Аудит ИТ процессов характеризует зрелость системы управления ИТ.
Нужен ли вам аудит ИТ процессов?
Незрелые ИТ процессы имеют очень большой спектр последствий: от неустойчивой работы ИТ сервисов до невозможности осуществлять функции по развитию компании с помощью ИТ. Фактически все проблемы, связанные с неэффективной и/или нерезультативной моделью управления ИТ подразделением так или иначе попадают под процессные проблемы. И хотя в области терминологии в современных практиках есть расхождения в понятиях и терминологии (так в ITIL 4 процессы составляют только одну из компонент более широкого понятия – практики, а в CobIT 5 вместо понятия зрелости процессов вводится другое понятия – уровень возможности процессов), мы тем не менее используем термин «ИТ процесс», как устойчивый термин, включающий в себя все 4 компонента (то есть то, что в 4м ITIL называют практикой), а именно: Людей и организации, Процессы и цепочки создания ценности, информацию и технологии, партнеров.
Периодические сбои (в том числе значительные инциденты)
- - Эти последствия могут быть из-за разрывов и рисков следующих процессов:
- - Процесс Управление инцидентами
- - Процесс Управление проблемами
- - Процесс Управление изменениями
Увеличивающаяся частота сбоев
- - Эти последствия могут быть из-за разрывов и рисков следующих процессов:
- - Процесс Управление проблемами
- - Процесс Управление изменениями
Низкая скорость обработки обращений
- - Эти последствия могут быть из-за разрывов и рисков следующих процессов:
- - Процесс Управление запросами на обслуживание
- - Service Desk (хотя в ITIL 3 Service Desk не является процессом, а всего лишь функцией, но в 4м ITIL Service Desk уже представляет из себя самостоятельную практику)
Отсутствие штатного механизма обработки обращений
- - Эти последствия могут быть из-за разрывов и рисков следующих процессов:
- - Процесс Управление запросами на обслуживание
- - Service Desk (хотя в ITIL 3 Service Desk не является процессом, а всего лишь функцией, но в 4м ITIL Service Desk уже представляет из себя самостоятельную практику)
Отсутствие единой точки контакта
- - Эти последствия могут быть из-за разрывов и рисков следующих процессов:
- - Service Desk (хотя в ITIL 3 Service Desk не является процессом, а всего лишь функцией, но в 4м ITIL Service Desk уже представляет из себя самостоятельную практику)
Отсутствие проактивной работы с инцидентами (управление событиями)
- - Эти последствия могут быть из-за разрывов и рисков следующих процессов:
- - Процесс Управление событиями
- - Процесс Управление проблемами
Негативные последствия изменений
- - Эти последствия могут быть из-за разрывов и рисков следующих процессов:
- - Процесс Управление изменениями
- - Процесс Тестирование и подтверждение
- - Процесс Управление релизами и распространением
Низкая документированность решений
- - Эти последствия могут быть из-за разрывов и/или рисков следующих процессов:
- - Процесс Управление знаниями
- - Процесс Управление изменениями
- - Процесс Управление релизами и распространением
Отсутствие политик информационной безопасности
- - Эти последствия могут быть из-за разрывов и/или рисков следующих процессов:
- - Процесс Управление информационной безопасностью
- - Процесс Управления непрерывностью ИТ услуг
Отсутствие (или низкий уровень зрелости) практики работы с изменениями
- - Эти последствия могут быть из-за разрывов и/или рисков следующих процессов:
- - Процесс Управление изменениями
Отсутствие четких и формализованных механизмов авторизации изменений
- - Эти последствия могут быть из-за разрывов и/или рисков следующих процессов:
- - Процесс Управление изменениями
Отсутствие практики или низкий уровень зрелости управления активами и конфигурациями
- - Эти последствия могут быть из-за разрывов и/или рисков следующих процессов:
- - Процесс Управление сервисными активами и конфигурациями
- - Процесс Управление изменениями
И многое другое -
- - Каждый из процессов, в соответствующей модели (ITIL, 4 ITIL, CobIT) обладает собственным набором разрывов и рисков, которые могут иметь индивидуальные последствия для каждой конкретной компании.
