agosty.ru35. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. МАШИНЫ КОНТОРСКИЕ35.020. Информационные технологии (ИТ) в целом

ГОСТ Р ИСО/МЭК 38506-2022 Информационные технологии. Управление ИТ. Применение ИСО/МЭК 38500 для управления инвестициями в ИТ

Обозначение:
ГОСТ Р ИСО/МЭК 38506-2022
Наименование:
Информационные технологии. Управление ИТ. Применение ИСО/МЭК 38500 для управления инвестициями в ИТ
Статус:
Действует
Дата введения:
11.30.2022
Дата отмены:
-
Заменен на:
-
Код ОКС:
35.020

Текст ГОСТ Р ИСО/МЭК 38506-2022 Информационные технологии. Управление ИТ. Применение ИСО/МЭК 38500 для управления инвестициями в ИТ

ГОСТ Р ИСО/МЭК 38506-2022

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

УПРАВЛЕНИЕ ИТ. ПРИМЕНЕНИЕ ИСО/МЭК 38500 ДЛЯ УПРАВЛЕНИЯ ИНВЕСТИЦИЯМИ В ИТ

Information technology. Governance of IT. Application of ISO/IEC 38500 to the governance of IT enabled investments

ОКС 35.020

Дата введения 2022-11-30

Предисловие

1 ПОДГОТОВЛЕН Ассоциацией "Цифровые инновации в машиностроении" (АЦИМ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 25 июля 2022 г. N 679-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 38506:2020* "Информационные технологии. Стратегическое управление ИТ. Применение ISO/IEC 38500 для управления инвестициями в ИТ" (ISO/IEC 38506:2020 "Information technology - Governance of IT - Application of ISO/IEC 38500 to the governance of IT enabled investments", IDT).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 Федеральное агентство по техническому регулированию и метрологии не несет ответственности за патентную чистоту настоящего стандарта

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

В современных условиях в связи со стремительным развитием цифровых технологий в мире происходят события, связанные не только с изменением политических и экономических влияний, но и обусловленные сменой бизнес-моделей, технологическими прорывами и инновационными подходами к ведению бизнеса.

Каким образом руководящие органы могут адаптировать свои организации к существующим и новым вызовам, чтобы подготовиться к непрерывному росту объемов информации и появлению новых технологий?

Информационные технологии (ИТ) обеспечивают поддержку ключевых функций всех организаций и составляют основу практически всех видов коммерческой деятельности, способствуя взаимодействию с клиентами и другими заинтересованными сторонами. Инвестиции в ИТ, вклад ИТ в реализацию бизнес-возможностей и обеспечение эффективной работы организации занимают значительное место в достижении стратегических целей и, как следствие, бизнес-задач.

Эффективное регулирование инвестиций в ИТ позволит руководящим органам более четко понимать свои обязанности и принципы создания ценности для поддержки бизнес-возможностей и грамотного сокращения рисков организации.

Под рисками подразумевается отсутствие возможностей использовать имеющиеся ресурсы и получать потенциальные выгоды, влекущее за собой негативные последствия вплоть до краха бизнеса, несоблюдения обязательств и законодательных требований, нарушения безопасности, потери данных, простоев. Эффективное регулирование позволит заблаговременно предотвращать или сокращать связанные с ИТ аспекты риска возникновения подобных событий, обусловленного, например, продолжительным дефицитом инвестиций.

Регулирование ИТ, включая инвестиции в ИТ, является частью надлежащего корпоративного управления. Причем регулирование ИТ - это не управление ИТ, а сфера, для которой требуется создание структуры стратегического управления и системы управления ИТ организации.

В настоящем стандарте представлены рекомендации для членов руководящих органов по применению принципов и моделей регулирования инвестиций в ИТ, изложенных в ИСО/МЭК 38500. В рамках настоящего стандарта слово "инвестиции" употребляется в значении "инвестиции в ИТ".

1 Область применения

В настоящем стандарте содержатся рекомендации по регулированию инвестиций в информационные технологии (ИТ) для руководящих органов организаций любого типа, будь то частные, общественные или правительственные учреждения, применяемые независимо от размера организации, отрасли промышленности или сектора. В рамках настоящего стандарта термины "бизнес" и "бизнес-результат" распространяются на все типы организаций.

Кроме того, в стандарте содержатся рекомендации для других сторон, взаимодействующих с руководящими органами: для проектного персонала, бухгалтеров, консультантов по вопросам управления, для менеджеров инвестиционных портфелей и помощников руководителей.

В рамках настоящего стандарта под инвестициями в ИТ понимаются инвестиции любого масштаба, от приобретения бизнеса до любых изменений, касающихся ИТ, создания новых бизнес-услуг, достижения должной эффективности выполнения операционных ИТ-услуг (внутренних или предоставляемых сторонними организациями), обеспечивающей конкурентоспособность.

