COBIT
3-е Издание
РЕЗЮМЕ ДЛЯ РУКОВОДИТЕЛЯ Июль 2000 года Released by the COBIT Steering Committee and the IT Governance Institute TM
Перевод выполнен Рабочей группой Isaca.ru
Декабрь 2001 года Миссия COBIT: Исследовать, разрабатывать, рекламировать и продвигать авторитетный, современный, международный набор общепринятых целей контроля ИТ для ежедневного использования бизнес менеджерами и аудиторами.
О переводе Перевод выполнен Рабочей группой ISACA.ru с целью ознакомления российской аудитории со стандартом CobiT. Данный проект не является коммерческим. Основная цель проекта - адаптация и популяризация рассматриваемого стандарта. Мы будем благодарны за любые конструктивные замечания и предложения, которые Вы можете присылать по электронной почте на адрес
[email protected]. Надеемся, что в процессе плодотворного обсуждения перевода CobiT будет выработан
оптимальный
вариант,
отвечающий
потребностям
российских
специалистов, и который сможет занять достойное место на www.isaca.org наряду с переводами на другие языки.
ПРИМЕЧАНИЕ
КОНФИДЕНЦИАЛЬНОСТЬ ИНФОРМАЦИИ И
Фонд Аудита и Контроля Информационных Систем, Институт Управления ИТ и спонсоры CobiT, Контрольные Объекты для Информационной и смежных Технологий, разработали и опубликовали серию книг, в которую входят следующие: Резюме для руководителя, Структура, Детализированные цели контроля, Принципы управления, Принципы Аудита и Набор Инструментов для внедрения. Публикации под общим названием «Работы» призваны стать, в первую очередь, учебным пособием для специалистов в сфере ИТ. Фонд Аудита и Контроля Информационных Систем, Институт Управления ИТ и спонсоры CobiT не гарантируют, что использование любой части «Работы» приведет к успешному результату. Данные «Работы» не следует рассматривать как неотъемлемую часть любых обязательных процедур и тестов, которые в том числе направлены на получение тех же результатов. Определяя уместность любой процедуры, специалисты в сфере ИТ должны исходить из объективного состояния ИТ каждой конкретной системы и из своего профессионального опыта.
АВТОРСКИЕ ПРАВА Авторские права защищены в 1996, 1998, 2000 году Фондом Аудита и Контроля Информационных Систем (ISACF). Воспроизводство в коммерческих целях не допускается без предварительного письменного разрешения ISACF. В данном случае было получено разрешение на использование Резюме для руководителя, Структура, Детализированные цели контроля, Принципы управления, Принципы Аудита и Набор Инструментов внедрения для некоммерческого, внутреннего использования. Разрешение включает хранение в поисковых системах и передачу любыми средствами, как то в электронном виде, в виде записей и т.д. Все копии Резюме для руководителя, Структура, Детализированные цели контроля, Принципы управления, Принципы Аудита и Набор Инструментов внедрения должны включать следующую пометку и ссылку на учредителей: «Авторские права защищены в 1996, 1998, 2000 году Фондом Аудита и Контроля Информационных Систем. Воспроизведено с разрешения Фонда Аудита и Контроля Информационных Систем и Института Управления ИТ». Принципы Аудита не могут быть использованы, скопированы, воспроизведены, изменены, распространены, отображены и сохранены в поисковой системе, либо переданы в любой форме и любыми способами (в электронном виде, в виде ксерокопии, записей и т.д.). Это допускается только с предварительного письменного разрешения ISACF, предусматривающего, однако, использование Принципов Аудита только для внутренних некоммерческих целей. Как оговорено в представленном документе для настоящей «Работы», никакие другие разрешения не могут быть предоставлены. Все права на эту работу защищены. Фонд Аудита и Контроля Информационных Систем Институт Управления ИТ 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Телефон: +1 847 253 1545 Факс: +1 847 253 1443 E-mail:
[email protected] Web sites: www.ITgovernance.org www.isaca.org ISBN ISBN Rom)
1-893209-14-8 (Стандарт) 1-893209-13-X (Полный комплект – 6 книг и CD-
Напечатано в США
И Н СТИ ТУТ У П Р А В Л ЕН И Я И Т
3
О Р ГА Н И З А Ц И О Н Н Ы Й О Б З О Р Критически важным для выживания и успеха организации является эффективное управление информацией и смежными Информационными Технологиями (ИТ). В глобальном информационном сообществе, где информация передается через киберпространство без ограничений по времени, расстоянию и скорости, такая критичность возрастает вследствие влияния следующих факторов: - Увеличивающаяся зависимость от информации и систем, предоставляющих эту информацию; - Увеличивающаяся уязвимость и широкий спектр угроз, как кибернетических, так и информационных войн; - Размер и стоимость текущих и будущих инвестиций в информацию и информационные системы; - Потенциал технологий, приводящий к серьезным изменениям в организации и практике ведения бизнеса, а также создающий новые благоприятные возможности и снижающий стоимость их реализации. Для многих организаций информация и поддерживающие ее технологии являются наиболее ценными активами. Более того, в современном быстроменяющемся бизнесе руководство требует от ИТ: повышения качества, функциональных возможностей, простоты использования, а также постоянного уменьшения времени обслуживания, улучшения уровня обслуживания при более низких затратах. Многие организации осознают потенциальные выгоды, которые могут привнести технологии. Успешные организации, напротив, понимают и управляют риском, связанным с внедрением новых технологий. Многочисленные изменения в ИТ сфере и смежных областях подчеркивают необходимость улучшения методов управления ИТ-рисками. Степень эффективности управления критическими производственными процессами зависит прежде всего от состояния информационных систем. Кроме того, более строгого контроля за состоянием информации требует и влияние регулирующих внешних факторов, которые способны вызвать коллапс информационных систем. Управление ИТ-рисками становится в настоящее время ключевым звеном в системе управления предприятия. В рамках управления предприятием, управление информационными технологиями становится все более заметным и определяется как структура взаимоотношений и процессов выбора вектора развития предприятия и его контроля, направленных на увеличение его стоимости при сбалансированном риске в сфере информационных и смежных технологий. Управление ИТ структурно связывает ИТ-процессы, ресурсы и информацию, инициируя выработку стратегии и достижение целей.
