Управление и аудит информационных технологий.

Особенности проведения внешнего аудита ИТ Сергей Гузик (руководитель рабочей группы ISACA.ru) чески эффективной для организации, то она создается, если не эффективной Ч то приглашаются внешние консультан ты или аудиторы для проведения работ.

Введение Независимо от результатов выбора из перечисленных выше В условиях стремительно возрастающей роли ИТ возможностей перед руководителем неоспоримо возникает составляющей профессиональный подход к управлению и еще одна проблема: необходимость выбора методологиче систематическое обследование информационных техноло ского средства, на основе которого будет построена система гий (ИТ) по международным стандартам позволяют ком управления и контроля и которое будет рабочим инстру пенсировать на первый взгляд невидимые, но существенные ментом службы внутреннего ИТ-аудита. На сегодняшний недостатки в организации производственных процессов.

день ощутимого недостатка в стандартах нет. Такие стан Построение грамотной структуры управления, создание дарты, как ISO, ITIL и другие, уже применяются и в россий эффективной вертикали принятия решения и системы кон ской практике, более того, интерес к ним неизменно растет.

троля напрямую зависят от состояния информационных Все они практически в равной степени наделены опреде технологий, от их эффективности, производительности, ленными преимуществами и недостатками, прежде всего безопасности, надежности и других не менее важных пока из-за функциональной направленности и специфической зателей.

области применения. Любому же пользователю интересен, прежде всего, комплексный подход к решению, тем более в Эффективная система управления и контроля над ИТ реша таком объемном и многогранном вопросе, как управление и ет не только внутренние проблемы, но и позволяет повы контроль ИТ. Рассмотрим более подробно одно из сущест сить инвестиционную привлекательность организации, по вующих решений Ч стандарт CobiT.

зиционируя ее для инвестора как "открытую" финансовую Вначале, несколько слов об ассоциации ISACA, которая систему. С другой стороны достаточно трудно подобрать развивает и продвигает этот стандарт.

комплексное решение для таких задач. Одно из решений Ч внедрение стандарта CobiT, который формализует не только ISACA конкретные проекты в сфере ИТ, но и создает то ядро управления и контроля ИТ, вокруг которого выстраиваются производственные процессы организации с максимально Ассоциация Аудита и Контроля Информационных Систем возможным уровнем эффективности. (ISACA) была основана в 1969 году для финансовых ауди торов в контроле ИТ. Ассоциация Аудита и Контроля Ин Управление и аудит ИТ Ч это нечто большее, чем традици- формационных Систем является ведущей мировой профес онный термин Ч управление и аудит информационной сиональной организацией с представительствами в более безопасности, в том числе на соответствие требованиям чем 100 странах мира и охватывает все уровни ИТ:

ФАПСИ, BS7799 (ISO 17799) или другим разработанным критериям.

Х Организации;

Х Управления;

В той или иной форме вопросы, связанные с внутренним Х Практического применения.

контролем бизнес-процессов ор ганизации, ее финансово Рисунок 1. Состав книг CobiT хозяйственной деятельности и информационными технология ми возникают постоянно. В по иске ответов на эти вопросы ру ководители организаций создают собственные службы внутренне го аудита, приглашаются ауди торские компании, обращаются к консультантам.

Для решения задачи, связанной с созданием собственной службы внутреннего аудита, организация на определенном этапе оценива ет экономическую эффектив ность подобной службы, которая призвана стать дополнительным источником информации для руководителя, принимающего решения. Если служба внутрен него аудита признается экономи Ассоциация занимает уникальную позицию мирового лиде Рисунок 2. Цикл CobiT, отражающий непрерывность ра в области разработки и распространения стандартов по соответствия ИТ требованиям бизнеса аудиту ИТ, ее стратегический альянс с другими ассоциа- циями и консалтинговыми компаниями в областях финан сово-хозяйственной деятельности, бухгалтерского учета и аудита ИТ обеспечивает не имеющий равных уровень инте грации и соответствия требованиям владельцев бизнес процессов.

Управление и аудит ИТ.

Стандарт CobiT Аббревиатура CobiT расшифровывается как Контрольные ОБъекты для Информационных и смежных Технологий. За при оптимальном использовании ресурсов, и кото этой аббревиатурой скрывается набор документов, в кото рое может корректироваться при его выполнении.

рых изложены принципы управления и аудита информаци При выполнении процесса все задействованные ре онных технологий. CobiT позиционируется как открытый сурсы структурируются и выстраиваются таким об стандарт "де-факто", в настоящее время переживающий разом, чтобы максимально эффективно выполнять свое третье издание.

этот процесс.

2. Во-вторых, процессы в подавляющем большинстве В состав стандарта входят шесть книг, ориентированных на организаций, а особенно их цели не так часто изме разные аудитории:

няются, по сравнению с организационными объек тами (организационно-штатная структура: сотруд 1. Резюме для руководителя. Описание стандарта ники, отделы, департаменты и т.д.).

CobiT, ориентированное на топ-менеджеров орга 3. В-третьих, развертывание информационной систе низации для принятия ими решения о применимо мы или внедрение информационных технологий не сти стандарта в конкретной организации. С перево может быть ограничено спецификой одного отдела дом этой книги на русский язык Вы можете озна или департамента, а затрагивает руководителей, комиться: пользователей из других подразделений и ИТ 2. Описание структуры. Книга содержит разверну специалистов. Таким образом, прикладные системы тое описание структуры стандарта, высокоуровне (прикладное программное обеспечение то, что ви вых целей контроля и пояснения к ним, необходи дит пользователь) Ч это неотъемлемая часть струк мые для эффективной навигации и результативной туры CobiT и могут быть стандартно оценены, как работы со стандартом.

и прочие объекты контроля CobiT, в рамках единой 3. Объекты контроля. В книгу включены детальные структуры и с применением единых метрик.

описания объектов контроля, содержащие расшиф ровку каждого из объектов.

CobiT Ч это сохранение единого подхода к сбору, анали 4. Принципы управления. Книга отвечает на вопро зу информации, подготовке выводов и заключений на сы как управлять ИТ, как правильно поставить дос всех этапах управления, контроля и аудита ИТ, возмож тижимую цель, как ее достичь и как проконтроли ность сравнения существующих ИТ-процессов с "луч ровать полноту ее достижения. Предназначена для шими" практиками, в том числе отраслевыми.

руководителей ИТ-служб.

5. Принципы аудита. Правила проведения ИТ-аудита. Описание того, у кого можно Рисунок 3. Четыре домена CobiT, объединяющие 34 ИТ-процесса, получить необходимую информацию, как критерии информации и ресурсы ИТ ее проверить, какие вопросы задавать?

Книга предназначена для внутренних и внешних аудиторов ИТ, а также консуль тантов в сфере ИТ.

6. Набор инструментов внедрения стандар та Ч практические советы по ежедневному использованию стандарта в управлении и аудите ИТ. Книга предназначена для внут ренних и внешних аудиторов ИТ, консуль тантов в сфере ИТ.

Модель процессов, выстраиваемая на базе CobiT, предпочтительней других подходов, в основе кото рых не лежат бизнес-процессы организации (мето дики и стандарты аудита производителей про граммно-аппаратных средств), по нескольким при чинам:

1. По определению: процесс Ч это действие, направленное на достижение результата, Х Надежность Ч доступ руководства организации к Основа CobiT. Разделение CobiT соответствующей информации для текущей дея на управление и аудит тельности, для создания финансовых отчетов и оценки степени соответствия.

В основу стандарта CobiT положено следующее утвержде- ние: для предоставления информации, необходимой ор- Схема CobiT, объединяющая 34 ИТ-процесса и учитываю ганизации для достижения ее целей, ресурсы ИТ долж- щая критерии информации и ресурсы ИТ на всем протяже ны управляться набором естественно сгруппированных нии жизненного цикла, представлена на Рис. 4.

процессов.

Для достижения целей организации в сфере ИТ, CobiT Для этого CobiT выделяет 34 высокоуровневые цели кон- включает в себя две основные книги, которые отражают троля, по одной на каждый ИТ- процесс, которые сгруппи- Принципы управления и Принципы аудита.

рованы в 4 домена: Планирование и Организация;

Проекти- рование и Внедрение;

Эксплуатация и Сопровождение;

Мо- Как следует из названия Ч это две части одного целого ниторинг. Предлагаемая структура объединяет все аспекты (оказание воздействия и контроль результатов). Управля информации и технологий, поддерживающих ее. Применяя ем Ч воздействуем на ИТ для достижения поставленных 34 высокоуровневые цели контроля, руководитель может целей. Аудит Ч контролируем достижение цели.

быть уверен, что ему будет предоставлена адекватная сис- тема контроля над ИТ-средой, которая учитывает задейст- Необходимо отметить, что в основе стандарта лежат Объек вованные ресурсы ИТ, дающая возможность оценить ИТ по ты Контроля CobiT, именно они являются базой стандарта и предлагаемым CobiT семи критериям оценки информации.

объединяют все его книги, предлагая пользователю единую основу управления и аудита ИТ.

Ресурсы ИТ в CobiT описаны пятью составляющими:

Принципы управления ИТ, 1. Данные Ч объекты в широком смысле (то есть внутренние и внешние), структурированные и не- стандарт CobiT структурированные, а также графика, звук и т.д.

2. Приложения Ч совокупность автоматизирован- Принципы управления, книга стандарта CobiT, описы ных и выполняемых вручную процедур.

вающая управление ИТ Ч одна из последних разработок 3. Технология Ч аппаратное обеспечение, про Института Управления ИТ, пополнившая перечень книг граммное обеспечение, операционные системы, CobiT в 3-ем издании стандарта.

системы управления базами данных, сетью и муль- тимедиа.

Управление ИТ Ч составная часть успеха в управлении 4. Оборудование Ч все ресурсы, создающие и под- предприятием, которая гарантирует рациональное и эффек держивающие информационные технологии.

тивное совершенствование всех взаимосвязанных процес 5. Люди Ч персонал, его навыки: умение планиро- сов предприятия. Управление ИТ предоставляет основу, вать и организовывать, комплектовать, обслужи- которая связывает ИТ-процессы, ИТ-ресурсы и информа вать и контролировать информационные системы и цию со стратегией и целями организации, что позволяет услуги.

максимально эффективно использовать информацию, по вышая капитализацию и получая конкурентоспособные При этом денежные средства или капитал не рассматрива- преимущества.

ются в качестве ИТ-ресурса. Они могут рассматриваться в качестве инвестиций в любой из вышеуказанных ресурсов.

Принципы управления созданы для того, чтобы помочь ру ководителю ИТ ответить на три стратегических вопроса:

Критерии оценки информации:

1. Существуют ли в настоящее время в организации Х Эффективность Ч актуальность информации, со Информационные Технологии, при управлении ко ответствующего бизнес-процесса, гарантия свое- торыми "удовлетворяются" все информационные временного и регулярного получения правильной потребности организации?

информации.

2. Как организация обеспечивает инфраструктуру и Х Продуктивность Ч обеспечение доступности ин- управляет рисками, насколько организация зависит формации с помощью оптимального (наиболее про- от этого?

дуктивного и экономичного) использования ресур- 3. С какими проблемами организация сталкивается сов. при управлении ИТ?

Х Конфиденциальность Ч обеспечение защиты ин- Чтобы получить ответы на эти стратегические вопросы не формации от неавторизованного ознакомления.

обходимо непрерывно отвечать на "тактические" вопросы:

Х Целостность Ч точность, полнота и достоверность информации в соответствии с требованиями бизне Х Что является результатом ИТ-процессов?

са.

Х Что является решением проблем в ИТ?

Х Пригодность Ч предоставление информации по требованию бизнес-процессов. Х Из чего состоят эти решения?

Х Согласованность Ч соответствие законам, прави- Х Будут ли работать эти решения?

лам и договорным обязательствам. Х Как их реализовать?

Рисунок 4. Вопросы CobiT, на всем жизненном цикле ИТ Для получения ответов на "тактические" вопросы в книге Создание такой взаимной связи поможет руководителям в Принципы управления CobiT, включены Модели Зрело- контроле над информационными технологиями организа сти, Критические Факторы Успеха (КФУ), Ключевые Инди- ции, отвечая на следующие вопросы:

каторы Цели (КИЦ) и Ключевые Показатели Результата (КПР), это дополнение позволило получить качественно 1. О чем беспокоится руководство организации? Не улучшенный подход к вопросам управления ИТ, который обходимо удостовериться, что выполняются все по отвечает потребностям руководителей в части управления и требности организации.

контроля. Предоставляя руководителю организации инст- 2. Где измеряется удовлетворение потребностей? Ре румент управления и измерения ИТ на соответствие три- зультат бизнес-процесса представлен на сбаланси дцати четырем ИТ-процессам, определенным в CobiT. рованной карте оценок бизнеса как Ключевой Ин дикатор Цели.

Для информационной поддержки принятия решений, в кни- 3. Затрагивают ли проблемы, возникающие в ходе ге Принципы управления описаны следующие виды пред- реализации бизнес-процессов, информационные ставления информации: технологии организации? ИТ-процессы своевре менно предоставляют организации правильную 1. Инструментальная информацию, позволяя ее бизнес-процессам эффек Рисунок 5.

панель;

тивно и бесперебойно функционировать. Это явля 2. Карты оценки;

ется Критическим Фактором Успеха для организа 3. Эталонное тести- ции.

рование. 4. Где это измеряется? Ключевой Индикатор Цели, основанный на сбалансированной карте оценки, Первой целью Принципов представляет ИТ-информацию, сопоставимую с управления CobiT яви- критериями информации (Эффективность, Продук лось создание индикаторов тивность, Конфиденциальность, Целостность, При для инструментальной годность, Согласованность, Надежность).

панели, единиц измерения 5. Что еще должно быть измерено? Если ответы на для карт оценки, шкал первые вопросы Ч положительные, должно быть сравнения для эталонного учтено влияние множества Критических Факторов тестирования. Успеха, которые должны быть измерены как Клю чевые Индикаторы Результата для ИТ-процессов.

