<<
>>

Методология CobIT

Методология CobIT представляет собой пакет открытых документов, содержащий около 40 международных и национальных стандартов и руководств в области управления и аудита ИКТ, обеспечения информационной безопасности и качества ИКТ.

Она определяет основополагающие принципы системы управления ИКТ, представляя их в виде руководства, методологии и инструментов контроля и аудита. На основе принципов CObIT обеспечивается стратегическое управление информационными и смежными технологиями, направленное на достижение соответствия ИКТ требованиям бизнеса, осуществляется управление ИТ-ресурсами, управление качеством выполнения ИТ-процессов.

К ожидаемым эффектам от внедрения в практику аудита ИКТ методологии CObIT относятся: поддержка средствами ИТ-сервисов бизнес-целей; осознанный и ясный подход к управлению ИТ; четкое определение границ ответственности и обязанностей основных участников; выработка требований к третьим сторонам для аутсорсинга ИКТ; взаимопонимание между всеми заинтересованными сторонами на основе общего видения и языка; выполнение в соответствии со стандартом COSO (The Committee of Sponsoring Organizations of the Treadway Commission) требований к системе внутреннего контроля[LIV] ИКТ.

Стандарт CObIT призван ликвидировать разрыв между руководством компании с их видением бизнес-целей, с одной стороны, и ИТ-департаментом, осуществляющим поддержку ИТ-инфраструктуры и производство ИТ-сервисов, с другой стороны. Он позволяет переходить от постановки бизнес-задач к вопросам управления и понимания преимуществ, связанных с использованием ИКТ. Впервые CObIT был опубликован в апреле 1996 г., затем появились вторая редакция CObIT 2.0 (1998), третья редакция CObIT 3.0 (2000) и в ноябре 2005 г. четвертая редакция CObBIT 4.0, а чуть позже обновление CObIT 4.0 — версия CObIT 4.1. />Концептуальное ядро CObIT (Framework) определяет набор основополагающих принципов и понятий в области управления ИТ: «Задачи управления» (Control Objectives); «Руководство по аудиту» (Audit Guideline).

В версии 2.0 добавлены высокоуровневые и детальные «Задачи управления», «Набор инструментов внедрения»

(Implementation Tool Set). Состав версии CObIT 3.0, выпущенной ITGI, представлен на рис. 17.3. Основа CObIT — так называемое «концептуальное ядро», которое представляет собой набор основополагающих принципов и понятий, модель управления ИТ. На основе концептуального ядра разработаны остальные положения стандарта.

Механизмы управления для ИКТ зависят от бизнес-целей, специфики бизнес-проессов, поскольку управляющая информация рассматривается как результат ИТ-процессов, выполняемых с использованием ИТ-ресурсов. В качестве механизмов управления используются политики доступа, организационные структуры, процедуры, регламенты и др.

В четвертой редакции CobIT изменены названия некоторых ИТ-процессов, добавлены цели управления, раскрыта связь между бизнес-задачами, ИТ-целями и ИТ-процессами, выполнена унификация используемых терминов, сформулированы принципы интеграции CObIT с детальными руководствами (стандартами ITIL, ISO 17799:2005[LV] и пр.). Появилось управление финансами для ИКТ, при этом акцентирован возврат инвестиций в ИКТ. В состав COBIT 4.1 входит шесть книг.

Рис. 17.3. Состав CobIT версии 3.0

Резюме для руководителя. Описание структуры стандарта, высокоуровневых целей контроля и пояснения к ним, необходимые для эффективной навигации и результативной работы со стандартом. Детальные описания объектов контроля (стратегических целей). Принципы управления ИТ (модели зрелости, критические факторы успеха, ключевые индикаторы цели, ключевые индикаторы результата); книга предназначена для руководителей ИТ-служб. Принципы аудита для внутренних и внешних аудиторов, консультантов в сфере ИКТ. Набор инструментов внедрения стандарта. Практические советы по ежедневному использованию стандарта в управлении и аудите ИТ, практики, ответы на часто задаваемые вопросы, презентации Power Point, руководство по внедрению.

Книга предназначена для внутренних и внешних аудиторов, консультантов в сфере ИКТ.

Управление ИТ по CObIT предполагает: разработку стратегии, постановку стратегических целей и разработку концепции ИТ-процессов в соответствии с бизнес-целями компании; формирование политик для стратегических целей путем установления правил и ограничений для ИТ-процессов, выбор методов достижения поставленных стратегических целей; разработку стандартов для метрик ИТ-процессов, обеспечивающих поддержку цолитик для стратегических целей; определение процедур и регламентов выполнения работ для применения политик-методов с использованием стандартов-метрик.

