Загрузил
zaitsevandrew
COBIT 2019: Введение и методология
COBIT 2019 INTRODUCTION AND METHODOLOGY 1 ОГЛАВЛЕНИЕ 01: ВВЕДЕНИЕ .......................................................................................................... 3 1.1 КОРПОРАТИВНОЕ РУКОВОДСТВО ИНФОРМАЦИЕЙ И ТЕХНОЛОГИЯМИ.. 3 1.2 ВЫГОДЫ РУКОВОДСТВА ИНФОРМАЦИЕЙ И ТЕХНОЛОГИЯМИ ................. 3 1.3 COBIT КАК СТРУКТУРА РУКОВОДСТВА I&T .................................................. 4 1.4 СТРУКТУРА ЭТОЙ ПУБЛИКАЦИИ .................................................................. 5 02: ПРЕДПОЛАГАЕМАЯ АУДИТОРИЯ ..................................................................... 5 2.1 ЗАИНТЕРЕСОВАННЫЕ СТОРОНЫ РУКОВОДСТВА........................................ 5 03: ПРИНЦИПЫ COBIT ............................................................................................ 6 3.1 ВВЕДЕНИЕ ...................................................................................................... 6 3.2 ШЕСТЬ ПРИНЦИПОВ ДЛЯ СИСТЕМЫ РУКОВОДСТВА ................................. 6 3.3 ТРИ ПРИНЦИПА ДЛЯ СТРУКТУРЫ РУКОВОДСТВА ...................................... 7 6.1 ОПРЕДЕЛЕНИЕ............................................................................................. 27 6.2 ПРИНЦИПЫ УПРАВЛЕНИЯ ЭФФЕКТИВНОСТЬЮ COBIT ............................. 27 6.3 ОБЗОР УПРАВЛЕНИЯ ЭФФЕКТИВНОСТЬЮ COBIT...................................... 27 6.4 УПРАВЛЕНИЕ ЭФФЕКТИВНОСТЬЮ ПРОЦЕССОВ ....................................... 28 6.5 УПРАВЛЕНИЕ ЭФФЕКТИВНОСТЬЮ ДРУГИХ КОМПОНЕНТОВ СИСТЕМЫ РУКОВОДСТВА ................................................................................................... 29 07: ПРОЕКТИРОВАНИЕ АДАПТИРОВАННОЙ СИСТЕМЫ РУКОВОДСТВА ........... 31 7.1 ВЛИЯНИЕ ФАКТОРОВ ПРОЕКТИРОВАНИЯ................................................. 31 7.2 СТАДИИ И ШАГИ В ПРОЦЕССЕ ПРОЕКТИРОВАНИЯ .................................. 33 08: ВНЕДРЕНИЕ КОРПОРАТИВНОГО РУКОВОДСТВА ИТ ..................................... 34 8.1 ЦЕЛЬ РУКОВОДСТВА ПО ВНЕДРЕНИЮ COBIT ........................................... 34 8.2 ПОДХОД К ВНЕДРЕНИЮ COBIT .................................................................. 34 3.4 COBIT® 2019................................................................................................... 7 8.3 ВЗАИМОСВЯЗИ МЕЖДУ COBIT® 2019 DESIGN GUIDE И COBIT® 2019 IMPLEMENTATION GUIDE .................................................................................. 36 04: БАЗОВЫЕ КОНЦЕПЦИИ: СИСТЕМА И КОМПОНЕНТЫ РУКОВОДСТВА ........... 8 09: НАЧАЛО РАБОТЫ С COBIT: РАЗРАБОТКА ОБОСНОВАНИЯ ........................... 36 4.1 ОБЗОР COBIT ................................................................................................. 8 9.1 ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ ........................................................... 36 4.2 ЦЕЛИ РУКОВОДСТВА И УПРАВЛЕНИЯ ......................................................... 9 9.2 РЕЗЮМЕ ....................................................................................................... 37 4.3 КОМПОНЕНТЫ СИСТЕМЫ РУКОВОДСТВА ................................................ 11 9.3 ИСХОДНЫЕ ДАННЫЕ .................................................................................. 38 4.4 ОБЛАСТИ ФОКУСИРОВКИ........................................................................... 11 9.4 ВЫЗОВЫ ДЛЯ БИЗНЕСА .............................................................................. 38 4.5 ФАКТОРЫ ПРОЕКТИРОВАНИЯ ................................................................... 12 9.5 ПРЕДЛАГАЕМОЕ РЕШЕНИЕ......................................................................... 39 4.6 КАСКАДИРОВАНИЕ ЦЕЛЕЙ ......................................................................... 16 10: COBIT И ДРУГИЕ СТАНДАРТЫ ......................................................................... 44 05: ЦЕЛИ РУКОВОДСТВА И УПРАВЛЕНИЯ COBIT ................................................ 22 10.1 РУКОВОДЯЩИЕ ПРИНЦИПЫ .................................................................... 44 5.1 ЦЕЛЬ ............................................................................................................ 22 10.2 СПИСОК СТАНДАРТОВ .............................................................................. 44 06: УПРАВЛЕНИЕ ЭФФЕКТИВНОСТЬЮ В COBIT ................................................... 27 2 01: ВВЕДЕНИЕ 1.1 КОРПОРАТИВНОЕ РУКОВОДСТВО ИНФОРМАЦИЕЙ И ТЕХНОЛОГИЯМИ В свете цифровой трансформации, информация и технологии (I&T) приобрели решающее значение в поддержке, обеспечении устойчивости и росте предприятий. Ранее руководящие органы (советы директоров) и руководители высшего звена могли делегировать, игнорировать или избегать решений, связанных с I&T. В большинстве секторов и отраслей, такие подходы сейчас являются необдуманными. Создание ценности для заинтересованных сторон (то есть, реализация преимуществ при оптимальных затратах на ресурсы при оптимизации рисков) часто обусловлено высокой степенью цифровизации новых бизнес-моделей, эффективными процессами, успешными инновациями и так далее. Цифровые предприятия все в большей степени зависят от I&T для своего выживания и роста. Учитывая центральное значение I&T для управления рисками предприятия и создания ценности, в течение последних трех десятилетий особое внимание уделялось руководству информацией и технологиями на предприятиях (EGIT). EGIT является неотъемлемой частью корпоративного руководства. Оно осуществляется советом, который контролирует определение и реализацию процессов, структур и реляционных механизмов в организации, которые позволяют как бизнесу, так и ИТ выполнять свои обязанности по обеспечению согласованности бизнеса и ИТ и создания бизнес-ценности от инвестиций бизнеса в I&T (Рисунок 1.1). Корпоративное руководство информацией и технологиями является сложным и многогранным. Не существует серебряной пули (или идеального способа) для разработки, внедрения и поддержания эффективности EGIT в рамках организации. Таким образом, членам руководящих советов и старшему руководству, как правило, необходимо адаптировать свои мероприятия EGIT и их реализацию к их собственному конкретному контексту и требованиям. Они также должны быть готовы принять большую ответственность за I&T и направлять различное мышление и культуру для получения ценности от I&T. 1.2 ВЫГОДЫ РУКОВОДСТВА ИНФОРМАЦИЕЙ И ТЕХНОЛОГИЯМИ Фундаментально, EGIT имеет дело с получением ценности от цифровой трансформации и снижения бизнес-рисков, которые являются результатом этой цифровой трансформации. Более конкретно, можно ожидать три основных результата после успешного принятия EGIT: Реализация выгод – это создание ценности для предприятия с помощью I&T, поддержание и повышение ценности, получаемой от существующих инвестиций I&T и ликвидация ИТ-инициатив и активов, которые не создают достаточной ценности. Основным принципом определения ценности I&T является получение целевых сервисов и решений, своевременно и в рамках бюджета, которые создают предполагаемые финансовые и нефинансовые выгоды. Ценность, которую предоставляет I&T, должна быть соотнесена с непосредственно с ценностями, на которые ориентирован бизнес. Ценность ИТ должна измеряться таким образом, чтобы показать влияние и вклад инвестиций, включенных в ИТ, в процесс создания ценности предприятия Оптимизация рисков – это влечет за собой решение бизнес-рисков, связанных с использованием, владением, эксплуатацией, участием влиянием и принятием I&T на предприятии. Бизнес-риски, связанные с I&T, состоят из событий, связанных с I&T, которые могут потенциально оказать влияние на бизнес. В то время как реализация выгоды фокусируется на создании ценности, управление рисками фокусируется на сохранении ценности. Управление рисками, связанных с I&T, должно быть интегрировано в подходы к управлению рисками предприятия для обеспечения того, чтобы предприятие сосредоточило свое внимание на ИТ. Эти также должны быть 3 измерены таким образом, чтобы показать влияние и вклад в оптимизацию бизнес-рисков, связанных с ИТ в сохранение ценности Оптимизация ресурсов – это обеспечивает наличие соответствующих возможностей для реализации стратегических планов и обеспечивает достаточные, надлежащие и эффективные ресурсы. Оптимизация ресурсов обеспечивает целостную экономическую ИТинфраструктуру, внедряет новые технологии в соответствии с требованиями бизнеса, а устаревшие системы обновляются или заменяются. Поскольку оптимизация ресурсов признает важность людей, в дополнение к аппаратному и программному обеспечению, она фокусируется на обеспечении профессиональной подготовки, поощрении, удержании и обеспечении компетентности ключевого ИТперсонала. Важным ресурсом являются данные и информация, а использование данных и информации для получения оптимальной ценности является еще одним ключевым элементом оптимизации ресурсов Из этого становится понятным, что руководство должно пониматься и реализовываться гораздо шире, чем часто встречающееся (то есть, узкое) толкование, предлагаемое акронимом GRC (governance, risk and compliance). Акроним сам по себе подразумевает, что соответствие и связанные с ним риски представляют собой спектр руководства. 1.3 COBIT КАК СТРУКТУРА РУКОВОДСТВА I&T На протяжении многих лет разрабатывались и продвигались структуры лучших практик для оказания помощи в процессе понимания, разработки и реализации руководства ИТ на предприятии (EGIT). COBIT 2019 основывается на более чем 25-летнем развитии в этой области и включает в себя не только новые идеи из науки, но и практическое воплощение этих идей. С момента своего основания в сообществе аудита ИТ, COBIT превратился в более широкую и более всеобъемлющую информационную и технологическую (I&T) структуру для руководства и управления и продолжает создавать общепринятые структуры для руководства I&T. Стратегическая согласованность и измерение эффективности имеют первостепенное значение и применяются в целом ко всем видам деятельности для обеспечения того, что цели, связанные с I&T, соответствовали целям предприятия. 1.3.1 ЧЕМ ЯВЛЯЕТСЯ И ЧЕМ НЕ ЯВЛЯЕТСЯ COBIT В большом тематическом исследовании международной авиакомпании, EGIT были продемонстрированы следующие преимущества: снижение затрат, связанных с ИТ, на обеспечение непрерывности, увеличение инновационного потенциала с поддержкой ИТ, повышение согласованности между цифровыми инвестициями и бизнес-целями и стратегиями, повышение доверия между бизнесом и ИТ, а также сдвиг в сторону "ценностного мышления" в отношении цифровых активов. COBIT является структурой для руководства и управления информацией и технологиями для всего предприятия. I&T предприятия означает все технологии и обработку информации, которые предприятие использует для достижения своих целей, независимо от того, где это происходит на предприятии. Иными словами, I&T предприятия не ограничено подразделением ИТ организации, но безусловно включает его. Исследования показали, что предприятия с плохо спроектированными или адаптированными подходами к EGIT выполняют хуже стратегии бизнеса и процессы I&T. В результате такие предприятия гораздо менее склонны к достижению намеченных бизнес-стратегий и реализации ценностей бизнеса, которые они ожидают от цифровой трансформации. Перед описанием обновленной структуры COBIT важно объяснить, чем является и чем не является COBIT: В структуре COBIT проводится четкое различие между руководством и управлением. Эти две дисциплины охватывают различные виды деятельности, требующие различных организационных структур, и служат разным целям. Управление гарантирует, что: 4 Была выполнена оценка потребностей, условий и параметров заинтересованных сторон, для определения сбалансированных, согласованных целей предприятия Направление определяется с помощью приоритетов и принятия соответствующих решений Эффективность и соответствие требованиям контролируется в соответствии с согласованным направлением и целями На большинстве предприятий ответственность за руководство возложена на Совет директоров под руководством Председателя. Конкретные обязанности по руководству могут быть делегированы специальным организационным структурам на соответствующем уровне, особенно в крупных, сложных предприятиях. 