Ещё недавно управление информационно-технологическими рисками было узкой специализацией управления операционными рисками, и сводилось к изучению последствий отказов информационных систем и причин неудач ИТ-проектов. Сегодня, благодаря грандиозному наступлению современных технологий, ИТ-риски стали важной составляющей общих бизнес-рисков организации, а меры по их анализу и минимизации составили предмет отдельной дисциплины — дисциплины управления ИТ-рисками (Information Technology Risk Management — ITRM). ITRM позволяет управлять работой и разработкой информационных систем, согласуя степень рисков с затратами на их предотвращение, и учитывая долгосрочные цели бизнеса организации.
Автоматизированная система управления
Автоматизированная система управления, или АСУ — комплекс аппаратных и программных средств, предназначенный для управления различными процессами в рамках технологического процесса, производства, предприятия. АСУ применяются в различных отраслях промышленности, энергетике, транспорте для повышения производительности труда и совершенствования методов управления, в частности, повышения обоснованности управленческих решений.
Но помимо решения проблем новые технологии рождают и новые риски. Высокая сложность используемых решений заставляет повышать их отказоустойчивость и квалификацию сотрудников. Для высокопроизводительных систем необходим автоматизированный мониторинг эффективности, качества и безопасности. Соответствие требованиям регулирования — головная боль по обновлению регламентов и созданию стандартов.
Управление рисками в ИТ
Как АСУ влияет на современное производство, так и информационные технологии привносят в бизнес наряду с новыми коммерческими возможностями и радикальными усовершенствованиями новые категории риска. Управление рисками помогает выявить соответствующие угрозы и определить инвестиции, необходимые для их ограничения. Другими словами, организации, управляющие рисками, получают возможность внедрять инновации безопасно, и по разумной цене. Дополнительный плюс — экономия нервных клеток и продуманные действия в опасных, предусмотренных заранее ситуациях.
Управление ИТ-рисками позволяет получить полный эффект от инвестиций в ИТ. ITRM не только служит защитной мерой для капитала организаций, но также обеспечивает управляемое развитие и создаёт возможность использовать ИТ в своей стратегии развития бизнеса с полной отдачей.
Категории ИТ-риска
К ИТ-рискам относятся уязвимости информационных систем, которые могут привести к прерыванию или нарушению бизнеса, в частности:
- Риски безопасности. Включают потерю важных данных или раскрытие конфиденциальной информации в результате мошенничества или воровства.
- Риски готовности. Определяются временем простоя и восстановления информационных систем после природных катастроф, отказа или из-за ошибки работника.
- Риски производительности. Медленная реакция приложения может привести к потере транзакций, клиентов или партнеров.
- Риски несоответствия нормативным требованиям. Судебные издержки и потери репутации в связи с несоблюдением законодательных норм.
Границы затратного подхода
Когда главной задачей ИТ была поддержка внутреннего заказчика, департаменты ИТ придерживались затратного подхода, или подхода снижения издержек. Они соизмеряли результаты своей работы с условиями соглашений об уровне обслуживания (SLA), сопоставляли расходы с отраслевыми нормами на единицу дохода и на одного работника, следовали практическим рекомендациям по стандартизации, консолидации, автоматизации и управлению ИТ-услугами с целью минимизации затрат. Затратный подход привёл к реализации модели частичного или полного аутсорсинга ИТ-операций. Логика здесь такова: операции поддержки ИТ-инфраструктуры представляют собой универсальные, недифференцируемые службы и не дают конкурентных преимуществ — дешевле передать их сторонним поставщикам.
Некоторым затратная стратегия принесла успех, например, поставщикам стандартных услуг, но рынок быстро нивелировал преимущества большинства организаций, полученные с её помощью. Консультанты, вендоры и подрядчики делают общим достоянием конкурентов методы сокращения расходов. Открытые стандарты выравнивают игровое поле. А инновации, такие, например, как свободные системыили SaaS, распространяются по рынку столь стремительно, что более мелкие конкуренты быстро начинают получать те преимущества, которые еще недавно были прерогативой крупнейших корпораций.
