cobit для чего нужен

CobiT: давайте разберемся!

Проблема повышения эффективности управления не нова. С тех пор как люди организовались в социумы, их всегда заботил вопрос улучшения процесса управления. Будь то княжество, армия, племя, коммуна или компания. Сейчас же, в эпоху прогресса, вопрос вышел на новый уровень: требуется управлять информационными системами. Это привело к быстрому развитию целого ряда отраслевых, национальных и международных стандартов, рекомендаций по управлению IT и, как следствие, IT-безопасностью.

Интернациональным компаниям приходится вести свою деятельность, следуя положениям нормативных актов соответствующих стран. Бизнес сталкивается со все более ужесточающимися требованиями со стороны надзорных органов и общественности, которые предписывают компаниям должным образом использовать и защищать как корпоративную, так и персональную информацию. Эти нормативные документы касаются всех сфер, от безопасности до финансовой отчетности, и включают в себя американские законы SOX (Sarbanes-Oxley Act) и HIPAA, директивы Евросоюза и прочие.

Как правило, подход к управлению рисками IT-безопасности распределен по подразделениям компании. Вследствие этого часто функциональные обязанности и технические средства, необходимые для их выполнения, дублируются. Системы управления же частично перекрываются и противоречат друг другу. В результате администраторы не знают, насколько успешно они управляют сетевыми рисками.

Современный бизнес работает в бурном ритме, многие компании и организации не имеют временного ресурса для выработки собственных требований и стандартов. Поэтому активно используется чужой опыт и лучшие мировые практики, к которым относятся и стандарты. Стандарты управления и IT-безопасности были созданы на основе анализа методов, опробованных как большими группами профессионалов, так и множеством различных компаний и организаций. Как правило, стандарты подаются как рекомендации.

Кроме признанных международных стандартов управления и IT-безопасности, существует много национальных. Например, Control Objectives for Information and Related Technology (CobiT) наиболее часто используется для управления информационными системами в США и ряде других стран, а в Великобритании, Нидерландах и Австралии чаще используется IT Infrastructure Library (ITIL).

CobiT

CobiT — это сокращение от Control Objectives for Information and Related Technology («Задачи информационных и смежных технологий»).

CobiT представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита и IT-безопасности. Создатели стандарта провели анализ и оценку и объединили лучшее из международных технических стандартов, стандартов управления качеством, аудиторской деятельности, а также из практических требований и опыта — все то, что так или иначе имело отношение к целям управления.

Задача CobiT заключается в ликвидации разрыва между руководством компании с их видением бизнес-целей и IT-департаментом, осуществляющим поддержку информационной инфраструктуры, которая должна способствовать достижению этих целей.

Нередко руководство компании в силу объективных причин не понимает IT-специалистов. По представлению руководства, сотрудники IT-подразделения разговаривают на каком-то птичьем языке. Те, в свою очередь, не понимают бизнес-терминов, на основании которых строятся распоряжения руководства. Это все приводит к росту издержек, выполнению лишней работы, что, конечно же, сказывается на эффективности деятельности компании.

В CobiT детально описаны цели и принципы управления, объекты управления, четко определены все IT-процессы (задачи), протекающие в компании, и требования к ним, описан возможный инструментарий (практики) для их реализации. В описании IT-процессов также приведены практические рекомендации по управлению IT-безопасностью.

Кроме того, CobiT вводит целый ряд показателей (метрик) для оценки эффективности реализации системы управления IT, которые часто используются аудиторами IT-систем. В их число входят показатели качества и стоимости обработки информации, характеристики ее доставки получателю, показатели, относящиеся к субъективным аспектам обработки информации (например стиль, удобство интерфейсов). Оцениваются показатели, описывающие соответствие компьютерной IT-системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность, общепринятые показатели информационной безопасности — конфиденциальность, целостность и доступность обрабатываемой в системе информации.

Стандарт отвечает всем потребностям практики, сохраняя независимость от конкретных производителей, технологий и платформ. При разработке стандарта была заложена возможность использования его как для проведения аудита IT-системы компании, так и для проектирования IT-системы. В первом случае CobiT позволяет определить степень соответствия исследуемой системы лучшим образцам, а во втором — спроектировать систему, почти идеальную по своим характеристикам.

История CobiT

Первая версия стандарта была выпущена в 1996 году Организацией аудита и контроля информационных систем (Information Systems Audit and Control Foundation, ISACF) с целью обеспечения методов оценки и контроля, которые пригодились бы и IТ-персоналу, и аудиторам, и клиентам. Она включала концептуальное ядро, определяющее набор основополагающих принципов и понятий в области управления IT, описание задач управления и руководство по аудиту. Вторая, переработанная версия CobiT была опубликована в 1998 году.

Третья редакция была выпущена уже в 2000 году Институтом управления информационными технологиями (IT Governance Institute), учрежденным Ассоциацией аудита и контроля информационных систем (Information Systems Audit and Control Association, ISACA) совместно с ISACF с целью развития и популяризации принципов управления IT (в настоящее время названный институт и является основным разработчиком CobiT). Проект подготовки третьей редакции CobiT включал разработку принципов управления и переработку второго издания с использованием новых и пересмотренных международных источников. Кроме того, концепция CobiT была пересмотрена и расширена, с тем чтобы предусмотреть усиленный административный контроль, ввести управление производительностью и развить управление IT.

Новая редакция — CobiT 4.0

Институт управления IT постоянно совершенствует CobiT. С этой целью в течение последних нескольких лет институт организовал детальные исследования по ряду аспектов целей и принципов управления.

Источники совершенствования: ITIL и CobiT

Преимущество стандартов в их разнообразии и множестве: в этом случае повышается вероятность того, что один из них подойдет в конкретной ситуации. Если CobiT не подходит, можно применить ITIL. Но есть ли взаимосвязь или взаимозависимость между CobiT и ITIL?

ITIL — библиотека лучшего практического опыта в части управления IT-услугами, а CobiT специализируется и на управлении, и на аудите IT. Необходимо отметить, что и к процессам ITIL могут быть применены принципы контроля и управления CobiT. Посредством использования CobiT руководители IT-подразделений преобразуют задачи бизнеса в четкие и понятные планы развития IT. Методология ITIL применяется для оптимизации процесса обслуживания информационных систем с точки зрения управления.

Стандарт CobiT и библиотека ITIL не являются противоречащими друг другу подходами (наборами передового опыта), они дополняют друг друга, охватывая разные сферы деятельности и разные уровни управления. Оба стандарта оказываются более полезными именно тогда, когда используются вместе, а не по отдельности.

CobiT помогает понять, что следует делать для решения поставленной задачи, а ITIL показывает, как этого достичь.

ITIL & CobiT позволяют повысить производительность и эффективность операционных процессов IT-подразделения. Они могут продуктивно использоваться совместно для контроля и построения структуры качественного управления IT. CobiT и ITIL вместе образуют ценную комбинацию ресурсов, помогающих организации управлять IT исходя из бизнесзадач.

Достоинства использования

Плюсы использования стандартов состоят в отсутствии необходимости тратить финансовые, человеческие и прочие ресурсы на разработку стратегии управления. Намного удобнее и выгоднее использовать чужой опыт.

Но никакой стандарт не сможет охватить весь объект управления в деталях. Поэтому необходимо иметь представление обо всех основных стандартах. Их содержание и идеи должны быть готовы к использованию в подходящей ситуации.

Допустим, ISO 17799 говорит нам о важности аудита IT-безопасности, но не содержит никакой информации о том, как его осуществлять.

А вот здесь пригодятся принципы аудита CobiT. Процесс управления IT-безопасностью описан в BS 7799, а оперативная составляющая управления IT-безопасностью описана в специальном разделе ITIL. То есть построение системы управления должно быть основано на лучшем из соответствующих стандартов.

