), CISA, CISM, IBM, США
Румило Ломпарте (Rуmulo Lomparte), CISA, Banco de Credito BCP, Перу
Майкл Ширмбранд (Michael Schirmbrand), Ph. D., CISA, CISM, CPA, KPMG LLP, Австрия
Рональд Саул (Ronald Saull), CSP, Great-West Life Assurance and IGM Financial, Канада
Координационный комитет COBIT
Роджер С. Дебресени (Roger Debreceny), Ph. D., FCPA, Университет Гавайи, США, Председатель
Гари С. Бейкер (Gary S. Baker), CA, Deloitte & Touche, Канада
Дэн Касциано (Dan Casciano), CISA, Ernst & Young LLP, США
Стивен Де Хейс (Steven De Haes), Школа менеджмента университета Антверпена, Бельгия
Питер Де Конинк (Peter De Koninck), CISA, CFSA, CIA, SWIFT SC, Бельгия
Рафаэль Эдуардо Фабиус (Rafael Eduardo Fabius), CISA, Republica AFAP S. A., Уругвай
Урс Фишер (Urs Fischer), CISA, CIA, CPA (Swiss), Swiss Life, Швейцария
Эрик Гилдентопс (Erik Guldentops), CISA, CISM, Школа менеджмента университета Антверпена, Бельгия
Гари Харди (Gary Hardy), IT Winners, ЮАР
Джимми Хешл (Jimmy Heschl), CISA, CISM, KPMG, Австрия
Дебби А. Лью (Debbie A. Lew), CISA, Ernst & Young LLP, США
Максвелл Дж. Шанахан (Max Shanahan), CISA, FCPA, Max Shanahan & Associates, Австралия
Дирк Стюперер (Dirk E. Steuperaert), CISA, PricewaterhouseCoopers, Бельгия
Роберт Е. Страуд (Robert E. Stroud), CA Inc., США
Группа советников ITGI
Рональд Саул (Ronald Saull), CSP, Great-West Life Assurance and IGM Financial, Канада, член правления
Роланд Бадер (Roland Bader), F. Hoffmann-La Roche AG, Швейцария
Линда Бетц (Linda Betz), IBM Corporation, США
Жан-Пьер Корнью (Jean-Pierre Corniou), Renault, France
7
COBIT 4.1
Роб Клайд (Rob Clyde), CISM, Symantec, США
Ричард Грангер (Richard Granger), NHS Connecting for Health, Великобритания
Говард Шмидт (Howard Schmidt), CISM, R&H Security Consulting LLC, США
Алекс Сиу Ен Хонг (Alex Siow Yuen Khong), StarHub Ltd., Сингапур
Амит Йоран (Amit Yoran), Yoran Associates, США
Партнеры и спонсоры ITGI
Отделения ISACA
Американский Институт Сертифицированных Аудиторов (American Institute for Certified Public
Accountants)
ASIS International
Центр безопасности Интернет (The Center for Internet Security)
Ассоциация Содружества по корпоративному управлению (Commonwealth Association of Corporate
Governance)
FIDA Inform
Форум информационной безопасности (Information Security Forum)
Ассоциация безопасности информационных систем (The Information Systems Security Association)
Институт управления информационными системами (Institut de la Gouvernance des Systemes
d’Information)
Институт аудита управления (Institute of Management Accountants)
ISACA
ITGI Japan
Бизнес школа Solvay
Школа менеджмента университета Антверпена
Aldion Consulting Pte. Lte.
CA
Hewlett-Packard
IBM
LogLogic Inc.
Phoenix Business and Systems Process Inc.
Symantec Corporation
Wolcott Group LLC
World Pass IT Solutions
8
COBIT 4.1
СОДЕРЖАНИЕ
Общий обзор . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Методология COBIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Планирование и Организация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Приобретение и Внедрение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Эксплуатация и Сопровождение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Мониторинг и оценка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Приложение I. Модель зрелости для среды внутреннего контроля . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Приложение II. Глоссарий терминов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Ваши замечания по книге COBIT 4.1. приветствуются. Посетите сайт www.isaca.org / cobitfeedback, где Вы
можете оставить свои замечания.
