BzBook.ru

Информационные технологии и управление предприятием

Стандарт COBIT

В настоящее время стандарт COBIT, переживая третье издание, продвигается и поддерживается ассоциацией ISACA Первое издание состоялось в 1996 г. Стандарт описывается примерно в 30 книгах (в некоторых источниках указывается 34 книги).

Он состоит из четырех доменов:

• планирование и организация;

• проектирование и внедрение;

• эксплуатация и сопровождение;

• мониторинг,

которые содержат 34 объекта высокого уровня (подгруппы), в свою очередь состоящих из 302 объектов контроля.

COBIT соответствует всем общепринятым мировым стандартам и инструкциям, включая:

• ISO, EDIFACT и т. д.;

• критерии оценки ИС и процессов: ITSEC, TCSEC, ISO 9000, SPICE, TickIT и т. д.;

• COSO, IFAC, IIA, AICPA, GAO, PCIE, ISACA и т. д.;

• производственные стандарты и требования промышленных форумов ESF, I4 и т. д.;

• специализированные требования промышленности.

Основное положение COBIT гласит: «Ресурсы информационных систем управляются набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией». Весь стандарт выстроен на основании этого утверждения.

Управление информационными технологиями по COBIT.

Управление информационными технологиями осуществляется с учетом потребностей бизнеса. Для этой цели должны быть определены информационные критерии. Организация работы ИТ-подразделения должна быть основана на отдельных процессах, а не на функциях.

Уровни планирования при управлении информационными технологиями:

• стратегический;

• тактический.

Конкретные временные горизонты планирования не указываются.

Стратегические вопросы, которые необходимо рассматривать при использовании ИТ:

• Существуют ли в организации информационные технологии, которыми «удовлетворяются» все информационные потребности?

• Какая инфраструктура в организации, как осуществляется управление рисками и насколько организация зависит от этого?

• С какими проблемами организация сталкивается при управлении информационными технологиями?

Тактические вопросы:

• Что является результатом ИТ-процессов?

• Что является решением проблем в информационных технологиях?

• Будут ли работать эти решения?

• Как их реализовать?

Цели управления информационными технологиями:

• доступ к устройствам;

• идентификация взаимодействующих сторон;

• физическая безопасность;

• обследование;

• непрерывное управление кризисными ситуациями;

• защищенность персонала;

• предотвращение сбоев и защита от них;

• оперативный автоматический мониторинг.

Критерии выбора информационной системы:

• требования бизнес-процессов – создать физическую среду, устойчивую к человеческим ошибкам, сбоям оборудования и ПО;

• возможности ИТ-ресурсов – обеспечить постоянный контроль с целью анализа работы оборудования и выявления отклонений в его работе;

• требования к информации – целостность и доступность.

Общая схема управления ИТ-департаментом приведена на рис. 13.1.

Информационные технологии и управление предприятием Стандарт COBIT.

Рис. 13.1. Схема управления ИТ-департаментом

Рекомендуемая схема построения ИТ-департамента: • сравнение возможностей информационных технологий (ресурсов) с требованиями бизнес-процессов;• эффективное использование целевых ресурсов:– кадры;– приложения;– технологии;– средства информатизации;– данные.Основное требование – достижение целей бизнеса.Принципы построения информационной системы:• сопоставление возможностей ИС (ресурсов) с требованиями процессов бизнеса;• эффективность;• оперативность;• конфиденциальность;• целостность;• доступность;• надежность.Проанализируем возможности использования целевых ресурсов для каждого процесса.В ИТ-подразделении для реализации вышеприведенных схем должны быть сформированы:• критические факторы успеха (КФУ) – предназначены для организации контроля ИТ-процессов;• ключевые индикаторы цели (КИЦ) – предназначены для контроля достижения целей ИТ-процессов;• ключевые индикаторы результата – предназначены для контроля результатов каждого ИТ-процесса.Примеры КФУ:• действия по управлению информационными технологиями интегрированы в процессы управления организации и стиль работы руководителей;• управление информационными технологиями сосредоточено на целях организации;• действия по управлению информационными технологиями формализованы;• методы аудита определены;• наблюдается интеграция процессов управления информационными технологиями;• учрежден комитет, наблюдающий за независимым аудитом.Критические факторы успеха процесса создания ИТ-подразделения: должны быть сформулированы наиболее важные проблемы, решение которых направлено на достижение контроля над ИТ-процессами.В рамках использования стандарта должны быть определены ключевые индикаторы целей (КИЦ) – комплекс измерений, показывающий, что информационные технологии удовлетворяют бизнес-требованиям, и ключевые индикаторы результата (КИР) – действия, необходимые для определения, насколько ИТ-процессы достигают поставленных целей. Примеры КИЦ:• улучшение управления производительностью и стоимостью;• увеличение доходов от инвестиций в информационные технологии;• сокращение времени запуска в продажу нового продукта или услуги;• выполнение требований клиента по бюджету и времени управления рисками и т. д.Примеры КИР:• увеличение рентабельности ИТ-процессов;• увеличение нагрузки на ИТ-структуру;• повышение производительности сотрудников.В настоящее время стандарт в основном применяется для управления инвестициями и оценки рисков, а также технического аудита ИТ-подразделений, включая перекрестный аудит (рис. 13.2).Информационные технологии и управление предприятием Стандарт COBIT.Рис. 13.2. Аудит ИТ-подразделения