ГОСТ Р ИСО/МЭК 38506-2022

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

УПРАВЛЕНИЕ ИТ. ПРИМЕНЕНИЕ ИСО/МЭК 38500 ДЛЯ УПРАВЛЕНИЯ ИНВЕСТИЦИЯМИ В ИТ

Information technology. Governance of IT. Application of ISO/IEC 38500 to the governance of IT enabled investments

ОКС 35.020

Дата введения 2022-11-30

Предисловие

1 ПОДГОТОВЛЕН Ассоциацией "Цифровые инновации в машиностроении" (АЦИМ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 25 июля 2022 г. N 679-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 38506:2020* "Информационные технологии. Стратегическое управление ИТ. Применение ISO/IEC 38500 для управления инвестициями в ИТ" (ISO/IEC 38506:2020 "Information technology - Governance of IT - Application of ISO/IEC 38500 to the governance of IT enabled investments", IDT).     

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 Федеральное агентство по техническому регулированию и метрологии не несет ответственности за патентную чистоту настоящего стандарта

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

В современных условиях в связи со стремительным развитием цифровых технологий в мире происходят события, связанные не только с изменением политических и экономических влияний, но и обусловленные сменой бизнес-моделей, технологическими прорывами и инновационными подходами к ведению бизнеса.

Каким образом руководящие органы могут адаптировать свои организации к существующим и новым вызовам, чтобы подготовиться к непрерывному росту объемов информации и появлению новых технологий?

Информационные технологии (ИТ) обеспечивают поддержку ключевых функций всех организаций и составляют основу практически всех видов коммерческой деятельности, способствуя взаимодействию с клиентами и другими заинтересованными сторонами. Инвестиции в ИТ, вклад ИТ в реализацию бизнес-возможностей и обеспечение эффективной работы организации занимают значительное место в достижении стратегических целей и, как следствие, бизнес-задач.

Эффективное регулирование инвестиций в ИТ позволит руководящим органам более четко понимать свои обязанности и принципы создания ценности для поддержки бизнес-возможностей и грамотного сокращения рисков организации.

Под рисками подразумевается отсутствие возможностей использовать имеющиеся ресурсы и получать потенциальные выгоды, влекущее за собой негативные последствия вплоть до краха бизнеса, несоблюдения обязательств и законодательных требований, нарушения безопасности, потери данных, простоев. Эффективное регулирование позволит заблаговременно предотвращать или сокращать связанные с ИТ аспекты риска возникновения подобных событий, обусловленного, например, продолжительным дефицитом инвестиций.

Регулирование ИТ, включая инвестиции в ИТ, является частью надлежащего корпоративного управления. Причем регулирование ИТ - это не управление ИТ, а сфера, для которой требуется создание структуры стратегического управления и системы управления ИТ организации.

В настоящем стандарте представлены рекомендации для членов руководящих органов по применению принципов и моделей регулирования инвестиций в ИТ, изложенных в ИСО/МЭК 38500. В рамках настоящего стандарта слово "инвестиции" употребляется в значении "инвестиции в ИТ".

     1 Область применения

В настоящем стандарте содержатся рекомендации по регулированию инвестиций в информационные технологии (ИТ) для руководящих органов организаций любого типа, будь то частные, общественные или правительственные учреждения, применяемые независимо от размера организации, отрасли промышленности или сектора. В рамках настоящего стандарта термины "бизнес" и "бизнес-результат" распространяются на все типы организаций.

Кроме того, в стандарте содержатся рекомендации для других сторон, взаимодействующих с руководящими органами: для проектного персонала, бухгалтеров, консультантов по вопросам управления, для менеджеров инвестиционных портфелей и помощников руководителей.

В рамках настоящего стандарта под инвестициями в ИТ понимаются инвестиции любого масштаба, от приобретения бизнеса до любых изменений, касающихся ИТ, создания новых бизнес-услуг, достижения должной эффективности выполнения операционных ИТ-услуг (внутренних или предоставляемых сторонними организациями), обеспечивающей конкурентоспособность.

Вопрос выделения ресурсов на стратегические инновации решается путем предоставления рекомендаций для руководящего органа, принимающего решения о выделении инвестиционных ресурсов для кратко-, средне- и долгосрочных инновационных проектов.

Кроме того, в настоящем стандарте содержится руководство, применимое к комплексной проверке надежности бизнеса в случае его приобретения. Настоящий стандарт может служить руководством по применению изложенных в ИСО/МЭК 38500 принципов ранжирования инвестиций в ИТ, включая оценку ценности и рисков элементов ИТ в контексте инвестиционной деятельности банков или инвестиционных компаний.

Настоящий стандарт не предписывает и не определяет конкретные принципы управления инвестициями в ИТ.

Общее руководство по механизму реализации эффективного регулирования ИТ содержится в ISO/IEC TS 38501. Концепции согласно ISO/IEC TS 38501 могут помочь при выявлении внутренних и внешних факторов, связанных с регулированием ИТ, и при определении положительных результатов и признаков успеха. Общие рекомендации по взаимодействию руководящего органа и руководства организации содержатся в ISO/IEC TR 38502.

Настоящий стандарт подготовлен в соответствии с принципами ISO/IEC TR 38504:2016.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения)]:

ISO/IEC 38500:2015 Information technology. Governance of IT for the organization (Информационные технологии. Стратегическое управление ИТ в организации)

     3 Термины и определения

В настоящем стандарте применены термины ИСО/МЭК 38500, а также следующие термины и определения.

ISO и IEC поддерживают терминологические базы, используемые в сфере стандартизации и представленные на следующих сайтах:

- Платформа онлайн-просмотра ИСО, доступная по адресу: https://www.iso.org/obp

- Электропедия МЭК, доступная по адресу: http://www.electropedia.org/

3.1 выгода (benefit): Созданное преимущество, ценность или другой положительный эффект.

[ИСО 21505:2017, 3.4]

3.2 структура стратегического управления (governance framework): Стратегии, политики, системы принятия решений и подотчетность, с помощью которых осуществляется функционирование управленческих механизмов организации.

[ISO/IEC TR 38502:2017, 3.1]

3.3 инвестиции в ИТ (IT enabled investments): Инвестиции, целью которых является использование информационных технологий для достижения бизнес-результатов.

3.4 ценность (value): Количественно измеримая финансовая или нефинансовая прибыль.

     4 Эффективное регулирование инвестиций в ИТ

     4.1 Выгоды эффективного регулирования инвестиций в ИТ

Когда результаты инвестиций в технологии рассматриваются не как элементы затрат, а как активы, они становятся стратегической основой роста и устойчивого развития организаций в условиях жесткой конкуренции.

Эффективное регулирование инвестиций в ИТ помогает организации обеспечить положительный вклад таких инвестиций в продуктивность деятельности и соблюдение применимых норм следующим образом:

- предпочтение инвестиций, которые соответствуют стратегии и бизнес-целям организации и могут обеспечить создание максимальной ценности для организации;

- оптимизация ценности, создаваемой за счет инвестиций;

- создание механизма для надлежащего сокращения рисков инвестиций;

- уравновешивание инвестиций между кратко- и долгосрочными проектами для обеспечения непрерывного устойчивого развития бизнеса;

- обеспечение соблюдения обязательств (нормативных, правовых, общеправовых и договорных).

Последствиями неправильного регулирования инвестиций в ИТ могут быть утрата доверия клиентов и потребителей к бренду или продукции/услугам, недостаточное или несвоевременное внедрение инноваций и штрафы за несоблюдение обязательств.

     4.2 Ориентация на ценность

Ценность, которую каждая и все инвестиции составляют для организации, должна быть первым и главным центром внимания при оценке и приоритизации инвестиций.

