Книги

• Разное
• Экономика
• Право
• История
• Шпоры

реклама

2. Управління та аудит ІТ відповідно до СОВІТ (концептуальне ядро)

Як уже зазначалось, книга "Концептуальне ядро COBIT" містить набір основоположних принципів і понять, а також моделі управління ІТ, на яких базуються всі положення COBIT. Концепція стандарту COBIT передбачає побудову механізмів управління ІТ виходячи з того, яка інформація необхідна для досягнення бізнес-цілей. При цьому інформація розглядається як результат використання ІТ-ресурсів, управління якими здійснюється в рамках ІТ-процесів. Таким чином власник бізнес-процесу отримує інструмент для реалізації стратегії управління ІТ.

Взаємозв’язок між вимогами бізнесу, ІТ-ресурсами та ІТ-процесами складає цикл COBIT, який відображає відповідність інформаційних технологій вимогам бізнесу (див. рис.2).

Рисунок 2 – Цикл СОВІТ

В основу стандарту COBIT покладено наступне твердження:

ДЛЯ СВОЄЧАСНОГО І ПОВНОГО ОТРИМАННЯ ІНФОРМАЦІЇ, НЕОБХІДНОЇ ОРГАНІЗАЦІЇ ДЛЯ ДОСЯГНЕННЯ ЇЇ БІЗНЕС-ЦІЛЕЙ, УПРАВЛІННЯ ІТ-РЕСУРСАМИ ПОВИННЕ ЗДІЙСНЮВАТИСЯ ЗА ДОПОМОГОЮ НАБОРУ ПРИРОДНИМ ЧИНОМ ЗГРУПОВАНИХ ПРОЦЕСІВ.

Отже COBIT має більш високий рівень абстракції, ніж технологічні стандарти з управління ІТ. Більше того, ціллю COBIT є забезпечення переходу від моделей управління бізнесом до спеціалізованих моделей управління ІТ.

Для досягнення цілей бізнесу інформація повинна задовольняти певним критеріям, які в COBIT називають бізнес-вимогами до інформації. Виділяють наступні класи бізнес-вимог:

вимоги до якості (Quality Requirements): якість; вартість; доставка;

вимоги до довіри (Fiduciary Requirements (COSO Report)): ефективність і продуктивність операцій; надійність інформації; відповідність нормативним документам;

вимоги до безпеки (Security Requirements): конфіденційність; цілісність; доступність.

На основі перерахованих класів вимог визначаються категорії бізнес-вимог до інформації (інформаційні критерії), які частково перетинаються:

ефективність (effectiveness) - актуальність і доцільність інформації для відповідного бізнес-процесу, а також її своєчасність, коректність, несуперечність і практичність;

продуктивність (efficiency) - надання інформації шляхом оптимального використання ресурсів;

конфіденційність (confidentiality) - захищеність інформації від несанкціонованого використання;

цілісність (integrity) – точність, повнота й достовірність інформації, а також її обґрунтованість з точки зору цінностей і очікувань (вимог) бізнесу;

доступність (availability) - можливість отримання необхідної інформації протягом часу, який визначається вимогами бізнесу; також захист інформації та її носіїв від викрадення або знищення;

відповідність (compliance) - відповідність інформації законам, правилам, розпорядженням і угодам, які регулюють бізнес-процеси;

надійність (reliability) - надання керівництву інформації, придатної для використання в управлінні, для підготовки фінансової та іншої звітності.

Стандарт COBIT визначає наступні класи ІТ-ресурсів:

дані - інформаційні об'єкти в найширшому значенні слова, тобто внутрішні та зовнішні, структуровані та неструктуровані, графічні та звукові тощо;

прикладні системи - включають не тільки автоматизовані (програмні), але й ручні процедури;

технології - технічні засоби, програмне забезпечення, операційні системи, системи управління даними, мережеве обладнання і програми, мультимедіа тощо;

засоби підтримки - допоміжні ресурси, обладнання, приміщення, інші ресурси, необхідні для створення та підтримки інформаційних технологій;

люди - співробітники підприємства зі своїми навичками і досвідом, необхідними для планування та організації, проектування та впровадження, експлуатації та супроводу, а також підтримки та моніторингу інформаційних технологій.

Взаємозв’язок між бізнес-вимогами, інформаційними критеріями, ІТ-ресурсами протягом життєвого циклу ІТ, а також питання на які допомагає знайти відповідь СОВІТ зображено на рис. 3.

