Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Деньги
Сервисы
Личный опыт
Крипто
AI
Маркетплейсы
Образование
Путешествия
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Michael
Личный опыт

Как повысить стоимость бизнеса изменив подход к управлению ИТ-процессами

Как повысить стоимость бизнеса изменив подход к управлению ИТ-процессами

Добрый день, хотел бы поделиться опытом организации работы ИТ-отдела в финансовой компании, который привел к росту ее стоимости при продаже.

Сейчас многие финансовые стартапы развиваются на западном рынке, и повышение уровня зрелости ИТ-процессов по международным стандартам позволяет не только получить понятный для бизнеса ИТ-отдел, но и повысить стоимость компании, если планируется ее продажа.

Немного о себе: начал карьеру работая программистом, и после 5 лет работы решил сменить деятельность и перешел на работу в страховую компанию на позицию менеджера, где со временем стал ИТ-директором, проработав в ней в общей сложности 11 лет.

Я присоединился к компании на довольно раннем этапе, всего несколько лет после открытия. В то время компания уже находилась на этапе стабильного роста, и перед бизнесом стояли задачи масштабирования, получения достоверной картины затрат на ИТ и защиты от рисков и кибер-угроз.

Опишу подход к организации процессов управления ИТ-услугами, но не буду затрагивать инструменты, с помощью которых это можно делать. Еще в тексте могут встречаться термины на английском языке, это связано с тем, что компания принадлежала зарубежным акционерам, которые ставили целью построить компанию со зрелыми процессами, поэтому все документы изначально мной создавались на английском языке и переводились по мере необходимости законодательства РФ.

Потребности бизнеса от ИТ после прохождения этапа стартапа

Поскольку компания уже прошла этап становления и была на этапе роста, то необходимо было обеспечить компанию возможностью адаптации к изменяющемуся рынку и предстояло построить систему управления ИТ для поддержки роста компании.

Помимо этого, существовали внутренние потребности ИТ-отдела. В момент моего прихода вся документация по ИТ состояла из десятка инструкций к используемым системам и была аккуратно сложена в папку на общем диске. С развитием компании и усложнения процессов очевидно, что ориентироваться в наборе инструкций сложно. А также вставали следующие вопросы:

  • Как сделать ИТ-отдел в компании готовым к масштабированию?
  • Как определить какие процессы можно отдать на аутсорс и как ими управлять?
  • Как организовать учет активов и базу знаний?
  • Как быть готовым к аудитам?
  • Как онбоардить новые кадры?
  • И как передать управление в случае бас-фактора?
Bus factor
Bus factor

Стандарты управления ИТ-услугами

При создании ИТ-дирекции важно рассмотреть, какими рамками и стандартами можно руководствоваться в своей работе. На тот момент я рассматривал фреймворки управления ИТ-услугами (ITSM frameworks) COBIT и ITIL.

COBIT (Control Objectives for Information and Related Technologies) известен как “зонтичная система”, обеспечивающая комплексный подход к руководству и управлению ИТ. Он ориентирован на согласование целей ИТ с целями бизнеса и обеспечение эффективного управления рисками и контроля. Однако COBIT не содержит подробного руководства по реализации процессов.

ITIL (Information Technology Infrastructure Library) представляет собой набор лучших практик по управлению ИТ-услугами. В третьей редакции (ITIL v3) декларируется, что она помогает организациям управлять ИТ исходя из коммерческих задач, стоящих перед компанией через введение процесса управления бизнес-услугами. Процесс включает в себя инвентаризацию ИТ-активов, сквозное управление, определение бизнес-процессов и динамическую привязку услуг к инфраструктуре.

Несмотря на то, что COBIT фокусируется на связи ИТ с целями бизнеса, мне в первую очередь необходимо было построить сами процессы управления ИТ. ITIL третьей редакции предлагает практики, а также обеспечивает связь между бизнесом и ИТ, поэтому я остановился на нем.

Стадии внедрения ITSM

Стратегия развития услуг

Первой стадией жизненного цикла услуг является разработка стратегии, в которую входит составление каталога ИТ-услуг и разработка соглашений об уровне обслуживания (SLA).

У кого взять опыт составления каталога ИТ-услуг?

