Управление рисками в ИТ. Risk IT

Концепция и основные понятия Risk IT

Методология Risk IT по структуре близка к Val IT. Основной объект управления в ней, как следует из названия, - это ИТ-риск, который определяется как бизнес-риск, связанный с применением ИТ, владением ИТ, функционированием ИТ, степенью влияния ИТ на бизнес, степенью использования ИТ в организации.

Risk IT базируется на следующих принципах (в близком к оригиналу, но слегка сокращенном изложении):

• Результативное корпоративное управление ИТ-рисками всегда связано с целями бизнеса. Это означает, что:
  • ИТ-риск рассматривается как разновидность бизнес-риска, а не как отдельный риск;
  • управление рисками нацелено на получение результата для бизнеса. ИТ поддерживают достижение целей бизнеса, и ИТ-риски характеризуются тем, как сильно они влияют на достижение этих целей;
  • анализ ИТ-риска включает анализ зависимости бизнес-процесса от ИТ-ресурсов, таких как ИТ-персонал, приложения, инфраструктура;
  • управление ИТ-рисками не тормозит бизнес, а способствует его развитию. Бизнес-риск, связанный с ИТ, рассматривается с двух точек зрения: защиты от разрушения ценности и помощи в создании ценности.
• Результативное корпоративное управление ИТ-рисками согласовано с корпоративной системой управления рисками ( ERM^{1Enterprize Risk Management} ). Это означает, что:
  • цели бизнеса и размер риска, который готова принять организация, точно определены;
  • корпоративные процессы принятия решений охватывают весь спектр последствий риска и открывающихся возможностей;
  • склонность бизнес-структуры к риску отражает ее философию управления рисками и влияет на корпоративную культуру и стиль работы;
  • проблемы, связанные с рисками, консолидируются в масштабах организации;
  • назначены уполномоченные принимать решения, связанные с рисками.
• Результативное корпоративное управление ИТ-рисками уравновешивает преимущества от управления рисками и сопутствующие затраты. Это означает, что:
  • риск получает приоритет и рассматривается в соответствии со склонностью и толерантностью к риску;
  • реализованы средства управления рисками, основывающиеся на анализе затрат и выгод^{2в оригинале - cost-benefit analysis} ;
  • существующие средства управления усиливаются для того, чтобы управлять многими рисками или управлять риском более эффективно.
• Результативное управление ИТ-рисками подразумевает открытое и честное обсуждение ИТ-рисков. Это означает, что:
  • происходит обмен открытой, точной, своевременной и прозрачной информацией об ИТ-риске; решения принимаются на основе этой информации;
  • проблемы с ИТ-рисками, принципы и методы управления рисками объединяются в масштабах организации;
  • технические решения переводятся на общепонятный язык бизнеса.
• Результативное управление ИТ-рисками устанавливает правильный стиль для высшего руководства при назначении персонально ответственных, принимающих решения в точно определенных пределах толерантности к риску. Это означает, что:
  • ключевые персоны, т. е. владельцы бизнеса и Совет директоров вовлечены в управление ИТ-рисками;
  • назначены осознанно принявшие на себя всю ответственность владельцы рисков. Они утверждают оценки, выполняют измерения их эффективности, интегрируют деятельность по управлению рисками в корпоративную систему вознаграждения эффективной работы. Общее направление задается сверху через политики, процедуры и разумное принуждение;
  • со стороны высшего руководства активно насаждается культура, связанная с осознанием рисков. Это помогает гарантировать, что все, сталкивающиеся с управлением операционными рисками, будут использовать согласованные подходы к их оценке;
  • решения, связанные с рисками, принимаются уполномоченными сотрудниками, с акцентом на бизнес-аспекты решения, например размер инвестиций в ИТ, объем финансирования ИТ-проектов, основные изменения ИТ-среды, оценку рисков, мониторинг и тестирование средств управления.
• Результативное управление ИТ-рисками стимулирует непрерывное улучшение и является частью повседневной деятельности. Это означает, что:
  • из-за динамической природы ИТ-риска управление им представляет собой итеративный, непрекращающийся и постоянно протекающий процесс. Каждое изменение сопровождается риском и/или новой возможностью, и организация готовится к этому, заранее анализируя вероятные изменения как внутри ее самой, так и вне - в требованиях регуляторов, в ИТ, в бизнесе и т. п.;
  • специальное внимание уделяется согласованию в масштабах организации методов оценки рисков, ролей и ответственностей, средств, инструментов и критериев, в частности:
    • идентификации ключевых процессов и связанных с ними рисков;
    • пониманию влияния рисков на достижение целей;
    • идентификации триггеров, сигнализирующих о необходимости обновить методологию или ее части;
  • практики управления рисками имеют надлежащие приоритеты и включены в корпоративные процессы принятия решений. Практики управления рисками понятны и легко применимы на практике. Они включают практики распознавания угроз и потенциальных рисков, а также практики предупреждения и минимизации рисков.

