Читайте также:
|
Лекция 5. Аудит ИТ-процессов
Виды аудита ИТ процессов
Процессы управления информационными технологиями целесообразно рассматривать с точки зрения применения методов лучшего мирового опыта. С данных позиций наибольшее распространение получили следующие подходы к управлению ИТ: COBIT и ITIL/ITSM. Оба подхода ориентированы на удовлетворение потребностей бизнес-подразделений ИТ-службой, базируются на процессном подходе и оперируют измеримыми показателями деятельности.
Стандарт COBIT охватывает 34 ИТ-процесса, сгруппированных по следующим направлениям:
1. планирование и организация (10 процессов);
2. проектирование и внедрение (7 процессов);
3. эксплуатация и сопровождение (13 процессов);
4. мониторинг (4 процесса).
В совокупности перечисленные 4 группы содержат 302 объекта контроля. Все ресурсы, используемые объектами контроля, оцениваются с точки зрения их соответствия критериям, которые логически вытекают из бизнес-задач организации. Перечень этих критериев (эффективность, технический уровень, безопасность, целостность, пригодность, согласованность, надежность) совпадает с критериями оценки деятельности организации в целом. Для количественной и качественной оценки по критериям широко используется сравнение с лучшими мировыми показателями (на основании модели зрелости). Все это в совокупности обеспечивает полную, объективную и актуальную информацию о текущем состоянии ИТ, возможных решениях по изменению ситуации, перспективах и рисках их реализации.
В современных условиях происходит смещение акцентов в управлении ИТ, связанное с тем, что, фактически, подразделения организации потребляют не информационные системы, а ИТ-услуги, оценка которых должна производится не только по предоставляемой функциональности, но и по качеству обслуживания. При этом серьезно меняется модель управления ИТ, объектом управления становится услуга (а не информационная система), целью – решение бизнес-задачи (а не обеспечение технических возможностей использования ИС).
Основные идеи этого подхода были воплощены в типовой модели бизнес-процессов ИТ-службы ITIL/ITSM (IT Infrastructure Library / IT Service Management). Инициированный правительством Великобритании проект ITIL воплощает в себе основные принципы передовой практики организации ИТ-процессов, сформированные на основе анализа успешных решений (результаты этого анализа издаются в виде постоянно обновляемой библиотеки обобщенных ИТ-процессов). Разработанная компанией Hewlett-Packard на основе принципов ITIL модель ITSM представляет собой описание целостной системы взаимосвязанных ИТ-процессов.
Основные отличия управления ИТ-услугами от управления информационными системами заключаются в следующем:
1. бизнес формулирует требования к ИТ-услугам, а ИТ-служба обеспечивает их реализацию;
2. информационные системы для ИТ-службы имеют статус ресурса;
3. финансовый результат ИТ-службы определяется традиционным для бизнес-единицы образом: доходы за счет предоставления услуг минус расходы по их разработке, внедрению и сопровождению;
4. контроль деятельности ИТ-службы осуществляется на основе показателей, имеющих ценность с позиций клиента;
5. прозрачность деятельности ИТ-службы обеспечивается за счет формализации управленческих процедур в виде пакета документов, являющихся нормативной базой для всех ИТ-процессов.
Модель ITSM группирует ИТ-процессы в 5 тематических блоков:
1. Блок стратегического управления включает в себя следующие процессы:
1. процесс анализа потребностей бизнеса, основной задачей которого является согласование целей и приоритетов между подразделениями предприятия и ИТ-службой;
2. процесс управления клиентами, определяющий и согласовывающий требования по конкретным услугам, необходимым подразделениям;
3. процесс разработки стратегии развития ИТ, организующий интегрированный корпоративный процесс по развитию информационных технологий для обеспечения их соответствия основным целям и потребностям бизнеса предприятия.
2. Блок планирования и управления услугами включает в себя следующие процессы:
1. процесс планирования услуг, основной задачей которого является проектирование спецификаций услуг;
2. процесс управления качеством сервиса, согласующий спецификации по составу и параметрам услуг и предоставляемые ИТ-службой ресурсы, а также создающий и согласующий регламентирующий взаимоотношения документ (договор) - Соглашение об уровне сервиса;
3. процесс управления инфраструктурой, включающий управление безопасностью, управление устойчивостью (способностью поддерживать услуги в чрезвычайных ситуациях), а также управление пропускной способностью;
4. процесс управления затратами, осуществляющий расчет издержек, пользовательских цен, а также поиск путей снижения затрат.