Необходимость "измерения" процессов организации обу словлена важностью непрерывного совершенствования ИТ, Модели зрелости что создает потребность в комплекте инструментов для кон троля. При этом трудно определить необходимый уровень Модели зрелости в CobiT предназначены для контроля над совершенствования и остановиться на нем. Перед руково ИТ-процессами организации. Они базируются на определе дителями в коммерческих и некоммерческих организациях нии уровня развития организации от несуществующего до часто возникают задачи оценить объемы инвестиций в ИТ и оптимизированного (от 0 до 5 уровня модели зрелости).

инфраструктуру, при этом далеко не все могут обосновать Этот подход был привнесен в CobiT из Моделей Зрелости, инвестиции, отвечая на вопрос: "Как далеко необходимо разработанных Институтом проектирования и разработки зайти, и будут ли оправданы затраты выгодой?". Принци программного обеспечения (Software Engineering Institute), пы управления CobiT призваны ответить на этот вопрос и созданных для оценки уровня зрелости разработки про помочь в обосновании инвестиций в ИТ.

граммного обеспечения.

В настоящее время информационные услуги преобладают Модели зрелости над прочими поддерживающими бизнес услугами. Таким образом, ИТ становятся одним из первостепенных показа Ответом на вопрос "чем и как управлять" явилась разработ телей бизнеса. Как следствие Ч отношения между бизнес ка моделей зрелости, начатая в конце 80-х годов Институ целями с их единицами измерения и ИТ с его целями и еди том проектирования и разработки программного обеспече ницами измерения являются очень важными и могут быть ния (Software Engineering Institute's), по заказу Министерст изображены следующим образом (Рис. 6).

ва обороны США. Первоначальное предназначение Ч соз дание эффективного инструмента для классифика ции и оценки проектов, связанных с разработкой Рисунок 6. Схема отношения бизнес целей и ИТ программного обеспечения и гарантированного соблюдения качества при выполнении этих проек тов. В дальнейшем модели зрелости были дорабо таны для управления ИТ-сервисами и аудита про цессов управления.

Maturity Models (MM) Ч "модели зрелости". Соот ветствие уровням "модели зрелости" означает, что компания готова к плановой модернизации или об новлению. MM Ч не технология, не стандарт, для нее нет формальных описаний, в ней нет жестких требований, и она не привязана к конкретным ин формационным технологиям.

Рисунок 7. Шкала моделей зрелости Модели зрелости не подсказывают как улучшить работу 1. Начало (Анархия). Организация признает сущест компании и не объясняют, как работать с персоналом, также вование проблем управления ИТ и необходимость нет готовых руководств и по применению моделей зрело- их решения. При этом не существует никаких стан сти. Рекомендуется каждой конкретной компании разрабо- дартизованных решений. Существуют случайные тать подобное руководство для своего бизнеса или пригла- одномоментные решения, принимаемые кем-то сить сторонних консультантов для решения этого вопроса. персонально или от случая к случаю. Подход руко Модели зрелости предназначены для организации эффек- водства к решению ИТ-проблем хаотичен, призна тивного управления. Они определяют ключевые действия, ние существования проблем случайно и непоследо которые указывают, что надо сделать для достижения тре- вательно.

буемого качества и содержат способы контроля над пра- 2. Повторение (Фольклор). Существует всеобщее вильностью выполнения ключевых ИТ-процессов и методы осознание проблем управления ИТ. Показатели их корректировки. Ключевые действия подробно описаны в деятельности и ИТ-процессов находятся в разви Руководстве на абстрактном уровне, а в процессе использо- тии, охватывая процессы планирования, функцио вания MM компания может выбрать произвольную степень нирования и мониторинга ИТ. Деятельность по их формализации. управлению информационными технологиями опи сана и интегрирована в процесс управления органи Беря за основу шкалу моделей зрелости (Рис. 7), разрабо- зацией. Выбраны для улучшения и/или контроля те танную для каждого из 34 ИТ-процесса CobiT, руководи- ИТ-процессы, которые влияют на основные бизнес тель может выяснить следующие сведения: процессы предприятия. Эффективно выполняется планирование и управление инвестициями. Руково дство организации регламентировало меры по Х Текущий статус организации Ч оценить, на какой управлению ИТ, а также методы управления и стадии организация находится сегодня.

оценки, но процесс не был принят в организации.

Х Текущий статус лучшей практики в этой отрасли Ч Не существует формализованного обучения, набора сравнить свою организацию с лучшей организацией взаимосвязанных стандартных процедур управле в этой отрасли.

ния, ответственность возложена на сотрудников.

Х Текущий статус международных стандартов Ч Сотрудники контролируют процессы управления с провести дополнительное сравнение текущего ста помощью проектов и ИТ-процессов. Ограниченные туса организации с "лучшей практикой" или меж инструменты управления выбираются и внедряются дународными стандартами.

для сбора метрик управления, но не используются в Х Статус организации после усовершенствования полном объеме из-за недостатков в оценке их (реализация стратегии организации) Ч оценить функциональности.

стратегию организации, каких результатов органи 3. Описание (Стандарты). Необходимость действо зация хочет достичь.

вать в соответствии с принципами управления ИТ понимается и принимается. Развивается базовый Модель Зрелости Управления ИТ, для бизнеса, предназна набор показателей управления ИТ: определена чена для управления ИТ-процессами с целью увеличения связь между результатом и показателями произво ценности ИТ, при соблюдении равновесия между риском и дительности, она зафиксирована и внедрена в стра прибылью.

тегические процессы планирования и мониторинга.

Процедуры стандартизованы и документированы, 0. Не существует. Полное отсутствие каких-либо проводится обучение сотрудников по выполнению процессов управления ИТ. Организация не призна этих процедур. Показатели производительности ет существования проблем в ИТ, которые нужно всех видов деятельности зафиксированы и отсле решать, и, таким образом, нет никаких сведений о живаются, что приводит к повышению эффектив проблемах.

ности работы всей организации. Процедуры не сложны, они являются формализацией существую Критические Факторы Успеха (КФУ) щей практики. Идеи сбалансированных карт оценки бизнеса принимаются организацией. Ответствен Критические Факторы Успеха (КФУ) Ч определяют наи ность за обучение, выполнение и применение стан более важные проблемы или действия руководителей, на дартов возложена на сотрудников организации.

правленные на достижение контроля над ИТ-процессами.

Анализ первопричин применяется время-от КФУ должны быть управляемыми, ориентированными на времени. Большинство процессов управляются в успех и описывать, как выполнять необходимые стратеги соответствии с некоторыми основными метриками, ческие, технические, организационные или процедурные и, как правило, отдельными сотрудниками, поэтому действия для достижения успеха.

ни о каких отклонениях руководители не знают.

Однако всеобщая отчетность о выполнении ключе Примеры Критических Факторов Успеха (КФУ):

вых процессов является четкой, и руководство пре мирует сотрудников на основе измерения ключе Х Действия по управлению ИТ интегрированы в про вых результатов.

цессы управления организации и стиль работы ру 4. Управление (Измеряемый). Существует полное ководителей;

понимание проблем управления ИТ на всех уров Х Управление ИТ сосредоточенно на целях организа нях организации, постоянно происходит обучение ции: стратегических инициативах, использовании сотрудников. Определены и поддерживаются в ак технологий для развития бизнеса, достаточности туальном состоянии соглашения об уровне обслу ресурсов и удовлетворения бизнес-требований;

живания. Четко распределена ответственность, ус Х Действия по управлению ИТ ясно определены, тановлен уровень владения процессами. Процессы формализованы и осуществляются на основе по ИТ соответствуют бизнесу и стратегии ИТ. В пер требностей предприятия с соответствующей отчет вую очередь улучшения в процессах ИТ основыва ностью;

ются на измеряемых количественных показателях.