1.4 СТРУКТУРА ЭТОЙ ПУБЛИКАЦИИ Оставшаяся часть этой публикации содержит следующие главы: Управление планирует, создает, выполняет и контролирует деятельность, в соответствии с направлением, которое установлено органом руководства, для достижения целей предприятия. На большинстве предприятий управление является обязанностью исполнительного руководства под руководством главного исполнительного директора (CEO). COBIT определяет компоненты для создания и поддержания системы руководства: процессы, организационные структуры, политики и процедуры, информационные потоки, культуру и поведение, навыки и инфраструктуру. COBIT определяет факторы проектирования, которые должны быть рассмотрены предприятием для создания лучшей системы руководства. COBIT решает вопросы руководства путем группировки соответствующих компонентов руководства в задачи руководства и управления, которые могут управляться с требуемым уровнем возможностей. Следует развеять несколько заблуждений о COBIT: COBIT не является полным описанием всей ИТ-среды предприятия COBIT не является структурой для организации бизнес-процессов COBIT не является (ИТ-) технической структурой для управления всеми технологиями COBIT не делает и не предписывает какие-либо решения, связанные с ИТ. COBIT не будет решать, что является лучшей стратегией ИТ, лучшей архитектурой, или сколько ИТ может или должно стоить. Скорее, COBIT определяет все компоненты, которые описывают, какие решения должны приниматься, и как они должны быть приняты Глава 2 обсуждает целевую аудиторию для COBIT Глава 3 описывает принципы руководства системами I&T и принципы для структур рационального руководства Глава 4 описывает основные понятия и терминологию COBIT 2019, в том числе обновленная базовая модель COBIT с ее 40 целями руководства и управления Глава 5 развивает 40 целей руководства и управления Глава 6 объясняет как, как осуществляется мониторинг эффективности в COBIT 2019 и, в частности, как реализованы уровни возможностей в модели Capability Maturity Model Integration (CMMI®) Глава 7 содержит краткое введение и обзор рабочего процесса руководства COBIT® 2019 Design Guide Глава 8 содержит краткое введение и обзор руководства COBIT® 2019 Implementation Guide Глава 9 содержит подробный пример, иллюстрирующий необходимость принятия и внедрения COBIT на предприятии Глава 10 перечисляет стандарты, структуры и правила, которые использовались при разработке COBIT® 2019 02: ПРЕДПОЛАГАЕМАЯ АУДИТОРИЯ 2.1 ЗАИНТЕРЕСОВАННЫЕ СТОРОНЫ РУКОВОДСТВА Целевой аудиторией для COBIT являются заинтересованные стороны EGIT и, дополнительно, заинтересованные стороны для корпоративного руководства. Эти заинтересованные стороны и выгоды, которые они могут получить от COBIT, показаны на Рисунке 2.1. Рисунок 2.1 Заинтересованные стороны COBIT 5 Заинтересованная сторона Выгоды COBIT Внутренние заинтересованные стороны Совет Дает представление о том, как получить ценность от использования I&T и описывает соответствующие обязанности Совета Исполнительное Предоставляет рекомендации по руководство организации и мониторингу эффективности I&T на всем предприятии Бизнес-руководство Помогает понять, как получить решения I&T, необходимые для предприятия и как лучше всего использовать новые технологии для новых стратегических возможностей ИТ-руководство Предоставляют рекомендации по созданию и структурированию ИТ-департамента, управлению эффективностью ИТ, выполнению эффективной и результативной деятельностью ИТ, управлению ИТзатратами, обеспечению согласованности стратегии ИТ с приоритетами бизнеса и так далее Поставщики гарантий Помогают управлять зависимостью от внешних поставщиков сервисов, обеспечить уверенность в ИТ и обеспечить существование эффективной и результативной системы внутреннего контроля Управление рисками Помогает обеспечить идентификацию и управление всеми рисками, связанными с ИТ Внешние заинтересованные стороны Регуляторы Помогают обеспечить соответствие предприятия действующим правилам и законам и наличия соответствующей системы руководства для управления и поддержания соответствия Бизнес-партнеры Помогает гарантировать, что операции бизнес-партнера являются безопасными, надежными и соответствуют действующим правилам и законам Вендоры ИТ Помогает гарантировать, что операции ИТвендора являются безопасными, надежными и соответствуют действующим правилам и законам Для использования структуры COBIT требуется определенный уровень опыта и глубокое понимание предприятия. Такой опыт и понимание позволяют пользователям настраивать основные руководства COBIT, которые носят общий характер, в соответствии с адаптированными и целенаправленными рекомендациями для предприятия с учетом контекста предприятия. Целевая аудитория включает лиц, ответственных за весь жизненный цикл решений по руководству, от проектирования до реализации и обеспечению гарантии. Действительно, поставщики гарантий могут использовать логику и рабочие процессы, разработанные в этой публикации, для создания должным образом обоснованной программы обеспечения для предприятия. 03: ПРИНЦИПЫ COBIT 3.1 ВВЕДЕНИЕ COBIT® 2019 был разработан на основе двух наборов принципов: Принципы, описывающие основные требования системы руководства для управления информацией и технологиями предприятия Принципы для структуры руководства, которые могут быть использованы для создания системы руководства для предприятия 3.2 ШЕСТЬ ПРИНЦИПОВ ДЛЯ СИСТЕМЫ РУКОВОДСТВА Шестью принципами для системы руководства являются (Рисунок 3.1): 1. Каждое предприятие нуждается в системе руководства для удовлетворения потребностей заинтересованных сторон и для получения ценности от использования I&T. Ценность отражает баланс между выгодами, рисками и ресурсами, а предприятиям необходима стратегия и система руководства для реализации этой ценности 6 2. Система руководства I&T предприятия построена из целого ряда компонентов, которые могут быть разного типа и которые совместно работают целостным образом 3. Система руководства должна быть динамичной. Это означает, что каждый раз, когда изменяется один или несколько факторов проектирования (например, изменение стратегии или технологии), необходимо учитывать влияние этих изменений на систему EGIT. Динамический взгляд на EGIT приведет к жизнеспособной и перспективной системы EGIT 4. Система руководства должна четко различать мероприятия и системы руководства и управления 5. Система руководства должна адаптирована к потребностям предприятия, используя наборы факторов проектирования в качестве параметров для настройки и оценки приоритетов компонентов системы руководства 6. Система руководства должна охватывать предприятие от начала до конца, сосредоточив свое внимание не только на функции ИТ, но и на всех технологиях и обработке информации на предприятии, которые использует предприятие для достижения своих целей, независимо от того, где эта обработка находится на предприятии 1. Система руководства должна основываться на концептуальной модели, определяющей ключевые компоненты и взаимосвязи между компонентами, для обеспечения максимальной согласованности и автоматизации 2. Структура руководства должна быть открытой и гибкой. Это должно позволять новое содержание и способность решать новые проблемы наиболее гибким образом, сохраняя при этом целостность и последовательность 3. Структура руководства должна согласовываться с соответствующими связанными стандартами, структурами и регуляторными требованиями 3.4 COBIT® 2019 COBIT® 2019 улучшен по сравнению с предыдущими версиями COBIT в следующих областях: 3.3 ТРИ ПРИНЦИПА ДЛЯ СТРУКТУРЫ РУКОВОДСТВА Тремя принципами для структуры руководства являются (Рисунок 3.2): Гибкость и открытость – определение и использование факторов проектирования позволяет адаптировать COBIT для обеспечения лучшей согласованности конкретным контекстом пользователя. Открытая архитектура COBIT позволяет добавлять новые области фокусировки (смотрите Раздел 4.4) или изменять существующие, без прямого влияния на структуру и содержание базовой модели COBIT 7 Широкая применимость и релевантность – модель COBIT поддерживает рекомендации и согласованность с концепциями в других источниках (например, новейшие стандарты в области ИТ и регуляторные требования) Директивное приложение – модели, такие как COBIT, могут быть описательными и директивными. Концептуальная модель COBIT создана и представлена таким образом, чтобы ее создание (то есть, применение адаптированных компонентов руководства COBIT) рассматривались как рецепт для создания адаптированной системы руководства ИТ Управление эффективностью ИТ – структура модели управления эффективностью ИТ COBIT интегрирована в концептуальную модель. Вводятся концепции зрелости и возможностей для обеспечения лучшей согласованности с CMMI могут оказывать влияние на руководство и включает в себя рабочие процессы для планирования адаптированной системы руководства предприятием COBIT® 2019 Implementation Guide: Implementing and Optimizing an Information and Technology Governance Solution Guide представляет собой эволюцию руководства COBIT® 5 Implementation и разрабатывает дорожную карту для непрерывного совершенствования руководства. Это руководство может быть использовано совместно с COBIT® 2019 Design Guide На Рисунке 4.1 показан высокоуровневый обзор COBIT® 2019 и показано, как различные публикации в рамках этого набора охватывают различные аспекты. В Руководстве COBIT используются термины "руководство информацией и технологиями предприятия", "руководство информацией и технологиями на предприятии", "руководство ИТ" и "ИТ-руководство" взаимозаменяемо. 04: БАЗОВЫЕ КОНЦЕПЦИИ: СИСТЕМА И КОМПОНЕНТЫ РУКОВОДСТВА 4.1 ОБЗОР COBIT Семейство продуктов COBIT 2019 является открытым и предназначено для модификации в соответствии с требованиями заказчика. В настоящее время доступны следующие публикации. COBIT 2019 Framework: Introduction and Methodology представляет ключевые концепции COBIT 2019 COBIT® 2019 Framework: Governance and Management Objectives всесторонне описывает 40 основных целей руководства и управления, содержащиеся в них процессы и другие связанные с ними компоненты. Это руководство также ссылается на другие стандарты и структуры COBIT® 2019 Design Guide: Designing an Information and Technology Governance Solution исследует факторы проектирования, которые Содержание, которое было идентифицировано в качестве областей фокусировки на Рисунке 4.1 будет содержать более подробные рекомендации по специфическим темам. COBIT® 2019 основана на COBIT® 5 и других авторитетных источниках. COBIT согласован в соответствии с рядом соответствующих стандартов и структур. Перечень этих стандартов включен в Главу 10. Анализ связанных стандартов и соответствие COBIT в качестве "зонтичной" структуры руководства I&T. 8 В будущем COBIT будет призывать сообщество своих пользователей предлагать обновления содержания, которые будут использоваться в качестве контролируемых вкладов на постоянной основе, чтобы поддерживать COBIT в курсе последних исследований и эволюции. Цели руководства и управления в COBIT сгруппированы в пять доменов. Домены имеют имена с глаголами, которые выражают ключевую цель и область деятельности цели, содержащейся в них: В следующих разделах описываются основные понятия и термины, используемые в COBIT® 2019. 4.2 ЦЕЛИ РУКОВОДСТВА И УПРАВЛЕНИЯ Для того чтобы информация и технологии способствовали достижения целей предприятия, необходимо достижение ряда целей в области руководства и управления. Основными понятиями, относящимся к целям руководства и управления, являются: Цели руководства или управления всегда связаны с одним процессом (с идентичным или сходным названием) и серией связанных компонентов других типов, помогающих достичь поставленной цели Цель руководства связана с процессом руководства (изображена на темно-синем фоне на Рисунке 4.2). Совет и исполнительное руководство, как правило, отвечают за процессы руководства, в то время как процессы управления являются предметом для высшего и среднего управленческого звена Цели руководства сгруппированы в домене Оценка, Задание направления и Мониторинг (Evaluate, Direct and Monitor (EDM)). В этом домене, руководящий орган оценивает стратегические варианты, направляет высшее руководство по выбранным стратегическим вариантам и контролирует реализацию стратегии Цели управления сгруппированы в четырех доменах: o Координация, Планирование и Организация (Align, Plan and Organize (APO)) охватывает общую организацию, стратегию и поддерживающие мероприятия для I&T o Разработка, приобретение и внедрение (Build, Acquire and Implement (BAI)) рассматривает определение, приобретение и реализацию решений I&T и их интеграцию в бизнес-процессы o Предоставление, обслуживание и поддержка (Deliver, Service and Support (DSS)) обеспечивает оперативное предоставление и поддержку I&T сервисов, включая безопасность o Мониторинг, оценка и анализ (Monitor, Evaluate and Assess (MEA)) нацелены на мониторинг эффективности и соответствие I&T внутренним целевым показателям эффективности, целям внутреннего контроля и внешним требованиям 9 10 4.3 КОМПОНЕНТЫ СИСТЕМЫ РУКОВОДСТВА Для удовлетворения целей руководства и управления каждое предприятие нуждается в создании, адаптации и поддержании системы руководства, содержащей ряд компонентов: Компоненты являются факторами, которые индивидуально и совместно, способствуют должному функционированию системы руководства предприятия для I&T Компоненты взаимодействуют друг с другом, что приводит к целостной системе руководства для I&T Компоненты могут быть различных типов. Наиболее привычными являются процессы. Однако, компоненты системы руководства также включают организационные структуры, политики и процедуры, информационные элементы, культуру и поведение, навыки и компетенции, сервисы, инфраструктуры и приложения (Рисунок 4.3) Процессы описывают организованный набор практик и мероприятий для достижения определенных целей и создают ряд результатов, которые поддерживают достижение общих, связанных с ИТ, целей Организационные структуры являются ключевыми субъектами принятия решений на предприятии Принципы, политики и структуры транслируют желаемое поведение в практическое руководство для повседневного управления Информация широко распространена во всех организациях и включает в себя всю информацию, создаваемую и используемую на предприятии. COBIT фокусируется на информации, необходимой для эффективного функционирования системы руководства предприятием Культура, этика и поведение отдельных лиц и предприятий часто недооценивается как факторы успеха в мероприятиях руководства и управления Люди, навыки и компетенции необходимы для принятия правильных решений, осуществления корректирующих действий и успешного завершения всех мероприятий Сервисы, инфраструктура и приложения включают инфраструктуру, технологии и приложения, которые обеспечивают предприятие системой руководства для обработки I&T Компоненты всех типов могут быть универсальными или могут быть вариантами универсальных компонентов: Универсальные компоненты описаны в базовой модели COBIT (смотрите Рисунок 4.2) и могут быть использованы в принципе в любой ситуации. Тем не менее, они носят общий характер и, как правило, нуждаются в адаптации, прежде чем они могут быть реализованы практически Варианты основаны на универсальных компонентах, но адаптированы для специфической цели или контекста в предметной области (например, для информационной безопасности, DevOps, специфического регулирования 4.4 ОБЛАСТИ ФОКУСИРОВКИ Область фокусировки описывает определенную тему, домен или вопрос управления, которые можно решить с помощью набора задач руководства и управления и их компонентов. Примерами областей фокусировки являются: малые и средние предприятия, кибербезопасность, цифровая трансформация, облачные вычисления, конфиденциальность и DevOps. 11 Области фокусировки могут содержать компонентов руководства и вариантов. комбинацию универсальных Количество областей фокусировки практически не ограничено. Именно это делает COBIT открытым. Новые области фокусировки могут быть добавлены по мере необходимости или в качестве темы для предметных экспертов и практиков, которые вносят свой вклад в открытую модель COBIT. 