Лучше всего организуют свою работу профессионалы — это аутсорсеры. Недолгий поиск привел к Каталогу ИТ-услуг некоммерческого партнёрства «АСТРА», куда входили крупнейшие аутсорсеры РФ. Пишу в прошедшем времени, потому что не уверен, что партнёрство существует в том же виде и сейчас. Для партнерства предпосылкой к созданию отраслевого документа стало желание сообщества в унификации подхода к предоставляемым услугам. Поскольку Каталог разработан аутсорсерами, то в нем используется слово Заказчик, но это не мешает взять его за основу для разработки внутренней документации, понимая, что Заказчики — это бизнес-подразделения компании.

Описанная в каталоге модель строится на иерархической структуре, где на верхнем уровне представлены бизнес-услуги, в середине поддерживающие их технические услуги, а на нижнем находятся конфигурационные элементы.

ITSM structure
ITSM structure

Бизнес ИТ-услуги привязаны к бизнес-процессам и в них может входить различный набор технических услуг. Это уровень представления для топ-менеджмента, содержит требования и учет заинтересованных сторон (Stakeholders).

На этом уровне можно выделить некоторые значимые для бизнеса услуги в отдельные категории:

  • Vital business functions
  • High availability services

Ниже уровнем представлены Технические услуги, которые описывают детали предоставляемых услуг с привязкой ко всем поддерживающим компонентам ИТ-инфраструктуры. Данный уровень используется ИТ-менеджментом, и на этом слое можно определить:

  • ответственных
  • уровень предоставления услуги исходя из нижестоящих услуг, предоставляемых, например внешними провайдерами
  • измеряемые параметры
  • состав конфигурационных элементов
  • характеристики услуги

Конфигурационные элементы описывают виды деятельности, на которых строится повседневная работа ИТ-специалистов. Данный уровень должен предусматривать возможность выбора такого набора услуг, который позволит определить ответственность по разным аспектам ИТ-услуги между внутренними ИТ-подразделениями и разными сторонними поставщиками ИТ-услуг.

Для примера можно взять предоставление услуг телефонной связи:

Пример структуры услуги
Пример структуры услуги
  • Для финансового отдела это одна услуга, которую можно учитывать укрупненно.
  • Для ИТ-менеджмента эта услуга включает в себя предоставление мобильных и офисных коммуникаций.
  • Для специалистов на данном уровне представлены виды деятельности и инструкции для выполнения своей работы.

Таким образом, можно детализировать ИТ-услугу и ответственность за нее до уровня объекта обслуживания, а в случае необходимости и до отдельного вида деятельности, который можно передать на аутсорсинг.

Проектирование услуг

В эту стадию входит разработка политик, архитектур, документации и разработка плана управления ими через качественные метрики.

Обеспечение качества предоставляемых услуг

В соответствии с ITIL v3 определение подходов к обеспечению качества ИТ-услуг включается в стадию проектирования. Чтобы контролировать качество оказания услуг создаётся система оценки. ИТ-менеджмент должен сосредоточиться на том, что ожидает бизнес:

  • повышении надежности услуг
  • улучшение эксплуатационной эффективности

В процессе проектирования услуг должны быть определены:

  • что подлежит измерению
  • какие метрики использовать
  • как использовать результаты измерений для демонстрации достижений

Показатели качества:

  • Доступность услуги/сервиса
  • Время решения проблемы
  • Доля нарушений SLA
  • Удовлетворенность пользователей/клиентов

Можно вводить и другие метрики, такие как стоимость одного контакта, доля решений по первому обращению и т.д. в зависимости от услуги, контекста и требований.

Чтобы достичь заданных показателей качества, мероприятия можно поделить на проактивные и реактивные.

Также, при создании бизнес-процесса технической поддержки важно учесть следующее:

  • Обращениям, связанным с информационной безопасностью, нужно присваивать высший приоритет (наверняка вам встречались статьи, когда даже крупные компании игнорируют запросы о найденных уязвимостях).
  • Необходимо настроить процесс напоминания о незакрытых заявках (всем неприятно, когда приходится обращаться по несколько раз).
  • Нужно предусмотреть процесс эскалации (сотрудники должны четко понимать границы своих компетенций).

