Книга будет полезна и ит-менеджерам фирм производителей программного обеспечения, и ит-менеджерам коммерческих банков (потребителей), руководителям коммерческих банков,
Вид материала | Книга |
- Программа по дисциплине документарные операции российских коммерческих банков, 103.16kb.
- Тематика курсовых работ по курсу «Финансовый менеджмент коммерческих банков», 31.08kb.
- Курсовая работа на тему: Трастовые операции коммерческих банков по дисциплине: Банковское, 747.1kb.
- Коммерческий банк основной элемент банковской системы, 519.51kb.
- С 1 января 2007 года по 1 января 2010 года: доходы юридических лиц, полученные в виде, 24.34kb.
- Д. А. «Рекламные стратегии коммерческих банков в посткризисный период» (2012) Содержание, 309.19kb.
- Организация рефинансирования коммерческих банков и пути его развития сотникова Д.,, 83.19kb.
- Тема Роль и место банков в накоплении и мобилизации ссудного капитала 2 > Происхождение, 1574.81kb.
- Анализ ресурсов и активов коммерческих банков Украины и Крыма. Система банковских учреждений, 238.83kb.
- Пост-релиз Конференция coins-2010 подтвердила интерес к рынку монет в России, 84.96kb.
Часть 1. Организация и развитие ИТ-менеджмента
Организация управления ИТ
Большинство организаций понимают, какую выгоду может принести использование современных информационных технологий и как они кардинально изменяют бизнес, выводя его на принципиально другой уровень. Но как в любом сложном деле, так и в информационных технологиях многое зависит от организации процесса управления. При этом, учитывая, что ИТ является специфической и стремительно меняющейся областью, здесь требуются и специфические подходы, которые можно структурировать по нескольким направлениям. Во-первых, для управления ИТ не всегда подходят методики традиционного менеджмента и зачастую требуется их адаптация. Во-вторых, ИТ-менеджер помимо того, что должен быть хорошим руководителем, должен быть до определенной степени техническим специалистом (технократом) и по крайней мере отлично разбираться в новейших подходах и тенденциях развития ИТ. В-третьих, ИТ-менеджмент уже сформировался как наука и поэтому имеет свои методики и наработки, не используя которые, можно столкнуться с серьезными проблемами. Но прежде чем мы рассмотрим эти специфические подходы, необходимо определиться с самим понятием. Итак, что же такое ИТ-менеджмент?
ИТ-менеджмент (в западной практике чаще употребляется термин IT Governance) - это система управления и контроля организационных взаимоотношений и процессов, направленная на достижение стратегических целей организации посредством использования информационных технологий и минимизации риска их применения.
Это определение близко к "официальному" определению Института управления ИТ (IT Governance Institute) и Ассоциации контроля и аудита информационных систем (ISACA), адаптированные материалы которых мы будем активно использовать и далее.
Таким образом, основная задача ИТ-менеджмента - это достижение стратегических целей посредством ИТ. Другими словами, ИТ-развитие не может быть самоцелью и бессмысленно без тесной связи с развитием бизнеса. При этом такие функции ИТ, как контроль и риск-менеджмент, являются важнейшими составляющими этого процесса, так как классический баланс между рискованностью и отдачей крайне актуален не только в финансах, но и в информационных технологиях.
Другой важной задачей ИТ-менеджмента является достижение соответствия различным внешним и внутренним требованиям. Передовые организации должны стремиться соответствовать требованиям качества, международным и местным стандартам, требованиям контролирующих органов, законодательным актам, общепризнанным подходам и методологиям в области ИТ. Количество таких требований за последнее время существенно возросло. Многие из международных требований становятся актуальны и для России.
Рассмотрим основные составляющие процесса организации управления информационными технологиями.
Цели и задачи
Управление - это создание изменений для достижения цели. Менеджмент должен служить достижению цели, это постоянное движение. Нагляднее всего можно представить этот процесс как путь из точки А (текущее состояние) в точку Б (желаемое состояние - цель).
При этом, как и при простом передвижении, необходимо:
- иметь адекватное средство передвижения (для ИТ это ресурсы);
- понимать как управлять этим средством (мы называем это использованием проверенной методологии управления ИТ);
- понимать, во сколько обходится нам наше движение и оправдано ли оно (в случае с ИТ эту часть менеджмента называют экономикой ИТ);
- знать особенности движения и эксплуатации этого средства. Все эти моменты составляют основу ИТ-менеджмента и будут рассмотрены далее.
