Внедрение систем управления рисками

Задача повышения эффективности бизнес-процессов может быть снята с повестки дня лишь в одном случае – когда речь идёт об их устойчивости и управляемости бизнеса в целом. Зачастую перечисленные параметры надёжного функционирования могут быть нарушены вследствие реализации рисков, которые, в известной степени, носят вероятный характер и поэтому могут быть предотвращены, или же их негативное влияние может быть снижено до минимального уровня.

Без системы грамотного управления рисками проблематично обеспечить бизнесу должную надежность.

Парадоксальность ситуации с системами управления рисками заключается в их формализации, т.е. рисками управляют, но не системно. Владельцы бизнеса делегируют это право и обязанность на менеджеров, предоставляя им возможность на базе своего опыта, интуитивных обоснований и внутренней дедукции принимать решения, в той или иной степени влияющие на надёжность бизнеса. Иногда это получается хорошо, иногда – не очень. Поэтому без системного подхода качественно управлять рисками невозможно.

Компания «Открытые Технологии» предлагает комплексно подойти к разработке методологии управления рисками, опираясь не только на составляющие, напрямую зависящие от ИТ-инфраструктуры, но и рассматривая конкретные кейсы и модели, свойственные именно Вашей отраслевой специфике.

Типовой план внедрения и разработки такой методологии выглядит так:

• выбор и согласование перечня бизнес-процессов, требующих системного подхода по управлению рисками;
• обследование регламентирующей и нормативно-правовой руководящей документации. Роль и степень влияния информационно-коммуникационных технологий на согласованные бизнес-процессы, построение верхнеуровневой функциональной модели ИТ;
• сбор данных об информационных подсистемах и уточнение функциональной модели ИТ: перечень информационных потоков данных, управляющих контуров, аппаратно-программных платформ, архитектур, технической поддержки и сопровождения, состояние описательной документации, правил и инструментов интеграции с другими приложениями;
• проведение обследования инфраструктурной части ИТ-ландшафта (серверное оборудование, системы хранения и сети передачи данных, системы обеспечения информационной безопасности), программных продуктов операционного уровня, средств виртуализации, систем мониторинга и администрирования;
• составление и согласование параллельно с обследованием ИТ перечня рисков и разработка моделей угроз, выявление наиболее узких мест в ИТ-системе;
• по результатам обследований и интервьюирования:
• проведение оценки текущего состояния ИТ-систем и их влияния на развитие негативных последствий риска, а также плана действий в рамках механизмов парирования;
• составление перечня «узких мест» ИТ-инфраструктуры и рекомендаций по их устранению;
• подача предложений по внедрению системы управления рисками, например, на основе методологии GRC (Government Risk Compliance).

Сложившаяся на ИТ-рынке практика - проведение отдельно обследования информационных технологий и отдельно предоставление услуги по управлению рисками – в большинстве случаев себя не оправдывает. Наш подход позволяет интегрально подойти к решению задачи управления рисками и получить набор взаимосвязей бизнес-процессов на подсистемы ИТ-инфраструктуры.