Определение целей предприятия с помощью CobiT

Принимая участие в разработке ИТ стратегий начинаешь понимать, что одним из ключевых факторов написания успешной ИТ стратегии является понимание бизнес-целей предприятия. Потому как ИТ стратегия требует определения ИТ целей, которые, в свою очередь определяются текущими бизнес-целями.

Обычно, отвечая на вопрос о текущих бизнес-целях руководители предприятий говорят "нам нужно автоматизировать вот это" или "нам нужно внедрить такую-то информационную систему". Как мне представляется, внедрение информационной системы никак не представляет собой бизнес-цель.

Какие же существуют бизнес-цели и как их определить, попробуем разобраться в этой статье.

Чтобы не "изобретать велосипед", заглянем в CobiT, который предлагает нам 17 общих бизнес-целей, уже заботливо разложенных по BSC (Системе сбалансированных показателей):

Обычно предлагается выбрать 2-3 цели, которые мы и будем достигать в первую очередь.
На этом этапе, однако, возникают сложности, так как не совсем понятно, что кроется под кратким описанием каждой из указанных бизнес-целей.

Чтобы как-то прояснить бизнес-цели, в CobiT приводятся примеры метрик для каждой бизнес-цели. Они там на английском языке (оригинал я привел в конце статьи), здесь приведу в собственном переводе:

1. Отдача от инвестиций для заинтересованных сторон
• Процент инвестиций, где отдача соответствовала ожиданием заинтересованных сторон;
• Процент продуктов и/или сервисов, где были получены ожидаемые выгоды
• Процент инвестиций, где заявленные выгоды соответствовали или превысили ожидания
2. Портфель конкурентоспособных товаров и услуг
• Процент продуктов и услуг, которые соответствуют или превосходят целевой доход и/или долю рынка
• Распределение продуктов и услуг по этапам их жизненных циклов
• Процент продукции или услуг, которые соответствуют или превосходят ожидания заказчиков
• Доля продукции и услуг, которые обеспечивают конкурентное преимущество
3. Управляемые бизнес-риски (защита активов)
• Процент критически важных бизнес-задач и услуг, охватываемых оценкой рисков
• Соотношение значительных инцидентов, которые не были выявлены при оценке риска к общему количеству инцидентов
• Частота обновления профиля риска
4. Соответствие внешним законам и регулирующим нормам
• Стоимость, во сколько обошлось несоблюдение регулирующих норм, в том числе досудебные соглашения и штрафы
• Количество инцидентов несоблюдения нормативных актов, вызвавших общественное обсуждение или ухудшение репутации
• Количество вопросов несоблюдения нормативных актов, относящиеся к договорам с деловыми партнерами
5. Финансовая прозрачность
• Процент инвестиционных бизнес-кейсов с четко определенными и утвержденными ожидаемыми затратами и преимуществами
• Доля продукции и услуг с четко определенными и утвержденными эксплуатационными затратами и ожидаемыми выгодами
• Опрос удовлетворенности ключевых заинтересованных сторон в отношении прозрачности, понимания и точности корпоративной финансовой информации
• Процент затрат от услуг, которые могут быть разнесены по пользователям
6. Клиентоориентированная сервисная культура
• Количество сбоев в обслуживании клиентов, связанных с ИТ-инцидентами (надежность)
• Процент представителей заинтересованных сторон согласных с тем, что сервис для клиентов соответствует согласованному уровню
• Количество жалоб заказчиков
• Текущий тренд результатов опроса удовлетворенности заказчиков
7. Непрерывность и доступность бизнес-услуг
• Количество перерывов в обслуживании клиентов, вызванных значительными инцидентами
• Бизнес-стоимость инцидентов
• Количество человеко-часов, потерянных в результате незапланированных перерывов сервиса
• Процент сбоев в общем количестве запросов
8. Гибкая реакция на изменяющиеся условия ведения бизнеса
• Уровень удовлетворенности высшего руководства относительно реагирования предприятия на новые требования
• Количество критичных продуктов и услуг, поддерживаемых современными бизнес-процессами
• Среднее время обращения стратегических целей предприятия в согласованные и утвержденные проекты
9. Принятие стратегических решений на основе информации
• Степень удовлетворенности высшего руководства и менеджмента системой принятия решений
• Количество инцидентов, обусловленных неправильными бизнес-решениями, принятыми на основе неточной информации
• Время предоставления справочной информации для обеспечения принятия бизнес-решений.
10. Оптимизация затрат на предоставление услуг
• Частота проводимых мероприятий по оценке оптимизированности стоимости предоставления услуг
• Тенденция соотношения роста затрат и уровня предоставляемых услуг
• Уровень удовлетворенности правления и менеджмента расходами на предоставление услуг
11. Оптимизация функциональности бизнес-процессов
• Частота оценки уровня зрелости бизнес-процессов
• Тенденция результатов оценки
• Уровень удовлетворенности правления и руководителей возможностями бизнес-процессов
12. Оптимизация затрат бизнес-процессов
• Частота проводимых мероприятий по оценке оптимизированности бизнес-процессов
• Тенденция соотношения роста затрат и уровня предоставляемых услуг
• Уровень удовлетворенности правления и руководителей расходами на осуществление бизнес-процессов
13. Управление программами бизнес-изменений
• Количество программ, которые уложились во время и в бюджет
• Процент представителей заинтересованных сторон удовлетворенных выполнением программ
• Уровень осведомленности об изменениях в бизнесе, вызванных проектами с высоким уровнем ИТ составляющей
14. Операционная производительность персонала
• Количество программ/проектов, которые уложились во время и бюджет
• Расходы на персонал и уровень персонала относительно среднего по отрасли
15. Соблюдение внутренних политик
• Количество инцидентов, связанных с несоблюдением политик
• Процент представителей заинтересованных сторон, которые понимают внутренние политики
• Процент политик, поддерживаемых действующими стандартными и практиками
16. Квалифицированный и мотивированный персонал
• Уровень удовлетворенности заинтересованных сторон опытом и навыками персонала
• Процент сотрудников, чьи навыки недостаточны для квалификации, необходимой для их роли
• Процент удовлетворенности персонала
17. Культура долгосрочных инноваций продуктов и бизнеса
• Уровень осведомленности и понимания бизнес-инновационных возможностей
• Удовлетворенность заинтересованных сторон уровнем продукта, инновационной экспертизой и идеями
• Количество утвержденных продуктов и сервисов, полученных в результате инновационных идей

