Эллен Китцис - CIO новый лидер. Постановка задач и достижение целей Страница 49

В 2002 году вице-президент банка по финансам, глава по операциям (включая и ИТ) и ИТ-директор (так в EBRD называют CIO) Тим Голдстоун (Tim Goldstone) обсуждал перспективы развития ИС для сокращения издержек без снижения уровня предоставления услуг. Голдстоун использовал целый комплекс мер, чтобы уменьшить число набираемых кадров в ИТ, снизить затраты бюджета на ИТ на 40 % и операционный бюджет – на 15 % в течение двух лет.

После своего создания в 1991 году EBRD уже отдал на аутсорсинг большинство операций для своей ИТ-инфраструктуры и развития систем. Примерно 70 % общей нагрузки были отданы на аутсорсинг, в основном, крупным внешним поставщикам услуг, при этом число сотрудников у внешних поставщиков услуг, работающих на компанию, превысило число внутренних сотрудников ИТ. К сожалению, число сотрудников на типичном соглашении аутсорсинга EBRD не может сравниться с крупными контрактами, за которые борются крупные поставщики услуг. Передавая большую часть своей работы небольшим ESP в 2002 году и позже, EBRD снижал издержки и привлекал внимание больших клиентов и небольших ESR «Хотя сегодня мы работаем с большим количеством вендоров, они обращают на нас внимание, поскольку мы представляем собой важную часть их клиентской базы», – говори Голдстоун.

Поскольку с самого начала EBRD передавал на аутсорсинг свои услуги, внешние поставщики услуг всегда были серьезными конкурентами сотрудникам компании. Чтобы создать компактную ИС, банку пришлось сделать контакты с поставщиками неотъемлемой частью работы каждого менеджера, а не какой-то отдельной функцией. Чтобы получить позицию топ-менеджера в департаменте, кандидат должен обладать умением эффективно работать с вендорами.

Чтобы удовлетворить новым потребностям EBRD нужны были не только число ESP и их умения, но также и новые внутренние навыки. Например, требовалось все меньше лидеров проектов, параллельно с большим числом технической поддержки. Новые сотрудники обеспечивали все лучшую поддержку технологии и приложений, либо самостоятельно, либо через более эффективное управление ESP и внешними контрактами. Количество новых сотрудников уменьшалось, но они нанимались с конкретными целями ликвидации каких-то конкретных пробелов в компетенциях компании. Сокращение числа сотрудников в ИТ происходило параллельно со сменой числа компетенций.

Основываясь на собственном опыте, Голдстоун пришел к выводу, что после принятия решения о сокращении ИТ, компания должна двигаться к небольшой и облегченной ИТ-организации очень быстро (сокращение происходило в два этапа). Под давлением бизнес-нужд и необходимости снижения издержек, а также неопределенности организационных перемен, реализация перемен стимулирует сотрудников сконцентрироваться на новых задачах.

Мы говорим о поисках новых людей с правильным набором компетенций, как лишь об одном из необходимых элементов новой ИС. Есть и другие. Хорошие люди могут исправить неадекватные цели и плохие стратегии. Если у них есть достаточно пространства для действия, они найдут правильный путь. Но хорошая стратегия и правильные цели не могут вас уберечь от привлечения не тех сотрудников. Правильные люди исправят плохую ситуацию. Но неправильные люди, действуя с самыми лучшими целями, обрекут на провал самый хороший план.

Глава 9 Управляйте компанией и ИТ-рисками

Много лет назад репортер спросил у известного американского взломщика банков Вилли Саттона, почему он грабит банки: «Потому что именно там лежат деньги», – ответил грабитель. Сегодня хакеры атакуют компьютерные сети по той же причине. В сегодняшней экономике, основанной на передаче данных, именно здесь лежат деньги. Хотя новое тысячелетие принесло с собой новые страхи перед кибер-терроризмом, тенденции в компьютерном криминале – от вандализма до преступлений ради выгоды – остались прежними, и число их постоянно растет. Вместе с тем появляются и новые риски. И каждый из них более, чем когда-либо касается CIO. Новому CIO-лидеру предстоит «вступить в бой» с этими проблемами и управляться с новыми ИТ-рисками для компании [48] .

