Как повысить стоимость бизнеса изменив подход к управлению ИТ-процессами
Потребности бизнеса от ИТ после прохождения этапа стартапа
Сейчас многие финансовые стартапы развиваются на западном рынке, и повышение уровня зрелости ИТ-процессов по международным стандартам позволяет не только получить понятный для бизнеса ИТ-отдел, но и повысить стоимость компании, если планируется ее продажа. И я готов поделиться опытом организации работы ИТ-отдела в финансовой компании, который привел к росту ее стоимости при продаже.
Немного о себе: начал карьеру работая программистом, и после 5 лет работы решил сменить деятельность и перешел на работу в страховую компанию на позицию менеджера, где со временем стал ИТ-директором, проработав в ней в общей сложности 11 лет.
Я присоединился к компании на довольно раннем этапе, всего несколько лет после открытия. В то время компания уже находилась на этапе стабильного роста, и перед бизнесом стояли задачи масштабирования, получения достоверной картины затрат на ИТ и защиты от рисков и кибер-угроз.
Опишу подход к организации процессов управления ИТ-услугами, но не буду затрагивать инструменты, с помощью которых это можно делать. Еще в тексте могут встречаться термины на английском языке, это связано с тем, что компания принадлежала зарубежным акционерам, которые ставили целью построить компанию со зрелыми процессами, поэтому все документы изначально мной создавались на английском языке и переводились по мере требований законодательства РФ.
Потребности бизнеса от ИТ после прохождения этапа стартапа
Поскольку компания уже прошла этап становления и была на этапе роста, то необходимо было обеспечить компанию возможностью адаптации к изменяющемуся рынку и предстояло построить систему управления ИТ для поддержки роста компании.
Помимо этого, существовали внутренние потребности ИТ-отдела. В момент моего прихода вся документация по ИТ состояла из десятка инструкций к используемым системам и была аккуратно сложена в папку на общем диске. С развитием компании и усложнения процессов очевидно, что ориентироваться в наборе инструкций сложно. А также вставали следующие вопросы:
Как сделать ИТ-отдел в компании готовым к масштабированию?
Как определить какие процессы можно отдать на аутсорс и как ими управлять?
Как организовать учет активов и базу знаний?
Как быть готовым к аудитам?
Как онбоардить новые кадры?
И как передать управление в случае бас-фактора?
Bus factor
Стандарты управления ИТ-услугами
При создании ИТ-дирекции важно рассмотреть, какими рамками и стандартами можно руководствоваться в своей работе. На тот момент я рассматривал фреймворки управления ИТ-услугами (ITSM frameworks) COBIT и ITIL.
COBIT (Control Objectives for Information and Related Technologies) известен как «зонтичная система», обеспечивающая комплексный подход к руководству и управлению ИТ. Он ориентирован на согласование целей ИТ с целями бизнеса и обеспечение эффективного управления рисками и контроля. Однако COBIT не содержит подробного руководства по реализации процессов.
ITIL (Information Technology Infrastructure Library) представляет собой набор лучших практик по управлению ИТ-услугами. В третьей редакции (ITIL v3) декларируется, что она помогает организациям управлять ИТ исходя из коммерческих задач, стоящих перед компанией через введение процесса управления бизнес-услугами. Процесс включает в себя инвентаризацию ИТ-активов, сквозное управление, определение бизнес-процессов и динамическую привязку услуг к инфраструктуре.
Несмотря на то, что COBIT фокусируется на связи ИТ с целями бизнеса, мне в первую очередь необходимо было построить сами процессы управления ИТ. ITIL третьей редакции предлагает практики, а также обеспечивает связь между бизнесом и ИТ, поэтому я остановился на нем.
Стадии внедрения ITSM
Стратегия развития услуг
Первой стадией жизненного цикла услуг является разработка стратегии, в которую входит составление каталога ИТ-услуг и разработка соглашений об уровне обслуживания (SLA).
У кого взять опыт составления каталога ИТ-услуг?
