Управление ИТ: нужен ли новый шаг?Как и менеджмент вообще, ИТ-управление подразумевает убежденность руководства и сотрудников в правильности и эффективности своих действий – трудно переоценить важность лидерства, но лидерство также заключается и в постоянном движении, в использовании современных методов действий, в поиске новых подходов, в оригинальных и эффективных способах их реализации. Именно так десять лет назад ITSM пришел на российский рынок – как цельный и в меру структурированный новаторский подход к организации ИТ-департаментов. И хотя о цельности ITSM того периода найдутся желающие поспорить, он, несомненно, был шагом вперед и, дав основу организации деятельности и управления ИТ-департаментами, стал использоваться многими российскими компаниями.

В то же время способов реализаций ИТ-менеджмента стало так много, что общими между ними остались только сам термин ITSM и несколько фундаментальных понятий, таких как Service Desk, управление инцидентами и т.п., которые уже известны даже не знакомым с темой людям. К сожалению, часто получается так, что только с этими понятиями ITSM и ассоциируется, а одна из важнейших основ самого подхода – структурированное управление ИТ – так и осталась неосязаемой во многих организациях. И как результат многие ИТ-руководители не могут дать ответа на вопросы: внедрен ли у нас ITSM? Что он дал компании в целом? Не «исчез» ли он в нашей компании в нынешние неспокойные времена? А если исчез, зачем он тогда был нужен, а может, его и не было? А в чем вообще заключается структурированное управление ИТ?

Уже многие годы в России все признают, что «ITSM – это хорошо», но при этом разговор на уровне высшего ИТ-руководства часто на этом и заканчивается. Да и что можно говорить, если беседа оказывается «направленной внутрь ИТ», трансформируясь в дискуссию о подходах к управлению качеством, больше напоминающую философские диспуты, которые не принято выносить вовне. В этой связи сразу вспоминается, что в истории наиболее важные рывки вперед происходили не столько путем эволюций, а и путем революционных изменений, иначе эволюционные фазы затянулись бы надолго. Долгие годы создание, например, первых книг оставалось уделом монахов, которые, располагая временем, создавали рукописные творения, что в то время было революционным шагом вперед по сравнению с устным творчеством. Однако в какой-то момент рукописные книги стали тормозом прогресса – возможности по их созданию были ограничены, а у монахов отсутствовал стимул изобретать что-то новое. Никакого массового распространения информации без книгопечатания быть не могло – только таким образом мир получил знания, доступные многим.

Так же, как в свое время книгопечатание, сегодня на наших глазах приходит в мир электронное распространение информации, которое для коммерческого использования уже заменило печатные технологии – прогресс и конкурентоспособность в современном мире могут быть достигнуты лишь путем постоянного поиска и апробации того, чего еще не существует, но в чем уже есть насущная потребность. Все это сейчас можно сказать и про практику ИТ-менеджмента в России. Сегодня нужен новый шаг. В противоположность нашему общественно-политическому историческому опыту, этот шаг не отрицает всего сделанного в области ITSM и не требует сметать все существующее «до основания». Но он должен быть революционным, так как обязан вызвать перемены в подходах к управлению и осознании новых реалий в этой области – согласно Альберту Эйнштейну, «нельзя решить проблему, используя тот же способ мышления, который привел нас к ней». И хотя текущую ситуацию в российской практике управления ИТ многие руководители проблемой не назовут – необходимость ITSM трудно оспорить, и нет критериев сравнения для вынесения оценки проблемности ситуации, – тем не менее мировоззренческий тупик управленцев-практиков на пути вперед, на мой взгляд, очевиден. Проблема особенно ярко проявляется в том, что само понятие «структурированного» управления не структурировано, а нынешние способы создания эффективного ИТ-менеджмента, по признанию многих руководителей, оказываются не столь эффективны, как того хотелось.

Как продвинуться на шаг вперед?

Можно выделить следующие основные условия, необходимые для того, чтобы сделать очередной шаг вперед.