Бизнес каталог ИТ-услуг

Для компании я составил такой список ИТ-услуг для бизнеса:

  • Управление технической поддержкой (единая точка контакта).
  • Управление рабочими местами пользователей — обеспечение и поддержка работоспособности оборудования и ПО рабочих мест.
  • Управление серверным оборудованием — установка, настройка и т. п.
  • Управление системами хранения и резервирования данных.
  • Управление сетями передачи данных — LAN, WAN.
  • Управление телефонией и системами видеоконференцсвязи — офисная и мобильная связь, а также поддержка проведения вебинаров.
  • Управление печатью и копированием.
  • Управление системой электронной почты.
  • Управление корпоративными системами (1С, КИС, СЭД).
  • Управление web-сайтами компании.
  • Управление инженерной инфраструктурой.
  • Мониторинг инфраструктуры и сервисов.
  • Управление информационной безопасностью (включая защиту персональных данных).
  • Управление непрерывностью бизнеса.

Данный перечень лёг в основу положения об ИТ-отделе, таким образом компания получила список направлений деятельности ИТ-отдела.

В рамках активности Capacity management я разбил направления деятельности на 3 категории исходя из объемов выполняемой работы и компетенций, которые можно выделить в отделы ИТ-департамента:

  • Отдел поддержки — отвечает за базовые инфраструктурные услуги, куда входит практически весь перечень услуг, которые выполняются администраторами и сотрудниками технической поддержки.
  • Отдел разработки — во главе с менеджером проекта отвечает за разработку.
  • Отдел ИБ — отвечает менеджер по информационной безопасности и непрерывности бизнеса.

Здесь возникает сложность совмещения ролей в небольших компаниях, что может вызвать конфликт интересов. Обычно отдел ИБ подчиняется напрямую руководителю компании или акционерам, но в компании была определена только стратегия на уровне акционеров, поэтому я отвечал за ее реализацию с привлечением эксперта ИБ, потому что объем знаний, скрытый за стратегией, был довольно велик.

Управление информационной безопасностью

Для управления информационной безопасностью в компании было принято решение придерживаться стандарта ISO 27001, который предоставляет фреймворк по созданию, внедрению, сопровождению и постоянному совершенствованию Information security management system (ISMS).

Политики информационной безопасности

Работа по внедрению ISMS заняла не один год, и целью было доведение части процессов до уровня зрелости, когда процесс задокументирован, имеет владельца, область применения и используется в большинстве подразделений организации.

Я просто перечислю политики, которые были введены, и которые затрагивают все аспекты операционной деятельности организации:

  • ISMS Organization
  • Management of IS Specifications
  • IT-System and Network Operations
  • Cloud Security
  • Cryptography
  • HR Security
  • Identity and Access Management
  • Information Classification
  • IS Compliance
  • IS Incident Management and Response
  • IT-Asset Management
  • Mobile Security
  • Physical Security
  • Procurement and Provider Management
  • Secure Software Development
  • Secure Use of Information and IT

Дополнительные активности

В рамках управления ИТ-отделом также приходится заниматься и дополнительными вещами, например сертификацией PCI DSS и вопросами защиты персональных данных по 152 ФЗ. Данные активности отлично ложатся в услугу управления информационной безопасностью.

По PCI DSS получали сертификат как E-commerce (SAQ-A EP). Стандарт определяет требования к процессам, инфраструктуре и сайту, а также предписывает проводить ASV-сканирование, что позволило поднять уровень защищенности ресурсов компании.

По 152-ФЗ также были введены определенные политики и процессы, которые необходимо было поддерживать. Оставлю эту тему без подробностей, поскольку компании из РФ и так должны быть хорошо знакомы с этим.

Управление непрерывностью бизнеса

Business continuity management (BCM) также как и внедрение ISMS является частью по реализации стратегии управления рисками.

Политика управления непрерывностью бизнеса по ISO 22301 декларирует необходимость введения 3-х линий защиты в виде владельца процесса, риск-менеджера и аудиторов. А также введения следующих активностей:

- Анализ влияния на бизнес (Business impact analysis), оценка рисков (Risk assessment).

- План восстановления бизнеса или Business recovery plan (BRP), который формируется исходя из проведенного анализа.

- План тестирования по различным сценариям и календарь обучения.

Все активности строятся на риск-ориентированном подходе, то есть из вероятности и степени риска, что позволяет исключить нерелевантную деятельность.

Стадия преобразование услуг

На данной стадии вводятся дополнительные политики и процессы:

  • управление изменениями
  • управление релизами
  • управление конфигурацией
  • валидация и тестирование услуг
  • управление знаниями

Здесь наблюдается пересечение с требованиями стандарта ISO 27001.