- - Мы разработали методику, позволяющую определять уровень значимости каждого процесса для текущего состояния компании и определять целевой уровень его зрелости.
Зачем вам нужен аудит ИТ процессов
Если вы хотите повысить уровень управления ИТ
- - Снизить зависимость качества решений от конкретных личностей
- - Повысить устойчивость работы ИТ систем
- - Повысить параметры гарантии ИТ сервисов
Если вы хотите снизить кадровые риски в ИТ подразделении
- - Снизить зависимость устойчивости работы ваших ИТ сервисов от увольнения конкретных ИТ специалистов
- - Повысить стабильность работы ИТ услуг, не зависимо от конкретных персоналий Если вы хотите снизить процессные риски в ИТ
- - Как правило, при проведении аудита бОльшая часть выявленных рисков относится именно к процессным рискам, и они суммарно оказывают наибольшее влияние на бизнес.
Хотите увеличить предсказуемость ИТ специалистов и ИТ решений
Хотите повысить прозрачность ИТ подразделения
- - Создание процессной среды приводит к возникновению метрик и KPI, которые позволяют:
- - объективно оценивать не только работу всего подразделения,
- - но и работу каждого ИТ специалиста,
- - а также оценивать работу отдельных направлений ИТ, диагностируя узкие места, сложности и риски задолго до того, как они реализуются
Какой бизнес результат вы можете получить с помощью аудита ИТ процессов
Структура аудита ИТ процессов и связанные с ним направления ИТ аудита
Для определения целевого уровня зрелости ИТ процессов и определения текущего уровня зрелости ИТ процессов, мы проводим следующие виды обследований
Результат аудита ИТ процессов
В результате аудита ИТ процессов Заказчик получает 3 документа:
Отчет по аудиту ИТ процессов
- - Большой многостраничные документ, содержащий в себе следующие разделы:
- - Описательную часть
- - Описание методики сбора данных и проведения аудита
- - Сами собранные данные
- - Аналитические выводы, следующие из полученной информации
- - Предназначен для ИТ руководителей и служит руководством к действию по устранению обнаруженных недостатков
Аналитическую записку для руководства
- - Краткое содержание аудиторского отчета на 2-4 стр
- - Содержит основные тезисы и выводы
Презентацию результатов ИТ аудита
- - Презентация в формате PowerPoint, содержащая в себе больше информации, чем в аналитической записке, но меньше, чем в полном отчете по аудиту ИТ процессов
- - Помимо основных тезисов и выводов может содержать в себе более подробные подводки и раскрытия терминов, связанных с ИТ менеджментом
Как мы работаем:
Оценка зрелости ИТ процессов редко применяется изолированно от других видом ИТ аудита, поэтому она плотно интегрирована в другие его составляющие:
01
Формирование конфигурации ИТ аудита
• В зависимости от целей, которые планируется достичь проведением ИТ аудита, формируется индивидуальная структура этого проекта, которая состоит из конкретных блоков, индивидуальных для каждого клиента и его уникальной ситуации
• Набор этих блоков позволяет сформировать такой результат, который позволяет достичь поставленную цель оптимальным способом с минимальными затратами и в кратчайшие сроки
02
Запрос и изучение документации ИТ подразделения и компании
• Это может быть, как документация по всей компании (например: оргструктура компании, положение о коммерческой тайне, стратегия компания, другие документы прямо или косвенно связанные с оказываемыми ИТ услугами)
• Так и сугубо ИТшное НПД (Нормативно Правовая документация): Положения о подразделении, штатное расписание, Должностные и операционные инструкции сотрудников, процессная документация и т.д.)
