Сегодня практически каждый аспект деятельности в любом типе бизнеса зависит от ИТ. Клиенты и деньги сегодня, например, связаны с компанией в режиме online. Поэтому не важно, о каких рисках бизнеса идет речь, вы должны участвовать в попытках управлять ими [49] . Приговор по делу CIO американской корпорации US HealthSouth на основе закона Сарбанеса-Оксли в апреле 2003 года демонстрирует в деталях, как вы должны быть вовлечены в эти проблемы. Вы уже вовлечены вне зависимости от того – знаете ли вы об этом или нет.

И вы не можете справиться с этими новыми рисками в одиночку. Слишком много причин и последствий находятся за пределами контроля ИТ. Приоритеты определяет бизнес, а ИС – только часть вопроса. Бизнес не может управлять этими рисками без активного участия CIO, а CIO должен управлять откликом ИТ на новые риски в общем контексте управления корпоративными рисками в масштабе всей компании.

Неспособность рассматривать управление ИТ-рисками совместно с управлением корпоративными рисками очень опасно, поскольку и те и другие приводят к последствиям в масштабе компании. Проблемы с безопасностью или технический инцидент, к примеру, могут запросто выйти за пределы ИТ-департамента и стать проблемой всей компании, влияющей на удовлетворенность клиентов, корпоративный имидж и проблемы с законом.

Определенные риски так сильно связаны с ИТ, что новому CIO-лидеру совершенно естественно взять ответственность за них на себя, даже если их последствия выходят далеко за пределы ИС. Безопасность информации, приватность и риски, проистекающие от ИТ-процессов и продуктов – наглядные тому примеры. Даже когда лидерство в конкретной ситуации – не лучший выбор для CIO, участие ИТ очень важно для успеха.

Вы должны стать частью корпоративного совета по рискам, который управляется советом директоров, контролирующим, в конечном счете, все риски компании. Этот самый совет по рискам (он может называться иначе) должен включать в себя топ-менеджеров, отчитываться непосредственно перед СЕО и контролировать все риски по всем бизнес-подразделениям. Когда в каком-то из подразделений встречаются какие-то уникальные риски, подобные советы должны создаваться и там. В эти советы по рискам в бизнес-подразделениях должны входить CIO или один из руководителей ИС-системы для того, чтобы обеспечить участие ИТ в управлении рисками.

...

BanqueGenerale du Luxemburg: Managing Risk in a Basel II Era

Основанный в 1919 году Banque Generale du Luxemburg (BGL) – это один из крупнейших банков Великого герцогства Люксембург с активами в 39 млрд. евро. Банк активно работает на внутреннем и внешних рынках, играя активную роль в том, что Люксембург считается одним из финансовых центров.

Мишель Дофин (Michel Dauphin), CIO BGL, рассказывает о последних переменах в управлении рисками.

Один из наиболее важных моментов управления рисками сегодня в финансовых услугах – это новая международная директива о соответствии капиталов, известная, как Basel II. Прежде, единственными рисками, который контроллеры оценивали в качестве адекватности капиталов, был кредитный риск и рыночный риск. Basel II идет гораздо дальше и включает в рассмотрение операционные риски, а кредитные риски оценивает более сложными методами. Это позволяет банкам усиливать их процессы управление риском.

ИТ вносит в этот процесс заметный вклад, поскольку все данные, необходимые для Basel II, собираются и обрабатываются централизованно. Сейчас сфера ИТ активно развивается. Разработка систем для оценки потребления капитала для Basel II требует от 60 до 70 человеко-лет, которые были бы распределены на три года.

Использовались стандарты ISO 17799 (International Standards Organization regulation) на уровне ИТ. Это помогало определить операционные риски, связанные с ИТ-безопасностью, личной безопасностью, непрерывностью бизнеса и так далее. Стандарт ISO определяет структуру работы по настройке процессов для более эффективного управления риском. Мы используем этот момент, как основу для того, чтобы создать список бизнес-рисков, которые проистекают из ИТ, и понять, как мы можем снизить эти риски.