Также, для выбора наиболее актуальных бизнес-целей, если смотреть с колокольни ИТ, можно воспользоваться следующим опросником:

Надеюсь, приведенная информация поможет вам определиться с вашими бизнес-целями, ведь четкое их понимание необходимо не только для написания ИТ стратегии.

Приложение: оригинал из CobiT относительно метрик бизнес-целей:

Написание ИТ стратегии - пример определения важнейших ИТ процессов

В предыдущей статье  я привел пример подхода к созданию ИТ стратегии. Здесь я хотел бы разобрать конкретный пример.
Допустим, организация пришла к выводу, что у нее на данный момент 3 ключевых бизнес-цели (номера целей приведены по CobiT):

02. Портфель конкурентоспособных товаров и услуг.
10. Оптимизация затрат на предоставление услуг.
12. Оптимизация затрат бизнес-процессов.

Определим набор соответствующих ИТ целей с помощью таблицы:

На скане видно не очень хорошо, но слева указано сколько каждая ИТ целей пересекалась с заданными тремя бизнес-целями (от нуля до двух, такой ИТ цели, которая бы поддерживала все три бизнес-цели сразу, не оказалось).

Итак, в результате мы имеем три ИТ цели (05, 06 и 11) с весом два и 6 ИТ целей (01, 04, 07, 09, 12 и 17) с весом в 1.

Перейдем к таблице соответствующих ИТ целям процессов:

Справа выписано количество соответствующих пересечений с учетом веса той или иной ИТ цели.

Итак, у нас определились три явных фаворита - ИТ процесса:

EDM02 Обеспечение получения выгоды - 7 баллов

APO04 Управление инновациями - 6 баллов

APO01 Управление подходом к управлению ИТ - 5 баллов

Дальше 8 процессов набрали по 4 балла, понятно, что так распылять свои усилия мы уже не сможем. (Интересно, кстати, посмотреть на процессы - аутсайдеры, который набрали по одному баллу, это именно то, на что нам следует обращать внимание в последнюю очередь).

Посмотрим на эти процессы более подробно.

EDM02 - это процесс из области руководства

EDM02 Ensure Benefits Delivery

Process Description:

Optimise the value contribution to the business from the business processes, IT services and IT assets resulting from investments made by IT at acceptable costs.

Process Purpose Statement

Secure optimal value from IT-enabled initiatives, services and assets; cost-efficient delivery of solutions and services; and a reliable and accurate picture of costs and likely benefits so that business needs are supported effectively and efficiently.

