Нередко приходится слышать сетования руководителей ИТ-отделов на то, что они являются вечными «мальчиками для битья»: когда все компоненты ИС работают без сбоев, и у сотрудников компании, и у руководства начинает складываться впечатление, что ИТ-отдел ничего не делает, но при этом постоянно просит денег на совершенно ненужные вещи. Когда же сбой возникает, «айтишники» снова оказываются крайними - почему вовремя не предугадали и не предотвратили беду. Как формализовать отношения с руководством и пользователями, чтобы в случае неприятностей разбираться не «по понятиям», а по правилам? Как разделить ответственность за бесперебойную работу между руководством, ИТ-специалистами и конечными пользователями?

Артем Глекель,
директор по информационным технологиям Соломбальского целлюлозно-бумажного комбината

Любая автоматизированная система, созданная для выполнения определенных задач - будь то учет ресурсов, анализ деятельности, биллинг или АСУ ТП - должна, в идеале, бесперебойно работать с момента ее запуска до момента ее планового останова. Если в процессе работы системы происходит непредвиденный сбой, который в лучшем случае приводит к временному простою, а в худшем - к утрате или искажению данных, предприятие несет финансовые потери (иначе возникает другой вопрос - нужна ли организации система, сбоя которой никто не замечает?). Считаю, что вопрос обеспечения бесперебойной работы автоматизированной информационной системы (АИС) относится к разряду вопросов обеспечения информационной и, как следствие, экономической безопасности компании. Поэтому сразу хочу перейти к обсуждению того, насколько серьезно, на мой взгляд, нужно относиться к информации и к ее защите в частности.

Первое, что должен сделать руководитель отдела ИТ для исключения разговоров «по понятиям» - создать методологическую основу для формирования и проведения в организации единой политики в области обеспечения безопасности информации. Такой основой должен стать документ (я бы назвал его концепцией информационной безопасности), представляющий собой систематизированное изложение целей и задач защиты, организационных, технологических и процедурных аспектов обеспечения безопасности информации в АИС предприятия. Здесь следует отметить, что под АИС подразумевается весь комплекс имеющихся и будущих систем автоматизированной обработки данных, за бесперебойную работу которых отвечает отдел ИТ.

После оформления и утверждения системы взглядов руководства компании на защиту информации в виде корпоративного закона можно приступать к разработке стандартов предприятия, определяющих ответственность за бесперебойную работу информационной системы каждой из указанных сторон (руководства, отдела ИТ и пользователей).

Естественно, основная ответственность за выбор компонентов системы, за их обслуживание и бесперебойную работу ложится на отдел ИТ. Но в стандартах или в других нормативных документах организации обязательно нужно прописать правила эксплуатации АИС для всех категорий пользователей системы, а также ответственность за нарушения этих правил. Общеизвестно, что большая часть сбоев компьютерных систем происходит по вине персонала. Следовательно, если каждый участник автоматизированной обработки данных будет знать, что его работа в системе контролируется, а нарушения правил работы наказываются, то число сбоев из-за неосторожных или преднамеренных действий персонала резко сократится. Разбор же инцидентов в данном случае будет происходить строго по корпоративным стандартам и в соответствии с утвержденной концепцией информационной безопасности.

Чтобы руководителю отдела ИТ застраховать себя от сбоев в работе системы по причинам выхода из строя оборудования или из-за воздействия внешних факторов типа компьютерных вирусов или атак со стороны сети Интернет, одних организационных мер, о которых говорилось выше, недостаточно. Для создания надежной системы защиты от сбоев «айтишникам» действительно приходится просить деньги «на совершенно ненужные вещи», такие, как системы резервного копирования и бесперебойного питания, межсетевые экраны и антивирусное программное обеспечение. Но в организации все видят, что без этих «непонятных вещей» информационная система прекрасно работает, и главному «айтишнику» нужно обладать незаурядным красноречием, чтобы убедить финансового директора в необходимости их приобретения. Здесь, на мой взгляд, руководителю отдела ИТ надо опираться все на ту же утвержденную в организации концепцию информационной безопасности, которая требует наличия в АИС всех этих подсистем. И нет необходимости выступать в роли постоянного просителя денег, умоляя финансистов увеличить ИТ-бюджет непонятно на что. Нужно просто в письменной форме информировать руководство о том, что вы в соответствии с утвержденными в организации стандартами и стоящими перед вами задачами должны в определенный срок создать ту или иную подсистему для предотвращения следующих угроз информационной системе компании. Руководитель, ответственный за принятие решения о выделении средств, должен либо выделить эти средства, либо в письменном виде отказать. В случае отказа он должен понимать, что принимает тем самым на себя всю полноту ответственности за возможные сбои в компьютерной системе, о которых предупреждал руководитель отдела ИТ. Если же такой сбой произойдет, руководитель отдела ИТ всегда сможет доказать, что он предпринял все меры к его предотвращению, а ответственность за данный инцидент будет нести другой менеджер.

В заключение хотелось бы дать один совет коллегам. Чаще информируйте руководство и простых пользователей о своей работе. Используйте каждый удобный случай, чтобы рапортовать о достижениях департамента ИТ. В организации все должны знать, что вы («айтишники») стоите на страже самого ценного в настоящее время вида ресурсов - информации, а наличие современной и надежной информационной системы является гарантией жизнеспособности и конкурентоспособности любой компании.

Владимир Алешин,
партнер группы компаний «Топ-Менеджмент Консалт»

С самого начала необходимо отметить, что, приступая к обсуждению заявленной темы, мы полагаем, что квалификация ИТ-персонала соответствует уровню эксплуатируемой системы (сотрудники ИТ-подразделений прошли соответствующее обучение и тестирование на знание эксплуатируемых систем). Другой важнейший аспект - отношение к работе и качество ее выполнения сотрудниками ИТ-подразделений (что должно быть отражено в соответствующей системе мотивации) не подлежат обсуждению. По нашему мнению, это необходимое условие как эффективного функционирования компании в условиях современной быстро изменяющейся бизнес-среды, так и реальная основа выстраивания рабочих отношений с руководством и пользователями. Выполнение этих условий - основа для разбора в случае неприятностей не «по понятиям», а по установленным корпоративным правилам. Конечно, это не единственное условие.

За работоспособность системы отвечают все группы персонала предприятия. При этом речь идет и о руководителях компании (принимающих решение о приобретении, развертывании системы, обучении специалистов, выделении необходимых ресурсов для обеспечения ее работоспособности, развитии и т. д.), и об ИТ-специалистах, обеспечивающих ее работоспособность, и о конечных пользователях, использующих систему для выполнения своих бизнес-задач. Важно правильно оценить меру ответственности каждой из указанных групп и «узаконить» ее в соответствующих документах (политики, регламенты и т. д.).

Мы не оговорились, ставя вопрос о взаимной ответственности всех перечисленных групп персонала, так как чем сложнее становится система, тем более жесткие требования предъявляются ко всему персоналу, имеющему отношение к системе. Свидетелями быстрого усложнения систем являемся мы все, последовательно наблюдая переход от изолированного рабочего места (после отказа от мэйнфреймов) к локальной рабочей группе, к сообществу рабочих групп, взаимодействующих через Интернет (со всеми его проблемами - вирусами, спамом), и т. д. При этом идет рост сложности как оборудования (в том числе сетевого), так и используемых программных приложений. Но самое главное, что при этом происходит усиление зависимости бизнеса от информации, хранящейся в системе, ее достоверности и целостности. Еще на рубеже 80-90-х годов по различным оценкам (данные по компаниям США) соотношение между стоимостью персонального компьютера, программного обеспечения и хранящейся на этом компьютере информации после двух-трех месяцев его эксплуатации составляло 1:2:10.

Сегодня мы фактически находимся на этапе «замыкания» круга, начавшегося с появления ЕС ЭВМ. Предприятие, отказавшись от вычислительных систем этого класса и перейдя к персональным компьютерам, продолжает испытывать потребность в интегрированной достоверной информации, а это неминуемо требует построения распределенных систем, что само по себе - достаточно сложная задача.

В последнее время произошло революционное повышение надежности оборудования, существенно усложнилась ИТ-инфраструктура предприятия, что потребовало специализации обслуживающего персонала (специалисты по коммуникационному оборудованию, по сетевому программному обеспечению и т. п.). Это означает, что каждому отдельному предприятию экономически сложно или практически невозможно держать специалистов высокого класса по всем составляющим ИТ-инфраструктуры, в противном случае качество выполняемых работ быстро упадет со всеми вытекающими последствиями для бизнеса.

Наталья Волкова,
ИТ-координатор компании «Главербель»

Известно, что отдел ИТ на любом предприятии выполняет сервисную функцию. Соответственно, с этой точки зрения бесперебойное функционирование информационных систем и оказание грамотной и своевременной поддержки пользователям является одной из основных задач отдела.

Оказание любого вида сервиса напрямую связано с такими понятиями, как качество и удовлетворенность пользователя (клиента). Если для других отделов клиенты находятся вне компании, то для отдела ИТ основной клиент - сотрудники компании. Но от того, что клиентами являются сотрудники, с которыми отдел ИТ каждый день общается, задача обслуживания не становится более легкой, чем при работе с внешними клиентами: как только появляется какая-либо проблема у пользователей, сразу же возникает вопрос: «Кто виноват?» - и претензии к сотрудникам ИТ звучат не менее жестко и категорично, чем претензии внешних клиентов, получающих от предприятия продукцию или услуги.

Поэтому чтобы застраховаться от необоснованных претензий в случае сбоя информационной системы предприятия или недовольства пользователей оказываемой поддержкой, необходимо четко определить критерии и показатели качества работы отдела ИТ.

Для крупных корпораций, консолидировавших отделы ИТ в отдельную структуру либо передавших ИТ-обслуживание на аутсорсинг сторонним компаниям, эта задача решается путем разработки и подписания Service Level Agreement (SLA). В SLA определяется весь спектр ИТ-услуг, оказываемых в области поддержки пользователей и информационных систем с расчетом соответствующей стоимости, включая разработку регламентов и договоров обслуживания. Кроме того, в SLA определяются показатели уровня сервиса - Service Level Objectives (SLO) - разделы соглашения, статистики, контролируемые параметры (метрики) и способ их измерения. В качестве метрик обычно используются доступность, производительность, время реакции на запрос пользователя. Создание SLA требует внушительной работы по формализации бизнес-процессов сопровождения информационных технологий и составлению справочника (каталога) ИТ-услуг. Для проведения такой работы зачастую необходимо привлечение сторонних консультантов и серьезный финансовый бюджет.

Очевидно, что при наличии SLA в компании руководителю становятся понятны и «прозрачны» расходы на поддержку информационной системы и разграничение уровней ответственности за ее бесперебойную работу. Также руководитель может быть уверен в качестве предоставляемых услуг, поскольку со стороны пользователей и ИТ-подразделения (или аутсорсинговой компании), оказывающего услуги, критерии качества информационного обслуживания определены.

Если же мы рассматриваем небольшие компании или предприятия, которые по тем или иным причинам не формализуют отношения между пользователями и ИТ, то возникают следующие, наиболее встречающиеся варианты развития событий:

- в первом случае руководитель отдела ИТ становится «вечным мальчиком для битья», им недовольны как руководители, так и сотрудники, и при постоянной перегруженности отдела ИТ проблем у пользователей не становится меньше;
- во втором случае, если руководитель имеет авторитет и влияние на руководство, грамотно проводит «политику», то добивается «кредита доверия» с соответствующими бюджетными средствами на ИТ от руководителя предприятия. Но это не решает проблему оценки качества оказываемых услуг отдела ИТ, и взаимных претензий, опять же, меньше не становится.

Вопрос взаимоотношений между пользователями и «айтишниками» действительно очень актуален. Избежать конфликтов и обвинений в адрес отдела ИТ можно лишь путем формализации отношений, однако в данном случае необходимо говорить о введении четких корпоративных ИТ-стандартов относительно использования сотрудниками персональных рабочих мест, программного обеспечения, Интернета и т. д. с соответствующим механизмом контроля за нарушениями. Конечно, такие ограничения могут не вызвать восторга у пользователей, но это позволит компании избежать сбоев в работе информационных систем и уменьшить количество конфликтов, что, несомненно, скажется на результативности бизнеса.

Михаил Андреев,
заместитель директора по развитию бизнеса компании КФ «М-РЦБ»

Имеет смысл рассмотреть проблемы ответственности отдельно в разрезе разных видов деятельности ИТ-подразделения:

- разработки стратегии развития информационной системы и связи ее со стратегией развития компании;
- проектной деятельности, связанной с внедрением того или иного программного продукта;
- рутинных процедур, связанных с поддержкой установленных программных продуктов и оборудования и обеспечением их функционирования.

Хотя в формировании стратегии развития информационной системы ведущая роль принадлежит ИТ-подразделению, она должна быть неразрывно связана со стратегией развития самой компании и быть понятной руководству. Поэтому реально ответственность здесь лежит практически полностью на руководстве. Ответственность ИТ-подразделения заключается, в основном, в правильном выборе решений для реализации данной стратегии и порядке реализации стратегии. Под решением следует понимать не только используемое ПО или оборудование, но и поставщика решения, квалификацию его сотрудников и, разумеется, его ценовую политику.

Здесь много тонкостей и подводных камней. В частности, всегда есть конфликт интересов ИТ-подразделения, конечных пользователей и руководства компании. Поэтому отдавать все «на откуп» ИТ-подразделению нельзя. Даже подготовку списка возможных программных продуктов необходимо контролировать, чтобы из списка возможных решений не выпало то, которое почему-то не понравилось руководителю ИТ-подразделения, или он об этом просто не нашел информации. Пример из жизни: руководитель ИТ-подразделения в качестве обязательного критерия выбора ERP-системы выставил требование по ее работе на БД, функционирующей под UNIX- подобными операционными системами, поскольку у него есть стойкое убеждение, что такие системы самые надежные. На самом деле, конечно, у него просто нет опыта и персонала, умеющего поддерживать БД под другими операционными системами.

По сути, ИТ-подразделение должно подготовить руководству компании список возможных решений, а комитет, созданный руководством из представителей всех заинтересованных подразделений, должен выбрать одно из них, если решение касается нескольких подразделений и является критичным для конкурентоспособности компании. В большинстве случаев выбор более прост, и ИТ-подразделение решает его совместно с руководством одного-двух подразделений, которые будут пользоваться данной системой, перекладывая на них часть ответственности за выбор.

В некоторых случаях ИТ-подразделение принимает решение полностью самостоятельно. Здесь единый подход к выбору решения вреден. Например, право выбора антивирусного продукта имеет смысл полностью поручить ИТ-подразделению, выбор правового ПО - ИТ-подразделению и юридической службе, а для выбора ERP-системы или системы электронного документооборота необходим уже комитет. Но в любом случае руководитель ИТ-подразделения должен отвечать за реализацию ИТ-стратегии, управлять так называемым «портфелем» проектов (какие проекты когда должны начинаться и заканчиваться), координировать деятельность проектных команд, принимать вовремя решения об изменении стратегии в случаях серьезных отклонений плановых и фактических результатов.

Далее идет этап внедрения какой-либо системы и ее интеграции с другими системами. В части интеграции ответственность полностью лежит на руководителе ИТ-подразделения, даже если ее реализация включена в договор с внешним исполнителем. Именно он будет обязан обеспечить правильность интеграции разных программных продуктов. В какой-то степени ответственность ложится и на конечных пользователей (без них проверить правильность решения невозможно), и на руководителей компании, сокративших бюджет до минимума, но это не снимает ответственности с руководителя ИТ-подразделения.

А вот в части результата и эффективности внедрения новой информационной системы ответственность полностью лежит на руководстве компании. В первую очередь, от руководства компании зависит, правильно ли определены цели проекта, критерии успеха, насколько правильно руководители других подразделений сформулировали бизнес-цели проекта, как к проекту отнесутся конечные пользователи и насколько грамотно будет подобрана команда внедрения, включающая в себя представителей из трех совершенно разных кланов, имеющих противоречащие друг другу интересы, закончится ли внедрение запуском системы в рабочую эксплуатацию или провалом.

Постоянно перед ИТ-подразделением стоит задача по поддержке всего установленного в компании ПО, обеспечению его надежной и безотказной работы. Ответственность за это полностью ложится на ИТ-подразделение: никакие внешние исполнители, отвечающие за свою часть установленного в компании ПО, ответственность на себя не возьмут, не говоря уж о конечных пользователях. Хотя есть компании, которые смогли передать обязанность и ответственность за поддержку всей информационной системы сторонним организациям, но это скорее исключение, чем правило. Руководство компании здесь - более чем важный участник процесса, именно оно определяет бюджет и ресурсы, необходимые для поддержки. И горе тому начальнику ИТ-подразделения, который не сможет полностью рассчитать необходимые для поддержки ресурсы, включая незапланированные расходы, и отстоять свои интересы. Пример из жизни: деньги на покупку и установку кондиционера в серверную комнату были выделены только тогда, когда вся работа офиса была парализована из-за перегрева процессора. От увольнения меня спасло письмо самого владельца компании, который пару месяцев назад отказал в установке кондиционера и был проинформирован о возможных последствиях.

Нельзя забывать и об инструкциях для конечных пользователей, неправильная работа которых может вывести из строя систему. И чем более подробные будут инструкции, тем лучше. Не зря американские производители пишут на упаковках явную чушь для потребителя: лучше предусмотреть даже самое идиотское поведение потребителя, чем платить ему за его же глупость. Каждодневная, рутинная работа, пожалуй, единственная область деятельности ИТ-подразделения, где ответственность можно определить инструкциями.

В случае выбора стратегии и решений для ее реализации, внедрения новых информационных систем распределить ответственность очень сложно. Куда проще конечным пользователям обвинить ИТ-подразделение в том, что новая система не работает так, как хотелось бы, хотя именно они ее выбирали и внедряли…

Дизайн и поддержка: Silicon Taiga

Обратиться по техническим вопросам