Информационные технологии (ИТ) в работе СЕО: ИТ как основа совершенствования работы СЕО и как средство повышения результативности работы предприятия.

Тема 1. Информационные технологии (ИТ) в работе СЕО: ИТ как основа совершенствования работы СЕО и как средство повышения результативности работы предприятия. Цели: формирование двоякого представления об ИТ как основе совершенствования работы СЕО (как простого менеджера) и как средства повышения результативности работы предприятия исполнительным директором. Задачи: определить место, которое занимает ИТ в ИС. Выявить различие автоматизации и информатизации предприятия, а также различие менеджмента бизнес-информации и менеджмента информационных технологий; получить представление об информационных технологиях как об основе ИС и выявить взаимосвязь организационной структуры управления, информационных технологий и автоматизированных рабочих мест; получить представление о бизнес-процессах и бизнес-логике, а также априорном и апостериорном реинжиниринге бизнес-процессов; получить представление о модели зрелости предприятия; освоить способы и средства обмена данными и технологии доступа к информационным ресурсам компании и уметь пользоваться для решения профессиональных задач СЕО технологиями обмена информацией: e-mail, ip-телефония, видеоконференция, вебинар; изучить задачи СЕО на этапах жизненного цикла ИС. Рассматриваемые вопросы: 1. Способы и средства обмена данными и технологии доступа информационным ресурсам компании. 2. Информационные технологии – основа АРМ и ИС. 3. Задачи СЕО на этапах жизненного цикла ИС. 4. Классификация ИС. 5. Модель зрелости предприятия. Теоретический материал Информационные технологии (ИТ) стали неотъемлемой частью любого бизнес-процесса и перешли из средств обеспечения решения задач бизнеса просто в средства его ведения. Это породило зависимость процессов управления от качества ИТ. ИТ могут рассматриваться нами как инструмент в работе любого менеджера 8 (это, как правило, обеспечивающие ИТ) и являются основой продуктивности работы СЕО. Технология – совокупность (или последовательность) этапов по преобразованию объекта из исходного состояния «AS IS» («КАК ЕСТЬ») в желаемое»AS to BE» («КАК ДОЛЖНО БЫТЬ»). Она всегда содержит в себе: цель, ресурсы, правила преобразований. Инструмент же, который используется для преобразования, может отсутствовать. В основе любой технологии лежат данные, информация и знания. Информация делится на следующие виды: ● Структурированная информация – формализуема и легкообрабатываема на компьютере с помощью алгоритмов. При этом возникает понятие «рутинные операции» – это регулярно повторяющиеся операции, содержащие большой объем вычислений, не носящие творческого характера. ● Слабоструктурированная информация – формализуема с помощью шкал, которыми мы снабжаем специфические свойства процесса или предмета, отражающие его качественное измерение. ● Неструктурированная информация основана на открытой семантике (смысле). Неструктурированная информация не может быть распознана компьютером. Будем различать: функциональные информационные технологии (ФИТ) менеджера и обеспечивающие информационные технологии (ОИТ). ● обеспечивающие – решают широкий круг задач без уточнения предметной области (текстовые редакторы, текстовые процессоры, СУБД, аналитические продукты, языки программирования); ● функциональные – один из вариантов реализации предметной технологии в рамках одной или нескольких обеспечивающих ИТ. Каждый из этапов технологии также может представлять собой технологию. Поэтому можно говорить о наличии микротехнологий, объединенных в макротехнологию. Описание такой интеграции и есть описание процесса в целом (макротехнологии), т.е. совокупности правил интеграции. Объединение процессов может быть как последовательным, так и параллельным. Примером последовательного объединения служит технология расчетов между предприятиями, которая может содержать микротехнологию. Отдельные этапы технологического процесса могут выполняться разными исполнителями, но при этом должен существовать «владелец» макротехнологии, с тем, чтобы межэтапные пересечения были выполнены без нарушения процесса в целом. В основе работы любого предприятия лежат бизнес-процессы (БП), под которыми понимается структурированное конечное множество действий, спроектированных для производства специфической услуги (продукта) для конкретного потребителя или рынка. Или – специфически упорядоченная совокупность работ, заданий во времени