Такое пространное изложение основных принципов Risk IT дает представление о его границах и позволяет оценить адекватность процессной модели Risk IT поставленным задачам.

Процессная модель Risk IT

Процессы, входящие в модель Risk IT, разбиты на три области: корпоративное управление рисками, реакция на риски, оценка рисков. Я рассмотрю для примера корпоративное управление рисками.

Корпоративное управление рисками

Цель области: обеспечить включение практик управления ИТ-рисками в систему управления организацией с целью обеспечить получение скорректированной с учетом риска выгоды.

Метрики области: степень, до которой стратегическое использование ИТ для повышения отдачи от корпоративных ресурсов снижает общекорпоративные риски. Процент должностей, связанных с управлением критическими рисками, занятых персоналом, обученным соответствующим методам (например, стандартным методам анализа рисков, кризисному управлению, управлению проектами).

Процессы

• RG1. Внедрить и поддерживать общий взгляд на риски.

  Цель процесса: гарантировать, что деятельность по управлению рисками соответствует объективной возможности организации нести потери, связанные с ИТ, и ее субъективной толерантности к рискам.

  Ключевые активности:

  • RG1.1. Выполнить корпоративную оценку ИТ-рисков.
  • RG1.2. Предложить пороги толерантности к ИТ-рискам.
  • RG1.3. Утвердить пороги толерантности.
  • RG1.4. Согласовать политику ИТ-рисков.
  • RG1.5. Развивать культуру осознания ИТ-рисков.
  • RG1.6. Поддерживать результативные коммуникации, связанные с ИТ-рисками.
• RG2. Интегрироваться с корпоративной системой управления рисками (ERM).

  Цель процесса: интегрировать стратегию и тактику управления ИТ-рисками со стратегическими решениями, относящимися к бизнес-рискам и принятыми на корпоративном уровне.

  Ключевые активности:

  • RG2.1. Установить и поддерживать персональную ответственность за управление ИТ-рисками.
  • RG2.2. Координировать стратегии управления бизнес-рисками и ИТ-рисками.
  • RG2.3. Адаптировать практики управления ИТ-рисками к корпоративным практикам управления рисками.
  • RG2.4. Обеспечить деятельность по управлению ИТ-рисками адекватными ресурсами.
  • RG 2.5 Обеспечить независимую гарантию правильности организации деятельности по управлению ИТ-рисками.
• RG3. Принимать бизнес-решения с учетом ИТ-рисков.

  Цель процесса: гарантировать, что в процессе принятия решений в организации учитывается весь спектр возможностей и последствий использования ИТ для достижения успеха.

  Ключевые активности:

  • RG3.1. Добиться ответственного участия руководства в деятельности по анализу ИТ-рисков.
  • RG3.2. Утвердить анализ ИТ-риска.
  • RG3.3. Включить учет рисков в процесс принятия стратегических бизнес-решений.
  • RG3.4. Принять ИТ-риск.
  • RG3.5. Назначить приоритеты реакциям на риск.

