Главная страница
Навигация по странице:

  • Рисунок 6.9. Процессы управления и аудита

  • Рисунок 6.10. Разделение объектов управления и аудита

  • "Резюме для руководителей"

  • "Первичный" аудит — термин не общепринятый, но все же, это состояние, когда информация об ИТ-организации собирается впервые.

  • Аудит ИТ бизнес-процесса

  • Тема 6. Управление службой ИТ предприятия Лекция 7. Задачи и структура управления службой ИТ предприятия Основные функции службы ИТ предприятия

  • Цели деятельности ИТ службы на предприятии

    		•

    ИТ-инфраструктура_КонспектЛекций. Учебнометодический комплекс Управление итинфраструктурой предприятия


    Скачать 6.41 Mb.
    НазваниеУчебнометодический комплекс Управление итинфраструктурой предприятия
    АнкорИТ-инфраструктура_КонспектЛекций.doc
    Дата02.05.2017
    Размер6.41 Mb.
    Формат файлаdoc
    Имя файлаИТ-инфраструктура_КонспектЛекций.doc
    ТипУчебно-методический комплекс
    #6337
    страница31 из 33
    1   ...   25   26   27   28   29   30   31   32   33


    5. Структура принципов аудита CobiT


    Для каждого ИТ-процесса, определенного CobiT, в Принципах аудита представлена следующая информация.

    Секция высокого уровня принципов аудита CobiT отражает:

    • Название бизнес-процесса;

    • Требования бизнеса (Объекты контроля высокого уровня);

    • Как осуществлять контроль;

    • Что учитывать.

    Для перехода на уровень детального аудита ИТ-процесса:

    • Детальные объекты контроля;

    • Как понять ИТ-процесс (кому задавать вопросы);

    • Как оценить контроль ИТ-процесса;

    • Как оценить соответствие этого контроля — управлению;

    • Как доказать риск не выполнения целей управления.

    На практике при проведении аудита для каждого ИТ-процесса ИТ-аудитору, как минимум необходимо выполнить следующую работу:

    1. Определить высокоуровневый объект контроля;

    2. Определить ИТ-процесс;

    3. Проанализировать границы аудита;

    4. Определить детальные объекты контроля;

    5. Провести интервью с сотрудниками (ориентировочные названия должностей для каждого объекта контроля приведены в принципах управления);

    6. Назначить задания на оценку средств контроля (Принято ли во внимание ...);

    7. Оценить соответствие;

    8. Проверить доказательства.

    Область охвата CobiT


    В силу объективных причин у каждого из ИТ-специалистов разное образование, подготовка и опыт в сфере информационных технологий. Зачастую мы используем разные термины для описания одних и тех же событий, происходящих в информационной системе. На практике это приводит к недопониманию распоряжений руководства, выполнению излишней, ненужной работы, что, в свою очередь, мешает работе и сказывается на эффективности деятельности организации. Типичный пример, когда головной офис располагается в Москве, а офисы организации разбросаны по всей стране, и отчеты ИТ-служб с мест приходят в головной офис в виде, не поддающемся анализу. Руководители компаний пытаются решить эти и подобные проблемы доступными способами, самые популярные из которых — совещания по обмену опытом, дополнительное обучение и повышение квалификации сотрудников.

    CobiT, в свою очередь, является своеобразной платформой для конструктивного диалога между всеми участниками процесса, формализуя через термины и определения общение между:

    1. Топ-менеджерами;

    2. Руководителями среднего звена (ИТ — директором, начальниками отделов);

    3. Непосредственными исполнителями (инженерами, программистами и т.д.);

    4. Внутренними и внешними аудиторами;

    5. Подрядчиками работ.

    CobiT предоставляет всем сотрудникам организации единую терминологию в сфере ИТ, гарантируя возможность общения на "одном языке", в частности, при открытии проектов, описании проблем и инцидентов и т.д. Облегчая управление и контроль, предоставляя компетентные однозначные ответы на вопросы, в том числе при внешних проверках.

    Рассмотрим, каким образом стандарт CobiT может быть применен в повседневной деятельности организации? Рассмотрим организацию, которая ставит перед собой цель: "предоставлять на рынке собственные услуги при максимально высоком качестве". Для достижения этой цели организация формализовала свою деятельность в соответствии с рекомендациями набора стандартов ISO 9000, ISO/IEC TR 15504 SPICE и т.п. Допустим, что подавляющее большинство бизнес-процессов организации соответствует положениям ISO 9000, внедрение стандарта управляется и поддерживается высшим руководством организации. Как и у любого стандарта, предполагающего собственное внедрение, ISO 9000 запускает механизмы контроля и управления, но это механизмы контроля и управления бизнес-процессами организации. Вопросы же, связанные с ИТ, рассматриваются как неотъемлемая часть бизнес-процессов организации. Но при этом выделить ИТ-составляющую из общего результата достаточно проблематично, и, как следствие, на базе подобной информации затрудняется управление ИТ-составляющей.

    Рассмотрим рисунок 6.9., иллюстрирующий процессы управления и аудита.

    Рисунок 6.9. Процессы управления и аудита
    Проведение аудита ИТ по стандарту CobiT представлено в левой части рисунка. Объекты контроля располагаются в соответствующих фазах бизнес-процессов, которые могут быть формализованы с соблюдением требований стандартов, предоставляя информацию с каждого объекта контроля на более высокий уровень. Рассматривая бизнес-процессы организации мы подразумеваем, что они могут быть созданы по стандартам качества или без них. Собираемая информация объединяется в высокоуровневые объекты контроля, которые затем сводятся в четыре домена CobiT. Оценка организации выводится на шкале модели зрелости организации, и лицу, принимающему решения, гарантируется возможность оценки текущего состояния ИТ в организации, сравнения с требованиями международных стандартов, а также с "лучшей" практикой и стратегией организации в той же отрасли.

    Процессы управления схематично отражены в правой половине рисунка. По результатам проведенного обследования руководитель анализирует нужды и требования бизнес-процессов к ИТ, переходя тем самым к управлению. При этом необходимо принимать во внимание тот факт, что невозможно управлять организацией в соответствии с положениями стандарта CobiT (при этом не проводя аудит в соответствии с CobiT), который позволяет получить в достаточном объеме необходимую и достоверную информацию для принятия решений и наоборот. Таким образом, оба эти процесса должны осуществляться в соответствии с рекомендациями CobiT.

    Для надлежащего управления ИТ по CobiT требуется информация, представляемая в соответствии с рекомендациями стандарта, а хотя аудит по CobiT проверяет информационные технологии организации на соответствие рекомендациям CobiT, наиболее существенную роль играет при этом интерпретация результатов. Таким образом, выпадение одного из звеньев из этой цепочки снижает уровень достоверности полученной информации и эффективности ее дальнейшего использования.

    6. Взаимосвязь CobiT и других требований и стандартов


    Открытый стандарт CobiT имеет свою нишу в общем комплексе стандартов, методик и руководств. Прежде всего, это стандарт управления и аудита ИТ. На что следует резонный вопрос, но, например, ITIL тоже содержит рекомендации по управлению ИТ-услугами, как они пересекаются? ITIL — библиотека лучшего практического опыта в части предоставления ИТ-услуг, а CobiT специализируется и на управлении и на аудите ИТ. Процессы ITIL, как и любые другие процессы, могут управляться и контролироваться стандартом CobiT.

    Повторюсь, что для управления предназначены цели управления, изложенные в Принципах управления, а для аудита — объекты контроля, изложенные в Принципах аудита. На рисунке это разделение представлено схематично (рисунок 6.10).



