Аудит информационных технологий

Раздел: Информационные технологии
Автор(ы): Эдуард Савушкин, журнал "Корпоративные системы" (№4, 2005)
 размещено: 17.11.2006
обращений: 23597

Впервые в украинской прессе публикуется развернутый материал по стандарту COBIT. Он дает ответ на три вопроса: "удовлетворяют" ли ИТ потребностям организации, как обеспечивается инфраструктура и управляются риски, с какими проблемами организация сталкивается при управлении ИТ.
Процесс внедрения COBIT1 (Control Objectives for Information and related Technology) в деятельность организации состоит из ряда последовательных этапов:
  • определение бизнес-целей на основе Концептуального ядра COBIT;
  • выбор ИТ-процессов и механизмов управления с использованием высокоуровневых и детальных задач управления;
  • согласование программы внедрения с бизнес-планом;
  • оценка существующих процедур и результатов внедрения механизмов управления при помощи «Руководства по аудиту»;
  • оценка текущего статуса организации, идентификация критичных действий, ведущих к успеху, и измерение производительности в достижении целей организации при помощи «Руководства по менеджменту».

ПРИНЦИПЫ УПРАВЛЕНИЯ ИТ

«Принципы управления» — книга стандарта COBIT, описывающая управление ИТ — одна из последних разработок Института Управления ИТ (IT Governance Institute, ITGI), пополнившая перечень книг COBIT в третьем издании стандарта.

Управление ИТ — составная часть успеха в управлении предприятием, которая гарантирует рациональное и эффективное совершенствование всех взаимосвязанных процессов предприятия. Управление ИТ предоставляет основу, которая связывает ИТ-процессы, ИТ-ресурсы и информацию со стратегией и целями организации, что позволяет максимально эффективно использовать информацию, повышая капитализацию и получая конкурентоспособные преимущества.

Принципы управления должны помочь руководителю ИТ ответить на три стратегических вопроса:

  • Существуют ли в настоящее время в организации информационные технологии, при управлении которыми «удовлетворяются» все информационные потребности организации?
  • Как организация обеспечивает инфраструктуру и управляет рисками, насколько организация зависит от этого?
  • С какими проблемами организация сталкивается при управлении ИТ?

Чтобы получить ответы на эти стратегические вопросы, необходимо непрерывно отвечать на «тактические» вопросы:

  • Что является результатом ИТ-процессов?
  • Что является решением проблем в ИТ?
  • Из чего состоят эти решения?
  • Будут ли работать эти решения?
  • Как их реализовать?
Для получения ответов на «тактические» вопросы в книге «Принципы управления» COBIT включены модели зрелости, критические факторы успеха (КФУ), ключевые индикаторы цели (КИЦ) и ключевые показатели результата (КНР). Это дополнение позволило получить качественно улучшенный подход к вопросам управления ИТ, который отвечает потребностям руководителей в части управления и контроля. Руководитель организации получает инструмент управления и измерения ИТ на соответствие 34 ИТ-процессам, определенным в COBIT.

Для информационной поддержки принятия решений, в книге «Принципы управления» описаны следующие виды представления информации:

  • инструментальная панель;
  • карты оценки;
  • эталонное тестирование.

Первой целью «Принципов управления» COBIT явилось создание индикаторов для инструментальной панели, единиц измерения для карт оценки, шкал сравнения для эталонного тестирования.

Перед руководителями в коммерческих и некоммерческих организациях часто возникают задачи оценить объемы инвестиций в ИТ и инфраструктуру, при этом далеко не все могут обосновать инвестиции, отвечая на вопрос: «Как далеко необходимо зайти, и будут ли оправданы затраты выгодой?» «Принципы управления» COBIT призваны ответить на этот вопрос и помочь в обосновании инвестиций в ИТ.

В настоящее время информационные услуги преобладают над прочими поддерживающими бизнес-услугами. Таким образом, ИТ становятся одними из первостепенных показателей бизнеса. Как следствие — отношения между бизнес-целями с их единицами измерения и ИТ с его целями и единицами измерения являются очень важными и могут быть изображены следующим образом (рис. 1).