Оª¬
Оª COBIT 4.1
ОБЩИЙ ОБЗОР
Для многих организаций информация и поддерживающие ее технологии представляют собой самые
ценные, хотя и зачастую не до конца понятные активы. Успешные организации осознают те выгоды,
которые предлагают информационные технологии и применяют их, повышая собственную ценность для
заинтересованных сторон. Эти организации также понимают и управляют связанными рисками, такими
как возрастание регулирующих требований и критическая зависимость многих бизнес процессов от информационных технологий (ИТ).
Потребность в уверенности относительно той пользы, которую дают ИТ, управление связанными с ИТ
рисками и растущие требования к контролю над информацией в настоящее время понимаются как ключевые элементы корпоративного управления. Ценность, риск и контроль составляют суть корпоративного
управления сферой ИТ.
Корпоративное управление сферой ИТ (далее — Управление ИТ) есть ответственность высшего
руководства и Совета директоров, которая включает в себя лидерство, организационные структуры
и процессы, обеспечивающие соответствие ИТ текущим и стратегическим целям организации.
Более того, управление ИТ интегрирует и структурирует лучшие практики для того, чтобы ИТ организации
оказывали помощь в достижении бизнес целей. Управление ИТ позволяет организации пользоваться всеми
преимуществами своей информации и тем самым максимизировать выгоду, извлекать прибыли из возможностей и получать конкурентные преимущества. Все это требует методологии для контроля ИТ, которая
соответствовала бы требованиям доклада Комитета спонсорских организаций Комиссии Тредуэя (COSO)
«Внутренний контроль — интегрированная методология», получившего широкое признание в качестве методологии контроля в области корпоративного управления и управления рисками.
Организации должны удовлетворять стандартам качества, требованиям безопасности и конфиденциальности
в отношении собственной информации, равно как и в отношении других активов. Руководство также должно
оптимизировать пользование доступными ИТ ресурсами, включающими в себя приложения, информацию,
инфраструктуру и персонал. Для того чтобы исполнить эти обязанности, а также достигнуть поставленных
целей, высшее руководство должно понимать статус корпоративной ИТ архитектуры и определить, какие
методы управления и контроля следует реализовывать на практике.
Издание «Цели контроля для информационных и смежных технологий» (COBIT®) устанавливает лучшие
практики на уровне доменов (групп ИТ процессов) и отдельных процессов и представляет действия в виде
управляемой и логичной структуры. Лучшие практики в COBIT основаны на консенсусе экспертов. Они в
большей степени ориентированы на контроль, нежели на исполнение. Эти нормы помогут оптимизировать
инвестиции в ИТ, обеспечить уверенность в уровне предоставляемых сервисов и выработать показатели, на
которые можно будет ориентироваться в случае неблагоприятного развития ситуации.
В сфере ИТ успешное предоставление сервисов в соответствии с требованиями бизнеса предполагает наличие
системы или методологии внутреннего контроля. Система контроля COBIT отвечает этим потребностям,
поскольку:
• Связана с требованиями бизнеса.
• Организует виды ИТ деятельности в виде понятной процессной модели.
• Определяет основные ресурсы ИТ, на которые должны осуществляться воздействие.
• Определяет цели контроля.
Бизнес ориентация COBIT состоит во взаимосвязи целей бизнеса и ИТ, выявлении показателей и моделей зрелости для оценки достижений, определении соответствующих видов ответственности владельцев
бизнес и ИТ процессов. Ориентированный на процессы подход проиллюстрирован в COBIT при помощи модели, подразделяющей 34 отдельных ИТ процесса в четыре домена (группы), упорядочивающей
ответственности в области планирования, построения, исполнения и контроля, обеспечивающей комплексное видение ИТ в целом. Концепции корпоративной архитектуры помогают определить ресурсы,
необходимые для успешного выполнения процессов, то есть приложения, информацию, инфраструктуру
и персонал.
12
О БЩИЙ О БЗОР
Вкратце, для того, чтобы обеспечить организацию информацией, необходимой для достижения определенных бизнес целей, необходимо управлять ресурсами ИТ с помощью естественным образом сгруппированных
ИТ процессов.
Но как организация может управлять сферой ИТ так, чтобы получать информацию, необходимую для своих
корпоративных целей? Как управлять рисками и обеспечивать безопасность тех ИТ ресурсов, от которых
организация столь зависима? Как организация может быть уверена в том, что ИТ достигает поставленных
целей и поддерживает развитие бизнеса?
В первую очередь руководство нуждается в целях контроля, которые определяют основную цель внедрения
политик, планов и процедур, а также в организационных структурах, призванных обеспечить:
• Достижение бизнес целей.
