3. Цель семинара Изучить, как управление ИТ (IT Governance) влияет на организацию Оценить, как управление ИТ устанавливает требования к инфраструктуре контроля (control framework) Определить, как COBIT удовлетворяет требования к структуре управления ИТ (IT governance framework). Определить, как COBIT используется совместно с другими стандартами и лучшими практиками. Изучить функции COBIT и преимущества от использования COBIT . Изучить структуру COBIT Framework, ее компоненты: цели контроля(control objectives), практики контроля (control practices), руководства для менеджмента (management guidelines) и руководства для аудиторов(audit guidelines). Изучить примеры использования COBIT на практике Узнать, как разрабатывается и развивается COBIT, что делает ITGI.
6. Что такое CobiT CobiT – это структура (framework) и база знаний(knowledge base) по ИТ-процессам и управлению ими. Структура построена на основе существующих стандартов и успешных практик и имеет соответствующие ссылки. CobiT – это скорее практический инструмент для менеджеров, чем жесткий стандарт. CobiT Mission – исследовать, развивать, пропагандировать и продвигать авторитетныйсовременный международный стандарт управления ИТ для его использования в ежедневной работе руководителей, ИТ-специалистов и аудиторов.
7. Цели CobiT CobiT® (Control Objectives for Information and related Technology) разработан как инструмент для менеджеров для управления информационными технологиями. CobiT помогает в управлении рисками, а также в управлении результатами и преимуществами от использования ИТ. CobiT может использоваться для аудита ИТ, но это не его основное назначение. CobiT отражает лучше практики. CobiT предлагает структуру, которая помогает получать информацию, необходимую для бизнеса, с требуемым уровнем качества
8. CobiT помогает в решении следующих задач Реализовать бизнес-стратегию с помощью ИТ Решить задачи всех пользователей Развивать ИТ с учетом изменений в бизнесе и внешней среде COBIT's дает инструменты для создания панелей индикаторов (dashboards), показателей (scorecards), а также проведения сравнения практики управления ИТ (benchmarking). Среди инструментов: Модель процессов. Входы и выходы процессов. Функции процессов и RACI-диаграммы Цели и метрики Модели зрелости
10. Цели и метрики CobiT Цели и метрики определяются на трех уровнях: ИТ цели и метрики, которые определяют ожидания бизнеса от ИТ Цели и метрики ИТ-процессов, которые определяют, результаты ИТ-процессов, необходимые для достижения целей бизнеса Функциональные цели и метрики определяют, что должно происходить внутри процесса для достижения требуемой производительности и как можно измерить результаты.
11. Хотите избавиться от лишнего веса?Лучшее средство для похудения! Что в черном ящике? Худеем эффективно! Инструкция
23. CobiT Framework и CobiT Cube Требования бизнеса Бизнес-информация Определяют инвестиции в Соответствует CobiT ИТ-процессы ИТ-ресурсы Обеспечивают (предоставляют) Используются в
24. CobiT Cube Действенность Эффективность Конфиденциальность Целостность Доступность Соответствие законодательству Достоверность Домены Процессы Функции Приложения Информация Инфраструктура Люди
50. 5 областей принятия решений, связанных с ИТ Высокоуровневые, взаимосвязанные утверждения относительно использования ИТ в деятельности организации (бизнесе) ИТ-принципы Архитектура ИТ Логика, которая используется для организации корпоративных данных, приложений и инфраструктуры, сформулированная в наборе правил и выборов технологий, призванных обеспечить стандартизацию и интеграцию бизнеса и ИТ Стратегии в области ИТ-инфраструктуры Центрально координируемые, совместно используемые ИТ-сервисы, которые обеспечивают основу для функционирования основных ИТ-систем Потребности в бизнес-приложениях Специфицирование бизнес-потребностей для приобретения или внутренней разработки прикладных информационных систем Инвестиции в ИТ и приоритеты Принятие решений относительно того, куда инвестировать средства в ИТ и сколько, включая процесс утверждения проектов и методику их обоснования
