Инновационная образовательная программа гу-вшэ «Формирование системы аналитических компетенций для инноваций в бизнесе и государственном управлении» Кафедра Управления информационными ресурсами предприятия

Вид материалаОбразовательная программа

Содержание


Резюме для руководства
Концептуальное ядро
Планирование и организация.
Комплектование и внедрение.
Подобный материал:
1   ...   21   22   23   24   25   26   27   28   ...   36

Резюме для руководства


«Резюме для руководства» служит введением в остальные разделы стандарта. Оно содержит общие сведения о стандарте, определяет миссию COBIT и понятие системы управления ИТ.

Эффективное управление ИТ — важнейший фактор для успеха каждой организации. Многие осознают потенциальные выгоды, связанные с использованием высоких технологий, однако только успешные организации способны адекватно оценивать и управлять рисками, связанными с их внедрением. Система управления ИТ, одно из основных понятий в COBIT, в настоящее время признается ключевой частью системы управления предприятием (Enterprise Governance). Система управления ИТ определяется в стандарте как структура взаимоотношений и процессов, задающих направление и осуществляющих управление предприятием для достижения бизнес-целей путем получения добавленной стоимости при наличии баланса между величиной рисков и возвратом инвестиций, сделанных в ИТ.

COBIT является инструментом, позволяющим руководству предприятия обеспечить переход от постановки бизнес-задач к вопросам управления ИТ, помогая установить должный уровень понимания рисков и преимуществ, связанных с использованием ИТ, а также реализовать эффективную систему управления ИТ, направленную на достижение бизнес-целей предприятия.

Миссия COBIT состоит в исследовании, разработке, рекламе и продвижении международного набора авторитетных, отвечающих современным требованиям, общепризнанных задач управления ИТ для повседневного использования бизнес-менеджерами и аудиторами.

Таким образом, COBIT служит связующим звеном между бизнес-рисками, задачами управления и технической инфраструктурой. Он представляет лучшие практики, объединенные в структуру доменов и процессов, которые позволяют оптимизировать инвестиции в ИТ и предоставляют критерии для оценки эффективности управления ИТ.

COBIT ориентирован прежде всего на ИТ-менеджеров, руководителей предприятий и владельцев бизнес-процессов, которые должны убедиться в наличии системы внутреннего контроля, поддерживающей бизнес-процессы и устанавливающей роль каждого механизма управления в работе по информационному обеспечению бизнеса. Эффективность управления ИТ-ресурсами выражается в COBIT посредством критериев эффективности, продуктивности, конфиденциальности, целостности, доступности, соответствия и надежности информации. Механизмы управления включают в себя политики, организационные структуры, процедуры и регламенты. Задачей управления ИТ является формулировка желаемого результата или цели, которые должны быть достигнуты путем реализации механизмов управления в рамках конкретного ИТ-процесса.

Концептуальное ядро


Книга «Концептуальное ядро COBIT» представляет собой набор основополагающих принципов и понятий, а также модель управления ИТ, на которых базируются все положения COBIT. Концепция стандарта предполагает построение механизмов управления ИТ исходя из того, какая информация необходима для достижения бизнес-целей. При этом информация рассматривается как результат использования ИТ-ресурсов, управление которыми осуществляется в рамках ИТ-процессов.

Концептуальное ядро предоставляет владельцу бизнес-процесса инструмент для реализации стратегии управления ИТ. Отправным пунктом является следующее утверждение:

ДЛЯ СВОЕВРЕМЕННОГО И ПОЛНОГО ПОЛУЧЕНИЯ ИНФОРМАЦИИ, НЕОБХОДИМОЙ ОРГАНИЗАЦИИ ДЛЯ ДОСТИЖЕНИЯ БИЗНЕС-ЦЕЛЕЙ, УПРАВЛЕНИЕ ИТ-РЕСУРСАМИ ДОЛЖНО ОСУЩЕСТВЛЯТЬСЯ ПРИ ПОМОЩИ НАБОРА ЕСТЕСТВЕННЫМ ОБРАЗОМ СГРУППИРОВАННЫХ ПРОЦЕССОВ.

