COBIT: Информация и поддерживающие ее технологии для предприятий, страница 6

 Эти домены: «Планирование и Организация», «Приобретение и Внедрение», «Эксплуатация и Сопровождение» и «Мониторинг и Оценка». Эти домены отражают традиционные области ответственности в сфере ИТ, связанные с планированием, созданием, сопровождением и мониторингом.

Методология COBIT предоставляет ссылочную процессную модель и общий язык для тех, кто наблюдает и управляет ИТ-процессами. Объединение эксплуатационной модели и общего языка для всех частей бизнеса в сфере ИТ, это один из наиболее важных шагов навстречу хорошему управлению. Также COBIT предоставляет методологию для измерения и мониторинга эффективности в сфере ИТ, взаимодействия с поставщиками услуг и внедрения лучших практик управления. Модель процессов помогает определить владельцев конкретных процессов  и установить ответственность и отчетность.

Чтобы эффективно руководить ИТ, необходимо иметь представление о процессах и рисках в рамках ИТ, которыми необходимо управлять. Они обычно упорядочены в домены, связанные с планированием,  реализацией, обслуживанием и контролем. В рамках методологии COBIT, эти домены, изображенные на схеме 8, называются:

·  Планирование и Организация (PO) –Определяет направления в отношении внедрения решений (AI) и предоставления услуг (DS).

·  Приобретение и Внедрение (AI) – обеспечивает внедрение решений и предоставление услуг на их основе;

·  Эксплуатация и Сопровождение (DS) – предоставляет решения и делает их доступными для конечных пользователей;

·  Мониторинг и оценка (ME) –наблюдает завсеми процессы, чтобы убедиться, что предоставленные указания соблюдаются.

ПЛАНИРОВАНИЕ И ОРГАНИЗАЦИЯ (PO)

Этот домен охватывает вопросы стратегии и тактики, и определят путь, по которому ИТ могли бы внести максимальный вклад в достижение бизнес целей. Реализация стратегического видения должна быть спланирована, согласованна и управляема с различных точек зрения. Четкая организация, так же как и технологическая инфраструктура, также должны быть внедрены. Этому домену обычно адресованы следующие вопросы управления:

·  Согласованы ли корпоративная стратегия и стратегия ИТ?

·  Достигает ли предприятие оптимального использования своих ресурсов?

·  Все ли члены организации понимают ИТ цели?

·  Есть ли понимание и управление ИТ рисками?

·  Соответствует ли качество ИТ систем бизнес потребностям?

ПРИОБРЕТЕНИЕ И ВНЕДРЕНИЕ (AI)

Чтобы реализовать ИТ стратегию, ИТ решения должны быть определены, развиты и приобретены, а также  внедрены и интегрированы в бизнес процесс. Вдобавок, в этом домене также рассматриваются существующие системы и изменения в них, так как необходимо убедиться, что ИТ решения продолжают соответствовать бизнес целям. Этому домену обычно адресованы следующие вопросы управления:

  • Предлагают ли новые проекты решения, соответствующие потребностям бизнеса?
  • Укладываются ли новые проекты в отведенные сроки и бюджет?
  • Будет ли новая система корректно работать после внедрения?
  • Не помешают ли изменения текущим бизнес операциям?

ЭКСПЛУАТАЦИЯ И СОПРОВОЖДЕНИЕ (DS)

Эта область касается фактической поставки необходимых услуг, которая включает предоставление услуг, управление безопасностью и непрерывностью сервисов, поддержку обслуживания пользователей, и управление данными и эксплуатационными приспособлениями. Этот домен типично обращается к следующим вопросам управления:

  • Предоставляются ли ИТ услуги согласно приоритетам бизнеса?
  • Оптимизированы ли издержки на ИТ?
  • Может ли персонал использовать ИТ системы продуктивно и безопасно?
  • Обеспечивается ли конфиденциальность, целостность и доступность информации для информационной безопасности?

МОНИТОРИНГ И ОЦЕНКА (ME)

Все ИТ процессы должны подвергаться регулярной оценке на предмет их качества и соответствия контрольным требованиям. Этот домен предназначен для управления эффективностью, наблюдения за внутренним контролем, соответствия требованиям регулирующих норм и корпоративного управления. Он обычно обращается к следующим вопросам управления:

  • Как выявить проблемы, связанные с эффективностью ИТ процессов, пока еще не слишком поздно?
  • Гарантирует ли руководство то, что внутренний контроль является эффективным?
  • Как установить обратную связь между эффективностью ИТ и целями бизнеса?
  • Контролируется ли конфиденциальность, целостность и доступность для информационной безопасности?

В этих четырех доменах COBIT выделил 34 ИТ процесса, которые используются в общем случае (см. полный список на схеме 22). В то время как большинство предприятий определило обязанности планирования, реализации, обслуживания и мониторинга в сфере ИТ, и большинство имеет такие же ключевые процессы, немногие организации будут иметь такую же процессную структуру или применять  все 34 процесса COBIT. COBIT предоставляет полный список процессов, которые могут быть использованы для проверки полноты действий и обязанностей; однако, они не все требуют применения, и более того, они могут быть скомбинированы в соответствии с требованиями каждого предприятия.

Для каждого из этих 34 процессов приводятся бизнес цели и цели ИТ, которые обеспечивают данный процесс. Информация о том, как оценивается прогресс в достижении целей, каковы ключевые виды деятельности и результаты, а также кто ответственен за них, также приводится.

Методология, основанная на контроле

COBIT определяет цели контроля для всех 34 процессов, так же как и методы контроля процессов и приложений.

ПРОЦЕССЫ НЕОБХОДИМО КОНТРОЛИРОВАТЬ

Контроль определяется как методики, процедуры, практики и организационные структуры, разработанные для предоставления обоснованной гарантии того, то бизнес цели будут достигнуты, а нежелаемые события предотвращены или их  последствия выявлены и исправлены.

Цели контроля ИТ предлагают полный набор требований высокого уровня, которые должны быть рассмотрены руководством для эффективного контроля над каждым ИТ процессом. Они:

  • Являются формулировками административных действий по повышению ценности  или сокращения риска;
  • Состоят из методик, процедур, практик и организационных структур
  • Разработаны для предоставления обоснованной гарантии того, то бизнес цели будут достигнуты, а нежелаемые события предотвращены и их последствия выявлены и исправлены.

Руководству предприятия необходимо выбирать решения, соответствующие этим целями контроля путем:

  • Выбора подходящих решений;
  • Выбора тех из них, какие могут быть реализованы;
  • Выбор, как применять их (часто, промежутками, автоматически и т.д.);
  • Принятие риска невозможности реализации.