Статья Йо Делмар (Yo Delmar), CISM, CGEIT, является вице-президентом по GRC-решениям в MetricStream. У нее более 30 лет опыта работы в Использование метрик для поддержки инноваций в бизнесе Измерения и преобразования в руководстве ИТ: точки пересечения области ИТ и управления, преимущественно по общему руководству, рискам и соответствию нормативам (GRC). Она принимала активное участие в разработке стратегий GRC и программ безопасности для крупных организаций. Контактный адрес: ydelmar@metricstream.com. В блоге на веб-сайте Harvard Business Review была опубликована запись с заголовком «ИТ-руководство убивает инновации».1 Это утверждение ставит важный вопрос. Если главная сила технологии заключается в способности к преобразованиям, раскрытии перспектив инновации, то как ИТорганизации могут добиться от программ руководства большего, чем просто управление производительностью операционной среды? Как следует культивировать ИТ-инновации, стимулирующие рост и формирование конкурентных преимуществ? За прошлое десятилетие мировую ИТ-индустрию коснулись серьезные перемены. Теперь это стало привычным. Технологические достижения — от повсеместного распространения цифровых средств и развития социальных сетей до роста мобильной связи и датафикации2 повседневной жизни — фундаментально изменили традиционные схемы работы и взаимодействия. Однако на фоне растущего доминирования информационных технологий ИТ-отделы столкнулись с определенными проблемами. Есть некая ирония в том, что в мире, где наносекунды стали технологическим стандартом, ИТ-отделам пришлось бороться с представлением о себе как о неповоротливых структурах, оторванных от крупных бизнес-целей, не поспевающих за меняющимися потребностями современной гиперподключенной бизнес-среды с ее невероятным уровнем конкуренции. В ответ на эту проблему появились новые подходы к руководству ИТ. Можно сказать, что они были призваны скоординировать деятельность ИТ-отдела с работой предприятия в целом, а также поддерживать оптимальный уровень ИТ-инвестиций и производительности ИТ-среды.3 Однако организации, стремящиеся не только использовать ИТ для поддержки и улучшения бизнес-показателей, но и сделать ИТ источником инноваций, не могут слепо опираться на абстрактные метрики. Вместо этого компаниям нужно тщательно проектировать, разрабатывать и адаптировать метрики, отвечающие стратегии и целям организации и обеспечивающие их поддержку. Каким образом метрики могут способствовать успеху бизнес-инноваций в организациях? МЕТРИКИ СЛУЖАТ ОСНОВОЙ СОЗДАНИЯ И СОХРАНЕНИЯ КОНКУРЕНТНОГО ПРЕИМУЩЕСТВА Метрики4 в последнее время получили широчайшее распространение, и это не случайно. Распространение решений на основе данных практически во всех отраслях сделало метрики неотъемлемым атрибутом демонстрации эффекта и оценки достижений бизнес-программ и поддерживающих их ИТ-процессов — как в пределах организации, так и во взаимодействии с поставщиками и потребителями. Более того, особая роль метрик и аналитики дала компаниям и ИТ-отделам возможность лучше адаптировать и уточнить стратегические инициативы, а также оптимизировать ресурсы с расчетом на сохранение и наращивание конкурентных преимуществ. Разумеется, метрики играют ключевую роль в поддержании стабильной структуры руководства ИТ во многих аспектах. • Отслеживание метрик принципиально необходимо для разработки прогнозирующих моделей и оценки ключевых факторов будущего успеха ИТ. • Метрики являются элементами построения общей аналитической отчетности. • Метрики необходимы для выделения достаточных ресурсов, предназначенных для ИТ-инноваций. • Метрики повышают видимость конкретных процессов, что позволяет организациям изолировать отдельные аспекты ИТ-операций для отслеживания, измерения и анализа. Питер Вейл (Peter Weill) и Жанна Росс (Jeanne Ross) отмечают: «Измерение и распределение ответственности критически важны для успеха любой структуры руководства (ИТ). Четкие ответы на вопросы — кто за что отвечает и как это будет оцениваться — дают ясность, определяют ответственных лиц и инструменты для оценки