и в пространстве с указанием начала и конца, точным определением входов и выходов (то есть та же технология). Бизнес-процесс может быть описан на разных уровнях иерархии, но он всегда имеет начало, определенное количество шагов посередине и четко зафиксированное завершение. Термин «реинжиниринг бизнес-процессов» (business process reengineering) появился в начале 90-х годов прошлого столетия и был признан революционным методом управления субъектом экономики, представляющим собой совокупность различных действий, обеспечивающих радикальное переосмысление всех аспектов бизнеса, успешное применение которого позволяет добиться увеличения эффективности 9 деятельности предприятия. Термин «реинжиниринг» произошел от английского слова «инжиниринг» (engineering) который означает: «техника проектирования». Под инжинирингом бизнеса понимают систему методов и приемов, используемых для создания бизнеса, удовлетворяющего целям, поставленным перед субъектом экономики. В центре реинжиниринга бизнеса находится отказ от устаревших правил и подходов, лежащих в основе существующих деловых операций. В итоге фундаментального переосмысления и радикального перепроектирования бизнес-процессов субъекта экономики происходит кардинальное улучшение его экономических показателей. Описание бизнес-процессов предметной области может быть осуществлено с использованием понятий предметной технологии (ПТ). В предметной технологии для решения структурированных задач цель выражается описанием выходной информации, а способ ее получения (правила преобразований) в виде показателей. При выполнении технологий может использоваться различный инструментарий (технические средства), но этот инструментарий не влияет на методологию решения задач предметной области, не меняет содержания предметной технологии, а лишь придает ей новую форму. При решении слабоструктурированных задач описание предметной технологии меняется. Входное описание объекта задается с помощью качественных показателей, которые могут быть, однако, приведены к количественной оценке методом шкалирования. Информационная система – это система, предназначенная для хранения, поиска, обработки и выдачи информации по запросам пользователя. Через информационную систему проходят потоки структурированной, слабоструктурированной и неструктурированной информации в силу большей или меньшей меры структурированности задачи. С другой стороны, информационная система – это совокупность обеспечивающих и функциональных информационных технологий на предприятии. Поэтому она: ● должна иметь механизм адаптации к изменениям организационной структуры и требованиям предметной области; ● предполагает изменения в организационной структуре; ● влияет на распределение функциональных обязанностей и полномочий, т.к. упрощает решение управленческих задач и уменьшает нагрузку на ЛПР. Лицо, принимающее решения, обладает заданными ему полномочиями, может само ставить цели и достигать их. Каждой системе управления экономического объекта соответствует своя информационная система, называемая экономической ИС. Экономическая ИС – совокупность внутренних и внешних потоков прямой и обратной информации в процессе обработки информации и выработки управленческих воздействий при решении экономических задач. Современная тенденция в сфере ИС – это расширение ее возможностей: ● решение слабоструктурированных задач; ● увеличение гибкости организации; ● переопределение границ организации (e-Commerce); ● вертикальная реорганизация трудоемких процессов; ● изменение понятия рутины. По мере развития ИС проявляется тенденция роста интеллектуальности ИС, а следовательно, происходит и освоение неструктурированной информации. «В ближайшем будущем вся информация в Интернете будет неразрывно связана ссылками. Основной упор будет сделан на семантическую сеть», – говорит Тим 10 Бернерс-Ли изобретатель World Wide Web. – «Компьютеры будут «улавливать» контекст информации, смогут идентифицировать и оценивать сложные связи между людьми, географическими точками и информацией и подытоживать все это». Интернет научится мыслить [Astera 21.03.2008 14:19]. Современные поисковики смогут «читать» в Интернете видеоролики или фотографии. «Если запросить у семантического поисковика данные о киноактере, он поймет контекст запроса и скомпилирует свод информации со всего Интернета – включая биографию актера, ссылки на рецензии на фильмы с ним, информацию о ближайших кинотеатрах с возможностью заказа билетов» [Inopressa]. Но распространение