Х Методы управления разработаны для увеличения Существует возможность управлять процедурами и продуктивности, оптимального использования ре метриками процессов, измерять их соответствие.

сурсов и увеличения эффективности ИТ-процессов;

Все совладельцы процесса осознают риски, важ Х Организационные методы следят за окружающей ность ИТ и возможности, которые они предостав средой и культурой управления;

способствуют нор ляют. Руководство организации определило допус мальному контролю;

ведению стандартной практи тимые отклонения, при которых процессы должны ки управления рисками;

определяют степень соот работать. Если процессы не работают эффективно и ветствия установленным стандартам;

управляют и продуктивно, действия предпринимаются во мно изучают недостатки и риски;

гих (но не всех случаях). Процессы постоянно со Х Методы аудита определены таким образом, чтобы вершенствуются, их результаты соответствуют избежать сбоев и ошибок в системе внутреннего "лучшим практикам". Формализован порядок ана контроля;

лиза первопричин. Присутствует понимание необ Х Наблюдается интеграция и развитие взаимодейст ходимости постоянного совершенствования. Огра вия сложных ИТ-процессов, таких как управление ниченно применяются передовые технологии, ос проблемами, изменениями и конфигурациями;

нованные на современной инфраструктуре и моди Х Учрежден контрольный комитет, назначающий и фицированных стандартных инструментах. Все не наблюдающий за независимым аудитом, уделяю обходимые ИТ-специалисты вовлечены в бизнес щий пристальное внимание ИТ при составлении процессы. Управление ИТ превращается в процесс планов аудита, а также принимающий во внимание уровня всей организации. Деятельность управления результаты исследований сторонних организаций и ИТ интегрируется в процесс управления организа аудиторов.

цией.

5. Оптимизация (Оптимизируемый). В организации Ключевые Индикаторы Цели (КИЦ) существует углубленное понимание управления ИТ, проблем и решений ИТ, а также перспектив.

Ключевые Индикаторы Цели (КИЦ) описывают ком Обучение и коммуникация поддерживаются на должном уровне, самыми современными средства- плекс измерений, которые по факту сообщают руководству, ми. В результате непрерывного улучшения процес- что ИТ-процесс достиг предъявляемых бизнес-требований.

КИ - выражается в терминах информационных критериев:

сы соответствуют моделям зрелости, построенным на основании "лучшей практики". Внедрение этих процедур привело к появлению организаций, людей Х Пригодность информации, необходимой для под и процессов, максимально адаптируемых к изме- держки бизнеса;

няющимся условиям, а также полностью соответст Х Риски отсутствия целостности и конфиденциально вующих требованиям управления ИТ. Первопричи сти;

ны всех проблем и отклонений тщательно анализи Х Рентабельность процессов и операций;

руются, по результатам анализа выполняются ре Х Подтверждение надежности, эффективности и со зультативные действия. Информационные техноло гласованности.

гии интегрированы в бизнес-процессы, полностью их автоматизируют, предоставляя возможность по Ключевыми Индикаторами Цели (КИЦ), могут быть:

вышать качество и эффективность работы органи зации.

Х Улучшение управления производительностью и стоимостью;

Х Увеличение дохода от инвестиций в ИТ;

чать на бесконечный вопрос: "Какой уровень управления Х Сокращение времени запуска в продажу нового необходим ИТ- организации, насколько он соответствует продукта или услуги;

целям организации?" Х Улучшение управления качеством, новшествами и рисками;

Х Соответствующая интеграция и стандартизация Управление ИТ по CobiT бизнес-процессов;

Х Поиск новых и удовлетворение существующих кли- 1. Управление ИТ осуществляется с учетом бизнес ентов;

потребностей.

2. Для управления ИТ определены информационные Х Выполнение требований и ожиданий клиента по критерии.

бюджету и времени;

Х Соответствие законам, инструкциям, промышлен Потребности бизнеса определяются Ключевыми Индикато ным стандартам и договорным обязательствам;

рами Цели, чему способствует организация постоянного Х Полное осознание меры принимаемого риска, а контроля над всеми ресурсами ИТ. Достижение необходи также соответствие уровню риска, приемлемого для мого уровня контроля измеряется Ключевыми Показателя данной организации;

ми Результата, которые учитывают Критические Факторы Х Эталонное тестирование зрелости управления ИТ.

Успеха.

Ключевые Индикаторы Результата (КИР) Модель Зрелости используется для оценки уровня управле ния ИТ в данной организации Ч от несуществующего (са Ключевые Индикаторы Результата (КИР) описывают мый низкий уровень) до оптимизированного (самый высо комплекс действий, необходимых для определения, на кий уровень).

сколько ИТ-процессы достигают поставленных целей. КИР являются основными индикаторами, отображающими веро Для достижения пятого, "оптимизированного" уровня зре ятность достижения цели. А также индикаторами, отра лости в управлении ИТ организация должна быть, по край жающими адекватность способов, методов и навыков, ис ней мере, на пятом уровне в домене мониторинг и как ми пользуемых при достижении результата.

нимум на четвертом уровне моделей зрелости для всех дру гих доменов.

Ключевыми Индикаторами Результата (КИР), могут быть:

В Принципах Управления CobiT сосредоточено краткое Х Увеличение рентабельности ИТ-процессов;

описание Критических Факторов Успеха, Ключевых Инди Х Улучшение работы и планирования действий по каторов Цели и Ключевых Индикаторов Результата для ка совершенствованию ИТ-процессов;

ждого ИТ-процесса, дополняя общий подход к управлению Х Увеличение нагрузки на ИТ-инфраструктуру;

ИТ, изложенный в Структуре CobiT.

Х Повышение степени удовлетворения пользователей (опросы пользователей и количество жалоб);

Принципы аудита ИТ, Х Улучшение взаимодействия и коммуникаций меж ду руководителями ИТ и руководством организа стандарт CobiT ции Х Повышение производительности сотрудников (в Принципы аудита CobiT Ч книга стандарта, которая в том числе, повышение морального духа).

большей степени ориентирована на аудит ИТ-процессов, Обобщая вышеизложенную информацию, можно сказать чем на аудит конкретных функций или приложений. CobiT следующее:

состоит из высокоуровневых целей контроля (определен ных для ИТ-процессов организации), которые охватывают Х Модели зрелости предназначены для стратегиче- все параметры информационных систем и применяемых ского выбора и эталонного сравнения.

информационных технологий, учитывают цикл жизни и Х Критические Факторы Успеха (КФУ) предназначе- специфические задачи, решаемые ИТ.

ны для организации контроля ИТ-процессов.

Х Ключевые Индикаторы Цели (КИЦ) предназначены CobiT Advisor 3rd Edition (Audit) для контроля достижения целей ИТ-процессов.

Х Ключевые Индикаторы Результата (КИР) предна Цель написания программного продукта "CobiT Advisor" Ч значены для контроля результатов каждого ИТ максимально облегчить проведение аудита ИТ. Основыва процесса.