Информационные системы
Чтобы получить возврат от инвестиций в ИТ, сегодня руководство компаний имеет на выбор три стратегические альтернативы:
- Выиграть гонку ко дну, превосходя конкурентов в проведении поэтапных временных мер по достижению экономии в структуре затрат.
- Конкурировать на основе стратегии быстрого преследователя — предоставляя рисковать лидеру, и быстро перенимая лучшие методы.
- Искать новые способы решать задачи бизнеса с помощью ИТ.
В то время, как естественные монополии и компании с государственным участием могут позволить себе тиражировать свободное программное обеспечение, для акул бизнеса, живущих в атмосфере жесткой конкуренции и сверхдоходов предпочтителен третий вариант. При выборе рискованного пути необходимо защищать значительные инвестиции и, поэтому, серьёзно относиться к управлению рисками.
Баланс между риском и затратами
Понятие поддержки конкурентоспособности подразумевает удовлетворение потребностей определённого сегмента заказчиков, предоставление продуктов или услуг с определенными параметрами или выполнение требований определенного канала сбыта. Когда стратегическая позиция по этим вопросам определена, с ней согласовывается вся остальная деятельность фирмы в существующих практических и экономических рамках. ИТ-инфраструктура поддерживает конкурентоспособность организации при помощи технологий, кадров и методов, которые обеспечивают обработку, хранение данных и связь для бизнес-приложений и бизнес-процессов.
Но вместо того, чтобы пытаться конкурировать исключительно на основе экономии, передовые ИТ-руководители теперь используют инвестиции в инфраструктуру для согласования ИТ-рисков с затратами, поддерживая точное соответствие между инвестициями в инфраструктуру и общекорпоративной стратегией. Ключом служит баланс: хотя теоретически безрисковая инфраструктура обеспечила бы полную защиту от атак, безотказно справляясь с системными авариями или с последствиями природных катастроф в точном соответствии с нормами, стандартами и правилами безопасности, она потребовала бы неподъемных расходов. Для поиска реалистичного компромисса между рисками и затратами, максимально соответствующего позиции компании, современные инфраструктурные стратегии используют управление ИТ-рисками. Например, дешевле застраховать электрическую подстанцию от пожара, чем обеспечить её невозгораемость.
Язык управления ИТ-рисками наиболее полезен при взаимодействии с бизнесом. ИТ-подразделения слишком долго пользовались в этом диалоге специализированным, техническим языком, переводя проблемы бизнеса в термины SLA, допустимого времени восстановления, допустимого уровня потери данных, числа инцидентов и времени реагирования.
Сегодня наиболее успешные ИТ-менеджеры для согласования стратегии управления инфраструктурой с бизнес-стратегией оперируют понятиями бизнес-рисков и затрат, как это сделали менеджеры финансовых рисков. Эти стратегии должны давать ответы на следующие вопросы:
- Какие бизнес-процессы вносят наибольший вклад в увеличение общей конкурентоспособности — то есть, каковы главные отличия компании от конкурентов?
- Какие процессы наиболее серьезно повлияют на состояние бизнеса в случае их нарушения или прерывания?
- Каким технологическим рискам эти критические процессы подвержены больше всего: рискам безопасности, надежности, производительности или соответствия нормативным требованиям?
- Как распределить инвестиции в инфраструктуру — кадры, процессы, технологию и информацию — для достижения оптимального баланса между рисками и затратами?
Управление ИТ-рисками помогает согласовать ИТ-инфраструктуру с конкурентной позицией компании при помощи инвестиций, сбалансированных по окупаемости с учетом риска, которые поддерживают или защищают эту позицию. Этот баланс служит основой управления ИТ-рисками: общекорпоративного подхода к оптимизации инвестиций в ИТ-процессы, кадры и системы с целью повышения конкурентоспособности организации.
Как конкурировать
Классическая бизнес-стратегия ставит отдельные вопросы: где конкурировать и как конкурировать. Общая позиция компании определяет, где она будет конкурировать, а решения по поводу компромисса между риском и стоимостью инфраструктуры помогают определить, как она будет конкурировать в рамках корпоративной стратегии.
