Для осуществления оценки и анализа существующих проблем в области ИТ необходимо иметь объективную информацию по основным аспектам деятельности (количественные метрики). Такие показатели помогают отслеживать и управлять результатами деятельности по ИТ-направлению.
В западной практике эти показатели часто называются KPI (Key Performance Indicators) - ключевые индикаторы выполнения. Примером KPI могут быть такие метрики, как процент проектов, не укладывающихся в сроки или бюджет; время разрешения проблемы у пользователя; средняя загрузка оборудования; рост ИТ-бюджета по сравнению с ростом операций; удовлетворенность пользователей работой ИТ-подразделения; доступность критичных ИТ-ресурсов (100% означает, что определенные ресурсы доступны все время - 24 часа х 7 дней в неделю); уровень квалификации ИТ-персонала; количество замечаний по результатам регулярных внутренних и внешних проверок ИТ; количество поддерживаемых пользователей на одного работника ИТ, количество проблем и консультаций отработанных службой обслуживания; количество инцидентов в области информационной безопасности; процент загруженности ИТ-работников (utilization) и т.д.
Важно понимать, что количество показателей может быть огромным, поэтому определение того, какие из них необходимо учитывать при оценке деятельности ИТ, а какие нет, является индивидуальной задачей. Но в любом случае, определив 15-20 метрик и регулярно собирая по ним необходимую информацию, можно иметь достаточно четкое представление о ходе деятельности ИТ и осуществлять адекватное управление и контроль со стороны высшего руководства и бизнес-подразделений, периодически предоставляя им эту информацию.
Важнейшая составляющая правильной организации управления ИТ - риск-менеджмент. ИТ является одной из самых высокорискованных областей деятельности и может быть сопоставима для кредитных организаций по уровню рискованности даже с финансовыми операциями. Постоянная оценка наихудшего сценария по всем направлениям, оценка вероятности его наступления и потенциального влияния - вот основы риск-менеджмента.
Далее должна следовать работа по смягчению возможных последствий, минимизации влияния и снижения вероятности наступления негативного события, независимо от его природы. Невозможно подготовиться ко всему, поэтому необходимо использовать взвешенный подход, направляя максимум усилий на потенциальные события с высокой вероятностью наступления и высоким влиянием и с низкой вероятностью и высоким влиянием. Такой подход в западной практике является основой риск-менеджмента и называется Probability Impact Analysis.
Основными направлениями риск-менеджмента являются:
- планирование непрерывности деятельности и действий в чрезвычайных ситуациях, так называемые ВСР и DRP (Business Continue and Disaster Recovery Planning);
- разделение ключевых ИТ-функций (необходимо, например, разделять функции разработки программного обеспечения, технического тестирования, тестирования функциональных возможностей и сопровождения эксплуатируемых систем);
- зависимость от ключевого ИТ-персонала (в последнее время одна из наиболее часто встречающихся проблем ИТ-менеджмента);
- информационная безопасность, инциденты, связанные с доступом и раскрытием конфиденциальной информации.
Для минимизации рисков внедряются так называемые контрольные процедуры (Control Procedures), направляемые на предотвращение (Preventive Controls), выявление (Detective Controls) и смягчение (Corrective Controls) негативной ситуации.
Еще одна составляющая правильной организации управления ИТ - необходимость документирования ИТ-процессов и банковских технологий. Традиционно именно этот момент является менее развитым в российских организациях, что неминуемо приводит к резкому увеличению рисков, полной неразберихе и абсолютной непрозрачности ИТ-подразделения и автоматически ухудшает взаимоотношения с бизнес-сферой, затрудняет оценку деятельности, снижает качество обслуживания внутренних клиентов.
Для облегчения использования внутренних регламентирующих документов может быть рекомендовано применять утвержденную в рамках всей организации иерархию документов. В России пока нет устоявшихся подходов, а в международной практике часто используется иерархия внутренних документов по возрастанию степени их детализации: политика (Policy), процедура (Procedure), стандарт (Standard).