Вопрос выделения ресурсов на стратегические инновации решается путем предоставления рекомендаций для руководящего органа, принимающего решения о выделении инвестиционных ресурсов для кратко-, средне- и долгосрочных инновационных проектов.

Кроме того, в настоящем стандарте содержится руководство, применимое к комплексной проверке надежности бизнеса в случае его приобретения. Настоящий стандарт может служить руководством по применению изложенных в ИСО/МЭК 38500 принципов ранжирования инвестиций в ИТ, включая оценку ценности и рисков элементов ИТ в контексте инвестиционной деятельности банков или инвестиционных компаний.

Настоящий стандарт не предписывает и не определяет конкретные принципы управления инвестициями в ИТ.

Общее руководство по механизму реализации эффективного регулирования ИТ содержится в ISO/IEC TS 38501. Концепции согласно ISO/IEC TS 38501 могут помочь при выявлении внутренних и внешних факторов, связанных с регулированием ИТ, и при определении положительных результатов и признаков успеха. Общие рекомендации по взаимодействию руководящего органа и руководства организации содержатся в ISO/IEC TR 38502.

Настоящий стандарт подготовлен в соответствии с принципами ISO/IEC TR 38504:2016.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения)]:

ISO/IEC 38500:2015 Information technology. Governance of IT for the organization (Информационные технологии. Стратегическое управление ИТ в организации)

3 Термины и определения

В настоящем стандарте применены термины ИСО/МЭК 38500, а также следующие термины и определения.

ISO и IEC поддерживают терминологические базы, используемые в сфере стандартизации и представленные на следующих сайтах:

- Платформа онлайн-просмотра ИСО, доступная по адресу: https://www.iso.org/obp

- Электропедия МЭК, доступная по адресу: //www.electropedia.org/

3.1 выгода (benefit): Созданное преимущество, ценность или другой положительный эффект.

[ИСО 21505:2017, 3.4]

3.2 структура стратегического управления (governance framework): Стратегии, политики, системы принятия решений и подотчетность, с помощью которых осуществляется функционирование управленческих механизмов организации.

[ISO/IEC TR 38502:2017, 3.1]

3.3 инвестиции в ИТ (IT enabled investments): Инвестиции, целью которых является использование информационных технологий для достижения бизнес-результатов.

3.4 ценность (value): Количественно измеримая финансовая или нефинансовая прибыль.

4 Эффективное регулирование инвестиций в ИТ

4.1 Выгоды эффективного регулирования инвестиций в ИТ

Когда результаты инвестиций в технологии рассматриваются не как элементы затрат, а как активы, они становятся стратегической основой роста и устойчивого развития организаций в условиях жесткой конкуренции.

Эффективное регулирование инвестиций в ИТ помогает организации обеспечить положительный вклад таких инвестиций в продуктивность деятельности и соблюдение применимых норм следующим образом:

- предпочтение инвестиций, которые соответствуют стратегии и бизнес-целям организации и могут обеспечить создание максимальной ценности для организации;

- оптимизация ценности, создаваемой за счет инвестиций;

- создание механизма для надлежащего сокращения рисков инвестиций;

- уравновешивание инвестиций между кратко- и долгосрочными проектами для обеспечения непрерывного устойчивого развития бизнеса;

- обеспечение соблюдения обязательств (нормативных, правовых, общеправовых и договорных).

Последствиями неправильного регулирования инвестиций в ИТ могут быть утрата доверия клиентов и потребителей к бренду или продукции/услугам, недостаточное или несвоевременное внедрение инноваций и штрафы за несоблюдение обязательств.

4.2 Ориентация на ценность

Ценность, которую каждая и все инвестиции составляют для организации, должна быть первым и главным центром внимания при оценке и приоритизации инвестиций.

Ценность инвестиций в ИТ не ограничивается только внедрением ИТ. Создание ценности требует дополнительных плановых изменений бизнеса, к которым относятся организационные ценности, культура, структура организации, бизнес-процессы, роли и обязанности, компетенции персонала и системы вознаграждения. Для того чтобы результаты инвестиций в ИТ были успешными, требуются значительные бизнес-ресурсы, и в первую очередь необходимо учитывать влияние на бизнес. Взаимосвязи между бизнес-стратегией и используемыми для ее реализации технологиями неразрывны. Долгосрочное воплощение таких изменений может представлять определенную сложность, и руководящий орган обязан постоянно контролировать способность организации поддерживать нужный уровень изменений стечением времени.

Ценность может представлять собой увеличение доли на рынке, создание новых возможностей, повышение уровня удовлетворенности потребителей или расширение клиентской базы. Кроме того, ценность для организации могут составлять непосредственное сокращение затрат на аутсорсинг процессов и обеспечение соответствия нормам и регламентам. Более того, ценность может быть связана с социальными или экологическими целями. В любом случае для гарантированной реализации ценность должна быть четко определена и поддаваться измерению с помощью принятого механизма.

Ценность изменений бизнеса может быть связана с внедрением напрямую инновационных ИТ-активов и возможностей в новые услуги или продукцию. Следует также тщательно оценивать опосредованную значимость инвестиций в сопровождающие и вспомогательные ИТ-активы, например компоненты инфраструктуры или средства обеспечения безопасности. На основе этой оценки осуществляется непрерывное ранжирование инвестиций в составе портфеля.

В случае приобретения бизнеса значимость можно оценить путем проведения структурированной финансово-юридической экспертизы, включающей анализ применяемых принципов и методов регулирования ИТ, ИТ-активов и цифровых возможностей.

Как и для любых инвестиций, для инвестиций в ИТ следует оценивать прогнозируемую значимость в контексте расхода времени и ресурсов, требуемых на осуществление других бизнес-операций. Следует определить приоритеты текущего и будущего уровня производства/предоставления услуг, основываясь на оценке рисков.

Отдельные рекомендации, связанные с ориентацией на ценность, приведены в разделах 5 и 6.

4.3 Ответственность руководства

Руководство организации несет единоличную ответственность за реализацию всех инвестиций организации, которая основана на текущих достижениях деятельности организации и, следовательно, регулировании ИТ в работе организации.

Руководство должно применять одинаковые модели поведения относительно инвестиций, включая инвестиции в ИТ.

Руководство должно нести и сохранять полную ответственность за воплощение изменений, быть заметным и активным лидером и сторонником инвестиций, а не делегировать свои полномочия. Это способствует созданию благоприятных условий для результативных стратегических инноваций. Позитивные результаты, создание ценности и сокращение рисков напрямую влияют на эффективность инвестиций.

Руководство организации определяет, укрепляет и сохраняет условия, обеспечивающие эффективность инвестиций организации, а также выступает в роли лидера для поддержки вовлеченного персонала.

Отсутствие нежелательных событий для руководства и принятие своевременных мер в том случае, когда становится известно о потенциальных проблемах, формируют двустороннее доверие и прозрачность и гарантируют сбалансированность целей.

Ответственность за действенное и приемлемое использование ИТ, а также за эффективность инвестиций организации в ИТ несет исключительно руководство организации без права делегирования. Заинтересованность руководства значительно усиливает нацеленность организации на положительные результаты инвестиций и, как следствие, создание необходимой ценности.

Руководство может делегировать руководителям организации полномочия по принятию решений и ответственность за отдельные аспекты инвестиций при условии, что руководители достаточно компетентны для выполнения обязанностей, возникающих в связи с таким делегированием, а руководство сохраняет надлежащую осведомленность о ключевых решениях и четко определяет ответственность руководителей за результаты.

Руководство должно сохранять видимость инвестиций, что подразумевает следующее:

- ориентация на стратегические инновации, способные обеспечить постоянные долгосрочные конкурентные преимущества;

- осведомленность об инвестициях, имеющих высокий риск для устойчивого развития организации;

- осведомленность об инвестициях, требующих значительных финансовых вложений;

- высокий уровень интеграции с другими инвестициями и (или) бизнес-операциями.

5 Модель эффективного регулирования инвестиций в ИТ

5.1 Модель эффективного регулирования, применяемая к управлению инвестициями в ИТ

ИСО/МЭК 38500 содержит модель регулирования ИТ, основанную на цикле "оценка - прямое влияние - мониторинг" (Evaluate - Direct - Monitor, EDM). Эта модель включает три основные задачи по регулированию ИТ. Применение модели EDM для регулирования инвестиций в ИТ описано в нижеприведенных пунктах.

На рисунке 1 показана модель применительно к инвестициям в ИТ. В основу положена модель, представленная на рисунке 1 в ИСО/МЭК 38500.

Рисунок 1 - Модель регулирования ИТ

5.1.1 Оценка

Модель ИСО/МЭК 38500 подразумевает, что при оценке инвестиций в ИТ руководство должно отвечать на следующие вопросы:

- В каком объеме инвестиции создают или разрушают ценность в течение всего жизненного цикла инвестиционного решения?

- Каким образом портфель инвестиций обеспечивает выполнение стратегического бизнес-плана, развитие существующих и новых (коммерческих и цифровых) возможностей и насколько своевременно для бизнеса?

- Создаются ли при выделении ресурсов на кратко- и долгосрочные инвестиции соответствующие коммерческие возможности?