Следующие два - уже из области управления:

APO04 Manage Innovation

Process Description

Maintain an awareness of information technology and related service trends, identify innovation opportunities, and plan how to benefit from innovation in relation to business needs. Analyse what opportunities for business innovation or improvement can be created by emerging technologies, services or IT-enabled business innovation, as well as through existing established technologies and by business and IT process innovation. Influence strategic planning and enterprise architecture decisions.

Process Purpose Statement

Achieve competitive advantage, business innovation, and improved operational effectiveness and efficiency by exploiting information technology developments.

APO01 Manage the IT Management Framework

Process Description:

Clarify and maintain the governance of enterprise IT mission and vision. Implement and maintain mechanisms and authorities to manage information and the use of IT in the enterprise in support of governance objectives in line with guiding principles and policies.

Process Purpose Statement

Provide a consistent management approach to enable the enterprise governance requirements to be met, covering management processes, organisational structures, roles and responsibilities, reliable and repeatable activities, and skills and competencies.

Вывод:

В нашем случае, ИТ стратегия должна как минимум в себя включать план запуска этих трех процессов, с четким указанием того, кто за эти процессы в дальнейшем будет отвечать.

PS

Если кто не особо силен в процессном управлении и интересуется, что же конкретно нужно будет делать :), то вот список активностей из первого процесса:

1. Understand stakeholder requirements; strategic IT issues, such as dependence on IT; and technology insights and capabilities regarding the actual and potential significance of IT for the enterprise’s strategy.

2. Understand the key elements of governance required for the reliable, secure and cost-effective delivery of optimal value from the use of existing and new IT services, assets and resources.

3. Understand and regularly discuss the opportunities that could arise from enterprise change enabled by current, new or emerging technologies, and optimise the value created from those opportunities.

4. Understand what constitutes value for the enterprise, and consider how well it is communicated, understood and applied throughout the enterprise’s processes.

5. Evaluate how effectively the enterprise and IT strategies have been integrated and aligned within the enterprise and with enterprise goals for delivering value.

6. Understand and consider how effective current roles, responsibilities, accountabilities and decision-making bodies are in ensuring value creation from IT-enabled investments, services and assets.

7. Consider how well the management of IT-enabled investments, services and assets aligns with enterprise value management and financial management practices.

8. Evaluate the portfolio of investments, services and assets for alignment with the enterprise’s strategic objectives; enterprise worth, both financial and non-financial; risk, both delivery risk and benefits risk; business process alignment; effectiveness in terms of usability, availability and responsiveness; and efficiency in terms of cost, redundancy and technical health.

1. Define and communicate portfolio and investment types, categories, criteria and relative weightings to the criteria to allow for overall relative value scores.

2. Define requirements for stage-gates and other reviews for significance of the investment to the enterprise and associated risk, programme schedules, funding plans, and the delivery of key capabilities and benefits and ongoing contribution to value.

3. Direct management to consider potential innovative uses of IT that enable the enterprise to respond to new opportunities or challenges, undertake new business, increase competitiveness, or improve processes.

4. Direct any required changes in assignment of accountabilities and responsibilities for executing the investment portfolio and delivering value from business processes and services.

5. Define and communicate enterprise-level value delivery goals and outcome measures to enable effective monitoring.

6. Direct any required changes to the portfolio of investments and services to realign with current and expected enterprise objectives and/or constraints.

7. Recommend consideration of potential innovations, organisational changes or operational improvements that could drive increased value for the enterprise from IT-enabled initiatives

1. Define a balanced set of performance objectives, metrics, targets and benchmarks. Metrics should cover activity and outcome measures, including lead and lag indicators for outcomes, as well as an appropriate balance of financial and non-financial measures. Review and agree on them with the 

IT and other business functions, and other relevant stakeholders.

2. Collect relevant, timely, complete, credible and accurate data to report on progress in delivering value against targets. Obtain a succinct, high-level, all-around view of portfolio, programme and IT (technical and operational capabilities) performance that supports decision making, and ensure that 

expected results are being achieved.

3. Obtain regular and relevant portfolio, programme and IT (technological and functional) performance reports. Review the enterprise’s progress towards identified goals and the extent to which planned objectives have been achieved, deliverables obtained, performance targets met and 

risk mitigated.

4. Upon review of reports, take appropriate management action as required to ensure that value is optimised.

5. Upon review of reports, ensure that appropriate management corrective action is initiated and controlled.

Как написать толковую ИТ стратегию

Недавно ко мне обратились хорошие люди с просьбой помочь в создании ИТ стратегии для их компании. Вообще, Strategic Management (стратегическое управление) - это целый серьезный раздел, в том числе и в курсе по сертификации CGEIT. Методов и подходов к созданию ИТ стратегии там великое множество.

Впрочем, если быть чуть ближе к реальности, то по-настоящему рабочих методик для компаний среднего размера не так уж и много. Рекомендую статью на эту тему, где толково расписано, что в общем ИТ стратегия в конечном итоге сводится к списку ИТ проектов.
Из всех подходов к созданию ИТ стратегии мне больше всего по душе подход, который предлагает методология CobiT.

Как всякая методология, претендующая на всеобъемлимость :), CobiT предлагает начать с азов, а именно вспомнить, в чем обычно вообще заключается смысл существования частной компании. Считается, что предприятие существует, чтобы удовлетворять потребности (создавать ценность для) заинтересованных сторон. Причем задача руководства заключается в поддержании оптимального баланса между получением выгод, оптимизацией рисков и оптимизацией ресурсов.

Говоря проще, получать выгоды, сильно не рискуя и при этом, и, желательно, используя минимум ресурсов. (Здесь и далее все рисунки нарезаны из COBIT 5 Russian, который настоятельно рекомендую к прочтению всем, кого интересует тема ИТ стратегии).

Не вдаваясь в детали, приведу всю цепочку:

Потребности заинтересованных сторон определяют бизнес-цели предприятия, на основе бизнес-целей мы определяем ИТ цели, а уже на основе ИТ целей определяем цели процессов, оргструктуры и других так называемых "факторов влияния".

Для написания ИТ стратегии нам нужно понимать, какие у нас ИТ цели, но для этого нужно знать, какие у нас бизнес-цели. В общем, большую часть бизнес-целей предприятия можно выразить как некую комбинацию следующих бизнес-целей:

На первый взгляд создается впечатление, что все эти цели нужны и важны, так оно и есть, но нам придется выбрать те, на которые мы будем делать упор в данный конкретный момент, так как объять необъятное невозможно.

Для помощи в определении наиболее актуальных бизнес-целей можно использовать в помощь нижеприведенную таблицу с вопросами:

Определившись с приоритетными бизнес-целями мы уже можем выбрать приоритетные на текущий момент ИТ цели из списка:

Для определения соответствия ИТ целей бизнес-целям тоже есть соответствующая таблица:

Определившись с ИТ целями, можно начинать работу над ИТ стратегией. Один из вариантов - включать в ИТ стратегию проекты, которые приведут нас к запуску соответствующих ИТ целям процессов. Какие именно процессы нам следует запускать в первую очередь, можно посмотреть в следующих таблицах:

Понятно, что используя чисто механистический подход мы придем к выводу, что запускать нужно все ИТ процессы одновременно. Чтобы определить, что нужно запускать в первую очередь, а что может и подождать придется привлекать экспертов.

Как я сдавал экзамен по корпоративному управлению в ИТ (CGEIT)

Для начала несколько слов о том, зачем вообще сдавать экзамены и получать сертификаты. Каждый делает это, имея собственную мотивацию. Лично для меня - наличие сертификата снимает необходимость кому-либо что-либо объяснять и доказывать, достаточно просто сказать "Мне кажется следует делать так-то и так-то". И, при наличии сертификата, если специалисту что-то кажется, то с высокой долей вероятности так оно и есть :).

Соответственно, в марте этого (2015) года я принял решение закрепить и подтвердить свои знания в области корпоративного управления в сфере информационных технологий (GEIT) посредством получения соответствующего сертификата.
Говоря простым языком, GEIT - это о том, как нужно руководить ИТ в крупных и средних компаниях, чтобы от ИТ была реальная польза для бизнеса.

Одна из немногих доступных на эту тему сертификаций - это сертификация Certified in the Governance of Enterprise IT (CGEIT), которую проводит организация ISACA.
Весьма подробно тема "Нужен ли ИТ-руководителю сертификат CGEIT?" раскрыта в статье по соответствующей ссылке, здесь же я остановлюсь лишь на практических аспектах сдачи данного экзамена.

Поиск в интернете приводит вот к этой интересной статье, где рассказывается про сдачу похожего экзамена, CISA, по которому доступно больше учебного материала и есть даже база проверочных вопросов.