Рисунок 3 – Питання СОВІТ, на всьому життєвому циклі ІТ

Розглянемо на прикладі конкретного ІТ-процесу "управління фінансовими потоками організації за допомогою електронних платіжних систем" які ІТ-ресурси залучаються до його виконання [5]:

дані у вигляді електронних ордерів, електронних ключів, використовуваних для шифрування і підпису цих ордерів при відправці в банк, виписок про стан рахунків, отриманих з банку, а також паперові оригінали цих документів;

прикладні системи, які включають програмне забезпечення "банк - клієнт", а також ручні процедури, пов'язані з підготовкою, верифікацією, підписанням паперових документів і формування електронних платіжок в системі "банк - клієнт";

технології, використовувані для реалізації електронних платежів, разом з робочими місцями операторів платіжної системи, телекомунікаційним устаткуванням (модеми, каналостворююче обладнання та лінії зв'язку), операційна система, на базі якої функціонує програмне забезпечення системи "банк - клієнт", СУБД, використовувана для зберігання електронних ордерів і квитанцій, отриманих з банку;

засоби підтримки, включаючи ізольоване приміщення, в якому встановлений АРМ оператора системи банк-клієнт і фізичні засоби контролю доступу в це приміщення у вигляді електронних замків і відеокамер;

людські ресурси - співробітники бухгалтерії організації, які виконують функції по формуванню, верифікації, підписанню, відправці електронних ордерів тощо, а також технічні фахівці, що відповідають за адміністрування та супровід системи "банк - клієнт".

Зазначимо, що грошові кошти або капітал не віднесено до ІТ-ресурсів, оскільки вони можуть розглядатися як інвестиції у будь-який з вищезгаданих ресурсів.

Для задоволення бізнес-вимог до інформації повинні бути визначені й упроваджені адекватні механізми управління ІТ-ресурсами. З цією метою СОВІТ пропонує набір Об’єктів контролю для ІТ-процесів. Саме вони є базою стандарту, об'єднують усі його книги і складають єдину основу для управління й аудиту ІТ в організації.

Концептуальне ядро COBIT містить Об’єкти контролю високого рівня і загальну структуру, яка визначає їх класифікацію і в якій виділяються три рівні управління ІТ-ресурсами:

1. На нижньому знаходяться конкретні дії і задачі, що дозволяють одержувати вимірний результат.

2. На другому, більш високому рівні, знаходяться ІТ-процеси, які включають набір дій і задач, націлених на досягнення бізнес-цілей.

3. На найвищому рівні абстракції ІТ-процеси, які об'єднуються в домени, відповідно до розподілу областей відповідальності в організаційній структурі підприємства.

Таким чином, Концептуальне ядро COBIT складають: інформаційні критерії; ІТ-ресурси; ІТ-процеси (див. Рис. 4).

Рисунок 4 - Куб СОВІТ

Концептуальне ядро COBIT сформовано з набору 34 високорівневих об’єктів контролю (один об’єкт для кожного ІТ-процесу), згрупованих у чотири домени:

планування та організація;

проектування та впровадження;

експлуатація та супровід;

моніторинг.

Така структура охоплює всі аспекти управління та використання ІТ. Виконання всіх 34 Об’єктів контролю, гарантує власнику бізнес-процесу, що система управління ІТ є адекватною задачам бізнесу.

Зупинимося на тому, як визначаються чотири домени управління, в які групуються процеси COBIT.

Планування та Організація. Включає стратегію і тактику, а також визначення способів найефективнішого використання ІТ для досягнення бізнес-цілей. Реалізацію стратегічних задумів треба спланувати і погодити; необхідно створити відповідну організаційну та ІТ-інфраструктуру.

Комплектування та Впровадження. Для реалізації ІТ-стратегії потрібно ідентифікувати, розробити або придбати відповідні ІТ-рішення, які повинні бути впроваджені та інтегровані в бізнес-процеси, а також внести зміни в інформаційні системи.

Надання та Підтримка. Включає надання необхідних інформаційних служб, у тому числі забезпечення безпеки і безперервності бізнесу, навчання, а також обробку даних прикладними системами.

Моніторинг. Якість і відповідність ІТ-процесів вимогам контролю повинні оцінюватися на регулярній основі. Цей домен включає нагляд за процесами управління ІТ в організації з боку керівництва, а також незалежний контроль з боку внутрішніх і зовнішніх аудиторів.

Концептуальне ядро обмежується описом високорівневих цілей контролю для кожного з ІТ-процесів у формі, наведеній у таблиці 1. Управління ІТ-процесом, що задовольняє конкретну бізнес-вимогу, забезпечується формулюванням задачі управління, для якої повинні бути розглянуті потенційно застосовні механізми управління.

Таблиця 1 - Опис високорівневих задач управління для кожного з ІТ-процесів

Домен Процес		Інформаційний критерій							ІТ-ресурс
		ефективність	продуктивність	конфіденцій­ність	цілісність	доступність	відповідність	надійність	люди	прикладні сис­теми	технології	засоби підтри­мки	дані
Планування та Організація
PO1	визначення стратегічного плану розвитку ІТ	p	s						+	+	+	+	+
PO2	визначення інформаційної архітектури	p	s	s	s					+			+
PO3	визначення технологічного напряму	p	s								+	+
PO4	визначення організаційної структури ІТ і взаємозв'язків	p	s						+
PO5	управління інвестиціями в ІТ	p	p					s	+	+	+	+
PO6	передача цілей і напрями розвитку системи	p					s		+
PO7	управління персоналом	p	p						+
PO8	забезпечення відповідності зовнішнім вимогам	p					p	s	+	+			+
PO9	оцінка ризиків	p	s	p	p	p	s	s	+	+	+	+	+
PO10	управління проектами	p	p						+	+	+	+
PO11	управління якістю	p	p		p			s	+	+	+	+
Комплектування та Впровадження
КВ1	ідентифікація автоматизованих рішень	p	s							+	+	+
КВ2	придбання і підтримка прикладного програмного забезпечення	p	p		s		s	s		+
КВ3	придбання і підтримка технологічної інфраструктури	p	p		s						+
КВ4	розробка і супровід процедур	p	p		s		s	s	+	+	+	+
КВ5	установка і акредитація систем	p			s	s			+	+	+	+	+
КВ6	управління змінами	p	p		p	p		s	+	+	+	+	+
Надання та Підтримка
НП1	визначення і управління рівнями сервісу	p	p	s	s	s	s	s	+	+	+	+	+
НП2	управління зовнішніми сервісами	p	p	s	s	s	s	s	+	+	+	+	+
НП3	управління продуктивністю і пропускною спроможністю	p	p			s				+	+	+
НП4	забезпечення безперервності сервісу	p	s			p			+	+	+	+	+
НП5	забезпечення безпеки систем
НП6	ідентифікація і локалізація витрат			p	p	s	s	s	+	+	+	+	+
НП7	навчання користувачів		p					p	+	+	+	+	+
НП8	надання допомоги клієнтам	p	s						+
НП9	управління конфігурацією	p	p						+	+
НП10	управління проблемами і інцидентами	p				s		s		+	+	+
НП11	управління даними	p	p			s			+	+	+	+	+
НП12	управління засобами підтримки				p			p					+
НП13	управління операціями				p	p						+
Моніторинг
M1	моніторинг процесів	p	p	s	s	s	s	s	+	+	+	+	+
M2	оцінка адекватності внутрішніх механізмів управління	p	p	s	s	s	p	s	+	+	+	+	+
M3	отримання незалежних гарантій	p	p	s	s	s	p	s	+	+	+	+	+
M4	проведення незалежного аудиту	p	p	s	s	s	p	s	+	+	+	+	+
(P) primary - первинний, (S) secondary - вторинний, (+) арplicable to - застосовний

Зазначимо, що механізми управління ІТ не обов'язково рівною мірою сприяють задоволенню всіх бізнес-вимог до інформації. Так само і механізми управління не в рівній мірі залучають ІТ-ресурси. Тому Концептуальне ядро COBIT для кожної задачі управління (об’єкта контролю) визначає ІТ-ресурси, управління якими здійснюється в рамках даного ІТ-процесу.

Наприклад, при виконанні високорівневої задачі управління (процесу) "Визначення стратегічного плану розвитку ІТ"(РО1) з домену "Організація та планування" будуть задіяні всі види ІТ-ресурсів, включаючи дані, прикладні системи, технології, засоби підтримки і людські ресурси; а задача управління "Визначення інформаційної архітектури" (РО2) з того ж домену має безпосереднє відношення лише до даних і прикладних систем, використовуваних для роботи з цими даними (див. таблицю 1 ).

Застосовуючи 34 об’єкти контролю високого рівня, керівник ІТ-служби отримує можливість створити відповідну систему контролю над ІТ-середовищем, яка враховує задіяні ІТ-ресурси і надає можливість їх оцінити за сімома критеріями оцінки інформації, які СОВІТ пропонує. Рисунок 5 ілюструє взаємодію доменів і показує як пропонована структура об'єднує всі аспекти інформації та технологій, що підтримують її.

Рис. 5 – Чотири домени СОВІТ, які об'єднують 34 ІТ-процеси, критерії інформації та ІТ-ресурси

Для досягнення цілей організації у сфері інформаційних технологій, СОВІТ пропонує дві основні книги, Керівництво з менеджменту і Керівництво з аудиту, які відображають принципи управління та принципи аудиту, відповідно. Це дві частини одного цілого - дія і контроль результатів. Управляємо — впливаємо на ІТ для досягнення поставлених цілей. Аудит — контролюємо досягнення мети (див. рисунок 6).

Рисунок 6 – Взаємозв’язок управління й аудиту ІТ

Розглянемо докладніше принципи управління і аудиту, пропоновані СОВІТ.

Книги принадлежат их авторам и выставлены для ознакомления