Максим Тищенко — заместитель начальника главного управления ЦБ по Архангельской области; tischenko.maxim@gmail.com

В 2011 году темой традиционной конференции издательства «Открытые системы» по управлению ИТ-услугами стало стратегическое управление ИТ. Это, так сказать, вершина управленческой иерархии. Правда, часто оказывается, что это вершина айсберга, способного потопить организацию.

Дело, безусловно, не в самих действиях по формированию стратегии. Во-первых, нам некогда заниматься стратегией. Это очень серьезная проблема. «Текучка заедает» — очень распространенная фраза среди руководителей, причем не только ИТ. Во-вторых, стратегические планы не подкреплены исполнительным механизмом. Стратегические цели ставятся без гарантий их выполнения. Очень велик процент регламентирующих документов и решений руководства, которые фактически не выполняются. Можно совещаться, издавать распоряжения, документы, а на деле получается, что их просто не выполняют или выполняют по формальному признаку — лишь бы отписаться. Проанализируйте последний десяток ваших распоряжений или решений совещаний, сколько реально выполнено?

Конечно, на самом деле не все так фатально. У этих проблем есть инструменты решения. Первый — это система управления, основанная на методологии процессного управления, и неважно, что взято за основу — ISO 20000, ITIL v3.0, COBIT, MOF и т. д. В любом случае это процессные принципы организации бизнеса с определенным набором процессов управления. Вторым инструментом является система внутреннего контроля. Принято считать, что это инструмент аудиторов. К сожалению, российская практика аудита сформировала у нас скорее негативное к нему отношение. Аудит и ревизия для нас — синонимы. А где ревизия, там и наказание.

Далеко не всегда в результате применения инструментов аудита мы получаем адекватную информацию о состоянии дел в объекте аудита. ИТ-директор может выступать заказчиком аудита у себя в подразделении, но игра в «потемкинские деревни» даст нам в лучшем случае список виновных в нарушениях. На вопрос «Что делать дальше?» мы можем не получить ответа. Объем информации для анализа слишком большой, охватить все невозможно и аудит получается выборочным. Шанс, что серьезные рисковые зоны будут пропущены или состояние дел в них будет замаскировано, велик.

Исправить эту ситуации призвана система внутреннего контроля. Встроенная в систему управления предприятия, она должна выполнять функцию постоянного аудита.

В постоянстве весь секрет!

• На постоянной основе специализированных аудиторов не привлечь — дорого, это придется делать самим — значит, нет проблемы с компетенцией.

• «Потемкинскую деревню» долго держать не смогут, тем более что свои специалисты знают, что это фикция.

• Ревизия всегда очень ресурсоемка, и на постоянной основе ее «не потянуть», значит, она должна быть максимально эффективной, чтобы не отнимать много ресурсов.

Роль и место системы внутреннего контроля продемонстрирую на очень простом рисунке. Представьте себе, что точки принятия решения системы управления выглядят, как воздушные пузырьки в воде (см. рис. 1). Воздух в них — это ответственность за принятие решение. Система управления представляет собой некоторую конструкцию, удерживающую пузырьки на нужной глубине — уровне управления.

О системе внутреннего контроля замолвите слово
Рис. 1. Эскалирование ответственности

В статическом состоянии все хорошо, пузырьки удерживаются на своих местах. Логично предположить, что возможны подводные течения и качка (в жизни это различные проблемы внутри организации и внешние воздействия). Если система управления недостаточно хороша (в данном случае не очень четко документирована и регламентирована), то эти пузырьки (принятие решения и ответственность) всплывают вверх, на следующий уровень управления. В итоге мы имеем «пену» на поверхности, все решения сваливают на директора или на руководство в целом. И руководитель «тонет» в ворохе текущих дел и проблем.

Совершенствуем систему управления. Зафиксируем документально точки управления (см. рис. 2). Да, некоторые проблемы мы решаем, «всплывает» гораздо меньше.

О системе внутреннего контроля замолвите слово
Рис. 2. Фиксированные точки управления

Но появляются другие вопросы, ведь нам под воздействием различных обстоятельств необходимо гибко менять систему управления — где-то пузырек увеличить, где-то передвинуть. Данная конструкция не обладает гибкостью и в какой-то момент становится неадекватной, возвращается к состоянию, показанному на рис. 1.

Изменим механизм фиксации точек принятия решения в системе управления — колпачки своим весом фиксируют пузырек на своем месте (см. рис. 3). Это система внутреннего контроля фиксирует сами колпачки, контролирует их наличие.

О системе внутреннего контроля замолвите слово
Рис. 3. Усиление фиксации точек принятия решения

Мы получаем четко зафиксированную систему управления с хорошим запасом гибкости. Но колпачки должны обладать дополнительным весом, чтобы удержать пытающиеся всплыть пузырьки. В итоге вся конструкция может утонуть — это те самые дополнительные издержки от системы аудита. Значит, мы должны использовать какой-то другой механизм удержания колпачков.

Покажем (см. рис. 4), как система управления на основе методологии ITSM позволяет снизить затраты на внутренний контроль. Сами элементы системы управления за счет гибких связей между процессами автоматически выполняют функции внутреннего контроля. Получается, что стремление всплыть у пузырьков в разных плоскостях компенсируется друг другом — колпачки уже совсем не тяжелые.

О системе внутреннего контроля замолвите слово
Рис. 4. Использование принципов ITSM

За счет большого количества контрольных процедур внутри процессов управления и интерфейсов между процессами можно построить очень мощную и гибкую систему внутреннего контроля.

Система управления ИТ-подразделением на основе методологии ITSM состоит из достаточно большого количества контрольных процедур. В точках интерфейсов между процессами очень легко контролировать качество выполнения контрольных процедур, а это уже является функцией внутреннего контроля.

Для получения подтверждения, что система управления работает в соответствии со стратегическими целями, недостаточно информации, получаемой из процессов управления ITSM. Необходимы дополнительные процедуры традиционного аудита. Но и здесь есть технологии, упрощающие процесс, — механизм самооценки. По особой методике специалистами самостоятельно оценивается текущее состояние дел. Методика формируется в соответствии со стратегическими планами, и определяются параметры контроля по ключевым направлениям. По итогам такой самооценки руководитель получает как обобщенные данные о состоянии системы управления, так и конкретные данные о том, где и что необходимо подкорректировать.

Все процедуры аудита, включая верификацию данных и подведение итогов, выполняют ИТ-специалисты и их руководители, эти же руководители используют полученную информацию для принятия решений, поэтому качество информации очень высокое. В итоге на выходе мы получаем не план устранения недостатков, а план совершенствования системы управления для достижения заданного уровня. Один из самых главных положительных моментов в том, что мы получаем ответ не на вопрос «Кто виноват?», а на вопрос «Что делать?».

Чтобы уменьшить расходы на создание системы внутреннего контроля, очень полезно воспользоваться имеющимся опытом. Мы в нашем территориальном управлении ЦБ использовали технологические наработки компании IT Expert. Отработанные методики самооценок и шаблоны критериев оценок в сочетании со специальным ПО дали возможность достаточно быстро освоить новые технологии аудита.

Сочетание кросc-процессного контроля и механизма самооценок позволяет построить достаточно мощную и гибкую систему внутреннего контроля с приемлемыми ресурсными затратами. В итоге руководитель получает механизм гарантий достижения как тактических, так и стратегических целей. И стратегия перестает быть вершиной айсберга.

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF