
ИНФОРМАЦИООНЫЙ_МЕНЕДЖМЕНТ / ИТриски
.docСписок литературы:
1.Аглицкий И.С. Информационные технологии в экономике: Новый российский опыт. — МУП «Джержинский», Дзержинский, 2007, 128 с.
2.Завгородний В.И. Информационные риски и экономическая безопасность предприятия. — М.: Финакадемия, 2008. — 160 с.
3.Завгородний В.И. Информационные риски: сущность и механизмы управления //Сегодня и завтра российской экономики. 2008. — № 20. —С. 51—55.
4.Завгородний В.И. Информационные риски: сущность, концепция управления — М.: ЗАО «Издательство «Экономика», 2007. — 177 с.
|
Новая третья версия библиотеки ITIL® сосредотачивается главным образом на ИТ-стратегии в рамках организации и на постоянном улучшении сервисов. Библиотека состоит из трёх частей: ядро (core), дополнительные книги (complementary) и интернет-часть (Web). Идеологическая часть ITIL® v3 - ядро - включает пять книг: по сервисной стратегии (service strategy), проектированию сервисов (service design), передаче сервисов (service transition), эксплуатации сервисов (service operation) и их постоянному улучшению (continual service improvement). В дополнительной серии книг - complementary - авторы будут концентрироваться уже не на идеологии, а на вопросе «как сделать?» И интернет-часть третьей версии ITIL® будет включать в себя информационные документы, примеры использования и другие сугубо практические материалы.
Выпущенная в свет новая версия библиотеки не является чем-то кардинально новым. Это скорее обновление и устранение ошибок и несоответствий, которые были в ITIL® v2.
Вторая версия фокусируется на соответствии сервисов ИТ требованиям бизнеса и предлагает хорошую практику (Best Practice) управления ИТ сервисов. А следующий шаг этих отношений сфокусирован вокруг интеграции бизнеса и ИТ, при которой бизнес и не узнает, когда ИТ инфраструктура или процессы будут испытывать изменения.
Достигать такой интеграции бизнеса и ИТ третья версия ITIL® предлагает посредством применения подхода «жизненного цикла сервиса» к ITSM: от глобальной перспективы стратегии к стратегии сервисов, к проектированию сервисов, передаче сервисов, эксплуатации сервисов и к постоянному улучшению сервисов. Как это может быть достигнуто показано в новых 5 книгах, которые прослеживают управление ИТ сервисами от начала до конца:
-
Первая книга Service Strategy – Стратегия сервисов рассказывает о необходимости сервисного подхода, о преимуществах, которые даёт сервисная модель бизнесу, о том, как строить стратегическую политику соотнесения этой модели с внешними и внутренними стандартами организации, как рассчитать стоимость сервиса, управлять рисками и т.д.
Купить книгу>>>
Ознакомиться с материалом книги на Google Books>>>
-
Во второй книге Service Design – Проектирование сервисов рассказывается о политике проектирования сервисов (самое важное обновление во всей третьей версии ITIL®): ведь абсолютно очевидно, что любой сервис должен быть изначально спроектирован, хотя на практике организации демонстрируют примеры обратного. Результатом проектирования сервисов должен являться сервисный пакет (service package), в котором содержится подробнейшая информация о сервисе: за что он будет отвечать, как будет внедряться.
Купить книгу>>>
Ознакомиться с материалом книги на Google Books>>>
-
Третья книга Service Transition – Передача сервисов — здесь речь идёт о том, что невозможно судить о приемлемости ИТ сервиса до тех пор, пока не станет точно понятно, каким образом он будет использоваться. Часто заказчику бывает нужно нечто совершенно не похожее на то, что он сформулировал на этапе проектирования. В таком случае в уже спроектированном ИТ сервисе делаются серьёзные изменения. И необходимо, чтобы при построении новых сервисов можно было контролировать ход выполнения работы. В этой книге собраны методики перехода, оценки и тестирования сервисов.
Купить книгу>>>
Ознакомиться с материалом книги на Google Books>>>
-
В четвёртую книгу Service Operation – Эксплуатация сервисов перешли процессы сервисной поддержки (service support) из предыдущей версии библиотеки ITIL® v2. Правда, добавлено всё то, чего не хватало для поддержки сервисов во второй версии: наконец-то описана процедура сервисных запросов и процедура управления событиями.
Купить книгу>>>
Ознакомиться с материалом книги на Google Books>>>
-
В пятой книге Continual Service Improvement – Постоянное улучшение сервисов описан семишаговый процесс поиска необходимых изменений для уже работающих сервисов. Рассказано о непременно предшествующей таким изменениям оценке двух ситуаций: той, в которой компания находится сейчас, и той, в которой планирует оказаться через некоторое время после усовершенствования сервиса.
Купить книгу>>>
Ознакомиться с материалом книги на Google Books>>>
Таким образом, третья версия ITIL® прочно основывается на всём том удачном, что уже было сделано в предыдущей версии библиотеки ITIL® v2, все знакомые по второй версии процессы остаются, но в изменённом, усовершенствованном виде, абсолютно точно можно сказать, что никакие процессы в новой версии не устраняются совсем. А одним из важнейших изменений стало появление концепции «жизненного цикла сервисов» - новый формат выполнения ITSM в каждодневной практике.
С июня 2009 года русскоязычная локализация Глоссария ITIL® v3, выполненная силами itSMF Россия, получила международное признание и размещена сайте itsmforum.ru и на официальном сайте OGC. Теперь русский язык, наряду с английским, немецким, испанским, французским и другими, является официальным языком глоссария ITIL® v3.
ИТ-риски
Исторически под термином «риск информационных технологий», или «IT-риск», подразумевалась вероятность возникновения негативных событий из-за реализации спе цифичных угроз информационной безопасности – вирусов, хакерских атак, хищений информации, умышленного уничтожения оборудования. Однако в последнее время трактовка данного термина значительно расширилась и учитывает не только риски информационной безопасности, но и риски недостижения целей применения информационных технологий для повышения эффективности основной деятельности. Указанные риски возникают как на этапе создания информационных систем, так и в процессе их эксплуатации. При проектировании, документировании, разработке и внедрении информационных систем это происходит вследствие: • выбора неоптимального решения по автоматизации; • ошибок при проектировании; • нарушения расчетных сроков и бюджета проекта; • несоответствия между инфраструктурой и решениями по автоматизации; • технических и организационных ошибок при инсталляции систем. На стадии эксплуатации информационных систем существенными факторами риска недостижения целей являются: • неэффективное взаимодействие между бизнесом и IT при определении оптимального уровня поддержки; • неиспользование всего потенциала технологий; • невозможность обеспечить наиболее приемлемый уровень сопровождения и развития систем; • неоптимальные процедуры технического обслуживания и решения нештатных ситуаций; • ошибки в расчетах нагрузки на элементы инфраструктуры и обслуживающий персонал. Чтобы избежать подобных угроз, на предприятии необходимо создать комплексную систему, интегрирующую риск-менеджмент, внутренний контроль и внутренний аудит как на уровне основной деятельности, так и на уровне поддерживающих ее информационных технологий, то есть IT-систему. Степень зрелости данной структуры определяется ее способностью обеспечить на должном уровне результативное, рациональное и безопасное использование информационных технологий для целей основной деятельности. Чем выше уровень зрелости, тем меньше уровень IT-рисков и тем больше эффективность использования информационных технологий. При формирования IT-системы следует опираться на уже существующие и общепризнанные критерии (стандарты). За более чем 30-летнюю историю развития науки об IT-управлении ведущими международными институтами (ISACA, OGC, ISO) выработан набор детализированных требований в виде сборников лучших практик (например, ITIL) и открытых стандартов (CobiT, ISO 20000 и др.)