• Предотвращение нежелательных событий или их выявление и исправление последствий.
Во-вторых, в сложных современных условиях,
руководство постоянно находится в поиске информации для быстрого и успешного принятия
решений в отношении ценности активов, рисков и
мер контроля. Что должно быть измерено, и каким
образом? Организации нуждаются в объективных
критериях оценки своего текущего состояния и
тех улучшений, которые им требуются, а также в
некотором инструментарии, с помощью которого
руководство могло бы оценить эти улучшения.
На схеме 1 показаны некоторые из традиционных
вопросов и управленческий инструментарий для
поиска ответов на эти вопросы, однако приборные
панели нуждаются в индикаторах, системы показателей — в самих показателях, а сравнительный
анализ — в шкале сравнения.
Схема 1. Вопросы руководства
Как руководству сохранить
выбранный курс?
Панели
управления
Индикаторы?
Как достигать результатов,
которые удовлетворят
большинство
заинтересованных лиц?
Система
показателей
Показатели?
Как своевременно
адаптировать организацию
к изменяющимся внешним
условиям?
Сравнительный
анализ
Шкалы?
Ответом на эти требования охарактеризовать и контролировать надлежащий уровень эффективности в
сфере ИТ являются следующие определения, которые дает COBIT:
• Сравнительный анализ эффективности и потенциала ИТ процессов, выраженный в виде моделей
зрелости, полученных из Модели Зрелости и Потенциала (Capability Maturity Model, CMM), предложенной Институтом по разработке программного обеспечения (Software Engineering Institute).
• Цели и показатели ИТ процессов, необходимые для определения и оценки их результатов и эффективности, основаны на принципах системы сбалансированных бизнес показателей, предложенной
Робертом Капланом и Дэвидом Нортоном.
• Цели действий для непосредственного управления ИТ процессами, основаны на целях контроля
COBIT.
Оценка возможностей процесса, построенная на моделях зрелости COBIT является ключевой составляющей
реализации управления ИТ. После выявления критичных ИТ процессов и мер контроля, модели зрелости
помогут ликвидировать обнаруженные пробелы и продемонстрировать результаты руководству. После
этого могут быть разработаны планы действий для того, чтобы вывести процессы на желаемый уровень
эффективности. Таким образом, COBIT оказывает поддержку управлению ИТ (см. схему 2), предоставляя
необходимую методологию для обеспечения того, чтобы:
• Сфера ИТ была приведена в соответствие с бизнесом.
• ИТ помогали бизнесу и максимизировали преимущества.
• ИТ ресурсы использовались ответственно.
• Осуществлялось надлежащее управление ИТ рисками.
Оценка эффективности является частью управления сферой ИТ. Оценка эффективности рассматривается
в COBIT и включает в себя постановку и контроль целей (достижение которых поддается оценке), которые
определяют результаты ИТ процессов и путь достижения этих результатов (потенциал процесса и эффективность). В ходе многих исследований было установлено, что недостатки в области прозрачности затрат
13
COBIT 4.1
на ИТ, определения ценностей и рисков являются одними из основных стимулов к совершенствованию
управления сферой ИТ. Тогда как другие области управления являются предметом оценки эффективности,
прозрачность достигается в первую очередь с ее помощью.
Схема 2. Ключевые области управления ИТ
ПО
ЛЕ
ЗН
НКА
ОЦЕ НОСТИ
В
ЕК ТИ
ЭФФ
УПРАВЛЕНИЕ
ИТ
УПРАВЛЕНИЕ
РЕСУРСАМИ
ОС
Соответствие стратегии делает акцент на связи между планами бизнеса и ИТ; выявлении, поддержке
и контроле за ценностным предложением ИТ; а также на соответствии ИТ и бизнес операций.
•
Полезность представляет собой реализацию ценностного предложения, контроль за тем, чтобы ИТ обеспечивали определенные стратегией преимущества, сосредоточение на оптимизации
затрат и подтверждение подлинной ценности ИТ.
•
Управление ресурсами посвящено вопросам, связанным с управлением критичными ИТ ресурсами, а именно, оптимизацией инвестиций и должному руководству приложениями, информацией, инфраструктурой и персоналом. Ключевые вопросы касаются оптимизации знаний и
инфраструктуры.
•
Управление рисками требует осведомленности высшего руководства в области рисков, четкого
понимания корпоративного подхода в их отношении, соответствия требованиям прозрачности в отношении существенных рисков, включения функции управления рисками в практику организации.
