Модели и методы оценки информационных систем тема диссертации по экономике, полный текст автореферата

Автореферат диссертации по теме "Модели и методы оценки информационных систем"

На правах рукописи

КОСТАВА Вахтанг Арчилович МОДЕЛИ И МЕТОДЫ ОЦЕНКИ ИНФОРМАЦИОННЫХ СИСТЕМ

Специальность 08.00.13 «Математические и инструментальные методы экономики»

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата экономических наук

Москва-2004

Работа выполнена на кафедре информационных систем Государственного Университета Управления.

Научный руководитель: кандидат экономических наук,

профессор Годин В.В.

Официальные оппоненты: доктор экономических наук,

профессор Соломатин Н.А.

кандидат экономических наук Вегера В.А.

Ведущая организация: Компания Техносерв А/С

Защита диссертации состоится 26 октября 2004 г. в 14 часов на заседании специального совета К 212.049.01 в Государственном Университете Управления по адресу: 109542, Москва, Рязанский проспект, д.99, зал Ученого совета.

С диссертацией можно ознакомиться в библиотеке Государственного Университета Управления.

Автореферат разослан_сентября 2004 года.

Ученый секретарь специализированного совета К 212.049.01, кандидат экономических наук, доцент Абрамова Л.Д.

2005-4

3

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

12435

Актуальность темы. За последние несколько лет на Российских предприятиях началось активное внедрение корпоративных информационных систем (КИС). Эти действия тесно связаны как с созданием собственных подразделений, отвечающих за создание и эксплуатацию информационных систем, так и с привлечением внешних консалтинговых фирм и компаний - интеграторов. При этом, у всех участников процесса построения КИС происходит накопление собственного опыта в этой области и появляется все больше возможностей использовать опыт зарубежных компаний. Однако в используемом инструментарии средств внедрения и сопровождения КИС часто отсутствуют методы оценки информационных систем (ИС) и информационных технологий (ИТ) в целом и в разрезе различных аспектов взаимосвязи ИТ и бизнеса. Этот пробел порождает ряд серьезных проблем.

Во-первых, отсутствие проработанных инструментов оценки при внедрении КИС порождает серьезные расхождения между текущими требованиями бизнеса и структурой используемых информационных технологий, что практически всегда влечет за собой ряд существенных издержек. При внедрении, либо при переоценке КИС встает проблема оценки адекватности вложенных инвестиций в ИТ их отдаче, как материальной, так и нематериальной. Объяснением частого отсутствия комплексной оценки ИТ на этапе внедрения либо реорганизации ИТ может служить как недостатки собственных теоретических разработок, так и опыта в области оценки ИТ у большинства российских компаний.

Во-вторых, применение ряда западных методов и подходов к оценке ИТ на российских предприятиях в процессе функционирования КИС влечет ряд неточностей и противоречий. Такая ситуация складывается вследствие использования не адаптированных методов и подходов к современным условиям и требованиям российского бизнеса. Другими причинами в некорректном использовании зарубежных методов могут быть отсутствие детальной информации о способе реализации большего числа методов, о точном назначении и эффектах применения методов оценки ИТ.

В-третьих, крайне редкое внедрение систем оперативного контроля использования ИТ и не частое использование методов экспресс оценки ИТ порождает совокупность проблем, связанных с контролем исполнения решений, оперативным учетом затрат на ИТ и анализом эффективности использования ИТ. Основной причиной такой ситуации является отсутствие ряда методов проведения экспресс оценок ИТ в деятельности российских предприятий.

Можно с уверенностью утверждать о том, что зарубежная практика в области оценки ИТ не отвечает требованиям комплексности и является по большей части фрагментарной,

рассматривающей только отдельно взятые области оценки ИТ. Вместе с тем, информация об имеющихся разработках в области оценки ИТ крайне разрозненная и является не классифицированной и разобщенной.

Перечисленные факторы отражают высокую актуальность, потребность и необходимость обобщения и классификации зарубежного и российского опыта в области оценки ИТ, практическую значимость создания системы проведения комплексного аудита и восполнения пробелов в целом ряде направлений оценки ИТ. В следствие чего разработка моделей и методов оценки информационных систем избрана в качестве темы для научного исследования.

Цель и задачи исследования. Целью диссертационной работы является создание моделей проведения внутренних работ по оценке информационных технологий организации на основе современных методов контроля, оценки и стандартов, а также классификация и обобщение современного опыта в области ИТ для выделения наиболее результативных методов оценки ИТ. Для достижения поставленной цели в диссертационной работе осуществляется решение следующих основных задач:

- определение понятийного аппарата оценки ИС/ИТ;

- определение основных пользователей информации об оценке ИТ и их информационных потребностей;

- всестороннее изучение и классификация существующих российских и зарубежных методов и стандартов оценки ИТ;

- формулировка целей оценки, изучаемых объектов, методов оценки и получаемых результатов по выделенным критериям оценки, а также для каждой из групп методов определение наиболее популярных и часто реализуемых методов оценки;

- выявление современных подходов к оценке и аудиту ИТ на основе классификационных групп методов и стандартов оценки;

- описание жизненного цикла аудита ИТ и формализация основных этапов и шагов проведения аудита ИТ;

- разработка и обоснование модели представления данных об ИТ-ориентированном бизнес-процессе при проведении всестороннего аудита;

- разработка и обоснование модели оценки эффективности функционирования ИТ-ориентированного бизнес-процесса;

- разработка и обоснование модели оценки программно-аппаратной базы и соответствия ее потребностям бизнеса;

- апробация предлагаемых в диссертации моделей и методов.

* « ,» -л, «»

Объект исследования. Объектом диссертационного исследования является информационная система предприятия, совокупность ее элементов, а также все процессы, в которых заняты элементы информационной системы.

Предмет исследования. Предметом диссертационного исследования являются методы, стандарты и подходы изучения бизнес-процессов организации, инвентаризации ИТ ресурсов, процессов, инцидентов и проблемных ситуаций, связанных с ИТ и предпосылок их возникновения, а также способы качественной и количественной оценки деятельности ИТ-департамента организации.

Метод исследования. Основными методами исследования являются математические модели и методы анализа в области оценки и описания ИС/ИТ, позволяющие системно рассматривать, изучать и анализировать объект оценки.

