доктор технических наук, профессор Васильев Роман Борисович Учебный курс Стратегический аудит информационных систем Лекция 4

2 Литература Стандарт CobiT. Управление и аудит информационных технологий. Сергей Гузик (руководитель рабочей группы ISACA.ru) html html Лодон Дж., Лодон К. Управление информационными системами. С.-Петербург, Питер, 2005 Боронов В.В., Калянов Г.Н., Попов Ю.И. и др. Информационные технологии и управление предприятием. Москва: ДМК Пресс, "The Balanced Business Scorecard Measurements that Drive Performance," Robert S. Kaplan and David P. Norton, Harvard Business Review, January-February 1992

3 Литература "Capability Maturity ModelSM for Software,"Version 1.1. Technical Report CMU/SEI-93-TR-024, Software Engineering Institute, Carnegie Mellon University, Pittsburgh, PA, February продолжение

4 ISACA Ассоциация Аудита и Контроля Информационных Систем CobiT Контрольные ОБъекты для Информационных и смежных Технологий. CobiT - это сохранение единого подхода к сбору, анализу информации, подготовке выводов и заключений на всех этапах управления, контроля и аудита ИТ, возможность сравнения существующих ИТ-процессов с "лучшими" практиками, в том числе отраслевыми.

5 Состав книг CobiT

6 Содержание книг Резюме для руководителя. Описание стандарта CobiT, ориентированное на топ-менеджеров организации для принятия ими решения о применимости стандарта в конкретной организации. С переводом этой книги на русский язык Вы можете ознакомиться: Описание структуры. Книга содержит развернутое описание структуры стандарта, высокоуровневых целей контроля и пояснения к ним, необходимые для эффективной навигации и результативной работы со стандартом. Объекты контроля. В книгу включены детальные описания объектов контроля, содержащие расшифровку каждого из объектов.

7 Содержание книг Принципы управления. Книга отвечает на вопросы как управлять ИТ, как правильно поставить достижимую цель, как ее достичь и как проконтролировать полноту ее достижения. Предназначена для руководителей ИТ-служб. Принципы аудита. Правила проведения ИТ-аудита. Описание того, у кого можно получить необходимую информацию, как ее проверить, какие вопросы задавать? Книга предназначена для внутренних и внешних аудиторов ИТ, а также консультантов в сфере ИТ. Набор инструментов внедрения стандарта практические советы по ежедневному использованию стандарта в управлении и аудите ИТ. Книга предназначена для внутренних и внешних аудиторов ИТ, консультантов в сфере ИТ. продолжение

8 Цикл CobiT, отражающий непрерывность соответствия ИТ требованиям бизнеса

9 Основа Cobit. Разделение на управление и аудит Основа CobiT. Разделение CobiT на управление и аудит В основу стандарта CobiT положено следующее утверждение: для предоставления информации, необходимой организации для достижения ее целей, ресурсы ИТ должны управляться набором естественно сгруппированных процессов.

10 Четыре домена 34 высокоуровневые цели контроля (ИТ- процесса)

11 Планирование и организация (planning and organization) Этот домен включает стратегию и тактику, а также определение способов наиболее эффективного использования ИТ для достижения бизнес целей. Реализация стратегических замыслов должна быть спланирована и согласована. Должна быть создана соответствующая организационная и ИТ инфраструктура.

12 Проектирование и внедрение (acquisition and implementation) Для реализации ИТ стратегии должны быть идентифицированы, разработаны и/или приобретены соответствующие ИТ решения, которые также должны быть внедрены и интегрированы в бизнес процессы. Этот домен также включает в себя внесение изменений в ИТ системы.

13 Эксплуатация и сопровождение (delivery and support) Этот домен включает обработку данных прикладными системами, предоставление требуемых информационных сервисов, обеспечение безопасности и непрерывности бизнеса, обучение и техническую поддержку.

14 Мониторинг (monitoring) Качество и соответствие ИТ процессов установленным требованиям должны оцениваться на регулярной основе. Этот домен включает в себя надзор со стороны руководства за процессами управления ИТ в организации, а также независимый контроль со стороны внутренних и внешних аудиторов.

15 Объекты

16 Ресурсы ИТ в CobiT Данные объекты в широком смысле (то есть внутренние и внешние), структурированные и неструктурированные, а также графика, звук и т.д. Приложения совокупность автоматизированных и выполняемых вручную процедур. Технология аппаратное обеспечение, программное обеспечение, операционные системы, системы управления базами данных, сетью и мультимедиа. Оборудование все ресурсы, создающие и поддерживающие информационные технологии. Люди персонал, его навыки: умение планировать и организовывать, комплектовать, обслуживать и контролировать информационные системы и услуги.