Категории оцениваемых ИТ-рисков
Рискоориентированный аудит системы управления информационными технологиями — деятельность, осуществляемая в интересах руководства, в рамках которой происходит сбор свидетельств аудита и оценка степени их соответствия согласованным критериям аудита с целью формирования независимой экспертной оценки фактического уровня ИТ-рисков и выработки рекомендаций, направленных на их минимизацию.
Процессный риск – неполный охват деятельности по обеспечению результативного, рационального и безопасного использования информационных технологий на различных стадиях их жизненного цикла. Например, в рамках оценки данной категории риска идентифицируются следующие проблемные области:
-
Неготовность ИТ оказывать адекватную поддержку бизнес-инициативам
-
Высокая длительность и стоимость проектов по созданию информационных систем
-
Неудовлетворяющие бизнес решения по автоматизации
-
Несоответствие фактического уровня ИТ-сервисов ожиданиям бизнеса
-
Частые сбои и длительное время восстановления работоспособности систем
-
Неполное использование пользователями возможностей ИТ
-
Ошибки при обработке данных
Риск внутреннего контроля – недостатки в обеспечении полноты контрольных и управленческих процедур, направленных на достижение целей ИТ-управления.
Риск информационной безопасности – недостатки в системе управления информационной безопасности, повышающие вероятность нарушения конфиденциальности, целостности и доступности информации.
Операционный бизнес-риск – совокупность недостатков системы ИТ-управления в отношении информационных технологий, задействованных в поддержке отдельного бизнес-процесса, которые могут привести к реализации риска не достижения целей основной деятельности.
Риск персонала – неадекватное управление кадровыми ресурсами, что может привести к отсутствию высококвалифицированного персонала, необходимого для выполнения ключевых ИТ-операций.
В чём состоит проблема?
Давайте разберемся, какая ответственность по управлению ИТ-рисками лежит на поставщикеИТ-сервисов. Вот что об этом говорится в материалах третьей версии ITIL: «Сервис — способ предоставления ценности заказчикам через содействие им в получении результатов, которых заказчики хотят достичь без владения специфическими затратами и рисками» (официальный русскоязычный перевод глоссария ITIL v3). Таким образом, обязанность поставщика ИТ-сервисов — управлять соответствующими ИТ-рисками, то есть реализовать такую систему управления, которая умеет эти риски выявлять, ранжировать, снижать и контролировать.
Более того, для многих предприятий именно управление ИТ-рисками (а не повышение качества ИТ-сервисов и не сокращение расходов) является основным стимулом инвестировать в систему ИТ-менеджмента. Чаще всего это связано с одной из следующих причин:
-
существенная зависимость продуктов/сервисов предприятия от ИТ (прежде всего, характерно для банков и телекоммуникационной отрасли)
-
необходимость защиты интересов акционеров в получении достоверной отчетности (открытые акционерные общества, компании, которые готовятся к IPO, ресурсодобывающая отрасль)
-
необходимость соответствия отраслевым стандартам (сейчас это в основном финансовые учреждения)
Ассоциативная память в ответ на упоминание термина «риск-менеджмент» сразу подскажет знакомые всем названия методик управления рисками: M_o_R, CRAMM, MOF (в части управления рисками). Однако они носят довольно общий характер (за исключением CRAMM, который больше ориентирован на информационную безопасность) и их применение «с чистого листа» приводит к сложностям уже на первом этапе — этапе идентификации рисков.
Так что же необходимо делать для управления ИТ-рисками? Какой подход дает наилучшие результаты?
Варианты решения
Один из эффективных вариантов решения этой задачи — встраивание управления рисками в систему управления ИТ-сервисами. Это действительно работает, ведь на каждой фазе жизненного циклаИТ-сервиса можно естественным образом влиять на уровень ИТ-риска:
-
на этапе дизайна (проектирования) можно организовать контрольные процедуры, которые будут снижать риск внедрения ИТ-решений с недостаточными возможностями. В этом могут помочь следующие процессы:
-
управление уровнем ИТ-сервисов — в части выявления и согласования требований
-
управление доступностью, непрерывностью и мощностями — в части обеспечения соответствующих характеристик сервисов с учетом потребностей бизнеса и результатов анализа влияния на бизнес (Business Impact Analysis, BIA)
-
-
на этапе внедрения можно бороться как с рисками плохого проектирования (выполняя тестирование внедряемых ИТ-решений), так и с рисками отказов (грамотно планируя и проводя развертывание). В этом помогут процессы управления изменениями и релизами
-
на этапе эксплуатации соответствующие процедуры помогут снизить риски, связанные с отказами:
-
управление инцидентами может снизить риск за счет скорейшего восстановленияИТ-сервисов (то есть сокращения ущерба)
-
управление проблемами увеличивает время между отказами, повышает надежностьИТ-сервисов, снижая риск за счет уменьшения вероятности отказов;
-
управление операциями организует исполнение и контроль операций, которые обеспечивают и стабильную работу систем (за счет своевременного выполнения регламентных операций), и сокращение времени восстановления (например, за счет эффективного резервного копирования и мониторинга)
-
Таким образом, встраивая управление ИТ-рисками в систему управления ИТ-сервисами, мы во многом заменяем «академический» подход к управлению рисками установкой действенных «контрольных механизмов» в те точки жизненного цикла сервисов, в которых ИТ-риски формируются и проявляются.
Чем может помочь Cleverics
В работе с ИТ-рисками мы можем помочь Вам, используя весь наш инструментарий — обучение, консалтинговые услуги, проведение оценки.
HP исследовала ИТ-риски и их связь с бизнес-рисками
В ходе исследования, которое по заказу компании НР провело аналитическое агентство Economist Intelligence Unit, были опрошены ИТ-специалисты в странах Европы, Ближнего Востока, Америки и Азиатско-Тихоокеанского региона.
Компания HP анонсировала результаты глобального исследования об ИТ-рисках и их связи с бизнес-рисками, в котором приняли участие 1 125 ИТ-специалистов из 20 стран. В ходе исследования, которое по заказу компании НР провело аналитическое агентство Economist Intelligence Unit, были опрошены ИТ-специалисты в странах Европы, Ближнего Востока, Америки и Азиатско-Тихоокеанского региона.
Исследование показало, что главными источниками ИТ-рисков считаются большой объем изменений, возрастающая сложность систем, а также бреши в системах безопасности, которыми пользуются хакеры.
«Данные исследования ясно показывают, что для многих ИТ-организаций жизненно необходима предсказуемость их деятельности. Принимая во внимание тот факт, что ИТ- и бизнес-риски тесно связаны друг с другом, недостаточная предсказуемость ИТ равносильна недостаточной предсказуемости бизнеса, – сказал Клинт Витчеллз, главный редактор аналитического агентства Economist Intelligence Unit. – Компании, которым удастся успешно справиться с этими проблемами, будут иметь явное преимущество перед конкурентами».
Исследователи пришли к выводу, что за последние 3 года постоянные изменения, сложность ИТ и безопасность стали основными источниками повышения ИТ-рисков. 75% респондентов сказали, что управление корпоративными рисками в их организациях тесно связано с управлением ИТ-рисками. 25% респондентов констатировали, что половина вынужденных простоев обусловлено изменениями.
68% респондентов определяют уязвимости в безопасности приложений вручную. Только 28% респондентов считают, что используемые ими процессы защиты приложений являются зрелыми и поддерживаются формальными политиками и необходимыми инструментами, вместо того чтобы управлять безопасностью с момента разработки с помощью решений для оценки качества и до начала использования.
Более двух третей опрошенных отметили, что благодаря стандартизации процессов результаты деятельности ИТ-организаций стали более предсказуемыми. 72% интервьюируемых согласны с тем, что благодаря автоматизации управления ИТ-изменениями результаты работы стали более предсказуемыми. 80% респондентов согласились с тем, что автоматизация ИТ-функций высвобождает время и материальные средства для внедрения инноваций.
Риски с точки зрения ИТ
Управление бизнес-рисками — сфера деятельности, в которой роль ИТ-департамента весьма неоднозначна
Константин Поляков
Управление бизнес-рисками — сфера деятельности, в которой роль ИТ-департамента весьма неоднозначна. С одной стороны, без использования информационных технологий здесь не обойтись. С другой стороны, мероприятия по снижению или хотя бы стабилизации уровня риска требуют специальных знаний, которыми, как правило, ИТ-специалисты и ИТ-менеджеры не обладают.
Говоря о бизнес-рисках в российских компаниях, мы прежде всего имеем в виду участников финансового сегмента рынка — банки, страховые и инвестиционные компании. Прочие организации только начинают присматриваться к этому направлению, и лишь наиболее крупные, имеющие выход на международные рынки, предпринимают практические шаги.
Как правило, управлением кредитными и рыночными рисками занимаются соответствующие департаменты. Что касается операционных рисков, то здесь ситуация намного сложнее. Александр Соколов, член правления и директор департамента анализа рисков банка «ВТБ24», выступивший на круглом столе в рамках международной конференции Experian Executive Forum 2011, считает, что операционный риск — это, по сути, сбой в исполнении некоторого процесса. Всегда есть ключевые сбои, которые обладают высокой вероятностью и влекут за собой большие потери. Таких сбоев никогда не бывает много. Основная задача банка — сосредоточиться именно на них.
Как наиболее разумно организовать работу? Размещать в каждом подразделении риск-менеджера дорого и неэффективно. Не нужно выявлять все такие риски силами риск-менеджеров, считает Соколов, поскольку для этого они должны были бы стать профессионалами во всех направлениях банковской деятельности. Задача департамента по управлению рисками — выступить инициатором и организатором процесса. Он должен объяснить банку необходимость проведения этих работ — по сути, «продать» бизнесу эту идею, убедить топ-менеджеров в важности процесса. Департамент рисков вместе со специалистами функциональных подразделений должен составить совместный план выполнения необходимых мероприятий, однако осуществлять аудит и предотвращать риски должны именно эти функциональные специалисты.
Для банков одним из важнейших направлений управления рисками является совместная работа с ИТ-департаментом. «Руководитель департамента рисков должен сесть за стол с ИТ-директором и договориться о проведении диагностики узлов, разрушение которых может повлиять на устойчивость банка, а также составить с ним план обеспечения непрерывности бизнеса и восстановления после сбоев», — поясняет Соколов.
Можно сформулировать немало рекомендаций, которые не требуют специальных знаний, кажутся очевидными, но о которых часто забывают, увлекаясь развитием бизнеса. В то же время несоблюдение этих рекомендаций весьма вероятно и чревато огромными потерями. «Я рекомендую посетить ваши серверные помещения. Очень часто можно увидеть, как случайно оказавшийся там технический персонал греет кружки с кофе на выделяющих много тепла серверах. Легко представить себе, что произойдет, если кружка опрокинется», — говорит Соколов.
Операционные риски
Банку «Ренессанс Капитал», развивающему масштабный розничный бизнес под брендом «Ренессанс Кредит», присущи все характерные для данного сегмента бизнеса особенности, уверена Юлия Милованова, начальник управления кредитных, рыночных и операционных рисков банка. В первую очередь это касается колоссального объема операций по работе с физическими лицами, для обслуживания которого требуются большой штат сотрудников и множество программных комплексов, автоматизирующих банковские процессы. Соответственно, основными источниками операционного риска банка являются системы и персонал. Среди источников операционного риска стоит также отметить бизнес-процессы и «третьих лиц».
