Компания правильного размера

Дискуссия от том, в каких компаниях лучше работать - в маленьких или больших идет довольно давно. Обычно каждый имеет собственное мнение на этот счет. Здесь я поделюсь собственным опытом в этой сфере расскажу о том, как в результате я нашел работу в Лондоне.

Начнем с (совсем) малого бизнеса.Каждому стоит попробовать открыть собственный бизнес, нанять с десяток человек и прочувствовать ощущение полной ответственности за все происходящее. Как минимум, вы не будете переживать, работая по найму, что за слишком многое отвечаете. Я открывал собственный бизнес дважды - один раз давно и не особо удачно, второй раз - значительно лучше, однако рассказать хочу про работу по найму.

Итак, продолжим с очень крупной компании. Желательно международной, уже выстроенными процессами, где уже давно и все сделано по-уму. Очень полезно поработать в таких условиях некоторое время, чтобы понять, что такое корпоративная культура, как должны правильно выглядеть миссия, стратегия, ценности, политики компании, как правильно проводить и участвовать в совещаниях, для чего все эти многочисленные комитеты, как правильно описывать процессы и так далее.

В свое время для меня такой компанией стала компания Fortum. Практически все замечательно, кроме одного - очень сложно что-либо изменить. Например, когда приходят ребята из компании Axus и говорят - давайте мы вам внедрим крутую технологию - будете отправлять задания на печать в "облако", а печатать на любом принтере в офисе просто прислонив к нему свою карточку. Посылаем запрос в головной офис в Финляндию, там отвечают: у нас раз в квартал проводятся совещания по ИТ инновациям, на следующий квартал повестка заполнена, рассмотрим ваше предложение через полгода(!). Спрашиваем у Axus, это долго делать-то? Дорого? - да нет, за месяц сделаем и недорого - ладно, говорим, делайте.

Дальше все замечательно, принтеры печатают, все счастливы, месяца через четыре приезжает какой-то менеджер из финского ИТ и говорит, ребята, мы прочитали про крутую вещь - подносишь к принтеру свою ID card и принтер печатает свои документы. Так что мы начинаем делать проект, через полгода будет готова проектная документация, внедрение начнем(!) года через полтора-два. Я подвожу его к принтеру в холле, провожу картой, вылезает мой документ, я говорю "так что ли?" - в общем, менеджер в шоке, скандал, систему приказали удалить и ждать корпоративной сверху.

Далее последовали совершенно безумные вещи, например, сверху спустили указание повысить показатель "количество производимых мегаватт на человека". Мегаватты повысить сложно, давайте сокращать людей. Берем человека с зарплатой 10 тысяч рублей и заменяем его аутсорсинговым контрактом на 100 000 (да, это СТО тысяч) рублей в месяц. Человеку выплачиваем зарплату за год вперед, чтобы не обидеть. Показатель повышен, все получили бонусы.

Позже - нам нужно снижать косты (расходы). Сейчас стоимость печати страницы А4 составляет 1 рубль. Как снизить? - можно купить огромный принтер за 500 000 рублей, там страница будет стоить 30 копеек. "Отлично, берите 10 штук чтоб поставить везде". "Но это же никогда не окупится!!! - Неважно, это инвестиции, на них ограничений нет!"

Хорошо, что проект по интеграции в финское ИТ закончился до того, как я потерял чувство здравого смысла, и я устроился на работу ИТ директором в компанию ИДК.

Забегая немного вперед скажу, что когда я сдавал экзамен по корпоративному управлению ИТ (CGEIT), там очень большое значение придается навыкам именно СОЗДАВАТЬ что-то, а не просто принимать участие в работе хорошо отлаженного механизма. Так вот, в ИДК у меня была возможность реализовать большую часть своих идей в области того, как должно работать ИТ.

Благодаря оптимальному, на мой взгляд, размеру в 600-800 человек, компания имеет достаточный размер чтобы видеть отдачу от своих идей, а с другой стороны - здесь не теряют чувство здравого смысла в погоне за абстрактными показателями. Конечно, значение также имеет то, что компания постоянно внедряет инновации в области медицины. поэтому к инновациям там вообще подход чуткий, и инновации в ИТ также внедряются с энтузиазмом.

Оптимальный размер позволяет не городить многоуровневую систему менеджмента, когда к директору невозможно попасть, потому что между тобой и ним есть еще 3-4 начальника, и руководитель компании в такой ситуации просто не понимает, что происходит на местах.

Даже, когда компания стала частью крупнейшей российской частной медицинской компании "Мать и Дитя", ей удалось сохранить инновационный дух и многие идеи теперь реализуются в гораздо большем масштабе, в том числе, копания строит новый госпиталь.

Однако, позиция ИТ директора (CIO - Career Is Over :) ) имеет свои особенности, нельзя оставаться на месте, бесконечно пожиная плоды от прошлых успехов, нужно постоянно искать что то новое. Не знаю точно, что послужило решающим фактором в мою пользу на собеседовании в компании Daily Mail - MailOnline, но очевидно, что рассказы о том, что мне удалось сделать в компании "Мать и Дитя - Самара" сыграли свою роль.

Не стоит думать, что в России прямо все компании такие отсталые. Многие из инноваций, которые давно и успешно используются в той же ИДК, например Problem Resolution Report, которые не позволяют дважды "наступать на одни и те же грабли" я с успехом сейчас внедряю в Лондоне, хотя моя компания технически настолько передовая, что через месяц работы я еще не понимаю все технологии до конца, несмотря на весь свой опыт.

