cobit практика ит менеджмента
Применение COBIT при разработке ИТ-стратегии
Некоторое время назад, мне пришлось заниматься вопросом разработки ИТ-стратегии для одной финансовой организации. Хочу поделиться своим опытом.
Известно, что ИТ-стратегия должна гармонично укладываться в бизнес-стратегию и помогать ей достигать бизнес-цели. При разработке бизнес-стратегии часто используют сбалансированные показатели эффективности и стратегические карты Нортона-Каплана, которые удивительным образом похожи на подходы, описанные в COBIT. В работе я пользовался материалами из COBIT версии 5.0. В COBIT рассматриваются каскады целей, которые показывают связь между бизнесом и ИТ. Используя методику построения каскада целей и эталонную модель процессов, описанных в рамках методологии COBIT, можно проследить взаимосвязь между отдельной бизнес-целью организации и ИТ-процессами.
На рис.1 изображен процесс выявления Целей ИТ и факторов влияния по COBIT 5.0. Данная методология предлагает бизнес-цели определенные в организации привести к 17 типовым бизнес-целям определенным в COBIT. Затем используя матрицу соответствия, 17 типовых бизнес-целей конвертируются в 17 типовых ИТ целей. В свою очередь, для достижения 17 типовых ИТ целей COBIT5.0 предлагает использовать 37 типовых ИТ процесса. Уровень зрелости процессов оценивается по определенным в COBIT критериям. Это позволяет определить процессы, которые необходимо усовершенствовать и выбрать действия и метрики, которые позволят достичь нужных результатов.
Рис.1 Каскад целей Cobit
В таблице 1 представлено соответствие формулировок бизнес-целей организации и COBIT 5.0 в формате стратегической карты Нортона-Каплана.
| Направление | Формулировка целей бизнеса данная акционерами | Формулировка целей по Cobit5 | |
| Финансы | Повышение капитализации | -Отдача от инвестиций для заинтересованных сторон | |
| Сокращение затрат | -Оптимизация затрат на предоставление услуг -Оптимизация функциональности бизнес процессами | ||
| Увеличение дохода | -Портфель конкурентоспособных товаров и услуг | ||
| Клиенты | Увеличение количества клиентов | -Портфель конкурентоспособных товаров и услуг — Клиентоориентированная сервисная культура -Непрерывность и доступность бизнес-услуг | |
| Лучшее понимание организацией потребностей клиентов | -Клиентоориентированная сервисная культура | ||
| Повышение удовлетворенности клиентов качеством обслуживания | -Непрерывность и доступность бизнес-услуг -Клиентоориентированная сервисная культура | ||
| Разработка и запуск новых продуктов | -Гибкая реакция на изменяющиеся условия ведения бизнеса -Управление программами бизнес-изменений | ||
| процессы | Уменьшение стоимости операционных и бизнес процессов | -Оптимизация затрат на предоставление услуг | |
| Внедрение управления бизнес-процессами | -Оптимизация функциональности бизнес процессами | ||
| Создание конкурентных преимуществ за счет ИТ технологий | -Квалифицированный и мотивированный персонал -Портфель конкурентоспособных товаров и услуг | ||
| Повышение эффективности дистанционного обслуживания | — Клиентоориентированная сервисная культура -.Квалифицированный и мотивированный персонал -Управление программами бизнес-изменений | ||
| Организация проектного управления | -Управление программами бизнес-изменений | ||
| Персонал, ресурсы | Оптимизация орг. структуры | -Операционная производительность персонала | |
| Привлечение и поддержка квалифицированных специалистов | -Квалифицированный и мотивированный персонал | ||
| Развитие системы мотивации | -Квалифицированный и мотивированный персонал -Операционная производительность персонала | ||
| Развитие /ИТ инфраструктуры | -Квалифицированный и мотивированный персонал -Операционная производительность персонала -Портфель конкурентоспособных товаров и услуг | ||
Следующим шагом является расстановка приоритетов бизнес-целей с указанием веса.
