Файл: Учебное пособие по дисциплине итинфраструктура предприятия (курс лекций) Направление подготовки 38. 03. 05 Бизнесинформатика.pdf

121
Рисунок 12. Схема отношения бизнес целей и ИТ
3.
Затрагивают ли проблемы, возникающие в ходе реализации бизнес-процессов, информационные технологии организации? ИТ- процессы своевременно предоставляют организации правильную инфор- мацию, позволяя ее бизнес-процессам эффективно и бесперебойно функ- ционировать. Это является Критическим Фактором Успеха для организа- ции.
4.
Где это измеряется? Ключевой Индикатор Цели, основанный на сбалансированной карте оценки, представляет ИТ-информацию, сопос- тавимую с критериями информации (Эффективность, Продуктивность,
Конфиденциальность, Целостность, Пригодность, Согласованность, На- дежность).
5.
Что еще должно быть измерено? Если ответы на первые вопро- сы — положительные, должно быть учтено влияние множества Критиче- ских Факторов Успеха, которые должны быть измерены как Ключевые
Индикаторы Результата для ИТ-процессов.
Модели зрелости
Модели зрелости в CobiT предназначены для контроля над ИТ- процессами организации. Они базируются на определении уровня разви- тия организации от несуществующего до оптимизированного (от 0 до 5 уровня модели зрелости). Этот подход был привнесен в CobiT из Моделей
Зрелости, разработанных Институтом проектирования и разработки про- граммного обеспечения (Software Engineering Institute), созданных для оценки уровня зрелости разработки программного обеспечения.
Ответом на вопрос "чем и как управлять" явилась разработка моде- лей зрелости, начатая в конце 80-х годов Институтом проектирования и разработки программного обеспечения (Software Engineering Institute's), по заказу Министерства обороны США. Первоначальное предназначение — создание эффективного инструмента для классификации и оценки проек- тов, связанных с разработкой программного обеспечения и гарантирован- ного соблюдения качества при выполнении этих проектов. В дальнейшем

122 модели зрелости были доработаны для управления ИТ-сервисами и аудита процессов управления.
Maturity Models (MM) — "модели зрелости". Соответствие уровням "модели зрелости" означает, что компания готова к плановой модерниза- ции или обновлению. MM — не технология, не стандарт, для нее нет фор- мальных описаний, в ней нет жестких требований, и она не привязана к конкретным информационным технологиям.
Модели зрелости не подсказывают как улучшить работу компании и не объясняют, как работать с персоналом, также нет готовых руководств и по применению моделей зрелости. Рекомендуется каждой конкретной компании разработать подобное руководство для своего бизнеса или при- гласить сторонних консультантов для решения этого вопроса. Модели зрелости предназначены для организации эффективного управления. Они определяют ключевые действия, которые указывают, что надо сделать для достижения требуемого качества и содержат способы контроля над пра- вильностью выполнения ключевых ИТ-процессов и методы их корректи- ровки. Ключевые действия подробно описаны в Руководстве на абстракт- ном уровне, а в процессе использования MM компания может выбрать произвольную степень их формализации.
Беря за основу шкалу моделей зрелости (рисунок 13), разработанную для каждого из 34 ИТ-процесса CobiT, руководитель может выяснить сле- дующие сведения:

Текущий статус организации — оценить, на какой стадии орга- низация находится сегодня.

Текущий статус лучшей практики в этой отрасли — сравнить свою организацию с лучшей организацией в этой отрасли.

Текущий статус международных стандартов — провести до- полнительное сравнение текущего статуса организации с "лучшей практи- кой" или международными стандартами.

Статус организации после усовершенствования (реализация стратегии организации) — оценить стратегию организации, каких резуль- татов организация хочет достичь.