Лучше всего организуют свою работу профессионалы — это аутсорсеры. Недолгий поиск привел к Каталогу ИТ-услуг некоммерческого партнёрства «АСТРА», куда входили крупнейшие аутсорсеры РФ. Пишу в прошедшем времени, потому что не уверен, что партнёрство существует в том же виде и сейчас. Для партнерства предпосылкой к созданию отраслевого документа стало желание сообщества в унификации подхода к предоставляемым услугам. Поскольку Каталог разработан аутсорсерами, то в нем используется слово Заказчик, но это не мешает взять его за основу для разработки внутренней документации, понимая, что Заказчики — это бизнес-подразделения компании.
Описанная в каталоге модель строится на иерархической структуре, где на верхнем уровне представлены бизнес-услуги, в середине поддерживающие их технические услуги, а на нижнем находятся конфигурационные элементы.
Бизнес ИТ-услуги привязаны к бизнес-процессам и в них может входить различный набор технических услуг. Это уровень представления для топ-менеджмента, содержит требования и учет заинтересованных сторон (Stakeholders).
На этом уровне можно выделить значимые для бизнеса услуги в отдельные категории:
Ниже уровнем представлены Технические услуги, которые описывают детали предоставляемых услуг с привязкой ко всем поддерживающим компонентам ИТ-инфраструктуры. Данный уровень используется ИТ-менеджментом, и на этом слое можно определить:
ответственных
уровень предоставления услуги исходя из нижестоящих услуг, предоставляемых, например внешними провайдерами
измеряемые параметры
состав конфигурационных элементов
характеристики услуги
Конфигурационные элементы описывают виды деятельности, на которых строится повседневная работа ИТ-специалистов. Данный уровень должен предусматривать возможность выбора такого набора услуг, который позволит определить ответственность по разным аспектам ИТ-услуги между внутренними ИТ-подразделениями и разными сторонними поставщиками ИТ-услуг.
Для примера можно взять предоставление услуг телефонной связи:
Для финансового отдела это одна услуга, которую можно учитывать укрупненно.
Для ИТ-менеджмента эта услуга включает в себя предоставление мобильных и офисных коммуникаций.
Для специалистов на данном уровне представлены виды деятельности и инструкции для выполнения своей работы.
Таким образом, можно детализировать ИТ-услугу и ответственность за нее до уровня объекта обслуживания, а в случае необходимости и до отдельного вида деятельности, который можно передать на аутсорсинг.
Проектирование услуг
В эту стадию входит разработка политик, архитектур, документации и разработка плана управления ими через качественные метрики.
Обеспечение качества предоставляемых услуг
В соответствии с ITIL v3 определение подходов к обеспечению качества ИТ-услуг включается в стадию проектирования. Чтобы контролировать качество оказания услуг создаётся система оценки. ИТ-менеджмент должен сосредоточиться на том, что ожидает бизнес:
В процессе проектирования услуг должны быть определены:
что подлежит измерению
какие метрики использовать
как использовать результаты измерений для демонстрации достижений
Показатели качества:
Доступность услуги/сервиса
Время решения проблемы
Доля нарушений SLA
Удовлетворенность пользователей/клиентов
Можно вводить и другие метрики, такие как стоимость одного контакта, доля решений по первому обращению и т.д. в зависимости от услуги, контекста и требований.
Чтобы достичь заданных показателей качества, мероприятия можно поделить на проактивные и реактивные.
Также, при создании бизнес-процесса технической поддержки важно учесть следующее:
Обращениям, связанным с информационной безопасностью, нужно присваивать высший приоритет (наверняка вам встречались статьи, когда даже крупные компании игнорируют запросы о найденных уязвимостях).
Необходимо настроить процесс напоминания о незакрытых заявках (всем неприятно, когда приходится обращаться по несколько раз).
Нужно предусмотреть процесс эскалации (сотрудники должны четко понимать границы своих компетенций).
Бизнес каталог ИТ-услуг
Для компании я составил такой список ИТ-услуг для бизнеса:
Управление технической поддержкой (единая точка контакта).
Управление рабочими местами пользователей — обеспечение и поддержка работоспособности оборудования и ПО рабочих мест.
Управление серверным оборудованием — установка, настройка и т. п.
Управление системами хранения и резервирования данных.
Управление сетями передачи данных — LAN, WAN.