Связанные процессы

ITSM связанные процессы
ITSM связанные процессы

Необходимо учитывать, что предоставляемые услуги не существуют сами по себе, а связаны с процессами, на обеспечение которых также необходимо выделить время и учитывать определенные требования.

Учет активов (Asset management)

ИТ-активы компании состоят из физического оборудования и лицензий на ПО. Для учета нужно применять специализированные программы и проводить регулярную инвентаризацию. Что примечательно, ITIL v3 также позволяет считать активом и услуги.

Ведение база знаний (Knowledge base management)

Нужна сотрудникам для документирования архитектуры, сохранения инструкций и особенностей обслуживаемой системы.

Предоставление отчетности (Reporting procedures)

Необходимо иметь возможность генерировать и сохранять различные отчеты в зависимости от получателей. Например, аудиторам необходимо предоставлять отчеты по изменениям, где указаны ответственные за изменение, описание, дата, согласование.

Управление изменениями (Change management policy)

Процесс изменений должен быть внедрен в компании, чтобы сделать процесс структурированным и контролируемым образом, минимизируя риски простоя, сокращать количество инцидентов и соответствовать нормативным стандартам.

Управление инцидентами (Incident management and response policy)

Политика определяет требования к процессам, чтобы минимизировать негативное воздействие инцидентов и должен включать в себя следующее: Планирование и подготовка Обнаружение и отчетность Отбор и принятие решений Противодействие Извлеченные уроки

Управление уровнем обслуживания (SLA management)

Процесс, направленный на определение, переговоры, согласование, мониторинг и отчетность по уровню ИТ-услуг, предоставляемых заказчикам.

Эксплуатация услуг

Портфель услуг составили, инструкции создали, команду набрали, что дальше? Четвертая стадия жизненного цикла ИТ-услуг — это операционная деятельность. Результатом этапа эксплуатации услуг является предоставление качественных ИТ-услуг, отвечающих потребностям бизнеса и его клиентов. Эффективное и рациональное управление ИТ-услугами позволяет организациям обеспечить соответствие ИТ-услуг бизнес-стратегии и их ценность для заказчиков.

Постоянное улучшение услуг

Согласно ITIL v3, пятым этапом жизненного цикла услуг является непрерывное совершенствование услуг (Continual Service Improvement, CSI), который направлен на выявление и внедрение улучшений ИТ-услуг с целью повышения эффективности, результативности и ценности для бизнеса.

Этап CSI включает в себя следующие действия:

  • Определение стратегии развития
  • Определение метрик и ключевых показателей эффективности.
  • Сбор и анализ данных для выявления тенденций, закономерностей и областей, требующих улучшения.
  • Представление проанализированных данных и рекомендаций заинтересованным сторонам.
  • Внедрение улучшений.
  • Мониторинг эффективности внедренных изменений.

Результатом этапа CSI является постоянное совершенствование ИТ-услуг и процессов в соответствии с изменяющимися потребностями бизнеса и его заказчиков. Выявляя области для улучшения и внедряя изменения, организации могут гарантировать, что их ИТ-услуги приносят пользу бизнесу и соответствуют его стратегиям и целям.

Планирование рабочей нагрузки руководителя

Политики не только необходимо ввести, еще их необходимо регулярно пересматривать, чтобы вовремя адаптировать к изменяющемуся законодательству, стандартам и рынку. Также существуют дополнительные процессы, такие как: оценка рисков, аудит и закрытие недостатков, тестирование DRP, Business Impact Analysis, BCM Risk Assessment, сдача архива в ЦБ и т. д.
Понимание о том, какие существуют активности, позволяет спланировать рабочую нагрузку таким образом, чтобы не делать что-то в аврале. Это позволило составить план на год, где описано в каком месяце какая активность должна происходить.

Повышение уровня зрелости процессов

Описанное выше подводит к тому, что после внедрения каталога ИТ-услуг появляется полная картина о том, какие услуги предоставляет ИТ-отдел и какие процессы под этим лежат, а также позволяет определить метрики для каждого из процессов. Это даёт возможность составить дорожную карту для повышения уровня зрелости ИТ-процессов.

Сложности управления политиками в международных компаниях

В процессе внедрения политик возникают пересечения требований по разным стандартам и разному законодательству. Например, различаются требования ISO 27001 и ФСТЭК по шифрованию или порядок уведомления регулирующих органов в случае инцидентов по ИБ (да-да, есть определенные требования к банкам и страховым компаниям по уведомлениям).