•
Оценка эффективности представляет собой контроль за реализацией стратегии, результатами
проектов, использованием ресурсов, эффективностью процессов и сервисным обслуживанием.
Для этого применяются, в частности, системы сбалансированных показателей, которые преобразуют стратегию в последовательность действий, результаты которых измеряются иными, по
сравнению с бухгалтерским учетом, методами.
ТЬ
УПРА
В
РИС ЛЕНИЕ
КАМ
И
ИЕ
ТВ
ТС ИИ
Е
Г
В Е
ОТ АТ
СО СТР
•
Эти области управления ИТ характеризуют круг вопросов, с которыми приходится иметь дело высшему
руководству, осуществляя управление ИТ в своих организациях. Оперативное управление использует
процессы для организации текущей ИТ деятельности. Методология COBIT предлагает общую модель
процессов, которая представляет все процессы как элементы функций ИТ, что делает эту базовую модель
понятной для операционного ИТ персонала и бизнес менеджмента. Модель процессов COBIT соотнесена
с ключевыми облястями управления ИТ и это связывает обязанности операционного персонала с тем, что
желает контролировать руководство.
Для достижения эффективного управления руководство требует от операционного персонала, чтобы меры
контроля осуществлялись согласно определенной методологии для всех ИТ процессов. Цели контроля,
предлагаемые COBIT, организованы по отдельным ИТ процессам; поэтому методология обеспечивает
понятную связь между требованиями, предъявляемыми к управлению ИТ, ИТ процессами и мерами
контроля ИТ.
В COBIT делается акцент на том, что требуется для достижения адекватного управления и контроля в сфере
ИТ на высоком уровне. COBIT соотносится и гармонизируется с другими, более детальными стандартами в
сфере ИТ и лучшими практиками. Методология COBIT действует в качестве интегратора этих руководящих
материалов, суммируя ключевые цели в рамках единой методологии, которая, в свою очередь, увязана с
управлением и требованиями бизнеса.
COSO (и подобные совместимые методологии) обычно принимаются в качестве методологии внутреннего контроля в организациях. COBIT, как правило, является методологией внутреннего контроля в
сфере ИТ.
Продукты COBIT имеют трехуровневую организацию (см. схему 3) и предназначаются для поддержки:
• Высшего руководства и Советов директоров.
• Бизнес и ИТ менеджмента.
• Профессионалов в области управления, аудита, контроля и безопасности.
Вкратце, продукты COBIT включают:
• Совещание по вопросам управления сферой ИТ, второе издание (Board Briefing on IT Governance, 2nd
Edition). Помогает высшему руководству осознать, почему важно управление ИТ, что к нему относится
и каковы их обязанности по управлению.
• Руководства по управлению / модели зрелости. Помогают определить обязанности, оценить эффективность, провести сравнительный анализ и увидеть упущенные возможности.
14
О БЩИЙ О БЗОР
• Методология. Организует цели управления ИТ и лучшие практики по доменам и процессам, а также
связывает их с требованиями бизнеса.
• Цели контроля. Предлагают полный набор требований высокого уровня на рассмотрение менеджменту
для эффективного контроля за каждым ИТ процессом.
• Руководство по внедрению управления сферой ИТ: Применение COBIT ® and Val IT TM, второе издание (IT
Governance Implementation Guide: Using COBIT ® and Val IT TM, 2nd Edition). Обеспечивает общую последовательность действий при внедрении управления сферой ИТ, используя ресурсы COBIT и Val ITTM.
• Контрольные практики COBIT ®: Руководство по достижению целей контроля для успешного управления
сферой ИТ, второе издание (COBIT ® Control Practices: Guidance to Achieve Control Objectives for Successful
IT Governance, 2nd Edition). Объясняет, почему следует реализовать меры контроля на практике и как
это сделать.
• Руководство по обеспечению надежности в сфере ИТ: применение COBIT® (IT Assurance Guide: Using COBIT®).
Обеспечивает руководство по тому, как COBIT может быть использован для обеспечения надежности с
применением предлагаемых процедур тестирования для всех ИТ процессов и целей контроля.
Схема 3. Диаграмма публикаций COBIT
Как Совет
директоров
исполняет свои
обязанности?
Совещание по вопросам управления
сферой ИТ, 2е издание
Высшее руководство и
Советы директоров
Как оценивается эффективность?
