Проекти

COSO & CobiT – за бизнеса, технологиите и всичко останало

CIO Media

Найден Неделчев - CISM, CEH, ITSM

Днес не са много хората, които все още помнят как само преди близо две десетилетия финансите се управляваха с помощта на молив, калкулатор „Елка” и масивни счетоводни дневници, а годишното отчитане на финансовите резултати отнемаше близо едно тримесечие усилена работа. Проблемите на днешните финансисти са от съвсем различно естество - широкото навлизане на компютрите и комуникациите затрудненията са свързани с големия обем от данни, който трябва да бъде обработен, с качеството на данните, както и с големите потребности от справки от всевъзможен род, предназначени за всички бизнес звена. За тази цел през последните години усилията на много специалисти бяха насочени към обобщаване на съществуващи доказали се практики и формализирането им в методологии. Две широко наложили се в глобален мащаб методологии от този тип са COSO и CobiT. Някой от по-големите предприятия у нас, пред които през изминалата година възникна задачата за покриване на изискванията по американското законодателство и в частност тези по закона SARBANES OXLEY, вече ги приложиха на практика.

Приложимост

Опитът показва, че малка част от моделите се реализират напълно. Това не е и необходимо освен ако не го налагат едни или други правни изисквания. В зависимост от характера на индустрията и спецификата на основните бизнес процеси фирмите имат възможност да избират каква част, от кой модел и конкретно кои процеси да бъдат реализирани. Един такъв основен процес еднакво важен както от оперативна, така и от финансова гледна точка е процесът по управление на промените. Друг важен процес от финансова гледна точка е този за гарантиране непрекъсваемостта на бизнес дейностите на организацията.

За пълноценното управление и отчетност на разходите е съществено и създаването на процес за контрол на покупките и снабдяването, и свързаните с това схеми на одобренията. Всеки от тези процеси подлежи на задължителна автоматизация. Свързващият елемент на всеки от тях е генералната политика, подчинена на стратегията на организацията.

COSO и CobiT дават възможност за свързване и синхронизиране на всеки от процесите идентифицирани като важни със стратегията. Методологиите подпомагат ръководството и вземането на информирани решения, основани на качествени данни за характера и състоянието на бизнеса във всеки момент. По този начин успехът на всяко ръководство се гарантира не еднозначно въз основа на индивидуални качества и евристичен опит, а се основава на колективната работа, утвърдени практики и контрол.

CobiT

Първата публикация на CobiT (Control Objectives for Information and related Technology) е през 1996 г. Тя представлява набор от най-добри практики за проверка и обвързване на целите на ИТ с тези на бизнеса. В последствие методологията продължава да се развива и днес тя се приема като полезен инструмент, осигуряващ съответствие с изискванията в редица нормативни и законови регулации.

Днес CobiT съдържа 215 контролни практики, събрани в 34 процеса, които от своя страна са групирани в 4 области на действие и с които се гарантира „ръководство на ИТ, позволяващо организацията да се възползва максимално от наличната информация и по този начин да увеличи ползите, капитализирайки предоставящите им се възможности и придобивайки конкурентно предимсто.”

Методологията цели да помогне на ИТ подразделенията да вникнат в потребностите на бизнеса и да разработи необходимите за удовлетворяването им средства по оптимален начин. Целите на методологията включват:
  • свързване с бизнес задачите
  • подчиняване на ИТ дейностите на утвърдени модели на процеси
  • установяване на основните ИТ ресурси за употреба
  • определяне на управленските контролни цели, за които трябва да се следи

COSO


Методологията COSO (Committee of Sponsoring Organizations of the Treadway Commission) се формира по инициатива на компании от частния сектор в САЩ. Разработена е през 1992 г. и има за основна цел идентифицирането и елиминиране на факторите, водещи до състяването на неверни финансови отчети.

COSO дефинира вътрешната контрола като процес, направляван от Управителен съвет или Борд на директорите, ръководството и други служители, с цел обезпечаване на решения във всяка от следните области:
  • ефективност и ефикасност на операциите
  • надеждност на финансовите отчети
  • съответствие с приложимите закони и нормативи

COSO и CobiT предоставят възможност на организациите да създадат работещи модели според конкретните им нужди, които да са в подкрепа на бизнес задачите и правните изисквания към техните дейности.

Ползи за бизнеса

Прилагането на методологии за управление на ИТ и в частност на CobiT, може изключително много да подобри управлението на наличните информационни ресурси и по този начин да съдейства за адекватното посрещане на правни и бизнес изисквания, както и за постигането на цели от друго естество. Това може да са задачи свързани с повишаване нивото на сигурност на информационната инфраструктура, с управление на данните в една или друга тяхна форма и по време на целия им жизнен цикъл, или регулиране на ползваните на партньорски начала услуги, както и много други.

Например ако една организация има за задача да реализира контролна среда, за да гарантира доверието от страна на клиентите в предоставяни от нея услуги, от типа на възможност за извършване на електронни разплащания от разстояние, тя трябва да подложи на оценка не само самите бизнес процеси, но и свързаните с тях ИТ решения, без които бизнесът днес е немислим.

Фирмените ръководства би трябвало да се запознаят значително по-отблизо с концепциите за ръководство на ИТ, свързаните с тях рискове и с възможните схеми за вътрешни контроли, както и да проучат начините, по които методологии като COSO и CobiT могат да им бъдат в полза за отстраняване на несъответствията между техните стратегии и политики за управление на информацията и начинът, по който това в действителност става в ИТ системите.

Найден Неделчев е началник отдел Сигурност на технологиите в Мобилтел ЕАД. Професионалният му опит включва също така позиции от различни нива във финансови и банкови организации, работа в групови и международни проекти. Има магистърска степен по Информатика от СУ и поредица от престижни сертификати в областта на ИТ, като Certified Information Security Manager, Certified Ethical Hacker, Security+, Master Computer Industry Knowledge Analyst и др. Член на управителния съвет на сдружението „Клуб на българските ИТ мениджъри".

Фигура 1:


„Ръководството на ИТ е неделима предпоставка за успешното ръководство на една организацията чрез обезпечаването на ефективни и ефикасни измерими подобрения в съответните бизнес процеси. Ръководството на ИТ осигурява онази структурата, която свързва ИТ-процесите, ресурсите и информацията със стратегията и целите на организацията.” CobiT

"CobiT допринася за по-добро управление на ИТ-средата и в частност за усъвършенстване на управлението на рисковете. По тази причина ние продължаваме да препоръчваме на организациите да ползват методологията, прилагайки я към собствените си ръководни ИТ процедури за да подобрят съществуващите в тях контролни механизми.” [COBIT 4.0 Is a Good Step Forward, Gartner, 29 December 2005]

„Вътрешните контроли позволяват на ръководството да се справя с бързо променящите се икономическа и конкурентна среда, да съдейства за постигане на ефикасност, ограничаване на риска от загуба на активи, както и да гарантира достоверността на финансовите отчети, в подкрепа на законовите изисквания.” COSO

X