Итак, я бы рекомендовал работать в компании достаточно большой, чтобы было где приложить свои усилия и была видно отдача, но при этом не настолько огромной, чтобы вы не могли там ничего изменить в обозримые сроки. Мне повезло, и я сменил одну такую компанию на другую.

PS
У кого хорошо с пониманием английского - почитайте статью моего коллеги - CTO DailyMail Online, Oleg Vishnepolsky "Do NOT work for a BIG company !" - там он хорошо и с юмором раскрыл тему работы в больших компаниях.

ИТ руководство в стиле дзэн

Пятничный пост про ИТ директора в стиле дзэн :)

Большую часть времени дзэн-ИТ директор проводит в медитации и стратегических раздумьях о судьбах ИТ и компании.

Когда дзэн-ИТ-директора отвлекают от его раздумий, он реагирует следующим образом:

Например, если вырывается (звонит) явно рассерженный пользователь и начинает рассказывать "Я уже вот сколько прошу сделать (починить) то-то и то-то, а происходит вот то-то и то-то ...", то самое важное - это не терять внутреннего спокойствия и умиротворения, спросив "А вы обращались в службу поддержки, какой номер вашего запроса? мне он нужен , чтобы запрос нашли незамедлительно и во всем разобрались". Важно также обращать внимание не на то, что говорит пользователь, а на него как на человека, понимать его эмоции, проникнуться, насколько он огорчен! в суть вопроса лучше не вникать, это помешает вам в конечном итоге решить вопрос эффективно.
Получив так или иначе номер запроса, вы заверяете пользователя, что все будет в лучшем виде и звоните в поддержку.
Сначала просите поддержку найти этот запрос, пропускаете мимо ушей суть дела и жалкие оправдания сотрудников поддержки, сообщаете, что вопрос уже эскалирован на вас, и пользователь тут отчитывал вас по этому запросу целых полчаса (здесь вы отдаете все эмоции, полученные от пользователя, возвращаясь в эмоциональное равновесие). Затем, задаете короткий риторический вопрос, зачем вам платить кучу денег поддержке, если вы будете вынуждены все время разбираться с проблемами пользователей? - после этого просите принять меры, чтобы данный пользователь по данному вопросу больше к вам никогда не имел необходимости обращаться и, получив требуемые заверения, вешаете трубку, возвращаясь к вселенской гармонии.
Получив позже отчет от поддержки, что все в шоколаде, пробегаете его глазами на предмет фраз "пользователь сам дурак", и, удалив эти недостойные фразы, отправляете пользователю, сообщив, что все решили, и более такого не повториться.

И да, если вы еще не вывели ИТ поддержку на аутсорсинг, то постичь дзен будет крайне проблематично :)

Управление непрерывностью (Business Continuity)

Управление непрерывностью - очень важный процесс, связанный с обеспечением непрерывной работы бизнеса при различных сбоях или даже катастрофах, связанных с ИТ.
Чем же должен заниматься в компании человек, отвечающий за непрерывность?
Как и обычно, изобретать велосипед не будем, а обратимся к своду знаний CobiT, где процесс управления непрерывностью занимает свое место в группе процессов обслуживания и поддержки:

Итак, для начала

Описание процесса

Создать и поддерживать план, позволяющий бизнесу и ИТ реагировать на инциденты и сбои, в целях продолжения работы критически важных бизнес процессов, необходимых ИТ-услуг, и поддерживать доступность информации на уровне, приемлемом для предприятия.

Цель процесса

Продолжение выполнения критически важных бизнес-операций и поддержание доступности информации на уровне, приемлемом для предприятия в случае существенного ИТ сбоя

Задачи и примеры метрик процесса

Бизнес-критическая информация доступна для бизнеса в соответствии с
минимальным требуемым уровнем обслуживания

• Процент ИТ сервисов, доступных в согласованное время
• Процент успешных и сделанных вовремя восстановлений из резервных копий
• Процент резервных копий, перемещенных и находящихся в безопасном хранении

Достаточная устойчивость для критически важных сервисов

• Количество критических важных бизнес систем, не покрытых планом

Тесты на непрерывность подтверждают эффективность плана

• Количество испытаний и тестов, которые достигли целей по восстановлению
• Частота испытаний

Актуальный план по непрерывности отражает текущие требования бизнеса

• Процент согласованных улучшений, которые были отражены в плане
• Процент выявленных проблем, которые были впоследствии рассмотрены в
• плане

Внутренние и внешние стороны прошли подготовку в плане по непрерывности.

• Процент представителей внутренних и внешних заинтересованных сторон, которые прошли обучение
• Процент выявленных вопросов, которые были впоследствии рассмотрены в учебных материалах

Что, собственно, нужно будет делать:

Определить политику и область охвата процесса обеспечения непрерывности бизнеса в соответствии с целями предприятия и ключевых заинтересованных сторон.

1. Определить внутренние и аутсорсинговые бизнес-процессы или услуги, которые имеют решающее значение для деятельности предприятия или необходимые для выполнения юридических и/или договорных обязательств.
2. Определить ключевые заинтересованные стороны и их роли и обязанности для определения и согласования политики непрерывности и области ее охвата.
3. Определить и задокументировать согласованный минимум целей и охвата политики по непрерывности бизнеса и внедрить необходимость планирования непрерывности бизнеса в корпоративную культуру.
4. Определить необходимые вспомогательные бизнес-процессы и связанные с ними ИТ-услуги.

