Файловый архив студентов. Файловый архив студентов.
1323 вуза, 5390 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Киевский национальный экономический университет им. В. Гетьмана
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
MIT_modul.doc
Скачиваний:
1
Добавлен:
01.05.2025
Размер:
803.84 Кб
Скачать
►Содержание►

Система управління та структура процесу моніторинга іт

Моніторинг основа будь-якої контрольної системи. Це процес спостереження за тим, що відбувається й порівняння із заданим стандартом (оцінка). Комунікація, що веде до зміни поведінки спостережуваного, не є безпосередньою частиною моніторингу, але її не слід ігнорувати.

У контексті управління ІТ це означає, що необхідно спочатку поставити вимірні цілі, а потім делегувати їхнє досягнення керівникам. Відповідальні за управління повинні регулярно перевіряти відповідність робочих показників і намічених завдань. У випадку розбіжності контролер зобов'язаний вжити коригувальних заходів, дати нові вказівки або навіть змінити цілі.

Моніторинг ІТ основа управління ІТ. Одне із завдань керівництва стежити за виконанням ухвалених рішень. Моніторинг ІТ потрібний, щоб ті, кому делеговані ті або інші функції, виконували їх правильно, а в противному випадку несли відповідальність.

Моніторинг ІТ забезпечується: визначенням значимих робочих показників, систематичною й своєчасною звітністю, оперативними діями при відхиленні від плану.

Моніторинг ІТ особливо важливий через складність і ризикованість дій, пов'язаних з ІТ. Його мети: гарантувати одержання інформації, що допоможе компанії досягти бажаних результатів; відслідковувати виконання робочих завдань у сфері ІТ.

Структура управління ІТ, запропонована Інститутом Управління ІТ (IT Governance Institute), найкраще ілюструє ці цілі. Відповідно до моделі, контролювати треба:

  • чи підтримує ІТ стратегію підприємства, повсякденну діяльність, реалізацію нових товарів і послуг;

  • чи зменшені ризики, пов'язані з ІТ;

  • чи узгоджені ІТ із законами й інструкціями, стандартами й правилами.

Керівники впроваджують контрольні структури, щоб забезпечити досягнення цілей підприємства й погодженість реалізованої стратегії й установленої політики. Таким чином, нагляд за належним функціонуванням систем внутрішнього контролю важлива, але не єдине завдання моніторингу ІТ.

За допомогою незалежної оцінки або постійних, структурованих незалежних перевірок менеджмент повинен визначити коштів для моніторингу таких областей, як:

  • відповідність стратегічним цілям;

  • здійснення тактичних проектів і заходів;

  • робота людей, систем і процесів;

  • функціонування систем внутрішнього контролю;

  • проходження внутрішнім стандартам і правилам;

  • дотримання законів і положень.

Важливо стежити за реалізацією запланованих поліпшень, зв'язаних з наступними заходами моніторингу:

    • програми по вдосконалюванню діяльності процесів, систем і людей;

    • самооцінка;

    • управління якістю;

    • управління ризиками;

    • внутрішній і зовнішній аудит.

Цілі більшості заходів:

      • підтримати бізнес;

      • забезпечити відповідність;

      • удосконалити бізнес.

Докладний аналіз процесів COBIT приводиться в Додатку 1. Він охоплює:

  • завдання контролю високого рівня;

  • завдання детального контролю;

  • критичні фактори успіху (найважливіше, що потрібно зробити, щоб підвищити ймовірність досягнення цілей ІТ-процесу);

  • основні індикатори виконання (оцінка досягнення цілей процесу);

  • робочі показники основних індикаторів виконання (оцінка якості реалізації процесу).

Моніторинг ІТ процесів

Процеси ІТ-моніторингу залежать від потреб і ситуації в конкретній організації, але засновані на сімох загальних принципах:

  1. Всесторонність. Моніторинг повинен бути всебічним, ґрунтуватися на простих і зведених вимірах, фокусуючись на виключеннях;

  2. Відповідність. Моніторинг повинен відповідати місії, баченню, цілям і стратегії підприємства. Узгодження ІТ-стратегії зі стратегією підприємства найважливіший фактор успіху для управління ІТ;

  3. Прийнятність. Ефективний метод моніторингу повинен бути прийнятний для його об'єктів. Необхідно поважати їхній особистий простір і не вторгатися в повсякденні обов'язки. Для досягнення прийнятності необхідний тон нагорі (tone at the top) і розвинені системи внутрішнього контролю;