ясь на открытом стандарте CobiT, программа Advisor об новляется в соответствии с редакциями стандарта. На осно При возрастании роли электронного бизнеса и зависимости вании изменений и дополнений третьего издания стандарта от информационных технологий, организации должны стре CobiT в "CobiT Advisor" были внесены соответствующие миться к увеличению статуса организации, связанного, в изменения. Программный продукт был дополнен 16 новыми том числе, с повышением уровней управления и безопасно объектами контроля и новыми формами отчетов. "CobiT сти ИТ. Каждая организация должна знать свои бизнес Advisor" представляет собой базу данных Foxpro, структу процессы и должна отслеживать их совершенствование.

рированную в соответствии с 34 процессами и 318 объекта Один из путей достижения конкурентоспособного уровня ми контроля стандарта CobiT, которая позволяет хранить, управления и безопасности ИТ Ч это эталонное тестирова обрабатывать и предоставлять информацию о результатах ние и измерение совершенствования управления ИТ по проведения аудита в форме отчетов в различных форматах сравнению с другими организациями отрасли и стратегией (например, MS Word, Excel).

организации. Принципы управления CobiT предоставляют руководителю инструмент управления ИТ, позволяя отве Рисунок 8. Экран CobiT Advisor 3rd Edition Одним из типовых отчетов являются модели зрелости, ко- которых базируются выводы и рекомендации ауди торые можно построить как для каждого процесса управле- тора;

ния ИТ, так и для совокупной модели зрелости всех ИТ- 11. Информировать все заинтересованные стороны о сервисов организации (Рис. 8). результатах проведения аудита;

12. Способствовать повышению осведомленности ру ководства организаций, клиентов и общества в во Этика аудитора ИТ просах, связанных с проведением аудита информа ционных систем;

Для обеспечения высокого качества оказания услуг, обеспе 13. Соответствовать высоким этическим стандартам в чения профессионализма аудиторов ИТ и разрешения слож профессиональной и личной деятельности;

ных этических ситуаций, возникающих в процессе аудита 14. Совершенствовать свои личные качества.

ИТ, ассоциация ISACA определила основные требования к аудитору ИТ. Они описаны в "Этическом кодексе аудито ра". Структура принципов аудита CobiT Этический кодекс аудитора (Ассоциация ISACA) Для каждого ИТ-процесса, определенного CobiT, в Прин ципах аудита представлена следующая информация.

1. Содействовать приведению информационных сис- тем в соответствие с принятыми стандартами и ру- Секция высокого уровня принципов аудита CobiT отражает:

ководствами;

2. Осуществлять свою деятельность в соответствии со Х Название бизнес-процесса;

стандартами в области аудита информационных Х Требования бизнеса (Объекты контроля высокого систем, принятыми THE INFORMATION уровня);

SYSTEMS AUDIT AND CONTROL ASSOCIATION Х Как осуществлять контроль;

(ISACA);

Х Что учитывать.

3. Действовать в интересах работодателей, акционе ров, клиентов и общества в старательной, лояльной Для перехода на уровень детального аудита ИТ-процесса:

и честной манере;

4. Сознательно не принимать участия в незаконной, Х Детальные объекты контроля;

либо недобросовестной деятельности;

Х Как понять ИТ-процесс (кому задавать вопросы);

5. Сохранять конфиденциальность информации, по Х Как оценить контроль ИТ-процесса;

лученной при выполнении своих должностных обя Х Как оценить соответствие этого контроля Ч управ занностей;

лению;

6. Не использовать конфиденциальную информацию Х Как доказать риск не выполнения целей управле для получения личной выгоды и не передавать ее ния.

третьим лицам без разрешения ее владельца;

7. Выполнять свои должностные обязанности, остава На практике при проведении аудита для каждого ИТ ясь независимым и объективным;

процесса ИТ-аудитору, как минимум необходимо выпол 8. Избегать деятельности, которая ставит под угрозу нить следующую работу:

независимость аудитора;

9. Поддерживать на должном уровне свою компе 1. Определить высокоуровневый объект контроля;

тентность в областях знаний, связанных с проведе 2. Определить ИТ-процесс;

нием аудита информационных систем, принимать 3. Проанализировать границы аудита;

участие в профессиональных мероприятиях;

4. Определить детальные объекты контроля;

10. Проявлять добросовестность при получении и до 5. Провести интервью с сотрудниками (ориентиро кументировании фактографических материалов, на вочные названия должностей для каждого объекта контроля приведены в принципах управления);

Область охвата CobiT 6. Назначить задания на оценку средств контроля (Принято ли во внимание...);

В силу объективных причин у каждого из ИТ-специалистов 7. Оценить соответствие;

разное образование, подготовка и опыт в сфере информаци 8. Проверить доказательства.

онных технологий. Зачастую мы используем разные терми ны для описания одних и тех же событий, происходящих в Таблица 1. Применение книг стандарта CobiT при про информационной системе. На практике это приводит к не ведении аудита ИТ допониманию распоряжений руководства, выполнению из лишней, ненужной работы, что, в свою очередь, мешает Уровень 1 Базовый Структура CobiT работе и сказывается на эффективности деятельности орга уровень аудита ИТ низации. Типичный пример, когда головной офис распола Принципы аудита CobiT (стр. 22 гается в Москве, а офисы организации разбросаны по всей 24,29):

стране, и отчеты ИТ-служб с мест приходят в головной Х Требования процесса ауди офис в виде, не поддающемся анализу. Руководители ком та паний пытаются решить эти и подобные проблемы доступ Х Контроль ными способами, самые популярные из которых Ч совеща Х Общие принципы аудита ния по обмену опытом, дополнительное обучение и повы Уровень 2 Процес- Принципы аудита CobiT (основная шение квалификации сотрудников.

сы, описанные в часть) принципах аудита CobiT, в свою очередь, является своеобразной платформой для конструктивного диалога между всеми участниками Уровень 3 Аудит Специфические условия:

процесса, формализуя через термины и определения обще дополнительных Х Специализированные от ние между:

целей контроля раслевые критерии Х Промышленные стандарты 1. Топ-менеджерами;

Х Требования производите- 2. Руководителями среднего звена (ИТ Ч директором, лей элементов инфраструк- начальниками отделов);

туры 3. Непосредственными исполнителями (инженерами, программистами и т.д.);

Х Применение детальных ме 4. Внутренними и внешними аудиторами;

тодов контроля 5. Подрядчиками работ.

Рисунок 9. Процессы управления и аудита CobiT предоставляет всем сотрудникам организации еди- Для надлежащего управления ИТ по CobiT требуется ин ную терминологию в сфере ИТ, гарантируя возможность формация, представляемая в соответствии с рекомендация общения на "одном языке", в частности, при открытии про- ми стандарта, а хотя аудит по CobiT проверяет информаци ектов, описании проблем и инцидентов и т.д. Облегчая онные технологии организации на соответствие рекоменда управление и контроль, предоставляя компетентные одно- циям CobiT, наиболее существенную роль играет при этом значные ответы на вопросы, в том числе при внешних про- интерпретация результатов. Таким образом, выпадение од верках. ного из звеньев из этой цепочки снижает уровень достовер ности полученной информации и эффективности ее даль Рассмотрим, каким образом стандарт CobiT может быть нейшего использования.

