Аудит информационных технологий

Раздел: Информационные технологии
Автор(ы): Эдуард Савушкин, журнал "Корпоративные системы" (№4, 2005)
размещено: 17.11.2006
обращений: 17852

Впервые в украинской прессе публикуется развернутый материал по стандарту COBIT. Он дает ответ на три вопроса: "удовлетворяют" ли ИТ потребностям организации, как обеспечивается инфраструктура и управляются риски, с какими проблемами организация сталкивается при управлении ИТ.
Процесс внедрения COBIT1 (Control Objectives for Information and related Technology) в деятельность организации состоит из ряда последовательных этапов:
  • определение бизнес-целей на основе Концептуального ядра COBIT;
  • выбор ИТ-процессов и механизмов управления с использованием высокоуровневых и детальных задач управления;
  • согласование программы внедрения с бизнес-планом;
  • оценка существующих процедур и результатов внедрения механизмов управления при помощи «Руководства по аудиту»;
  • оценка текущего статуса организации, идентификация критичных действий, ведущих к успеху, и измерение производительности в достижении целей организации при помощи «Руководства по менеджменту».

ПРИНЦИПЫ УПРАВЛЕНИЯ ИТ

«Принципы управления» — книга стандарта COBIT, описывающая управление ИТ — одна из последних разработок Института Управления ИТ (IT Governance Institute, ITGI), пополнившая перечень книг COBIT в третьем издании стандарта.

Управление ИТ — составная часть успеха в управлении предприятием, которая гарантирует рациональное и эффективное совершенствование всех взаимосвязанных процессов предприятия. Управление ИТ предоставляет основу, которая связывает ИТ-процессы, ИТ-ресурсы и информацию со стратегией и целями организации, что позволяет максимально эффективно использовать информацию, повышая капитализацию и получая конкурентоспособные преимущества.

Принципы управления должны помочь руководителю ИТ ответить на три стратегических вопроса:

  • Существуют ли в настоящее время в организации информационные технологии, при управлении которыми «удовлетворяются» все информационные потребности организации?
  • Как организация обеспечивает инфраструктуру и управляет рисками, насколько организация зависит от этого?
  • С какими проблемами организация сталкивается при управлении ИТ?

Чтобы получить ответы на эти стратегические вопросы, необходимо непрерывно отвечать на «тактические» вопросы:

  • Что является результатом ИТ-процессов?
  • Что является решением проблем в ИТ?
  • Из чего состоят эти решения?
  • Будут ли работать эти решения?
  • Как их реализовать?
Для получения ответов на «тактические» вопросы в книге «Принципы управления» COBIT включены модели зрелости, критические факторы успеха (КФУ), ключевые индикаторы цели (КИЦ) и ключевые показатели результата (КНР). Это дополнение позволило получить качественно улучшенный подход к вопросам управления ИТ, который отвечает потребностям руководителей в части управления и контроля. Руководитель организации получает инструмент управления и измерения ИТ на соответствие 34 ИТ-процессам, определенным в COBIT.

Для информационной поддержки принятия решений, в книге «Принципы управления» описаны следующие виды представления информации:

  • инструментальная панель;
  • карты оценки;
  • эталонное тестирование.

Первой целью «Принципов управления» COBIT явилось создание индикаторов для инструментальной панели, единиц измерения для карт оценки, шкал сравнения для эталонного тестирования.

Перед руководителями в коммерческих и некоммерческих организациях часто возникают задачи оценить объемы инвестиций в ИТ и инфраструктуру, при этом далеко не все могут обосновать инвестиции, отвечая на вопрос: «Как далеко необходимо зайти, и будут ли оправданы затраты выгодой?» «Принципы управления» COBIT призваны ответить на этот вопрос и помочь в обосновании инвестиций в ИТ.

В настоящее время информационные услуги преобладают над прочими поддерживающими бизнес-услугами. Таким образом, ИТ становятся одними из первостепенных показателей бизнеса. Как следствие — отношения между бизнес-целями с их единицами измерения и ИТ с его целями и единицами измерения являются очень важными и могут быть изображены следующим образом (рис. 1).

