Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь
Проверка квалификационных навыков и обучение как инструмент взаимодействия ИТ с внутренними клиентами
Тихонов С.Н., к.ф.-м.н.,
начальник департамента ИТ
ООО КБ “Альба Альянс”,
Бондаренко М.В., к.т.н.,
заместитель начальника ДИТ
ООО КБ “Альба Альянс”,
выпускники группы MBA CIO-14
Школа IT-менеджмента
АНХ при Правительстве РФ
1. Введение
Роль информационных технологий как неотъемлемой части бизнеса особенно важна в кредитных организациях. Подтверждением этому служат регулярные обновления нормативной базы Банка России в отношении информационных технологий и информационной безопасности. Так, Стандарт Банка России “СТО БР ИББС-1.0-2008”([1], [2]) акцентирует внимание на необходимости организации процессов, затрагивающих информационную безопасность, в виде циклической модели Деминга "... - планирование - реализация - проверка совершенствование - планирование - ...", которая является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ИБ ISO/IEC ISO 27001-2005 ([3]). Важно, что в Стандарте внимание уделяется не только рискам, но и процессам управления качеством.
К моменту введения Стандарта ИТ-департамент банка столкнулся с возросшей нагрузкой в связи с операционными рисками, вызванными участившимися ошибками персонала. Причина была понятной – кризис вызвал сокращение штата и увеличение нагрузки на оставшихся сотрудников. Выяснение причин ошибок и их исправление отвлекало ресурсы не только сервис-деска, но и отдела сопровождения банковского ПО, и разработчиков, и руководства департамента ИТ. И, хотя претензий конкретно к ИТ-подразделению не было, становилось понятно, что рано или поздно количество перерастет в качество, то есть указанными рисками нужно управлять.
2. Бизнес-процессы и их изменение
Пункты 7.2.5 – 7.2.6 Стандарта Банка России “СТО БР ИББС-1.0-2008” устанавливают:
7.2.5. В организации БС РФ должны быть документально определены процедуры приема на работу, влияющую на обеспечение ИБ, включающие:
- проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов;
- проверку в части профессиональных навыков и оценку профессиональной пригодности.
Указанные процедуры должны предусматривать документальную фиксацию результатов проводимых проверок.
7.2.6. Рекомендуется документально определить процедуры регулярной проверки (с документальной фиксацией результатов) в части профессиональных навыков и оценки профессиональной пригодности работников, а также внеплановой проверки (с документальной фиксацией результатов) - при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии.
Основываясь на этом, руководитель ИТ-департамента обосновал перед руководством банка необходимость изменения бизнес-процессов подключения новых сотрудников к ИТ-ресурсам при приеме на работу и при переводе на новую должность. На рис.1 приведена существовавшая на тот момент практика, когда ИТ-департамент, на основе утвержденной заявки, готовил рабочее место и предоставлял доступ новым сотрудникам без проверки квалификационных навыков. Ответственность за возможные ошибки нового сотрудника возлагалась при такой схеме на его непосредственного руководителя.
Рис. 1. Процесс подключения новых сотрудников к ИТ-системам банка “как было”
Основной задачей предполагаемого изменения было не допускать необученных сотрудникам к работе ИТ-системами, прежде всего с АБС, фронт- и бэк-офисными системами с целью предотвратить дорогостоящие ошибки, аналогично тому, как не допускают к вождению лиц без водительских прав с целью предотвратить ДТП. Вначале противниками изменения были практически все, и все находили свои аргументы.
Кадровая служба была против, потому что обучение – это непрофильная деятельность для кредитной организации. Руководители бизнес-продразделений были против, потому что обучение занимает время, которое сотрудник мог бы потратить на работу. Принятые на работу сотрудники были против, потому что усматривали в процедуре проверки квалификационных навыков оттенок сомнения в их профессиональной компетентности. Главных аргументов, убедивших руководство банка попробовать изменение, было два:
1. оценка возможных размеров ущерба от операционных рисков, связанных с ошибками персонала, а также статистика и динамика подобных инцидентов
2. требования регулятора (Банка России) и аудиторов
На рис. 2 схематически показан измененный процесс подключения к ИТ-системам.
