Перечень услуг ИТ-консалтинга по областям
Внедрение системы внутреннего контроля в ИТ
Цели и задачи
Цель – содействие заказчику во внедрении эффективной системы внутреннего контроля в ИТ.
Задачи работы:
- Выработка рекомендаций по роли, месту в организации и функциям подразделения СВК ИТ.
- Разработка базовых документов, регламентирующих деятельность подразделения СВК ИТ.
- Разработка и документирование типовых процессов работы подразделения СВК ИТ.
- Поддержка процесса внедрения системы внутреннего контроля ИТ в компании.
Предпосылки и условия
Практически доказано, что эффективная Система Внутреннего Контроля в ИТ (СВК ИТ) является единственно надежным инструментом управления ИТ-рисками, которые напрямую влияют на способность ИТ надежно поддержать текущие бизнес-процессы и обеспечивать реализацию стратегических бизнес-целей компании. Именно поэтому наличие надежной СВК ИТ является обязательным требованием для всех современных компаний, и особенно - публичных компаний.
Мощным стимулом к инициации проекта по внедрению СВК является необходимость выполнения компанией регулирующих норм и требований (Complience), например в связи с выходом компании на IPO или в связи поглощением российской компании западной публичной компанией.
Как правило, на момент принятия Руководством решения о внедрении СВК внутри компании нет собственных компетенций в этой области и, одновременно, установлены достаточно жесткие сроки внедрения новых для компании требований. В этих условиях квалифицированная помощь консультантов позволяет избежать многочисленных типичных ошибок, непродуктивных затрат времени и средств и, главное, – в короткие сроки заложить основы СВК ИТ и подготовить собственный персонал заказчика не только к прохождению очередного аудита, но к поддержке и развитию эффективной СВК ИТ собственными силами.
Заказчик
Инициатором таких работ может быть:
- Высшее руководство компании или корпорации,
- ИТ –директор,
- Руководитель службы внутреннего контроля компании,
- Директор по управлению рисками.
Необходимая исходная информация
- Информация, дающая представление об организационной структуре, о зонах ответственности менеджмента и персонала ИТ-департамента (организационная структура, должностные инструкции и т.д.)
- Результаты или замечания ИТ-аудита (если он предварительно проводился).
- Имеющаяся актуальная корпоративная документация в области архитектуры предприятия ( процессы, системы), регламентации деятельности ИТ и СВК.
Содержание работ
Состав и содержание работ во многом зависят от специфики компании и стоящих передней тактических и стратегических задач в области СВК. Наиболее общий перечень работ приведен ниже:
- Анализ корпоративных или внешних регулирующих требований, инициировавших необходимость внедрения СВК ИТ.
- Анализ текущей ситуации с внутренним контролем и управлением рисками в компании.
- Анализ имеющейся документации в области ВК и управления ИТ, архитектуры предприятия ( процессы, приложения, инфраструктура).
- Разработка предварительных предложений по организации подразделения СВК ИТ, его роли и месте в организации, функциям, полномочиям и регулярным процессам.
- Представление заказчику предложений, уточнение и согласование границ проекта.
- Разработка необходимой регламентирующей документации по СВК ИТ, в частности:
- Положение о подразделении
- Организационная структура и обоснование численного состава исходя из специфики организации заказчика
- Типовые должностные инструкции, включая требования к позициям
- Перечень зон ответственности и типовых процессов
- Перечень необходимых базовых документов – политики, процедуры, инструкции, регламентирующие деятельность подразделения СВК ИТ.
- Прочие необходимые документы, потребность в которых будет выявлена в процессе работы
- Разработка общего плана необходимых мероприятий по внедрению СВК ИТ.
- При необходимости, разработка детального плана проекта по созданию подразделения и внедрению СВК ИТ.
Получаемые результаты
По результатам работы заказчик получает:
- Рекомендации по внедрению СВК ИТ в компании
- Базовые документы подразделения СВК ИТ, в соответствии с согласованным с заказчиком перечнем
- План мероприятии по внедрению СВК ИТ
Возможные последующие работы
В процессе работы нового подразделения СВК ИТ, как правило, возникает много вопросов, связанных с выбором и адаптацией методологии, недостатком собственных ресурсов и опыта для масштабных или срочных работ. Следующие консалтинговые услуги могут компании помочь в решении указанных задач:
Регламентация деятельности ИТ
Цели и задачи
Цель – разработка базовых ИТ документов, регламентирующих деятельность ИТ- департамента.
К числу таких документов относятся базовые и частные политики, процедуры, инструкции для пользователей и операторов, а также – необходимые приложения, детализирующие и конкретизирующие применение политик и процедур в конкретном подразделении или для конкретной информационной системы, например.
