Связь cobit 4.1 с другими стандартами. COBIT и связанные методики. Предупреждение о Visible Ops

24.06.2019 Виды и сроки выплат

Вопросами аудита информационной безопасности в настоящее время занимаются различные аудиторные компании, фирмы организации, многие из которых входят в состав государственных и негосударственных ассоциаций. Наиболее известной международной организацией занимающейся аудитом информационных систем является ISACA, по инициативе которой была разработана концепция по управлению информационными технологиями в соответствии с требованиями ИБ.

На основе этой концепции описываются элементы информационной технологии, даются рекомендации по организации управления и обеспечению режима информационной безопасности. Концепция изложена в документе под названием COBIT 3rd Edition (Control Objectives for Information and Related Technology - Контрольные объекты информационной технологии), который состоит из четырех частей

Часть 1 – краткое описание концепции (Executive Summary);
Часть 2 – определения и основные понятия (Framework). Помимо требований и основных понятий, в этой части сформулированы требования к ним;
Часть 3 – спецификации управляющих процессов и возможный инструментарий (Control Objectives);
Часть 4 – рекомендации по выполнению аудита компьютерных информационных систем (Audit Guidelines).

Третья часть этого документа в некотором смысле аналогична международному стандарту BS 7799. Примерно так же подробно приведены практические рекомендации по управлению информационной безопасностью, но модели систем управления в сравниваемых стандартах сильно различаются. Стандарт COBIT - пакет открытых документов, первое издание которого было опубликовано в 1996 году. COBIT описывает универсальную модель управления информационной технологией, представленную на рис. 3.2 .

Кратко основная идея стандарта COBIT выражается следующим образом: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией. В модели COBIT присутствуют ресурсы информационных технологий (IT), являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса. Эти требования сгруппированы следующим образом.

Во первых , требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю. Показатели качества подробно описывают возможные негативные аспекты, которые в обобщенном виде входят в понятия целостности и доступности. Кроме того, в эту группу включаются показатели, относящиеся к субъективным аспектам обработки информации, например: стиль, удобство интерфейсов. Характеристики доставки информации получателю – показатели, в обобщенном виде входящие в показатели доступности и частично – конфиденциальности и целостности. Рассмотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии. Во-вторых , доверие к технологии -группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность. В-третьих , показатели информационной безопасности – конфиденциальность, целостность и доступность обрабатываемой в системе информации.

Рис. 3.2. Структура стандарта COBIT

В стандарте COBIT выделены следующие этапы проведения аудита .

Подписание договорной и исходно-разрешительной документации . На этом этапе определяются ответственные лица со стороны заказчика и аудиторской компании, устанавливаются рамки проведения аудита, указываются контролируемые элементы информационной системы, составляется и согласовывается необходимая документация. По результатам предварительного аудита всей информационной системы проводится углубленная проверка подозрительных с точки зрения проводимых аудитом компонентов системы.

Сбор информации с применением стандарта COBIT, который в данном случае регламентирует состав объектов контроля исследуемой системы. Степень детализации описания объектов контроля определяется на этапе разработки исходно-разрешительной документации. При этом стараются добиться оптимального соотношения между временными, стоимостными и прочими затратами на получение исходных данных и их важностью для целей исследования. Диапазон представления исходных данных изменяется от бинарных ответов типа ДА/НЕТ до развернутых отчетов. Основное требование, предъявляемое к информации, – это ее полезность, то есть информация должна быть понятной, уместной (относящейся к делу) и достоверной (надежной).

Анализ исходных данных проводится только с учетом достоверных исходных данных. Требования к проведению анализа определяются на этапе сбора исходных данных. Стандарт COBIT рекомендует применять описанные в стандарте методики анализа данных, но при необходимости допускается использование разрешенных ISACA разработок других членов ассоциации. На этапе анализа возможен возврат к этапу сбора информации для получения недостающих исходных данных.

Выработка рекомендаций . Полученные в результате проведенного анализа рекомендации после предварительного согласования с заказчиком обязательно должны быть проверены на выполнимость и актуальность с учетом рисков внедрения. Стандарт COBIT рекомендует оформлять рекомендации отчетом о текущем состоянии информационных систем, техническом задании на внесение изменений, отчетом о проведенном аудите. Результаты проведения аудита можно разделить на три условные группы: организационные, технические и методологи ческие. Каждая из названных групп направлена на улучшение организационного, технического или методологического обеспечения информационной системы. К организационной группе относятся оценки стратегического планирования, общего управления и инвестиций в информационную систему, рекомендации, способствующие повышению конкурентоспособности компании, снижению затрат на обслуживание информационной системы, результаты проверки соответствия информационной системы решаемым бизнес-задачам, снижение стоимости эксплуатации информационной системы, управление рисками, проектами, выполняемыми в рамках информационных систем и некоторые другие. Техническая группа результатов позволяет лучше понять проблемы информационных систем и разработать пути их решения с минимальными затратами, оценить технологические решения, реализовать весь потенциал новых технологий, системно решить вопросы безопасности, осуществить профессиональный прогноз функционирования и необходимости модернизации информационных систем, повысить эффективность функционирования информационной системы, определить уровень обслуживания информационных систем. Методологические результаты позволяют предоставить апробированные подходы к стратегическому планированию и прогнозированию, оптимизации документооборота, повышению трудовой дисциплины, обучению администраторов и пользователей информационных систем, получению своевременной и объективной информации о текущем состоянии информационной системы компании.

Подписание отчетных актов приемки работы с планом-графиком проведения последующих проверок, разработкой такой дополнительной документации, как долгосрочные и краткосрочные планы развития ИС, план восстановления информационной системы в чрезвычайных ситуациях, порядок действий при нарушении защиты, концепция политики безопасности. Постоянное проведение аудита гарантирует работоспособность системы, поэтому создание плана-графика проведения последующих проверок является одним из условий проведения профессионального аудита.

Любая работающая информационная технология в модели COBIT проходит следующие стадии жизненного цикла :

Планирование и организация работы . На этой стадии определяется стратегия и тактика развития информационных технологий в интересах достижения основных целей бизнеса, а затем решаются вопросы реализации: построение архитектуры системы, решение технологических и организационных задач, обеспечение финансирования и т.д. Всего на этой стадии выделяется 11 основных задач .

Приобретение и ввод в действие . Выбранные на этой стадии решения должны быть документально оформлены и спланированы. Выделяется 6 основных задач, решаемых на данной стадии.

Поставка и поддержка. Выделяется 13 основных задач данной стадии, предназначенных обеспечить эксплуатацию информационной технологии .

Мониторинг. За процессами информационной технологии необходимо наблюдать и контролировать соответствие их параметров выдвинутым требованиям. Выделяется 4 основные задачи, решаемые на данной стадии.

Всего в стандарте COBIT выделяется 34 задачи верхнего уровня обработки информации (рис. 3.2).

Кроме традиционных свойств информации – конфиденциальности, целостности и доступности, – в модели дополнительно используются еще 4 свойства – действенность , эффективность , соответствие формальным требованиям и достовер ность . Эти свойства не являются независимыми, поскольку частично связаны с первыми тремя. Но их использование объясняется соображениями удобства интерпретации результатов.

Применение стандарта COBIT возможно как для проведения аудита ИС организации, так и для изначального проектирования ИС. Обычный вариант прямой и обратной задач. Если в первом случае – это соответствие текущего состояния ИС лучшей практике аналогичных организаций и предприятий, то в другом – изначально верный проект и, как следствие, по окончании проектирования – ИС, стремящаяся к идеалу.

На базовой блок-схеме COBIT (рис. 3.2.) отражена последовательность, состав и взаимосвязь базовых групп. Бизнес-процессы (в верхней части схемы) предъявляют свои требования к ресурсам ИС, которые анализируются с использованием критериев оценки COBIT на всех этапах построения и проведения аудита.

Четыре базовые группы (домена) содержат в себе тридцать четыре подгруппы, которые, в свою очередь, состоят из трехсот двух объектов контроля (в данной работе не рассматриваются). Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии ИС.

Отличительные черты COBIT:

Большая зона охвата (все задачи от стратегического планирования и основополагающих документов до анализа работы отдельных элементов ИС).

Перекрестный аудит (перекрывающиеся зоны проверки критически важных элементов).

Адаптируемый, наращиваемый стандарт.

