Информационные технологии менеджмента

Содержание
Введение
1. Внутренний контроль
2. Системы управления рисками
3. Обеспечение информационной безопасности
4. Корпоративное управление
5. Выполнение требований законодательных и регулирующих органов
6. Внедрение новых ИТ
Заключение
Список литературы

Информационные технологии менеджмента

Всё это обуславливает обеспеченность банков предложениями о приобретении ИТ-систем, регулирующих основные критерии управления рисками. Консультационные и аудиторские компании (Accenture, Bearing Point, Ernst & Young, McKinsey, KPMG, PwC и др.) разработали программы, позволяющие для начала оценить объем предстоящих работ и расходов в процессе внедрения передовых методов. Специализированные компании и рейтинговые агентства (Erick, Fitch Risk Management, Mercer Oliver Wyman, Moody's, Standard & Poor's и др.) сосредоточили усилия на создании корпоративных ИТ-инфраструктур, необходимых для полноценного использования систем. Крупнейшие производители компьютеров и программного обеспечения учреждают консорциумы по выпуску наиболее сложных, комплексных систем управления рисками. Такой альянс образовали, например, три американские корпорации: IBM (мощности для создания и хранения баз данных), PeopleSoft (программы для составления отчетности), Algorithmics (программы для анализа данных). В процессе поиска партнеров находятся компании Fair Isaac, Protiviti, Providus Software, SAS Institute.3
Некоторые банки посчитали более выгодным организовать дочерние фирмы для разработки ИТ-систем и использовать их как в собственном менеджменте, так и для продажи другим компаниям. Данный сегмент рынка работает не только на крупные банки, для которых подобные системы управления рисками являются необходимостью, но и небольшие банки, нацеленные на применение самых современных способов корпоративного управления.
1.2. Обеспечение информационной безопасности
Одна из основных проблем компаний на сегодняшний день состоит в отсутствии понимания ценности информации, обрабатываемой в информационной системе. Это приводит к тому, что даже если система обеспечения информационной безопасности в той или иной степени существует, она слабо связана с ценностью защищаемой информации. В связи с этим одни и те же меры защиты применяются для информации стоимостью 100 и 1000000 долларов. Поэтому одной из важнейших задач аудита является оценка существующих бизнес процессов и определение ущерба (стоимости) по всем видам ценной информации, обрабатываемой в системе. Другая проблема, которую помогает решить аудит, состоит в том, что специалисты крупных компаний не имеют возможностей, времени и, зачастую, достаточных навыков для самостоятельного проведения всего сложнейшего комплекса технологических и организационных проверок информационной системы.4
Именно сторонний аудит позволяет владельцу компании непредвзято взглянуть на существующее состояние дел в компании области ИБ и получить наглядное представление о существующих проблемах с безопасностью и возможных финансовых потерях.
Следующей важнейшей задачей, для выполнения которой необходимо проводить аудит, является анализ информационных рисков и определение эффективности затрат на обеспечение ИБ. Без понимания стоимости информации, объема затрат на ИБ, существующего уровня информационных рисков - невозможно эффективно управлять безопасностью информационной системы. Также, не будем забывать, что большинством стандартов рекомендует проведение регулярного (ежегодного) стороннего аудита ИБ - это также необходимо для определения и проведения должной корректировки уровня оперативной готовности служб обеспечения ИБ.5
Основные задачи аудита IT-безопасности состоят в нахождении всего спектра уязвимостей (как технологического, так и организационного плана) в информационной системе компании, комплексной оценке актуальных угроз информационной безопасности на основе обнаруженных уязвимостей, оценке ущерба по существующим видам ценной информации и получении финансовых оценок рисков реализации угроз. На выходе аудита происходит разработка комплекса мер по повышению существующего уровня защищенности и снижению уровня информационных рисков. Важным вопросом являются критерии проведения аудита и применяемые методики. Для оценки системы управления информационной безопасности сейчас принято применять стандарт ISO 17799.
Проводить аудит собственными силами крайне сложно; аудит по определению должен проводиться третей стороной. В крупных компаниях существуют свои службы внутреннего аудита, однако правило регулярного аудита третей стороной в любом случае остается в силе, и помимо внутреннего аудита такие компании проходят регулярный внешний аудит безопасности. То есть, проведение аудита своими силами не означает отсутствия необходимости проведения внешнего аудита третей стороной.6
Управление обеспечением информационной безопасности считается одним из ключевых элементов общекорпоративных систем ИТ-управления (IT-governance).
