Застосування системного підходу в управлінні інформацією та інформаційними технологіями
Управління інформаційними системами - «застосування методів управління процесами планування, аналізу, дизайну, створення, впровадження та експлуатації інформаційної системи організації для досягнення її цілей» (ГОСТ РВ 51987-2002) або «структура взаємин і процесів вибору вектора розвитку підприємства і його управління, спрямованих на збільшення його вартості при збалансованому ризику в сфері інформаційних та суміжних технологій» (CobiT).
В даний час на перший план виходить уміння менеджерів управляти процесами планування, створення, експлуатації та моніторингу інформаційних систем організації відповідно до її стратегії.
Для цього, по-перше, їм необхідно ставитися до інформації скоріше як до «матеріальних» активів, ніж якось інакше. По-друге, їм не слід живити ілюзії, що інформаційні технології, запроваджені в рамках сформованої інформаційної культури і поведінки, самі собою вирішать проблеми організації. Комп'ютери та електронні комунікації - це лише інструменти, що допомагають працювати з інформацією. І чим потужніший (і дорожче) ці інструменти, тим ретельніше потрібно думати про те, як ефективніше їх використовувати. По-третє, працівники, зайняті збором, обробкою та використанням інформації, легше розпізнають дисфункціональність інформаційного поведінки менеджерів, що не узгоджується із заявленими цілями компанії або її установками і стилем. По-четверте, організації, які зуміють першими ув'язати свої інформаційні системи зі стратегіями розвитку держави та інформаційного суспільства, знайдуть певну конкурентну перевагу, стійкість і підтримку зацікавлених груп.
Успішні організації добре усвідомлюють яким ризикам вони піддаються в разі неефективного застосування ІТ, і застосовують методи управління, що дозволяють максимально повно використовувати переваги інформаційних технологій (ІТ), а також знаходять можливості для:
- Узгодження ІТ-стратегії та бізнес-стратегії;
- Послідовного втілення ІТ-стратегії та ІТ-цілей в організації;
- Впровадження організаційних структур, які полегшують реалізацію стратегії і цілей;
- Створення конструктивних відносин та ефективної взаємодії між функціональними підрозділами організації та її ІТ- службами, а також із зовнішніми партнерами;
- Оцінки якісних і кількісних характеристик роботи ІТ.
Організація не може ефективно задовольняти ці вимоги бізнесу та управління без освоєння і реалізації системного управління та контролю структури інформаційних систем (ІС) організації.
Для цього необхідно:
- Посилатися на бізнес-вимоги;
- Зробити дії по цим вимогам прозорими;
- Звести свої дії (роботу) до загальноприйнятих моделям процесів;
- Визначити основні ресурси, які слід розвивати;
- Визначити цілі адміністративного контролю для уточнення.
До того ж управління та контроль над структурою стає частиною кращих практик з управління ІТ, а також інструментом реалізації управління ІТ та відповідності постійно змінюваних нормативним вимогам.
Кращі практики в сфері ІТ стали істотними (значимими) завдяки багатьом факторам:
- Керівники організацій вимагають кращої віддачі від ІТ-інвестицій, щоб підвищити цінність діяльності організації для зацікавлених сторін;
- Інтерес до оптимізації рівня ІТ-витрат;
- Необхідність відповідати нормативним вимогам з управління ІТ за такими напрямками як захист персональних даних і коректність фінансової звітності та ін .;
- Вибір постачальників послуг та управління аутсорсингом і придбанням послуг;
- Все більш складні ІТ-ризики, наприклад, пов'язані з безпекою в мережах і хмарах;
- Регулювання діяльності ІТ-служб, яке включає впровадження оптимальних структур управління та кращих практик для допомоги в моніторингу та поліпшенні критичних ІТ-функцій;
- Необхідність оптимізації витрат за допомогою стандартизованих, де це можливо, а не спеціально розроблених, підходів;
- Зростаюча необхідність і, як наслідок, прийняття добре перевірених таких стандартів управління ІВ, як CobiT, ITIL, ISO 17799, ISO 9001, CMM, PRINCE2 і ін.
Структура управління та контролю повинна обслуговувати безліч внутрішніх і зовнішніх зацікавлених осіб, кожна з яких має свої специфічні потреби:
Зацікавлені особи всередині організації, які зацікавлені в тому, щоб ІТ-інвестиції принесли вигоду:
- Ті, хто приймають рішення про інвестування;
- Ті, хто приймають рішення про вимоги;
- Ті, хто використовують ІТ-сервіси.
Внутрішні і зовнішні зацікавлені особи, які впроваджують ИТ- послуги:
- Ті, хто керують організацією і роботою ІТ;
- Ті, хто розробляють можливості;
- Ті, хто керують послугами.
Внутрішні і зовнішні зацікавлені особи, які відповідають за контроль і ризики:
- Ті, хто відповідають за безпеку, конфіденційність і / або ризики;
- Ті, хто виконують функції узгодження;
- Ті, хто вимагають гарантійне обслуговування або виконують його.
Зацікавлені особи поза організації, що споживають інформаційні послуги, що надаються організацією:
- Ті, хто використовують інформаційні послуги;
- Ті, хто забезпечує готовність споживачів інформаційних послуг до їх споживання;
- Ті, хто захищає інтереси користувачів інформаційних послуг;
- Ті, хто фінансує (співфінансує) створення інформаційних послуг.
В умовах глобальної інформатизації, яка нині визначає напрям та особливості розвитку світового суспільства, дедалі більшого значення для конкурентоспроможності організацій набуває ефективна система управління інформаційними технологіями (СУІТ). Побудова останньої неможлива без практичного застосування новітніх методів інформаційного менеджменту (ІМ). серед яких особливої уваги заслуговують методи моніторингу та аудиту інформаційних технологій (ІТ-аудиту).
Поглиблення інтеграції інформаційних технологій (IT) у бізнес-процеси організацій та залежності результативності господарської діяльності від їх застосування обумовлюють зростання значимості IT як стратегічного ресурсу, управління яким повинно здійснюватись на відповідному рівні.
Засади стратегічного управління інформаційними технологіями організації сформульовані у концепції «IT Governance», на якій нині ґрунтуються передові практики інформаційного менеджменту. Основний принцип, що покладений у її основу, полягає в узгодженні ІТ-стратегії із загальною бізнес-стратегією організації цілей та процесів IT із цілями та процесами бізнесу. Практичне досягнення такого рівня управління можливе лише за умови цілісного бачення IT організації як складної системи (середовища інформаційних технологій або ІТ-середовища, постійного моніторингу її складових за визначеними показниками ефективності, а також проведення регулярного ГГ-аудиту за визначеними об'єктами/цілями контролю (рис. 1). Розглянемо такий підхід до побудови СУІТ організації більш детально.
Як свідчить практика, головним недоліком більшості сучасних систем управління IT організацій є фрагментарний характер їх побудови, нівелювання цілісністю, взаємозв'язками, взаємозалежністю та взаємодією між елементами середовища інформаційних технологій. Зазвичай, наслідками цього є невідповідність ІТ-середовища потребам бізнесу, низька ефективність застосування інформаційних технологій для цілей господарської діяльності, неотримання очікуваних конкурентних переваг тощо.
Зовсім інший підхід до управління та контролю ефективності IT організації пропонується у концепції холістичного аудиту інформаційних технологій (холістичного ІТ-аудиту), згідно якої ІТ-середовище розглядається як цілісна складна система.
Аудит інформаційних технологій є ефективним інструментом інформаційного менеджменту організацій, що набуває дедалі більшого значення в системах управління IT. Мета практичного застосування ІТ- аудиту полягає у підвищенні ефективності н економічності ІТ-середовища організації збільшення переваг і зменшення недоліків від його використання у господарській діяльності, а також обгрунтування інвестицій в IT тощо.
Сутність холістичного ІТ-аудиту полягає у збиранні та професійному оцінюванні й аналізі фактичної інформації (аудиторських доказів) щодо елементів середовища інформаційних технологій організації як цілісної складної системи з метою отримання незалежного об'єктивного висновку про поточний стан ІТ-середовища. а також надання рекомендацій щодо його удосконалення. Особливість такого ІТ-аудиту полягає у системному характері його організації та проведення, що дає змогу досягнути максимального синергетичного ефекту від його застосування щодо удосконалення ІТ-середовища та системи управління IT.
Відповідно до положень найбільш відомого і поширеного у світовій практиці ІТ-аудиту стандарту (керівництва) «Control Objectives for Information and related Technology - СОВІТ», шлях до побудови ефективної системи управління IT лежить через неперервне удосконалення процесів ІТ-середовища для досягнення необхідного рівня їх зрілості. У керівництві пропонується референта модель ІТ-процесів організації, відповідні їм моделі зрілості, а також об'єкти/цілі контролю для проведення їх регулярного аудиту у контексті трьох вимірів зрілості (рис. 2).
Рис. 1. Стратегічне управління ІТ-середовищем організації із застосуванням методів моніторингу та аудиту інформаційних технологій
Рис. 2. Три виміри зрілості процесів середовища інформаційних технологій організації за СОВІТ
За цією методологією ефективність та постійне удосконалення системи управління ІТ забезпечується циклічним процесом збирання, оцінювання й аналізу суттєвої інформації щодо процесів ІТ-середовища, а також вживання відповідних коригувальних заходів для підвищення рівня їх зрілості. Однак, як зазначається у СОВІТ. рівні зрілості - це не просто цифри, яких необхідно будь-що досягти і не формальне підґрунтя для сертифікації відповідності СУІТ деякому стандарту. Вони повинні застосовуватись на постійній основі, а їх проміжні рівні слугують для отримання уявлення про те. чи у правильному напрямку розвивається організація. Правильний напрямок розвитку у конкретному випадку визначається типом організації, середовищем в якому вона функціонує та обраною бізнес-стратегією.