Научная новизна. Научная новизна работы состоит в создании и обосновании системы классификации типов аудита ИТ и критериев оценки ИТ, на основе которой проведена сравнительная характеристика современных методов оценки и построены обобщающие концептуальные модели по каждому из критериев. Выделены и сформулированы современные подходы к оценке ИТ. На основе системного анализа существующих методов оценки были разработаны следующие модели:

- предложена модель расширенного процессного подхода для описания ИТ-ориентированного бизнес-процесса;

- построена модель оценки эффективности деятельности ИТ-ориентированного бизнес-процесса;

- разработана модель оценки адекватности программно-аппаратной базы требованиям ИТ-ориентированного бизнес-процесса.

Практическая значимость. Практическая значимость исследования заключается в разработке некоторых концептуальных этапов и шагов по проведению оценочных работ в организации. Наиболее значимой с практической точки зрения является система сгруппированных и ранжированных по практической значимости современных методов оценки ИТ, позволяющая на основе потребностей организации выбрать необходимую группу методов, способных решать поставленные задачи. Предлагаемый расширенный процессный подход позволяет эффективно управлять данными об ИТ-ориентированном бизнес-процессе и систематизировать эти данные. Разработанные и предложенные в работе модели и методы оценки позволяются достичь современным организациям следующие результаты:

- вести непрерывный учет и эффективно управлять используемыми информационными технологиями организации;

- осуществлять внутренний комплексный контроль на основе на основе обоснованного выбора совокупности современных методов и посредством предложенной схемы проведения контроля;

- оценивать эффективность выполнения ряда ИТ-ориентированных бизнес-процессов и оптимально перераспределять затраты на этот бизнес-процесс.

Апробация работы. Основные результаты исследования, изложенные в диссертации, прошли апробацию на научно-практических конференциях и в печати: опубликовано 5 работ. По результатам исследования подготовлен курс лекций на тему «Аудит информационных технологий», преподаваемый ведущим российским ИТ специалистам и руководителям ИТ подразделений, слушателям программы МВ1ГУУ. Целый ряд материалов диссертационного исследования также лег в основу лекций по курсам «Экономика информационного бизнеса и информационных систем» и «Информационные технологии управления», преподаваемым студентам специальности «Прикладная информатика в управлении».

Структура и объем работы. Диссертационная работа состоит из введения, трех глав, заключения, списка литературы из 65 наименований и 3 приложений. Работа изложена на 233 страницах машинописного текста с 49 рисунками и 27 таблицами.

СОДЕРЖАНИЕ РАБОТЫ. Во введении обоснована актуальность работы, указывается ее научная новизна и практическая значимость, определены объект, предмет, метод, цель и задачи исследования.

Первая глава «Модели и методы оценки информационных систем» посвящена раскрытию проблемы оценки ИТ. Изучение методов оценки ИТ начато с определения понятийного аппарата аудита и оценки ИТ. Существует следующее определение аудита информационной системы: системный процесс получения и оценки объективных данных о текущем состоянии информационной системы, действиях и событиях происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику. В настоящей работе под аудитом понимается совокупность этапов деятельности, одним из которых будет являться оценка. Этап оценки характеризуется анализом собранных данных с вынесением последующих рекомендаций на основе выделенных в работе подходов к оценке.

В зависимости от потребностей и целей проведения аудита ИТ, как внешнего, так и внутреннего, выделяют шесть основных подходов к проведению аудита ИТ. Это обследование ИТ, экспертная оценка, технический аудит ИТ, комплексный аудит ИТ, аудит ИТ бизнес процесса, аудит критерия ИТ.

На основании изложенных общепринятых подходов к проведению аудита ИТ, в настоящей работе сформировано четыре типа аудита: изучение ИТ-ориентированных процессов; аудит бизнес-процесса; аудит критерия ИТ (оценка управления ИТ сервисами; оценка рисков; оценка безопасности; стратегическая оценка; оценка программно-аппаратной базы и соответствия ее потребностям бизнеса); комплексный аудит ИТ.

Далее в работе выделены две главные цели проведения оценочных работ. Первая цель

- подтверждение, что информационная система, ее функционирование и обслуживание соответствуют формальным требованиям, заложенным при первоначальном проектировании системы. Вторая цель - изучение состояния системы, связанное с последующей ее модернизацией, а также для выявления неполадок и причин этих неполадок. Таким образом, сформулированы следующие причины проведения оценочных работ. Первой причиной проведения работ по оценке является непрерывный оперативный контроль. Вторая причина

- возникновение какого-либо события, требующего проведение оценочных работ. Можно выделить три типа возможных событий: возникновение проблемных ситуаций в ИТ; изменения в структуре или функциях ИТ-департамента; изменения в условиях функционирования. Результатом проведения оценочных работ могут бьггь три факта: полная замена информационной системы организации; модернизация информационной системы организации; решение о не проведении совокупности мер по модернизации информационной системы организации.

В работе также изложен ряд вопросов, на которые может дать ответ оценка ИТ, и определен набор ключевых индикаторов достижения цели и ключевых показателей производительности, указывающих на степень достижения результата. Для каждого из типов оценки, определены основные цели проведения оценки, изучаемые объекты в процессе оценки, методы и подходы к оценке, а также достигаемый результат. В соответствии с тем, что было выделено два вида оценки ИТ, выделено две группы основных потребителей информации об оценки ИТ: лица, проводящие оценочные работы и лица, заинтересованные в результатах проведения оценки ИТ. Говоря о группах, заинтересованных в информации об оценке ИТ, проводимой внешней компанией-аудитором, можно выделить группу внешних потребителей и группу внутренних потребителей. К внешним потребителям относятся: компания, проводящая оценку; акционеры компании; кредиторы; лицензирующие органы. К внутренним потребителям информации относятся' генеральный директор; совет директоров; финансовый директор; заместитель генерального директора по производству; внутренний аудитор; прочий персонал компании; ИТ-служба.

Далее в главе был сделан обзор существующих методов и стандартов в области оценки ИТ. В настоящий момент все существующие методы оценки можно разделить на две

крупные категории - это методы комплексной оценки и методы оценки информационной системы по заданному критерию, либо ряду критериев. Отдельно стоящим классом методов является класс подходов к описанию и представлению информации о процессах и явлениях в организации для последующего анализа. Точное количество методов, как комплексной оценки, так и методов оценки ИС по выбранному критерию указать невозможно, ввиду того, что большинство консалтинговых компаний позиционируют свои методы проведения оценочных работ, как ноу-хау. Однако на основе открытых источников перечислим существующие методы.

