Аудит ИТ-инфраструктуры
[+]
Опубликован: 29.06.2020 | Доступ: свободный | Студентов: 1193 / 337 | Длительность: 04:37:00
Темы: Программное обеспечение, Менеджмент
Специальности: Администратор информационных систем, Менеджер, Руководитель, Администратор коммуникационных систем
Лекция 2:

Принципы управления информационными технологиями
A
|
версия для печати
< Лекция 1 || Лекция 2: 12 || Лекция 3 >
Аннотация: Описание лекции
Ключевые слова: информационные технологии, определение, контроль, информация, очередь, инфраструктура, архитектура, бизнес-цель, бизнес-процессы, функция, Модель процессов, деятельность, мониторинг, операционный, аудит, предметной области

Принципы управления информационными технологиями

Презентация к лекции

Стандарт Cobit обеспечивает поддержку управления информационными технологиями, предоставляя необходимую релевантную методологию для обеспечения того, чтобы:

  • сфера информационных технологий была приведена в соответствие с деятельностью хозяйствующего субъекта;
  • информационные технологии помогали функционированию хозяйствующего субъекта и максимизировали его преимущества;
  • ИТ-ресурсы использовались ответственно;
  • осуществлялось надлежащее управление ИТ-рисками.

Приведенные на рисунке области управления информационными технологиями характеризуют круг аспектов, с которым имеет дело высшее звено системы управления хозяйствующим субъектом, осуществляя управление этими технологиями в конкретном субъекте. При этом область:

  • "соответствие стратегии" позволяет сделать акцент на связях между бизнес-планами и информационными технологиями, выявлении, поддержке и контроле за ценностным предложением информационных технологий, а также на соответствии информационных технологий и бизнес-операций;
  • "полезность" представляет собой реализацию ценностного предложения, контроль за тем, чтобы информационные технологии обеспечивали стратегические преимущества, сосредоточенные на оптимизации затрат и подтверждении подлинной ценности этих технологий;
  • "управление ресурсами" посвящено проблемам управления критичными ИТ-ресурсами, т.е. оптимизации инвестиций и надлежащему руководству приложениями, информацией, инфраструктурой и персоналом. При этом ключевыми аспектами являются оптимизация знаний и инфраструктуры;
  • "управление рисками" требует осведомленности высшего руководства системы управления хозяйствующим субъектом в области рисков, четкого понимания корпоративного подхода в их отношении, соответствия требованиям прозрачности в отношении существенных рисков, включая функции управления рисками;
  • "оценка эффективности" представляет собой контроль за реализацией стратегии, результатами проектов, использованием ресурсов, эффективностью процессов и сервисным обслуживанием. В свою очередь, оценка эффективности является частью управления сферой информационных технологий, которая включает постановку и контроль целей (достижение которых поддается оценке), которые определяют результаты ИТ-процессов и путь достижения этих результатов (потенциал процесса и эффективность).

Исследования, проводимые в рамках разработки стандарта Cobit, показали, что недостатки в области прозрачности затрат хозяйствующих субъектов на информационные технологии, определение ценностей и рисков являются основными стимулами к совершенствованию управления сферой информационных технологий.

Критерии информации по Cobit

Управление и контроль над информацией является краеугольным камнем, основой методологии стандарта Cobit и помогают соответствовать требованиям деятельности хозяйствующего субъекта. Однако чтобы удовлетворять целям хозяйствующего субъекта, информация должна соответствовать определенным критериям, которые Cobit определяет как информационные критерии. Основанные на общих требованиях качества, доверия и безопасности в Cobit определены семь взаимосвязанных критериев информации:

  • полезность, характеризующая информацию как значимую и релевантную бизнес-процессу, а также получаемую регулярно, корректно, последовательно и в удобном для использования заинтересованными пользователями виде;
  • эффективность характеризует получение информации посредством оптимального использования ресурсов;
  • конфиденциальность имеет отношение к защите важной информации от несанкционированного раскрытия;
  • целостность, характеризующая точность и полноту информации, а также ее обоснованность в соответствии с корпоративными ценностями и ожиданиями;
  • доступность характеризует наличие информации для бизнес-процесса (в текущий момент времени или в будущем), а также защиту необходимых ресурсов и связанных с ними возможностей;
  • соответствие требованиям нормативно-правовых актов, для которых конкретный бизнес-процесс является субъектом, т.е. внешним требованиям и внутренней корпоративной политике;
  • достоверность характеризует обеспечение надлежащей информацией руководящее звено системы управления хозяйствующим субъектом для выполнения их обязанностей.