Ценность инвестиций в ИТ не ограничивается только внедрением ИТ. Создание ценности требует дополнительных плановых изменений бизнеса, к которым относятся организационные ценности, культура, структура организации, бизнес-процессы, роли и обязанности, компетенции персонала и системы вознаграждения. Для того чтобы результаты инвестиций в ИТ были успешными, требуются значительные бизнес-ресурсы, и в первую очередь необходимо учитывать влияние на бизнес. Взаимосвязи между бизнес-стратегией и используемыми для ее реализации технологиями неразрывны. Долгосрочное воплощение таких изменений может представлять определенную сложность, и руководящий орган обязан постоянно контролировать способность организации поддерживать нужный уровень изменений стечением времени.

Ценность может представлять собой увеличение доли на рынке, создание новых возможностей, повышение уровня удовлетворенности потребителей или расширение клиентской базы. Кроме того, ценность для организации могут составлять непосредственное сокращение затрат на аутсорсинг процессов и обеспечение соответствия нормам и регламентам. Более того, ценность может быть связана с социальными или экологическими целями. В любом случае для гарантированной реализации ценность должна быть четко определена и поддаваться измерению с помощью принятого механизма.

Ценность изменений бизнеса может быть связана с внедрением напрямую инновационных ИТ-активов и возможностей в новые услуги или продукцию. Следует также тщательно оценивать опосредованную значимость инвестиций в сопровождающие и вспомогательные ИТ-активы, например компоненты инфраструктуры или средства обеспечения безопасности. На основе этой оценки осуществляется непрерывное ранжирование инвестиций в составе портфеля.

В случае приобретения бизнеса значимость можно оценить путем проведения структурированной финансово-юридической экспертизы, включающей анализ применяемых принципов и методов регулирования ИТ, ИТ-активов и цифровых возможностей.

Как и для любых инвестиций, для инвестиций в ИТ следует оценивать прогнозируемую значимость в контексте расхода времени и ресурсов, требуемых на осуществление других бизнес-операций. Следует определить приоритеты текущего и будущего уровня производства/предоставления услуг, основываясь на оценке рисков.

Отдельные рекомендации, связанные с ориентацией на ценность, приведены в разделах 5 и 6.

     4.3 Ответственность руководства

Руководство организации несет единоличную ответственность за реализацию всех инвестиций организации, которая основана на текущих достижениях деятельности организации и, следовательно, регулировании ИТ в работе организации.

Руководство должно применять одинаковые модели поведения относительно инвестиций, включая инвестиции в ИТ.

Руководство должно нести и сохранять полную ответственность за воплощение изменений, быть заметным и активным лидером и сторонником инвестиций, а не делегировать свои полномочия. Это способствует созданию благоприятных условий для результативных стратегических инноваций. Позитивные результаты, создание ценности и сокращение рисков напрямую влияют на эффективность инвестиций.

Руководство организации определяет, укрепляет и сохраняет условия, обеспечивающие эффективность инвестиций организации, а также выступает в роли лидера для поддержки вовлеченного персонала.

Отсутствие нежелательных событий для руководства и принятие своевременных мер в том случае, когда становится известно о потенциальных проблемах, формируют двустороннее доверие и прозрачность и гарантируют сбалансированность целей.

Ответственность за действенное и приемлемое использование ИТ, а также за эффективность инвестиций организации в ИТ несет исключительно руководство организации без права делегирования. Заинтересованность руководства значительно усиливает нацеленность организации на положительные результаты инвестиций и, как следствие, создание необходимой ценности.

Руководство может делегировать руководителям организации полномочия по принятию решений и ответственность за отдельные аспекты инвестиций при условии, что руководители достаточно компетентны для выполнения обязанностей, возникающих в связи с таким делегированием, а руководство сохраняет надлежащую осведомленность о ключевых решениях и четко определяет ответственность руководителей за результаты.

Руководство должно сохранять видимость инвестиций, что подразумевает следующее:

- ориентация на стратегические инновации, способные обеспечить постоянные долгосрочные конкурентные преимущества;

- осведомленность об инвестициях, имеющих высокий риск для устойчивого развития организации;

- осведомленность об инвестициях, требующих значительных финансовых вложений;

- высокий уровень интеграции с другими инвестициями и (или) бизнес-операциями.

     5 Модель эффективного регулирования инвестиций в ИТ