У 2020 – 2022 роках у рамках «CIO Open the Future» було проведено 5 програм, я яких прийняли участь понад 120 IT-директорів українських підприємств з різних галузей - від виробництва та роздрібної торгівлі до банків та сфери послуги. Ми спочатку розраховували провести від 5 програм, оскільки кожен проект передбачає обсяг, ресурси і має початок і закінчення. Ті, хто був на нашому модулі “Управління проектами” це чудово знають).

Але з'явилося навіть не одне, а цілих 2 АЛЕ.

АЛЕ N1

Протягом усього 2023 року, ми продовжували отримувати запити від українських CIO на участь у програмі, потреби у нових темах та знаннях для учасників, і… вирішили зробити нову програму “CIO Open the Future PRO” для українських IT-директорів.

АЛЕ N2

Назва нашої програми - CIO Open the Future. Тобто вона про майбутнє людини, яка приймає участь в програмі. Ми проаналізували кар’єрні шляхи учасників і побачили, що біля 30% мали кар’єрний зріст – або стали CIO в своїх компаніях, або перейшли в інші компанії з більшими викликами, або навіть відкрили свій консалтинговий бізнес у ІТ сфері.

Непогано як на мене.

Отже - новий склад менторів-професіоналів, нові матеріали, бізнес-кейс та багато нового.

У новій програмі буде 12 нових або розширених тем - наприклад, як вбудувати IT в бізнес, управління продуктом, DevOps, business resilience, лідерство в IT команді. І обов'язково розглянемо бізнес-кейс, як у MBA, над яким ми запропонуємо попрацювати всім охочим.

Проходитиме у травні – червні 2023 року по четвергах та п'ятницях у вечірній час у онлайн-форматі. Оскільки для нас цей проект є освітнім, ми залишили ціни на участь на рівні програми 2022 року.

У наступних постах розповім як ми вибирали склад менторів та деякі секрети підготовки проєкту до старту.

У попередніх постах про ІТ-аудити ми дізналися, які типи аудитів бувають і яка послідовність дій при проведенні аудиту.

Так як ми проводимо досить багато ІТ-аудитів, то в заключній частині на цю тему поділюся деякими спостереженнями, які можуть стати вам у нагоді.

Аудит має проводитись сертифікованими фахівцями, які підписали кодекс етики аудитора.

Якщо в компанії у якій проводиться аудит працює родич аудитора – це вже конфлікт інтересів і аудитор повинен проінформувати про це клієнта до початку проведення аудиту. Фінальне рішення про продовження роботи саме з цим аудитором або його заміну приймає зазвичай клієнт.

Аудитори зацікавлені в якісному результаті, тому що вони несуть відповідальність перед бізнесом за висновки та пов'язані з ними наступні дії.

Програма аудиту не змінюється нашвидкуруч, це вкрай небезпечна практика.

Аудит – це інструмент незалежної оцінки та швидкої допомоги бізнесу.

Підсумовуючи досвід останніх років, можна сказати, що ставлення власника до аудиту безпосередньо залежить від його ж бізнес-зрілості.

Раніше власники бізнесу намагалися закрити всі питання внутрішнім ресурсом (дешевше) і намагалися не допускати аудиторів до цифр і систем (конфіденційно), але останнім часом ми спостерігаємо позитивну тенденцію коли аудитора сприймають, як дуже важливий ресурс, який допоможе знайти проблему та вирішити її, тим самим забезпечивши бізнесу імпульс подальшого розвитку.

В першій частині «Що потрібно знати про ІТ-аудити» я писав, які бувають типи, а зараз поговоримо про фази аудиту, адже дуже важливо провести аудит якісно.

Отже…

1. Першим кроком є ​​визначення предмету аудиту, а саме – що ми будемо розглядати.
2. Наступним кроком є ​​визначення мети аудиту, іншими словами – відповідь на запитання «навіщо ми це робимо?».
3. Після чого визначається обсяг аудиту, наприклад – специфічні системи або додатки, які ми будемо досліджувати.
4. Далі логічно визначити базовий план аудиту з урахуванням доступності ресурсів, як людських так і технічних, і розробити план комунікації.
5. Власне в цей момент і починається основна робота (наприклад, інтерв'ю зі співробітниками, вивчення документів, аналіз систем та ін).
6. Важливим моментом є оцінка та верифікація результатів, оскільки будь-який аудитор має отримати підтвердження (evidence).
7. Останнім кроком є ​​підготовка звіту про аудит, розробка рекомендацій та його обговорення з менеджментом компанії.

У наступному матеріалі я поділюся деякими лайфхаками та важливими спостереженнями. А який до речі у вас був досвід роботи з аудиторами?

Ще раз нагадаю, що про IT-аудити серед іншого будемо говорити на найближчий програмі для IT-директорів “CIO Open the future”, яка починається вже 29 вересня.

https://www.cioneer.com/open-the-future

Дійсно, що ж потрібно знати саме CIO про аудити?

