כיצד לבצע את סקירת התהליך של ITIL?
יש לבדוק באופן שוטף כל תהליך IT על מנת לזהות פערים ודרכים לשיפור. בדרך כלל התהליכים נבדקים מדי שנה, בהתאם למשימות הניהול המופעלות על ידי תגובות רבות יותר מדי של משתמשים, או לאחר הביקורת החיצונית (למשל, מחלקת כספים ביצעה ביקורת על נכסי IT). מאמר זה יעזור לכם לבצע פעילות סקירה יעילה ואפקטיבית. לדוגמה, לאחר הוספה לתוכנית האבטחה של הארגון, יש לבצע את פעילות ביקורת התהליכים על ידי מישהו מחוץ לתהליך הנבדק על סמך תנאי הפניה או מסמכי היקף העבודה.
- 1הגדר תשומות לבדיקה. תשומות לבדיקה עשויות להיות מסמך ההדק, כגון צו ניהול גבוה יותר, תרגיל סקירה של תנאי הפניה (למשל, לאחר סתירות מזוהות, ההנהלה מציעה תרגיל לבדיקת ניהול נכסים) ותיעוד תהליכים שוטף. בממוצע זמן הסקירה הוא חודש עד חודשיים, ומבוצע על ידי שני סוקרים. צריכת משאבי הבדיקה יכולה להשתנות בהתאם לגודל הארגון ולמורכבות התהליך. סוקרים יכולים להיות משאבים פנימיים (מנהלים, אנליסטים וכו '); עם זאת, שימוש במשאבים חיצוניים לצורך הבדיקה יכול להועיל מכיוון שהוא מביא מבט לא מוקדם על התהליך. על מנת לזהות את התפוקות, היעדים והיקף הסקירה "סקירת תהליך ה- IT של חבילת העבודה" ניתן ליצור מסמך. מסמך זה עשוי לכלול את הפסקאות הבאות:
- סעיף "מטלה" המתאר את המטרה, הרציונל, הנושא, משאבי המפתח, בעלי העניין העיקריים של הסקירה.
- "ציר הזמן" של הסקירה (תאריך התחלה וסיום טיוטה, תאריך דוח סופי סופי, מועדי סופי להצגה).
- ניתן לתאר "היקף" מכמה נקודות מבט: ארגוניות, גיאוגרפיות, עומק סקירה והרחבתן (המכסות רק חלק מפעילויות התהליך או העברות), נקודות מבט מיוחדות אחרות הקשורות לתהליך המסוים; למשל עבור ניהול נכסים, זה יכול להיות סוגי נכסי ה- IT.
- "דיווח" מתאר מה, מתי ועל מי לדווח על סטטוס הביקורת. בדרך כלל, על הסוקר לדווח להנהלה או לצוות המעוניין, למשל בעל התהליך, מנהל הפרויקט של פרויקט פיתוח יכולות) בנוגע למצב הבדיקה על בסיס שבועי או יומי. לדוח יכול להיות המבנה הבא:
- פעילויות שנעשו בשבוע זה;
- פעילויות המתוכננות לשבוע הבא;
- נושאים מעכבים את הסקירה (למשל התנגדות לספק או אין הרשאה לגשת למידע הדרוש).
- "עדויות". כדאי גם לציין את המקום בו יש לאחסן את כל הקבצים הקשורים לבדיקה.
- יש לתאר את "הפעילויות העיקריות" של הסקירה ולהכליל אותן מאוחר יותר בתוכנית הבדיקה.
- סעיף "ניהול בעיות והסלמה" צריך להנחות כיצד לתחזק את יומן הבעיות וכיצד להסלים את הבעיות שנתקלו בה במהלך הסקירה (למשל חוסר בשיתוף פעולה או לא מספיק, חוסר זמן וכו ')
- "מוצרים" תציג את רשימת תוצאות הביניים / התומכות (ממצאים, מחזור חיי מוצר, תהליכי התייחסות לניהול), תוצאות סופיות (דוח סקירה, סיכום סקירה או אסטרטגיית שיפור תהליכים) ואישורים נדרשים למסמכים שהתקבלו.
