1 задание. Вадим Алджанов итархитектура от а до Я Теоретические основы. Первое

измеряется, и разрабатываются меры по улучшению процессов, услуг и ИТ-инфраструктуры с целью увеличения эффективности, результативности и эффективности затрат. Основной целью
CSI является непрерывное «выравнивание» услуг в соответствии с изменяющимися требованиями бизнеса путем поиска и реализации возможностей улучшения услуг, которые поддерживают бизнес-процессы.
Цели и задачи:
Формирование процесса непрерывного улучшения сервиса на всех этапах жизненного цикла.
Формирование процесса мониторинга и измерений показателей сервиса.
Проведение оценки и анализ достижения целей по уровням предоставления сервисов
Организация деятельности по непрерывному улучшению процессов управления ИТ
Оптимизация финансовой составляющей предоставления сервисов обзор, анализ результатов и формирование рекомендаций по улучшениям для каждого этапа жизненного цикла: Построения стратегии, Проектирования, Внедрения и Эксплуатации услуг; обзор и анализ полученных результатов на уровне услуг; поиск возможностей и осуществление соответствующей деятельности по увеличению качества услуг и результативности/эффективности процессов Управления услугами; увеличение эффективности затрат без негативного влияния на удовлетворенность заказчиков предоставляемыми услугами; использование подходящих методов управления для поддержки деятельностей в рамках
Непрерывного улучшения услуг.
Данная фаза определяется следующими процессами (2) улучшения сервиса (7 step improvement process):
Управление процессом измерений (Service Measurement)
Управление отчетностью (Service Reporting)
Управление Улучшением Сервиса (Service Improvement)
Фаза непрерывного улучшения сервиса представляет из себя следующий цикл вопросов:
Как мы двигаемся?
Каково видение?
Где мы сейчас?
Где мы хотим быть?
Как мы этого достигнем?
Мы достигли желаемого?
Как мы двигаемся?
«7 шагов по улучшению сервиса» включают в себя следующие действия:
Сбор данных
Анализ данных
Определение «что может быть измерено?»
Определение «что должно быть измерено?»
Обработка данных
Корректировка данных
Предоставление и использование полученной информации
Возможности для улучшения услуг есть всегда. Процесс улучшения может быть сведен к шести шагам: понять и принять общую цель организации; оценить текущую ситуацию и получить объективную и аккуратную оценку того, в каком состоянии находится организация. Оценка базового состояния представляет собой анализ текущего состояния в контексте бизнеса, организации, персонала, процессов и технологий.
Базовое состояние здесь обозначает собой некую отправную точку для измерения эффекта от реализации улучшений; расставить приоритеты улучшения на основе более глубокого анализа цели организации;

определить план CSI для процессов сервис-менеджмента; проверить метрики и системы измерения, которые позволят осуществить контроль в промежуточных точках реализации улучшений, измерить гибкость процессов и достижение приоритетов и целей бизнеса на уровне услуг; в завершение, необходимо убедиться в том, что предложенные изменения реализованы, увеличение качества достигнуто и может быть сохранено в дальнейшем.
Улучшение не всегда можно объективно оценить. Кроме этого, у заказчиков и поставщиков услуг может сложиться разное отношение к улучшению. Чтобы уменьшить или предотвратить разрыв, необходимо информировать все заинтересованные стороны.
Результаты улучшения услуг можно определить следующими терминами улучшения – результаты, которые при сравнении с предыдущим состоянием могут показать увеличение желаемой или уменьшение не желаемой метрики. выгоды – результаты, достигнутые в результате реализации улучшений, выраженные в финансовых терминах.
Возврат инвестиций – измерение разницы между выгодой, полученной от улучшения, и затратами на его реализацию.

Добавленная ценность от инвестиций – измерение ожидаемых выгод от инвестиций.
Рассматривает как материальные, так и нематериальные выгоды. Нематериальные выгоды часто трудно поддаются оценке (улучшение репутации, удовлетворенности заказчиков и т п).
На практике, каждое улучшение должно быть доказано бизнесу сточки зрения ценности и необходимости. Можно выделить следующую деятельность по улучшению: увеличение финансовой выгоды улучшение качества бизнес операций увеличение продуктивности работы сотрудников улучшение непрерывности бизнеса улучшение взаимодействия поставщика услуг и заказчика; увеличение удовлетворенности пользователей увеличение качества и доступности услуг улучшение процессов планирования и закупок, улучшение процессов развертывания и реализации; улучшение управления информацией увеличение гибкости бизнеса улучшение соответствия целей IT и бизнеса; уменьшение негативного влияния ИТ на бизнес
ИТ услуги проектируются для достижения конкретных требований; улучшенное распределение и использование ресурсов. инновационные выгоды внутренние выгоды IT-организации улучшенные связи, командная работа
Процесс улучшения в общем случае является частью глобального процесса улучшения организации в целом. Любое изменение организации является затратным и трудным процессом, встречающим на своем пути множество проблем. Основная проблема, как правило, связана с людьми, которые не любят изменения. Изменения в общем случае заставляют персонал отказываться от привычных практик работы.
Управление Измерениями (Service Measurement SMM)
Процесс Управления Измерениями является частью этапа «Непрерывного улучшения сервиса». Процесс предназначен для измерения метрик процессов для их последующей оценке и улучшения.
Данный процесс отвечает на такие вопросы как:
Формирование процесса управления Измерениями.
Деятельность по процессу:
Утверждение процесса управления Измерениями
Формирование процесса управления Измерениями
Определение метрик доступности, надежности, производительности
Формирование различных уровней измерений
Установка метрик
Анализ и интерпретация метрик и показателей
Входы процесса:
Процесс Управления Изменениями
Процесс Управления Событиями
Процесс управления Инцидентами
Процесс управления Запросами

Цели SLA
SLRs
OLAs
Contracts
Выходы процесса:
Программа улучшения сервисов
Метрики для процессов управления сервисами
Метрики и показатели для сервисов
Участники процесса:
ИТ комитет
Сотрудники ИТ департамента
Представители Департамента Безопасности
Представители бизнеса
Ключевые моменты процесса:
ИТ департамент является владельцем процесса
Используемая система измерения и соответствующие ей метрики должны отражать качество и эффективность процессов проектирования с точки зрения бизнеса, заказчиков и пользователей.
Она должна достоверно показывать способность услуги удовлетворять согласованным требованиям бизнеса.
Есть четыре типа метрик, которые могут быть использованы для измерения производительности и возможностей процессов: прогресс – измеренные в контрольных точках результаты процесса;

соответствие – соответствие процесса требованиям руководства и регуляторов. результативность – аккуратность, корректность процесса, а также его способность достигать поставленные цели. эффективность – мера целесообразности использования ресурсов для реализации процесса.
Для незрелого процесса лучше подходят первые две метрики, для зрелого процесса рекомендуется определять эффективность и результативность.
Кроме этого, существует четыре причины для измерения и мониторинга: проверка – измерение и мониторинг проверяет принятые решения; направление – измерение и мониторинг определяют направление дальнейших действий для достижения установленных целей; обоснование – измерение и мониторинг позволяют создать обоснование тех или иных действий, построенное на реальных данных; вступление – измерение и мониторинг позволяют определить точки, в которых необходимо осуществить коррекцию или изменения.
Критерии результативности – (KGI)
Критерии эффективности – (KPI)
Отчетность по Сервисам (Service Reporting SRM)
Процесс формирования Отчетов является частью этапа «Непрерывного улучшения сервиса».
Данный процесс отвечает на такие вопросы как:
Формирование процесса предоставления отчетов.
Деятельность по процессу:
Утверждение процесса формирования отчетов
Управление процессом предоставления отчетов
Определение измерений и метрик, включенных в отчеты
Определение групп и сервисов для предоставления отчетов

Входы процесса:
Процесс Управления Изменениями
Процесс Управления Событиями
Процесс управления Инцидентами
Процесс управления Запросами
Процесс управления измерениями
Выходы процесса:
Программа формирования отчетов
Отчеты по состоянию управления сервисами
Отчеты по состоянию сервисов
Участники процесса:
ИТ комитет
Сотрудники ИТ департамента
Представители Департамента Безопасности
Представители бизнеса
Ключевые моменты процесса:
ИТ департамент является владельцем процесса
При формировании отчетности IT необходимо: определить цель отчета;

определить целевую аудиторию; определить для чего будет использован отчет.
Значительное количество данных собирается в процессе ежедневной работы, но не все из них являются ценными и могут быть использованы для анализа и принятия решений. Для того чтобы структурировать процесс формирования отчетности необходимо согласовать политику и правила с бизнесом и этапом Проектирования. Они могут включать в себя: целевую аудиторию; соглашение о том, что будет измеряться и отражаться в отчетах; термины и границы; расписание формирования отчетности; доступ к отчетам и средства, которые будут использованы для его осуществления; расписание встреч для обсуждения отчетов.
Отчеты должны быть простыми для понимания и в то же время эффективными. Задачей IT является формирование отчетов в терминах, понятных бизнесу.
Критерии результативности – (KGI)
Критерии эффективности – (KPI)
Процесс Улучшения Сервиса (Service Improvement SIM)
Процесс Улучшения Сервиса является частью этапа «Непрерывного улучшения сервиса».
Данный процесс отвечает на такие вопросы как:
Формирование процесса Улучшения Сервиса.
Один из важных критериев для организации это понимание стоимости улучшений и усилия, которые необходимо предпринять для их реализации. Эти значения должны сравниваться с выгодами, которые получит организация от улучшений. Выгоды посчитать гораздо труднее, чем издержки. Чтобы сравнивать затраты на улучшения и его результаты необходимо провести анализ и ответить, как минимум на следующее вопросы:
Какова стоимость простоя?
Какова стоимость повторного выполнения работ?
Какова стоимость излишней работы?
Какова стоимость проектов, которые не принесли ценности?
Какова стоимость задержки в предоставлении приложений?
Какова стоимость передачи инцидентов на вторую и третью ступень поддержки в сравнении с их разрешением на первой ступени?
Какова средняя стоимость часа работы для сотрудников?
В качестве методов измерения доступности и ведения соответствующих отчетов: влияние потерянных минут – время простоя, умноженное на количество пользователей, на которых он повлиял. Пользователи в период простоя теряют свою производительность, так как не могут выполнять работу. влияние на бизнес-транзакции – количество бизнес-транзакций, которые не могут быть завершены из-за простоя; реальные издержки от простоя.

Деятельность по процессу:
Утверждение процесса улучшения сервисов
Цикл «Деминга» (PDCA)
Планирование (Plan)
Действие (Do)
Проверки (Check)
Реакция (Act)
Триггеры блокировки
Триггеры повторного запуска процесса
Входы процесса:
Все процессы управления сервисами
Процесс управления знаниями
Выходы процесса:
Программа улучшения сервисов
Внесение изменений в действующие процессы
Внесение изменений в действующие сервисы
Создание новых сервисов
Создание новых процессов
Оптимизация процессов
Оптимизация сервисов
Участники процесса:
ИТ комитет
Сотрудники ИТ департамента
Представители Департамента Безопасности
Представители бизнеса
Показатели процесса:
Удовлетворенность бизнеса
Улучшение показателей процессов
Улучшение показателей сервисов
Ключевые моменты процесса:
ИТ департамент является владельцем процесса
Критерии результативности – (KGI)
Критерии эффективности – (KPI)

Механизмы Контроля и Аудита ИТ
Общие Положения
Деятельность ИТ департамента имеет важное значение для организации. Как следствие необходимо принимать действия по ее контролю и аудиту активности. Как правило, данная функция возложена на департамент Внутреннего Аудита организации.
Основные задачи ИТ аудита:
Стратегические – соответствие целей и задач ИТ целям и задачам организации. Главная цель – результативность.
Оперативные – контроль за надлежащим исполнением регламента. Основная цель – эффективность.
Международные стандарты и практики ИТ аудита
«IT Audit Framework 2nd Edition» (ITAF) – международный стандарт проведения
ИТ-аудита от организации ISACA. Действующая редакция выпущена в июле 2013 года. Целевая аудитория стандарта – специалисты в области ИТ-аудита. Стандарт предназначен для использования при проведении формализованных аудиторских проверок информационных систем и ИТ-инфраструктуры.
Стандартом определяются:
•основные термины и концепции, специфичные для специалистов в области ИТ-аудита;
•минимальные требования к навыкам и знаниям специалистов, выполняющих аудиторские проверки информационных систем;
•основные этапы проведения аудиторских проверок информационных систем и подготовки аудиторского отчета;
•перечень поддерживающих стандарт руководств, рабочих программ и инструментальных средств проведения аудита информационных систем.

Стандарт ITAF состоит из трех частей:
Общие стандарты – включает руководящие принципы для профессионалов в области аудита информационных систем: соблюдение независимости, объективности и профессиональной этики, поддержание знаний, компетенций и навыков.
Стандарты проведения аудиторских проверок – включает практики планирования и контроля аудиторских проверок, определение объемов работ в рамках аудиторских проверок, управление рисками и границами материальности, мобилизации ресурсов, управления проектом, практики сбора и хранение свидетельств аудита, использования методов экспертной оценки.
Стандарты отчетности – включает описание типов отчетов, средств представления отчетов и типов презентуемой информации.
Для каждой из частей стандарта ассоциацией ISACA разработаны руководства, рабочие программы и инструкции, поддерживающие проведение описанных аудиторских процедур.
Руководства, рабочие программы и инструкции доступны на официальном сайте ассоциации.
На момент написания статьи, стандарт ITAF является наиболее полным источником для специалистов в области ИТ-аудита, описывающим все этапы проведения проверки ИТ-систем и ИТ-процессов.
«Cobit 5» – руководство по проведению аудита в соответствии с COBIT v.5
Действующая редакция руководства выпущена организацией ISACA в июле 2013 года.
Руководство предназначено для использования специалистами в области ИТ-аудита, ИТ-рисков и управления ИТ при проведении аудиторских проверок информационных систем в соответствии со сборником лучших практик COBIT 5. Составляющие:
•Детальное руководство по использованию COBIT 5 для организации и поддержания функции внутреннего ИТ-аудита в компаниях;
•Структурированный подход к проведению ИТ-аудита в соответствии с процессами и факторами (*enablers), описанными в COBIT 5;
В сравнении с ITAF, руководство «Cobit 5» обладает меньшей степенью формализации аудиторских процедур и более широким покрытием вопросов организации ИТ-процессов в соответствии с лучшими практиками.
«International Professional Practices Framework (IPPF) for Internal Auditing Standards»
Международный стандарт проведения внутреннего аудита от Института Внутренних
Аудиторов (IIA). Целевая аудитория стандарта – сотрудники внутреннего аудита. Целью стандарта является определение:
•базовых принципов проведения внутреннего аудита;
•стандартного набора практик проведения внутреннего аудита;
•базовых показателей оценки эффективности процедур внутреннего аудита.
Несмотря на то, что стандарт не разрабатывался как стандарт ИТ-аудита, он определяет универсальные принципы и подходы, которые могут быть использованы, как при проведении внутреннего финансового и операционного аудита, так и при проведении внутреннего аудита информационных технологий. Для методологической поддержки стандарта в части проведения
ИТ-аудита, ассоциацией IIA были разработаны детальные руководства по оценке ИТ-рисков
(Guide to the Assessment of IT Risk) и аудиту информационных технологий (Global Technology

Audit Guide). Руководство «Guide to the Assessment of IT Risk» (GAIT) описывает взаимосвязь между бизнес-рисками, ключевыми контролями, встроенными в бизнес-процессы, автоматизированными контролями, критичными ИТ-функциями и Общими ИТ-контролями (IT
General Controls). Руководство GAIT включает следующие публикации:
Методология GAIT (The GAIT Methodology) – описывает риск-ориентированный подход к определению и оценке Общих ИТ-контролей в рамках оценки управления системой внутреннего контроля необходимой для соответствия Статье 404 закона Сарбейнза-Оксли.
GAIT для оценки недостатков Общих ИТ-контролей (GAIT for IT General Control Deficiency
Assessment) – описывает подход к определению критичности и материальности недостатков
Общих ИТ-контролей, выявленных в рамках оценки соответствия Статье 404 закона
Сарбейнза-Оксли.
GAIT для оценки бизнес и ИТ-рисков (GAIT for Business and IT Risk) – описывает шаги по определению ключевых ИТ-контролей, которые критичны для достижения бизнес целей и задач организации.
Руководство по аудиту информационных технологий «Global Technology Audit Guide»
(GATG) состоит из 15 публикаций, описывающих процессы, процедуры и техники, используемые при проведении проверок информационных систем:
•ИТ риски и контроли (Information Technology Risk and Controls)
•Контроли в процессах внесения изменений и обновлений ИТ-систем (Change and Patch
Management Controls)
•Процесс непрерывного аудита (Continuous Auditing)
•Управление процессами ИТ-аудита (Management of IT Auditing)
•ИТ-аутсорсинг (Information Technology Outsourcing)
•Аудит автоматизированных контролей (Auditing Application Controls)
•Управление доступом (Identity and Access Management)
•Управление непрерывностью бизнеса (Business Continuity Management)
•Разработка плана аудиторской проверки ИТ (Developing the IT Audit Plan)
•Аудит ИТ-проектов (Auditing IT Projects)
•Обнаружение и предотвращение мошенничества, связанного с использованием
ИТ-технологий (Fraud Prevention and Detection in an Automated World)
•Аудит приложений, разработанных пользователями (Auditing User-developed Applications)
•Управление информационной безопасностью (Information Security Governance)
•Технологии анализа информации (Data Analysis Technologies)
•Аудит управления ИТ-функцией (Auditing IT Governance)
Детальность и бизнес-ориентированность данных стандартов, являются его сильными сторонами. Тем не менее, так как стандарт и поддерживающие руководства разрабатывались для использования специалистами не имеющими глубокого ИТ опыта, используемая терминология не всегда точно описывает технические аспекты проведения ИТ-аудита. Также некоторые руководства не обновлялись несколько лет.