Основными преимуществами COBIT перед другими аналогичными стандартами является то, что он позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные, не изменяя общие подходы и собственную структуру.

Представленная на рис 3.3 блок-схема отражает, хотя и не в деталях, ключевые точки проведения аудита ИС с использованием стандарта COBIT. Рассмотрим их подробнее.

На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита:

Границы аудита определяются критическими точками ИС (элементами ИС), в которых наиболее часто возникают проблемные ситуации.

На основании результатов предварительного аудита всей ИС (в первом приближении) проводится углубленный аудит выявленных проблем.

В это же время создается команда проведения аудита, определяются ответственные лица со стороны заказчика. Создается исогласовывается необходимая документация.

Далее проводится сбор информации о текущем состоянии ИС с применением стандарта COBIT, объекты контроля которого получают информацию обо всех нюансах функционирования ИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее важностью и актуальностью.

Проведение анализа – наиболее ответственная часть проведения аудита ИС. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации существуют в стандарте COBIT, но если их не хватает не возбраняется использовать разрешенные ISACA разработки других компаний.

Результаты проведенного анализа являются базой для выработки рекомендаций, которые после предварительного согласования с заказчиком должны быть проверены на выполнимость и актуальность с учетом рисков внедрения.

На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты в которых могут вызвать сбои в работе ИС. Например, отдельное углубленное рассмотрение вопросов обеспечения безопасности ИС.

Постоянное проведение аудита гарантирует стабильность функционирования ИС, поэтому создание план-графика проведения последующих проверок является одним из результатов профессионального аудита.

Наименование параметра	Значение
Тема статьи:	Стандарт CobiT
Рубрика (тематическая категория)	Стандартизация

Стандарт CobiT. Описание четырех доменов. Модель зрелости. Сервисный подход в организации ИТ-службы.

Стандарт CobiT. История CobiT. ИТ-процессы CobiT. Модели зрелости ИТ процессов CobiT. Источники совершенствования: ITIL и CobiT. Сервисный подход в организации ИТ-службы. Организация ИТ-поддержки. Преимущества сервисного подхода для ИТ-поддержки. Преимущества сервисного подхода для бизнеса.

Интернациональным компаниям приходится вести свою деятельность, следуя положениям нормативных актов соответствующих стран. Бизнес сталкивается со все более ужесточающимися требованиями со стороны надзорных органов и общественности, которые предписывают компаниям должным образом использовать и защищать как корпоративную, так и персональную информацию. Эти нормативные документы касаются всех сфер, от безопасности до финансовой отчетности.

Как правило, подход к управлению рисками ИТ-безопасности распределен по подразделениям компании. Вследствие этого часто функциональные обязанности и технические средства, необходимые для их выполнения, дублируются. Системы управления же частично перекрываются и противоречат друг другу. В результате администраторы не знают, насколько успешно они управляют сетевыми рисками.

Современный бизнес работает в бурном ритме, многие компании и организации не имеют временного ресурса для выработки собственных требований и стандартов. По этой причине активно используется чужой опыт и лучшие мировые практики, к которым относятся и стандарты. Стандарты управления и ИТ-безопасности были созданы на базе анализа методов, опробованных как большими группами профессионалов, так и множеством различных компаний и организаций. Как правило, стандарты подаются как рекомендации.

Кроме признанных международных стандартов управления и ИТ-безопасности, существует много национальных. К примеру, Control Objectives for Information and Related Technology (CobiT) наиболее часто используется для управления информационными системами в США и ряде других стран, а в Великобритании, Нидерландах и Австралии чаще используется IT Infrastructure Library (ITIL), о которой уже говорили в предыдущей лекции.

Успешное предоставление ИТ-услуг в соответствии с требованиями основного бизнеса предполагает наличие системы и методологии внутреннего контроля. Разработанная IT Governance Institute методология CobiT отвечает таким потребностям. Этот подход изначально ориентирован на бизнес и помогает организовать и контролировать управление ИТ в бизнес-контексте. Методология CobiT описывает управление ИТ как систему из 34 процессов, сгруппированных в четыре домена.

CobiT - это сокращение от Control Objectives for Information and Related Technology (ʼʼЗадачи информационных и смежных технологийʼʼ).

Рисунок 1 – Модель CobiT

CobiT представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления ИТ, аудита и ИТ-безопасности. Создатели стандарта провели анализ и оценку и объединили лучшее из международных технических стандартов, стандартов управления качеством, аудиторской деятельности, а также из практических требований и опыта - все то, что так или иначе имело отношение к целям управления.

Задача CobiT состоит в ликвидации разрыва между руководством компании с их видением бизнес-целей и ИТ-департаментом, осуществляющим поддержку информационной инфраструктуры, которая должна способствовать достижению этих целей.

Нередко руководство компании в силу объективных причин не понимает ИТ-специалистов. Те, в свою очередь, не понимают бизнес-терминов, на основании которых строятся распоряжения руководства. Это все приводит к росту издержек, выполнению лишней работы, что, конечно же, сказывается на эффективности деятельности компании.

CobiT, благодаря единой терминологии, служит своеобразной платформой-буфером для конструктивного диалога между всеми участниками бизнеса:

· топ-менеджерами;

· руководителями среднего звена (ИТ-директором, начальниками отделов);

· непосредственными исполнителями (инженерами, программистами и т. д.);

· аудиторами.

Таблица 1 - Целевая аудитория CobiT

В CobiT детально описаны цели и принципы управления, объекты управления, четко определены все ИТ-процессы (задачи), протекающие в компании, и требования к ним, описан возможный инструментарий (практики) для их реализации. В описании ИТ-процессов также приведены практические рекомендации по управлению ИТ-безопасностью.

Вместе с тем, CobiT вводит целый ряд показателей (метрик) для оценки эффективности реализации системы управления ИТ, которые часто используются аудиторами ИТ-систем. В их число входят показатели качества и стоимости обработки информации, характеристики ее доставки получателю, показатели, относящиеся к субъективным аспектам обработки информации (к примеру стиль, удобство интерфейсов). Оцениваются показатели, описывающие соответствие компьютерной ИТ-системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность, общепринятые показатели информационной безопасности - конфиденциальность, целостность и доступность обрабатываемой в системе информации.

Также в CobiT описывается модель оценки возможностей каждого процесса, позволяющая определить его уровень зрелости, обосновать крайне важно сть и возможность улучшения процессов, основываясь на целях бизнеса и целях ИТ. Τᴀᴋᴎᴍ ᴏϬᴩᴀᴈᴏᴍ, модель зрелости, предлагаемая CobiT, может использоваться для оценки и планирования системы управления ИТ. В случае если обобщить, то управление ИТ по CobiT можно представить в следующем ступенчатом виде (по порядку реализации):

· Стратегии (выстраивание ИТ-процесса по бизнес-целям, постановка задачи, цели и создание концепции ИТ-процесса; ответственные: руководство бизнес-подразделений).

· Политики (методы достижения целей в рамках стратегий, к примеру: ʼʼдлина пароля регламентируетсяʼʼ; ответственные: руководство ИТ-подразделений).

· Стандарты (метрики для политик-методов, к примеру: ʼʼдлина пароля должна составлять не менее 8 символовʼʼ; ответственные: руководство ИТ-подразделений).

· Процедуры (регламенты работ для применения политик-методов с использованием стандартов-метрик, рабочие инструкции для исполнителей; ответственные: руководство ИТ-подразделений).

Стандарт отвечает всем потребностям практики, сохраняя независимость от конкретных производителей, технологий и платформ. При разработке стандарта была заложена возможность использования его как для проведения аудита ИТ-системы компании, так и для проектирования ИТ-системы. В первом случае CobiT позволяет определить степень соответствия исследуемой системы лучшим образцам, а во втором - спроектировать систему, почти идеальную по своим характеристикам.

CobiT делает акцент на том, что крайне важно для обеспечения адекватного уровня контроля в области управления ИТ. CobiT соотносится с другими стандартами в сфере ИТ, а также сводами знаний и практик. Методология CobiT часто воспринимается как средство интеграции различных материалов для достижения наиболее понятной и системной картины управления ИТ.