данных зависит от сотрудничества компаний, которые во многих случаях конкурируют друг с другом. Семантическая сеть частично реализуется и в России. В Рунете запущена поисковая система Picollator.ru, которая обрабатывает большие массивы мультимедийной информации. Технология позволяет распознавать лица людей на цифровых изображениях и находить другие похожие лица. ИС с поведенческой точки зрения может изменить иерархию принятия решения. Решая слабоструктурированные задачи, ИС повышает гибкость организации, переопределяет организационные границы, вызывает вертикальную реорганизацию в трудовых процессах и, как следствие, изменяется понятие рутины. Существует взаимосвязь и взаимовлияние организации управления предприятием и его информационной системы. ИС влияет на организацию, но и организация оказывает большое влияние на ИС. С экономической точки зрения ИС – это средство производства, в нее вложен капитал и она заменяет рабочую силу, поэтому она является объектом консультационной деятельности. Следует задаться вопросом: как изменится организационная структура под влиянием ИС? Какими свойствами должна обладать ИС, чтобы обеспечить переход к новой организационной структуре? С поведенческой точки зрения ИС может изменить иерархию принятия решений. Под организацией понимается группа людей, деятельность которых сознательно координируется для достижения общей цели. Здесь по крайней мере необходимы: ● минимум два человека, считающие себя частью группы; ● общая цель для всех членов группы; ● целенаправленная работа членов группы, объединившихся для достижения значимой для всех цели. Организация имеет свою структуру – линейную, функциональную, дивизиональную, адаптивную, централизованную, децентрализованную, проектную, матричную и т.д. Во время проектирования организационных структур необходимо учитывать возможности использования информационных систем и, в связи с этим, будущее разделение труда. И для этого в процессе разработки организационных структур используются следующие методы: ● Метод аналогий – опирается на опыт проектирования в аналогичных организациях, предусматривает выработку типовых структур. ● Экспертный метод – выявляет специфические особенности работы аппарата управления, недостатки и выработки рекомендаций опытных менеджеров-практиков. ● Метод структурных целей – выработка системы целей организации и ее последовательное совмещение с оргструктурой. Увязка всех видов организационной деятельности и ее привязка вне зависимости от распределений. ● Метод организационного моделирования – вырабатывается критерий оценки оргструктуры и составляется ее модель. Необходимо добиться адаптируемости ИС к организационной структуре управления. Но необходимо 11 внедрить ИС не просто в существующую организационную структуру, образовав «электронный бетон», а добиться взаимной адаптации1. Одновременно организационная структура также должна меняться в соответствии с внедрением ИС. 1 Адаптация – приспосабливаемость к внешним и внутренним изменениям. 2 с использованием www.glossary.ru. Появилось понятие информационное пространство – совокупность (1) банков и баз данных, (2) технологий их сопровождения и использования, (3) информационных телекоммуникационных систем, функционирующих на основе общих принципов и обеспечивающих информационное взаимодействие организаций и граждан, а также удовлетворение их информационных потребностей. Основными компонентами информационного пространства являются: информационные ресурсы; средства и технологии информационного взаимодействия и информационная инфраструктура2. Информационное пространство может быть классифицировано по степени структурированности присутствующих в нем ресурсов (см. табл. 1.1): ● неструктурированное; ● слабоструктурированное; ● структурированное (формально структурированное и машинно-структурированное). Таблица 1.1 Типы информационного пространства Тип ИП Характеристика Неструктурированное Признаки структуризации крайне редки, примером служит человеческая речь, передача сообщений в животном мире от особи к особи Слабоструктурированное Компоненты структуризации не имеют законченного вида, это естественный письменный язык, где признаками структуризации являются грамматические правила Структурированное Отличается преобладанием структурированных компонентов, внедрено кодирование, информация документируется; это информация, подготовленная к загрузке в информационную систему Формально структурированное Имеются такие спецификации информационных объектов и их взаимосвязей, которые содержат алгоритмы получения любых значений элементов данных; обеспечиваются операции по управлению данными Машинно-структурированное Представлены в формализованном виде все информационные ресурсы и их взаимосвязи, процессы преобразования информации описаны на языках программирования, обеспечивается взаимодействие ИС и пользователя на естественном или близком к естественному языке или по предельно упрощенным правилам тратегически обусловлено. Процесс принятия решений носит групповой характер, используются метрики для качественных измерителей. Усовершенствования являются штатными, регламентированными процессами. Тема 5. Деятельность СЕО по организации сопровождения ИС (IТSМ и ITIL) Цель: обеспечение взаимодействия исполнительного директора и ИТ директора при организации поддержки и эксплуатации ИС. Задачи: ознакомление с концепцией IТSМ и библиотекой ITIL; изучение видов сопровождения ИС при их эксплуатации; изучение специфики аутсорсинга бизнес-процессов по поддержанию эксплуатации ИС; выявление условий возникновения рисковых ситуаций в сфере ИТ; умение вырабатывать решения по управлению ИТ рисками. Рассматриваемые вопросы: 1.Участие СЕО в решении проблемы эксплуатации и сопровождении ИС. 62 2.Концепция ITSM и библиотека ITIL. 3.Организация обслуживания пользователей: ключевые роли ИТ-отдела (службы сопровождения). Принципы поддержки пользователей. 4.Управление качеством обслуживания ИС (SLA). 5.Управление непрерывностью бизнеса и риск менеджмент ИТ на предприятии. Теоретический материал Непрерывность бизнеса, то есть бесперебойная работа современного предприятия может быть достигнута лишь при бесперебойной работе его ИС. Для обеспечения этого в период промышленной эксплуатации ИС, CIO при поддержке CEO должен организовать ее эксплуатацию в соответствии с концепциией Information Technology Service Management (ITSM). На этапе эксплуатации и сопровождения ИС необходимо: ● обеспечение устойчивости работы системы и сохранности информации (администрирование ПО); ● модернизация и ремонт отдельных элементов ТО (техническая поддержка); ● адаптация ИС к потребностям бизнеса предприятия (развитие системы) и адаптация предприятия к инновационным элементам ИС (менеджмент, методики, новые математические и инструментальные методы). Эти работы отражаются в оперативном плане автоматизации и информатизации предприятия. Выполнение этого плана обеспечивается на основе принципов ITSM: структуризация процессов работы ИТ; разграничение ответственности сотрудников ИТ - департамента и их компетентность; создание инфраструктуры обеспечения качества услуг, в которую ввходят и ИС, и различные службы (поддержка пользователей, управление конфигурациями и изменениями, контроль оказания услуг, внедрение и тестирование новых услуг и т.д.)4. 4 Источник: Открытые системы #10/2000 Наталья Дубова ITSM – новая идеология управления ИТ. 5 Источник: http://www.itexpert.ru/rus/newsline/news/2006-12-07 Открытые системы #10/2000 ITSM – новая идеология управления ИТ Наталья Дубова Перевод и подготовка Аналитической службы PM Expert. Концепция управления качеством информационных услуг возникла в результате принципиального изменения роли ИТ-подразделений. Эффективность бизнес-процессов, основана на нормально работающих программных и технических средствах, хорошей работе ИТ персонала. То есть эффективность информационных технологий и качество их обслуживания оказываются факторами эффективности работы предприятия5. При внедрении ITSM, ИТ - департамент перестает быть вспомогательной структурой предприятия, ответственной только за работу ТО и ПО. Реорганизация службы эксплуатации ИС заключается в переходе от управления ресурсами предприятия к управлению услугами на основе этих ресурсов. Сотрудники «предметных» подразделений становятся заказчиками, а не пользователями. В задачи ИТ подразделений входит обеспечение непрерывного функционирования ИС; учет ТО, ПО и документации; техническое обслуживание оборудования и его ремонт и оказание технической поддержки пользователям. Таким образом ИТ департамент становится участником бизнеса. ИТ подразделения поддерживают и развивают информационную инфраструктуру предприятия, обеспечивая оказание услуг с определенного качества. При этом требования к уровню качества и спектру услуг формулируют бизнес-подразделения, а объем финансирования для выполнения этих 63 требований определяет руководство предприятия6. 