17 Критерии оценки информации в CobiT Эффективность актуальность информации, соответствующего бизнес-процесса, гарантия своевременного и регулярного получения правильной информации. Продуктивность обеспечение доступности информации с помощью оптимального (наиболее продуктивного и экономичного) использования ресурсов. Конфиденциальность обеспечение защиты информации от неавторизованного ознакомления. Целостность точность, полнота и достоверность информации в соответствии с требованиями бизнеса.

18 Критерии оценки информации в CobiT Пригодность предоставление информации по требованию бизнес-процессов. Согласованность соответствие законам, правилам и договорным обязательствам. Надежность доступ руководства организации к соответствующей информации для текущей деятельности, для создания финансовых отчетов и оценки степени соответствия. продолжение

19 Разделение CobiT на управление и аудит

20 Принципы Для достижения целей организации в сфере ИТ, CobiT включает в себя две основные книги, которые отражают Принципы управления и Принципы аудита. Как следует из названия это две части одного целого (оказание воздействия и контроль результатов). Управляем воздействуем на ИТ для достижения поставленных целей. Аудит контролируем достижение цели.

21 Принципы управления Управление ИТ составная часть успеха в управлении предприятием, которая гарантирует рациональное и эффективное совершенствование всех взаимосвязанных процессов предприятия. Управление ИТ предоставляет основу, которая связывает ИТ-процессы, ИТ-ресурсы и информацию со стратегией и целями организации, что позволяет максимально эффективно использовать информацию, повышая капитализацию и получая конкурентоспособные преимущества.

22 Стратегические вопросы: Существуют ли в настоящее время в организации Информационные Технологии, при управлении которыми "удовлетворяются" все информационные потребности организации? Как организация обеспечивает инфраструктуру и управляет рисками, насколько организация зависит от этого? С какими проблемами организация сталкивается при управлении ИТ?

23 Тактические вопросы: Что является результатом ИТ-процессов? Что является решением проблем в ИТ? Из чего состоят эти решения? Будут ли работать эти решения? Как их реализовать?

24 Инструменты получения ответов Модели Зрелости, Критические Факторы Успеха (КФУ), Ключевые Индикаторы Цели (КИЦ) Ключевые Показатели Результата (КПР)

25 Принципы управления ИТ Виды представления информации: Инструментальная панель; Карты оценки; Эталонное тестирование. Первой целью Принципов управления CobiT явилось создание индикаторов для инструментальной панели, единиц измерения для карт оценки, шкал сравнения для эталонного тестирования.

26 Измерение процессов Необходимость "измерения" процессов организации обусловлена важностью непрерывного совершенствования ИТ, что создает потребность в комплекте инструментов для контроля. При этом трудно определить необходимый уровень совершенствования и остановиться на нем. Перед руководителями в коммерческих и некоммерческих организациях часто возникают задачи оценить объемы инвестиций в ИТ и инфраструктуру, при этом далеко не все могут обосновать инвестиции, отвечая на вопрос: "Как далеко необходимо зайти, и будут ли оправданы затраты выгодой?".

27 Отношение бизнес целей и ИТ

28 Контроль над ИТ О чем беспокоится руководство организации? Где измеряется удовлетворение потребностей? Затрагивают ли проблемы, возникающие в ходе реализации бизнес-процессов, информационные технологии организации? Где это измеряется? Что еще должно быть измерено?

29 Модели зрелости (0 – 5) Модели зрелости предназначены для организации эффективного управления. Они определяют ключевые действия, которые указывают, что надо сделать для достижения требуемого качества и содержат способы контроля над правильностью выполнения ключевых ИТ- процессов и методы их корректировки. Беря за основу шкалу моделей зрелости разработанную для каждого из 34 ИТ-процессов, руководитель может выяснить следующие сведения: Текущий статус организации оценить, на какой стадии организация находится сегодня.

30 Модели зрелости (0 – 5) Текущий статус лучшей практики в этой отрасли сравнить свою организацию с лучшей организацией в этой отрасли. Текущий статус международных стандартов провести дополнительное сравнение текущего статуса организации с "лучшей практикой" или международными стандартами. Статус организации после усовершенствования (реализация стратегии организации) оценить стратегию организации, каких результатов организация хочет достичь. продолжение

31 Шкала моделей зрелости 0. – не существует. Полное отсутствие каких-либо процессов управления ИТ. Организация не признает существования проблем в ИТ, которые нужно решать, и, таким образом, нет никаких сведений о проблемах. 1. Начало (Анархия). Организация признает существование проблем управления ИТ и необходимость их решения. При этом не существует никаких стандартизованных решений. Существуют случайные одномоментные решения, принимаемые кем-то персонально или от случая к случаю. Подход руководства к решению ИТ-проблем хаотичен, признание существования проблем случайно и непоследовательно.