Методы комплексной оценки. Существует шесть наиболее популярных методов: COSO - Внутренний контроль - Единая Структура. 1992 год; СоСо - Руководство по контролю. 1995 год; Cadbury -Описание финансов и внутреннего учета. 1994 год; СОВГТ -Контрольные Объекты для Информационной и смежных Технологий. 1996, 1998, 2000 года; SAC & eSAC - Система Аудитоспособности и Контроля. 2001 год; SASs 55/78/94 -Официальный Свод Стандартов Аудита. 1990,1997, 2001 года.

Методы экономической оценки. Все существующие методы экономической оценки можно разделить на три основных группы: финансовые методы, качественные методы и вероятностные методы. Финансовые методы: Экономическая добавленная стоимость (Economic Value Added); Полная стоимость владения (Total Cost of Ownership); Совокупный экономический эффект (Total Economic Impact); Быстрое экономическое обоснование (Rapid Economic Justification); Функционально-стоимостной анализ (Activity Based Costing); Чистая приведенная стоимость (Net Present Value); Внутренняя норма доходности (Internal Rate of Return); Период окупаемости (Payback Period); Доход на активы (Return On Investment). Качественные методы: Система сбалансированных показателей (Balanced Scorccard); Информационная экономика (Information Economics); Управление портфелем активов (Portfolio Management); Система показателей ИТ (IT Scorecard); Benchmarking; Восприятие потребителя (Customer Insight). Вероятностные методы: Справедливая цена опционов (Real Options Valuation); Прикладная информационная экономика (Applied Information Economics); Обеспеченная экономическая стоимость (Economic Value Sourced).

Методы оценки рисков. Среди методов оценки рисков можно выделить всего два популярных метода. Это Метод CRAMM, оценивающий уровень безопасности компании и величину рисков и метод OCTAVE - метод анализа и управления рисками, ориентированный на использование внутри организации при проведении внутреннего аудита

Методы оценки безопасности. На сегодняшний день в области безопасности можно выделить всего три базовых метода: метод BS7799 (ISO 17799) был разработан на основе первой части Британского стандарта BS 7799-1:1995; метод BSI - германское "Руководство

по защите информационных технологий для базового уровня защищенности", разработанное в 1998 году, метод ITSEC/CC (ISO 15408) представляет собой ряд томов Common Criteria, которые содержат обобщенное формализованное представление знаний и опыта, накопленного в области обеспечения информационной безопасности.

Методы оценки управления ИТ-сервисов. Непосредственно для оценки качества управления ИТ-сервисами методов не существует. На сегодняшний день существует библиотека передового опыта в области ИТ, разработанная свыше десятилетия назад британским правительством. Посредством этого накопленного опыта возможно сравнение текущей ситуации в ИТ-департаменте и вынесение рекомендаций по оптимизации деятельности.

Стандарты представления данных о процессах организации. В области стандартов представления информации о процессах организации можно выделить следующие базовые методы: IDEF0 - стандарт построение функциональной модели организации; IDEF1 -стандарт анализа и изучения взаимосвязей между информационными потоками; IDEFlx -стандарт для разработки реляционных баз данных; IDEF3 - стандарт документирования технологических процессов, происходящих на предприятии; DFD - стандарт построение диаграммы потоков данных; ARIS - архитектура интегрированных информационных систем.

При изучении проблематики использования методов оценки ИТ было отмечено, что при проведении внутренней оценки собственными силами, не прибегая к помощи сторонних аудиторов, компании соответственно сталкиваются с серьезной нехваткой методологической базы для проведения комплексной и всесторонней оценки. СЮ компаний вынуждены или все-таки прибегать к дорогостоящим услугам сторонних аудиторов, или изучать методы оценки самостоятельно. В первом случае возникает две важные проблемы: нарушение принципа непрерывности контроля и оценки, что не дает полной динамической картины происходящего в компании; фрагментарность оценки ввиду возможного недопонимания всей глубины причины аудита. Во втором случае возникает серьезная проблема с изучением большого числа методов и стандартов оценки. Серьезным препятствием на этом пути является нехватка, как материалов для изучения, так и отсутствие сертифицированных курсов и учебных заведений, преподающих эти методики оценки.

На сегодняшний день формализованы следующие серьезные проблемы в использовании методов оценки: отсутствие классификационной базы методов оценки ИТ, охватывающей все области деятельности ИТ; отсутствие опыта в применении известных методов оценки; фрагментарность единственного существующего в России метода комплексной оценки; отсутствие метода комплексной оценки, учитывающий все области охвата ИТ; наличие пробелов в оценке по критериям.

Вторая глава «Моделирование оценки ИС» посвящена вопросам непосредственного создания ряда моделей оценки ИТ. В первом разделе главы описаны этапы и шаги проведения аудита ИТ.

I. Осознание потребности в проведении аудита ИТ. Самый первый этап, на котором происходит осознание проблем организации в области ИТ, принимается решения о проведении аудита и формирование первичных базовых целей аудита организации в области ИТ. Шаги: осознание проблем, связанных с ИТ; формулировка и выбор целей и результатов; решение о проведении аудита ИТ.

II. Планирование аудита. Базовый этап в проведении аудита ИТ. Включает в себя подготовительные работы по разработке системы анкетирования и регистрации данных об организации, определяет сроки и тип проводимого аудита. Шаги: первичная встреча аудитора и руководителя изучаемой компании; создание рабочей группы и определение ее квалификации; определение конечных потребностей и целей для проведения аудита ИТ; предварительное изучение процессов и сбор первичных данных; выбор типа аудита; разработка программ тестов для идентификации ресурсов; разработка программ тестов для изучения функций и процессов; разработка программ тестов для изучения истории процессов; разработка прочих специфических программ тестов сбора данных; планирование управления и контроля качества аудита; оценка аудиторского риска; разработка графика проведения аудита, оценка стоимости аудита.