Оценить параметры управления и обеспечения непрерывности бизнеса и выбрать экономически эффективную и жизнеспособную  стратегию непрерывности, которая обеспечит восстановление предприятия и непрерывность в условиях стихийного бедствия или других серьезных инцидентов или нарушений.

1. Выявить потенциальные сценарии, которые могут вызвать события, которые могут повлечь за собой существенные разрушительные инциденты.
2. Провести анализ влияния на бизнес, чтобы оценить влияние перебоев критических бизнес-функций на протяжении некоторого времени.
3. Установите минимальное время, необходимое для восстановления бизнес-процессов и поддержки ИТ на основе приемлемой длины прерывания бизнеса и максимально допустимого времени отключения электроэнергии.
4. Оценить вероятность возникновения угроз, которые могут привести к потере непрерывности бизнеса и определить меры, которые позволят уменьшить вероятность и влияние за счет улучшенного предотвращения и повышенной устойчивости.
5. Проанализировать требования к непрерывности, чтобы определить различные бизнес и технические варианты
6. Определить условия и тех, кто будет принимать ключевые решения, на основе которых будет составляться планы по непрерывности
7. Определить потребности в ресурсах и затраты для каждого стратегического технического варианта и сделать стратегические рекомендации.
8. Получить одобрение высших руководителей бизнеса для выбранных стратегических вариантов.

Разработать план обеспечения непрерывности бизнеса (BCP), основанный на стратегии, в котором задокументированы процедуры и информация, предназначенные для использования в случае инцидента, чтобы позволить предприятию продолжать свои критически важные бизнес функции

1. Определить ответные действия и необходимые коммуникации, которые необходимо предпринять в случае сбоя. Определить соответствующие функции и обязанности, в том числе ответственность за политики и их реализацию.
2. Разработать и поддерживать оперативные планы BCP, содержащие процедуры, которым необходимо следовать для того, чтобы обеспечить непрерывность функционирования критически важных бизнес-процессов и/или временных механизмов обработки, в том числе ссылки на планы поставщиков услуг аутсорсинга.
3. Убедитесь в том, что ключевые поставщики и аутсорсинг партнеры имеют эффективные планы обеспечения непрерывности деятельности. Получите проверенные доказательства в соответствии с требованиями.
4. Определить условия и процедуры восстановления, которые позволили бы возобновление бизнес-деятельности, в том числе обновление и согласование информационных баз данных для сохранения целостности информации.
5. Определить и документировать ресурсы, необходимые для поддержки процедуры обеспечения непрерывности и восстановления, с учетом людей,  и объектов ИТ-инфраструктуры.
6. Определить и задокументировать требования к резервному копированию информации, необходимые для поддержки планов, включая планы и бумажные документы, а также массивов данных, а также рассмотреть вопрос о необходимости обеспечения хранения информации и за пределами территории предприятия (off-site backup)
7. Определить необходимые навыки для лиц, участвующих в выполнении плана и вспомогательных процедур.
8. Распределить планы и вспомогательную документацию соответствующим образом уполномоченным заинтересованным сторонам и убедиться, что эти планы доступны при всех аварийных сценариях.

Осуществление, тест и обзор BCP

Тестирование механизмов обеспечения непрерывности на регулярной основе, исполнение планов восстановления на основании заранее определенных результатов и обеспечение инновационных решений, которые будут разработаны чтобы помочь проверить в течение длительного времени, что план будет работать, как и ожидалось.

1. Определить цели для осуществления и проверки бизнес, технических, логистических, административных, процедурных и операционных систем плана для проверки полноты BCP в соответствии с бизнес-рисками.
2. Определить и согласовать с заинтересованными сторонами мероприятия, которые являются реалистичными, проверяют процедуры обеспечения непрерывности, и включают в себя функции и механизмы хранения данных, которые вызывают минимальные помехи для бизнес-процессов..
3. Назначить роли и обязанности для выполнения мероприятий плана обеспечения непрерывности и соответствующих испытаний.
4. Запланировать мероприятия и тесты, как это определено в плане непрерывности.
5. Провести после тренировки "разбор полетов" и анализ, чтобы рассмотреть, как все прошло.
6. Разработать рекомендации по совершенствованию действующего плана непрерывности на основе результатов анализа.

Обзор, поддержка и улучшение плана обеспечения непрерывности.

Проводить управленческий анализ возможностей обеспечения непрерывности через регулярные промежутки времени для обеспечения его постоянной пригодности, адекватности и эффективности. Управление изменениями в плане в соответствии с процессом управления изменениями, чтобы гарантировать, что план обеспечения непрерывности сохраняется в актуальном состоянии и постоянно отражает фактические потребности бизнеса

1. Просматривать план обеспечения непрерывности на регулярной основе с учетом сделанных предположений и текущих бизнес-оперативных и стратегических целей.
2. Изучать, может ли потребоваться пересмотр оценки влияния на бизнес в зависимости от характера текущих изменений.
3. Рекомендовать и обсуждать изменения в политике, планах, процедурах, инфраструктуре, а также роли и обязанности для утверждения управления и обработке с помощью процесса управления изменениями.
4. Пересматривать план непрерывности на регулярной основе, чтобы учесть влияние новых или значительных изменений: организации предприятия, бизнес-процессов, аутсорсинг новых процессов, технологий, инфраструктуры, операционных и прикладных систем

Проведение учебных мероприятий по обеспечению непрерывности

Обеспечить все заинтересованные внутренние и внешние стороны, регулярными тренировками, касающиеся процедур, и их роли и ответственности в случае нарушения.