В начале 2004 г. британское Министерство торговли и промышленности опубликовало специальный обзор, посвященный проблемам нарушения информационной безопасности. В нем делаются следующие выводы: ситуация в данной сфере является неудовлетворительной и продолжает ухудшаться; решение столь важных задач уже нельзя оставлять в компетенции одних лишь ИТ-подразделений корпораций, а следует передать топ-менеджерам, возглавляющим работу систем внутреннего контроля; деятельность этих руководителей должна находиться под строгим надзором советов директоров.7
В настоящее время в США, Великобритании и других развитых странах появилось уже немало фирм, которые занимаются созданием особых прикладных программ по обеспечению корпоративной информационной безопасности, предлагают услуги по внедрению ИТ-систем, сертифицированных согласно стандартам BS 7799 и ISO 17799, организуют обучение руководителей и персонала. Как подчеркивают О. Суиндл и Б. Коннер, улучшение положения дел в этой важной сфере послужит катализатором роста производительности труда и экономии на издержках, причем не только в кризисные периоды.8
1.3. Выполнение требований законодательных и регулирующих органов
Системы, управляющие выполнением требований законодательных и регулирующих органов, крайне необходимы всем акционерным обществам, и особенно тем, чьи ценные бумаги включены в котировальные списки ведущих фондовых бирж. В начале 2000-х гг. в развитых странах произошло серьезное усложнение и ужесточение нормативно-правовых актов, правил и стандартов, касающихся как корпоративного управления в целом, так и его различных аспектов: противодействия отмыванию криминальных доходов и финансированию терроризма, совершенствования систем бухгалтерского учета и раскрытия информации и т. д.
Лидерами в этом рыночном сегменте являются прежде всего крупные производители бизнес-программ (например, Oracle и PeopleSoft), а также аудиторские фирмы «большой четверки». Весьма успешно действуют и менее известные поставщики: одним из них является фирма Movaris, разрабатывающая программы по выполнению требований законодательства с 1998 г. Она начала распространять свое Web-приложение Certainty, помогающее корпорациям вписаться в рамки закона Сарбейнса-Оксли, еще в сентябре 2003 г. Стоимость лицензии на установку этой системы составляет 100 тыс. долл.9
Руководителям необходимо подойти к перестройке ИТ-систем с единой, общекорпоративной точки зрения, т. е. добиться максимальной интеграции внедряемых программ и не допустить формирования новых технологических структур на базе разрозненных приложений с пересекающимися функциями.
Самым важным условием успеха в этом деле является введение пронизывающей весь бизнес компании и внутренне последовательной совокупности определений, касающихся типов сделок, категорий клиентов, сегментов рынка и т. д. В крупных фирмах такой набор дефиниций формировался на протяжении 20—30 лет в рамках множества внутрикорпоративных информационных систем (их число может доходить до 100). Поэтому начинать надо именно с преодоления разнобоя в определениях: этот шаг позволит обеспечить единство и взаимную согласованность процессов сбора исходных данных, их обработки и представления итоговой информации. 10
2. Корпоративное управление
Для повышения эффективности корпоративного управления необходимо наладить продуктивный членами совета директоров и топ-менеджерами. Им предстоит решить множество вопросов:
выбрать позицию, которая ляжет в основу корпоративной стратегии (формирующая, адаптивная, сохраняющая право на участие в игре),
определить главный источник конкурентного преимущества компании (структурное превосходство, качественное выполнение повседневных операций, глубокое понимание причинно-следственных связей),
обосновать важнейший метод применения бизнес-концепции (высокие ставки, реальные и финансовые опционы, беспроигрышные ходы, страховки),
выявить уровень неопределенности, на котором будет действовать фирма (уверенный прогноз, набор сценариев, ограниченная неопределенность, полная непредсказуемость) и т. д.
