По-видимому, на свете нет ничего, что не могло бы случиться.
Марк Твен
Жизнь учит, что использование информационных технологий приносит не только положительный эффект, но также приводит к появлению специфичных рисков — ИТ-рисков. Для большинства предприятий эти риски относятся к категории операционных.
Что означают эти слова — ИТ-риски, операционные риски? Вот пример из банковской отрасли: «Операционный риск — риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий» (из письма Банка России № 76-Т «Об организации управления операционным риском в кредитных организациях» от 24.05.2005).
Из этого определения видно, что использование информационных технологий может приводить к убыткам по следующим причинам:
- несоразмерность (недостаточность) функциональных возможностей (характеристик) применяемых информационных систем
- отказы (нарушения функционирования) информационных систем
В первом пункте речь идет о том, что информационная система недостаточно хорошо спроектирована (или выбранная система не оптимальна для данной организации, или отсутствует необходимая интеграция между системами и так далее), во втором — что в работе или при внедрении информационной системы происходят нештатные ситуации (отказы, ошибки функционирования, снижение производительности и подобное). В обоих случаях это приводит к нарушениям информационных процессов организации, что ведет к возникновению убытков (прямых или косвенных). То есть использование информационных технологий приводит к появлению рисков. Именно такие риски мы будем называть ИТ-рисками (или операционными ИТ-рисками).
В чём состоит проблема?
Давайте разберемся, какая ответственность по управлению ИТ-рисками лежит на поставщике ИТ-сервисов. Вот что об этом говорится в материалах третьей версии ITIL®: "Сервис — способ предоставления ценности заказчикам через содействие им в получении результатов, которых заказчики хотят достичь без владения специфическими затратами и рисками" (официальный русскоязычный перевод глоссария ITIL v3). Таким образом, обязанность поставщика ИТ-сервисов — управлять соответствующими ИТ-рисками, то есть реализовать такую систему управления, которая умеет эти риски выявлять, ранжировать, снижать и контролировать.
Более того, для многих предприятий именно управление ИТ-рисками (а не повышение качества ИТ-сервисов и не сокращение расходов) является основным стимулом инвестировать в систему ИТ-менеджмента. Чаще всего это связано с одной из следующих причин:
- существенная зависимость продуктов/сервисов предприятия от ИТ (прежде всего, характерно для банков и телекоммуникационной отрасли)
- необходимость защиты интересов акционеров в получении достоверной отчетности (открытые акционерные общества, компании, которые готовятся к IPO, ресурсодобывающая отрасль)
- необходимость соответствия отраслевым стандартам (сейчас это в основном финансовые учреждения)
Ассоциативная память в ответ на упоминание термина "риск-менеджмент" сразу подскажет знакомые всем названия методик управления рисками: M_o_R, CRAMM, MOF (в части управления рисками). Однако они носят довольно общий характер (за исключением CRAMM, который больше ориентирован на информационную безопасность) и их применение "с чистого листа" приводит к сложностям уже на первом этапе — этапе идентификации рисков.
Так что же необходимо делать для управления ИТ-рисками? Какой подход дает наилучшие результаты?
Варианты решения
Один из эффективных вариантов решения этой задачи — встраивание управления рисками в систему управления ИТ-сервисами. Это действительно работает, ведь на каждой фазе жизненного цикла ИТ-сервиса можно естественным образом влиять на уровень ИТ-риска:
- на этапе дизайна (проектирования) можно организовать контрольные процедуры, которые будут снижать риск внедрения ИТ-решений с недостаточными возможностями. В этом могут помочь следующие процессы:
- управление уровнем ИТ-сервисов — в части выявления и согласования требований
- управление доступностью, непрерывностью и мощностями — в части обеспечения соответствующих характеристик сервисов с учетом потребностей бизнеса и результатов анализа влияния на бизнес (Business Impact Analysis, BIA)
- на этапе внедрения можно бороться как с рисками плохого проектирования (выполняя тестирование внедряемых ИТ-решений), так и с рисками отказов (грамотно планируя и проводя развертывание). В этом помогут процессы управления изменениями и релизами
- на этапе эксплуатации соответствующие процедуры помогут снизить риски, связанные с отказами:
- управление инцидентами может снизить риск за счет скорейшего восстановления ИТ-сервисов (то есть сокращения ущерба)
- управление проблемами увеличивает время между отказами, повышает надежность ИТ-сервисов, снижая риск за счет уменьшения вероятности отказов;
- управление операциями организует исполнение и контроль операций, которые обеспечивают и стабильную работу систем (за счет своевременного выполнения регламентных операций), и сокращение времени восстановления (например, за счет эффективного резервного копирования и мониторинга)
Таким образом, встраивая управление ИТ-рисками в систему управления ИТ-сервисами, мы во многом заменяем "академический" подход к управлению рисками установкой действенных "контрольных механизмов" в те точки жизненного цикла сервисов, в которых ИТ-риски формируются и проявляются.
Чем может помочь Cleverics
В работе с ИТ-рисками мы можем помочь Вам, используя весь наш инструментарий — обучение, консалтинговые услуги, проведение оценки.
Обучение Ваших специалистов
Во многих областях знаний, и в управлении рисками в том числе, очень важно, чтобы специалисты понимали и могли наглядно объяснить с чем имеют дело. В нашем примере необходимо, чтобы люди знали (не только в теории, но и как можно ближе к практике), что такое риски, где и как они формируются и проявляются, что значит "управлять ИТ-рисками", как можно реализовать это управление. Мы сформировали программу наших курсов таким образом, чтобы помочь Вам этом. Например, курс "Основы ITIL" поможет сформировать целостное представление о системе управления ИТ-сервисами и механизмах управления ИТ-рисками, углубленные курсы по областям ("CMDB, управление конфигурациями и активами", "Service Desk. Поддержка и сопровождение ИТ-услуг") помогут более детально подойти к вопросам организации необходимых контрольных процедур и так далее.
Управление ИТ-рисками с помощью консультантов
У нас есть профессиональный опыт решения задач по управлению ИТ-рисками. Мы готовы помогать Вам в решении Ваших задач. В ходе совместной работы в рамках консалтингового проекта мы также поможем Вам грамотно интегрировать систему управления ИТ с общекорпоративными инструментами управления рисками (которые часто присутствуют на предприятиях, особенно в банковской отрасли).
Проведение оценки
Проводя оценку текущего состояния практики ИТ-менеджмента, мы часто используем риски, как понятный для бизнеса и ИТ-руководства язык, на котором можно наглядно объяснить, какие организационные изменения необходимы и почему. Выполнение оценки рисков в привязке к этапам жизненного цикла ИТ-сервисов позволяет более четко поставить проектную задачу, а в ряде случаев может помочь Вам обосновать проект перед бизнесом.
Автор: Дмитрий Исайченко.