Чтобы контролировать не только технические риски, но также и бизнес-риски, проистекающие из зависимости бизнеса от ИТ, Дофин вместе со своей командой определили следующие ключевые риски, связанные с ИТ, для своего бизнеса:

• воздействие на эффективность бизнес-персонала, если системы не работают или не понятны пользователям;

• недостаток гибкости или способности быстро реагировать на новые рынки, возможно из-за косности системы;

• недостаточная интеграция данных, что может влиять на ведение бизнеса;

• мошенничество, если доступ пользователей недостаточно контролируется;

• недостаточный отчет о соблюдении требований закона и нормирующих органов, если ИС не обеспечивает достаточный уровень отчетности;

• напряженность среди сотрудников, если ИТ-системы работают недостаточно хорошо.

«Естественно, вы всегда должны найти баланс между управлением риском и другими целями», – говорит Дофин. «Для этого вы должны оценить потенциальное воздействие и цену снижения рисков, а также оценить, какие ресурсы надо для этого выделить».

Четыре основные стратегии для работы с риском

Есть четыре основных способа работы с риском: снижение, перенос, принятие и избежание.

Снижение: суть его состоит в уменьшении самого риска или его последствий. Чтобы этот способ работал, у компании должно быть достаточно возможностей для уменьшения или устранения вероятности или воздействия риска.

Перенос: перемещение риска за пределы компании. Чтобы этот способ работал, некто (например, страховой агент) должен быть готов взять на себя риск.

Принятие: осознанное и продуманное принятие компанией риска на себя (для некоторых типов риска это называется самостраховкой). Чтобы этот способ заработал, вероятность риска должна быть невелика, а последствия – достаточно легкими, чтобы компания могла их перенести безболезненно.

Избежание: устранение вероятности того, что риск реализуется. Для большинства компаний избежание означает выход из бизнеса, уход с рынка или отказ от продукта. Чтобы это произошло, компания должна иметь достаточную свободу для того, чтобы уйти и избежать возможностей, связанных с риском.

Снижение риска – это самая популярная стратегия при работе с большинством современных рисков. Далее мы поговорим о различных методах и подходах к тому, как вы и ваша компания можете снизить угрозу последствий рисков, наиболее опасных для вас.

Идентифицируйте риски, анализируйте их, классифицируйте и защищайтесь

Ни одна компания не может полностью оградить себя ото всех возможных рисков. Первый вопрос управления рисками такой: «Какие риски компания готова терпеть». Ответ на этот вопрос (вместе со своими коллегами по бизнесу) надо искать тремя последовательными шагами.

Прежде всего, определите мишени и угрозы. Чтобы понять риски, проанализируйте ситуацию для всей компании в целом. Вспомните свое познание бизнеса и разработку бизнес-максим. Какие стратегии важнее всего для вашего бизнеса? Что может помешать реализации этих стратегий? Как могут рынки, конкуренты, регулирующие органы и другие субъекты бизнеса реагировать на ваши бизнес-стратегии? Есть ли ключевые точки, которые могут привести к провалу. Где будут стратегии сосредотачивать данные, деньги, материалы или другие ценные корпоративные активы? Если вы не изучаете эти сценарии в вашем совете по анализу рисков, старайтесь проверять ваши идеи вместе с коллегами по бизнесу.

От этих сценариев переходите к бизнес-процессам, на которые они оказывают влияние, то есть – подвержены рискам. Старайтесь быть максимально внимательными к деталям, но не увязните в них. Попросите старших менеджеров ИС определить наиболее важные риски и потенциальные последствия, к которым они могут привести в связанных с ними бизнес-процессах. Убедитесь в том, что ваши менеджеры понимают свою ответственность за риски в сферах своей деятельности вне зависимости от того, осознали они их или нет.