6 Источник: Открытые системы #10/2000 Наталья Дубова ITSM – новая идеология управления ИТ. 7 Источник: Открытые системы #10/2000 Наталья Дубова ITSM – новая идеология управления ИТ. 8 Овчинников С. ИТ-услуги: есть ли альтернатива ITIL? 14.03.07, Ср, 10:34, Мск, фото: СФН. В соответствии с идеей У. Эшби, усложнение ИС требует усложнения обслуживания ИС и специализации ИТ персонала, постоянного повышения его квалификации. Уже сейчас среди ИТ специалистов выделяются администраторы, сервисные специалисты и проектировщики систем. Появляются новые требования к компетенциям ИТ специалистов, появляются и новые роли. Например, владелец процесса (Process Owner) контролирует выполнение процесса; принимает решения, взаимодействуя с подразделениями предприятия, через которые проходит бизнес процесс; поддерживает взаимоотношения с владельцами других процессов и менеджерами подразделений; назначает ответственных для выполнения задач, анализирует влияние своего процесса на бизнес. Назначение владельца процесса – один из элементов управления ИТ-услугами на предприятии. Организация управления процессами предполагает их структуризацию и описание; повышение эффективности; устранение причин неправильной работы, гэпов; документирование процессов; контроль за соответствием процессов требованиям пользователей, а результатов их выполнения - спецификациям. Такие изменения требуют реорганизации работы ИТ - подразделений, которые привыкли распределять ответственность по функциональному признаку и не обеспечивают процессного управления7. Типичные примеры IT-процессов – это установка нового ПО, обеспечение бесперебойной работы сети, перехода на резервную систему и т.д. Неформализованные и недокументированные процессы (первый уровень организационной зрелости) становятся источником незапланированных изменений в IT-инфраструктуре. Это приводит к ее доработке, дублированию функций и простоям. Структуризация процессов, протекающих в IT-отделе, заключается в определении для каждого из них цели, последовательности работ, ресурсов (времени и денег), средств реализации (автоматизации или информатизации) и показателей контроля их качества. Если процессы определены и описаны (вход, выход (результаты выполнения), правила преобразования), то его результативность можно измерить. Вендор Hewlett-Packard предложил типовую (референтную) модель информационных технологий - HP IT Reference Model, которая позволяет разработать структуру ИТ-процессов в компании и на ее основе реализовать управление качеством информационных услуг. Она представляет собой методику внедрения лучшего международного опыта (best practice) в области управления ИТ собранного в Библиотеке IT Infrastructure Library (ITIL). Одним из основных принципов ITIL является концепция предоставления услуг, когда результатом работы ИТ-службы являются необходимые для бизнеса ИТ-услуги. Некоторые авторы считают8, что альтернативой ITIL, или даже ITSM, является взгляд на ИТ не как на услугу, а как на подразделение, обслуживающее определенные ИТ- активы, как и обычные производственные активы (ремонтировать, устранять сбои). И в этом случае применимы обычные процессные ремонтные стандарты, такие как ISO 18322, полностью соответствующие концепции управления качеством. Или ГОСТ 2.601, 2.602 и другие. Библиотека ITIL – это сборник из 68 книг по обеспечению работы ИТ, включая: планирование ресурсов, управление проблемами, управление инцидентами, разработку и внедрение новых услуг, снижение расходов, управление пользователями и т.д. Эта информация собиралась и систематизировалась Комитетом по телекоммуникациям при правительстве Великобритании, а сейчас 64 поддерживается, издается и обновляется независимой организацией EXIN (www.exin.nl)9. Библиотека ITIL позволяет, анализируя состояние ИТ на предприятии, выявить проблемные места. А типовая модель определяет пути достижения оптимума. Модель применима к любой информационной инфраструктуре, независимо от масштаба предприятия и степени распределенности инфраструктуры. Фрейм стандартных ИТ-процессов при внедрении на конкретном предприятии наполняется специфическим содержанием, что позволяет распределить роли между сотрудниками ИТ-подразделения конкретного предприятия и выбрать нужный инструментарий. 