Как организация сравнивается с другими?
Как происходит совершенствование?
Руководства по управлению
Модели зрелости
Бизнес и технологический менеджмент
Что такое методология
управления ИТ?
Как внедрить её в
организации?
Как оценивается
методология
управления ИТ?
Профессионалы в области управления, аудита, контроля и безопасности
Методологии
COBIT и Val IT
Руководство по
внедрению управления
сферой ИТ, 2е издание
Руководство по
аудиту в сфере ИТ
Цели контроля
Контрольные практики
COBIT, 2е издание
Основные практики
управления
Диаграмма по публикациям COBIT представляет общеприменимые продукты и их основную аудиторию. Существуют также производные
продукты по специфическим вопросам (Цели контроля ИТ для Sarbanes-Oxley, второе издание. IT Control Objectives for Sarbanes-Oxley, 2nd
Edition), для таких разделов как безопасность (COBIT Основные принципы безопасности. COBIT Security Baseline а также Управление информационной безопасностью: Руководство для Советов директоров и управляющих. Information Security Governance: Guidance for Boards of
Directors and Executive Management), или для специфических организаций (Краткое руководство COBIT для малых и средних организаций
или для крупных организаций, желающих активизировать внедрение управления ИТ. COBIT Quickstart for small and medium-sized enterprises
or for large enterprises wishing to ramp up to a more extensive IT governance implementation).
Диаграмма публикаций COBIT, представленная на схеме 3, показывает основные аудитории, их вопросы
по управлению ИТ и продукты, которые могут дать ответы на эти вопросы. Также на схеме представлены
производные продукты по специфическим вопросам, в частности, по безопасности или для специфических
организаций.
15
COBIT 4.1
Все компоненты COBIT взаимосвязаны, оказывают поддержку для управления, контроля и аудита, как
показано на схеме 4.
Схема 4. Взаимосвязи компонентов COBIT
Цели бизнеса
Требования
Информация
Цели ИТ
Диаграмма
ответственности и
отчетности
Показатели
эффективности
е
тся
аю
на
ив
ен
Оц
Результат
лн
фе
по
Эф
Вы
тся
яю
кт
ив
но
ст
ь
Основные
действия
азд
ИТ процессы
на
Аудируются
др
По
ся
ют
ля
Показатели
результативности
Контрольные
тесты по
результатам
Зр
ел
ос
Конт
роли
рую
тс
ясп
омо
щью
Цели
контроля
Извлекаются из
Вне
дря
ютс
яс
тся
ую
ир
Ауд
ть
Модели
зрелости
Тесты дизайна
мер контроля
Основаны на
пом
ощ
ью
Практики
контроля
COBIT является методологией и инструментарием, который позволяет руководителям устранить недостатки с учетом требований контроля, технических вопросов и бизнес рисков и донести достигнутый уровень
контроля до сведения заинтересованных сторон. COBIT дает возможность разрабатывать четкие политики и
лучшие практики по контролю ИТ в организациях. COBIT постоянно совершенствуется и гармонизируется с
другими стандартами и рекомендациями. В результате COBIT стал интегратором лучших практик в сфере ИТ
и зонтичной методологией для управления ИТ, которая помогает понимать и управлять рисками и преимуществами, связанными с ИТ. Сфокусированная на процессах структура COBIT и высокоуровневый, бизнес
ориентированный подход обеспечивают комплексное видение ИТ и решений, связанных с этой сферой.
Преимущества внедрения COBIT в качестве методологии управления ИТ включают:
• Лучшее соответствие, основанное на потребностях бизнеса.
• Понятное для менеджмента видение деятельности ИТ.
• Четкость в вопросах владения и ответственности, основанная на процессах.
• Общее соответствие с требованиями третьих сторон и регуляторов.
• Понимание заинтересованных сторон, основанное на общем языке.
• Выполнение требований COSO к контролю в сфере ИТ.
Настоящий документ представляет собой описание методологии COBIT и всех ключевых компонентов
COBIT, объединенных в четыре группы и 34 процесса. Вместе с несколькими приложениями это образует
удобный справочник по всем основным рекомендациям COBIT.
Наиболее полная и актуализированная информация по COBIT и смежным продуктам, включая онлайн
инструменты, руководства по внедрению, примеры из практики, информационные бюллетени и образовательные материалы можно найти на сайте www.isaca.org / cobit.
16
Download
advertisement