Схема отношения целей бизнеса и IT

Создание такой взаимной связи поможет руководителям в контроле над информационными технологиями организации, отвечая на следующие вопросы.

О чем беспокоится руководство организации? Необходимо удостовериться, что выполняются все потребности организации.

Где измеряется удовлетворение потребностей? Результат бизнес-процесса показан на сбалансированной карте оценок бизнеса как ключевой индикатор цели.

Затрагивают ли проблемы, возникающие в ходе реализации бизнес-процессов, информационные технологии организации? ИТ-процессы своевременно предоставляют организации правильную информацию, позволяя ее бизнес-процессам эффективно и бесперебойно функционировать. Это является критическим фактором успеха для организации.

Где это измеряется? Ключевой индикатор цели, основанный на сбалансированной карте оценки, представляет ИТ-информацию, сопоставимую с критериями информации (эффективность, продуктивность, конфиденциальность, целостность, пригодность, согласованность, надежность).

Что еще должно быть измерено? Если ответы на первые вопросы — положительные, должно быть учтено влияние множества критических факторов успеха, которые должны быть измерены как ключевые индикаторы результата для ИТ-процессов.

Обобщая, можно сказать следующее:

  • модели зрелости предназначены для стратегического выбора и эталонного сравнения;
  • критические факторы успеха предназначены для организации контроля ИТ-процессов;
  • ключевые индикаторы цели предназначены для контроля достижения целей ИТ-процессов;
  • ключевые индикаторы результата предназначены для контроля результатов каждого ИТ-процесса.

Модели зрелости рассмотрены дальше, а критические факторы успеха и ключевые индикаторы цели и результата приведены во врезке.

МОДЕЛИ ЗРЕЛОСТИ

Maturity Models (MM, «модели зрелости») в COBIT предназначены для контроля над ИТ-процессами организации. Они базируются на определении уровня развития организации — от несуществующего до оптимизированного (от 0 до 5 уровня модели зрелости). Соответствие разным уровням «модели зрелости» означает, что компания готова к плановой модернизации или обновлению.

Модель зрелости — не стандарт, для нее нет формальных описаний и жестких требований, она не привязана к конкретным информационным технологиям. Модели зрелости предназначены для организации эффективного управления. Они определяют ключевые действия, которые надо сделать для достижения требуемого качества, и содержат способы контроля над правильностью выполнения ключевых ИТ-процессов и методы их корректировки.

Ключевые действия подробно описаны в Руководстве на абстрактном уровне, а в процессе использования моделей зрелости компания может выбрать степень их формализации.

Шкала моделей зрелости

Взяв за основу шкалу моделей зрелости (рис. 2), разработанную для каждого из 34 ИТ-процессов COBIT, руководитель может выяснить следующее:

  • текущий статус организации — оценить, на какой стадии организация находится сегодня;
  • текущий статус лучшей практики в этой отрасли — сравнить свою организацию с лучшей организацией в этой отрасли;
  • текущий статус международных стандартов — провести дополнительное сравнение текущего статуса организации с «лучшей практикой»или международными стандартами;
  • статус организации после усовершенствования (реализация стратегии организации) — оценить стратегию организации, каких результатов организация хочет достичь.

Модель зрелости управления ИТдля бизнеса, предназначена для управления ИТ-процессами с целью увеличения ценности ИТ, при соблюдении равновесия между риском и прибылью.

ИТ-процессы: основные показатели

КРИТИЧЕСКИЕ ФАКТОРЫ УСПЕХА

Критические факторы успеха (Critical Success Factors) определяют наиболее важные проблемы или действия руководителей, направленные на достижение контроля над ИТ-процессами (методы внедрения системы управления ИТ-процессами). КФУ должны быть управляемыми, ориентированными на успех и описывать, как выполнять необходимые стратегические, технические, организационные или процедурные действия для достижения успеха.

