АС6. Аутентификация и целостность транзакции

АС1. Подготовка и авторизация исходных данных

Обеспечить то, чтобы исходные документы готовились уполномоченным и квалифицированным персоналом, следующим установленным процедурам, с учетом разделения ответственностей по созданию и утверждению документа. Минимизировать ошибки и пропуски за счет надлежащего построения форм ввода. Регистрировать ошибки и ошибочные ситуации для подготовки отчетов и исправления.

АС2. Сбор и ввод исходных данных

Обеспечить, чтобы ввод данных выполнялся своевременно и с участием квалифицированного и уполномоченного персонала. Корректировка и повторный ввод данных в случае ошибки при вводе должны выполняться с авторизацией на тех же уровнях. По возможности сохранять первоначальные исходные документы в течение надлежащего периода времени.

АС3. Проверка на точность, завершенность и аутентичность

Обеспечить точность, завершенность и достоверность транзакции. Проверять введенные данные, редактировать или возвращать для исправления как можно ближе к точке ввода.

48. Модель процессов управления ИТ. (АС4- АС6).

АС4. Работа с целостностью и достоверностью

Поддерживать целостность и достоверность данных на протяжении всего цикла обработки. Обнаружение ошибочных транзакций не отражается на обработке правильных транзакций.

АС5. Выходные проверки

Разработать процедуры и связанные с ними обязанности, обеспечивающие, что выходные данные обрабатываются в соответствии с правилами авторизации, направляются надлежащему получателю и защищаются при передаче, а также то, что точность выходных данных верифицируется, распознается и корректируется и что информация, содержащаяся в них, используется.

АС6. Аутентификация и целостность транзакции

До передачи данных транзакции между внутренними приложениями и бизнес/операционными подразделениями (внутри организации или во- вне ее) проверить правильность их адресной информации, подлинность происхождения и целостность. Поддерживать подлинность и целостность при передаче или пересылке.

49. Процессная модель.

Процессная модель COBIT организована следующим образом. Всего имеется 34 процесса, сгруппированных в четыре процессные области. Перечень областей и составляющих их процессов приведен ниже.

Процессная область «Планирование и организация» включает следующие процессы:

• разработка стратегического плана развития ИТ;

• определение информационной архитектуры;

• определение направления технологического развития;

• разработка ИТ-процессов, методов организации и взаимосвязей;

• управление ИТ-инвестициями;

• информирование о директивных целях и направлениях развития ИТ;

• управление персоналом;

• управление качеством;

• оценка ИТ-рисков и управление ими;

• управление проектами.

Процессная область «Приобретение и внедрение» включает процессы:

• выбор программного решения;

• проектирование, разработка и поддержка программного обеспечения;

• приобретение и поддержка технологической инфраструктуры;

• обеспечение использования;

• приобретение ИТ-ресурсов;

• управление изменениями;

• установка и формальная приемка.

Процессная область «Эксплуатация и сопровождение» включает следующие процессы:

• определение уровней обслуживания и управление ими;

• управление услугами сторонних организаций;

• управление производительностью и мощностями;

• обеспечение непрерывности обслуживания;

• обеспечение безопасности систем;

• определение и распределение затрат;

• обучение и подготовка пользователей;

• управление службой поддержки и инцидентами;

• управление конфигурацией;

• управление проблемами;

• управление данными;

• управление физической защитой ИТ-ресурсов;

• управление функционированием.

Процессная область «Мониторинг и оценка» включает следующие процессы:

• мониторинг и оценка эффективности ИТ;

• мониторинг и оценка системы управления ИТ;

• обеспечение соответствия внешним требованиям;

• обеспечение корпоративного управления ИТ.

50. Требования к управлению в COBIT. (РС1-РС3).

PC1. Цели и задачи процесса

Определить конкретные, измеримые, выполнимые, реалистичные, нацеленные на результат и привязанные ко времени1 цели и задачи процесса и цели управления для обеспечения результативности каждого ИТ- процесса. Обеспечить их связь с целями бизнеса и поддержку их метриками. Сделать эти цели доступными для заинтересованных лиц.

PC2. Владение процессом

Назначить владельца для каждого ИТ-процесса и явно определить его роли и ответственности. Включить, например, ответственность за структуру процесса, его взаимодействие с другими процессами, единоличную ответственность за конечный результат, измерение эффективности и определение возможностей улучшения.

PC3. Повторяемость процесса

Спроектировать и внедрить каждый ИТ-процесс так, чтобы он был повторяемым и устойчиво генерировал ожидаемые результаты. Разработать разумную, но гибкую и масштабируемую последовательность активностей, которая приводит к желаемому результату, и достаточно адаптивную, чтобы реагировать на исключительные и непредвиденные ситуации. Использовать устойчивые процессы всегда, когда это возможно, перекраивая их только по необходимости.