51. Типы распределения прав напринятия решений Руководство подразделений или владельцы осн. процессов ИТ-служба организации и подразделений Высшее руководство (CxO) Права по принятию решений дляопределенной области ИТ принадлежат: Централизация Группа бизнес-руководителей (или один), т.е. CxOs. В т.ч. комитеты в составе высшего бизнес-руководства (возможно, с участием CIO). ИТ-руководство не может принимать решения самостоятельно. Бизнес-монархия Больше Отдельные ИТ-руководители или группы ИТ-руководителей ИТ-монархия Совместно высшим руководством организации (C level) и руководством подразделений (т.е., CxOs и руководители подразделений) — возможно, ключая ИТ-руководство. Аналогично устройству государства, где власть разделена между центром и регионами и они работают вместе. Федерация Две группы: ИТ-руководство и еще какая-либо группабизнес-руководителей (например, CxOs или руководители подразделений) Двоевластие Руководители бизнес-подразделений, владельцы ключевых процессов или их представители самостоятельно и независимо принимают решения в соответствии со своими потребностями Феода-лизм меньше Каждый отдельный пользователь илит небольшие группы Анархия
52. Матрица управления и контроля ИТ: Какие типы управления используются для принятия различных типов решений ИТ- принципы Архитектура ИТ Стратегии ИТ- инфра- труктуры Потребности бизнес- приложений Инвестиции в ИТ Область Тип ? Больше Бизнес- монархия ИТ- монархия Централизация Федерация Двое- властие Феодализм Меньше Анархия
55. Рабочие продукты CobiT 4.1 Executive overview – назначение CobiT Framework – описание структуры стандарта Описание процессов CobiT по доменам: PO - Планирование и организация AI - Закупки и внедрение DS - Выполнение и поддержка ME - Мониторинг и оценка Приложения
57. Взаимосвязь компонентов CobiT Контролируется ИТ-процесс Цели контроля Бизнес Предъявляет требования Получает информацию Проходят аудит Выполняется с помощью Отражены в Эффективно выполняются с помощью Измеряются Производительность Зрелость Практики контроля Руководства по аудиту Цели практик Результаты Ключевые показатели производительности Ключевые показатели целей Модели зрелости
73. ДанныеDS: ЭКСПЛУАТАЦИЯ И СОПРОВОЖДЕНИЕ AI:ЗАКУПКА И ВНЕДРЕНИЕ Определить уровни обслуживания и управлять ими Управлять услугами сторонних организаций Управлять производительностью и наращиваемостью Обеспечить непрерывность услуг Обеспечить безопасность системы Определить и распределить затраты Обучать пользователей Помогать пользователям и консультировать их Управлять конфигурацией Управлять проблемами и инцидентами Управлять данными Управлять оборудованием Управлять операциями Определить решения по автоматизации Приобрести и поддерживать прикладное ПО Приобрести и поддерживать технологическую инфраструктуру Разработать и поддерживать процедуры Установить а аккредитовать системы Управлять изменениями
74. Структура описания процессов CobiT Цели контроля процесса высокого уровня (High-level control objectives) Детализированные цели контроля (detailed control objectives) Рекомендации для руководителей (management guidelines) Модели зрелости (Maturity Models)
75. Описание целей контроля высокого уровня для процессов CobiT (High Level control Objectives) Для каждого процесса определены: Домен процесса Информационные критерии (p, s) Сформулирована цель контроля в форме иерархической последовательности утверждений Направления управления ИТ (p, s) ИТ-ресурсы (да, нет) ИТ-процесс<имя процесса> выполняет требование бизнеса<определение требования>решает задачи <перечень основных задач процесса> достигает результатов <перечень основных результатов> которые измеряются <перечень ключевых метрик>
79. PO - Планирование и организация Включает вопросы стратегии и тактики, проблемы достижения целей бизнеса с помощью ИТ. Планирование стратегического видения. Коммуникации. Организация и инфраструктура процесса планирования.
81. AI - Закупки и внедрение Для реализации ИТ-стратегии необходимо определить, а затем разработать либо приобрести ИТ-решения, а также внедрить их в бизнес-процессы. Изменения в существующих решениях, а также их поддержка входя в этот домен.
83. DS – Выполнение и поддержка Выполнение необходимых ИТ-сервисов, управление безопасностью информации непрерывностью предоставления услуг. Поддержка пользователей. Управление и обслуживание технических средств.
85. ME – Мониторинг и оценка Качество ИТ процессов, их соответствие существующим требованиям, должно регулярно проверяться. Этот домен отвечает за управление производительностью, мониторинг внутренней процедуры контроля, соответствие требованиям регулирующих актов и законодательства, а также управляемость процессов в целом.