Зазначу, що майже половина проєктів нашої компанії Cioneer – це IT-аудити. І ми точно знаємо про типові проблеми, які приводять власника або CEO до проведення IT аудиту:

• Високі витрати на IT;
• Низький рівень віддачі від інвестицій в IT;
• Бажання перевірити рівень IT зрілості незалежною структурою;
• Необхідність відповідності вимогам.

Отже, почну з того, які бувають аудити. Є декілька типів, перерахую основні:
Аудит відповідності
Призначається для перевірки відповідності процесів компанії певним стандартам чи вимогам. Наприклад: аудит на відповідність стандарту PCI DSS, обов'язковий для компаній, які працюють з кредитними та дебетовими картами.
Фінансовий аудит
Мені здається, тут все просто – перевірка «охайності» фінансової звітності компанії.
Операційний аудит
Спрямований на оцінку внутрішніх контролів у певних процесах або певній галузі компанії (наприклад, логістика).
Інтеграційний аудит
Включає елементи фінансового та операційного аудиту, а також тести на відповідність внутрішнього контролю.
Адміністративний аудит
Оцінює ефективність операційної продуктивності підрозділу компанії.
Аудит ІС
Призначений для оцінки інформаційних систем щодо захищеності інформації/даних компанії, активів, цілісності, доступності, оцінки готовності компанії до критичних умов функціонування та іншого.
Форензик
Це тип аудитів, спрямованих на розкриття злочинів усередині компанії. Наприклад: витік даних, фінансове шахрайство.
Спеціалізований аудит
Зазвичай проводиться для оцінки однієї з областей активностей компанії. Наприклад, купівля послуг у зовнішніх підрядників.

Про IT-аудити серед іншого будемо говорити на найближчий програмі для IT директорів “CIO Open the future”, яка починається вже 29 вересня. Приєднуйтесь!

https://www.cioneer.com/open-the-future

Відповідно до “класичних” бізнес-підручників ІТ-стратегія має бути продовженням бізнес-стратегії, яка своєю чергою, повинна засновуватись на цілях компанії.

Дуже часто відсутність початку такого ланцюжка є для ІТ-директора причиною не розробляти ІТ-стратегію, проте чи це правильно? На мою думку - це не вірний підхід.

ІТ-стратегію можна і потрібно розробляти, навіть якщо немає бізнес-стратегії.

Як це зробити?

Алгоритм простий.
Спочатку треба провести оцінку дизайн-факторів.
Потім зібрати інформацію про бізнес-потреби.
Наступним кроком - поставити IT-цілі, зробити дорожню карту та узгодити це все з бізнесом.
На цьому етапі важливо знайти спонсора IT та євангелістів ІТ серед топ-менеджменту.
Ну, й залишився останній крок - все втілити згідно з планом й досягти потрібного результату.

Про IT-стратегію, її компоненти та підходи для розробки, детально будемо говорити на найближчий програмі для IT директорів “CIO Open the future”, яка починається вже 29 вересня 2022 року.

https://www.cioneer.com/open-the-future

Але питання ви вже можете задавати тут.

Майже кожен з IT-спеціалістів брав участь у проєктах, а деякі навіть керували їх ходом. Що важливо для проєкту?

Тут нічого нового, але ж важливо ще раз нагадати по пунктах:
Визначені цілі проекту
Об’єм проекту
Команда
Спонсор
Чіткий план

Що ще важливо?

Постійна перевірка чи проєкт досі актуальний для бізнесу.
Вчасне ухвалення рішень.
Постійна комунікація - майже найважливіше.

Але… я вважаю, що найбільш важливим є спроможність менеджера проєкту зупинити проєкт, якщо він не дає очікуваної цінності для бізнесу.

Про все це та про реальний кейс - провальний проєкт у одному з найбільших аеропортів світу будемо розмовляти у рамках програми розвитку IT-директорів “CIO Open the future”, яка починається вже 29 вересня 2022 року.

Ефективність бізнес-процесів компанії значною мірою залежить від діяльності ІТ-підрозділу. Технології, інфраструктура та додатки удосконалюються, бізнес-процеси оптимізуються, але…. фокусуючись тільки на бізнес-процесах, часто саме “забувають” про IT-процеси.

Більш того, частину IT-процесів можна масштабувати на інші підрозділи компанії, тому достатній рівень зрілості цих підходів – запорука для успішного функціонування компанії у цілому.

Згідно з методологією Cobit, IT-процеси можна розділити на декілька груп/доменів.

Цілі корпоративного управління групуються в домен “Аналіз, Спрямування та Моніторинг” (EDM). У цьому домені орган корпоративного управління обирає стратегічні напрямки та спрямовує вище керівництво до обраних стратегічних варіантів і контролює досягнення стратегії.