Сформулировав и утвердив общий курс, лидеры компании приступают к его последовательной реализации.11
Для эффективного взаимодействия совета директоров и топ-менеджеров необходимо своевременно предоставлять обеим сторонам подробные данные о том, каковы успехи или неудачи компании в осуществлении избранной ею стратегии. Эти сведения далеко не всегда можно найти в квартальных финансовых отчетах или других традиционных материалах. Все руководители акционерного общества должны регулярно получать особую подборку объективных, взаимоувязанных отчетов, способных создать четкую и играющую всеми красками картину ситуации, в которой находится компания. Для того чтобы корпоративная ИТ-система обеспечивала генерирование таких отчетов, она должна успешно решать четыре важные задачи.
1. Достижение внутреннего единства используемых показателей. Они должны рассчитываться так, чтобы можно было легко проследить их формирование из первичных данных, характеризующих финансово-хозяйственные операции. Менеджерам высшего звена и членам совета директоров нужно иметь возможность докопаться до корней возникших у компании проблем или разглядеть ростки открывающихся перед ней возможностей.
2. Обеспечение максимальной актуальности информации. Традиционные отчеты с цифрами за прошлый месяц сейчас уже являются анахронизмом: в американских корпорациях считается, что руководители должны получать сведения не более чем двухнедельной (а лучше всего — недельной) давности. Сокращение сроков предоставления данных создает условия для принятия более гибких и почти мгновенных стратегических решений. 12
3. Индивидуализация отчетов в соответствии с потребностями и кругом полномочий конкретных пользователей. Членам совета директоров, выбирающим ту или иную глобальную рыночную стратегию, и топ-менеджерам, определяющим опорный региональный рынок для воплощения этой стратегии в жизнь, нужна разная пища для размышлений. В составе совета директоров создаются комитеты, нацеленные на решение специфических задач (наиболее распространенными являются комитеты по аудиту, назначениям и вознаграждениям), поэтому каждому из них требуется особая, профильная информация. Иными словами, действующая в корпорации ИТ-система должна обеспечивать составление отчетов в различных вариантах, ориентированных на строго определенную целевую аудиторию.
4. Использование во всех отчетах базового набора индикаторов эффективности, охватывающего наиболее важные составные части корпоративного бизнес-портфеля. Для полноценного внедрения в действие этих индикаторов необходимо стандартизировать и автоматизировать не только сбор данных и формирование отчетов, но и рассылку руководителям срочных сообщений о достижении ключевыми показателями определенных пороговых значений, свидетельствующих о кардинальных — как позитивных, так и негативных — изменениях ситуации. По свидетельству К. Берримэна и Т. Стефенсона, ИТ-комплексы весьма значительного количества американских компаний пока что не включают в себя ни общекорпоративных наборов индикаторов, ни работающих на их базе «сигнальных» систем.13
Роль информационных технологий в стратегическом менеджменте не ограничивается созданием описанной выше отчетности. Следует отметить еще одно важное направление: довольно быстро развиваются внутрикорпоративные коммуникации (Интранет-системы), предоставляющие высшим должностным лицам мгновенный доступ к самым свежим данным о деятельности компании и позволяющие проводить полноценные Web-заседания органов управления, участники которых находятся в разных городах и странах. Лишь немногие гиганты — например, Hewlett-Packard и Intel — создают такие системы своими силами. Большинство же корпораций обращаются к услугам специализированных организаций, и одним из лидеров в производстве программного обеспечения с указанными функциями является американская технологическая фирма BoardVantage Inc. Несомненно, обеспечение выполнения столь сложных задач требует от акционерного общества очень серьезных затрат. Однако улучшение стратегического взаимодействия руководителей окупится сторицей, воплотившись в быстром принятии дальновидных решений, т. е. в повышении долгосрочной эффективности бизнеса.14
3. Внедрение новых ИТ
При переходе корпорации на использование новых информационных технологий перед руководством неизбежно встают следующие особо важные и требующие внимания вопросы:
Как избежать негативных факторов, связанных с переходом на новые схемы работы и осваиванием новых инструментов
Каким образом минимизировать риск потери инвестиций при внедрении информационной системы
Основные критерии выбора информационной системы:
Стоимость (цена, как правило, рассматривается как индикатор надежности)
Функциональность (решение только актуальных задач для предприятия)
Надежность и максимальная простота в использовании
Совместимость с предыдущими версиями15