Пример определения приоритетов Бизнес-целей по COBIT5.0
| Номер цели | Бизнес-цель | Вес | Рейтинг |
| BG01 | Отдача от инвестиций для заинтересованных сторон | 2 | 2 |
| BG02 | Портфель конкурентоспособных товаров и услуг | 2 | 2 |
| BG03 | Управляемые бизнес-риски (защита активов) | 1 | 1 |
| BG04 | Соответствие внешним законам и регулирующим нормам | 1 | 1 |
| BG05 | Финансовая прозрачность | 1 | 1 |
| BG06 | Клиентоориентированная сервисная культура | 2 | 2 |
| BG07 | Непрерывность и доступность бизнес-услуг | 3 | 3 |
| BG08 | Гибкая реакция на изменяющиеся условия ведения бизнеса | 1 | 1 |
| BG09 | Принятие стратегических решений на основе информации | 1 | 1 |
| BG10 | Оптимизация затрат на предоставление услуг | 3 | 3 |
| BG11 | Оптимизация функциональности бизнес-процессов | 3 | 3 |
| BG12 | Оптимизация затрат бизнес-процессов | 3 | 3 |
| BG13 | Управление программами бизнес-изменений | 1 | 1 |
| BG14 | Операционная производительность персонала | 3 | 3 |
| BG15 | Соблюдение внутренних политик | 1 | 1 |
| BG16 | Квалифицированный и мотивированный персонал | 1 | 1 |
| BG17 | Культура долгосрочных инноваций продуктов и бизнеса | 1 | 1 |
Следующим этапом определяется перечень ИТ-целей в соответствии с их влиянием на бизнес-процессы (см. таблица 3). COBIT предлагает готовую матрицу зависимостей Бинес-целей и ИТ-целей, которая описана в книге COBIT5 «A Business Framework for the Governance and Management of Enterprise IT», но ее можно корректировать в зависимости от специфики организации. При этом должен учитываться вес влияния каждой позиции.
Рейтинг бизнес-целей(BG) можем рассчитать исходя из следующего правила:
Таблица 3. Зависимость целей ИТ от целей бизнеса.
Исходя из этих целей уже можно выстраивать ИТ-стратегию. При этом необходимо учитывать зрелость имеющихся в организации ИТ-процессов. Книга COBIT5.0 «Enabling process» предлагает методику оценки зрелости ИТ-процессов, которая объективно показывает реальную картину.
Рис.2 Типовые ИТ процессы
Таким образом, методология COBIT совместно со SWOT анализом текущей ситуации в инфраструктуре, программном обеспечении и в организационной структуре дает возможность составить понятную, объяснимую и доказуемую стратегию развития ИТ.
Для удобства можно использовать модель подготовленную, например в Excell, в которой прописать все цели, приоритеты и зависимости. Пример такой модели можно найти здесь.
Система управления ИТ COBIT была создана еще в 1996 году. Она прошла за это время путь от простого аудита к сложной и многопрофильной структуре ИТ-менеджмента. В последней на данный момент пятой версии данная методология реализует базовые принципы, позволяющие предприятию организовать эффективное управление, оптимизирующее вложение инвестиций в информацию и технологии. Применение COBIT 5 способно принести реальную отдачу компании, которая ее использует, ведь это настоящий структурированный свод знаний ИТ-менеджмента.
Именно этой уникальной системе посвящен курс «COBIT – практики ИТ-менеджмента » Центра компьютерного обучения «Специалист» при МГТУ им. Н.Э. Баумана, который ведет очень опытный преподаватель Мейер Сергей Алексеевич, более 10 лет занимающийся разработкой и внедрением различных информационных систем. В процессе обучения Вы сможете получить у него все необходимые советы по практическому внедрению и использованию COBIT 5.
Курс будет интересен достаточно широкой аудитории. Мы приглашаем на него не только руководителей ИТ-подразделений, но и бизнес-менеджеров, курирующих деятельность ИТ, контролеров и аудиторов ИТ-процессов. Ждем на этих занятиях всех, кто интересуется методологией COBIT и заинтересован в сертификации COBIT 5 Foundation.
