В то время как мировые финансовые центры пытаются связать процессы управления рисками, обеспечения соответствия нормативным требованиям и аудита, 2008 год несет многочисленные изменения в отрасли, и они придадут огромное значение управлению рисками информ
Организации, предоставляющие финансовые услуги, признали необходимость расширить понятие управления рисками, включив в него ИТ. Это понимание растет по мере того, как появляются сообщения о громких случаях кражи идентификационной информации и других взломах безопасности, а законодательство ориентируется на все более тщательное управление финансовыми, рыночными и операционными рисками.
В большинстве фирм эффективное управление рисками ИТ считается обязательной частью бизнеса, существующей для того, чтобы при возникновении рисков в области ИТ реагировать на них должным образом, управлять ими, измерять, контролировать и поддерживать информированность о них. Успешная программа должна вселять в совет директоров, высшее руководство, контролеров и других заинтересованных лиц уверенность, что ИТ-отдел может эффективно и безопасно приносить бизнесу ценность с твердой гарантией целостности данных, их доступности и конфиденциальности.
Прогресс есть, но многое еще можно улучшить. По мере развития программ с их помощью станет возможно определять действительно важные факторы, которые могут влиять на организацию. Чтобы оправдать ожидания высшего руководства, команды, работающие над управлением рисками ИТ, должны принять во внимание различные критерии успеха. Во-первых, необходимо использовать нисходящую методологию измерения рисков, в рамках которой осуществлялась бы качественная и количественная оценка. Программа должна также содержать определения категорий риска, границ терпимости рисков и степеней риска, которые могут рассматриваться в различных разрезах, в том числе в отношении всего предприятия, географических регионов, направлений бизнеса и бизнес-процессов. Еще один ключ к успеху - целостный, а не разобщенный подход к важным рискам и ключевым ИТ-процессам и контрольным мерам. Такая стратегия в масштабе предприятия может также использоваться для того, чтобы рационализировать процессы через автоматизацию и интегрированные средства и ввести более надежную и эффективную систему оповещения о рисках.
Структура и процессы управления рисками ИТ должны обеспечивать точность, конфиденциальность, доступность, безопасность и скорость передачи информации, которая создается, обрабатывается и распространяется внутри компании и между клиентами. Несоблюдение одного или всех этих условий может серьезно отразиться на репутации или финансовом состоянии компании.
Чтобы подробнее изучить актуальные тенденции в области управления рисками ИТ, компания Ernst & Young недавно провела опрос представителей ведущих мировых финансовых учреждений. Исследование охватывает пять ключевых вопросов: зрелость и эффективность программ; конвергенция; процессы управления рисками ИТ; средства и технологии; а также отчетность и метрики.
Вот основные выводы, сделанные по результатам опроса «Управление рисками информационных технологий».
1. Финансовые фирмы не смогли эффективно связать управление рисками ИТ с общей стратегией управления рисками своей организации. Один из краеугольных камней эффективной программы управления рисками ИТ - это стандартизация всей структуры «процессы, риски, контроль», которая определяет и связывает между собой бизнес-процессы, политики, риски и контрольные меры. Тем не менее исследование показало, что почти в 60% компаний программы управления рисками ИТ не связаны или только частично связаны со стратегией и системой управления рисками предприятия, в том числе с операционной моделью, руководством, надзором, процессами и методологией и сводной отчетностью. Эффективной координации мер по управлению рисками и обеспечению выполнения нормативных требований тоже не оказалось. Многие респонденты заявили, что их организация плохо справляется с обнаружением рисков и оповещением о них, управлением рисками и проблемами и анализом тенденций. Такая точка зрения, разделяемая более чем 40 респондентами, указывает на то, что еще многое можно сделать для улучшения согласованности с управлением рисками предприятия, обеспечением соответствия нормам, аудитом и другими важными вопросами.
2. В управлении рисками не поддерживается целостный подход. Более трети респондентов заявило, что у их программ управления рисками нет общей контрольной библиотеки и в организации отсутствуют единые общепринятые и понятные всем определения рисков, либо им не известно о существовании таковых. Структура изолированных подразделений, присутствующая в большинстве фирм, усугубляет проблему, так как программное обеспечение, процессы и даже терминология различаются в разных отделах. Компаниям необходимо ввести единые определения рисков, которые в конечном счете приведут к всеобщему пониманию рисков ИТ и способов их контроля во всей организации.
3. В большинстве фирм осознается важность улучшения программ управления рисками ИТ и планируется увеличение инвестиций в эту сферу. Все больше компаний приходит к пониманию важности программ управления рисками ИТ и вкладывает ресурсы в эту область управления рисками. Около 80% опрошенных технических руководителей предвидят, что их фирмы в ближайшие год-полтора увеличат расходы на управление рисками ИТ. Более половины заявило, что за этот период их организации повысят инвестиции на 5%-25% и более. В компаниях, стремящихся увеличить производительность и оптимизировать процессы управления рисками ИТ, большая часть средств будет потрачена на новые технологии и автоматизацию процессов.
4. Конвергенция процессов управления рисками и контроля приведет к повышению производительности и экономии затрат. Перед организациями стоит цель создать программы управления рисками, которые экономичным образом выявляли бы главные риски для предприятия. Здесь-то и понадобится конвергенция управления рисками. Конвергенция - это принятие единого подхода и последовательного набора процессов, которые ликвидируют избыточные меры по управлению рисками и обеспечению контроля, устраняют дублирование в бизнес-подразделениях, сокращают расходы и поддерживают стратегическое принятие решений. В основе конвергенции управления рисками лежит совместная работа, координация, согласование и интеграция. Следовательно: чтобы конвергенция заработала, необходимо выработать единую систему в отношении различных областей риска и беспрепятственно распространять информацию внутри организации. К главным шагам на пути к конвергенции относятся единообразный подход и последовательный набор процессов; общая классификация понятий; повсеместное устранение излишних мер по управлению рисками и обеспечению контроля; согласованность метрик и отчетности среди функциональных областей; механизмы поддержки стратегического принятия решений; способность использовать процессы управления рисками и информацию в различных функциональных областях и трудовых процессах. Реализовав конвергентный подход, организации могут получить единое видение рисков во всей компании и, благодаря этому, выгодным образом связать между собой процессы руководства, управления рисками и обеспечения соответствия нормативным требованиям.
5. Эффективные процессы управления рисками ИТ сокращают затраты и могут повысить валовой доход. В большинстве организаций ожидают значительного возврата на инвестиции в управление рисками ИТ. Руководство жаждет получить больше ценности для бизнеса, выраженной в эффективности процессов, управлении рисками и контроле; устранении избыточности; сокращении расходов; определении приоритетности проблем и рисков; смягчении рисков; большем возврате на инвестиции; лучшем управлении ресурсами; соответствии законам и нормативным требованиям. В то время как от качественной программы управления рисками ИТ может быть получена значительная прямая экономия затрат, отражающаяся на чистой прибыли, в долгосрочной перспективе гораздо более ценными для каждой отдельной организации и отрасли финансовых услуг в целом будет повышение валового дохода как следствие своевременного оповещения о рисках, более стратегических инвестиций и улучшенной производительности.
Будущее управления рисками ИТ
Учитывая нынешнюю ситуацию на рынке, можно сказать, что пройдет два-три года, прежде чем возникнет эффективная и зрелая модель управления рисками ИТ, которая позволит организациям лучше справляться со своими технологическими рисками и соответствовать нормативным требованиям. Компании сольют воедино ключевые процессы, что, в свою очередь, приведет к появлению единых подходов и затем - к координированным действиям в области рисков и контроля. Руководители фирм поймут, что, вводя управление рисками ИТ в свои корпоративные программы управления рисками, они смогут защитить клиентскую информацию, обезопасить активы и создать ценность для акционеров без ущерба для инноваций. Так не только будет улучшена работа, но и появится возможность снизить затраты и по возможности сократить число происшествий, могущих негативно отразиться на бизнесе.
Соответствие нормативным требованиям останется важным двигателем программ управления рисками ИТ. Но сложность для организаций будет состоять не только в том чтобы суметь применить управление рисками по отношению к этим требованиям, но также заметить большое число других преимуществ для бизнеса, приносимых программами управления рисками ИТ. Когда этот барьер будет преодолен, существенно возрастет зрелость и эффективность корпоративных программ управления рисками ИТ. Итоговые преимущества могут включать оптимизацию контроля, рационализацию инвестиций, сбалансированность принятия решений, снижение общих затрат и более своевременное обнаружение новых рисков.