Управление телефонией и системами видеоконференцсвязи — офисная и мобильная связь, а также поддержка проведения вебинаров.
Управление печатью и копированием.
Управление системой электронной почты.
Управление корпоративными системами (1С, КИС, СЭД).
Управление web-сайтами компании.
Управление инженерной инфраструктурой.
Мониторинг инфраструктуры и сервисов.
Управление информационной безопасностью (включая защиту персональных данных).
Управление непрерывностью бизнеса.
Данный перечень лёг в основу положения об ИТ-отделе, таким образом компания получила список направлений деятельности ИТ-отдела.
В рамках активности Capacity management я разбил направления деятельности на 3 категории исходя из объемов выполняемой работы и компетенций, которые можно выделить в подразделения ИТ-дирекции:
Отдел поддержки — отвечает за базовые инфраструктурные услуги, куда входит практически весь перечень услуг, которые выполняются администраторами и сотрудниками технической поддержки.
Отдел разработки — во главе с менеджером проекта отвечает за разработку.
Отдел ИБ — отвечает менеджер по информационной безопасности и непрерывности бизнеса.
Здесь возникает сложность совмещения ролей в небольших компаниях, что может вызвать конфликт интересов. Обычно отдел ИБ подчиняется напрямую руководителю компании или акционерам, но в компании была определена только стратегия на уровне акционеров, поэтому я отвечал за ее реализацию с привлечением экспертов и аутсорсеров ИБ, потому что объем знаний, скрытый за стратегией, был довольно велик.
Управление информационной безопасностью
Для управления информационной безопасностью в компании было принято решение придерживаться стандарта ISO 27001, который предоставляет фреймворк по созданию, внедрению, сопровождению и постоянному совершенствованию Information security management system (ISMS).
Политики информационной безопасности
Работа по внедрению ISMS заняла не один год, и целью было доведение части процессов до уровня зрелости, когда процесс задокументирован, имеет владельца, область применения и используется в большинстве подразделений организации.
Я просто перечислю политики, которые были введены, и которые затрагивают все аспекты операционной деятельности организации:
ISMS Organization
Management of IS Specifications
IT-System and Network Operations
Cloud Security
Cryptography
HR Security
Identity and Access Management
Information Classification
IS Compliance
IS Incident Management and Response
IT-Asset Management
Mobile Security
Physical Security
Procurement and Provider Management
Secure Software Development
Secure Use of Information and IT
Дополнительные активности
В рамках управления ИТ-отделом также приходится заниматься и дополнительными вещами, например сертификацией PCI DSS и вопросами защиты персональных данных по 152 ФЗ. Данные активности отлично ложатся в услугу управления информационной безопасностью.
По PCI DSS получали сертификат как E-commerce (SAQ-A EP). Стандарт определяет требования к процессам, инфраструктуре и сайту, а также предписывает проводить ASV-сканирование, что позволило поднять уровень защищенности ресурсов компании.
По 152-ФЗ также были введены определенные политики и процессы, которые необходимо было поддерживать. Оставлю эту тему без подробностей, поскольку компании из РФ и так должны быть хорошо знакомы с требованиями и процессами.
В момент введения в действие закона GDPR, который является экстерриториальным, проводили оценку применимости и оценку необходимых доработок.
Управление непрерывностью бизнеса
Business continuity management (BCM) также как и внедрение ISMS является частью по реализации риск-ориентированного подхода.
Политика управления непрерывностью бизнеса по ISO 22301 декларирует необходимость введения 3-х линий защиты в виде ролей владельца процесса, риск-менеджера и аудиторов. А также введения следующих активностей:
Анализ влияния на бизнес (Business impact analysis), оценка рисков (Risk assessment).
План восстановления бизнеса или Business recovery plan (BRP), который формируется исходя из проведенного анализа.
План тестирования по различным сценариям и календарь обучения.
Все активности строятся на риск-ориентированном подходе, то есть из вероятности и степени риска, что позволяет исключить нерелевантную деятельность.
Стадия преобразование услуг
На данной стадии вводятся дополнительные политики и процессы:
управление изменениями
управление релизами
управление конфигурацией
валидация и тестирование услуг
управление знаниями
Здесь наблюдается пересечение с требованиями стандарта ISO 27001.