Задачи работы:
- Выявить наиболее приоритетные области и процессы ИТ, требующие первоочередной регламентации
- Разработать и согласовать с Заказчиком шаблоны типовых документов, соответствующие корпоративному стилю компании
- Разработать и согласовать с владельцами сами документы, передать их владельцам для последующего сопровождения и актуализации.
Предпосылки и условия
Как правило, необходимость регламентации деятельности ИТ вызвана внешними факторами – выполнение требования аудита или подготовка к его проведению. Однако бывают случаи, когда данная работа инициируется самим заказчиком.
Ззаказчик
Инициатором работ может быть:
- ИТ –директор,
- ИТ-менеджмент - руководители ИТ-направлений,
- Руководители или сотрудники СВК ИТ,
- Бизнес-руководители ИТ директора.
Необходимая исходная информация
- Приоритетные направления или процессы ИТ, выделенные заказчиком.
- Результаты или замечания ИТ-аудита, связанные с отсутствием или неадекватность документации.
- Информация, дающая представление об организационной структуре о зонах ответственности менеджмента и персонала ИТ-департамента ( организационная структура, должностные инструкции и т.д.)
- Имеющаяся актуальная корпоративная документация в области ИТ и СВК
- Стили корпоративных документов, если есть
Содержание работ
- Выявление и согласование с заказчиком приоритетных ИТ-процессов/направлений для документирования.
- Выявление владельцев процессов и владельцев документации.
- Формирование совместно с представителем заказчика и владельцами процессов списка экспертов и носителей информации, совместно с которыми будет проводиться наполнение документов содержанием.
- Разработка предварительного перечня документов по каждому из процессов или направлений и согласование его с заказчиком.
- Разработка и согласование с заказчиком шаблонов типов документов, в соответствии с принятым в компании корпоративным стилем
- При необходимости, разработка планов-проспектов отдельных документов и согласование с заказчиком.
- Проведение интервью с носителями информации и одновременное интерактивное наполнение документов.
- Финальное редактирование и согласование документов с заказчиком.
- Передача документов владельцам.
- Разработка и согласование с заказчиком предложений по организации процесса хранения и поддержания в актуальном состоянии документации ИТ.
Получаемые результаты
По результатам работы заказчик получает:
- Список владельцев процессов и документов, ответственных за поддержание их в актуальном состоянии.
- Шаблоны типовых документов, разработанные в соответствии с корпоративным стилем.
- Разработанные регламентирующие документы ИТ.
- Предложения консультантов по организации процесса хранения и поддержания в актуальном состоянии документации ИТ.
Возможные последующие работы
Наличие актуальной ИТ документации является, безусловно, необходимым фактором прохождения ИТ аудита, но не гарантирует наличие реально эффективных процессов управления ИТ и не обеспечивает само по себе надежной ИТ-поддержки бизнеса.
Как правило, в процессе разработки документации всплывают многие вопросы и проблемы, требующие решения. На это направлены другие консалтинговые услуги нашей компании, связанные или логично продолжающие работы по разработке документации, например:
- Постановка и внедрение системы внутреннего контроля в ИТ.
- Совершенствования процессов управления ИТ в соответствии с лучшими мировыми практиками ( CobiT, ITIL).
- Разработка процедур обеспечения непрерывности ИТ-сервисов и восстановления после аварии в части ИТ.
Внедрение процесса стратегического планирования в ИТ
Цели и задачи
Цель – внедрение регулярного процесса стратегического планирования в ИТ, увязанного с процессом бизнес-планирования организации.
Задачи работы:
- Выявить и документировать источники и категории входной для процесса стратегического планирования в ИТ, применительно к реалиям и особенностям организации.
- Разработать регулярный процесс стратегического планирования, корректировки ИТ-стратегии и тактических планов ИТ в привязке к процессу бизнес-планирования организации, включая необходимые изменения в оргструктуре ИТ.
- Обучить персонал Заказчика поддержке регулярного процесса.
Предпосылки и условия
Как известно, в современном мире только изменения постоянны, поэтому наличие в организации единожды документированной ИТ-стратегии еще не является гарантией постоянной направленности деятельности ИТ на реализации бизнес-стратегии организации.
В идеале, ИТ-служба обязана отслеживать все внутренние и внешние изменения, флуктуации бизнес-стратегии, требований бизнеса к ИТ или бизнес-ожиданий и вносить соответствующие корректировки в ИТ-стратегию и тактические ИТ-планы.
Единственно возможным эффективным инструментом для реализации этого требования является регулярный процесс стратегического планирования в ИТ, увязанный с общекорпоративным процессом бизнес-планирования.
Необходимыми условиями для внедрения такого эффективного процесса являются:
- Осознание Руководством организации важности ИТ для поддержания надежности текущей работы и перспективного развития организации;
- Вовлечение руководства ИТ и ИТ-менеджмента в процесс бизнес-планирования организации;
- Наличие эффективных рабочих коммуникаций между бизнесом и ИТ для своевременного информирования ИТ о возможных изменениях в бизнес-стратегии или о новых бизнес-требованиях к ИТ.
Заказчик
- CIO/ИТ-директор;
- Бизнес-руководство компании,
в лице Первого лица или его первого зама, отвечающего за Руководство ИТ.
Необходимая исходная информация
- Бизнес-стратегия компании или документы ее заменяющие;
- Организационная структура компании и ИТ;
- Описание процесса стратегического бизнес-планирование в организации или в его отсутствии – получение информации от экспертов в этой предметной области;
- ИТ-стратегия и тактические планы ИТ ( план ИТ-проектов);
- Базовые регламентирующие документы организации, имеющие отношение к организации и руководства ИТ, правилам и порядку обоснования инвестиций в ИТ;
- Регламентирующие документы ИТ(политики, процедуры), имеющие отношение к планированию, обоснованию ИТ-инвестиций, управления ИТ-проектами;
- Документация, дающая представление об архитектуре предприятия и ИТ (процессы, приложения, инфраструктура)
- Корпоративный стиль документации
Содержание работ
- Анализ наличия и текущего состояния процесса стратегического планирования в ИТ и его взаимосвязь с процессами бизнес-планирования в организации.
- Анализ существующего распределения ответственности в данной области и нормативных документов.
- Выявление собственника и участников процесса, в том числе со стороны бизнеса.
- Подготовка и проведение инициирующего митинга с участниками процесса.
- Формирование перечня необходимой регламентирующей документации по процессу (политика, процедуры)
- Разработка совместно с собственником всех необходимых регламентирующих документов.
- Согласование документации со всеми и участниками процесса.
- Подготовка проектов распорядительных документов по внедрению нового процесса.
Подготовка ИТ-департамента к прохождению ИТ-аудита
Цели и задачи
Цель данной услуги – в кратчайшие сроки подготовить персонал и документацию ИТ-департамента для прохождения ИТ-аудита.
Задачами работы является выявить наиболее «горящие», приоритетные области, отмеченные в замечаниях аудита, и в кратчайшие сроки подготовить персонал и минимально необходимую документацию для успешного прохождения повторного аудита.
Предпосылки и условия
Как правило, данную услугу заказывают компании, которые в результате покупки, слияния или поглощения стали частью западной или российской публичной компании, в результате чего появилась необходимость безусловного выполнения определенных требований. Наиболее типичным примером является покупка российской компании международной компанией, котирующейся на американской фондовой бирже, и как следствие – необходимость в кратчайшие сроки обеспечить соответствие нового актива требованиям закона SOx.
По результатам первичного корпоративного аудита, как правило, выявляется нарушения и замечания, которые необходимо устранить в сжатые сроки. Эта задача, обычно, является весьма нетривиальной для типичной российской компании, поскольку требует определенного набора специфических знаний и навыков как в области совершенствования и регламентации ИТ процессов, так и в области методологии и практики проведения ИТ аудита.
Заказчик
Заказчиком этой услуги являются должностные лица лично и персонально ответственные за устранение замечаний аудита. Это может быть как сам ИТ-директор или его прямые подчиненные по отдельным направлениям управления ИТ, так и бизнес-руководитель, отвечающий за контроль работы ИТ или организацию работы внутреннего контроля в компании.
Необходимая исходная информация
- Результаты первичного аудита, выявленные нарушения и замечания
- Информация, дающая представление об организационной структуре о зонах ответственности менеджмента и персонала ИТ-департамента ( организационная структура, должностные инструкции и т.д.)
- Имеющаяся актуальная документация компании и корпорации в области ИТ и СВК
Содержание работ
- Анализ исходной информации, выявление приоритетных ИТ-процессов для устранения замечаний.
- Выявление и закрепление собственников процессов и контролей.
- Подготовка и проведение мероприятий по обучению собственников процессов и контролей новым требованиям, их роли и зон ответственности в СВК ИТ
- Разработка и утверждение с Заказчиком перечня необходимых документов для устранения замечаний первичного аудита
- Разработка шаблонов ИТ документации
- Контроль наполнения документации собственниками процессов и контролей, редактирование документов.
- Подготовка и проведение обучающего семинара для собственников процессов и контролей по навыкам поведения при прохождении ИТ аудита.