9 Источник: Открытые системы #10/2000 Наталья Дубова ITSM – новая идеология управления ИТ. Типовая модель – обеспечивает выполнение гарантий предоставления услуг (управление конфигурациями управление изменениями); привязку ИТ к бизнес процессам (анализ бизнес процессов; управление пользователями; разработка ИТ стратегий); оперативную поддержку (управление инцидентами; управление операциями; управление проблемами); управление услугами (планирование услуг; управление безопасностью; управление уровнем услуг; управление ресурсами; готовность ресурсов и услуг; снижение расходов); разработку и внедрение услуг. Концепция ITSM включает предоставление сервисов (Service Delivery) и их поддержку (Service Support). Поддержка сервисов (Service Support): Управление конфигурациями (Configuration Management). Взаимодействие с пользователями (Service Desk). Управление проблемами и инцидентами (Problem and Incident Management). Управление изменениями (Change Management). Управление разработкой и распространением ПО (Software Control & Distribution). Предоставление сервисов (Service Delivery): Управление уровнем сервиса (Service Management). Управление производительностью (Capacity Management). Управление доступностью (Availability Management). Управление затратами (Cost management). Управление непрерывностью (Contingency Management). Для выполнения задач, являющихся непрофильными для предприятия экономически целесообразнее использовать аутсорсинг, то есть делегирование работ (и рисков) внешним, специализированным подрядчикам. Для этого необходимо проанализировать рынок услуг и поставщиков сервисов, и, выбрав аутсорсера, выделить процессы для заказа. Для управления таким проектом заказчику необходимо назначить управляющего (ИТ-руководитель) который отвечает за проект и руководит им; создать рабочую группу для контроля качества оказываемых услуг и выполнения договора (аналогичную группу создает аутсорсер). Руководство предприятия должно постоянно участвовать во взаимодействии с аутсорсером, информировать его об изменениях бизнеса. Для формализации отношений в части оказания услуг по сопровождению ИС заключается SLA (Service Level Agreement) — соглашение об уровне сервиса. Это - формальный договор между заказчиком услуги и ее поставщиком, содержащий описание услуги, уровень ее качества, права и обязанности сторон. Каждое соглашение должно строиться в соответствии с конкретными требованиями клиента. В SLA оговаривается: структура выполняемых работ, показатели количественной оценки качества ИТ-услуг и финансовая ответственность исполнителя за нарушения договора. На 65 разработку соглашения уходит до трех недель. Процесс управления уровнем услуг SLM (Service Level Management) обеспечивает взаимодействие с заказчиками услуг, мониторинг качества услуг и отчетность, в том числе и с помощью KPI в SLA. KPI (Key Performance Indicators) — ключевые показатели эффективности деятельности поставщика услуг, инструмент измерения поставленных целей. Документ, в котором определены цели улучшения по каждому процессу и установлены параметры обслуживания - SQP (Service Quality Plan) (например, время, отведенное для оказания услуги). Если SLA определяет содержание услуги, то SQP определяет, как именно она предоставляется. Существует, также процесс управления каталогом сервисов SCM (Service Catalogue Management), цель которого - ведение информации о сервисах. При этом в каталоге сервисов (Service Catalog) содержится описание услуг и их потребителей. В типовом каталоге присутствуют: определение услуги; временные показатели (или ссылка на соответствующее SLA); список лиц, имеющих право запросить услугу или информацию по ее выполнению; стоимость; процедура выполнения. Правильное составленное SLA, предполагает, что: 1. Параметры SLA должны поощрять нужное поведение обеих сторон. Число параметров не должно быть большим, но и идея: чем короче SLA, тем проще его выполнять - актуальна лишь для маленьких заказчиков. SLA с критериями и параметрами большого объема услуг достигает не одного десятка страниц. 2. Параметры SLA должны быть подконтрольны исполнителю. То есть ответственность за соблюдение соглашения лежит на обеих сторонах. Заказчик должен понимать, что эффективность процессов зависит от совместных действий обеих сторон. Если параметры SLA оказываются вне «юрисдикции» поставщика услуг, то штрафовать исполнителя за задержки по вине заказчика нельзя. Если заказчик нарушил сроки предоставления затребованной информации, установленные сроки будут нарушены. 3. Параметры должны легко измеряться. Никто не хочет тратить осуществлять сбор данных вручную. Поэтому лучше выбирать параметры, которые легче измерить. Лучше, если показатели SLA измеряются автоматически. 