51. Требования к управлению в COBIT. (РС4-РС6).

PC4. Роли и ответственности

Определить ключевые активности и выходные результаты каждого ИТ-процесса. Назначить однозначно определенные роли и ответственности для результативного и эффективного выполнения ключевых активностей и их документирование, а также определить единоличную ответственность за конечные результаты процесса; довести эту информацию до всех заинтересованных лиц.

PC5. Политики, планы и процедуры

Определить, как политики, планы и процедуры, управляющие ИТ- процессами, документируются, пересматриваются, сопровождаются, утверждаются, хранятся, доводятся до заинтересованных лиц и используются в целях обучения; в свою очередь, довести эту информацию до заинтересованных лиц.

Назначить ответственных за каждое из перечисленных действий и периодически в назначенное время проверять, выполняются ли они корректно. Обеспечить, чтобы планы, политики и процедуры были доступны, корректны, правильно поняты и актуальны.

PC6. Повышение эффективности процессов

Определить набор метрик, обеспечивающих глубокое понимание выходов и эффективности процесса. Определить целевые значения, соответствующие целям процесса, и показатели эффективности, стимулирующие достижение целей процесса. Определить способ получения соответствующих данных.

Сравнивать измеренные значения с целевыми и предпринимать действия при обнаружении отклонений, если это необходимо. Разрабатывать метрики, цели и методы в соответствии с глобальным подходом к мониторингу ИТ.

52. Структура процесса в COBIT.

Структура описания отдельного процесса в COBIT состоит из следующих четырех разделов:

• краткое описание процесса;

• цели управления процессом;

• входы-выходы процесса, таблица ролей, цели и метрики процесса и его активностей;

• модель зрелости процесса.

53. Каскадная схема.

Краткое описание дается в виде следующей каскадной схемы:

< назначение процесса>

Управление ИТ-процессом

< имя процесса>

которое удовлетворяет следующим бизнес-требованиям к ИТ:

< наиболее важные ИТ-цели> за счет того, что

< наиболее важные цели процесса> и реализуется посредством

< цели активностей> и измеряется

< ключевые метрики>

54. Цели управления процессом.

Цели управления процессом для каждого процесса свои и даются просто в виде списка. Вот несколько целей управления процессом «Разработка стратегического плана развития ИТ» (нумерация сохранена):

«PO1.1 Управление ценностью ИТ

Работать с бизнесом, добиваясь того, чтобы корпоративный портфель инвестиций в ИТ содержал программы, имеющие серьезное обоснование. Разделять обязательные, поддерживающие и необязательные инвестиции, различающиеся по сложности и допустимости распоряжения средствами. ИТ-процессы должны обеспечить результативное и эффективное создание ИТ-компонентов программ и раннее оповещение об отклонениях от планов, включая отклонения по затратам, срокам или функциональности, которые

могут повлиять на результаты программ. ИТ-услуги должны оказываться в соответствии с взаимовыгодными и осуществимыми соглашениями об уровне услуг (SLA). Необходимо распределить ответственность за достижение результатов и управление затратами и контролировать ситуацию.

Разработать справедливую, прозрачную и воспроизводимую систему обоснований, которая бы обеспечивала возможность сравнений и включала в себя финансовую составляющую, риск неполучения ИТ-компонента, риск неполучения ожидаемых выгод.

PO1.4. Стратегический ИТ-план

Разработать, взаимодействуя с заинтересованными лицами, стратегический план, который определил бы, каким образом цели ИТ способствуют достижению стратегических целей предприятия и снижают сопутствующие затраты и риски. План должен продемонстрировать, как со стороны ИТ будут поддерживаться инвестиционные программы, связанные с ИТ, ИТ-услуги и ИТ-активы. Со стороны ИТ должно быть определено, как предполагается достичь целей, какие методы измерения будут использованы и каковы процедуры формального согласования с заинтересованными лицами. Стратегический ИТ-план должен определять инвестиционный/операционный бюджет, источники финансирования, стратегию сорсинга, стратегию закупок, юридические требования и требования со стороны регуляторов.

Стратегический план должен быть детализирован настолько, чтобы из него можно было получить тактические планы.

PO1.6. Управление ИТ-портфелем

Активно управлять вместе с бизнесом портфелем инвестиционных ИТ-программ, необходимых для достижения стратегических целей бизнеса. Управление состоит в идентификации, определении, оценке, назначении приоритетов, выборе, запуске программ, управлении их исполнением и контроллинге.

Кроме этого, проясняются желаемые результаты для бизнеса, гарантируется, что цели программы обеспечивают достижение этих результатов, достигается понимание всей совокупности усилий, необходимых для достижения результата, устанавливается ответственность и сопутствующие методы измерения, определяются составляющие программу проекты, распределяются ресурсы и средства, делегируются полномочия, запускаются проекты начальной стадии программы».