эффективности руководства».5 Отслеживание метрик и характера их изменения с течением времени также принципиально важны для разработки прогнозирующих моделей и оценки ключевых факторов будущего успеха ИТ. Например, все больше компаний переносят важнейшие корпоративные приложения в облако, пользуясь преимуществами повышенной гибкости и эффективности, а ИТ-отделы стремятся ввести метрики для сторонних систем руководства. В частности, такие метрики преобразуются в параметры ответственности за доступность, производительность, резервное копирование, восстановление, архивирование и соответствие требованиям, которые можно включить в соглашения об уровне обслуживания (SLA), чтобы ЖУРНАЛ ISACA, НОМЕР 4, 2014 1 сделать привлекаемые со стороны компании эффективным расширением ИТ-структуры, согласованным с общими операционными требованиями организации. Самой важной ролью метрик является построение на их основе общей аналитической отчетности. Метрики — не то же самое, что аналитические показатели, хотя часто эти термины используются как синонимы. Согласно COBIT® 5, метрики представляют собой конкретные числовые данные, служащие рабочими индикаторами текущего достижения целей. В этом смысле метрики позволяют предприятию оценить расстояние до конкретных корпоративных целей. Аналитические же показатели объединяют данные из многочисленных источников и используют наборы метрик для выявления тенденций, закономерностей и корреляций в работе организации. Работая с большими объемами данных в режиме реального или близкого к реальному времени, аналитика не просто помогает организациям поддерживать и повышать производительность ИТ, но также стимулирует выработку инновационной бизнес-стратегии. Например, ИТ может измерять среднюю стоимость восстановления после инцидента, среднее время на восстановление после инцидента и среднее время бесперебойной работы. Изучение тенденций и корреляций в этих метриках позволяет провести анализ и выявить опережающие индикаторы, чтобы выяснить первопричину проблем и принять меры по устранению рисков, возможных ошибок и неэффективного использования ресурсов. С другой стороны, ценность аналитических показателей ограничена эффективностью данных, на которых они построены. Прогнозирующая сила аналитических заключений зависит от правильного подбора метрик. В каждом из приведенных примеров предполагается, что постоянное совершенствование инициатив по руководству ИТ просто невозможно без адекватных метрик.6 Но, в то время как ИТ-отделам нужны метрики для измерения и повышения эффективности операций, также требуются другие метрики, обеспечивающие выделение достаточных ресурсов, предназначенных исключительно для внедрения ИТ-инноваций. Инновационные группы в ИТ-отделах могут анализировать отраслевой опыт, чтобы сформировать представление о том, как ведущие компании, применяющие аналогичные процессы, развиваются и выстраивают пригодный набор метрик на основе принятых в отрасли ориентиров. Например, компания, занимающаяся распространением товаров, может перенять опыт FedEx, ведущей компании-дистрибьютора, по применению мобильной связи и социальных сетей для эффективного взаимодействия с клиентами, чтобы организовывать собственные процессы в логистической цепочке и отношениях с клиентами. Организации, где действует политика использования собственных устройств сотрудников (BYOD), могут применять процедуры и метрики, принятые в таких ведущих компаниях, как Apple, для корпоративного управления этими устройствами. Для своих целей можно использовать опыт самых разных компаний. Чтобы понять, каких именно, каждое предприятие должно задаться 2 ЖУРНАЛ ISACA, НОМЕР 4, 2014 Понравилась статья? •У знать подробнее о документе «COBIT 5 — Use It Effectively» и руководстве корпоративным ИТ (GEIT), а также обсудить эти вопросы можно в Центре знаний. www.isaca.org/knowledgecenter вопросами: «Что делают самые инновационные организации, чтобы измерить эффективность ИТ?» и «Как можно на основе этого подхода разработать метрики для нашей организации?» По сути метрики играют важную роль в обеспечении