Во-первых, оценка ИТ-управления и контроль соответствия нормам и требованиям, как внутренним, так со временем, возможно, и внешним. Этот вопрос является важным дополнением к подходам ITSM, позволяющим сделать развитие управляемым.

Во-вторых, появление настроенных инструментариев автоматизации процессов ИТ-управления, позволяющих сделать быстрым и эффективным вход в проект путем организации базовых процессов эксплуатации и поддержки, развивающих систему управления ИТ в дальнейшем. Появление таких инструментов, а также наличие механизмов, позволяющих заказчику руководить ходом реализации своего проекта на основе контроля его соответствия определенному целевому значению, позволят сделать проект более гибким и привлечь к нему внутренние экспертные ресурсы.

В-третьих, развитие ИТ-управления за рамки ITSM. Подход ITSM – важный фундамент ИТ-управления, но он не исчерпывает всю проблематику ИТ-управления. Многие заказчики считают целесообразным использовать дополнительные методики, такие как подходы по сопровождению, модификации и тестированию программного обеспечения, стандартов жизненного цикла ИТ-систем, которые позволяют сделать более эффективной эксплуатацию в такой важной ее части, как сопровождение ПО. Другие идут дальше и задумываются о более комплексных подходах, таких как Lean IT Management (en.wikipedia.org/wiki/Lean_IT, Lean IT – подход к созданию ИТ-инфраструктуры, предполагающий сокращение расходов на поддержку текущей работы ИТ и освобождение ИТ-специалистов от рутины), позволяющих с помощью ИТ сделать свою компанию бережливой, гибкой и нацеленной на потребность заказчиков.

Оценка и контроль соответствия

«Нельзя управлять неизмеримым» – говорится во всех книгах-введениях в ITSM, однако на протяжении долгого времени практика по оценке реализации структурированного ИТ-менеджмента в целом не имела значимых для руководства критериев измеримости успехов в реализации проекта и бизнес-отдачи от него. Конечно, определенные критерии существуют, и они признаны сообществом профессионалов в области ИТ – это модель зрелости процессов управления1. Однако, несмотря на ее распространенность, нельзя сказать, что она эффективно работает в российской практике. Как следствие, в общении с высшим руководством компании, выделяющим средства на ИТ и желающим контролировать их расходование, в особенности на такие неочевидные, с его точки зрения, проекты, как организация ИТ-деятельности, аргумент в пользу повышения «зрелости процессов» звучит неубедительно.

Модель зрелости не дает руководству компаний ответа на вопрос: что зрелость ИТ-департаментов приносит организации? Здесь можно усмотреть много общего с другими моделями управления качеством – правильными и необходимыми, но испытывающими недостаток действенных практических инструментов реализации и контроля. В результате реакция руководства достаточно очевидна – на словах признание необходимости движения в этом направлении, но на деле весьма сдержанная поддержка проектов, особенно когда вопрос касается бюджетов. Чем менее измеримы результаты проекта, тем сложнее руководству определить, в каком объеме такой проект должен быть финансирован и зачем.

Модели зрелости процессов и организаций во многом направлены внутрь себя и компании в целом. Например, в диалогах ИТ-менеджеров и консультантов при обсуждении хода проекта или степени структурированности управления ИТ можно услышать высказывания, что «компания находится на недостаточном уровне зрелости» или, наоборот, «на соответствующем» уровне зрелости, при этом подразумевается соответствие какой-то конкретной ситуации, а не обоснованно необходимому состоянию зрелости процессов управления. Таким образом, термин «зрелость процессов» или «зрелость организации» употребляется эмпирически и не несет сколь-нибудь значимого неэмоционального смысла для высшего руководства компании, пытающегося объективно оценить затраты на проект по улучшению управления или ресурсы на поддержание текущего уровня управления. Согласитесь, что в данном высказывании заключено обоснование текущего положения дел и не содержится посыла к тому, что надо сделать в области ИТ-управления именно сейчас и что это даст. Складывается впечатление, что это классическая внутренняя перспектива компании, которая важна для внутренней оценки ситуации, но не может быть эффективно использована в качестве внешнего языка общения с руководством компании. Вопрос оценки ситуации является сложным, но вопрос контроля соответствия становится еще более загадочным в связи с отсутствием обоснованного эталона соответствия, актуальность которого была бы принята всем руководством компании.

