Технология проведения стратегического ИТ–аудита
Для достижения сформулированных в разделе 3.2 результатов необходимо собрать значительный объем фактической информации, перечисленной ниже:
- Организационная структура объекта аудита, органы управления, основные и вспомогательные структурные подразделения, их функции – эта информация потребуется для понимания информационных потребностей организации.
- Состав и сроки эксплуатации действующих информационных систем (задач) для каждого класса систем – эта информация важна для оценки уровня зрелости использования ИТ.
- Функциональное назначение действующих систем (задач) – эта информация нужна для определения степени соответствия функциональности действующих систем (задач) функциям подразделений организации.
- Бизнес-процессы, поддерживаемые системами (задачами) – эта информация важна для оценки степени покрытия действующими системами (задачами) основных и вспомогательных бизнес-процессов.
- Состав используемых приложений (программных продуктов) – эта информация полезна для оценки уровня зрелости организации в аспекте используемых критериев выбора ИТ–решений.
- Поставщики оборудования, программных продуктов и опыт работы с ИТ-компаниями по внедрению информационных систем – эта информация позволит оценить уровень зрелости организации с точки зрения корректности критериев выбора партнеров для развития ИТ.
- Состав организационно-технической документации по системам. В том числе, технические задания, проектная документация – эти данные необходимы для оценки полноты документации по действующим системам (задачам), что является важным показателем качества работы ИТ–службы.
- Пользователи систем (сотрудники и подразделения), контуры внедрения систем, функциональные задачи, ориентированные на конечных пользователей – эта информация позволяет оценить уровень охвата сотрудников организации ИТ– услугами, нацеленными на удовлетворение их информационных потребностей.
- Подготовленность персонала, наличие обученных групп пользователей, планы обучения – эти данные позволяют оценить степень эффективности использования действующих информационных систем (задач) конечными пользователями и, одновременно, способность ИТ–службы организовать эффективное использование имеющихся ИТ–ресурсов.
- Статус систем на предприятии, наличие актов приемки систем в эксплуатацию, программ и методик испытаний, приказов о внедрении систем – эта информация позволяет оценить, с одной стороны, степень внимания высшего руководства к использованию ИТ в организации, а с другой стороны, уровень готовности службы ИТ к обеспечению необходимой упорядоченности процессов внедрения систем и гарантии качества их эксплуатации.
- Организация управления ИТ, структура службы ИТ и ее подчиненность, положение о службе, права и обязанности, численность персонала по категориям сотрудников, образование, сертификаты, возрастная структура, стаж работы на предприятии – все эти данные позволяют оценить адекватность службы ИТ стоящим перед ней задачам, а также свидетельствуют о ее статусе в организации.
- Процедуры формирования, утверждения годового плана работы службы и оценки ее деятельности, перспективные планы работ по развитию ИТ – эта информация является принципиальной для оценки роли службы ИТ в организации и степени зрелости организации в использовании ИТ и отношения к необходимости и перспективам их развития.
- ИТ-бюджет, процедуры его формирования, использования и контроля исполнения – эта информация позволяет оценить, во–первых, сам факт наличия ИТ–бюджета, а во- вторых, корректность методов его формирования и контроля исполнения.
Помимо вышеприведенных данных необходимо провести краткие интервью (или анкетирование) с представителями высшего руководства и руководителями функциональных подразделений с целью получения ответов на следующие вопросы:
- Укажите сильные стороны ИТ-службы.
- Укажите слабые стороны ИТ-службы.
- Какое влияние СИТ оказывает на Вашу работу?
- Как Вы оцениваете работу ИТ-службы?
- Знаете ли Вы планы развития ИТ?
- Вовлечены ли Вы в процесс развития ИТ?
- Насколько Вы удовлетворены качеством сервиса службы ИТ и организацией обучения?
Главной целью перечисленных вопросов является выяснение степени вовлеченности руководства организации в деятельность службы ИТ, его внимания к развитию ИТ и значимости службы ИТ в основной деятельности.
Понятно, что отсутствие конкретных ответов на поставленные вопросы будет свидетельствовать о том, что деятельность службы ИТ оторвана от интересов основной деятельности организации и носит чисто вспомогательный характер, наряду с другими обеспечивающими службами, т.е., не является источником создания конкурентных преимуществ и роста акционерной стоимости в случае рассмотрения рыночной организации.
Для сбора исходных данных может быть использована приведенная в таблице 3.1 анкета, которая в условиях выполнения реального проекта должна быть адаптирована к специфике конкретной организации.
Таблица 3.1. Вопросы для анализа соответствия структуры службы ИТ организационной структуре управления | ||
Общие вопросы | ||
Примечания | ||
1. | Фамилия, имя, отчество анкетируемого | |
2. | Наименование организации | |
3. | Адрес для контакта
| |
Анализ соответствия структуры службы ИТ задачам развития и структуре управления | ||
4. | В какую структуру входит Ваша организация | Выяснение оргструктуры бизнеса |
5. | Какие структуры входят в Вашу организацию | |
6. | Опишите (желательно в виде схемы) структуру Вашего ИТ-подразделения непосредственно в Вашей организации | Выяснение оргструктуры ИТ |
7. | В случае, если Ваша организация является подразделением холдинга (дивизиональная структура) или группы компаний, то опишите в виде схемы ИТ-структуру Вашей организации. | Выяснение ИТ-структуры в случае холддинга или группы компаний. |
8. | Перечислите подразделения и их месторасположение (регион, область, страна) от которых Ваше подразделение получает/передает информацию и/или предоставляет ИТ-услуги. | Выяснение территориальной распределенности бизнеса |
9. | От кого Ваша организация получает единое для всех (в случае холдинга, дивизионной организации бизнеса), стандартное корпоративное программное обеспечение? Например, кадры, бюджет, бухгалтерия, учет производства, сбыта и др. | Выяснение направленности службы ИТ и ее полноты в случае разработки, сопровождения и эксплуатации ПО. |
10. | Кто занимается вводом в эксплуатацию (установка, настройка, опытная эксплуатация) корпоративного ПО: внешние организации, сотрудники головного офиса, сотрудники из других дочерних компаний или сотрудники Вашей ИТ - службы | |
11. | Перечислите ассортимент выпускаемой продукции Вашей организацией с указанием подразделения, которое выпускает данную продукцию. | Выяснение количества производственных звеньев |
12. | Приведите количество клиентов с их особенностями, запросами и капризами. | Выяснение объема потребителей продукции и их особенностей |
13. | Приведите количество поставщиков сырья и комплектующих изделий, их географию и интенсивность поставок. | Выяснение объема поставщиков и их географии, которая влияет на ритмичность поставок |
14. | Перечислите всех руководителей высшего звена, которые осуществляют курирование или непосредственное руководство Вашим подразделением (ФИО, организация, должность) | Выяснение уровней управления службы ИТ |
15. | Перечислите советы, временные комитеты и т.п. координирующие структуры, в которых участвуют руководители ИТ-подразделения. Укажите на каких правах руководители ИТ принимают в них участие: для ознакомления, совещательный, голосующий или другое. | Выяснение значимости службы ИТ на предприятии |
16. | Перечислите, какие документы Вашего предприятия обязательно должны визироваться руководителями ИТ-подразделения. | |
Ресурсы, процессы и ценности ИТ-подразделения | ||
17. | Приведите структуру Вашего подразделения с указанием
| Выяснение организационно - штатной структуры службы ИТ |
18. | Перечислите основных поставщиков информационно-технологических систем для Вашего предприятия и формы взаимодействия с ними | Выяснение круга поставщиков ИТ-услуг |
19. | Перечислите потребителей услуг Вашего подразделения на предприятии и вне него и приведите формы взаимодействия с ними | Выяснение круга пользователей услуг службы ИТ |
20. | Опишите модель координации работ, проводимых ИТ-подразделением, на Вашем предприятии | Выяснение процедуры проведения проектных работ |
21. | Опишите модель принятия решений при проведении работ в условиях ограниченных ресурсов: финансовых, материальных и трудовых | |
22. | Приведите процедуру (стандарт), в соответствии с которой сотрудники ИТ-подразделения определяют приоритет выполнения работ: общие проекты, заказ внутреннего подразделения и так далее. | Выяснение процедуры для выполнения работ сотрудниками службы ИТ |
Функции службы ИТ | ||
23. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при разработке стратегии развития бизнеса Вашей организации и какие функции они не покрывают | |
24. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при разработке программ (проектов) деятельности и какие функции они не покрывают | |
25. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при планировании финансово-хозяйственной деятельности Вашей организации и какие функции они не покрывают | |
26. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при планировании инвестиционной деятельности Вашей организации и какие функции они не покрывают | |
27. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при планировании финансовой деятельности Вашей организации и какие функции они не покрывают | |
28. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при планировании бюджета Вашей организации и какие функции они не покрывают | |
29. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при проведении управленческого учета деятельности Вашей организации и какие функции они не покрывают | |
30. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки для поддержки принятия решений и какие функции в Вашей организации они не покрывают | |
31. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при управлении персоналом Вашей организации и какие функции они не покрывают | |
32. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при организации продаж продукции и услуг и какие функции Вашей организации они не покрывают | |
33. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при организации расчетов и какие функции в Вашей организации они не покрывают | |
34. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при обеспечении оборотными и внеоборотными активами и какие функции Вашей организации они не покрывают | |
35. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки в процессе основного производства и какие функции в Вашей организации они не покрывают | |
36. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки в процессе прочего производства и какие функции в Вашей организации они не покрывают | |
37. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки в процессе вспомогательного производства и какие функции в Вашей организации они не покрывают | |
38. | Перечислите, какие инструменты и программные продукты, используются Вами для информационной поддержки при бухгалтерском учете и какие функции в Вашей организации они не покрывают |
На основе собранной информации необходимо подготовить итоговый отчет по результатам стратегического ИТ–аудита, типовое содержание которого приведено ниже.
- Основания для проведения аудита. Объект и цель аудита. Этот раздел описывает организационные решения по проведению аудита, его цели и профиль объекта, которым может быть конкретная информационная система, комплекс используемых ИТ–решений или целостная интегрированная информационная система организации.
- Направления аудита. В этом разделе должны быть описаны методика проведения аудита, состав проверяемой организационно–проектной документации, перечень проведенных интервью и краткое содержание выявленной по их результатам информации.
- Сводка фактов по целям и задачам аудируемого проекта или проектов, или комплекса ИТ – решений, или интегрированной информационной системы. Здесь должны быть описаны цели и задачи аудируемых проектов по техническим заданиям и по ожиданиям конечных пользователей.
- Сводка фактов по идентифицированным и подтвержденным результатам аудируемого проекта или проектов. Перечень принятых и завершенных работ. Основное содержание раздела состоит в описании фактически полученных содержательных результатов, направленных на удовлетворение информационных потребностей конечных пользователей и информационную поддержку основных и вспомогательных бизнес – процессов.
- Сводка идентифицированных пробелов. В этом разделе должен быть раскрыт перечень отсутствующих, но запланированных результатов и дана их характеристика с точки зрения влияния их отсутствия на ожидаемый возврат от инвестиций в реализацию соответствующих ИТ - проектов.
- Краткая характеристика текущего состояния ИТ в организации. Этот заключительный раздел состоит из ряда подразделов, содержание которых изложено ниже.
- В области применения ИТ. В этом подразделе должны быть охарактеризованы следующие вопросы:
- уровень удовлетворенности требований конечных пользователей и степень соответствия планам развития бизнеса;
- уровень удовлетворенности информационных потребностей высшего руководства;
- степень сфокусированности внимания специалистов ИТ на решение основных задач бизнеса;
- внедрение новых технологий на практике;
- готовность к существенным изменениям бизнес-процессов.
- В области организации управления и планирования. В этом подразделе должны быть раскрыты следующие вопросы:
- Как организована ИТ-служба? Каковы ее роль, сфера компетенции, обязанности и полномочия? Какова ее организационная структура?
- Каков процесс планирования развития ИТ? Определяется ли он основными бизнес-целями?
- Как устанавливаются приоритеты развития ИТ?
- Как проводится реорганизация основных бизнес-процессов, связанная с внедрением новых технологий?
- Какова квалификация персонала и как она определяется?
- Как построены отношения с поставщиками продуктов и услуг?
- В области финансирования развития ИТ. Этот подраздел посвящен характеристике ИТ–экономики организации и в нем должны быть раскрыты следующие вопросы:
- Как формируется бюджет ИТ?
- Каковы источники финансирования?
- Кто распоряжается бюджетом?
- Каков процесс принятия решения о разработке конкретных ИТ - проектов или приобретении вычислительных средств?
- Как оцениваются и контролируются затраты по проектам развития и сопровождения ИТ?
- В области обслуживания. Этот подраздел нацелен на характеристику предоставляемых ИТ – услуг и должен содержать ответы на следующие вопросы:
- Как определена ответственность подразделений отвечающих за обслуживание инфраструктуры ИТ?
- Как обеспечивается контроль качества работы средств ИТ?
- Как определены уровни качества техобслуживания?
- Кем и как обеспечивается поддержка и сопровождение ПО?
- Кем и как обеспечивается управление сложными информационными системами?
- В области персонала. Данный подраздел является ключевым для анализа уровня подготовленности персонала и в нем должны быть охарактеризованы следующие аспекты деятельности службы ИТ.
- степень понимания специалистов службы информатики целей бизнеса;
- качество взаимодействия функциональных подразделений и службы ИТ;
- процессы выбора и назначения лидеров проектов ИТ и формирования проектных команд;
- процессы подготовки и реализации планов обучения персонала.
- В области информационной безопасности. Этот подраздел призван охарактеризовать уровень обеспечения информационной безопасности по следующим аспектам:
- организационная структура системы информационной безопасности и ее связь с управлением безопасности организации;
- наличие политики информационной безопасности;
- наличие концепции информационной безопасности;
- методические руководства по защите информации;
- согласование выбора средств вычислительной техники и связи, технических и программных средств защиты;
- организация работ по выявлению возможностей и предупреждению утечки и нарушению целостности защищаемой информации
- Рекомендации по совершенствованию процессов управления эксплуатацией и развитием ИТ. Этот завершающий отчет подраздел должен содержать рекомендации по совершенствованию деятельности службы ИТ по каждому из описанных выше подразделов итогового отчета.