Далі, операційне керування розділяється на чотири домени:
“Узгодження, Планування та організація” (APO) стосується підприємства в цілому та IT стратегії.
“Розробка, придбання та впровадження” (BAI) розглядає побудову, придбання та впровадження рішень в області ІТ та їх інтеграцію в бізнес-процеси.
“Розгортання, обслуговування та підтримка” (DSS) стосується оперативної роботи IT служб, включаючи основні питання інформаційної безпеки.
“Моніторинг, аналіз та оцінка” (МЕА) націлені на моніторинг та відповідність ІТ розробленим цілям продуктивності, внутрішнього контролю та зовнішнім вимогам compliance.

Усього існує 40 процесів і деякі з них ми детально розглянемо на спеціальній програмі для IT-директорів “CIO Open the future”, яка починається у кінці вересня цього року.

В предыдущих постах в рамках этой публикации я рассказал о важности определения целей собственника, профилей рисков и угроз, а также compliance при построении системы управления IT.

Сегодня речь пойдет об утверждении дизайна системы управления IT и о том, какие типичные ошибки наблюдаются в этом вопросе.

В классике, CIO представляет как будет выглядеть система управления IT на совете директоров либо другом управляющем органе компании. В презентацию входит масса аспектов - объем системы управления IT, структура IT, инвестиции, критерии оценки и многое другое. Итак - все прошло хорошо, CIO получил одобрение на реализацию новой системы управления IT, однако не выполнил один очень важный пункт.

Этот пункт о том когда, кто и как будет решать конфликты приоритетов при построении системы управления IT с существующей операционной деятельностью.

Зачастую, именно эта ошибка приводит к существенным задержкам при построении системы управления IT, к дополнительным расходам, а случается и к провалу всего проекта.

Конечно же идеальных историй не бывает, однако опыт CIO, построивших систему управления IT в разных компаниях, точно позволит вам избежать многих ошибок.

Этим опытом делятся 12 CIO в программе развития IT директоров “CIO Open the Future”, которая начнется в мае 2022 года. Не пропустите!

• CIO в новой среде. Часть третья
• CIO в новой среде. Часть вторая
• CIO в новой среде. Часть первая

В предыдущих двух постах речь шла о том, какие ошибки допускает CIO, когда пришел в новую компанию. Наиболее часто встречаются отсутствие понимания истинных целей собственников, а также игнорирование профилей рисков и угроз при разработке системы управления IT. Продолжаем разбирать эту тему.

Третьим шагом при построении системы управления IT является ”Определение полного объема системы управления IT”, так как созданная вами система будет приносить максимальную ценность бизнесу только после того, как вы ее выстроите полностью и она начнет работать как часы.

Данный этап включает в себя такие элементы, как детальное изучение роли IT, оценка размера предприятия и его влияния на отрасль, разработка стратегии адаптации, изучение/разработка методов реализации и внедрения IT-инструментария и многое другое.

Но в это “многое другое” зачастую не входит вопрос Compliance, который, как известно, бывает внешний и внутренний. С внешним все понятно – отрасли должны соответствовать правилам/подходам/стандартам, например банковская сфера или медицина.

Но почему это важно для других нерегулируемых отраслей?

Да потому, что это как раз и есть правила, которые касаются вопросов сохранения прозрачности, репутации и активов бизнеса:

- мониторинг и профилактика злоупотреблений
- система внутренних мер и процедур, которые минимизируют конфликты интересов
- повышение уровня зрелости процессов, в том числе и IT

В конце концов это признак зрелой компании.

Если у вас есть желание более детально проработать данный вопрос, а также многие другие темы, на нашей программе развития IT директоров “CIO Open the Future”, есть персональные менторские сессии для участников. Приходите, пока еще есть места.

В продолжение первой части, где речь шла об ошибках CIO, пришедшего в новую компанию, второй блок.

Резюмируя первый пост – нужно понимать не только бизнес стратегию и требования бизнеса, но и цели собственников.  

Следующим важным моментом является определение первоначального объема при построении системы управления IT. Да, здесь нужно как по классике стартапа (а ведь наш проект в какой-то мере стартап) определить MVP. Для этого необходимо с учетом стратегии компании, принять во внимание цели компании и связать эти цели с IT процессами.

Можно использовать принципы каскадирования, когда бизнес-цели связаны с IT-целями, а те, в свою очередь с IT-процессами.

Как связать бизнес-цели с IT-процессами мы подробно рассказываем в рамках программы развития IT-директоров “CIO Open the Future”

Однако важным элементом, на который редко обращают внимание CIO, является оценка профилей рисков и угроз. Именно на эти элементы будет опираться ваша система управления IT, в том числе и планы непрерывности бизнеса, параметры RPO/RTO, обеспечение отказоустойчивости, технические решения, процессы резервирования мощностей и многое другое.

Продолжение следует…