видимости конкретных процессов. Введя набор метрик, организация изолирует отдельные аспекты ИТ-операций для отслеживания, измерения и анализа. Конечно, это может обернуться и проблемами. Ведь подчеркивая одни аспекты процесса, метрики делают незаметными другие, и опора на неполный или неприменимый набор метрик может в итоге нанести ущерб организации. Так как технологии меняются очень быстро, работа ИТотделов превратилась в стрельбу по движущейся мишени. Понять, что именно нужно измерять и как нужно измерять, — непростая задача. «Предприятиям оказалось непросто понять ценность ИТ-инициатив, потому что их эффективность не всегда можно продемонстрировать традиционным способом — с помощью анализа дисконтированного потока денежных средств».7 Это подтверждает сложность создания метрик, точно отражающих ценность и эффективность ИТ-инфраструктуры организации. Чтобы информационные технологии стали движущей силой инновации и формирования конкурентных преимуществ, крайне важно сосредоточиться на разработке подходящего набора метрик, которые отвечают бизнес-стратегии и целевым показателям результативности для заинтересованных сторон. РАЗРАБОТКА ЭФФЕКТИВНЫХ МЕТРИК. ПЯТЬ ОСНОВОПОЛАГАЮЩИХ ПРИНЦИПОВ Как нет абсолютно одинаковых организаций, так нет и универсального набора метрик, который подошел бы всем. Метрики, не адаптированные к потребностям и бизнесцелям конкретного предприятия, в конечном итоге окажутся неэффективными. Поэтому очевидно, что применение метрик в организации не может и не должно быть результатом слепого копирования чужого опыта. Заметим, что на это непосредственно указывают рекомендации COBIT 5. Хотя в модели COBIT 5 рассматривается широкий набор готовых метрик, отвечающих более 100 ИТпроцессам и подпроцессам,8 в правилах внедрения явно говорится о важности адаптации модели в соответствии с потребностями конкретного предприятия. Пожалуй, лучше всего это требование сформулировано в разделе, где подробно описывается иерархия целей COBIT 5 и отмечается, что «поскольку у каждого предприятия свои цели, COBIT 5 можно корректировать в соответствии с индивидуальным контекстом… преобразуя высокоуровневые цели предприятия в конкретные и управляемые ИТ-цели, которые сопоставляются с конкретными процессами и практиками».9 В свете необходимой адаптации подходов к руководству ИТ в соответствии с конкретными целями предприятия главным вопросом остается следующий: как организация может обеспечить разработку и применение эффективных метрик производительности ИТ? Рисунок 1. Пять основных принципов для разработки эффективных метрик Тон задают стратегия, цели предприятия и ключевые целевые показатели результативности Разрабатывайте метрики с учетом динамичности среды Не забывайте про простоту внедрения Создавайте ключевые метрики, которые будут полезны в рамках разных инициатив Сохраняйте открытость к изменениям Источник: Йо Делмар (Yo Delmar). Публикуется с разрешения автора. При разработке эффективных метрик следует учитывать пять основных принципов (рис. 1). 1. Тон задают стратегия, цели предприятия и ключевые целевые показатели результативности. Задачей руководства ИТ является синхронизация ИТ-отдела со всей организацией и третьими сторонами, а также измерение эффективности ИТ с точки зрения общих бизнес-целей. Поэтому нужно разработать такие метрики эффективности, которые определяются целями предприятия, а не наоборот. Ключевые индикаторы эффективности (KPI) могут играть важную роль в выполнении этого требования, поскольку они как раз разработаны для измерения эффективности относительно более масштабных целей организации.10 Однако создание ИТ-инфраструктуры, полностью отвечающей бизнес-целям, зависит не только от понимания структурных потребностей предприятия, но также от инноваций, необходимых предприятию для сохранения конкурентного преимущества. Для эффективного решения этой задачи требуется набор метрик, учитывающих передовые технологии и возможности их стратегического применения для повышения эффективности организации и усиления положительных впечатлений клиентов. Например, социальные сети стали неотъемлемой частью корпоративной практики, но ИТ-отделам непросто оценить их влияние на продажи товаров и услуг предприятия. ИТ-отделы должны не отдавать работу с социальными сетями на откуп другим подразделениям организации (отделу корпоративных коммуникаций или маркетинга), а сотрудничать с этими подразделениями, чтобы разработать решения и метрики, способствующие привлечению социальных сетей к реализации бизнес-стратегии. В этом случае ИТ-отдел внесет свой вклад в формирование конкурентных преимуществ, а не будет близоруко ограничиваться собственными операциями. 