32 Шкала моделей зрелости 2. Повторение (Фольклор). Существует всеобщее осознание проблем управления ИТ. Показатели деятельности и ИТ-процессов находятся в развитии, охватывая процессы планирования, функционирования и мониторинга ИТ. Деятельность по управлению информационными технологиями описана и интегрирована в процесс управления организацией. Выбраны для улучшения и/или контроля те ИТ-процессы, которые влияют на основные бизнес-процессы предприятия. Эффективно выполняется планирование и управление инвестициями. продолжение

33 Шкала моделей зрелости Руководство организации регламентировало меры по управлению ИТ, а также методы управления и оценки, но процесс не был принят в организации. Не существует формализованного обучения, набора взаимосвязанных стандартных процедур управления, ответственность возложена на сотрудников. Сотрудники контролируют процессы управления с помощью проектов и ИТ-процессов. Ограниченные инструменты управления выбираются и внедряются для сбора метрик управления, но не используются в полном объеме из-за недостатков в оценке их функциональности. продолжение

34 Шкала моделей зрелости 3. Описание (Стандарты). Необходимость действовать в соответствии с принципами управления ИТ понимается и принимается. Развивается базовый набор показателей управления ИТ: определена связь между результатом и показателями производительности, она зафиксирована и внедрена в стратегические процессы планирования и мониторинга. Процедуры стандартизованы и документированы, проводится обучение сотрудников по выполнению этих процедур. Показатели производительности всех видов деятельности зафиксированы и отслеживаются, что приводит к повышению эффективности работы всей организации. Процедуры не сложны, они являются формализацией существующей практики. продолжение

35 Шкала моделей зрелости Идеи сбалансированных карт оценки бизнеса принимаются организацией. Ответственность за обучение, выполнение и применение стандартов возложена на сотрудников организации. Анализ первопричин применяется время-от- времени. Большинство процессов управляются в соответствии с некоторыми основными метриками, и, как правило, отдельными сотрудниками, поэтому ни о каких отклонениях руководители не знают. Однако всеобщая отчетность о выполнении ключевых процессов является четкой, и руководство премирует сотрудников на основе измерения ключевых результатов. продолжение

36 Шкала моделей зрелости 4. Управление (Измеряемый). Существует полное понимание проблем управления ИТ на всех уровнях организации, постоянно происходит обучение сотрудников. Определены и поддерживаются в актуальном состоянии соглашения об уровне обслуживания. Четко распределена ответственность, установлен уровень владения процессами. Процессы ИТ соответствуют бизнесу и стратегии ИТ. В первую очередь улучшения в процессах ИТ основываются на измеряемых количественных показателях. Существует возможность управлять процедурами и метриками процессов, измерять их соответствие. Все совладельцы процесса осознают риски, важность ИТ и возможности, которые они предоставляют. продолжение

37 Шкала моделей зрелости Руководство организации определило допустимые отклонения, при которых процессы должны работать. Если процессы не работают эффективно и продуктивно, действия предпринимаются во многих (но не всех случаях). Процессы постоянно совершенствуются, их результаты соответствуют "лучшим практикам". Формализован порядок анализа первопричин. Присутствует понимание необходимости постоянного совершенствования. Ограниченно применяются передовые технологии, основанные на современной инфраструктуре и модифицированных стандартных инструментах. Все необходимые ИТ-специалисты вовлечены в бизнес-процессы. продолжение

38 Шкала моделей зрелости Управление ИТ превращается в процесс уровня всей организации. Деятельность управления ИТ интегрируется в процесс управления организацией. 5. Оптимизация (Оптимизируемый). В организации существует углубленное понимание управления ИТ, проблем и решений ИТ, а также перспектив. Обучение и коммуникация поддерживаются на должном уровне, самыми современными средствами. В результате непрерывного улучшения процессы соответствуют моделям зрелости, построенным на основании "лучшей практики". продолжение

39 Шкала моделей зрелости Внедрение этих процедур привело к появлению организаций, людей и процессов, максимально адаптируемых к изменяющимся условиям, а также полностью соответствующих требованиям управления ИТ. Первопричины всех проблем и отклонений тщательно анализируются, по результатам анализа выполняются результативные действия. Информационные технологии интегрированы в бизнес-процессы, полностью их автоматизируют, предоставляя возможность повышать качество и эффективность работы организации. продолжение

