Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Обучение от Mail.Ru Group.
Онлайн-университет
для программистов с
гарантией трудоустройства.
Набор открыт!

Стандарт CobiT.
Управление и аудит информационных технологий.
Особенности проведения внешнего аудита ИТ.

Сергей Гузик (руководитель рабочей группы ISACA.ru)

Область охвата CobiT

В силу объективных причин у каждого из ИТ-специалистов разное образование, подготовка и опыт в сфере информационных технологий. Зачастую мы используем разные термины для описания одних и тех же событий, происходящих в информационной системе. На практике это приводит к недопониманию распоряжений руководства, выполнению излишней, ненужной работы, что, в свою очередь, мешает работе и сказывается на эффективности деятельности организации. Типичный пример, когда головной офис располагается в Москве, а офисы организации разбросаны по всей стране, и отчеты ИТ-служб с мест приходят в головной офис в виде, не поддающемся анализу. Руководители компаний пытаются решить эти и подобные проблемы доступными способами, самые популярные из которых — совещания по обмену опытом, дополнительное обучение и повышение квалификации сотрудников.

CobiT, в свою очередь, является своеобразной платформой для конструктивного диалога между всеми участниками процесса, формализуя через термины и определения общение между:

  1. Топ-менеджерами;
  2. Руководителями среднего звена (ИТ — директором, начальниками отделов);
  3. Непосредственными исполнителями (инженерами, программистами и т.д.);
  4. Внутренними и внешними аудиторами;
  5. Подрядчиками работ.

CobiT предоставляет всем сотрудникам организации единую терминологию в сфере ИТ, гарантируя возможность общения на "одном языке", в частности, при открытии проектов, описании проблем и инцидентов и т.д. Облегчая управление и контроль, предоставляя компетентные однозначные ответы на вопросы, в том числе при внешних проверках.

Рассмотрим, каким образом стандарт CobiT может быть применен в повседневной деятельности организации? Рассмотрим организацию, которая ставит перед собой цель: "предоставлять на рынке собственные услуги при максимально высоком качестве". Для достижения этой цели организация формализовала свою деятельность в соответствии с рекомендациями набора стандартов ISO 9000, ISO/IEC TR 15504 SPICE и т.п. Допустим, что подавляющее большинство бизнес-процессов организации соответствует положениям ISO 9000, внедрение стандарта управляется и поддерживается высшим руководством организации. Как и у любого стандарта, предполагающего собственное внедрение, ISO 9000 запускает механизмы контроля и управления, но это механизмы контроля и управления бизнес-процессами организации. Вопросы же, связанные с ИТ, рассматриваются как неотъемлемая часть бизнес-процессов организации. Но при этом выделить ИТ-составляющую из общего результата достаточно проблематично, и, как следствие, на базе подобной информации затрудняется управление ИТ-составляющей.

Рассмотрим рисунок, иллюстрирующий процессы управления и аудита (Рис. 9).

Проведение аудита ИТ по стандарту CobiT представлено в левой части рисунка. Объекты контроля располагаются в соответствующих фазах бизнес-процессов, которые могут быть формализованы с соблюдением требований стандартов, предоставляя информацию с каждого объекта контроля на более высокий уровень. Рассматривая бизнес-процессы организации мы подразумеваем, что они могут быть созданы по стандартам качества или без них. Собираемая информация объединяется в высокоуровневые объекты контроля, которые затем сводятся в четыре домена CobiT. Оценка организации выводится на шкале модели зрелости организации, и лицу, принимающему решения, гарантируется возможность оценки текущего состояния ИТ в организации, сравнения с требованиями международных стандартов, а также с "лучшей" практикой и стратегией организации в той же отрасли.

Процессы управления схематично отражены в правой половине рисунка. По результатам проведенного обследования руководитель анализирует нужды и требования бизнес-процессов к ИТ, переходя тем самым к управлению. При этом необходимо принимать во внимание тот факт, что невозможно управлять организацией в соответствии с положениями стандарта CobiT (при этом не проводя аудит в соответствии с CobiT), который позволяет получить в достаточном объеме необходимую и достоверную информацию для принятия решений и наоборот. Таким образом, оба эти процесса должны осуществляться в соответствии с рекомендациями CobiT.

Для надлежащего управления ИТ по CobiT требуется информация, представляемая в соответствии с рекомендациями стандарта, а хотя аудит по CobiT проверяет информационные технологии организации на соответствие рекомендациям CobiT, наиболее существенную роль играет при этом интерпретация результатов. Таким образом, выпадение одного из звеньев из этой цепочки снижает уровень достоверности полученной информации и эффективности ее дальнейшего использования.

Новости мира IT:

Архив новостей

Последние комментарии:

Релиз ядра Linux 4.14  (6)
Пятница 17.11, 16:12
Apple запустила Pay Cash (2)
Четверг 09.11, 21:15
Loading

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 985 1945361
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2015 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...