3. Блок разработки и внедрения услуг включает в себя следующие процессы:
1. процесс разработки и тестирования, основной задачей которого является реализация услуги в соответствии с ее спецификациями;
2. процесс ввода в эксплуатацию, обеспечивающий инфраструктуру функционирования новой услуги, осуществляющий подготовку справочных руководств и обучение специалистов по технической поддержки сервиса.
4. Блок оперативного управления включает в себя следующие процессы:
1. процесс управления операциями, осуществляющий регламентные работы по поддержанию ИТ-инфраструктуры предприятия (функции системного администратора);
2. процесс управления инцидентами, обеспечивающий восстановление услуги путем обработки инцидентов – событий, не являющихся частью нормального ее функционирования, приводящих (потенциально) к отказу услуги или снижению ее качества;
3. процесс управления проблемами, предназначенный для устранения причин возникновения инцидентов.
5. Блок управления изменениями и конфигурациями включает в себя следующие процессы:
1. процесс управления изменениями, задачами которого являются регистрация изменений, разрешение и отсев изменений, оценка воздействия изменений на ИТ-среду и т.п.;
2. процесс управления конфигурацией, поддерживающий в актуальном состоянии данные по конфигурации информационных систем.
Переход к сервисной модели ИТ в 2002 году был отражен в стандарте BS 15000 "Управление ИТ-сервисом", недавно получившем официальный международный статус ISO 20000. Стандарт ISO 20000 конкретизирует процессный подход, развиваемый в ITIL, применительно к менеджменту ИТ-услуг. Он определяет требования и взаимосвязанные процессы, необходимые для создания и эффективного использования системы менеджмента. Стандарт состоит из двух частей:
1. ISO 20000-1 "Information technology — Service management. Part 1: Specification" представляет собой описание требований к системе менеджмента ИТ-услуг и состоит из 10 разделов: Область применения, Термины и определения, Требования к системе управления, Планирование и применение управления услугой, Планирование и внедрение новых или измененных услуг, Процесс оказания услуг, Процессы взаимосвязей, Процессы разрешения проблем, Процессы контроля, Процесс управления релизом.
2. ISO 20000-2 "Information technology — Service management. Part 2: Code of Practice" воплощает практические рекомендации по процессам, требования к которым сформулированы в первой части.
В конце 2000 года международный институт стандартов ISO на базе первой части британского BS 7799 "Управление информационной безопасностью. Практические рекомендации по управлению информационной безопасностью" (Information Security Management – Code of Practice for information Security Management) разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799 "Информационные технологии. Управление информационной безопасностью" (Information Technology – Information Security Management). Стандарт является совокупностью практических правил по управлению информационной безопасностью, разработанных на основе передового мирового опыта и описывает:
1. требования к политике информационной безопасности;
2. организационные меры безопасности;
3. классификация и контроль информационных ресурсов;
4. кадровые аспекты информационной безопасности;
5. физическую защиту информационных ресурсов;
6. управление технологическим процессом;
7. управление доступом;
8. требования к безопасности компонентов систем в ходе их разработки, эксплуатации и сопровождения;
9. правила обеспечения непрерывности работы и восстановления;
10. требования к соответствию систем информационной безопасности нормативным и руководящим документам.
Следует отметить, что ISO 17799 не является техническим стандартом и не зависит от конкретного средства защиты или технологии. Он описывает концептуальные основы управления информационной безопасностью.
Кроме того, в международной практике широко применяется вторая часть стандарта BS 7799 – "Управление информационной безопасностью. Технические требования" (Information Security Management – Requirements Specification). Она определяет возможные меры по обеспечению защиты в соответствии с требованиями первой части стандарта и по предотвращению реализации угроз информационной безопасности (так называемое управление рисками информационной безопасности).
5.2. Цель проведения стратегического ИТ – аудита и его результаты
В предыдущем разделе были рассмотрены два вида ИТ – аудита:
1. аудит ИТ-процессов, направленный на оценку уровня зрелости ИТ-деятельности в организации;
2. аудит состояния информационных систем, направленный на инвентаризацию действующих ИТ–решений, степени их документированности, уровня обученности конечных пользователей и качества сопровождения.
Кроме перечисленных видов ИТ-аудита также активно применяются следующие его виды:
1. аудит ИТ – инфраструктуры, который нацелен на выявление сильных и слабых сторон конфигурации оборудования и сетевой архитектуры, определение ее надежностных и пропускных характеристик (его рассмотрение выходит за рамки настоящей книги);
2. тотальный аудит состояния ИТ в организации, направленный на осуществление перехода к их внешнему обслуживанию – ИТ–аутсорсингу.
