Книги

• Разное
• Экономика
• Право
• История
• Шпоры

реклама

11. Доцільність застосування стандарту СОВІТ для управління й аудиту ІТ

Після проведення ІТ-аудиту з використанням принципів аудиту, висловлених в СОВІТ, організація отримає можливість:

Оцінити ступінь відповідності ІТ-організації вимогам бізнесу.

Визначити пріоритети основних ІТ-процесів.

Виявити критично важливі елементи ІТ. Виявити та оцінити фактори ризику.

Визначити ступінь адекватності заходів, що приймаються для управління ризиками.

Оцінити ступінь захищеності компанії від надзвичайних подій і їхніх наслідків.

Реалізувати рекомендації по забезпеченню безперебійності функціонування ІТ.

Створити план робіт по усуненню недоліків і розробити способи їх усунення.

Крім того, управління й аудит відповідно до стандарту СОВІТ надає організації наступні додаткові переваги:

Можливість отримання результату в порівняно короткі строки.

Гарантія того, що при проведенні аудиту ніщо не буде випущене: стандарт охоплює всі рівні ІТ.

Після проведення "первинного" аудиту проводиться наповнення інформаційної бази, що робить процеси проведення подальших перевірок простішими, легшими і, як наслідок, дешевшими.

СОВІТ як інструмент управління залишається і впроваджується в організації, автоматично переводячи її на рівень управління, зпівставний, як мінімум, з 2 рівнем моделі зрілості CMM, не дивлячись на те, що досягнення рівнів зрілості не є прямою ціллю аудиту — це специфічні задачі бізнес-консалтингу.

12. Терміни і визначення

Аудит — Що таке аудит? Що під цим терміном розуміється? Визначень як таких багато, на мій погляд, найлаконічнішим і вірним по суті є трактування Комітету Американської бухгалтерської асоціації по основних концепціях обліку: "Аудит — це системний процес отримання і оцінки об'єктивних даних про економічні дії і події, який встановлює рівень їх відповідності певному критерію і надає результати зацікавленим користувачам...".

В даному випадку для усвідомлення, що є таке аудит ІТ, необхідно лише змінити позначену в приведеному вище визначенні область застосування, економічну на сферу інформаційних технологій, що цікавить, нас. Таким чином, Аудит ІТ — системний процес отримання і оцінки об'єктивних даних про поточний стан інформаційної системи, дії і події, що відбуваються в ній, встановлює рівень їх відповідності певним критеріям і надає результати Замовнику.

Стандарт аудиту — нормативно-технічний документ (або еталон, модель, яка є відправною крапкою), що встановлює комплекс вимог і правил до об'єкта аудиту, кваліфікації виконавців, організації аудиту, методичних прийомів аналізу документації і представлення аудиторського висновку в наочній області і т.д.

Методика аудиту — сукупність теоретичних і практичних способів проведення аудиту, розроблені аудитором на базі стандартизованих правил і норм проведення аудиту в наочній області, певною мірою, на основі особистого професійного досвіду.

Інформаційно-комунікаційні технології (визначення Інформаційного суспільства ) — сукупність методів, виробничих процесів і програмно-технічних засобів, інтегрованих з метою збору, обробки, зберігання, розповсюдження, відображення і використання інформації на користь її користувачів.

Кожне підприємство здійснює певну діяльність, направлену на досягнення своїх стратегічних цілей і задоволення потреб. Будь-яку діяльність можна розбити на функціонально закінчені процеси (для комерційних підприємств — бізнес процеси). Як ключові звичайно виділяють: виробництво, збут, просування продукції, управління і інші процеси, типові для більшості підприємств. Роль інформаційних технологій (ІТ) полягає в підтримці діяльності підприємства. ІТ повинні забезпечити вироблення правильного управлінського рішення в кожній конкретній ситуації, тобто в потрібний час, в потрібному місці і в потрібному обсязі дати достовірну інформацію, необхідну для прийняття управлінського рішення.

Суміжні технології — суміжні з ІТ сфери діяльності: інженерні системи (наприклад, концепція інтелектуальної будівлі, що включає гарантоване електроживлення, кондиціонування, водопостачання і т.д.). Технології, що не відносяться до інформації, але є критично важливими для неї це приклад, знайомий страхувальникам — виплата страховки за страховий випадок, пов'язаний з пожежею або затопленням серверній. На даний момент практично всі компанії, що пропонують комплексні ІТ рішення володіють разом з ліцензіями на здійснення оцінної і аудиторської діяльності ще і ліцензіями на будівництво і проектування будівель і споруд. Що саме ілюструє нерозривний зв'язок між вказаними технологіями.

Інформаційні системи (визначення Інформаційного суспільства ) — організаційно впорядкована сукупність документів (масивів документів) і інформаційних технологій, у тому числі з використанням засобів обчислювальної техніки і зв'язку, що реалізував інформаційні процеси.

Глосарій

Відсутність єдиної термінологічної бази є значним гальмом для впровадження сучасних методик управління ІТ (у тому числі СОВІТ) на українських підприємствах. Щоб точно позначити використовувані ключові терміни, наведемо короткий глосарій відповідно до першоджерел.

IT Governance Institute — Інститут Управління ІТ

Information and related Technology — Інформаційні і суміжні Технології

High-level approach — високорівневий підхід

Maturity Models — Моделі Зрілості

Critical Success Factors (CSFs) — Критичні Фактори Успіху (КФУ)

Key Goal Indicators (KGIs) — Ключові Індикатори Цілей (КІЦ)

Key Performance Indicators (KPIs) — Ключові Індикатори Результату (КІР)

Networking — мережа організації (ЛОМ)

Management IT related risks — Управління супутніми ризиками в ІТ

Enterprise governance — управління підприємством

IT governance — управління ІТ

Dashboards — інструментальна панель

Scorecards — карти оцінок

Balanced Business Scorecard (BSC) — Збалансовані карти оцінки бізнесу

Measures — одиниці вимірювання

Benchmarking — еталонне тестування

Scale for comparison — шкала порівняння

Effectiveness — Ефективність

Efficiency — Продуктивність

Confidentiality — Конфіденційність

Integrity — Цілісність

Availability — Придатність

Compliance — Узгодженість

Reliability — Надійність

Cost-efficiency — рентабельність