Не так сложно понять причины появления новых угроз, с которыми CIO-лидерам предстоит справиться. Первая и основная заключается в том, что зависимость большинства бизнес-процессов от ИТ приводит к тому, что последствия отказа от ИТ усугубляются. Кроме того, во всем мире уже приняты (или находятся в стадии утверждения) специальные законы, которые вменяют бизнесу в вину, в некоторых случаях вплоть до уголовной ответственности, за неправильное использование или утрату корпоративных данных, особенно тех данных, которые касаются пользователей. В числе этих законодательных актов Специальная директива европейского союза о защите данных, американский закон HIPAA (Health Insurance Portability and Accountability Act), закон Сарбанеса-Оксли в США и специальный закон штата калифорнии о нарушении баз данных.

Все это нечто большее, чем просто законодательные акты. В специальном обзоре компании Gartner, CIO указали четыре новых типа сложностей, которые приводят к росту значимости управления рисками, как составной части их внешней деятельности:

•  взаимосвязь различных видов бизнеса: эта постоянно увеличивающаяся взаимосвязь повышает взаимозависимость, подверженность краже и вероятность неправильного использования информации; неправильное управление этими взаимоотношениями – это новый риск для ИС;

•  криминал среди руководства: этот тип криминальных действий приводит к большому количеству проблем в компаниях и новые законы как раз и направлены на то, чтобы снизить ущерб и наказать преступников; эти законы стараются предотвратить новые риски и определяют правила обеспечения безопасности;

•  потребность пользователя в защите приватности: рост интереса к проблемам приватности основан на том, что возрастает число краж частных документов и важной личной информации, а также действия специальных правительственных антитеррористических программ, ориентированных на массовое слежение за людьми;

•  потенциальные сбои ИТ: отказы ИТ в вашей компании могут теперь непосредственно влиять на бизнес ваших клиентов или поставщиков, нанося при этом заметный ущерб репутации компании, а также приводя к гражданским и криминальным искам и наказаниям.

Краткое введение в управление риском

Сегодня практически каждый аспект деятельности в любом типе бизнеса зависит от ИТ. Клиенты и деньги сегодня, например, связаны с компанией в режиме online. Поэтому не важно, о каких рисках бизнеса идет речь, вы должны участвовать в попытках управлять ими [49] . Приговор по делу CIO американской корпорации US HealthSouth на основе закона Сарбанеса-Оксли в апреле 2003 года демонстрирует в деталях, как вы должны быть вовлечены в эти проблемы. Вы уже вовлечены вне зависимости от того – знаете ли вы об этом или нет.

И вы не можете справиться с этими новыми рисками в одиночку. Слишком много причин и последствий находятся за пределами контроля ИТ. Приоритеты определяет бизнес, а ИС – только часть вопроса. Бизнес не может управлять этими рисками без активного участия CIO, а CIO должен управлять откликом ИТ на новые риски в общем контексте управления корпоративными рисками в масштабе всей компании.

Неспособность рассматривать управление ИТ-рисками совместно с управлением корпоративными рисками очень опасно, поскольку и те и другие приводят к последствиям в масштабе компании. Проблемы с безопасностью или технический инцидент, к примеру, могут запросто выйти за пределы ИТ-департамента и стать проблемой всей компании, влияющей на удовлетворенность клиентов, корпоративный имидж и проблемы с законом.

Определенные риски так сильно связаны с ИТ, что новому CIO-лидеру совершенно естественно взять ответственность за них на себя, даже если их последствия выходят далеко за пределы ИС. Безопасность информации, приватность и риски, проистекающие от ИТ-процессов и продуктов – наглядные тому примеры. Даже когда лидерство в конкретной ситуации – не лучший выбор для CIO, участие ИТ очень важно для успеха.

Вы должны стать частью корпоративного совета по рискам, который управляется советом директоров, контролирующим, в конечном счете, все риски компании. Этот самый совет по рискам (он может называться иначе) должен включать в себя топ-менеджеров, отчитываться непосредственно перед СЕО и контролировать все риски по всем бизнес-подразделениям. Когда в каком-то из подразделений встречаются какие-то уникальные риски, подобные советы должны создаваться и там. В эти советы по рискам в бизнес-подразделениях должны входить CIO или один из руководителей ИС-системы для того, чтобы обеспечить участие ИТ в управлении рисками.