1. Определить и поддерживать требования к обучению и планы для тех, кто выполняет планирование непрерывности, оценку воздействия, оценку риска, использует средства массовой коммуникации и реагирования на инциденты. Убедитесь в том, что учебные планы включают механизмы обеспечения регулярной профессиональной подготовки и обучения.
2. Разработать компетенции на основе практического обучения, включая участие в учениях и испытаниях.
3. Отслеживать навыки и компетенции на основе результатов тестирования и учебных мероприятий.

Управление мероприятиями по резервному копированию

Поддерживать доступность критически важной бизнес-информации

1. Резервное копирование различных систем, приложений, данных и документации в соответствии с установленным графиком, принимая во внимание:

• Частоту (ежемесячно, еженедельно, ежедневно и т.д.)
• Режим резервного копирования (например, зеркалирование дисков для копирования в режиме реального времени или DVD-ROM для длительного хранения)
• Тип резервного копирования (полный или инкрементный)
• Тип носителя
• Автоматизированное резервное копирование в режиме on-line
• Типы данных (например, голос или видео)
• Создание журналов
• Критично важные данные конечных пользователей (например, электронные таблицы)
• Физическое и логическое размещение источников данных
• Безопасность и права доступа
• Шифрование

1. Убедитесь в том, что системы, приложения, данные и документация, поддерживаемые или обрабатываемые третьими сторонами надлежащим образом резервно копируются или сохраняются иным способом.
2. Рассмотрите вопрос о необходимости предоставления резервных копий со стороны третьих лиц. Рассмотрите депозитные или соглашения об ответственном хранении.
3. Определите требования к копиям на месте и за пределами площадки хранения резервных копий данных, которые отвечают требованиям бизнеса. Рассмотрите доступность, необходимую для резервного копирования данных.
4. Разверните систему осведомленности и обучения BCP
5. Периодически тестируйте и обновляйте резервные или архивные данные

Проводите "разбор полетов" после восстановления данных

Оцените адекватность BCP после успешного возобновления бизнес-процессов и

услуги после сбоя

1. Оцените соответствие документации BCP
2. Определить эффективность плана, возможностей обеспечения непрерывности, ролей и обязанностей, навыков и компетенций, устойчивость к инцидентам, технической инфраструктуры, а также организационных структур и отношений.
3. Определите слабые места или упущения в плане и возможностей, и подготовьте рекомендации по улучшению.
4. Получите одобрение руководства для каких-либо изменений в плане и внесите изменения с помощью процесса управления изменениями предприятия.

Несколько примеров показателей (метрик) для ИТ целей.

Продолжая тему целей предприятия, хочу остановится на ИТ целях, а точнее - на некоторых показателях их достижения. Показатели нам нужны, в первую очередь для того, чтобы понимать, насколько мы продвинулись в достижении той или иной ИТ цели. Ведь как известно, лучше всего себя сравнивать с собой же, но вчерашним :).

Велосипед, как обычно, изобретать не будем, и возьмем все из стандарта CobiT, оригинальный текст можно посмотреть в конце статьи.

Кстати, в процессе перевода сделал интересный вывод: в CobiТ нет такого понятий, как ИТ-сотрудники, есть определенные ИТ роли, которые в принципе могут выполнять любые сотрудники в рамках матричной системы управления.

Итак, список общих ИТ целей с примерами показателей (метрик) по каждой цели:

Финансы

01 Соответствие между ИТ- и бизнес-стратегиями

• Процент от общего числа корпоративных стратегических целей предприятия, поддерживаемых стратегическими ИТ целями
• Уровень удовлетворенности заинтересованных сторон охватом текущего портфеля программ проектов и сервисов
• Процент факторов влияния на стоимость от ИТ, поставленных в соответствие бизнес-факторам влияния.

02 Следование внешнему законодательству и регулирующим требованиями в области ИТ и поддержка бизнес-соответствия.

• Стоимость потерь от ИТ несоответствия (законодательству), в том числе от постановлений и штрафов а также от потери репутации
• Количество ИТ-несоответствий (законодательству), которые вышли на уровень совета директоров (правления) или привели к общественному резонансу
• Количество вопросов несоблюдения (нормативов), относящихся к договорам с поставщиками ИТ услуг
• Уровень покрытия мероприятиями оценки соответствия

03 Лидирующая роль (вовлечение) руководства в принятии решений в области ИТ

• Процент представителей высшего руководства с четко определенными ролями в области ответственности за принятие ключевых ИТ решений
• Сколько раз ИТ вопросы выносились в повестку совета директоров (правления) проактивно.
• Частота заседаний Стратегического комитета по ИТ
• Уровень исполнения ИТ решений, принятых на уровне высшего руководства

04 Управляемые ИТ-риски

• Количество ИТ процессов, ИТ услуг и критично зависимых от ИТ бизнес-проектов покрытых программой оценки рисков
• Количество значительных ИТ-инцидентов, которые не были определены в оценке рисков
• Процент корпоративных программ оценки рисков, в которых рассматривают и ИТ риски
• Частота обновления риск-профиля