Примеры критических факторов успеха:

  • действия по управлению ИТ интегрированы в процессы управления организации и стиль работы руководителей;
  • управление ИТ сосредоточено на целях организации — стратегических инициативах, использовании технологий для развития бизнеса, достаточности ресурсов и удовлетворения бизнес-требований;
  • действия по управлению ИТ определены, формализованы и осуществляются на основе потребностей предприятия с соответствующей отчетностью;
  • методы управления разработаны для увеличения продуктивности, оптимального использования ресурсов и увеличения эффективности ИТ-процессов;
  • организационные методы следят за окружающей средой и культурой управления, способствуют нормальному контролю и ведению стандартной практики управления рисками, определяют степень соответствия установленным стандартам, управляют и изучают недостатки и риски;
  • методы аудита определены таким образом, чтобы избежать сбоев и ошибок в системе внутреннего контроля;
  • наблюдается интеграция и развитие взаимодействия сложных ИТ-процессов (управление проблемами, изменениями и конфигурациями);
  • учрежден контрольный комитет, назначающий и наблюдающий за независимым аудитом, уделяющий пристальное внимание ИТ при составлении планов аудита, а также принимающий во внимание результаты исследований сторонних организаций и аудиторов.

К числу наиболее общих КФУ, применимых к любому ИТ-процессу, также можно отнести следующие:

  • стандартизация ИТ-процессов и их нацеленность на достижение целей бизнеса;
  • определение групп пользователей ИТ-процессов и их требований;
  • обеспечение масштабируемости ИТ-процессов и оптимального управления ресурсами в рамках этих процессов;
  • качество персонала информационной системы (квалификация, моральные качества и т. п.);
  • использование финансовых метрик для измерения производительности ИТ-процессов и премирование руководителей ИТ-отделов на основании результатов этих измерений;
  • наличие процедур контроля и повышения качества ИТ-процессов.

КЛЮЧЕВЫЕ ИНДИКАТОРЫ ЦЕЛИ

Ключевые индикаторы цели (Key Goal Indicators) описывают комплекс измерений, которые по факту сообщают руководству, что ИТ-процесс достиг предъявляемых бизнес-требований. КИЦ выражается в терминах информационных критериев:

  • пригодность информации, необходимой для поддержки бизнеса;
  • риски отсутствия целостности и конфиденциальности;
  • рентабельность процессов и операций;
  • подтверждение надежности, эффективности и согласованности.

Ключевыми индикаторами цели могут быть:

  • улучшение управления производительностью и стоимостью;
  • увеличение дохода от инвестиций в ИТ;
  • сокращение времени запуска в продажу нового продукта или услуги;
  • улучшение управления качеством, новшествами и рисками;
  • соответствующая интеграция и стандартизация бизнес-процессов;
  • поиск новых и удовлетворение существующих клиентов;
  • выполнение требований и ожиданий клиента по бюджету и времени;
  • соответствие законам, инструкциям, промышленным стандартам и договорным обязательствам;
  • полное осознание меры принимаемого риска, а также соответствие уровню риска, приемлемого для данной организации;
  • эталонное тестирование зрелости управления ИТ.

Примеры КИЦ:

  • доступность информационных ресурсов, систем и сервисов;
  • минимизация рисков, связанных с нарушением целостности и конфиденциальности данных;
  • снижение себестоимости ИТ-процессов и т. п.

КЛЮЧЕВЫЕ ИНДИКАТОРЫ ПРОИЗВОДИТЕЛЬНОСТИ

Ключевые индикаторы производительности (Key Performance Indicators) описывают комплекс действий, необходимых для определения, насколько ИТ-процессы достигают поставленных целей. КИП являются основными показателями, отображающими вероятность достижения цели, а также индикаторами, отражающими адекватность способов, методов и навыков, используемых при достижении результата.