III. Регистрация данных. Следующим этапом проведения аудита является сбор (регистрация) данных о ситуации в организации. Шаги: проведение идентификации ресурсов; проведение программы сбора данных о процессах и функциях; составление расширенной функциональной модели; проведение программы сбора данных об истории процессов; сбор прочих специфических данных.

IV. Оценка полученных данных. Наиболее значимый и важный этап для всех типов аудита. После сбора всех необходимых данных посредством описанных ниже четырех подходов осуществляется процесс оценки. Данный этап невозможно декомпозировать в шаги, поскольку он полностью зависит от специфики организации и выбранного критерия аудита. Выделено четыре основных подхода: сравнение данных с данными прочих компаний отрасли (benchmarking); оценка на соответствие стандарту; расчетная оценка; экспертная оценка.

V. Вынесение рекомендаций. Этот этап является заключительным, и на нем в процессе дискуссии рождаются конечные рекомендации по оптимизации ИТ-ориентированных бизнес-процессов. Шаги: дискуссии по проекту; подготовка отчета; конечная презентация.

и

В работе представлено описание модели регистрации данных и, на основе современных методов, разработан новый процессный подход.

Рисунок I. Новый расширенный процессный подход сбора данных об ИТ-ориентированном бизнес-процессе Изложено описание последовательности работ по сбору этих данных. Всего выделено четыре этапа сбора данных о процессе: идентификация работы и определение ее места в функциональной модели организации; определение контролирующих показателей; идентификация используемых ресурсов и механизма их использования с детальным указанием стоимости; регистрация истории процесса На основе рассмотренного процессного подхода и с целью восполнения пробела в методах оперативного контроля, построена модель оценки эффективности деятельности ИТ-ориентированного бизнес-процесса. Для постоянного поддержания и увеличения эффективности деятельности ИТ-ориентированных бизнес-процессов требуется систематическое проведение аудита этих процессов (проведение внутреннего контроля). Непрерывность внутреннего контроля крайне необходима для контроля за затратами и их целевым эффективным распределением.

Задачи, решаемые моделью можно сформулировать следующим образом: выявление объема используемых ИТ ресурсов и затрат на них; оценка динамики изменения эффективности функционирования ИТ-ориентированного бизнес-процесса; оптимизация распределения затрат на ИТ ресурсы. Объем используемых ресурсов и затрат на них

определяется на основе изложенного нового процессного подхода. Собранные данных ложатся в основу оценки динамики изменения эффективности функционирования процесса. На основе ряда выкладок сделана следующая зависимость:

Е = Е(С) = Е(СП ,СД ,СТ ,СР ,СВ ,Сс) (1), где Е - эффективность, С - совокупные ИТ затраты на процесс, Сп - затраты на персонал, Сд -затраты на данные, Ст - затраты на технологии, Ср - затраты на работы по учету и минимизации рисков, Се - затраты на физическую и логическую безопасность, Сс -стратегические затраты. Целевой функцией метода является С, -»С, Ес Ес

тш 1 1та* /1 тч

(2,3), где

С С

1 - одна из шести представленных статей затрат, 1 - затраты по 1 статье затрат, 1тш -

минимальные затраты по i статье затрат, обусловленные требованиями рынка.

Ес.

Ес,

достигаемая эффективность от использования затрат по i статье затрат, ™ максимальная достигаемая эффективность от использования затрат по i статье затрат, получаемая в результате процесса оптимизации. Важно отметить, что серьезной проблемой при решении задачи оптимизации структуры и содержания затрат является отсутствие возможности четко формализовать зависимость между составом затрат и эффективностью бизнес-процесса. Весь процесс оптимизации проходит итеративно - происходит изменение структуры и состава затрат и затем оцениваются изменения в эффективности процесса.

Основным и главным показателем, отражающим изменение эффективности ИТ-ориентированного бизнес-процесса, является система метрик процесса (показателей, характеризующих степень выполнения процесса - KPI - key performance indicators). На сегодняшний день эти показатели используются крайне часто, и существует два популярных метода, в которых KPI нашли серьезное применение - это метод Системы Сбалансированных Показателей и библиотека ITIL. В работе представлено описание базовых правил использования и формализации метрик. Рекомендовано выделять такое количество метрик оценки, сколько работ, либо процедур существует в рамках оцениваемого ИТ-ориентированного бизнес-процесса. Каждая формализованная метрика должна иметь ранг, отражающий степень значимости реализуемой работы для процесса в целом. Таким образом, на основе метрик, отражающих состояние процесса в два различных отчетных периода, построена формула для получения среднего общего значения эффективности процесса.

f100 *(KPI,.,-KPU . tt AW.«

(4), где

КР1.

1еО

п - количество метрик, г - ранг значимости метрики, - значение метрики в первый

КР1Ш

отчетный период, - значение метрики во второй отчетный период. На основе

представленной формулы возможно построение графика, отражающего изменение эффективности процесса во времени. Достоинством подхода является простота получения значений метрик, что позволяет ускорить процесс оценки эффективности за счет автоматизации. Другим показателем, отражающим изменение эффективности, является позиционирование процесса на шкале зрелости СММ. Такой подход к оценки динамики изменения эффективности следует считать более концептуальным и экспертным.

Итак, общий процесс оптимизационной деятельности можно представить следующим образом.

Где Е - эффективность выполнения ИТ-ориентированного бизнес-процесса, а Т - временная шкала. А„ - очередной этап проведения аудита (внутреннего конгроля), г„ - период роста эффективности выполнения процесса за счет рекомендаций, а - период спада эффективности из-за изменений в бизнесе и как следствие из-за изменения требований к процессу. Можно выделить два главных этапа в оптимизационной деятельности бизнес-процесса.

- Проведение аудита, при котором проводятся работы по оценке бизнес-процесса и вынесению рекомендаций по оптимизации. Важно отметить, что аудит характеризуется следующими этапами: планирование аудита; сбор данных; оценка результатов; вынесение рекомендаций.

- Непрерывный контроль и постоянная оптимизация процесса, при которой через заданные интервалы времени, как показано ниже на Рисунке 2 проводится экспресс оценка только значений метрик КР1 и, при неблагоприятных показаниях, производится корректировка затрат. При выявлении затяжной тенденции к

ухудшению значений метрик КРТ, как отмечено на Рисунке 2 в интервале от Г| до Ч], инициируется новый этап проведения аудита бизнес-процесса, при котором происходит более детальная оценка деятельности процесса, включающая изучение как метрик KPI. так и обобщенных показателей и уровня развития по модели СММ. Рассмотрев подробно методы оценки затрат, выделено три основных подхода к формированию состава затрат при оптимизационной деятельности.

- Определение затрат посредством оценки ИТ-ориептированного бизнес-процесса по заданному критерию.

- Экспертное определение затрат на основании значимости бизнес-процесса для производственной цепочки бизнеса.

- Экспертное определение затрат на основании значимости роли информационных технологии для бизнеса.

Далее в работе по каждому из изложенных ранее критериев оценки изложены обобщающие модели и матрицы экспертной оценки. Отдельно показана значимость каждого из методов оценки по критерию.

Другой предлагаемой моделью является модель оценки адекватности программно-аппаратной базы требованиям ИТ-ориентированного бизнес-процесса. Оценка адекватности программно-аппаратной части требованиям бизнеса важна для формирования корректного и полного взгляда на запросы к ИТ в целом. Данный вид оценки напрямую влияет на оценку затрат при приобретении и поддержке программно-аппаратной базы. Результатом проведения анализа адекватности является вывод о том, насколько программно-аппаратный комплекс организации адекватен и отвечает требованиям бизнеса на конечном уровне бизнес-процессов.

Итак, организацию можно представить как совокупность взаимосвязанных процессов. Для реализации модели важно изучение именно ИТ-ориентированных бизнес-процессов. Каждый процесс, использующий ИТ при реализации своей главной функции, состоит из ряда рабочих инструкции Рабочая инструкция, для более корректного формального отображения требуемого программно-аппаратного обеспечения, должна состоять из следующих частей: описание используемых данных для реализации инструкции; описание действия, производящего некую трансформацию данных; описание системы ограничений и контролирующих факторов; описание периодичности реализации данной инструкции. На основе данных о рабочих инструкциях, собранных в нотации нового процессного подхода, используя схему, изложенную на Рисунке 3., возможно определение необходимых программных модулей и требуемого аппаратного обеспечения.

Рисунок 3. Процесс формализации программно-аппаратного комплекса на основе

потребностей бизнес-процесса. Далее на основе всех изученных методов представлена концептуальная модель комплексного аудита, изложенная ниже, на Рисунке 4.

Оценка стратегии и планирования

Оценка рисков и беэслаомст

Рисунок 4. Концептуальная модель комплексной оценки.

В третьей главе «Тестирование модели и определение ее полезности» представлены результаты апробации трех разработанных моделей оценки. Изначально были определены свойства искомого бизнес-процесса для проведения верификации и тестирования выбранных моделей: бизнес-процесс должен быть не элементарным и содержать в себе от 5 и выше работ; бизнес-процесс должен активно работать с данными, привлекая различные ИТ ресурсы: бизнес-процесс должен бьггь формализованным и иметь рабочие инструкции; бизнес-процесс должен быть повторяющимся; бизнес-процесс должен иметь среднюю или высокую значимость для реализации производственной функции организации какой-либо отрасли. В результате был выбран следующий ИТ-ориентированный бизнес-процесс: бизнес-процесс набора профильной рекламы для ежемесячных периодических изданий, одного из московских издательств.

На основании нового процессного подхода был осуществлен сбор и упорядочивание данных о бизнес-процессе. Оценена полнота и непротиворечивость данных, требуемых для наполнения модели. Представлена вся совокупность данных для последующего тестирования и верификации выбранных моделей, также показаны базовые формы и таблицы для получения данных об ИТ-ориентированном бизнес-процессе. Оценены этапы реализации модели. По всем изложенным ранее четырем этапам детально представлены полученные данные о предметной области. Оценена пригодность модели для практического применения. Отмечены и представлены элементы данных, использование которых изложено ниже в моделях. Полученные данные легли в основу оценки модели проведения последовательной итеративной оптимизации структуры и состава затрат для ИТ-ориентированного бизнес-процесса. Оценена полнота требуемых данных для реализации модели: для построения системы оценки эффективности бизнес-процесса достаточно совокупности показателей ключевых параметров результативности, рангов значимости этих показателей, истории проблемных ситуаций бизнес-процесса за отчетный период. Оценена трудоемкость сбора данных о КР1 и их значимости. В результате проведенного анкетирования выяснилось, что персонал компании может эффективно и корректно описывать исполняемые действия, ключевые параметры результативности, их значимость для процесса. Процесс заполнения анкеты занимает не более 3-5 часов. Оценена возможность и качество сбора данных для экспресс оценки. Оценив и рассмотрев собранные данные, был сделан вывод об их корректности и пригодности к оценке эффективности. Оценена адекватность экспресс оценки эффективности и ниже, на Рисунке 5., график динамики изменения эффективности в течение одного месяца. Анкетирование на наличие проблемных ситуаций показало действительно имеющиеся причины для спада эффективности реализации функции бизнес-процесса. Оценена система оптимизации затрат

на бизнес-процесс. На основании системы распределения затрат на бизнес-процесс были предложены рекомендации по оптимизации затрат.

Рисунок 5. График изменения динамики эффективности. В разделе тестирования и верификации модели оценки адекватности программно-аппаратного комплекса требованиям бизнес-процесса на основе матричного представления были достигнуты следующие результаты: оценена трудоемкость ввода данных об используемых ИТ ресурсах; оценена трудоемкость и степень использования экспертных знаний для заполнения матриц оценки; оценено соотношение данных о существующем и требуемом программно-аппаратном комплексе. На основе изученного бизнес-процесса отмечено, что тестируемая модель адекватно и относительно точно оценивает требования к программно-аппаратному комплексу.

В заключении обобщены результаты работы и сделаны основные выводы.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ. В диссертационной работе были получены следующие результаты:

1. Создана расширенная схема проведения аудита ИТ.

2. Произведен сбор, оценка и классификация существующих методов и стандартов оценки информационных технологий с последующим определением пригодности и эффективности этих методов; на основе методов и стандартов определены основные современные подходы к оценке информационных технологий.

3. Создана модель описания ИТ-ориентированного бизнес-процесса, являющаяся усовершенствованием и методологической надстройкой для современных меюдов и стандартов, основывающихся на процессном подходе представления данных.

