Стратегический аудит состояния информационных систем

Подготовленность персонала. Наличие обученных групп пользователей. Планы обучения

Подготовка сотрудников бухгалтерии по работе с продуктами 1С производилась в Центре Сертифицированного Обучения.

При внедрении глобальных ИС сотрудник Службы ИТ разрабатывал краткое руководство для пользователей по данной системе и проводил обучение ключевых лиц (руководители, ведущие менеджеры и специалисты) для распространения знаний внутри структур компании.

При внедрении локальных ИС специалист, устанавливающий систему, составлял краткое руководство для пользователей и рассылал его сотрудникам.

Дальнейшее обучение происходило самостоятельно.

Планы обучения заранее не составляются, обучение происходит однократно после внедрения систем.

Статус систем на предприятии. Наличие актов приемки систем в эксплуатацию, программ и методик испытаний, приказов о внедрении систем.

В наличии:

1. Приказы о внедрении всех ИС.
2. Акт приемки 1С Бухгалтерии.

Остальная документация отсутствует.

Организация управления ИТ. Структура службы ИТ и ее подчиненность. Положение о Службе. Права и обязанности. Численность персонала по категориям сотрудников, образование, сертификаты, возрастная структура, стаж работы на предприятии.

Руководитель Службы ИТ подчиняется напрямую Генеральному директору. Положение о Службе отсутствует. Обязанности и права сотрудников прописаны в трудовых договорах.

Численность отдела 3 человека – руководитель и 2 сотрудника, образование высшее, возраст – от 30 до 35 лет, стаж работы от 1 года до 6 лет. Имеются сертификаты по продуктам Microsoft.

Процедуры формирования, утверждения годового плана работы службы и оценки ее деятельности. Перспективные планы работ по развитию ИТ.

Разработка годового плана работы Службы ИТ осуществляется ее руководителем на основе заявок подразделений, а также из анализа потребностей компании в обновлении ИС и ИТ-инфраструктуры. Годовой план в обязательном порядке утверждается Генеральным директором. Формальных процедур оценки деятельности нет, система поощрений отсутствует. Перспективные планы работ (более чем на 2 года) по развитию ИТ отсутствуют.

ИТ-бюджет, процедуры его формирования, использования и контроля исполнения

ИТ-бюджет представляет собой постатейный план расходов и инвестиций Службы ИТ. ИТ-бюджет формирует руководитель службы на основе утвержденного годового плана работы. Планирование осуществляется ежегодно, есть возможность корректировки в исключительных случаях. Бюджет утверждается Генеральным директором по согласованию с финансовым директором. Контроль исполнения бюджета осуществляет руководитель Службы ИТ и финансовый отдел.