Рис. 2. Процесс подключения новых сотрудников к ИТ-системам банка “как стало”
3. Реализация
Главной проблемой, которую пришлось решать при реализации нового процесса – как соблюсти принцип “20% усилий дает 80% результата”. Ведь на практике обучение – очень непростой процесс ([5]). Особенно если его никто не заказывал. Потребности ИТ-департамента привели к следующей схеме организации процесса:
- Место. Было выделено отдельное помещение, оборудованное рабочими местами (благо при сокращении персонала оборудование высвободилось) и подключенное к нужным сегментам сети
- Тематика. Структурирование тем для обучения было выполнено по тем же принципам, что и заявка на предоставление доступа, а именно:
• коммуникации (телефония, сеть, Интернет)
• средства коллективной работы (корпоративная почта, разделяемые сетевые ресурсы, портал)
• общие ИТ-системы (Windows, Office, распространенное прикладное ПО),
• системы управления предприятием и бухучет (АБС, 1С)
• специальные системы (бэк-офис, фронт-офис, REUTER, Bloomberg, РТС, ММВБ, дистанционное банковское обслуживание и др.)
• информационная безопасность - Материалы. Главный принцип – использование материалов, разработанных профессионалами в этой области, а именно:
• для Windows и Microsoft Office были закуплены учебные курсы на CD.
• для АБС были приглашены консультанты из компании-разработчика, базовый курс с их разрешения был записан на видеокамеру и выложен в качестве учебного материала.
• для специальных информационных систем (REUTER, Bloomberg) были запрошены учебные материалы у разработчиков.
• для систем собственной разработки пришлось писать материалы самим - Критерий проверки. Очень удачно получилось с тестами – например, тесты по Microsoft Office не выпускают обучаемого к следующему заданию, пока он не ответит правильно на все вопросы. Для специальных систем пришлось разрабатывать тесты самостоятельно. Главный критерий – избежать личного участия, чтобы не возникали лишние споры
- Документальное оформление. Результаты процедуры проверки квалификационных навыков оформляются актом за подписью непосредственного руководителя подразделения, в которое назначается сотрудник, и начальника ИТ-департамента
4. Результат
Результат удивил, как и сам процесс. Сформировавшись, процесс начал скорее напоминать не прием экзаменов, а то, как гостю в большом отеле показывают facilities: здесь ваш номер, здесь спортзал, здесь Интернет, здесь ресторан, персонал вызывать так-то, звонить так-то, отзывы – сюда, запросы новых сервисов – сюда.
Статистика операционных ошибок пока не подведена, но очевидно, что крупных ошибок стало гораздо меньше. Но самое удивительно другое:
- уменьшилось количество конфликтов между ИТ-департаментом и бизнес-подразделением и жалоб бизнес-подразделений на несовершенство ИТ-систем
- руководители бизнес-подразделений, увидев, что им и их сотрудникам приходится теперь тратить гораздо меньше времени на объяснения новичкам, как что устроено, больше не возражают против затрат времени на проверку квалификационных навыков и обучение
- появились просьбы расширить тематику обучения, особенно в части АБС и других специальных систем
- у ИТ-департамента банка расширился спектр внутренних клиентов и изменился формат взаимодействия с ними. Если раньше изменения ИТ-систем начинались с жалоб бизнес-подразделений на неудобство работы и требований сделать все и сразу в точности так, как удобно конкретному сотруднику, то теперь бизнес-подразделение приходит сначала в ИТ с вопросами и обсуждением – что можно сделать, насколько это сложно, какой нужен бюджет, как реализован требуемый функционал в других информационных системах. Причем разговор ведется на языке, понятном обеим сторонам. В результате появляется общее понимание проблемы и общее видение возможных решений, которое в дальнейшем обсуждается с руководством кредитной организации.
Список используемых источников
1. Стандарт Банка России СТО БР ИББС-1.0-2008 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения". Распоряжение Банка России от 25 декабря 2008 г. N Р-1674
2. О стандарте Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2008” (СТО БР ИББС-1.2-2009). «Вестник Банка России» № 31 (1122), 19.05.2009, http://www.cbr.ru/publ/main.asp?Prtid=Vestnik
3. ISO/IEC IS 27001-2005 Information technology. Security techniques. Information security management systems. Requirements.
4. ОРГАНИЗАЦИЯ РАБОТЫ ПО ОБУЧЕНИЮ ПЕРСОНАЛА. По материалам книги М.И.Магуры, М.Б.Курбатовой "Современная система обучения персонала". Управление персоналом N 001-002 стр. 56-63 от 12.01.2004
Copyright © 2009 Бондаренко М.В., Тихонов С.Н.