Деловая практика требует подготовки бизнес-кейса (экономического обоснования) для анализа и обоснования начала крупного проекта и/или финансовых инвестиций. Пример, описанный ниже, представлен в качестве общего руководства, призванного стимулировать подготовку бизнес-кейса для обоснования инвестиций в программу внедрения системы РиУ КИТ. У каждого предприятия есть свои причины для улучшения системы РиУ КИТ, а также свой подход к подготовке бизнес-кейсов, который может варьироваться от детального подхода, с акцентом на измеримые выгоды, до более высоко-уровневого с качественной оценкой перспектив. Предприятия могут следовать существующим внутренним подходам к обоснованию инвестиций и построению бизнес-кейсов, в случае их наличия.
Описанный ниже пример и рекомендации основаны на реальной ситуации в конкретном, существующем предприятии и приведены здесь, чтобы помочь сосредоточиться на проблемах, которые должны быть решены в экономическом обосновании.
"Примером сценария является крупная международная корпорация XYZ со смесью традиционных, хорошо зарекомендовавших себя направлений бизнеса, а также новых направлений, использующих самые современные Интернет-технологии. Многие бизнес-подразделения были приобретены и существуют в разных странах и разных местных политических, культурных и экономических средах. На команду исполнительного руководства Штаб квартиры группы оказали влияние последние рекомендации по руководству предприятием, такие как методология COBIT, которые они использовали централизованно в течение некоторого времени ранее. Они хотят быть уверенными в том, что быстрое расширение и внедрение современных информационных технологий принесут ожидаемую ценность и намерены управлять значительными новыми рисками, связанными с этим. Таким образом, они обязали предприятия всей группы принять единый подход к руководству и управлению корпоративными ИТ. Этот подход включает участие функций внутреннего аудита и управления рисками, а также годовую отчетность руководства бизнес-подразделений об адекватности мер контроля во всех предприятиях группы."
Резюме для руководства
В этом экономическом обосновании описывается объем предлагаемой программы РиУ КИТ для корпорации XYZ на основе методологии руководства и управления корпоративными ИТ COBIT.
Необходимо надлежащее экономическое обоснование, чтобы совет корпорации XYZ и бизнес-подразделения поддержали инициативу и определили потенциальные выгоды. Корпорация будет отслеживать исполнение экономического обоснования для реализации ожидаемых выгод. Охват программы включает все бизнес-структуры, входящие в корпорацию. Однако, предполагается, что определенная степень приоритизации будет применяться для первоначального охвата программой из-за ограничения ресурсов.
Различные стороны заинтересованы в результатах программы, начиная с Совета Директоров корпорации и заканчивая руководством бизнес-подразделений, а также внешними сторонами, такими как акционеры и правительственные учреждения.
Необходимо учитывать некоторые существенные проблемы, а также риски при реализации программы в требуемом глобальном масштабе. Одним из наиболее сложных аспектов является предпринимательский характер многих интернет-предприятий, а также децентрализованная или федеративная бизнес-модель, существующая в корпорации.
Программа будет реализована путем сосредоточения внимания на возможностях процессов корпорации и других компонентах системы руководства по отношению к тем, которые определены системой РиУ КИТ и относятся к каждой бизнес-единице корпорации.
Соответствующие приоритеты целей в области руководства и управления, с фокусом на каждом подразделении, будут определены путем проведения семинаров участниками программы и начнутся с определения стратегических целей и бизнес-рисков, применимых к конкретному бизнес-подразделению.
Соответствующие приоритеты целей в области руководства и управления, с фокусом на каждом подразделении, будут определены путем проведения семинаров участниками программы и начнутся с определения стратегических целей и бизнес-рисков, применимых к конкретному бизнес-подразделению.
Целью программы является обеспечение наличия адекватной системы руководства и управления корпоративными ИТ, включая структуры руководства и управления, а также повышение уровня возможностей и адекватности соответствующих ИТ-процессов. Ожидается, что по мере увеличения возможностей ИТ-процессов возрастут их эффективность и качество. Одновременно с этим, связанные риски будут пропорционально уменьшаться, а реальные бизнес-преимущества смогут быть реализованы каждой бизнес-единицей.
