4 Модель и структура ГОСТ Р 58608-2019

4.1 Модель стратегического управления ИТ ГОСТ Р 58608-2019

4.1.1 Обязанности и подотчетность руководящего органа ГОСТ Р 58608-2019

Руководящий орган несет ответственность и контролирует результаты текущего и будущего использования ИТ в организации, что входит в его обязанности по стратегическому управлению организацией.

- Модель стратегического управления ИТ

Рисунок 1 — Модель стратегического управления ИТ

Полномочия, обязанности и подотчетность руководящего органа будут зависеть от источника полномочий, такого как законодательный механизм, в рамках которого он функционирует. Допустимый уровень полномочий и ограничения деятельности организации обычно задокументированы. В зависимости от размера, типа организации и законодательной базы, применимой к ней, в качестве такой документации используют учредительный договор, устав или обычное соглашение между сторонами.

Во многих акционерных обществах руководящим органом является совет, например, совет директоров. Существуют определенные юрисдикции, в которых используется двухуровневая структура с наблюдательным и исполнительным советами [из 4.1.1 Обязанности и подотчетность руководящего органа ГОСТ Р 58608–2019]

4.1.2 Задачи стратегического управления ГОСТ Р 58608-2019

В ИСО/МЭК 38500 [1] представлены рекомендации руководящему органу по решению с помощью ИТ следующих задач:

  • оценки;
  • управления;
  • мониторингу.

Осуществление задач по оценке, управлению и мониторингу результатов организации происходит в тесном сотрудничестве руководящего органа и руководителей, с тем чтобы руководящий орган осуществлял управление и контроль использования ИТ для достижения целей бизнеса.

Осуществляя стратегическое управление, руководящий орган должен учитывать нормативные требования и законные ожидания заинтересованных лиц, наряду с влиянием внешней деловой среды, включая бизнес–давление и бизнес–требования [из 4.1.2 Задачи стратегического управления ГОСТ Р 58608–2019]

4.1.3 Обязанности и подотчетность руководителей ГОСТ Р 58608-2019

В обязанности руководителей входит достижение целей организации в рамках политик и стратегий, установленных руководящим органом. Руководители подотчетны руководящему органу в отношении возложенных на них обязанностей.

Организации могут функционировать в иерархической структуре управления, в которой генеральный директор, несет полную ответственность, а другие руководители организации отчитываются перед ним напрямую или через других руководителей в установленном порядке. В некоторых организациях назначенные исполнительные руководители являются частью руководящего органа [из 4.1.3 Обязанности и подотчетность руководителей ГОСТ Р 58608–2019]

4.1.4 Применимость модели ГОСТ Р 58608-2019

Модель стратегического управления ИТ, описанная в этом разделе, может также использоваться в качестве требований к стратегическому управлению в организациях, в которых отсутствует формальный руководящий орган, такой как совет директоров. К таким организациям могут относиться правительственные организации, в которых полномочия, обязанности и подотчетность относятся к политической системе государства. В таких ситуациях полномочия и обязанности по стратегическому управлению могут делегироваться напрямую одному или нескольким исполнительным руководителям организации. Обычно таким руководителем является генеральный директор (или руководитель схожего уровня), который принимает на себя функции руководящего органа. В малом бизнесе роль руководящего органа и генерального директора может выполнять одно и то же лицо [из 4.1.4 Применимость модели ГОСТ Р 58608–2019]

4.2 Взаимосвязь между стратегическим и оперативным управлением ИТ ГОСТ Р 58608-2019

Ключевыми элементами взаимодействия между стратегическим и оперативным управлением ИТ в соответствии с моделью, являются:

  1. обязанности руководящего органа. Члены руководящего органа отвечают за стратегическое управление ИТ и несут ответственность за эффективное, результативное и допустимое использование ИТ в организации;
  2. формулировка стратегии и контроль ее исполнения. Стратегическое управление обеспечивает способы, с помощью которых руководящий орган устанавливает направление деятельности организации в отношении использования ИТ и отслеживает состояние организации и эффективность руководителей в отношении достижения требуемых результатов;
  3. делегирование. Аспекты стратегического управления ИТ могут выполняться руководителями, если за ними закреплены соответствующие обязанности, переданными им руководящим органом вместе с делегированными полномочиями;
  4. обязанности руководителей. В обязанности руководителей входит достижение стратегических целей организации в соответствии со стратегиями и политиками использования ИТ, утвержденными руководящим органом;
  5. стратегическое управление и внутренний контроль. Для эффективного стратегического управления ИТ необходима эффективная система внутреннего контроля как часть систем управления организацией.