Если учесть то, что информационные критерии дают лишь общую методику определения требований к информации, то общее определение цели деятельности хозяйствующего субъекта и информационных технологий дает более точное бизнес ориентированное понимание и требуется для выявления показателей, позволяющих измерить достижения поставленных целей.

Каждый хозяйствующий субъект использует информационные технологии для реализации инициатив в сфере свое деятельности, которые можно представить как бизнес-цели для информационных технологий. Для того чтобы информационные технологии успешно поддерживали выполнение корпоративных стратегий, должно существовать четкое владение и руководство в исполнении требований со стороны самой деятельности (как клиента услуг), а также четкое понимание того, что требуется и как это выполнять со стороны службы ИТ (поставщика услуг). На рисунке показано, как корпоративная стратегия должна преобразовываться в цели, связанные с ИТ-инициативами, т.е. в бизнес-цели для информационных технологий.


Указанные цели должны четко определять цели информационных технологий, которые, в свою очередь, определяют ИТ-ресурсы (приложения, информация, инфраструктура и персонал) и возможности (корпоративная архитектура ИТ), необходимые для успешного использования той части корпоративной стратегии, которая возлагается на эти технологии. При этом под приложениями понимают прикладные системы и ручные процедуры для обработки информационных потоков. Информация представляет собой данные в любой форме, введенные, обработанные и выведенные информационными системами. И наконец, персонал это субъект, необходимый для планирования, организации, приобретения, внедрения, работы, обслуживания, мониторинга и оценки информационных систем и услуг. Персонал может быть внутренним, привлеченным на аутсорсинге или нанятым по договору.

После определения связанных целей их достижение необходимо контролировать, для уверенности в том, что текущее положение соответствует ожиданиям. Это достигается посредством показателей, которые проистекают из самих целевых установок и фиксируются в системе сбалансированных показателей информационной технологии. В общем виде цели и показатели эффективности в стандарте Cobit сгруппированы в три уровня:

  • цели и показатели эффективности информационных технологий, определяющие вклад этих технологий в достижение целей деятельности хозяйствующего субъекта (бизнес-целей);
  • цели и показатели эффективности ИТ-процесса, определяющие вклад этого процесса в достижение целей информационной технологии;
  • цели и показатели эффективности отдельных операций (действий), которые определяют, что должно произойти внутри ИТ-процесса для достижения требуемой эффективности.

Указанный подход позволяет выстроить иерархию целевых установок так, что бизнес-цель определяет некоторый набор поддерживающих ее ИТ-целей. В свою очередь, ИТ-цель достигает своих результатов посредством выполнения одного или взаимодействия нескольких процессов.

Ключевые показатели по Cobit

В качестве показателей Cobit рекомендует использовать следующие основополагающие показатели:

  • индикаторы опережения, под которыми в данном контексте понимается вероятность достижения цели. Эти показатели могут быть измерены до получения результата;
  • индикаторы задержки, которые свидетельствуют о том, достигнуты ли определенные цели. Эти показатели измеряются только после свершения факта.

При этом индикаторы опережения позволяют определить, насколько хорошо работают бизнес-процессы, служба ИТ и ИТ-процессы над достижением поставленных целей. Они показывают степень вероятности достижения целей более высокого уровня, характеризуя при этом наличие возможностей, практик, навыков и результаты деятельности за предшествующий период (историческую информацию). Например, услуга, оказываемая информационной технологией, является целью для службы ИТ и показателем эффективности деятельности хозяйствующего субъекта. Поэтому индикаторы опережения часто называют факторами достижения эффективности, особенно в системе сбалансированных показателей.

В свою очередь, индикаторы задержки, отражая результативность низшего уровня, становятся показателями более высокого уровня. Определяя эти индикаторы, руководящее звено системы управления хозяйствующим субъектом получает сведения о том, достигла ли своих целей та или иная функция информационной технологии, ИТ-процесс или ИТ-операция. Указанные показатели функций информационной технологии обычно выражаются в рассмотренных ранее терминах информационных критериев: доступность информации, необходимой для целей деятельности хозяйствующего субъекта;

  • отсутствие рисков, связанных с целостностью и конфиденциальностью;
  • эффективность затрат для процессов и операций;
  • подтверждение надежности, эффективности и соответствия требованиям.

Стандарт Cobit предоставляет пользователям базовые цели и показатели. При этом показатели разработаны с учетом следующих характеристик:

  • уровень детализации показателей не должен превышать уровень усилий по сбору данных для их определения;
  • должна быть соблюдена внутренняя сопоставимость (например, процент от общего или количество за определенный период времени);
  • внешняя сравнимость вне зависимости от размера хозяйствующего субъекта или отрасли;
  • лучше иметь небольшое количество значимых показателей (например, один показатель, на который осуществляется разнообразное влияние), нежели большой набор показателей низкого качества;
  • простота оценки показателей.

Обобщая вышеизложенное, следует отметить, что методология, заложенная в Cobit, позволяет увязать требования деятельности хозяйствующего субъекта к информационным потокам и управлению с целями сервисной ИТ-службы. Сама же модель процессов Cobit позволяет эффективно управлять и контролировать деятельность и ресурсы в сфере информационных технологий на основе целей контроля. Кроме того, модель процессов позволяет приводить их в соответствие и осуществлять мониторинг, применяя цели и показатели Cobit.

Таким образом, ИТ-ресурсы управляются посредством ИТ-процессов для достижения целей информационных технологий, которые, в свою очередь, соответствуют целям непосредственной деятельности хозяйствующего субъекта. Именно в этом заключается основной принцип методологии стандарта Cobit.

Роль и место операционного аудита в современном управлении

Операционный аудит, как было отмечено ранее, является более сложным направлением аудирования, по сравнению с традиционным аудитом бухгалтерской (финансовой)отчетности. Для его осуществления требуется проведение значительной работы по созданию соответствующих условий. При этом первостепенной задачей является формирование в современном обществе соответствующего понимания важности и необходимости его регулярного применения для повышения эффективности деятельности любого хозяйствующего субъекта независимо от формы его собственности.

В то же время отсутствие нормативно-правовой базы, регламентирующей указанное направление аудита (в отличие от аудита бухгалтерской (финансовой) отчетности), практически исключает его обязательность, что позволяет отнести его лишь к категории инициативного аудита и, как следствие, определяет необходимость применения в каждом конкретном случае индивидуальных (не стандартизированных) подходов к его проведению. В свою очередь, в теории и практике аудита, как в зарубежных странах, так и в России, общепринято, что проведение аудита бухгалтерской (финансовой) отчетности осуществляется в три основных этапа: планирование, непосредственно аудиторская проверка и формирование отчетных документов о полученных результатах аудирования. Однако при этом незаслуженно забывают об этапах внедрения результатов аудирования в практику финансово-хозяйственной деятельности аудируемого субъекта. Указанные этапы, по нашему мнению, в полной мере можно отнести и к операционному аудиту, но при этом их содержание имеет свои специфические черты, присущие только этому направлению аудита и обусловленные главным образом разнообразием предметных областей (в частности, информационной инфраструктурой), подвергаемых аудиторскому исследованию и его особенностями.

В то же время в общем понимании процесс операционного аудита представляет собой логическую последовательность процедур, выполняемых аудирующим субъектом с привлечением наиболее компетентных в исследуемой предметной области экспертов (в том числе сотрудников аудируемого субъекта) с целью выявления и оценки тех или иных проблемных ситуаций, возникающих в ходе функционирования хозяйственной экономической системы и, как следствие, выработки управленческих рекомендаций по их преодолению.

Дальше >>
< Лекция 1 || Лекция 2: 12 || Лекция 3 >

Вопросы и ответы

вопросов: 1
Николай Ракович
Николай Ракович

В тесте 4 курса "Аудит ИТ-инфраструктуры" замечены ошибки в ответах: 1) Для оценки мехнизма управления Cobit рекомендуется использовать:  классическую модель аудиторского цикла (лекция 6 этого курса). Однако этот ответ отмечен как неправильный.

2)Логическим завершением этапа планирования аудита ИТ является : разработка стратегической модели аудиторского исследования (далее в этом же курсе, но не в лекции 4, к которой дан этот вопрос). Ответ отмечен как ошибочный. 

Вопрос: как проходить тест, если ответы, взятые из этого курса, являются ошибочными?

P.S. В тексте курса большое количество ошибок пунктуации (отсутствуют запятые), описок.

ответить