В умовах зростаючої складності структури ІТ-середовища організацій, зокрема, великих компаній транснаціонального масштабу, на шляху застосування холістичного ІТ-аудиту можуть бути такі перешкоди: тривалий термін та висока вартість проведення, необхідність у залученні великої кількості сторонніх експертів, потреба у розробленні спеціалізованих інструментальних засобів автоматизованого виконання певних аудиторських процедур тощо. З метою їх усунення, а також підвищення ефективності й економічності проведення холістичного ІТ-аудиту доцільним є застосування у процесі його реалізації методів моніторингу IT, зокрема, якщо останній проводиться в організації систематично.
Виходячи з аналізу сутності моніторингу господарської діяльності як специфічної функції управління, а також керуючись відповідними положеннями найкращих практик у сфері управління IT моніторинг інформаційних технологій слід визначити як постійне спостереження за об'єктами ІТ-середовища організації (підсистемами, функціональними елементами, процесами тощо) з метою виявлення їх відповідності певному очікуваному результату.
На практиці моніторинг IT використовується для забезпечення впевненості у тому, що функціонування елементів ІТ-середовища організації та управління ними відбувається відповідно до прийнятих стандартів, політик та стратегії розвитку. Зазвичай, його практична реалізація здійснюється шляхом побудови в організації відповідної системи моніторингу.
Слід зазначити, що незалежно від предметної області модель побудови системи моніторинг." має такий загальний вигляд (рис. 3).
Рис. 3. Загальна модель системи моніторингу (CM)
При цьому, за технологією виконання можна виділити такі види систем моніторингу [3]:
традиційна - збір, опрацювання і видача інформації виконується операторами СМ без застосування будь-яких засобів автоматизації;
автоматизована - припускає використання сучасних інформаційних технологій і апаратних засобів автоматизації процесів збору, передавання, опрацювання, накопичення і видачі інформації:
інтерактивна - припускає обмін повідомленнями між оператором і обчислювальною системою, при якому система приймає, опрацьовує і видає повідомлення у реальному масштабі часу;
автоматична - працює цілком без втручання людини, роль оператора CM зводиться до проведення її систематичного контролю або переналаштування.
З вищенаведеного сутність системи моніторингу інформаційних технологій (СМІТ) організації полягає у розробленні спеціального механізму здійснення постійного спостереження за найважливішими показниками функціонування й управління IT організації, а також накопичення відповідної інформації щодо поточного стану таких показників з метою її оперативного опрацювання за визначеними алгоритмами та прийняття оперативних управлінських рішень на основі отриманих результатів.
Загальні принципи, на яких повинна базуватись СМІТ будь-якої організації, є такі:
об'єктивність - результати моніторингу повинні бути об'єктивними: безперервність - процес моніторингу повинен бути неперервним;
керованість - CM має бути забезпечена необхідним і достатнім функціоналом для управління нею;
конфіденційність - система має бути захищена від несанкціонованого проникнення та маніпулювання конфіденційною інформацією;
всебічність - процес моніторингу має всебічно охоплювати об'єкти ІТ- середовища. фокусуючись на найважливіших показниках їх функціонування та управління;
відповідність - процес моніторингу повинен відповідати загальній стратегії та цілям бізнесу;
прийнятність - процес моніторингу має бути цілком прийнятним для об'єктів ІТ-середовища. на які він спрямований (не повинен ускладнювати їх функціонування та управління ними);
своєчасність - результати моніторингу мають відповідати вимогам цілісності, доступності й актуальності для іх оперативного використання;
достовірність - результати моніторингу мають бути достовірними, тобто відповідати результатам, отриманим у інший аналогічний спосіб;
динамічність - в системі повинна бути передбачена можливість для внесення оперативних корективів;
адаптивність - CM має бути достатньо гнучкою для переналаштування відповідно до змін зовнішніх умов.
Системи моніторингу інформаційних технологій нині застосовуються у багатьох організаціях. Найпоширенішими видами таких систем є «ServiceDesk». системи інтерактивного моніторингу ІТ-інфраструктури та системи комплексного управління ІТ-середовнщем. Не вдаючись до опису їх сутності, зазначимо, що функціонал таких систем дозволяє не лише систематично здійснювати моніторинг та управління ІТ організації, а також він може бути застосований при проведенні заходів внутрішнього або зовнішнього ІТ-аудиту з метою збору, оцінювання й аналізу аудиторських доказів, формування свідоцтв аудиту, генерування необхідної проміжної аудиторської звітності тощо. Якісно впроваджена і налаштована відповідно до стратегії та цілей бізнесу СМІТ є потужним інструментом управління ІТ-середовищем як стратегічним ресурсом організації.
Дата добавления: 2015-10-05; просмотров: 1876;