Организация, решившая применить стандарты, сталкивается с множеством проблем. Во-первых, чтобы убедить каждого сотрудника работать в соответствии со стандартами, потребуется время. Об этом, так же, как о стоимости процесса перехода от старого способа работы к новому, часто забывают. Стандарт не всегда будет соответствовать текущим условиям. Его адаптация к ним, если она вообще возможна, вызывает дополнительные затраты. Вследст вие формальной природы стандартов их внедрение поможет сделать процессы менее гибкими, более статичными.

Иногда это может привести к серьезным проблемам: динамика сегодняшних бизнес-процессов порой требует гибкости.

Особенности национальной стандартизации

Все эти стандарты, рекомендации и требования, безусловно, хороши. Но все-таки они основаны, хоть и на лучших, но зарубежных практиках. Фраза об особенностях российского менталитета и практики ведения бизнеса уже набила оскомину. Но, как ни крути, уйти от нашей российской действительности не получится. Внедряя стандарты и требования, придется делать поправки. Может быть, некоторые, достаточно замкнутые в плане общения с внешним для компании миром подразделения смогут с успехом перенять весь зарубежный опыт, заключенный в различных рекомендациях, требованиях, правилах и т. д. Но для компании в целом перейти на зарубежные стандарты будет сложно и в большинстве случаев этот переход будет только декларируемым и формальным. Этому есть несколько причин. Во-первых, надо признать, что во всем цивилизованном мире уже давно формализовано все и вся. Существует огромное количество инструкций, требований и прочего. Главное — они все четко выполняются. Нашим цивилизованным соседям по планете не привыкать жить и работать таким образом. Мы же только учимся этому (хотя надо ли нам это делать?). Во-вторых, деятельность абсолютного большинства компаний тесно связана или контролируется государственными структурами, имеющими свои собственные требования. И они будут иметь приоритет для выполнения, так как несоответствие им может повлечь неприятности для компании или, того хуже, прямые санкции.

На нынешний день российским компаниям приходится проявлять чудеса гибкости и изворотливости, лавируя между отечественными и зарубежными рекомендациями и стандартами.

Источник

Зачем нам CobiT?

Пояснения дает Хендрик КОЛЕМАНС, признанный гуру в области создания и управления системами информационной безопасности. Хендрик КОЛЕМАНС, глава InfoGovernance, один из ведущих экспертов ISACA.

В начале декабря 2006 г. УЦ «Информзащита» впервые на территории бывшего СССР организовал и провел обучение по авторскому курсу Х. КОЛЕМАНСА «Применение CobiT 4.0 для эффективного управления ИТ».

«ИКС» не преминул воспользоваться уникальной возможностью.

– CobiT – панацея для управления ИТ и ИБ или есть про! тивопоказания к его применению?

– CobiT – это набор общепринятых целей и мер контроля в области ИТ и ИБ, во главу угла которых положены требования и цели бизнеса. Создавался для руководителей компаний и профессионалов ИТ и ИБ, практически сразу стал стандартом в области управления ИС и СИБ и базой для аудита систем.

По оценке Brookings Institute, соотношение стоимости материальных и нематериальных активов организаций – 15:85. А нематериальные на 99% – это информация, т.е. ключевой фактор бизнеса. Но она обрабатывается в ИС, главная проблема которой – защищенность.

В CobiT (версия 4.0 опубликована в декабре 2005 г. международной ассоциацией ISACA) аккумулирован мировой опыт: способы оценки качества управления корпоративными ИС и обеспечения безопасности бизнес-процессов, рекомендации и требования более 40 международных и национальных стандартов и норм. Не знаю другой методологии, которая смогла бы на структурном уровне подогнать стратегию и тактику в области ИТ и ИБ под требования бизнеса, снизить риски и дать методы адекватной оценки эффективности мер по их предотвращению. Благодаря универсальному подходу он применим в других областях управления бизнесом, в различных отраслях экономики.

Всегда ли CobiT срабатывает? Негативных примеров – единицы. И если повышение качества контроля и управления в организации не достигается, значит, CobiT использовался неверно. За правильность применения отвечает руководство организации, поскольку сертифицирующего органа нет. И это еще один побудительный фактор для повышения квалификации руководства в области менеджмента.

