Загрузил anastasiainakina77

COBIT

реклама
COBIT
COBIT –специальный подход, предназначенный для управления
информационными технологиями. Он создан организацией ISACA, а также
Институтом руководства ИТ еще в 1992 году. Такой подход предназначен
для менеджеров, ИТ пользователей, аудиторов в виде утвержденных
процессов, лучших практик, метрик, которые помогают получить
максимальную выгоду от использования различных информационных
технологий. Кроме того, такой подход позволяет разрабатывать и
контролировать ИТ компании. Последняя версия COBIT представлена в виде
процессного подхода.
В COBIT описаны механизмы управления, задачи, цели, всевозможные ИТ
процессы, а также инструменты, позволяющие работать с ИТинфраструктурой, вопросы, относящиеся к ИТ безопасности. Необходимо
понимать, что данный подход может быть практически бесполезен и
неприспособлен для малых и средних компаний. Небольшой бизнес
использует ИТ только для такой цели, как поддержка компьютерной сети и
создание собственного сайта. Крупный бизнес может иметь более
абстрактные задачи, поэтому для такой цели требуется более сложное и
специализированное ИТ подразделение, как по своей структуре и задачам,
так и по управлению ИТ. Для Высшего руководства крупной организации
неинтересно собственно информационные технологии. Данное руководство в
большей степени волнует то, как улучшить конкурентоспособность,
повысить поток клиентов и решать иные, операционные или стратегические
задачи.
Достаточно важной книгой в COBIT является специальное руководство по
аудиту. Здесь описывается, как проводить проверку ИТ-процессов и задач
управления, которые определяются в концептуальном ядре данного подхода.
Соответственно, аудитор может определить адекватность системы
управления и предоставить рекомендации по ее улучшению.
В соответствии с COBIT основная цель ИТ-аудита – это предоставление
руководству компании гарантий по эффективному выполнению задач
управления. Также ИТ аудит улучшает информационную систему,
увеличивает уровень ее безопасности, эффективности процессов управления.
Самой распространенной моделью, оценивающей механизмы управления,
можно назвать классическую модель. Важно соответствие этой модели
критериям аудита. Они определяются при помощи стандарта и других
нормативных документов.
Аудит ИТ по COBIT позволяет получить определенные критерии по оценке
процессов управления информационными технологиями. Для механизмов
управления существуют такие критерии:



Подотчетность и возможность распределения ответственности. Для
рабочей модели управления вся ответственность за бизнес-процессы
должна быть распределена. Также устанавливается ответственность для
каждого сотрудника и должностного лица. В противном случае не будет
происходить движение управляющей информацией и различные
корректирующие действия не станут предприниматься.
Стандарты и возможные отклонения. Что касается стандарта по оценке
эффективности, то он может быть совершенно разным. То есть, это могут
быть высокоуровневые стратегии и индикаторы производительности.
Стандарты, которые представлены в документах, имеют актуальное
состояние – это важный критерий в показателе эффективности системы
управления информационными технологиями. Для каждого ИТ процесса
должны быть точно определены допустимые отклонения от стандарта.
Еще одним компонентом являются информационные
критерии. Основой для того, чтобы система управления ИТ-процессами
функционировала, является актуальность и пригодность информации для
управления.
После того как будут разработаны план и стратегии для проведения ИТ
аудита, осуществляется сам аудит. А после его проведения выполняется
разработка рекомендаций и составление отчетности. Сам аудит имеет 4
этапа, которые реализуются последовательно:
1. В первую очередь происходит идентификация, осуществляется сбор и
анализ информации.
2. Во-вторых, осуществляется оценка механизмов управления.
3. Следующим шагом является тест соответствия.
4. На последнем этапе проводится детальное тестирование.
На первом этапе идентифицируются механизмы управления, осуществляется
сбор, анализ информации. Для этого проводится опрос сотрудников,
руководства компании, чтобы выяснить несколько вопросов. Они касаются
требований, рисков в бизнесе, организационной структуры, распределения
ролей, политик и процедур, требований в нормативной базе и т. д.
При оценке рисков учитывается политика организации, идентифицируются и
измеряются риски, определяется стоимость, эффективность для организации
контрмер, проводятся формальные процедуры, которые дают возможность
определить цели механизмов управления.
Тест на соответствие – это такой этап, где основной задачей является
получение гарантий того, что имеющиеся механизмы управления являются
пригодными. Проверка выполняется так, чтобы были получены
свидетельства о том, что все процедуры осуществляются правильно.
Детальное тестирование является заключительным этапом. Его цель – это
оценка, обоснование рисков, которые связаны с невыполнением задач по
управлению благодаря применению аналитических методов и оценок
экспертов. Самой последней целью является то, чтобы руководство
выполнило корректирующие действия. Это необходимо для того, чтобы
улучшить состояние системы управления компании. Все недостатки
механизмов управления, рисков документируются, а затем проводится
сравнительное тестирование.
Скачать