Ключевыми индикаторами производительности могут быть:

  • увеличение рентабельности ИТ-процессов;
  • улучшение работы и планирования действий по совершенствованию ИТ-процессов;
  • увеличение нагрузки на ИТ-инфраструктуру;
  • повышение степени удовлетворения пользователей (опросы пользователей и количество жалоб);
  • улучшение взаимодействия и коммуникаций между руководителями ИТ и руководством организации;
  • повышение производительности сотрудников (в том числе, повышение морального духа).

Примерами КИП могут быть: время реакции системы, степень утилизации пропускной способности сети или вычислительных мощностей, повышение качества и совершенствование функциональности информационных сервисов и т. п.

Не существует

Полное отсутствие каких-либо процессов управления ИТ. Организация не признает существования проблем в ИТ, которые нужно решать, и, таким образом, нет никаких сведений о проблемах.

Начало (Анархия)

Организация признает существование проблем управления ИТ и необходимость их решения. При этом не существует никаких стандартизованных решений. Существуют случайные одномоментные решения, принимаемые кем-то персонально или от случая к случаю. Подход руководства к решению ИТ-проблем хаотичен, признание существования проблем случайно и непоследовательно.

Повторение (Фольклор)

Существует всеобщее осознание проблем управления информационными технологиями. Показатели деятельности и ИТ-процессов находятся в развитии, охватывая процессы планирования, функционирования и мониторинга ИТ.

Деятельность по управлению информационными технологиями описана и интегрирована в процесс управления организацией. Выбраны для улучшения и/или контроля те ИТ-процессы, которые влияют на основные бизнес-процессы предприятия. Эффективно выполняется планирование и управление инвестициями. Руководство организации регламентировало меры по управлению ИТ, а также методы управления и оценки, но процесс не был принят в организации.

Не существует формализованного обучения, набора взаимосвязанных стандартных процедур управления, ответственность возложена на сотрудников.

Сотрудники контролируют процессы управления с помощью проектов и ИТ-процессов. Ограниченные инструменты управления выбираются и внедряются для сбора метрик управления, но не используются в полном объеме из-за недостатков в оценке их функциональности.

Описание (Стандарты)

Необходимость действовать в соответствии с принципами управления ИТ понимается и принимается. Развивается базовый набор показателей управления ИТ: определена связь между результатом и показателями производительности, она зафиксирована и внедрена в стратегические процессы планирования и мониторинга. Процедуры стандартизованы и документированы, проводится обучение сотрудников по выполнению этих процедур. Показатели производительности всех видов деятельности зафиксированы и отслеживаются, что приводит к повышению эффективности работы всей организации. Процедуры не сложны, они являются формализацией существующей практики. Идеи сбалансированных карт оценки бизнеса принимаются организацией.

Ответственность за обучение, выполнение и применение стандартов возложена на сотрудников организации. Анализ первопричин применяется время от времени. Большинство процессов управляются в соответствии с некоторыми основными метриками, и, как правило, отдельными сотрудниками, поэтому ни о каких отклонениях руководители не знают. Однако всеобщая отчетность о выполнении ключевых процессов является четкой, и руководство премирует сотрудников на основе измерения ключевых результатов.

Управление (Измеряемый)

Существует полное понимание проблем управления ИТ на всех уровнях организации, постоянно происходит обучение сотрудников. Определены и поддерживаются в актуальном состоянии соглашения об уровне обслуживания. Четко распределена ответственность, установлен уровень владения процессами. Процессы ИТ соответствуют бизнесу и стратегии ИТ.

В первую очередь улучшения в процессах ИТ основываются на измеряемых количественных показателях. Существует возможность управлять процедурами и метриками процессов, измерять их соответствие. Все совладельцы процесса осознают риски, важность ИТ и возможности, которые они предоставляют.

Руководство организации определило допустимые отклонения, при которых процессы должны работать, если они не работают эффективно и продуктивно, то предпринимаются необходимые действия (во многих, но не всех случаях). Процессы постоянно совершенствуются, а их результаты соответствуют «лучшим практикам». Формализован порядок анализа первопричин. Присутствует понимание необходимости постоянного совершенствования.