- Какие шаги необходимо предпринять для улучшения и сохранения репутации и имиджа бизнеса и учитывается ли благонадежность организации?

- Каким образом обеспечивается выполнение требований к безопасности, защите персональных данных, регулированию данных, правовой деятельности, социальной ответственности и коммерческим результатам?

- Соответствует ли профиль рисков всего портфеля инвестиций в ИТ требованиям к устойчивому развитию бизнеса и приемлемому уровню рисков?

- Соответствует ли баланс между развитием, инновациями и сокращением расходов стратегическим целям организации в области эффективного использования ИТ?

- Каким образом новые технологии способствуют дальнейшему развитию организации?

- Соответствует ли общий уровень изменений возможностям организации, потребителей и внешних заинтересованных сторон?

- Для устранения каких организационных препятствий на пути создания благоприятных условий требуется помощь со стороны руководящего органа?

- Соответствует ли предлагаемый подход к объему инвестиций стратегическим направлениям развития (соотношение собственного развития и приобретения, использования собственных сил и аутсорсинга, ориентации на услуги и продукцию)?

5.1.2 Прямое влияние

Руководство регулирует создание структуры стратегического управления и системы обеспечения видимости инвестиций, соответствующей размеру, количеству и типу предполагаемых инвестиций. Посредством структуры стратегического управления и системы управления можно:

- ориентировать инвестиции на создание и развитие кратко- и долгосрочной бизнес-ценности, где под ценностью понимается стратегическая согласованность выгод, затрат и рисков в течение всего жизненного цикла инвестиции;

- контролировать включение в инвестиции всех изменений, необходимых для создания ожидаемой ценности;

- контролировать работу ответственного владельца/спонсора и наличие надлежащих метрик и механизмов получения обратной связи, необходимых для гарантированного создания ценности;

- контролировать включение в стратегические бизнес-планы определенных критериев успеха, необходимых для управления инвестициями;

- определять четко обозначенные политики, процессы, обязанности и сферы ответственности для обеспечения прозрачности в делегированном процессе принятия решений;

- определять требуемую скорость, своевременность и выделение ресурсов применительно к инвестициям в инновации или к существующим и будущим технологиям;

- контролировать проведение надлежащей комплексной финансово-юридической экспертизы всех типов инвестиций;

- направлять организацию к достижению уровня ожидаемой эффективности и зрелости для принятия мер в отношении рисков, а также комплексности для осознания внедряемых ценностей и потенциальных выгод;

- способствовать созданию корпоративной среды и культуры, учитывающих влияние ИТ на сотрудников и направленных на эффективное использование бизнес-ценности;

- требовать независимой и прозрачной оценки управления рисками с разделением функций, использующих соответствующие коммерческие и цифровые возможности.

5.1.3 Мониторинг

Руководство контролирует эффективность и соответствие инвестиций, для того чтобы гарантировать достижение с их помощью наиболее результативных моделей поведения и создание ценности.

Ключевые аспекты мониторинга, осуществляемого руководством, могут включать следующее:

- обеспечение постоянного соответствия инвестиций стратегиям и постоянной ориентации на создание и развитие ценности для организации;

- мониторинг постоянного наличия среды доверия и прозрачности с выделением критериев заблаговременного обнаружения препятствий и выработки вариантов действий руководящего органа;

- обеспечение соответствия уровней технологий в организации стратегическим предложениям и приемлемому для руководящего органа уровню рисков;

- проверка взаимосвязей при размещении тех инвестиций, которые могут препятствовать созданию ценности для бизнеса;

- контроль наличия у организации возможностей (или способности) и культуры для поддержания требуемого уровня внутренних изменений;

- контроль вовлеченности заинтересованных сторон в инвестиции, включая проверку предоставления назначенными владельцами портфелей и другими заинтересованными сторонами соответствующей отчетности и организационной поддержки;

- определение того, изменились ли в результате вложения инвестиций деловая конъюнктура и бизнес-стратегия, действительны ли начальные допущения и уравновешивается ли риск ценностью;

- мониторинг появления новых технологий на рынке для возможных инвестиций в будущем;

- обеспечение непрерывности бизнеса;

- контроль эффективного, действенного и приемлемого использования ИТ-активов и цифровых возможностей по рыночному критерию продолжительного дефицита инвестиций.

6 Принципы регулирования инвестиций в ИТ

6.1 Общая информация

В ИСО/МЭК 38500 приведены шесть принципов эффективного регулирования ИТ. Следующие пункты представляют собой рекомендации по возможному применению этих принципов к регулированию инвестиций в ИТ.

Описание методов не является исчерпывающим, но представляет собой основу основных принципов для руководства организации.

Каждая организация самостоятельно определяет конкретные действия, необходимые для применения указанных принципов, с учетом сути и структуры организации, а также сути и типа инвестиции в ИТ.

Последствия применения принципов для руководящего органа связаны с теми инвестициями, которые решено продолжать вкладывать. Если руководство делегирует руководителям организации полномочия и ответственность за принятие решений, то происходящее в дальнейшем в большей степени относится к руководителям организации. Однако согласно разделу 4 руководство сохраняет общую ответственность за действенное и приемлемое использование ИТ, а также за эффективность вложения инвестиций организации в ИТ.

6.2 Принцип 1. Обязанности

6.2.1 Применение принципа

Лица и группы в организации понимают и принимают свои обязанности в отношении вложения инвестиций в ИТ и обладают полномочиями и достаточными ресурсами для достижения бизнес-результатов.

Обязательным условием создания портфолио инвестиций является присутствие владельца/спонсора. Роль руководства в качестве общего спонсора имеет решающее значение для эффективности инвестиций.

6.2.2 Действенность принимаемых мер руководством организации

В результате применения принципа обязанностей руководство должно:

- анализировать политики и решения, которые оно намеревается сохранить (или пересмотреть) на своем уровне, в рамках своих обязанностей;

- контролировать определение и присвоение соответствующих функций и обязанностей в течение жизненного цикла инвестиций;

- оценивать компетентность лиц, которым назначаются обязанности по принятию решений в области инвестиций;

- руководить разработкой и реализацией ясной стратегии вовлечения отдельных функций бизнес-подразделений в инвестиции;

- контролировать эффективность мер по распределению обязанностей по достижению бизнес-результатов за счет использования технологий.

6.2.3 Ожидаемые результаты

Ожидаемые результаты применения принципа обязанностей могут включать следующее:

- эффективное создание ценности в соответствии с целями, определенными руководящим органом, которое повышает готовность вкладывать средства для достижения бизнес-результатов;

- быстрое принятие решений на всех уровнях организации;

- надлежащая вовлеченность и использование требуемых компетенций и возможностей в процессах принятия решений по инвестициям в ИТ.

6.2.4 Модели поведения руководства организации

Применение принципа обязанностей должно способствовать внедрению следующих моделей поведения:

- лидерство: руководящий орган является явным и заметным лидером организации;

- эффективное принятие решений: делегирование, обязанности и ответственность, связанные с инвестициями, четко определены; ответственные лица понимают и принимают свои обязанности;

- активное спонсорство: активно присваивается спонсорство, обеспечивающее при размещении инвестиций баланс между коммерческими и ИТ-перспективами, а также соблюдение нормативных, правовых и договорных обязательств;

- культура оценки для совершенствования: в организации применяют оценку результативности инвестиций в ИТ, что повышает уверенность относительно вложения инвестиций в создание ценности.

6.3 Принцип 2. Стратегия

6.3.1 Применение принципа

Стратегия определяет направление вложения инвестиций в ИТ, ожидаемые результаты и способы согласования ИТ-стратегии с бизнес-стратегией организации с учетом создания или разрушения ценности, а также сопутствующих рисков и ограничений.

Источником всех инвестиций независимо от типа, структуры или размера должна быть бизнес-стратегия организации.

Инвестиционные стратегии должны гарантировать, что имеющиеся и будущие ИТ-активы, цифровые возможности и планы использования ИТ смогут удовлетворить текущие и перспективные потребности бизнес-стратегии.

6.3.2 Действенность применяемых мер руководством организации

В результате применения принципа стратегии руководство должно:

- оценивать согласованность инвестиций с общей бизнес-стратегией, создаваемой ценностью и требуемой окупаемостью вложений;

- оценивать и формулировать позицию по нововведениям, обусловленным инвестициями в ИТ и коммерческим использованием ИТ;

- регулярно оценивать возможности для инвестиций в ИТ, направленных на совершенствование ключевых методов работы организации (например, схемы цепочки создания ценности) для поддержания ее конкурентоспособности;

- анализировать эффективность и своевременность решений по вложению инвестиций применительно к достижению целей по трансформации бизнеса;

- анализировать своевременность инвестиций, имеющих первостепенное значение для успеха, включая корректирующую стратегию с учетом инвестиций конкурентов и реалистичные ассигнования на реализацию инвестиционной программы;

- осуществлять руководство разработкой и реализацией стратегий и политик, демонстрирующее знание общих приемлемых для организации рисков, уровня поддержки для инновационного использования ИТ, позволяющего организации реализовывать открывающиеся возможности и потенциал цифровых технологий;

- оказывать прямое содействие и демонстрировать лидерство применительно к стратегии и ее движущим факторам, способствующим использованию технологий при реализации бизнес-стратегии в целях обеспечения постоянного успеха организации;

- быть ответственным за распространение информации о стратегии инвестиций в ИТ с целью создания основы для координации различных инициатив в организации;

- осуществлять руководство стратегией бизнес-приобретений и моделей источников финансирования в контексте влияния на инвестиционные решения;

- контролировать процесс общей эффективности стратегии инвестиций в ИТ в контексте поддержки бизнес-стратегии организации.

6.3.3 Ожидаемые результаты

Ожидаемые результаты применения принципа стратегии могут включать следующее:

- ориентацию всех инвестиций, направленных на создание ценности для бизнеса независимо от типа, структуры, размера организации либо от ответственного лица;

- ИТ-стратегии, архитектуры и политики, отвечающие актуальным требованиям бизнеса к получению новых и модернизированных ИТ-активов и цифровых возможностей;

- наличие систематического подхода к стимулированию инновационных подходов к использованию ИТ;

- устойчивый ИТ-ландшафт, обеспечивающий реализацию бизнес-стратегии организации и постоянный рост доходов;

- культуру понимания взаимосвязи цифровых возможностей и бизнес-стратегии.

6.3.4 Модели поведения руководства

Применение принципа стратегии должно способствовать внедрению следующих моделей поведения:

- признание стратегической важности инвестиций в ИТ: руководство проявляет заинтересованность в стратегии размещения инвестиций в ИТ в такой же мере, как и в бизнес-стратегии;

- эффективное, действенное и приемлемое использование ИТ: инвестиционная стратегия должна гарантировать эффективное, действенное и приемлемое использование ИТ;

- наличие реальной ценности, создаваемой инвестициями в ИТ: инвестиционная стратегия способствует созданию ценности и получению выгод, ожидаемых организацией;

- стратегия внедрения инноваций: стратегии и политики внедрения инноваций обеспечивают четкое руководство инвестиционной деятельностью по использованию существующих и перспективных технологий.

6.4 Принцип 3. Приобретение

6.4.1 Применение принципа

Приобретения в сфере ИТ совершаются по веским причинам в целях реализации плановой инвестиционной стратегии и создания прогнозируемой ценности, на основе надлежащего периодического анализа и с опорой на прозрачный процесс принятия решений. Существует необходимый баланс между выгодами, возможностями, затратами и рисками как в краткосрочной, так и в долгосрочной перспективе.

Руководящий орган обеспечивает наличие необходимых ресурсов до, во время и после осуществления инвестиций в ИТ, а также использование в качестве опоры прозрачного процесса принятия решений.

6.4.2 Действенность принимаемых мер руководством организации

В результате применения принципа приобретения руководство должно:

- оценивать наличие надлежащих стратегических ресурсов, источников финансирования и правовых возможностей, необходимых для успешного и своевременного инвестирования;

- руководить внедрением методологии и схемы структурированной финансово-юридической экспертизы, направленной на обеспечение баланса рисков и ценностей предлагаемых инвестиций;

- осуществлять контроль, чтобы договоренности о снабжении (включая внутренние и внешние) соответствовали ожидаемым изменениям организации;

- осуществлять контроль, чтобы в процессе приобретений в сфере ИТ организация и поставщики достигали общего понимания ожидаемых результатов;

- контролировать всю цепочку поставок, чтобы приобретения в сфере ИТ обеспечивали наличие требуемых ИТ-активов, коммерческих и цифровых возможностей.

6.4.3 Ожидаемые результаты

Ожидаемые результаты применения принципа приобретения могут содержать следующее:

- усовершенствованную интеграцию коммерческих и ИТ-перспектив до, во время и после инвестирования, включая решения по приобретениям в сфере ИТ;

- включение ИТ-активов, цифровых возможностей и регулирования ИТ в отчеты финансово-юридической экспертизы соотношения рисков и ценностей, связанных с инвестицией в ИТ.

6.4.4 Модели поведения руководства организации

Применение принципа приобретения должно способствовать внедрению следующих моделей поведения:

- оценку приобретений в сфере ИТ как производственных инвестиций: руководство учитывает возможности современных ИТ и обеспечивает включение программы приобретений в сфере ИТ в стратегические бизнес-планы;

- восприятие ИТ как ценного актива: технологии, как цифровые, так и традиционные, воспринимаются не как элемент затрат, а как ценный актив и становятся активом, способствующим росту и революционному развитию организации;

- утверждение методологии финансово-юридической экспертизы инвестиций в ИТ: методология приобретений в сфере ИТ включает надлежащий контроль рисков и согласование до, во время и после принятия решения по инвестиции в ИТ.

6.5 Принцип 4. Эффективность работы

6.5.1 Применение принципа

Инвестиции должны соответствовать своему назначению: поддержка организации, обеспечение уровня и качества предоставляемых услуг в соответствии с текущими и будущими требованиями бизнеса, создание ценности для организации и обеспечение конкурентного преимущества на рынке.

6.5.2 Действенность принимаемых мер руководством организации

В результате применения принципа эффективности работы руководство должно:

- оценивать ценность, создаваемую инвестициями для организации;

- оценивать соответствие инвестиций своему назначению, а именно удовлетворению текущих и будущих потребностей бизнеса;

- регулярно оценивать эффективность структуры стратегического управления инвестициями;

- руководить определением, документированием и применением адекватных показателей эффективности работы с обеспечением должного внимания и, при необходимости, принятием корректирующих мер;

- следить за тем, чтобы приемлемые инвестиции соответствовали своему назначению (поддержка организации);

- контролировать, насколько инвестиции способствуют созданию ценности и выгод для организации;

- контролировать, насколько инвестиции согласованы с целями изменения бизнеса;

- контролировать, насколько точно соблюдаются политики, связанные с инвестициями;

- контролировать ценность и выгоды, связанные с инвестициями в инновации.

6.5.3 Ожидаемые результаты

Ожидаемые результаты применения принципа эффективности работы могут включать следующее:

- сокращение рисков и повышение прозрачности кратко- и долгосрочной ценности инвестиций;

- все результаты, определенные стратегией организации и инвестиционным предложением в измеримом и идентифицируемом форматах;

- измерение соответствия ценности и выгод плановым показателям;

- отслеживание и документирование соблюдения требований к инвестициям по их эффективности и соответствию.

6.5.4 Модели поведения руководящего органа

Применение принципа эффективности работы должно способствовать внедрению следующих моделей поведения:

- прозрачность в оценке эффективности работы: имеются, отслеживаются и при необходимости изменяются средства, обеспечивающие прозрачность в оценке эффективности инвестиций для достижения бизнес-результатов; механизмы мониторинга эффективности работы понятные и видимые;

- признание и надлежащее сокращение рисков: определение и мониторинг возможных рисков, связанных с инвестициями, а также реализация необходимых мер осуществляются в соответствии с принятой стратегией управления рисками;

- создание ценности: осуществляются мониторинг и контроль ценности и выгод для организации, связанных с инвестициями;

- постоянная поддержка инвестиций в ИТ, обусловленная эффективностью работы: эффективное регулирование инвестиций в ИТ напрямую повышает эффективность и действенность выбора, внедрения и использования технологий, что обеспечивает получение ожидаемых бизнес-результатов.

6.6 Принцип 5. Соответствие

6.6.1 Применение принципа

Инвестиции соответствуют всем обязательным законодательным актам и нормам, а также другим внешним или внутренним требованиям. Внедряются и применяются четко обозначенные политики и практики обеспечения соответствия до, во время и после инвестирования.

6.6.2 Действенность принимаемых мер руководством организации

В результате применения принципа соответствия руководство должно:

- оценивать риски, связанные с соблюдением обязательств (нормативных, правовых и договорных) применительно к инвестициям;

- регулярно оценивать внутреннее соответствие организации ее структуре стратегического управления инвестициями;

- следить за разработкой и применением политик, связанных с инвестициями, которые обеспечивают соблюдение организацией внешних и внутренних обязательств;

- регулярно контролировать инвестиционную деятельность, чтобы организовать соблюдение правоустанавливающих обязательств (нормативных, правовых и договорных), включая соблюдение обязательств по защите персональных данных и интеллектуальной собственности, обеспечения охраны труда и безопасности, а также финансовых и других внутренних обязательств.

6.6.3 Ожидаемые результаты

Ожидаемые результаты применения принципа соответствия могут включать следующее:

- повышение способности организации обеспечивать соответствие нормативным, правовым и договорным требованиям, необходимым для получения разрешения на ведение деятельности;

- осуществление инвестиций таким образом, чтобы внешние и внутренние заинтересованные стороны были уверены в этичности организации по отношению к соблюдению нормативных, правовых и договорных обязательств, а также в бизнес-результатах инвестиций;

- эффективное использование потребителями и организацией технологических новшеств без нарушения нормативных, правовых и договорных обязательств.

6.6.4 Модели поведения руководства организации

Применение принципа соответствия должно способствовать внедрению следующих моделей поведения:

- соответствие нормативным требованиям в рамках приемлемого для организации риска: инвестиции в ИТ определяют правовые, нормативные и договорные обязательства, связанный с ними риск и способы его сокращения, а также обеспечивают соблюдение таких обязательств;

- включение в методологию финансово-юридической экспертизы выявления последствий инвестиций в ИТ: финансово-юридическая экспертиза включает оценку соответствия возможностей для приобретения нормативным, правовым и договорным требованиям.

6.7 Принцип 6. Поведение людей

6.7.1 Применение принципа

Политики, процедуры и решения, связанные с инвестициями, построены на основе уважения к поведению людей, включая текущие и будущие потребности и опасения всех задействованных лиц.

Корпоративная культура должна стимулировать все стороны согласовывать общие цели и действия с ожидаемыми бизнес-результатами. Лидерство руководящего органа обеспечивает реализацию культуры организации на всех уровнях, что позволяет включить цифровые инновации, достижения, сотрудничество, доверие и прозрачность в этические стандарты.

Наиболее значимым является то, что развитие ИТ-компетенций, связанных с организационными обязанностями, и понимание особенностей поведения людей необходимы для обеспечения более тесной интеграции бизнес-стратегии и внедряемых технологий.

6.7.2 Действенность принимаемых мер руководством организации

В результате применения принципа поведения сотрудников руководство должно:

- оценивать механизмы лидерства для внедрения культуры поведения сотрудников и инноваций, поддерживающей надлежащий уровень цифровизации в организации;

- следить за тем, чтобы до, во время и после инвестирования принималось во внимание поведение людей и чтобы инвестиции осуществлялись корректно, этично и в соответствии с рекомендациями по профессиональному поведению и развитию компетенций;

- добиться того, чтобы все работники могли в любое время выявлять риски, возможности, проблемы и затруднения, связанные с инвестициями, и сообщать о них;

- следить за обнаружением и устранением конфликтов интересов, связанных с приобретениями в сфере ИТ;

- следить за тем, чтобы политики, процедуры и решения, связанные с инвестициями, были построены на основе уважения к поведению участников процесса;

- контролировать приемлемость использования таких технологий, как искусственный интеллект.

6.7.3 Ожидаемые результаты

Ожидаемые результаты применения принципа поведения сотрудников могут включать следующее:

- культуру внешних и внутренних заинтересованных сторон, которая нацелена на коммерческие и цифровые перспективы и их объединение с учетом влияния человеческого поведения на принятие решений по инвестициям;

- все работники организации понимают, принимают и применяют культуру инноваций;

- на всех уровнях организации работники используют возможности для развития своих компетенций, связанных с ИТ;

- организация быстро внедряет новые ИТ-компетенции и стремится быть в авангарде применения цифровых технологий и успешного использования инновационных возможностей для бизнеса;

- результатом инвестиций является устойчивое внедрение и использование новых технологий в соответствии с выявленным поведением работников.

6.7.4 Модели поведения руководства организации

Применение принципа поведения людей должно способствовать внедрению следующих моделей поведения:

- принятие культуры непрерывного обучения для поддержки инвестиций в ИТ: в организации должны быть политики и процедуры развития ИТ-компетенций, позволяющие определить требуемые ИТ-компетенции, а также бюджет и схему утверждения, необходимые для эффективной и действенной реализации возможностей;

- согласованность и нацеленность: все ресурсы, от руководящего органа до ответственных лиц, нацелены на достижение ожидаемых бизнес-результатов;

- культура инноваций: руководящий орган поддерживает и укрепляет культуру инновационного использования новых технологий;

- понимание необходимости управления рисками: публикуются и применяются политики и процедуры, гарантирующие, что все работники могут в любое время выявлять риски, возможности, проблемы и затруднения, обусловленные конфликтами интересов и поведением людей в связи с инвестициями, сообщать о них и передавать руководству для оценки и устранения.

Приложение ДА

(справочное)

Сведения о соответствии ссылочных международных стандартов национальным стандартам

Таблица ДА.1

Обозначение ссылочного международного стандарта

Степень соответствия

Обозначение и наименование соответствующего межгосударственного стандарта

ISO/IEC 38500:2015

IDT

ГОСТ Р ИСО/МЭК 38500-2017 "Информационные технологии. Стратегическое управление ИТ в организации"

Примечание - В настоящей таблице использовано следующее условное обозначение степени соответствия стандарта:

- IDT - идентичный стандарт.

Библиография

[1]

ISO/IEC TS 38501:2015

Information technology. Governance of IT. Implementation guide

[2]

ISO/IEC TR 38504:2016

Governance of information technology. Guidance for principles-based standards in the governance of information technology

УДК 621.37:006.354

ОКС 35.020

Ключевые слова: информационные технологии, регулирование инвестиций, стратегическое управление, стратегические инновации, принципы регулирования ИТ

Превью ГОСТ Р ИСО/МЭК 38506-2022 Информационные технологии. Управление ИТ. Применение ИСО/МЭК 38500 для управления инвестициями в ИТ