Декларативность приведенных целей очевидна. Строго говоря, их вообще нельзя считать целями, поскольку ни для одной из них не выполняются свойства конкретности, измеримости, достижимости, реалистичности и привязанности ко времени. В сочетании с неконкретностью формулировок в описании процесса определенные таким образом цели не позволяют выстроить никакой конкретной системы управления процессом.

55. Таблица входов и выходов.

В таблице входов звездочками обозначены входы извне процессов COBIT. Обозначения процессов состоят из первых букв английского названия процессной области и порядкового номера процесса. Таким образом, ME4 обозначает четвертый процесс в области «Мониторинг и оценка» (а именно процесс «Обеспечение корпоративного управления ИТ»). В сочетании с ролевой таблицей, показанной на рис. 15.4, таблицы входов и выходов определяют на концептуальном уровне фрагмент схемы ИТ-документооборота.

56. Ролевая таблица.

57. Соображения, исходя из которых разрабатывались метрики процесса.

«Метрики разрабатывались исходя из следующих соображений:

• высокая полезность (например, полезность метрик при оценке эффективности или степени достижения цели должна значительно превышать сложность их расчета);

• внутренняя сравнимость (например, процент от некоторого базового значения или величина, привязанная к моментам времени);

• внешняя сравнимость, не зависящая от конкретной индустрии или размера предприятия;

• лучше иметь несколько хороших метрик (может быть, даже одну-единственную очень хорошую, зависящую от множества факторов), чем длинный перечень метрик низкого качества;

• простые в измерении, в отличие от целей».

58. Цели и метрики процесса «Разработка стратегического плана управления ИТ».

Несмотря на то, что приведенный на рис. 15.5 перечень метрик процесса и его активностей является только иллюстративным (как и все перечни метрик в COBIT), он, безусловно, может оказаться полезным и на практике. Тем не менее, принципы его построения остаются не вполне понятными. Например, у процесса есть два выхода — стратегия ИТ-сорсинга и стратегия ИТ-закупок, для которых, во-первых, нет активностей, а во-вторых, отсутствуют метрики, характеризующие соответствие этих выходов требованиям бизнеса. Более того, рис. 15.5 демонстрирует, что существуют две параллельные системы целей: цели управления процессом (control objec- tives) и цели процесса (process goals), причем метрики определены только для целей процесса. Для целей управления процессом никаких метрик не вводится, что еще раз подтверждает тезис о декларативности этих целей. Если сюда добавить еще и набор требований к процессам, приведенный в предыдущем разделе, получится довольно громоздкая и разнородная система утверждений разной степени общности с непрозрачными взаимосвязями, и, главное, имеющая непонятное назначение, потому что никаких рекомендаций по практическому использованию этих утверждений (за исключением целей процессов) COBIT не предлагает.

59. Шаблонная модель зрелости.

Она похожа на лесенку уровней CMM и выглядит так:

«0. Несуществующий. Полное отсутствие каких-либо сформировавшихся процессов. Организация даже не подозревает, что здесь существует проблема, которую надо решать.

1. Начальный/Подходящий к случаю. Есть уверенность, что организация осознает наличие проблемы.

Стандартных процессов тем не менее не существует; вместо этого применяются подходящие к случаю приемы, которые могут и повторяться. Общий подход к управлению не организован.

2. Повторяемый, но интуитивный. Процессы проработаны до такой степени, что разные люди используют похожие процедуры для решения одинаковых задач. Никакого обучения стандартным процедурам или обмена информацией не происходит, и ответственность за результат лежит на индивидууме. Зависимость от уровня знаний конкретного индивидуума велика, поэтому вероятны ошибки.

3. Определенный процесс. Процедуры стандартизованы, документированы, и информация о них распространяется через обучение. Применение процедур строго обязательно, однако маловероятно, что отклонения от этого порядка будут замечены. Процедуры сами по себе несложны и представляют собой формализацию существующих практик.

4. Управляемый и измеримый. Менеджмент следит и замеряет, насколько строго управление следует установленным процедурам и предпринимает определенные действия, если процессы работают с низкой результативностью. Процессы постоянно улучшаются, воплощая в себе признанные (good) практики. Автоматизированные средства управления используются ограниченно или фрагментарно.

5. Оптимизируемый. Процессы закончены и отражают признанные практики, полученные в результате непрерывного улучшения и сравнения с моделями зрелости других организаций. ИТ используются как интегрированный инструмент автоматизации потока работ и предоставляют средства повышения качества и результативности, что повышает гибкость организации в целом».

60. Три аспекта зрелости процесса.