4.5 ФАКТОРЫ ПРОЕКТИРОВАНИЯ Факторы проектирования являются факторами, которые могут оказать влияние на разработку системы руководства предприятия и позиционировать ее для успеха использования I&T. Факторы проектирования, которые могут оказывать потенциальное влияние на систему руководства, упоминаются в Разделе 7.1. Более подробная информация и детальные руководства по использованию факторов проектирования для разработки системы руководства может быть найдена в COBIT® 2019 Design Guide. Факторы проектирования могут включать любое сочетание следующих факторов (Рисунок 4.4): 1. Стратегия предприятия. Предприятия могут иметь различные стратегии, которые могут быть выражены в виде одного или нескольких архетипов, показанных на Рисунке 4.5. Организации обычно имеют основную стратегию и, как правило, одну вторичную стратегию. Рисунок 4.5 – Факторы проектирования стратегии предприятия Архетип стратегии Предприятие сосредоточено на росте (выручке) Инновации/Дифференциация Предприятие сосредоточено на предложении дифференцированных и/или инновационных продуктов и услуг для своих клиентов Лидерство по затратам Предприятие сосредоточено на минимизации краткосрочных затрат Обслуживание клиентов/ Предприятие сосредоточено на Стабильность обеспечении стабильных и ориентированных на клиентов сервисов 2. Цели предприятия, поддерживающие стратегию предприятия. Стратегия предприятия реализуется за счет достижения набора целей предприятия. Эти цели определены в COBIT, структурированной по измерениям сбалансированной системы показателей (BSC), и включает элементы, показанные на Рисунке 4.6. Рисунок 4.6 – Факторы проектирования целей предприятия Ссылка Измерение Цель предприятия системы сбалансированных показателей (BSC) EG01 Финансы Портфель конкурентных продуктов и сервисов EG02 Финансы Управляемые бизнес-риски EG03 Финансы Соответствие внешним законам и регуляторным требованиям EG04 Финансы Качество финансовой информации EG05 Клиенты Клиент-ориентированная культура сервисов EG06 Клиенты Непрерывность и доступность бизнес-сервисов EG07 Клиенты Качество управленческой информации 12 EG08 Внутренние EG09 Внутренние EG10 Внутренние EG11 Внутренние EG12 Рост EG13 Рост Оптимизация функциональности внутренних бизнес-процессов Оптимизация затрат на бизнеспроцессы Навыки персонала, мотивация и производительность Соответствие внутренним политикам Управляемые программы цифровой трансформации Инновации в продуктах и бизнесе Раздел 4.6 содержит более подробную информацию о каскаде целей COBIT, который является детализированным развитием этого фактора проектирования. 3. Профиль рисков предприятия и текущие вопросы по отношению к I&T. Профиль рисков определяет виды рисков, связанных с I&T, которым в настоящее время подвержено предприятие, и указывает, какие области риска превышают аппетит к рискам. Категории рисков, которые заслуживают рассмотрения, перечислены на Рисунке 4.7. Рисунок 4.7 – Факторы проектирования профиля рисков (Категории ИТрисков) Ссылка Категория риска 1 Принятие инвестиционных решений, определение и обслуживание портфеля 2 Управление жизненным циклом программ и проектов 3 Расходы и надзор за ИТ 4 ИТ-экспертиза, навыки и поведение 5 Архитектура предприятия/ИТ 6 Инциденты операционной инфраструктуры ИТ 7 Неавторизованные действия 8 Проблемы с внедрением/использованием программного обеспечения 9 Инциденты аппаратного обеспечения 10 Отказы программного обеспечения 11 12 13 14 15 16 17 18 19 Логические атаки (взлом, вредоносное программное обеспечение и так далее) Инциденты с третьими сторонами/поставщиками Несоответствие Геополитические вопросы Промышленные действия Природные факторы Инновации, основанные на технологиях Экология Управление данными и информацией 4. Связанные с I&T вопросы. Связанный метод оценки рисков I&T для предприятия, который заключается в том, чтобы рассмотреть, какие вопросы, связанные с I&T, в настоящее время стоят перед ним, или, другими словами, какие риски связаны с I&T. Наиболее распространенные вопросы представлены на Рисунке 4.8. Рисунок 4.8 – Факторы проектирования вопросов, связанных I&T Ссылка Описание A Неудовлетворенность между различными объектами ИТ во всей организации вследствие плохого восприятия низкого уровня вклада ценность бизнеса B Неудовлетворенность между бизнес-подразделениями (то есть, Заказчиком ИТ) и ИТ-подразделением из-за неудачных инициатив или восприятия низкого уровня вклада в ценность бизнеса C Значительные, связанные с ИТ, инциденты, такие как, потеря данных, нарушения безопасности, сбои проектов и ошибки приложений, связанные с ИТ D Проблемы, связанные с предоставлением по аутсорсингу ИТ-сервисов E Несоблюдение нормативных или договорных требований, связанных с ИТ F Результаты регулярных аудитов или другие отчеты по оценке сообщают о плохой производительности ИТ или о проблемах с качеством сервисов ИТ 13 G H I J K L M N O P Q R Существенные скрытые и нестандартные ИТ-расходы, то есть, ИТ-расходы по подразделениям пользователей, вне контроля обычных инвестиционных механизмов принятия решений в отношении ИТ и утвержденных бюджетов Дублирование или частичное совпадение различных инициатив или других форм ненужных трат ресурсов Недостаток ИТ-ресурсов, сотрудников с неадекватными навыками или выгорание/ неудовлетворенность сотрудников Изменения или проекты, связанные с ИТ, часто не отвечают потребностям бизнеса и выполняются с опозданием или превышением бюджета Нежелание членов правления, исполнительного или высшего руководства взаимодействовать с ИТ или отсутствие подтвержденных бизнес-спонсоров для ИТ Сложная операционная модель ИТ и/или непрозрачные механизмы принятия решений для связанных с ИТ решений Чрезмерно высокая стоимость ИТ Затрудненное или неудачное внедрение новых инициатив или инноваций, вызванных существующими архитектурой и системами ИТ Разрыв между знанием бизнеса и техническими знаниями, что приводит к тому, что бизнес-пользователи и информационные и/или технические специалисты, говорят на разных языках Регулярные проблемы, связанные с качеством данных и интеграцией данных из различных источников Высокий уровень вычислительных ресурсов для конечных пользователей, отсутствие надзора (среди прочих проблем) и контроля качества по разрабатываемым и введенным в эксплуатацию приложениям Бизнес-подразделения реализуют собственные информационные решения практически без участия ИТподразделения предприятия S T Игнорирование и/или несоблюдение правил конфиденциальности Неспособность эксплуатировать новые технологии или внедрять инновации с помощью I&T Рисунок 4.9 – Факторы проектирования ландшафта угроз Ландшафт угроз Объяснение Нормальный Предприятие работает на том уровне угроз, который считается нормальным Высокий В связи с геополитической ситуацией, сектором промышленности или специфическим профилем, предприятие работает в условиях высокой угрозы 6. Требования соответствия. Требования к соответствию, которым подлежит предприятие и могут быть классифицированы в соответствии с категориями, представленными на Рисунке 4.10. Рисунок 4.10 – Факторы проектирования соответствия требованиям Регуляторная среда Объяснение Низкие требования к Предприятие подвержено минимальному набору соответствию регуляторных требований, которые находятся ниже среднего Нормальные Предприятие подлежит набору регуляторных требования к требований соответствия, которые являются соответствию общими для различных отраслей промышленности Высокие требования На предприятии предъявляются более высокие, к соответствию нежели средние, требования, чаще всего связанные с промышленным сектором или геополитическими условиями 7. Роль ИТ. Роль ИТ для предприятия можно классифицировать, как показано на Рисунке 4.11. Рисунок 4.11 – Факторы проектирования роли ИТ Роль ИТ Объяснение 14 Поддержка Производство Полное изменение Стратегическая ИТ не имеет решающего значения ни для функционирования и непрерывности бизнеспроцессов и сервисов, ни для их инноваций В случае сбоя ИТ-подразделения немедленно оказывается влияние на выполнение и непрерывность бизнес-процессов и сервисов. Тем не менее, ИТ не рассматривается как драйвер для инновационных бизнес-процессов и сервисов ИТ рассматривается как драйвер для инновационных бизнес-процессов и сервисов. Однако на данный момент не существует критической зависимости от ИТ для текущего функционирования и непрерывности бизнеспроцессов и сервисов ИТ имеет решающее значение как для работы, так и для инноваций в бизнес-процессах и сервисах организации 8. Модель поставщиков для ИТ. Модель поставщиков, которую использует предприятие, может быть классифицирована, как это показано на Рисунке 4.12. Рисунок 4.12 – Факторы проектирования для модели поставщиков Модели поставщиков Объяснение Аутсорсинг Предприятие обращается к сервисам третьих сторон для предоставления ИТ-сервисов Облако Предприятие максимально использует облака для предоставления ИТ-сервисов своим пользователям Инсорсинг Предприятие обеспечивает собственный ИТперсонал и сервисы Гибрид Используется смешанная модель, объединяющая в различной степени три другие модели 9. Методы реализации ИТ. Методы, принимаемые предприятием, могут быть классифицированы, как это показано на Рисунке 4.13 Рисунок 4.13 – Факторы проектирования для методов реализации ИТ Метод реализации ИТ Agile DevOps Традиционный Гибридный Объяснение Для разработки программного обеспечения предприятие использует методы Agile Предприятие использует методы работы DevOps для создания, развертывания и эксплуатации программного обеспечения Предприятие использует более классический подход к разработке программного обеспечения (водопад) и отделяет разработку программного обеспечения от эксплуатации Предприятие использует сочетание традиционных и современных методов реализации ИТ, часто именуемое как "бимодальное ИТ" 10. Стратегия внедрения технологий. Стратегия внедрения технологий может быть классифицирована, как это показано на Рисунке 4.14. Рисунок 4.14 – Факторы проектирования стратегии внедрения технологий Стратегия внедрения Объяснение технологий Первопроходец Предприятие обычно использует новые технологии как можно раньше и пытается получить преимущества первопроходца Последователь Предприятие, как правило, ожидает, что новые технологии станут мейнстримом и будут проверены перед их принятием Медленный Предприятие очень поздно внедряет новые последователь технологии 11. Размер предприятия. Для проектирования системы руководства предприятием определены две категории, как это показано на Рисунке 4.15. Рисунок 4.15 – Факторы проектирования размера предприятия Размер предприятия Объяснение Крупное предприятие Предприятие с более чем 250 сотрудников, (по умолчанию) занятых полный рабочий день (FTE) 15 Малое или среднее Предприятие от 50 до 250 FTE предприятие 4.6 КАСКАДИРОВАНИЕ ЦЕЛЕЙ Потребности заинтересованных сторон должны быть преобразованы в действенную стратегию предприятия. Каскадирование целей (Рисунок 4.16) поддерживает цели предприятия, что является одним из ключевых факторов проектирования системы руководства. Каскадирование целей поддерживает оценку приоритетов целей руководства на основе оценки приоритетов целей предприятия. Каскадирование целей поддерживает трансляцию целей предприятия в приоритеты для обеспечения согласованности целей. Каскадирование целей было значительно обновлено в COBIT 2019: Цели предприятия были консолидированы, сокращены, обновлены и уточнены Согласованность целей обеспечивает согласованность всех усилий ИТ с целями бизнеса. Это обновленное усилие также стремится избежать частых ошибок, когда эти цели указывают сугубо внутренние цели ИТ в рамках предприятия. Как и цели предприятия, согласованность целей была консолидирована, сокращена, обновлена и уточнена, там, где это необходимо 4.6.1 ЦЕЛИ ПРЕДПРИЯТИЯ Заинтересованным сторонам необходимо каскадирование целей предприятия. На Рисунке 4.17 показан набор из 13 целей предприятия наряду с рядом примеров сопутствующих метрик. Рисунок 4.17 – Каскадирование целей: Цели и метрики предприятия Ссылка Измерение ССП Цель предприятия EG01 Финансы Портфель конкурентных продуктов и сервисов Примеры метрик Процент продуктов и сервисов, которые соответствуют или превосходят целевые показатели доходов и/или доли рынка Процент продуктов и сервисов, которые соответствуют или превосходят целевые показатели удовлетворенности клиентов Процент продуктов и сервисов, обеспечивающих конкурентное преимущество 16 EG02 Финансы Управляемые бизнес-риски EG03 Финансы Соответствие внешним законам и регуляторным требованиям EG04 Финансы Качество финансовой информации EG05 Клиенты Клиент-ориентированная культура сервисов EG06 Клиенты Непрерывность и доступность бизнес-сервисов Время выхода на рынок новых продуктов и сервисов Процент критических бизнес-целей и сервисов, охватываемых оценкой рисков Соотношение значимых инцидентов, которые не были идентифицированы в оценке рисков относительно общего числа инцидентов Соответствующая частота обновления профиля рисков Стоимость несоответствия регуляторным требованиям, включая соглашения и штрафы Количество вопросов несоответствия регуляторным требованиям, вызывающих общественные комментарии или негативную огласку Количество вопросов несоответствия регуляторным требованиям упомянутых регулятором или контролирующими органами Количество вопросов несоответствия регуляторным требованиям, связанных с договорными соглашениями с деловыми партнерами Оценка удовлетворенности ключевых заинтересованных сторон в отношении прозрачности, понимания и точности финансовой информации предприятия Стоимость несоответствия финансовым регуляторным требованиям Количество нарушений в обслуживании клиентов Процент заинтересованных сторон бизнеса, удовлетворенных тем, что предоставление сервисов соответствует согласованным уровням Количество жалоб клиентов Тенденции результатов обследования удовлетворенности клиентов Число прерываний сервисов клиентов или бизнеспроцессов, вызывающих значительные инциденты Бизнес-стоимость инцидентов Количество потерянных часов работы бизнеса, вызванных незапланированными прерываниями сервисов 17 EG07 Клиенты Качество управленческой информации EG08 Внутренние Оптимизация