Стандарт CobIT может применяться в различных организациях, независимо от производителей платформ ИТ-процессов, она годится как для проведения аудита, так и для проектирования ИКТ.

Концептуальное ядро CObIT состоит из высокоуровневых задач управления и может быть представлено в виде «куба» (рис. 17.4),


Рис. 17.4. Куб CobIT

который имеет три оси: информационные критерии, ИТ-ресурсы, ИТ-процессы.

Стандарт CObIT основан на процессном подходе, определяет управляемые цели, устанавливает критерии оценки ИТ-процессов, учитывает уровень зрелости. Для определения ролей и обязанностей участников ИТ-процессов используется модель RACI/RASCI в виде матрицы, строки которой соответствуют видам деятельности (Activity) в ИТ-процессе, столбцы — ролям (Role) участников проекта, элемент матрицы на пересечении строки и столбца указывает тип ответственности роли (исполнителя): R (Responsible) — ответственный; A (Accountable) — подотчетный; S (Supportive) —поддерживающий кого-то; С (Consulted) — консультант, I (Informed) —информируемый. ИТ-процесс должен иметь только одно лицо со статусом R, при множественной ответственности следует разбить процесс на подпроцессы с указанием уникальной ответственности для определенной роли.

В CObIT определено семь информационных критериев: эффективность (Effectiveness) — ценность информации для целей управления, комплексная оценка актуальности, уместности информации для бизнес-процесса, своевременности, достоверности, непротиворечивости и т.п.; продуктивность, производительность (Efficiency) —характеристика оптимального использования ИТ-ресурсов для получения информации; конфиденциальность (Confidentiality) — определяется защищенностью информации от несанкционированного раскрытия; целостность (Integrity) — определяется точностью и полнотой информации, ее обоснованностью с точки зрения ожиданий бизнеса; доступность (Availability) — определяется возможностью получения необходимой информации в течение установленного в соответствии с требованиями бизнеса интервала времени, а также защиты информации и ее носителей от хищений или уничтожений; соответствие (Compliance) — характеризует соответствие информации принятым правилам, законам, распоряжениям и соглашениям, регулирующим бизнес-процессы; надежность (Reliability) — предоставление руководству информации, пригодной для использования в управлении.

Для выполнения ИТ-процессов используются ИТ-ресурсы, которые разбиты на следующие классы: People — персонал (сотрудники предприятия), осуществляющие выполнение функций планирования, организации, комплектования, сопровождения, поддержки и мониторинга ИС; Application Systems — прикладные системы (программы функционального управления), включающие в себя как автоматизированные (программные), так и ручные процедуры обработки данных; Technology — технологические процессы обработки информации; Facilities — вычислительное оборудование; Data — данные и информация любого вида (структурированные и неструктурированные сообщения, мультимедийные данные).

Информация для целей управления может получить дополнительную классификацию: Primary — главный критерий; Secondary —

вторичный, желательный критерий; Blank — незначимый, но возможный критерий. Например, для ИТ-процесса № I используются ИТ-ресурсы (I, 2, ...), осуществляется контроль и аудит выполнения ИТ-процесса с помощью информации, отвечающей определенным требованиям: предоставление в форме документа «...

», частота формирования документа, время получения документа — от ... до ... и др.

Для удовлетворения бизнес-требований к информации используются задачи управления ИТ-процессами, задающие желаемый результат (цель), который должен быть достигнут за счет применения механизмов управления в рамках конкретного ИТ-процесса. «Движение» вдоль осей куба (рис. 17.4) позволяет формировать для каждого ИТ-процесса или элементарного действия систему нормативов (требований, рекомендаций), характеристики ИТ-инфраст- руктуры и других видов ИТ-ресурсов.

ИТ-процессы имеют иерархическое представление: домены (Domains), группируют ИТ-процессы по областям ответственности в организационной структуре предприятия; ИТ-процессы (Processes), включают набор действий, нацеленных на достижение бизнес-целей; конкретные действия и задачи (Activities), позволяющие получать измеримый результат[LVI].