4. Количество параметров должно быть адекватно объему предоставляемых услуг, поскольку большое число параметров увеличивает объемы данных и усложняет управление. Важные позиции должны быть под особым вниманием менеджмента: уровень обслуживания по отдельным сервисам. Поэтому сервисы нужно дифференцировать при составлении SLA. Кроме того он должен обращать внимание на исключения, которые поставщик услуг указывает в SLA в виде исключительных ситуаций — случаи, которые не являются перерывом в обслуживании и помнить, что пункты SLA следует пересматривать. Возможно в будущем придется пересматривать некоторые параметры. Именно заказчик должен внимательно отслеживать необходимость пересмотра SLA. Изменения бизнес процессов, законодательства, решения регулятора могут потребовать обновления условий SLA. Для успешного использования внешней услуги пакет документов, подписываемый сторонами, должен учитывать: ● ожидания сторон; ● соответствие затрат рыночному уровню; ● открытую бухгалтерию исполнителя; ● прозрачную организацию предоставления услуг; ● мотивирующую оплату услуг исполнителя; ● планирование и осуществление мероприятий по улучшению обслуживания; ● контроль над персоналом, поставщиками и подрядчиками; 66 ● измерение оказываемых услуг по согласованной обеими сторонами системе показателей; ● использование исполнителем адекватных стандартов; ● гарантии осуществления ожиданий; ● гибкость оплаты в случае изменения нагрузки; ● своевременную информацию об ожидаемых изменениях; ● адекватные меры за невыполнение сторонами обязательств. Особое место в процессе поддержки эксплуатации ИС занимает управление ИТ рисками. Исходя из российской практики, риск можно определить как вероятность потерь вследствие неопределѐнности. Однако, согласно западной практике, риск — является следствием неопределѐнности и может приводить и к потерям, и возможностям. Ситуация неопределенности характеризуется тем, что выбор способа действий может привести к любому исходу из их множества, но при этом их вероятности неизвестны. Здесь мы должны проследить различие между вероятностью и неопределенностью. В случае с неопределенностью результаты действий не являются детерминированными и выбор конкретного плана действий из множества возможных не приводит к известному, точно определенному исходу. Вероятность же отражает статистические измерения и выбор альтернатив может привести к любому исходу из их множества, но каждая альтернатива характеризуется вероятностным измерителем (то есть известны вероятности возможного исхода). Ситуация риска10 - это разновидность ситуации неопределенности, когда наступление событий вероятно и может быть определенно. Иными словами, риск - это оцененная любым способом вероятность, а неопределенность - это то, что не поддается оценке. 10 http://risk24.ru/neopred.htm Существуют способы классификации рисков по связи с другими рисками, по масштабам последствий, по возможностям управления риском, по экономическим последствиям. Сложилась следующая классификация IT-рисков: организационные, технические технологические и финансовые. К организационным рискам относится риск ошибок в бюджете; в плане-графике работ; риск проблем с персоналом; риск изменения требований к проекту; риск неэффективного планирования; зависимость от ключевого персонала: саботаж; недоступность человека. Как правило, ответственность за данный вид риска несѐт руководитель проекта, руководитель направления (или предприятия). К техническим рискам можно отнести приостановку деятельности из-за чрезвычайных ситуаций, сбоя оборудования, сбоя системного ПО. К технологическим рискам относятся: риск невозможности реализации решения; риск неспособности разработчиков реализовать задачу; риск недостаточной производительности системы; риск затруднений при внедрении (например, адаптация); безопасности (вирусы; логические бомбы; округления или отрезание дробной части чисел; изменение данных в момент или сразу после ввода; перехват и воровство информации). Обычно за технологические риски отвечает технический руководитель, ведущий аналитик. Финансовые риски — это риск сокращения бюджета; риск ошибки в оценке рынка программного продукта; риск потери интереса к проекту со стороны пользователей; риск контрагентов: разногласия в терминологии; приостановка деятельности третьего лица; невыполнение обязательств и др. Управление рисками – это создание изменений для достижения целей, которыми в данном случае являются: уменьшение неопределѐнности, управление потерями и достижение новых возможностей. Уменьшение