Вначале я изучил официальные рекомендации от организации ISACA, которая и проводит соответствующий экзамен. Там, чтобы сдать экзамен, рекомендуется изучить соответствующую литературу и убедиться, что у вас есть знания и опыт в соответствующих областях.
Заказав, оплатив и получив по почте соответствующие три книги - CGEIT Review Manual 2015, CGEIT Review Questions, Answers & Explanations Manual 2015 и CGEIT Review Questions, Answers & Explanations Manual 2015 Supplement, мне стало понятно, что их не получиться просто "прочитать", даже, если не обращать внимания на то, что они на английском языке.

Review Manual - это книга на 200 страниц мелкого текста, которая описывает термины и понятия, которые кандидат должен знать. Причем, весьма кратко и справочно, на одной странице могут быть перечислены штук пять понятий уровня Balanced Scorecard, детальное описание которых мне пришлось искать в интернете (кстати, рекомендую сайт 12manage.com, очень много толковых описаний, в том числе и на русском языке).
Предполагаю, что это индивидуально, но мне оказалось гораздо проще читать про новые для меня понятия сначала на русском языке, а уже потом - на английском. Кстати, для некоторых понятий, например accountability, в русском языке вообще аналогов нет.

CGEIT Review Questions, Answers & Explanations содержит примерные вопросы к экзамену, с правильными ответами, но самое главное - с объяснениями, почему один ответ правильный - а остальные - не очень.

Вообще, экзамен построен в виде "угадайки" - описывается ситуация, задается вопрос и приводится 4 варианта ответа, из которых требуется выбрать правильный. Основная сложность состоит в том, что, как правило, все 4 ответа приводят к желаемому результату, нужно определить именно ЛУЧШИЙ вариант.

Для подготовки я использовал механистическую схему: до экзамена у меня оставалось 10 недель, я пересчитал количество страниц в трех книжках, которые мне предстояло прочитать (314 всего), прикинул, что для полного счастья лучше бы это все прочитать как минимум 2 раза, вышло, что в день мне нужно изучать где-то 11 страниц текста (один день в неделю я оставил себе, как выходной/запасной).
Сразу скажу, что 10 недель в таком темпе - это нелегко, напоминаю, что нужно не просто прочитать за вечер 11 страниц на английском языке но и разобрать все те понятия, что там встречаются.

Всего в курсе 5 основных разделов - Framework for the Governance of Enterprise IT, Strategic Management, Benefits Realization, Risk Optimization, Resource Optimization. Поэтому я сначала изучал соответствующий раздел, потом разбирал вопросы из этого раздела, потом переходил к следующему разделу.
По результатам я заполнял таблицу, чтобы отслеживать свой прогресс и понимать, насколько все мои планы реальны

"Первый проход" был особенно трудным, так как иногда за день на сознание обрушивалось сразу несколько новых понятий.
В общем, за 10 недель мне удалось прочитать все два раза полностью, а вопросы разобрать даже 3 раза.

Для сдачи экзамена пришлось ехать в Москву (экзамены принимают 2 раза в год), там все оказалось очень сурово, телефоны сдаешь на входе, если во время экзамена зазвонит телефон - то это серьезный инцидент и о нем записывают с специальный журнал, выносить ничего нельзя, в туалет только по одному, перед этим под подпись все материалы сдаешь и проверяют чтобы сдал все, записывать все можно только на тетради которую тоже дают а потом забирают, за малейшие отклонения, понятно, сразу дисквалификация.
Результат тебе сообщают только через 8 недель. Сдавать, в принципе, можно сколько хочешь раз, 2 раза в год, если есть возможность каждый раз по $500 за каждую попытку отстегивать :)

По моему объективному ощущению, без опыта работы в корпоративной среде в крупной (желательно международной) компании на этот экзамен лучше не ходить, так как ОЧЕНЬ много вопросов, которые не закрываются никакой теорией, нужно просто знать, что делает тот или иной комитет, за принятие каких решений в компании обычно кто отвечает и так далее.

Впрочем, для получения сертификата успешной сдачи экзамена недостаточно, как раз и нужно подтвердить как минимум 5 лет подобного опыта, заполнив соответствующие формы и подписав их у своих боссов на соответствующих местах работы. После этого, заполненные формы внимательно изучают в ISACA, при необходимости связываются по указанным контактам, и, если все ОК, то присылают письмо примерно с таким текстом:

Dear Evgeniy Tishin, CGEIT,

RE: CGEIT certification number: 1506642

Congratulations! ISACA’s CGEIT Certification Working Group is pleased to inform you that on  22 September 2015 you have been granted certification as Certified in the Governance of Enterprise IT (CGEIT).

Типа, они pleased to inform. А уж как я pleased, так это и словами не передать! :)