К сожалению, мы в России до сих пор испытываем трудности с формированием единой ИТ-терминологии. Очевидный пример — термин «управление ИТ».
Какое управление — оперативное или стратегическое — и управление чем под этим понимается? На Западе же в этом вопросе достигли большей ясности, так что в некоторых случаях до сих пор приходится опираться на англоязычные термины. Поэтому для обозначения вопросов верхнего уровня управления ИТ мы будем применять термин IT Governance — то есть не управление ИТ вообще, не IT Management, а именно управление ИТ на корпоративном уровне, согласованный с бизнесом элемент управления компанией. (По-русски часто используется термин корпоративное управление ИТ.)
Как управленческая дисциплина IT Governance разработана неплохо. В этой статье мы поговорим о том, что включает в себя дисциплина IT Governance и насколько успешно эти подходы используются компаниями. Разговор на данную тему шел на секции IT Governance в рамках конгресса ИТ-директоров «Белые ночи» в июне этого года. При подготовке настоящей статьи были использованы материалы исследования PricewaterhouseCoopers*.
В 2007 году компания PricewaterhouseCoopers (PwC) по заказу IT Governance Institute (ITGI) — организации, основанной для создания и продвижения единых мировых стандартов в области управления информационными технологиями, — провела исследование, результаты которого представлены в IT Governance Global Status Report — 2008 (его можно найти на www.isaca.org).
ITGI является разработчиком методологии CоBIT (Control Objectives for Information and related Technology), которая в последнее время приобрела широкую известность. В исследовании, на вопросы которого ответили 749 ИТ-директоров и руководителей высшего звена по всему миру, были собраны данные о текущем состоянии корпоративного управления ИТ. Некоторые результаты данного опроса были представлены на конгрессе ИТ-директоров «Белые ночи» Марианной Крель, старшим консультантом отдела по управлению эффективностью бизнеса PricewaterhouseCoopers.
Предыдущие подобные исследования проводились PwC и ITGI в 2003 и 2005 годах.
- * Под «PricewaterhouseCoopers» в настоящей статье понимаются фирмы, входящие в глобальную сеть компаний PricewaterhouseCoopers International Limited, каждая из которых является самостоятельным юридическим лицом.
Круг вопросов, рассматриваемых IT Governance
Как известно, в обычной практике ИТ для высшего руководства представляют собой «черный ящик», выдающий некий результат. При этом все ключевые решения в области ИТ в организации принимаются ИТ-специалистами. Если говорить вкратце, то IT Governance меняет систему управления ИТ таким образом, чтобы пользователи — департаменты, руководство компании и даже держатели акций — могли контролировать происходящее в ИТ предприятия и вносить свой вклад в управление ими.
Чтобы определиться, что именно представляет собой IT Governance, нужно прежде всего понять, с какой целью затрачиваются усилия на преобразования управленческой модели. Согласно одному из определений корпоративное управление, в том числе и ИТ, — это комплекс управленческих решений и практик, применяемых высшим руководством с целью:
- определения стратегического направления;
- обеспечения достижения целей;
- адекватного управления рисками;
- надлежащего использования корпоративных ресурсов;
- обеспечения необходимой эффективности.
Как дисциплина IT Governance пытается решить проблемы самого верхнего уровня управления ИТ:
- соответствие ИТ целям бизнеса;
- обеспечение безопасности ИТ;
- обеспечение непрерывности ИТ-сервисов;
- выявление оптимального соотношения цена/качество;
- управление комплексной ИТ-средой;
- соответствие регуляторным требованиям.
Одним из важнейших вопросов, которые призвано решить корпоративное управление, является достижение баланса между целями, связанными с повышением эффективности и в то же время необходимостью соответствия требованиям законодательства, внутренней политики, аудита и прочим. Само собой, корпоративное управление ИТ требует определенного уровня зрелости не только от ИТ-департамента, но и от организации в целом. Кроме того, подходы IT Governance сильно «завязаны» на управление процессами, а значит, следовать им невозможно без процессного подхода к управлению предприятием.
Важность и роль ИТ
Вывод управления ИТ на корпоративный уровень безусловно означает, что руководство компании признает их значимость для бизнеса. Таким образом, ИТ-отдел уже нельзя считать затратным подразделением, выполняющим функцию поддержки, — он начинает играть серьезную роль в развитии бизнеса, становится помощником в достижении его целей. И результаты исследования ITGI и PwC показывают, что важность ИТ год от года растет (рис. 1).
Естественно, что параллельно с ростом заинтересованности бизнеса в ИТ повышаются статус и влияние ИТ-отдела. Собственное исследование Intelligent Enterprise «Практика использования ИТ — 2008», открытые результаты которого были опубликованы в № 11/2008, подтверждают это (рис. 2). Видно, что доля ИТ-подразделений с высоким статусом среди опрошенных компаний составляет около 30%, хотя в целом наибольшее их количество выполняют чисто эксплуатационные и внедренческие функции.