Более того, управление ИТ интегрирует и определяет оптимальные пути планирования и организации; комплектации и установки; функционирования и обслуживания, а также мониторинга деятельности, гарантируя, что информация и смежные технологии предприятия поддерживают его бизнес цели. Таким образом, управление ИТ способствует извлечению максимальной выгоды для предприятия, увеличивая его прибыль и укрепляя его конкурентоспособность. Управление ИТ Управление ИТ определяется как структура взаимоотношений и процессов выбора вектора развития предприятия и его контроля, направленных на увеличение его стоимости при сбалансированном риске в сфере информационных и смежных технологий. Организации должны удовлетворять требованиям их информации на предмет качества, достоверности и безопасности, что верно для всех активов организации. Руководство должно оптимизировать использование доступных ресурсов, включая данные, приложения, технологии, оборудование и людей. Для распределения обязанностей, а также для достижения целей руководство должно понять статус своих ИТ систем и решить, какому уровню безопасности и контроля они должны соответствовать. Уже и в Третьем издании СobiT, Контрольные Объекты Информационной и Смежных технологий, позволяет реализовать многочисленных потребности в области управления, выстраивая взаимосвязь между бизнес рисками, необходимостью контроля и техническими проблемами. Стандарт, оптимизируя методы управления доменами и всей структурой, гарантирует работоспособность управляемой и логически выстроенной структуры. «Лучшие практики» по COBIT это рекомендации экспертов, которые помогут оптимизировать инвестиции в информацию и предоставят критерии оценки ИТ, на которые необходимо ориентироваться в случае возникновения внештатных ситуаций. Руководство должно быть уверенно, что система внутреннего контроля или ее структура работают на бизнес-процессы, и должно также четко представлять, насколько контроль за действиями каждого сотрудника соответствует требованиям и в какой степени влияет на ИТ ресурсы. Соответствие ИТ ресурсам представлено в Стандарте CobiT вместе с требованиями к эффективности, продуктивности, безопасности, целостности, пригодности,
И Н СТИ ТУТ У П Р А В Л ЕН И Я И Т
4
согласованности и надежности информации, которые должны быть удовлетворены. Управление ИТ, гарантирующее действенное поэтапное развитие, является залогом эффективного управления смежными производственными процессами. Контроль, представляющий собой совокупность политик, практик, процедур и организационных структур, является прерогативой руководства. Оно при управлении предприятием должно быть уверено, что все сотрудники, управляющие, использующие, разрабатывающие, поддерживающие добросовестно выполняют свои обязанности. Цель управления ИТ – обеспечение требуемого результата, достичь которого необходимо при помощи внедрения в деятельность предприятия. процедур управления ИТ Ориентация на решение бизнес проблем - основная тематика COBIT. COBIT предназначен, не только для пользователей и аудиторов, но и, что более важно, является всесторонним руководством для менеджеров и владельцев бизнес процессов. Все чаще практика ведения бизнеса обязывает руководителей нести ответственность за все аспекты процессов. В частности, это включает использование адекватных средств управления. Структура COBIT дает руководителям инструмент, с который способствует снижению рисков. Структура базируется на простом и прагматичном утверждении: Для предоставления информации, необходимой организации, для достижения ее целей ресурсы ИТ должны управляться набором естественно сгруппированных процессов. Структура COBIT охватывает 34 высокоуровневые цели контроля, по одной на каждый ИТ процесс, которые сгруппированы в 4 домена: Планирование и Организация; Комплектация и Внедрение; Эксплуатация и Сопровождение; Мониторинг. Эта структура объединяет все аспекты информации и технологий, поддерживающих ее. Обращаясь к 34 высокоуровневым целям, руководитель может быть уверен, что будет предоставлена адекватная система контроля над ИТ средой. Руководство по управлению ИТ, также представлено в Структуре COBIT. Управление ИТ представляет собой структуру, объединяющую ИТ процессы, ИТ ресурсы и информацию о стратегии и целях предприятия. Управление ИТ интегрирует и задает оптимальные пути Планирования и Организации; Комплектации и Внедрения; Эксплуатация и Сопровождение, а также Мониторинга производительности ИТ. Таким образом, управление ИТ способствует извлечению максимальной выгоды для
предприятия, увеличивая его прибыль и укрепляя его конкурентоспособность. Кроме того, все 34 высокоуровневые цели контроля включены в Принципы Аудита, которые дают возможность сравнения существующих ИТ процессов и 318 рекомендованных детализированных объектов контроля для предоставления руководству гарантий и/или советов (рекомендаций) по улучшению. Принципы Управления, одна из последних разработок включенная в COBIT, которая дает возможность руководителям наиболее эффективно удовлетворять ИТ потребности и соответствовать требованиям управления ИТ. Принципы нацелены на действия и являются общими для всех организаций. Эти принципы дают руководству возможность контроля над информацией и ИТ организации, а также над смежными процессами; для мониторинга достижения целей предприятия, производительности каждого ИТ процесса, а также для эталонного тестирования достижений организации. Специально для этого в COBIT включены: Модели Зрелости для контроля ИТ процессов, сопоставление с которыми позволит руководству понять, где находится организация сегодня, какое место в своей отрасли она занимает, как это соотносится с международными стандартами и где она хочет быть; Критические Факторы Успеха, определяющие самые важные для руководства принципы внедрения инструментов контроля над ИТ процессами; Ключевые Показатели Достижения Цели, констатирующие, были ли удовлетворены требования бизнеса ИТ процессами; Ключевые Показатели Производительности, основные показатели, определяющие степень участия ИТ процесса в достижении цели. Принципы Управления COBIT являются общими и ориентированы на нахождение ответов на следующие вопросы руководства: Как далеко нам заходить, и покрываются ли расходы прибылью? Каковы показатели эффективности? Каковы критические факторы успеха? Каковы риски в случае, если цели не будут достигнуты? Что делают другие? Как нам измерять и сравнивать? COBIT также содержит Набор Инструментов Внедрения, который учитывает опыт организаций, быстро и успешно внедривших COBIT в свою рабочую среду. Набор представляет два особенно важных инструмента - Диагностику Понимания Руководства и Диагностику Контроля ИТ – для помощи в анализе контроля ИТ организации.