Однако первым и самым важным среди составляющих процесса управления ИТ является стремление к обозначенной бизнес-цели. Необходимо понимать, что любое движение, любая деятельность в области ИТ лишь тогда имеют смысл, когда они направлены на достижение поставленных бизнес-подразделениями целей. Этот момент особенно важен, так как для многих ИТ-менеджеров их собственная деятельность является самоцелью. Они стараются совершенствовать свои процессы до бесконечности, тратя существенные ресурсы и не особенно заботясь о том, как их деятельность связана со стратегией развития организации и конкретными бизнес-целями. Другими словами, у ИТ не может быть собственных целей, любая их цель должна быть требованием бизнеса, должна поддерживать развитие организации в утвержденном высшим менеджментом и владельцами (stakeholders) направлении.
При правильной организации процесса управления ИТ-менеджмент принимает непосредственное и активное участие в определении стратегии и целей организации, так как именно ИТ является важнейшим источником развития и инноваций в банковском деле и в то же время источником серьезных ограничений бизнес-инициатив по стоимости, времени и реализуемости. Мы рассмотрим подробнее вопросы, связанные со стратегией ИТ, в отдельной главе.
Ресурсы ИТ
Для достижения цели, воплощения стратегии необходимы ресурсы. Если мы условно сравнивали цели с конечной точкой путешествия, то ресурсы - это то, на чем мы передвигаемся, то есть средство достижения цели. Очевидно, что адекватное ресурсное обеспечение не только является ключевым фактором для достижения цели или результативности (effectiveness), но и для решения оптимизационной задачи или эффективности достигнутого решения (efficiency).
Для ресурсного обеспечения традиционны три основные "болезни". Первая - недостаток ресурсов, который "хоронит" проекты после инвестирования 90% ресурсов, вложенные деньги не только не приносят желаемого эффекта, но и просто оказываются "выброшенными на ветер".
Вторая болезнь - избыток ресурсов. Как ни странно, это тоже очень вредит управлению и развитию ИТ, так как снижает экономическую эффективность ИТ-решений, расслабляет менеджеров и специалистов и зачастую делает невозможным достижение цели. Так, например, ехать в соседнюю булочную на такси не просто дорого и неэффективно, если сравнить со стоимостью батона хлеба, но и дольше, чем идти пешком, не говоря о том, что вас туда вряд ли кто согласится везти.
Наиболее распространена третья болезнь, которая присуща подавляющему большинству российских организаций, - несбалансированность ресурсов. Пять системных администраторов не заменят надежного и производительного сервера, и наоборот - дорогие технические средства не заменят квалифицированный персонал.
Исходя из всего сказанного, становится очевидно, что управление ресурсами - важнейшая часть ИТ-менеджмента и одна из трех основных его задач (цели, ресурсы, методология).
Рассмотрим основные ресурсы, находящиеся в распоряжении ИТ-менеджера. Мы относим к специфическим ресурсам ИТ следующие элементы:
- людей (ИТ-персонал, сторонние специалисты и консультанты);
- информацию (в самом широком смысле);
- технологии (оборудование, системное ПО, СУБД, телекоммуникации);
- системы (прикладное ПО);
- инфраструктуру (все необходимое для деятельности ИТ - помещения и их оснащение, обеспечение).
Общим ресурсом, который активно используется в процессе управления ИТ, являются, разумеется, деньги. Поэтому к важнейшим аспектам управления ресурсами ИТ относится экономика ИТ, так как большинство ресурсов, естественно, с учетом специфики и ограничений, могут быть увеличены с помощью денег. Важно помнить, что единственный невосполнимый ресурс - время. Даже при наличии неограниченных материальных ресурсов некоторые задачи невозможно выполнить быстрее. Обеспечение деятельности по поддержке и развитию ИТ требует в настоящее время существенных ресурсов. И вопросы сбалансированности и управления экономическими аспектами ИТ как важнейшие вопросы управления ресурсами будут рассмотрены в отдельной главе.