Основные примеры ИТ-документов, которые должны постоянно поддерживаться и вестись в организации:
* стратегия в области ИТ (IT Strategy);
* техническая политика (Technology Policy);
* информационная и технологическая архитектура (Information ArchiTecture);
* ИТ-бюджет (IT Budget);
* политика информационной безопасности (SecuriTy Policy);
* процедуры получения доступа к информационным ресурсам и стандарты информационной безопасности (SecuriTy Procedures and Standards);
* методология разработки программного обеспечения (System Development Life Cycle Methodology);
* соглашения о взаимодействии и обслуживании бизнес-подразделений (Service Level Agreement);
* порядок проведения тендеров по выбору ИТ-решений (Tender Execution Policy);
* протоколы ИТ-комитета (IT commlitee minutes);
* перечень регулярных операций и процессов (Batch Processes List);
* перечень проектов (Projects List);
* планы-графики работ по проектам и в целом по подразделению;
* программная документация (руководства пользователей, администраторов, технические спецификации);
* технические задания на разработку;
* журнал регистрации обращений пользователей;
* заявки на предоставления прав доступа, карты доступа;
* результаты приемки решений пользователями (Users Sign-off).
* должностные инструкции работников (Job Descriptions);
* перечень эксплуатируемого программного обеспечения и техники;
* описания банковских технологических процессов.
Последним ключевым подходом является необходимость постоянного совершенствования ИТ-процессов. Такое совершенствование включает два аспекта. Первый - оценка уровня зрелости, которая производится на основе сравнения с другими организациями и должна быть постоянной и неотъемлемой частью ИТ-менеджмента. В международной практике этот процесс называется Benchmarking. Второй - непосредственно оптимизация деятельности. Необходимо, чтобы работа по совершенствованию не приводила к развитию нескольких "любимых" участков деятельности в ущерб всем остальным, как часто бывает в российских банках. Поэтому очень важным становится использование какой-либо методологии управления ИТ, например СblТ, которая дает возможность оценить уровень развитости ИТ в конкретной организации, не прибегая к консалтинговой помощи и не надоедая коллегам из конкурирующих структур. И далее на основе оценки текущего состояния, начиная с менее развитых направлений, можно начинать работу по совершенствованию ИТ-процессов.
Рассмотрев основы построения ИТ-менеджмента в финансовых организациях в рамках первой части книги, далее мы остановимся подробнее на том моменте, который в данной главе назван первой задачей ИТ-менеджмента, - стремлении к достижению целей. Для ИТ-менеджера эту задачу поддерживает процесс стратегического планирования (или управления), который и является предметом следующей главы.
Стратегическое управление и планирование заключается в определении целей кредитной организации, превращении общих целей в конкретные направления работы, в анализе сильных и слабых сторон организации, составлении и контроле выполнения планов деятельности в различных ситуациях. Это управленческий процесс, обеспечивающий соответствие между целями банка и имеющимися у него ресурсами в условиях постоянно изменяющейся рыночной обстановки и регулирования. Цель стратегического планирования и управления - внедрение новых и развитие перспективных направлений деятельности и банковских продуктов так, чтобы они способствовали росту объема операций, приумножали доходы и увеличивали рыночную стоимость акций. Таким образом, стратегия зависит от тех целей, которые банк ставит перед собой, и способствует их скорейшему осуществлению.
Для грамотного и последовательного осуществления процесса стратегического менеджмента необходимо четко сформулировать основные задачи этого процесса.
Во-первых, система стратегического менеджмента решает задачу неуклонного приближения кредитной организации к тем целям, которые она ставит перед собой. Это дает положительную динамику развития и конкурентоспособности: ведь ресурсы и силы не распыляются на все сразу, а сосредоточиваются на принципиальных для достижения поставленной цели позициях.
Во-вторых, система стратегического менеджмента позволяет снизить риски влияния внешней среды, поскольку обеспечивает регламентацию действий в разного рода неожиданных ситуациях (нестабильность рынков, девальвация, резко возросшая конкуренция, снижение доходности, изменение принципиальных положений законодательства) и позволяет в случае их возникновения действовать по заранее составленному плану, незначительно корректируя его в соответствии со сложившимися обстоятельствами.
Таким образом, в задачи стратегического планирования входят как понимание цели деятельности того или иного банка, так и вариативность путей ее достижения. Однако решение этих двух принципиальных и очень актуальных задач осуществляется с помощью особых технологий и средств, которые предусматривает процесс внедрения стратегического планирования.
Процесс внедрения стратегического планирования целесообразно разделить на следующие шесть этапов.
1. Внедрение стратегического способа мышления в среду высших менеджеров банка.
На этом этапе необходимо обеспечить понимание каждым из высших руководителей необходимости и целей внедрения стратегического планирования, провести анализ мнений высшего руководства и владельцев о задачах и стратегических целях банка. На основе этих данных формулируется и фиксируется представление о роли и стратегии банка по основным направлениям деятельности.