И Н СТИ ТУТ У П Р А В Л ЕН И Я И Т
5
В течение ближайших лет руководству организаций придется значительно повысить уровень безопасности и контроля. COBIT – это инструмент, который позволит руководству согласовать требования контроля, технические издания и бизнес риски, а также сообщать об уровне контроля заинтересованным лицам. COBIT способствует развитию четкой политики, лучших практик ИТ контроля в организациях по всему миру. Таким образом, COBIT позволяет перейти на более высокий уровень в управлении ИТ, помогая понять и управлять рисками и выгодами, связанными с информационными и смежными технологиями.
И Н СТИ ТУТ У П Р А В Л ЕН И Я И Т
6
И Т П Р О Ц Е С С Ы C O B I T, РАЗД Е Л Е Н Н Ы Е Н А 4 Д О М Е Н А
И Н СТИ ТУТ У П Р А В Л ЕН И Я И Т
7
С Т РУ К Т У РА C O B I T ПОТРЕБНОСТЬ В КОНТРОЛЕ ИНФОРМАЦИОННЫХ
БИЗНЕС СРЕДА: КОНКУРЕНЦИЯ, ИЗМЕНЕНИЯ И
ТЕХНОЛОГИЙ
СТОИМОСТЬ
В последнее время стало очевидно, что существует необходимость в пособии по безопасности и контролю ИТ. Успешные организации требуют оценки и базового понимания рисков и ограничений ИТ на всех уровнях управления с целью выбора эффективного направления и достижения адекватного контроля.
В данной сфере наблюдается глобальная конкуренция. Организации перестраивают свою структуру для рационализации деятельности и для того, чтобы воспользоваться преимуществами развития ИТ, с целью улучшения своих позиций на рынке. Модернизация бизнеса, перераспределение полномочий, реструктуризация предприятий - это путь изменений, по которому идут коммерческие и правительственные организации. Эти изменения имеют и будут иметь огромное значение для руководства и структур эксплуатационного контроля в организациях по всему миру.
РУКОВОДСТВО должно решать, какие средства оно готово инвестировать в безопасность и контроль ИТ; как сбалансировать риск; как управлять инвестициями в часто непредсказуемой ИТ среде. Системы информационной безопасности и контроля помогают управлять рисками, но не устраняют их. Кроме того, невозможно знать точный уровень риска, так как всегда присутствует некоторая доля неопределенности. В результате, руководство должно остановиться на том уровне риска, который оно желает принять. Оценить уровень приемлемого риска, даже сравнивая определенный уровень риска и стоимость, очень сложно. Поэтому руководству совершенно необходимо пособие по безопасности и контролю ИТ для эталонного тестирования существующей и планируемой ИТ среды. Существует возрастающая потребность ПОЛЬЗОВАТЕЛЕЙ в ИТ услугах, которые подтверждены аккредитацией и аудитом, выполняемым собственными или сторонними специалистами с целью гарантировать адекватный уровень безопасности и управления ИТ. В настоящее время внедрение ИТ управления в коммерческие, некоммерческие или правительственные информационные системы затруднено беспорядком, который создается из-за использования различных методов оценки таких, как ITSEC, TCSEC, IS0 9000, а также профессиональных стандартов внутреннего контроля и аудита, например, COSO. Как следствие, в первую очередь, у пользователей появляется потребность в единой платформе.
Акцент при достижении конкурентоспособных преимуществ и рентабельности обуславливает растущее доверие к технологии, как к основному компоненту стратегии большинства организаций. Автоматизация организационных функций, по сути, провоцирует внедрение более мощных механизмов управления в компьютеры и сети, как на основе аппаратного, так и программного обеспечения. Кроме того, основные характеристики этих средств управления развиваются с такой же скоростью и в таком же беспорядке, как и рассматриваемые компьютерные и сетевые технологии. Если менеджеры, специалисты ИТ, аудиторы, действующие в рамках изменяющейся структуры, реально стараются эффективно выполнять свою работу, то их навыки должны развиваться так же быстро, как технологии и окружающая среда. Для компетентного заключения по оценкам методов контроля типичных коммерческих или правительственных организаций необходимо понимать технологии и соответствующие средства контроля, участвующие в процессах, их способность к изменению. СОЗДАНИЕ ПРЕДПРИЯТИЯ И УПРАВЛЕНИЕ ИТ
АУДИТОРЫ взяли на себя инициативу в вопросах международной стандартизации, так как они постоянно сталкиваются с необходимостью доказывать руководству свою компетентность в вопросах внутреннего контроля. Без наличия структуры данная задача невероятно сложна. Более того, в настоящее время руководство все чаще прибегает к услугам аудиторов для консультаций по безопасности ИТ, а также по вопросам, связанным с управлением.