Курс состоит из пяти модулей и рассчитан на 24 академических часа. Пройдя обучение, Вы познакомитесь с основными принципами управления ИТ, реализованными в этой системе, а кроме того, сможете подготовиться к экзамену для получения сертификации COBIT 5 Foundation. Материалы учебной программы позволят Вам научиться применять COBIT 5 для решения прикладных задач руководства, контроля и оценки.
Сегодня невозможно даже представить себе эффективное ведение бизнеса без использования информационных систем (ИС) и информационных технологий (ИТ). Количество информационных систем растет, их сложность увеличивается. И все чаще возникают вопросы эффективного и рационального использования этих ресурсов. На первое место после проведения внедрения выходит эффективная поддержка инфраструктуры.
На курсах IT-менеджмента в Центре «Специалист» Вы приобретете реальный практический опыт использования программного обеспечения ITIL®, разработанного на платформе 1С и учитывающего российский опыт организации служб технической поддержки и сопровождения.
Зачем вам лучшие практики управления ИТ-инфраструктурой?
Как вы работаете: по наитию или по науке? Наверное, никто не даст однозначного ответа: работа в ИТ-сфере предполагает сочетание опыта и технологий, точных указаний, норм и красивых, даже талантливых, инженерных находок. В любом случае, опыт решает. А как насчёт чужого опыта? В мире создано множество сводов и правил, предназначенных для работы ИТ-служб, которые объединяет понятие с маркетинговым оттенком — «лучшие практики». Это опыт, сформированный множеством компаний и позволяющий довольно просто решать стандартные проблемы.
Зоопарк методологий: очень краткий обзор
ITIL и ITSM
ITIL (IT Infrastructure Library) — набор публикаций (библиотека), содержащий лучшие практики в области управления ИТ-услугами. ITIL содержит рекомендации по предоставлению качественных ИТ-услуг, процессов, функций, а также других средств, необходимых для их поддержки. Структура ITIL основана на жизненном цикле услуги, который состоит из пяти стадий (стратегия, проектирование, преобразование, эксплуатация и постоянное совершенствование). Также существуют дополнительные публикации, входящие в ITIL и содержащие специфичные рекомендации по индустриям, типам компаний, моделям работы и технологическим архитектурам. Это каноническое определение ITIL.
На самом деле, эта библиотека породила целую парадигму управления ИТ-инфраструктурой компании, основанную на SLA (соответствие обещаний поставщика услуги ожиданиям клиента) и ITSM (IT Service Management, управление ИТ-услугами). ITSM — это концепция организации работы ИТ-подразделения и его взаимодействия с внешним или внутренним заказчиком, а также внешними контрагентами.
ITSM сам по себе ИТ-проект, поэтому, как и все остальные проекты, имеет свои преимущества и недостатки. Использование методов ITSM даёт возможность делать сервис дешевле и оперативнее, а работу ИТ-подразделения прозрачнее, что особенно ценно в многофилиальных и холдинговых организациях. Также есть ещё один момент, который в век стартапов и буквально молниеносного роста новых типов бизнеса вышел за пределы интересов крупных организаций — это возможность сертификации по ISO 20000, международному стандарту для управления и обслуживания ИТ-сервисов. Полезная штука, если вы претендуете на кусок рынка и ищете себе инвестора.
Теперь о рисках. Понятно, что стандарты ITSM и библиотека ITIL описывают лучшие практики и при ознакомлении с ними кажется, что всё логично и именно так работать и должно.
CobiT
CobiT (Control Objectives for Information and Related Technologies, задачи управления для информационных и смежных технологий) — сбор стандартов и руководств в области управления ИТ-аудита и безопасности; руководство и сборник практик по управлению ИТ-процессами. Связанный с ITIL инструмент, который непрерывно обновляется и предназначен для того, чтобы между руководством компании, ИТ-специалистами и аудиторами (внешними и внутренними) царили мир и взаимопонимание. Проще говоря, управляющий менеджер должен понимать все ИТ-риски, в том числе связанные с бездействием в ситуациях, требующих коррекции, а также потенциальные риски, связанные с использованием того или иного элемента ИТ-инфраструктуры компании.