05 Получение выгод от инвестиций с использованием ИТ и портфеля услуг

• Процент ИТ-зависимых инвестиций, в которых получение выгоды отслеживалось в течении всего экономического жизненного цикла
• Процент ИТ сервисов, где ожидаемые выгоды осуществляются
• Процент ИТ-зависимых инвестиций, где заявленные преимущества выполнены или перевыполнены

06 Прозрачность ИТ-затрат, выгод и рисков

• Процент инвестиционных бизнес-кейсов с четко определенными и утвержденными ожидаемыми ИТ затратами и выгодами
• Процент ИТ сервисов с четко определенными и утвержденными операционными расходами и ожидаемыми выгодами
• Оценка удовлетворенности ключевых заинтересованных сторон относительно уровня прозрачности, понимания и точности финансовой информации в области ИТ

Заказчик

07 Предоставление ИТ-услуг в соответствии с бизнес-требованиями

• Количество бизнес-собев из-за ИТ инцидентов
• Процент бизнес-руководителей, удовлетворенных (согласных) с тем, что ИТ-служба соответствует обговоренному уровню сервиса
• Процент пользователей, удовлетворенных качеством предоставляемых ИТ услуг

08 Адекватное использование приложений, информации и технических решений

• Процент владельцев бизнес-процессов, удовлетворенных поддерживающими ИТ процессам и сервисами
• Уровень понимания бизнес-пользователями того, как технологические решения поддерживают их процессы
• Уровень удовлетворенности бизнес-пользователей обучением и руководствами пользователей
• Чистая приведенная стоимость (NPV), показывающая уровень удовлетворенности бизнеса качеством и полезностью технологических решений

Внутреннее управление

09 Гибкость ИТ

• Уровень удовлетворенности руководителей бизнеса восприимчивостью ИТ к новым требованиям
• Количество критических бизнес-процессов, поддерживаемых современной ИТ инфраструктурой и приложениями
• Среднее время превращения стратегических ИТ целей в согласованные и утвержденные ИТ инициативы (проекты)

10 Безопасность информации, обрабатывающей инфраструктуры и приложений

• Количество инцидентов информационной безопасности, повлекших за собой финансовые убытки, остановку бизнеса или общественный резонанс
• Количество ИТ сервисов с выдающимися требованиями по безопасности
• Время на предоставление, изменение или удаления прав доступа сравнительно с согласованным уровнем сервиса
• Частота проводимых мероприятий по оценке уровня безопасности в сравнении с последними стандартами и рекомендациями.

11 Оптимизация ИТ-активов, ресурсов и способностей

• Частота проведения мероприятий по оценке уровня зрелости функциональных возможностей и оптимизации затрат
• Текущий тренд (тенденция) результатов оценки
• Уровень удовлетворенности высших руководителей бизнеса и ИТ ИТ-затратами и возможностями

12 Обеспечение работы и поддержка бизнес-процессов, путем интеграции приложений и технологий в бизнес-процессы

• Количество инцидентов в бизнес-процессах, вызванных технологическими ошибками интеграции
• Количество изменений в бизнес-процессах, которые должны быть отложены или переработаны из-за проблем технической интеграции
• Количество ИТ-зависимых программ (проектов) отложенных, или повлекших дополнительные расходы из-за проблем с технологической интеграцией
• Количество приложений или элементов инфраструктуры, работающих изолированно и не интегрированных.

13 Извлечение выгоды из программ и проектов, выполняемых в рамках сроков, бюджета и соответствующих требованиям и стандартам качества

• Количество программ/проектов, уложившихся в сроки и в бюджет
• Процент представителей заинтересованных сторон, удовлетворенных качеством программ/проектов
• Количество программ (проектов) нуждающихся в значительной доработке из-за низкого качества
• Стоимость обслуживания приложений относительно общей стоимости ИТ

14 Доступность надежной и нужной информации для принятия решений

• Уровень удовлетворенности бизнес-пользователей качеством и своевременностью (или доступностью) управленческой информации
• Количество инцидентов в бизнес-процессах, связанных с недоступностью информации
• Количество и степень ошибочных бизнес-решений, где ошибочность или недоступность информации оказалась ключевым фактором

15 Соблюдение внутренних политик

• Количество инцидентов, связанных с несоблюдением политики
• Процент представителей заинтересованных сторон, которые понимают политики
• Процент политик, поддерживаемых эффективными стандартами и рабочими практиками
• Частота пересмотра и обновления политик

Обучение и развитие

16 Компетентный и мотивированный персонал ИТ

• Процент сотрудников, чьи ИТ-навыки достаточны для квалификации, необходимой для их роли
• Процент сотрудников, удовлетворенных их ролями, относящимися к ИТ
• Количество обучения/учебных часов на одного сотрудника

17 Знания, экспертиза и инициативность для осуществления бизнес-инноваций

• Уровень осведомленности и понимания высшими бизнес-руководителями возможностей ИТ-инноваций
• Уровень удовлетворенности заинтересованных сторон в уровне ИТ-инновационной экспертизе и соответствующих идей
• Количество утвержденных инициатив (проектов) в результате инновационных ИТ идей

Оригинал:

Определение целей предприятия с помощью CobiT

Принимая участие в разработке ИТ стратегий начинаешь понимать, что одним из ключевых факторов написания успешной ИТ стратегии является понимание бизнес-целей предприятия. Потому как ИТ стратегия требует определения ИТ целей, которые, в свою очередь определяются текущими бизнес-целями.

Обычно, отвечая на вопрос о текущих бизнес-целях руководители предприятий говорят "нам нужно автоматизировать вот это" или "нам нужно внедрить такую-то информационную систему". Как мне представляется, внедрение информационной системы никак не представляет собой бизнес-цель.

Какие же существуют бизнес-цели и как их определить, попробуем разобраться в этой статье.

Чтобы не "изобретать велосипед", заглянем в CobiT, который предлагает нам 17 общих бизнес-целей, уже заботливо разложенных по BSC (Системе сбалансированных показателей):

Обычно предлагается выбрать 2-3 цели, которые мы и будем достигать в первую очередь.
На этом этапе, однако, возникают сложности, так как не совсем понятно, что кроется под кратким описанием каждой из указанных бизнес-целей.

Чтобы как-то прояснить бизнес-цели, в CobiT приводятся примеры метрик для каждой бизнес-цели. Они там на английском языке (оригинал я привел в конце статьи), здесь приведу в собственном переводе:

1. Отдача от инвестиций для заинтересованных сторон
• Процент инвестиций, где отдача соответствовала ожиданием заинтересованных сторон;
• Процент продуктов и/или сервисов, где были получены ожидаемые выгоды
• Процент инвестиций, где заявленные выгоды соответствовали или превысили ожидания
2. Портфель конкурентоспособных товаров и услуг
• Процент продуктов и услуг, которые соответствуют или превосходят целевой доход и/или долю рынка
• Распределение продуктов и услуг по этапам их жизненных циклов
• Процент продукции или услуг, которые соответствуют или превосходят ожидания заказчиков
• Доля продукции и услуг, которые обеспечивают конкурентное преимущество
3. Управляемые бизнес-риски (защита активов)
• Процент критически важных бизнес-задач и услуг, охватываемых оценкой рисков
• Соотношение значительных инцидентов, которые не были выявлены при оценке риска к общему количеству инцидентов
• Частота обновления профиля риска
4. Соответствие внешним законам и регулирующим нормам
• Стоимость, во сколько обошлось несоблюдение регулирующих норм, в том числе досудебные соглашения и штрафы
• Количество инцидентов несоблюдения нормативных актов, вызвавших общественное обсуждение или ухудшение репутации
• Количество вопросов несоблюдения нормативных актов, относящиеся к договорам с деловыми партнерами
5. Финансовая прозрачность
• Процент инвестиционных бизнес-кейсов с четко определенными и утвержденными ожидаемыми затратами и преимуществами
• Доля продукции и услуг с четко определенными и утвержденными эксплуатационными затратами и ожидаемыми выгодами
• Опрос удовлетворенности ключевых заинтересованных сторон в отношении прозрачности, понимания и точности корпоративной финансовой информации
• Процент затрат от услуг, которые могут быть разнесены по пользователям
6. Клиентоориентированная сервисная культура
• Количество сбоев в обслуживании клиентов, связанных с ИТ-инцидентами (надежность)
• Процент представителей заинтересованных сторон согласных с тем, что сервис для клиентов соответствует согласованному уровню
• Количество жалоб заказчиков
• Текущий тренд результатов опроса удовлетворенности заказчиков
7. Непрерывность и доступность бизнес-услуг
• Количество перерывов в обслуживании клиентов, вызванных значительными инцидентами
• Бизнес-стоимость инцидентов
• Количество человеко-часов, потерянных в результате незапланированных перерывов сервиса
• Процент сбоев в общем количестве запросов
8. Гибкая реакция на изменяющиеся условия ведения бизнеса
• Уровень удовлетворенности высшего руководства относительно реагирования предприятия на новые требования
• Количество критичных продуктов и услуг, поддерживаемых современными бизнес-процессами
• Среднее время обращения стратегических целей предприятия в согласованные и утвержденные проекты
9. Принятие стратегических решений на основе информации
• Степень удовлетворенности высшего руководства и менеджмента системой принятия решений
• Количество инцидентов, обусловленных неправильными бизнес-решениями, принятыми на основе неточной информации
• Время предоставления справочной информации для обеспечения принятия бизнес-решений.
10. Оптимизация затрат на предоставление услуг
• Частота проводимых мероприятий по оценке оптимизированности стоимости предоставления услуг
• Тенденция соотношения роста затрат и уровня предоставляемых услуг
• Уровень удовлетворенности правления и менеджмента расходами на предоставление услуг
11. Оптимизация функциональности бизнес-процессов
• Частота оценки уровня зрелости бизнес-процессов
• Тенденция результатов оценки
• Уровень удовлетворенности правления и руководителей возможностями бизнес-процессов
12. Оптимизация затрат бизнес-процессов
• Частота проводимых мероприятий по оценке оптимизированности бизнес-процессов
• Тенденция соотношения роста затрат и уровня предоставляемых услуг
• Уровень удовлетворенности правления и руководителей расходами на осуществление бизнес-процессов
13. Управление программами бизнес-изменений
• Количество программ, которые уложились во время и в бюджет
• Процент представителей заинтересованных сторон удовлетворенных выполнением программ
• Уровень осведомленности об изменениях в бизнесе, вызванных проектами с высоким уровнем ИТ составляющей
14. Операционная производительность персонала
• Количество программ/проектов, которые уложились во время и бюджет
• Расходы на персонал и уровень персонала относительно среднего по отрасли
15. Соблюдение внутренних политик
• Количество инцидентов, связанных с несоблюдением политик
• Процент представителей заинтересованных сторон, которые понимают внутренние политики
• Процент политик, поддерживаемых действующими стандартными и практиками
16. Квалифицированный и мотивированный персонал
• Уровень удовлетворенности заинтересованных сторон опытом и навыками персонала
• Процент сотрудников, чьи навыки недостаточны для квалификации, необходимой для их роли
• Процент удовлетворенности персонала
17. Культура долгосрочных инноваций продуктов и бизнеса
• Уровень осведомленности и понимания бизнес-инновационных возможностей
• Удовлетворенность заинтересованных сторон уровнем продукта, инновационной экспертизой и идеями
• Количество утвержденных продуктов и сервисов, полученных в результате инновационных идей