  4. Своєчасність. Дані моніторингу повинні бути доступні, дозволяючи виявляти відхилення, про які треба негайно повідомити для прийняття вірних й оперативних рішень. Частота перевірок у різних областях діяльності організації залежить від ступеня ризику, динамічності й характеру змін у робітничому середовищі;

  5. Доказовість. Інформація, отримана в ході моніторингу, повинна піддаватися перевірці іншими коштами, тобто бути точної й, по можливості, заснованої на фактах. (Треба пам'ятати, що з'ясування думок і почуттів теж частина процесу управління; стратегічне прогнозування не завжди засноване тільки на фактах);

  6. Динамічність. Будь-яка форма моніторингу повинна допускати оперативні коригувальні міри. Керівництво зобов'язане забезпечити таке визначення й структуру функції моніторингу, які дозволяють здійснювати необхідні дії;

  7. Гнучкість/адаптованість. Система моніторингу повинна легко адаптуватися, забезпечуючи точну, значиму й своєчасну інформацію в обставинах, що змінюються. Для прийняття динамічних, гнучких і здійсненних рішень радам директорів, аудиторським комітетам і керівництву необхідна неупереджена інформація.

Існує багато засобів моніторингу ІТ. Реалізуючи функцію управління, керівники найбільше ефективно використають сім основних:

    1. Світлофорні (traffic light) звіти про проекти й стратегічні ініціативи. Це найбільш популярний механізм надання звітності керівникам і радам директорів. Повною мірою використається принцип всебічності й повідомлення про виключення.

Якщо захід укладається в строки й бюджет, у звіті йому присвоюють зелені кольори. Коли в наявності ознаки майбутньої перевитрати часу й коштів - жовтий . Якщо перевитрата вже має місце або цілей неможливо досягти без серйозних змін й інвестицій - червоний.

Заходи можуть бути різними, наприклад:

  • проект;

  • ініціатива по вдосконаленню;

  • відпрацьовування аудиторської рекомендації.

Ініціативи по вдосконаленню формуються в результаті: реінжинірингу; мозкового штурму, присвяченого керуванню ризиками; перевірок якості; контрольної самооцінки й т.д.

Жовтий і червоний сигнали вимагають коротко описати статус і прийняти коррективные міри. Добре, якщо рада директорів і керівники різних рівнів зуміли чітко домовитися, коли привласнювати тривожні кольори й про що повідомляти в таких випадках.

Бачення й стратегія

Завдання

Одиниці виміру

Міці

Ініціативи

Фінанси: Як ІТ сприяють фінансовому успіху організації?

Клієнти: Як ІТ повинні допомагати клієнтам, щоб підтримувати реалізацію бачення?

Внутрішні бізнес-процеси: У яких ІТ-процесах треба досягти переваги, щоб задовольнити акціонерів і клієнтів?

Навчання й розвиток: Як зберегти здатність змінювати й удосконалювати ІТ-середовище, щоб реалізувати бачення?

Управління за допомогою системи збалансованих показників (і панелей). В управлінні ІТ усе ширше застосовується метод збалансованих показників і панелей для виміру вартості й загального внеску ІТ.

Метод забезпечує узгодження планів компанії й ІТ через узгодження цілей ІТ для ІТ-процесів і цілей бізнесу, що ці процеси підтримують. Визначаються основні індикатори (фактори) успіху для кожного процесу.

Керівництво реалізує комплекс заходів щодо оцінки й моніторингу, щоб зібрати інформацію про досягнення результатів (використовуючи одиниці виміру цілей) і про виконання ІТ-процесів (використовуючи ключові робітники показники). Ці дані дозволяють визначити, чи ефективні стратегії й методи використання ІТ, вибрати коригувальні або регулюючі міри.

Зв'язок між системами збалансованих показників підприємства й ІТ гарний спосіб узгодження. Багато індикаторів результативності роботи ІТ впливають на діяльність підприємства, тобто демонструють якість цієї діяльності. Система збалансованих показників повинна відображати внесок ІТ у роботу компанії.

    1. Еталонне тестування ризику й контролю при прийнятті рішень по інвестиціях в ІТ. Моделювання зрілості й еталонне тестування дозволяють проводити моніторинг окупності інвестицій і зниження ризиків, пов'язаних з ІТ. Моделі зрілості (maturity models) представляють вимірні, розпізнавані рівні зрілості, наприклад у сфері контролю, управління ризиком, операційної компетентності й т.д.

Використання цих моделей допомагає підприємству відрізнити бажане від дійсного, визначити стратегію й виробити рішення щодо проектів по вдосконаленню. Моніторинг удосконалень і регулярна переоцінка зрілості підприємства методом еталонного тестування (порівняння з показниками інших підприємств) стають передовою практикою моніторингу ІТ.

    1. Активний моніторинг інфраструктури ІТ. Проблема ризиків інфраструктури ІТ як на рівні підприємства, так і на національному й міжнародному рівнях, багато чого змінила в управлінні безпекою й ризиками в сфері ІТ.

Компанії усвідомили, що традиційний підхід до визначення політики, вибір мерли обережності і їхня реалізація занадто статичні для мінливого, нестабільного середовища. Їм потрібен був більше динамічний метод поточного активного моніторингу інфраструктури ІТ.

Такий метод передбачає безперервний контроль і самооцінку з метою виявлення й рішення проблем. Про підсумки заходів треба, якщо необхідно, інформувати вище керівництво (у яких випадках це треба робити, повинне роз'яснити саме керівництво).

При активному моніторингу щодня й цілодобово йде робота з виявлення несанкціонованих дій у системах і мережах. Збирається й аналізується інформація, шукаються ознаки атак і вірусів, уразливі місця, випадки недотримання основних правил, зловживання.

Таку роботу необхідно підтримувати процедурами реагування. Як правило, вона супроводжується тренуваннями по розпізнаванню вторгнення, випробуванням засобів управління інфраструктурою, за підсумками яких керівництву подаються звіти про виключення.

    1. Мозковий штурм із питань раціоналізації й управління ризиком. Підприємства з високим ступенем ризику вводять процеси й зобов'язання, пов'язані з постійним моніторингом ризиків. Економічна альтернатива цьому продуманий і підготовлений мозковий штурм за участю вищого керівництва й осіб, відповідальних за ІТ, безпека, ризики й аудит. Такі заходи можна проводити, наприклад, щорічно.

Результатом повинні стати переліки найбільш уразливих місць і погроз; список мер по поліпшенню й реагуванню. У Додатку 2 даються додаткові ради по моніторингу безпеки й ризику, корисні для мозкового штурму.

    1. Внутрішній і зовнішній аудит. Для керівництва звіти внутрішніх і зовнішніх аудиторів є найважливішим інструментом моніторингу. У звітах декларується мета перевірки, указуються її обсяг і методологія, зміст й охоплений період. У них відображаються: повні результати й висновки, причини проблем, рекомендації з виправлення ситуації й поліпшенню діяльності.

Звіт включає запевняння, що аудит проведений відповідно до загальноприйнятих стандартів, і вказівка, якщо можливо, у яких випадках стандарти не дотримувалися. У документі втримуються: стосовні до справи думки відповідальних працівників організації; програма, захід або функція, перевірені відповідно до результатів аудита, висновками й рекомендаціями; заплановані коригувальні дії.

За виправлення ситуації відповідає керівництво компанії, але аудитор зобов'язаний проконтролювати, чи прийняті необхідні міри.

    1. Ознайомлення керівництва зі звітами відповідальних працівників. Це найважливіший елемент управління ІТ. Керівники повинні одержувати для ознайомлення звіти по просуванню до поставленим цілям, про ступінь виконання завдань, про підсумки, показники й ризики. Розглянувши повідомлення, менеджмент забезпечує своєчасне вживання необхідних заходів.

Особливості моніторингу ІТ залежать від ситуації в конкретній компанії, але структура процесу й основні заходи для всіх стандартні й передбачають шість фаз:

Фаза I орієнтація. Необхідна, щоб визначити обсяг моніторингу, що відповідає методологію й прийоми. На цьому етапі мобілізуються ресурси, потрібні для процесу. Ключові дії:

  • обміркувати й вирішити, чи охопити моніторингом всі підрозділи або розробити ряд заходів для окремих одиниць бізнесу;

  • оцінити якість виконання завдань моніторингу, що коштують перед кожним підрозділом;

  • оцінити рівень участі незалежних фахівців.

Тривалість моніторингу визначається розмірами організації й ступенем її (планованої) залежності від ІТ. Як тільки вирішене питання з обсягом заходу, варто вибрати методологію й прийоми, мобілізувати базову інформацію й ресурси, необхідні для планування, у тому числі чітко обрисувати структуру звітності.

Ключові дії:

  • Зібрати необхідну базову інформацію про організацію, її ІТ-профіль й можливості, заходи моніторингу;

  • Вибрати надійну методологію для підтримки заходів (її можна одержати від зовнішніх консультантів, розробити самотужки або купити);

  • Визначити методи, які будуть використатися для збору й аналізу інформації (включаючи інструменти моніторингу ІТ, такі як оцінка роботи, збалансовані показники, еталонне тестування й т.д.);

  • Сформувати проектну команду моніторингу (як правило, багатопрофільну, що складається з осіб, які знають й ІТ, і бізнес). Члени команди повинні мати технічну грамотність, навичками й знаннями, необхідними для ефективного, кваліфікованого й економічного аналізу (нерідко групу підсилюють зовнішніми консультантами з досвідом моніторингу ІТ);

  • Затвердити механізм звітності для проектної команди. Як правило, група звітує перед комітетом, очолюваним CEO, CIO або іншим представником вищого менеджменту й включає начальників основних підрозділів, менеджера по ІТ і менеджера по аудиту інформаційних систем.

Фаза II визначення критеріїв. Як правило, припускає планування/розробку кожного виду ІТ і бізнес-процесів. Визначаються мети й робочі показники для моніторингу.

Стандартним процесом для цієї фази повинен стати періодичний перегляд показників, пов'язаний з їхніми змінами в часі.

Керівництво повинне переконатися в тім, що: для процесів ІТ і внутрішнього управління визначені робочі показники на основі внутрішніх і зовнішніх джерел; організований збір даних для підготовки звітів про виключення за цими показниками.

Варто передбачити заходи для перевірки адекватності й вірогідності одиниць виміру й індикаторів діяльності, організаційних й індивідуальних.

Фаза III поточний моніторинг. Безперервне спостереження за функціонуванням ІТ і процесами контролю. Визначаються й відслідковуються виняткові події. Робочі показники затверджуються, погоджуються зі стратегією й регулярно переглядаються.

Керівництво повинне оцінювати роботу ІТ (основні індикатори діяльності й/або критичні фактори успіху) і порівнювати результат із запланованим. Незалежну перевірку інформаційних технологій треба проводити на постійній основі, щоб забезпечити їхню незмінну ефективність.

Фаза IV періодичний і вибірковий моніторинг. Забезпечує належну реалізацію поточного моніторингу й інших контрольних функцій. Дозволяє періодично аналізувати ризики й можливості, пов'язані з ІТ. Полегшує прийняття важливих рішень у сфері ІТ. Містить у собі: процедури внутрішнього аудита, зовнішні перевірки, самооцінку й мозковий штурм.

Менеджмент повинен регулярно оцінювати задоволеність клієнтів ІТ-услугами, щоб виявляти недоліки й планувати поліпшення. Ефективність ІТ забезпечить незалежна перевірка й оцінка ІТ-процесів.

Фаза V наступні дії. Коригувальні заходи щодо переорієнтації процесів ІТ для узгодження із цілями, стратегією й політикою підприємства. Мінімізація несприятливих ефектів, уточнення завдань й одиниць виміру. Внесення змін у стратегію, політику й стандарти. Ініціювання переоцінки. Вживання своєчасних заходів для усунення недоліків.

Фаза VI звітність. Звіти керівників на всіх фазах моніторингу підтримують ефективне управління ІТ й є істотним елементом поворотних/повторюваних циклів контролю.

Керівництво повинне одержувати для ознайомлення звіти про просування організації до поставленим цілям, з описом підсумків роботи, рішення завдань й усунення ризиків.

Коли? Моніторинг потрібний при будь-якому використанні ІТ: від планування й організації, придбання й впровадження до реалізації й підтримки. Без нього неможливо ефективно управляти ІТ. Проходить у вигляді планової перевірки цілей, постійно й разово, з метою виявлення ризиків, помилок або дефектів.

Хто? До моніторингу ІТ залучаються всі, хто має конкретне завдання й/або відповідає за мети й процеси ІТ. Ефективний моніторинг охоплює всю компанію, у міру того як інформацію збирають, поєднують і доводять до різних рівнів управління.

M1 - Моніторинг процесів. Завдання контролю високого рівня

Контроль за ІТ-мониторингом процесів, що відповідає вимогам підприємства по досягненню цілей, можливий завдяки визначенню індикаторів виконання, систематичної й своєчасної звітності й швидкому усуненню відхилень.

Він ураховує:

  • збалансовані показники з факторами продуктивності й одиницями виміру;

  • оцінку задоволеності клієнтів;

  • управлінську звітність;

  • базу знань про попередню роботу;

  • зовнішнє еталонне тестування.

    1. Збір даних для моніторингу. Для контролю ІТ- і внутрішніх процесів керівництво повинне переконатися, що:

      • визначено індикатори виконання по внутрішніх і зовнішніх джерелах;

      • ведеться збір даних для підготовки звітів керівництву й повідомлень про виключення, що ставляться до цих індикаторів.

Необхідно контролювати відповідність і повноту організаційних й індивідуальних робочих показників.

  1. Оцінка роботи. Керівництво оцінює послуги, надавані функцією ІТ і порівнює їхній рівень із цільовим. Оцінка повинна проводитися на постійній основі.

  2. Оцінка задоволеності клієнтів. Керівництво регулярно оцінює задоволеність клієнтів послугами, надаваними функцією ІТ, виявляючи недоліки й ставлячи завдання по вдосконалюванню.

  3. Звітність перед керівництвом. Виконавчий менеджмент повинен одержувати для розгляду звіти про просування організації до поставленим цілям, про виконання планових завдань, про отримані результати й зменшення ризиків. Ознайомившись зі звітністю, керівництво зобов'язане вжити заходів, які порахує необхідними.

Критичні фактори успіху:

  • є корисна, точна й своєчасна звітність;

  • визначено процеси, основні цільові показники й індикатори виконання;

  • оцінка роботи ІТ провадиться по фінансовому, операційному, клієнтському й організаційному критеріях, які забезпечують відповідність цілям організації й можуть бути інтегровані з такими інструментами, як система збалансованих показників для ІТ;

  • існують зрозумілі й доведені до виконавців завдання процесів;

  • розроблено структуру для визначення й дотримання вимог до звітності по ІТ;

  • створено базу знань про попередню роботу.

Основні цільові показники:

    • послідовне застосування певної кількості робочих показників;

    • виявлення й реалізація зростаючого числа можливостей для поліпшення процесів;

    • задоволеність керівних осіб й органів звітністю про роботу;

    • зниження кількості недоліків.

Основні індикатори виконання:

      • часовий проміжок між виникненням недоліку й повідомленням про нього;

      • часовий проміжок між повідомленням про недолік і вживання заходів;

      • відношення між відзначеними недоліками й недоліками, які вимагають подальшої уваги керівництва («індекс шуму»);

      • кількість процесів, які піддаються моніторингу;

      • кількість виявлених й убудованих у моніторинг відносин «причина - слідство»;

      • кількість зовнішніх даних для еталонного тестування ефективності процесу;

      • часовий проміжок між змінами в бізнесі й пов'язаними з ними змінами в робочих показниках;

      • кількість змін у комплексі робочих показників, що виникли без зміни цілей підприємства.

M2 - Оцінка адекватності внутрішнього контролю. Завдання контролю високого рівня

Контроль за ІТ-процесом оцінки адекватності внутрішнього контролю, що відповідає вимогам підприємства по досягненню цілей, можливий завдяки моніторингу засобів внутрішнього контролю, перевірці їхньої ефективності, регулярний звітності.

Він ураховує:

  • відповідальність за внутрішній контроль;

  • постійний моніторинг внутрішнього контролю;

  • звітність про помилки й виключення;

  • дані еталонного тестування;

  • самооцінку;

  • звітність керівництва;

  • дотримання законів й інструкцій.

    1. Моніторинг внутрішнього контролю. При нормальному ході операцій керівники повинні проводити моніторинг ефективності внутрішнього контролю за допомогою управлінської й наглядової діяльності, порівняння, узгодження й інших стандартних дій. Відхилення вимагають аналізу й коректування. Про їх варто повідомляти працівникові, відповідальному за цю функцію, і керівникові більше високого рівня. Про серйозні відхилення необхідно інформувати вище керівництво.

    2. Своєчасність внутрішнього контролю. Надійний внутрішній контроль забезпечує швидкість виявлення помилок і невідповідностей і виправлення їх до того, як вони позначаться на товарах і послугах. Варто збирати й систематично доводити до керівництва інформацію про помилки, невідповідності й виключення.

    3. Звітність про рівень внутрішнього контролю. Керівництво повинне доводити інформацію про рівень внутрішнього контролю й про виключення до всіх, хто має до цього відношення, забезпечуючи незмінну ефективність системи внутрішнього контролю. Необхідно з'ясувати, яка інформація потрібно на тім або іншому рівні прийняття рішень.

    4. Перевірка операційної безпеки й внутрішнього контролю. Затверджена перевірка операційної безпеки й внутрішнього контролю повинна проводитися періодично у вигляді самоперевірки або незалежного аудита з метою з'ясувати відповідність безпеки й внутрішнього контролю затвердженим або яким мається на увазі вимогам. Необхідно проводити постійний моніторинг для виявлення уразливих місць і проблем в області безпеки.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности