«Директор информационной службы» , № 07, 2005 113 прочтений
Выжить в атмосфере риска
ИТ-директор - первый кандидат на роль лидера в...
ИТ-директор - первый кандидат на роль лидера в процессе внедрения методов управления рисками предприятия. Возможно, предлагаемые здесь стратегические рекомендации помогут ИТ-руководителю наладить эту работу.
ИТ-директор — первый кандидат на роль лидера в процессе внедрения методов управления рисками предприятия. Возможно, предлагаемые здесь стратегические рекомендации помогут ИТ-руководителю наладить эту работу.
Трагедия произошла 1 февраля 2003 года высоко в небе над Техасом. Космический челнок Columbia, алюминиевый корпус которого раскалился до температуры более 1700 градусов по Цельсию, рассыпался на множество фрагментов. Погибли все семь находившихся на борту астронавтов. Некоторое время спустя независимая комиссия по расследованию аварии Columbia пришла к заключению, что причиной катастрофы стал не только кусок изолирующего материала внешних топливных баков, который оторвался на старте и повредил левое крыло корабля. К трагедии привела утвердившаяся в NASA модель управления, по сути блокировавшая взаимодействие между подразделениями агентства, ответственными за различные аспекты программы космических челноков.
В NASA не позаботились ни об организации процесса обсуждения проблем, связанных с безопасностью кораблей, в котором могли принять участие ответственные за эту сферу руководители, находящиеся в различных географических точках, ни о формировании всеобъемлющей стратегии разрешения таких проблем.
По завершении расследования руководство NASA поручило топ-менеджерам наладить процесс обмена информацией внутри агентства. И именно тогда исполняющий обязанности директора информационной службы Скотт Сантьяго, ведающий вопросами ИТ-безопасности, на первый план выдвинул задачу снижения рисков в сфере безопасности ИТ во всех подразделениях агентства. Катастрофа Columbia никак не была связана с проблемами информационной безопасности, однако, по мнению Сантьяго, информационные системы, обслуживавшие этот корабль и десятки других программ NASA, играют важнейшую роль в обеспечении успеха и безопасности космических полетов.
Он обратил внимание на то, что сведения, имеющие отношение к обеспечению программ NASA, рассредоточены по различным космическим центрам агентства. Тысячи занятых в разных регионах страны сотрудников создают и используют информацию, которая поступает в подразделения агентства. Эти служащие редко общаются друг с другом и следуют неодинаковым правилам и процедурам обеспечения информационной безопасности. Такая несогласованность представляла собой не признаваемую открыто угрозу для информации, которая обеспечивает безопасность людей и оборудования.
Сантьяго поставил задачу выявления и минимизации этих рисков и в поисках ее решения обратился к дисциплине, именуемой управление рисками предприятия (Enterprise Risk Management, ERM). Эта дисциплина ориентирована на обеспечение непрерывности бизнеса с помощью формирования общего представления обо всех рисках предприятия (как внутренних, так и внешних) и разработки направленной на их минимизацию стратегии исполнительного уровня. При правильном подходе ERM повышает рыночную стоимость активов предприятия и снижает вероятность потерь и катастроф посредством повышения качества решений по ИТ-инвестициям и управления системами.
|
| С тем чтобы добиться внедрения в NASA практики управления рисками предприятия в области безопасности, исполняющему обязанности директора информационной службы агентства Скотту Сантьяго пришлось в течение нескольких месяцев вести разъяснительную работу на совещаниях, где присутствовали ИТ-руководители подразделений NASA, сотрудники службы безопасности и менеджеры основных подразделений |
Так же, как и Сантьяго, с необходимостью управления рисками предприятия сегодня сталкиваются многие ИТ-руководители. Объясняется это просто: сама возможность функционирования коммерческих организаций в настоящее время, более чем когда-либо, зависит от информационных технологий. Однако управление рисками предприятия — это достаточно сложная дисциплина. Внедрение ERM невозможно без изменений в корпоративной культуре, и в организациях его часто воспринимают болезненно, поскольку выявление рисков сотрудники воспринимают как одну из форм критики. Сантьяго был готов к тому, чтобы заставить менеджеров NASA отказаться от принципа «я занимаюсь рисками, связанными с моим проектом», которого они придерживались в течение десятилетий, будет непросто.