Также, для выбора наиболее актуальных бизнес-целей, если смотреть с колокольни ИТ, можно воспользоваться следующим опросником:

Надеюсь, приведенная информация поможет вам определиться с вашими бизнес-целями, ведь четкое их понимание необходимо не только для написания ИТ стратегии.

Приложение: оригинал из CobiT относительно метрик бизнес-целей:

Написание ИТ стратегии - пример определения важнейших ИТ процессов

В предыдущей статье  я привел пример подхода к созданию ИТ стратегии. Здесь я хотел бы разобрать конкретный пример.
Допустим, организация пришла к выводу, что у нее на данный момент 3 ключевых бизнес-цели (номера целей приведены по CobiT):

02. Портфель конкурентоспособных товаров и услуг.
10. Оптимизация затрат на предоставление услуг.
12. Оптимизация затрат бизнес-процессов.

Определим набор соответствующих ИТ целей с помощью таблицы:

На скане видно не очень хорошо, но слева указано сколько каждая ИТ целей пересекалась с заданными тремя бизнес-целями (от нуля до двух, такой ИТ цели, которая бы поддерживала все три бизнес-цели сразу, не оказалось).

Итак, в результате мы имеем три ИТ цели (05, 06 и 11) с весом два и 6 ИТ целей (01, 04, 07, 09, 12 и 17) с весом в 1.

Перейдем к таблице соответствующих ИТ целям процессов:

Справа выписано количество соответствующих пересечений с учетом веса той или иной ИТ цели.

Итак, у нас определились три явных фаворита - ИТ процесса:

EDM02 Обеспечение получения выгоды - 7 баллов

APO04 Управление инновациями - 6 баллов

APO01 Управление подходом к управлению ИТ - 5 баллов

Дальше 8 процессов набрали по 4 балла, понятно, что так распылять свои усилия мы уже не сможем. (Интересно, кстати, посмотреть на процессы - аутсайдеры, который набрали по одному баллу, это именно то, на что нам следует обращать внимание в последнюю очередь).

Посмотрим на эти процессы более подробно.

EDM02 - это процесс из области руководства

EDM02 Ensure Benefits Delivery

Process Description:

Optimise the value contribution to the business from the business processes, IT services and IT assets resulting from investments made by IT at acceptable costs.

Process Purpose Statement

Secure optimal value from IT-enabled initiatives, services and assets; cost-efficient delivery of solutions and services; and a reliable and accurate picture of costs and likely benefits so that business needs are supported effectively and efficiently.

Следующие два - уже из области управления:

APO04 Manage Innovation

Process Description

Maintain an awareness of information technology and related service trends, identify innovation opportunities, and plan how to benefit from innovation in relation to business needs. Analyse what opportunities for business innovation or improvement can be created by emerging technologies, services or IT-enabled business innovation, as well as through existing established technologies and by business and IT process innovation. Influence strategic planning and enterprise architecture decisions.

Process Purpose Statement

Achieve competitive advantage, business innovation, and improved operational effectiveness and efficiency by exploiting information technology developments.

APO01 Manage the IT Management Framework

Process Description:

Clarify and maintain the governance of enterprise IT mission and vision. Implement and maintain mechanisms and authorities to manage information and the use of IT in the enterprise in support of governance objectives in line with guiding principles and policies.

Process Purpose Statement

Provide a consistent management approach to enable the enterprise governance requirements to be met, covering management processes, organisational structures, roles and responsibilities, reliable and repeatable activities, and skills and competencies.

Вывод:

В нашем случае, ИТ стратегия должна как минимум в себя включать план запуска этих трех процессов, с четким указанием того, кто за эти процессы в дальнейшем будет отвечать.

PS

Если кто не особо силен в процессном управлении и интересуется, что же конкретно нужно будет делать :), то вот список активностей из первого процесса:

1. Understand stakeholder requirements; strategic IT issues, such as dependence on IT; and technology insights and capabilities regarding the actual and potential significance of IT for the enterprise’s strategy.

2. Understand the key elements of governance required for the reliable, secure and cost-effective delivery of optimal value from the use of existing and new IT services, assets and resources.

3. Understand and regularly discuss the opportunities that could arise from enterprise change enabled by current, new or emerging technologies, and optimise the value created from those opportunities.

4. Understand what constitutes value for the enterprise, and consider how well it is communicated, understood and applied throughout the enterprise’s processes.

5. Evaluate how effectively the enterprise and IT strategies have been integrated and aligned within the enterprise and with enterprise goals for delivering value.