функциональности внутренних бизнес-процессов EG09 Внутренние Оптимизация затрат на бизнес-процессы EG10 Внутренние Навыки персонала, мотивация и производительность EG11 Внутренние Соответствие внутренним политикам EG12 Рост Управляемые программы цифровой трансформации Процент жалоб, как функция подтвержденных целевых показателей доступности сервисов Степень удовлетворенности совета и исполнительного руководства информацией, необходимой для принятия решений Количество инцидентов, вызванных некорректными бизнес-решениями на основании недостоверной информации Время, необходимое для представления вспомогательной информации, позволяющей принимать эффективные бизнес-решения Своевременность управленческой информации Уровень удовлетворенности совета и исполнительного руководства возможностями бизнес-процессов Уровень удовлетворенности клиентов возможностями предоставления сервисов Уровень удовлетворенности поставщиков возможностями цепочек поставок Соотношение затрат и достигнутых уровней сервисов Уровень удовлетворенности совета и исполнительного руководства затратами на бизнес-процессы Производительность персонала по сравнению с сравнительными оценками Уровень удовлетворенности заинтересованных сторон знаниями и навыками персонала Процент сотрудников, чьи навыки являются недостаточными по отношению к компетенциям, необходимыми для их роли Процент довольных сотрудников Количество инцидентов, связанных с несоблюдением политик Процент заинтересованных сторон, понимающих политики Процент политик, поддерживаемых эффективными стандартами рабочих практик Количество программ, выполняемых вовремя и в рамках бюджета 18 EG13 Рост Инновации в продуктах и бизнесе 4.6.2 ЦЕЛИ СОГЛАСОВАННОСТИ Процент заинтересованных сторон, удовлетворенных реализацией программ Процент остановленных программ трансформации бизнеса Процент программ трансформации бизнеса с регулярно сообщаемыми обновлениями состояния Уровень осведомленности и понимания возможностей бизнес-инноваций Удовлетворенность заинтересованных сторон уровнями опыта и идей в области продуктов и инноваций Количество утвержденных инициатив в отношении продуктов и сервисов, вытекающих из инновационных идей Цели предприятия каскадируются к целям согласованности. Рисунок 4.18 содержит набор целей согласованности и примеры метрик. Рисунок 4.18 – Каскадирование целей: Цели и метрики предприятия Ссылка Измерение ССП ИТ Цель согласованности Метрики AG01 Финансы Соответствие и поддержка I&T для поддержки соответствия Стоимость несоответствия ИТ, включая соглашения и бизнеса внешним законам и регуляторным требованиям штрафы, а также влияние репутационных потерь Количество связанных с ИТ проблем несоответствия, сообщенных правлению или вызывающих общественное обсуждение или затруднения Количество проблем несоответствия, связанных с контрактными соглашениями с поставщиками ИТсервисов AG02 Финансы Управляемые риски, связанные с I&T Соответствующая периодичность обновления профиля рисков Количество оценок рисков предприятия, включая риски, связанные с I&T Число значимых инцидентов, связанных с I&T, которые не были идентифицированы при оценке рисков AG03 Финансы Реализованные выгоды от I&T, включенных в портфель Процент инвестиций, связанных с I&T, для которых инвестиций и сервисов заявленные выгоды в экономическом обосновании достигнуты или превышены 19 AG04 Финансы Качество финансовой информации, связанной с технологиями AG05 Клиенты Предоставление I&T сервисов в соответствии с бизнестребованиями AG06 Клиенты Гибкость для преобразования операционные решения бизнес-требований в AG07 Внутренние Безопасность информации, обрабатывающей инфраструктуры и приложений и конфиденциальность Процент сервисов I&T, для которых реализованы ожидаемые выгоды (как это указано в соглашениях об уровне сервисов) Удовлетворенность ключевых заинтересованных сторон в отношении уровня прозрачности, понимания и точности финансовой информации об ИТ Процент сервисов I&T с определенными и утвержденными эксплуатационными расходами и ожидаемыми выгодами Процент заинтересованных сторон бизнеса, удовлетворенных тем, что предоставление I&T сервисов соответствует согласованным уровням сервисов Количество сбоев в работе бизнеса вследствие инцидентов ИТ-сервисов Процент пользователей, удовлетворенных качеством предоставления ИТ-сервисов Уровень удовлетворенности бизнес-руководства откликом ИТ на новые требования Среднее время выхода на рынок новых сервисов и приложений, связанных с I&T Среднее время превращения стратегических целей I&T в согласованные и утвержденные инициативы Количество критически важных бизнес-процессов, поддерживаемых современными инфраструктурой и приложениями Количество инцидентов конфиденциальности, приводящих к финансовым потерям, нарушениям работы бизнеса или вызывающие общественное обсуждение или затруднения Количество инцидентов доступности, приводящих к финансовым потерям, сбоям в работе бизнеса или вызывающие общественное обсуждение или затруднения Количество инцидентов целостности, приводящих к финансовым потерям, сбоям в работе бизнеса или вызывающие общественное обсуждение или затруднения 20 AG08 Внутренние Включение и поддержка бизнес-процессов путем интеграции приложений и технологий AG09 Внутренние Реализация программ вовремя и в соответствии требованиями к бюджету и стандартам качества с AG10 Внутренние Качество информации по управлению I&T AG11 AG12 Внутренние Обучение и рост Соответствие I&T внутренним политикам Компетентный и мотивированный персонал с пониманием технологий и бизнеса Время для выполнения бизнес-процессов и сервисов Количество бизнес-программ с поддержкой I&T, задерживаемых или вызывающих дополнительные затраты и-за проблем интеграции технологий Количество изменений бизнес-процессов, которые необходимо отложить или переделать из-за проблем интеграции технологий Количество приложений или критических инфраструктур, работающих изолировано и не являющихся интегрированными Количество программ/проектов, выполненных в срок и в рамках бюджета Количество программ, нуждающихся в значительной доработке из-за дефектов качества Процент заинтересованных сторон, удовлетворенных качеством программ/проектов Уровень удовлетворенности пользователей качеством, своевременностью и наличием управленческой информации, относящейся к I&T с учетом имеющихся ресурсов Соотношение и степень ошибочных бизнес-решений, в которых ошибочная или недоступная информация, относящаяся к I&T, была ключевым фактором Процент информации, соответствующей критериям качества Количество инцидентов, связанных с несоответствием ИТ-политикам Количество исключений для внутренних политик Частота анализа и обновления политик Процент персонала в области бизнеса, понимающих I&T (то есть, тех, кто имеет необходимые знания и понимание I&T для того, чтобы руководить, направлять, выполнять инновации и видеть возможности I&T для их области экспертизы) Процент персонала в области бизнеса, понимающих ИТ (то есть, тех, кто обладает необходимыми знаниями и пониманием соответствующих областей бизнеса для 21 AG13 Обучение и рост Знания, опыт и инициативы для инноваций в бизнесе 05: ЦЕЛИ РУКОВОДСТВА И УПРАВЛЕНИЯ COBIT 5.1 ЦЕЛЬ руководства, направления, выполнения инноваций и видят возможности I&T для их области бизнеса) Количество или процент бизнес-персонала с опытом управления технологиями Уровень осведомленности и понимания бизнесруководства возможностей инноваций I&T Число утвержденных инициатив, вытекающих из инновационных идей I&T Число признанных/награжденных победителей инноваций все цели руководства и управления, каждая из которых свое описание цели. Описание цели является дальнейшим развитием – следующим уровнем детализации – каждой цели руководства и управления. В Разделе 4.2 на Рисунке 4.2 была представлена базовая модель COBIT, включающая 40 целей руководства и управления. На Рисунке 5.1 перечислены Рисунок 5.1 – Базовая модель COBIT: Цели руководства и управления Ссылка Наименование EDM01 Обеспечение создания и структуры управления EDM02 EDM03 Цель обслуживания Обеспечение последовательного подхода, интегрированного и согласованного с подходами руководства предприятием. Решения, связанные с I&T, должны приниматься в соответствии со стратегией и целями предприятия, а желаемая ценность должна быть реализована. С этой целью необходимо обеспечить гарантию, что связанные с I&T процессы являются эффективными и прозрачными, подтверждено соответствие правовым, договорным и нормативным требованиям, а требования к управлению для членов правления выполнены. Обеспечение получения выгод Безопасная и оптимальная ценность от инициатив, сервисов и активов I&T, рентабельная реализация решений и сервисов, надежное и точное представление о расходах и возможных выгодах, с тем чтобы обеспечить эффективную и действенную поддержку потребностей бизнеса Обеспечение оптимизации рисков Обеспечение гарантии, что риски предприятия, связанные с I&T, не превышают аппетит и толерантность к рискам, влияние рисков I&T на ценность предприятия было идентифицировано 22 EDM04 Обеспечение оптимизации ресурсов EDM05 Обеспечение вовлеченности заинтересованных сторон APO01 Управление структурой управления I&T APO02 Управление стратегией APO03 Управление архитектурой предприятия APO04 Управление инновациями и управляется, а потенциальные возможности нарушений соответствия были сведены к минимуму Обеспечение гарантии, что ресурсы, необходимые для предприятия, используются оптимальным образом, затраты на I&T оптимизированы и происходит повышение вероятности реализации выгод и готовности к будущим изменениям Обеспечение гарантии, что заинтересованные стороны поддерживают стратегию и дорожную карту I&T, коммуникации с заинтересованными сторонами выполняются своевременно и эффективно, и была создана основа для отчетности для повышения эффективности работы. Идентифицированы области для улучшения и подтверждено, что цели стратегии, связанные с I&T соответствуют стратегии предприятия Внедрение последовательного подхода управления для удовлетворения требований к руководству предприятием, охватывающим такие компоненты руководства, как процессы управления, организационные структуры, роли и обязанности, надежные и повторяемые мероприятия, информационные элементы, политики и процедуры, навыки и компетенции, культуру и поведение, а также сервисы, инфраструктуру и приложения Поддержка стратегии цифровой трансформации организации и реализация желаемой ценности с помощью дорожной карты инкрементных изменений. Использование целостного подхода к I&T, обеспечивая гарантию, что каждая инициатива четко связана с общей стратегией. Включение изменений во все различные аспекты организации, от каналов и процессов до данных, культуры, навыков, операционных моделей и стимулов Представление различных строительных блоков, которые формируют предприятие и их взаимоотношения, а также принципы, определяющие их дизайн и эволюцию с течением времени, чтобы обеспечить стандартизированную, отзывчивую и эффективную реализацию операционных и стратегических целей Достижение конкурентных преимуществ, бизнес-инновации, улучшенный опыт клиентов и повышение операционной 23 APO05 Управление портфелем APO06 Управление бюджетом и затратами APO07 Управление человеческими ресурсами APO08 Управление отношениями APO09 Управление соглашениями о сервисах APO10 Управление вендорами APO11 Управление качеством APO12 Управление рисками эффективности и результативности за использования разработок I&T и новых технологий. Оптимизация производительности общего портфеля программ в ответ на производительность индивидуальных программ, продуктов и сервисов, а также изменения приоритетов и спроса на предприятии. Укрепление партнерских отношений между ИТ и заинтересованными сторонами, с тем чтобы обеспечить эффективное и результативное использование ресурсов, связанных с ИТ, и обеспечение прозрачности и подотчетности в отношении затрат и ценности для бизнеса в отношении решений и сервисов. Дать возможность предприятию принимать обоснованные решения в отношении использования решений и сервисов, предоставляемых I&T. Оптимизация возможностей человеческих ресурсов для достижения целей предприятия. Обеспечить соответствующие знания, навыки и поведение для создания лучших результатов, повышение уверенности, взаимного доверия и эффективного использования ресурсов, стимулирующих продуктивные отношения с заинтересованными сторонами бизнеса. Обеспечение гарантии, что продукты, сервисы и уровни сервисов I&T соответствуют текущим и будущим потребностям предприятия. Управление имеющимися возможностями I&T, чтобы поддержать стратегию и дорожную карту I&T, свести к минимуму риски, связанные невыполнением или несоответствующими вендорами, и обеспечение конкурентоспособных цен. Обеспечение последовательного предоставления технологических решений и сервисов для удовлетворения требований к качеству предприятия и удовлетворения потребностей заинтересованных сторон. Интеграция управления рисками предприятия, связанных с I&T, с общим управлением рисками предприятия (ERM) и уравновешивание издержек и выгод, связанных с управлением рисками предприятия, связанными с I&T. 24 APO13 Управление безопасностью BAI01 Управление программами BAI02 Управление определением требований BAI03 Управление идентификацией и внедрением решений BAI04 Управление доступностью и мощностями BAI05 Управление организационными изменениями BAI06 Управление изменениями ИТ BAI07 BAI08 Управление приемкой и преобразованием изменений ИТ Управление знаниями BAI09 Управление активами BAI10 Управление конфигурациями Сохранение влияния и возникновения инцидентов информационной безопасности в пределах уровней аппетита к рискам предприятия. Реализация желаемой ценности для бизнеса и снижение рисков непредвиденных задержек, затрат и разрушения ценности. Чтобы сделать это, необходимо улучшить коммуникации и вовлеченность бизнеса и пользователей, обеспечить ценность и качество результатов программы и проектов внутри программы, и максимизация вклада в программу инвестиционного портфеля. Создание оптимальных решений, которые отвечают потребностям предприятия при минимизации рисков. Обеспечение гибким и масштабируемым внедрением цифровых продуктов и сервисов. Создание своевременных и экономически эффективных решений (технологии, бизнеспроцессы и рабочие процессы), способных поддерживать стратегические и операционные цели предприятия. Поддержание доступности сервисов, эффективное управление ресурсами и оптимизация производительности систем посредством прогнозирования будущих требований к производительности и доступности. Подготовка и привлечение заинтересованных сторон к изменениям бизнеса и снижение рисков провала. Обеспечение быстрых и надежных изменений в бизнесе. Снижение риска негативного воздействия на стабильность или целостность измененной среды. Реализация изменений происходит безопасно и в соответствии с согласованными ожиданиями и результатами. Предоставление знаний и управленческой информации, необходимой для оказания поддержки всем сотрудникам в руководстве и управлении I&T предприятия и обеспечении принятия обоснованных решений. Учет всех активов I&T и оптимизация ценности, обеспечиваемой их использованием. Предоставление достаточной информации об активах сервисов, которая позволит эффективно управлять сервисами. Оценка влияния изменений и управление инцидентами сервисов. 25 BAI11 Управление проектами DSS01 Управление операциями DSS02 Управление запросами сервисов и инцидентами DSS03 Управление проблемами DSS04 Управление непрерывностью DSS05 Управление безопасностью сервисов DSS06 Управление контролем бизнес-процессов MEA01 Управление производительностью и мониторинг соответствия Управление системами внутреннего контроля MEA02 MEA03 Управление соответствием внешним требованиям Реализация определенных результатов проектов и снижение риска непредвиденных задержек, затрат и снижения ценности за счет улучшения коммуникаций и вовлечения бизнеса и конечных пользователей. Обеспечение гарантии получения ценности и качества результатов проекта и максимальное повышение их вклада в определенные программы и инвестиционный портфель. Реализация операционных продуктов и результатов сервисов I&T как это планировалось. Достижение повышения производительности и минимизация сбоев путем быстрого разрешения запросов и инцидентов пользователей. Оценка влияния изменений и управление инцидентами сервисов. Разрешение запросов пользователей и восстановление сервисов в ответ на инциденты. Увеличение доступности, улучшение уровней сервисов, сокращение затрат, улучшение удобства и удовлетворенности за счет снижения количества операционных проблем и идентификация корневых причин как часть решения проблемы. Быстрая адаптация, продолжение выполнения бизнесопераций и поддержание доступности ресурсов и информации на уровне, приемлемом для предприятия в случае существенного нарушения (например, угрозы, возможности, спрос). Минимизация влияния уязвимостей и инцидентов в области операционной информационной безопасности на бизнес. Поддержание целостности информации и безопасности информационных активов, обрабатываемых в рамках бизнеспроцессов предприятия или его аутсорсинговые операции. Обеспечение прозрачности производительности и соответствия и движения к достижению целей. Обеспечение прозрачности для заинтересованных сторон в отношении адекватности системы внутреннего контроля и, таким образом, обеспечение доверия к операциям, уверенности в достижении целей предприятия и адекватное понимание остаточных рисков. Обеспечение гарантии соответствия предприятия всем применимым внешним требованиям. 26 MEA04 Управление гарантиями 06: УПРАВЛЕНИЕ ЭФФЕКТИВНОСТЬЮ В COBIT 6.1 ОПРЕДЕЛЕНИЕ Управление эффективностью является неотъемлемой частью систем руководства и управления. «Управление эффективностью» представляет собой общий термин для всех видов деятельности и методов. Он выражает насколько хорошо работают системы руководства и управления и все компоненты предприятия, и как они могут быть улучшены для достижения необходимого уровня. Управление производительностью включает в себя концепции и методы, такие как, уровни возможностей и уровни зрелости. COBIT использует Управление производительностью COBIT (CPM) для описания всех этих видов деятельности, и эта концепция является неотъемлемой частью системы COBIT. 6.2 ПРИНЦИПЫ УПРАВЛЕНИЯ ЭФФЕКТИВНОСТЬЮ COBIT COBIT 2019 основан на следующих принципах управления эффективностью: 1. CPM должна быть простой для понимания и использования 2. CPM должна соответствовать концептуальной модели COBIT и поддерживать ее. Он должна обеспечить управление производительностью всех типов компонентов системы руководства, также она должна иметь возможность управления производительностью процессов, а также производительностью других типов компонентов (например, организационных структур или информации), если пользователи желают сделать это. 3. CPM должна обеспечивать получение надежных, повторяемых и релевантных результатов 4. CPM должна быть гибкой, чтобы она могла поддерживать требования различных организаций с различными приоритетами и потребностями Обеспечение возможности для организации проектировать и разрабатывать эффективные и результативные инициативы, предоставляя руководящие указания по планированию, определению содержания, выполнению и итогам проверки достоверности, используя дорожную карту, основанную на соответствующих подходах к обеспечению гарантий. 5. CPM должна поддерживать различные виды оценок, от самооценки до формальных оценок или аудитов 6.3 ОБЗОР УПРАВЛЕНИЯ ЭФФЕКТИВНОСТЬЮ COBIT Модель CPM (Рисунок 6.1) в значительной степени соответствует и расширяет концепции CMMI® Development V2.0: Активности процесса связаны с уровнями возможностей. Эта система включена в руководство COBIT® 2019: Governance and Management Objectives Другие типы компонентов руководства и управления (например, организационные структуры, информация) могут также обладать определенными уровнями возможностей, которые будут определены в будущих руководствах Уровни зрелости связаны с областями фокусировки (например, набором целей руководства и управления и их основными компонентами) и будут достигнуты при наличии всех необходимых уровней возможностей 27 Если предприятие желает продолжить использование модели возможностей процессов COBIT 5, основанную на International Organization for Standardization (ISO)/International Electrotechnical Commission (IEC) 15504 (в настоящее время ISO/IEC 33000, в которой уровни возможностей имеют очень различные значения), они уже имеют всю необходимую информацию, чтобы сделать это в COBIT® 2019 Framework: Governance and Management Objectives. Нет необходимости в отдельной модели оценки процессов (PAM) и они не будут представлены COBIT 2019. В COBIT 2019, явные результаты процесса или цели процесса заменяются практиками процесса. Этот подход приводит к следующей ситуации для оценки ISO/IEC33000: 1. Результаты процесса в настоящее время связаны с практикой процесса на основе "один-к-одному" (то есть, результаты процесса являются успешным завершением практик процесса). Примечание: практики процесса сформулированы как практики, и результаты могут быть получены из них. Пример: APO01.01 Проектирование системы управления предприятием для I&T имеют как результат процесса APO01.01: Разработанная система управления предприятием для I&T 2. Базовые практики равнозначны практикам процессов COBIT 2019 для каждой цели руководства и управления 3. Рабочие продукты равнозначны Потокам и Элементам по компоненту С в каждой цели руководства/управления Таким образом, отображение результатов в базовых практиках и рабочих продуктах осуществляется по определению в COBIT 2019. 6.4 УПРАВЛЕНИЕ ЭФФЕКТИВНОСТЬЮ ПРОЦЕССОВ Базовая модель COBIT определяет уровни возможностей для всех активностей процессов, позволяя четкое определение процессов и необходимые действия для достижения различных уровней возможностей. Для получения дополнительной информации смотрите COBIT® 2019 Framework: Governance and Management Objectives. 6.4.2 ОЦЕНКА АКТИВНОСТЕЙ ПРОЦЕССОВ Уровни возможностей могут быть достигнуты в различной степени, что может быть выражено набором оценок. Диапазон доступных оценок зависит от контекста, в котором производится оценка производительности: 6.4.1 УРОВНИ ВОЗМОЖНОСТЕЙ ПРОЦЕССОВ COBIT 2019 поддерживает схему возможностей процессов, основанную на CMMI. Процесс в рамках каждой задачи руководства и управления может функционировать на различных уровнях, начиная с 0 и до 5. Уровень возможностей – это показатель того, насколько хорошо осуществляется процесс и насколько хорошо он работает. На Рисунке 6.2 изображена модель повышения уровней возможностей и общие характеристики каждого из них. Некоторые формальные методы, ведущие к независимой сертификации, могут использовать двоичный набор рейтингов – пройдено/не пройдено Менее формальные методы (часто используемые в контексте улучшения производительности) лучше работают с большим набором оценок, таких как следующий набор: o Полный – набор возможностей достигается более чем на 85%. (Это является экспертной оценкой, но может быть выполнено с помощью экспертизы или оценкой поддерживающих 28 o o o компонентов, например, таких как, активности процесса, цели процесса или хорошие практики организационной структуры Значительный – уровень возможностей достигается между 50 и 85 процентами Частичный – уровень возможностей достигается между 15 и 50 процентами Отсутствующий – уровень возможностей достигнут менее чем на 15 процентов 6.4.3 УРОВНИ ЗРЕЛОСТИ ОБЛАСТЕЙ ФОКУСИРОВКИ Иногда для выражения производительности необходим более высокий уровень без детализации, применяемой к оценке индивидуальных возможностей. Для этой цели могут быть использованы уровни зрелости. COBIT® 2019 определяет уровни зрелости в качестве меры производительности, как это показано на Рисунке 6.3. Уровни зрелости связаны с областями фокусировки(например, с набором целей руководства и управления и их основными компонентами), и определенным уровнем зрелости, если все процессы, содержащиеся в этом фокус, являются достижением этого конкретного уровня возможностей. 6.5 УПРАВЛЕНИЕ ЭФФЕКТИВНОСТЬЮ ДРУГИХ КОМПОНЕНТОВ СИСТЕМЫ РУКОВОДСТВА 6.5.1 УПРАВЛЕНИЕ ЭФФЕКТИВНОСТЬЮ ОРГАНИЗАЦИОННЫХ СТРУКТУР Хотя в отношении оценки организационных структур не существует общепринятого или формального метода, они могут менее формально оценены в соответствии со следующими критериями. По каждому из критериев можно определить ряд под-критериев, связанных с различными уровнями возможностей. Этими критериями являются: Успешное выполнение тех практик процессов, для которых организационная структура (или роль) имеет отчетность или ответственность (A или R, соответственно в матрице RACI) Успешное применение ряда хороших практик для организационных структур, таких как: o Операционные принципы Организационная структура формально создана Организационная структура имеет четкие, документированные и хорошо понимаемые полномочия Операционные принципы документированы Регулярные совещания проводятся как это определено в операционных принципах Отчетные совещания/протоколы доступны и являются значимыми o Структура Организационная структура формально создана o Диапазон контроля Организационная структура имеет четкие, документированные и хорошо понимаемые полномочия Операционные принципы документированы Регулярные совещания проводятся как это определено в операционных принципах Отчетные совещания/протоколы доступны и являются значимыми 29 o o o o Уровень полномочий и права для принятия решений Права для принятия решений в организационной структуре определены и документированы Права для принятия решений в организационной структуре признаются и выполняются (с учетом вопросов культуры/поведения) Делегирование полномочий Делегирование полномочий осуществляет значимым образом Процедуры эскалации Процедуры эскалации определены и используются Успешное применение ряда практик управления организационной структурой (нефункциональные практики, вытекающие с точки зрения организационной структуры) Определены цели производительности для организационных структур Производительность организационных структур планируется и контролируется Производительность организационных структур корректируется с учетом планов Ресурсы и информация, необходимые для организационных структур, идентифицированы, предоставляются, распределяются и используются Взаимодействие между организационной структурой и другими заинтересованными сторонами осуществляется с целью обеспечения как эффективных коммуникаций, так и четкого назначения ответственности Регулярные оценки приводят к необходимости непрерывного совершенствования организационной структуры – ее состава, полномочий или любых других параметров отмечалось, никакой общепринятой схемы оценки организационных структур не существует. Однако это не мешает предприятию определить свою собственную схему возможностей организационных структур. 6.5.2 УПРАВЛЕНИЕ ЭФФЕКТИВНОСТЬЮ ИНФОРМАЦИОННЫХ ЭЛЕМЕНТОВ Компонент информационного элемента для системы руководства I&T в определенной степени эквивалентен рабочим продуктам процесса, как это описано в COBIT® 2019 Framework: Governance and Management Objectives. Хотя не существует общепринятого или формального метода для оценки информационных элементов, они могут быть менее формально оценены в соответствии с информационной моделью, впервые представленной в COBIT® 5: Enabling Information. Эта модель определяет три основных критерия качества для информации и 15 под-критериев, как это показано на Рисунке 6.4. Что касается процессов, то низкий уровень возможностей требует, чтобы наборы этих критериев были удовлетворены, а более высокие уровни возможностей требуют удовлетворения всех этих критериев. Однако, как уже 30 соответствующего руководства и управления ИТ и назначить различные уровни возможностей для каждого из них. COBIT® 2019 Framework: Governance and Management Objectives определяет аспекты компонента культуры и поведения для большинства целей. Из них можно оценить, в какой степени эти условия или поведения были выполнены. Содержание областей фокусировки, которые будут содержать более детальные наборы желаемого поведения, будут разработаны в будущем. Пользователям рекомендуется проконсультироваться с isaca.org/cobit для получения последнего статуса рекомендация и доступных областей фокусировки. 07: ПРОЕКТИРОВАНИЕ АДАПТИРОВАННОЙ СИСТЕМЫ РУКОВОДСТВА 7.1 ВЛИЯНИЕ ФАКТОРОВ ПРОЕКТИРОВАНИЯ В этом разделе приводится высокоуровневый обзор потенциального влияния факторов проектирования на систему руководства I&T предприятия. В нем также на высоком уровне описываются рабочие процессы для проектирования адаптированных систем руководства для предприятия. Более подробную информацию по этим темам можно найти в COBIT® 2019 Design Guide. Факторы проектирования по-разному влияют на адаптацию системы руководства предприятия. Данная публикация выделяет три различных типа влияния, показанных на Рисунке 7.1. Информационный элемент можно оценить с учетом того, в какой степени достигаются соответствующие критерии качества, как это определено на Рисунке 6.4. 6.5.3 УПРАВЛЕНИЕ ЭФФЕКТИВНОСТЬЮ КУЛЬТУРЫ И ПОВЕДЕНИЯ Для компонента управления культурой и поведением возможно необходимо определить набор желательного (и/или нежелательного) поведения для 31 очень высокий для предприятия, это делает цель управления APO05 Управляемый портфель важной частью системы управления предприятием. Пример: Предприятие, нерасположенное к рискам, будет уделять большее внимание целям управления, которые стремятся к руководству и управлению рисками и безопасностью. Цели руководства и управления EDM03 Обеспечение оптимизации рисков, APO12 Управление рисками, APO13 Управление безопасностью и DSS05 Управление безопасностью сервисов – станут важными частями системы руководства предприятием и будут иметь более высокий целевой уровень возможностей, определяемый для них. Пример: Предприятие, которое работает в среде с высоким уровнем угроз, потребует высокоэффективных процессов, связанных с безопасностью: APO13 Управление безопасностью и DSS05 Управление безопасностью сервисов. Пример: Предприятие, в котором роль ИТ является стратегической и решающей для успеха бизнеса, потребует высокой вовлеченности, связанных с ИТ ролей в организационные структуры, глубокого понимания бизнеса специалистами ИТ (и наоборот) и сосредоточенности на стратегических процессах, таких как, APO02 Управление стратегией и APO08 Управление отношениями. 1. Приоритет/выбор целей управления – базовая модель COBIT содержит 40 целей руководства и управления, каждая из которых состоит из процесса и ряда смежных компонентов. В действительности они эквивалентны, между ними нет естественного порядка приоритетности. Однако факторы проектирования могут повлиять на эту эквивалентность и делать некоторые цели руководства и управления более важными, чем другие, иногда до такой степени, что некоторые цели руководства и управления могут становиться незначительными. На практике, это более важное значение выражается в установлении более высоких целевых уровней для важных целей руководства и управления. Пример: Когда предприятие определяет наиболее релевантные цели предприятия из списка целей предприятия и использует каскадирование целей, это приведет к выбору приоритетных задач управления. Например, когда EG01 Портфель конкурентных продуктов и сервисов оценивается как 2. Вариации компонентов – компоненты необходимы для достижения целей руководства и управления. Некоторые факторы проектирования могут оказывать влияние на важность одного или нескольких компонентов или могут потребовать определенных изменений. Пример: Малые и средние предприятия могут не нуждаться в полном наборе ролей и организационных структур, изложенных в базовой модели COBIT, но вместо этого могут использовать сокращенный набор. Этот сокращенный набор целей руководства и управления и включенных компонентов определяется в области Малого и среднего предпринимательства. Пример: Предприятие, которое работает в строго регулируемом окружении, будет придавать более важное значение документированным продуктам, политикам и процедурам работы и некоторым функциям, например, функции сотрудника по обеспечению соответствия. 32 Пример: Предприятие, использующее DevOps в разработке и эксплуатации решений, потребует определенных действий, организационных структур, культуры и так далее, ориентированных на BAI03 Управление идентификацией и внедрением решений и DSS01 Управление операциями. 3. Необходимость в специфических областях фокусировки – некоторые факторы проектирования, такие как ландшафт угроз, специфический риск, целевые методы разработки и параметры инфраструктуры, будут стимулировать необходимость в изменении основного содержимого модели COBIT в специфический контекст. Пример: Предприятиям, внедряющим подход DevOps, потребуется система руководства, которая имеет варианты нескольких универсальных процессов COBIT, описанных в области DevOps руководства COBIT. Пример: Малые и средние предприятия имеют меньше сотрудников, меньше ИТ-ресурсов и более короткие и более прямые линии отчетности и отличаются многими аспектами от крупных предприятий. По этой причине их система руководства для I&T должна быть менее обременительной по сравнению с крупными предприятиями. Этот подход описан в области SME руководства COBIT. 7.2 СТАДИИ И ШАГИ В ПРОЦЕССЕ ПРОЕКТИРОВАНИЯ Рисунок 7.2 показывает поток проектирования адаптированной системы руководства. Различные стадии и шаги в процессе проектирования, как показано на Рисунке 7.2, приведут к рекомендациям для оценки приоритетности целей руководства и управления или связанных с ними компонентов системы руководства, для определения целевых уровней возможностей или для принятия специфических вариантов компонентов системы руководства. Некоторые из этих шагов или под-этапов могут привести к противоречиям в руководстве, что неизбежно при рассмотрении большого числа факторов проектирования, общего универсального характера руководства по проектированию и используемых таблиц для соотнесения. Рекомендуется разместить все руководства, полученные в ходе выполнения различных шагов проектирования и в последней стадии процесса проектирования для разрешения (определенной степени) конфликтов между элементами на холсте дизайна. Не существует волшебной формулы. Окончательным дизайном в каждом случае будет решение, основанное на всех элементах дизайна. Следуя этим шагам, предприятие будет реализовывать систему руководства, которая адаптирована к их потребностям. 33 08: ВНЕДРЕНИЕ КОРПОРАТИВНОГО РУКОВОДСТВА ИТ 8.1 ЦЕЛЬ РУКОВОДСТВА ПО ВНЕДРЕНИЮ COBIT В COBIT® 2019 Implementation Guide подчеркивается общий взгляд предприятия на управление I&T. В этом руководстве признается, что I&T широко распространены на предприятиях, и что отделить деятельность, связанную с бизнесом и I&T невозможно и не является хорошей практикой. Таким образом, руководство и управление I&T предприятия должны осуществляться в качестве неотъемлемой части корпоративного управления, охватывающего все бизнес- и ИТ- функциональные области ответственности. Одна из общих причин, по которой некоторые внедрения систем руководства не выполняются, заключаются в том, что они не инициируются, а затем не управляются должным образом в качестве программ для обеспечения реализации необходимых преимуществ. Программы систем руководства должны быть спонсированы исполнительным руководством, должным образом масштабированы и определять цели, которые являются достижимыми. Это позволяет предприятию абсорбировать темпы изменений, как это планируется. Поэтому управление программами рассматривается как неотъемлемая часть жизненного цикла внедрения. Предполагается также, что, хотя программный и проектный подход рекомендуется для эффективного стимулирования инициатив по улучшению, цель также состоит в создании нормальной деловой практики и последовательного подхода к руководству и управлению I&T предприятия, как и к любым другим аспектам руководства предприятием. По этой причине, подход к внедрению основан на расширении возможностей заинтересованных сторон бизнеса и ИТ и ключевых ролей, с тем, чтобы они брали на себя ответственность за связанные с ИТ решения и действия для способствования и проведения изменений. Программа внедрения закрывается, когда процесс фокусировки на приоритетах, связанных с ИТ и улучшении руководства приносит измеримые выгоды, а программа стала частью текущей бизнес-деятельности. Более подробную информацию по этим вопросам можно также найти в COBIT® 2019 Implementation Guide. 8.2 ПОДХОД К ВНЕДРЕНИЮ COBIT Существует семь фаз, которые включает подход к внедрению COBIT: Что является драйверами? Где мы находимся сейчас? Где мы хотим быть? Что нужно сделать? Как мы туда придем? Мы попали туда? Как мы можем сохранить импульс движения? Поход к внедрению COBIT представлен на Рисунке 8.1 8.2.1 ФАЗА 1 - ЧТО ЯВЛЯЕТСЯ ДРАЙВЕРАМИ? Фаза 1 подхода к реализации определяет текущие драйверы изменений и создает на уровне исполнительного руководства желание изменить, что далее выражается в предварительной версии экономического обоснования. Драйвер изменения является внутренним или внешним событием, 34 состоянием или ключевым вопросов, который служит стимулом для изменений. События, тенденции (промышленность, рынок и технологии), падение производительности, внедрение программного обеспечения и даже цели предприятия могут выступать в качестве драйверов изменений. Риски, связанные с реализацией самой программы, описаны в экономическом обосновании и управляются на протяжении всего жизненного цикла. Подготовка, поддержание и мониторинг экономического обоснования являются основополагающими и важными дисциплинами для обоснования, поддержки, а затем обеспечения успешных результатов для любой инициативы, включая совершенствование систем руководства. Они обеспечивают постоянное внимание к выгодам программы и их реализации. 8.2.2 ФАЗА 2 – ГДЕ МЫ НАХОДИМСЯ СЕЙЧАС? Фаза 2 согласовывает цели, связанные с I&T, с корпоративными стратегиями и рисками и дает оценку приоритетов наиболее важных целей предприятия, целей и процессов обеспечения согласованности. COBIT® 2019 Design Guide предоставляет несколько факторов проектирование, которые могут помочь с выбором. Основываясь на выбранных целях предприятия и связанных с ИТ целях и других факторах проектирования, предприятие должно определить критические цели руководства и управления и лежащие в их основе процессы, которые обладают достаточными возможностями для обеспечения получения успешных результатов. Руководство должно знать свои текущие возможности и места, где могут существовать недостатки. Это может быть достигнуто с помощью оценки возможностей процессов текущего состояния для выбранных процессов. 8.2.4 ФАЗА 4 – ЧТО НУЖНО СДЕЛАТЬ? Фаза 4 описывает, как планировать осуществимые и практические решения путем определения проектов, поддерживаемых оправданными экономическими обоснованиями и планами изменений для их реализации. Хорошо разработанное экономическое обоснование может помочь в обеспечении того, что выгоды проекта были идентифицированы и для них выполняется постоянный мониторинг. 8.2.5 ФАЗА 5 – КАК МЫ ТУДА ПРИДЕМ? Фаза 5 предусматривает внедрение предлагаемых решений с помощью ежедневных практик и разработки мер и систем мониторинга для обеспечения достижения согласованности с бизнесом и измерения эффективности. Успех требует вовлеченности, осведомленности, коммуникаций, понимания и приверженности высшего руководства, а также ответственности со стороны затрагиваемых владельцев бизнес- и ИТ-процессов. 8.2.6 ФАЗА 6 – МЫ ПОПАЛИ ТУДА? Фаза 6 посвящена последовательному преобразованию усовершенствованной практики руководства и управления в текущие бизнесоперации. Кроме того, важное внимание уделяется мониторингу достижений улучшений с использованием показателей эффективности и ожидаемых выгод. 8.2.7 ФАЗА 7 – КАК МЫ МОЖЕМ СОХРАНИТЬ ИМПУЛЬС ДВИЖЕНИЯ? Фаза 3 устанавливает цели для улучшения с последующим анализом разрывов для идентификации потенциальных решений. В Фазе 7 рассматривается общий успех инициативы, определяются дальнейшие потребности в руководстве и управления и подчеркивается необходимость постоянного совершенствования. В ней также рассматриваются дополнительные возможности для совершенствования системы руководства. Некоторые решения будут давать быстрые победы, а другие задачи будут более сложными и долгосрочными. Приоритет следует отдавать проектам, которые легче достичь и которые, вероятно, принесут больше выгод. Долгосрочные задачи должны быть разбиты на управляемые части. Управление программами и проектами основано на хороших практиках и предусматривает контрольные точки на каждом из семи этапов, для обеспечения того, чтобы эффективность программы соответствовала экономическому обоснованию и обновленным рискам, а планирование 8.2.3 ФАЗА 3 – ГДЕ МЫ ХОТИМ БЫТЬ? 35 следующего этапа корректировалось по мере необходимости. Предполагается, что будут соблюдаться стандартные подходы предприятия. Дальнейшие рекомендации по управлению программами и проектами также можно найти в целях управления COBIT BAI01 Управляемые программы и BAI11 Управляемые проекты. Хотя отчетность не упоминается явно ни в одной из эти фаз, она является постоянной темой всех фаз и итераций. 8.3 ВЗАИМОСВЯЗИ МЕЖДУ COBIT® 2019 DESIGN GUIDE И COBIT® 2019 IMPLEMENTATION GUIDE Рабочий процесс, описанный в COBIT® 2019 Design Guide имеет следующие точки соединения с COBIT® 2019 Implementation Guide. COBIT® 2019 Design Guide разрабатывает ряд задач, которые определены в COBIT® 2019 Implementation Guide. Рисунок 8.2 дает высокоуровневый обзор этих точек соединения. Более подробную информацию можно найти в COBIT® 2019 Design Guide. Рисунок 8.2 – Точки соединения между COBIT® 2019 Design Guide и COBIT® 2019 Implementation Guide COBIT Implementation Guide COBIT Design Guide Фаза 1 – Что является драйверами? Шаг 1 – Понимание контекста и (Задачи Постоянного стратегии предприятия совершенствования [CI] Фаза 2 – Где мы находимся сейчас Шаг 2 – Определение начального (Задачи CI) содержания системы руководства Шаг 3 – Уточнение содержания системы руководства Шаг 4 – Завершение проектирования системы руководства Фаза 3 – Где бы мы хотели быть Шаг 4 – Завершение (Задачи CI) проектирования системы руководства Риски, связанные с реализацией самой программы, описаны в экономическом обосновании и управляются на протяжении всего жизненного цикла. Подготовка, поддержание и мониторинг экономического обоснования являются основополагающими и важными дисциплинами для обоснования, поддержки, а затем обеспечения успешных результатов для любой инициативы, включая совершенствование систем руководства. Они обеспечивают постоянное внимание к выгодам программы и их реализации. 