- 2להקים ולבצע את תוכנית הבדיקה. בכל פעם, קיימת תכנית סקירה על מנת לשלוט בקצב הביקורת. התוכנית הבסיסית יכולה לכלול את הפעילויות הבאות:
- 3זהה את בעלי העניין בתהליך. בעלי העניין הנפוצים ביותר בכל תהליך הם (מהחשובים ביותר לבדיקה):
- בעל התהליך;
- משתמשים עסקיים / משתמשים חיצוניים (למשל לניהול נכסים: נציגי מחלקת כספים וביקורת);
- צוותים תומכים עסקיים אחרים (למשל לניהול נכסים: לוגיסטיקה, אפוטרופוס וכו ');
- ראש צוות (מנהל תהליכים);
- פונקציות IT (למשל, לניהול נכסים: מנהלי פרויקטים, בעלי חוזים, תמיכה באתר, דלפק שירות, ניהול טכנולוגיה, משתמשי קצה וניהול שינויים, צוות ניהול תצורה, ניהול שינויים, ניהול בקשות, צוותי אבטחה);
- חברי צוות תהליכים (מנהלי תהליכים / אנליסטים);
- נציגי צוותי ממשל ובקרת IT;
- נציגים מצוותים אחרים המעורבים בתהליך;
- מומחים בנושא (במיוחד מנהלים לשעבר).
- 4זיהוי דרישות התהליך. על הסוקר לזהות דרישות עסקיות מרכזיות בתהליך, שיכולות להינתן על ידי צוותי תהליכים עסקיים המשתמשים בתהליך ה- IT (למשל מחלקת כספים לתהליך ניהול נכסים), המונעים מחקיקה, ממדיניות עסקית וכו '.
- 5צייר את זרימת התהליך בפועל. התחל ליצור את תרשים זרימת התהליך ברמה 1 ו -2 בהתבסס על המצב הנוכחי (כולל תשומות / תפוקות ובעלי העניין בתהליך) וצור זרימת עבודה של מוצרים (למשל מחזור חיי נכסים המציג את בעלי הנכס לתהליך ניהול נכסים) על מנת לשמור את התמונה האמיתית של התהליך ולהשתמש בהם כהפניות.
- 6זיהוי בקרות התהליך הנדרשות וניתוחן. ניתן לקחת בקרות תהליכים ממסגרת הבקרות (למשל הנגזרת מ ISO / IEC 27002 או COBIT) ולהטמיע אותן בתהליך העבודה של התהליך / המוצר (למשל מחזור חיי נכסים עם פקדי "בעלות" לתהליך ניהול נכסים).
- 7לזהות, לסווג ממצאים, לתעד אותם ולסקור אותם עם בעלי העניין. ניתן לזהות את הממצאים על ידי:
- השוואת פעילויות תהליך בפועל על תיעוד התהליך;
- ראיון וניתוח הפעילויות בפועל שבוצעו בתהליך.
- ניתוח איכות נתוני התהליך (למשל עבור תהליך ניהול נכסים ותצורה: CMDB).
- הממצאים הנפוצים הם:
- מודל / נוהל תהליכי והוראות עבודה זמינים אך אינם שלמים, ואינם משקפים את דרישות התהליך ואת פעילויות התהליך בפועל.
- תפקידים ואחריות לאורך מחזור החיים אינם מוגדרים בבירור. גם האחריות בין הצוותים אינה מוגדרת ומוסכמת באופן ברור.
- הבעלות אינה מובטחת לאורך מחזור החיים מבחינת בעלות רשמית ו / או בעלות פיזית.
- חסרים בקרות ופתרונות עתירי עבודה ובקרות ידניות (גיליונות אקסל) שאינן מובטחות עדכניות, עקביות ושלמות.
- הממצאים הנפוצים הם:
- ניתוח תיעוד התהליך. אחד השלבים המכריעים של הסקירה הוא ניתוח תיעוד הקשור לתהליך הכולל:
- במסגרת מדיניות;
- מסגרת בקרות;
- מודל / נהלים;
- הוראות עבודה;
- KPI, דוחות ויומנים;
- עזרי עבודה, טפסים ותבניות;
- וכן הלאה.
- 8ערכו ראיון עם בעלי עניין בתהליך. תוך כדי זיהוי ממצאים, בודק מראיין את בעלי העניין שמנסים לכסות את כולם. על מנת לבצע ראיון בהצלחה, הכינו שאלות לקראת הראיון בארגון שאלות, על ידי פעילויות תהליכיות, משימות או ממצאים. אל תשכח להכין MoMs (פרוטוקול פגישות), במיוחד כאשר מוסכם לספק את המידע הדרוש לבדיקה. כל הממצאים יכולים להיות מאושרים או מעודנים על ידי בעלי העניין במהלך הראיון.
- 9מדדי תהליך לכידת. יש צורך במדדי תהליכים כדי להציג את המצב הנוכחי של התהליך וניתן לבקש אותם מצוות התהליך (למשל לתהליך ניהול נכסים: מספר נכסים, מספר שינויים לתקופה, רכישות לפי תקופה, מספר נכסים למיקום, סוג או תנועות).
- 10התייחסו להמלצות. לכל ממצא יכולות להיות פתרונות אפשריים שניתן לספק על ידי הסוקר, העיקרי שבהם הוא:
- סקור, עדכן והסכים את מודל התהליך / ההליך והוראות העבודה, הגדר ותסכים תפקידים ואחריות.
- תעד והטמע את כל הוראות העבודה הנדרשות.
- הגדר והטמע פקדים חסרים. ודא בעלות לאורך מחזור החיים על ידי הגדרת והטמעת בקרות קפדניות יותר.
- סקור ונקה רישומים, כתבי עת ומאגרי נתונים כדי לשקף את המצב הנוכחי של הארגון.
- אוטומציה של התהליכים.
- האצלת משימות ניהוליות בין צוותים על סמך הוראות מעודכנות.
- פורמל פעילויות קיימות ושילוב עם תהליכים אחרים.
- 11להפיק תפוקות של הסקירה. תפוקות סקירת התהליך הן:
- 12בצע את יומן הממצאים. יש לשמור את כל שגיאות התהליך ועקביות שזוהו במהלך הסקירה בקובץ מיוחד הנקרא יומן ממצאים (מטעמי נוחות, עדיף להשתמש בגיליון Excel). מבנה אפשרי של הקובץ עם עמודות כדלקמן:
- Id - זיהוי ייחודי של הממצא;
- קצר - כותרת קצרה של הממצא שצריך לקבוע בבירור את הבעיה. למשל לניהול נכסים: התהליך לסילוק נכס אינו מוגדר;
- תיאור - תיאור מלא של הממצא כולל עדויות ועובדות קשורות;
- שלב תהליך - למשל לניהול נכסים: הזמנת נכס, קבלת נכס וכו ';
- בעלי עניין - בעלי עניין המעורבים בממצא;
- מסמך - תיעוד תהליכים קשור;
- השפעה - השפעה שיכולה להשפיע לרעה על החברה: קריטית, גדולה, ממוצעת, קטנה
- הבהרת השפעה - בטור זה יש להוכיח את מצב ההשפעה;
- מעקב - צעדים הדרושים לחיסול הממצאים. למשל קבע את התהליך, עדכן את מודל התהליך או עדכן את הוראות העבודה.
- קישור לראיות - יש לתמוך בכל הממצאים על ידי ראיות מתועדות רלוונטיות מתאימות. למשל תיעוד תהליכים, מאגרי מידע שונים (לניהול נכסים זה רישום נכסים), טפסים מלאים, התכתבויות בדוא"ל או רישום הדרכה.