«Сотрудники обычно думают о технических деталях, сетевых экранах и виртуальных частных сетях, — объясняет Сантьяго. — Но мы должны мыслить в более широком контексте и ставить перед собой следующие вопросы: что такое риск, связанный с информацией? Что мне нужно делать для защиты этой информации? Наконец, как мне это делать?»
Для того чтобы запустить процесс внедрения ERM, ИТ-руководителям требуется стратегия. На основе интервью с почти двадцатью консультантами, научными сотрудниками университетов и директорами информационных служб, практикующими ERM, была сформулирована такая стратегия. Пять пунктов этой стратегии могут быть полезны при решении многих задач, с которыми сталкиваются руководители.
Пункт первый
Определить мотивацию
Для некоторых ИТ-руководителей мотивация к внедрению методов ERM абсолютно ясна: если не сформулировать общее представление о рисках на уровне предприятия, это может привести к человеческим жертвам. К примеру, ИТ являются сегодня важнейшей частью боевых средств ВМС США. Директор информационной службы ВМС США Дэйв Веннергрен как раз занимается развертыванием сети масштаба предприятия для совместного использования служащими ВМС и морской пехоты. Когда работа будет завершена (а это произойдет до конца нынешнего года), военнослужащие сухопутных баз и находящихся в плавании военных судов получат стандартный способ для обмена информацией о боевых действиях в реальном времени. «Если в системе произойдет сбой, военные моряки и пилоты истребителей не будут иметь сведений, необходимых для ведения боя», — подчеркивает Веннергрен. Когда в ходе атаки на Пентагон, совершенной террористами 11 сентября 2001 года, был разрушен командный центр ВМС США, стало ясно, какому серьезному риску подвергается способность военных вести боевые операции из-за того, что все коммуникационное оборудование расположено в одном месте. Именно тогда Веннергрен понял, почему ERM-система имеет жизненно важное значение.
Но иногда — в первую очередь, в случаях, когда задача разработки стратегии ERM ставится руководителем предприятия или советом директоров, — ИТ-директору приходится прилагать дополнительные усилия, чтобы убедить себя в ценности идей ERM. Вплоть до середины 90-х годов решения о целесообразности инвестиций в новые предприятия принимались высшим руководством банка J.P. Morgan в зависимости от напора, с которым продвигали свои предложения менеджеры. По словам Билла Шэрона, консультанта, ранее занимавшего в банке должность руководителя службы управления технологическими рисками, эта стратегия привела к ряду неприятных сюрпризов, новые капиталовложения не приносили банку тех процентов, на которые рассчитывало его руководство. Высшее руководство J.P. Morgan, по воспоминаниям Шэрона, принимало решения об открытии филиалов в новых странах, не учитывая всех операционных рисков, в том числе связанных с ИТ и телекоммуникациями.
|
| Билл Шэрон, консультант и бывший руководитель информационной службы компании McCann WorldGroup, делится с коллегами принципами управления рисками в ходе работы над ИТ-проектами |
Тогдашний председатель правления банка предложил руководству разработать более продуманный процесс принятия решений в сфере выбора объектов для инвестиций. Шэрон, а также руководитель отделения банка, специализировавшегося на корпоративной недвижимости, взяли инициативу на себя и разработали процедуру проверки всех новых коммерческих начинаний на соответствие определенному набору требований, в который входили также требования в сфере ИТ. Когда работа была завершена, Шэрон понял, что разработанный им процесс сводился к анализу рисков предприятия; вот тогда-то он и стал сторонником ERM.
Шэрон обращался к сотрудникам всех отделов с вопросом: каким образом на них сказывалась та или иная бизнес-инициатива. После этого он составлял список всех условий, которые должны быть удовлетворены перед тем, как сторонники выпуска нового продукта или открытия нового отделения представят свои идеи исполнительному комитету, — включая необходимые инвестиции в сферу ИТ или мероприятия по поддержке. Проект мог быть утвержден лишь в том случае, если его спонсору удавалось получить во всех бизнес-подразделениях сведения о проработке их сотрудниками соответствующих проблем реализации. Например, если речь шла об открытии нового офиса в Мехико, спонсоры проекта должны были представить расчеты о необходимом количестве компьютеров, сетевых каналов связи и о надежности электроснабжения. В соответствии с прежними порядками ни одного из перечисленных вопросов не задавалось, однако все они имеют принципиальное значение для успеха нового предприятия.
«Я понял, что в рамках информационной службы, да и в любом другом бизнес-подразделении нельзя придерживаться принципа ответственности ?от сих до сих?, — рассказывает Шэрон. — Нельзя просто выполнить поставленную перед тобой задачу и отправиться домой. И еще одно: в информационной службе никто в сущности не знает, в чем состоит бизнес-стратегия. Вот тут и стало ясно, что ERM ставит людей в равные условия».
Пункт второй
сформулировать главную идею
Как утверждают ИТ-руководители, ставшие лидерами своих компаний в деле реализации методов ERM, точная формулировка главной идеи, отвечающей на вопрос «почему нам нужно заниматься управлением рисками предприятия», — необходимый и один из наиболее важных этапов реализации плана по внедрению ERM в компании — и, возможно, самый трудный. Методы ERM так или иначе затрагивают все элементы структуры предприятия, и поэтому необходимо вникнуть во все тонкости работы каждого подразделения. Кроме того, вы должны думать о событиях и последствиях, которые ранее вообще не принимали во внимание или предпочитали о них не думать, — возможно, потому, что в вашей организации всякие разговоры о рисках принято считать признаком неверия в успех.
«Вы должны находить слова для описания риска, о котором идет речь, — утверждает Дэвид Уэймаут, бывший директор информационной службы Barclays Bank, ныне руководитель подразделения банка, занимающегося стратегией бизнес-этики. — Если вы не сумеете его описать, то так никогда ничего и не добьетесь».
«Если они перестали обращаться к вам со своими проблемами, значит, вы перестали ими руководить», — утверждает он.
|
| Стив Рэндич, директор информационной службы электронной биржи Nasdaq подтверждает свою приверженность стратегии ERM регулярными проверками действенности плана обеспечения непрерывности бизнеса |
Один из методов внедрения ERM в практику компании состоит в постоянном подчеркивании необходимости проявления неослабного внимания к ERM посредством проверок способности сотрудников обеспечивать непрерывность бизнеса. Подобно организаторам пожарных тревог в школах, которые путем отработки школьниками соответствующих навыков утверждают в сознании детей представление о важности противопожарной безопасности, ИТ-руководители должны проверять действенность планов по обеспечению непрерывности бизнеса с тем, чтобы всем было понятно: организация с серьезностью относится к проблемам управления рисками предприятия, связанными с информационными технологиями.
С целью закрепить в умах сотрудников информационной службы электронной биржи Nasdaq мысль о том, что организация приняла принципы ERM к обязательному исполнению, директор этой службы Стив Рэндич регулярно подвергает проверкам планы обеспечения непрерывности функционирования центра обработки данных. На бирже Nasdaq зарегистрированы акции порядка 3300 компаний. Ее информационные системы ежесекундно обрабатывают около 20 тыс. транзакций и получают данные примерно от 350 тыс. настольных ПК и рабочих станций из всех уголков мира. Если системы обработки транзакций Nasdaq выйдут из строя, торги придется прекращать.
«И это будет конец нашего бизнеса», — резюмирует Рэндич.
После террористических актов 11 сентября 2001 года бирже потребовалось четыре месяца для того, чтобы обустроить новые помещения для своих нью-йоркских офисов. Центр обработки данных мог продолжать свою работу (хотя правительство распорядилось прекратить все акции на рынках в течение четырех дней), но Рэндич понимал, что компании требуется более подробный план управления рисками. Новый план Nasdaq предусматривал закупку дополнительного оборудования (настольных систем и средств доступа к Internet), разработку процедур взаимодействия между сотрудниками и создание альтернативных рабочих помещений на случай катастрофы.
Раз в две недели Рэндич проверяет правильность своих расчетов. Он не просто тестирует резервные системы, но и добивается того, чтобы новые сотрудники знали, куда идти и что делать при возникновении чрезвычайных ситуаций. Кроме того, он перепроверяет, хватит ли закупленных компанией сотовых телефонов на всех сотрудников — на случай если выйдут из строя кабели телефонных операторов. Рэндич сформировал бригаду сотрудников, которые в случае катастрофы будут следить за активностью более чем 300 работающих на биржах ценных бумаг участников финансового рынка. Задача этой бригады — определить, смогут ли функционирующие дилеры обеспечить спрос, достаточный для того, чтобы торги на рынке могли продолжаться.