Принципиальным отличием стратегического ИТ – аудита от вышеперечисленных видов является его нацеленность на идентификацию причин дискомфорта высшего руководства организации в связи с использованием ИТ. То есть, стратегический ИТ – аудит осуществляется в интересах высшего руководства, которое не интересуют ни платформенные, ни программные решения, оно заинтересовано исключительно в степени удовлетворения своих информационных потребностей, информационных потребностей персонала, а также влияния инвестиций в ИТ на стоимость бизнеса и сохранение конкурентных преимуществ.
В связи с этим возникают три основных вопроса:
1. Что вызывает дискомфорт? - идентификация причин его возникновения.
2. Что можно сделать для его преодоления? - исследование возможных действий, направленных на преодоление проблемной ситуации.
3. Что нужно сделать для его преодоления? - принятие решения о выборе наиболее оптимальных действий.
В конечном счете стратегический ИТ – аудит нацелен на:
1. получение адекватной картины текущего состояния ИТ;
2. идентификацию проблемных областей в части ИТ-поддержки основной деятельности организации.
Стратегический ИТ-аудит закладывает основу для:
1. повышения показателей отдачи от инвестиций (ROI) в информационные технологии;
2. снижения совокупной стоимости владения (TCO) средствами ИТ;
3. повышения качества принятия стратегических решений, касающихся информационно-технологической поддержки бизнеса и дальнейших инвестиций в ИТ и инженерные системы;
4. сокращения сроков внедрения новых средств ИТ, получение быстрых и распространяемых результатов.
Хотя сам по себе стратегический ИТ–аудит не решает перечисленные задачи, он является необходимым этапом разработки ИТ–стратегии, которая приводит к их решению в процессе своей реализации.
Основными результатами стратегического ИТ–аудита являются:
1. отчет о текущем состоянии исследуемых областей;
2. выводы о необходимости развития или модернизации существующих информационных систем;
3. рекомендации о возможных направлениях развития, технологических или организационных решениях.
В процессе стратегического ИТ–аудита большое внимание должно уделяться таким аспектам, как:
1. роль ИТ в основном бизнесе или основной деятельности;
2. организация управления службой ИТ организации;
3. оценка отдачи от эксплуатации действующих информационных систем;
4. оценка влияния действующих информационных систем на взаимоотношения с внешней бизнес-средой.
5.3. Технология стратегический ИТ – аудит нацелен на
Для достижения сформулированных в разделе 5.2 результатов необходимо собрать значительный объем фактической информации, перечисленной ниже:
1. Организационная структура объекта аудита, органы управления, основные и вспомогательные структурные подразделения, их функции – эта информация потребуется для понимания информационных потребностей организации.
2. Состав и сроки эксплуатации действующих информационных систем (задач) для каждого класса систем – эта информация важна для оценки уровня зрелости использования ИТ.
3. Функциональное назначение действующих систем (задач) – эта информация нужна для определения степени соответствия функциональности действующих систем (задач) функциям подразделений организации.
4. Бизнес-процессы, поддерживаемые системами (задачами) – эта информация важна для оценки степени покрытия действующими системами (задачами) основных и вспомогательных бизнес-процессов.
5. Состав используемых приложений (программных продуктов) – эта информация полезна для оценки уровня зрелости организации в аспекте используемых критериев выбора ИТ–решений.
6. Поставщики оборудования, программных продуктов и опыт работы с ИТ-компаниями по внедрению информационных систем – эта информация позволит оценить уровень зрелости организации с точки зрения корректности критериев выбора партнеров для развития ИТ.
7. Состав организационно-технической документации по системам. В том числе, технические задания, проектная документация – эти данные необходимы для оценки полноты документации по действующим системам (задачам), что является важным показателем качества работы ИТ–службы.
8. Пользователи систем (сотрудники и подразделения), контуры внедрения систем, функциональные задачи, ориентированные на конечных пользователей – эта информация позволяет оценить уровень охвата сотрудников организации ИТ– услугами, нацеленными на удовлетворение их информационных потребностей.
9. Подготовленность персонала, наличие обученных групп пользователей, планы обучения – эти данные позволяют оценить степень эффективности использования действующих информационных систем (задач) конечными пользователями и, одновременно, способность ИТ–службы организовать эффективное использование имеющихся ИТ–ресурсов.