Все перечисленные ресурсы важны для управления ИТ, но, разумеется, ключевым ресурсом, по нашему глубокому убеждению, являются люди. И это не просто слова и даже не только личный опыт. По данным международной статистики, до 80% неудач проектов в области ИТ связаны именно с проблемой кадров. Персонал как ключевой фактор управления и развития ИТ будет рассмотрен также в отдельной главе.
Важнейшим моментом в области ресурсного обеспечения ИТ является использование сторонних ресурсов, так называемый аутсорсинг. ИТ-менеджер должен понимать, что невозможно сосредоточить все необходимые ресурсы, опыт и практику непосредственно в своей структуре, поэтому, когда встает какая-либо задача, необходимо определить, какой вид ресурсов (soursing) для данной задачи является более эффективным: внутренний (insoursing) или сторонний (outsoursing). В зарубежной практике в последнее время использование аутсорсинга, то есть сторонних ресурсов, все более расширяется и для многих видов задач считается более предпочтительным. Так, например, многие банки используют информационные системы, разработанные сторонними организациями, вместо того чтобы пытаться все разработки вести своими силами. Такие же тенденции наблюдаются и по другим направлениям ИТ. Но с аутсорсингом связаны и новые специфические риски, управление которыми является частью оперативной деятельности ИТ-служб. Они будут рассмотрены в соответствующем разделе.
Методология
Для правильной организации управления информационными технологиями сегодня недостаточно просто опыта и знаний менеджера, так как технологии и подходы постоянно меняются. Также крупные организации не могут полагаться только на знания одного человека: его ошибка может слишком дорого обойтись. С другой стороны, ИТ-менеджеру подчас бывает тяжело объяснить руководству какой-либо момент, поскольку оно воспринимает это объяснение как личную позицию ИТ-менеджера и не находит нужным считаться с ней. Все это приводит к тому, что, даже если ИТ-менеджер действительно понимает, как должны функционировать ИТ-процессы, реализация этого понимания на практике затруднена по ряду причин.
В международной практике для решения этой проблемы считается необходимым использовать в процессе организации управления ИТ какую-либо методологию управления ИТ. Подобные методологии содержат: структуру организации управления, основные цели и задачи, функциональные блоки и подходы к организации работы по ним, описание "правильных подходов" и практические примеры, количественные метрики и показатели (KPI - Key Performance Indicators, KGI - Key Goal Indicators, CSF - Critical Success Factors и т.д.) для оценки результатов, систему приоритетов в организации работы.
Возможны два источника таких методологий. Во-первых, существуют общепринятые методологии и стандарты, которые используются большим количеством организаций и поэтому являются проверенными. Во-вторых, это может быть собственная внутренняя методология, разработанная в крупной организации. Обычно самостоятельной разработкой занимаются только очень крупные организации, преимущественно международные, так как для этого требуются весьма объемная научная и исследовательская работа и ресурсы.
Преимущества широко используемых методологий:
* структурированный подход к управлению ИТ;
* проверенные подходы и решения;
* примеры "лучших международных практик" организации и управления ИТ;
* гарантия достижения результата;
* существенный авторитет внутри организации;
* соответствие де юре и де факте международным нормативным актам и стандартам;
* положительный маркетинговый и рыночный эффект.
К наиболее известным методологиям и стандартам в области ИТ можно отнести:
СоblТ - управление, контроль и аудит всех аспектов информационных технологий (в основном используется в американской практике);
ITIL, ITSM - управление обслуживанием информационных систем (широко используется в европейских странах);
ISO 9000 - управление качеством ИТ и программных продуктов;
BS7799 - организация информационной безопасности;
TickIT - управление качеством ИТ и программных продуктов;
ГОСТы - государственные нормативно-технические документы, устанавливающие определенные нормы, правила.
Рассмотрим две наиболее распространенные методологии управления ИТ - СоblТ и ITIL.
СоblТ (Controls Objective for Information and related Technologies) - методология управления, контроля и аудита информационных систем. Разработана Международной ассоциацией аудита и контроля за информационными системами (ISACA), которая имеет представительства в 57 странах мира, в том числе в России, и включает более 22 000 членов при участии крупнейших международных консалтинговых компаний и научных организаций. СоblТ является базовой методологией для управления ИТ в таких организациях, как: SWIFT, Cedel Group, министерство обороны США, Daimler Chrysler, Royal Philips Electronics, SABI, Colgate-Palmolive.