40 Шкала моделей зрелости продолжение

41 Критические Факторы Успеха (КФУ) Действия по управлению ИТ интегрированы в процессы управления организации и стиль работы руководителей; Управление ИТ сосредоточенно на целях организации: стратегических инициативах, использовании технологий для развития бизнеса, достаточности ресурсов и удовлетворения бизнес-требований; Действия по управлению ИТ ясно определены, формализованы и осуществляются на основе потребностей предприятия с соответствующей отчетностью;

42 Критические Факторы Успеха (КФУ) Методы управления разработаны для увеличения продуктивности, оптимального использования ресурсов и увеличения эффективности ИТ-процессов; Организационные методы следят за окружающей средой и культурой управления; способствуют нормальному контролю; ведению стандартной практики управления рисками; определяют степень соответствия установленным стандартам; управляют и изучают недостатки и риски; Методы аудита определены таким образом, чтобы избежать сбоев и ошибок в системе внутреннего контроля; продолжение

43 Критические Факторы Успеха (КФУ) Наблюдается интеграция и развитие взаимодействия сложных ИТ-процессов, таких как управление проблемами, изменениями и конфигурациями; Учрежден контрольный комитет, назначающий и наблюдающий за независимым аудитом, уделяющий пристальное внимание ИТ при составлении планов аудита, а также принимающий во внимание результаты исследований сторонних организаций и аудиторов. продолжение

44 Ключевые Индикаторы Цели (КИЦ) Выражаются в терминах информационных критериев: Пригодность информации, необходимой для поддержки бизнеса; Риски отсутствия целостности и конфиденциальности; Рентабельность процессов и операций; Подтверждение надежности, эффективности и согласованности.

45 Ключевые Индикаторы Цели (КИЦ) Улучшение управления производительностью и стоимостью; Увеличение дохода от инвестиций в ИТ; Сокращение времени запуска в продажу нового продукта или услуги; Улучшение управления качеством, новшествами и рисками; Соответствующая интеграция и стандартизация бизнес- процессов;

46 Ключевые Индикаторы Цели (КИЦ) Поиск новых и удовлетворение существующих клиентов; Выполнение требований и ожиданий клиента по бюджету и времени; Соответствие законам, инструкциям, промышленным стандартам и договорным обязательствам; Полное осознание меры принимаемого риска, а также соответствие уровню риска, приемлемого для данной организации; Эталонное тестирование зрелости управления ИТ. продолжение

47 Ключевые Индикаторы Результата (КИР) Увеличение рентабельности ИТ-процессов; Улучшение работы и планирования действий по совершенствованию ИТ-процессов; Увеличение нагрузки на ИТ-инфраструктуру; Повышение степени удовлетворения пользователей (опросы пользователей и количество жалоб); Улучшение взаимодействия и коммуникаций между руководителями ИТ и руководством организации Повышение производительности сотрудников (в том числе, повышение морального духа).

48 Выводы Модели зрелости предназначены для стратегического выбора и эталонного сравнения. Критические Факторы Успеха (КФУ) предназначены для организации контроля ИТ-процессов. Ключевые Индикаторы Цели (КИЦ) предназначены для контроля достижения целей ИТ-процессов. Ключевые Индикаторы Результата (КИР) предназначены для контроля результатов каждого ИТ-процесса.

49 Управление ИТ по CobiT Управление ИТ осуществляется с учетом бизнес- потребностей. Для управления ИТ определены информационные критерии. Потребности бизнеса определяются Ключевыми Индикаторами Цели, чему способствует организация постоянного контроля над всеми ресурсами ИТ. Достижение необходимого уровня контроля измеряется Ключевыми Показателями Результата, которые учитывают Критические Факторы Успеха.

50 Управление ИТ по CobiT Модель Зрелости используется для оценки уровня управления ИТ в данной организации от несуществующего (самый низкий уровень) до оптимизированного (самый высокий уровень). Для достижения пятого, "оптимизированного" уровня зрелости в управлении ИТ организация должна быть, по крайней мере, на пятом уровне в домене мониторинг и как минимум на четвертом уровне моделей зрелости для всех других доменов. продолжение

51 Cobit Advisor Audit Программный продукт "CobiT Advisor" максимально облегчает проведение аудита ИТ. Основываясь на открытом стандарте CobiT, программа Advisor обновляется в соответствии с редакциями стандарта. В "CobiT Advisor" были включены 16 новых объектов контроля и новые формы отчетов. "CobiT Advisor" представляет собой базу данных Foxpro, структурированную в соответствии с 34 процессами и 318 объектами контроля стандарта CobiT, которая позволяет хранить, обрабатывать и предоставлять информацию о результатах проведения аудита в форме отчетов в различных форматах (например, MS Word, Excel).