Понятно, что реализация проектов по IT Governance практически невозможна без активного вовлечения в управление ИТ представителей высшего руководства компании. Согласно рекомендациям IT Governance необходимо добиться того, чтобы корпоративное управление ИТ стало областью совместной ответственности потребителя ИТ-услуг (то есть бизнеса) и поставщика этих услуг (ИТ-подразделения). Высшее руководство должно расширить принципы общего корпоративного управления, включив в них аспекты, связанные с ИТ. Именно ему следует создавать соответствующие оргструктуры, требовать внедрения должным образом управляемых и контролируемых процессов. Согласно CоBIT в корпоративном управлении ИТ должно участвовать несколько основных сторон (см. таблицу).
Однако исследование, проведенное ITGI и PwC, показало, что хотя корпоративное управление ИТ все больше переходит к высшему руководству, в ежедневной деятельности IT Governance все-таки в основном находится в компетенции ИТ-директора. «Около трех четвертей опрошенных указали, что спонсором проектов по корпоративному управлению ИТ в их организациях является высшее руководство, — комментирует результаты исследования Марианна Крель. — В то же время, оценивая уровень вовлеченности бизнес-руководителей в управление ИТ, респонденты указали, что он не слишком высок. Хотя высшее руководство и участвует в принятии решений (такой ответ дали 68% опрошенных), оно все еще находится в стороне от проблем ИТ, и ответственность возлагается в основном на ИТ-департамент».
Соотнесение ИТ с целями бизнеса
«Выравнивание» ИТ и бизнеса прежде всего означает согласованность ИТ-стратегии с бизнес-стратегией, а для этого необходимо, чтобы по крайней мере такая стратегия и у бизнеса, и у ИТ-подразделения была. К сожалению, ИТ-стратегия есть далеко не у всех российских компаний. По результатам исследования Intelligent Enterprise «Практика использования ИТ на российских предприятиях — 2008», ИТ-стратегия существует лишь у 52% опрошенных компаний, ещё 37% считают ее важной и планируют разработать.
Еще более показательным является ответ на другой вопрос нашего исследования: «Какие документы, методики и классификаторы, регламентирующие деятельность компании в целом, наиболее существенно влияют на эффективность деятельности в области ИТ?». Наиболее важными документами российские ИТ-директора считают формализованную бизнес-стратегию (4,2 балла по пятибалльной шкале), а также формализованный каталог бизнес-процессов (3,9). Это означает, что ИТ-департаменты хотят от высшего руководства предприятия определенности в том, чего хочет бизнес и как он работает. Косвенно можно предположить, что российские ИТ-директора сознают важность корпоративного управления ИТ. И насколько можно судить по многочисленным дискуссиям на тему ИТ-стратегии (одну из которых мы еще рассмотрим в этом номере подробнее), для российских компаний она очень актуальна.
В то же время исследование, проведенное PwC и ITGI, показало, что соответствие между ИТ-стратегией и бизнес-стратегией, а значит, корпоративным управлением ИТ и общим корпоративным управлением в западных компаниях далеко не всегда хорошее (рис. 3). На вопрос: «Как вы оцениваете соответствие вашей ИТ-стратегии общей стратегии бизнеса?» — 36% опрошенных ответили «среднее», «плохое» или «очень плохое». Здесь интересно отметить, что бизнес-руководители работу ИТ-департаментов оценивают лучше, чем ИТ-директора. На вопрос о том, насколько эффективно ИТ-департамент добивается целей, поставленных бизнесом, бизнес-руководители, которые составляли часть опрошенных ITGI, дали гораздо более оптимистичные ответы: 72% из них полностью согласны, что инвестиции в ИТ приносят дополнительную прибыль организации, в то время как среди ИТ-специалистов этот показатель не превысил и 50%. Оставляя за скобками причины такого расхождения, заметим, что само по себе оно свидетельствует о плохом корпоративном управлении ИТ.
Методологии и стандарты корпоративного управления
Существует множество стандартов, так или иначе затрагивающих вопросы корпоративного управления ИТ. В отчете IT Governance Global Status Report — 2008 представлены ответы на вопрос об используемых методологиях среди тех компаний, которые ранее не были известны как использующие CoBIT (рис. 4). Лидируют подходы ITIL/ISO 20000 — их используют или собираются использовать 24% респондентов. Такой результат довольно странен: ведь на самом деле данные стандарты ориентированы больше на предоставление сервисов, нежели на корпоративное управление ИТ.
Если рассматривать место CоBIT в группе корпоративных стандартов, то можно заметить, что он несколько пересекается со стандартами корпоративного управления COSO, безопасности ISO 17799, качества ISO 9000 и совсем немного с ITIL (рис. 5). При этом CоBIT претендует на роль консолидирующего («зонтичного») стандарта. Четвертая, последняя версия этого стандарта, вышедшая в 2005 году, была существенно изменена в сторону именно корпоративного управления. Аналитики из Gartner Group высоко оценили вновь переработанную методологию, а построенный в 2007 году Higher Education Hype Cicle показал, что интерес к CоBIT сейчас находится на подъеме. Исследование ITGI и PwC выявило, что этот стандарт приняли или собираются принять 14% опрошенных. Кроме того, 33% респондентов используют методологии собственной разработки, в которые нередко закладывается довольно существенная часть принципов и подходов CоBIT.