Рассмотрим две распространённые ситуации.
Ситуация первая. У руководства компании может отсутствовать понимание того, что происходит в ИТ-пространстве, но при этом быть полное понимание целей и миссии бизнеса, процессов, продукта и услуг. И наоборот, ИТ-директор может фанатично строить идеальную ИТ-инфраструктуру, практически не интересуясь тем, как она вписывается в стратегию развития компании. И случается такое нередко именно в самом уязвимом слое — среднем бизнесе, который ещё не достиг нового уровня управления (как гигант), но уже пережил разрастание служб и разрыв простых и внятных внутрифирменных коммуникаций, присущих малому бизнесу. А между тем, такое положение вещей не снимает с руководителя ответственность абсолютно за все процессы в компании, в том числе происходящие в ИТ.
Ситуация вторая, свойственная компаниям любого уровня: от микробизнеса до транснациональных корпораций, — неадекватная оценка рисков. Почти каждый из нас хоть раз встречался с рисками завышенного масштаба: например, страх перед DDoS в небольшой компании или всем известная и так и не ставшая реальностью «проблема 2000». Это риски, которым придают огромное значение и которые не несут объективной угрозы. С другой стороны, существуют недооценённые риски, на которые никто не обращает внимание, но именно они способны положить весь рабочий процесс или принести коммерческий ущерб: неограниченный срок действия учётных записей и паролей пользователей от рабочих ПК и корпоративных информационных систем, клиент-банков; передача коммерчески значимых данных по незащищённым каналам; отсутствие антивирусов и проч. Чтобы классифицировать риски и грамотно их оценить, необходимо проводить внутренний и/или внешний ИТ-аудит. Он, в свою очередь, должен быть не проверкой соответствия правилам и не толчком к соблюдению правил, а именно соблюдением правил. Поэтому аудит должен быть регулярным и сопряжённым с мониторингом системным процессом получения и оценки объективных данных о текущем состоянии информационной системы, действиях и событиях, происходящих внутри неё.
То есть фактически CobiT исходит из понимания того, что ИТ-инфраструктура — это управление информацией, а согласно своду информация оценивается по нескольким критериям:
DevOps
Связан с ITIL (в некоторых источниках считается прямым следствием), покрывается CobiT, но имеет совершенно другую парадигму подход к системному администрированию DevOps. Впрочем, сама расшифровка названия указывает на то, что это гибрид на стыке администрирования и разработки (development и operations). Методология DevOps соединяет в себе труд разработчиков и ИТ-инженеров (это могут быть сформированные команды, отдельные люди или даже один человек), тем самым обеспечивая быстрые темпы развёртывания, надёжность и безопасность production-среды (включая тестирование). Говоря проще, эта методология исключила распространённую фразу, ставшую мемом: «Проблема на стороне железа/софта».
DevOps отлично вписался в Agile-методологию с частыми билдами и релизами, хорошо работает в случае развития и тестирования облачных сервисов, а также непрерывно развивающихся пользовательских приложений (корпоративных систем, игр, планировщиков, агрегаторов и т.д.), именно поэтому с 2009 года он хорошо развился и прижился во многих командах как своеобразный тип айтишной кооперации. Дополнительное преимущество DevOps-методологии ощущается при использовании разработчиками и инженерами по тестированию виртуальных машин, конфигурационных файлов, интеграционного и непрерывного тестирования. Например, при тестировании сервисов IP-телефонии тестировщик пишет и использует автоматические тесты, сам настраивает схему, виртуальные машины, репликацию базы данных — фактически это и есть DevOps.
Ок, моя компания не входит в топ-100 мира, что мне делать с этой информацией?
Действительно, ITIL и CobiT затрагивают и описывают несколько десятков ИТ-процессов, многих из которых нет в большинстве организаций. Однако это не повод отказаться от ознакомления с основами методологий, чтобы внедрить некоторые идеи в жизнь вашей ИТ-инфраструктуры. Вот примерный перечень того, что даёт использование некоторых принципов перечисленных методологий.
