Из ГОСТ Р 58608-2019 Информационные технологии. Стратегическое управление ИТ. Структура и модель

ГОСТ Р 58608–2019 Информационные технологии. Стратегическое управление ИТ. Структура и модель. Information technology. Governance of IT. Framework and model. УДК 004:006.354 ОКС 35.020. Редакция от 17.12.2023.

4.3 Основные элементы системы стратегического управления ИТ ГОСТ Р 58608-2019

Системы управления ИТ в организации ИТ и их использование должны быть основаны на системе стратегического управления организацией.

Фактическая система стратегического управления будет определяться самой организацией и зависит от ее размера и функций, а также решений руководящего органа относительно зоны ответственности, но основные элементы должны соответствовать рисунку 2. Заштрихованная область соответствует элементам управления.

- Основные элементы системы стратегического управления ИТ

Рисунок 2 — Основные элементы системы стратегического управления ИТ

Основные элементы системы стратегического управления ИТ должны включать в себя:

  1. принципы надлежащего стратегического управления ИТ. Система стратегического управления должна основываться на принципах для надлежащего стратегического управления ИТ, как описано в ИСО/МЭК 38500 (приложение А настоящего стандарта). Данные принципы должны помогать организации в определении стратегического управления в области использования ИТ;
  2. стратегии и политики использования ИТ в организации. Стратегии и политики использования ИТ устанавливаются руководящим органом и передаются руководителям для обеспечения основы применения стратегического управления ИТ для систем управления организации. Несмотря на то, основаны ли они на обязательных требованиях законодательства и нормативных правилах в различных юрисдикциях или на требованиях для организаций частного сектора, стратегии и политики должны учитывать специфические требования руководящего органа и руководителей организации. Стратегии и политики, основанные на принципах поведения, описанных в ИСО/МЭК 38500, должны быть определены, распространены, и результаты их использования проверены. Они могут включать в себя:
    • бизнес–цели для использования ИТ;
    • приоритеты и выделенные ресурсы;
    • уровень полномочий и права принятия решений, включая зарезервированные для руководящего органа права;
    • необходимые действия для принятия решений на основе согласованных стратегий и политик использования ИТ, в том числе обязанности, ограничения, полномочия, исключительные ситуации и отчетность;
    • уровень риск–аппетита относительно использования ИТ, и специфические требования контроля рисков;
    • политики, которые определяют требуемое поведение в отношении использования ИТ;
  3. бизнес–планирование для ИТ. Процессы бизнес–планирования должны учитывать текущие и будущие возможности ИТ для обеспечения соответствия стратегического плана ИТ текущим и действующим потребностям бизнес–стратегии организации. Бизнес–планирование включает в себя бизнес–инновации, которые доступны с помощью ИТ. Следовательно, бизнес–планирование для ИТ является неотъемлемой частью системы стратегического управления ИТ в организации;
  4. управление рисками. Система стратегического управления ИТ должна включать в себя надежные практики управления рисками, охватывающие все действия, связанные с ИТ, и принятие решений в этой области. Управление рисками в области ИТ должно основываться на общих принципах управления рисками в организации;
  5. отчетность. Необходимо определить и утвердить механизмы предоставления отчетности. Данный процесс может включать в себя текущую оценку эффективности (как эффективности, так и соответствия требованиям) ИТ стратегий, планов и бизнес–подразделений организации;
  6. системы оперативного управления ИТ. Системы оперативного управления ИТ должны функционировать в рамках стратегий и политик, определенных руководящим органом для достижения стратегических и оперативных целей организации. Эти системы включают в себя спрос на ИТ и предложение ИТ для внутренних подразделений организации, специализированных подразделений ИТ организации или внешних поставщиков и внешние сервисные организации. Ответственность за внедрение систем оперативного управления для достижения целей организации лежит на руководителях организации;
  7. использование ИТ в организации. Фокус системы стратегического управления ИТ сосредоточен на использовании ИТ. Использование ИТ, соответствующее потребностям бизнеса, должно быть предметом стратегий и политик, определенных как часть системы стратегического управления, так же как систем оперативного управления ИТ в организации.

Система стратегического управления должна предоставлять руководителям возможность действовать максимально свободно при выполнении ежедневных задач. Стратегическое управление подразумевает общие ценности и цели, определение направления, обеспечение ресурсами и делегирование полномочий для того, чтобы руководители могли действовать автономно и с надлежащей оперативностью в изменяющейся среде [из 4.3 Основные элементы системы стратегического управления ИТ ГОСТ Р 58608–2019]

    5.1.1 Общие положения ГОСТ Р 58608-2019

    Члены руководящего органа несут ответственность за стратегическое управление ИТ и отвечают за эффективность, результативность и допустимое использование ИТ в организации [4.2 а)].

    Полномочия, обязанности и ответственность руководящего органа за эффективное, результативное и допустимое использование ИТ вытекают из общих полномочий по стратегическому управлению организацией.

    Ключевая роль руководящего органа в стратегическом управлении ИТ заключается в обеспечении получения ценности от инвестиций в ИТ с учетом управления рисками [из 5.1.1 Общие положения ГОСТ Р 58608–2019]

      5.1.2 Руководящий орган и механизмы контроля ГОСТ Р 58608-2019

      1. Руководящий орган должен разработать механизмы контроля стратегического управления ИТ, которые соответствуют уровню зависимости бизнеса от ИТ.
      2. Руководящий орган должен иметь ясное понимание важности ИТ для стратегии бизнеса организации, также как потенциального стратегического риска организации при использовании ИТ. Степень внимания руководящего органа к ИТ должна основываться на этих факторах.
      3. Руководящий орган может сформировать подкомитет для помощи по контролю за использованием ИТ в организации со стратегической точки зрения. Необходимость в создании подкомитета зависит от важности ИТ для организации, а также от размера организации.
      4. Руководящий орган должен обеспечить необходимые знания и понимание использования ИТ, а также будущих трендов и направлений ИТ, своими членами и представителями управляющих подразделений. (таких как комитеты по аудиту, по управлению рисками и контролю ИТ) также как соответствие их компетенций возложенным на них обязанностям.
      5. Руководящий орган должен контролировать результативность механизмов стратегического управления ИТ, с помощью необходимых процессов, таких как аудит и независимая оценка, чтобы подтвердить эффективность стратегического управления. Например, руководящий орган должен удостовериться, что адекватный аудит охватывает управление рисками, связанными с ИТ, процессы контроля и стратегического управления.

      [из 5.1.2 Руководящий орган и механизмы контроля ГОСТ Р 58608–2019]

        5.2.1 Общие положения ГОСТ Р 58608-2019

        Стратегическое управление обеспечивает способы, с помощью которых руководящий орган устанавливает направление деятельности организации в отношении использования ИТ и отслеживает состояние организации и эффективность руководителей в отношении достижения требуемых результатов [4.2 b)].

        В целом, руководящий орган руководит организацией, разрабатывая стратегию и контролируя эффективность руководителей при ее осуществлении. Во многих организациях для этого требуется, чтобы руководящий орган работал совместно с исполнительными руководителями и советовался с ними. Совместно они могут выработать ясное понимание того, как наилучшим образом использовать ИТ для получения выгод, как в настоящем, так и в будущем [из 5.2.1 Общие положения ГОСТ Р 58608–2019]

          5.2.2 Роль управляющего органа при разработке стратегии ГОСТ Р 58608-2019

          1. Руководящий орган, работая совместно и советуясь с исполнительными руководителями, должен обеспечить лидерство в разработке стратегии для получения выгод от использования ИТ.
          2. Руководящий орган должен утвердить бизнес–стратегию для ИТ в организации, учитывая значение стратегии для достижения бизнес–целей и связанные с этим риски, которые могут возникнуть.
          3. Руководящий орган должен удостовериться, что внутренняя и внешняя среда организации регулярно отслеживается и анализируется для выявления потребности в пересмотре и, когда уместно, изменении стратегии ИТ и связанных с ней политик. Причиной пересмотра или изменения стратегии могут послужить потребности и ожидания клиентов, конкурентная ситуация, сильные и слабые стороны организации, а также ее возможности, новые технологии, требования законодательства, политические изменения, экономические прогнозы и социологические факторы.
          4. Руководящий орган должен обеспечить разработку политик для руководства организацией. Такие политики должны поддерживать достижение бизнес–целей, включая в себя обязательные требования законодательства и нормативные требования. Политики могут основываться на лучших практиках и предписывать руководство организацией сточки зрения управления рисками или улучшать эффективность и результативность организации.
          5. Руководящий орган должен обеспечить наличие механизмов, разъяснения и интерпретации целей, стратегий и политик по мере их возникновения.
          6. Руководящий орган должен понимать готовность организации к любым важным изменениям, предлагаемым как часть бизнес–стратегии ИТ, и обеспечить наличие в организации решимости и возможностей для выполнения требуемых изменений.

          [из 5.2.2 Роль управляющего органа при разработке стратегии ГОСТ Р 58608–2019]

            5.3.1 Общие положения ГОСТ Р 58608-2019

            Аспекты стратегического управления ИТ могут выполняться руководителями, если за ними закреплены соответствующие обязанности, переданными им руководящим органом вместе с делегированными полномочиями. [4.2 с)]

            Руководящий орган обеспечивает выполнение целей организации с помощью руководителей организации. В зависимости от устава организации и в соответствии с применимыми законами и нормативными актами руководящий орган может делегировать отдельные полномочия одному или нескольким руководителям.

            Стратегическое управление ИТ обычно осуществляется совместно руководящим органом и руководителями организации. Во многих организациях ответственность за использование ИТ распределяется между руководителями вместе с делегированием им полномочий по общему управлению организацией для достижения бизнес–целей, вместо того, чтобы явно ограничивать их ответственность только областью ИТ.

            В принципе не существует ограничений, какие обязанности можно делегировать исполнительным руководителям, а какие обязанности остаются непосредственно за руководящим органом. На руководящем органе остается ответственность за эффективность и согласованность работы организации, даже когда отдельные функции по стратегическому и оперативному управлению, такие как принятие решений, делегированы. Сюда можно включить влияние на успехи или неудачи использования ИТ [из 5.3.1 Общие положения ГОСТ Р 58608–2019]

              Страницы

              Подписка на Из ГОСТ Р 58608-2019 Информационные технологии. Стратегическое управление ИТ. Структура и модель