Краткая характеристика состояния ИТ компании ХХХ

1. В области применения ИТ
   1. На данный момент Служба ИТ частично удовлетворяет требования конечных пользователей. Основные претензии предъявляются к процессам взаимодействия со Службой ИТ и качеству персональной компьютерной техники.
   2. Установленные ИС и ИТ-инфраструктура в целом позволяют решать задачи бизнеса.
   3. Информационные потребности высшего руководства удовлетворяются в полном объеме.
   4. Средства, решающие основные задачи бизнеса, являются для специалистов ИТ приоритетными.
   5. Внедрение новых "возмущающих" технологий на практике сопровождается сопротивлением персонала
   6. Готовность к существенным изменениям бизнес-процессам средняя, из-за отлаженности существующих бизнес-процессов.
2. В области организации управления и планирования
   1. Служба ИТ состоит из руководителя и двух сотрудников, выполняющих функции системных администраторов и играет роль сервисного подразделения, обслуживающего бизнес- и вспомогательные подразделения компании. Основные обязанности персонала Службы: мониторинг, поддержка и развитие IT-инфраструктуры (ПО, сеть, оборудование, сервера, оргтехника), установка ПО, обеспечение информационной безопасности, управление учетными записями пользователей, поддержка и обучение пользователей.
   2. Планирование развития ИТ осуществляется на основе задач, поставленных руководством компании, и селекции стратегических инициатив, исходящих от подразделений. План развития ИТ составляется ежегодно и утверждается Генеральным директором.
   3. Процесс планирования развития ИТ определяется бизнес-целями компании
   4. Приоритеты развития ИТ установлены следующим образом:
      1. Повышение эффективности бизнес-процессов компании, зависящих от ИТ
      2. Повышение качества и надежности ИТ
      3. Квалификация персонала высокая, опыт работы в сфере ИТ от 8 лет, наличие сертификатов. Квалификация определяется служебным соответствием и качественно оценивается руководителем службы ИТ по результатам деятельности.
      4. При выборе поставщиков продуктов и услуг приоритет отдается вендорам-партнерам компании.
3. В области финансирования развития ИТ
   1. Бюджет ИТ формируется руководителем Службы ИТ на основе плана развития ИТ и утверждается Генеральным директором компании после согласования с финансовым директором. Бюджет представляет собой постатейный план расходов Службы ИТ и является фиксированным.
   2. Затраты на Службу ИТ являются для компании административными.
   3. Бюджетом распоряжается руководитель Службы ИТ.
   4. Решения о разработке ИТ-проектов и приобретении вычислительных средств принимаются сотрудниками Службы ИТ на основе плана развития ИТ, с предварительным финансовым обоснованием и в рамках бюджета, и утверждаются руководителем Службы. Также в бюджете предусмотрен запас средств для экстренной внеплановой закупки оборудования.
   5. Финансовый отдел компании контролирует постатейный расход средств бюджета службы ИТ.
4. В области обслуживания
   1. Ответственность сотрудников, отвечающих за обслуживание инфраструктуры ИТ, не определена.
   2. Контроль качества работы средств ИТ осуществляется с помощью мониторинга систем и оборудования сотрудниками Службы ИТ, а также рекламациями конечных пользователей.
   3. Уровни качества техобслуживания не определены.
   4. Поддержка и сопровождение ПО обеспечивается как сотрудниками Службы ИТ, так и сторонними компаниями по договору обслуживания под контролем сотрудников Службы ИТ.
   5. Управление сложными информационными системами обеспечивается сотрудниками службы ИТ.
5. В области персонала
   1. Сотрудники Службы ИТ, за исключением руководителя Службы, понимают цель бизнеса только в зоне своей ответственности.
   2. Качество взаимодействия службы ИТ с бизнес-подразделениями и вспомогательными подразделениями компании, по оценке сотрудников компании, удовлетворительное. Регламенты отношений не определены, по этой причине возникают конфликтные ситуации.
   3. Обучение сотрудников на курсах повышения квалификации входит в план развития службы ИТ.
6. В области информационной безопасности
   1. Политика информационной безопасности определяется общей политикой безопасности, принятой в компании и едина для всех подразделений.
   2. Политика информационной безопасности разрабатывается Службой ИТ, утверждается руководством компании и отделом безопасности, и доводится до каждого сотрудника компании.
   3. Концепция безопасности является обязательной для исполнения каждым сотрудником компании.
   4. Методические руководства по защите информации доводятся до всех сотрудников и являются обязательными для исполнения.
   5. Выбор средств вычислительной техники, технических и программных средств защиты зависит от соответствия концепции информационной безопасности.
   6. Для выявления возможностей предупреждения утечки информации и нарушения ее целостности, Службой ИТ проводится постоянный мониторинг подконтрольных систем и удаленный запуск антивирусных программ на серверах и персональных компьютерах пользователей, управление учетными записями пользователей и разграничение в правах, периодическое обновление программных средств защиты.