4. Создана модель проведения последовательной итеративной оптимизации структуры и состава затрат для ИТ-ориентированного бизнес-процесса, а также рассмотрена итеративная схема определения эффективности процесса и предложены приоритеты распределения затрат на бизнес-процесс.

5. Создана модель для оценки адекватности программно-аппаратного комплекса требованиям бизнес-процесса на основе матричного представления, позволяющая оперативно учитывать структуру и состав используемых ИТ средств и их адекватность потребностях ИТ-ориентированного бизнес-процесса.

РАБОТЫ, ОПУБЛИКОВАННЫЕ ПО МАТЕРИАЛАМ ДИССЕРТАЦИИ.

1 Костава В.А. Расширенный процессный подход как основа регистрации данных для аудита ИТ. // Проблемы управления: Тезисы докладов 12-го Всероссийского студенческого семинара. Вып. 2 / ГУУ. - М„ 2004. - 0,06 пл.

2. Костава В А. Концепция интегрированной информационной системы для профессионального аутсорсинга. // Проблемы управления: Тезисы докладов 10-го Всероссийского студенческого семинара. Вып 1 / ГУУ. - М., 2002. - 0,06 п.л.

3. Костава В.А Иерархия уровней оценки ИС для проведения ее аудита. // Экономика. Управление. Культура. Вып. 11 / ГУУ. - М., 2004. - 0,5 п л.

4. Костава В.А. Этапы и жизненный цикл ИТ аудита. // Вестник университета, Серия социология и управление персоналом №3(10). - М.: ГУУ, 2004. - 0,4 п.л

5. Костава В.А. Анализ современных методов и стандартов оценки информационных технологий организации. // Вестник университета, Серия социология и управление персоналом №3( 10).-М.: ГУУ, 2004. - 0,75 п.л.

Подп. в печ. 21.09.2004. Формат 60x90/16. Объем 1 печл. Бумага офисная. Печать цифровая.

Тираж 70 экз. Заказ № 1118.

ГОУВПО Государственный университет управления Издательский центр ГОУВПО ГУУ

109542, Москва, Рязанский проспект, 99, Учебный корпус, ауд. 106

Тел./факс: (095) 371-95-10, e-mail: ic@guu.ru

www.guu.ru

РНБ Русский фонд

2005-4 12435

с

Диссертация: содержание автор диссертационного исследования: кандидата экономических наук, Костава, Вахтанг Арчилович

ВВЕДЕНИЕ.

ГЛАВА 1. МОДЕЛИ И МЕТОДЫ ОЦЕНКИ ИНФОРМАЦИОННЫХ СИСТЕМ (ИС).

1.1. Задачи, стоящие перед диссертационным исследованием. Актуальность и понятие оценки и аудита ИС.

1.1.1. Задачи, стоящие перед диссертационным исследованием.

1.1.2. Актуальность и понятие оценки и аудита ИС.

1.2. Основные цели и задачи оценки ИС.

1.3. Целевая группа потребителей информации об оценке ИС.

1.4. Объект, предмет и метод исследования.

1.4.1. Объект диссертационного исследования

1.4.2. Предмет диссертационного исследования.

1.4.3. Метод диссертационного исследования.

1.5. Существующие методы оценки ИС/ИТ и их возможности.

1.5.1. Методы комплексной оценки.

1.5.2. Методы экономической оценки.

1.5.3. Методы оценки рисков.

1.5.4. Методы оценки безопасности.

1.5.5. Методы оценки управления ИТ-сервисов.

1.5.6. Стандарты представления данных о процессах организации.

1.6. Проблематика использования современных методов оценки ИС.

Выводы по главе 1.

ГЛАВА 2. МОДЕЛИРОВАНИЕ ОЦЕНКИ ИС.

2 .1. Этапы и жизненный цикл ИТ аудита и его место в цикле ИТ-структуры

2.2. Изучение ИТ-ориентированных процессов. Построение модели регистрации данных об ИТ-ориентированном бизнес-процессе.

2:3. Оценка бизнес-процесса.

2.3.1. Оценка в соответствии со стандартом.

2.3.2. Оценка по методологии Benchmarking.

2.3.3. Расчетная оценка.

2.3.4. Экспертная оценка. Построение модели оценки эффективности деятельности ИТ-ориентированного бизнес-процесса.

2.4. Оценка критерия ИТ.

2.4.1. Оценка управления ИТ сервисами.

2.4.2. Оценка ИТ затрат.

2.4.3. Оценка рисков.

2.4.4. Оценка безопасности.

2 А.5. Стратегическая оценка.

2.4.6. Оценка программно-аппаратной базы и соответствия ее потребностям бизнеса. Построение модели оценки адекватности программно-аппаратной базы требованиям ИТ-ориентированного бизнес-процесса.

2.5. Проведение комплексной оценки:.

Выводы по главе 2.

ГЛАВА 3. ТЕСТИРОВАНИЕ МОДЕЛИ И ОПРЕДЕЛЕНИЕ ЕЕ ПОЛЕЗНОСТИ.

3.1. Выбор методов и моделей для проведения верификации.

3.2. Выбор и описание предметной области для проведения верификации моделей.

3.3. Пример использования моделей.

3.3.1. Верификация модели описания ИТ-ориентированного бизнес-процесса.

3.3.2. Верификация модели проведения последовательной итеративной оптимизации структуры и состава затрат для ИТ-ориентированного бизнес-процесса.

3.3.3. Верификация модели для оценки адекватности программно-аппаратного комплекса требованиям бизнес-процесса на основе матричного представления.

Выводы по главе 3.

Диссертация: введение по экономике, на тему "Модели и методы оценки информационных систем"

В последние годы российские предприятия различных отраслей промышленности столкнулись с серьезной потребностью во внедрении корпоративных информационных систем. Процесс внедрения такого класса систем» закономерен и обоснован, поскольку конкурентное преимущество на рынке получают именно те компании, которые способны эффективно управлять информацией и информационными ресурсами. Наиболее важным; инструментом: оптимальной организации информационных технологий компании является аудит информационных технологий. На сегодня аудит ИТ проводится крайне редко, и, поэтому, компании s имеют серьезные: расхождения между требованиями с бизнеса и * структурой используемых информационных технологий, что практически всегда влечет за собой ряд существенных издержек. Как любой управляющий механизм; корпоративная информационная система требует четкого и оперативного контроля. С ростом внедрений таких систем встает актуальная задача; оценки и> формированиям механизма, позволяющего своевременно и адекватно собирать, изучать и анализировать данные о деятельности системы.