Ограниченно применяются передовые технологии, основанные на современной инфраструктуре и модифицированных стандартных инструментах. Все необходимые ИТ-специалисты вовлечены в бизнес-процессы. Управление ИТ превращается в процесс уровня всей организации. Деятельность управления ИТ интегрируется в процесс управления организацией.

Оптимизация (Оптимизируемый)

В организации существует углубленное понимание управления ИТ, проблем и решений ИТ, а также перспектив. Обучение и коммуникация поддерживаются на должном уровне самыми современными средствами. В результате непрерывного улучшения процессы соответствуют моделям зрелости, построенным на основании «лучшей практики». Внедрение этих процедур привело к появлению организаций, людей и процессов, максимально адаптируемых к изменяющимся условиям, а также полностью соответствующих требованиям управления ИТ. Первопричины всех проблем и отклонений тщательно анализируются, по результатам анализа выполняются результативные действия. Информационные технологии интегрированы в бизнес-процессы, полностью их автоматизируют, предоставляя возможность повышать качество и эффективность работы организации.

Об авторе:

    Эдуард Савушкин — руководитель консалтинг-группы, Инком.

    1 Будем придерживаться такого написания ("официального"), хотя даже сама ITGI часто использует CobiT, СОBIT и т. п. — Прим. ред.


ЧИТАЙТЕ ТАКЖЕ:
КНИГИ ПО ТЕМЕ:
Scrum и ХР: заметки с передовойScrum и ХР: заметки с передовой
Как тестируют в GoogleКак тестируют в Google
E-Learning: Как сделать электронное обучение понятным, качественным и доступнымE-Learning: Как сделать электронное обучение понятным, качественным и доступным

Отзывы
O'l
Теоретичный материал, хорошая методичка может получится. другое дело привязка к нашим реалиям, практике.
2006-11-24 17:32:06
Ответить
Алексей
Согласен, материал теоретический - ведь эта статья - первый раздел COBIT в переводе на русский язык. Но, модель предложенная разработчиками COBIT, достаточно хорошо описывает взаимосвязь целей бизнеса и ИТ, позволяет спланировать, а потом воплотить в жизнь необходимые конкретной организации ИТ Процессы. Конечно же, COBIT не отвечает на вопрос "с чего начать на практике". Для этого и нужны консультанты, которые "оденут" COBIT на организацию.
Например, я бы начал жить по COBIT: с инвентаризации - Configuration management, потом управление инцидентами и проблемами, изменениями, а уже потом, обладая собственной историей и статистикой - внедрять остальные, необходимые процессы (всего их 34 в Cobit 4, на выбор).
Ведь проблема не в том, как внедрить - проблема в том, как измерить полученные результаты внедрения и с каким эталоном их сравнивать...
2006-12-19 14:20:24
Ответить
Борис Нестеренко, nbn@nau.edu.ua
Практика без теории слепа
Мне кажется может быть выбрана в качестве стратегии на долгие годы
2007-01-10 07:24:09
Ответить

МЕТОДОЛОГИЯ: Стратегия, Маркетинг, Изменения, Финансы, Персонал, Качество, ИТ
АКТУАЛЬНО: Новости, События, Тренды, Инсайты, Интервью, Бизнес-обучение, Рецензии, Консалтинг
СЕРВИСЫ: Бизнес-книги, Работа, Форумы, Глоссарий, Цитаты, Рейтинги, Статьи партнеров
ПРОЕКТЫ: Блог, Видео, Визия, Визионеры, Бизнес-проза, Бизнес-юмор

Страница Management.com.ua в Facebook    Менеджмент.Книги: телеграм-канал для управленцев    Management Digest в LinkedIn    Отслеживать нас в Twitter    Подписаться на RSS    Почтовая рассылка


Copyright © 2001-2023, Management.com.ua

Менеджмент.Книги

телеграм-канал Менеджмент.Книги Менеджмент.Книги — новинки, книжные обзоры, авторские тезисы и ценные мысли из бизнес-книг. Подписывайтесь на телеграм-канал @books_management



Спасибо, я уже подписан(-а)