Концептуальное ядро COBIT сформировано из набора 34 высокоуровневых задач управления (одна задача для каждого ИТ-процесса), сгруппированных в четыре домена: планирование и организация; комплектование и внедрение; предоставление и поддержка; мониторинг. Такая структура охватывает все аспекты управления и использования ИТ. Выполнение всех 34 задач управления, позволяет гарантировать владельцу бизнес-процесса, что система управления ИТ является адекватной задачам бизнеса.

COBIT оперирует на более высоком уровне абстракции, нежели технологические стандарты в области управления ИТ. Более того, целью COBIT является обеспечение перехода от моделей управления бизнесом к специализированным моделям управления ИТ.

Для достижения целей бизнеса информация должна удовлетворять определенным критериям, которые в COBIT называют бизнес-требованиями к информации. Выделяют следующие классы бизнес-требований:
  • требования качества: качество; стоимость; доставка;
  • требования доверия: эффективность и производительность операций; надежность информации; соответствие нормативным документам;
  • требования безопасности: конфиденциальность; целостность; доступность.

На основе перечисленных классов требований определяется несколько отчасти пересекающихся категорий бизнес-требований к информации (информационные критерии):
  • эффективность (effectiveness) - актуальность и уместность информации для бизнес-процесса, а также ее своевременность, корректность, непротиворечивость и практичность;
  • продуктивность (efficiency) - предоставление информации путем оптимального использования ресурсов;
  • конфиденциальность (confidentiality) - защищенность информации от несанкционированного раскрытия;
  • целостность (integrity) - точность и полнота информации, а также ее обоснованность с точки зрения ценностей и ожиданий бизнеса;
  • доступность (availability) - возможность получения необходимой информации в течение времени, определяемого требованиями бизнеса; также включает защиту информации и ее носителей от похищения или уничтожения;
  • соответствие (compliance) - соответствие информации законам, распоряжениям и соглашениям, регулирующим бизнес-процессы;
  • надежность (reliability) - предоставление руководству информации, пригодной для использования в управлении, для подготовки финансовой и иной отчетности.

Определяются следующие классы ИТ-ресурсов:
  • данные - информационные объекты в самом широком смысле слова, структурированные и неструктурированные, графические и звуковые и т. п.;
  • прикладные системы включают в себя не только автоматизированные (программные), но и ручные процедуры;
  • технологии - технические средства, операционные системы, системы управления данными, сетевое оборудование и программы, мультимедиа и т. д.;
  • средства поддержки - вспомогательные ресурсы, оборудование, помещения, необходимые для поддержки функционирования информационных систем;
  • люди - сотрудники предприятия со своими навыками и опытом, необходимыми для планирования, организации, комплектования, сопровождения, поддержки и мониторинга информационных систем.



Например, при реализации ИТ-процесса «управления финансовыми потоками организации при помощи электронных платежных систем», задействованы все виды ИТ-ресурсов, в том числе:
  • данные в виде электронных ордеров, электронных ключей, используемых для шифрования и подписи этих ордеров при отправке в банк, выписок о состоянии счетов, полученных из банка, а также бумажные оригиналы этих документов;
  • прикладные системы, включающие в себя программное обеспечение "банк - клиент", а также ручные процедуры, связанные с подготовкой, верификацией, подписанием бумажных документов и формирование электронных платежек в системе "банк - клиент";
  • технологии, используемые для реализации электронных платежей, вместе с рабочими местами операторов платежной системы, телекоммуникационным оборудованием (модемы, каналообразующее оборудование и линии связи), операционная система, на базе которой функционирует программное обеспечение системы "банк - клиент", СУБД, используемая для хранения электронных ордеров и квитанций, полученных из банка;
  • средства поддержки, включая изолированное помещение, в котором установлен АРМ оператора системы банк-клиент и физические средства контроля доступа в это помещение в виде электронных замков и видеокамер;
  • людские ресурсы - сотрудники бухгалтерии организации, выполняющие функции по формированию, верификации, подписанию, отправке электронных ордеров и т. п., а также технические специалисты, отвечающие за администрирование и сопровождение системы "банк - клиент".

