Риски и CIO

Экономика США формально вступила в период рецессии – так сообщают аналитики, так утверждает американский инвестор Уоррен Баффет (Warren Buffet), недавно возглавивший список самых богатых людей планеты который знает, что говорит. Ожидается, что за ней последует глобальный экономический спад. Поэтому компании, в том числе украинские, не только пересматривают бюджет на ИТ, но и фокусируют свое внимание на управлении рисками. Эти задачи возлагаются на директоров по информационным технологиям.

Процесс управления ИТ-рисками

Согласно материалу Risk Intelligent CIO, выпущенному консалтинговой компанией Deloitte в рамках серии публикаций, посвященной управлению рисками, современные CIO далеки от ИТ-лидеров первых лет использования в бизнесе информационных технологий, которые были в то время больше «хранителями инфраструктуры» (techs), чем функциональными руководителями фирмы (execs). Тогда, в конце 80-х – начале 90-х годов XX века, ИТ-отделы предприятий, по сути, представляли собой небольшие софтверные организации. И даже если тот, кого сегодня мы бы называли CIO, и разбирался в бизнес-стратегии, его мнение редко учитывалось при обсуждении каких-либо серьезных вопросов. Дело в том, что руководство попросту не понимало значимости ИТ и не могло принять в свои ряды человека, специализирующегося сугубо в этой области. В результате, технология и стратегия редко шли рука об руку.

В середине 90-х благодаря стремительному распространению Интернета и связанных с ним изменений методов ведения бизнеса ситуация начала улучшаться. Все шло к тому, что директора по ИТ действительно станут стратегическими партнерами руководителей компаний, но тогда по неизвестным причинам этому не суждено было сбыться. А крах доткомов в 2001 г. и вообще свел на нет все усилия для повышения значимости CIO.

Тем не менее не прошло и нескольких лет, как стали появляться новые предпосылки для этого. В настоящее время, по мере того как расширяются масштабы автоматизации предприятий, увеличиваются и полномочия, а вместе с ними и обязанности CIO. Без них не могут обойтись аудиторы, нуждающиеся в документах, описывающих состояние ИТ-инфраструктуры организации, руководители компаний по финансовой части (CFO) требуют от CIO обеспечения корректности критичных для бизнеса данных, а исполнительные директора желают получать информацию, на основе которой можно принимать стратегические решения. Расширяют ответственность этих специалистов и применение аутсорсинговых (офшоринговых) услуг, и распространение не отличающихся безопасностью ПК и разного рода портативных носителей данных (USB флэш-накопителей, мобильных телефонов, КПК), и быстрое развитие телекоммуникационных технологий, и популярность стратегии слияний и поглощений, и выход новых нормативных актов. Казалось бы, с увеличением обязанностей должны были бы прийти и дополнительные ресурсы, но этого не произошло, так как CIO все еще нелегко убедить глав компаний в их необходимости. Обычно причина кроется в самой формулировке запроса, где аргументы представлены в технических, а не бизнес-терминах. Кроме того, ИТ-лидеры зачастую выполняют свою работу узконаправленно. Скажем, они фокусируются сугубо на сетевой безопасности и предотвращении мошенничества, а не на информационной защите предприятия в целом. Также стоит упомянуть, что проблема еще и в недостаточной инициативности многих директоров по ИТ, предпочитающих быть чаще ведомыми, чем ведущими.

Анализ рисков должен идентифицировать показатель вероятности происхождения событий и степень их потенциального влияния на цели компании

И все бы ничего, если бы риски (случайные события или условия, наступление которых оказывает положительное или отрицательное воздействие на достижение целей компании) не имели критического для бизнеса значения. Более того, когда фирме грозит крах, вопрос о расходах, связанных с выходом из создавшегося положения, отходит на второй план, – главным становится то, способен ли CIO нейтрализовать угрозу. К примеру, не уделяя должного внимания вопросам безопасности организации, можно подвергнуться кибер-атакам или допустить утечку конфиденциальной информации, что в лучшем случае приведет к убыткам предприятия, а в худшем – к его разорению. К тому же риски разнятся по степени воздействия и могут объединяться, создавая новые и более существенные. Так, например, угроза потери персональной информации компании (при краже БД со сведениями о клиентах) может мгновенно перерасти в опасность для ее репутации, которая отразится в ряде проблем правового и финансового характера. Также риски делят на вознаграждаемые и невознаграждаемые. Первые, связанные с доступностью ИТ-систем и соответствием нормативным актам, при правильной организации, по существу, ничем не поощряются. Вторые имеют отношение к новым технологиям, продуктам, рынкам, бизнес-моделям, слияниям и поглощениям, и при их должном использовании позволяют добиться увеличения прибыли и рыночной капитализации.

Держа риски во всех их вариациях под контролем можно достичь отлаженной работы ИТ-инфраструктуры и всего предприятия. И это то, чем в первую очередь следует заниматься современным ИТ-лидерам. Им необходимо мыслить и действовать более активно, творчески и, что самое главное, стратегически. Такие CIO, способные превратить информационные технологии из средства поддержки ресурсов организации в решение, повышающее конкурентоспособность компании, обязательно займут достойное место в числе ее главных лиц.

При разработке и реализации «рисковых» программ аналитики Deloitte советуют CIO руководствоваться следующими соображениями. Во-первых, нужно определить текущее состояние управления рисками в ИТ-отделе: выяснить, во сколько обходится осуществление процесса, удовлетворены ли причастные к нему лица, откуда и почему исходят проблемы, каков здесь предельно-допустимый уровень рисков (tolerance of risk), каким технологиям или решениям следует уделить внимание. Во-вторых, необходимо провести работу по анализу и оценке рисков, в результате чего обнаружатся наиболее проблемные места, на которых и следует сосредоточиться в первую очередь. В-третьих, чтобы сохранять расходы в допустимых границах, CIO должны уделять внимание внедрению средств автоматизации управления предприятием и консолидации ИТ-ресурсов. В-четвертых, стоит разработать пользовательские профили, отражающие права и обязанности рядовых и руководящих сотрудников, что предусматривает получение ими только необходимой для работы информации и повышает контролируемость доступа. В-пятых, надлежит проверить все составляющие ИТ-инфраструктуры компании на предмет соответствия требованиям организации к качеству информации. Согласно результатам отчета IQ (Information Quality) Matters, подготовленного Deloitte совместно с CFO Research Services, 61% опрошенных руководителей различных фирм не удовлетворены достоверностью, своевременностью и доступностью основных финансовых данных (один из примеров, к чему это может привести – история с проектом внедрения ERP в American LaFrance – см. ko.itc.ua/34090). Свыше 80% участников заявили о уверенности в том, что повышение качества информации способствовало бы принятию грамотных управленческих решений и, как следствие, уменьшению затрат. Выходом из положения эксперты считают более тесное сотрудничество CIO с финансовыми директорами компаний. Чтобы преодолеть сопротивление, обычно сопровождающее попытки повысить качество информации, аналитики советуют прибегать к «мягкой тактике», заключающейся в широком использовании средств мониторинга качества данных. В-шестых, нужно распространять влияние CIO и добиться применения требований к управлению рисками в масштабе всей фирмы. Для этого следует взаимодействовать с главами других департаментов и обеспечить их соответствующими средствами. И наконец, в-седьмых, рекомендуется постепенно избавляться от лишних процессов и упрощать управление.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365