Для достижения успеха в области информационной технологии управление предприятием и управление ИТ не могут больше рассматриваться как отдельные и отличные друг от друга дисциплины. Эффективное управление предприятием аккумулирует компетентность и опыт как отдельных индивидуумов, так и рабочих групп именно там, где это может быть наиболее продуктивно, контролируя и измеряя эффективность процессов выполнения работы, и обеспечивая обработку критических замечаний.
И Н СТИ ТУТ У П Р А В Л ЕН И Я И Т
8
Долгое время считалось, что ИТ только способствуют реализации стратегии предприятия, однако в данный момент ИТ должны рассматриваться как неотъемлемая часть обсуждаемой стратегии. Управление ИТ представляет структуру, которая объединяет процессы ИТ, ресурсы ИТ, а также информацию со стратегией и целями предприятия. Управление ИТ интегрирует и задает оптимальные пути достижения целей в части планирования и организации; комплектации и внедрения; эксплуатации и сопровождения, а также мониторинга и управления деятельностью ИТ. Управление ИТ неразрывно связано с успешным управлением предприятием, так как обеспечивает продуктивные и эффективные улучшения в смежных производственных процессах. Управление ИТ способствует извлечению максимальной выгоды предприятия, таким образом, увеличивая его прибыль и укрепляя его конкурентоспособность. Исследуя взаимодействие предприятия и процессов управления ИТ более детально, мы видим, что управление предприятием, представляющее собой направляющую и контролирующую сущности систему, запускает и устанавливает ИТ управление. В то же время необходимо, чтобы ИТ входили в стратегические планы предприятия и составляли важную их часть. ИТ на самом деле могут влиять на стратегические возможности предприятия.
Деятельность организации требует информации о функционировании ИТ, в части их соответствия ее бизнес целям. В успешных организациях гарантирована взаимозависимость между стратегическими планами и деятельностью ИТ. Информационные технологии должны сочетаться между собой и должны предоставлять возможность организации извлекать максимальную выгоду из информации, увеличивая прибыль и укрепляя конкурентоспособность организации.
Чтобы гарантировать достижение предприятием целей, которое, в свою очередь, обеспечивается некоторыми видами контроля, управление предприятием базируется на общепризнанных «лучших» практиках. Из этих целей вытекает направление деятельности организации, которые определяют использование его ресурсов. Результаты деятельности предприятия оценены и представлены в отчете, который содержит исходные данные для постоянного контроля и поддержки, начиная цикл заново.
И Н СТИ ТУТ У П Р А В Л ЕН И Я И Т
9
Управление ИТ также основывается на «лучших» практиках, чтобы гарантировать соответствие информационных и смежных технологий предприятия его бизнес целям и ресурсам, их обоснованное использование и управление рисками надлежащим образом. Управление ИТ процессами, которые могут быть обозначены как планирование и организация; комплектация и внедрение; эксплуатация и сопровождение, мониторинг, связано с практиками для решения двух проблем: управление рисками (достижение безопасности, целостности и согласованности) и осознание выгод (увеличение эффективности и производительности).
Отчеты составляются по результатам функционирования ИТ, которые сопоставляются с различными практиками и средствами контроля, после чего цикл начинается снова.
Для того, чтобы поставленные руководством производственные цели были реализованы, оно должно руководить и управлять ИТ таким образом, чтобы был достигнут эффективный баланс между управляемыми рисками и осознанными выгодами. Для выполнения этого условия, ему необходимо определить наиболее важные действия, которые должны быть выполнены, сопоставить рост с успешно выполненными заданиями и выяснить, насколько хорошо протекают ИТ процессы. Кроме того, оно должно располагать возможностью сравнивать уровень зрелости организации с «лучшими» практиками в отраслях и с международными стандартами. Для поддержки этих нужд руководства в Принципах Управления COBIT выделены так называемые Критические Факторы Успеха, Ключевые Показатели Достижения Цели, Ключевые Показатели Производительности и связанную с ними Модель Зрелости для управления ИТ, как показано в Приложении 1.
И Н СТИ ТУТ У П Р А В Л ЕН И Я И Т
10
РЕАКЦИЯ НА НЕОБХОДИМОСТЬ В виду продолжающихся изменений и на фоне проводимых исследований средств контроля ИТ, в вопросах эффективного развития систем контроля информационных и смежных технологий особенно актуальной становится проблема развития средств контроля ИТ процессов. С одной стороны, мы являемся свидетелями развития и выхода в свет всеобщих моделей бизнес контроля, например, COSO (Комитет Поддержки Организаций Комиссии внутреннего контроля – Интегрированный Стандарт, 1992) в США, Cadbury в Англии, CoCo в Канаде и KING в Южной Африке. С другой стороны, в сфере ИТ существует большое количество узко специализированных моделей управления, среди которых – Правила Безопасности от DTI (Департамент Торговли и Промышленности, Англия); Рекомендации Управления ИТ от CICA (Канадский Институт Консультантов по налогам, Канада), и Справочник по Безопасности от NIST (Национальный Институт Стандарта и Технологии, США). Однако для поддержания бизнес процессов эти модели контроля не представляют полную и практичную с точки зрения применения модель. COBIT, фокусируясь на ИТ, стирает грани между этими моделями, формируя основу, которая соединяет бизнес процессы в единое целое. Наиболее близким к стандарту COBIT является недавно опубликованный стандарт AICPA/CICA SysTrust TM. Это заслуживающее внимание издание Исполнительного Комитета Услуг по Консалтингу в США и Совета по Развитию Консультантских услуг в Канаде, основано частично на Контрольных Объектах Cobit. SysTrust разработан для удовлетворения потребностей руководства, заказчиков и бизнес партнеров с помощью систем, которые поддерживают производственные или иные процессы. С SysTrust работают бухгалтеры общего профиля, которые оценивают и проверяют, является ли система надежной, исходя из 4 основных принципов: пригодность, защита, целостность и надежность в эксплуатации.