В CobIT выделено четыре домена[LVII] и 34 высокоуровневые цели (задачи) управления для каждого ИТ-процесса. Рассмотрим базовые домены управления ИТ-процессами (рис. 17.5): Планирование и организация (Planning and Organization). Формируется стратегия и тактика системы управления ИТ-про- цессами, определяются способы наиболее эффективного их использования для достижения бизнес-целей. Это главный домен в жизненном цикле ИКТ. Для реализации ИТ-процессов данного домена необходимо создать соответствующую организационную и ИТ-инфраструктуру, провести обучение сотрудников. Проектирование и внедрение (Acquisition and Implementation). Материализация ИТ-стратегии основана на приобретении или разработке необходимых компонентов ИТ-инфраструктуры, которые должны быть внедрены и интегрированы в ИТ-процессы для поддержки бизнес-процессов. Эксплуатация и сопровождение (Delivery and Support). Данный домен предусматривает предоставление требуемых информационных услуг, включая обеспечение безопасности и непрерывности бизнеса, обучение, а также обработку данных прикладными системами. Мониторинг ИТ-процессов (Monitoring).

Качество и соответствие ИТ-процессов требованиям контроля должны оцениваться на регулярной основе. Этот домен включает в себя надзор со стороны руководства за процессами управления в организации, а также независимый контроль со стороны внутренних и внешних аудиторов.

Механизмы управления способствуют реализации всех бизнес-требований к информации и используют ИТ-ресурсы. Концептуальное ядро CObIT определяет для каждой задачи управления ИТ-ресурсы, которые находятся под управлением. Концептуальное ядро ограничивается описанием высокоуровневых целей контроля для каждого из ИТ-процессов. Управление ИТ-процессом, удовлетворяющее бизнес-требованию, обеспечивается формулировкой задачи управления, для которой должны быть рассмотрены потенциально применимые практики управления. Для каждого из ИТ-процессов, описанных в концептуальном ядре, устанавливается набор «Детальных задач управления» (всего их 318). Каждая задача управления содержит формулировку ожидаемых результатов, которых необходимо достигнуть путем реализации конкретных процедур управления в рамках ИТ-процесса.

Например, ИТ-процесс «Управление рисками» предусматривает формирование стратегии и методологии анализа рисков, планирование и проведение обследования, идентификацию рисков и оценку их величины, разработку плана уменьшения величины существующих рисков до приемлемых значений, обоснованный выбор контрмер, адекватных существующим рискам.


Задача управления состоит в использовании ИТ-процесса «Управление рисками» в качестве инструмента, предоставляющего сведения для решения задач стратегического планирования и реализации внутренних механизмов контроля.

Формулировки задач управления в CObIT носят в максимальной степени абстрактный характер, что делает их независимыми от конкретных платформ и характера деятельности организации. Задачи управления ориентированы на руководство организации, персонал ИТ-департамента, подразделения внутреннего контроля и аудита, а также на владельцев бизнес-процессов. Они дают четкое определение минимального набора механизмов управления, необходимых для обеспечения эффективности, продуктивности и экономии ресурсов. В табл. 17.3 приведен состав детальных ИТ-процессов CObIT.

Принципы управления CObIT. Раздел «Принципы управления» раскрывает механизмы управления ИТ-процессами. Управление ИТ рассматривается как составная часть системы управления предприятием, связывает ИТ-процессы, ресурсы и информацию со стратегией и целями организации.

Для управления ИТ-процессами требуется: провести анализ применяемых ИТ-процессов (насколько они соответствуют реальным информационным потребностям организации); изучить ИТ-инфраструктуру; определить возможные ИТ-риски и проблемы, связанные с управлением. Для этого осуществляется учет и анализ результатов ИТ-процессов, подготовка вариантов решения проблем, связанных с ИТ-процессами. Для оценки ИТ-процессов могут применяться различные инструменты CObIT, например модели зрелости, критические факторы успеха, ключевые показатели цели и ключевые показатели результата. Управление ИТ-процессами по CObIT может использовать специальные виды представления управляющей информации: инструментальную панель, карты оценки, эталонное тестирование.

