Ar įmonėms reikia naudoti IT valdymo metodologiją ir kodėl?

Ar jūsų įmonėje reikia naudoti IT valdymo metodologiją ar ne? Tai turbūt klausimas į kurį brandžios organizacijos jau seniai atsakė. Tokios organizacijos dažniau užduodą klausimą, o gi kuri IT valdymo metodologija yra tinkamesnė jiems. Tuo tarpu mažosios organizacijos, pavyzdžiui smulkusis verslas, iki šio klausimo turi užaugti, subręsti.

Mano atsakymas yra TAIP – IT valdymo metodikas reikia naudoti. Ir pabandykime panagrinėti sekantį klausimą, nuo kada reikia pradėti naudoti atitinkamas metodologijas? Ką reikia su  jomis daryti ir ką jos duoda.

Todėl, noriu pasidalinti savo patirtimi ir naudingais patarimais, su augančiomis įmonėmis, apie IT metodologijų naudą. Mūsų laimei (o gal ir nelaimei) IT metodologija yra ne viena. Kiekviena turi savo ypatybių ir sprendžia įvairias verslo problemas, iššūkius ir kartais užgaidas. Kaip pavyzdį, pailiustruoti pasirinkau COBIT metodologiją. Nesakau, kad kitos metodologijos, pvz. ITIL yra blogesnės ar kažkokios kitokios, tiesiog manau jog ši metodologija yra pakankamai aiški ir priimtina šiuolaikiniam IT valdymui įvairiausiose organizacijose, tiek versle, tiek biudžetinėse įstaigose.

Kas yra COBIT?

Tai gi, pradėkime nuo pradžios. COBIT (angl. Control Objectives for Information and related Technology) – tai metodologija, taisyklių ir rekomendacijų, kurios remiasi gerosiomis praktikomis, rinkinys, pagrįsta procesų modelių ir orientuota į struktūrinį požiūrį valdant ir kontroliuojant IT procesus. Šiuo metu COBIT 5 yra paskutinė metodologijos versija. Ji suteikia išsamią su IT susijusių rizikų valdymo, atitikties valdymo sistemą, apima procesų rinkinį, kontrolės tikslus, valdymo gaires, brandos modelius ir kitą, padedančius įgyvendinti IT valdymą organizacijoje. COBIT 5 yra plačiai naudojama organizacijose visame pasaulyje ir gali būti naudojama įvairioms IT valdymo, IT auditavimo ir kitoms organizacijų valdymo veikloms palaikyti, įskaitant IT rizikos valdymą ir IT atitiktį.

Dažnai galima sutikti organizacijose reikalavimą IT vadovams turėti COBIT sertifikatą. Tai yra tam tikras garantas ar bent užuomina, kad IT vadovas supranta apie IT problematiką, tam tikrų rizikų ir kitų IT procesų valdymą ir kontroliavimą.

Daugiau apie pačią metodologiją ir sertifikavimą galite sužinoti oficialiame ISACA puslapyje čia.

10 patarimų – ką COBIT metodologija rekomenduoja?