52 Cobit Advisor Audit Одним из типовых отчетов являются модели зрелости, которые можно построить как для каждого процесса управления ИТ, так и для совокупной модели зрелости всех ИТ-сервисов организации. продолжение

53 Структура принципов аудита CobiT Секция высокого уровня принципов аудита CobiT отражает: Название бизнес-процесса Требования бизнеса (Объекты контроля высокого уровня) Как осуществлять контроль? Что учитывать? Для перехода на уровень детального аудита ИТ-процесса: Детальные объекты контроля Как понять ИТ-процесс (кому задавать вопросы)? Как оценить контроль ИТ-процесса? Как оценить соответствие этого контроля управлению? Как доказать риск не достижения целей управления?

54 Процесс проведения аудита На практике при проведении аудита для каждого ИТ – процесса необходимо выполнить следующее: Определить высокоуровневый объект контроля Определить ИТ-процесс Проанализировать границы аудита Определить детальные объекты контроля Провести интервью с сотрудниками (ориентировочные названия должностей для каждого объекта контроля приведены в принципах управления) Назначить задания на оценку средств контроля (Принято ли во внимание...) Оценить соответствие Проверить доказательства

55 Этический кодекс аудитора Содействовать приведению информационных систем в соответствие с принятыми стандартами и руководствами Осуществлять свою деятельность в соответствии со стандартами в области аудита информационных систем, принятыми THE INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA) Действовать в интересах работодателей, акционеров, клиентов и общества в старательной, лояльной и честной манере Сознательно не принимать участия в незаконной, либо недобросовестной деятельности Сохранять конфиденциальность информации, полученной при выполнении своих должностных обязанностей

56 Этический кодекс аудитора Не использовать конфиденциальную информацию для получения личной выгоды и не передавать ее третьим лицам без разрешения ее владельца Выполнять свои должностные обязанности, оставаясь независимым и объективным Избегать деятельности, которая ставит под угрозу независимость аудитора Поддерживать на должном уровне свою компетентность в областях знаний, связанных с проведением аудита информационных систем, принимать участие в профессиональных мероприятиях продолжение

57 Этический кодекс аудитора Проявлять добросовестность при получении и документировании фактографических материалов, на которых базируются выводы и рекомендации аудитора Информировать все заинтересованные стороны о результатах проведения аудита Способствовать повышению осведомленности руководства организаций, клиентов и общества в вопросах, связанных с проведением аудита информационных систем Соответствовать высоким этическим стандартам в профессиональной и личной деятельности Совершенствовать свои личные качества продолжение

58 Область охвата Cobit CobiT является своеобразной платформой для конструктивного диалога между всеми участниками процесса, формализуя через термины и определения общение между: Топ-менеджерами Руководителями среднего звена (ИТ директором, начальниками отделов) Непосредственными исполнителями (инженерами, программистами и т.д.) Внутренними и внешними аудиторами Подрядчиками работ

59 Область охвата Cobit CobiT предоставляет всем сотрудникам организации единую терминологию в сфере ИТ, гарантируя возможность общения на "одном языке", в частности, при открытии проектов, описании проблем и инцидентов и т.д. Облегчая управление и контроль, предоставляя компетентные однозначные ответы на вопросы, в том числе при внешних проверках CobiT предоставляет топ-менеджерам возможность донести цели и задачи бизнеса до руководителей ИТ-служб, преобразовав стратегические и тактические планы организации в четкие и понятные планы развития ИТ. Руководители ИТ-служб, в свою очередь, управляют руководителями подразделений на основе полученных указаний в соответствии с Cobit

60 Взаимосвязь с другими стандартами Открытый стандарт CobiT имеет свою нишу в общем комплексе стандартов, методик и руководств. Прежде всего, это стандарт управления и аудита ИТ. На что следует резонный вопрос, но, например, ITIL тоже содержит рекомендации по управлению ИТ-услугами, как они пересекаются? ITIL библиотека лучшего практического опыта в части предоставления ИТ-услуг, а CobiT специализируется и на управлении и на аудите ИТ. Процессы ITIL, как и любые другие процессы, могут управляться и контролироваться стандартом CobiT.