Содержание к диссертации
ВВЕДЕНИЕ 5
ГЛАВА 1. МОДЕЛИ И МЕТОДЫ ОЦЕНКИ ИНФОРМАЦИОННЫХ
СИСТЕМ (ИС). 10
1.1. Задачи, стоящие перед диссертационным исследованием.
Актуальность и понятие оценки и аудита ИС. 10
Задачи, стоящие перед диссертационным исследованием 10
Актуальность и понятие оценки и аудита ИС 11
Основные цели и задачи оценки ИС. 20
Целевая группа потребителей информации об оценке ИС 30
Объект, предмет и метод исследования: 36
Объект диссертационного исследования. 36
Предмет диссертационного исследования. 40
Метод диссертационного исследования. 42
1.5. Существующие методы оценки ИСІИТ и их возможности 45
Методы комплексной оценки 45
Методы экономической оценки 48
Г.5.3. Методы оценки рисков. 5 Г
Методы оценки безопасности 52
Методы оценки управления ИТ-сервисов. 54
Стандарты представления данных о процессах организации 54
1.6. Проблематика использования современных методов оценки ИС 57
Выводы по главе1 60
ГЛАВА 2. МОДЕЛИРОВАНИЕ ОЦЕНКИ ИС 61
2:1. Этапы и жизненный цикл ИТаудита и его место в цикле ИТ-
структуры 61
2.2. Изучение ИТ-ориентированных процессов. Построение модели
регистрации данных об ИТ-ориентированном бизнес-процессе. 73
2:3. Оценка бизнес-процесса 81
Оценка в соответствии со стандартом. 81
Оценка по методологии Benchmarking 81
Расчетная оценка. 82
Экспертная оценка. Построение модели оценки эффективности деятельности ИТ-ориентированного бизнес-процесса. 82
2.4. Оценка критерия ИТ.. 101
Оценка управления ИТ сервисами. 101
Оценка ИТ затрат 108
Оценка рисков 111
Оценка безопасности 116
2А.5. Стратегическая оценка 120
2.4.6. Оценка программно-аппаратной базы и соответствия ее
потребностям бизнеса. Построение модели оценки адекватности
программно-аппаратной базы требованиям ИТ-ориентированного
бизнес-процесса. 125
2.5. Проведение комплексной оценки: 136
Выводы по главе 2 138
ГЛАВА 3. ТЕСТИРОВАНИЕ МОДЕЛИ И ОПРЕДЕЛЕНИЕ ЕЕ
ПОЛЕЗНОСТИ. 141
Выбор методов и моделей для проведения верификации 141
Выбор и описание предметной области для проведения верификации моделей. 143
Пример использования моделей 146
3.3.1. Верификация модели описания ИТ-ориентированного бизнес-
процесса. 146
3;3.2. Верификация модели проведения последовательной итеративной
оптимизации структуры и состава затрат для ИТ-ориентированного
бизнес-процесса 157
3.3.3. Верификация модели для оценки адекватности программно-
аппаратного комплекса требованиям бизнес-процесса на основе
матричного представления 163
Выводы по главе 3 172
ЗАКЛЮЧЕНИЕ. 174
БИБЛИОГРАФИЧЕСКИЙ СПИСОК ЛИТЕРАТУРЫ 177
ПРИЛОЖЕНИЯ 181
Приложение 1 181
COSO (США, 1992 год) 181
СоСо (Канада, 1995 год) 183
Cadbury (Великобритания, 1994 год) 185
COBIT (ISACA, 1996, 1998, 2000 года) 186
SAC (ПА, 1977,1991, 1994 года)/е8АС (ПА, 2001 год) 190
SASs 55/78/94 (AICPA, эффективно в 1990, 1997,2001 года) 194
Приложение 2 197
Чистые методы аудита 197
Централизованные методы аудита 198
Целевые методы аудита 199
Гибридные методы аудита 200
Приложение 3 201
Экономические методы оценки 201
Методы оценки рисков 223
Методы оценки безопасности 225
Стандарты в области управления ИТ - сервисами ; 231
Введение к работе
В последние годы российские предприятия различных отраслей^ промышленности столкнулись с серьезной потребностью во внедрении корпоративных информационных систем. Процесс внедрения такого класса систем» закономерен и обоснован, поскольку конкурентное преимущество на рынке получают именно те компании, которые способны эффективно управлять информацией и информационными ресурсами. Наиболее важными инструментом: оптимальной организации информационных технологий компании является аудит информационных технологий. На сегодня аудит ИТ проводится крайне редко, и, поэтому, компании і имеют серьезные: расхождения между требованиями і бизнеса и > структурой используемых информационных технологий, что практически всегда влечет за собой; ряд существенных издержек. Как любой управляющий механизм; корпоративная информационная система требует четкого и оперативного контроля. С ростом внедрений таких систем встает актуальная задача; оценки и? формирования: механизма, позволяющего своевременно и адекватно собирать, изучать и анализировать данные о деятельности системы.
За рубежом, где задачи оценки информационных технологий компании решаются уже около двух десятилетий, создан- ряд методов и стандартов, позволяющий проводить комплексную и критериальную оценку информационных технологий компании. В России на сегодняшний день не существует собственных официально опубликованных методов и; стандартов. Попытки изучить и применить* опыт европейских и американских аудиторов; ИТ встречают такие барьеры как: отсутствие подробных описаний и рекомендаций по проведению большинства методов; некачественный и запаздывающий перевод того небольшого количества методов, и стандартов, которые публикуются в открытых
источниках на английском языке; не достаточная проработанность целого; ряда зарубежных методов оценки.
Таким? образом, возникают следующие проблемы, связанные с использованием методов и стандартов оценки информационных технологий компании: отсутствие структурированного подхода к комплексной оценке, учитывающего все области; охвата ИТ; отсутствие последовательной схемы проведения оценочных работ; отсутствие рядаї подходов: к оценке информационных технологий в области некоторых критериев;
Целью настоящего диссертационного исследования является* создание моделей проведения? внутренних работ по оценке информационных технологий организации на основе современных методов контроля, оценки и стандартов. Модели обеспечивают помощь лицу, принимающему решение, не являющемуся специалистом в области оценки ИТ в решении проблем комплексной оценки, поддержания, развития и модернизации ИТ организации.
Основными: задачами диссертационного исследования являются следующие задачи:
Определение понятийного аппарат оценки ИС/ИТ и обоснование актуальности и востребованности аудита информационных технологий современными компаниями.
Определение основных пользователей информации об оценке ИТ и: их информационные-потребности^
Рассмотрение всех существующие российских и зарубежных методов и стандартов оценки ИТ и классифицировать их в группы, с дальнейшим определением наиболее популярных и часто реализуемых методов оценки.
Выявление методологических пробелов и проблематики использования методов и стандартов оценки и на основе выявленных пробелов в схемах проведения аудита ИТ, описать жизненный цикл
7 аудита ИТ и формализовать основные: этапы ш шаги проведения; аудита ИТ.
На» основе выявленных недостатков приведение и обоснование модели представления данных об ИТ-ориентированном бизнес-процессе прш проведении! всестороннего аудита; приведение: ш обоснование модели < оценки эффективности і функционирования ИТ-ориентированного бизнес-процесса; приведение и обоснование модели оценки программно-аппаратной базы; и соответствия^ ее потребностям бизнеса;
Проведение практической апробации разработанных методов. Объектом диссертационного исследования; является'
информационная система и процессы, в которых она участвует (основные элементы информационной системы: — информация и данные, циркулирующие в5 ИС; бизнес-правила, являющиеся алгоритмической* основой функционирования ИЄ; персонал и инфраструктура).
Предметом диссертационного исследования являются методы, стандарты и подходы изучения бизнес-процессов организации, инвентаризации ресурсов, процессов, инцидентов и проблемных ситуаций» и их предпосылок, а также способы качественной и количественной оценки деятельности ИТ-департамента организации.
Методами исследования являются математические модели и методы анализа в области оценки и описания ИС/ИТ, позволяющие системно рассматривать ,-Изучать и анализировать.объект- оценки-
Научная новизна работы состоит в создании и обосновании системы классификации типов; аудита ИТ и; критериев оценки ИТ, на основе которой; проведена сравнительная і характеристика современных методов оценки и построены обобщающие концептуальные модели по каждому из критериев. Выделены и сформулированы современные подходы к оценке ИТ. На основе системного анализа существующих методов оценки были разработаны следующие модели:
8 1.. предложена модель расширенного процессного подхода для описания ИТ-ориентированного бизнес-процесса;
построена модель оценки эффективности деятельности ИТ-ориентированного бизнес-процесса;
разработана модель оценки адекватности программно-аппаратной базы требованиям ИТ-ориентированного бизнес-процесса.
Практическая ценность работы. Разработанные и предложенные в работе модели и методы оценки позволяются достичь современным организациям следующие результаты:
вести непрерывный учет и эффективно управлять используемыми информационными технологиями организации;
осуществлять внутренний комплексный контроль на основе на основе обоснованного выбора совокупности современных методов и посредством предложенной схемы проведения контроля;
оценивать эффективность выполнения ряда ИТ-ориентированных бизнес-процессов и оптимально перераспределять затраты на этот бизнес-процесс.
Структура работы. В первой главе рассматривается-, актуальность выбранной проблематики; определяются понятия аудита и оценки информационных технологий. Детально рассматривается предмет, метод и объект диссертационного исследования. Основное внимание уделено рассмотрению существующих методов оценки и созданию классификационных групп методов с выделением-наиболее популярных и используемых методов в этих группах. В заключение главы определяется проблематика использования современных методов оценки, и формализуются основные существующие недостатки рассмотренных моделей;
Во второй главе на основе выделенных пробелов и недостатков определяются этапы и жизненный цикл ИТ аудита и его место в цикле ИТ - структуры. Далее,, производится анализ и обобщение современных
9 методов, выделяется четыре базовых подхода к оценке и, в рамках этих подходов, приводятся рекомендации по использованию приведенных методов. Также на основе выделенных недостатков предлагаются три модели - модель описания ИТ-ориентированного бизнес-процесса; модель проведения последовательной итеративной оптимизации структуры и состава затрат для ИТ-ориентированного бизнес-процесса; модель для оценки адекватности программно-аппаратного комплекса требованиям бизнес-процесса на основе матричного представления. В заключение главы излагается обобщенный взгляд на комплексный аудит информационных технологий.
В третьей главе производится тестирование и верификация предложенных трех моделей на реальном выбранном ИТ-ориентированном бизнес-процессе. Определяется набор тестируемых моделей, участвующих в апробации и обосновывается выбор ИТ-ориентированного бизнес-процесса. Результатом верификация является положительный вывод о пригодности предложенных моделей, а также ряд рекомендаций по оптимизации работы изучаемого бизнес-процесса.
В заключении рассматриваются достигнутые результаты диссертационного исследования.
С целью облегчения восприятия работы, описание всех рассмотренных методов и стандартов вынесено в приложения.