Отличительные черты СоblТ:
- основан на общепринятых правилах и принципах управления информацией и информационными технологиями;
- позволяет не только правильно провести аудит ИС, но и организовать управление и контроль над ними;
- охватывает все циклы операций в области ИТ - от планирования до поддержки и контроля;
- содержит примеры "лучших практик" организации ИТ и управления рисками;
- ориентирован на менеджмент организации и решение задач бизнеса;
- является инструментом совершенствования корпоративного управления бизнес-реинжиниринга.
Международная методология СblТ - разработан с учетом требований и рекомендаций многих других стандартов в этой области, включая: технические стандарты (ISO, EDIFACT и т.п.); нормы корпоративного управления, установленные европейской комиссией (ЕС) (OECD, ISACA); стандарты качества информационных технологий и процессов (ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Common Criteria); профессиональные стандарты внутреннего контроля и аудита (COSO report, IFAC, llА, AICPA, GАО, PCIE, ISACA standards); индустриальные стандарты и международные практики построения ИТ (ESF, 14, IBAG, NIST, DTI, ITIL).
Согласно методологии СоblТ направления ИТ-менеджмента подразделяются на 4 основные области, которые в свою очередь делятся на 34 ИТ-процесса:
1. Планирование и организация:
ПО 1. Разработка стратегического плана.
ПО 2. Построение информационной архитектуры.
ПО 3. Построение технологической модели.
ПО 4. Определение структуры и организации ИТ.
ПО 5. Управление инвестициями в ИТ.
ПО 6. Согласование целей бизнеса и ИТ.
ПО 7. Управление людскими ресурсами.
ПО 8. Соответствие внешним требованиям.
ПО 9. Оценка рисков.
ПО 10. Управление проектами.
ПО 11. Управление качеством.
2. Приобретение и внедрение:
ПВ 1. Выбор решения.
ПВ 2. Приобретение/разработка приложений.
ПВ 3. Приобретение системных ресурсов.
ПВ 4. Поддержка технологической документации.
ПВ 5. Установка и настройка приложений.
ПВ 6. Управление изменениями.
3. Сопровождение и поддержка:
СП 1. Обслуживание пользователей.
СП 2. Управление услугами третьих лиц.
СП 3. Управление производительностью и мощностью.
СП 4. Обеспечение непрерывности деятельности.
СП 5. Обеспечение информационной безопасности.
СП 6. Классификация и распределение издержек.
СП 7. Обучение пользователей.
СП 8. Помощь и консультирование пользователей.
СП 9. Управление конфигурацией.
СП 10. Управление проблемами и сбоями.
СП 11. Управление информацией.
СП 12. Управление инфраструктурой.
СП 13. Управление операциями.
4. Мониторинг:
М 1. Мониторинг процессов.
М 2. Внутренний контроль.
М 3. Независимая экспертная оценка.
М 4. Внешний аудит.
По каждой из перечисленных областей методология содержит детальное описание организации управления, рекомендации по оценке и совершенствованию внутреннего контроля за ИТ*(1).
Другая, не менее широко развитая и используемая многими ведущими организациями, методология - это ITIL (IT Infrastructure Library) - набор всесторонних документов по управлению обслуживанием и сопровождением информационных систем.
ITIL является эталонной моделью для сравнения текущей практики управления ИТ-сервисами организации с лучшей мировой практикой. Эта методология включает библиотеку из более чем 40 книг, разработанных ССТА (Центральное телекоммуникационное агентство, Великобритания). Каждая книга в ITIL охватывает определенный процесс управления ИТ-сервисами и описывает его отношения с другими процессами.
ССТА разрабатывает методологии мирового уровня для управления информационными технологиями, включая методологию управления проектами PRINCE, методологию SSADM для системного анализа и проектирования и библиотеку ITIL.
ITIL обеспечивает профессионалов в области ИТ знаниями и ресурсами, которые должны использоваться для поддержания эффективной и рациональной инфраструктуры, при минимальных затратах полностью удовлетворяющей потребности клиентов.
ITIL предлагает систематический и профессиональный подход к управлению ИТ-сервисами.
Основные преимущества применения ITIL:
- предоставление клиенту более полного и качественного обслуживания;
- уменьшение стоимости сервисов (услуг);
- повышение взаимосвязи между персоналом ИТ-служб и клиентами;
- повышение производительности обслуживания и максимально полное использование накопленных знаний и опыта.
Концепция ITIL так же, как и СоblТ, базируется на лучшей практике и опыте ведущих экспертов, консультантов, инженеров и многими воспринимается на настоящий момент как наиболее полный стандарт де факте для организации управления обслуживанием ИС.
Многие организации во всем мире используют ITIL как эталонную модель для сравнения текущей практики управления ИТ-сервисами организации с лучшей мировой практикой.
Необходимо отметить, что внедрение подобных методологий является сложной задачей и не всегда может быть осуществлено без посторонней помощи. Это связано с тем, что в процессе внедрения необходимо оценить последовательность действий и сформулировать систему приоритетов. Также часто необходим практический опыт организации подобных процессов в других организациях.
Для больших кредитных организаций не менее важным помимо выбора и использования проверенных подходов является и централизация методологического управления в целом по организации, так как зачастую в головном офисе используются передовые подходы, а в ближайшем филиале ИТ-функции и процедуры управления существенно менее развиты.
Восемь ключевых подходов
При построении ИТ-менеджмента необходимо иметь в виду, что помимо трех основных задач верхнего уровня (достижение бизнес-целей, ресурсное обеспечение, включая управление экономическими аспектами ИТ и методологическое обеспечение ИТ-деятельности, которые мы рассмотрели в первом приближении выше) для правильной организации работы могут быть рекомендованы 8 ключевых подходов. Среди них: тесное взаимодействие с бизнесом, построение ИТ-подразделения по принципу обслуживающей (сервисной) организации, широкое использование проектной формы управления и матричной организационной структуры, активное использование в процессе управления оценки и контроля деятельности ИТ количественных показателей (метрик), высокая роль риск-менеджмента в ИТ-деятельности, постоянное совершенствование, оптимизация и обязательное документирование внутренних ИТ-процессов и работ и банковских технологий.
Рассмотрим эти моменты по отдельности. Каждый из перечисленных подходов является своеобразной аксиомой ИТ-менеджмента, поэтому мы не будем доказывать их необходимость, а сосредоточимся на описании самих подходов.
Тесное взаимодействие с бизнесом
Первичность бизнес-целей давно не вызывает практически ни у кого в ИТ-сфере противодействия. Но как организовать это тесное взаимодействие? Как сделать его не формальным, а действенным? Как научиться понимать проблемы бизнеса и в свою очередь заставить бизнес считаться с ограничениями в ИТ и участвовать в ИТ-решениях? Все это не простые вопросы.
С точки зрения международного опыта разрешить эти противоречия в первую очередь могут ИТ-комитет, профессионализм ИТ-директора (СЮ - Chief Information Officer) и активное вовлечение ИТ-менеджера в принятие бизнес-решений.
Комитет по информационным технологиям контролирует процесс автоматизации в банке с целью достижения высокого уровня эффективности, стандартизации и организации безопасной и бесперебойной операционной деятельности в соответствии со стратегическими задачами банка. Комитет по ИТ также отвечает за поддержание технологических стандартов в банке на высоком уровне.
ИТ-комитет должен быть реально действующим образованием, который на регулярной основе участвует в принятии ИТ-решений, выработке ИТ-стратегии, разрешении противоречий, определении приоритетов задач, согласовании финансирования, утверждении технологических решений. Комитет осуществляет координацию политики банка в области информационных технологий, рассматривает вопросы распределения ресурсов, планирования и внедрения принятых решений. Он также координирует деятельность, выполняемую различными группами, с тем, чтобы при принятии решений по информационным технологиям в первую очередь учитывались общие интересы банка.
ИТ-комитет должен собираться по мере необходимости, но, как правило, для средних по размеру организаций не реже одного раза в месяц, для крупных банков - на еженедельной основе. ИТ-комитет должен состоять из представителей (руководителей) основных бизнес-направлений, ИТ-директора, представителей высшего руководства, иногда в него могут входить даже представители крупных акционеров (владельцев), хотя это не является типовой практикой. Руководить им должен представитель бизнеса, символизируя этим первичность бизнес-целей. Таким образом, через представительство в ИТ-комитете трех основных групп - высшего руководства, ИТ-менеджмента, бизнес-менеджмента (пользователей) - достигаются прозрачность деятельности в области ИТ, сбалансированность ИТ-решений и их соответствие бизнес-целям.
Руководители основных подразделений банка должны быть обязательно включены в состав комитета по ИТ. Опыт показывает, что в банках, в которых не сформированы ИТ-комитеты, наблюдается расхождение мнений по вопросам информационных технологий между сотрудниками управления ИТ и пользователями программных продуктов. В большинстве случаев конфликты возникают по причине того, что как пользователи, так и сотрудники управления информационных технологий не осознают приоритеты, которые определены в деятельности другой стороны.
Немаловажную роль в построении продуктивных и дружественных отношений между бизнес-подразделениями и ИТ играет сам ИТ-директор. Статус СЮ в зарубежных финансовых компаниях крайне высок. Иногда он может быть выше статуса, например, финансового директора (CFO - Chief Finance Officer). Почти всегда СЮ имеет статус члена правления. Если он может говорить на равных с потребителями технологий, то это очень помогает в налаживании правильных отношений. Поэтому иногда для улучшения взаимодействия на должность ИТ-директора назначается человек из бизнес-сферы с ИТ-опытом. Вряд ли это является панацеей, но этот пример по крайней мере хорошо иллюстрирует, что СЮ должен быть одинаково близок и к ИТ, и к бизнесу, понимать язык обеих сторон и быть своеобразным переводчиком. Это, по мнению многих экспертов, на сегодняшний день и является основной задачей ИТ-директора.
Также, как уже отмечалось, важно вовлечение ИТ-менеджмента в бизнес-решения. Представители ИТ должны принимать участие в обсуждении и принятии ключевых решений относительно развития банковской деятельности, так как успешная реализация принимаемых решений во многом зависит от возможностей ИТ. Поэтому правильной практикой является участие ИТ-директора в заседаниях правления (или другого органа управления), основных комитетов как полноправного члена.
ИТ как сервисная организация
Следующий момент - это построение ИТ-подразделения по принципу обслуживающей (сервисной) организации. Другими словами, организация работы внутренней ИТ-службы не должна ничем отличаться от организации работы при обслуживании сторонних клиентов. Основная цель такого построения - поднять качество обслуживания до уровня сторонних провайдеров, использовать в работе ИТ-подразделения профессиональные, промышленные подходы, уделять больше внимания риск-менеджменту.
Для реализации этого подхода ИТ-подразделение составляет список своих доступных и потенциальных услуг, описывает их, определяет параметры услуг (скорость оказания, стоимость, гарантии обслуживания). Далее с каждой бизнес-единицей заключаются договора на обслуживание, так называемые SLA (Service Level Agreement) - соглашения об уровне обслуживания. Иногда они называются соглашениями о порядке взаимодействия и обслуживания. Процесс оформления SLA детально отражен в методологии ITIL. Примерная его форма приведена в приложениях.
Проектная форма управления
Большинство работ в области ИТ являются уникальными и неповторяющимися. Они выполняются специально выделенными работниками и по сути представляют собой проекты со своими целями, требуемыми сроками и согласованным финансированием. Управление такими группами также должно отличаться от традиционного. Здесь нет постоянно выполняемых и периодически возникающих задач, работа конечна во времени, и основным критерием является достижение цели проекта.
Для внедрения проектной формы управления необходимо разработать положение об основах проектной работы, которое должно:
- включать критерии выделения проектов (например, срок и стоимость работ, вовлеченность нескольких подразделений);
- определять организационный статус проекта, формирование целей и задач проекта, процедуры контроля за ходом проекта и достижением результатов, формирование и расходование бюджета, руководство проектом, двойную подчиненность сотрудников, сроки, основные типы проектов (проекты в области ИТ, внутренние проекты, общебанковские проекты и т.п.).
В соответствии с утвержденными проектными подходами и проектами в организации формируется перечень проектов в области ИТ, назначаются ответственные (или рабочие группы) за каждый проект и внедряются процедуры контроля за результатами.
Для эффективного функционирования проектной формы работы целесообразно разработать и внедрить систему, согласно которой рабочее время сотрудников ИТ будет учитываться с точки зрения осуществляемых видов работ и заказчиков этих работ, вовлеченности в проекты. Эти данные могут использоваться для распределения издержек ИТ-персонала по бизнес-подразделениям. Также проектная форма управления предполагает совершенно другую систему мотивации сотрудников, ориентированную на достижение конечного результата.
Матричная оргструктура
Для реализации проектных подходов в полной мере ИТ-подразделение должно быть построено на основе матричной организационной структуры. Матричная структура - наиболее сложный и, если ее так можно назвать, современный тип организационной структуры. Она представляет собой некое совмещение традиционных структур с проектными подходами. Подобное совмещение помогает объединить все положительное, что есть в традиционных структурах и системах управления, с новейшими тенденциями. Матричной структуре свойственно двойное подчинение: с одной стороны, исполнитель участвует в каком-то проекте, с другой - он является частью функционального подразделения. Система взаимоотношений и подчиненности в структурах этого типа очень сложна, но, как показывает практика, сами по себе эти структуры весьма эффективны именно в современных условиях.
Матричные структуры, сочетая в себе все преимущества функциональных и дивизиональных структур, лишены многих их недостатков. Они оптимально и быстро справляются со множеством постоянно возникающих задач, создавая для их решения отдельные проекты. Они идеально адаптируются к современной нестабильной внешней среде. Поэтому матричные организационные структуры заслуженно признаются оптимальными для кредитных организаций и особенно оправданы для организации ИТ.
Однако необходимо учитывать и присущие матричным структурам недостатки, а именно: излишнюю усложненность, возникающую из-за двойного подчинения, нечеткость в вопросах разграничения полномочий между функциональными или дивизионными и проектными руководителями.
Примеры матричных организационных структур банка и ИТ-подразделения приведены в приложениях.
Показатели деятельности
Для осуществления оценки и анализа существующих проблем в области ИТ необходимо иметь объективную информацию по основным аспектам деятельности (количественные метрики). Такие показатели помогают отслеживать и управлять результатами деятельности по ИТ-направлению.
В западной практике эти показатели часто называются KPI (Key Performance Indicators) - ключевые индикаторы выполнения. Примером KPI могут быть такие метрики, как процент проектов, не укладывающихся в сроки или бюджет; время разрешения проблемы у пользователя; средняя загрузка оборудования; рост ИТ-бюджета по сравнению с ростом операций; удовлетворенность пользователей работой ИТ-подразделения; доступность критичных ИТ-ресурсов (100% означает, что определенные ресурсы доступны все время - 24 часа х 7 дней в неделю); уровень квалификации ИТ-персонала; количество замечаний по результатам регулярных внутренних и внешних проверок ИТ; количество поддерживаемых пользователей на одного работника ИТ, количество проблем и консультаций отработанных службой обслуживания; количество инцидентов в области информационной безопасности; процент загруженности ИТ-работников (utilization) и т.д.
Важно понимать, что количество показателей может быть огромным, поэтому определение того, какие из них необходимо учитывать при оценке деятельности ИТ, а какие нет, является индивидуальной задачей. Но в любом случае, определив 15-20 метрик и регулярно собирая по ним необходимую информацию, можно иметь достаточно четкое представление о ходе деятельности ИТ и осуществлять адекватное управление и контроль со стороны высшего руководства и бизнес-подразделений, периодически предоставляя им эту информацию.
Риск-менеджмент
Важнейшая составляющая правильной организации управления ИТ - риск-менеджмент. ИТ является одной из самых высокорискованных областей деятельности и может быть сопоставима для кредитных организаций по уровню рискованности даже с финансовыми операциями. Постоянная оценка наихудшего сценария по всем направлениям, оценка вероятности его наступления и потенциального влияния - вот основы риск-менеджмента.
Далее должна следовать работа по смягчению возможных последствий, минимизации влияния и снижения вероятности наступления негативного события, независимо от его природы. Невозможно подготовиться ко всему, поэтому необходимо использовать взвешенный подход, направляя максимум усилий на потенциальные события с высокой вероятностью наступления и высоким влиянием и с низкой вероятностью и высоким влиянием. Такой подход в западной практике является основой риск-менеджмента и называется Probability Impact Analysis.
Основными направлениями риск-менеджмента являются:
- планирование непрерывности деятельности и действий в чрезвычайных ситуациях, так называемые ВСР и DRP (Business Continue and Disaster Recovery Planning);
- разделение ключевых ИТ-функций (необходимо, например, разделять функции разработки программного обеспечения, технического тестирования, тестирования функциональных возможностей и сопровождения эксплуатируемых систем);
- зависимость от ключевого ИТ-персонала (в последнее время одна из наиболее часто встречающихся проблем ИТ-менеджмента);
- информационная безопасность, инциденты, связанные с доступом и раскрытием конфиденциальной информации.
Для минимизации рисков внедряются так называемые контрольные процедуры (Control Procedures), направляемые на предотвращение (Preventive Controls), выявление (Detective Controls) и смягчение (Corrective Controls) негативной ситуации.
Документирование ИТ-процессов
Еще одна составляющая правильной организации управления ИТ - необходимость документирования ИТ-процессов и банковских технологий. Традиционно именно этот момент является менее развитым в российских организациях, что неминуемо приводит к резкому увеличению рисков, полной неразберихе и абсолютной непрозрачности ИТ-подразделения и автоматически ухудшает взаимоотношения с бизнес-сферой, затрудняет оценку деятельности, снижает качество обслуживания внутренних клиентов.
Для облегчения использования внутренних регламентирующих документов может быть рекомендовано применять утвержденную в рамках всей организации иерархию документов. В России пока нет устоявшихся подходов, а в международной практике часто используется иерархия внутренних документов по возрастанию степени их детализации: политика (Policy), процедура (Procedure), стандарт (Standard).
Основные примеры ИТ-документов, которые должны постоянно поддерживаться и вестись в организации:
* стратегия в области ИТ (IT Strategy);
* техническая политика (Technology Policy);
* информационная и технологическая архитектура (Information ArchiTecture);
* ИТ-бюджет (IT Budget);
* политика информационной безопасности (SecuriTy Policy);
* процедуры получения доступа к информационным ресурсам и стандарты информационной безопасности (SecuriTy Procedures and Standards);
* методология разработки программного обеспечения (System Development Life Cycle Methodology);
* соглашения о взаимодействии и обслуживании бизнес-подразделений (Service Level Agreement);
* порядок проведения тендеров по выбору ИТ-решений (Tender Execution Policy);
* протоколы ИТ-комитета (IT commlitee minutes);
* перечень регулярных операций и процессов (Batch Processes List);
* перечень проектов (Projects List);
* планы-графики работ по проектам и в целом по подразделению;
* программная документация (руководства пользователей, администраторов, технические спецификации);
* технические задания на разработку;
* журнал регистрации обращений пользователей;
* заявки на предоставления прав доступа, карты доступа;
* результаты приемки решений пользователями (Users Sign-off).
* должностные инструкции работников (Job Descriptions);
* перечень эксплуатируемого программного обеспечения и техники;
* описания банковских технологических процессов.
Совершенствование процессов
Последним ключевым подходом является необходимость постоянного совершенствования ИТ-процессов. Такое совершенствование включает два аспекта. Первый - оценка уровня зрелости, которая производится на основе сравнения с другими организациями и должна быть постоянной и неотъемлемой частью ИТ-менеджмента. В международной практике этот процесс называется Benchmarking. Второй - непосредственно оптимизация деятельности. Необходимо, чтобы работа по совершенствованию не приводила к развитию нескольких "любимых" участков деятельности в ущерб всем остальным, как часто бывает в российских банках. Поэтому очень важным становится использование какой-либо методологии управления ИТ, например СblТ, которая дает возможность оценить уровень развитости ИТ в конкретной организации, не прибегая к консалтинговой помощи и не надоедая коллегам из конкурирующих структур. И далее на основе оценки текущего состояния, начиная с менее развитых направлений, можно начинать работу по совершенствованию ИТ-процессов.
Рассмотрев основы построения ИТ-менеджмента в финансовых организациях в рамках первой части книги, далее мы остановимся подробнее на том моменте, который в данной главе назван первой задачей ИТ-менеджмента, - стремлении к достижению целей. Для ИТ-менеджера эту задачу поддерживает процесс стратегического планирования (или управления), который и является предметом следующей главы.