Инструментальная панель (DashBoard — приборная доска) заимствована из методологии BSC. Основное достоинство этого представления состоит в быстром восприятии сводной информации, которая позволит судить о значении ключевых показателей цели и производительности ИТ-процессов. В этом случае необходимо разработать состав показателей, выбрать единицы измерения показателей для карт оценки, построить шкалы сравнения для эталонного тестирования. В целях постоянного совершенствования ИТ-про- цессов CObIT предусматривает измерение ключевых показателей

описание и примеры успешного внедрения процессов CObIT в организациях по всему миру. Для конкретного использования CObIT приведены пошаговые описания и примеры: определение бизнес-целей с использованием концептуального ядра CobIT; выбор ИТ-процессов и механизмов управления с использованием высокоуровневых и детальных задач управления; согласование программы действий с бизнес-планом; оценка существующих процедур и результатов внедрения механизмов управления при помощи «Руководства по аудиту»; оценка текущего статуса организации, идентификация критичных действий и измерение производительности в достижении целей организации при помощи «Руководства по менеджменту».

Уроки внедрения CObIT на предприятиях по всему миру указывают на необходимость вовлечения высшего руководства в проект внедрения уже на ранней его стадии.

Модели зрелости в CObITI Для характеристики уровня развития ИТ-организации и контроля за ИТ-процессами в CObIT использована модель зрелости — Maturity Models. Она основана на модели зрелости разработки программного обеспечения, созданной Институтом проектирования и разработки программного обеспечения Software Engineering Institute в 1980-х гг.[LVIII]. Модели зрелости имеют градацию уровней (0—5) и могут использоваться для отдельных ИТ-процессов: й              уровень. Управления ИТ-процессами не существует, организация не ставит и не рассматривает каких-либо проблем, связанных с ИТ. йуровень.              Начало управления ИТ («Анархия»). Организация осознает наличие проблем в сфере управления. Все решения спонтанные, нет никаких стандартизованных решений, они принимаются от случая к случаю. йуровень.              Повторение решений в сфере управления ИТ («Фольклор»). Организация хорошо осознает проблемы управления. Имеет место масштабное применение ИТ, их интеграция в процессы управления организацией. Создан регламент управления, определены методы управления и оценки, но в целом процесс управления не стандартизован и не внедрен в организации, велики затраты на их поддержку качества ИТ. й              уровень. Описание базового набора показателей управления ИТ («Стандарты»). Организация ориентирована на систему управления, выявлены связи между бизнес-результатами и показателями производительности (эффективности) ИТ-процессов, процедуры стандартизованы и документированы, систематически проводится обучение сотрудников выполнению этих процедур. Однако при этом не проводится анализ инцидентов, ИТ-про- цессы управляются локально (сотрудниками), механизмы контроля качества выполнения процедур пока не работают, а сами процедуры не оптимизированы. й              уровень. Все ИТ-процессы управляемые, определены соглашения об уровне обслуживания, выполняется их постоянная оценка («Измеряемый»). Процессы ИТ полностью соответствуют бизнесу и стратегии ИТ, интегрированы в процесс управления предприятием. Осуществляется управление процедурами и метриками ИТ-процессов, владельцы ИТ-процессов осознают риски, ценность и их возможности для бизнеса, ИТ-процессы соответствуют лучшим практикам, взят курс на постоянное их совершенствование (применение передовых технологий, стандартов). Управление ИТ превращается в процесс уровня всей организации. Деятельность управления интегрируется в процесс управления организацией. Создана система контроля качества ИТ-процессов согласно установленным стандартам, выполняется их непрерывный мониторинг, идет постоянная работа над повышением их эффективности. йуровенъ.              Оптимизация ИТ-процессов, непрерывное их улучшение, модели зрелости соответствуют лучшим практикам («Оптимизируемый»), ИТ-процессы являются управляемыми и измеряемыми, информация о выполнении каждого ИТ-процесса фиксируется. В организации существует углубленное понимание управления, проблем и решений ИТ, а также перспектив их развития. Существует полная интеграция системы управления ИТ-процессами в систему управления бизнеса, обеспечено повышение качества и эффективности работы организации в целом.

