Коментари И Интервюта

Планиране на законова изрядност с помощта на COBIT 5

CIO Media

Д-р Найден Неделчев, CGEIT, CISM

Планирането за изрядност на бизнеса е важен компонент в стратегическото управление на всяка организация. В крайна сметка в съвременния свят първото и основно изискване за един бизнес е той да се съобразява с всяко касаещо го нормативно изискване. Едва след това може в него да се говори за печалба, иновация, гъвкавост и т.н. Изрядността има дългосрочен ефект и влияние на макроуправленско ниво, т.е. въздействието й е осезаемо на всяко ниво и област от дейности независимо от големината на организацията. За разлика от стратегическото планиране обаче, което се случва в цикли между 3 и 5 години, планирането за изрядност е постоянен и ежедневен процес поради изключителната динамика на съвременното законодателство. Това налага постоянно преглеждане и обновяване на целите, както и на информацията за връзката между тях.

Какво предлага COBIT 5

„Майсторът се разпознава по инструмента” - това е стара и проверена истина, която се потвърждава все повече с времето. COBIT 5 е методика, която предлага изчерпателен и последователен набор от инструменти за макроуправленски и управленски практики в ИТ, с фокус върху хармонизирането им с тези на бизнеса. Като правило планирането в бизнес се различава съществено от това в ИТ, което предполага необходимостта от стиковане помежду им. Цялата методика и включеният в нея инструментариум целят изпълнението на следните пет основни принципа:

1. Отговаряне на нуждите на заинтересованите страни
2. Покриване на организацията от край до край
3. Прилагане на единен интегриран модел
4. Създаване на благоприятни предпоставки за прилагането на цялостен подход
5. Разделяне на управлението и макроуправлението.

При планирането за изрядност отговорното ръководство в лицето на определен служител или работна група трябва да вземат предвид основните и най-важни процеси, които биха довели до постигането на бърз и качествен резултат. Ползата от този подход е многостранна:

1. Бързият положителен резултат гарантира запазването на интереса на страните
2. Прави възможно лесното получаване на допълнителен ресурс като резултат от ефективното управление на текущия
3. Играе ролята на положителен пример, който може да привлече интерес и да убеди в правилността на проекта.

Координиране на плановете

COBIT 5 позволява бързо и ефективно координиране на плановете с помощта на две таблици, които правят връзка между бизнес целите и целите на ИТ, а оттам и между последните с ИТ процесите, които имат пряка връзка за постигането им. Това са таблиците "COBIT 5, 2012,  Съответствие между корпоративни цели и цели на ИТ", и "COBIT 5, 2012, Съответствие между ИТ цели и процеси".

От таблицата "COBIT 5, Съответствие между корпоративни цели и цели на ИТ" се вижда, че изрядността с външните регулаторни изисквания, каквато е и тази с Общия регламент за защита на данните, включва работа по 6 цели за ИТ, 2 от които са от основно значение и 4 с вторичен ефект върху резултата. Естествено основните цели имат пряко влияние, а вторичните косвено.

Приоритизиране

Следващата стъпка включва приоритизиране на ИТ целите. То трябва да бъде направено от ръководството на ИТ, в най-добрия случай от работна група и в краен случай от ИТ директора или изпълняващия подобни функции ръководител. При ограничения на наличния ресурс това ще позволи фокусиране на усилията в конкретен процес. Ако например зрелостта на практиките позволява работа не само в областта на технологиите, но и по отношение на процеси и потоци от данни, това може да са цел 2 – „ИТ изрядност и поддържане на бизнес изрядност с външни закони и регулации”, заедно с цел 10 – „Сигурност на информацията, инфраструктурата за обработване и приложенията”.

Изборът на тези две цели означава работа по над 20 ИТ процеса, свързани с гарантиране оптимизирането на риска, гарантиране на прозрачност за заинтересованите страни, прилагане на методика за управление на ИТ, управление на организационната архитектура и човешките ресурси, управление на споразуменията за ниво на обслужване и т.н. (виж приложения списък).     

Внушителният списък от процеси, свързани с цели 2 и 10, само още веднъж подчертава сложността на работата по осигуряването на изрядност. Допълнително приоритизиране на процесите отново би довело до опростяване на работата, но, разбира се, и до ограничаване на обхвата от постигнатите резултати. Например намаляване на процесите може да стане, като се отсеят онези от тях, които са от пряко значение за постигане и на двете цели. В този случай това биха били APO01, APO12, APO13.

Избор на показатели за ефективност

На следваща стъпка COBIT 5 позволява лесно идентифициране на няколко категории от показатели за ефективност в постигането на организационните цели и тези на ИТ, а също и на ИТ процесите. Предварителният избор на тези показатели би бил добър ориентир за това каква информация е необходимо да се осигури за преценка на работата от самото начало.

Следват същинските дейности. Те са специфични за всеки процес. Например в APO01 те са 48, заедно с 8 управленски практики, а в MAE02 са 44 и отново с 8 управленски практики. За формулирането им могат да се ползват както директно напътствията, дадени в COBIT 5, така и други методики като ISO 27002, ITIL или примерно NIST 800-52, ако някоя от тях вече е предпочетена за създаването на система за управление на ИТ и/или сигурността в организацията.

В заключение

За всяка задача съществува повече от едно решение. Предложеният в тази статия подход цели основно да онагледи използването на COBIT 5 за разрешаване на конкретен проблем. Всеки опитен професионалист знае, че целите са подвижни мишени, които не трябва да бъдат изпускани от поглед. Но това в крайна сметка е и най-точната дефиниция за приоритет – нищо, което е от първостепенно значение, не трябва да бъде изпускано от поглед, такова именно е законодателството и в частност новият регламент GDPR, който скоро трябва да бъде прилаган от всички държави в ЕС. Основният въпрос е готова ли е вашата организация да отговори на повишените изисквания, поставяни от този съвременен Дон Кихот, поел в битка за защита на личното пространство в Европа.


X