123
Рисунок 13. Шкала моделей зрелости
Модель Зрелости Управления ИТ, для бизнеса, предназначена для управления ИТ-процессами с целью увеличения ценности ИТ, при соблю- дении равновесия между риском и прибылью.
0. Не существует. Полное отсутствие каких-либо процессов управ- ления ИТ. Организация не признает существования проблем в ИТ, кото- рые нужно решать, и, таким образом, нет никаких сведений о проблемах.
1. Начало (Анархия). Организация признает существование про- блем управления ИТ и необходимость их решения. При этом не существу- ет никаких стандартизованных решений. Существуют случайные одномо- ментные решения, принимаемые кем-то персонально или от случая к слу- чаю. Подход руководства к решению ИТ-проблем хаотичен, признание существования проблем случайно и непоследовательно.
2. Повторение (Фольклор). Существует всеобщее осознание про- блем управления ИТ. Показатели деятельности и ИТ-процессов находятся в развитии, охватывая процессы планирования, функционирования и мо- ниторинга ИТ. Деятельность по управлению информационными техноло- гиями описана и интегрирована в процесс управления организацией. Вы- браны для улучшения и/или контроля те ИТ-процессы, которые влияют на основные бизнес-процессы предприятия. Эффективно выполняется пла- нирование и управление инвестициями. Руководство организации регла- ментировало меры по управлению ИТ, а также методы управления и оценки, но процесс не был принят в организации. Не существует форма- лизованного обучения, набора взаимосвязанных стандартных процедур управления, ответственность возложена на сотрудников. Сотрудники кон- тролируют процессы управления с помощью проектов и ИТ-процессов.
Ограниченные инструменты управления выбираются и внедряются для сбора метрик управления, но не используются в полном объеме из-за не- достатков в оценке их функциональности.

124
3. Описание (Стандарты). Необходимость действовать в соответст- вии с принципами управления ИТ понимается и принимается. Развивается базовый набор показателей управления ИТ: определена связь между ре- зультатом и показателями производительности, она зафиксирована и вне- дрена в стратегические процессы планирования и мониторинга. Процеду- ры стандартизованы и документированы, проводится обучение сотрудни- ков по выполнению этих процедур. Показатели производительности всех видов деятельности зафиксированы и отслеживаются, что приводит к по- вышению эффективности работы всей организации. Процедуры не слож- ны, они являются формализацией существующей практики. Идеи сбалан- сированных карт оценки бизнеса принимаются организацией. Ответствен- ность за обучение, выполнение и применение стандартов возложена на со- трудников организации. Анализ первопричин применяется время-от- времени. Большинство процессов управляются в соответствии с некото- рыми основными метриками, и, как правило, отдельными сотрудниками, поэтому ни о каких отклонениях руководители не знают. Однако всеоб- щая отчетность о выполнении ключевых процессов является четкой, и ру- ководство премирует сотрудников на основе измерения ключевых резуль- татов.
4. Управление (Измеряемый). Существует полное понимание про- блем управления ИТ на всех уровнях организации, постоянно происходит обучение сотрудников. Определены и поддерживаются в актуальном со- стоянии соглашения об уровне обслуживания. Четко распределена ответ- ственность, установлен уровень владения процессами. Процессы ИТ соот- ветствуют бизнесу и стратегии ИТ. В первую очередь улучшения в про- цессах ИТ основываются на измеряемых количественных показателях.
Существует возможность управлять процедурами и метриками процессов, измерять их соответствие. Все совладельцы процесса осознают риски, важность ИТ и возможности, которые они предоставляют. Руководство организации определило допустимые отклонения, при которых процессы должны работать. Если процессы не работают эффективно и продуктивно, действия предпринимаются во многих (но не всех случаях). Процессы по- стоянно совершенствуются, их результаты соответствуют "лучшим прак- тикам". Формализован порядок анализа первопричин. Присутствует по- нимание необходимости постоянного совершенствования. Ограниченно применяются передовые технологии, основанные на современной инфра- структуре и модифицированных стандартных инструментах. Все необхо- димые ИТ-специалисты вовлечены в бизнес-процессы. Управление ИТ превращается в процесс уровня всей организации. Деятельность управле- ния ИТ интегрируется в процесс управления организацией.
5. Оптимизация (Оптимизируемый). В организации существует углубленное понимание управления ИТ, проблем и решений ИТ, а также