Наиболее сильно операционным рискам подвержены автоматизированные банковские системы. Чаще всего риски здесь проявляются в виде сбоев в работе ПО. Необходимость тщательной настройки и приведения новых систем в соответствие с уже используемыми является основным источником этих рисков.
Устойчивость к рискам бизнес-процессов — это результат целого комплекса специальных мер, реализуемых несколькими подразделениями. Существующая система мер, по словам Миловановой, позволяет однозначно констатировать их надежность и достаточность. При необходимости подразделение операционных рисков инициирует пересмотр бизнес-процессов с привлечением специалистов всех заинтересованных подразделений. Также в банке осуществляется анализ бизнес-процессов, позволяющий выявить в них дефекты, которые затем устраняются специализированными узкопрофильными подразделениями.
Все вновь выстраиваемые, а также уже существующие бизнес-процессы анализируются подразделением операционных рисков. Процессы с выявленными существенными недостатками фиксируются в соответствующем реестре и ставятся на контроль.
В банке организована система реестров, призванная обеспечивать структурированное хранение с целью дальнейшего анализа различной специализированной информации. Эта система включает в себя группу внутренних реестров (которая, в свою очередь, включает в себя реестр рисковых событий, реестр операционных рисков и результаты самооценки подразделений) и внешний реестр рисковых событий.
Реестр рисковых событий представляет собой свод информации о рисковых событиях в банке. Реестр операционных рисков представляет собой перечень выявленных проблем (или операционных рисков) в банке (в том числе на основе анализа реестра рисковых событий). Выявленный операционный риск — это всегда результат анализа совокупности различных факторов, условий и окружающей среды рассматриваемой системы.
Реестр с результатами самооценки представляет собой свод ответов на поставленные подразделениям в ходе проведения самооценки вопросы. Внешний реестр рисковых событий представляет собой хранилище данных о рисковых событиях, имевших место в других кредитных организациях. Ведение и заполнение этого реестра осуществляется на основе общедоступных источников информации (в первую очередь СМИ).
Чтобы обеспечить стабильность бизнес-процессов и выявлять в них слабые места и потенциально опасные зоны, особенно сильно подверженные операционному риску, банк использует различные информационно-программные комплексы — специализированное ПО для выявления и контроля мошеннических операций, обеспечения работоспособности систем банка, безопасности систем банка и др.
ИТ-департамент и риски
Риски возникновения убытков растут при несоразмерности, недостаточности функциональных возможностей, отказах либо нарушениях функционирования информационных, технологических и других систем, применяемых кредитной организацией. В ходе развертывания новых бизнес-процессов происходит детальная проработка требований бизнеса, что позволяет минимизировать случаи недостаточности функциональных возможностей информационных систем, рассказывает Андрей Эзрохи, руководитель департамента информационных технологий банка «Ренессанс Капитал». На сегодняшний день ключевая цель ИТ-департамента — обеспечение стабильности их функционирования. Осуществляется тщательное тестирование всех изменений перед вводом информационных систем в промышленную эксплуатацию. Значительные изменения вносятся не чаще чем раз в квартал, и только после проверки их влияния на каждый этап процесса выдачи кредитов.
На всех этапах, на которых может произойти сбой, банком предусмотрены резервные мощности — резервные каналы связи, серверы и т. д. Создана система мониторинга доступности ключевых сервисов, она позволяет своевременно выявлять случаи снижения работоспособности и принимать соответствующие меры.
Еще одной причиной роста рисков убытков является неустойчивость бизнес-процессов организации к неосторожным (возможно, злонамеренным) действиям персонала и других лиц или их бездействию. В связи с этим все бизнес-процессы банка проходят согласование, в котором принимают участие управление финансового мониторинга и департамент внутреннего контроля и аудита. Благодаря участию этих департаментов выявляется, какие риски могут возникнуть в каждом бизнес-процессе, и определяется, какие меры контроля должны быть внедрены в данный бизнес-процесс для минимизации рисков.