Связанные процессы
Дополнительные процессы
Необходимо учитывать, что предоставляемые услуги не существуют сами по себе, а связаны с процессами, на обеспечение которых также необходимо выделить время и учитывать определенные требования.
Учет активов (Asset management)
ИТ-активы компании состоят из физического оборудования и лицензий на ПО. Для учета нужно применять специализированные программы и проводить регулярную инвентаризацию. Что примечательно, ITIL v3 также позволяет считать активом и услуги.
Ведение база знаний (Knowledge base management)
Нужна сотрудникам для документирования архитектуры, сохранения инструкций и особенностей обслуживаемой системы.
Предоставление отчетности (Reporting procedures)
Необходимо иметь возможность генерировать и сохранять различные отчеты в зависимости от получателей. Например, аудиторам необходимо предоставлять отчеты по изменениям, где указаны ответственные за изменение, описание, дата, согласование.
Управление изменениями (Change management policy)
Процесс изменений должен быть внедрен в компании, чтобы сделать процесс структурированным и контролируемым образом, минимизируя риски простоя, сокращать количество инцидентов и соответствовать нормативным стандартам.
Управление инцидентами (Incident management and response policy)
Политика определяет требования к процессам, чтобы минимизировать негативное воздействие инцидентов и должен включать в себя следующее: Планирование и подготовка Обнаружение и отчетность Отбор и принятие решений Противодействие Извлеченные уроки
Управление уровнем обслуживания (SLA management)
Процесс, направленный на определение, переговоры, согласование, мониторинг и отчетность по уровню ИТ-услуг, предоставляемых заказчикам.
Эксплуатация услуг
Портфель услуг составили, инструкции создали, команду набрали, что дальше? Четвертая стадия жизненного цикла ИТ-услуг — это операционная деятельность. Результатом этапа эксплуатации услуг является предоставление качественных ИТ-услуг, отвечающих потребностям бизнеса и его клиентов. Эффективное и рациональное управление ИТ-услугами позволяет организациям обеспечить соответствие ИТ-услуг бизнес-стратегии и их ценность для заказчиков.
Постоянное улучшение услуг
Согласно ITIL v3, пятым этапом жизненного цикла услуг является непрерывное совершенствование услуг (Continual Service Improvement, CSI), который направлен на выявление и внедрение улучшений ИТ-услуг с целью повышения эффективности, результативности и ценности для бизнеса. Этап CSI включает в себя следующие действия:
Определение стратегии развития (чтобы уделять внимание только актуальным услугам)
Определение метрик и ключевых показателей эффективности
Сбор и анализ данных для выявления тенденций, закономерностей и областей, требующих улучшения
Представление проанализированных данных и рекомендаций заинтересованным сторонам
Внедрение улучшений
Мониторинг эффективности внедренных изменений
Результатом этапа CSI является постоянное совершенствование ИТ-услуг и процессов в соответствии с изменяющимися потребностями бизнеса и его заказчиков. Выявляя области для улучшения и внедряя изменения, организации могут гарантировать, что их ИТ-услуги приносят пользу бизнесу и соответствуют его стратегиям и целям.
Планирование рабочей нагрузки руководителя
Политики не только необходимо ввести, еще их необходимо регулярно пересматривать, чтобы вовремя адаптировать к изменяющемуся законодательству, стандартам и рынку. Также существуют дополнительные процессы, такие как: оценка рисков, аудит и закрытие недостатков, тестирование DRP, Business Impact Analysis, BCM Risk Assessment, сдача архива в ЦБ и т. д.
Понимание о том, какие существуют активности, позволяет спланировать рабочую нагрузку таким образом, чтобы не делать что-то в аврале. Это позволило составить план на год, где описано в каком месяце какая активность должна происходить.
Повышение уровня зрелости процессов
Описанное выше подводит к тому, что после внедрения каталога ИТ-услуг появляется полная картина о том, какие услуги предоставляет ИТ-отдел и какие процессы под этим лежат, а также позволяет определить метрики для каждого из процессов. Это даёт возможность составить дорожную карту для повышения уровня зрелости ИТ-процессов.