Недостатки в сфере ИТ, выявленные при проведении аудита

1. В области применения ИТ
   1. В ходе проведения аудита в компании ХХХ выявлено оборудование и ПО, находящиеся вне зоны ответственности Службы ИТ, что противоречит концепции информационной безопасности компании. Это сервера с установленным ПО, находящиеся в ведении бизнес-подразделений.
   2. На данных серверах имеются случаи использования нелицензионного программного обеспечения
   3. Выбор, установка и поддержка ПО на этих серверах не является прямой обязанностью сотрудников бизнес-подразделений и ведет к отрыву от основной деятельности.
   4. Отсутствие на уровне компании развитых систем для хранения документов и проектной документации, специализированных средств разработки, а также отсутствие "базы знаний". Это привело к "локальным" установкам подобных систем.
2. В области обслуживания
   1. Отсутствие регламентов взаимодействия с конечными пользователями, что приводит к неопределенности и конфликтным ситуациям.
   2. Обновление ПО и запуск программ антивирусов производится в рабочее время, что вызывает нарекания пользователей.
   3. Случаи закупки оборудования ненадлежащего качества для конечных пользователей приводило к отказу пользователей от работы на данном оборудовании.
   4. Отсутствие контроля обучения конечных пользователей со стороны Службы ИТ. Процесс обучение ограничен обучением ключевых сотрудников компании. Де-факто, основная часть сотрудников изучают ИС самостоятельно, что приводит к увеличению срока начала эффективного использования систем.
3. В области бюджетирования и планирования
   1. Недофинансирование сферы ИТ. Как следствие – ожидание закупки необходимого оборудования и ПО и закупка оборудования ненадлежащего качества.
   2. Отсутствие долгосрочных планов развития Службы ИТ.

Рекомендации по развитию ИТ

1. В области применения ИТ
   1. Передача всего оборудования и ПО под контроль Службы ИТ. Установка, настройка и обслуживание оборудования и ПО должны проводиться исключительно сотрудниками Службы ИТ.
   2. Для повышения качества принятия решения в выборе средств ИТ, в качестве экспертов рекомендуется привлекать конечных пользователей.
   3. Внедрение системы управления знаниями для консолидации знаний и опыта, накопленных сотрудниками компании ("базы знаний").
   4. Установка ИС для хранения проектной документации.
   5. Установка лицензионных средств разработки
2. В области обслуживания и обучения персонала
   1. В целях повышения качества обслуживания Службой ИТ персонала компании необходима разработка и ввод в действие регламентов взаимодействия Службы ИТ и пользователей.
   2. В перспективе, при увеличении штата сотрудников компании – установка ИС взаимодействия с пользователями, Service Desk.
   3. Контроль обучения конечных пользователей новым ИС.
3. В области бюджетирования и планирования
   1. Увеличение ежегодного бюджета на ИТ.
   2. Планирование бюджета в тесном взамодействии с подразделениями компании.
   3. Разработка планов развития ИТ с перспективой до 5 лет.
4. В области персонала
   1. Разработка критериев оценки и ввод систематизированного контроля качества работы.
   2. Установка уровней ответственности за обслуживание ПО и ИТ-инфраструктуры.
   3. Разработка и внедрение системы мотивации и вознаграждения сотрудников Службы ИТ.

Контрольные вопросы и упражнения

1. Перечислите основные методы сбора информации.
2. Перечислите и прокомментируйте разделы отчета по диагностике ИС.
3. Какие разделы включает ТЗ на систему?
4. Перечислите и охарактеризуйте наиболее распространенные подходы к управлению ИТ.
5. Перечислите основные виды ИТ–аудита и их цели.
6. В чем состоит цель стратегического ИТ – аудита?
7. Каковы его основные результаты?
8. Какая информация должна быть собрана в процессе его проведения?
9. Какие вопросы должны быть заданы представителям высшего руководства организации и руководителям функциональных подразделений?
10. Опишите типовое содержание итогового отчета.
11. Что входит в раздел "Краткая характеристика текущего состояния ИТ"?
12. Какова структура базовой анкеты, используемой для сбора информации?
13. Какова структура реестра действующих информационных систем?
14. Какие рекомендации хотело бы получить руководство организации по результатам стратегического ИТ – аудита?