В тесте 4 курса "Аудит ИТ-инфраструктуры" замечены ошибки в ответах: 1) Для оценки мехнизма управления Cobit рекомендуется использовать: классическую модель аудиторского цикла (лекция 6 этого курса). Однако этот ответ отмечен как неправильный. 2)Логическим завершением этапа планирования аудита ИТ является : разработка стратегической модели аудиторского исследования (далее в этом же курсе, но не в лекции 4, к которой дан этот вопрос). Ответ отмечен как ошибочный. Вопрос: как проходить тест, если ответы, взятые из этого курса, являются ошибочными? P.S. В тексте курса большое количество ошибок пунктуации (отсутствуют запятые), описок. |
Принципы управления информационными технологиями
Принципы управления информационными технологиями
Стандарт Cobit обеспечивает поддержку управления информационными технологиями, предоставляя необходимую релевантную методологию для обеспечения того, чтобы:
- сфера информационных технологий была приведена в соответствие с деятельностью хозяйствующего субъекта;
- информационные технологии помогали функционированию хозяйствующего субъекта и максимизировали его преимущества;
- ИТ-ресурсы использовались ответственно;
- осуществлялось надлежащее управление ИТ-рисками.
Приведенные на рисунке области управления информационными технологиями характеризуют круг аспектов, с которым имеет дело высшее звено системы управления хозяйствующим субъектом, осуществляя управление этими технологиями в конкретном субъекте. При этом область:
- "соответствие стратегии" позволяет сделать акцент на связях между бизнес-планами и информационными технологиями, выявлении, поддержке и контроле за ценностным предложением информационных технологий, а также на соответствии информационных технологий и бизнес-операций;
- "полезность" представляет собой реализацию ценностного предложения, контроль за тем, чтобы информационные технологии обеспечивали стратегические преимущества, сосредоточенные на оптимизации затрат и подтверждении подлинной ценности этих технологий;
- "управление ресурсами" посвящено проблемам управления критичными ИТ-ресурсами, т.е. оптимизации инвестиций и надлежащему руководству приложениями, информацией, инфраструктурой и персоналом. При этом ключевыми аспектами являются оптимизация знаний и инфраструктуры;
- "управление рисками" требует осведомленности высшего руководства системы управления хозяйствующим субъектом в области рисков, четкого понимания корпоративного подхода в их отношении, соответствия требованиям прозрачности в отношении существенных рисков, включая функции управления рисками;
- "оценка эффективности" представляет собой контроль за реализацией стратегии, результатами проектов, использованием ресурсов, эффективностью процессов и сервисным обслуживанием. В свою очередь, оценка эффективности является частью управления сферой информационных технологий, которая включает постановку и контроль целей (достижение которых поддается оценке), которые определяют результаты ИТ-процессов и путь достижения этих результатов (потенциал процесса и эффективность).
Исследования, проводимые в рамках разработки стандарта Cobit, показали, что недостатки в области прозрачности затрат хозяйствующих субъектов на информационные технологии, определение ценностей и рисков являются основными стимулами к совершенствованию управления сферой информационных технологий.
Критерии информации по Cobit
Управление и контроль над информацией является краеугольным камнем, основой методологии стандарта Cobit и помогают соответствовать требованиям деятельности хозяйствующего субъекта. Однако чтобы удовлетворять целям хозяйствующего субъекта, информация должна соответствовать определенным критериям, которые Cobit определяет как информационные критерии. Основанные на общих требованиях качества, доверия и безопасности в Cobit определены семь взаимосвязанных критериев информации:
- полезность, характеризующая информацию как значимую и релевантную бизнес-процессу, а также получаемую регулярно, корректно, последовательно и в удобном для использования заинтересованными пользователями виде;
- эффективность характеризует получение информации посредством оптимального использования ресурсов;
- конфиденциальность имеет отношение к защите важной информации от несанкционированного раскрытия;
- целостность, характеризующая точность и полноту информации, а также ее обоснованность в соответствии с корпоративными ценностями и ожиданиями;
- доступность характеризует наличие информации для бизнес-процесса (в текущий момент времени или в будущем), а также защиту необходимых ресурсов и связанных с ними возможностей;
- соответствие требованиям нормативно-правовых актов, для которых конкретный бизнес-процесс является субъектом, т.е. внешним требованиям и внутренней корпоративной политике;
- достоверность характеризует обеспечение надлежащей информацией руководящее звено системы управления хозяйствующим субъектом для выполнения их обязанностей.
Если учесть то, что информационные критерии дают лишь общую методику определения требований к информации, то общее определение цели деятельности хозяйствующего субъекта и информационных технологий дает более точное бизнес ориентированное понимание и требуется для выявления показателей, позволяющих измерить достижения поставленных целей.
Каждый хозяйствующий субъект использует информационные технологии для реализации инициатив в сфере свое деятельности, которые можно представить как бизнес-цели для информационных технологий. Для того чтобы информационные технологии успешно поддерживали выполнение корпоративных стратегий, должно существовать четкое владение и руководство в исполнении требований со стороны самой деятельности (как клиента услуг), а также четкое понимание того, что требуется и как это выполнять со стороны службы ИТ (поставщика услуг). На рисунке показано, как корпоративная стратегия должна преобразовываться в цели, связанные с ИТ-инициативами, т.е. в бизнес-цели для информационных технологий.
Указанные цели должны четко определять цели информационных технологий, которые, в свою очередь, определяют ИТ-ресурсы (приложения, информация, инфраструктура и персонал) и возможности (корпоративная архитектура ИТ), необходимые для успешного использования той части корпоративной стратегии, которая возлагается на эти технологии. При этом под приложениями понимают прикладные системы и ручные процедуры для обработки информационных потоков. Информация представляет собой данные в любой форме, введенные, обработанные и выведенные информационными системами. И наконец, персонал это субъект, необходимый для планирования, организации, приобретения, внедрения, работы, обслуживания, мониторинга и оценки информационных систем и услуг. Персонал может быть внутренним, привлеченным на аутсорсинге или нанятым по договору.
После определения связанных целей их достижение необходимо контролировать, для уверенности в том, что текущее положение соответствует ожиданиям. Это достигается посредством показателей, которые проистекают из самих целевых установок и фиксируются в системе сбалансированных показателей информационной технологии. В общем виде цели и показатели эффективности в стандарте Cobit сгруппированы в три уровня:
- цели и показатели эффективности информационных технологий, определяющие вклад этих технологий в достижение целей деятельности хозяйствующего субъекта (бизнес-целей);
- цели и показатели эффективности ИТ-процесса, определяющие вклад этого процесса в достижение целей информационной технологии;
- цели и показатели эффективности отдельных операций (действий), которые определяют, что должно произойти внутри ИТ-процесса для достижения требуемой эффективности.
Указанный подход позволяет выстроить иерархию целевых установок так, что бизнес-цель определяет некоторый набор поддерживающих ее ИТ-целей. В свою очередь, ИТ-цель достигает своих результатов посредством выполнения одного или взаимодействия нескольких процессов.
Ключевые показатели по Cobit
В качестве показателей Cobit рекомендует использовать следующие основополагающие показатели:
- индикаторы опережения, под которыми в данном контексте понимается вероятность достижения цели. Эти показатели могут быть измерены до получения результата;
- индикаторы задержки, которые свидетельствуют о том, достигнуты ли определенные цели. Эти показатели измеряются только после свершения факта.
При этом индикаторы опережения позволяют определить, насколько хорошо работают бизнес-процессы, служба ИТ и ИТ-процессы над достижением поставленных целей. Они показывают степень вероятности достижения целей более высокого уровня, характеризуя при этом наличие возможностей, практик, навыков и результаты деятельности за предшествующий период (историческую информацию). Например, услуга, оказываемая информационной технологией, является целью для службы ИТ и показателем эффективности деятельности хозяйствующего субъекта. Поэтому индикаторы опережения часто называют факторами достижения эффективности, особенно в системе сбалансированных показателей.
В свою очередь, индикаторы задержки, отражая результативность низшего уровня, становятся показателями более высокого уровня. Определяя эти индикаторы, руководящее звено системы управления хозяйствующим субъектом получает сведения о том, достигла ли своих целей та или иная функция информационной технологии, ИТ-процесс или ИТ-операция. Указанные показатели функций информационной технологии обычно выражаются в рассмотренных ранее терминах информационных критериев: доступность информации, необходимой для целей деятельности хозяйствующего субъекта;
- отсутствие рисков, связанных с целостностью и конфиденциальностью;
- эффективность затрат для процессов и операций;
- подтверждение надежности, эффективности и соответствия требованиям.
Стандарт Cobit предоставляет пользователям базовые цели и показатели. При этом показатели разработаны с учетом следующих характеристик:
- уровень детализации показателей не должен превышать уровень усилий по сбору данных для их определения;
- должна быть соблюдена внутренняя сопоставимость (например, процент от общего или количество за определенный период времени);
- внешняя сравнимость вне зависимости от размера хозяйствующего субъекта или отрасли;
- лучше иметь небольшое количество значимых показателей (например, один показатель, на который осуществляется разнообразное влияние), нежели большой набор показателей низкого качества;
- простота оценки показателей.
Обобщая вышеизложенное, следует отметить, что методология, заложенная в Cobit, позволяет увязать требования деятельности хозяйствующего субъекта к информационным потокам и управлению с целями сервисной ИТ-службы. Сама же модель процессов Cobit позволяет эффективно управлять и контролировать деятельность и ресурсы в сфере информационных технологий на основе целей контроля. Кроме того, модель процессов позволяет приводить их в соответствие и осуществлять мониторинг, применяя цели и показатели Cobit.
Таким образом, ИТ-ресурсы управляются посредством ИТ-процессов для достижения целей информационных технологий, которые, в свою очередь, соответствуют целям непосредственной деятельности хозяйствующего субъекта. Именно в этом заключается основной принцип методологии стандарта Cobit.
Роль и место операционного аудита в современном управлении
Операционный аудит, как было отмечено ранее, является более сложным направлением аудирования, по сравнению с традиционным аудитом бухгалтерской (финансовой)отчетности. Для его осуществления требуется проведение значительной работы по созданию соответствующих условий. При этом первостепенной задачей является формирование в современном обществе соответствующего понимания важности и необходимости его регулярного применения для повышения эффективности деятельности любого хозяйствующего субъекта независимо от формы его собственности.
В то же время отсутствие нормативно-правовой базы, регламентирующей указанное направление аудита (в отличие от аудита бухгалтерской (финансовой) отчетности), практически исключает его обязательность, что позволяет отнести его лишь к категории инициативного аудита и, как следствие, определяет необходимость применения в каждом конкретном случае индивидуальных (не стандартизированных) подходов к его проведению. В свою очередь, в теории и практике аудита, как в зарубежных странах, так и в России, общепринято, что проведение аудита бухгалтерской (финансовой) отчетности осуществляется в три основных этапа: планирование, непосредственно аудиторская проверка и формирование отчетных документов о полученных результатах аудирования. Однако при этом незаслуженно забывают об этапах внедрения результатов аудирования в практику финансово-хозяйственной деятельности аудируемого субъекта. Указанные этапы, по нашему мнению, в полной мере можно отнести и к операционному аудиту, но при этом их содержание имеет свои специфические черты, присущие только этому направлению аудита и обусловленные главным образом разнообразием предметных областей (в частности, информационной инфраструктурой), подвергаемых аудиторскому исследованию и его особенностями.
В то же время в общем понимании процесс операционного аудита представляет собой логическую последовательность процедур, выполняемых аудирующим субъектом с привлечением наиболее компетентных в исследуемой предметной области экспертов (в том числе сотрудников аудируемого субъекта) с целью выявления и оценки тех или иных проблемных ситуаций, возникающих в ходе функционирования хозяйственной экономической системы и, как следствие, выработки управленческих рекомендаций по их преодолению.