Схема отношения целей бизнеса и IT

Создание такой взаимной связи поможет руководителям в контроле над информационными технологиями организации, отвечая на следующие вопросы.

О чем беспокоится руководство организации? Необходимо удостовериться, что выполняются все потребности организации.

Где измеряется удовлетворение потребностей? Результат бизнес-процесса показан на сбалансированной карте оценок бизнеса как ключевой индикатор цели.

Затрагивают ли проблемы, возникающие в ходе реализации бизнес-процессов, информационные технологии организации? ИТ-процессы своевременно предоставляют организации правильную информацию, позволяя ее бизнес-процессам эффективно и бесперебойно функционировать. Это является критическим фактором успеха для организации.

Где это измеряется? Ключевой индикатор цели, основанный на сбалансированной карте оценки, представляет ИТ-информацию, сопоставимую с критериями информации (эффективность, продуктивность, конфиденциальность, целостность, пригодность, согласованность, надежность).

Что еще должно быть измерено? Если ответы на первые вопросы — положительные, должно быть учтено влияние множества критических факторов успеха, которые должны быть измерены как ключевые индикаторы результата для ИТ-процессов.

Обобщая, можно сказать следующее:

  • модели зрелости предназначены для стратегического выбора и эталонного сравнения;
  • критические факторы успеха предназначены для организации контроля ИТ-процессов;
  • ключевые индикаторы цели предназначены для контроля достижения целей ИТ-процессов;
  • ключевые индикаторы результата предназначены для контроля результатов каждого ИТ-процесса.

Модели зрелости рассмотрены дальше, а критические факторы успеха и ключевые индикаторы цели и результата приведены во врезке.

МОДЕЛИ ЗРЕЛОСТИ

Maturity Models (MM, «модели зрелости») в COBIT предназначены для контроля над ИТ-процессами организации. Они базируются на определении уровня развития организации — от несуществующего до оптимизированного (от 0 до 5 уровня модели зрелости). Соответствие разным уровням «модели зрелости» означает, что компания готова к плановой модернизации или обновлению.

Модель зрелости — не стандарт, для нее нет формальных описаний и жестких требований, она не привязана к конкретным информационным технологиям. Модели зрелости предназначены для организации эффективного управления. Они определяют ключевые действия, которые надо сделать для достижения требуемого качества, и содержат способы контроля над правильностью выполнения ключевых ИТ-процессов и методы их корректировки.

Ключевые действия подробно описаны в Руководстве на абстрактном уровне, а в процессе использования моделей зрелости компания может выбрать степень их формализации.

Шкала моделей зрелости

Взяв за основу шкалу моделей зрелости (рис. 2), разработанную для каждого из 34 ИТ-процессов COBIT, руководитель может выяснить следующее:

  • текущий статус организации — оценить, на какой стадии организация находится сегодня;
  • текущий статус лучшей практики в этой отрасли — сравнить свою организацию с лучшей организацией в этой отрасли;
  • текущий статус международных стандартов — провести дополнительное сравнение текущего статуса организации с «лучшей практикой»или международными стандартами;
  • статус организации после усовершенствования (реализация стратегии организации) — оценить стратегию организации, каких результатов организация хочет достичь.

Модель зрелости управления ИТдля бизнеса, предназначена для управления ИТ-процессами с целью увеличения ценности ИТ, при соблюдении равновесия между риском и прибылью.

ИТ-процессы: основные показатели

КРИТИЧЕСКИЕ ФАКТОРЫ УСПЕХА

Критические факторы успеха (Critical Success Factors) определяют наиболее важные проблемы или действия руководителей, направленные на достижение контроля над ИТ-процессами (методы внедрения системы управления ИТ-процессами). КФУ должны быть управляемыми, ориентированными на успех и описывать, как выполнять необходимые стратегические, технические, организационные или процедурные действия для достижения успеха.