За рубежом, где задачи оценки информационных технологий компании решаются уже около двух десятилетий, создан? ряд методов и1 стандартов, позволяющий проводить комплексную и критериальную оценку информационных технологий компании. В России на сегодняшний день не существует собственных официально опубликованных методов и: стандартов. Попытки изучить и применить* опыт европейских и американских аудиторов; ИТ встречают такие барьеры как: отсутствие подробных описаний и рекомендаций по проведению большинства методов; некачественный и запаздывающий перевод того небольшого количества методов, и стандартов, которые публикуются в открытых источниках на английском языке; не достаточная проработанность целого; ряда зарубежных методов оценки.

Таким? образом, возникают следующие проблемы, связанные с использованием методов и стандартов оценки информационных технологий компании: отсутствие структурированного подхода к комплексной оценке, учитывающего все области; охвата ИТ; отсутствие последовательной схемы проведения оценочных работ; отсутствие ряда4 подходов! к оценке информационных технологий в области некоторых критериев;

Целью настоящего диссертационного исследования является-создание моделей проведения? внутренних работ по оценке информационных технологий организации на основе современных методов контроля, оценки и стандартов. Модели обеспечивают помощь лицу, принимающему решение, не являющемуся специалистом в области оценки ИТ в решении проблем комплексной оценки, поддержания, развития и модернизации ИТ организации.

Основными задачами диссертационного исследования являются следующие задачи:

1. Определение понятийного аппарат оценки ИС/ИТ и обоснование актуальности и востребованности аудита информационных технологий современными компаниями.

2. Определение основных пользователей информации об оценке ИТ и их информационные^потребности^

3. Рассмотрение всех существующие российских и зарубежных методов и стандартов оценки ИТ и классифицировать их в группы, с дальнейшим определением наиболее популярных и часто реализуемых методов оценки.

4. Выявление методологических пробелов и проблематики использования методов и стандартов оценки и на основе выявленных пробелов в схемах проведения аудита ИТ, описать жизненный цикл аудита ИТ и формализовать основные: этапы и шаги проведения; аудита ИТ.

5. На основе выявленных недостатков приведение и обоснование модели представления данных об ИТ-ориентированном бизнес-процессе прш проведении? всестороннего аудита; приведение: ш обоснование модели < оценки эффективности; функционирования ИТ-ориентированного бизнес-процесса; приведение и обоснование модели оценки программно-аппаратной базы ; и соответствия г ее потребностям бизнеса:

6. Проведение практической апробации разработанных методов. Объектом диссертационного исследования является' информационная система и:процессы, в которых она участвует (основные элементы информационной системы: — информация и данные, циркулирующие в? ИС; бизнес-правила, являющиеся алгоритмической* основой функционирования ИС; персонал и инфраструктура).

Предметом диссертационного исследования являются методы, стандарты и подходы изучения бизнес-процессов организации, инвентаризации ресурсов, процессов, инцидентов и проблемных ситуаций» и их предпосылок, а также способы качественной и количественной оценки деятельности ИТ-департамента организации.

Методами исследования являются математические модели и методы анализа в области оценки и описания ИС/ИТ, позволяющие системно рассматривать, изучать и анализировать объект-оценки^

Научная новизна работы состоит в создании и обосновании системы классификации типов; аудита ИТ и; критериев оценки ИТ, на основе которой; проведена сравнительная s характеристика современных методов оценки и построены обобщающие концептуальные модели по каждому из критериев. Выделены и сформулированы современные подходы к оценке ИТ. На основе системного анализа существующих методов оценки были разработаны следующие модели:

1. . предложена модель расширенного процессного подхода для описания ИТ-ориентированного бизнес-процесса;

2. построена модель оценки эффективности деятельности ИТ-ориентированного бизнес-процесса;

3. разработана модель оценки адекватности программно-аппаратной базы требованиям ИТ-ориентированного бизнес-процесса.

Практическая ценность работы. Разработанные и предложенные в работе модели и методы оценки позволяются достичь современным организациям следующие результаты:

• вести непрерывный учет и эффективно управлять используемыми информационными технологиями организации;

• осуществлять внутренний комплексный контроль на основе на основе обоснованного выбора совокупности современных методов и посредством предложенной схемы проведения контроля;

• оценивать эффективность выполнения ряда ИТ-ориентированных бизнес-процессов и оптимально перераспределять затраты на этот бизнес-процесс.

Структура работы. В первой главе рассматривается актуальность выбранной проблематики; определяются понятия аудита и оценки информационных технологий. Детально рассматривается предмет, метод и объект диссертационного исследования. Основное внимание уделено рассмотрению существующих методов оценки и созданию классификационных групп-методов с выделением-наиболее популярных и используемых методов в этих группах. В заключение главы определяется проблематика использования современных методов оценки, и формализуются основные существующие недостатки рассмотренных моделей;

Во второй главе на основе выделенных пробелов и недостатков определяются этапы и жизненный цикл ИТ аудита и его место в цикле ИТ - структуры. Далее,, производится анализ и обобщение современных методов, выделяется четыре базовых подхода к оценке и, в рамках этих подходов, приводятся рекомендации по использованию приведенных методов. Также на основе выделенных недостатков предлагаются три модели - модель описания ИТ-ориентированного бизнес-процесса; модель проведения последовательной итеративной оптимизации структуры и состава затрат для ИТ-ориентированного бизнес-процесса; модель для оценки адекватности программно-аппаратного комплекса требованиям бизнес-процесса на основе матричного представления. В заключение главы излагается обобщенный взгляд на комплексный аудит информационных технологий.

В третьей главе производится тестирование и верификация предложенных трех моделей на реальном выбранном ИТ-ориентированном бизнес-процессе. Определяется набор тестируемых моделей, участвующих в апробации и обосновывается выбор ИТ-ориентированного бизнес-процесса. Результатом верификация является положительный вывод о пригодности предложенных моделей, а также ряд рекомендаций по оптимизации работы изучаемого бизкес-процесса.