1. Sukurkite aiškią IT valdymo struktūrą ir vaidmenis su aiškiomis atsakomybėmis: COBIT 5 metodologija rekomenduoja organizacijoms sukurti aiškią IT valdymo struktūrą, kuri apibrėžia skirtingų IT valdymo funkcijų, tokių kaip IT strategija, IT operacijos ir IT atitiktys vaidmenis ir atsakomybes. Ši struktūra turėtų būti suderinta su bendra organizacijos valdymo struktūra, susieta su tipiniais organizacijos tikslais ir turėtų būti aiškiai perduota visoms suinteresuotoms šalims. Tokiu atveju, organizacijos tampa daug efektyvesnės priimant sprendimus ir vykdant kasdienes funkcijas.
2. Sukurti ir įgyvendinti IT valdymo politikas ir procedūras: COBIT 5 rekomenduoja organizacijoms kurti ir įgyvendinti IT valdymo politikas ir procedūras, apimančias visus IT procesus ir veiklas. Šios politikos ir procedūros turėtų būti suderintos su bendrais organizacijos valdymo tikslais ir turėtų būti aiškiai perduotos visoms suinteresuotoms šalims. IT politikas galima pavadinti „vidinėmis instrukcijomis“, kas organizacijoje privalo daryti, kaip daryti ir kas atsakingas. Viena iš svarbiausių politikų yra Informacijos saugumo politika (angl. ISP – Information Security Policy). Tai politika, nuo kurios laikymosi tiesiogiai priklauso organizacijos ir kiekvieno darbuotojo kibernetinis saugumas, kas visais laikais buvo ir yra aktualu.
3. Nustatykite ir valdykite su IT operacijomis susijusias rizikas: COBIT 5 rekomenduoja organizacijoms nustatyti ir valdyti su IT veikla, operacijomis susijusias rizikas. Tai apima galimų rizikų nustatymą ir kontrolės priemonių įgyvendinimą, siekiant sumažinti potencialias rizikas. Organizacijos taip pat turėtų sukurti rizikos valdymo procesus, kurie būtų suderinti su jų bendrais organizacijos valdymo tikslais. Rizikų identifikavimas ir valdymas yra atskiras mokslas, apimantis įvairiausias metodikas ir būdus. Gebėjimas suvaldyti rizikas, dažnai tampa organizacijos klestėjimo, arba atvirkščiai, nuosmukio priežastimi.
4. Nuolat stebėkite ir matuokite IT procesus: COBIT 5 rekomenduoja organizacijoms nuolat stebėti ir matuoti IT procesų našumą (angl. performance), siekiant užtikrinti, kad jie veiktų efektyviai. Tai apima veiklos tikslų nustatymą ir reguliarų našumo stebėjimą, palyginti su šiais tikslais. Priešingu atveju, organizacijos neturi įrankių orientuotis aplinkoje ir suprasti kokiame taške randasi. Analitiniai ir kiti stebėsenos duomenys padeda priimti tiek efektyvesnius, tiek greitesnius sprendimus.
5. Užtikrinti atitinkamų įstatymų, reguliacinių taisyklių ir standartų laikymąsi: COBIT 5 rekomenduoja organizacijoms užtikrinti atitinkamų organizacijai aktualių, įstatymų, taisyklių ir standartų laikymąsi. Tai apima organizacijai taikomų įstatymų, taisyklių ir standartų nustatymą ir supratimą bei kontrolės priemonių įgyvendinimą, siekiant užtikrinti, kad būtų laikomasi tų įstatymų, taisyklių ir standartų. Tai nėra naujiena organizacijoms, tiesiog pastaraisiais metais, tai labiau išpopuliarėjo, po įvairiose industrijose nuvilnijusių skandalų dėl neatitikimų ir nemenkų baudų. Todėl visai neseniai išpopuliarėjo nauja darbo rolė, kaip Atitikties pareigūnas (angl. Compliance Officer).
6. Nuolat tobulinkite IT procesus, kad atitiktų kintančius verslo poreikius: COBIT 5 rekomenduoja organizacijoms nuolat tobulinti IT procesus, kad atitiktų kintančius verslo poreikius. Tai apima tobulinimo sričių nustatymą ir pakeitimų įgyvendinimą, siekiant pagerinti IT procesų efektyvumą. Tai turbūt viena iš senusių taisyklių, kuri suteikia neretai, organizacijoms konkurencinį pranašumą.
7. Efektyviai bendraukite su suinteresuotomis šalimis, kad užtikrintumėte IT strategijų suderinimą su verslo tikslais: COBIT 5 rekomenduoja organizacijoms efektyviai bendrauti su suinteresuotomis šalimis, kad būtų užtikrintas IT strategijų suderinimas su verslo tikslais. Tai apima aiškų organizacijos IT strategijų, tikslų ir uždavinių perdavimą suinteresuotomis šalims ir užtikrina, kad suinteresuotos šalys būtų informuotos apie, bet kokius tų strategijų, tikslų ir uždavinių pakeitimus. Sena taisyklė – reikia bendrauti ir tam turėti patogius įrankius.
8. Užtikrinti, kad IT ištekliai būtų naudojami efektyviai: COBIT 5 siūlo organizacijoms užtikrinti, kad IT ištekliai būtų naudojami kuo efektyviau. Tai apima sritis, kuriose naudojami IT ištekliai, vykdomi ir įgyvendinami IT pokyčiai, siekiant pagerinti išteklių panaudojimą. Protingas resursų naudojimas yra vienas iš esminių vertės kūrimo būdų, apie kurį, kartais organizacijos pamiršta arba elgėsi neūkiškai.
9. Įmonėms reikia užtikrinti, kad IT paslaugos būtų teikiamos ir gaunamos laiku: COBIT 5 rekomenduoja organizacijoms užtikrinti IT paslaugų aiškų ir konkretų teikimą numatytu laiku. Tai apima paslaugų lygio tikslų nustatymą ir reguliarų paslaugų lygių stebėjimą. IT paslaugų integracija į verslo procesus yra didelę įtaką daranti sritis, o kartais ir kritinę. Todėl labai svarbu turėti nustatytus aiškius IT paslaugų tiekimo ir gavimo lygio kriterijus ir laikus. Dirbant su išoriniais IT paslaugų tiekėjais,  dažnu atveju praktikoje, visi susitarimai tarp suinteresuotų šalių pasirašo susitarimą ar net atskirą sutartį, dar vadinama SLA (angl.Service Level Agreement).
10. Nuolat stebėkite ir matuokite pačio IT valdymo efektyvumą: COBIT 5 rekomenduoja organizacijoms nuolat stebėti ir matuoti IT valdymo efektyvumą. Tai apima valdymo tikslų nustatymą ir reguliarų valdymo rezultatų stebėjimą ir lyginimą su istoriniais duomenimis. Tokiu būdu, organizacijos gali optimizuoti ir padaryti efektyvesnį IT valdymą. Tai turėtų būti pastovus procesas, kuris reikalauja priežiūros ir vystymo.