2. Разрабатывайте метрики с учетом динамичности среды. Современную бизнес-среду никак нельзя назвать статичной. Компании проходят непрекращающиеся циклы изменения, инноваций, обновления и переоценки. С учетом темпов, с которыми традиционные бизнес-процессы изживают себя под давлением технологических изменений, такая динамика является неотъемлемым атрибутом ситуации, с которой постоянно сталкиваются ИТ-отделы. Метрики эффективности на таком фоне должны иметь возможность адаптироваться и к организационным, и к технологическим изменениям, чтобы и дальше оставаться источником ценных аналитических выводов. Это позволит организациям принимать ИТ-решения, повышающие эффективность и имеющие потенциал к преобразованию основных бизнес-функций. Например, стремительное распространение мобильных устройств и появление во многих организациях политик BYOD делает предприятия все более уязвимыми. Границы между личными и корпоративными данными размываются, и ИТ-отделам сложно справляться с разработкой новых наборов метрик, оценивающих бизнес-эффективность мобильных устройств, а также с выполнением обязательных строгих требований по обеспечению безопасности предприятия, налагаемых новой мобильной средой. 3. Создавайте ключевые метрики, которые будут полезны в рамках разных инициатив. За последние годы из-за сокращения технологических бюджетов и экономической неопределенности предприятия стараются делать больше с меньшими затратами. В такой ситуации необходимо разрабатывать метрики, которые можно применять в различных контекстах, чтобы обеспечить максимальный результат. Чтобы оптимально использовать рабочие ресурсы, метрики должны позволять организациям повышать эффективность, выявляя в сложившейся ИТ-инфраструктуре устаревшие и ставшие избыточными аспекты. Подлинную пользу приносят метрики, которые становятся основой для крупных аналитических исследований и обеспечивают управление информацией для принятия подобного рода бизнес-решений. Например, рост числа распределенных атак типа «отказ в обслуживании» (DDoS) за последние годы знаменует перемены в области информационной безопасности, фокусируя внимание на системах мониторинга, гарантирующих доступность важнейших веб-служб. В новых реалиях метрики ИТэффективности, измеряющие влияние этих и им подобных атак на доступность, могут применяться и группой безопасности, и группой непрерывности бизнеса, и группой аварийного восстановления, и группой антикризисного управления. Разрабатывая метрики, обеспечивающие всестороннее ЖУРНАЛ ISACA, НОМЕР 4, 2014 3 представление процессов широкой группе заинтересованных сторон, организации могут эффективнее защищать ключевые процессы и конфиденциальные данные, применяя стратегию, подходящую для всех отделов. 4. Не забывайте про простоту внедрения. Какими бы мощными аналитическими методами ни располагала организация, их ценность определяется данными, на которых они строятся. Мы уже говорили, что метрики служат основой построения общей аналитической отчетности. Это означает, что метрики должны быть простыми для внедрения и понимания. В конечном итоге, метрики будут эффективны только в том случае, если «сотрудники знают: что измеряется, как это вычисляется, каковы целевые показатели, как работают схемы поощрения и, самое главное, что они могут предпринять для достижения положительного результата».11 Развивая эту мысль, можно сказать, что когда дело касается метрик, стремление к совершенству не должно мешать инновациям. Такое может случиться, когда ИТ-отделы сталкиваются с трудной задачей управления в неизведанных областях, когда требуется реагировать на быстрые и непредвиденные изменения во внешней бизнес-среде. Рассмотрим для примера вопрос обеспечения непрерывности бизнеса. Стихийные бедствия, такие как ураган Сэнди в Нью-Йорке (штат НьюЙорк, США) в 2012 г. или цунами, вызвавшее аварию на атомной станции в Фукусиме в 2011 г., заставили ИТ-отделы пересмотреть свои подходы к метрикам устойчивости бизнеса и аварийного восстановления. Обычно группы аварийного восстановления и обеспечения непрерывности бизнеса включались в небольшое подразделение предприятия, возглавлявшее работы по восстановлению. Однако во многих организациях информационные технологии проникли во все сферы деятельности, поэтому непрерывность бизнеса стала особенно важна для переплетенной сети мобильно работающих сотрудников, клиентов по всему миру и сторонних поставщиков. В результате связь в кризисной обстановке быстро становится частью непрерывности бизнеса, поскольку организации теперь должны взаимодействовать с более широким кругом заинтересованных сторон. Нужно дать необходимые указания сотрудникам; привлечь группы реагирования; оповестить СМИ, внешних и внутренних партнеров, поставщиков, службы экстренного реагирования, представителей общественных и государственных организаций, и сделать многое другое. Лишь 14 процентов организаций называют эффективной связь при последнем исполнении плана аварийного восстановления, а в 52 процентах организаций группа антикризисного управления и вовсе отсутствует.12 Сегодня ИТ-отделам все больше необходимы метрики, которые можно оперативно внедрять, удобно измерять и легко включать в крупные аналитические исследования для анализа данных в реальном времени и принятия оперативных мер. 5. Сохраняйте открытость к изменениям. Организация не должна запирать себя в клетке из статичных метрик, 4 ЖУРНАЛ ISACA, НОМЕР 4, 2014 утративших свою актуальность. Никогда не следует сбрасывать со счетов важность непрерывного анализа и оценки метрик эффективности. Постоянный пересмотр метрик и их актуальности для меняющихся бизнес-целей является ключевым фактором успеха программы руководства в долгосрочной перспективе. Например, метрики, измеряющие устранение некритических уязвимостей в некритичной инфраструктуре и обеспечивающие защиту информации, которая не является конфиденциальной и не подлежит нормативному регулированию, мало важны в общей оценке безопасности. Метрики, отжившие свой срок и более не предоставляющие важных данных, должны быть пересмотрены. ИЗМЕРЕНИЕ ИТ-ЭФФЕКТИВНОСТИ: ОТ ОПЕРАЦИОННОГО ОТДЕЛА ДО ЦЕНТРОВ ИННОВАЦИЙ Несомненно, в лагере сторонников анархии в руководстве ИТ найдется немало людей, утверждающих, что строгое руководство может препятствовать инновациям. В действительности эффективная программа руководства с правильно подобранными метриками будет способствовать внедрению инноваций и росту бизнеса. Например, Вейл и Росс отмечают, что все ведущие организации имеют общую особенность в своих программах руководства ИТ. «В их программах руководства четко видна напряженность вокруг принятия ИТ-решений, выраженная в противостоянии стандартизации и инновации».13 Можно заключить, что разумная программа метрик корректно оценивает и выявляет стратегические, практические и оперативные вопросы, позволяя организациям финансировать и поддерживать ИТ-проекты, обладающие потенциалом к преобразованиям. Удивительно, но в отчете консалтинговой компании A. T. Kearney обнаружено, что «в большинстве компаний на инновации отводится меньше всего ресурсов», несмотря на то что инновации «представляют максимальные возможности повышения ценности для заинтересованных сторон».14 Возможность оценивать эффективность инвестиций в технологии и расходов в различных областях ответственности ИТ-отдела не только помогает повысить производительность и сократить эксплуатационные затраты, но также предоставляет ценные аналитические данные, стимулирующие целенаправленные инновации. Именно в этой точке должны пересекаться измерения и преобразования. Метрики позволяют организациям оценивать эффективность распределения ресурсов между различными уровнями, составляющими ИТ-отдел: от групп текущего обслуживания и поддержки бизнеса до ответственных за проектирование и разработку подлинно преобразующих информационных технологий. Правильно подобранные метрики также помогают измерять эффективность преобразовательных инициатив в организации и оценивать их соответствие бизнес-целям и отраслевым стандартам. В дальнейшем такой тип измерения позволит повысить эффективность будущих инвестиций в ИТинновации. ЗАКЛЮЧЕНИЕ И ПЛАН ДЕЙСТВИЙ Эффективные метрики крайне важны для обеспечения координации работы ИТ-отдела с работой всего предприятия и повышения производительности организации. Кроме того, метрики могут сыграть главную роль в превращении ИТотдела из центра затрат организации в источник инноваций и конкурентных преимуществ. С этой точки зрения ИТ-отделы должны постоянно стремиться поддерживать баланс между стандартизацией и инновацией, увязывая свои метрики с Технологии критически глобальными аналитическими структурами организации. важны для бизнесЧасто при этом происходит смена ориентации, и отдел стратегии и сулят начинает активно использовать захватывающие возможности сотрудничества с другими подразделениями возможности для для достижения целей в инноваций. масштабе предприятия. В современной бизнес-среде технологии критически важны для бизнес-стратегии и сулят захватывающие возможности для инноваций. Правильный подбор метрик, тесно привязанных к стратегии организации и целям производительности, делает ИТ-отделы центрами инноваций, которые не просто поддерживают устойчивость оперативной эффективности, но возглавляют процесс создания конкурентных преимуществ. “ ” действия и допускать включение в масштабные сводки данных и вычисления, на основании которых можно принимать стратегические решения. 5Weill, P.; J. W. Ross; IT Governance: How Top Performers Manage IT Decision Rights for Superior Results, Harvard Business School Press, 2004 г. 6Consulting Portal, «Necessary Frameworks for IT Governance: Clarifying the Tangled Web», 28 февраля 2007 г., www.ioptsyn. com/Necessary%20Frameworks%20for%20IT%20Governance.pdf 7 В цитируемой работе, Вейл и Росс 8 В цитируемой работе, COBIT 5 9 Там же. 10IBM Software, «A Business Risk Approach to IT Governance», сентябрь 2011 г. 11 Eckerson, W.; «12 Characteristics of Effective Metrics», блог TDWI, 19 апреля 2010 г., http://tdwi.org/blogs/ wayneeckerson/2010/04/effective-metrics.aspx 12Forrester Research, «2012: The State of Crisis Communication & Risk Management», Disaster Recovery Journal, www.drj.com/ resources/forrester-surveys.html 13 В цитируемой работе, Вейл и Росс 14 A. T. Kearney, The 7 Habits of Highly Effective IT Governance: Powerful Lessons in Transforming Business and Information Technology, 2008, www.atkearney.com/documents/10192/c60a495f326c-4ab7-8f7a-093e90bb7df1 ПРИМЕЧАНИЯ 1Horne, A.; B. Foster; «IT Governance Is Killing Innovation», Harvard Business Review, HBR Blog Network, 22 августа 2013 г., http://blogs.hbr.org/2013/08/it-governance-is-killing-innov/ 2Elliott, T.; «The Datafication of Daily Life», Forbes, 23 июля 2013 г., www.forbes.com/sites/sap/2013/07/24/thedatification-of-daily-life/ 3Schwartz, K. D.; «IT Governance Definition and Solutions», CIO, 22 мая 2007 г., www.cio.com/article/111700/IT_Governance_ Definition_and_Solutions 4В контексте данной статьи мы следуем определению метрики в рамках модели COBIT 5: «Количественно выражаемый объект, позволяющий измерять достижение цели процесса. Метрики должны соответствовать принципам SMART, то есть быть конкретными, измеримыми, осуществимыми, актуальными и своевременными». ISACA, COBIT 5, США, 2012 г. Это определение выбрано в качестве отправной точки по двум причинам. Во-первых, оно особо выделяет тот факт, что метрики представляют конкретную числовую информацию. Во-вторых, и это, возможно, более важно, оно подчеркивает, что метрики должны быть ориентированы на конкретные ЖУРНАЛ ISACA, НОМЕР 4, 2014 5