В заключении рассматриваются достигнутые результаты диссертационного исследования.

С целью облегчения восприятия работы, описание всех рассмотренных методов и стандартов вынесено в приложения.

Диссертация: заключение по теме "Математические и инструментальные методы экономики", Костава, Вахтанг Арчилович

Выводы по главе 3

1. В настоящей! главе исследования проведено тестирование и верификация предлагаемых моделей в практических условиях.

2. Среди полученных и представленных в главе 2 подходов, моделей и методов, выбраны три модели для апробации — модель описания ИТ-ориентированного бизнес-процесса, модель проведения последовательной итеративной оптимизации структуры и состава затрат для ИТ-ориентированного бизнес-процесса, модель для оценки адекватности программно-аппаратного комплекса требованиям бизнес-процесса на основе матричного представления. Для каждой из выбранных моделей были определены цели верификации.

3. Оценена полнота и непротиворечивость данных, требуемых для наполнения модели описания ИТ-ориентированного бизнес-процесса.

4. Оценены этапы реализации модели и степень пригодности модели описания ИТ-ориентированного бизнес-процесса для практического применения.

5. Оценена полнота и пригодность ранее собранных требуемых данных для реализации модели проведения последовательной итеративной оптимизации структуры и состава затрат для ИТ-ориентированного бизнес-процесса.

6. Оценена возможность, а также трудоемкость сбора данных о KPI и их значимости для модели проведения последовательной итеративной оптимизации структуры и состава затрат для ИТ-ориентированного бизнес-процесса.

7. Оценена адекватность экспресс оценки эффективности, а также возможность проведения оптимизации затрат на бизнес-процесс на основе теоретического обоснования модели проведения последовательной итеративной оптимизации структуры и состава затрат для ИТ-ориентированного бизнес-процесса.

8. Оценена трудоемкость ввода данных об используемых ИТ ресурсах, а также степень использования экспертных знаний для составления и заполнения матриц в модели оценки адекватности программно-аппаратного комплекса требованиям бизнес-процесса.

9. Оценено соотношение данных о существующем и требуемом программно-аппаратном комплексе, на основании чего дан ряд рекомендаций по оптимизации состава программно-аппаратного комплекса для реализации задач бизнес-процесса.

ЗАКЛЮЧЕНИЕ

1. Сформулированы основные задачи, поставленные перед автором.

2. Оценена актуальность проведения оценки ИТ и определено понятие оценки и аудита информационных систем.

3. Описаны и классифицированы основные предпосылки для проведения работ по оценке и выявлены возможные результаты от проведения оценочных работ.

4. Установлены основные группы пользователей аудита и определена степень их интереса к информации об оценке ИТ.

5. Рассмотрено и представлено более 30 методов в области оценки ИТ с последующей классификацией и детальным изучением. При проведении анализа методов оценки ИТ, были выявлены недостатки, как комплексной оценки, так и критериальной оценки.

6. Были сформулированы основные проблемы в, использовании современных методов оценки ИТ.

7. Предложен жизненный цикл аудита ИТ и его место в жизненном цикле ИТ структуры. Важным результатом явилось описание обобщенной схемы проведения аудита, составленной на основе современных подходов аудиторов ИТ и методов финансового аудита.

8. Предложена таблица, определяющая существующие основные типы оценок в рамках проводимого аудита ИТ и для каждого типа оценки отмечены основные подходы, использующиеся для процесса оценки. Представлена совокупность схем и программ проведения работ по оценке в рамках всех восьми видов оценки.

9. Произведен сбор, оценка и классификация существующих методов и стандартов оценки информационных технологий с последующим определением пригодности и эффективности этих методов, на основе которых определены основные современные: подходы к оценке информационных технологий.

Ю.Предложена к практическому применению модель описания ИТ-ориентированного бизнес-процесса.

11. На основе процессного подхода и ранее предложенной модели описания ИТ-ориентированного бизнес-процесса, предложена модель проведения последовательной итеративной оптимизации структуры и состава затрат для ИТ-ориентированного бизнес-процесса, а также рассмотрена итеративная схема определения эффективности процесса и предложены приоритеты распределения затрат на бизнес-процесс.

12.Представлена модель для оценки адекватности программно-аппаратного комплекса требованиям бизнес-процесса на основе матричного представления, позволяющая оперативно учитывать структуру и состав используемых ИТ средств и их адекватность потребностях ИТ-ориентированного бизнес-процесса.

13.Изложен эталонный стандарт описания оптимального варианта ИТ службы, его состав и основные требования для внедрения

14.Классифицированы существующие методы оценки ИТ затрат

15.Определена теоретическая база оценки рисков.

16.Представлен список трех наиболее часто используемых методов оценки безопасности.

17.Также определены основные компоненты для анализа ИТ стратегии,^ формализованы цели оценки и представлен обобщенный; план проведения стратегической оценки.

18.Проведена верификация изложенных ранее моделей на практике. Для каждой из выбранных моделей были определены цели верификации.

19.0ценена полнота и непротиворечивость данных, требуемых для наполнения модели, а также этапы реализации модели и степень пригодности модели описания ИТ-ориентированного бизнес-процесса.

20.0ценена полнота и пригодность ранее собранных требуемых данных для реализации модели проведения последовательной итеративной оптимизации структуры и состава затрат для ИТ-ориентированного бизнес-процесса.

21.Изучена возможность и трудоемкость сбора данных о KPI и их значимости для модели проведения последовательной итеративной оптимизации структуры и состава затрат для ИТ-ориентированного бизнес-процесса.

22.Проведено изучение адекватности экспресс оценки эффективности и возможности проведения оптимизации затрат на бизнес-процесс на основе теоретического обоснования модели проведения последовательной итеративной оптимизации структуры и состава затрат для ИТ-ориентированного бизнес-процесса.

23.Практически оценена трудоемкость ввода данных об используемых ИТ ресурсах и степень использования экспертных знаний специалиста в области ИТ для составления и заполнения матриц в модели оценки адекватности программно-аппаратного комплекса требованиям бизнес-процесса.

24.На основании соотношения данных о существующем в организации и требуемом программно-аппаратном комплексе был дан ряд рекомендаций по оптимизации состава^ программно-аппаратного комплекса для реализации задач бизнес-процесса.