– Что полезнее – CobiT и ITIL?

– CobiT используется на стратегическом уровне управления бизнесом (10 лет и более), а для тактического (3–5 лет) и оперативного (1 год) управления существуют ISO 17799 (управление ИБ) и ITIL (управление и организация ИТ-процессов).

ITIL – стандарт, подробно описывающий процедуры использования и внедрения ИТ-систем (например, HelpDesk). CobiT «не видит» процессы столь детально, но способен более точно устанавливать связи между целями бизнеса, ИТ-процессами и ИТ-средой, оценивать соответствие ИТ-структуры требованиям бизнеса.

– Сколько компаний в мире полностью соответствуют требованиям CobiT?

– Такой статистики не ведется. Думаю, полностью – никто. Стандарт настолько общий, что каждая организация может выбрать требования, соответствующие ее бизнесу и целям. Наиболее широкий набор – у банков. Существенно меньше CobiT распространен в производственных компаниях и корпоративном секторе. А вот операторы (France Telecom и BelgaCom) не упускают шанс повысить эффективность бизнеса за счет оптимизации ИТ- и ИБ-управления.

– Что мешает активному продвижению стандарта?

– Наиболее сложный момент для внедрения CobiT – культура менеджмента, привычка рассматривать ИТ и ИБ с точки зрения бизнес-целей. В приложении к ИТ-специалистам компаний это означает принимать любые решения, отвечающие нуждам клиентов-сотрудников компании. Чаще всего «айтишники» думают только о «своей» инфраструктуре, сервисах и правильном управлении ими в отрыве от бизнес-целей компании.

Ускорить освоение CobiT может дружественная правовая среда. Так, закон Сарбейнса–Оксли (SOX) заставляет организации выполнять определенные требования к финотчетности и процедурам ИТ-управления, что вынуждает их следовать CobiT, правда, не в полном объеме.

– Считаете ли вы, что в России, имеющей свои ГОСТы, следует адаптиро! вать и принять CobiT как на! циональный стандарт?

– Никто не стремится навязывать CobiT в этом качестве. Но как рекомендательный он мог бы быть полезен. Мне кажется, что каждая страна для своего успешного развития должна убедительно рекомендовать организациям использовать CobiT: если он – основа управления бизнесом компании, то растет бизнес, повышается его контроль, в итоге растет национальный продукт страны. Насколько мне известно, в стандарте ЦБ присутствуют некоторые рекомендации CobiT. Кстати, распределяя финансы для поддержки отраслей в своих странах, ЕС ставит главным условием – соответствие CobiT.

– Ваши впечатления об уровне управляемости ИТ и ИБ российских организаций и компаний?

– Всё, как в других странах: нужно еще многое сделать. Судя по комментариям и вопросам слушателей, контроль в области ИТ в России недостаточен и соответствует скорее уровню Восточной Европы. В то же время в некоторых российских организациях и банках система контроля намного сильнее общего уровня.

ДОСЬЕ «ИКС»

Хендрик КОЛЕМАНС, глава InfoGovernance, один из ведущих экспертов ISACA. Профессиональные сертификации – CISA, MBA, MCA. В числе его работ – концепция ИБ национального банка Швейцарии.

Практика обучения: более 100 семинаров по проблемам ИТ-аудита в Европе, Америке, Азии и Африке; свыше 10 курсов и 100 тренингов по созданию и управлению ИС и СИБ. Более 2500 учеников в области ИТ, из них только по международному стандарту CobiT –1700.

Источник

Cobit для чего нужен

02.12.2021

ЮБИЛЕЙ КЛУБА SPb CIO Club И ВРУЧЕНИЕ ПРЕМИИ В СТИЛЕ «ДЖЕЙМС БОНД»

02.12.2021

Крупнейшие заказчики ИТ-решений, регуляторы и разработчики ПО объединяются для развития российского ИТ-рынка

Читайте также: conde nast что это

29.11.2021

Спасли жизни и нашли Принцессу: в Самаре завершился десятый юбилейный хакатон по ИИ

29.11.2021

ГК «Астра» запускает второй этап инвестиционной программы

02.11.2021

21.09.2021

Поможет ли стратегия развитию Open Source в России?

18.08.2021

Платформенный бизнес в России

16.05.2021

08.04.2021

KPI: стоит ли овчинка выделки?

13.02.2020

Чат-бот CallShark не требует зарплаты, а работает круглосуточно

24.12.2019

До встречи в «Пьяном Сомелье»!

21.12.2019

Искусство как награда Как изготавливали статуэтки для премии IT Stars им. Георгия Генса в сфере инноваций

04.12.2019

ЛАНИТ учредил премию IT Stars памяти основателя компании Георгия Генса

04.06.2019

Маркетолог: привлекать, продавать, продвигать?

Control Objectives for Information and Related Technologies (сокращенно COBIT) можно перевести как «Задачи управления информационными и смежными технологиями». Несмотряна абстрактность формулировок, COBIT – ценный инструмент, позволяющий превратить информационные технологии, использующиеся на предприятии, из вспомогательной, чисто затратной области в объект, который глубоко интегрируется в структуру компании и начнет оказывать помощь в решении стратегических задач предприятия

В большинстве случаев пересечение информационных технологий и менеджмента порождает монстров. Не исключение в этом отношении и COBIT. Первое знакомство инженеров ИT с этой областью знаний обычно не вызывает восторга. Огромные тома абстрактной документации, в которых нет ни одного пошагового HOW TO и ни одной конкретной рекомендации. Казалось бы, кому и зачем все это нужно, когда на работе и так есть, чем заняться? К сожалению, ответ не лежит на поверхности.

Первое, на что следует обратить внимание, – COBIT бесполезен для малых и в большинстве случаев для средних компаний. Использование ИТ в малом бизнесе конкретное ипрактическое: поддержать в рабочем состоянии сеть, создать и оптимизировать собственный веб-сайт и т.д. Однако чем крупнее становятся компания и ее ИТ-отдел, тем более абстрактные задачи приходится решать.

Главное отличие малой компании от большой заключается в том, что совету директоров или акционеров крупного предприятия непонятны, а потому абсолютно не интересны подробности работы ИТ-подразделений. Совет интересует «улучшение конкурентоспособности» или «повышение клиентоориентированности компании» и, скажем, рост стоимости ценных бумаг предприятия на бирже. Поэтому задачи ИТ-директору в большой компании ставятся совершенно не айтишные: «повысить эффективность», «снизить затраты путем оптимизации бизнес-активности на стратегически важных направлениях компании» или «улучшить работу с поставщиками». Все попытки CIO что-то уточнить и предложить конкретные планы автоматизации чего-либо натыкаются на стену глухого непонимания со стороны руководства. Биг-боссы не хотят знать, как именно следует апгрейдить серверы.Они хотят видеть реализацию стратегических целей компании.

Информация о ISACA

ISACA (ранее полностью – Information Systems Audit and Control Association) является международной некоммерческой ассоциацией профессионалов в области управления ИТ. Деятельность ассоциации фокусируется на аудите, безопасности и корпоративном управлении ИТ. Членство в ISACA отражает разнообразие квалификаций, знаний и опыта, которые делают область управления ИТ интересной и динамичной.

Ассоциация предоставляет международные программы сертификации:

Правление Российского отдела ISACA избирается из волонтеров, членов ISACA на ежегодном общем собрании участников ассоциации. Участие членов ISACA в руководстве нашим отделением очень приветствуется. В настоящее время членами правления Российского отделения являются:

Сайт Российского подразделения ISACA: http://www.isaca.ru.

Отсутствие взаимопонимания между ИT и высшим менеджментом лучше всего пояснить на примере. Предположим, что вы CIO крупной компании. Компания настолько крупная,что в штате есть не просто уборщица, а целый CCM (Chief Cleaning Manager – шеф-клининг-менеджер) с собственным отделом уборщиц. Однажды вы вызываете ССМ на ковер ипросите ее наконец убраться в серверной, ибо уж больно там грязно! Предположим, что наш шеф-клининг-менеджер настолько мотивирована, что она немедленно разворачивает бурную деятельность!

Например, приносит красиво отпечатанный проект предстоящей уборки и просит вас утвердить решение, какими именно моющими средствами и инструментами уборки ей следует воспользоваться. В проекте заявлены несколько вариантов, с подробным перечислением достоинств и недостатков каждого из веников, швабр, чистящих порошков и гелей. Какова будет ваша реакция на такую инициативу? Вероятнее всего, несчастная уборщица получит изрядный нагоняй. Еще не хватало директору ИT изучать полезные свойства швабр и«мистеров Проперов»! Необходимо, чтобы серверная просто была чистой, а как это будет реализовано, это абсолютно вне зоны ответственности CIO. Важен результат, а не процесс. Ничего не напоминает?

Если посмотреть на деятельность ИТ-департамента в рамках всего предприятия, в свете приведенного выше примера становится очевидно, что ИТ – это всего лишь один из центров затрат, обслуживающих бизнес компании. Конечно же, все вышесказанное не касается компаний-интеграторов. Но если ИТ не задействовано в бизнесе напрямую, то у высшего руководства нет ни одной причины вникать в работу инструментария обслуживающего персонала одного из центров затрат. То есть формально существует некая черта или граница,по одну сторону которой высшее руководство и абстрактно-стратегические цели, а по другую – информационно-технический отдел и конкретные материальные задачи.

Именно на стыке абстрактных стратегических целей высшего руководства и конкретных ИТ-решений и работает COBIT. Если сформулировать задачи COBIT в одном предложении,то COBIT – это инструмент для преодоления пропасти непонимания между CEO/советом директоров/советом акционеров и CIO.

Стратегические цели компании, как правило, выглядят для работников ИТ слишком абстрактно. Добиться от совета директоров инструкций уровня HOW TO для ИТ-отдела – задача практически не реализуемая. Отсутствие этого «моста взаимопонимания» ведет к внедрению бесполезных для бизнеса компании проектов. Рекомендации COBIT позволяют транслировать стратегические цели бизнеса, в конкретные ИТ-активности, в рамках которых можно запускать проекты, которые будут намного точнее отвечать целям компании. ВCOBIT определены 17 возможных стратегических бизнес-целей компании, 17 ИТ-целей компании и составлена таблица соответствия, которая позволяет транслировать одни цели вдругие. Благодаря этому COBIT становится чем-то вроде платформы-буфера для ведения диалога между топ-менеджерами, руководителями ИТ, инженерами-программистами иаудиторами.

Еще одна польза от внедрения COBIT – это наличие множества KPI. Например, существуют показатели для качества и стоимости обработки информации, характеристик ее доставки получателю. Кроме того, с помощью имеющихся индикаторов можно оценить стиль и удобство интерфейсов, а также ряд общепринятых характеристик ИТ-безопасности, такие какцелостность, конфиденциальность, достоверность и доступность.

Управление ИТ с помощью COBIT осуществляется по ступенчатой схеме – от общего к частному. Сначала разрабатываются стратегии. Например, выстраивание ИТ процессов всоответствии с бизнес-целями компании. Затем последовательно определяются политики, в соответствии с которыми будет осуществляться реализация ИТ-стратегий, стандарты-метрики для политик и, наконец, процедуры – то, как именно будут применяться политики и стандарты.

COBIT можно использовать в двух областях: для аудита имеющихся ИТ, а также для разработки новой ИТ-структуры предприятия. Результатом аудита обычно является ответ навопрос: насколько соответствует имеющаяся ИТ-система лучшим практикам? Результатом проектирования системы с нуля в идеале должно стать создание ИТ-структуры, практически идеальной по своим характеристикам. COBIT не зависит от технологий, производителей и платформ реализации.

Концепция COBIT уже успешно внедрена в некоторых действительно больших организациях. Например, сюда относятся [1]:

Впервые COBIT был введен организацией под названием «Ассоциация аудита и контроля над информационными системами» (ISACA – Information Systems Audit and Control Association) в 1996 году. Текущая версия COBIT – пятая. Она была принята в 2012 году (см. рис. 1).

Рисунок 1. Эволюция развития COBIT

Концепция COBIT буквально на наших глазах эволюционировала из относительно несложного руководства по аудиту ИT-ресурсов в сложную и всеобъемлющую бизнес – модельдля руководства и управления информационными технологиями на крупном предприятии.

Текущая версия COBIT – пятая. В ней декларируется пять основных принципов (см. рис. 2).

Для человека, незнакомого с принципами ИT-менеджмента, эта декларация принципов выглядит довольно абстрактно и непонятно. Однако эти принципы есть ключевой момент приответе на вопрос: «Для чего нужен COBIT?»

Принцип первый: «Соответствие потребностям заинтересованных сторон»

Заинтересованная сторона в английском языке называется stakeholder (стэйкхолдер). Точного перевода на русский язык у этого слова, к сожалению, нет. Кто такой этот стэйкхолдер? Это владелец или акционер компании, это все сотрудники компании, владеющие акциями предприятия, миноритарные акционеры и многие-многие другие, совершенно незнакомые друг с другом люди, которых объединяет только одно – все они заинтересованы в том, чтобы предприятие приносило прибыль.

В первом принципе COBIT 5 декларируется довольно-таки банальная, на первый взгляд, мысль: любое предприятие существует исключительно для того, чтобы создавать интересдля стэйкхолдеров. Философская основа данного взгляда заключается в том, что интересы у разных стэйкхолдеров на одном и том же предприятии могут быть совершенно разные. Например, для улучшения эффективности работы фирмы можно поглотить компанию-конкурента, а можно сократить затраты с помощью увольнения «лишнего» персонала. Соответственно, подходы к тому, как же именно управлять предприятием, в зависимости от выбранной стратегии могут быть совершенно противоположные, несмотря на общую цель. Как это касается сферы ИТ? Очень даже напрямую касается! Если говорить о M&A (слияние и поглощение компаний), то ничего страшнее для ИТ-департамента не придумать даже в кошмарном сне! Образно говоря, это сродни тому, чтобы заставить китайца, не желающего учить английский язык, работать вместе с англичанином, не знающим китайского,над проектом, в предметной области которого они оба одинаково некомпетентны.

Система руководства предприятием в этом свете должна учитывать интересы всех заинтересованных сторон (см. рис. 3). Это означает, что компания должна генерировать прибыль и при этом должны адекватно учитываться возможные риски и используемые ресурсы. То есть руководство компании всегда должно иметь ответы на вопросы:

В итоге интересы стэйкхолдеров необходимо как-то сконвертировать в практическую реализацию стратегии предприятия. COBIT 5 как раз и предлагает каскадировать высокоуровневые цели предприятия в конкретные действия на уровне ИТ.

Принцип второй: «Комплексный взгляд на предприятие»

Основная мысль этого принципа заключается в том, что информация и информационные технологии, используемые на предприятии, не самодостаточны, а являются частью экономического процесса по созданию ценности (см. рис. 4). Вследствие чего управлять информацией и ИТ следует так же, как и любыми другими активами предприятия. Кроме создания ценности или интереса для стэйкхолдеров, руководство включает в себя некоторые дополнительные элементы, такие как факторы влияния, области применения илиобласти охвата, а также роли, виды деятельности и отношения.

Факторы влияния в руководстве – можно сказать, что это инструменты, с помощью которых осуществляется руководство. В качестве таких инструментов могут выступать, например, практические приемы, наработанные за счет чьего-то личного опыта в данной предметной области. Также к факторам влияния относят всевозможные методологии, процессы и любые другие ресурсы предприятия, с помощью которых достигаются цели предприятия. Если обратиться непосредственно к информационным технологиям, тофакторами влияния являются персонал, информация и ИТ-инфраструктура.

