Faza 2: Opracowanie planu realizacji działań dostosowawczych do Wytycznymi IT KNF
W wyniku audytu obecnego stanu zgodności z Wytycznymi IT KNF powstaje powiązana z poszczególnymi wytycznymi lista produktów niezbędnych do wdrożenia oraz lista zadań, których wykonanie jest kluczowe dla pomyślnego opracowania i implementacji zdefiniowanych produktów. Kolejnym krokiem jest pogrupowanie zdefiniowanych produktów i zadań w taki sposób, aby zagwarantować najbardziej efektywną ich realizację w kontrolowanym i zarządzanym środowisku projektowym. W praktyce może to oznaczać, że grupowane są produkty i zadania, które bezpośrednio wynikają jedno z drugiego lub dotyczą zbliżonej materii merytorycznej, co powoduje, że wymagana jest ich intensywna koordynacja, np. Strategię IT bezpośrednio poprzedza inwentaryzacja środowiska IT.
W większych organizacjach grupowanie produktów z uwzględnieniem zależności pomiędzy nimi służy zdefiniowaniu odrębnych inicjatyw projektowych, które łącznie stanowią Program wdrożenia Wytycznych IT KNF. W celu zdefiniowania inicjatyw w pełnym zakresie, rekomendowane jest określenie następujących elementów tworzących definicję inicjatywy:
- Cel – Odpowiada na pytanie „dlaczego?” i wskazuje na uzasadnienie powołania projektu,
- Zakres – Odpowiada na pytanie „co?” oraz częściowo „jak?”. Wynika bezpośrednio z rekomendacji i wniosków opracowanych w ramach audytu obecnego stopnia zgodności z Wytycznymi IT KNF, jednak podlega korekcie z uwzględnieniem czynników wskazanych w preambule do treści Wytycznych IT KNF, m.in. kosztów, specyfiki działania, skali. Na tym etapie prac nie jest definiowany szczegółowy sposób realizacji prac (chyba, że jest już znany), lecz elementy ramowe, które są pewne,
- Produkty – Opis produktów wynikających z analizy. Z wypracowanej metodyki i dotychczasowego doświadczenie konsultantów JT Weston wynika, że Wytyczne IT KNF bezpośrednio wskazują na konieczność dysponowania ponad 100-ma produktami o różnej wielkości. Oczywiście w zależności od skali organizacji większość produktów stanowić będzie odrębne byty (duże organizacje) lub wiele produktów łączonych będzie w jeden zbiorczy produkt (mniejsze organizacje), jednak praktycznie wszystkie organizacje będą musiały uwzględnić w pracach ponad 100 wyodrębnionych obszarów merytorycznych (nawet jeśli dany obszar w przypadku mniejszej organizacji jest niezasadny to powinna być sporządzona analiza zasadności zakończona pisemnym podsumowaniem wyników analizy),
- Zadania – Opis zadań niezbędnych do wykonania w celu pomyślnego opracowania i wdrożenia produktów,
- Priorytet inicjatywy – Wskazuje jaki jest poziom istotności inicjatywy. Szczególnie ważny, jeżeli planowane do zrealizowania są również zadania wykraczające poza zakres Wytycznych IT KNF,
- Lista zidentyfikowanych ryzyk – Wszystkie możliwe do zmaterializowania czynniki mające wpływ na realizację inicjatywy i poszczególnych produktów,
- Lista zależności z innymi inicjatywami – Istotny element wskazujący na wpływ produktów na siebie. W większości przypadków jeden produkt stanowi wkład do innego produktu, zatem powinny być tworzone po kolei,
- Szacowany czas trwania inicjatywy – Szacowany czas realizacji inicjatywy stanowiący sumę czasów realizacji poszczególnych produktów przy założonym zaangażowaniu finansowym i osobowym,
- Szacowane koszty – Celem jest wskazanie poziomu zaangażowania osobowego i finansowego zarówno na etapie implementacji, jak również kilkuletniego utrzymania. Pozwala to uniknąć pułapki „bezkosztowej” implementacji i niebotycznie drogiego utrzymania rozwiązania. Jedną z metodyk opisującą takie podejście jest TCO® (ang. Total Costs of Ownership). Oszacowanie kosztów jest również istotne dla możliwości przeprowadzenia analizy relacji kosztów do korzyści wynikających z realizacji wybranych prac (wspomniana wcześniej analiza zasadności). Wyniki analizy mogą posłużyć do argumentacji przed Komisją Nadzoru Finansowego.
W celu bardziej precyzyjnego oszacowania zakresu oraz wymaganych kosztów, zasobów i harmonogramów realizacji inicjatyw, w szczególności związanych z wdrożeniem narzędzi i infrastruktury IT (np. IPS/IDS, DLP, narzędzia do czyszczenia danych), zaleca się wykorzystanie zapytań o informację (RFI – ang. Request For Information) do potencjalnych dostawców zewnętrznych tego typu rozwiązań.
Zdefiniowane inicjatywy stanowią operacjonalizację zadań i wniosków z analizy stanu obecnego. Szacowany czas trwania prac, zależności oraz priorytety inicjatyw pozwalają uszeregować je i zaplanować pracę nad nimi w kolejności gwarantującej najbardziej efektywne wykorzystanie zasobów osobowych i finansowych oraz osiągnięcie zgodności z Wytycznymi IT KNF w wyznaczonym terminie. W taki sposób powstaje program osiągnięcia zgodności z Wytycznymi IT KNF.
W mniejszych organizacjach, w których realizacja całości prac dostosowawczych do Wytycznych IT KNF spoczywa na zespole 2-5 osób, w zupełności wystarczającym narzędziem zarządczych będzie harmonogram realizacji zadań dla poszczególnych produktów, ze wskazaniem zależności między produktami, czasów realizacji poszczególnych prac oraz osób odpowiedzialnych za dostarczenie i wdrożenie każdego z produktów. Istotne jest jednak formalne powołanie projektu wdrożenia Wytycznych IT KNF oraz zaangażowanie do jego monitorowania Zarządu, którego aktywny udział i wsparcie dla realizacji celów projektu będą kluczowe dla pomyślności ich osiągnięcia.
Faza 3: Realizacja planu działań dostosowawczych do Wytycznymi IT KNF
Po zdefiniowaniu planu implementacji inicjatyw oraz budowie programu implementacji Wytycznych IT KNF, kolejnym krokiem jest jego wdrożenie. Każda ze zdefiniowanych inicjatyw (większe organizacje) przed uruchomieniem powinna zostać uzupełniona o materiały zarządcze, tj. w szczególności:
- Harmonogramy inicjatywy – Uszczegółowiony harmonogram prac projektowych stanowiący rozwinięcie harmonogramu opracowanego w ramach planu osiągnięci zgodności z Wytycznymi IT KNF,
- Struktura zarządzania inicjatywą i zespół projektowy – Przyporządkowanie ról zarządczych i nadzorczych oraz przydzielenie zespołu projektowego odpowiedzialnego za realizację inicjatywy,
- Plan komunikacji – Określenie sposobu, zakresu, adresatów i częstotliwości komunikacji zmian wynikających z implementacji inicjatyw,
- Rejestr ryzyka – Narzędzie przeznaczone do zarządzania ryzykiem poprzez identyfikację i oszacowanie ryzyka, definicję strategii zarządzania ryzykiem oraz monitorującym jej realizację.
Wszystkie powyższe materiały są katalogowane w formie karty inicjatywy. Na bazie kart inicjatyw opracowywana jest dokumentacja programu, którego najbardziej istotnym elementem jest harmonogram. Z racji wysokiego poziomu skomplikowania powiązań pomiędzy produktami i inicjatywami, istotne jest żeby realizacja programu była koordynowana przez doświadczonego kierownika, który będzie znał materię inicjatyw również od strony merytorycznej. Z racji konieczności realizacji wielu inicjatyw równocześnie, co wynika z terminu wyznaczonego przez KNF, istotne jest również posiadanie dostępu do doświadczonych kierowników projektów oraz zespołu ekspertów dziedzinowych tam, gdzie takie kompetencje nie są dostępne wewnętrznie. Najbardziej jednak istotne dla powodzenia całego przedsięwzięcia jest wsparcie ze strony Zarządu, zarówno poprzez wysoki poziom decyzyjności, jak również udostępnienie niezbędnych do wykonania programu zasobów.
Podczas implementacji produktów dostosowawczych rekomendujemy, niezależnie od wielkości organizacji, realizowanie prac w oparciu o 4 przedstawione poniżej kroki:
Rys. 1. Proces implementacji produktów prac dostosowawczych
Po zrealizowaniu programu mającego za zadanie doprowadzić do pełnej zgodności z Wytycznymi IT KNF istotne jest przeprowadzenie audytu zamknięcia i ewentualne wprowadzenie działań korygujących zapewniających ostateczną zgodność z Wytycznymi IT. Dlatego konstruując harmonogram realizacji prac wdrożeniowych należy przyjąć, że ostatnie prace wdrożeniowe powinny być realizowane nie później niż z końcem trzeciego kwartału 2016 r. Ostatni kwartał powinien być zarezerwowany na audyt zamknięcia i wspomniane działania korygujące.