COBIT рассматривает зрелость процесса (здесь не используется термин «развитость» применительно к процессу) в трех аспектах, показанных на рис. 15.6. Смысл этого рисунка в том, что при построении модели зрелости конкретного процесса (т. е. при наполнении конкретным содержанием описаний уровней шаблона) нужно явно учитывать три характеристики процесса. Во-первых, это потенциальные возможности системы управления процессом (capability), которые обеспечивают соответствие поставленным целям ИТ. Во-вторых, это то, до какой степени желательно развивать процесс (это называется coverage), если ожидаемый возврат инвестиций может быть обеспечен еще до достижения высокого уровня зрелости (а начиная с этого уровня возврат инвестиций падает). И наконец, в-третьих, это специальные средства управления, которые могут понадобиться для минимизации рисков и обеспечения соответствия внешним требованиям.

61. Концепция и основные понятия Val IT

Если методология COBIT не выходит за пределы процессов управления собственно ИТ, во многом повторяя и воспроизводя разработанные ранее идеи и подходы, то методология Val IT является совершенно оригинальной как по замыслу, так и по содержанию. Идея Val IT очень проста: предложить модель процессов управления ценностью1 ИТ для бизнеса. Под ценностью подразумевается отдача от инвестиций в ИТ, которую, по утверждениям авторов Val IT, предприятия и организации часто просто не осознают.

Практический управленческий подход к решению задачи оценки целесообразности инвестиций в ИТ, который можно использовать в отсутствие строгих методов оценки, состоит в том, чтобы упорядочить процесс анализа и принятия решений об инвестициях в ИТ так, чтобы по крайней мере сделать его прозрачным, управляемым и открытым для участия всех заинтересованных сторон. Реализация этого процесса и называется оценкой ценности ИТ для бизнеса. Именно этому посвящена книга (Thorp, 2003), многие идеи которой были восприняты и использованы авторами Val IT. Примером может служить изложенная в (Thorp, 2003) концепция«четырех «ли»» (также использованная в Val IT), которая помогает структурировать процесс оценки целесообразности инвестиций. Она предлагает ответить на четыре вопроса:

• делаем ЛИ мы то, что действительно нужно (соответствует ли инвестиционная программа стратегии бизнеса)?

• делаем ЛИ мы это так, как нужно (реализованы ли оргструктуры и процессы для выполнения инвестиционной программы)?

• способны ЛИ мы это сделать (есть ли организационные возможности, ресурсы, инфраструктура)?

• получим ЛИ мы выгоду для бизнеса (управляем ли мы проактивно всем процессом достижения конечной выгоды)?

62. Четыре «ли» в Val IT

63. Процессная модель Val IT

Процессы Val IT сгруппированы в три процессные области, описанные ниже.

Управление инвестициями (Investment Management)

Цель управления инвестициями — оптимизировать ценность конкретной инвестиции за счет того, что: • выявляются требования бизнеса;

• вырабатывается ясное понимание программ, претендующих на инвестиции;

• анализируются альтернативные подходы к реализации программ;

• каждая программа точно определяется, документируется и подробно обосновывается, включая детальное описание выгод на протяжении всего жизненного цикла инвестиции;

• точно распределяются ответственности, в том числе за реализацию выгод от инвестиции;

• каждая программа управляется на протяжении всего ее жизненного цикла, включая закрытие программы;

• проводится мониторинг эффективности каждой программы, и готовятся соответствующие отчеты.

В эту область входят следующие процессы:

IM1. Подготовить и рассчитать обоснование первоначального концепта программы.

IM2. Изучить программу и возможные методы ее реализации.

IM3. Разработать план программы.

IM4. Определить суммарные затраты на программу и выгоды от ее реализации.

IM5. Подготовить детальное обоснование программы. IM6. Запустить программу и управлять ею.

IM7. Обновить операционные ИТ-портфели.

IM8. Обновить обоснование.

IM9. Проводить мониторинг программы и готовить отчеты. IM10. Закрыть программу.

64. «Корпоративное управление ценностью (Value Governance)»: цели

Цель корпоративного управления ценностью состоит в том, чтобы включить практики управления ценностью в управленческую деятельность, что позволит организации получать оптимальную отдачу от инвестиций в ИТ на протяжении всего их экономического жизненного цикла. Последнее достигается за счет того, что:

• разрабатывается корпоративная методология управления ценностью, интегрированная с корпоративным управлением в целом;

• обеспечивается стратегическая направленность решений об инвестициях;

• определяются характеристики инвестиционных портфелей, необходимые для поддержки новых инвестиций, создаваемых ИТ-услуг, активов и других ресурсов;

• обеспечивается постоянное улучшение процессов управления ценностью на базе сделанных практических выводов.

65. «Корпоративное управление ценностью»: процессы

В область «Корпоративное управление ценностью» входят следующие процессы: