Внедрение систем управления рисками
Задача повышения эффективности бизнес-процессов может быть снята с повестки дня лишь в одном случае – когда речь идёт об их устойчивости и управляемости бизнеса в целом. Зачастую перечисленные параметры надёжного функционирования могут быть нарушены вследствие реализации рисков, которые, в известной степени, носят вероятный характер и поэтому могут быть предотвращены, или же их негативное влияние может быть снижено до минимального уровня.
Без системы грамотного управления рисками проблематично обеспечить бизнесу должную надежность.
Парадоксальность ситуации с системами управления рисками заключается в их формализации, т.е. рисками управляют, но не системно. Владельцы бизнеса делегируют это право и обязанность на менеджеров, предоставляя им возможность на базе своего опыта, интуитивных обоснований и внутренней дедукции принимать решения, в той или иной степени влияющие на надёжность бизнеса. Иногда это получается хорошо, иногда – не очень. Поэтому без системного подхода качественно управлять рисками невозможно.
Компания Открытые Технологии предлагает комплексно подойти к разработке методологии управления рисками, опираясь не только на составляющие, напрямую зависящие от ИТ-инфраструктуры, но и рассматривая конкретные кейсы и модели, свойственные именно Вашей отраслевой специфике.
Типовой план внедрения и разработки такой методологии выглядит так:
- выбор и согласование перечня бизнес-процессов, требующих системного подхода по управлению рисками;
- обследование регламентирующей и нормативно-правовой руководящей документации. Роль и степень влияния информационно-коммуникационных технологий на согласованные бизнес-процессы, построение верхнеуровневой функциональной модели ИТ;
- сбор данных об информационных подсистемах и уточнение функциональной модели ИТ: перечень информационных потоков данных, управляющих контуров, аппаратно-программных платформ, архитектур, технической поддержки и сопровождения, состояние описательной документации, правил и инструментов интеграции с другими приложениями;
- проведение обследования инфраструктурной части ИТ-ландшафта (серверное оборудование, системы хранения и сети передачи данных, системы обеспечения информационной безопасности), программных продуктов операционного уровня, средств виртуализации, систем мониторинга и администрирования;
- составление и согласование параллельно с обследованием ИТ перечня рисков и разработка моделей угроз, выявление наиболее узких мест в ИТ-системе;
- по результатам обследований и интервьюирования:
- проведение оценки текущего состояния ИТ-систем и их влияния на развитие негативных последствий риска, а также плана действий в рамках механизмов парирования;
- составление перечня «узких мест» ИТ-инфраструктуры и рекомендаций по их устранению;
- подача предложений по внедрению системы управления рисками, например, на основе методологии GRC (Government Risk Compliance).
Сложившаяся на ИТ-рынке практика - проведение отдельно обследования информационных технологий и отдельно предоставление услуги по управлению рисками – в большинстве случаев себя не оправдывает. Наш подход позволяет интегрально подойти к решению задачи управления рисками и получить набор взаимосвязей бизнес-процессов на подсистемы ИТ-инфраструктуры.