Как только процесс оценки уровня возможностей в каждом бизнес-подразделении будет внедрен, ожидается, что самооценка будет продолжаться в каждом бизнес-подразделении, как обычная бизнес-практика.
Вся программа будет реализована в два этапа. Первый этап - это этап разработки, на котором команда разработает и протестирует подход и набор инструментов, которые будут использоваться в корпорации. В конце этапа 1 результаты будут представлены руководству группы для окончательного утверждения. Как только окончательное одобрение будет получено, в форме утвержденного бизнес-кейса, программа будет развернута по всему предприятию в согласованном порядке (реализация, этап 2).
Следует отметить, что программа не несет ответственности за выполнение корректирующих действий, определенных в каждой бизнес-единице. Программа будет просто консолидировать и сообщать о прогрессе, предоставленном каждым подразделением.
Последней задачей, которую необходимо будет решить с помощью программы, является устойчивое представление результатов в будущем. Это может потребовать значительного количества времени, обсуждений и доработок, которые должны привести к улучшению существующих механизмов корпоративной отчетности и показателей/метрик.
Был подготовлен первоначальный бюджет для этапа разработки программы. Бюджет детализируется в отдельном плане-графике. Детальный бюджет будет также составлен для этапа 2 проекта и представлен на утверждение руководству группы.
Предпосылки
РиУ КИТ является неотъемлемой частью общей системы руководства предприятием, ориентированной на эффективность использования ИТ и управление рисками, связанными с зависимостью предприятия от ИТ.
ИТ интегрированы в деятельность предприятий корпорации, для многих Интернет - это основа их деятельности. Таким образом, РиУ КИТ следует структуре управления группы - децентрализованному формату. Руководство каждого дочернего предприятия/бизнес-подразделения несет ответственность за обеспечение внедрения надлежащих процессов, относящихся к РиУ КИТ.
Ежегодно руководство каждой значимой дочерней компании должно подавать официальный письменный отчет в соответствующий Комитет по рискам, который является частью Совета Директоров. В этом отчете будет подробно рассказано о степени реализации программы внедрения системы РиУ КИТ в течение финансового года. О значительных отклонениях следует сообщать на каждом запланированном заседании соответствующего Комитета по рискам.
Совет Директоров, при поддержке Комитетов по рискам и аудиту, обеспечит оценку, мониторинг, отчетность и сделает заявление по статусу программы внедрения системы РиУ КИТ группы, как части интегрированного годового отчета предприятия. Заявление будет основано на отчетах, полученных от отделов управления рисками, комплаенса и внутреннего аудита, а также от руководства каждой значимой дочерней компании. Он предоставит как внутренним, так и внешним заинтересованным сторонам актуальную и надежную информацию о статусе программы внедрения системы РиУ КИТ группы.
Службы внутреннего аудита предоставят руководству и Комитету по аудиту уверенность в адекватности и эффективности программы.
Бизнес-риски, связанные с ИТ, будут сообщаться и обсуждаться в рамках процесса управления рисками в реестрах рисков, представляемых в соответствующий Комитет по рискам.
Вызовы бизнеса
Из-за повсеместного распространения ИТ и темпов изменения технологий требуется надежная структура для адекватного управления всей ИТ-средой и исключения пробелов в системе контроля, которые могут подвергнуть предприятие неприемлемому риску.
Цель состоит в том, чтобы не препятствовать ИТ-операциям различных подразделений, а улучшить их профиль рисков таким образом, чтобы это было разумно для бизнеса и обеспечивало повышение качества и эффективности ИТ-услуг, при этом явно достигая соответствия не только политики РиУ КИТ корпорации, но и любым другим законодательным и нормативным актам и договорным требованиям.
Некоторые примеры вероятных болевых точек включают:
- Сложности с обеспечением уверенности в ИТ из-за предпринимательского характера многих бизнес-подразделений.
