Enterprise Risk Management и критически важные аспекты использования информационно-технологических средств

Он обязывает соответствующие организации оценивать все возникающие и существующие риски в этой области и управлять ими. В то же время многие организации самостоятельно приходят к пониманию того, что рисками надо управлять системно, комплексно и целенаправленно. Появляются соответствующие формализованные практики и правила на корпоративном уровне. Однако в сфере информационных технологий, лежащих в основе многих важных сфер жизни общества, общепризнанных, приземленных на почву ИТ-практик пока не так много. До сих пор нет общей определенности: каким именно образом надо управлять рисками, связанными с ИТ, и самое главное – как создать в организации единую систему управления рисками, включающую в себя такую специфичную область, как информационные технологии.

В системе корпоративного управления рисками должно быть обеспечено единство понимания того, что есть «риск». Модель COSO (The Committee of Sponsoring Organizations of the Treadway Commission) определяет управление рисками организации как «процесс, осуществляемый высшим руководством, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации». Управление рисками представляет собой непрерывный процесс, охватывающий всю организацию, он осуществляется сотрудниками на всех уровнях организации. Данный процесс дает руководству разумную гарантию достижения целей, связан с достижением целей по одной или нескольким пересекающимся областям деятельности.

С точки зрения корпоративного управления риски,  связанные с ИТ, как правило, относят к операционным. Традиционно с областью информационных технологий во многих организациях ассоциируются только риски информационной безопасности. Развитие методологии управления ИТ-рисками (OGC,ISACA и др.) привело к тому, что в последнее время трактовка данного термина значительно расширилась. Так,  ГОСТ Р 51901-2002 «Управление надежностью. Анализ риска технологических систем» определяет риск как «сочетание вероятности события и его последствий» и рекомендуют употреблять термин «риск» тогда, когда существует хотя бы возможность негативных последствий. В общем случае согласно ГОСТ Р 51897-2011/Руководство ИСО 73:2009 «Менеджмент риска. Термины и определения под риском понимается «следствие влияния неопределенности на достижение поставленных целей». По нашему опыту при построении системы управления рисками лучше оперировать последним определением как наиболее полно отражающим саму сущность рисков и соответствующим современным подходам в этой области.

Единое понимание рисков в контексте поставленных целей может быть тем стержнем, на котором в качестве одной из своих основ базируется корпоративная система управления. При управлении ИТ-рисками целесообразно выделить некоторые виды рисков исходя из характера негативного воздействия на бизнес-цели. В первую очередь – это риски, связанные с недостижением целей повышения эффективности основной деятельности за счет использования информационно-технологических средств. Несмотря на кажущуюся некритичность таких рисков, нельзя забывать огромное количество средств, расходуемых компаниями на сферу ИТ, и тот факт, что без развития корпоративных информационных технологий многие отрасли теряют важнейшие внутренние активы и способности, делающие их неконкурентными на развивающемся российском и особенно мировом рынке. Кроме того, среди критичных следует назвать риски нарушения соответствия законодательным и иным государственным и отраслевым нормам, возникающих в рамках предоставления и/или потребления информационных сервисов на основе ИТ-средств.

Указанные риски могут возникать ка на этапе создания информационных систем, так и в процессе их эксплуатации,  при предоставлении соответствующих информационных сервисов. Зачастую это происходит вследствие:

• • • неэффективного взаимодействия между бизнесов и ИТ;
    • несоответствия между инфраструктурой и выбранными решениями по автоматизации;
    • нарушения сроков и бюджета программ развития ИТ;
    • технических и организационных ошибок при предоставлении ИТ-сервисов;
    • ошибки в расчетах нагрузки на элементы инфраструктуры и обслуживающий персонал и т.д.

Таким образом, недостаточно просто приобрести и внедрить программное и аппаратное обеспечение, чтобы решить поставленные бизнес-задачи. Надо уметь управлять созданной информационной системой, обслуживать и интегрировать ее в корпоративные системы управления, обеспечить предоставление информационных сервисов потребителям на должном уровне и т.д. следовательно, появляются соответствующие риски, которыми надо управлять.

Автоматизация управления рисками Является ли управление такими рисками в виде отдельного структурированного процесса  распространенной практикой в российских организациях? Пока нет. Это не значит, что российские организации не управляют рисками. Они это делают, но данный процесс далеко не всегда находится на должном уровне зрелости.

По опыту компании «IT Expert» при управлении рисками такого рода далеко не всегда требуется построение собственного процесса управления рисками, находящегося в сфере ответственности ИТ. Вполне допустимо и во многих случаях даже предпочтительнее управлять рисками в рамках корпоративной системы внутреннего контроля, существующей или создаваемой во многих организациях. В качестве методологической основы расширения ее действия на сферу ИТ можно взять COBIT v.5 (2012) и дополнить подходами из  ITIL v.3.1 (2011).

