Определение четких границ деятельности ИТ-службы — один из вопросов, которые вызывают вечные споры. Есть ряд «пограничных» направлений деятельности, по которым у ИТ-руководителей нет единого мнения: одни считают их прерогативой ИТ-службы, другие уверены, что они должны оставаться за ее рамками.
Пример первый: управление бизнес-процессами. Немалая часть ИТ-руководителей открещивается от этой функции, поскольку считает ее прерогативой бизнеса. Между тем нередки случаи, когда, например в результате развертывания системы класса ERP, на предприятии появляется группа, на которую возлагаются функции моделирования бизнес-процессов, их оптимизации и модификации их ИТ-поддержки (некоторым категориям предприятий требуется подобная гибкость и адаптивность). Руководитель такой группы, как правило, получает очень серьезный статус в руководстве компании (например, директора по операциям, по развитию бизнеса, по процессным инновациям) и становится желанным гостем в кабинете гендиректора. ИТ-руководители, готовые разделить с бизнесом ответственность за успехи и промахи, забирают функции управления бизнес-процессам в ведение ИТ-службы. Такой шаг сокращает дистанцию между проектированием изменений в бизнес-процессах и их реализацией. Кроме того, значительно повышается статус ИТ-руководителя — он де-факто становится одним из ведущих бизнес-менеджеров.
Пример второй: управление проектами. Очень часто именно ИТ-служба является инициатором развития экспертизы в этой области на предприятии. Если топ-менеджмент заинтересован в том, чтобы она не терялась, спустя некоторое время создается проектный офис, который берет на себя руководство самыми разными проектами, начиная от создания новых изделий и заканчивая созданием новых цехов или филиалов. В этой ситуации велик соблазн оставить проектный офис в составе ИТ-службы. Михаил Рогачев, генеральный директор Объединенного центра исследований и разработок НК ЮКОС, выступая на прошлогоднем CIO-Форуме, настоятельно не рекомендовал этого делать. Во-первых, потому что ИТ-подразделение осуществляет свою каждодневную деятельность по процессному или структурному, а не проектному принципу. Во-вторых, потому что среди проектов предприятия есть не только ИТ-проекты. Наконец, самое главное: очень важно, чтобы проектами (кроме сугубо ИТ-инфраструктурных) руководили именно бизнес-менеджеры, поскольку именно они выступают в качестве заказчиков (спонсоров) этих проектов, для них они реализуются, следовательно, они должны взять на себя ответственность.
Третий пример: управление информационной безопасностью. Большинство компаний отдают ее в ведение ИТ-подразделения: раз речь идет о защите информации, то пусть и забота о ней ляжет на тех, кто управляет информацией. В этом случае ИТ-служба берет на себя функции и фстратегического планирования защиты информации, и ее реализации (технологической и организационной), и надзора за исполнением планов и регламентов, касающихся информационной безопасности. Но, вообще говоря, передавать в одни руки планирование, исполнение и надзор неправильно. Есть более предпочтительный вариант, когда штатные секьюрити берут под свой контроль и информационную безопасность (такая схема распространена в компаниях, где в силу исторических причин сильны позиции служб безопасности). Но хватит ли компетенции сотрудников службы безопасности для того, чтобы объективно выбрать необходимый уровень информационной безопасности, а затем оценить и проконтролировать реальный? Третья схема — с самостоятельным отделом информационной безопасности — еще более предпочтительна, но она окажется и более дорогой. Кроме того, для эффективной работы такого отдела требуется тесное взаимодействие со службами безопасности и ИТ, наладить которое, скорее всего, будет непросто.