Понедельник, 2024-05-20, 8:11 PM
Приветствую Вас, Гость
Поиск
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
    • пипол
    Наш опрос
    Как вы торгуете на форекс?
    Результаты | Архив опросов
    Всего ответов: 22
    Форма входа
    Статистика

    Владение ИТ-системой и её администрирование. Обучение. Группы пользователей. Соглашение об уровне услуг.



    Несмотря на применимость и значимость концепции владения системой для всех операционных ИТ-систем финансовой отчетности, особенности её применения существенно варьируются в зависимости от обстоятельств. Поэтому приведенные далее замечания призваны помочь аудитору понять общий принцип концепции и специфику ключевых функций.

    У каждой ИТ-системы ведения финансовой отчетности должен быть признанный "владелец”. Владелец - это лицо, в силу своих должностных обязанностей несущее ответственность за общую безопасность

    повседневной эксплуатации системы и сохранность хранящихся в ней данных, подотчетное высшему должностному лицу организации в связи с данными вопросами и вопросом актуальной текущей полезности системы для деятельности организации в целом.

    Важным полномочием, которым наделен владелец системы, является право санкционировать использование, удаление/перемещение, создание и модификацию системных ресурсов третьими сторонами. К системным ресурсам относятся: данные, параметры конфигурации системы, программное обеспечение документации, а также любое оборудование, используемое в процессе владения системой, например, компьютеры, кабельные линии электропитания и передачи информации, устройства внешней поддержки и ассоциированные защитные устройства.

    Владелец системы играет важную роль в системе внутреннего контроля организации. Вследствие этого он должен хорошо знать деловые потребности организации и сопряженные с её деятельностью риски, а также адекватно оценивать обоснованные потребности в обработке данных отдельных сотрудников и подразделений, использующих систему. Поэтому владельцем системы должен быть один из руководителей подразделения, выступающего в качестве конечного пользователя системы.

    Назначение владельца системы должно рассматриваться в качестве важного момента общей политики информационной безопасности, принятой организацией. Роль и функции владельца системы в целом, а также вопросы отчетности и распределение ролей в процессе назначения владельцев отдельных подсистем определяются как этой политикой, так и специальным бизнес-стандартом.

    Обучение

    Организация обучения должна обеспечивать удовлетворение потребностей как персонала, непосредственно работающего с системой, так и лиц, ответственных за её эксплуатацию и техническое обслуживание. Таким образом, следует принять во внимание интересы как рядового персонала, так и руководства организации, которые далеко не всегда совпадают; в частности, руководство может испытывать потребность в обеспечении функциональной возможности электронной авторизации, организации предоставления специальных отчетов для нужд бизнес-планирования и администрирования и т.д..

    Организация обучения не должна осуществляться опережающими темпами (относительно внедрения системы); в противном случае приобретенные навыки могут быть утрачены, либо прошедший обучение сотрудник вообще может быть переведен на работу в другое структурное подразделение, где эти навыки окажутся невостребованными. В идеале желательно сделать так, чтобы сотрудники сразу же имели возможность применить новые знания и умения на практике; их привлечение к выполнению операций тестирования системы и её параллельного запуска, предшествующего началу плановой эксплуатации, также приветствуется, поскольку помогает им приобрести дополнительные навыки и повысить свой уровень квалификации.

    В случае существенной территориальной рассредоточенности структурных подразделений организации целесообразно использовать "каскадный" метод обучения. Он предусматривает формирование учебной группы, в которую включается один или два наиболее способных и квалифицированных сотрудника от каждого удаленного отделения. После завершения курса им поручается поделиться новыми знаниями и навыками со своими коллегами.

    Важно осуществлять текущий мониторинг процесса обучения, поскольку нередко бывает так, что его реальная ценность оказывается ограниченной. Так, эксплуатационными требованиями предусмотрена обязанность поставщика системы организовать соответствующее обучение. Поставщик хорошо знает особенности своего продукта, но вряд ли удовлетворительно осведомлен о специфике его использования в среде деятельности клиента или о вспомогательных конторских процедурах, применимых в случае данной организации. Поэтому для того, чтобы сделать текущий курс обучения максимально полноценным и содержательным, иногда целесообразным решением является организация дополнительных занятий непосредственно силами рабочей группы проекта.

    В процессе обучения следует принять меры для выяснения мнения учащихся относительно системы. Его изучение может стать эффективным инструментом идентификации и устранения потенциальных проблем и недостатков, даже на относительно поздних стадиях работы над проектом.

    Группы пользователей

    Обратная связь с группами пользователей помогает руководству организации в целом и владельцу системы в особенности находить оптимальные способы решения возникающих проблем и общего совершенствования системы с целью сделать её использование максимально возможно эффективным.

    В идеале официальное руководство группой пользователей должно осуществляться владельцем системы. Желательно, чтобы в состав группы пользователей были включены представители всех структурных подразделений и коллективов, так или иначе имеющих отношение к работе системы (как правило, это кто-то из руководителей низшего звена). Деятельность группы должна стимулировать обмен мнениями в связи с возможностями временного "ухода" от существующих проблем до тех пор, пока не будет найдено их постоянное решение при разработке следующей версии системы.

    Также в совещаниях группы может принимать участие системотехник, который может в силу своей профессиональной компетенции оценить то или иное решение с технической точки зрения или оказать помощь в формулировке предлагаемых для внесения в систему изменений.

    Соглашение об уровне услуг

    В случае, если управление системой и её техническое обслуживание осуществляются по поручению и от лица пользователей профессиональным поставщиком ("провайдером”) соответствующих услуг, каковым может быть отдел или служба организации по вопросам информационных технологий, осуществляющий управление работой системы подрядчик, внешнее бюро, поставщик телекоммуникационных услуг или подрядчик, ответственный за техническое обслуживание аппаратного обеспечения, перед началом собственно внедрения системы пользователи и провайдеры обязаны официально договориться о стандартах предоставляемых услуг и уровне удовлетворения запросов пользователя.

    Соглашение об уровне услуг представляет собой письменно оформленный результат договоренности между потребителем и провайдером ИТ-услуг. Само по себе оно не является полноценным контрактом с юридической точки зрения, но входит в качестве ключевой составной части в официальный договор, регламентирующий отношения между заказчиком и поставщиком. Отсутствие формального соглашения об уровне услуг может привести к взаимной несоразмерности эксплуатационных созданных характеристик системы и уровня потребностей (запросов) её пользователя. Соглашение об уровне услуг должно определять требования к конечным свойствам системы применительно к таким имеющим ключевую значимость для пользователя критериям как её доступность пользователю, время ответа, количество обрабатываемых операций и т.д. Также следует прийти к соглашению относительно индикаторов результата и осуществлять регулярный мониторинг уровня предоставляемых услуг на предмет его соответствия предварительно определенным требованиям.

    Соглашение об уровне услуг также должно оговаривать уровень технической поддержки, предоставляемой пользователям (обучение, справочный стол и т.д.), процедуры внесения предложений относительно возможных изменений системы, стандарты обеспечения безопасности и администрирования (в том числе имеющие отношение к средствам контроля системы и доступа к данным и мониторингу использования системы и сети); требования к действиям в чрезвычайной ситуации и таблицу тарификации оказанных услуг.

    Работа по составлению соглашения об уровне услуг должна начинаться на стадии проектирования системы, когда общие контуры последней начинают вырисовываться. На стадии внедрения системы Соглашение об уровне услуг должно быть окончательно и детально доработано и подписано владельцем системы.