RSS
 

Archiwum dla kategorii ‘XX. Ekonomiczna ocena przedsięwzięć informatycznych’

Audyt systemów informatycznych

22 sty

Audyt systemów informatycznych to postępowanie o charakterze poświadczającym, prowadzone przez niezależną jednostkę, którego celem jest weryfikacja zgodności systemów informatycznych z określonymi wymaganiami, standardami lub procedurami.

Można wyróżnić następujące rodzaje audytu informatycznego:
- audyt bezpieczeństwa,
- audyt legalności,
- audyt jakości,
- audyt efektywności.

Audyt bezpieczeństwa polega na analizie odporności systemów informatycznych na czynniki ryzyka, które mogą wystąpić w trakcie jego eksploatacji. Wśród ryzyk należy wyróżnić przede wszystkim:
- ryzyko nieciągłości pracy systemu,
- ryzyko utraty informacji,
- ryzyko nieuprawnionego dostępu do informacji.

Pierwsze z ryzyk polega na zatrzymaniu pracy systemu informatycznego w wyniku działania czynników losowych bądź świadomego działania osób. Audyt powinien odpowiadać na pytania, jak i w jakim stopniu system jest zabezpieczony przez możliwością zatrzymania jego pracy, a także czy występuje i na ile jest skuteczna procedura przywracania systemu, gdy takie zatrzymanie nastąpi.

Ryzyko utraty informacji polega na niedostarczeniu wymaganych informacji ich odbiorcom wskutek awarii systemu bądź jego nieprawidłowej pracy. Audyt powinien przede wszystkim ustalić występowanie procedur przywracania informacji w przypadku ich utraty.

Ryzyko nieuprawnionego dostępu do informacji oznacza możliwość uzyskania dostępu do informacji zawartych w systemie informatycznym przez osoby do tego nieuprawnione. Audyt powinien zawierać ocenę szczelności systemu, a techniki sprawdzenia stanu faktycznego, polegają na pozorowanych atakach na system oraz prowokowaniu jego użytkowników do udostępnienia informacji.

Audyt legalności polega na ocenie zgodności sposobu działania systemu informatycznego z obowiązującym prawem. Zakres analizy jest różny, w zależności od specyfiki badanego systemu.

Audyt jakości może być dokonywany zarówno w trakcie trwania projektu informatycznego, jak i po jego zakończeniu. W pierwszym przypadku polega on na analizie sposobu prowadzenia prac projektowych pod kątem zgodności z harmonogramem, budżetem, specyfikacją wymagań funkcjonalnych oraz metodyką prowadzenia projektu. Audyt prowadzony po zakończeniu projektu polega na ocenie zgodności sposobu działania systemu z jego specyfikacją, zgodności dokumentacji ze stanem faktycznym, prawidłowości przetwarzania danych oraz jakości informacji uzyskiwanych z systemu.

Audyt efektywności, jeśli dokonywany jest ex ante, może być utożsamiony z oceną ekonomiczną projektu. Ocena ex post ogranicza się z reguły do strony kosztowej i polega na optymalizacji infrastruktury.

Audyt jednego z wymienionych aspektów z reguły pociąga za sobą konieczność co najmniej częściowej oceny także pozostałych.

 

Metody oceny ryzyka

21 sty

Metody oceny ryzyka projektów inwestycyjnych:
- metody korygowania efektywności projektu inwestycyjnego,
- rachunek wrażliwości projektu,
- metody symulacyjne,
- metody probabilistyczno-statystyczne.

Metody korygowania efektywności projektu inwestycyjnego polegają na korygowaniu stopy dyskontowej, stosowanej do obliczenia bieżącej wartości netto przepływów finansowych z projektu, bądź korygowaniu tych przepływów w zależności od przewidywanego ryzyka projektu.

Rachunek wrażliwości projektu polega na analizie wpływu zmian poszczególnych parametrów wejściowych projektu na ostateczny wynik, czyli np. zdyskontowaną wartość netto przepływów.

Metody symulacyjne, z których najbardziej znana to metoda Monte Carlo, polega na analizie losowych zmian wielu parametrów wejściowych projektu jednocześnie i wyznaczeniu dzięki temu rozkładu empirycznego możliwych wyników tego projektu.

Metody probabilistyczno-statystyczne oceny ryzyka projektów inwestycyjnych traktują poszczególne koszty i korzyści tych projektów jako zmienne losowe, opisując niepewność rzeczywistego poziomu kosztów/korzyści za pomocą rozkładu prawdopodobieństwa tych zmiennych losowych.

Najbardziej przydatne w ocenie ryzyka są metody probabilistyczno-statystyczne. Pozostałe metody mogą być stosowane, gdy możliwe jest zidentyfikowanie skończonej liczby parametrów wejściowych, mających wpływ na ostateczny wynik przedsięwzięcia.