03
Опрос ключевых бизнес пользователей
• Позволяет выявить наиболее приоритетные моменты, важные для руководства компании при проведении ИТ аудита
• Указывает на узкие места, с точки зрения руководства
• Определяет начальные требования к ИТ подразделению, сформулированные из первых рук
04
Оценка удовлетворенности пользователей
• Дает прямые входные данные, связанные с уровнем менеджмента (набор оценок и параметров)
• Дает оценку определенных практик и процессов, используемых в компании при управлении ИТ подразделением
• Может предоставить косвенные данные, которые в совокупности с другой информацией могут дать общую картину состояния ИТ менеджмента в компании
05
Анализ первичных и статистических данных из ITSM систем и систем мониторинга
• Сопоставление этих данных с каталогом сервисов
• Сопоставление этих данных с данными, полученными из оценки удовлетворенности пользователей
• Сопоставление этих данных, с данными, полученными из опроса ключевых бизнес пользователей
• Сопоставление этих данных с данными, полученными из технического аудита
06
Интервьюирование ИТ руководителей и ключевых ИТ специалистов
• Получение мнения «другой стороны» по обозначенным в более ранних этапах вопросам
• Выявления рисков, разрывов и сложностей, о которых не может знать никто, кроме ИТ специалистов
• Закрытие «белых пятен» и «просветов», образовавшихся при анализе предыдущего материала
• Получение исторических данных о динамике развития ИТ сервисов и ИТ в компании клиента
07
Составление драфта отчета и обсуждение его с ключевыми фигурами в ИТ
• Выявление списка актуальных процессов для данной компании на данной стадии ее жизненного цикла
• Определение целевого уровня зрелости (или возможности) процессов (в зависимости от используемой модели процессов (ITIL 3, CobIT, ITIL 4, IT4IT, ISO 20000 и т.д.)
• Сведение всей полученной информации в единый документ с описанием текущей ситуации, рисками и разрывами в процессах, имеющие последствия для компании
• Определение текущего уровня зрелости процессов
• Вычитка отчета с ИТ руководителями и ключевыми сотрудниками ИТ на предмет ошибок, расхождений, оценок рисков
08
Составление финальной документации по аудиту и ее презентация
• Внесение в аудиторский отчет всех правок от Заинтересованных лиц ИТ Заказчика
• Описание мероприятий по каждому разрыву и риску
• Согласование и утверждение финальной версии отчета
• Написание Аналитической записки для руководства предприятия
• Подготовка презентации по результатам ИТ аудита
• Презентация результатов ИТ аудита и утверждение дальнейших шагов по устранению обнаруженных разрывов и рисков
Примеры результатов услуги (примеры отчетности)
Цена и алгоритм ее образования
Цена и длительность аудита процессов зависит от нескольких факторов:
Размеров ИТ подразделения
- - Чем больше сотрудников ИТ подразделения, тем с большим количеством людей нужно провести очное интервью
- - И тем больше документации необходимо изучить для формирования отчета по аудиту ИТ процессов
Размеров компании
- - Чем больше размер компании, тем большее количество пользователей нужно опросить и тем большее количество информации от них нужно проанализировать
- - Кроме того, размер компании может характеризовать ее территориальной распределенностью и наличием в каждой локации собственного набора документов, правил и требований со стороны Заказчика
- - Также размер компании влияет и на количество сервисных договоров, которые нужно проанализировать, чтобы получить исходную информацию о перечне имеющихся ИТ процессов компании и их состоянии
Размера сервисного каталога
- - Чем большее количество услуг входит в сервисный каталог, тем больше количество сервисных соглашений (SLA) или требований к сервисам (SLR), а также отчетов по их исполнению нужно изучить
- - Кроме того, от сложности каталога будет зависеть и объем и сложность вспомогательной документации, которая используется для его поддержки и развития
Количества ключевых бизнес пользователей
- - Интервью с ключевым бизнес пользователей – это от 1 до 3 часов очного времени, которое нужно согласовать с напряженным графиком ТОП менеджера
- - Это один из самых дорогих компонентов обследования, так как информация, которую несут в этих интервью ключевые бизнес пользователи зачастую невозможно получить в другом месте
Сертификация Исполнителей