Сергей Авдошин - Информатизация бизнеса. Управление рисками

Разные типы ИТ-проектов имеют разную степень подверженности изменениям. Так, например, проект разработки и внедрения программных продуктов «с нуля» имеет наибольшую подверженность изменениям и, в свою очередь, несет изменения в самой компании. Это и организационные изменения, необходимые для эффективного использования новой технологии, и изменения в бизнес-процессах и существующих технологиях работы. Наиболее низкий уровень изменений характерен для проектов установки и модернизации оборудования. При этом стоит отметить, что даже при осуществлении самых простых проектов в области ИТ организация часто бывает не готова к подобным изменениям, что вызывает противодействие сотрудников, незаинтересованность в использовании нового оборудования, технологий.

Говоря об управлении изменениями ИТ-проекта, прежде всего нужно обратить внимание на своевременную идентификацию и формализацию изменений в процессах и организационной структуре компании при внедрении ИТ. Формализация включает описание изменения, установление причины, анализ последствий от внедряемого изменения, план мероприятий по управлению изменениями. Для контроля изменений рекомендуется:

• создавать и поддерживать базу данных конфигураций основных компонентов ИТ-системы;

• писать запросы на изменения и заводить их в документе учета/автоматизированной системе на любые изменения;

• декомпозировать большие изменения до уровня «влияние на 1 компонент» или «выполняется одним человеком». Это позволит достаточно просто связывать задания на разработку с запросами на изменения;

• ввести сквозную классификацию изменений (например, «критическая ошибка», «ошибка», «усовершенствование», «новая возможность», «другое») и единое место хранения и учета;

• помимо менеджера ИТ-проекта и представителей заказчика, привлечь таких членов команды, как менеджер по качеству (Quality Assurance), главный аналитик (архитектор) проекта, ответственный за интеграцию.

Информирование всех заинтересованных сторон является неотъемлемой частью управления изменениями, так как позволяет в дальнейшем избежать множества рисков, связанных со взаимодействием команды проекта. Необходимо информировать руководителей и специалистов предприятий о целях и задачах проекта, о планируемых изменениях в функциональных обязанностях специалистов, в инструментах управления, в организационной структуре.

При внедрении новых информационных технологий следует обеспечить необходимый уровень знаний, навыков и компетенций персонала. Грамотная организация тренингов может повысить заинтересованность участников проекта, обеспечить их активное участие в переходе компании к новым ИТ и стандартам ведения бизнеса.

Аудит ИТ – это независимая аудиторская проверка функционирования ИТ с целью получения достоверных данных. Аудит ИТ представляет собой получение систематизированных и достоверных данных о текущем состоянии ИТ и оценку степени их соответствия «лучшим практикам». Задача аудита ИТ состоит в том, чтобы обнаружить риски и удостовериться в том, что риски, оставшиеся после применения соответствующих процедур контроля, приемлемы для руководства.

Можно выделить различные виды ИТ-аудита, которые отличаются по своим задачам и конечным результатам:

1) регулярный независимый внешний ИТ-аудит: необходим по требованию законодательства (ЦБ РФ, Гостехкомиссия РФ, закон Сарбсинса-Оксли);

2) регулярный внутренний ИТ-аудит : инициируется высшим руководством для повышения эффективности работы компании и оценки затрат на ИТ;

3) специальный ИТ-аудит : инициируется руководством и проводится перед важными организационными изменениями (IPO, слиянием и прочим).

Любой вид ИТ-аудита предполагает оперативное получение систематизированной и достоверной информации для оценки ИТ, потенциальных проблем и рисков, принятия решений по управлению ИТ.

Чаще всего необходимость проведения ИТ-аудита возникает, когда специалисты собственных ИТ-служб предприятия не способны достоверно оценить уровень ИТ-сервисов и безопасности либо существует вероятность, что информационные технологии компании не соответствуют целям и задачам бизнеса, создают препятствия его развитию.

Также целесообразно проводить аудиторскую проверку, когда компания участвует в крупном проекте внедрения ERP, CRM и нуждается в независимой оценке результатов и хода работы для оценки ее эффективности и соответствия требованиям.