В качестве примера приведем уровни модели зрелости ИТ-процесса PO I Strategic IT Plan «Стратегическое планирование информационных технологий»: й уровень — стратегический план для ИТ не создается; й              уровень — необходимость стратегического планирования для системы ИТ осознает только ИТ-служба, но процесс планирования не структурирован. Отдельные ИТ-планы создаются в ответ на потребности некоторых приложений; й              уровень — повторяющийся процесс управления ИТ ведется на интуитивном уровне. Стратегии ИТ не документированы и не связаны с бизнес-стратегией. Обновление стратегических планов для ИТ выполняется редко, проактивное управление не ведется; й              уровень — задокументированы процессы управления, сотрудники знакомы со структурой плана, ИТ-планы выполняются, но при этом существует зависимость от индивидуальности менеджеров, отсутствуют процедуры контроля планов на регулярной основе, учтены возможные риски ИТ; й              уровень—управляемый и измеряемый процесс. Стратегическое планирование ИТ—стандартная практика, закрепленная за определенными сотрудниками. Проводится мониторинг процесса планирования, выполняется учет показателей эффективности планов. Планирование ведется на непрерывной основе, осуществляется контроль использования ресурсов, сравнение с отраслевыми нормативами. й              уровень — оптимизация стратегического плана, который обеспечивает достижение бизнес-целей, эффективность инвестиций в ИТ. Функция стратегического планирования интегрирована в разработку бизнес-планов. Постоянно анализируются и оцениваются уровни рисков, широко используются инновации ИТ для роста конкурентоспособности организации.

Модель зрелости обеспечивает: учет требований бизнеса и благоприятных аспектов на различных уровнях зрелости; оценку пригодности шкалы для сравнения; оценку шкалы на предмет измерения различий; наличие профилей, различимых с точки зрения ИТ управления, безопасности и контроля; помощь при определении позиций «Как есть» и «Как будет» по отношению к ИТ управления, безопасности и контролю зрелости; анализ действий для достижения выбранного уровня; уход от дискретных уровней, которые создают трудности для преодоления; применение критических факторов успеха; учет специфических особенностей бизнеса.

Для перехода к более высокому уровню зрелости необходимо выполнить ключевые действия, которые приведены в «Руководстве по менеджменту» на абстрактном уровне.

Таким образом, для каждого ИТ-процесса дается оценка текущего статуса организации, текущего статуса лучшей практики в этой отрасли, текущего статуса международных стандартов будущего статуса организации после усовершенствования.

Критические факторы успеха, ключевые показатели целей, ключевые показатели производительности ИТ-процессов. Критические факторы успеха (КФУ) (Critical Success Factor — CSF) рассматриваются как условие достижения целей ИТ-процессов. Выделяют следующие наиболее общие КФУ, относящиеся к системе управления ИТ: соответствие ИТ-процессов ИТ-стратегии и бизнес-целям; ориентация на ожидания клиентов ИТ-процессов; масштабирование ИТ-процессов и управление ресурсами; подготовка квалифицированного персонала; эффективность ИТ-процессов, которая измеряется в финансовом выражении, с учетом удовлетворенности клиентов, перспективности и будущих возможностей; непрерывное улучшение качества ИТ-процессов.

Для большинства ИТ-процессов КФУ также состоят в том, что: все заинтересованные стороны ИТ-процесса (потребители, управление и т.д.) осознают риски, значимость и возможности ИТ-процессов; сформулированы цели и задачи, осуществляется мониторинг, установлены ответственные за ИТ-процесс; люди ориентированы на достижение поставленных целей, информированы о внутренних процессах и последствиях решений; заложена деловая культура, поощряется взаимодействие различных отделов, командная работа и непрерывное совершенствование ИТ-процессов; основные ИТ-процессы интегрированы и согласованы; практика управления способствует повышению эффективности использования ИТ-ресурсов, эффективности ИТ-процессов.

К КФУ системы стратегического управления ИТ-процессами относятся: применение методов контроля в целях повышения прозрачности, уменьшения сложности, обучения, гибкости и масштабируемости, повышения надежности системы внутреннего контроля; применение методов, которые обеспечивают гласность в отношении контроля окружающей среды и культуры, соблюдения кодекса поведения, оценки риска в качестве стандартной практики, мониторинга ИТ-процессов, принятия мер по устранению недостатков и снижению рисков; признание управления ИТ значимой деятельностью, интегрированной в процесс управления предприятием, основанной на стратегии, управлении рисками, установлении политики в области безопасности; сосредоточение управления ИТ на крупных ИТ-проектах, инициативах в области изменения уровня качества, выделение необходимых ресурсов и усилий; создание аудиторского комитета для назначения и контроля независимого аудитора, разработки плана проверок ИТ-процессов, анализа результатов проверок.

Критические факторы успеха требуют постоянного отслеживания с использованием дисциплины управления рисками, оценки качества и соответствия установленным стандартам.

Ключевые показатели целей (КПЦ) (Key Goal Indicator — KGI) определяют критерии оценки достижения бизнес-целей при помощи ИТ-процессов. Примерами наиболее общих целей для ИТ-процессов являются: получение бизнес-выгоды, отдача от инвестиций в ИТ-процессы; управляемая производительность ИТ-процессов; уменьшение ИТ-рисков; улучшение производительности ИТ-процессов; интеграция ИТ-процессов; стандартизация ИТ-процессов; рост объема оказываемых услуг (продаж) благодаря ИТ-про- цессам; создание новых каналов для продвижения товаров и услуг благодаря ИТ-процессам; надежность работы ИТ-инфраструктуры; доступность информационных ресурсов, систем и служб; минимизация рисков, связанных с нарушением целостности и конфиденциальности данных; снижение себестоимости ИТ-процессов и др.

Ключевые показатели целей выражаются в следующих терминах информационных критериев: пригодность информации для поддержки бизнеса, целостность и конфиденциальность, рентабельность ИТ-процессов и операций, надежность, эффективность и согласованность. Для КПЦ применяется ССП, в которой каждый показатель цели имеет соответствующий измеритель.

Ключевые показатели производительности (КПП) (Key Performance Indicator — KPI) определяют критерии оценки производительности ИТ-процессов в достижении ими бизнес-целей организации. Примерами индикаторов производительности ИТ-процессов служат: уровень качества, рентабельность ИТ-процессов, нагрузка на ИТ-инфраструктуру (например, размер трафика), степень удовлетворения пользователей (число жалоб), производительность труда сотрудников. Использование описанных показателей (индикаторов) позволяет реализовать стандартизированные, управляемые и измеряемые ИТ-процессы.

Например, для ИТ-процесса «Обеспечение антивирусной защиты корпоративной сети» в качестве КПЦ выступают: минимизация числа заражений вирусами компьютеров, подключенных к сети (не более указанного значения), минимизация последствий таких заражений (не более указанного значения). Критическими факторами успеха для достижения поставленных целей являются: перекрытие всех возможных каналов распространения компьютерных вирусов (включая протоколы HTTP, FTP, SMTP и т.п., а также флоппи-дисководы и разделяемые сетевые ресурсы), регулярность обновлений антивирусных баз данных, оптимальность настроек антивирусных программ. К ключевым показателям эффективности этого ИТ-процесса можно отнести: количество обнаруживаемых и успешно обезвреживаемых вирусов в антивирусной базе данных, применяемой в ИТ-процессе; скорость и качество реагирования на инциденты, связанные с заражением компьютерными вирусами.

Принципы аудита СОЫТ. Общий подход к проведению ИТ-ау- дита, излбженный в СОЫТ, опирается на концептуальное ядро CObIT, определяющее понятийный аппарат. Общие требования к процедуре аудита ИТ-процессов изложены в разделах «Планирование и выработка стратегии аудита» и «Обобщенная схема руководства по аудиту», а также в разделе «Общие замечания относительно оценки процессов управления».

«Руководство по аудиту» CObIT содержит детальные инструкции для каждого из 34 высокоуровневых ИТ-процессов (иначе — высокоуровневых целей или задач управления), которые следует рассматривать в качестве методологической основы при разработке конкретных программ проведения ИТ-аудита. В ходе планирования аудита должны учитываться: критерии и требования, специфичные для данной отрасли; отраслевые и промышленные стандарты; особенности используемых программно-аппаратных платформ; конкретные механизмы управления, применяемые в организации.

При проведении ИТ-аудита в организациях на базе CObIT может использоваться любая из их моделей: классическая модель оценки механизмов управления, основанная на стандартах и других нормативных документах; модель анализа рисков, в которой критерии аудита формируются на основании ИТ-рисков (при этом подходы к анализу и управлению ИТ-рисками, их использование при проведении ИТ-аудита остаются за рамками CObIT).

Основная цель ИТ-аудита состоит в оценке эффективности управления ИТ. В ходе аудиторской проверки анализируется текущее состояние, которое сопоставляется с нормативным. При наличии существенных отклонений производится оценка результирующих рисков, выдаются рекомендации по корректирующим действиям.

Оценка ИТ-рисков (RiskAssessment) предполагает: анализ уязвимостей (VulnerabilityAssessment); анализ угроз (ThreatAssessment), препятствующих достижению бизнес-целей. Далее дается оценка вероятности угрозы, уязвимости и размера возможного ущерба, которые в совокупности определяют риск, влияют на выбор адекватных контрмер (Counter Measures). Дается оценка эффективности контрмер (Control Evaluation), определяется величина остаточных рисков (Residual Risk), создается план действий по внедрению механизмов управления рисками (Action Plan).

