В настоящее время информационные технологии оказывают существенное влияние на производственные процессы предприятий. Это очевидно. Почему же в одних компаниях информационные системы обеспечивают оптимальную организацию процессов производства, повышают эффективность управления, осуществляют планирование и прогнозирование, анализ рисков и т. д., а в других компьютер все еще остается усложненным калькулятором и инструментом подготовки документов?
Проблемы анализа эффективности использования ИТ группы предприятий представляют определенный интерес, поэтому есть повод исследовать их. К этой группе относятся крупные государственные учреждения, министерства, ведомства — все те организации, ошибки в развитии информационных систем которых не имеют на первый взгляд критических последствий, в отличие, скажем, от коммерческих учреждений, чьи позиции на рынке напрямую связаны с эффективным управлением.
Почему вся активность в области ИТ в данной группе носит не регулярный, а периодический характер, в значительной степени зависящий от волевых решений руководства («срочно внедряем новую систему!»), а ИТ-подразделение оторвано от производственных потребностей («мы сами лучше знаем, что надо нашим пользователям»)? Собственно, ответ содержится в вопросе. Потому что ИТ построены таким образом, что не подразумевают соответствия бизнес-потребностям предприятия, скорее всего наследуя схему вычислительных центров советского периода. Все новые процессы в данной области сводятся к приобретению следующего поколения рабочих станций, а корпоративная сеть всего лишь изменила способ доставки информации: вместо дискет используются каталоги совместного доступа, в лучшем случае электронная почта.
По поводу аудита информационных систем (далее аудит) в мире накоплен колоссальный опыт. Он обобщен известной организаций ISACA (InformationSystemsandControlAssociations, www.isaca.org) и сформирован в виде соответствующих нормативов и методик под общим названием COBIT (ControlObjectivesforInformationandrelatedTechnologies — Задачи управления для информационных и связанных с ними технологий). Собственно же аудит заключается в:
1) изучении текущего состояния и планов развития информационных технологий на конкретном предприятии;
2) сравнении результатов с тем, как должны работать информационные системы в идеальном (оптимальном) состоянии (то есть с соответствующими стандартами в данной области);
3) выработке рекомендаций для данного предприятия — что необходимо сделать, чтобы максимально приблизиться к указанным стандартам.[8]
Первая и самая главная — стоимость работ. Действительно, трудно предположить, что будет дешевой работа группы высокопрофессиональных ИТ-специалистов, которые проведут:
· анкетирование специалистов по отдельным направлениям;
· интервью с ключевыми работниками;
· изучение имеющейся нормативной документации, организационной структуры, принципов управления ИТ;
· выборочное или массовое тестирование аппаратного обеспечения, производительности сети;
· анализ накопленной информации;
· выработку соответствующих экспертных оценок и рекомендаций;
· подготовку развернутого отчета по результатам работ;
Соответственно, когда руководство предприятия-заказчика плохо представляет себе конкретные результаты работ, платить значительные суммы никто не захочет. Дополнительный негатив вносят специалисты по аудиту, которые формируют отчет в виде типового рапорта, слепо следуя имеющимся методикам. Приведем пример.
Нет классификации данных — необходимо произвести классификацию данных;
· отсутствует политика NN — следует разработать политику NN;
· не произведена оценка рисков — провести оценку рисков.
В рассматриваемой группе предприятий с высокой степенью вероятности будет отсутствовать большинство из требуемых стандартами пунктов. При получении отчета с простой констатацией отсутствия и рекомендациями о том, что необходима дальнейшая работа (без детальной приоритизации, развернутого плана действий, проектов требуемых нормативов, выписок из используемых стандартов и методик), у руководителя организации сложится весьма негативное мнение об аудите. Если окажется, что итоговый отчет представлен в виде двух-трех томов по 500 страниц, основную часть которых занимают рассуждения о преимуществе трехзвенной архитектуры перед файл-сервером и о перспективах развития беспроводных технологий, то, скорее всего, отчет окажется в пыльном шкафу, изученным и использованным процентов на десять.[5]