09: НАЧАЛО РАБОТЫ С COBIT: РАЗРАБОТКА ОБОСНОВАНИЯ 9.1 ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ Общая бизнес-практика диктует подготовку экономического обоснования для анализа и обоснования начала крупного проекта и/или финансовых инвестиций. Этот пример приводится в качестве не предписывающего, общего руководства для поощрения подготовки экономического обоснования для обоснования инвестиций в программу реализации EGIT. У каждого предприятия существуют свои причины для совершенствования EGIT и свой подход к разработке экономического обоснования. Эти подходы могут варьировать от детального с акцентом на количественные выгоды до более высокоуровневого подхода и качественной точки зрения. Предприятия должны следовать существующим внутренним практикам и подходам к обоснованию инвестиций, если они существуют. Этот пример и руководство в этой публикации предоставляются, чтобы помочь сосредоточиться на вопросах, которые должны быть рассмотрены в экономическом обосновании. Примером сценария является Acme Corporation, крупное многонациональное предприятие с набором традиционных, хорошо зарекомендовавших себя бизнес-подразделений, а также новых предприятий, использующих возможности Интернета и самые современные технологии. Многие подразделения были приобретены и существуют в различных странах с различными локальными политическими, культурными и экономическими условиями. На центральную группу команды исполнительного руководства оказали влияние последние разработки по управлению предприятием, включая COBIT, которые они использовали централизованно в течение определенного периода времени. Они хотят убедиться, что быстрое расширение и внедрение передовых методов ИТ обеспечит ожидаемую ценность, они также намерены управлять значительными новыми рисками. Поэтому, они предписали предприятиям в масштабах всей системы принятие 36 единого подхода EGIT. Этот подход включает в себя участие в функциях аудита и управления рисками и ежегодной внутренней отчетности подразделений по адекватности контроля во всех сущностях. Хотя пример основан на реальных ситуациях, он не отражает конкретного существующего предприятия. 9.2 РЕЗЮМЕ В этом экономическом обосновании представлено содержание предлагаемой программы EGIT для корпорации Acme на основе COBIT. Должное экономическое обоснование необходимо для того, чтобы правление корпорации Acme и подразделения компании погрузились в эту инициативу и определили свои потенциальные выгоды. Корпорация Acme будет следить за экономическим обоснованием, чтобы гарантировать, что ожидаемые выгоды будут реализованы. Содержание, с точки зрения бизнес-подразделений, которые составляют корпорацию Acme, являются все, что будет включено. Признается, что будет использована определенная форма определения приоритетов будет использована во всех субъектах для первоначального охвата программой EGIT из-за ограничения ресурсов программы. Различные заинтересованные стороны заинтересованы в результатах программы EGIT, от совета директоров корпорации Acme до местного менеджмента в каждом локальном субъекте, а также внешние заинтересованные стороны, такие как, акционеры и правительственные учреждения. Необходимо рассмотреть некоторые существенные проблемы, а также риски при реализации программы EGIT в необходимом глобальном масштабе. Одним из наиболее сложных аспектов является предпринимательский характер многих предприятий, ориентированных на использование возможностей Интернет, а также децентрализованная или федеративная бизнес-модель, которая существует в корпорации Acme. Программа EGIT будет реализована за счет сосредоточения внимания на возможностях процессов Acme и других компонентов системы руководства по отношению к тем, которые определены в COBIT и релевантные к каждой бизнес-единице. Будут определены релевантные и приоритетные цели руководства и управления, которые будут сосредоточены на каждой организации и будут определены с помощью семинара, разработанного участниками программы EGIT. Задачи будут начинаться со стратегии и корпоративных целей каждого подразделения, а также разработки сценариев бизнес-рисков, связанных с ИТ, которые могут иметь отношение к конкретной бизнес-единице. Цель программы EGIT заключается в обеспечении наличия адекватной системы руководства, включая структуры руководства и повышение уровня возможностей и адекватности соответствующих ИТ-процессов. Ожидается, что по мере расширения возможностей ИТ-процессов возрастает и их эффективность и качество. Одновременно, связанные с ними риски будут пропорционально снижаться. Таким образом, реальные бизнес-выгоды могут быть реализованы каждым подразделением бизнеса. Как только будет определен процесс оценки уровня возможностей для каждого подразделения, предполагается, что самооценка будет продолжена в рамках каждого подразделения в качестве обычной деловой практики. Программа EGIT будет осуществляться в два этапа. Первый этап представляет собой этап разработки, на котором группа разработает и протестирует подходы и наборы инструментов, которые будут использоваться в корпорации Acme. По завершении первого этапа результаты будут представлены руководству группы для окончательного утверждения. Как только окончательное утверждение будет получено в форме утвержденного экономического обоснования, программа EGIT будет развернута в согласованном порядке во всей организации (Этап 2, Реализация). Следует отметить, что программа EGIT не несет ответственности за реализацию мер по исправлению положения, выявленного в каждом подразделении. Программа EGIT будет консолидировать и отчитываться о ходе выполнения, предоставленного каждым подразделением. Последняя задача, которая должна быть решена программой EGIT, заключается в том, чтобы отчитываться о результатах на постоянной основе в будущем. Этот аспект потребует времени и значительного объема дискуссий и разработки. Эти обсуждения и разработка должны привести к 37 совершенствованию существующих механизмов корпоративной отчетности и показателей. Подготовлен первоначальный бюджет этапа разработки программы EGIT. Бюджет подробно описан в отдельном документе. На второй этап проекта будет также составлен подробный бюджет, который будет представлен на утверждение руководству группы. 9.3 ИСХОДНЫЕ ДАННЫЕ EGIT является неотъемлемой частью общего руководства предприятием и ориентирована на повышение эффективности ИТ и управление рисками, связанными с зависимостью предприятия от ИТ. ИТ интегрировано в деятельность предприятий корпорации Acme. Для многих из них Интернет лежит в основе их деятельности. Таким образом, EGIT следует структурам управления группы: децентрализованному формату. Управление каждым дочерним/бизнес-подразделениями отвечает за обеспечение того, чтобы были реализованы процессы, релевантные EGIT. Ежегодно руководство каждой крупной дочерней компании обязано предоставлять официальный письменный отчет соответствующему комитету по рискам, который подчиняется совету директоров. В этом докладе будет подробно описана степень реализации политики EGIT в течение финансового года. Значительные исключения должны быть сообщены на каждом запланированном заседании соответствующего комитета по рискам. Совет директоров при содействии комитетов по управлению рисками и аудиту обеспечит оценку, контроль за деятельностью группы EGIT, отчетность и раскрытие описания программы EGIT в рамках интегрированного годового отчета предприятия. Описание программы EGIT будет основываться на отчетах, полученных от групп управления рисками, соответствию и внутреннему аудиту, а также на управлении каждой значительной дочерней компанией. Это описание представит как внутренним, так и внешним заинтересованным сторонам соответствующую и достоверную информацию о качестве деятельности группы в области EGIT. Службы внутреннего аудита обеспечат руководство и комитет по аудиту сведениями об адекватности и эффективности EGIT. О бизнес-рисках, связанных с ИТ, будет сообщаться и обсуждаться в рамках процесса управления рисками и в реестрах рисков, предоставленных соответствующему комитету по рискам. 9.4 ВЫЗОВЫ ДЛЯ БИЗНЕСА В связи с широким распространением ИТ и темпами технологических изменений необходима надежные стандарты для адекватного контроля над всей ИТ-средой и предотвращение разрывов контроля, которые могут подвергнуть предприятие неприемлемому риску. Цель состоит в том, чтобы не препятствовать операциям ИТ в различных операционных организациях. Вместо этого цель заключается в улучшении профиля рисков этих организаций таким образом, который имеет смысл для бизнеса и обеспечивает повышение качества и эффективности сервисов и в то же время явного достижения соответствия не только группой EGIT устава Acme Corporation, но и любых других законодательных, нормативных и/или договорных требований. Некоторые примеры вероятных болевых точек включают в себя: Сложные усилия обеспечения ИТ вследствие предпринимательского характера многих бизнес-подразделений Сложные операционные модели ИТ вследствие использования бизнес-моделей, основанных на Интернет-сервисах Географически распределенные организации с различными культурами и языками Децентрализованная/федеративная и в значительной степени автономная модель управления бизнесом, используемая в этой группе Внедрение обоснованных уровней управления ИТ, с учетом высокотехнологического и, порой, нестабильный ИТ-персонал ИТ уравновешивает стремление предприятия к инновационным возможностям и гибкости бизнеса с необходимостью управлять рисками и иметь адекватный уровень контроля Определение уровней рисков и толерантности для каждого бизнесподразделения 38 Растущая потребность в соблюдении регуляторных требований (конфиденциальность) и договорных (индустрия платежных карт (PCI)) Регулярные результаты аудитов о плохом контроле и проблемах, связанных с качеством ИТ-сервисов Успешное и своевременное предоставление новых и инновационных сервисов на высококонкурентном рынке 9.4.1 АНАЛИЗ РАЗРЫВОВ И ЦЕЛИ В настоящее время не существует групповых подходов или стандартов для EGIT или использования хороших практик и стандартов в области ИТ. В среде локальных бизнес-подразделений существуют различные уровни внедрения хороших практик в отношении EGIT. В результате, традиционно, очень мало внимания уделяется уровню возможностей процессов ИТ. И на основании опыта, уровни, как правило, низкие. Цель программы EGIT заключается в повышении уровня возможностей и адекватности процессов и механизмов управления, соответствующих приоритетам каждого бизнес-подразделения. Результатом должно быть то, что выявлены и сформулированы значимые риски, а руководство может рассмотреть риски понимать их статус. По мере повышения уровня возможностей каждого подразделения, должны пропорционально повышаться качество и эффективность, а профиль бизнесрисков, связанных с ИТ, для каждого предприятия должен снижаться. В конечном счете ценность бизнеса должна вырасти как результат эффективного выполнения программы EGIT. 9.4.2 РАССМАТРИВАЕМЫЕ АЛЬТЕРНАТИВЫ Существует множество ИТ стандартов, каждый из которых предназначен для управления конкретными аспектами ИТ. COBIT рассматривают многие из них как ведущие в мире EGIT и контроля. Они уже реализованы некоторыми дочерними компаниями Acme Corporation. COBIT был выбран Acme Corporation в качестве предпочтительного стандарта для внедрения EGIT и поэтому должен быть принят всеми дочерними компаниями. COBIT не должен внедряться в полном объеме, а только те области, которые имеют отношение к конкретному подразделению или бизнес-единице и должен быть реализован с учетом следующих факторов: 1. 2. 3. 4. 5. 6. Стадии развития каждого организации в жизненном цикле бизнеса Бизнес-целей каждой организации Важности ИТ для каждой организации Связанных с ИТ бизнес-рисков для каждой организации Юридических и контрактных требований Любых других релевантных причин Если конкретная организация или бизнес-подразделение уже внедрила другой стандарт или планирует это сделать в будущем, то эта реализация должна соотнесена с COBIT по причинам необходимой отчетности, аудита и ясности внутреннего контроля. 