Процессный подход COBIT. Понятие контроля

2.2. Понятие контроля

Еще одним ключевым понятием в COBIT является контроль.

Контроль (Control) – политики, процедуры, практики и организационные структуры, созданные для обеспечения разумной уверенности в том, что бизнес-цели будут достигнуты, нежелательные события предотвращены, а их последствия идентифицированы и исправлены.

Цель контроля (Control Objective) - для каждого процесса COBIT описывает одну высокоуровневую и несколько детальных целей контроля, являющихся, по сути, характеристиками "идеального процесса".

Практика контроля (Control Practice) – основной механизм контроля, поддерживающий достижение целей контроля за счет ответственного использования ресурсов, должного управления рисками и обеспечения соответствия ИТ целям бизнеса.

Методология контроля (Control Framework) – набор фундаментальных мер контроля, которые помогают участникам бизнес-процесса предотвратить финансовые и информационные потери организации.

Базовая модель контроля изображена на рис.2.3.

Рис. 2.3. Модель контроля

Вот какую аналогию предлагает COBIT: "когда в системе обогрева (процесс) устанавливается значение требуемой температуры (стандарт), система постоянно проводит замеры (сравнения) температуры окружающего воздуха (контрольная информация) и подает команду (действие) обогревателю вырабатывать больше или меньше тепла." Каждый процесс имеет свои цели контроля. Цели контроля обозначаются двухбуквенными сокращением названий доменов (PO, AI, DS и ME), к которому добавляется номер процесса и номер цели контроля. Помимо этого каждый процесс имеет общие требования контроля – PC (Process Control):

• PC1. Цели и задачи процесса

  Определить и донести до всех заинтересованных сторон конкретные, измеряемые, исполнимые, реалистичные, ориентированные на результат и своевременные (SMART) цели и задачи для эффективного выполнения каждого ИТ-процесса. При этом цели и задачи должны быть ориентированы на цели и задачи бизнеса, а также иметь подходящие метрики.
• PC2. Владение процессом

  У каждого процесса должен быть владелец, который будет ответственен за результаты.
• PC3. Повторяемость процесса

  Процессы должны быть разработаны так, чтобы их можно было повторно использовать.
• PC4. Роли и ответственности

  Определить ключевые действия и конечные результаты процесса. Назначить ключевые роли и соответствующие им ответственности. Это поможет контролировать результаты, улучшить исполнение, а также структурировать отчетность по результатам.
• PC5. Политики, планы и процедуры

  Определить и донести до всех заинтересованных сторон, как политики, планы и процедуры, которые движут ИТ-процессом, документируются, пересматриваются, утверждаются, поддерживаются, используются и т.п. Назначить ответственных по перечисленным выше действиям и контролировать их исполнение. Убедиться в том, что политики, планы и процедуры актуальны, доступны и правильны.
• PC6. Повышение эффективности процесса

  Для каждого процесса необходимо определить показатели, которые позволят измерить эффективность и результативность процесса. Поставить конкретные задачи. Описать, как будут собираться данные. Сравнивать фактические показатели с планируемыми и принимать необходимые действия при возникновении сильных отклонений.

COBIT также использует понятие "общие меры контроля". Общие меры контроля – это меры контроля, применяемые для ИТ-услуг в целом. Они включены в состав ИТ-процессов и услуг. Это, например, безопасность или внесение изменений. Меры контроля, включенные в состав приложений, называются мерами контроля приложений. Например, полнота, точность, авторизация и достоверность.

В приведенном ниже перечне содержатся рекомендуемые COBIT цели для контроля приложений. Они обозначаются по номеру контроля приложения – AC (Application Control):

• AC1. Подготовка исходных данных и авторизация.

  Исходные документы должны быть подготовлены уполномоченным и квалифицированным персоналом согласно установленным процедурам, с учетом адекватного разделения обязанностей, относящихся к созданию и утверждению данных документов. Ошибки и недочеты должны быть сведены к минимуму в процессе ввода с помощью надлежащей формы ввода. Выявить ошибки и иные отклонения от нормы таким образом, чтобы их можно было документировать и исправить.
• AC2. Сбор данных и ввод

  Обеспечить, чтобы ввод данных осуществлялся квалифицированным персоналом, имеющим соответствующие права. Исправление ошибок ввода или повторный ввод данных должен выполняться после повторной авторизации на всех предусмотренных уровнях. COBIT также рекомендует по возможности сохранять оригиналы, с которых вводятся данные, в течение достаточного периода времени, зависящего от конкретного случая.
• AC3. Проверка точности, полноты данных и аутентичности

  Обеспечить точность, полноту и достоверность транзакций. Проверку достоверности данных, редактирование или отсылку назад для корректировки следует осуществлять по возможности близко к источнику данных.
• AC4. Целостность и достоверность данных в процессе обработки.

  Обеспечить целостность и достоверность данных в процессе обработки. Обнаружение ошибок в транзакциях не должно нарушать обработку корректных транзакций.
• AC5. Согласование и проверка данных на выводе

  Установить процедуры и связанные с ними обязанности, чтобы вывод данных, анализ ввода, выверка данных и обработка ошибок осуществлялись при условии авторизации. Данные должны направляться нужному получателю, при этом они должны быть защищены, подлинны и точны ( что, естественно, необходимо контролировать).
• AC6. Проверка подлинности и целостности транзакций.

  До передачи данных транзакций между внутренними приложениями и подразделениями бизнеса, необходимо проверить правильность адресации, истинность происхождения и целостность. Поддерживать целостность и подлинность данных в процессе передачи.

Таким образом цели контроля описывают требования по эффективному контролю над каждым ИТ-процессом и являются четкими формулировками управленческих действий. Они увеличивают уверенность в достижении поставленных целей, предотвращении нежелательных событий, чьи последствия идентифицированы и исправлены.