СOBIT (Control Objectives for Information and related Technology) представляет собой систематизированный набор принципов и рекомендаций по проведению аудита процессов управления ИТ. Данная модель была впервые предложена профессиональной ассоциацией ISACA (The Information Systems Audit and Control Association) в 1996 году. Эта ассоциация позиционирует себя как международная организация, специализирующаяся на разработке общих стандартов в области аудита информационных систем. В 2000 году ее орган – Институт Управления ИТ, выпустил третье издание своих материалов. В случае с COBIT речь идет о позиционировании этой методологии как потенциального стандарта со стороны ее разработчиков.
Основной целью данного материала является формализованное определение лучших практик в области процессов управления ИТ для того, чтобы обеспечить определенный уровень согласованного подхода при оценке качества этих процессов. Модель COBIT предназначена, прежде всего, для использования внешними аудиторами, но может применяться также специалистами ИТ-служб организаций для планирования и самооценки процессов управления ИТ – то есть, фактически, для их оптимизации.
Модель COBIT определяет 34 ключевых процесса управления ИТ в организации, которые сгруппированы в 4 основные области (домены). Список этих доменов включает:
На следующем уровне в рамках этих 4-х доменов в стандарте определены 34 процесса, которые, в свою очередь, включают 318 различных задач. Список этих процессов верхнего уровня приведен в табл. 4.2.
Домен | Процесс |
Эффектив- ность (результат) |
Эффектив- ность (усилия) |
Конфиден- циальность |
Целост- ность |
Доступ- ность |
Соответ- ствие |
Надеж- ность |
Лю- ди |
Прило- жения |
Техно- логии | Средства (facilities) |
Дан- ные | |
Планирование и Организация | PO1 | Разработка ИТ-стратегии | P | S | + | + | + | + | + | |||||
PO2 | Разработка ИТ-архитектуры | P | S | S | S | + | + | |||||||
PO3 | Мониторинг технологического развития | P | S | + | + | |||||||||
PO4 | Формирование ИТ-службы и определение взаимосвязей | P | S | + | ||||||||||
PO5 | Управление инвестициями в ИТ | P | P | S | + | + | + | + | ||||||
PO6 | Распространение корпоративной информации | P | S | + | ||||||||||
PO7 | Управление персоналом | P | P | + | ||||||||||
PO8 | Обеспечение соответствия внешним требованиям | P | P | S | + | + | + | |||||||
PO9 | Управление рисками | P | S | P | P | P | S | S | + | + | + | + | + | |
PO10 | Управление проектами | P | P | + | + | + | + | |||||||
PO11 | Управление качеством | P | P | P | S | + | + | + | + | |||||
Приобретение и Реализация | AI1 | Идентификация автоматизируемых решений | P | S | + | + | + | |||||||
AI2 | Приобретение и поддержка прикладного программного обеспечения | P | P | S | S | S | + | |||||||
AI3 | Приобретение и поддержка технологической инфраструктуры | P | P | S | + | |||||||||
AI4 | Разработка и поддержка процедур | P | P | S | S | S | + | + | + | + | ||||
AI5 | Установка и прием в эксплуатацию систем | P | S | S | + | + | + | + | + | |||||
AI6 | Управление изменениями | P | P | P | P | S | + | + | + | + | + | |||
Предоставле- ние и поддержка | DS1 | Определение и управление уровнями обслуживания | P | P | S | S | S | S | S | + | + | + | + | + |
DS2 | Управление услугами третьих сторон | P | P | S | S | S | S | S | + | + | + | + | + | |
DS3 | Управление производительностью и мощностью | P | P | S | + | + | + | |||||||
DS4 | Обеспечение непрерывности обслуживания | P | S | P | + | + | + | + | + | |||||
DS5 | Обеспечение безопасности | P | P | S | S | S | + | + | + | + | + | |||
DS6 | Идентификация и управление стоимостью | P | P | + | + | + | + | + | ||||||
DS7 | Обучение пользователей | P | S | + | ||||||||||
DS8 | Помощь клиентам | P | P | + | + | |||||||||
DS9 | Управление конфигурациями | P | S | S | + | + | + | |||||||
DS10 | Управление проблемами и инцидентами | P | P | S | + | + | + | + | + | |||||
DS11 | Управление данными | P | P | + | ||||||||||
DS12 | Управление средствами | P | P | + | ||||||||||
DS13 | Управление операциями | P | P | S | S | + | + | + | + | |||||
Мониторинг | M1 | Мониторинг процессов | P | P | S | S | S | S | S | + | + | + | + | + |
M2 | Обеспечение адекватности внутреннего контроля | P | P | S | S | S | P | S | + | + | + | + | ||
M3 | Организация независимого контроля | P | P | S | S | S | P | S | + | + | + | + | + | |
M4 | Обеспечение независимого аудита | P | P | S | S | S | P | P | + | + | + | + | + |