Управление мониторингом ИТ
Начало в выпусках: #172, #173, #174
Открытый проект Комитета по информационным технологиям при IFAC
Февраль 2002
Структура управления ИТ
Руководители внедряют контрольные структуры, чтобы обеспечить достижение целей предприятия и согласованность реализуемой стратегии и установленной политики. Таким образом, надзор за должным функционированием систем внутреннего контроля важная, но не единственная задача мониторинга ИТ.
Этот тезис прозвучал в докладе Internal Control Integrated Framework (Внутренний Контроль Интегрированная Структура), который был опубликован в 1992 г. Комитетом спонсорских организаций при Treadway Commission (COSO).
Посредством независимой оценки или постоянных, структурированных независимых проверок менеджмент должен определить средства для мониторинга таких областей, как:
- соответствие стратегическим целям;
- осуществление тактических проектов и мероприятий;
- работа людей, систем и процессов;
- функционирование систем внутреннего контроля;
- следование внутренним стандартам и правилам;
- соблюдение законов и положений.
Важно следить за реализацией запланированных улучшений, связанных со следующими мероприятиями мониторинга:
- программы по совершенствованию деятельности процессов, систем и людей;
- самооценка;
- управление качеством;
- управление рисками;
- внутренний и внешний аудит.
Цели большинства мероприятий:
- поддержать бизнес;
- обеспечить соответствие;
- усовершенствовать бизнес.
Каждая из этих целей иллюстрируется конкретными процессами Контрольной Структуры Control Objectives for Information and related Technology (COBIT), где М1 Мониторинг процессов; М2 Оценка адекватности внутреннего контроля; М3 Независимая проверка.
Подробный анализ процессов COBIT приводится в Приложении 1. Он охватывает:
- задачи контроля высокого уровня;
- задачи детального контроля;
- критические факторы успеха (самое важное, что нужно сделать, чтобы повысить вероятность достижения целей ИТ-процесса);
- основные индикаторы выполнения (оценка достижения целей процесса);
- рабочие показатели основных индикаторов выполнения (оценка качества реализации процесса).
Процессы мониторинга COBIT полезный инструмент для оценки эффективности управления ИТ-мониторингом.
Как проводится мониторинг?
Процессы ИТ-мониторинга зависят от потребностей и ситуации в конкретной организации, но основаны на семи общих принципах:
- Всесторонность. Мониторинг должен быть всесторонним, основываться на простых и сводных измерениях, фокусируясь на исключениях;
- Соответствие. Мониторинг должен соответствовать миссии, видению, целям и стратегии предприятия. Согласование ИТ-стратегии со стратегией предприятия важнейший фактор успеха для управления ИТ;
- Приемлемость. Эффективный метод мониторинга должен быть приемлем для его объектов. Необходимо уважать их личное пространство и не вторгаться в повседневные обязанности. Для достижения приемлемости необходимы тон наверху (tone at the top) и развитые системы внутреннего контроля;
- Своевременность. Данные мониторинга должны быть доступны, позволяя выявлять отклонения, о которых надо немедленно сообщить для принятия верных и оперативных решений. Частота проверок в разных областях деятельности организации зависит от степени риска, динамичности и характера изменений в рабочей среде;
- Доказательность. Информация, полученная в ходе мониторинга, должна поддаваться проверке другими средствами, то есть быть точной и, по возможности, основанной на фактах. (Надо помнить, что выяснение мнений и чувств тоже часть процесса управления; стратегическое прогнозирование не всегда основано только на фактах);
- Динамичность. Любая форма мониторинга должна допускать оперативные корректирующие меры. Руководство обязано обеспечить такое определение и структуру функции мониторинга, которые позволяют осуществлять необходимые действия;
- Гибкость/адаптируемость. Система мониторинга должна легко адаптироваться, обеспечивая точную, значимую и своевременную информацию в изменяющихся обстоятельствах. Для принятия динамичных, гибких и осуществимых решений советам директоров, аудиторским комитетам и руководству необходима непредвзятая информация.