125 перспектив. Обучение и коммуникация поддерживаются на должном уровне, самыми современными средствами. В результате непрерывного улучшения процессы соответствуют моделям зрелости, построенным на основании "лучшей практики". Внедрение этих процедур привело к появ- лению организаций, людей и процессов, максимально адаптируемых к из- меняющимся условиям, а также полностью соответствующих требовани- ям управления ИТ. Первопричины всех проблем и отклонений тщательно анализируются, по результатам анализа выполняются результативные действия. Информационные технологии интегрированы в бизнес- процессы, полностью их автоматизируют, предоставляя возможность по- вышать качество и эффективность работы организации.
Критические Факторы Успеха
Критические Факторы Успеха (КФУ) — определяют наиболее важные проблемы или действия руководителей, направленные на дости- жение контроля над ИТ-процессами. КФУ должны быть управляемыми, ориентированными на успех и описывать, как выполнять необходимые стратегические, технические, организационные или процедурные дейст- вия для достижения успеха.
Примеры Критических Факторов Успеха (КФУ):

Действия по управлению ИТ интегрированы в процессы управ- ления организации и стиль работы руководителей;

Управление ИТ сосредоточенно на целях организации: страте- гических инициативах, использовании технологий для развития бизнеса, достаточности ресурсов и удовлетворения бизнес-требований;

Действия по управлению ИТ ясно определены, формализованы и осуществляются на основе потребностей предприятия с соответствую- щей отчетностью;

Методы управления разработаны для увеличения продуктивно- сти, оптимального использования ресурсов и увеличения эффективности
ИТ-процессов;

Организационные методы следят за окружающей средой и культурой управления; способствуют нормальному контролю; ведению стандартной практики управления рисками; определяют степень соответ- ствия установленным стандартам; управляют и изучают недостатки и рис- ки;

Методы аудита определены таким образом, чтобы избежать сбоев и ошибок в системе внутреннего контроля;

Наблюдается интеграция и развитие взаимодействия сложных
ИТ-процессов, таких как управление проблемами, изменениями и конфи- гурациями;

Учрежден контрольный комитет, назначающий и наблюдаю- щий за независимым аудитом, уделяющий пристальное внимание ИТ при

126 составлении планов аудита, а также принимающий во внимание результа- ты исследований сторонних организаций и аудиторов.
Ключевые Индикаторы Цели
Ключевые Индикаторы Цели (КИЦ) описывают комплекс изме- рений, которые по факту сообщают руководству, что ИТ-процесс достиг предъявляемых бизнес-требований. КИЦ выражается в терминах инфор- мационных критериев:

Пригодность информации, необходимой для поддержки бизне- са;

Риски отсутствия целостности и конфиденциальности;

Рентабельность процессов и операций;

Подтверждение надежности, эффективности и согласованно- сти.
Ключевыми Индикаторами Цели (КИЦ), могут быть:

Улучшение управления производительностью и стоимостью;

Увеличение дохода от инвестиций в ИТ;

Сокращение времени запуска в продажу нового продукта или услуги;

Улучшение управления качеством, новшествами и рисками;

Соответствующая интеграция и стандартизация бизнес- процессов;

Поиск новых и удовлетворение существующих клиентов;

Выполнение требований и ожиданий клиента по бюджету и времени;

Соответствие законам, инструкциям, промышленным стандар- там и договорным обязательствам;

Полное осознание меры принимаемого риска, а также соответ- ствие уровню риска, приемлемого для данной организации;

Эталонное тестирование зрелости управления ИТ.
Ключевые Индикаторы Результата
Ключевые Индикаторы Результата (КИР) описывают комплекс действий, необходимых для определения, насколько ИТ-процессы дости- гают поставленных целей. КИР являются основными индикаторами, ото- бражающими вероятность достижения цели. А также индикаторами, от- ражающими адекватность способов, методов и навыков, используемых при достижении результата.
Ключевыми Индикаторами Результата (КИР), могут быть:

Увеличение рентабельности ИТ-процессов;

Улучшение работы и планирования действий по совершенст- вованию ИТ-процессов;

Увеличение нагрузки на ИТ-инфраструктуру;

127

Повышение степени удовлетворения пользователей (опросы пользователей и количество жалоб);

Улучшение взаимодействия и коммуникаций между руководи- телями ИТ и руководством организации

Повышение производительности сотрудников (в том числе, по- вышение морального духа).
Обобщая вышеизложенную информацию, можно сказать следую- щее:

Модели зрелости предназначены для стратегического выбора и эталонного сравнения.

