Управление ИТ рисками. Использование модели COBIT. 06 июня 2013 года Михаил Савчук, ООО «ЕвразХолдинг»

2 Несколько слов о компании

3 ИТ без надлежащего управления

4 Хорошее ИТ Насколько важны те или иные информационные сервисы или ИТ в целом? Какая выгода от их использования? Что делать если ИТ система недоступна или работает некорректно? Стоит ли тратить дополнительные ресурсы на покупку, разработку, дополнительную поддержку?

5 Модель COBIT

6 Принципы COBIT ИТ технологии очень сложны. Управление ИТ не обязано быть таким.

7 Движущие силы COBIT Принципы, политики и системы Процессы Организационные структуры Культура, этика и поведение Информация Сервисы, инфраструктура и приложения Люди, умения и компетенции

8 Процессы COBIT EDM Оценка, выбор направления и наблюдение EDM01 Обеспечение создания и обновление подхода к руководству EDM02 Обеспечение создания выгоды EDM03 Обеспечение оптимизации рисков EDM04 Обеспечение оптимизации ресурсов EDM05 Обеспечение прозрачности для заинтересованных сторон APO01 Управление подходом к управлению ИТ APO02 Управление стратегией APO03 Управление архитектурой предприятия APO04 Управление инновациями APO05 Управление портфелем APO06 Управление бюджетом и затратами APO07 Управление персоналом APO08 Управление отношениями APO Обеспечение соответствия, планирование и организация APO09 Управление соглашениями об услугах APO10 Управление подрядчиками APO11 Управление качеством APO12 Управление рисками APO13 Управление безопасностью BAI01 Управление программами и проектами BAI02 Управление выявлением требований BAI03 Управление выбором и внедрением решений BAI04 Управление доступностью и мощностью BAI05 Управление поддержкой организационных изменений BAI06 Управление изменениями BAI07 Управление передачей и приемкой изменений BAI08 Управление знаниями BAI Создание, приобретение и внедрение BAI09 Управление активами BAI10 Управление конфигурациями DSS02 Управление запросами на обслуживание и инцидентами DSS03 Управление проблемами DSS04 Управление непрерывностью DSS05 Управление услугами безопасности DSS06 Управление контролями бизнес- процессов DSS Обслуживание, эксплуатация и сопровождение DSS01 Управление эксплуатацией MEA Отслеживание, измерение и оценка MEA01 Отслеживание, подсчет и оценка производительности и соответствия MEA02 Отслеживание, подсчет и оценка системы внутреннего контроля MEA03 Отслеживание, подсчет и оценка соответствия внешним требованиями

9 Основные контрольные задачи Формирование оптимальных показателей портфеля ИТ проектов Максимизация выгод при фиксированных затратах Эффективная реализация ИТ проектов в рамках ожидаемых бюджетов, сроков и полученных от реализации выгод Минимизация затрат при заданном уровне эффективности Развитие Использование существующих ИТ сервисов

10 Пять почему (пример декомпозиции рисков) минимизация затрат при заданном уровне эффективности при использовании существующих ИТ сервисов и услуг адаптации существующих ИТ услуг к изменяющимся бизнес требованиям эффективности масштабирования существующих ИТ услуг (например, в части изменения количества пользователей, географии и т.д.) эффективности обработки транзакций при увеличении количества пользователей и данных

11 Меры по компенсации рисков Невозможность обработки транзакций при увеличении количества пользователей и данных APO03. Управление архитектурой предприятия Создание архитектуры, основанной на принципах масштабируемости и гибкости (TOGAF); BAI03. Управление выбором и внедрением решений Управление инфраструктурой (COBIT: Enabling process); BAI04. Управление доступностью и мощностью Планирование и управление проблемами с мощностью и производительностью (ISO/IEC 20000, ITIL)

12 Уровни зрелости ИТ процессов 0 Отсутствующий. 1 Начальный. 2 Повторяемый, но интуитивный. 3 Определенный. 4 Управляемый и измеримый. 5 Оптимизируемый. Целевой уровень зрелости определяется задачами бизнеса и рисками

13 Саммари Контрольные задачи высшего, среднего и низшего уровней Связанные ИТ риски Необходимые к реализации ИТ процессы и уровень зрелости Стандарты, организационная структура, потоки информации Больше информации на COBIT 5 COBIT 5: Enabling Processes COBIT 5 Implementation COBIT 5 for Information Security

14 Спасибо за внимание Михаил Савчук, CIA, CISA Руководитель блока внутреннего аудита по ИТ ООО «ЕвразХолдинг»