неопределѐнности может 67 достигаться за счет сбора статистики. Управление потерями подразумевает: предотвращение (или снижение) вероятности наступления рискового события с помощью превентивных мероприятий; корректировку вероятности наступления рискового события с помощью сбора статистики по всем инцидентам и проблемам; компенсацию потерь и расследование обстоятельств наступления рискового случая. Среди средств реагирования на риск можно выделить воздействие на: источник риска ("атакующие" меры); внешнюю среду организации ("экологические" меры) и саму организацию - объект (субъект), экспонированную на риск ("адаптация"). Для построения системы управления рисками IT-безопасности можно использовать метод CRAMM (UK Goverment Risk Analysis and Managment Method), который был разработан Службой безопасности Великобритании (UK Security Service) по заданию британского правительства. С 1985 года он используется правительственными и коммерческими организациями Великобритании. К настоящему моменту CRAMM приобрел популярность во всем мире. Один из наиболее важных результатов применения метода CRAMM — получение возможности экономического обоснования расходов организации на обеспечение информационной безопасности. В конечном итоге экономически обоснованная стратегия управления рисками информационной безопасности позволяет минимизировать издержки и избегать неоправданных расходов. Пояснения: ● Прием звонков: идентификация личности звонящего. Получение подтверждения конечного пользователя на регистрацию запроса. Проверка полноты и корректности регистрации информации о звонке (в том числе детали проблемы или вопроса, контактная информация – телефон или e-mail пользователя). ● Регистрация инцидента в системе – создание записи об инциденте с обязательным указанием времени получения информации об инциденте и указании начального статуса «Открыт». Источником информации об инциденте могут являться звонок конечного пользователя, электронная форма введенная пользователем или другая форма общения с пользователем. Сообщения об обнаруженных неисправностях при эксплуатационном обслуживании также должны быть зарегистрированы как инциденты. ● Определение категории инцидента – отнесение инцидента к одной из существующих групп инцидентов, исходя из описания и параметров инцидента. Определение категории позволяет выбрать оптимальную схему уточнению существенных признаков инцидента и порядок эскалации инцидента. ● Назначение приоритета инциденту – классификация инцидента, базируясь на срочности и влияния на бизнес согласно предопределенной схеме. Например, поломка всей сети может иметь максимальный приоритет, что означает, что все остальные инциденты второстепенны. ● Изоляция инцидента – уточнение признаков инцидента. Изоляция инцидента используется для поиска уже существующих решений, зарегистрированных в базе знаний. Если решение найдено, то производиться попытка использовать его для разрешения инцидента. По результатам документируется факт обнаружения решения по признакам инцидента и результат применения этого решения. Деятельность в рамках процесса: ● Эскалация инцидента – поиск подходящего специалиста или руководителя для обработки инцидента, который по своим параметрам превышает некоторые оговоренные пороги (например, не найдены зарегистрированные 68 решений для данного инцидента, время на решение инцидента превышает оговоренные сроки, необходим помощь второй линии поддержки и т.д.). Пороги эскалации могут быть определены для каждого сервиса и/или для каждого пользователя/группы пользователей. Причины эскалации должны быть документированы. ● Контроль жизненного цикла инцидента – мониторинг процесса успешного разрешения инцидента (с точки зрения конечного пользователя). Установка сроков для каждого этапа разрешения инцидента. ● Разрешение инцидентов - применение известных решений для разрешения инцидентов, использование временных решений. Ответы на вопросы. Проведение единичного обучения. Регистрация принятых для разрешения инцидента мер. ● Оповещение конечных пользователей – предупредительное оповещение конечного пользователя о состоянии заявленного инцидента, планируемых изменениях и т.д. ● Закрытие инцидента - Оповещение конечного пользователя о разрешении инцидента (если разрешение инцидента не происходит немедленно), получение подтверждения от конечного пользователя разрешения инцидента. Проверка полноты документирования жизненного цикла инцидента. Изменение статуса инцидента на «Закрыт».