10. Статус систем на предприятии, наличие актов приемки систем в эксплуатацию, программ и методик испытаний, приказов о внедрении систем – эта информация позволяет оценить, с одной стороны, степень внимания высшего руководства к использованию ИТ в организации, а с другой стороны, уровень готовности службы ИТ к обеспечению необходимой упорядоченности процессов внедрения систем и гарантии качества их эксплуатации.
11. Организация управления ИТ, структура службы ИТ и ее подчиненность, положение о службе, права и обязанности, численность персонала по категориям сотрудников, образование, сертификаты, возрастная структура, стаж работы на предприятии – все эти данные позволяют оценить адекватность службы ИТ стоящим перед ней задачам, а также свидетельствуют о ее статусе в организации.
12. Процедуры формирования, утверждения годового плана работы службы и оценки ее деятельности, перспективные планы работ по развитию ИТ – эта информация является принципиальной для оценки роли службы ИТ в организации и степени зрелости организации в использовании ИТ и отношения к необходимости и перспективам их развития.
13. ИТ-бюджет, процедуры его формирования, использования и контроля исполнения – эта информация позволяет оценить, во–первых, сам факт наличия ИТ–бюджета, а во- вторых, корректность методов его формирования и контроля исполнения.
Помимо вышеприведенных данных необходимо провести краткие интервью (или анкетирование) с представителями высшего руководства и руководителями функциональных подразделений с целью получения ответов на следующие вопросы:
1. Укажите сильные стороны ИТ-службы.
2. Укажите слабые стороны ИТ-службы.
3. Какое влияние СИТ оказывает на Вашу работу?
4. Как Вы оцениваете работу ИТ-службы?
5. Знаете ли Вы планы развития ИТ?
6. Вовлечены ли Вы в процесс развития ИТ?
7. Насколько Вы удовлетворены качеством сервиса службы ИТ и организацией обучения?
Главной целью перечисленных вопросов является выяснение степени вовлеченности руководства организации в деятельность службы ИТ, его внимания к развитию ИТ и значимости службы ИТ в основной деятельности.
Понятно, что отсутствие конкретных ответов на поставленные вопросы будет свидетельствовать о том, что деятельность службы ИТ оторвана от интересов основной деятельности организации и носит чисто вспомогательный характер, наряду с другими обеспечивающими службами, т.е., не является источником создания конкурентных преимуществ и роста акционерной стоимости в случае рассмотрения рыночной организации.
Для сбора исходных данных может быть использована приведенная в таблице 5.1 анкета, которая в условиях выполнения реального проекта должна быть адаптирована к специфике конкретной организации.
| Таблица 5.1. Вопросы для анализа соответствия структуры службы ИТ организационной структуре управления | ||
| Общие вопросы | ||
| Примечания | ||
| 1. | Фамилия, имя, отчество анкетируемого | |
| 2. | Наименование организации | |
| 3. | Адрес для контакта 1. Адрес организации 2. Телефон 3. E-mail 4. Факс | |
| Анализ соответствия структуры службы ИТ задачам развития и структуре управления | ||
| 4. | В какую структуру входит Ваша организация | Выяснение оргструктуры бизнеса |
| 5. | Какие структуры входят в Вашу организацию | |
| 6. | Опишите (желательно в виде схемы) структуру Вашего ИТ-подразделения непосредственно в Вашей организации | Выяснение оргструктуры ИТ |
| 7. | В случае, если Ваша организация является подразделением холдинга (дивизиональная структура) или группы компаний, то опишите в виде схемы ИТ-структуру Вашей организации. | Выяснение ИТ-структуры в случае холддинга или группы компаний. |
| 8. | Перечислите подразделения и их месторасположение (регион, область, страна) от которых Ваше подразделение получает/передает информацию и/или предоставляет ИТ-услуги. | Выяснение территориальной распределенности бизнеса |
| 9. | От кого Ваша организация получает единое для всех (в случае холдинга, дивизионной организации бизнеса), стандартное корпоративное программное обеспечение? Например, кадры, бюджет, бухгалтерия, учет производства, сбыта и др. | Выяснение направленности службы ИТ и ее полноты в случае разработки, сопровождения и эксплуатации ПО. |
| 10. | Кто занимается вводом в эксплуатацию (установка, настройка, опытная эксплуатация) корпоративного ПО: внешние организации, сотрудники головного офиса, сотрудники из других дочерних компаний или сотрудники Вашей ИТ - службы | |
| 11. | Перечислите ассортимент выпускаемой продукции Вашей организацией с указанием подразделения, которое выпускает данную продукцию. | Выяснение количества производственных звеньев |
| 12. | Приведите количество клиентов с их особенностями, запросами и капризами. | Выяснение объема потребителей продукции и их особенностей |
| 13. | Приведите количество поставщиков сырья и комплектующих изделий, их географию и интенсивность поставок. | Выяснение объема поставщиков и их географии, которая влияет на ритмичность поставок |
| 14. | Перечислите всех руководителей высшего звена, которые осуществляют курирование или непосредственное руководство Вашим подразделением (ФИО, организация, должность) | Выяснение уровней управления службы ИТ |
| 15. | Перечислите советы, временные комитеты и т.п. кординирующие структуры, в которых участвуют руководители ИТ-подразделения. Укажите на каких правах руководители ИТ принимают в них участие: для ознакомления, совещательный, голосующий или другое. | Выяснение значимости службы ИТ на предприятии |
| 16. | Перечислите, какие документы Вашего предприятия обязательно должны визироваться руководителями ИТ-подразделения. | |
| Ресурсы, процессы и ценности ИТ-подразделения | ||
| 17. | Приведите структуру Вашего подразделения с указанием 1. наименование структурного подразделения, 2. общее количество сотрудников в этом структурном подразделении, 3. основные функции, 4. количество сотрудников, занятых при выполнении приведенной выше функции | Выяснение организационно - штатной структуры службы ИТ |
| 18. | Перечислите основных поставщиков информационно-технологических систем для Вашего предприятия и формы взаимодействия с ними | Выяснение круга поставщиков ИТ-услуг |
| 19. | Перечислите потребителей услуг Вашего подразделения на предприятиии и вне него и приведите формы взаимодействия с ними | Выяснение круга пользователей услуг службы ИТ |
| 20. | Опишите модель координации работ, проводимых ИТ-подразделением, на Вашем предприятии | Выяснение процедуры проведения проектных работ |
| 21. | Опишите модель принятия решений при проведении работ в условиях ограниченных ресурсов: финансовых, материальных и трудовых | |
| 22. | Приведите процедуру (стандарт), в соответствии с которой сотрудники ИТ-подразделения определяют приоритет выполнения работ: общие проекты, заказ внутреннего подразделения и так далее. | Выяснение процедуры для выполнения работ сотрудниками службы ИТ |
| Функции службы ИТ | ||
| 23. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при разработке стратегии развития бизнеса Вашей организации и какие функции они не покрывают | |
| 24. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при разработке программ (проектов) деятельности и какие функции они не покрывают | |
| 25. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при планировании финансово-хозяйственной деятельности Вашей организации и какие функции они не покрывают | |
| 26. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при планирование инвестиционной деятельности Вашей организации и какие функции они не покрывают | |
| 27. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при планирование финансовой деятельности Вашей организации и какие функции они не покрывают | |
| 28. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при планировании бюджета Вашей организации и какие функции они не покрывают | |
| 29. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при проведении управленческого учета деятельности Вашей организации и какие функции они не покрывают | |
| 30. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки для поддержки принятия решений и какие функции в Вашей организации они не покрывают | |
| 31. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при управлении персоналом Вашей организации и какие функции они не покрывают | |
| 32. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при организации продаж продукции и услуг и какие функции Вашей организации они не покрывают | |
| 33. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при организации расчетов и какие функции в Вашей организации они не покрывают | |
| 34. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при обеспечении оборотными и внеоборотными активами и какие функции Вашей организации они не покрывают | |
| 35. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки в процессе основного производства и какие функции в Вашей организации они не покрывают | |
| 36. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки в процессе прочего производства и какие функции в Вашей организации они не покрывают | |
| 37. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки в процессе вспомогательного производства и какие функции в Вашей организации они не покрывают | |
| 38. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при бухгалтерском учете и какие функции в Вашей организации они не покрывают |
На основе собранной информации необходимо подготовить итоговый отчет по результатам стратегического ИТ–аудита, типовое содержание которого приведено ниже.
1. Основания для проведения аудита. Объект и цель аудита. Этот раздел описывает организационные решения по проведению аудита, его цели и профиль объекта, которым может быть конкретная информационная система, комплекс используемых ИТ–решений или целостная интегрированная информационная система организации.
2. Направления аудита. В этом разделе должны быть описаны методика проведения аудита, состав проверяемой организационно–проектной документации, перечень проведенных интервью и краткое содержание выявленной по их результатам информации.
3. Сводка фактов по целям и задачам аудируемого проекта или проектов, или комплекса ИТ – решений, или интегрированной информационной системы. Здесь должны быть описаны цели и задачи аудируемых проектов по техническим заданиям и по ожиданиям конечных пользователей.
4. Сводка фактов по идентифицированным и подтвержденным результатам аудируемого проекта или проектов. Перечень принятых и завершенных работ. Основное содержание раздела состоит в описании фактически полученных содержательных результатов, направленных на удовлетворение информационных потребностей конечных пользователей и информационную поддержку основных и вспомогательных бизнес – процессов.
5. Сводка идентифицированных пробелов. В этом разделе должен быть раскрыт перечень отсутствующих, но запланированных результатов и дана их характеристика с точки зрения влияния их отсутствия на ожидаемый возврат от инвестиций в реализацию соответствующих ИТ - проектов.
6. Краткая характеристика текущего состояния ИТ в организации. Этот заключительный раздел состоит из ряда подразделов, содержание которых изложено ниже.
1. В области применения ИТ. В этом подразделе должны быть охарактеризованы следующие вопросы:
1. уровень удовлетворенности требований конечных пользователей и степень соответствия планам развития бизнеса;
2. уровень удовлетворенности информационных потребностей высшего руководства;
3. степень сфокусированности внимания специалистов ИТ на решение основных задач бизнеса;
4. внедрение новых технологий на практике;
5. готовность к существенным изменениям бизнес-процессов.
2. В области организации управления и планирования. В этом подразделе должны быть раскрыты следующие вопросы:
1. Как организована ИТ-служба? Каковы ее роль, сфера компетенции, обязанности и полномочия? Какова ее организационная структура?
2. Каков процесс планирования развития ИТ? Определяется ли он основными бизнес-целями?
3. Как устанавливаются приоритеты развития ИТ?
4. Как проводится реорганизация основных бизнес-процессов, связанная с внедрением новых технологий?
5. Какова квалификация персонала и как она определяется?
6. Как построены отношения с поставщиками продуктов и услуг?
3. В области финансирования развития ИТ. Этот подраздел посвящен характеристике ИТ–экономики организации и в нем должны быть раскрыты следующие вопросы:
1. Как формируется бюджет ИТ?
2. Каковы источники финансирования?
3. Кто распоряжается бюджетом?
4. Каков процесс принятия решения о разработке конкретных ИТ - проектов или приобретении вычислительных средств?
5. Как оцениваются и контролируются затраты по проектам развития и сопровождения ИТ?
4. В области обслуживания. Этот подраздел нацелен на характеристику предоставляемых ИТ – услуг и должен содержать ответы на следующие вопросы:
1. Как определена ответственность подразделений отвечающих за обслуживание инфраструктуры ИТ?
2. Как обеспечивается контроль качества работы средств ИТ?
3. Как определены уровни качества техобслуживания?
4. Кем и как обеспечивается поддержка и сопровождение ПО?
5. Кем и как обеспечивается управление сложными информационными системами?
5. В области персонала. Данный подраздел является ключевым для анализа уровня подготовленности персонала и в нем должны быть охарактеризованы следующие аспекты деятельности службы ИТ.
1. степень понимания специалистов службы информатики целей бизнеса;
2. качество взаимодействия функциональных подразделений и службы ИТ;
3. процессы выбора и назначения лидеров проектов ИТ и формирования проектных команд;
4. процессы подготовки и реализации планов обучения персонала.
6. В области информационной безопасности. Этот подраздел призван охарактеризовать уровень обеспечения информационной безопасности по следующим аспектам:
1. организационная структура системы информационной безопасности и ее связь с управлением безопасности организации;
2. наличие политики информационной безопасности;
3. наличие концепции информационной безопасности;
4. методические руководства по защите информации;
5. согласование выбора средств вычислительной техники и связи, технических и программных средств защиты;
6. организация работ по выявлению возможностей и предупреждению утечки и нарушению целостности защищаемой информации
7. Рекомендации по совершенствованию процессов управления эксплуатацией и развитием ИТ. Этот завершающий отчет подраздел должен содержать рекомендации по совершенствованию деятельности службы ИТ по каждому из описанных выше подразделов итогового отчета.
Контрольные вопросы
Дата добавления: 2015-11-14; просмотров: 119 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Раздел II. ВНЕАУДИТОРНАЯ САМОСТОЯТЕЛЬНАЯ ДЕЯТЕЛЬНОСТЬ ИНТЕРНА | | | Базовый перечень данных для проведения стратегического ИТ-аудита |