CobiT является инструментарием, который позволяет руководителям предприятий устранить недостатки системы управления с учётом требований контроля и бизнес-рисков, а также продемонстрировать уровень контроля заинтересованным сторонам. CobiT даёт возможность разрабатывать чёткие политики и применять лучшие практики по контролю ИТ в различных организациях. Методология постоянно совершенствуется, текущая версия - CobiT 4.1. При этом охват CobiT расширяется: если ранние версии CobiT были ориентированы в первую очередь на аудит, затем основным акцентом CobiT стал контроль, то текущая версия CobiT 4.1 - это методология стратегического управления ИТ, или IT Governance. Соответственно, расширяется и аудитория CobiT.

Преимущества использования CobiT в качестве методологии руководства и управления ИТ:

· ориентация на потребности основного бизнеса

· понятное для бизнес-руководителей видение ИТ-деятельности

· ясное распределение ответственности, основанное на процессном подходе

· обеспечение соответствия законодательным и другим регулирующим требованиям

· совместимость с подходами и стандартами в сфере управления ИТ.

Стандарт CobiT - понятие и виды. Классификация и особенности категории "Стандарт CobiT" 2017, 2018.

- Стандартные сужающие устройства.

При выборе сужающего устройства (СУ) необходимо руководствоваться следующими соображениями. Потеря давления в СУ увеличивается в следующей последовательности: труба Вентури, длинное сопло Вентури, короткое сопло Вентури, сопло, диафрагма; при одних и тех же значениях mи &... .

- Система стандартов ГСП

Система стандартов определяет те требования к приборам и средствам автоматизации, которые обеспечивают их совместимость в АСУ ТП по следующим основным признакам: Рис. 6. Стандарты ГСП Для примера рассмотрим более подробно информационную совместимость ТСА по... .

- Государственные стандарты

Своды правил Строительные нормы и правила Литература V. Вычерчивание узлов При вычерчиванииузлов соблюдают следующие требования: при выполнении узлов соответствующее место обозначают на фасаде, плане или... [читать подробнее]

Заключение по результатам обзорной проверки финансовой (бухгалтерской) отчетности Б. Пример заключения по результатам обзорной проверки, содержащего отрицательное мнение из-за разногласия между аудитором и проверенным хозяйствующим субъектом относительно... .

- Правило (стандарт) N 26. Сопоставимые данные в финансовой (бухгалтерской) отчетности

Заключение аудитора специализированной организации 11. В случае использования заключения аудитора специализированной организации аудитор аудируемого лица рассматривает характер и содержание такого заключения. 12. Как правило, существуют два типа заключения... .

Информационные технологии и управление предприятием Баронов Владимир Владимирович

Стандарт COBIT

В настоящее время стандарт COBIT, переживая третье издание, продвигается и поддерживается ассоциацией ISACA Первое издание состоялось в 1996 г. Стандарт описывается примерно в 30 книгах (в некоторых источниках указывается 34 книги).

Он состоит из четырех доменов:

Планирование и организация;

Проектирование и внедрение;

Эксплуатация и сопровождение;

Мониторинг,

COBIT соответствует всем общепринятым мировым стандартам и инструкциям, включая:

ISO, EDIFACT и т. д.;

Критерии оценки ИС и процессов: ITSEC, TCSEC, ISO 9000, SPICE, TickIT и т. д.;

COSO, IFAC, IIA, AICPA, GAO, PCIE, ISACA и т. д.;

Производственные стандарты и требования промышленных форумов ESF, I4 и т. д.;

Специализированные требования промышленности.

Основное положение COBIT гласит: «Ресурсы информационных систем управляются набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией». Весь стандарт выстроен на основании этого утверждения.

Управление информационными технологиями по COBIT

Управление информационными технологиями осуществляется с учетом потребностей бизнеса. Для этой цели должны быть определены информационные критерии. Организация работы ИТ-подразделения должна быть основана на отдельных процессах, а не на функциях.

Уровни планирования при управлении информационными технологиями:

Стратегический;

Тактический.

Конкретные временные горизонты планирования не указываются.

Стратегические вопросы, которые необходимо рассматривать при использовании ИТ:

Существуют ли в организации информационные технологии, которыми «удовлетворяются» все информационные потребности?

Какая инфраструктура в организации, как осуществляется управление рисками и насколько организация зависит от этого?

С какими проблемами организация сталкивается при управлении информационными технологиями?

Тактические вопросы:

Что является результатом ИТ-процессов?

Что является решением проблем в информационных технологиях?

Будут ли работать эти решения?

Как их реализовать?

Цели управления информационными технологиями:

Доступ к устройствам;

Идентификация взаимодействующих сторон;

Физическая безопасность;

Обследование;

Непрерывное управление кризисными ситуациями;

Защищенность персонала;

Предотвращение сбоев и защита от них;

Оперативный автоматический мониторинг.

Критерии выбора информационной системы:

Требования бизнес-процессов – создать физическую среду, устойчивую к человеческим ошибкам, сбоям оборудования и ПО;

Возможности ИТ-ресурсов – обеспечить постоянный контроль с целью анализа работы оборудования и выявления отклонений в его работе;

Требования к информации – целостность и доступность.

Общая схема управления ИТ-департаментом приведена на рис. 13.1.

Рис. 13.1. Схема управления ИТ-департаментом

Сравнение возможностей информационных технологий (ресурсов) с требованиями бизнес-процессов;

Эффективное использование целевых ресурсов:

– приложения;

– технологии;

– средства информатизации;

– данные.

Основное требование – достижение целей бизнеса.

Принципы построения информационной системы:

Сопоставление возможностей ИС (ресурсов) с требованиями процессов бизнеса;

Эффективность;

Оперативность;

Конфиденциальность;

Целостность;

Доступность;

Надежность.

Проанализируем возможности использования целевых ресурсов для каждого процесса.

В ИТ-подразделении для реализации вышеприведенных схем должны быть сформированы:

Критические факторы успеха (КФУ) – предназначены для организации контроля ИТ-процессов;

Ключевые индикаторы цели (КИЦ) – предназначены для контроля достижения целей ИТ-процессов;

Ключевые индикаторы результата – предназначены для контроля результатов каждого ИТ-процесса.

Примеры КФУ:

Действия по управлению информационными технологиями интегрированы в процессы управления организации и стиль работы руководителей;

Управление информационными технологиями сосредоточено на целях организации;

Действия по управлению информационными технологиями формализованы;

Методы аудита определены;

Наблюдается интеграция процессов управления информационными технологиями;

Учрежден комитет, наблюдающий за независимым аудитом.

Критические факторы успеха процесса создания ИТ-подразделения: должны быть сформулированы наиболее важные проблемы, решение которых направлено на достижение контроля над ИТ-процессами.

В рамках использования стандарта должны быть определены ключевые индикаторы целей (КИЦ) – комплекс измерений, показывающий, что информационные технологии удовлетворяют бизнес-требованиям, и ключевые индикаторы результата (КИР) – действия, необходимые для определения, насколько ИТ-процессы достигают поставленных целей. Примеры КИЦ:

Улучшение управления производительностью и стоимостью;

Увеличение доходов от инвестиций в информационные технологии;

Сокращение времени запуска в продажу нового продукта или услуги;

Выполнение требований клиента по бюджету и времени управления рисками и т. д.

Примеры КИР:

Увеличение рентабельности ИТ-процессов;

Увеличение нагрузки на ИТ-структуру;

Повышение производительности сотрудников.

В настоящее время стандарт в основном применяется для управления инвестициями и оценки рисков, а также технического аудита ИТ-подразделений, включая перекрестный аудит (рис. 13.2).

Рис. 13.2. Аудит ИТ-подразделения Из книги Мировая экономика. Шпаргалки автора Смирнов Павел Юрьевич

71. Золотомонетный стандарт Первая мировая валютная система стихийно сформировалась в XIX веке после промышленной революции на базе золотого монометаллизма в форме золотомонетного стандарта. Юридически она была оформлена межгосударственным соглашением на Парижской

Из книги Человеческая деятельность. Трактат по экономической теории автора Мизес Людвиг фон

72. Золотодевизный стандарт Непосредственной причиной появления золотодевизного стандарта стали Первая мировая война и ее последствия. Для финансирования военных затрат наряду с налогами, займами, инфляцией использовалось золото как мировые деньги. Были введены

Из книги Бухгалтерский учет: Шпаргалка автора Коллектив авторов

19. Золотой стандарт Люди выбрали драгоценные металлы золото и серебро для службы в качестве денег из-за их минералогических, физических и химических свойств. Использование денег в рыночной экономике суть праксиологически необходимый факт. То, что именно золото

Из книги Боги денег. Уолл-стрит и смерть Американского века автора Энгдаль Уильям Фредерик

79. Система «стандарт-кост» Система «стандарт-кост» представляет собой систему учета затрат и калькулирования себестоимости с использованием нормативных (стандартных) затрат, основными целями которой являются управление и контроль затрат, установление реальных цен,

Из книги Обеспечение информационной безопасности бизнеса автора Андрианов В. В.