Сложности управления политиками в международных компаниях
В процессе внедрения политик возникают пересечения требований по разным стандартам и разному законодательству. Например, различаются требования ISO 27001 и ФСТЭК по шифрованию или порядок уведомления регулирующих органов в случае инцидентов по ИБ (да-да, есть определенные требования к банкам и страховым компаниям по уведомлениям государственных органов).
В этом случае составляется List of non-conformities, где указывается список невозможности исполнения требований и в приоритет берется локальное законодательство. Этот список утверждается на уровне группы компаний.
Что может сделать руководитель, чтобы повысить стоимость компании
Определить, что нужно добиться с помощью ITSM и как это согласуется с бизнес-целями.
Оценить текущую практику управления ИТ-услугами в организации и понять с чего начать.
Создать стратегию, в которой будут описаны шаги, необходимые для перехода от текущего состояния к желаемому состоянию с помощью ITSM. Привести план в действие и развернуть адаптированные процессы ITSM в организации. Это может потребовать обучения персонала новым процессам и технологиям.
Ключевое в ITSM — это постоянный процесс совершенствования. Постоянно измеряйте и контролируйте эффективность ИТ-услуг и процессов, а также используйте обратную связь для выявления областей, требующих дальнейшего совершенствования.
Поощряйте сотрудничество и коммуникацию между ИТ-командами и другими подразделениями, чтобы обеспечить согласованность и максимальную ценность ИТ-услуг для бизнеса.
При необходимости обращайтесь к внешним экспертам. Рассмотрите возможность привлечения консультантов или экспертов по ITSM, которые могут обеспечить руководство и поддержку на протяжении всего процесса внедрения.
Итоги
Для компании
[В душном корпоративном стиле]
ИТ-отдел стал готов к масштабированию и введению новых процессов и систем, инженеры получили описание своих обязанностей и список поддерживаемых систем, стало возможно вводить метрики для управления. Также бизнес получил возможность выделять как целые направления, так и определенные услуги для аутсорса с возможностью их контроля.
Основное преимущество ITIL v3 заключается в том, что она позволяет компании получить максимальную отдачу от инвестиций в ИТ. Это дает возможность повысить инновационный уровень и ценность бизнеса за счет использования всего потенциала, заложенного в технологии, и опыта ИТ-специалистов.
Преимущества ИТ-структур от такой комбинации заключаются в более полной и приносящей большее удовлетворение роли ИТ-специалистов в работе компании. Более того, растет их авторитет и ценность для компании, поскольку руководство начинает воспринимать ИТ-подразделение как структуру, создающую и увеличивающую ценность бизнеса.
Преимущества для руководства компании заключаются в более плотных взаимоотношениях с ИТ-структурами и лучшем понимании возможностей ИТ-структур по использованию технологии для развития бизнеса. За счет активного взаимодействия с ИТ-структурами руководство компании может внедрить новые бизнес-процессы, повышающие конкурентоспособность их компании.
Для акционеров
Повышение уровня зрелости процессов повышает стоимость компании независимо от методологии оценки бизнеса. Компания успешно продолжает свою деятельность после продажи, качественно оказывая свои услуги клиентам с осознанным вкладом в это от ИТ-персонала.
Для меня
За 11 лет работы я получил опыт как:
системный аналитик, когда моделировал информационные системы,
бизнес-аналитик при моделировании бизнес-процессов по BABOK,
менеджера проекта при управлении международными командами разработки по Agile,
как security officer при внедрении системы ИБ.
Еще считаю ценным опыт работы с людьми из разных стран. Подходы к управлению определяются стандартами, но культура разная. Самое главное — обмен опытом.
Я очень благодарен своим руководителям, которые создали очень комфортную среду внутри компании и дали возможность узнать столько нового. Я до сих пор считаю эту компанию второй семьёй.
После продажи компании я не увидел для себя возможностей роста, поэтому решил попробовать себя на международном рынке, пусть и в другой роли. Все дела были постепенно переданы, поэтому с уверенностью могу сказать, что качество не пострадает. И я до сих с удовольствием общаюсь с коллегами.