Аудит ИТ-процессов по CobIT сосредоточен на контроле за правильным распределением ответственности, применяемых стандартах в управлении ИТ-процессами, схеме информационных потоков между субъектами и объектами управления. В случае выявления несоответствия ИТ-процесса требованиям стандарта (ИТ-менед- жер передает управляющую информацию ИТ-процессу) выполняются корректирующие действия.

Для управления ИТ-аудитом необходимо предварительное распределение ответственности и подотчетности за бизнес-процессы, в противном случае не будет происходить обмена управляющей информацией и корректирующих действий не последует. Стандарты оценки эффективности ИТ-процессов могут быть самыми разными, начиная от высокоуровневых планов и стратегий и заканчивая ключевыми индикаторами производительности и критическими факторами успеха. Для каждого ИТ-процесса должны быть четко определены допустимые отклонения от требований стандарта.

Работы по аудиту ИТ-процессов выполняются в три этапа.

Этап I. Разработка плана и выработка стратегии аудита. Определяются границы аудита в терминах бизнес-, информационных подсистем, являющихся объектами исследования, совокупность анализируемых ИТ-процессов, ИТ-ресурсов, ИТ-рисков, информационные критерии, последовательность сбора и анализа информации. При этом анализируются следующие сведения: структура бизнес-процессов; платформы и структура ИТ-процессов, поддерживающих биз- нес-процессы; структура ролей и распределения ответственности, в том числе аутсорсинг; бизнес-риски и бизнес-стратегия.

Этап 2. Аудиторская проверка согласно «Руководству по аудиту» включает в себя: идентификацию и документирование, оценку механизмов управления, тест на соответствие, детальное тестирование.

В ходе идентификации и документирования выполняется интервьюирование руководства и сотрудников организации, устанавливаются требования бизнеса и ассоциированные с ними риски, организационная структура, распределение ролей и ответственности, политики и процедуры, требования нормативной базы, применяемые механизмы управления, регламентированная отчетность.

В ходе оценки механизмов управления производится оценка эффективности существующих механизмов управления при выполнении задач управления, их целесообразности и пригодности с учетом установленных критериев, промышленных стандартов и критических факторов успеха.

Экспертным путем выбирается набор механизмов управления для тестирования.

Прохождение теста соответствия является гарантией пригодности механизмов управления для решения задач управления. Далее определяется уровень детального тестирования и объем дополнительной работы, необходимой для получения гарантий адекватности ИТ-процесса.

Задача детального тестирования заключается в оценке и обосновании ИТ-рисков в случае невыполнения задач управления. В этих целях используются аналитические методы, экспертные оценки для последующего выполнения корректирующих действий в отношении системы управления ИТ. Обнаруженные недостатки механизмов управления, угрозы и уязвимости, являющиеся следствием этих недостатков, документируются.

Этап 3. Выработка рекомендаций и подготовка отчетных документов.

Содержание аудита для доменов ИТ-процессов. Для домена «Планирование и организация» контрольными объектами аудита являются: существование стратегических (долгосрочных — 2, 3 года, 5 лет) планов развития ИТ, основанных на бизнес-планах; существование кратковременных планов, детализирующих долгосрочные планы с указанием целей, сроков и результатов; информационная архитектура системы обработки данных; права доступа к данным, политики безопасности; применяемые технологии и стандарты; управление инвестициями (бизнес-планы, бюджетирование); информационное обеспечение управленческой деятельности; управление персоналом (должностные и рабочие инструкции), функциональные роли и сфера полномочий; управление проектами (методы и средства).

Для домена «Проектирование и внедрение» контрольными объектами аудита являются: идентификация ИС, подлежащих аудиту; архитектура и конфигурация ИС; изменения, внесенные в ИС; обеспечение информационной безопасности ИС; обеспечение надежности функционирования технических комплексов; информационное обеспечение ИС и др.

Цель домена «Эксплуатация и сопровождение» состоит в определении уровня обслуживания, необходимого для решения биз- нес-задач, и эффективное предоставление услуг с заданным уровнем качества. К контрольным объектам аудита относят: соглашение об уровне обслуживания SLA; услуги третьих фирм; уровень производительности; непрерывность предоставления услуг; безопасность систем и приложений; квалификационный уровень пользователей; поддержку пользователей (Help-Desk); управление конфигурациями; управление проблемами; управление данными; управление активами ИТ; управление операциями.