Kada reikia pradėti naudoti IT metodologiją?

Tai klausimas į kurį atsakys kiekvienas įmonės vadovas skirtingai. Ir deja vieno atsakymo nėra. Ne retai, sprendimas priklauso ir nuo organizacijos rizikos ir turimų problemų jų tolerancijos lygio. Kaip IT‘šnikas, noriu pasakyti, kad kuo anksčiau, tuo geriau. Bet objektyviai mąstant suprantu, kad dažnu atveju, tai įmonėms kainuos papildomų pastangų ir reikės sąlyginai nemažų papildomų investicijų, bent jau į pačios metodologijos diegimą ir į IT procesų sustygavimą. Teko susidurti su įvairiomis įmonėmis, bet didžioji dalis bando nustumti šią pradžią, kuo toliau į ateitį. O tie kas pradeda šį procesą, dažniausiai būna jau nudegę arba priversti diegtis dėl atsirandančių jų verslo reguliatorių reikalavimų ar kitų sąlygų, kurios juos tai verčia daryti. Ir tik maža dalis verslų, tai pradeda daryti dėl savo sąmoningumo ar sąmoningo sprendimo, kad jiems to reikia.

Išvados

Dažnu atveju IT valdymo metodologija yra naudojama organizacijose, kai jos padeda spręsti konkrečias problemas susijusias su verslu arba reguliatoriaus iškeltus reikalavimus. Dažnu atveju mažos ir vidutinės įmonės nenaudoja IT metodologijų, savo norų, nes jų naudojimas reikalauja disciplinos vykdyti atitinkamus procesus ir reikalauja finansinių investicijų į IT procesų diegimą ir palaikymą. Tai nėra taisyklė, bet IT metodologijos naudojimas yra, kaip tam tikras, organizacijos brandos rodiklis.

O jei Jūsų verslui reikia individualių konsultacijų ar kitos IT pagalbos – drąsiai kreipkitės į HelpHelp.lt.