Alloy Navigator — комплексное средство управления работой ИТ-инфраструктуры предприятия. Продукт представляет собой простую и многофункциональную систему Service Desk, с широкими возможностями по управлению активами и поддержкой всего спектра задач подразделения IT. Нацелен на потребность среднего и крупного бизнеса. Для малого бизнеса есть Alloy Navigator Express.
Alloy Discovery — система сбора и обработки информации о компьютерном оборудовании и программном обеспечении компании. Продукт разработан специально для сетевых администраторов и поставщиков услуг, подходит для малого и среднего бизнеса. Для совсем небольшого бизнеса есть Alloy Discovery Express.
Alloy Navigator
Alloy Navigator Express — от 20 000 руб. / пользователь, от 150 руб. / хост
Alloy Navigator Enterprise — от 83 000 руб. / пользователь, от 150 руб. / хост
Подробности тут
Пост об Alloy Navigator на Хабре живёт здесь.
Alloy Discovery
Alloy Discovery Express — от 12 000 руб. / пользователь, от 150 руб. / хост
Alloy Discovery Enterprise — от 19 000 руб. / пользователь, от 150 руб. / хост
Подробности тут
Пост об Alloy Discovery на Хабре живёт здесь.
COBIT: IT Management and Governance
09.02.04 Информационные системы (по отраслям)
Курс знакомит с концепцией и процессами руководства ИТ (IT Governance), является отличным дополнением для тех, кто уже знаком с основами ITIL® и хочет продолжить изучение передового опыта управления информационными технологиями. Курс также адресован тем, кто приступает к изучению вопросов оценки, контроля и аудита ИТ, в том числе участникам контрольных и аудиторских мероприятий, как со стороны контролирующих, так и со стороны проверяемых организаций.
Преподаватели
Описание курса
Цели курса:
COBIT 5 объединяет 5 принципов, позволяющих предприятию организовать на основе семи факторов влияния эффективное руководство и управление, оптимизирующие инвестиции в информацию и технологии и их использование на благо заинтересованных лиц.
Курс предназначен для:
Курс знакомит с концепцией и процессами руководства ИТ (IT Governance), является отличным дополнением для тех, кто уже знаком с основами ITIL® и хочет продолжить изучение передового опыта управления информационными технологиями. Курс также адресован тем, кто приступает к изучению вопросов оценки, контроля и аудита ИТ, в том числе участникам контрольных и аудиторских мероприятий, как со стороны контролирующих, так и со стороны проверяемых организаций.
Предварительная подготовка
Требуемая подготовка:
Успешное окончание курсов: Основы управления ИТ услугами по ITIL 4.0 или Управление IT службой компании, или Практический опыт работы в компании, использующей методологию.
COBIT и связанные методики
Взаимосвязи трех основных методологий, предлагаемых ISACA, показаны на рис. 15.1. Это методологии COBIT, Val IT и Risk IT.
COBIT 4.1
В связи с этим нужно сделать важную оговорку. Все неточности, недоговоренности и неясности, встречающиеся в (CobiT, 2007), возможно, разъясняются в других документах по COBIT, поэтому не всегда следует относить их на счет несовершенства и недоработанности самой методологии.
Концепция и основные понятия COBIT
Методы построения целей ИТ остаются за рамками COBIT. В приложениях к (COBIT, 2007) приведены лишь примеры условных целей бизнеса и соответствующих им столь же условных целей ИТ. Между тем попытки применить этот подход на практике показывают, что построение целей ИТ не является тривиальной задачей. Во-первых, цели бизнеса не являются постоянными, застывшими, и далеко не везде и не всегда их изменение происходит дискретно в запланированные сроки. Непонятно, как в этом случае организовать непрерывную коррекцию соответствующих целей ИТ. Во-вторых, цели бизнеса и ИТ формулируются на совершенно разных языках, и это порождает проблемы. Такие понятия как, например, «рентабельность», «прозрачность», «прибыльность», обычные для бизнес-языка, объективно оказываются очень сложными и многозначными при попытке перевода их на язык ИТ. Для выполнения работы по переводу целей бизнеса в цели ИТ нужен переводчик, одинаково хорошо владеющий языком бизнеса и техническим языком ИТ и пользующийся полным доверием бизнеса и ИТ-специалистов. Даже если переводчиком служит квалифицированный и профессиональный независимый консультант, обеспечить доверие к переводу, особенно со стороны бизнеса, удается далеко не всегда. Таким образом, попытка построить управление, отталкиваясь от целей ИТ, порождает целый ряд сложностей и во всяком случае не является единственно возможным подходом к стратегическому планированию ИТ.