применен в повседневной деятельности организации? Рас смотрим организацию, которая ставит перед собой цель:

Взаимосвязь CobiT и других требова "предоставлять на рынке собственные услуги при макси мально высоком качестве". Для достижения этой цели орга- ний и стандартов низация формализовала свою деятельность в соответствии с рекомендациями набора стандартов ISO 9000, ISO/IEC TR Открытый стандарт CobiT имеет свою нишу в общем ком 15504 SPICE и т.п. Допустим, что подавляющее большинст- плексе стандартов, методик и руководств. Прежде всего, это во бизнес-процессов организации соответствует положени- стандарт управления и аудита ИТ. На что следует резонный ям ISO 9000, внедрение стандарта управляется и поддержи- вопрос, но, например, ITIL тоже содержит рекомендации по вается высшим руководством организации. Как и у любого управлению ИТ-услугами, как они пересекаются? ITIL Ч стандарта, предполагающего собственное внедрение, ISO библиотека лучшего практического опыта в части предос 9000 запускает механизмы контроля и управления, но это тавления ИТ-услуг, а CobiT специализируется и на управ механизмы контроля и управления бизнес-процессами ор- лении и на аудите ИТ. Процессы ITIL, как и любые другие ганизации. Вопросы же, связанные с ИТ, рассматриваются процессы, могут управляться и контролироваться стандар как неотъемлемая часть бизнес-процессов организации. Но том CobiT.

при этом выделить ИТ-составляющую из общего результата достаточно проблематично, и, как следствие, на базе подоб- Повторюсь, что для управления предназначены цели управ ной информации затрудняется управление ИТ ления, изложенные в Принципах управления, а для ауди составляющей. та Ч объекты контроля, изложенные в Принципах аудита.

На рисунке это разделение представлено схематично Рассмотрим рисунок, иллюстрирующий процессы управле- (Рис. 10).

ния и аудита (Рис. 9).

Как следует из рисунка, CobiT предоставляет топ Проведение аудита ИТ по стандарту CobiT представлено в менеджерам возможность донести цели и задачи бизнеса до левой части рисунка. Объекты контроля располагаются в руководителей ИТ-служб, преобразовав стратегические и соответствующих фазах бизнес-процессов, которые могут тактические планы организации в четкие и понятные планы быть формализованы с соблюдением требований стандар- развития ИТ. Руководители ИТ-служб, в свою очередь, тов, предоставляя информацию с каждого объекта контроля управляют руководителями подразделений на основе полу на более высокий уровень. Рассматривая бизнес-процессы ченных указаний в соответствии с CobiT. Методология ITIL организации мы подразумеваем, что они могут быть созда- применяется для оптимизации процесса обслуживания ин ны по стандартам качества или без них. Собираемая ин- формационных систем с точки зрения управления. Если формация объединяется в высокоуровневые объекты кон- процессы предоставления и поддержки ИТ услуг (ITIL) в троля, которые затем сводятся в четыре домена CobiT.

организации не внедрены, то Cobit предоставляет механиз Оценка организации выводится на шкале модели зрелости мы управления и на этом уровне. При этом CobiT можно организации, и лицу, принимающему решения, гарантиру- применить в части управления эксплуатацией информаци ется возможность оценки текущего состояния ИТ в органи- онной системой, но только в качестве инструмента общего зации, сравнения с требованиями международных стандар- управления и контроля. Здесь необходимо учитывать, что тов, а также с "лучшей" практикой и стратегией организа- CobiT не предоставляет инструментов для управления или ции в той же отрасли. аудита аппаратно-программного обеспечения конкретных фирм производителей. Так, например, аудит программного Процессы управления схематично отражены в правой поло- обеспечения Microsoft должен выполняться в соответствии вине рисунка. По результатам проведенного обследования с методиками, разработанными Microsoft, и на соответствие руководитель анализирует нужды и требования бизнес- требованиям Microsoft, но результаты подобной проверки процессов к ИТ, переходя тем самым к управлению. При могут и должны быть использованы в процессах CobiT. Так этом необходимо принимать во внимание тот факт, что не- очень схематично можно определить место и роль CobiT в возможно управлять организацией в соответствии с поло- части управления ИТ.

жениями стандарта CobiT (при этом не проводя аудит в со- ответствии с CobiT), который позволяет получить в доста- Итак, ИТ-аудиторы собирают, анализируют информацию и точном объеме необходимую и достоверную информацию предоставляют отчеты и заключения руководителям орга для принятия решений и наоборот. Таким образом, оба эти низации в соответствии с руководством аудитора CobiT процесса должны осуществляться в соответствии с реко- (объекты контроля, "размещенные" в соответствии с реко мендациями CobiT. мендациями CobiT).

Рисунок 10. Разделение объектов управления и аудита Основываясь на аудиторских оценках и заключениях о сте- Содержание отчетов может варьироваться в зависимости от пени достижения целей управления, руководители органи- уровней предоставления информации:

зации обоснованно, с точки зрения соответствия ИТ целям и задачам бизнеса, осуществляют управление процессами 1. "Резюме для руководителей" Ч резюме по ре организации для реализации ее бизнес-целей. зультатам аудита объемом в 1-3 страницы, содер жащих краткую оценку текущей ситуации, основ ные рекомендации с указанием ожидаемого эффек Практические рекомендации та, сопутствующие риски и указание ориентиро вочной стоимости. Документ предоставляется выс Как уже говорилось выше, главной связующей нитью меж шему руководству на уровне генерального дирек ду аудитом и управлением являются полученные результа тора, финансового директора, исполнительного ди ты аудита, на основе которых в дальнейшем создается сис ректора.

тема управления. Результаты должны оформляться в виде 2. "Общий" Ч полный отчет, созданный по результа отчета, минимальный перечень разделов которого приведен там проведенного ИТ-аудита. Должен включать, ниже:

как минимум, следующие разделы: описание теку щей ситуации, выводы и заключения, рекоменда 1. Общий раздел.

ции (детальные). Документ предоставляется ме 2. Описание текущей ситуации.

неджерам среднего звена.

3. Выводы и заключения.

4. Рекомендации.

В западной практике результатом аудита считается заклю 5. Приложения, в которые включаются документы, чение аудиторской организации, на основании которого результаты интервью и другая фактическая инфор консультанты из этой же или другой фирмы, подготавлива мация, на которой базируются заключения и реко ют рекомендации, направленные на повышение таких пока мендации.

зателей организации, как эффективность, производитель ность, экономичность, качество и т.п. На российском рынке ИТ-консалтинга Заказчик в большинстве случаев требует от подрядчика (в основном от аудиторской компании) не толь- Идеальная ситуация, когда аудит и управление выполняют ко заключения и рекомендаций, но и их реализации, хотя ся по CobiT, предоставляя лицу, принимающему решение, бы до стадии проведения тендеров на поставку оборудова- полнофункциональный инструмент управления и контроля ния или услуг. над ИТ организации, но на практике мы сталкиваемся с от сутствием формального управления.

Преимущества проведения регуляр В этом случае требуется дополнительная предварительная ного аудита работа, направленная на описание производственных про цессов организации.

