Управление ИТ-рисками

В данной статье речь пойдет о риск-ориентированном подходе в ИТ-управлении. О трудностях, которые могут возникнуть при внедрении процесса управления ИТ-рисками и о некоторых способах их преодоления.

Согласно ГОСТ Р ИСО 31000, риск – это влияние неопределённости на цели. Исходя из этого, будем считать, что ИТ-риск – это влияние неопределённости, связанной с ИТ-деятельностью, на цели организации. Строго говоря, любая деятельность порождает неопределённость. Внедрение и развитие информационных технологий, их эксплуатация, а также операционная деятельность, как составная часть ИТ-управления, оказывают существенное влияние на организацию. А чем больше сбоев происходит во время использования ИТ, тем ощутимее становится и негативное влияние на цели организации.

Деятельность по управлению ИТ-рисками рассматривается как составная часть общего управления рисками в организации и в основном направлена на:

• предотвращение или своевременное выявление и оценку ИТ-рисков, принятие адекватных мер по их снижению до допустимого уровня;
• достижение стратегических целей развития ИТ-организации;
• разработку и реализацию комплекса мер, способствующих достижению целей функционирования процессов управления ИТ в условиях необходимости соответствия быстро меняющимся потребностям бизнеса.

Несмотря на такие благие цели, на пути внедрения процесса управления ИТ-рисками возникает ряд трудностей. Большая часть негатива относится к способу взаимодействия управления ИТ-рисками с определёнными стилями управления. Быть хорошим управленцем – нетривиальная задача. Нужны упорный труд, практическая смекалка и, главное, талант. Люди, которым не хватает требующегося таланта, попадают во власть механических подходов, таких, как управление по целям, планирование по закону Паркинсона («работа заполняет всё время, отпущенное на неё») и «культура страха», при которой подчинённых вынуждают действовать запугиванием. Эти методы несовместимы с любой схемой управления рисками.

Однако сопротивление управлению рисками исходит не только от менеджеров, культивирующих механические подходы. Вот ещё несколько основательных поводов усомниться в том, сработает ли риск-ориентированный подход в ИТ-управлении.

1. Представители бизнес-подразделений не являются достаточно подготовленными, чтобы смотреть риску в лицо.

Другими словами, если ИТ-подразделение будет на постоянной основе говорить об истинном положении дел, бизнес может вовсе отказаться от услуг внутреннего ИТ, поэтому зачастую ИТ-менеджеры вынуждены лишний раз не беспокоить своих внутренних заказчиков или попросту им лгать.

2. Уровень неопределённости слишком велик.

Многие ИТ-менеджеры теоретически готовы бороться с неопределённостью, которая порождается в результате ИТ-деятельности. Но не понятны границы этой самой неопределённости. Нежелание хоть в какой-то мере классифицировать ИТ-риски приводит к тому, что большая часть рисков остаётся вне поля зрения ИТ-менеджеров. Люди тщательно заботятся о том, чтобы не споткнуться о шпалу, но не видят приближающегося поезда.

3. Данных о реализовавшихся рисках в прошлом может быть недостаточно для эффективного управления рисками.

Если бы можно было со 100%-ной уверенностью утверждать, что вероятность какого-то события близка к нулю, т. к. в прошлом такое событие еще не наступало, многие ИТ-менеджеры были бы в восторге. «До открытия Австралии жители Старого Света тоже были убеждены, что все лебеди – белые» (Н. Талеб).

4. Зачем управлять ИТ-рисками, если нельзя от них полностью избавиться?

Можно управлять рисками, но нельзя полностью их предотвратить. Подход, основанный на убеждённости, что риски не материализуются, делают сам процесс ИТ-управления бессмысленным, когда они всё-таки случаются. Для любой организованной деятельности риски присущи цели и напрямую связаны с операциями в рамках этой деятельности. Устранение этих внутренних рисков может быть достигнуто только путём отказа от значительной части операций в рамках этой самой деятельности.

5.Бессмысленно управлять рисками в одиночку.

Бессмысленно осуществлять управление рисками единственному менеджеру процесса, окружённому коллегами, которые всячески стараются избегать этой деятельности. Объявляя перечни рисков и количественно оценивая неопределённость, этот одинокий менеджер добьётся лишь того, что в конце концов станет выглядеть паникёром.