Одно из фундаментальных решений, которые приходится принимать, отвечая на вопрос как конкурировать — это выбор внутреннего или внешнего источника услуг для поддержки инфраструктуры. Учитывая разнообразие существующих вариантов, эксперты в данной области оценивают тот или иной внутренний источник на основе анализа ответов на следующие вопросы:
- Какова стратегическая выгода от внутренней реализации деятельности по поддержке инфраструктуры?
- Можно ли вести эту деятельность каким-то особенным образом, так что заказчики или партнеры заметят определенные преимущества?
- Насколько велики риски или расходы, если не пользоваться внешними услугами?
- Сможем ли мы выполнить требования мировых стандартов по риску и затратам и чем грозит их несоблюдение?
Многие повседневно используемые ИТ-сервисы плохо поддаются такому анализу, и вместо того, чтобы уделить больше внимания стратегии оптимальной организации инфраструктуры, менеджеры передают их внешним провайдерам услуг. Первоочередным кандидатом на аутсорсинг является деятельность с высоким уровнем риска и слабым стратегическим эффектом. Примером может служить резервное копирование данных: мало кто из клиентов выбирает банк за высокое качество планирования операций резервного копирования. Зато риски от плохой организации системы резервного копирования очень велики и их реализация влечет за собой массу проблем, в числе которых такие события, как пристрастное внимание со стороны совета директоров, публичная огласка и вмешательство регулирующих органов могут оказаться не самыми большими неприятностями.
Вопрос о выборе источника услуг касается также количества внешних поставщиков и разделения ответственности. Что лучше — вступить в тесные отношения с одним-двумя подрядчиками или застраховаться, взаимодействуя с несколькими? Одно время было принято поручать все управление ИТ-инфраструктурой известным сервисным компаниям, но теперь многие предприятия отказываются от единого поставщика услуг в пользу более сбалансированного подхода: передают одному-двум главным поставщикам заботу об обычных услугах и поручают более специализированные видов деятельности соответствующим специалистам. Например, один крупный производитель напитков передал заботу о большей части своей ИТ-инфраструктуры одному крупному поставщику услуг, а для операций, связанных с обеспечением безопасности, использует специализированную компанию.
В России, где традиционно сильны человеческие взаимоотношения, а документирование и формализация взаимодействий неэффективны и излишне бюрократизированы, многие большие компании идут на создание дочернего общества для передачи ей заботы о качестве сервиса. Эффективность подобного решения напрямую связана с личной эффективностью управляющего лица сервисной компании.
Для той деятельности в области инфраструктуры, для которой был выбран внутренний способ доставки, необходимо явно выразить баланс инвестиций в кадры, процессы и технологии. Значительные улучшения в одной сфере без соответствующих изменений в двух других не дают большого эффекта. Исследования по управлению ИТ-рисками показывают, что наиболее эффективные организации демонстрируют лучшие показатели в области кадров, процессов и технологий, тогда как организации с худшими результатами сосредоточены на тактических технологических мерах.
Эти стратегии конкуренции в целом хорошо известны, но на практике их реализуют лишь немногие организации. Вместо того чтобы начать с выбора источника услуг, а затем распределить инвестиции между кадрами, процессами и технологиями, часто начинают с технологического решения — и на этом останавливаются.
За дело!
В среднем, от 60 до 80% всех инвестиций в ИТ оказываются недостаточно эффективными. Принципы управления ИТ-рисками помогают устранить проблемы согласования ИТ- и бизнес-стратегий, и, тем самым, упрочнить положение компании. Зачем же ждать, теряя деньги? Сопоставьте стратегию компании и примеры стратегий, которые содержатся в этой статье, и начинайте управлять развитием ИТ. При активном участии руководителей, бизнес-подразделений и подрядных организаций это гарантирует отличный старт на пути к выигрышной стратегии бизнеса.
3 комментария :
Такой заголовок придуман для привлечения внимания?
Так веселее, да
И я сразу купился на ириски :)
Отправить комментарий