Критические Факторы Успеха (КФУ) предназначены для орга- низации контроля ИТ-процессов.

Ключевые Индикаторы Цели (КИЦ) предназначены для кон- троля достижения целей ИТ-процессов.

Ключевые Индикаторы Результата (КИР) предназначены для контроля результатов каждого ИТ-процесса.
При возрастании роли электронного бизнеса и зависимости от ин- формационных технологий, организации должны стремиться к увеличе- нию статуса организации, связанного, в том числе, с повышением уровней управления и безопасности ИТ. Каждая организация должна знать свои бизнес-процессы и должна отслеживать их совершенствование. Один из путей достижения конкурентоспособного уровня управления и безопасно- сти ИТ — это эталонное тестирование и измерение совершенствования управления ИТ по сравнению с другими организациями отрасли и страте- гией организации. Принципы управления CobiT предоставляют руководи- телю инструмент управления ИТ, позволяя отвечать на бесконечный во- прос: "Какой уровень управления необходим ИТ- организации, насколько он соответствует целям организации?"
Управление ИТ по CobiT:
1.
Управление ИТ осуществляется с учетом бизнес-потребностей.
2.
Для управления ИТ определены информационные критерии.
Потребности бизнеса определяются Ключевыми Индикаторами Це- ли, чему способствует организация постоянного контроля над всеми ре- сурсами ИТ. Достижение необходимого уровня контроля измеряется
Ключевыми Показателями Результата, которые учитывают Критические
Факторы Успеха.
Модель Зрелости используется для оценки уровня управления ИТ в данной организации — от несуществующего (самый низкий уровень) до оптимизированного (самый высокий уровень).
Для достижения пятого, "оптимизированного" уровня зрелости в управлении ИТ организация должна быть, по крайней мере, на пятом

128 уровне в домене мониторинг и как минимум на четвертом уровне моделей зрелости для всех других доменов.
В Принципах Управления CobiT сосредоточено краткое описание
Критических Факторов Успеха, Ключевых Индикаторов Цели и Ключе- вых Индикаторов Результата для каждого ИТ-процесса, дополняя общий подход к управлению ИТ, изложенный в Структуре CobiT.
6. Стандарт CobiT: принципы аудита ИТ
Принципы аудита CobiT — книга стандарта, которая в большей степени ориентирована на аудит ИТ-процессов, чем на аудит конкретных функций или приложений. CobiT состоит из высокоуровневых целей кон- троля (определенных для ИТ-процессов организации), которые охватыва- ют все параметры информационных систем и применяемых информаци- онных технологий, учитывают цикл жизни и специфические задачи, ре- шаемые ИТ.
CobiT Advisor 3rd Edition (Audit)
Цель написания программного продукта "CobiT Advisor" — макси- мально облегчить проведение аудита ИТ. Основываясь на открытом стан- дарте CobiT, программа Advisor обновляется в соответствии с редакциями стандарта. На основании изменений и дополнений третьего издания стан- дарта CobiT в "CobiT Advisor" были внесены соответствующие изменения.
Программный продукт был дополнен 16 новыми объектами контроля и новыми формами отчетов. "CobiT Advisor" представляет собой базу дан- ных Foxpro, структурированную в соответствии с 34 процессами и 318 объектами контроля стандарта CobiT, которая позволяет хранить, обраба- тывать и предоставлять информацию о результатах проведения аудита в форме отчетов в различных форматах (например, MS Word, Excel).
Одним из типовых отчетов являются модели зрелости, которые можно построить как для каждого процесса управления ИТ, так и для со- вокупной модели зрелости всех ИТ-сервисов организации.
Для обеспечения высокого качества оказания услуг, обеспечения профессионализма аудиторов ИТ и разрешения сложных этических ситуа- ций, возникающих в процессе аудита ИТ, ассоциация ISACA определила основные требования к аудитору ИТ. Они описаны в "Этическом кодексе аудитора".
Этика аудитора ИТ
Этический кодекс аудитора (Ассоциация ISACA)
1.
Содействовать приведению информационных систем в соот- ветствие с принятыми стандартами и руководствами;
2.
Осуществлять свою деятельность в соответствии со стандарта- ми в области аудита информационных систем, принятыми THE