Получаемые результаты
- Распределение зон ответственности за процессы, контроли, документацию СВК среди персонала ИТ-департамента
- Предложения по уточнению должностных инструкций в части ответственности персонала за эффективность СВК ИТ
- Шаблоны типовых документов СВК ИТ
- Набор актуальной документации по приоритетным ИТ-процессам, наполненный собственниками процессов и контролей
- Обученный и подготовленный к аудиту ИТ-персонал ( собственники процессов и контролей)
Возможные последующие работы
Экстренная подготовка к прохождению аудита, безусловно, является мощным толчком для наведения порядка в ИТ, однако не может гарантировать успешное прохождение последующих аудитов и обеспечить минимизацию ИТ-рисков для бизнеса в целом.
Достижение этой цели обеспечивается внедрением регулярных эффективных процессов управления ИТ, построения эффективной СВК ИТ и внедрения принципов IT Governance в целом, на что направлены следующие услуги нашей компании:
Содействие в разработке ИТ-стратегии
Цели и задачи
Цель – получение эффективной и актуальной ИТ-стратегии, направленной на достижение стратегических целей и решение стоящих задач компании.
Задачи данной работы
- помочь ИТ-директору и ИТ-менеджменту грамотно и быстро сформировать ясный и понятный для бизнеса документ - «ИТ-стратегия», соответствующий стратегии бизнеса и направленный на ее реализацию;
- подготовить ИТ-директора к защите ИТ-стратегии перед собственниками, акционерами и руководителями бизнеса;
- заложить основы регулярного процесса стратегического планирования в ИТ.
Подходы и условия
Правильная ИТ-стратегия является проекцией Бизнес-стратегии на «ИТ-направление».
ИТ-стратегия отвечает на основной вопрос – «Как ИТ, со своей стороны, собирается реализовывать бизнес-стратегию компании и что для этого нужно?».
Таким образом, говорить об эффективной ИТ-стратегии можно только при наличии в компании бизнес-стратегии, в каком-либо виде.
В противном случае ИТ-стратегия превращается либо в мертвый, не имеющий отношения к жизни и к бизнесу документ, либо в «меморандум выживания» ИТ-директора в условиях неясности бизнес-приоритетов и перспектив.
Основная задача ИТ-директора/CIO в любой компании - формирование ИТ-стратегии и обоснование ее перед собственниками и руководителями бизнеса.
Как показывают многочисленные примеры, попытки разработки ИТ-стратегии «под ключ» руками и мозгами исключительно внешних консультантов приводят в конце длительного и недешевого процесса к получению объемного, но, увы, заведомо мертвого и бесполезного документа.
Мы рассматриваем решение этой задачи в русле миссии Стратегического ИТ-консалтинга: «Помочь ИТ-директору в решении сложных и неотложных задач, на которые у него в данный момент нет собственных компетенций и ресурсов».
В этой связи, мы видим свою роль в том, чтобы:
- провести ИТ-директора по кратчайшему пути разработки эффективной ИТ-стратегии,
- помочь избежать типичных ошибок и ловушек на этом пути,
- максимально вовлечь ИТ-менеджмент в этот процесс и передать ему необходимые знания и навыки,
- подготовить основы для внедрения регулярного процесса стратегического управления в ИТ.
Заказчик
- ИТ-директор/CIO
Необходимая исходная информация
- Бизнес-стратегия компании или документы ее заменяющие;
- Организационная структура компании и ИТ;
- Результаты последних ИТ- аудитов процессов управления ИТ и ИТ-архитектуры, если они проводились;
- Базовые регламентирующие документы компании, имеющие отношение к организации и руководству ИТ;
- Регламентирующие документы ИТ (политики, процедуры);
- Документация, дающая представление об архитектуре предприятия и ИТ (процессы, приложения, инфраструктура)
Содержание работ
- Формирование команды со стороны заказчика – ИТ-менеджмент, эксперты в предметных областях и т.д.
- Подготовка и проведение инициирующего митинга с участниками совместной команды.
- Анализ документированной бизнес-стратегии, или в ее отсутствии - сбор и документирование бизнес-приоритетов и требований к ИТ.
- Анализ текущего состояния ИТ архитектуры, процессов управления ИТ, набора компетенций…), и его соответствия стратегическим целям компании.
- Выработка и документирование альтернатив по целевому состоянию ИТ архитектуры и процессов, базовый сравнительный анализ альтернатив.
- Обоснование выбранной альтернативы перехода к целевому состоянию ИТ.
- Наполнение документа «ИТ-стратегия» совместной командой.
- Подготовка презентации для защиты ИТ-стратегии перед Руководством бизнеса.
- Внесение уточнений по результатам защиты ИТ-стратегии
- Подготовка и проведение заключительного митинга совместной команды по результатам работы.
Получаемые результаты
- Актуальная ИТ-стратегия, согласованная с бизнесом;
- ИТ-менеджмент, обученный процессу разработки и актуализации ИТ-стратегии;
- Основы регулярного процесса стратегического управления в ИТ.