На практике в большинстве организаций необходимый уро вень управления обеспечивается внутренней иерархией:

Причины постановки управления и вершину дерева занимает лицо, принимающее решение, например, генеральный директор, консультант по ИТ, ди- проведения аудита ИТ ректор департамента ИТ. Управление осуществляется через менеджеров среднего звена (руководителей департаментов, Аудит ИТ проводят для того, чтобы оперативно получать отделов, рабочих групп, менеджеров проектов). Контроль систематизированную и достоверную информацию для выполнения руководящих указаний обеспечивается фор- оценки ИТ, принятия решения, управления ИТ.

мальными отчетами о проделанной работе, при этом полно- та и объективность отчетов остается на совести исполните- Результаты аудита ИТ позволяют:

лей работ. Одним из решений задач управления и контроля в сфере информационных технологий организации является 1. Оценить соответствие ИТ требованиям бизнеса создание собственного подразделения внутреннего аудита Х Выявить недостатки и упущения;

ИТ. Основным преимуществом регулярного проведения Х Обосновать инвестиции в ИТ.

аудита является накопление знаний организации, создание собственной базы знаний, которая позволит быстро и дос 2. Прогнозировать развитие ситуации товерно ответить на большинство вопросов, возникающих в Х Эффективно планировать развитие ИТ организации.

организации;

Х Понимать выгоды и риск при внесении из Внутренний аудит предоставляет отчеты и информацию по менений в информационную систему;

запросу в любое время, а внешний (сторонние аудиторы) Ч Х Прогнозировать возникновение проблем лишь после заключения и соблюдения договорных обяза ных ситуаций (проблем и инцидентов).

тельств. Построение и поддержка актуальности базы знаний об ИТ-организации позволит обеспечить прозрачность ИТ 3. Принимать решения служб, организовать эффективное взаимодействие служб Х Обоснованно решать проблемы безопасно ИТ, эффективно управлять ИТ.

сти и контроля;

Х Обоснованно приобретать или модернизи Таким образом, делая выбор, базирующийся на возможно ровать аппаратно-программные средства;

стях и целях организации, придется выбирать между подря Х О приобретении услуг (outsourcing);

дом внешней команды с расчетом на долгосрочное сотруд Х Планировать повышение квалификации со ничество или лишь для проверки результатов "первичного" трудников ИТ-подразделений.

аудита, который в дальнейшем попадает в сферу компетен ции внутренней аудиторской службы. То есть сторонние 4. Контролировать исполнение решений аудиторы, проводя первичный аудит, позволяют руководи Х Управлять ИТ составляющей проектов телям, в том числе и с точки зрения временного задела, (контролировать время и стоимость их реа сконцентрировать усилия на создании высокопрофессио лизации, оценивать полноту достижения нальной службы внутренних аудиторов к моменту сдачи целей);

результатов проверки.

Х Контролировать стоимость владения ИС.

Как мы уже выяснили, "первичный" аудит отличается от последующих относительной сложностью и большим объе Причины применения стандарта мом собираемой и анализируемой информации. Руководи CobiT для управления и аудита ИТ тель организации, заказавший аудит ИТ у внешней ауди торской компании, должен понимать, что через полгода-год После проведения ИТ-аудита с использованием принципов (в зависимости от динамики развития) ситуация в организа аудита, изложенных в CobiT, организация получит возмож ции изменится, результаты аудита потеряют свою актуаль ность:

ность.

1. Оценить степень соответствия ИТ-организации тре "Первичный" аудит Ч термин не общепринятый, но все бованиям бизнеса.

же, это состояние, когда информация об ИТ 2. Определить приоритеты основных ИТ-процессов.

организации собирается впервые.

3. Выявить критически важные элементы ИТ.Выявить и оценить факторы риска.

Если в этот момент не провести повторный аудит для срав 4. Определить степень адекватности мер, принимае нения с предыдущими результатами, то деньги, вложенные мых для управления рисками.

в "первый" аудит, можно считать потерянными и придется 5. Оценить степень защищенности компании от чрез проводить "первичный" аудит заново.

вычайных происшествий и их последствий.

6. Реализовать рекомендации по обеспечению беспе Х Технический аудит ИТ Ч сбор, анализ информа ребойности функционирования ИТ.

ции и выдача рекомендаций по улучшению работы 7. Создать план работ по устранению недостатков и отдельного элемента ИТ-инфраструктуры. Харак разработать способы их устранения.

терные особенности Ч малый масштаб работы ("железка" с ее входами-выходами) и узкая при Кроме того, управление и аудит в соответствии со стандар кладная специализация исследования, можно ска том CobiT предоставляет организации следующие дополни зать что это "штучная" работа, для каждого кон тельные преимущества:

кретного случая.

Х Аудит ИТ бизнес-процесса Ч Аудит информаци 1. Возможность получения результата в сравнительно онных технологий, поддерживающих определен короткие сроки.

ный (выделенный или заданный) бизнес-процесс 2. Гарантия того, что при проведении аудита ничто не организации на соответствие заданным (или разра будет забыто: стандарт охватывает все уровни ИТ.

ботанным) критериям оценки. Для проведения по 3. После проведения "первичного" аудита произво добного аудита необходимо определить ответст дится наполнение информационной базы, что дела венного за процесс, пользователей и участников, ет процессы проведения последующих проверок выявить применяемое оборудование и программы, проще, легче и, как следствие, дешевле.

обслуживающий персонал, проектные и регламен 4. CobiT как инструмент управления остается и вне тирующие документы. На базе собранной инфор дряется в организации, автоматически переводя ее мации построить модель, с указанием мест взаимо на уровень управления, сопоставимый, как мини действия (стыка) с другими бизнес-процессами.

мум, со 2 уровнем модели зрелости CMM, несмотря Х Аудит критерия ИТ Ч сбор, анализ информации и на то, что достижение уровней зрелости не является выдача рекомендаций по какому-то выбранному прямой целью аудита Ч это специфические задачи критерию ИТ: безопасность, производительность, бизнес-консалтинга.

надежность, доступность и т.д. При проведении ау дита по определенному критерию оценки мы гово рим не только об отдельном элементе ИТ Предложение услуг по ИТ аудиту на инфраструктуры, но и обо всей совокупности про Российском рынке граммных, аппаратных средств, процессов их со провождения и обслуживания во всей проверяемой На Российском рынке в настоящее время, в части предло организации.

жения услуг по проведению ИТ-аудита, очень условно Х Комплексный аудит ИТ. Руководство должно можно выделить следующие виды:

знать и иметь возможность оценить все, что проис ходило и происходит в ИТ-организации, сравнить Х Обследование ИТ, частный случай это обычная адекватность ИТ-потребностям бизнеса. Иначе го инвентаризация Ч сбор информации, которая бу воря, прогнозировать развитие организации и соиз дет использоваться для проведения последующих мерять его с текущим состоянием и перспективами работ, например, проектных работ, когда требуется развития ИТ. В результате получается сложная грамотно собрать достоверную информацию о те многомерная матрица взаимосвязей бизнес кущем состоянии ИТ. Основную роль здесь играет процессов, их требований, информационных и сбор и структуризация информации, анализ и оцен смежных технологий, совокупности программно ка не производится.