Для домена «Мониторинг» контрольными объектами аудита выступают мониторинг ИТ-процессов и мониторинг удовлетворенности пользователей.

Этический кодекс аудитора (Ассоциация ISACA). Согласно этому кодексу аудитор должен: содействовать приведению ИС в соответствие с принятыми стандартами и руководствами; осуществлять свою деятельность в соответствии со стандартами в области аудита ИС, принятыми ISACA; действовать в интересах работодателей, акционеров, клиентов и общества в старательной, лояльной и честной манере; сознательно не принимать участия в незаконной либо недобросовестной деятельности; сохранять конфиденциальность информации, полученной при выполнении своих должностных обязанностей; не использовать конфиденциальную информацию для получения личной выгоды и не передавать ее третьим лицам без разрешения ее владельца; выполнять свои должностные обязанности, оставаясь независимым и объективным; избегать деятельности, которая ставит под угрозу независимость аудитора; поддерживать на должном уровне свою компетентность в областях знаний, связанных с проведением аудита ИС, принимать участие в профессиональных мероприятиях; проявлять добросовестность при получении и документировании фактографических материалов, на которых базируются выводы и рекомендации аудитора; информировать все заинтересованные стороны о результатах проведения аудита; способствовать повышению осведомленности руководства организаций, клиентов и общества в вопросах, связанных с проведением аудита ИС; соответствовать высоким этическим стандартам в профессиональной и личной деятельности; совершенствовать свои личные качества.

<< | >>
Источник: под ред. В. В. Трофимова. Информационные технологии УЧЕБНИК. 2011

Еще по теме Методология CobIT:

  1. 17.4. Терминология CobIT
  2. ГЛАВА 5 Комплексные инструменты и методологии улучшения качества
  3. Содержание методологии ценообразования
  4. Методология «Шесть сигм»
  5. 1.3.4 Методология РСПП
  6. 4.3. Методология планирования
  7. МЕТОДОЛОГИЯ ЭКОНОМИЧЕСКОГО АНАЛИЗА
  8. Глава 2. Методология рыночного ценообразования
  9. ЧАСТЬ 2 МЕТОДОЛОГИЯ БУХГАЛТЕРСКОГО УЧЕТА
  10. МЕТОДОЛОГИЯ ЦЕНООБРАЗОВАНИЯ НА ЖЕЛЕЗНОДОРОЖНОМ ТРАНСПОРТЕ
  11. 2 ИЭН М. Т. СТЮАРТ РОЛЬ МЕТОДОЛОГА
  12. Методология решения проблем
  13. 1 Новая методология
  14. 2. ИНСТИТУЦИОНАЛИЗМ КАК МЕТОДОЛОГИЯ ЭКОНОМИЧЕСКОЙ НАУКИ
  15. РАЗДЕЛ 4 Методология управленческого планирования (бюджетирования)
  16. Раздел 2. Методология и технология проведения аудита
  17. Раздел 4 МЕТОДОЛОГИЯ ВНУТРИФИРМЕННОГО ПЛАНИРОВАНИЯ ПРОИЗВОДСТВА
- Бюджетная система - Внешнеэкономическая деятельность - Государственное регулирование экономики - Инновационная экономика - Институциональная экономика - Институциональная экономическая теория - Информационные системы в экономике - Информационные технологии в экономике - История мировой экономики - История экономических учений - Кризисная экономика - Логистика - Макроэкономика (учебник) - Математические методы и моделирование в экономике - Международные экономические отношения - Микроэкономика - Мировая экономика - Налоги и налолгообложение - Основы коммерческой деятельности - Отраслевая экономика - Оценочная деятельность - Планирование и контроль на предприятии - Политэкономия - Региональная и национальная экономика - Российская экономика - Системы технологий - Страхование - Товароведение - Торговое дело - Философия экономики - Финансовое планирование и прогнозирование - Ценообразование - Экономика зарубежных стран - Экономика и управление народным хозяйством - Экономика машиностроения - Экономика общественного сектора - Экономика отраслевых рынков - Экономика полезных ископаемых - Экономика предприятий - Экономика природных ресурсов - Экономика природопользования - Экономика сельского хозяйства - Экономика таможенного дел - Экономика транспорта - Экономика труда - Экономика туризма - Экономическая история - Экономическая публицистика - Экономическая социология - Экономическая статистика - Экономическая теория - Экономический анализ - Эффективность производства -