- Сложные операционные модели ИТ из-за используемых бизнес-моделей на основе Интернет-услуг.
- Географически рассредоточенные предприятия, состоящие из разных культур и языков.
- Децентрализованная/федеративная и в значительной степени автономная модель управления бизнесом, используемая в группе.
- Внедрение разумных уровней управления ИТ с учетом высокотехнологичных и, иногда, часто меняющихся ИТ-специалистов.
- ИТ-отделы балансируют стремление предприятия к инновационным возможностям и гибкости бизнеса с необходимостью управлять рисками и иметь адекватный контроль.
- Установка уровней риска и толерантности к нему для каждого бизнес-подразделения.
- Растущая необходимость сосредоточить внимание на соблюдении нормативных и договорных требований (индустрия платежных карт [PCI]).
- Регулярные аудиторские заключения о низком уровне контролей ИТ и отчетах о проблемах, связанных с качеством ИТ-услуг.
- Успешное и своевременное предоставление новых и инновационных услуг на высококонкурентном рынке.
Анализ недостатков и цели
В настоящее время в корпорации не существует общегруппового подхода или структуры для РиУ КИТ, а также не используются передовые практики и стандарты ИТ. Среди локальных бизнес-подразделений существуют различные уровни принятия передовых практик в отношении РиУ КИТ. В результате, традиционно очень мало внимания уделялось уровню возможностей ИТ-процессов, уровни возможностей которых обычно низкие.
Таким образом, цель программы РиУ КИТ заключается в повышении уровня возможностей и адекватности ИТ-зависимых процессов и средств контроля, соответствующих каждому бизнес-подразделению, с определенным приоритетом.
Результатом должны стать идентификация и формулирование значительных рисков с тем, чтобы руководство могло устранить эти риски и отчитаться об их статусе. По мере увеличения уровня возможностей ИТ-процессов каждого бизнес-подразделения их качество и эффективность также должны пропорционально расти, а профиль бизнес-рисков, связанных с ИТ, для каждого подразделения должен уменьшаться.
В конечном итоге польза ИТ для бизнеса должна возрасти в результате эффективного внедрения системы РиУ КИТ.
Альтернативы
Существуют различные методологии и модели управления конкретными аспектами ИТ. COBIT признан многими как ведущая в мире модель руководства и управления ИТ на предприятии.
COBIT был выбран корпорацией в качестве предпочтительной модели для внедрения системы РиУ КИТ и, следовательно, должен быть принят всеми дочерними компаниями.
COBIT не обязательно внедрять полностью, необходимо реализовать только те области, которые относятся к конкретной компании или бизнес-подразделению, с учетом следующего:
- стадия развития предприятия в жизненном цикле бизнеса;
- бизнес-цели предприятия;
- важность ИТ для бизнеса;
- связанные с ИТ бизнес-риски, с которыми сталкивается организация;
- регуляторные и договорные требования;
- другие соответствующие причины.
Программа внедрения
Программа внедрения системы РиУ КИТ планируется в два отдельных этапа:
Этап 1. Предварительное планирование
Этап 1 - разработка программы. На этом этапе программы предпринимаются следующие шаги:
- Определяется структура основной команды среди заинтересованных сторон и участников проекта.
- Основная команда завершает базовое обучение РиУ КИТ (COBIT).
- С основной командой проводятся мастер-классы для определения подхода к внедрению системы в группе компаний.
- Создается он-лайн сообщество для хранения и обмена знаниями.
- Определяются все заинтересованные стороны и их потребности.
- Уточняются и при необходимости изменяются структуры комитетов, роли и обязанности, правила принятия решений и порядок отчетности.
- В качестве основы для успешной реализации программы разрабатывается её экономическое обоснование (бизнес-кейс).
- Создается план коммуникаций для руководящих принципов, политик и ожидаемых выгод на протяжении всей программы.
- Разрабатываются инструменты оценки и отчетности для использования в течение срока действия программы и после нее.