Область руководства – это совсем просто! Руководить можно предприятием в целом, а можно отдельным филиалом, подразделением и отделом. Соответственно, на каждом уровне уруководителя будет свой взгляд на то, как все должно быть организовано.

Роли, виды деятельности и отношения – это кто, как и чем руководит и управляет. В COBIT предложено формализовать эту деятельность с помощью введения понятия «доменов». На рис. 5 можно увидеть что-то вроде «дорожной карты», кто и чем занимается.

Принцип третий: «Применение единой интегрированной методологии»

Вообще говоря, для управления предприятием создано множество всевозможных «фреймворков», рекомендаций, сводов знаний, стандартов и наилучших практик. Одно лишь их перечисление займет достаточное количество времени. Вот лишь некоторые из них:

Методология COBIT 5 в большей или меньшей степени интегрирует все лучшее, что можно взять от каждого из этих подходов. Поскольку COBIT не противоречит ни одной извышеназванных методик управления, есть возможность совместить область действия любого из вышеназванных подходов с COBIT.

Кроме того, ассоциация ISACA (автор и разработчик COBIT) имеет собственные разработки, такие как Val IT, Risk IT, BMIS, Board Briefing on IT Governance и ITAF. Методология COBIT 5 интегрирует все эти знания.

Принцип четвертый: «Обеспечение целостности подхода»

Этот принцип посвящен более детальному освещению «факторов влияния», упоминавшихся в описании второго принципа «комплексный взгляд на предприятие». В отличие отвторого принципа четвертый говорит о том, каким должен быть образ мышления руководителя для достижения наилучшего результата (см. рис. 6).

В тексте официального издания COBIT 5 об этом говорится так:

«Любое предприятие всегда должно принимать во внимание взаимосвязанный набор факторов влияния. Это означает, что каждый фактор влияния:

Поэтому для принятия правильных решений при руководстве и управлении ИТ на предприятии следует учитывать системный характер мер по руководству и управлению. Это означает, что для удовлетворения потребностей заинтересованных сторон следует анализировать, принимать во внимание и реализовывать все взаимосвязанные факторы влияния».

Принцип пятый: «Разделение руководства и управления»

Прежде всего хочется остановиться на тонкостях английского языка, на котором составлены оригиналы всех документов COBIT. Разница смыслов у терминов, используемых вконцепции COBIT, «Governance» – «Руководство» и «Management» – «Управление» – это один из ключевых моментов понимания всей концепции в целом. В русском тексте COBIT 5 приводится следующая информация:

«Везде в тексте слова «руководство» и «управление» использованы в соответствии со следующими определениями:

Руководство обеспечивает уверенность в достижении целей предприятия путем:

Управление заключается в планировании, построении, выполнении и отслеживании деятельности в соответствии с направлением, заданным органом руководства, для достижения целей предприятия» (см. рис. 7).

Модель управления предприятия в рамках COBIT 5 состоит из двух доменов, «Руководство» и «Управление». Более детально эти домены и содержащиеся в них процессы представлены на рис. 8.

Таким образом, можно видеть, что в случае внедрения на предприятии модели управления в соответствии с рекомендациями COBIT оптимизация большинства рабочих процессов произойдет автоматически в соответствии с наилучшими практиками. Каждый из поддоменов имеет достаточно детализированный механизм внедрения и мониторинга, чтопозволяет избежать появления в компании непонятно чем занимающихся структур и подразделений.

Конечно, помимо COBIT, существуют и другие модели управления предприятием и информационными технологиями внутри компании. Например, ITIL достаточно хорошо справляется с решением ИТ-задач уже многие годы. Однако, по признанию некоторых экспертов, уровень абстракции модели COBIT все-таки выше [2]. С практической точки зрения это означает, что с помощью COBIT можно решать не только и не столько вопросы информационных технологий, сколько удовлетворять потребности бизнеса посредством ИТ. бит

COBIT – это инструмент для преодоления пропасти непонимания между CEO/советом директоров/советом акционеров и CIO

Источник