Американский долларовый стандарт Как только в сентябре 1939 года разразилась европейская война, начавшаяся с раздела Польши между Гитлером и Сталиным, в США хлынуло европейское золото. В 1935 году официальные золотые резервы США оценивались в 9 миллиардов долларов. К 1940?му

Из книги Один хороший трейд. Скрытая информация о высококонкурентном мире частного трейдинга автора Беллафиоре Майк

2.3. Модели COSO, COBIT, ITIL Структура, получившая широкую известность под аббревиатурой COSO (The Committee of Sponsoring Organizations - Комитет спонсорских организаций [комиссии Тредвея]), была учреждена в 1985 г. COSO был создан для финансирования работ независимой национальной

Из книги Инфобизнес на полную мощность [Удвоение продаж] автора Парабеллум Андрей Алексеевич

Зет-Маш: золотой стандарт Если Дом и Билли Бакс являют собой неудачные примеры трансплантатов, история Зет-Маша выдержана в ином ключе. В торговом зале его прежней компании он сидел в окружении трейдеров, которые никак не могли свыкнуться с недавно запущенной гибридной

Из книги Наживемся на кризисе капитализма… или Куда правильно вложить деньги автора Хотимский Дмитрий

Стандарт – 21 день Чтобы тренинг хорошо продавался, он должен идти долго. Тренинг типа braindump продается очень плохо, так как не закрепляет результаты, даже если информация у вас отличная и заставляет на многие вещи взглянуть по-новому. Поэтому выбирайте тренинг второго типа

Из книги Мировая кабала. Ограбление по… автора Катасонов Валентин Юрьевич

Золотой стандарт Изначально, вплоть до 1973 года, мировая экономика строилась на системе золотого стандарта. С точки зрения вкладчиков, на самом упрощенном уровне, банковский баланс можно было представить следующим образом: Деньги теоретически могли в любой момент быть

Из книги Твитономика. Все, что нужно знать об экономике, коротко и по существу автора Комптон Ник

Долговой стандарт Денежная система в современном виде существует с 1973 года. Деньги в настоящее время обеспечены долгами других субъектов экономики.При долговом стандарте вклады обеспечиваются кредитами, которые банки выдают корпорациям, физическим лицам и

Из книги Золотой стандарт: теория, история, политика автора Коллектив авторов

Из книги Легко не будет [Как построить бизнес, когда вопросов больше, чем ответов] автора Хоровиц Бен

Что такое золотой стандарт? Золотой стандарт – это система фиксированных валютных курсов: государства соглашаются фиксировать стоимость своих валют относительно установленной цены на золото.С 1879 до 1914 г. многие страны использовали золотой стандарт для подведения

Из книги автора

Золотомонетный стандарт Наиболее важной разновидностью золотого стандарта, несомненно, является золотомонетный стандарт. Именно эта форма золотого стандарта главным образом рассматривалась в предыдущих четырех главах нашей книги. Поскольку мы уже познакомились с

Из книги автора

Золотодевизный стандарт Хотя различные проекты, несущие в себе некоторые черты современного золотодевизного стандарта, время от времени выдвигались в XVIII – начале XIX в., и некоторые из них претворялись в жизнь, первый вполне продуманный план золотодевизного стандарта

Из книги автора

Золотослитковый стандарт Хотя золото в таких неспециализированных формах, как песок, самородки, слитки и т.п., использовалось в качестве стандартных денег на протяжении тысячелетий и хотя при собственно золотом стандарте золотые слитки широко применяются в качестве

Из книги автора

Стандарт Прежде всего следует осознать: только тот факт, что топ-менеджер имеет отличное резюме, прекрасно держится на собеседовании и представил надежные рекомендации, еще не гарантирует его высокоэффективной работы в вашей компании. В этом мире существует два

Подробности 13 июня 2013

Год назад, в апреле 2012, вышли в свет первые три публикации обновленного свода знаний в области руководства, управления и контроля ИТ. Новая версия называется COBIT 5, и это не просто обновление популярного подхода, это качественно другой продукт: с иным охватом, иной целевой аудиторией, иной структурой и претензией на новую, более важную роль в системе знаний об управлении корпоративными ИТ. За год накопилось немало впечатлений, сформировалось определенное мнение, сформулировались вопросы к авторам и редакторам проекта. Вот некоторые из этих впечатлений, мнений и вопросов.

Как написано в COBIT, «COBIT 5 объединяет 5 принципов, позволяющих предприятию организовать на основе семи факторов влияния эффективное руководство и управление, оптимизирующие инвестиции в информацию и технологии и их использование на благо заинтересованных лиц». В этой фразе упомянуты почти все ключевые компоненты обновленной методологии, и почти все они требуют пояснений уже на этапе перевода на русский. Структуру изложению материала COBIT 5, а также идеологическую основу для применения подхода на практике создают пять принципов COBIT .

Принципы

Принципы (principles) – это действительно постулаты, на которых строится почти весь материал COBIT5. Принципов – пять, и по меньшей мере за четырьмя из их стоят конкретные и обладающие большим практическим потенциалом инструменты. Фактически принципы обеспечивают мотив и возможность для различных практических действий по руководству и управлению ИТ.

Принцип 1: Соответствие требованиям заинтересованных сторон.

Принцип 2: Комплексный взгляд на предприятие.

Принцип 3: Применение единой интегрированной методологии.

Мотив: Для руководства и управления ИТ удобно использовать единую методологию, объединившую всё лучшее из современных стандартов и сводов знаний.
Возможность: В COBIT использованы элементы стандартов (ISO 38500, ISO 27002, ISO 20000, ISO 15504, NIST и других) и сводов знаний (ITIL® , PMBOK, PRINCE2®, ValIT, RiskIT, SFIA...), авторские подходы (Д.Коттер). В большинстве случаев явно указана ссылка на источник, во многих случаях – на конкретные главы/разделы/положения источника.
Впечатления: Очень интересная и очень амбициозная идея. Такой подход позволяет не просто лучше понимать связи рекомендаций COBIT с уже используемыми на предприятии подходами и стандартами, но и даёт направление для развития компетенций при решении прикладных задач организации управления ИТ. Интересно, как авторы COBIT планируют поддерживать актуальность своих рекомендаций и ссылок при обновлении связанных источников – шансы, что какая-то из полутора десятков связанных публикаций будет обновлена, довольно высоки. Кроме того, к сожалению, уже сейчас многие ссылки на источники в COBIT 5 неполны, а некоторые – некорректны. Кстати, обновление, вышедшее через полгода после апрельского релиза COBIT 5, содержало много исправлений именно в этой части материала.

Принцип 4: Обеспечение целостности подхода.

1. Политики, принципы и подходы
2. Процессы
3. Оргструктура
4. Культура, этика, поведение
5. Информация
6. Услуги, инфраструктура и приложения
7. Люди, навыки и компетенции

Три последних объединены понятием «ресурсы». Для каждого фактора влияния приведено краткое описание – в единой структуре, включающей в себя заинтересованные стороны, цели, жизненный цикл, практики и продукты, а также метрики.

Структура публикаций COBIT предполагает выпуск так называемых Enabler guides, детально описывающих каждый фактор влияния. Опубликованная одновременно с базовой публикацией в апреле прошлого года книжка Enabling processes – это 230 страниц, на которых детально описаны 37 процессов. Видимо, аналогичного уровня детализации можно ожидать и в других публикациях этой группы, если и когда они выйдут в свет.