Акцентирование внимания на требованиях при контроле ИТ, применении новых моделей контроля смежных международных стандартов способствовало преобразованию оригинальных Объектов Контроля ISACF (Фонд Аудита и Контроля Информационных Систем) из простого пособия аудитора в стандарт COBIT, универсальный инструмент управления. В дальнейшем, введение таких критериев, как Ключевые Показатели Достижения Цели, Ключевые Показатели Производительности, Критические Факторы Успеха и Модели Зрелости, позволило COBIT выйти на новый уровень управления. Стандарт позволяет оценивать внешние факторы ИТ и обоснованно выбирать между внедрением новой или модернизацией имеющейся системы контроля информационных и смежных технологий предприятия. Следовательно, главной целью проекта COBIT является развитие четкой политики и оптимальных систем безопасности и контроля ИТ с последующим широким применением в коммерческих, правительственных или профессиональных организациях. Развитие объектов контроля предусмотрено, в первую очередь, с точки зрения производственных целей и нужд, что согласуется с COSO, который является наиболее развитой управленческой основой для внутреннего контроля. Впоследствии объекты контроля развились из объектов аудита (сертификация финансовой информации, сертификация мер внутреннего контроля; продуктивность и эффективность и др.). АУДИТОРИЯ: РУКОВОДСТВО, ПОЛЬЗОВАТЕЛИ И АУДИТОРЫ COBIT предназначен для использования тремя разными аудиториями: РУКОВОДСТВОМ: для соблюдения равновесия между риском и контролем в часто непредсказуемой ИТ среде. ПОЛЬЗОВАТЕЛЯМИ: для обеспечения безопасности и контроля ИТ услуг, предоставляемых внутренними или сторонними организациями. АУДИТОРАМИ: для аргументированного подтверждения мнений выработки рекомендаций о внутреннем контроле.
И Н СТИ ТУТ У П Р А В Л ЕН И Я И Т
11
и
ОРИЕНТАЦИЯ НА БИЗНЕС ЦЕЛИ
совокупность политик, практик, процедур и организационных структур, предоставляющих обоснованную гарантию, что цели бизнеса будут достигнуты, возникновение нежелательных событий будет предупреждено либо их последствия будут обнаружены и исправлены.
COBIT нацелен на обращение к бизнес задачам. Объекты контроля формируют ясную и четкую связь с бизнес целями для использования в значительной степени вне зоны аудита. Цели контроля определены в технологической манере в соответствии с принципами производственной модернизации. В обозначенных доменах и процессах высокоуровневые объекты контроля идентифицируются и управляются для фиксации связи с производственными целями. Кроме того, анализ и рекомендации применяются для выявления и управления объектами контроля ИТ.
желаемый результат или цель, которую нужно достичь посредством внедрения процедур контроля в ИТ деятельность.
Классификация доменов, в которых фигурируют высокоуровневые объекты контроля (домены и процессы), выявление производственных требований к информации в каждом конкретном домене и ИТ ресурсы, сталкиваемые, главным образом, целями контроля, совместно формируют Структуру СobiT. Структура CobiT основана на исследовании, которое выявило 34 высокоуровневых цели контроля и 318 объекта контроля. Структура COBIT была предложена вниманию специалистов в сфере ИТ и аудита для обсуждения и корректировки. Полученные результаты были учтены в изданном варианте COBIT.
структура взаимоотношений и процессов выбора вектора развития предприятия и его контроля, направленная на увеличение его стоимости при сбалансированном риске в сфере информационных и смежных технологий.
ОСНОВНЫЕ ПОНЯТИЯ Необходимыми для правильного восприятия сути понятиями являются следующие: “Контроль” - взят из отчета COSO (Внутренний Контроль – Интегрированный Стандарт, Комитет Поддержки Организаций Комиссии, 1992), а также “Объект Контроля ИТ”, который заимствован из отчета SAC (Отчет об Аудите и Контроле в Системах, Институт Фонда Внутренних Аудиторских Исследований, 1991 и 1994 год.)
ИТ ПРОЦЕССЫ COBIT, РАЗДЕЛЕННЫЕ НА 4
И Н СТИ ТУТ У П Р А В Л ЕН И Я И Т
ДОМЕНА
12
ИСТОРИЯ И ПРЕДЫСТОРИЯ COBIT Третье издание COBIT – последняя версия Контрольных Объектов для Информационных и смежных Технологий. Впервые стандарт был издан Фондом Аудита и Контроля Информационных Технологий (ISACF) в 1996 году. Второе издание, в которое вошли многочисленные исходные документы, результаты пересмотра высоких уровней и детализированных объектов контроля и был добавлен Набор Инструментов, было опубликовано в 1998 году. Выход в свет Третьего издания ознаменовался также появлением нового и основного издателя СobiT – Института Управления Информационными Технологиями. Институт Управления ИТ был создан под эгидой Ассоциации Аудита и Контроля ИТ и Фондом Аудита и Контроля ИТ в 1998 году для популяризации и практической адаптации принципов управления ИТ. Благодаря добавлению к Третьему изданию Принципов Управления и их акцентированию внимания на управлении ИТ, Институт Управления ИТ сумел занять лидирующие позиции в развитии стандарта.
Не исключая того факта, что в дальнейшем и другие приемлемые стандарты в области контроля ИТ могут тоже быть представлены на суд аудитории, перечислим источники, на которые ссылается CobiT: Технические стандарты от многочисленных международных организаций (ISO, EDIFACT) и т.д.; Кодексы управления, изданные Советом Европы, Организацией Экономического Сотрудничества и Развития (OECD), ISACA и т.д. Критерии оценки ИТ и процессов: ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Common Criteria и т.д. Профессиональные стандарты внутреннего контроля и аудита: COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE,GAO и т.д. Производственные стандарты и требования промышленных форумов: ESF, 14, IBAG, NIST, DTI и т.д. Появляющиеся специализированные отраслевые требования: например, требования банковского сектора, электронной торговли и ИТ индустрии и т.д.
Первоначально COBIT был основан на Объектах Контроля Фонда Аудита и Контроля ИТ (ISACF) и был дополнен существующими и новыми международными техническими, профессиональными, регуляционными, отраслевыми стандартами. Полученные объекты контроля были доработаны до уровня, позволяющего применять их в информационных системах организаций. Значение терминов “общепринятые и общераспространенные” соответствует их трактовке в Общепринятых Принципах Отчетности и Бухгалтерского Учета (GAAP). COBIT, независимый от внедренных в организации технических платформ ИТ, относительно невелик по размерами и стремится к прагматизму и гибкости по отношению к производственным нуждам.
И Н СТИ ТУТ У П Р А В Л ЕН И Я И Т
13
ЭВОЛЮЦИЯ COBIT COBIT будет развиваться и со временем станет базисом для дальнейших исследований. Таким образом, будет создано семейство продуктов СobiT, и как только это произойдет, ИТ задачи и деятельность, которые организуют структуру контроля целей, будут усовершенствованы, а соотношение между доменами и процессами будет переосмыслено в свете меняющихся отраслевых перспектив развития.
Исследование и публикация стали возможны благодаря значительным субсидиям от PricewaterhouseCoopers и пожертвованиям филиалов ISACA и ее членов во всем мире. Европейский Форум защиты (ESF) любезно предоставил материалы для проекта. Gartner Group также участвовала в проекте и предоставила исследование по обеспечению качества для Принципов Управления.
И Н СТИ ТУТ У П Р А В Л ЕН И Я И Т
14
ПРИЛОЖЕНИЕ 1. ОСНОВНОЙ ПРИНЦИП УПРАВЛЕНИЯ ИТ Нижеследующий Принцип Управления и Модель Зрелости определяют Критические Факторы Успеха, Ключевые Показатели Достижения Цели, Ключевые Показатели Производительности и Модель Зрелости для управления ИТ. Во-первых, связывая производственные процессы, определяется управление ИТ. Во-вторых, выявляются также информационные критерии управления ИТ. Бизнес потребности, на которые влияют все ИТ ресурсы, определяются Ключевыми Показателями Достижения Цели и приводятся в действие на основании итогов контрольного отчета. Результаты контрольного отчета оцениваются Ключевыми Показателя Производительности, которые учитывают Критические Факторы Успеха. Модель Зрелости используется для оценки уровня управления ИТ в данной организации – по предложенной шкале от Несуществующей (самый низкий уровень), до Начального, Повторяющегося, Определенного, Управляемого, Измеряемого и Оптимизированного (самый высокий уровень). Чтобы достигнуть Оптимизированного уровня Зрелости управления ИТ, организация должна быть, по крайней мере, на Оптимизированном уровне в домене Мониторинг и на Управляемом или Измеряемом уровне во всех других доменах.
И Н СТИ ТУТ У П Р А В Л ЕН И Я И Т
15
ОСНОВНОЙ ПРИНЦИП УПРАВЛЕНИЯ ИТ
Управление ИТ и сопряженными с ними процессами, направленное на увеличение стоимости при сбалансированном риске обеспечивает получение информации о производственных процессах, которые занимаются требуемыми Информационными Критериями и оцениваются Ключевыми Индикаторами Достижения Цели, становится возможным благодаря созданию и поддержке системы производства и контроля, которая соответствует задачам бизнеса, направляет и проверяет производственную ценность деятельности ИТ, учитывает Критические Факторы Успеха, которые влияют на все ИТ ресурсы и измеряются Ключевыми Показателями Производительности. КРИТИЧЕСКИЕ ФАКТОРЫ УСПЕХА - Действия по управлению ИТ интегрированы в процессы управления предприятием и стиль работы руководителей. - Управление ИТ сосредоточенно на целях предприятия, стратегических инициативах, использовании технологий для наращивания бизнеса, достаточности ресурсов и возможностей для удовлетворения бизнес требований. - Действия по управлению ИТ четко определены, зафиксированы, осуществляются, и базируются на потребностях предприятия и предполагают обязательную отчетность. - Методы Управления приводятся для увеличения продуктивности и оптимального использования ресурсов и увеличения эффективности процессов ИТ. - Организационные методы необходимы для: определения упущений; контроля за внешней средой; внедрения оценки рисков в качестве стандартной процедуры; мониторинга и окончательной обработки недостатков и рисков. - Методы Контроля определены таким образом, чтобы избежать сбоев в системе внутреннего контроля. - Интеграция и сбалансированное взаимодействие таких комплексных ИТ процессов, как проблемное, модификационное и структурное управление. - Учреждается контрольный орган, в сферу ответственности которого входят выбор и контроль за деятельностью независимого аудитора, который при планировании контроля акцентирует внимание на ИТ, а также рассмотрение отчетов аудиторов и третьей стороны.
