Управление мониторингом ИТ
Начало в выпусках: #172, #173, #174, #175
Открытый проект Комитета по информационным технологиям при IFAC
Февраль 2002
Средства мониторинга ИТ: светофорные отчеты
Существует много средств мониторинга ИТ. Реализуя функцию управления, руководители наиболее эффективно используют семь основных:
1. Светофорные (traffic light) отчеты о проектах и стратегических инициативах. Это наиболее популярный механизм предоставления отчетности руководителям и советам директоров. В полной мере используется принцип всесторонности и сообщения об исключениях.
Если мероприятие укладывается в сроки и бюджет, в отчете ему присваивают зеленый цвет. Когда налицо признаки будущего перерасхода времени и средств желтый . Если перерасход уже имеет место или целей невозможно достичь без серьезных изменений и инвестиций красный .
Мероприятия могут быть разными, например:
- проект;
- инициатива по усовершенствованию;
- отработка аудиторской рекомендации.
Инициативы по усовершенствованию формируются в результате: реинжиниринга; мозгового штурма, посвященного управлению рисками; проверок качества; контрольной самооценки и т. д.
Желтый и красный сигналы требуют кратко описать статус и принять коррективные меры. Хорошо, если совет директоров и руководители разных уровней сумели четко договориться, когда присваивать тревожные цвета и о чем сообщать в таких случаях.
| Видение и стратегия | Задачи | Единицы измерения | Цели | Инициативы |
| Финансы: Как ИТ способствуют финансовому успеху организации? | ||||
| Клиенты: Как ИТ должны помогать клиентам, чтобы поддерживать реализацию видения? | ||||
| Внутренние бизнес-процессы: В каких ИТ-процессах надо достичь превосходства, чтобы удовлетворить акционеров и клиентов? | ||||
| Обучение и развитие: Как сохранить способность изменять и совершенствовать ИТ-среду, чтобы реализовать видение? |
Сбалансированные показатели, эталонное тестирование, активный мониторинг
2. Управление с помощью системы сбалансированных показателей (и панелей). В управлении ИТ все шире применяется метод сбалансированных показателей (Kaplan, Norton) и панелей для измерения стоимости и общего вклада ИТ.
Метод обеспечивает согласование планов компании и ИТ через согласование целей ИТ для ИТ-процессов и целей бизнеса, который эти процессы поддерживают. Определяются основные индикаторы (факторы) успеха для каждого процесса.
Руководство реализует комплекс мероприятий по оценке и мониторингу, чтобы собрать информацию о достижении результатов (используя единицы измерения целей) и о выполнении ИТ-процессов (используя ключевые рабочие показатели). Эти данные позволяют определить, эффективны ли стратегии и методы использования ИТ, выбрать корректирующие или регулирующие меры.
Связь между системами сбалансированных показателей предприятия и ИТ сильный способ согласования. Многие индикаторы результативности работы ИТ влияют на деятельность предприятия, то есть демонстрируют качество этой деятельности. Система сбалансированных показателей должна отражать вклад ИТ в работу компании.
3. Эталонное тестирование риска и контроля при принятии решений по инвестициям в ИТ. Моделирование зрелости и эталонное тестирование позволяют проводить мониторинг окупаемости инвестиций и снижения рисков, связанных с ИТ. Модели зрелости (maturity models) представляют измеримые, распознаваемые уровни зрелости, например в сфере контроля, управления риском, операционной компетентности и т. д.
Использование этих моделей помогает предприятию отличить желаемое от действительного, определить стратегию и выработать решения относительно проектов по усовершенствованию. Мониторинг усовершенствований и регулярная переоценка зрелости предприятия методом эталонного тестирования (сравнение с показателями других предприятий) становятся передовой практикой мониторинга ИТ.
4. Активный мониторинг инфраструктуры ИТ. Проблема рисков инфраструктуры ИТ как на уровне предприятия, так и на национальном и международном уровнях, многое изменила в управлении безопасностью и рисками в сфере ИТ.
Компании осознали, что традиционный подход к определению политики, выбор мер предосторожности и их реализация слишком статичны для изменчивой, нестабильной среды. Им потребовался более динамичный метод текущего активного мониторинга инфраструктуры ИТ.
Такой метод предусматривает непрерывный контроль и самооценку с целью выявления и решения проблем. Об итогах мероприятий следует, если необходимо, информировать высшее руководство (в каких случаях это надо делать, должно разъяснить само руководство).
При активном мониторинге ежедневно и круглосуточно идет работа по выявлению несанкционированных действий в системах и сетях. Собирается и анализируется информация, ищутся признаки атак и вирусов, уязвимые места, случаи несоблюдения основных правил, злоупотребления.
Такую работу необходимо поддерживать процедурами реагирования. Как правило, она сопровождается тренировками по распознаванию вторжения, испытанием средств управления инфраструктурой, по итогам которых руководству подаются отчеты об исключениях.
Мозговой штурм, аудит, отчетность для руководства
5. Мозговой штурм по вопросам рационализации и управления риском. Предприятия с высокой степенью риска вводят процессы и обязательства, связанные с постоянным мониторингом рисков. Экономичная альтернатива этому продуманный и подготовленный мозговой штурм с участием высшего руководства и лиц, ответственных за ИТ, безопасность, риски и аудит. Такие мероприятия можно проводить, например, ежегодно.
Результатом должны стать перечни наиболее уязвимых мест и угроз; список мер по улучшению и реагированию. В Приложении 2 даются дополнительные советы по мониторингу безопасности и риска, полезные для мозгового штурма.
6. Внутренний и внешний аудит. Для руководства отчеты внутренних и внешних аудиторов являются важнейшим инструментом мониторинга. В отчетах декларируется цель проверки, указываются ее объем и методология, содержание и охваченный период. В них отражаются: полные результаты и выводы, причины проблем, рекомендации по исправлению ситуации и улучшению деятельности.
Отчет включает заверение, что аудит проведен в соответствии с общепринятыми стандартами, и указание, если возможно, в каких случаях стандарты не соблюдались. В документе содержатся: относящиеся к делу мнения ответственных работников организации; программа, мероприятие или функция, проверенные в соответствии с результатами аудита, выводами и рекомендациями; запланированные корректирующие действия.
За исправление ситуации отвечает руководство компании, но аудитор обязан проконтролировать, приняты ли необходимые меры.
7. Ознакомление руководства с отчетами ответственных работников. Это важнейший элемент управления ИТ. Руководители должны получать для ознакомления отчеты по продвижению к поставленным целям, о степени выполнения задач, об итогах, показателях и рисках. Рассмотрев сообщения, менеджмент обеспечивает своевременное принятие необходимых мер.