- Апробирование подхода на одном предприятии с целью упрощения логистики, уточнения подхода и инструментов, а также для понимания и количественной оценки трудностей выполнения программы в более сложных бизнес-условиях.
- Представление окончательного экономического обоснования и подхода, включая план развертывания программы для утверждения исполнительным руководством корпорации.
Этап 2. Реализация программы
Этап 2 включает следующие шаги:
- Определение драйверов улучшения системы РиУ КИТ как с точки зрения группы компаний, так и на уровне бизнес-единиц.
- Определение текущего статуса системы РиУ КИТ.
- Определение желаемого состояния системы РиУ КИТ (как краткосрочное, так и долгосрочное).
- Определение того, что необходимо реализовать на уровне бизнес-подразделений, чтобы достичь локальных целей бизнеса и соответствовать ожиданиям группы.
- Реализация выявленных и согласованных проектов улучшения на уровне локальных бизнес-единиц.
- Осознание и мониторинг преимуществ.
- Поддержание новых способов работы, сохраняя динамику улучшений.
Рамки программы
Программа внедрения системы РиУ КИТ будет охватывать:
- Все предприятия группы в соответствии с приоритетами из-за ограниченных ресурсов программы.
- Способ расстановки приоритетов необходимо согласовать с руководством Корпорации, но это может быть сделано на следующей основе:
- размер инвестиций;
- прибыль/вклад в группу;
- профиль риска с точки зрения группы;
- сочетание этих критериев.
- Список юридических лиц, подлежащих страхованию в текущем финансовом году. Должно быть согласовано с руководством Корпорации.
Подход
Программа внедрения системы РиУ КИТ может достичь своей цели за счет использования управляемых интерактивных семинаров со всеми предприятиями участниками программы.
Процесс начинается с выяснения и приоритизации бизнес-целей у их владельцев, обычно это генеральный и финансовый директора. Такой подход должен гарантировать, что результаты программы будут тесно связаны с ожидаемыми бизнес-результатами и их приоритетами.
После этого, акцент смещается на ИТ, обычно это CIO и/или CTO. На этом уровне рассматриваются дальнейшие детали связанных с ИТ бизнес-рисков и целей.
Затем, приоритизированные бизнес- и ИТ-цели, а также бизнес-риски, связанные с ИТ, вводятся в инструмент (на основе рекомендаций COBIT), который определяет наиболее важные области внимания в рамках ИТ-процессов для дальнейшего рассмотрения бизнес-подразделениями. Таким образом, бизнес-подразделения могут расставить приоритеты в своих усилиях по устранению ИТ-рисков.
Результаты
Как упоминалось ранее, общая цель программы состоит в том, чтобы внедрить передовой опыт РиУ КИТ в деятельность различных подразделений группы. Конкретные результаты будут получены в рамках программы для того, чтобы Корпорация могла оценить достижение намеченных целей. К таким результатам относятся следующие:
- Программа будет способствовать обмену внутренними знаниями через интранет-платформу и использовать существующие отношения с поставщиками в интересах отдельных бизнес-подразделений.
- Подробные отчеты по каждому взаимодействию с бизнес-подразделениями будут созданы на основе инструмента оценки программы и будут включать следующее:
- текущие приоритеты бизнес-целей и соответствующие им приоритеты целей ИТ на основе каскада целей РиУ КИТ;
- связанные с ИТ риски, идентифицированные бизнес-подразделениями, и согласованные приоритетные области внимания на основе процессов и практик, а также других компонентов РиУ КИТ.
- Будут созданы общие отчеты о предполагаемом охвате бизнес-подразделений Корпорации.
- Консолидированная групповая отчетность будет охватывать:
- прогресс бизнес-подразделений, участвующих в согласованных проектах внедрения, на основе мониторинга согласованных показателей эффективности;
- консолидированный обзор ИТ-рисков по подразделениям Корпорации;
- особые требования комитета(ов) по рискам.
- Финансовая отчетность по бюджету программы в сравнении с фактически затраченной суммой.