Чем сложнее положение дел, тем проще бывает выход. В финансовом секторе уже долгое время используется понятие управления рисками, причем во многих организациях в первую очередь внимание уделяется операционным рискам, а затем расширяется до тактических и стратегических. При этом не только оцениваются возможные потери, но и рассматриваются риски неполучения возможной прибыли и недостижения бизнес-целей компании.

Как и любые другие технологии, ИТ не только несут ценности и новые возможности, но и являются потенциальным источником рисков. Причем, чем полезнее технологии и чем более широко они используются с точки зрения бизнес-процессов своей компании, тем больший потенциальный риск они несут, если управление ИТ не организовано должным образом. В связи с динамичностью ИТ-мира нельзя считать достаточной единожды организованную деятельность ИТ-департамента. Если отсутствуют качественные внутренние процессы управления ИТ, то после перемен, которые неизбежно возникнут, не будет сколько-нибудь обоснованной уверенности, что эта деятельность и, следовательно, надежность и качество работы ИТ снова находятся на должном уровне и соответствующие операционные риски уверенно контролируются.

Управление рисками, связанными с ИТ, и в первую очередь операционными рисками, является важной частью диалога между высшим менеджментом и ИТ-руководителями, в особенности по вопросам организации операционной деятельности ИТ-департамента. Помимо этого, управление ИТ-рисками может быть тем видимым результатом, который воспринимается руководством компаний как минимум при обсуждении финансирования проектов по организации ИТ-деятельности.

Во многих компаниях, в первую очередь в финансовом секторе, управление операционными рисками является общепринятым внутренним процессом, выполнения которого требуют многочисленные аудиторские стандарты. В этой связи идея управления ИТ-рисками может быть хорошо воспринята высшим руководством и акционерами, особенно если в данный контур управления вовлечен внутренний корпоративный аудит.

Хорошо, если общение ИТ- и бизнес-руководства не ограничивается управлением операционными ИТ-рисками, а в их диалоге речь еще ведется об ИТ-услугах, их ценности для компании и уровне их предоставления. Однако уже само по себе управление операционными рисками, связанными с ИТ, является одним из необходимых инструментов оценки информационных технологий и организации управления ими. Его использование было бы полезно многим компаниям и могло бы внести конкретику в диалог ИТ-директоров с высшим руководством компаний. При этом оценка может не ограничиваться классическими ITSM-процессами, а должна включать как минимум процессы управления сопровождением и модификацией ПО и процессы управления ИТ-проектами. Помимо вопросов определения целевого бюджета на структуризацию ИТ, концепция управления операционными ИТ-рисками может быть успешно использована и при решении задачи ограничения финансирования, что сегодня не редкость. При этом становится возможным контролировать уровень рисков, который компания несет при сокращении ИТ-бюджета.

После проведения оценки рисков, связанных с ИТ, возникает возможность для контроля соответствия существующего состояния процессов управления ИТ-деятельностью определенному целевому значению. При этом целевое состояние, на соответствие которому производится контроль процессов в ИТ-департаменте, определяет базовые или остаточные риски, которые организация готова принять на себя в связи с тем, что их уровень приемлем и их минимизация не является экономически эффективной.

Идея оценки операционных рисков, связанных с ИТ, является логической «надстройкой» над CobiT, позволяющей интерпретировать язык зрелости процессов для бизнес-руководства компаний, не отрицая его. В свою очередь, CobiT является средой для контроля операционной деятельности ИТ, включая эксплуатацию, сопровождение и модификацию ИТ-конфигураций, для структуризации которых активно используется ITIL. Таким образом, создается логически интегрированная среда, показывающая взаимосвязь этих широко используемых подходов и интерпретирующая результат на языке, доступном высшему руководству компании.