В этом случае составляется List of non-conformities, где указывается список невозможности исполнения требований и в приоритет берется локальное законодательство. Этот список утверждается на уровне группы компаний.

Что может сделать руководитель, чтобы повысить стоимость компании

Определить, что нужно добиться с помощью ITSM и как это согласуется с бизнес-целями.

Оценить текущую практику управления ИТ-услугами в организации и понять с чего начать.

Создать стратегию, в которой будут описаны шаги, необходимые для перехода от текущего состояния к желаемому состоянию с помощью ITSM. Привести план в действие и развернуть адаптированные процессы ITSM в организации. Это может потребовать обучения персонала новым процессам и технологиям.

Ключевое в ITSM — это постоянный процесс совершенствования. Постоянно измеряйте и контролируйте эффективность ИТ-услуг и процессов, а также используйте обратную связь для выявления областей, требующих дальнейшего совершенствования.

Поощряйте сотрудничество и коммуникацию между ИТ-командами и другими подразделениями, чтобы обеспечить согласованность и максимальную ценность ИТ-услуг для бизнеса.

При необходимости обращайтесь к внешним экспертам. Рассмотрите возможность привлечения консультантов или экспертов по ITSM, которые могут обеспечить руководство и поддержку на протяжении всего процесса внедрения.

Итоги

Итоги моей работы за 11 лет зависят от точек зрения.

Для компании

[В душном корпоративном стиле]

ИТ-отдел стал готов к масштабированию и введению новых процессов и систем, инженеры получили описание своих обязанностей и список поддерживаемых систем, стало возможно вводить метрики для управления. Также бизнес получил возможность выделять как целые направления, так и определенные услуги для аутсорса с возможностью их контроля.

Основное преимущество ITIL v3 заключается в том, что она позволяет компании получить максимальную отдачу от инвестиций в ИТ. Это дает возможность повысить инновационный уровень и ценность бизнеса за счет использования всего потенциала, заложенного в технологии, и опыта ИТ-специалистов.

Преимущества ИТ-структур от такой комбинации заключаются в более полной и приносящей большее удовлетворение роли ИТ-специалистов в работе компании. Более того, растет их авторитет и ценность для компании, поскольку руководство начинает воспринимать ИТ-подразделение как структуру, создающую и увеличивающую ценность бизнеса.

Преимущества для руководства компании заключаются в более плотных взаимоотношениях с ИТ-структурами и лучшем понимании возможностей ИТ-структур по использованию технологии для развития бизнеса. За счет активного взаимодействия с ИТ-структурами руководство компании может внедрить новые бизнес-процессы, повышающие конкурентоспособность их компании.

Для акционеров

Повышение уровня зрелости процессов повышает стоимость компании независимо от методологии оценки бизнеса. Компания успешно продолжает свою деятельность после продажи, качественно оказывая свои услуги клиентам с осознанным вкладом в это от ИТ-персонала.

Для меня

За 11 лет работы я получил опыт как:

  • системный аналитик, когда моделировал информационные системы,
  • бизнес-аналитик при моделировании бизнес-процессов по BABOK,
  • менеджера проекта при управлении международными командами разработки по Agile,
  • как security officer при внедрении системы ИБ.

Еще считаю ценным опыт работы с людьми из разных стран. Подходы к управлению определяются стандартами, но культура разная. Самое главное — обмен опытом.

Я очень благодарен своим руководителям, которые создали очень комфортную среду внутри компании и дали возможность узнать столько нового. Я до сих пор считаю эту компанию второй семьёй.

После продажи я не увидел для себя возможностей роста, поэтому решил попробовать себя на международном рынке, пусть и с понижением в должности. Я передал все дела своему сотруднику, который был также как и я погружен во все процессы, поэтому с уверенностью могу сказать, что качество не пострадает. И я до сих с удовольствием общаюсь с коллегами. Про опыт работы в US healthcare компании хотел бы написать отдельно - про любимые мной стандарты и применение лучших мировых практик по найму сотрудников и управлению командой.

Call to action

Предлагаю руководителям компаний в комментариях поделиться, понятна ли вам работа отдела ИТ и как происходит демонстрация результатов работы ИТ?

1414
Начать дискуссию