Примеры критических факторов успеха:

  • действия по управлению ИТ интегрированы в процессы управления организации и стиль работы руководителей;
  • управление ИТ сосредоточено на целях организации — стратегических инициативах, использовании технологий для развития бизнеса, достаточности ресурсов и удовлетворения бизнес-требований;
  • действия по управлению ИТ определены, формализованы и осуществляются на основе потребностей предприятия с соответствующей отчетностью;
  • методы управления разработаны для увеличения продуктивности, оптимального использования ресурсов и увеличения эффективности ИТ-процессов;
  • организационные методы следят за окружающей средой и культурой управления, способствуют нормальному контролю и ведению стандартной практики управления рисками, определяют степень соответствия установленным стандартам, управляют и изучают недостатки и риски;
  • методы аудита определены таким образом, чтобы избежать сбоев и ошибок в системе внутреннего контроля;
  • наблюдается интеграция и развитие взаимодействия сложных ИТ-процессов (управление проблемами, изменениями и конфигурациями);
  • учрежден контрольный комитет, назначающий и наблюдающий за независимым аудитом, уделяющий пристальное внимание ИТ при составлении планов аудита, а также принимающий во внимание результаты исследований сторонних организаций и аудиторов.

К числу наиболее общих КФУ, применимых к любому ИТ-процессу, также можно отнести следующие:

  • стандартизация ИТ-процессов и их нацеленность на достижение целей бизнеса;
  • определение групп пользователей ИТ-процессов и их требований;
  • обеспечение масштабируемости ИТ-процессов и оптимального управления ресурсами в рамках этих процессов;
  • качество персонала информационной системы (квалификация, моральные качества и т. п.);
  • использование финансовых метрик для измерения производительности ИТ-процессов и премирование руководителей ИТ-отделов на основании результатов этих измерений;
  • наличие процедур контроля и повышения качества ИТ-процессов.

КЛЮЧЕВЫЕ ИНДИКАТОРЫ ЦЕЛИ

Ключевые индикаторы цели (Key Goal Indicators) описывают комплекс измерений, которые по факту сообщают руководству, что ИТ-процесс достиг предъявляемых бизнес-требований. КИЦ выражается в терминах информационных критериев:

  • пригодность информации, необходимой для поддержки бизнеса;
  • риски отсутствия целостности и конфиденциальности;
  • рентабельность процессов и операций;
  • подтверждение надежности, эффективности и согласованности.

Ключевыми индикаторами цели могут быть:

  • улучшение управления производительностью и стоимостью;
  • увеличение дохода от инвестиций в ИТ;
  • сокращение времени запуска в продажу нового продукта или услуги;
  • улучшение управления качеством, новшествами и рисками;
  • соответствующая интеграция и стандартизация бизнес-процессов;
  • поиск новых и удовлетворение существующих клиентов;
  • выполнение требований и ожиданий клиента по бюджету и времени;
  • соответствие законам, инструкциям, промышленным стандартам и договорным обязательствам;
  • полное осознание меры принимаемого риска, а также соответствие уровню риска, приемлемого для данной организации;
  • эталонное тестирование зрелости управления ИТ.

Примеры КИЦ:

  • доступность информационных ресурсов, систем и сервисов;
  • минимизация рисков, связанных с нарушением целостности и конфиденциальности данных;
  • снижение себестоимости ИТ-процессов и т. п.

КЛЮЧЕВЫЕ ИНДИКАТОРЫ ПРОИЗВОДИТЕЛЬНОСТИ

Ключевые индикаторы производительности (Key Performance Indicators) описывают комплекс действий, необходимых для определения, насколько ИТ-процессы достигают поставленных целей. КИП являются основными показателями, отображающими вероятность достижения цели, а также индикаторами, отражающими адекватность способов, методов и навыков, используемых при достижении результата.

Ключевыми индикаторами производительности могут быть:

  • увеличение рентабельности ИТ-процессов;
  • улучшение работы и планирования действий по совершенствованию ИТ-процессов;
  • увеличение нагрузки на ИТ-инфраструктуру;
  • повышение степени удовлетворения пользователей (опросы пользователей и количество жалоб);
  • улучшение взаимодействия и коммуникаций между руководителями ИТ и руководством организации;
  • повышение производительности сотрудников (в том числе, повышение морального духа).

Примерами КИП могут быть: время реакции системы, степень утилизации пропускной способности сети или вычислительных мощностей, повышение качества и совершенствование функциональности информационных сервисов и т. п.

Не существует

Полное отсутствие каких-либо процессов управления ИТ. Организация не признает существования проблем в ИТ, которые нужно решать, и, таким образом, нет никаких сведений о проблемах.

Начало (Анархия)

Организация признает существование проблем управления ИТ и необходимость их решения. При этом не существует никаких стандартизованных решений. Существуют случайные одномоментные решения, принимаемые кем-то персонально или от случая к случаю. Подход руководства к решению ИТ-проблем хаотичен, признание существования проблем случайно и непоследовательно.

Повторение (Фольклор)

Существует всеобщее осознание проблем управления информационными технологиями. Показатели деятельности и ИТ-процессов находятся в развитии, охватывая процессы планирования, функционирования и мониторинга ИТ.

Деятельность по управлению информационными технологиями описана и интегрирована в процесс управления организацией. Выбраны для улучшения и/или контроля те ИТ-процессы, которые влияют на основные бизнес-процессы предприятия. Эффективно выполняется планирование и управление инвестициями. Руководство организации регламентировало меры по управлению ИТ, а также методы управления и оценки, но процесс не был принят в организации.

Не существует формализованного обучения, набора взаимосвязанных стандартных процедур управления, ответственность возложена на сотрудников.

Сотрудники контролируют процессы управления с помощью проектов и ИТ-процессов. Ограниченные инструменты управления выбираются и внедряются для сбора метрик управления, но не используются в полном объеме из-за недостатков в оценке их функциональности.

Описание (Стандарты)

Необходимость действовать в соответствии с принципами управления ИТ понимается и принимается. Развивается базовый набор показателей управления ИТ: определена связь между результатом и показателями производительности, она зафиксирована и внедрена в стратегические процессы планирования и мониторинга. Процедуры стандартизованы и документированы, проводится обучение сотрудников по выполнению этих процедур. Показатели производительности всех видов деятельности зафиксированы и отслеживаются, что приводит к повышению эффективности работы всей организации. Процедуры не сложны, они являются формализацией существующей практики. Идеи сбалансированных карт оценки бизнеса принимаются организацией.

Ответственность за обучение, выполнение и применение стандартов возложена на сотрудников организации. Анализ первопричин применяется время от времени. Большинство процессов управляются в соответствии с некоторыми основными метриками, и, как правило, отдельными сотрудниками, поэтому ни о каких отклонениях руководители не знают. Однако всеобщая отчетность о выполнении ключевых процессов является четкой, и руководство премирует сотрудников на основе измерения ключевых результатов.

Управление (Измеряемый)

Существует полное понимание проблем управления ИТ на всех уровнях организации, постоянно происходит обучение сотрудников. Определены и поддерживаются в актуальном состоянии соглашения об уровне обслуживания. Четко распределена ответственность, установлен уровень владения процессами. Процессы ИТ соответствуют бизнесу и стратегии ИТ.

В первую очередь улучшения в процессах ИТ основываются на измеряемых количественных показателях. Существует возможность управлять процедурами и метриками процессов, измерять их соответствие. Все совладельцы процесса осознают риски, важность ИТ и возможности, которые они предоставляют.

Руководство организации определило допустимые отклонения, при которых процессы должны работать, если они не работают эффективно и продуктивно, то предпринимаются необходимые действия (во многих, но не всех случаях). Процессы постоянно совершенствуются, а их результаты соответствуют «лучшим практикам». Формализован порядок анализа первопричин. Присутствует понимание необходимости постоянного совершенствования.

Ограниченно применяются передовые технологии, основанные на современной инфраструктуре и модифицированных стандартных инструментах. Все необходимые ИТ-специалисты вовлечены в бизнес-процессы. Управление ИТ превращается в процесс уровня всей организации. Деятельность управления ИТ интегрируется в процесс управления организацией.

Оптимизация (Оптимизируемый)

В организации существует углубленное понимание управления ИТ, проблем и решений ИТ, а также перспектив. Обучение и коммуникация поддерживаются на должном уровне самыми современными средствами. В результате непрерывного улучшения процессы соответствуют моделям зрелости, построенным на основании «лучшей практики». Внедрение этих процедур привело к появлению организаций, людей и процессов, максимально адаптируемых к изменяющимся условиям, а также полностью соответствующих требованиям управления ИТ. Первопричины всех проблем и отклонений тщательно анализируются, по результатам анализа выполняются результативные действия. Информационные технологии интегрированы в бизнес-процессы, полностью их автоматизируют, предоставляя возможность повышать качество и эффективность работы организации.

Об авторе:

    Эдуард Савушкин — руководитель консалтинг-группы, Инком.


    1 Будем придерживаться такого написания ("официального"), хотя даже сама ITGI часто использует CobiT, СОBIT и т. п. — Прим. ред.


comments powered by HyperComments
ЧИТАЙТЕ ТАКЖЕ:КНИГИ ПО ТЕМЕ:
Большие данные. Революция, которая изменит то, как мы живем, работаем и мыслимБольшие данные. Революция, которая изменит то, как мы живем, работаем и мыслим
Сначала мобильные!Сначала мобильные!
Главный рубильник. Расцвет и гибель информационных империй от радио до интернетаГлавный рубильник. Расцвет и гибель информационных империй от радио до интернета
140 технологий раскрутки сайтов140 технологий раскрутки сайтов
Корпоративные блоги. Правила поведенияКорпоративные блоги. Правила поведения

Отзывы

O'l
Теоретичный материал, хорошая методичка может получится. другое дело привязка к нашим реалиям, практике.
2006-11-24 17:32:06
Ответить

Алексей
Согласен, материал теоретический - ведь эта статья - первый раздел COBIT в переводе на русский язык. Но, модель предложенная разработчиками COBIT, достаточно хорошо описывает взаимосвязь целей бизнеса и ИТ, позволяет спланировать, а потом воплотить в жизнь необходимые конкретной организации ИТ Процессы. Конечно же, COBIT не отвечает на вопрос "с чего начать на практике". Для этого и нужны консультанты, которые "оденут" COBIT на организацию.
Например, я бы начал жить по COBIT: с инвентаризации - Configuration management, потом управление инцидентами и проблемами, изменениями, а уже потом, обладая собственной историей и статистикой - внедрять остальные, необходимые процессы (всего их 34 в Cobit 4, на выбор).
Ведь проблема не в том, как внедрить - проблема в том, как измерить полученные результаты внедрения и с каким эталоном их сравнивать...
2006-12-19 14:20:24
Ответить

Борис Нестеренко, nbn@nau.edu.ua
Практика без теории слепа
Мне кажется может быть выбрана в качестве стратегии на долгие годы
2007-01-10 07:24:09
Ответить



Примечание: Точка зрения авторов статей может не совпадать с точкой зрения редакции Management.com.ua.
Для авторов: Редакционная политика портала.
система корекції помилок Внимание! На сайте работает система коррекции ошибок. Найдя ошибку в слове (фразе), выделите его и нажмите Ctrl+Enter.



bigmir)net TOP 100

МЕТОДОЛОГИЯ: Стратегия, Маркетинг, Изменения, Финансы, Персонал, Качество, ИТ
АКТУАЛЬНО: Новости, События, Тенденції, Интервью, Бизнес-образование, Комментарии, Рецензії, Консалтинг
СЕРВИСЫ: Бизнес-книги, Работа, Семинары, Форумы, Глоссарий, Цитаты, Рейтинги, Ресурсы, Статьи партнеров
ПРОЕКТЫ: Блог, Видео, Визия, Визионеры, Бизнес-проза, Бизнес-юмор

Страница Management.com.ua в Facebook    Отслеживать нас в Twitter    Подписаться на RSS    Почтовая рассылка


Copyright © 2001-2017, Management.com.ua
Портал создан и поддерживается STRATEGIC

Подписка на Менеджмент.Дайджест

Получайте самые новые материалы на свой e-mail (1 раз в неделю)



Спасибо, я уже подписан(-а)