- Наиболее вероятного достижения
поставленных целей;
- Эффективного обучения и
адаптации;
- Благоразумного управления
рисками, с которыми столкнулось предприятие;
- Своевременного распознавания
возможностей и их реализации.
Успешные организации осознают
риски, используют выгоды от ИТ и принимают меры для:
- Соотнесения ИТ стратегии со
стратегией бизнеса;
- Убеждения инвесторов и
заинтересованных сторон в том, что организация поддерживает «стандарт
должной заботы» для минимизации ИТ рисков;
- Внедрения ИТ стратегии и ее
цели на предприятии;
- Получения отдачи от инвестиций
в ИТ;
- Формирования организационных
структур, которые облегчают реализацию стратегий и целей;
- Создания конструктивных
взаимоотношений и эффективного взаимодействия между основным бизнесом и
ИТ, а также с внешними партнерами;
- Оценки эффективности работы ИТ.
Предприятия не могут успешно
справляться со следующими задачами без принятия и внедрения методологии корпоративного
управления и контроля в сфере ИТ:
- Соответствие требованиям
бизнеса;
- Обеспечение прозрачности в
выполнении этих требований;
- Организация своей деятельности
в виде общепринятой процессной модели;
- Определение главных ресурсов;
- Определение целей контроля над
управлением должны быть рассмотрены руководством.
Более того, методология
управления и контроля становится частью лучшей практики в области управления ИТ
и помогает организовать управление ИТ и согласовать его с постоянно растущими регулирующими
требованиями.
Лучшие практики в сфере ИТ
приобрели свою значимость в связи со следующими факторами:
- Высшее руководство и Совет
директоров требует большей отдачи от инвестиций, т.е., того, чтобы ИТ способствовали
повышению ценности бизнеса для заинтересованных сторон;
- Обеспокоенность увеличивающимся
уровнем расходов на ИТ;
- Необходимость соответствовать
регулирующим требованиям ИТ контроля в таких сферах, как обеспечение
защиты персональных данных и финансовая отчетность (например, американский
закон Сарбейнса-Оксли (US Sarbanes-Oxley Act) и соглашение о принципах
эффективного банковского надзора Basel II) и в специфических секторах,
таких как финансы, фармацевтика и здравоохранение;
- Выбор поставщиков услуг, управление
аутсорсингом и приобретением услуг.
- Увеличивающийся комплекс
рисков, связанных с ИТ, таких как сетевая безопасность;
- Предложения в области управления
ИТ, которые включают применение методологии контроля и лучших практик для надзора
повышения качества работы ИТ, роста ценности бизнеса и сокращения бизнес
рисков;
- Необходимость оптимизировать
издержки следуя, где возможно, стандартизированным, (а не специально
разработанным), подходам к этой проблеме;
- Совершенствование и
распространение детализированных методологий, таких как COBIT, «Библиотека
ИТ инфраструктуры при Управлении правительсвенной коммерции
Великобритании» (IT Infrastructure Library, ITIL), серия стандартов, ISO серии 27000 по информационной безопасности,
требования к системе управления качеством ISO
9001:2000, «Модель зрелости интеграции» (Capability Maturity Model Integration,
CMMI), «Проекты в контролируемой среде 2» (Projects in Controlled Environments 2 , PRINCE2) и «Свод
знаний по управлению проектами» (AGuidetotheProjectManagementBodyofKnowledge,
PMBOK);
- Необходимость
для предприятий оценить, насколько они соответствуют общепринятым
стандартам и провести сравнение с конкурентами..
Кто
Методология контроля и управления должна поддерживать специфические
потребности разнообразных внутренних и внешних заинтересованных сторон:
- Заинтересованные стороны внутри предприятия, которые требуют
максимальную прибыль от вложений в ИТ:
- те, кто принимают решения по инвестициям;
- те, кто определяют требования;
- те, кто используют ИТ услуги.
- Внутренние и внешние заинтересованные стороны, которые предоставляют
ИТ услуги:
- те, кто управляют организацией и процессами
ИТ
- те, кто развивают новые возможности;
- те, кто оказывает услуги.
- Внутренние и внешние заинтересованные стороны, отвечающие за
контроль и управление рисками:
- те, в чьи обязанности входят безопасность, защита
неприкосновенных данных, контроль и/или управление рисками;
- те, кто обеспечивают соответствие требованиям;
- те, кто требуют или предоставляют услуги
аудита.
Что
Чтобы соответствовать требованиям, приведенным в
предыдущем разделе, методология управления и контроля в сфере ИТ должна:
- Обеспечивать связь и соответствие между целями бизнесом и целями ИТ;
- Ориентироваться на процессы для определения масштаба и степени
охвата, а также быть хорошо структурированной, для обеспечения удобства
навигации по содержимому;
- Быть общепринятой, то есть состоять из признанных лучших практик и
стандартов в сфере ИТ, но быть независимой от специфичных технологий;
- Поддерживать общий язык с помощью набора терминов и определений,
которые понятны всем заинтересованным сторонам;
- Помогать соответствовать требованиям, благодаря согласованности с
общепринятыми корпоративными стандартами управления (например, COSO) и
методами контроля в сфере ИТ, которых ожидают регулирующие органы и
внешние аудиторы.
Как COBIT отвечает этим потребностям
В ответ на потребности, описанные в предыдущем разделе, была
создана методология COBIT, сфокусированная на бизнесе,
процессно-ориентированная, основанная на контроле и управляемая с помощью
измеренияпоказателей.
Нацеленность на бизнес
Ориентация на бизнес является главной темой COBIT. Она
разработана не только для использования поставщиками ИТ услуг, пользователями и
аудиторами, но также, что более важно, для предоставления полного руководства менеджменту
и владельцам бизнес-процессов.
Методология COBIT базируется на следующих принципах
(схема 5):
Чтобы предоставить информацию, которая
требуется предприятиям для достижения их целей, им необходимо инвестировать и
управлять ИТ ресурсами, используя структурированный набор процессов, которые
обеспечивают сервисы для предоставления информации
Управление и контроль над
информацией являются сердцем методологии COBIT и помогают обеспечить
соответствие бизнес-тербованиям.
Информационные критерии по COBIT
