Стандарт CobiT.
Управление и аудит информационных технологий.
Особенности проведения внешнего аудита ИТ.
Сергей Гузик (руководитель рабочей группы ISACA.ru)
Открытый стандарт CobiT имеет свою нишу в общем комплексе стандартов, методик и руководств. Прежде всего, это стандарт управления и аудита ИТ. На что следует резонный вопрос, но, например, ITIL тоже содержит рекомендации по управлению ИТ-услугами, как они пересекаются? ITIL — библиотека лучшего практического опыта в части предоставления ИТ-услуг, а CobiT специализируется и на управлении и на аудите ИТ. Процессы ITIL, как и любые другие процессы, могут управляться и контролироваться стандартом CobiT.
Повторюсь, что для управления предназначены цели управления, изложенные в Принципах управления, а для аудита — объекты контроля, изложенные в Принципах аудита. На рисунке это разделение представлено схематично (Рис. 10).
Как следует из рисунка, CobiT предоставляет топ-менеджерам возможность донести цели и задачи бизнеса до руководителей ИТ-служб, преобразовав стратегические и тактические планы организации в четкие и понятные планы развития ИТ. Руководители ИТ-служб, в свою очередь, управляют руководителями подразделений на основе полученных указаний в соответствии с CobiT. Методология ITIL применяется для оптимизации процесса обслуживания информационных систем с точки зрения управления. Если процессы предоставления и поддержки ИТ услуг (ITIL) в организации не внедрены, то Cobit предоставляет механизмы управления и на этом уровне. При этом CobiT можно применить в части управления эксплуатацией информационной системой, но только в качестве инструмента общего управления и контроля. Здесь необходимо учитывать, что CobiT не предоставляет инструментов для управления или аудита аппаратно-программного обеспечения конкретных фирм производителей. Так, например, аудит программного обеспечения Microsoft должен выполняться в соответствии с методиками, разработанными Microsoft, и на соответствие требованиям Microsoft, но результаты подобной проверки могут и должны быть использованы в процессах CobiT. Так очень схематично можно определить место и роль CobiT в части управления ИТ.
Итак, ИТ-аудиторы собирают, анализируют информацию и предоставляют отчеты и заключения руководителям организации в соответствии с руководством аудитора CobiT (объекты контроля, "размещенные" в соответствии с рекомендациями CobiT). Основываясь на аудиторских оценках и заключениях о степени достижения целей управления, руководители организации обоснованно, с точки зрения соответствия ИТ целям и задачам бизнеса, осуществляют управление процессами организации для реализации ее бизнес-целей.