Для описания деятельности по развитию корпоративных ИТ в соответствии со сформулированными целями ИТ в COBIT выстроена довольно сложная и не всегда строго определенная собственная система понятий, не встречающихся в других методологиях и стандартах.
Еще одна категория средств управления возникает в связи с взглядом, согласно которому ИТ-организация отвечает за предоставление ИТ-услуг, общих для нескольких бизнес-процессов или даже для всего предприятия. Средства управления деятельностью по предоставлению ИТ-услуг называются общими ( general ). Примерами общих средств управления ИТ служат, согласно COBIT:
Сами по себе средства управления в COBIT не изучаются, и структура их для COBIT не представляет интереса. Они важны только как объект целеполагания, т. е. как то, чему можно сопоставить цель. Эти цели называются целями управления ( control objectives ); они играют фундаментальную роль в концепции COBIT.
Таким образом, возникают цели управления ИТ организации в целом, цели автоматических средств управления (приложений) в бизнес-процессах, цели общих средств управления ИТ.
» АС1. Подготовка и авторизация исходных данных
Обеспечить то, чтобы исходные документы готовились уполномоченным и квалифицированным персоналом, следующим установленным процедурам, с учетом разделения ответственностей по созданию и утверждению документа. Минимизировать ошибки и пропуски за счет надлежащего построения форм ввода. Регистрировать ошибки и ошибочные ситуации для подготовки отчетов и исправления.
АС2. Сбор и ввод исходных данных
Обеспечить, чтобы ввод данных выполнялся своевременно и с участием квалифицированного и уполномоченного персонала. Корректировка и повторный ввод данных в случае ошибки при вводе должны выполняться с авторизацией на тех же уровнях. По возможности сохранять первоначальные исходные документы в течение надлежащего периода времени.
АС3. Проверка на точность, завершенность и аутентичность
Обеспечить точность, завершенность и достоверность транзакции. Проверять введенные данные, редактировать или возвращать для исправления как можно ближе к точке ввода.
АС4. Работа с целостностью и достоверностью
Поддерживать целостность и достоверность данных на протяжении всего цикла обработки. Обнаружение ошибочных транзакций не отражается на обработке правильных транзакций.
АС5. Выходные проверки
Разработать процедуры и связанные с ними обязанности, обеспечивающие, что выходные данные обрабатываются в соответствии с правилами авторизации, направляются надлежащему получателю и защищаются при передаче, а также то, что точность выходных данных верифицируется, распознается и корректируется и что информация, содержащаяся в них, используется.
АС6. Аутентификация и целостность транзакции
До передачи данных транзакции между внутренними приложениями и бизнес/операционными подразделениями (внутри организации или вовне ее) проверить правильность их адресной информации, подлинность происхождения и целостность. Поддерживать подлинность и целостность при передаче или пересылке».
Не обсуждая осмысленности и логической завершенности этого перечня, следует отметить, что сформулированные цели скорее относятся не к приложениям, а к единой технологии их разработки. В COBIT говорится, что «ИТ-процессы COBIT затрагивают только те аспекты управления приложениями, которые связаны с их разработкой». Тем самым подразумевается, что достижение целей управления ИТ-процессами должно обеспечивать достижение вышеприведенных целей приложений. О том, как это достигается, COBIT умалчивает.
Значительное место в COBIT занимает описание методов оценки эффективности и результативности ИТ-процессов. Для этого используется комбинированный подход, включающий:
Более подробно об оценке эффективности процессов будет говориться в разделе, посвященном ИТ-процессам.