94. Определение контроля Нормы, процедуры, приемы и организационные структуры, разработанные для обеспечения разумной гарантии в том, что бизнес - цели будут достигнуты, а нежелательные события будут предотвращены или обнаружены и исправлены
95. Измерение и оценка факторов успеха Система сбалансированных показателей для бизнеса Информационные технологии Цели Средства Показатели возможностей (производительности) Показатели результатов
109. Связь между целями бизнеса и ИТ представлена в трех таблицах CobiT Appendix 1 Связь между целями бизнеса, упорядоченными на основе метода BSC и спецелями ИТ, а также критериями информации CobiT, связанными с этой ИТ-целью Связь между целями ИТ и процессами CobiT Связь между ИТ-процессамиCobiT и целями ИТ.
111. Приложение II (Appendix II) Связь между ИТ-процессами (IT Processes), основными задачами управления ИТ (IT-GovernanceFocus Area), COSO, ИТ-ресурсами и информационными критериями CobiT (CobiT Information Criteria). Приложение подготовлено на основе опроса экспертов Организация должна сама принимать решение о важности тех или иных процессов
112. Комитет спонсорских организаций COSO Committee of Sponsoring Organizations of the Treadway Commission, организована в 1985 году. http://www.coso.org/ COSO включает в себя представителей Американского института сертифицированных бухгалтеров, Американской Ассоциации бухгалтеров, Ассоциации внутренних аудиторов, Института управленческого учета, Института финансовых управляющих. Цель комитета – определение общепринятых процедур внутреннего контроля, для достижения целей различных групп и выработка стандарта, с использованием которого организации смогут оценивать свою систему контроля и улучшать ее. Предотвращение мошенничества в финансовой отчетности. Пять компонентов структуры контроля COSO (среда контроля- Control Environment, оценка рисков – Risk Assessment, функции контроля – Control Activities, информационные системы и коммуникации – Information and communication и мониторинг – Monitoring.
113. Приложение III. Appendix III Модель зрелости для внутреннего контроля показывает, как система контроля развивается от начального (ad hoc) до оптимизированного уровня. Помогает определить, что необходимо для выстраивания эффективной системы контроля и оценить свой уровень зрелости.
115. Приложение IV. Appendix IV. Основные использованные материалы. COSO:Internal Control—Integrated Framework, 1994 Enterprise Risk Management—Integrated Framework, 2004 Office of Government Commerce (OGC®): IT Infrastructure Library® (ITIL®), 1999-2004 International Organisation for Standardisation: ISO/IEC 27000 Software Engineering Institute (SEI®): SEI Capability Maturity Model (CMM®), 1993 SEI Capability Maturity Model Integration (CMMI®), 2000 Project Management Institute (PMI®): A Guide to the Project Management Body of Knowledge (PMBOK®), 2004 Information Security Forum (ISF): The Standard of Good Practice for Information Security, 2003 IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2nd Edition, IT Governance Institute, USA, 2006 CISA Review Manual, ISACA, 2006
116. Приложение V. Appendix V. Сопоставление CobiT 3 и Cobit 4. Сопоставление практик двух версий стандарта в разрезе ИТ-процессов доменов.
117. Приложение VI. Appendix VI. Подходы к организации исследований и развитию стандарта. История создания CobiT 3 Management Guideline: результаты совместного обсуждения группы в составе 40 экспертов, обработка результатов (моделей зрелости, критические факторы успеха, показатели целей, индикаторы производительности для каждой из 34 целей контроля) Специальные исследования, организованные ISACA. Цель – последовательные улучшения. Последние инициативы Исследования в области использования CobiT для управления ИТ. МаппингCobiT и других стандартов, гармонизация. KGI-KPI анализ причинно-следственных связей
118. Приложение VII. Appendix VII. Глоссарий Control – контроль -политики, процедуры, практики и организационные структуры, разработанные для обеспечения достаточной уверенности в достижении целей бизнеса, а так же в том, что нежелательные события будут предотвращены либо обнаружены Control framework – инфраструктура контроля - инструменты, которые использую владельцы процессов для выполнения своих обязанностей по обеспечению контроля Control objectives – цели контроля - описание требуемого результата или цели, которую нужно достичь, за счет выполнения процедур контроля в заданном процессе. Control practice – практики контроля - основной механизм контроля, который поддерживает достижение целей контроля с использованием ресурсов, управлением рисков и согласованием с целями бизнеса.