аппаратных средств их возможностей/ограничений Х Экспертная оценка ИТ Ч оценка ИТ-проектов и многого другого должна быть представлена в ви (проектных решений), оценка правильности (обос де простого и понятного образа, при этом сохранив нованности) инвестиций в ИТ, сколько стоит ИТ достоверность информации. Информации об ус составляющая организации, не только балансовая пешной реализации таких проектов в России очень стоимость компьютеров и программ, но и долго мало, потому что, прежде всего, это требует объе срочность примененных проектных решений, оцен динения ресурсов различных компаний и организа ка текущих ИТ-проектов, возможность перепрофи ции единой коллективной работы.

лирования существующей ИТ-инфраструктуры под решение качественно других задач, организация Приведенная классификация, является условной, автор бу эксплуатации ИТ, подготовка пользователей. Мы дет благодарен за любые отзывы о ней как ИТ не говорим об возврате инвестиций, это тема от- специалистов, маркетологов, так и других заинтересован дельного исследования, мы говорим об оценки аде- ных лиц.

кватности финансирования проектных решений, инвестиций в закупку оборудования и ИТ-услуг.

Заключение Большинство современных компаний строят свой бизнес, взаимодействуют с клиентами и партнера Перефразируя утверждение, что "у каждой бумаги должны ми с широким применением информационных тех быть ноги", можно сказать, что у каждого стандарта должна нологий. Однако существующие в настоящее время быть голова. CobiT не является исключением, именно его методики оценки предприятий сведены к эксперт переосмысление и адаптация под нужды каждого конкрет ным заключениям о денежных потоках, материаль ного Заказчика, будь то ИТ-руководитель, внешний или ных активах, финансовых показателях текущей внутренний аудитор, либо консультант Ч это большая еже деятельности и т.д., практически не учитывая сово дневная работа.

купной стоимости и значимости для бизнеса ин формационных ресурсов предприятия.

страховой случай, связанный с пожаром или затоплени I. Термины и определения ем серверной. На данный момент практически все компа нии, предлагающие комплексные ИТ решения обладают Аудит Ч Что такое аудит? Что под этим термином понима наряду с лицензиями на осуществление оценочной и ауди ется? Определений как таковых много, на мой взгляд, наи торской деятельности еще и лицензиями на строительство и более лаконичным и верным по сути является трактовка проектирование зданий и сооружений. Что само иллюстри Комитета Американской бухгалтерской ассоциации по ос рует неразрывную связь между указанными технологиями.

новным концепциям учета: "Аудит Ч это системный про цесс получения и оценки объективных данных об экономи Информационные системы (определение Информацион ческих действиях и событиях, устанавливающий уровень их ного общества www.iis.ru) Ч организационно упорядочен соответствия определенному критерию и предоставляющий ная совокупность документов (массивов документов) и ин результаты заинтересованным пользователям...".

формационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих В данном случае для осознания, что есть такое аудит ИТ, информационные процессы.

необходимо лишь изменить обозначенную в приведенном выше определении область применения, экономическую на интересующую нас сферу информационных технологий. II. Глоссарий Таким образом, Аудит ИТ Ч системный процесс получения и оценки объективных данных о текущем состоянии ин Одним из недостатков на российском ИТ рынке является формационной системы, действиях и событиях, происходя- отсутствие единой терминологической базы, чтобы точно щих в ней, устанавливающий уровень их соответствия оп- обозначить термины, взятые мной из первоисточников, при ределенным критериям и предоставляющий результаты За- вожу краткий глоссарий примененный к ключевым терми казчику. нам данной статьи.

Стандарт аудита Ч нормативно-технический документ IT Governance Institute Ч Институт Управления ИТ (или эталон, модель, которая является отправной точкой), устанавливающий комплекс требований и правил к объекту Information and related Technology Ч Информационные и аудита, квалификации исполнителей, организации аудита, смежные Технологии методическим приемам анализа документации и представ- лению аудиторского заключения в предметной области и high-level approach Ч высокоуровневый подход т.д.

Maturity Models Ч Модели Зрелости Методика аудита Ч совокупность теоретических и прак- тических способов проведения аудита, разработанные ауди- Critical Success Factors (CSFs) Ч Критические Факторы Ус тором на базе стандартизированных правил и норм прове- пеха (КФУ) дения аудита в предметной области, в определенной степе- ни, на основе личного профессионального опыта. Key Goal Indicators (KGIs) Ч Ключевые Индикаторы Цели (КИЦ) Информационно-коммуникационные технологии (опре- деление Информационного общества www.iis.ru) Ч сово- Key Performance Indicators (KPIs) Ч Ключевые Индикаторы купность методов, производственных процессов и про- Результата (КИР) граммно-технических средств, интегрированных с целью сбора, обработки, хранения, распространения, отображения Networking Ч сеть организации (ЛВС) и использования информации в интересах ее пользователей.

management of IT related risks Ч Управление сопутствую Каждое предприятие осуществляет определенную деятель- щими рисками в ИТ ность, направленную на достижение своих стратегических целей и удовлетворение потребностей. Любую деятельность enterprise governance Ч управление предприятием можно разбить на функционально законченные процессы (для коммерческих предприятий Ч бизнес процессы). В IT governance Ч управление ИТ качестве ключевых обычно выделяют: производство, сбыт, продвижение продукции, управление и другие процессы, Dashboards Ч инструментальная панель типичные для большинства предприятий. Роль информаци- онных технологий (ИТ) заключается в поддержке деятель- Scorecards Ч карты оценок ности предприятия. ИТ должны обеспечить выработку пра- вильного управленческого решения в каждой конкретной Balanced Business Scorecard Ч Сбалансированные карты ситуации, т. е. в нужное время, в нужном месте и в нужном оценки бизнеса объеме дать достоверную информацию, необходимую для принятия управленческого решения.

Measures Ч единицы измерения Смежные технологии Ч смежные с ИТ сферы деятельно- Benchmarking Ч эталонное тестирование Scale for сти: инженерные системы (например, концепция интеллек- comparison Ч шкала сравнения туального здания, включающая в себя гарантированное электропитание, кондиционирование, водоснабжение и Effectiveness Ч Эффективность т.д.). Технологии, не относящиеся к информации, но яв- ляющиеся критически важными для нее это пример, Efficiency Ч Продуктивность знакомый страховщикам, Ч выплата страховки за Confidentiality Ч Конфиденциальность IV. Источники информации и полез ные ссылки Integrity Ч Целостность Availability Ч Пригодность "The Balanced Business Scorecard Ч Measurements that Drive Performance," Robert S. Kaplan and David P. Norton, Harvard Compliance Ч Согласованность Business Review, January-February Reliability Ч Надежность "Capability Maturity ModelSM for Software," Cost-efficiency Ч рентабельность Version 1.1. Technical Report CMU/SEI-93-TR-024, Software Engineering Institute, Carnegie Mellon University, Pittsburgh, PA, February III. Книги CobiT Executive Summary Ч Резюме для руководителей CobiT Framework Ч Структура CobiT Control Objectives Ч Объекты Контроля Management guidelines Ч Принципы управления Audit guidelines Ч Принципы аудита www.bezpeka.mk.ua Центр аудита информационной безопасности    Книги, научные публикации