5 Руководство по использованию модели ГОСТ Р 58608-2019

5.1 Обязанности руководящего органа ГОСТ Р 58608-2019

5.1.1 Общие положения ГОСТ Р 58608-2019

Члены руководящего органа несут ответственность за стратегическое управление ИТ и отвечают за эффективность, результативность и допустимое использование ИТ в организации [4.2 а)].

Полномочия, обязанности и ответственность руководящего органа за эффективное, результативное и допустимое использование ИТ вытекают из общих полномочий по стратегическому управлению организацией.

Ключевая роль руководящего органа в стратегическом управлении ИТ заключается в обеспечении получения ценности от инвестиций в ИТ с учетом управления рисками [из 5.1.1 Общие положения ГОСТ Р 58608–2019]

5.1.2 Руководящий орган и механизмы контроля ГОСТ Р 58608-2019

  1. Руководящий орган должен разработать механизмы контроля стратегического управления ИТ, которые соответствуют уровню зависимости бизнеса от ИТ.
  2. Руководящий орган должен иметь ясное понимание важности ИТ для стратегии бизнеса организации, также как потенциального стратегического риска организации при использовании ИТ. Степень внимания руководящего органа к ИТ должна основываться на этих факторах.
  3. Руководящий орган может сформировать подкомитет для помощи по контролю за использованием ИТ в организации со стратегической точки зрения. Необходимость в создании подкомитета зависит от важности ИТ для организации, а также от размера организации.
  4. Руководящий орган должен обеспечить необходимые знания и понимание использования ИТ, а также будущих трендов и направлений ИТ, своими членами и представителями управляющих подразделений. (таких как комитеты по аудиту, по управлению рисками и контролю ИТ) также как соответствие их компетенций возложенным на них обязанностям.
  5. Руководящий орган должен контролировать результативность механизмов стратегического управления ИТ, с помощью необходимых процессов, таких как аудит и независимая оценка, чтобы подтвердить эффективность стратегического управления. Например, руководящий орган должен удостовериться, что адекватный аудит охватывает управление рисками, связанными с ИТ, процессы контроля и стратегического управления.

[из 5.1.2 Руководящий орган и механизмы контроля ГОСТ Р 58608–2019]

5.2 Разработка стратегии и контроль ГОСТ Р 58608-2019

5.2.1 Общие положения ГОСТ Р 58608-2019

Стратегическое управление обеспечивает способы, с помощью которых руководящий орган устанавливает направление деятельности организации в отношении использования ИТ и отслеживает состояние организации и эффективность руководителей в отношении достижения требуемых результатов [4.2 b)].

В целом, руководящий орган руководит организацией, разрабатывая стратегию и контролируя эффективность руководителей при ее осуществлении. Во многих организациях для этого требуется, чтобы руководящий орган работал совместно с исполнительными руководителями и советовался с ними. Совместно они могут выработать ясное понимание того, как наилучшим образом использовать ИТ для получения выгод, как в настоящем, так и в будущем [из 5.2.1 Общие положения ГОСТ Р 58608–2019]

5.2.2 Роль управляющего органа при разработке стратегии ГОСТ Р 58608-2019

  1. Руководящий орган, работая совместно и советуясь с исполнительными руководителями, должен обеспечить лидерство в разработке стратегии для получения выгод от использования ИТ.
  2. Руководящий орган должен утвердить бизнес–стратегию для ИТ в организации, учитывая значение стратегии для достижения бизнес–целей и связанные с этим риски, которые могут возникнуть.
  3. Руководящий орган должен удостовериться, что внутренняя и внешняя среда организации регулярно отслеживается и анализируется для выявления потребности в пересмотре и, когда уместно, изменении стратегии ИТ и связанных с ней политик. Причиной пересмотра или изменения стратегии могут послужить потребности и ожидания клиентов, конкурентная ситуация, сильные и слабые стороны организации, а также ее возможности, новые технологии, требования законодательства, политические изменения, экономические прогнозы и социологические факторы.
  4. Руководящий орган должен обеспечить разработку политик для руководства организацией. Такие политики должны поддерживать достижение бизнес–целей, включая в себя обязательные требования законодательства и нормативные требования. Политики могут основываться на лучших практиках и предписывать руководство организацией сточки зрения управления рисками или улучшать эффективность и результативность организации.
  5. Руководящий орган должен обеспечить наличие механизмов, разъяснения и интерпретации целей, стратегий и политик по мере их возникновения.
  6. Руководящий орган должен понимать готовность организации к любым важным изменениям, предлагаемым как часть бизнес–стратегии ИТ, и обеспечить наличие в организации решимости и возможностей для выполнения требуемых изменений.

[из 5.2.2 Роль управляющего органа при разработке стратегии ГОСТ Р 58608–2019]

5.3 Делегирование ГОСТ Р 58608-2019

5.3.1 Общие положения ГОСТ Р 58608-2019

Аспекты стратегического управления ИТ могут выполняться руководителями, если за ними закреплены соответствующие обязанности, переданными им руководящим органом вместе с делегированными полномочиями. [4.2 с)]

Руководящий орган обеспечивает выполнение целей организации с помощью руководителей организации. В зависимости от устава организации и в соответствии с применимыми законами и нормативными актами руководящий орган может делегировать отдельные полномочия одному или нескольким руководителям.

Стратегическое управление ИТ обычно осуществляется совместно руководящим органом и руководителями организации. Во многих организациях ответственность за использование ИТ распределяется между руководителями вместе с делегированием им полномочий по общему управлению организацией для достижения бизнес–целей, вместо того, чтобы явно ограничивать их ответственность только областью ИТ.

В принципе не существует ограничений, какие обязанности можно делегировать исполнительным руководителям, а какие обязанности остаются непосредственно за руководящим органом. На руководящем органе остается ответственность за эффективность и согласованность работы организации, даже когда отдельные функции по стратегическому и оперативному управлению, такие как принятие решений, делегированы. Сюда можно включить влияние на успехи или неудачи использования ИТ [из 5.3.1 Общие положения ГОСТ Р 58608–2019]

5.3.2 Делегирование полномочий руководящим органом ГОСТ Р 58608-2019

  1. Руководящий орган может делегировать аспекты стратегического управления ИТ руководителям организации.
  2. Для делегирования полномочий по стратегическому управлению ИТ, руководящий орган должен выполнить следующее:
    • четко определить и согласовать обязанности и ограничения для принятия решений;
    • сопоставить полномочия с подходящими ресурсами;
    • обеспечить механизмы соответствия стратегиям и политикам и убедиться в том, что эффективность в достижении целей отслеживается и (или) оценивается.
  3. Руководящий орган должен обеспечить, что те, кому делегируются полномочия, обладают необходимыми компетенциями и что руководящий орган оставляет за собой соответствующий контроль за ключевыми решениями.
  4. Руководящий орган должен определить и прояснить, какие решения требуют его непосредственного участия, а какие решения руководители могут принимать самостоятельно.
  5. Руководящий орган должен обеспечить ясную формулировку в политиках управления степени, с которой ответственность за управление ИТ делегируется руководителям. В отношении ИТ руководящий орган обычно оставляет за собой решение следующих вопросов:
    • утверждение целей, стратегий и политик использования ИТ;
    • утверждение основных инвестиций в ИТ;
    • контроль программ и проектов, наиболее сильно влияющих на бизнес;
    • утверждение основных способов управления рисками, в частности, относящихся к безопасности и непрерывности бизнеса.
  6. Руководящий орган должен обеспечить, чтобы целесообразность делегирования полномочий регулярно пересматривалась.

[из 5.3.2 Делегирование полномочий руководящим органом ГОСТ Р 58608–2019]

5.4 Обязанности руководителей ГОСТ Р 58608-2019

5.4.1 Общие положения ГОСТ Р 58608-2019

Руководители отвечают за достижение стратегических целей организации в соответствии со стратегиями и политиками использования ИТ, утвержденными руководящим органом [4.2 d)].

В обязанности руководителей входит обеспечение достижения организацией необходимых результатов в рамках ограничений, установленных стратегиями и политиками ИТ, предусмотренных или утвержденных руководящим органом. Руководители отчитываются перед руководящим органом о полученных результатах. Обязанности руководителей, полномочия и подотчетность определяется руководящим органом. В некоторых юрисдикциях могут присутствовать специфические требования по отчетности для некоторых организационных ролей.

Руководители отвечают за реализацию стратегии и выполнение политики организации, также как за внедрение и контроль систем управления, необходимых для достижения целей, установленных руководящим органом [из 5.4.1 Общие положения ГОСТ Р 58608–2019]

5.4.2 Роль руководителей ГОСТ Р 58608-2019

  1. Руководители должны обеспечивать достижение необходимых бизнес–результатов в рамках стратегий и политик использования ИТ, как установлено руководящим органом.
  2. Руководители должны реализовывать стратегии, политики и системы менеджмента для достижения бизнес–целей, утвержденных руководящим органом. Эти стратегии и политики могут включать в себя:
    • политики разработки и взаимодействия, руководства и стандарты для ИТ, основанные на принципах и политиках, предусмотренных или установленных руководящим органом;
    • стратегическое планирование ИТ, как неотъемлемую часть стратегического планирования бизнеса при делегировании полномочий руководящим органом;
    • внедрение механизмов управления спросом и предложением ИТ для поддержки инициатив изменения бизнеса организации;
    • внедрение механизмов управления спросом и предложением ИТ для текущих бизнес операций;
    • применение принципов управления рисками (интегрированных с системой управления рисками организации) к использованию ИТ;
    • обеспечение управления инвестициями в ИТ как портфелем, включающим в себя всю деятельность, необходимую для увеличения ценности для бизнеса;
    • контроль и оценка эффективности работы организации и ее соответствия требованиям и отчет о результатах руководящему органу.
  3. Руководители должны принимать решения в соответствии с принятыми руководящим органом стратегиями и политиками организации.

[из 5.4.2 Роль руководителей ГОСТ Р 58608–2019]

5.5 Стратегическое управление и внутренний контроль ГОСТ Р 58608-2019

5.5.1 Общие положения ГОСТ Р 58608-2019

Для эффективного управления ИТ необходимо учредить эффективную систему внутреннего контроля как часть систем управления организацией [4.2 е)].

Эффективное управление ИТ основывается на формировании эффективной системы внутреннего контроля как части формирования системы управления организацией для поддержки достижения бизнес–целей.

Руководители несут ответственность за оценку рисков в организации и внедрение соответствующей системы внутреннего контроля. Руководящий орган определяет политики внутреннего контроля, учитывая риск–аппетит организации, включая в себя требования законодательства. Управление рисками является ключевым элементом модели стратегического управления, так как необходимо учитывать риск при оценке, управлении и контроле [из 5.5.1 Общие положения ГОСТ Р 58608–2019]

5.5.2 Учреждение внутреннего контроля ГОСТ Р 58608-2019

  1. Руководящий орган должен определить политики внутреннего контроля, учитывая риск–аппетит организации, включая в себя риск–аппетит использования ИТ и связанные с этим специфические требования.
  2. Руководители должны внедрять системы управления, которые функционируют в рамках правил, как элемент системы стратегического управления, дополняющий принципы и практики стратегического управления и контроля в организации.
  3. Специфические требования внутреннего контроля должны основываться на достижении бизнес–целей и внешних нормативных требованиях.
  4. Контролирующие действия соответствующие уровню риска должны разрабатываться для снижения рисков, связанных с каждым процессом или проектом, которые могут повлиять на общую способность организации достичь бизнес–целей.
  5. Система внутреннего контроля должна вытекать из системы стратегического управления:
    • четкое распределение обязанностей, связанных с ИТ, в организации. Это включает в себя обязанности, ограничения ответственности, полномочия, подотчетность и структуру отчетов;
    • для соответствующего выполнения обязанностей необходимо организовать обмен релевантной и достоверной информацией;
    • управление рисками для определения и анализа ИТ рисков в отношении достижения бизнес–целей и выполнения политик организации, и обеспечение процедур управления рисками;
    • непрерывный мониторинг системы внутреннего контроля наряду с регулярным пересмотром процедуры внутреннего контроля функционирования ИТ.

[из 5.5.2 Учреждение внутреннего контроля ГОСТ Р 58608–2019]