Принцип 5: Разделение руководства и управления

Мотив: должна быть определена четкая граница между руководством и управлением. Эти две дисциплины включают в себя разные виды деятельности, требуют разных организационных структур и служат разным целям.
- Руководство (governance) обеспечивает уверенность в достижении бизнес-целей, путём оценки потребностей заинтересованных сторон, условий и вариантов, задания направления движения через приоритизацию и принятие решений и сравнения фактической производительности, степени завершения и соответствия правилам с плановыми значениями.
- Управление (management) заключается в планировании, построении, выполнении и отслеживании деятельности, в соответствии с направлением, заданным органом руководства, для достижения бизнес-целей.
Возможность: COBIT предлагает референтную модель системы руководства и управления ИТ, описывающую 5 процессов руководства и 32 процесса управления. Процессы управления ИТ в модели сгруппированы в четыре домена. В целом модель является развитием модели COBIT предыдущих версий, хотя изменения нельзя назвать косметическими: некоторые процессы были объединены, некоторые перенесены в другой домен, появилось несколько новых процессов. Существенно переработана ролевая модель, используемая при распределении ответственности за реализацию процессных практик. Изменен уровень детализации описания процессов: теперь в каждом процессе выделены ключевые практики, для каждой из которых определены виды деятельности. Входы и выходы (документы и записи) определены для каждой практики, а не для процесса в целом, как было ранее. Терминология и структура описания процессов приведены в соответствие с требованиями стандарта ISO 15504. Для большинства процессов приведены ссылки на связанные источники, что поддерживает реализацию принципа №3.
Впечатления: очень детальная, очень масштабная модель, хорошо совместимая с другими сводами знаний, в первую очередь ITIL. Устранены многие ошибки и нестыковки модели COBIT 4.1. Тем не менее, к каждому домену есть вопросы по составу процессов, распределению ответственности, структуре практик некоторых процессов, ссылкам на источники. Вопросов много, хватит на отдельную статью, и среди них есть важные. Поэтому общее впечатление от процессной модели схоже с общим впечатлением от COBIT 5 в целом:
- Амбиции авторов вызывают уважение.
- Продукт требует доработки и устранения неточностей.
- Возможности практического применения уже сейчас широки и разнообразны
- Использовать эти возможности надо с умом и осторожностью.

Что, кроме принципов?

Несмотря на то, что большая часть компонентов COBIT 5 описана в рамках пяти принципов, есть публикации и инструменты, поддерживающие следование этим принципам, но явно в них не входящие.

В первую очередь, это рекомендации по внедрению, изложенные в книге COBIT 5 Implementation – первой из группы публикаций под общим название Professional guides. Книга содержит детальные рекомендации по реализации принципов COBIT на трех уровнях – управления организационными изменениями, управления программами и постоянного совершенствования.

Кроме того, в начале 2013 года была опубликована модель оценки процессов (Process assessment model), основанная на процессной модели COBIT 5 и модели оценки процессов ISO 15504, а позднее к ней были добавлены рекомендации по проведению самооценки и удобные для этой цели таблицы, опросники и другие инструменты сбора и анализа свидетельств.

Ожидается продолжение публикации книг серий enabler guides и professional guides, что, очевидно, делает COBIT наиболее динамично развивающимся, одним из самых полных и подробных сводов знаний по руководству и управлению ИТ. И уже сегодня одним из самых практически полезных.

Сноски

Мелодия, 1976.
Эти компоненты называются в COBIT 5 факторами влияния, enablers. Подробнее о них – в принципе №4.
О разнице между руководством и управлением ИТ написано в принципе №5.
Подробнее об этих вопросах можно узнать на портале RealITSM:

Мы продолжаем цикл публикаций, знакомящих читателей с методологией COBIT® 5. Мы уже описывали принципы и процессную модель COBIT 5. Пришло время сказать еще об одной ключевой составляющей COBIT 5 – модели оценки процессов (COBIT Process Assessment Model, PAM).

В этой статье мы расскажем о том, что это за модель, как она устроена и зачем она нужна аудиторам, руководителям и сотрудникам ИТ.

Что такое оценка процессов

Сначала скажем несколько слов об оценке процессов вообще.

В международном стандарте ISO/IEC 15504 оценка процессов определена как деятельность, которая выполняется либо в составе программы совершенствования процессов, либо как часть подхода к определению возможностей процессов.

Назначение совершенствования процессов – постоянное повышение результативности и рациональности организации.

Назначение определения возможностей процесса согласно тому же стандарту – понимание возможностей процессов, реализованных организацией.

Итак, процессы оцениваются для того, чтобы сделать вывод о том, насколько они способны приводить к ожидаемым результатам. Оценка, «выставленная» процессу, как и оценка в дневнике школьника, свидетельствует об успешности приложенных усилий и может стать поводом для совершенствования.

Какими же бывают оценки процессов? Сразу оговоримся, что примитивные модели «Хорошо или плохо» нас как практиков процессного управления устроить не могут:

Во-первых, повторяемый процесс может изменяться многократно, а значит, повторяющиеся измерения процесса должны быть отражены в результатах оценки для демонстрации совершенствования .
Во-вторых, для сложных управленческих систем нужны «оттенки серого», то есть промежуточные значения на шкале, которые позволят сравнивать несколько взаимосвязанных процессов (ITIL®, к примеру, говорит о высокой зависимости между управлением изменениями и конфигурациями, а значит, полученные такими процессами оценки должны быть схожими).
В-третьих, шкала оценок должна обеспечивать возможность сравнения систем процессов между собой . И в этом смысле тоже нас не устроит субъективное «хорошо или плохо», нужна объективная «линейка», которую можно было бы «прикладывать» к разным предприятиям схожего профиля и затем сравнивать результаты измерений. Это, кстати, является важным практическим применением оценки: с ее помощью заказчик может выбрать оптимального поставщика из нескольких.

Модель зрелости COBIT 4.1

Методология COBIT 4.1 предлагала подобную систему оценки процессов, называя ее «Моделью зрелости» (COBIT 4.1 Maturity Model). В основе системы лежала шкала оценки и модель зрелости способностей (Capability Maturity Model, CMM) Института разработки программного обеспечения (the Software Engineering Institute, SEI), широко известная как «Интегрированная модель зрелости» (Capability Maturity Model Integration, CMMI). Оценка процессу выставлялась по принципу: «насколько вероятно, что процесс в заданных условиях приведет к ожидаемому результату?» .

Названия уровней зрелости отвечали на этот вопрос, практически не нуждаясь в дополнительных объяснениях:

«0»: Не существующий процесс
«1»: Начальный процесс
«2»: Интуитивно повторяющийся
«3»: Определенный (документированный) процесс
«4»: Измеряемый и управляемый
«5»: Оптимизируемый

Шесть атрибутов зрелости:
1. Осведомленность и коммуникации
2. Политики, планы и процедуры
3. Инструменты и автоматизация
4. Навыки и квалификация
5. Ответственность и подотчетность
6. Цели и измерение

В COBIT 4.1 существовала таблица, 6 на 6 ячеек, в которой описывались характеристики каждого атрибута на каждом уровне зрелости, включая нулевой.

Модель зрелости каждого процесса. В описании каждого процесса приводилась модель зрелости, то есть описание процесса, функционирующего на заданном уровне зрелости.

К примеру, процесс управления изменениями (AI6) описывался в COBIT 4.1 такой моделью зрелости:

Уровень «0»: не существует определенного процесса управления изменениями, и изменения производятся практически бесконтрольно. Нет осведомленности о негативном влиянии изменений на ИТ и на бизнес, и нет осведомленности о выгодах правильного управления изменениями.

Уровень «5»: Процесс управления изменениями регулярно пересматривается и обновляется для того, чтобы соответствовать общепринятым практическим рекомендациям. Оценка изменений отражает результаты мониторинга. Конфигурационная информация автоматизирована и позволяет контролировать версии. Изменения отслеживаются комплексно, в том числе с помощью инструментов обнаружения неавторизованного и нелицензированного ПО. Управление изменениями в ИТ интегрировано с управлением бизнес-изменениями, для того обеспечить повышение производительности и создание новых возможностей для предприятия.

Несмотря на то, что модель зрелости предполагает последовательное достижение уровней зрелости, легко представить, что процесс управления изменениями на предприятии мог одновременно демонстрировать признаки нескольких, в том числе и непоследовательных, уровней. Так же дело обстояло и с шестью атрибутами зрелости.

Таким образом, оценка и аудит процессов на основе COBIT 4.1 могут производиться с практически произвольными результатами, так как

COBIT 4.1 не предлагает объективных характеристик уровней зрелости;
COBIT 4.1 не предлагает категоричного разделения между уровнями зрелости.