9.5 ПРЕДЛАГАЕМОЕ РЕШЕНИЕ Выполнение программы EGIT планируется выполнить в два этапа: 9.5.1 ЭТАП 1. ПРЕДВАРИТЕЛЬНОЕ ПЛАНИРОВАНИЕ Первый этап программы EGIT является этапом разработки. На данном этапе разработки выполняются следующие шаги: 1. Завершение структуры основной команды с заинтересованными сторонами и участниками проекта 2. Основная команда проходит обучение основам COBIT 3. Проведение рабочих семинаров с основной командой для определения подходов в группе 4. В Acme Corporation создается online-сообщество, чтобы выступать в качестве репозитория для обмена знаниями 5. Определение всех заинтересованных сторон и их требований 6. Текущие структуры комитетов, роли и обязанности, правила принятия решений и механизмы отчетности уточняются и, при необходимости, перестраиваются 7. Разработка и обеспечение актуальности экономического обоснования программы EGIT, как основы для успешной реализации программы 39 8. Разработан план коммуникаций для руководства принципами, политиками и ожидаемыми выгодами на протяжении всей программы 9. Разработаны инструменты оценки и отчетности для использования в течение действия всей программы и за ее границами 10. Подход проверяется на одном локальном предприятии. Эта деятельность предназначена для упрощения логистики и содействия совершенствованию подходов и инструментов 11. Усовершенствованный подход апробируется на одной из внешних организаций. Это делается для того, чтобы понять и количественно оценить трудности, связанные с запуском этапа оценки программы EGIT в более сложных бизнес-условиях 12. Представлены окончательные экономическое обоснование и подходы, в том числе, план развертывания для утверждения руководством Acme Corporation 9.5.2 ЭТАП 2. РЕАЛИЗАЦИЯ ПРОГРАММЫ Программа EGIT предназначена для запуска программы постоянного совершенствования, основанной на упрощенном, итеративном цикле, следуя следующим шагам: 1. Определите драйверы для улучшения EGIT, как с точки зрения Acme Corporation, так и с точки зрения бизнес-подразделения 2. Определите текущее состояние EGIT 3. Определите желаемое состояние EGIT (как в краткосрочной, так и в долгосрочной перспективе) 4. Определите, что должно быть реализовано на уровне бизнесподразделения, чтобы обеспечить достижение локальных бизнесцелей, и тем самым привести их в соответствие с ожиданиями группы 5. Реализация идентифицированных и согласованных проектов по совершенствованию на локальном уровне бизнес-подразделений 6. Реализация и мониторинг выгод 7. Поддержание новых способов работы, при этом сохраняя импульс для дальнейшего развития 9.5.3 СОДЕРЖАНИЕ ПРОГРАММЫ Программа EGIT будет охватывать: 1. Все организации группы. Тем не менее, организации будут самостоятельно расставлять приоритеты для взаимодействия исходя из ограниченности ресурсов программы 2. Метод определения приоритетов. Этот метод будет необходимо согласовать с руководством Acme Corporation, но это может быть сделано на следующей основе: a. Размере инвестиций b. Прибыли/вклада в группу c. Профиля рисков с точки зрения группы d. Комбинации этих критериев 3. Перечень организаций, которые будут охвачены в текущем финансовом году. Этот перечень должен быть доработан и согласован с руководством Acme Corporation 9.5.4 МЕТОДОЛОГИЯ И СОГЛАСОВАННОСТЬ ПРОГРАММЫ Реализация программы EGIT может быть достигнута с помощью упрощенного интерактивного подхода к проведению рабочих семинаров со всеми организациями. Подход начинается с бизнес-целей и владельцев целей, как правило, генеральный директор и финансовый директор. Такой подход должен обеспечивать, чтобы результаты программы были тесно согласованы с ожидаемыми бизнес-результатами и приоритетами. После того, как были охвачены бизнес-цели, фокус смещается на ИТоперации, как правило под контролем Технического директора или ИТдиректора. На уровне ИТ-операций рассматриваются дополнительные сведения о бизнес-рисках и целях, связанных с ИТ. Затем цели бизнеса и ИТ, а также связанные с ИТ, бизнес-риски объединяются в инструмент (на основе руководства COBIT), который обеспечивает набор областей сосредоточенности в процессах COBIT для изучения бизнесподразделением. Таким образом, бизнес-подразделение может определить приоритеты своих усилий по устранению ИТ-рисков. 9.5.5 РЕЗУЛЬТАТЫ ПРОГРАММЫ 40 Как уже упоминалось ранее, общая цель программы EGIT заключается во внедрении передовой практики EGIT в текущую деятельность различных организаций в группе. Специфические результаты будут созданы программой EGIT с тем, чтобы Acme Corporation могла оценить результаты, которые были получены. К ним относится следующее: 1. Программа EGIT будет способствовать внутреннему обмену знаниями с помощью внутрисетевой платформы и использовать существующие отношения с поставщиками в интересах отдельных бизнесподразделений 2. Будут создаваться подробные отчеты о каждом содействии бизнесподразделениям на основе инструмента оценки программы EGIT. Отчеты будут включать в себя: a. Текущие приоритетные бизнес-цели и соответствующие цели ИТ, основанные на COBIT b. Риски, связанные с ИТ, выявленные бизнес-подразделениями в стандартизированном формате и согласованные области внимания бизнес-подразделений на основе процессов и практик COBIT и других рекомендуемых компонентов 3. Будут созданы общие отчеты о ходе работ по предполагаемому охвату бизнес-подразделений Acme Corporation программой EGIT 4. Консолидированные отчеты по группе будут охватывать: a. Ход выполнения от бизнес-подразделений, участвующих в согласованных проектах реализации на основе мониторинга согласованных показателей эффективности b. Консолидированное представление ИТ-рисков в подразделениях Acme Corporation c. Специфические требования комитетов по рискам 5. Будет сформирована финансовая отчетность по бюджету программы по сравнению с фактической суммой расходов 6. Будет выполняться мониторинг и отчетность относительно целей и показателей выгод для бизнес-подразделений 9.5.6 РИСКИ ПРОГРАММЫ Ниже приведены потенциальные виды рисков для успешного запуска и обеспечения постоянной успешности программы EGIT в Acme Corporation. Риски будут снижаться за счет сосредоточения внимания на возможностях изменения и будут постоянно контролироваться и разрешаться с помощью анализа программы и реестра рисков. Виды рисков: 1. Приверженность руководства и поддержка программы как на уровне группы, так и на уровне локальных бизнес-подразделений 2. Демонстрация фактических выгод и ценности для каждого локального подразделения с помощью принятия программы. Локальные подразделения должны принять процесс за ценность, которую он дает, а не делать это из-за проводимых политик 3. Активное участие локального руководства реализации программы 4. Определение ключевых заинтересованных сторон в каждой организации для участия в программе 5. Понимание бизнеса в рядах руководства ИТ 6. Успешная интеграция с любыми инициативами в области руководства или соответствия, которые существуют в рамках группы 7. Существующие структуры комитета для надзора за программой. Например, ход выполнения программы EGIT в целом может стать пунктом повестки дня Исполнительного комитета ИТ. Также необходимо создать локальные эквиваленты. Это может быть сделано как на географическом уровне, так и на уровне локальных холдинговых компаний, там, где это может быть необходимо 9.5.7 ЗАИНТЕРЕСОВАННЫЕ СТОРОНЫ Следующие группы могут быть определены в качестве заинтересованных сторон в результатах программы EGIT: Комитет по рискам Исполнительный комитет ИТ Команда руководства Персонал по обеспечению соответствия Региональное руководство Исполнительное руководство на локальном уровне (включая ИТруководство) 41 Окончательная структура, содержащая имена заинтересованных сторон, будет составлена и опубликована после консультаций с руководством группы. Программа EGIT нуждается в том, чтобы заинтересованные стороны предоставили следующее: 1. Руководство относительно общего направления программы EGIT. Это руководство включает в себя решения по важным вопросам, связанными с руководством, которое определено в матрице RACI группы в соответствии с руководством COBIT. Кроме того, оно включает в себя определение приоритетов, согласование финансирования и утверждение целей получения ценности 2. Принятие результатов и мониторинг ожидаемых выгод программы EGIT 9.5.8 АНАЛИЗ ЗАТРАТ И ВЫГОД Программа должна определить и контролировать ожидаемые выгоды для обеспечения гарантии, что за счет инвестиций создается реальная ценность для бизнеса. Локальное руководство должно обеспечить мотивацию и поддержку программы. Программа EGIT должна привести к выгодам, которые будут определены в качестве конкретных целей для каждого бизнесподразделения и контролироваться, и измеряться в ходе реализации, чтобы обеспечить их получение. Выгоды включают в себя: 3. Законодательное, регуляторное и договорное соответствие, также соответствие внутренним политикам и процессам 4. Последовательный подход к измерению и мониторинга прогресса, результативности и эффективности 5. Улучшение качества предоставления сервисов 6. Снижение затрат на ИТ и/или повышение эффективности ИТ за счет последовательного выполнения работ за меньшее время и с меньшими ресурсами Основные расходы будут включать в себя время, необходимое для управления программами группы, привлечение внешних консультативных ресурсов и курсы начального обучения. Эти основные расходы были определены на первом этапе. Расходы на проведение рабочих семинаров по оценке для индивидуальных бизнес-подразделений и владельцев процессов (посещение, место проведения, координаторы и другие связанные с этим расходы) будут финансироваться на локальном уровне и будет предоставлена соответствующая оценка. Конкретные инициативы по совершенствованию проектов для каждого подразделения будут оцениваться на втором этапе и рассматриваться как на индивидуальной основе, так и в целом. Это позволит группе максимально повысить эффективность и стандартизацию. 9.5.9 ВЫЗОВЫ И ФАКТОРЫ УСПЕХА В следующей таблице кратко представлены вызовы, которые могут оказывать влияние на программу EGIT в период реализации программы и критические 1. Максимальную реализацию возможностей для бизнеса с помощью ИТ факторы успеха, которые должны быть решены для обеспечения успешного при одновременном снижении связанных с ИТ бизнес-рисков до результата. приемлемых уровней, обеспечивая тем самым ответственную соотнесение рисков с возможностями во всех бизнес-инициативах ВЫЗОВЫ И ПЛАНИРУЕМЫЕ МЕРОПРИЯТИЯ ACME CORPORATION 2. Поддержка бизнес-целей ключевыми инициативами и оптимальной отдачей от этих инвестиций, тем самым обеспечивая согласованность ИТ-инициатив и целей с бизнес-стратегией ВЫЗОВ КРИТИЧЕСКИЙ ФАКТОР УСПЕХА – ПЛАНИРУЕМЫЕ МЕРОПРИЯТИЯ Неспособность получить и обеспечивать поддержку целей в Снижение с помощью структуры комитетов в рамках группы (должны быть области совершенствования сформированы и согласованы) Разрыв коммуникаций между ИТ и бизнесом Вовлечение всех заинтересованных сторон Стоимость улучшений перевешивает ожидаемые выгоды Сосредоточенность на идентификации выгод 42 Отсутствие доверия и хороших отношений между ИТ и предприятием Непонимание среды Acme Corporation, теми, кто отвечает за реализацию программы EGIT Различные уровни сложности (техническая, организационная, операционная модель) Понимание структур, процедур, практик EGIT Сопротивление переменам Принятие улучшений Трудности в интеграции EGIT с моделями управления партнеров Невыполнение обязательств по реализации программы EGIT Попытка сделать слишком много за один раз, ИТ пытается решить чрезмерно сложные проблемы Поощрение открытых и прозрачных коммуникаций об эффективности со связями с корпоративным управлением эффективностью Сосредоточенность на интерфейсах и менталитете сервисов Публикация положительных результатов и извлеченных уроков для создания и поддержания доверия Обеспечение гарантии, что ИТ-директор сохраняет доверие и лидерство в создании доверия и отношений Формализация ролей и обязанностей руководства бизнеса, чтобы ответственность за принятие решений была понятна Выявление и информирование доказательств реальных проблем и рисков, которых необходимо избегать, и выгод, которые необходимо получить с точки зрения бизнеса, связанных с предлагаемыми улучшениями Сосредоточенность на планировании изменений Применение последовательной методологии оценки Рассмотрение объектов на индивидуальной основе. Извлечение выгод из полученных уроков и обмена знаниями Обучение и наставничество Обеспечение гарантии, что реализация жизненного цикла также включает в себя мероприятия по включению изменений Включение локальных полномочий на уровне организаций Привлечение поставщиков/третьих сторон к мероприятиям EGIT Включение условий и права на аудит в контракты Управление ожиданиями Поддержание программы простой, практичной и реалистичной Разбиение общего проекта на небольшие, достижимые проекты, создающие опыт и выгоды Применение принципов управления программами и проектами Использование вех Определение приоритетов задач по принципу 80/20 (80 процентов выгод при 20 процентах усилий) и осторожность при определении порядка выполнения. Капитализация быстрых побед Создание доверия. Наличие навыков и опыта для поддержания простоты и практичности Повторное использование того, что уже есть в качестве основы 43 ИТ находится в режиме тушения пожаров и/или не имеет возможности определения приоритетов и сосредоточится на EGIT Отсутствие необходимых ИТ-навыков и компетенций, таких как, понимание бизнеса, процессов, отсутствие мягких навыков Улучшения не принимаются или не используются Выгоды сложно показать или доказать Потеря интереса и импульса Использование хороших лидерских навыков Получение приверженности высшего руководства, чтобы они имели возможность сосредоточенности на EGIT Устранение корневых причин в операционной среде (внешнее вмешательство, приоритеты управления ИТ Использование более жесткой дисциплины управления бизнес-запросами Получение внешней помощи Сосредоточенность на планировании включения изменений: o Разработка o Обучение o Коучинг o Менторство o Обратная связь в процессе набора персонала o Взаимо-обучение Использование индивидуального подхода с согласованными принципами локальной организации. Должно быть практичным для использования Идентификация метрик эффективности Построение вовлеченности на уровне группы, включая коммуникации 10: COBIT И ДРУГИЕ СТАНДАРТЫ 10.1 РУКОВОДЯЩИЕ ПРИНЦИПЫ Одним из руководящих принципов, используемых на протяжении всей разработки COBIT 2019, было сохранение позиционирования COBIT в качестве зонтичной структуры. Это означает, что COBIT продолжает поддерживать согласованность с рядом соответствующих стандартов, структур и/или правил. В этом контексте согласованность означает, что COBIT не противоречит какимлибо рекомендациям в соответствующих стандартах. В то же время важно помнить, что COBIT не копирует содержание этих связанных стандартов. Вместо этого COBIT предоставляет эквивалентные описания или ссылки на соответствующие рекомендации. 10.2 СПИСОК СТАНДАРТОВ Стандарты и рекомендации, используемые при разработке обновления COBIT 2019 включают: CIS® Center for Internet Security®, The CIS Critical Security Controls for Effective Cyber Defense, Version 6.1, August 2016 Облачные стандарты и хорошие практики: o Amazon Web Services (AWS®) o Security Considerations for Cloud Computing, ISACA o Controls and Assurance in the Cloud: Using COBIT® 5, ISACA CMMI® Cybermaturity Platform, 2018 CMMI® Data Management Maturity (DMM)SM model, 2014 CMMI® Development V2.0, CMMI Institute, USA, 2018 Committee of Sponsoring Organizations (COSO) Enterprise Risk Management (ERM) Framework, June 2017 European Committee for Standardization (CEN), e-Competence Framework (e-CF) - A common European Framework for ICT Professionals in all industry sectors - Part 1: Framework, EN 16234-1:2016 HITRUST® Common Security Framework, version 9, September 2017 44 Information Security Forum (ISF), The Standard of Good Practice for Information Security 2016 Стандарты International Organization for Standardization / International Electrotechnical Commission (ISO/IEC) 45