    Рисунок 6.10. Разделение объектов управления и аудита
    Как следует из рисунка, CobiT предоставляет топ-менеджерам возможность донести цели и задачи бизнеса до руководителей ИТ-служб, преобразовав стратегические и тактические планы организации в четкие и понятные планы развития ИТ. Руководители ИТ-служб, в свою очередь, управляют руководителями подразделений на основе полученных указаний в соответствии с CobiT. Методология ITIL применяется для оптимизации процесса обслуживания информационных систем с точки зрения управления. Если процессы предоставления и поддержки ИТ услуг (ITIL) в организации не внедрены, то Cobit предоставляет механизмы управления и на этом уровне. При этом CobiT можно применить в части управления эксплуатацией информационной системой, но только в качестве инструмента общего управления и контроля. Здесь необходимо учитывать, что CobiT не предоставляет инструментов для управления или аудита аппаратно-программного обеспечения конкретных фирм производителей. Так, например, аудит программного обеспечения Microsoft должен выполняться в соответствии с методиками, разработанными Microsoft, и на соответствие требованиям Microsoft, но результаты подобной проверки могут и должны быть использованы в процессах CobiT. Так очень схематично можно определить место и роль CobiT в части управления ИТ.

    Итак, ИТ-аудиторы собирают, анализируют информацию и предоставляют отчеты и заключения руководителям организации в соответствии с руководством аудитора CobiT (объекты контроля, "размещенные" в соответствии с рекомендациями CobiT). Основываясь на аудиторских оценках и заключениях о степени достижения целей управления, руководители организации обоснованно, с точки зрения соответствия ИТ целям и задачам бизнеса, осуществляют управление процессами организации для реализации ее бизнес-целей.

    7. Практические рекомендации


    Как уже говорилось выше, главной связующей нитью между аудитом и управлением являются полученные результаты аудита, на основе которых в дальнейшем создается система управления. Результаты должны оформляться в виде отчета, минимальный перечень разделов которого приведен ниже:

    1. Общий раздел.

    2. Описание текущей ситуации.

    3. Выводы и заключения.

    4. Рекомендации.

    5. Приложения, в которые включаются документы, результаты интервью и другая фактическая информация, на которой базируются заключения и рекомендации.

    Содержание отчетов может варьироваться в зависимости от уровней предоставления информации:

    1. "Резюме для руководителей" — резюме по результатам аудита объемом в 1-3 страницы, содержащих краткую оценку текущей ситуации, основные рекомендации с указанием ожидаемого эффекта, сопутствующие риски и указание ориентировочной стоимости. Документ предоставляется высшему руководству на уровне генерального директора, финансового директора, исполнительного директора.

    2. "Общий" — полный отчет, созданный по результатам проведенного ИТ-аудита. Должен включать, как минимум, следующие разделы: описание текущей ситуации, выводы и заключения, рекомендации (детальные). Документ предоставляется менеджерам среднего звена.

    В западной практике результатом аудита считается заключение аудиторской организации, на основании которого консультанты из этой же или другой фирмы, подготавливают рекомендации, направленные на повышение таких показателей организации, как эффективность, производительность, экономичность, качество и т.п. На российском рынке ИТ-консалтинга Заказчик в большинстве случаев требует от подрядчика (в основном от аудиторской компании) не только заключения и рекомендаций, но и их реализации, хотя бы до стадии проведения тендеров на поставку оборудования или услуг

    Преимущества проведения регулярного аудита


    На практике в большинстве организаций необходимый уровень управления обеспечивается внутренней иерархией: вершину дерева занимает лицо, принимающее решение, например, генеральный директор, консультант по ИТ, директор департамента ИТ. Управление осуществляется через менеджеров среднего звена (руководителей департаментов, отделов, рабочих групп, менеджеров проектов). Контроль выполнения руководящих указаний обеспечивается формальными отчетами о проделанной работе, при этом полнота и объективность отчетов остается на совести исполнителей работ. Одним из решений задач управления и контроля в сфере информационных технологий организации является создание собственного подразделения внутреннего аудита ИТ. Основным преимуществом регулярного проведения аудита является накопление знаний организации, создание собственной базы знаний, которая позволит быстро и достоверно ответить на большинство вопросов, возникающих в организации.

    Внутренний аудит предоставляет отчеты и информацию по запросу в любое время, а внешний (сторонние аудиторы) — лишь после заключения и соблюдения договорных обязательств. Построение и поддержка актуальности базы знаний об ИТ-организации позволит обеспечить прозрачность ИТ-служб, организовать эффективное взаимодействие служб ИТ, эффективно управлять ИТ.

    Таким образом, делая выбор, базирующийся на возможностях и целях организации, придется выбирать между подрядом внешней команды с расчетом на долгосрочное сотрудничество или лишь для проверки результатов "первичного" аудита, который в дальнейшем попадает в сферу компетенции внутренней аудиторской службы. То есть сторонние аудиторы, проводя первичный аудит, позволяют руководителям, в том числе и с точки зрения временного задела, сконцентрировать усилия на создании высокопрофессиональной службы внутренних аудиторов к моменту сдачи результатов проверки.

    Как мы уже выяснили, "первичный" аудит отличается от последующих относительной сложностью и большим объемом собираемой и анализируемой информации. Руководитель организации, заказавший аудит ИТ у внешней аудиторской компании, должен понимать, что через полгода-год (в зависимости от динамики развития) ситуация в организации изменится, результаты аудита потеряют свою актуальность.

    "Первичный" аудит — термин не общепринятый, но все же, это состояние, когда информация об ИТ-организации собирается впервые.

    Если в этот момент не провести повторный аудит для сравнения с предыдущими результатами, то деньги, вложенные в "первый" аудит, можно считать потерянными и придется проводить "первичный" аудит заново.

    Идеальная ситуация, когда аудит и управление выполняются по CobiT, предоставляя лицу, принимающему решение, полнофункциональный инструмент управления и контроля над ИТ организации, но на практике мы сталкиваемся с отсутствием формального управления.

    В этом случае требуется дополнительная предварительная работа, направленная на описание производственных процессов организации

    Причины постановки управления и проведения аудита ИТ


    Аудит ИТ проводят для того, чтобы оперативно получать систематизированную и достоверную информацию для оценки ИТ, принятия решения, управления ИТ.

    Результаты аудита ИТ позволяют:

    1. Оценить соответствие ИТ требованиям бизнеса

      • Выявить недостатки и упущения;

      • Обосновать инвестиции в ИТ.

    2. Прогнозировать развитие ситуации

      • Эффективно планировать развитие ИТ-организации;

      • Понимать выгоды и риск при внесении изменений в информационную систему;

      • Прогнозировать возникновение проблемных ситуаций (проблем и инцидентов).

    3. Принимать решения

      • Обоснованно решать проблемы безопасности и контроля;

      • Обоснованно приобретать или модернизировать аппаратно-программные средства;

      • О приобретении услуг (outsourcing);

      • Планировать повышение квалификации сотрудников ИТ-подразделений.

    4. Контролировать исполнение решений

      • Управлять ИТ составляющей проектов (контролировать время и стоимость их реализации, оценивать полноту достижения целей);

      • Контролировать стоимость владения ИС.

    Причины применения стандарта CobiT для управления и аудита ИТ


    После проведения ИТ-аудита с использованием принципов аудита, изложенных в CobiT, организация получит возможность:

    1. Оценить степень соответствия ИТ-организации требованиям бизнеса.

    2. Определить приоритеты основных ИТ-процессов.

    3. Выявить критически важные элементы ИТ.Выявить и оценить факторы риска.

    4. Определить степень адекватности мер, принимаемых для управления рисками.

    5. Оценить степень защищенности компании от чрезвычайных происшествий и их последствий.

    6. Реализовать рекомендации по обеспечению бесперебойности функционирования ИТ.

    7. Создать план работ по устранению недостатков и разработать способы их устранения.

    Кроме того, управление и аудит в соответствии со стандартом CobiT предоставляет организации следующие дополнительные преимущества:

    1. Возможность получения результата в сравнительно короткие сроки.

    2. Гарантия того, что при проведении аудита ничто не будет забыто: стандарт охватывает все уровни ИТ.

    3. После проведения "первичного" аудита производится наполнение информационной базы, что делает процессы проведения последующих проверок проще, легче и, как следствие, дешевле.

    4. CobiT как инструмент управления остается и внедряется в организации, автоматически переводя ее на уровень управления, сопоставимый, как минимум, со 2 уровнем модели зрелости CMM, несмотря на то, что достижение уровней зрелости не является прямой целью аудита — это специфические задачи бизнес-консалтинга

    Предложение услуг по ИТ аудиту на Российском рынке


    На Российском рынке в настоящее время, в части предложения услуг по проведению ИТ-аудита, очень условно можно выделить следующие виды:

    • Обследование ИТ, частный случай это обычная инвентаризация — сбор информации, которая будет использоваться для проведения последующих работ, например, проектных работ, когда требуется грамотно собрать достоверную информацию о текущем состоянии ИТ. Основную роль здесь играет сбор и структуризация информации, анализ и оценка не производится.

    • Экспертная оценка ИТ — оценка ИТ-проектов (проектных решений), оценка правильности (обоснованности) инвестиций в ИТ, сколько стоит ИТ-составляющая организации, не только балансовая стоимость компьютеров и программ, но и долгосрочность примененных проектных решений, оценка текущих ИТ-проектов, возможность перепрофилирования существующей ИТ-инфраструктуры под решение качественно других задач, организация эксплуатации ИТ, подготовка пользователей. Мы не говорим об возврате инвестиций, это тема отдельного исследования, мы говорим об оценки адекватности финансирования проектных решений, инвестиций в закупку оборудования и ИТ-услуг. Большинство современных компаний строят свой бизнес, взаимодействуют с клиентами и партнерами с широким применением информационных технологий. Однако существующие в настоящее время методики оценки предприятий сведены к экспертным заключениям о денежных потоках, материальных активах, финансовых показателях текущей деятельности и т.д., практически не учитывая совокупной стоимости и значимости для бизнеса информационных ресурсов предприятия.

    • Технический аудит ИТ — сбор, анализ информации и выдача рекомендаций по улучшению работы отдельного элемента ИТ-инфраструктуры. Характерные особенности — малый масштаб работы ("железка" с ее входами-выходами) и узкая прикладная специализация исследования, можно сказать что это "штучная" работа, для каждого конкретного случая.

    • Аудит ИТ бизнес-процесса — Аудит информационных технологий, поддерживающих определенный (выделенный или заданный) бизнес-процесс организации на соответствие заданным (или разработанным) критериям оценки. Для проведения подобного аудита необходимо определить ответственного за процесс, пользователей и участников, выявить применяемое оборудование и программы, обслуживающий персонал, проектные и регламентирующие документы. На базе собранной информации построить модель, с указанием мест взаимодействия (стыка) с другими бизнес-процессами.

    • Аудит критерия ИТ — сбор, анализ информации и выдача рекомендаций по какому-то выбранному критерию ИТ: безопасность, производительность, надежность, доступность и т.д. При проведении аудита по определенному критерию оценки мы говорим не только об отдельном элементе ИТ-инфраструктуры, но и обо всей совокупности программных, аппаратных средств, процессов их сопровождения и обслуживания во всей проверяемой организации.

    • Комплексный аудит ИТ. Руководство должно знать и иметь возможность оценить все, что происходило и происходит в ИТ-организации, сравнить адекватность ИТ-потребностям бизнеса. Иначе говоря, прогнозировать развитие организации и соизмерять его с текущим состоянием и перспективами развития ИТ. В результате получается сложная многомерная матрица взаимосвязей бизнес-процессов, их требований, информационных и смежных технологий, совокупности программно-аппаратных средств их возможностей/ограничений и многого другого должна быть представлена в виде простого и понятного образа, при этом сохранив достоверность информации. Информации об успешной реализации таких проектов в России очень мало, потому что, прежде всего, это требует объединения ресурсов различных компаний и организации единой коллективной работы.

    Приведенная классификация, является условной, автор будет благодарен за любые отзывы о ней как ИТ-специалистов, маркетологов, так и других заинтересованных лиц.

    Перефразируя утверждение, что "у каждой бумаги должны быть ноги", можно сказать, что у каждого стандарта должна быть голова. CobiT не является исключением, именно его переосмысление и адаптация под нужды каждого конкретного Заказчика, будь то ИТ-руководитель, внешний или внутренний аудитор, либо консультант — это большая ежедневная работа.

    Тема 6. Управление службой ИТ предприятия

    Лекция 7. Задачи и структура управления службой ИТ предприятия


    1. Основные функции службы ИТ предприятия

    Цели деятельности ИТ службы на предприятии:

    • Эффективно обеспечивать потребности бизнеса в ИТ,

    • Повысить эффективность бизнеса посредством применения ИТ инструментов.

    В деятельности службы ИТ можно выделить четыре класса задач или, другими словами, четыре функциональных направле­ния. В каждом функциональном направлении, в свою очередь, можно выделить более мелкие задачи (функции).

    1. Планирование и организация. В рамках этого направления решаются задачи разработки стратегии в области ИТ, координа­ции развития ИТ организации, планирования ресурсов службы ИТ (бюджет, человеческие ресурсы, внешние услуги и др.), управ­ления рисками, управления качеством.

    Соответственно, можно выделить следующие функции:

    • разработка стратегического плана службы ИТ, согласование его с другими подразделениями и руководством организации в целом;

    • разработка текущих производственных планов службы ИТ;

    • разработка бюджета службы ИТ и контроль его Исполнения;

    • разработка архитектуры ИТ организации и системы стандартов в области ИТ и ИТ;

    Информационные процессы в организации не Исчерпываются ИТ и службой ИТ. Участником информационных процессов оказывается так­же весь управленческий персонал организации — менеджмент, служба финансового учета, бухгалтерия, правовая служба и др. Поэтому кроме поддержки средствами ИТ возможна учетная, правовая и иная поддерж­ка информационных процессов.

    • определение политики безопасности организации в целом и отдельных сервисов ИТ;

    • планирование сервиса ИТ или группы сервисов;

    • управление организационной структурой службы ИТ;

    • управление портфелем проектов службы ИТ;

    • управление человеческими ресурсами;

    • управление рисками и др.

    2. Разработка, приобретение и внедрение. Основная задача этого направления — внедрение новых ИТ. Можно выделить следующие функции:

    • выбор решений в области автоматизации;

    • управление проектом разработки и/или внедрения;

    • приобретение и сопровождение прикладных приложений, необходимой технологической инфраструктуры;

    • разработка программного обеспечения;

    • тестирование программного обеспечения;

    • разработка пользовательской и эксплуатационной документации;

    • сдача внедренных систем в эксплуатацию;

    • учет затрат и контроль бюджета проекта.

    3. Предоставление и сопровождение сервиса ИТ. Это функциональное направление обеспечивает формализацию требований подразделений-заказчиков к сервисам ИТ, согласование требований к сервизам с соответствующими ресурсами службы ИТ и предоставление конечным пользователям сервисов ИТ, соответствующих согласованным требованиям. В нем можно выделить следующие функции:

    • согласование требований к сервису ИТ с заказчиком;

    • обеспечение соответствия требований заказчика и ресурсов службы ИТ;

    • выявление затрат и разнесение их по центрам затрат службы ИТ;

    • управление оборудованием и ПО безопасности и шифрования;

    • мониторинг попыток взлома ситцем безопасности;

    • мониторинг корпоративной электронной почты;

    • мониторинг трафика пользователей в Интернете;

    • обучение конечных пользователей;

    • учет активов службы ИТ и их движения;

    • поддержка конечных пользователей;

    • контроль оборудования и программного обеспечения на рабочих местах конечных пользователей;

    • контроль соблюдения требований безопасности;

    • управление приложениями и данными;

    • управление инфраструктурой ИТ;

    • регистрация и диспетчерирование запросов пользователей1.

    4. Мониторинг. Основная задача мониторинга — аудит процессов службы ИТ, обеспечиваемый выполнением следующих функций:

    • мониторинг процессов (наблюдение процессов силами самой службы ИТ);

    • оценка адекватности управления службой ИТ;

    • получение внешнего подтверждения качества результатов и процессов;

    • обеспечение независимого аудита;

    • аудит безопасности сервисов ИТ;

    • контроль исполнения:

    • согласованных требований заказчика к сервисам ИТ;

    • согласованных требований службы ИТ к ресурсам;

    • договоров с внешними поставщиками; бюджета службы ИТ.

    Рассмотрим участников процесса управления службой ИТ. Организационная структура управления службой ИТ приведена на рисунке 7.1.

    1   ...   25   26   27   28   29   30   31   32   33

    написать администратору сайта