Домен "Планирование и организация": Разработка стратегического плана развития ИТ

Цели контроля

РО 3.1. Планирование технологического развития

Следует проводить анализ существующих и возникающих технологий и планировать, какое направление технологического развития будет адекватно реализовывать ИТ стратегию и архитектуру бизнес систем. Также следует определить в плане, какие технологии имеют потенциал для создания новых бизнес возможностей. Кроме того, план должен включать такие аспекты инфраструктуры, как архитектура систем, технологическое направление, стратегии миграции и непрерывность.

РО 3.2. План технологической инфраструктуры

Разработать и поддерживать план технологической инфраструктуры в соответствии со стратегическим и тактическими планами ИТ. План технологической инфраструктуры (Technology Infrastructure Plan) – план в отношении технологий, кадровых ресурсов, оборудования и помещений, обеспечивающий работу и использование приложений в настоящем и будущем[1]. План должен основываться на выбранном направлении технологического развития и включать аспекты непрерывности и рекомендации по приобретению технологических ресурсов. В нём должны быть учтены изменения в конкурентной среде, а также аспекты экономии на масштабах инвестиций и затратах на персонал для поддержки информационных систем и улучшение взаимодействия платформ и приложений.

РО 3.3. Текущий анализ перспективных направлений и нормативных требований

Следует осуществлять мониторинг рынка, отрасли, технологий, инфраструктуры, тенденций в области нормативного регулирования. Использовать анализ последствий этих тенденций при разработке плана технологической инфраструктуры.

РО 3.4. Технологические стандарты

Чтобы обеспечить совместимые, эффективные и безопасные технологические решения в масштабах организации, нужно создать технологический форум для обмена опытом по применению технологий, консультирования по инфраструктурным решениям, имеющимся на рынке, руководства по выбору технологий, оценки совместимости со стандартами. Данный форум должен направлять развитие технологических стандартов и практик, основанных на соответствии требованиям бизнеса, с учетом рисков, а также внешних требований.

РО 3.5. Коллегия по вопросам ИТ архитектуры

Следует учредить комитет по вопросам ИТ архитектуры для руководства, консультирования и оценки соответствия требованиям. Комитет должен направлять развитие ИТ архитектуры, при условии соответствия корпоративной стратегии и нормативным требованиям. Эти вопросы связаны также с процессом РО 2 "Определение информационной архитектуры".

Почему так важно определить технологии? Допустим, Вы являетесь CIO компании. Вы решили приобрести системы ERP и CRM для поддержки бизнес-процессов. Вы назначили двух архитекторов для руководства проектами. Если они не взаимодействуют друг с другом, есть вероятность, что каждый из них выберет совершенно разные технологические базы:

• ERP: сервер Linux, Windows XP для клиентских машин, базу данных DB2, Java
• CRM: Windows Server, Windows 7 для клиентских машин, базу данных Oracle, .Net

Если разрешить им использовать разные технологические платформы, Вы как CIO столкнетесь с рядом проблем:

• специалисты ИТ будут вынуждены администрировать сервера с Linux и Windows, то есть повысятся требования к их квалификации;
• администраторы базы данных будут вынуждены администрировать DB2 и Oracle одновременно;
• на компьютерах компании невозможно будет установить две базы данных – одни будут работать с ERP, другие с CRM;
• две системы не смогут обмениваться информацией, так как будут использовать разные базы данных;
• для кастомизации двух систем Вам надо будет нанимать программистов по Java и .Net.

Процесс PO 3 отвечает за координацию технологий, используемых различными приложениями. Например, в данном случае Вы можете строго определить, что все новые проекты будут использовать сервер Linux, базу данных Oracle, Java, Windows 7 для клиентских машин.

Помимо указанных выше вопросов процесс "Определение направления технологического развития" отвечает за поиск новых возможностей для ИТ – это и новые операционные системы, облака, мобильные системы и т.п. Руководство ИТ должно смотреть вперед и не упускать эти возможности из вида.

PO 4.Определение ИТ-процессов, организационной структуры и взаимосвязей

Организационная структура ИТ зависит от требований к персоналу, навыкам, функциям, отчетности, руководству, должностям, обязанностям и надзору. От нее зависит прозрачность и контроль ИТ-процессов, а также участие руководства и менеджмента бизнеса. Процессы, административные политики и процедуры должны охватывать все функции, а особенно контроль, обеспечение качества, управление рисками, информационную безопасность, принадлежность данных и систем, разделение обязанностей. Более того, ИТ должна быть вовлечена в процессы принятия решений для того, чтобы обеспечить своевременную поддержку бизнес-требований со стороны IT.

Рис. 4.6. Процесс " Определение ИТ-процессов, организационной структуры и взаимосвязей "

Определение ИТ-процессов, организационной структуры и взаимосвязей

удовлетворяет следующим бизнес-требованиям к IT:

гибкость в соответствии требованиям корпоративной стратегии и управления; определение компетентных контактных лиц.

сосредоточено на:

создании прозрачных, гибких и ответственных организационных структур ИТ, определении и реализации на практике ИТ-процессов владельцами и прочими должностными лицами, интегрированными в бизнес и принятие решений.

достигается с помощью:

• определения методологии ИТ-процессов;
• создания необходимых структурных подразделений и структуры;
• определения должностных функций и обязанностей.

результаты оцениваются с помощью следующих показателей:

• доля документированных должностных функций;
• число подразделений/процессов, которые должны поддерживаться ИТ в соответствии со стратегией, но не поддерживаются;
• число ключевых видов деятельностей ИТ, находящихся вне рамок ее организационной структуры.

В таблице 4.13 приведена необходимая процессу входящая информация и ее источники. В таблице 4.14 – выходы процесса и то, куда они должны попасть.

Таблица 4.15 содержит таблицу ОУКИ для процесса, а таблица 4.16 – цели и показатели.

Цели контроля:

PO 4.1. Методология ИТ-процесса

Для реализации стратегии ИТ необходимо определить методологию ИТ. Она должна включать в себя структуру процесса, взаимосвязи, владельцев, зрелость, оценку эффективности, совершенствование, соответствие требованиям, качественные цели и планы по их достижению. Методология ИТ-процесса должна быть интегрирована в систему управления качеством (Quality Management System) и систему внутреннего контроля.

PO 4.2. Комитет по стратегии ИТ

На уровне Совета директоров должен быть сформирован Комитет по стратегии ИТ. Он должен обеспечить управление ИТ как элемента корпоративного управления, иметь соответствующие полномочия, давать рекомендации стратегического характера, анализировать основные инвестиции от лица всего Совета директоров.

PO 4.3. Комитет по управлению ИТ

Должен быть сформирован комитет по управлению ИТ из руководства ИТ и бизнеса. В его обязанности входит:

• определить приоритеты инвестиционных программ в области ИТ в соответствии со стратегией бизнеса и приоритетами организации;
• отслеживать реализацию отдельных проектов и устранять ресурсные конфликты;
• отслеживать уровень оказания услуг и улучшения в этой области.

PO 4.4. Место службы ИТ в организации

ИТ должна быть включена в организационную структуру организации с соответствии с ее значимостью. Отчетность директора по ИТ (CIO) должна быть адекватной значимости ИТ для организации.

PO 4.5. Организационная структура ИТ

Создать внутреннюю и внешнюю организационную структуру ИТ в соответствии с потребностями бизнеса. Упорядочить процессы, чтобы периодически анализировать организационную структуру ИТ с точки зрения соответствия кадровым потребностям и стратегиям в области аутсорсинга, достигать бизнес-целей и учитывать изменения.

PO 4.6. Определение должностных обязанностей и полномочий

Необходимо определить должностные обязанности и полномочия персонала ИТ и пользователей, а затем донести их до всех заинтересованных сторон. Разграничить компетенцию персонала ИТ и руководства конечных пользователей, установить ответственность и подотчетность в соответствии с потребностями организации.

PO 4.7. Ответственность за обеспечение качества ИТ

Назначить ответственных лиц по вопросам обеспечения качества ИТ и обеспечить их соответствующими системами, средствами контроля и информирования. Следует убедиться, что полномочия, статус и состав ответственных за качество соответствуют потребностям организации.

PO 4.8. Ответственность за риск, безопасность и соответствие требованиям

Вопросы о принадлежности и ответственности по корпоративным рискам, связанным с ИТ, должны решаться на уровне высшего руководства. Должны быть назначены ключевые должностные лица для управления ИТ-рисками, включая особую ответственность за информационную безопасность, физическую безопасность и соответствие требованиям. Установить ответственность менеджмента по рискам и безопасности на уровне организации. Дополнительная ответственность может потребоваться на уровне отдельных систем. Получить указания от руководства по вопросам отношения к ИТ-рискам и решения в отношении остаточных ИТ-рисков.

PO 4.9. Владение данными и системами

Следует снабдить бизнес процедурами и инструментами, позволяющими обеспечить функцию бизнеса как собственника данных и информационных систем. Владельцы должны принимать решения о классификации данных и систем и защищать их в соответствии с принятой классификацией.

PO 4.10. Надзорные функции

Организовать адекватные политики по надзору в области ИТ, чтобы оценить, насколько правильно персонал выполняет свои обязанности, обладает ли достаточными полномочиями и ресурсами для осуществления своей деятельности, а также проводить общий анализ ключевых показателей эффективности.

PO 4.11. Разделение полномочий

Необходимо разделить задачи и ответственность лиц, чтобы сократить возможность для отдельного сотрудника подвергнуть риску какой-либо критичный процесс. Следует убедиться, что сотрудники выполняют только регламентированные обязанности, предусмотренные их должностными инструкциями.

PO 4.12. Кадровое обеспечение ИТ

Оценить потребности в кадрах на регулярной основе или по мере существенных изменений в бизнесе, операционной или ИТ среде, чтобы быть уверенным в том, что функции ИТ адекватно и в достаточной мере обеспечены кадровыми ресурсами для реализации целей и задач ИТ, связанных с целями и задачами бизнеса.

PO 4.13. Ключевой персонал ИТ

Определить и назначить ключевых должностных лиц в ИТ-службе и минимизировать зависимость от одного конкретного сотрудника в исполнении критических функций.

PO 4.14. Политика и процедуры в отношении привлекаемых специалистов

Следует убедиться, что консультанты и персонал, работающий по контракту, занятый обеспечением ИТ-функций, ознакомлен и исполняет политику организации по защите информационных активов в соответствии с принятыми на себя договорными обязательствами.

PO 4.15.Взаимосвязи

Установить и поддерживать взаимосвязи между ИТ и другими заинтересованными сторонами организации (Совет директоров, бизнес-подразделения, поставщики, пользователи и т.п.).

Одним из основных выходов данного процесса являются методология процессов. Построение методологии процессов начинается с построения модели процесса.

Для описания процесса существует множество вариантов. Самый простой из них – описать процесс в виде последовательности выполняемых действий (рис.4.7).

Рис. 4.7. Подход к описанию процесса в виде последовательности действий

Подход, изображенный на рис.4.7, наиболее часто используется в организациях. Во-первых, построение такой модели проще всего – процесс представляется в виде последовательности действий. Во-вторых, такое представление наиболее понятно топ-менеджерам и высшему руководству. В-третьих, здесь хорошо видна "стадийность" выполняемых работ. Но для автоматизации процессов лучше подходит подход, изображенный на рис.4.8.

Рис. 4.8. Подход к описанию процесса, основанный на входящей информации

Предпринимаемые действия зависят от информации, поступающей на вход процесса. Этот подход предполагает большую формализацию данных, которая не только более понятна ИТ-специалистам, но и может позволить полностью или частично автоматизировать процесс в дальнейшем. Представление процессов по аналогии с рис.4.7 позволит Директору ИТ более эффективно оценивать и распределять ресурсы, управлять ими и повышать качество оказываемых услуг.

Если говорить об определении организационной структуры и взаимосвязей в ИТ, то это в первую очередь выделение должностей, распределение ответственностей и полномочий. Что если в организации нет CIO или любой другой должности с такими полномочиями? CIO является самой важной должностью при руководстве ИТ. CIO должен отчитываться перед CEO. Но что, если CIO будет отчитываться перед CFO? Тогда ИТ не сможет играть такую стратегическую роль, как если бы CIO отчитывался перед CEO. То есть в рамках данного процесса определяются не только полномочия и ответственности должностей, но и взаимоотношения между ними ( в данном примере отчетность). Процесс "Определение ИТ-процессов, организационной структуры и взаимосвязей" отвечает за очень многое, что видно из количества целей контроля. Это и формирование методологий процессов, и распределение должностных обязанностей, и назначение владельцев процессов. Интересно, что именно в рамках этого процесса формируется Комитет по стратегии ИТ, распределяются ответственности и формируются политики в отношении нанимаемого персонала. Принцип разделения обязанностей является основным видом внутреннего контроля, который предотвращает или выявляет ошибки путем назначения различных лиц ответственными за инициации и осуществление операций, а также управление активами. Этот принцип также позволяет повысить безопасность ИТ-активов, так как уменьшает вероятность того, что отдельные лица смогут незаметно осуществить злоумышленные действия.