В итоге оценка процесса с применением модели зрелости COBIT 4.1 зависела от субъективного мнения оценщика о том, насколько значимыми для процесса являются те или иные атрибуты зрелости, а также о том, насколько оцениваемый процесс соответствует приведенному выше описанию модели зрелости (попробуйте, например, объективно оценить «комплексность отслеживания изменений»).

ISO/IEC 15504 и ISACA

Годы применения модели зрелости COBIT 4.1 на практике показали, что требования к методологии оценки процессов, которые мы привели в начале, в этой модели не выполняются. Естественно, аудиторы и консультанты обзавелись собственными инструментами оценки, в которых все двусмысленности подхода устранялись, и поэтому можно было надеяться, что оценки двух одинаковых процессов на двух схожих предприятиях, выставленные одним и тем же аудитором, правдиво говорили об успехах этих двух процессов. Во всех остальных случаях «зрелость процессов» оказывалась слишком абстрактной для того, чтобы «судить» процессы и их владельцев или для того, чтобы ставить достижение того или иного уровня зрелости в качестве задачи проекта по совершенствованию.

Рынку требовалась более строгая, гибкая и повторяемая методология оценки процессов.

Ассоциация ISACA в 2011 году решила в качестве такой методологии использовать международный стандарт ISO/IEC 15504 «Информационные технологии – оценка процесса». Идея стандартизации того, как оцениваются процессы, зародилась в 1990-х годах у разработчиков программного обеспечения . История развития этого стандарта находится за рамками нашей публикации; существенно лишь то, что сегодня правила и подход к проведению оценки процессов, изложенные в новейшей редакции стандарта, не привязаны к конкретным процессным областям, и могут применяться для оценки любых производственных или вспомогательных процессов .

В том числе и процессов управления и руководства ИТ на предприятии. ISACA утвердила наметившийся вектор соответствия собственных разработок в области контроля и аудита и продукции международной организации по стандартизации ISO, выпустив книгу «COBIT Process Assessment Model: Using COBIT 4.1». В этой книге процессы COBIT 4.1 были «переписаны» так, чтобы быть совместимыми с моделью оценки возможностей ISO/IEC 15504, а также были добавлены некоторые компоненты контроля и управления, которых методология не содержала раньше.

В COBIT 5 процессная модель изложена в книге «COBIT 5: Enabling Processes» изначально совместимым со стандартом образом, так, чтобы максимально упростить оценку.

Так как же оцениваются возможности процессов?

Оценка возможностей процессов по PAM

Формально модель оценки процессов выглядит так:

Итогом оценки процессов, проведенной в соответствии с требованиями стандарта, будет кривая на этих двух осях: выбранные для оценки процессы и возможности каждого из них.

При сравнении этой методики с моделью зрелости сразу бросается в глаза слово «возможность» (Capability). Теперь речь идет не о зрелости системы управления, но о том, насколько «возможно», что процессы будут приводить к ожидаемым и запланированным результатам в любых обстоятельствах. В этом состоит идеологическое отличие модели ISO 15504 от модели CMMI, где, как мы уже говорили, ценность процесса оценивалась исходя из стабильности ограничений.

Говоря об оценках, которые будут свидетельствовать о «возможности» или «невозможности» получения заданных результатов при любых действующих на процесс ограничениях, нужно учитывать, что названия уровней возможностей процесса похожи на названия уровней зрелости, но при этом кардинально от них отличаются по содержанию.

COBIT 5 PAM:

Уровень 0: Неполный (Incomplete) процесс – Такой процесс еще не внедрен или не способен соответствовать своему назначению. На этом уровне отсутствуют свидетельства систематического достижения процессом своих целей, или таких свидетельств мало.

Неполный процесс не достигает всех поставленных целей (Outcomes) полностью.

Уровень 1: Выполняемый (Performed) процесс – Процесс внедрен и соответствует своему назначению. В случае если результаты процесса не достигаются, то такой процесс будет оценен на 0 (ноль) по шкале ISO/IEC 15504.

Иначе говоря, существуют свидетельства того, что процесс в прошлом достигал поставленных целей, однако нет никаких гарантий того, что он сможет их достичь полностью и рационально в будущем. Нет инструментов целеполагания, и нет возможности спрогнозировать успешность процесса и достижение целей в заданных ограничениях (время, человеческие ресурсы, стоимость).

Уровень 2: Управляемый (Managed) процесс – Выполняемый процесс предыдущего уровня теперь управляем (то есть планируется, отслеживается и корректируется). Создаются, контролируются и поддерживаются рабочие продукты (work products) процесса.

Целеполагание процесса теперь осуществляется на системной основе. Результаты процесса (то есть документы и прочие полезные артефакты) теперь контролируются (например, внедрена система версий документов). Процесс теперь умеет укладываться в заданные ограничения.

Уровень 3: Установленный (Established) процесс – Управляемый процесс теперь способен получать ожидаемые результаты (outcomes).

Процесс теперь одинаково выполняется по всей организации, в соответствии с общими правилами.

Уровень 4: Предсказуемый (Predictable) процесс – Установленный процесс теперь получает результаты в условиях заданных ограничений.

Существует возможность предсказать объем достижения целей процесса в заданных ограничениях.

Уровень 5: Оптимизируемый (Optimizing) процесс – предсказуемый процесс теперь постоянно совершенствуется, чтобы достигать текущих и будущих целей предприятия.

Выявлены и точно сформулированы задачи совершенствования процесса. Более того, эти задачи выполняются, и рассчитывается их результативность.

Из такого описания следует ряд выводов, которые могут стать неожиданными для адептов оценки процессов по «зрелости»:

Процесс, который не создает всех ожидаемых заинтересованными сторонами результатов, автоматически получает оценку «0». Это означает, что применять такую методику можно для достаточно «зрелых» процессов, во всяком случае, выше уровня 2.
Процесс, который здесь и сейчас (то есть в заданных условиях) создает все ожидаемые результаты в полном объеме, получает оценку «1».
Процесс может получить любую оценку выше «1», только если выполнены все требования нижележащих уровней возможностей.

Так что же требуется от уже работающего (а иногда в ITSM – и очень дорогостоящего) процесса, чтобы не получить «незачет» или «кол»? Ответ стандарта ISO 15504: выполнять и создавать свидетельства выполнения универсальных управленческих практик .

Словарь PAM

Для дальнейшего понимания модели возможностей необходимо точно ориентироваться в процессном словаре COBIT PAM. Традиционно, термины несколько неудобны для русскоязычного читателя и могут привести в заблуждение относительно сложности предлагаемых инструментов. Ради упрощения изложения, мы будем использовать далее устоявшиеся латинские аббревиатуры.

Процесс состоит из базовых практик (Base practices, BPs ). Привычный эквивалент – «виды деятельности» или «шаги». BPs процессов COBIT 5 могут быть хронологически связаны, а могут и повторяться относительно друг друга, что отличает их от производственных процессов. На уровне руководства и управления это позволяет рассматривать процессы как логические группы работ, которые выполняет ИТ-организация.

BPs формируют артефакты или рабочие продукты процесса (Work products, WPs ). Стандарт ISO 15504 выделяет три вида WP: это политики (правила игры), планы (документированные намерения) и записи (свидетельства о выполнении намерений). Именно эти документальные свидетельства и являются в практике аудита важнейшим источником информации для аудитора-оценщика. WP может быть выходом одного процесса и одновременно являться входом для других.

Пример. WP APO01.03 «Связанные с ИТ политики» формируется в процессе APO01, и является входом для всех остальных процессов домена APO.

Вместе BPs и WPs называются «индикаторами производительности процесса».

Выполняя BPs и формируя WPs, процесс приводит к ожидаемым результатам (Outcomes, O"s ). По смыслу O"s идентичны «целям и задачам» процесса.

Важно упомянуть о том, что референтная модель процессов COBIT 5 содержит два логических «скачка», унаследованных из стандарта ISO 15504. Во-первых, получение всех WPs означает достижение всех O"s процесса. Во-вторых, достижение O"s автоматически означает, что процесс соответствует своему назначению . И первое и второе более чем спорно не только для реальных ITSM-процессов, но для некоторых процессов COBIT 5. Тем не менее, это обязательные условия модели оценки возможностей, а также свидетельство по-настоящему качественной работы проектировщиков и методологов процесса. В референтной модели COBIT 5 связь «O-BP-WP» (результат – вид деятельности – выход) отражена в явном виде.