ИНФОРМАЦИОННЫЕ
РЕСУРСЫ ИТ
КРИТЕРИИ -
Эффективность Продуктивность Конфиденциальность Целостность Пригодность Согласованность Надежность
-
Люди Приложения Технология Оборудование Данные
КЛЮЧЕВЫЕ ИНДИКАТОРЫ ДОСТИЖЕНИЯ ЦЕЛИ - Улучшение управления производительностью и расходами - Увеличение доходов от основных инвестиций в ИТ - Улучшение торговых показателей - Оптимизация управления качеством, инновациями и риском - Соответствующая интеграция и стандартизация бизнес процессов - Удовлетворение потребностей существующих клиентов и поиск новых заказчиков - Наличие работоспособной ИТ инфраструктуры - Выполнение требований и ожиданий клиента по бюджету и времени - Строгое соблюдение законов, инструкций, отраслевых стандартов и договорных обязательств - Четкое понимание степени принимаемого риска и ее соответствие принятому в организации уровню - Эталонное тестирование зрелости управления ИТ - Создание новых способов предоставления услуг КЛЮЧЕВЫЕ ПОКАЗАТЕЛИ ПРОИЗВОДИТЕЛЬНОСТИ - Увеличение рентабельности ИТ процессов (сравнение расходов и доходов) - Увеличение количества плановых ИТ действий по их усовершенствованию - Оптимизация функционирования ИТ инфраструктуры - Повышение удовлетворенности заинтересованных сторон (опросы и количество жалоб) - Увеличение производительности персонала (доходность) и повышение морального духа (инспекция) - Улучшение степени пригодности знаний и информации для руководителей организации - Увеличение связей между ИТ и управлением организации - Повышение производительности, измеряемое в соответствии со сбалансированными картами балльных оценок
И Н СТИ ТУТ У П Р А В Л ЕН И Я И Т
16
МОДЕЛЬ ЗРЕЛОСТИ УПРАВЛЕНИЯ ИТ Управление ИТ и сопряженными с ними процессами, направленное на увеличение его ценности при сбалансированном риске 0. Не существует. Полное отсутствие, каких либо процессов управления. Организация не признает существования проблем, которые нужно решать, нет никаких сведений о проблемах. 1. Начало. Организация признает существование проблем управления и необходимость их решения. Нет никаких стандартизированных решений, однако существуют случайные одномоментные решения, принимаемые индивидуально или от случая к случаю. Подход руководства - хаотичен, признание существования проблем – случайно и непоследовательно. Может наблюдаться осознание необходимости привлечения информационных технологий в смежные ориентированные на получение результата процессы. 2. Повторение. Существует общее понимание проблем управления ИТ. Показатели деятельности и процессов ИТ находятся в стадии развития, которое включает в себя процессы планирования, эксплуатации и мониторинга. Как часть этого, управление ИТ формально встраиваются в процессы управления предприятием с высокой степенью вовлечения высшего руководства в них. Отобранные ИТ процессы определены для усовершенствования и контроля функционального ядра производственных процессов, эффективно спланированы и проверены, а также установлены в рамках ИТ инфраструктуры. Руководство выбрало основные сравнительные и оценочные методики управления ИТ, хотя сам процесс не был внедрен в организации. При этом не существует формализованного обучения и процесса передачи информации об управлении ИТ, а вся отчетность возложена на сотрудников. Они контролируют процессы управления в рамках различных проектов и процессов ИТ. В вопросе сбора данных о системе управления выбор падает на ограниченные инструменты управления, которые и внедряются для реализации данной цели, но не могут быть использованы в полную силу из-за недостатка экспертных оценок их функциональности. 3. Описание. Необходимость действовать с учетом принципов управления ИТ понимается и принимается. Развивается базовый набор показателей управления ИТ; связь между результатом и показателями производительности определена, зафиксирована и внедрена в стратегическое и операционное планирование и мониторинг. Процедуры стандартизированы, зафиксированы и внедрены. Ключевые Показатели Производительности управления
всех ИТ процессов запротоколированы и отслеживаются, что приводит к улучшениям в пределах всего предприятия. Процедуры не сложные, но являются формализацией существующей практики. Инструменты стандартизированы и используют существующие доступные методики. Идеи Сбалансированных Карточек Учета Бизнеса реализуется в организации. Ответственность за обучение, выполнение и применение стандартов возложена на сотрудников. Причинный анализ используется время от времени. Большинство процессов проверяются на сравнение с некоторыми основными метриками, и, как правило, малоопытными сотрудниками, поэтому, скорее всего, любые отклонения от стандартов не будут замечены руководством. Однако ответственность за выполнения ключевых процессов очевидна, и сотрудники награждаются, исходя из уровня выполнения задач. 4. Управление. Существует полное понимание проблем управления ИТ на всех уровнях, поддерживаемое формальным обучением. Также существует полное понимание того, кто есть клиент. Ответственности определены и отслеживаются на протяжении всего срока действия договоренностей. Четко определена ответственность и ее пределы. Процессы ИТ выстраиваются в единую линию с бизнесом и ИТ стратегией. Улучшения в процессах ИТ, в первую очередь, базируются на количественном анализе, что позволяет отслеживать и измерять соответствие системы метриками. Все совладельцы процесса осознают риски, важность ИТ и их возможности. Руководство определило допустимые нормы, при которых процессы должны работать. Вмешательства допускаются во многих, но не всех случаях неэффективного и непродуктивного протекания процессов. Процессы постоянно совершенствуются, и результаты их выполнения соответствуют «лучшим» практикам. Анализ первопричин стандартизуется. Присутствует понимание необходимости постоянной модернизации. Есть ограниченное, в первую очередь, тактическое использование технологии, основанное на зрелой методике и усиленных стандартных инструментах. Все необходимые эксперты по внутренним доменам участвуют в процессе. Управление ИТ проникает во все производственные процессы. Процессы управления ИТ интегрируется в процесс управления предприятием. 5. Оптимизация. Присутствует современное понимание управления ИТ, проблем и решений ИТ, а также их перспектив. Обучение и коммуникация поддерживаются самыми передовыми методиками. Благодаря постоянной
И Н СТИ ТУТ У П Р А В Л ЕН И Я И Т
17
модернизации процессы соответствуют моделям зрелости, построенным на основании «лучших практик». Внедрение этих процедур Внедрение этих процедур привело к появлению в организации людей и процессов, максимально адаптируемых к изменяющимся условиям, а также полностью соответствующих требованиям управления ИТ. Первопричины всех проблем и отклонений тщательно анализируются, затем назначаются продуктивные действия. Информационные технологии интегрированы в процессы и они полностью их автоматизируют, предоставляя возможность повысить качество и эффективность работы организации.