* * *

Этот список далеко не полный – можно и дальше продолжать выискивать причины для сомнений. Но всё же попробуем привести некоторые аргументы в противовес перечисленным трудностям, из-за которых многие менеджеры игнорируют тот факт, что управление ИТ-рисками должно стать составной частью набора инструментов ИТ-управления.

1. Цели организации неразрывно связаны с ИТ-целями.

Достижение целей организации и реализация её миссии требует получения ряда ИТ-результатов, которые описываются ИТ-целями. Занимаясь управлением ИТ-рисками важно всегда помнить, что одной из основных задач ИТ-управления является содействие в минимизации присущих ИТ операционных рисков. На достижение цели ИТ-деятельности влияет множество различных источников рисков. В случае реализации этих источников ИТ-цель достигается частично либо не достигается вовсе. Другими словами, на выходе вы не получите требуемого ИТ-результата для достижения целей организации, либо получите не то, что нужно.

2. Тщательно продуманная классификация рисков позволяет упорядочить процесс их идентификации.

Чтобы процесс идентификации рисков не выглядел хаотичным и позволил бы охватить наибольшее количество тех самых источников рисков, рекомендуется предварительно продумать подходящую таксономию ИТ-рисков. Т. к. ИТ-риски относятся к операционным рискам, то соответствующие источники риска можно разделить на 4 класса: деятельность ИТ-персонала, сами информационные технологии, операционная деятельность (процессы ИТ-управления), внешние факторы. Каждый из перечисленных классов можно детализировать до конкретных областей. К примеру, «ИТ» включают в себя ИТ-инфраструктуру и программное обеспечение, а под классом «внешних факторов» рассматривают поставщиков, влияние геополитики и т. д. В свою очередь, каждый процесс ИТ-управления состоит из нескольких этапов жизненного цикла, например, таких как: внедрение, функционирование и совершенствование процесса. На каждом из таких этапов могут возникать свои источники риска.

3. Важность ретроспективного анализа.

Регулярная фиксация возникающих в ИТ-деятельности риск-событий (реализовавшихся рисков) позволяет с большей точностью определять болевые точки, на которые требуется обратить особое внимание. Учитывая события в прошлом, можно строить более точные прогнозы проявления этих событий в будущем, и своевременно применять необходимые меры реагирования.

4. Регулярное исследование источников рисков позволяет понять, что мешает достичь цели ИТ-деятельности.

Риск часто характеризуется путём описания возможного события и его последствий или их комбинации. Событие само по себе является не процессом, а результатом определённых процессов. Анализируя источники риска в привязке к ИТ-объектам (например, ИТ-системам или процессам ИТ-управления), в которых они зарождаются и/или на которые они влияют, можно понять, что в первую очередь мешает достичь ИТ-целей, и найти наилучший способ минимизации негативного воздействия. Одни источники риска самостоятельно способны спровоцировать реализацию конкретного риска, другие – только в комбинации с другими источниками.

О каких же источниках ИТ-рисков можно говорить? Количество источников риска ничем не ограничено, и здесь важно помнить, что слишком большое их количество может привести к снижению качества их оценки. Перечень источников риска формируется произвольно, единственно правильного варианта просто не существует, т. к. многое зависит от специфики организации.

Вот несколько примеров источников, которые являются общими для большинства организаций:

• изъяны, допущенные при проектировании процесса ИТ-управления;
• отсутствие контрольных процедур;
• нехватка адекватного ИТ-персонала;
• деградация производительности ИТ-систем.

Далее каждый источник риска можно оценить по степени влияния.

Например, 0 – нецелесообразно принимать во внимание, 1 – среднее влияние, 2 – высокое влияние. Эта оценка может быть проведена экспертным путем. Дополнительно рекомендуется проанализировать зависимость от других рисков и их источников.

Подобный анализ рисков обеспечит входную информацию для проведения оценки риска и принятия решений относительно необходимости дальнейшего реагирования на выявленные риски и его источники.

В заключение хотелось бы ещё раз подчеркнуть, что управление рисками, возникающими в ИТ-деятельности, позволяет более эффективно достигать ИТ-целей и тем самым минимизировать операционные риски бизнес-процессов. Лучше всего эта закономерность проявляется в тех компаниях, в которых корпоративная культура позволяет признавать неопределённость и открыто говорить о ней. Когда внедрён процесс управления рисками, сотрудникам разрешено мыслить и негативно, по крайней мере, часть времени. Это позволяет объективно оценивать происходящее в рамках ИТ-деятельности.