(Денежные средства и капитал в качестве ИТ-ресурсов не рассматриваются, поскольку являются средствами инвестирования в любой из перечисленных классов ресурсов.)

Для удовлетворения бизнес-требований к информации должны быть определены и внедрены адекватные механизмы управления ИТ-ресурсами. С этой целью и определяется набор задач управления для ИТ-процессов.

Концептуальное ядро COBIT состоит из высокоуровневых задач управления и общей структуры, определяющей их классификацию, в которой выделяются три уровня управления ИТ-ресурсами. На нижнем находятся конкретные действия и задачи, позволяющие получать измеримый результат.

Так, эффективность решения задач по поддержке пользователей измеряется временными нормативами, учет выполнения которых осуществляется в службе HelpDesk. Временные нормативы по выполнению заявок пользователей, регистрируемых через службу HelpDesk могут выглядеть например, как в таблице.

На более высоком уровне находятся ИТ-процессы, включающие набор действий и задач, нацеленных на достижение бизнес-целей. На самом высоком уровне абстракции ИТ-процессы естественным образом объединяются в домены, соответствующие распределению областей ответственности в организационной структуре предприятия.

Концептуальное ядро можно рассматривать с трех точек зрения: информационные критерии; ИТ-ресурсы; ИТ-процессы (см. рис. 2).



Рис. 2. Куб COBIT

Остановимся на том, как определяются четыре домена управления, в которые группируются процессы COBIT.
  • Планирование и организация. Включает стратегию и тактику, а также определение способов наиболее эффективного использования ИТ для достижения бизнес-целей. Реализацию стратегических замыслов надо спланировать и согласовать; необходимо создать соответствующую организационную и ИТ-инфраструктуру.
  • Комплектование и внедрение. Для реализации ИТ-стратегии нужно идентифицировать, разработать или приобрести соответствующие ИТ-решения, которые должны быть внедрены и интегрированы в бизнес-процессы, а также внести изменения в информационные системы.
  • Предоставление и поддержка. Включает предоставление требуемых информационных служб, в том числе обеспечение безопасности и непрерывности бизнеса, обучение, а также обработку данных прикладными системами.
  • Мониторинг. Качество и соответствие ИТ-процессов требованиям контроля должны оцениваться на регулярной основе. Этот домен включает в себя надзор со стороны руководства за процессами управления в организации, а также независимый контроль со стороны внутренних и внешних аудиторов.

Механизмы управления не обязательно в равной степени способствуют реализации всех бизнес-требований к информации. Точно так же механизмы управления задействуют ИТ-ресурсы не в равной степени, поэтому концептуальное ядро COBIT для каждой задачи управления определяет ИТ-ресурсы, управление которыми осуществляется в рамках рассматриваемого ИТ-процесса.

Скажем, при выполнении высокоуровневой задачи управления «Определение стратегического плана развития ИТ» из домена «Организация и планирование» будут задействованы все виды ИТ-ресурсов, включая данные, прикладные системы, технологии, средства поддержки и людские ресурсы; а задача управления «Определение архитектуры информационных ресурсов» из того же домена имеет непосредственное отношение только к данным и прикладным системам, используемым для работы с этими данными.

Концептуальное ядро ограничивается описанием высокоуровневых целей контроля для каждого из ИТ-процессов в форме, представленной на рис. 4. Управление ИТ-процессом, удовлетворяющее бизнес-требованию, обеспечивается формулировкой задачи управления, для которой должны быть рассмотрены потенциально применимые практики управления.