Управление ИТ-рисками обязательно согласовывается с корпоративной общей системой управления всеми рисками. В данном случае определяются размеры, цели бизнеса, при этом они становятся не аморфными понятиями, а четко выверенными величинами. Все виды корпоративных процессов, связанные с принятием решений, охватывают все имеющиеся последствия.
Использование информационных технологий (ИТ) является сегодня обязательным условием для эффективного управления промышленным предприятием и повышения его конкурентоспособности. Стремление компаний сохранить достойное место на рынке обуславливает их желание автоматизировать свою деятельность и, таким образом, тратить драгоценное риск (Risk) время не на решение рутинных вопросов, а на реализацию новых стратегических планов. Этот процесс может включать в себя решения по организации, кадровому обеспечению процедур управления рисками проекта, выбор предпочтительной методологии, источников данных для идентификации рисков, регламент выполнения процедур.
Ценность управления риском ИТ
Регулярный обзор и обновление плана управления рисками могут помочь выявить и оценить новые риски и надлежащим образом устранить их. Регулярно просматривая и обновляя план управления рисками, компании могут убедиться, что они хорошо подготовлены к управлению потенциальными опасностями, снижению рисков и защите своих сотрудников, активов и репутации от ущерба. Определение приоритетов рисков помогает организациям сосредоточить свои ресурсы и внимание на наиболее существенных рисках. Это позволяет им распределять ресурсы и осуществлять меры по упреждающему устранению этих рисков. Расставляя приоритеты в отношении рисков, организация может обеспечить наличие структурированного подхода к управлению рисками, который поможет ей минимизировать негативные последствия и максимизировать возможности.
- Хорошая новость, отмечает он, заключается в том, что большинство ИТ-должностей не подходят под это описание.
- Далее исследуются риски, попавшие в категории непредсказуемых («аллигаторы») и часто встречающихся («щенки»).
- Страхование является механизмом послесобытийной компенсации, снижая бремя потерь при наступлении события.
- Данная классификация рисков дает возможность узнать общий уровень, выявляющий все IT-риски.
Из-за этого для их оценки придется применять формальный подход и количественный метод. Осуществление мониторинга и контроля рисков может повлечь за собой выбор альтернативных стратегий, выполнение корректирующих действий, перепланирование проекта. Корректируется база данных по рискам, которая может в дальнейшем использоваться при реализации подобных проектов и в текущей деятельности организации. С целью эффективного выполнения плана управления рисками, между менеджерами проекта и командой управления рисками должно осуществляться постоянное взаимодействие.
Стратегии снижения рисков
В то время как информация всегда являлась ценным и важным ресурсом, сейчас, в эпоху экономики знаний и цифровой революции, организации становятся всё более зависимы от информации, её обработки и, особенно, от
информационных технологий. В связи с этим, события, влияющие каким-либо образом на ИТ, могут оказать неблагоприятные воздействия на
бизнес-процессы[1]. Оценка вероятности правдоподобности различных типов событий с расчётом их возможных последствий это распространённый способ оценки и измерения ИТ риска[2]. Альтернативные методы измерения ИТ рисков обычно включают в себя оценивание сопутствующих факторов, таких как, например, угрозы, уязвимости и величина активов.
Это могут быть бизнес риски, а также тот уровень рисков, который оказывает влияние на внутреннюю структуру и управление организацией. Кроме того, очень важно, что риски в ИТ разбивались на несколько отдельных программ. В то же время для управления всей системой нужен один человек, например, директор программы, который будет контролировать все происходящее и управлять рисками в целом.
Регулярное исследование источников рисков позволяет понять, что мешает достичь цели ИТ-деятельности.
Мониторинг риска ИТ – это выработка ключевых индикаторов риска, наблюдение и оценка эффективности процессов и процедур направленных на снижение риска и актуализация, обновление профиля рисков (перечня рисков присущих ИТ). Снижение риска ИТ – это выработка мер способствующих снижению вероятности реализации рисковых сценариев обнаруженных на шаге «Идентификации рисков». Мерами могут быть политики и процедуры, ограничение доступа и мониторинг действий пользователей ИТ систем, настройки безопасности ИТ систем, резервной копирование и другие.
Например, сбой в компьютере или сети может повлиять на уровень доступности секретной информации, не говоря уже о том, что плохая работа ИТ сервисов ухудшает отношение потребителей и способствует потери компанией прибыли. Поэтому обслуживанию системы и поддержанию информационной безопасности следует уделять повышенное внимание, привлекая для этого специализированные компании, обладающие требуемым уровнем компетенции, как ALP Group. Например, в области разведки и добычи нефтегазовых месторождений применение геоинформационных систем (ГИС) и алгоритмов машинного обучения позволяет анализировать геологические данные и проводить более точную оценку запасов нефти и газа. Это помогает компаниям прогнозировать объемы добычи и оптимизировать процессы бурения. А автоматизированные системы мониторинга и контроля позволяют оперативно реагировать на возникающие проблемы и вовремя проводить профилактическое обслуживание, снижая риски аварийных ситуаций. В условиях ускорения социально-экономического развития возрастают требования клиентов к качеству оказываемых транспортных услуг.
Управление рисками в ИТ проектах
Анализ прошлого опыта, документирование извлеченных уроков и внедрение необходимых изменений необходимы для постоянного совершенствования управления рисками. После выявления потенциальных рисков жизненно важно расставить приоритеты в зависимости от их воздействия, вероятности и серьезности. Это помогает сосредоточить ресурсы на высокоприоритетных рисках, снижая вероятность непредвиденных рисков или неблагоприятных исходов. Распределение ролей и обязанностей является важнейшим аспектом управления проектами.
Безусловно, внутренний контекст (в терминологии ISO 31000), связанный с ИТ, включает не только информационные системы, потоки и т. (ISO 31000, кстати, не ограничивает состав контекста), но и более специфические объекты. Я бы назвал среди них в первую очередь процессы жизненного цикла систем и их развитость. Управление рисками ИТ проекта, которое начинается с планирования, позволяет организовать затраты времени, ресурсов в процессе выполнения проекта.
Коммуникация является ключевым фактором
Эффективная коммуникация может помочь выявить скрытые риски, которые, возможно, были упущены из виду, что приведет к более эффективному принятию решений по управлению рисками. В реальных производственных условиях менеджер ИТ-проекта не имеет достаточных ресурсов для обеспечения качественного управления всеми идентифицированными негативными и позитивными рисками. Таким образом, установка приоритетов между различными категориями рисков дает возможность менеджеру ИТ-проекта и проектной команде сконцентрировать ограниченные ресурсы на управление наиболее существенными рисками. Прежде всего необходимо разрабатывать меры «плана А», триггеры и меры «плана Б» для негативных рисков, которые были определены как катастрофические («тигры»).
Рекомендации стандартов на тему как управлять рисками проектов не следует принимать как догму. Каждый конкретный проект уникален и требует адаптации теоретических положений к его условиям. Оценка рисков IT проекта также может осуществляться при помощи статистического метода. Он заключается в том, чтобы изучать статистику всех имеющихся потерь и прибылей, которые были ранее на этом или на другом похожем производстве с аналогичным видом деятельности, направлением в организации, управленческом процессе.