 

Metody ekonomicznej oceny przedsięwzięć informatycznych

20 sty

Metody fundamentalne
Metody fundamentalne koncentrują się na jednym wybranym aspekcie oceny przedsięwzięcia informatycznego. Zasadniczo można wyróżnić:
- finansowe metody deterministyczne – wyrażające korzyści i koszty za pomocą pojedynczych wartości,
- metody probabilistyczne – stosujące narzędzia statystyki matematycznej oraz rachunku prawdopodobieństwa, wyrażające korzyści i koszty jako zmienne losowe.

Finansowe metody deterministyczne koncentrują się na tych aspektach korzyści i kosztów, które można wyrazić w formie pieniężnej. Grupa metod finansowych zawiera tradycyjne narzędzia oceny przedsięwzięć inwestycyjnych, tj.:
- prosta stopa zwrotu,
- okres zwrotu,
- bieżąca wartość netto,
- wewnętrzna stopa zwrotu,
- narzędzia nowej generacji, z reguły dedykowane rozwiązaniom informatycznym, wśród których najważniejszy jest całkowity koszt utrzymania.

Całkowity koszt utrzymania (Total Cost of Ownership – TCO) jest metodą specyficzną dla przedsięwzięć informatycznych, stawiającą sobie za cel identyfikację wszystkich kosztów związanych z użytkowaniem elementu infrastruktury informatycznej w całym okresie jej użytkowania. Metoda zakłada przeprowadzenie kompleksowej analizy wszystkich czynności wykonywanych w związku z faktem użytkowania danego elementu infrastruktury informatycznej w całym okresie jego życia. Analiza ta skutkuje identyfikacją kosztów zarówno bezpośrednich, jak i pośrednich.

Metody probabilistyczne uwzględniają niepewności funkcjonowania organizacji gospodarczych. Niepewność ta dotyczy zarówno samego przedsięwzięcia informatycznego, jak i roli gotowego już rozwiązania we wspomaganiu procesu zarządzania.

Metody probabilistyczne uwzględniają powyższe przesłanki. Najważniejsze z nich to metoda opcji rzeczywistych oraz wartość oczekiwana informacji.

Metoda opcji rzeczywistych (Real Options Method) wywodzi się z teorii opcji, która zajmuje się wyceną opcji na rynkach finansowych. Opcja finansowa to prawo (ale nie obowiązek) wykupu bądź sprzedaży określonej liczby instrumentu bazowego po określonej cenie w określonym momencie w przyszłości.

Teoria opcji rzeczywistych przenosi metodykę wyceny opcji finansowych na inwestycje w aktywa niefinansowe, w tym inwestycje w rozwiązania informatyczne. Metoda wyceny inwestycji informatycznych, opierająca się na teorii opcji rzeczywistych, polega na założeniu, że obecnie poczynione inwestycje w IT otwierają drogę do nowych, potencjalnie zyskownych inwestycji w przyszłości.

Opcje rzeczywiste stanowią rozszerzenie tradycyjnej analizy rentowności, uwzględniając sekwencyjność podejmowanych inwestycji i możliwość przerwania inwestycji na jednym z jej etapów. Wadą metody jest jej znaczna złożoność oraz konieczność estymacji wartości kosztów i korzyści z projektu oraz odchyleń standardowych i korelacji.

Pojęcie oczekiwanej wartości informacji EVI (Expected Value of Information) wywodzi się z teorii podejmowania decyzji i dotyczy sytuacji, w której decydent ma możliwość podjęcia jednej z di decyzji w obliczu nieznanego stanu natury należącego do zbioru stanów natury Θ. Oczekiwana wartość informacji jest obliczana jako różnica wartości oczekiwanej decyzji przy uwzględnieniu informacji i wartości oczekiwanej decyzji bez tej informacji.

Rezultat poszczególnych decyzji, pod warunkiem wystąpienia jednego ze stanów natury, reprezentowany jest przez tzw. macierz wypłat. Macierz ta przedstawia zyski decydenta w zależności od podjętej przez niego decyzji i zaistniałego rzeczywiście stanu natury.

Zasada bayesowska bierze pod uwagę prawdopodobieństwo wystąpienia poszczególnych stanów przyrody, tzw. Prawdopodobieństwo a priori. Wybór właściwej decyzji zgodnie z regułą bayerowską polega na obliczeniu wartości oczekiwanej wypłat dla każdej decyzji i rozkładu a priori prawdopodobieństwa wystąpienia poszczególnych stanów przyrody, a następnie wybraniu tej decyzji, dla której wartość oczekiwana wypłat będzie największa.

Reguła bayesowska zakłada korygowanie przekonania o prawdopodobieństwie wystąpienia poszczególnych stanów przyrody w związku z nowymi informacjami. Korekta prawdopodobieństwa wystąpienia stanów natury powoduje zmianę wartości oczekiwanej poszczególnych decyzji.

Informacja dotycząca przyszłego stanu przyrody może być:
- doskonała – czyli determinująca w 100% stan przyrody,
- niedoskonała – będąca w zależności stochastycznej ze stanem przyrody.
Informacja doskonała określa dokładnie, jaki stan przyrody nastąpi. Znając stan przyrody, decydent podejmuje taką decyzję, która maksymalizuje wypłatę dla tego stanu przyrody.

Wartość oczekiwaną informacji pełnej można obliczyć jako różnicę między sumą maksymalnych wypłat dla poszczególnych stanów przyrody, ważonych prawdopodobieństwem wystąpienia tych stanów przyrody, i wartości oczekiwanej optymalnej decyzji przy braku informacji.

W przypadku posiadania informacji niedoskonałej decydent powinien dysponować macierzą prawdopodobieństw warunkowych, określających na podstawie przeszłych pomiarów zależność pomiędzy stanami natury a konkretnymi wartościami ze zbioru informacji.

Oczekiwana wartość informacji jest narzędziem przydatnym przy ocenie korzyści wynikających z informacyjnej roli systemów informatycznych.

Metody kompozytowe
Metody kompozytowe mają na celu bardziej kompleksową ocenę przedsięwzięcia informatycznego, poprzez uwzględnienie szerszej gamy aspektów oceny. Wśród tych metod można wyróżnić:
- metody multikryterialne, w których finansowe i niefinansowe miary sprowadzane są do wspólnego mianownika za pomocą rangowania,
- metody analizy strategicznej, które koncentrują się na aspekcie zbieżności przedsięwzięcia informatycznego ze strategią organizacji.

Za pomocą metod multikryterialnych, oprócz oceny aspektów finansowych przedsięwzięcia informatycznego, próbuje się oszacować również czynniki pozafinansowe, w tym także trudno mierzalne czynniki jakościowe.

Metody te mają charakter względny, co oznacza, że co najmniej część miar jest ustalana na zasadzie arbitralnego przyporządkowania wartości/rangi przez uczestników procesu oceny w ramach danej organizacji. Najszerzej znaną metodą multikryterialną jest ekonomika informacji.

Oprócz oceny finansowej za pomocą stopy zwrotu, ekonomika informacji umożliwia ocenę względnej wartości projektu w dwóch domenach: biznesowej i technologicznej. Wynikiem procesu oceny jest ogólna miara wartości projektu. Miara ta ma charakter względny, zawiera się pomiędzy 0 a 100, gdzie 0 oznacza projekt bezwartościowy, a 100 projekt o największym znaczeniu dla organizacji. Miara ta jest kalkulowana poprzez nadanie rangi w zakresie 0-5 poszczególnym elementom składającym się na wartość rozwiązania informatycznego, a następnie pomnożenie tych rang przez wagi danego elementu dla spełnienia celów organizacji.

Zaletą ekonomiki informacji jest całościowe podejście do oceny rozwiązania informatycznego. Wadą tej metody jest duża uznaniowość.

Metody analizy strategicznej zostały zaadaptowane do oceny przedsięwzięć informatycznych z analizy strategicznej. Najczęściej wymienianymi przedstawicielami tej grupy metod oceny są strategiczna karta wyników oraz analiza portfelowa.

Inicjatywom strategicznym z czterech perspektyw karty wyników (klienta, rozwoju, procesów wewnętrznych i finansowej) przypisywane są elementy technologii informatycznej niezbędne do ich realizacji.

Zespół dokonujący oceny przypisuje następnie każdemu z elementów technologii informatycznej rangę w zakresie od 1 do 6, gdzie:
- 1-2 oznacza już działający system, niewymagający żadnych bądź wymagający niewielkich dostosowań w celu wsparcia inicjatywy strategicznej, do której został przypisany,
- 3-4 oznacza już zidentyfikowane i sfinansowane przedsięwzięcia, które jeszcze nie funkcjonuje,
- 5-6 sygnalizuje konieczność zastosowania nowego, wcześniej nieużywanego i nierozważanego elementu technologii informacyjnej.

Oparty na koncepcji strategicznej karty wyników raport strategicznej gotowości jest narzędziem badającym ich związek ze strategią organizacji.

Metody analizy portfelowej pozycjonują konkurujące o środki przedsięwzięcia informatyczne względem dwu lub więcej kryteriów oceny, np.:
- znaczenia funkcji biznesowej wspieranej przez system informatyczny w tworzeniu przewagi konkurencyjnej,
- stopnia uzależnienia możliwości wykonania tej funkcji od systemu informatycznego.

Analiza portfelowa może okazać się przydatnym narzędziem prezentacji wyników oceny dokonanej za pomocą innych metod, jednak nie można jej traktować jako samodzielnego narzędzia oceny efektywności przedsięwzięć informatycznych.

Metody dedykowane
Cechą metod dedykowanych jest dobór odpowiednich miar fundamentalnych, w zależności od cech charakterystycznych przedsięwzięcia informatycznego. Metodyka ta zakłada pomiar dwu podstawowych aspektów ekonomicznych przedsięwzięcia informatycznego, a mianowicie skuteczności i efektywności. W związku z tym składa się ona z dwu niezależnych, uzupełniających się elementów:
- oceny wpływu przedsięwzięcia informatycznego na realizację celów organizacji- aby określić oddziaływanie tego przedsięwzięcia na skuteczność organizacji za pomocą ustalenia rangi strategicznej przedsięwzięcia,
- oceny efektywności przedsięwzięcia, wyrażonej stosunkiem wartościowo określonych korzyści i kosztów.

Według tej metodyki, budowa systemu oceny przedsięwzięcia informatycznego poziomu powinna się składać z następujących, powiązanych ze sobą działań:
1. Opracowanie szczegółowej strategii oceny przedsięwzięcia:
1.1. określenie powodu podjęcia przedsięwzięcia informatycznego,
1.2. ustalenie aspektów przedsięwzięcia podlegających pomiarowi oraz priorytetów oceny.
2. Określenie celów przedsięwzięcia:
2.1. celów gospodarczych,
2.2. celów funkcjonalnych.
3. Budowa metodyki pomiaru i wykonania pomiaru poszczególnych aspektów przedsięwzięcia:
3.1. ocena wpływu przedsięwzięcia IT na możliwość realizacji celów organizacji:
3.1.1. ocena zależności celów gospodarczych od przedsięwzięcia IT,
3.1.2. ocena stopnia realizacji celów gospodarczych i funkcjonalnych,
3.2. ocena ekonomicznej efektywności przedsięwzięcia:
3.2.1. identyfikacja korzyści, kosztów i ryzyk,
3.2.2. dobór metod oceny korzyści, kosztów i ryzyk,
3.2.3. opracowanie szczegółowych modeli pomiarowych i wykonania pomiaru.

 

Ekonomiczne aspekty przedsięwzięć informatycznych

19 sty

Ekonomiczna ocena przedsięwzięć informatycznych to ogół działań mających na celu określenie wpływu przedsięwzięcia informatycznego na sytuację ekonomiczną przedsiębiorstwa.

Jako podstawową charakterystykę każdej organizacji Tadeusz Kotarbiński traktował jej sprawność, której podstawowymi atrybutami są skuteczność, ekonomiczność (efektywność) oraz korzystność.

Przez skuteczność należy rozumieć stopień realizacji celów organizacji, natomiast efektywność jest definiowana jako stosunek korzyści do kosztów.

Pierwszym aspektem ekonomicznym przedsięwzięcia informatycznego, który musi podlegać pomiarowi, jest jego wpływ na stopień realizacji celów organizacji. W stosunku do przedsiębiorstw sektora prywatnego przyjmuje się, że celem nadrzędnym ich funkcjonowania jest maksymalizacja wartości dla akcjonariuszy w długim czasie. Stopień realizacji celów gospodarczych przedsiębiorstwa, które są wspierane przez dane przedsięwzięcie informatyczne, jest niezwykle istotnym elementem, określającym skuteczność organizacji i powinien podlegać pomiarowi.

Technologia informatyczna, będąc jednym z aktywów niematerialnych, umożliwia przedsiębiorstwu tworzenie wartości dla klienta i zwiększenie tym samym wartości dla akcjonariuszy. Ocena przedsięwzięcia informatycznego ma sens jedynie w powiązaniu z inicjatywami gospodarczymi, które ono wspiera bądź umożliwia. Wagę danego przedsięwzięcia w realizacji inicjatywy gospodarczej określa stopień zależności tej inicjatywy od powodzenia przedsięwzięcia informatycznego. Stopień zależności inicjatyw gospodarczych (zarówno strategicznych, jak i taktyczno-operacyjnych), od technologii informatycznej to kolejny element, określający wpływ IT na skuteczność organizacji, podlegający pomiarowi.

Drugim aspektem, który musi zostać oceniony, jest efektywność przedsięwzięcia informatycznego, wyrażona stosunkiem korzyści do kosztów. Należy zauważyć, że korzyści i koszt mogą mieć charakter zarówno finansowy, jak i niefinansowy.

Ryzyko przedsięwzięcia to prawdopodobieństwo odchylenia się rzeczywistych kosztów i korzyści od wartości planowanych. Ocena ryzyka, poprzez określenie prawdopodobieństw oraz możliwych wartości odchyleń, a także przez identyfikację czynników wpływających na możliwość ich powstania, to istotny aspekt, determinujący ekonomiczną atrakcyjność przedsięwzięcia informatycznego.