«Если подготовленный ими список не будет отражать самой свежей информации, он не будет стоить бумаги, на которой напечатан», — заявляет Рэндич.
По словам Рэндича, подвергая свой план столь частым проверкам, он ясно и недвусмысленно дает понять всем служащим компании, что ИТ-подразделение намерено во что бы то ни стало поддерживать торговую сеть в рабочем состоянии в любых ситуациях.
«Идея состоит в том, чтобы не решать все эти вопросы во время кризиса, — объясняет он. — Все должно быть улажено заранее».
В современном мире, где риски встречаются повсеместно, причем информационные технологии являются как источником, так и каналом распространения многих из этих рисков, ERM — обязательный компонент управления компанией. Для внедрения принципов ERM компании нужен надежный человек, который, по словам Уэймаута, «занимает высокий пост и пользуется уважением в организации, который знает, что почем в этом бизнесе».
«Человек, о котором я говорю, — заключает Уэймаут, — это вы».
Что такое «управление рисками предприятия»
ERM — это система управления, ориентированная на обеспечение непрерывности бизнеса с помощью формирования общего представления обо всех рисках предприятия (как внутренних, так и внешних) и разработки направленной на их минимизацию стратегии для руководителей высшего звена. Применительно к информационным технологиям это идентификация рисков и управление рисками, которым подвергается финансовое и операционное благополучие предприятия в связи с функционированием всех информационных систем, правил и процедур. Система ERM позволяет установить однозначную связь между риском, возникшим в одном отделе, и результатом, полученным в другом, и разработать процесс, обеспечивающий смягчение этих рисков. Система управления рисками предприятия помогает руководителям организаций принимать более обоснованные решения о целесообразности вложения средств в те или иные проекты.
CIO, это дело для вас
Почему именно ИТ-службы должны заниматься внедрением методов управления рисками предприятия
Специалисты в области управления рисками предприятий сходятся на том, что именно директор информационной службы лучше всего подходит на роль лидера в процессе преобразования компании в организацию с управляемыми рисками — хочет он этого или нет.
«Начальникам ИТ-подразделений просто не отвертеться от руководства этим процессом», — полагает Роберт Чаретт, директор Cutter Consortium по управлению корпоративными рисками и главный консультант в сфере разработок программного обеспечения.
Причин тому несколько. Во-первых, ИТ сегодня играют жизненно важную роль при осуществлении большинства деловых операций. Когда системы выходят из строя из-за вирусной атаки или вследствие перебоев в электроснабжении, бизнес тоже простаивает. Во-вторых, поскольку информационное подразделение обслуживает все отделы предприятия, его руководитель является именно тем администратором высшего звена, который лучше всех осведомлен о бизнес-процессах в своей компании. Основываясь на этих тенденциях, некоторые эксперты в области ERM предсказывают, что корпорации начнут назначать в советы директоров сотрудников, обладающих глубоким пониманием информационных технологий и связанных с ними рисков. И у этих директоров возникнет желание вступить с вами в диалог.
Вот почему даже если компания введет в свой штат главного управляющего рисками (специалиста в области ERM) для координации работ в масштабе всей корпорации, руководитель информационной службы так или иначе будет играть важную руководящую роль. Как отмечает Чаретт, сейчас происходит коммерциализация технологических продуктов, и по мере развития этого процесса будет все более явственно проявляться различие между компаниями по тому, насколько эффективно они используют информационные технологии — и, помимо прочего, насколько эффективно они управляют своими рисками.
Кроме того, как отметил Шэрон, который недавно оставил пост директора информационной службы в компании McCann WorldGroup, чтобы основать собственную фирму по оказанию услуг в сфере управления рисками Strategic Operational Risk Management Solutions, задача главного управляющего рисками состоит в том, чтобы выявлять проблемы, а работа директора информационной службы заключается в том, чтобы эти проблемы разрешать.
Allan Holmes. Running The Risk. CIO Magazine. March 15, 2005