Каждый из этих элементов подробно описан в разделе 5 «Руководство по использованию модели» [из 4.2 Взаимосвязь между стратегическим и оперативным управлением ИТ ГОСТ Р 58608–2019]

4.3 Основные элементы системы стратегического управления ИТ ГОСТ Р 58608-2019

Системы управления ИТ в организации ИТ и их использование должны быть основаны на системе стратегического управления организацией.

Фактическая система стратегического управления будет определяться самой организацией и зависит от ее размера и функций, а также решений руководящего органа относительно зоны ответственности, но основные элементы должны соответствовать рисунку 2. Заштрихованная область соответствует элементам управления.

- Основные элементы системы стратегического управления ИТ

Рисунок 2 — Основные элементы системы стратегического управления ИТ

Основные элементы системы стратегического управления ИТ должны включать в себя:

  1. принципы надлежащего стратегического управления ИТ. Система стратегического управления должна основываться на принципах для надлежащего стратегического управления ИТ, как описано в ИСО/МЭК 38500 (приложение А настоящего стандарта). Данные принципы должны помогать организации в определении стратегического управления в области использования ИТ;
  2. стратегии и политики использования ИТ в организации. Стратегии и политики использования ИТ устанавливаются руководящим органом и передаются руководителям для обеспечения основы применения стратегического управления ИТ для систем управления организации. Несмотря на то, основаны ли они на обязательных требованиях законодательства и нормативных правилах в различных юрисдикциях или на требованиях для организаций частного сектора, стратегии и политики должны учитывать специфические требования руководящего органа и руководителей организации. Стратегии и политики, основанные на принципах поведения, описанных в ИСО/МЭК 38500, должны быть определены, распространены, и результаты их использования проверены. Они могут включать в себя:
    • бизнес–цели для использования ИТ;
    • приоритеты и выделенные ресурсы;
    • уровень полномочий и права принятия решений, включая зарезервированные для руководящего органа права;
    • необходимые действия для принятия решений на основе согласованных стратегий и политик использования ИТ, в том числе обязанности, ограничения, полномочия, исключительные ситуации и отчетность;
    • уровень риск–аппетита относительно использования ИТ, и специфические требования контроля рисков;
    • политики, которые определяют требуемое поведение в отношении использования ИТ;
  3. бизнес–планирование для ИТ. Процессы бизнес–планирования должны учитывать текущие и будущие возможности ИТ для обеспечения соответствия стратегического плана ИТ текущим и действующим потребностям бизнес–стратегии организации. Бизнес–планирование включает в себя бизнес–инновации, которые доступны с помощью ИТ. Следовательно, бизнес–планирование для ИТ является неотъемлемой частью системы стратегического управления ИТ в организации;
  4. управление рисками. Система стратегического управления ИТ должна включать в себя надежные практики управления рисками, охватывающие все действия, связанные с ИТ, и принятие решений в этой области. Управление рисками в области ИТ должно основываться на общих принципах управления рисками в организации;
  5. отчетность. Необходимо определить и утвердить механизмы предоставления отчетности. Данный процесс может включать в себя текущую оценку эффективности (как эффективности, так и соответствия требованиям) ИТ стратегий, планов и бизнес–подразделений организации;
  6. системы оперативного управления ИТ. Системы оперативного управления ИТ должны функционировать в рамках стратегий и политик, определенных руководящим органом для достижения стратегических и оперативных целей организации. Эти системы включают в себя спрос на ИТ и предложение ИТ для внутренних подразделений организации, специализированных подразделений ИТ организации или внешних поставщиков и внешние сервисные организации. Ответственность за внедрение систем оперативного управления для достижения целей организации лежит на руководителях организации;
  7. использование ИТ в организации. Фокус системы стратегического управления ИТ сосредоточен на использовании ИТ. Использование ИТ, соответствующее потребностям бизнеса, должно быть предметом стратегий и политик, определенных как часть системы стратегического управления, так же как систем оперативного управления ИТ в организации.

Система стратегического управления должна предоставлять руководителям возможность действовать максимально свободно при выполнении ежедневных задач. Стратегическое управление подразумевает общие ценности и цели, определение направления, обеспечение ресурсами и делегирование полномочий для того, чтобы руководители могли действовать автономно и с надлежащей оперативностью в изменяющейся среде [из 4.3 Основные элементы системы стратегического управления ИТ ГОСТ Р 58608–2019]