Важно отметить, что наиболее эффективен этот подход тогда, когда он используется не только для целей внутреннего или внешнего ИТ-аудита, а применяется ИТ-руководством для управления и контроля собственного департамента. В этом случае подход в полной мере служит целям улучшения ИТ-деятельности и создания логически взаимосвязанной среды ИТ-управления, внутреннего контроля и внешнего аудита, облегчая работу и делая ее предметной для всех участников.

Кроме этого, подходы к оценке и контролю соответствия могут быть использованы для «нетрадиционного внедрения» ITSM. Сформировавшийся на рынке «классический» подход, практикуемый при выполнении проекта внешними консультантами, предполагает проведение работы «снизу вверх»: проектирование процессов, их автоматизация, создание метрик и параметров контроля для менеджеров процессов и ИТ-руководителей. Преимущество такого подхода очевидно, и это единственно верное решение, если проект выполняется под руководством внешних консультантов, так как по ходу проекта во время обучения и обсуждения будущих процессов его участники начинают лучше разбираться во всех деталях и тонкостях. Но возможно и другое решение.

Альтернативный подход к проекту строится по принципу «сверху вниз» и заключается в определении руководством контрольных результатов проекта в целом и его отдельных частей с последующей оценкой хода проекта. Он возможен, в частности, когда ИТ-руководителю необходимо взять под контроль новые организационные образования, например ИТ-отделы вновь образованных дочерних обществ или компаний, приобретенных основным бизнесом. Кроме того, подход «сверху вниз» может быть использован, если руководитель хочет в полной мере задействовать интеллектуальный потенциал профессионалов своей организации, прошедших обучение в области ITSM, но ему необходим контроль результатов и общего состояния проекта. В этом случае подход позволяет сформировать целевые показатели, к которым хочет прийти ИТ, и создать контрольную среду для управления ходом выполнения проекта, оставив реализацию внутренним ресурсам компании.

Для того чтобы подход по оценке и контролю соответствия был не только предметным, но и технологически современным, целесообразно применение специализированного ПО, которое совсем необязательно будет сложным, а может базироваться на типовых средствах, таких как Microsoft Access. Оно позволит реализовать все процедуры, рекомендуемые международными и российскими стандартами в области аудита и контроля соответствия (определение границ оценки на основе ранжированного перечня ИТ-рисков, определение критериев и методов оценки, самооценка, верификация результатов и обобщение результатов оценки).

Используя подход «сверху вниз», можно одновременно решить две смежные задачи: провести рискориентированную оценку ИТ-деятельности и сформировать контрольную среду для последующего управления и контроля соответствия.

***

Речь шла пока лишь об одном условии, позволяющем сделать очередной шаг вперед, – об оценке и контроле соответствия процессов управления ИТ-деятельностью, но помимо этого назрел прорыв в инструментальных средствах, дающих возможность более эффективно организовать работу ИТ-отделов, а также в использовании других подходов к управлению ИТ, дополняющих ITSM и позволяющих решать текущие практические задачи. Тем не менее именно подходы по оценке и контролю соответствия станут актуальными в ближайшее время. Они позволят создать новые механизмы управления проектами по структуризации ИТ-менеджмента внутри организаций и новые способы оценки качества и надежности внешних поставщиков ИТ-услуг – аутсорсинговых компаний, чьи комплексные услуги уже давно ожидаемы на рынке.

Федор Байновский (f.baynovskiy@itexpert.ru) – руководитель направления ИТ-аудита; Максим Григорьев (m.grigoriev@itexpert.ru) – директор департамента ИТ-услуг; Михаил Потоцкий (m.pototskiy@itexpert.ru) – генеральный директор, компания IT Expert (Москва).


1 Данная модель изложена в книгах ITIL, начиная со второй версии. Она использует широко известную модель зрелости процессов Capability Maturity Model (CMM), предложенную в 1987 году и неоднократно обновляемую позднее Институтом программной инженерии (Software Engineering Institute), являющегося частью Университета Карнеги-Меллона. – Прим. автора.