КОНЦЕПЦИЯ ПОСТРОЕНИЯ АИС НА ОСНОВЕ КОНФЛИКТА ИНТЕРЕСОВ

 

ЧЕБОТАРЬ ПЕТР, секция аудита BC Modiasbanca S.A

Every informational system is build according to the interests of different subdivisions of the company. IT department is interested in result by minimal efforts. Control departments such as QA department or Internal Audit are interested in maximal control over Informational System. Security department is interested in maximal safety of the information in system. Management is interested in minimal cost of the system. End users are interested in maximal functionality of the informational system. Ideal informational system take into consideration all these interests. Real informational system is a compromise among them, often one or some of these interests are main.

Информация компании.

К информации компании отнесем все информацию, хранимую и обрабатываемую в компании. Информация может храниться в электронных хранилищах, в архивах на физических носителях и в головах сотрудников компании.

 

Информационная система.

Включает в себя средства хранения, обработки и передачи информации компании.

 

Роль и место ИТ в структуре компании

  1. ИТ является связеобразующей структурой компании – сервисы ИТ связывают различные департаменты в единое целое, осуществляют транспорт информации и ее обработку согласно установленным критериям.
  2. Работа ИТ не приносит прямой прибыли, но помогает уменьшить затраты на весь технологический процесс. То что раньше было невозможно вследствие высокой себестоимости, при использовании ИТ и современных каналов связи стало реальностью.
  3. Использование ИТ накладывает на организацию «ограничения ответственности»:
    1. Информация, обрабатываемая в АИС, должна соответствовать принципам: конфиденциальности, доступности и .
    2. Организация должна осознавать угрозы, возникающие при использовании ИТ.
  4. Компания не должна быть «заложником» ИТ – ИТ обеспечивают работу компании а не компания обеспечивает работу ИТ. Отсюда следуют принципы прозрачности и доступности для стороннего понимания в управлении ИТ.

 

Роль и Место Информационной Безопасности

Как было уже указано АИС является связеобразующей структурой и в ней отражены существующие бизнес-процессы, поэтому к Информационной Безопасности (ИБ) нужно подходить как к обеспечению непрерывности бизнеса, где каждый из инцидентов влияет в первую очередь на операционную деятельность.
Отсюда решение проблемы информационной безопасности должно в комплексе касаться следующих областей:

  1. Оптимизации бизнес-процессов и поддерживающей их Информационной Системы
  2. Безопасность средств и методик обработки информации
  3. Управление компанией на принципах «доступной отчетности» и прозрачности управленческих процессов

 

Менеджмент ИТ

Основная задача ИТ менеджмента – создать обслуживающую бизнес-процессы инфраструктуру и потом ее поддерживать. Основная трудность состоит в том, чтобы сделать процесс управления информационными сервисами прозрачным и понятным для стороннего наблюдателя. ИТ департамент не должен работать как черный ящик, где пользователи вводят информацию и/или получают ее. Необходим ряд мер по регламентации работы ИТ, составлению базы документации, в которую бы входило описание всех частей АИС, описание информационных потоков и участие в них сервисов ИТ. Конечной целью этих мер должно стать четкое определение места ИТ в структуре компании, разграничение ответственности и позиция компании в отношении информационной безопасности.

 

Участие подразделений в построении ИТ инфраструктуры

При построении ИТ инфраструктуры предприятия каждое из подразделений компании преследует свои интересы.
Интересы:

Идеальная информационная система будет включать в себя все интересы всех департаментов, в этом случае руководство получит безопасный, функциональный и не дорогой инструмент работы, который сможет кардинально изменить бизнес-процессы предприятия.
Но, как правило, реальная система – это некое компромиссное решение с соответствующими перекосами, достигнутое в результате «конфликта интересов» участников процесса построения. Если изначально какой-нибудь интерес был исключен, то, в конечном итоге, с развитием компании встанет вопрос реструктуризации информационной системы.
В связи с этим при построении ИТ инфраструктуры необходимо учитывать мнения всех заинтересованных сторон: построение не может проводиться только одним отделом, к примеру ИТ на основании своих пониманий бизнес-процессов. Лучшим вариантом может стать создание комиссии или совета по развитию и/или построению информационной системы компании, в которую войдут представители всех департаментов.
Руководителем данной рабочей группы должен быть назначен представитель руководства компании, который бы на основании мнений и интересов представителей всех департаментов сможет выстроить концепцию развития информационной инфраструктуры и донести ее до высшего руководства, которое принимает итоговое решение.
Итогом такого обсуждения интересов различных департаментом при построении ИТ инфраструктуры станет сбалансированная АИС, наиболее соответствующая потребностям компании.

 

Литература:

    1. “Beating IT Risks” Ernie Jordan and Luke Silcock. John Wiley & Sons LTD 2005
    2. Developing a KRI Program: Guidance for the Operational Risk Manager BITS September 2004
    3. Rapid Economic Justification. Microsoft Corporation 2005