- Будет создан мониторинг выгод и отчетность по целям и показателям, определенным бизнес-подразделениями.
Риски и факторы успеха
Ниже перечислены возможные риски и факторы успешного начала и продолжения программы. Риски могут быть снижены за счет сосредоточения внимания на обеспечении изменений, а также постоянного мониторинга и устранения проблем с помощью анализа программ и реестра рисков. Возможные типы рисков и факторов успеха:
- Вовлеченность и поддержка программы руководством как на уровне группы, так и на уровне бизнес-подразделений.
- Демонстрация фактического предоставления ценности и выгод для каждого предприятия посредством принятия программы. Бизнес-подразделения должны захотеть принять процесс исходя из ценности, которую он принесет, а не делать это из-за действующей политики.
- Активное участие руководства в реализации программы.
- Определение ключевых заинтересованных сторон в каждом подразделении для участия в программе.
- Понимание бизнеса менеджментом ИТ.
- Успешная интеграция с другими инициативами по управлению или комплаенсу, существующими в группе.
- Соответствующие оргструктуры и комитеты для надзора за программой. Например, ход выполнения программы в целом может стать пунктом повестки дня исполнительного комитета по ИТ. Также необходимо создать эквивалентные оргструктуры на уровне подразделений.
Участники
Следующие стороны были определены в качестве заинтересованных в результатах программы внедрения системы РиУ КИТ:
- Комитет по рискам.
- Управляющий комитет по ИТ.
- Руководство.
- Комплаенс.
- Региональное руководство.
- Исполнительное руководство на локальном уровне (включая управление ИТ).
- Служба внутреннего аудита.
Окончательная структура, содержащая конкретные имена заинтересованных сторон, будет составлена и опубликована после консультаций с руководством группы.
Программе внедрения системы РиУ КИТ необходимо, чтобы идентифицированные заинтересованные стороны предоставили следующие:
- Рекомендации по общему направлению программы. Сюда входят решения по важным вопросам, связанным с корпоративным управлением, которые определены в матрице распределения ответственности в соответствии с руководством РиУ КИТ. Это также включает в себя установление приоритетов, согласование финансирования и утверждение ценностных целей.
- Принятие результатов и мониторинг ожидаемых выгод от программы.
Анализ выгод и затрат
Программа должна определять ожидаемые выгоды для бизнеса и контролировать их создание за счет инвестиций. Руководство подразделений должно мотивировать и поддерживать программу. Надежная система РиУ КИТ должна приводить к выгодам, которые будут устанавливаться в качестве конкретных целей для каждого бизнес-подразделения, а также контролироваться и измеряться в процессе их реализации. Такие преимущества включают:
- Максимальную реализацию бизнес-возможностей с помощью ИТ, при одновременном снижении бизнес-рисков, связанных с ИТ, до приемлемых уровней, обеспечивая ответственную оценку рисков и возможностей во всех бизнес-инициативах.
- Поддержку бизнес-целей за счет оптимальной отдачи от ИТ-инвестиций, обеспечиваемой согласованностью ИТ-инициатив со стратегией бизнеса.
- Соблюдение законодательных, нормативных и договорных требований, а также внутренних политик и процедур.
- Последовательный подход к измерению и мониторингу прогресса, эффективности и результативности.
- Повышение качества предоставления услуг.
- Снижение затрат на ИТ и/или повышение производительности ИТ за счет последовательного выполнения большего объема работы за меньшее время и с меньшими ресурсами.
Затраты этапа 1 будут включать: время, необходимое для управления программой, внешние консультационные услуги и курсы начальной подготовки. Стоимость семинаров для руководителей отдельных бизнес-подразделений и владельцев процессов будет финансироваться на локальном уровне. Конкретные инициативы по улучшению проекта для каждого бизнес-подразделения будут оценены на этапе 2 и будут рассматриваться как в индивидуальном порядке, так и в целом. Это позволит группе максимизировать эффективность и стандартизацию программы.