6. Understand and consider how effective current roles, responsibilities, accountabilities and decision-making bodies are in ensuring value creation from IT-enabled investments, services and assets.

7. Consider how well the management of IT-enabled investments, services and assets aligns with enterprise value management and financial management practices.

8. Evaluate the portfolio of investments, services and assets for alignment with the enterprise’s strategic objectives; enterprise worth, both financial and non-financial; risk, both delivery risk and benefits risk; business process alignment; effectiveness in terms of usability, availability and responsiveness; and efficiency in terms of cost, redundancy and technical health.

1. Define and communicate portfolio and investment types, categories, criteria and relative weightings to the criteria to allow for overall relative value scores.

2. Define requirements for stage-gates and other reviews for significance of the investment to the enterprise and associated risk, programme schedules, funding plans, and the delivery of key capabilities and benefits and ongoing contribution to value.

3. Direct management to consider potential innovative uses of IT that enable the enterprise to respond to new opportunities or challenges, undertake new business, increase competitiveness, or improve processes.

4. Direct any required changes in assignment of accountabilities and responsibilities for executing the investment portfolio and delivering value from business processes and services.

5. Define and communicate enterprise-level value delivery goals and outcome measures to enable effective monitoring.

6. Direct any required changes to the portfolio of investments and services to realign with current and expected enterprise objectives and/or constraints.

7. Recommend consideration of potential innovations, organisational changes or operational improvements that could drive increased value for the enterprise from IT-enabled initiatives

1. Define a balanced set of performance objectives, metrics, targets and benchmarks. Metrics should cover activity and outcome measures, including lead and lag indicators for outcomes, as well as an appropriate balance of financial and non-financial measures. Review and agree on them with the 

IT and other business functions, and other relevant stakeholders.

2. Collect relevant, timely, complete, credible and accurate data to report on progress in delivering value against targets. Obtain a succinct, high-level, all-around view of portfolio, programme and IT (technical and operational capabilities) performance that supports decision making, and ensure that 

expected results are being achieved.

3. Obtain regular and relevant portfolio, programme and IT (technological and functional) performance reports. Review the enterprise’s progress towards identified goals and the extent to which planned objectives have been achieved, deliverables obtained, performance targets met and 

risk mitigated.

4. Upon review of reports, take appropriate management action as required to ensure that value is optimised.

5. Upon review of reports, ensure that appropriate management corrective action is initiated and controlled.

Как написать толковую ИТ стратегию

Недавно ко мне обратились хорошие люди с просьбой помочь в создании ИТ стратегии для их компании. Вообще, Strategic Management (стратегическое управление) - это целый серьезный раздел, в том числе и в курсе по сертификации CGEIT. Методов и подходов к созданию ИТ стратегии там великое множество.

Впрочем, если быть чуть ближе к реальности, то по-настоящему рабочих методик для компаний среднего размера не так уж и много. Рекомендую статью на эту тему, где толково расписано, что в общем ИТ стратегия в конечном итоге сводится к списку ИТ проектов.
Из всех подходов к созданию ИТ стратегии мне больше всего по душе подход, который предлагает методология CobiT.

Как всякая методология, претендующая на всеобъемлимость :), CobiT предлагает начать с азов, а именно вспомнить, в чем обычно вообще заключается смысл существования частной компании. Считается, что предприятие существует, чтобы удовлетворять потребности (создавать ценность для) заинтересованных сторон. Причем задача руководства заключается в поддержании оптимального баланса между получением выгод, оптимизацией рисков и оптимизацией ресурсов.

Говоря проще, получать выгоды, сильно не рискуя и при этом, и, желательно, используя минимум ресурсов. (Здесь и далее все рисунки нарезаны из COBIT 5 Russian, который настоятельно рекомендую к прочтению всем, кого интересует тема ИТ стратегии).

Не вдаваясь в детали, приведу всю цепочку:

Потребности заинтересованных сторон определяют бизнес-цели предприятия, на основе бизнес-целей мы определяем ИТ цели, а уже на основе ИТ целей определяем цели процессов, оргструктуры и других так называемых "факторов влияния".

Для написания ИТ стратегии нам нужно понимать, какие у нас ИТ цели, но для этого нужно знать, какие у нас бизнес-цели. В общем, большую часть бизнес-целей предприятия можно выразить как некую комбинацию следующих бизнес-целей:

На первый взгляд создается впечатление, что все эти цели нужны и важны, так оно и есть, но нам придется выбрать те, на которые мы будем делать упор в данный конкретный момент, так как объять необъятное невозможно.

Для помощи в определении наиболее актуальных бизнес-целей можно использовать в помощь нижеприведенную таблицу с вопросами:

Определившись с приоритетными бизнес-целями мы уже можем выбрать приоритетные на текущий момент ИТ цели из списка:

Для определения соответствия ИТ целей бизнес-целям тоже есть соответствующая таблица:

Определившись с ИТ целями, можно начинать работу над ИТ стратегией. Один из вариантов - включать в ИТ стратегию проекты, которые приведут нас к запуску соответствующих ИТ целям процессов. Какие именно процессы нам следует запускать в первую очередь, можно посмотреть в следующих таблицах:

Понятно, что используя чисто механистический подход мы придем к выводу, что запускать нужно все ИТ процессы одновременно. Чтобы определить, что нужно запускать в первую очередь, а что может и подождать придется привлекать экспертов.