Чтобы процесс соответствовал своему назначению независимо от своего масштаба, организация должна управлять процессом, а значит, кто-то должен выполнять еще и управленческие практики , применительно к каждому процессу (generic management practices, GPs ) . Читатели ITIL® уже знают, что «кто-то» - это владелец и менеджер процесса.

При выполнении GP формируются универсальные рабочие продукты (Generic work products, GWPs ). Универсальные GWP применимы к любому оцениваемому процессу.

Вместе GP и GWP называются «индикаторами возможностей процесса».

Следуя приведенной выше терминологии, перефразируем принцип начисления «баллов» для выставления «оценки»: аудитор-оценщик ищет свидетельства выполнения BPs и GPs процесса. Свидетельства могут быть выражены в форме WPs и GWPs, а могут быть и мнением заинтересованных сторон о достижении процессом своих O"s.

Что же произойдет, если оценщик эти свидетельства обнаружит? Он распределит их по атрибутам возможностей процессов.

Строгая модель оценки на основе стандарта ISO 15504 разделяет все BPs и GPs на девять групп (атрибутов процесса). Каждому уровню возможностей процесса соответствует 1 или 2 таких атрибута. Разделение предельно простое:

Неполный процесс не содержит атрибутов, так как существуют не все BP, и не формируются O"s.
Выполняемый процесс содержит один атрибут, «Осуществление процесса». Этот атрибут будет реализован, если выполняемые BPs приводят к достижению O"s.
Управляемый процесс содержит два атрибута: «Управление осуществлением» (шесть GPs) и «Управление рабочими продуктами» (четыре GPs).
Установленный процесс содержит два атрибута: «Определение процесса» (пять GPs) и «Развертывание процесса» (шесть GPs)
Предсказуемый процесс содержит два атрибута: «Измерение процесса» (шесть GPs) и «Контроль процесса» (пять GPs).
Оптимизируемый процесс содержит два атрибута: «Инновации процесса» (пять GPs) и «Оптимизация процесса» (три GPs).

Получается, что выполнением всей нужную работу (все BPs) в процессе достигается уровень «1», и только если мы будем еще выполнять и все сорок управленческих практик, получим оценку «5» .

Оценщик, согласно стандарту, должен последовательно рассмотреть каждый из 9 атрибутов, начиная с первого, который касается практик самого процесса (BP) и далее, со второго, рассматривая свидетельства всех атрибутов возможностей процесса. Для того чтобы снизить беспокоившую всех субъективность, стандарт предлагает 4 рейтинга достижения каждого атрибута:

N (not achieved, не достигается) . В оцениваемом процессе не существует, или существует мало свидетельств того, что определенный атрибут достигается (от 0 до 15% реализованных практик).
P (partially, частично достигается) . В оцениваемом процессе существуют свидетельства того, что существует подход к достижению, и происходит частичное достижение заданных целей. Некоторые аспекты того, как достигается цель (атрибут) непредсказуемы (от 15% до 50% реализованных практик).
L (largely, в основном достигается) . В оцениваемом процессе существуют свидетельства системного подхода и системного достижения заданных целей. Существуют некоторые недостатки достигаемых результатов (от 50% до 85% реализованных практик).
F (fully, полностью достигается) . В оцениваемом процессе существуют свидетельства полного системного подхода и фактического достижения заданных целей. Значительных недостатков связанных с полученным результатом не выявлено (от 85% до 100% реализованных практик).

Переходить к оценке последующего атрибута можно, если для всех предыдущих атрибутов получены рейтинги "F". Итоговая оценка процесса означает, что в основном или полностью ("L" или "F") достигнуты все (оба) атрибуты этого уровня, а все предыдущие атрибуты получили рейтинг "F".

COBIT PAM содержит довольно много полезной и существенной информации, для того, чтобы предложенную методику можно было реализовывать в практике независимых внешних аудитов и неформальных внутренних проверок.

Книга содержит в себе ту же референтную модель, что описана в книге COBIT 5: Enabling processes, но с поправкой на требования стандарта к описанию процесса.

Процессы описаны, как того требует стандарт, исключительно в терминах

Назначения (Purpose statement)
Результатов (Outcomes)
Базовых практик (Base practices)
Входов и выходов (Work products)

Изюминка рассматриваемого подхода к оценке состоит в том, что эта референтная модель процессов в COBIT 5 нужна лишь для описания самого первого атрибута возможностей процессов, то есть, как мы уже говорили выше, для получения оценки «единица». Любые подробности о специфике процесса не будут интересовать оценщика, ведь они затруднят сравнение процесса с другими!

То, какими терминами, и в какой детализации описан процесс – не имеет значения. Важно чтобы он действительно был описан, развернут на предприятии в соответствии с описанием, измерялся с точки зрения результата и рациональности затрат и совершенствовался. Именно такую последовательность предлагает нам COBIT PAM сразу же после описания эталонной модели процессов.

В качестве иллюстрации приведем несколько примеров универсальных управленческих практик (GPs), которые заявлены в стандарте ISO 15504 и продублированы в COBIT PAM:

Выявление целей осуществления процесса
Выявление требований к документации и контролю рабочих продуктов, WP
Выявление требуемой инфраструктуры и рабочей среды для выполнения стандартного процесса
Предоставление ресурсов и информации для выполнения установленного процесса
Создание целей измерения результатов процесса, в соответствии с бизнес-целями
Анализ измерения процесса и его результатов для выявления отклонений производительности.
Выявление возможностей усовершенствования процесса с помощью новых технологий и идей.
Оценка всех предлагаемых изменений в процессе на соответствие целям установленного и стандартного процесса

О каждой GP, как уже было сказано выше, свидетельствуют универсальные рабочие продукты (GWPs). Их происхождение – это, пожалуй, единственное дополнение к стандарту ISO 15504, которое было изобретено авторами COBIT PAM. Список этих документов близок и менеджерам по качеству, и практикам процессов ITSM, их всего девять:

Процессная документация (диаграмма, охват, RACI-матрица и т.д.)
План процесса
План качества (содержание WP, критерии качества WP и т.д.)
Записи по качеству
Политики и стандарты
План совершенствования процесса
План измерения процесса
План контроля процесса
Записи о производительности процесса

Таким образом, книга COBIT PAM содержит:

Общее описание подхода к оценке возможностей
Референтную модель процессов COBIT 5 в формате ISO 15504
Перечень и описание универсальных управленческих практик и распределение их по атрибутам возможностей
Перечень и описание универсальных рабочих продуктов и распределение их по универсальным управленческим практикам

Кроме этого в состав программы COBIT по оценке процессов входят и дополнения:

Руководство оценщика
Руководство по самооценке и инструменты самооценки. Здесь читатели найдут фактически Excel-файлы, в которых можно вносить рейтинги всех базовых и универсальных практик для каждого процесса COBIT.

Такой перечень дополнительных публикаций отражает двойное назначение COBIT PAM: проведение внешних и внутренних оценок.

Процесс оценки и требования к оценщику

COBIT PAM в более удобном, чем стандарт ISO 15504, виде описывает проведение оценки процессов.

ШАГ ПЕРВЫЙ Определение охвата

COBIT PAM приводит важный перечень шагов по выбору оцениваемых процессов. При проведении внутренней оценки ИТ-предприятие или служба вольны использовать любую процессную модель. В таком случае, из всего материала PAM потребуются только списки и трактовки GP и GWP, а вот описание процессов придется составить самостоятельно, соблюдая принципы, диктуемые стандартом.

При внешней оценке COBIT PAM становится инструментом аудита, так как результаты на основе общей процессной модели становятся повторяемыми и сравниваемыми. Дискуссионным остается совершенство предлагаемой процессной модели, однако, исходя из задач аудита, оцениваться может только часть важных и нужных предприятию ИТ-процессов. Более того в «Руководстве оценщика» COBIT требует создания «маппинга» - карты соответствия между действующими на предприятии терминами, формулировками и определениями и референтной моделью процессов COBIT 5.

Шаги определения охвата оценки довольно понятны, но весьма важны для того, чтобы оценка достигла желаемых результатов.

Выявить стимулы для проведения оценки процессов. Иначе говоря, зачем нужна оценка?
Ранжировать процессы по степени поддержки движущих сил бизнеса (см. Романа Журавлева).
В соответствии с приоритетами, выбрать процессы, которые будут в оценке.
Согласовать предварительный охват оценки со спонсором проекта и ключевыми заинтересованными сторонами.
Утвердить список оцениваемых процессов.
Задокументировать методологию в записях проекта оценки.

ШАГ ВТОРОЙ Планирование оценки

На этом шаге создается и документируется календарный и ресурсный план оценки, буквально как план проекта.

ШАГ ТРЕТИЙ Брифинг

Лидер команды оценщиков рассказывает своей команде о том, что предстоит сделать, на основе каких данных и каким именно образом.

ШАГ ЧЕТВЕРТЫЙ Сбор данных

Команда оценщиков собирает все имеющиеся свидетельства по оцениваемым процессам, включая документы, описывающие назначение процесса, входы и выходы и рабочие продукты. Объективные свидетельства должны быть подтверждаемыми и зарегистрированы в протоколе процесса оценки.

ШАГ ПЯТЫЙ Проверка данных

Информацию надо получать из первых рук, из независимых источников. Полученные документальные свидетельства можно дополнять собеседованиями с заинтересованными сторонами, чтобы проверить то, что написано в документах.

ШАГ ШЕСТОЙ Подсчет атрибутов

Для каждого атрибута модели по свидетельствам выполнения BPs и GPs назначается рейтинг, а по совокупности атрибутов выбирается тот или иной уровень возможностей.

ШАГ СЕДЬМОЙ Отчет о результатах

Результаты оценки должны быть проанализированы и представлены в отчете.

Сильные и слабые стороны
Рейтинг атрибута, присвоенный процессу должен быть подтвержден объективными доказуемыми свидетельствами
Высокие риски, то есть существенные отклонения выявленных возможностей от тех, которые были заявлены или проверялись.

Итог

Самой яркой прикладной пользой COBIT 5 PAM, на взгляд автора, являются описания универсальных рабочих продуктов (GWPs). Это практически полный перечень и детальное оглавление всей процессной документации. Набор этих документов довольно точно воспроизводит иерархию документов в ITIL (политики, описание, процедуры и инструкции процесса) и поможет любому методологу или проектировщику процесса: начинающему или опытному, работающему на предприятии или в консалтинге.

Ну, а в теории модель оценки возможностей процессов COBIT 5 PAM позволяет ответить на вопрос: насколько вероятно, что процесс сможет соответствовать своему назначению при разумных затратах в любых условиях? Иначе говоря, модель оценки позволяет проверить, насколько процесс управляем, а значит, гибок. При этом авторы честно признаются, что более высокая вероятность означает и более высокие затраты на управление процессом.

Кроме этого, каждый недостигнутый атрибут процесса означает вполне конкретные риски для организации. Это значит, что проведение оценки в соответствии с COBIT PAM может помочь ИТ-руководителю выбрать области для более жесткого контроля. А для владельцев и менеджеров предприятия, на котором используются информационные технологии, оценка даст понимание сильных и слабых сторон ИТ-процессов, а значит и уверенность в том, что ИТ-служба успешно (или наоборот) управляет важным активом – информацией.

Если говорить о перспективах применения COBIT 5 PAM в российских реалиях, то языковой барьер может стать существенным ограничителем. Язык стандарта середины 2000-х годов бюрократичен и поэтому трудно осмысливаем. Чего только стоят обороты при определении уровней возможностей:

Level 3 Established process (two attributes) - The previously described managed process is now implemented using a defined process that is capable of achieving its process outcomes. Увы, но ради универсальности всегда приходится жертвовать пониманием. Мы очень ждём от ISACA дополнительных публикаций, например, историй успеха, с помощью которых можно будет осознать уровни возможностей и причины именно такой их последовательности.

При этом COBIT PAM обладает рядом явных преимуществ, по сравнению с привычными моделями зрелости:

Гибкий и удобный инструмент оценки, совместимый с международным стандартом ISO 15504
Требования к конкретным процессам из процессной модели COBIT 5
Возможность снабжать процессы атрибутами стандарта ISO 15504
Требования к свидетельствам (в том числе для аудита)
Требования к оценщику и его опыту

Всё это приведет к более точной, объективной и воспроизводимой оценке процессов, как внутри предприятия, так и в рамках всей отрасли управления информационными технологиями.

Руководители организации и практики ITSM могут использовать предложенную в COBIT PAM методику для того чтобы сравнить действующие у них процессы с эталонными процессами COBIT 5. А если на это упражнение нет ресурсов или у вас нет потребности демонстрировать соответствие своих процессов эталонной модели, то с помощью описания управленческих практики и продуктов, вы сможете честно ответить на вопрос: управляете вы процессами в вашей ИТ-организации или нет.

COBIT 5 PAM – замечательный, системный и весьма подробный инструмент для аудитора, руководителя, и практика процессного управления ИТ. Как и любой другой, его нужно применять одновременно разумно и творчески, не воспринимая эту модель в качестве строгой научной теории. Мы всё еще продолжаем говорить о «практических рекомендациях», и только здравый смысл и постоянная самопроверка («а зачем мне это нужно?») поможет извлечь реальную пользу из них.

Примечания

Занятно, что и модель зрелости CMM тоже с самого начала была заказана Министерством обороны США для того, чтобы объективно сравнивать между собой подрядчиков, которые выполняли разработку ПО.
Примеры применения стандарта в различных отраслях можно найти в Википедии: http://en.wikipedia.org/wiki/ISO/IEC_15504 .
Источники расходятся в том, что стоит за словами «назначение», «цель» и «задача». Мы не можем в рамках этой публикации вдаваться в этот семантический спор. Договоримся, что в COBIT 5 «Outcome – это утвердительное предложение, описывающее целевое состояние организации в абсолютных терминах». А Purpose – это утвердительное предложение, которое объясняет, зачем нужен этот процесс. К примеру, для процесса «BAI06 Управление изменениями» назначением (Purpose statement) является:

Обеспечение быстрого и надежного выполнения бизнес-изменений и снижение рисков негативного воздействия на стабильность и целостность изменяемой среды.

А целями этого процесса являются:
- Авторизованные изменения выполняются в срок и с минимальным количеством ошибок.
- Проводимые оценки влияния описывают воздействие изменения на все затронутые компоненты
- Все экстренные изменения оцениваются и авторизуются после изменения
- Ключевые заинтересованные стороны информированы обо всех аспектах изменения
Отметим, что во избежание путаницы, авторы COBIT PAM убрали из этого термина стандарта ISO 15504 слово «management», так как эти практики применимы и к процессам домена руководства (Governance).
Такая модель наиболее ярко иллюстрируется любимой многими менеджерами по качеству цитатой из Л. Кэрролла: «Нужно бежать со всех ног, чтобы только оставаться на месте, а чтобы куда-то попасть, надо бежать как минимум вдвое быстрее!». Можно представить себе повышение уровня возможностей процессов как всё ускоряющийся «бег», позволяющий процессу не отставать от изменяющейся окружающей среды, и «попасть» в целевое состояние и результаты.

Ссылки и публикации

COBIT® Process Assessment Model (PAM): Using COBIT® 4.1 ISBN 978-1-60420-188-8
COBIT® Process Assessment Model (PAM): Using COBIT® 5 ISBN 978-1-60420-264-9
COBIT® 5 A Business Framework for the Governance and Management of Enterprise IT ISBN 978-1-60420-256-4
ГОСТ Р ИСО/МЭК 15504-1-2009 Информационные технологии. Оценка процессов. Часть 1. Концепция и словарь
ГОСТ Р ИСО/МЭК 15504-2-2009Информационная технология. Оценка процесса. Часть 2. Проведение оценки
ГОСТ Р ИСО/МЭК 15504-3-2009 Информационная технология. Оценка процесса. Часть 3. Руководство по проведению оценки.
http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Assessment-Programme.aspx домашняя страница COBIT 5 PAM.
http://www.isaca.org/Knowledge-Center/Research/Documents/Assessment-Programme-Introduction.pptx презентация программы оценки возможностей процессов, применительно для процессной модели COBIT 4.1 (английский, формат Microsoft PowerPoint presentation)