IT Governance сегодня
Надо сказать, что несмотря на довольно солидный возраст IT Governance как дисциплины уровень ее использования в компаниях невысок. В исследовании ITGI и PwC респондентам напрямую задавался вопрос: «Имплементировали ли вы, имплементируете или собираетесь имплементировать практики IT Governance?» (рис. 6). Так вот, число компаний, уже использующих такие практики, с 2005 года почти не изменилось и составило 17—18%. Однако многие компании находятся на этом пути: количество тех, кто находится в процессе их имплементирования, в сравнении с 2005 годом выросло значительно — на 15%. Несколько возросло и число компаний, рассматривающих IT Governance на перспективу.
Что касается самого CoBIT, то исследование IT Governance Global Status Report показало, что он известен половине опрошенных, а применяют его около 30% из них. При этом от 25 до 35% респондентов следуют CоBIT довольно строго, а 50% представителей компаний заявили, что эта методология для них является «одним из источников знаний».
Исследования, аналогичные проведенному ITGI и PwC, в нашей стране, насколько нам известно, не проводились. В исследовании Intelligent Enterprise «Практика использования ИТ на российских предприятиях — 2007» мы попытались напрямую выяснить зрелость в российских компаниях корпоративного управления ИТ по модели CoBIT. Как ни странно, она оказалась весьма высока (рис. 7). То, что 57% компаний находятся на первом-втором уровне зрелости (начало и повторение), — вполне ожидаемый результат. Однако 26% предприятий, поднявшиеся на третий уровень зрелости, где подавляющее большинство ИТ-процессов должно быть формализовано, задокументировано и стандартизировано (хотя эти процедуры и регламенты не всегда соблюдаются пользователями информационных ресурсов), кажется нам завышенным результатом, поскольку между вторым и третьим уровнями зрелости управления ИТ лежит весьма существенный водораздел, преодолеть который довольно трудно. Что же касается 13% компаний, находящихся на четвёртом уровне зрелости, и 3% — на пятом, то тут мы вынуждены усомниться в результатах опроса: организаций такого уровня, по нашему опыту, в России единицы.
Мы считаем, что в исследовании 2007 года получены несколько завышенные результаты, чему есть понятное объяснение: в соответствующем разделе CоBIT содержится рекомендация не задавать напрямую вопросов об оценке зрелости управления ИТ во избежание искажения информации. Так что реальная картина использования CоBIT в России еще ждет своего исследователя.
Проблемы на пути к корпоративному управлению ИТ
Конечно, хотя в целом можно отметить, что интерес к IT Governance растет, из всего сказанного выше нельзя сделать вывод, что эти практики будут внедряться в большинстве компаний. Ведь в таких проектах без поддержки «сверху» никак не обойтись, а среди опрошенных в исследовании ITGI и PwC были в основном ИТ-руководители, так что у генеральных директоров может быть совершенно другое мнение. Но даже если представители бизнеса и ИТ хотят одного и того же, это еще не означает, что все проблемы решены. «Одной из главных проблем IT Governance является то, что его часто путают просто с хорошими практиками менеджмента, в то время как это далеко не только система контроля ИТ-ресурсов, — говорит Марианна Крель. — Очень важным здесь, как мы уже отмечали, являются и управление рисками, и извлечение реальных выгод от ИТ, и измерение эффективности, и согласование стратегии ИТ со стратегией бизнеса. К сожалению, это часто упускается из виду».
Один из выводов, которые выделили ITGI и PwC, говорит о том, что предприятия знают, кто может помочь им в проектах по организации корпоративного управления ИТ, но не слишком высоко оценивают доступную экспертизу и способность ее реализовать. Почти половина опрошенных считает, что при проведении подобных проектов нужно обращаться к крупным вендорам и ИТ-компаниям, чуть меньшая часть верит, что им смогут помочь крупнейшие консалтинговые компании, а 39% готовы довериться небольшим или нишевым ИТ-компаниям, возможно, сугубо локальным. Из этого можно заключить, что хотя крупные ИТ-компании и лидируют, но даже на их экспертизу полагаются далеко не все организации.
Кроме того, для данной области никуда не исчезают и проблемы, характерные для ИТ в целом, и главной из них является недостаток квалификации у персонала. Правда, вопрос здесь, как мы уже отмечали, не в технических знаниях и навыках. Далеко не каждый ИТ-директор сознает себя как специалиста, управляющего информацией, далеко не все могут эффективно работать в среде всей корпорации в целом. С другой стороны, представители бизнеса часто настолько несведущи в области ИТ и процессном управлении, что любые попытки ИТ-директора объяснить что-либо бизнесу просто разбиваются о стену непонимания. Остается надеяться, что со временем в образовании CIO существенную часть будет занимать обучение управлению, а CEO больше внимания уделят вопросам ИТ.