- 13הכן את דוח סקירת התהליך. הפלט החיוני של הסקירה הוא מסמך דוח סקירת תהליכים במטרה לדווח על סקירת תהליכי IT שנערך במבנה ארגוני כלשהו של ה- IT. את המסמך הסופי יש לבדוק ולאשר על ידי ראש צוות (מנהל), בעל התהליך ומנהל קו התהליכים. מכיוון שהמסמך נקרא על ידי ההנהלה, עליו להיות קצר (20-25 עמודים) ומשמעותי ככל האפשר. מסמך הבדיקה כולל בדרך כלל את המבנה הבא:
- תקציר מנהלים. תיאור קצר של מטרת המסמך, ממצאים מרכזיים והמלצות מפתח. כחלק העיקרי של המסמך, הוא צריך להיות תמציתי (1-2 עמודים) ומקיף.
- מבוא צריך לכלול:
- מטרת ההיקף (עם "מחוץ לתחום") הסקירה.
- קהל מיועד (למשל צוותי מנהיגות, צוותים עסקיים)
- צירי זמן
- פעילויות מפתח שנערכו לצורך הסקירה.
- תהליך בעלי עניין ואנשי קשר
- מידע סטטיסטי כלשהו אודות תהליך כולל מקור המידע.
- רישום דרישות המפתח לתהליך
- דוח של עמוד אחד על אימות פיזי אם הוא נערך, למשל עבור ניהול נכסים ותצורה, זה יכול להיות ביקורת, בדיקה פיזית או מלאי.
- הפקדים המופעלים על התהליך:
- תיאור בקרה
- מצב מכשיר הבקרה (למשל עבור ניהול נכסים, ניתן לספק תזרים בעלות על נכסי IT עם בקרות בעלות
- תצוגה ברמה גבוהה (ניתן לקבץ ממצאים ל-7-10 ממצאים ברמה גבוהה) בממצאים הכוללים:
- כותרת ותיאור קצר
- פגיעה
- תיאור ההשפעה
- פתרונות אפשריים
- הקשר בין הממצאים להיקף הסקירה בצורה של טבלה עם רשימת היקף כשורות וממצאים כעמודות עם צמתים צבעוניים - צבע כהה ליחס קרוב, צבע בהיר למצב חלש. זה יכול לעזור להציג את המקומות "החלשים" של התהליך.
- הצעדים המוצעים להפחתת הסיכונים ולפתרון ממצאים
- נספחים
- תיעוד תהליכים
- רשימת ממצאים (בדרך כלל היפר-קישור לממצאי ה- Excel).
- 14הכן סיכום סקירה. אמנם לא פלט חובה של הסקירה, אך ייתכן שזו סיכום הסקירה עם התוכן הבא:
- מטרה ותחום
- כמה מספרים
- דרישות עיקריות
- סקירת אימות פיזית
- בקרות
- מבט על ממצאים ברמה גבוהה
- הקשר בין הממצאים להיקף הביקורת
- צעדים נוספים שצריך לעשות.
- 15הציגו את הביקורת. תפוקה נוספת של הסקירה יכולה להיות מצגת אסטרטגיית שיפור התהליכים שנעשתה למשתמשים בניהול ותהליכים עסקיים. מסמך זה עשוי לכלול:
- בעיות מזוהות עיקריות ופתרונות אפשריים;
- התהליך הנוכחי לעומת התהליך המשופר (תיאור השינויים בתהליך התהליך נדרש לשיפור);
- תוכנית ברמה גבוהה ליישום השיפורים.
- 16התמודד עם הבעיות לאחר הסקירה. לאחר שמסכם הצוות המנהיגי של הארגון מוסכם על דו"ח סקירת התהליך, כל הנושאים שזוהו מתווספים כסיכונים לתכנית להפחתת הסיכונים של הארגון. עקוב אחריהם עד שיסולקו לחלוטין.
קרא גם: כיצד משיגים מספר זיהוי מעסיק?
הצהרה משפטית תוכן מאמר זה מיועד לידיעתך הכללית ואינו מיועד להוות תחליף למשפט מקצועי או לייעוץ פיננסי. כמו כן, אין הכוונה להסתמך על ידי המשתמשים בקבלת החלטות השקעה כלשהן.