Описание конкретного процесса состоит из относительно подробного описания его ключевых практик, их входов и выходов, ролевой таблицы, полностью аналогичной той, что использовалась в COBIT, описанию структуры целей и метрик области, процесса и его активностей, опять-таки очень похожей на описание COBIT, и целых двух моделей зрелости: краткой и полной. Я проиллюстрирую сказанное несколькими примерами.

В частности, активность RG3.2 описывается следующим образом.

RG3.2. Утвердить анализ ИТ-риска.

Определить, достаточно ли информации для понимания риска содержится в представленном отчете об анализе риска. Отметить ограничения отчета с точки зрения принимаемого решения. Утвердить или отвергнуть отчет.

Вход: отчет об анализе риска из активности RR1.1.

Выход 1: утвержденный отчет и описание его ограничений. Направляются в активности RG3.3, RG3.4, RG3.5.

Выход 2: описание дефектов отчета. Направляется в активность RR1.1.

Активность RR 1.1 из этого примера принадлежит процессу RR1 "Точно описать риск" из области "Реакции на риски" и называется "Распространить результаты анализа ИТ-риска".

Не рассматривая пока описания процессов по существу, надо сказать, что по сравнению с COBIT описание процесса в Risk IT выглядит гораздо привлекательнее. Прежде всего, вместо абстрактных целей управлений здесь, как и в Val IT, присутствует простая и стройная иерархия целей: "область - процесс - ключевая активность". Исчезло непонятное разделение на ключевые практики и активности, существовавшее в Val IT; вместо этого появились ключевые активности, которые заменяют и те и другие (в частности, в ролевой таблице тоже присутствуют ключевые активности). Глубина и проработанность описания процесса значительно выше, чем в COBIT, где составляющие активности вообще не описывались. Входы-выходы соотнесены с ключевыми активностями, а не с процессами, что также повышает информативность и практическую ценность описания.

Что же касается содержательной стороны дела, то, как и COBIT и Val IT, Risk IT использует процессную модель только как иллюстрацию своего подхода, поэтому конкретное наполнение неизбежно будет отличаться от приведенного в (Risk IT, 2009) описания. Не стоит забывать и о том, что Risk IT - первое (насколько мне известно) и лишь недавно появившееся методическое руководство по управлению ИТ-рисками и сейчас рано оценивать его практическую и теоретическую значимость.

Модель зрелости Risk IT частично объединила свойства моделей COBIT и Val IT. Как уже говорилось, она состоит из двух частей: краткого и полного описаний. Рассмотрим эту модель для области "Корпоративное управление рисками", но сначала охарактеризуем подход Risk IT в целом.

Первое, что необходимо подчеркнуть, - это то, что уровни зрелости процессов теперь описываются с помощью шести одинаковых для всех процессных областей характеристик. Шаблонной модели зрелости, аналогичной той, что была в COBIT, нет. Таким образом, в Risk IT появились аналоги общих практик CMMI. Эти шесть характеристик - следующие:

• осведомленность и коммуникации;
• ответственность и полномочия;
• целеполагание и измерения;
• политики, стандарты и процедуры;
• знания и навыки;
• инструменты и средства автоматизации.

Общих целей в модели зрелости Risk IT нет, поэтому значения характеристик на уровнях демонстрируют скорее интуитивное улучшение процессов с ростом номера уровня, чем структурированную последовательность улучшений, как в CMMI. Тем не менее отказ от подхода к зрелости, принятого в COBIT, и движение в сторону общепринятых методик определения зрелости налицо. В остальном модель Risk IT аналогична модели Val IT.

Теперь становится понятно, что имелось в виду в COBIT, когда там вводились три измерения зрелости процесса (см. рис. 15.6). Это была попытка объединить в рамках единого взгляда три разные и противоречащие друг другу методики: методику COBIT, методику Val IT и методику Risk IT. Признать эту попытку удачной трудно.

Вернемся теперь к процессной области "Корпоративное управление рисками".

Краткое описание модели зрелости - это просто словесное описание уровней для процессной области, приводить которое здесь нет смысла.

К сожалению, полное описание уровней зрелости достаточно велико, поэтому я ограничусь для целей иллюстрации описанием трех характеристик (осведомленность и коммуникации, ответственность и полномочия, целеполагание и измерения) на первых трех уровнях (от несуществующего до повторяемого включительно).

Risk IT. Заключение

Из всех трех рассмотренных методологий ISACA (COBIT, Val IT и Risk IT) последняя производит впечатление наиболее методически осмысленной и структурированной. Вместе с тем не стоит переоценивать ее практическую значимость. Это, в полном соответствии с объявленной авторами целью, не более чем методическое руководство, не дающее никаких конкретных рекомендаций и решений, процессная модель которого имеет лишь иллюстративный характер.

Все содержательные вопросы, которые возникли после изучения Val IT, остаются в силе и применительно к Risk IT. Взаимосвязь управления ИТ-рисками с управлением другими рисками очевидна. Стандарт ISO 31000, посвященный управлению рисками, прямо говорит, что "управление рисками должно быть включено во все практики и процессы организации… Управление рисками должно стать частью процессов организации, а не быть отделено от них". Более того, определение процесса управления рисками по ISO 31000 включает такую деятельность, как определение контекста процесса, позволяющее настроить такие параметры общего процесса, как природа риска и критерии риска, на специфические условия контекста. Информационные системы, информационные потоки, используемые технологии являются по ISO 31000 частью внутреннего контекста организации.

Нельзя не признать, что подход ISO 31000 методически более последователен, чем подход Risk IT. Следуя философии, которую демонстрирует Risk IT, можно было бы пытаться строить процессные модели, например для управления изменениями в ИТ, управления персоналом в ИТ и т. д., что не только нерационально, но и противоречит реальной управленческой практике, где управление подобными процессами в ИТ, несмотря на определенную специфику, является лишь частью общих процессов корпоративного управления, причем частью, полностью подчиненной общекорпоративным правилам.

Безусловно, внутренний контекст (в терминологии ISO 31000), связанный с ИТ, включает не только информационные системы, потоки и т. п. (ISO 31000, кстати, не ограничивает состав контекста), но и более специфические объекты. Я бы назвал среди них в первую очередь процессы жизненного цикла систем и их развитость. Построение и использование профилей процессов жизненного цикла в ходе управления рисками позволило бы ответить на многие вопросы - вспомним о выборе субподрядчика, связанных с этим рисках и оценке развитости его процессов, о чем шла речь в Отчете SPICE.

Без классификации рисков, учета максимального количества параметров контекста, связанных с ИТ, выявления связей как между отдельными ИТ-рисками, так и между ИТ-рисками и другими рисками организации рекомендации Risk IT выглядят поверхностными и чересчур абстрактными. Мне кажется, что методически задачу управления ИТ-рисками нужно решать не сверху, как это делает Risk IT, а снизу, постепенно накапливая опыт и обобщая его, т. е. двигаясь от вполне конкретных рисков, связанных со специфическими ИТ-объектами, к построению общей процессной модели управления ИТ-рисками.

Краткие итоги

Изученная в этой лекции методология Risk IT является наиболее продуманной и логично изложенной из всех трех методологий ISACA (COBIT, Val IT, Risk IT). Вместе с тем проблема обоснования, упомянутая в случае Val IT, остается в силе и для Risk IT. Особенно наглядно это проблема выглядит в связи со стандартом управления рисками ISO 31000, который демонстрирует значительно более глубокий подход к управлению рисками, чем Risk IT, и которому Risk IT противоречит.

Вопросы

1. В чем состоят основные концепции Risk IT?
2. Как структурирована процессная модель Risk IT?
3. Как организовано описание процесса в Risk IT? В чем отличия от COBIT и Val IT?
4. Каков подход Risk IT к оценке развитости процессов? В чем его отличия от подходов CMM, CMMI, COBIT и Val IT?
5. Какова связь Risk IT со стандартом ISO 31000?