Внедрение процессной модели ИТ-управления подразумевает не только собственно организацию ИТ-деятельности,  но и ее формализованную оценку. Рассчитываемые показатели деятельности должны отражать эффективность процесса, в том числе степень достижения целей соответствующих процессов.

Достаточно неэффективно с точки зрения трудовых затрат внедрять и поддерживать процессную модель деятельности ИТ-подразделения без соответствующего инструмента автоматизации. На рынке существует множество программно-технологических решений поддержки процессной модели управления ИТ-деятельностью. Все широко известные средства автоматизации в этой области – AXIOS Assist, OMNINET Omnitracker, BMC Remedy и т.д. – включают в себя инструменты сбора показателей эффективности работы ИТ-процессов. Именно эти аналитические данные получаемые на основе систем, могут служить материалом для процесса оценки и управления рисками.

Фактически инструмент автоматизации процессной деятельности может являться и инструментом контроля, под которым понимается всякое действие, предпринятое субъектом управления для повышения вероятности того, что установленные цели будут достигнуты объектом управления.

Таким образом, при структурировании ИТ-деятельности возможно поэтапное внедрение не только собственно системы управления ИТ, но и элементов риск-менеджмента. А средства автоматизации процессов ИТ-управления могут выполнять одновременно роль поставщика информации средствам автоматизации корпоративного управления рисками.

Для достижения значимых результатов целесообразно проводить регулярную оценку «зрелости» процессов ИТ-деятельности. Для этого рекомендуется использовать подходы. Изложенные в COBIT 5. Модель зрелости процессов COBIT 5 основана на стандарте  ISO/IEC 15504 15504 Software Engineering – Process Assessment Standard.

Оценку зрелости процессов можно осуществлять как в рамках процедур внутреннего контроля, включая внутренний аудит, так и на основе самооценки, проводимой ИТ- менеджерами с частичной верификацией результатов, например риск-менеджерами, для повышения ее достоверности.

Безусловно, чем выше уровень зрелости процессов и больше количество процессов, к которым применяется формальная оценка, тем ниже уровень ИТ-рисков. Однако организация должна определить, какой именно уровень зрелости является для нее эффективным с точки зрения затрат на создание и поддержание системы управления рисками. В первую очередь это зависит от целей и структуры организации, особенностей ведения бизнеса. В то же время необходимо иметь в виду, что уровни зрелости процессов ниже третьего по шкале COBIT v.5 мало пригодны для структурированного риск-менеджмента. Действительно, нельзя системно управлять рисками в области ИТ, если отсутствуют актуальное нормативно-методическое обеспечение деятельности, формализующее процессы, а также критерии оценки деятельности ИТ-персонала, механизмы, фиксирующие отклонения (по степени достижения целей, по параметрам эффективности, по качеству и т. п.). Следовательно, в начальной стадии зрелости организации с точки зрения ее корпоративного управления управление ИТ-рисками должно создаваться вместе с системой ИТ-управления или внедряться уже после нее.

Среди сложностей внедрения систем автоматизации управления рисками можно выделить и проблемы принятия решений относительно организационно-штатных структур, наделенных функциями по управлению рисками. В компании необходимо назначить одного или нескольких сотрудников, непосредственно отвечающих за документирование процедур внутреннего контроля и управления рисками. Следует предусмотреть создание и обеспечение функционирования органов, осуществляющих предварительный (проактивный) и последующий (реактивный) контроль рисков различных направлений деятельности, в том числе ИТ. Выбор организационно-штатного решения непрост, в компаниях данный вопрос может решаться разными способами: либо назначением отдельного подразделения, ответственного за управление рисками, либо закреплением данной функции за группой сотрудников внутри каждой организационной единицы, причем как в бизнес-под- разделениях, так и в ИТ.

Однозначного решения без анализа организации не существует. Хорошей практикой считается выделение подразделения, которое занимается методологическим обеспечением процесса управления рисками в рамках всей компании. Такое решение позволяет на начальных этапах работы по созданию системы управления рисками получить заинтересованных в результате проекта сотрудников, для которых результат данного проекта станет возможностью укрепить свои внутренние позиции. Именно они должны стать движущей силой, которая позволит сформировать целостную внутреннюю нормативную базу, регламентирующую управленческую и контрольную деятельность в области управления рисками. В то же время с учетом того, что управление рисками в рамках корпорации является общекорпоративной деятельностью, необходимо в рамках проекта определить механизмы принятия мер по результатам анализа и выявления отклонений и выработать правила их применения.

Нет необходимости убеждать руководителей компании, что рисками управлять нужно. Однако многие важные аспекты по управлению рисками закладываются при постановке задачи и на других ранних стадиях проекта. Именно на этих этапах важно определить, выделить и проработать наиболее критичные вопросы – методологические, организационные и информационно-технологические, которые могут привести к успеху или неудаче проекта в целом. Грамотная проработка всей системы управления рисками позволит сформулировать требования к соответствующим средствам автоматизации и определить их место во внутреннем мире корпоративных информационных технологий.