И Н СТИ ТУТ У П Р А В Л ЕН И Я И Т
18
AMERICAN SAMOA ARGENTINA ARMENIA AUSTRALIA AUSTRIA BAHAMAS BAHRAIN BANGLADESH BARBADOS BELGIUM BERMUDA BOLIVIA BOTSWANA BRAZIL BRITISH VIRGIN ISLANDS CANADA CAYMAN ISLANDS CHILE CHINA COLOMBIA COSTA RICA CROATIA CURACAO CYPRUS CZECH REPUBLIC DENMARK DOMINICAN REPUBLIC ECUADOR EGYPT EL SALVADOR ESTONIA FAEROE ISLANDS FIJI FINLAND FRANCE GERMANY GHANA GREECE GUAM GUATEMALA HONDURAS HONG KONG HUNGARY ICELAND INDIA INDONESIA IRAN IRELAND ISRAEL ITALY IVORY COAST JAMAICA JAPAN JORDAN KAZAKHSTAN KENYA KOREA KUWAIT
Ассоциация Аудита и Контроля Информационных Систем Единственный Международный Источник для Контроля Информационных Технологий Ассоциация Аудита и Контроля Информационных Систем является ведущей мировой профессиональной
-
Программы профессионального обучения Ассоциации предлагают
организацией с представительствами в более чем 100 странах мира и охватывает все уровни ИТ:
Вашему конференции техническим
вниманию по вопросам и
организация, практическое Ассоциация занимает
управлению континентах, семинары
на пяти а также повышения
управление, применение. уникальную
позицию мирового лидера в области разработки и распространения практических стандартов по ИТ
-
квалификации для специалистов во всем мире. Технические издания
контролю: ее стратегическое объединение с другими группами в
предлагают материалы
областях финансовой деятельности, бухгалтерского учета и аудита ИТ обеспечивает не имеющий равных
профессионального развития, постоянно увеличивая выбор программ
уровень интеграции и соответствия требованиям владельцев бизнес процессов.
и услуг Ассоциации. Ассоциация Аудита и Контроля
ПРОГРАММЫ
была основана в 1969 году для
И
УСЛУГИ,
ПРЕДОСТАВЛЯЕМЫЕ Программы
услуги,
предоставляемые Ассоциацией, отличаются высочайшим уровнем качества в части сертификации, стандартов, профессионального обучения и технических изданий: Программа сертификации TM
– Ассоциации (CISA Сертификат Аудитора Информационных Систем ТМ) является единственным признанным во всем мире подтверждением
-
технологических
потребностей, и
и для
Информационных Систем (ISACA) удовлетворения
АССОЦИАЦИЕЙ
ссылки
сфере
появляющихся
ИТ.
в
В
сфере
промышленности,
где
прогресс
измеряется
наносекундами,
Ассоциации
удалось
объединить
быстро
потребности
международного сообщества
и
бизнес специалистов
в
области аудита и контроля ИТ. ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ
За
дополнительной информацией
профессионализма в области аудита и контроля ИТ Деятельность Ассоциации по
обращайтесь по телефону: +1 847
стандартизации направлена на разработку качественного базиса, на который
посетите
опираются другие виды деятельности по аудиту и контролю ИТ.
253 1545, почте
либо по электронной
[email protected] нас
www.ITgovernance.org; http://www.isaca.org/.
или на:
LATVIA LEBANON LIECHTENSTEIN LITHUANIA LUXEMBURG MALAYSIA MALTA MALAWI MAURITIUS MEXICO NAMIBIA NEPAL NETHERLANDS NEW GUINEA NEW ZEALAND NICARAGUA NIGERIA NORWAY OMAN PAKISTAN PANAMA PARAGUAY PERU PHILIPPINES POLAND PORTUGAL QATAR RUSSIA SAUDI ARABIA SCOTLAND SEYCHELLES SINGAPORE SLOVAK REPUBLIC SLOVENIA SOUTH AFRICA SPAIN SRILANKA ST. KITTS ST. LUCIA SWEDEN SWITZERLAND TAIWAN TANZANIA TASMANIA THAILAND TRINIDAD & TOBAGO TUNISIA TURKEY UGANDA UNITED ARAB EMIRATES UNITED KINGDOM UNITED STATES URUGUAY VENEZUELA VIETNAM WALES YUGOSLAVIA ZAMBIA ZIMBABWE