Консалтинг и ИТ-решения
Повысить имидж вашей компании и расширить возможности международного сотрудничества
Консалтинг
и ИТ решения
Подробнее
Курсы в Москве

SCHEDULE Расписание курсов

ITSS Курс «Управление стратегией ИТ-услуг на основе ITIL®»

ITILF Курс «Основы ITIL®»

PRINCE2F Курс «Основы управления проектами в соответствии с PRINCE2®»

MLF Курс «Основы машинного обучения»

COBIT5F «Основы COBIT 5»

OSA Курс «Service Desk и процессы оперативного управления ИТ-услугами в соответствии с ITIL®»

ITPM Курс «Инструменты управления ИТ-проектами»

DMLF Курс «Основы глубокого машинного обучения»

RCV Курс «Проведение изменений в ИТ в соответствии с ITIL®»

MSA Курс «Микросервисная архитектура»

PPO Курс «Оптимальное проектирование ИТ-услуг в соответствии с ITIL®: информационная безопасность, мощность, доступность, непрерывность»

DevOps Курс «Основы DevOps»

ITHR Курс «Управление ИТ-персоналом»

COBIT-ICS Курс «Система внутреннего контроля ИТ по модели COBIT(COBIT Internal Control System)»

SOA Курс «Управленческие инструменты организации отношений ИТ с бизнесом на основе ITIL®»

BCH Курс «Технология блокчейн»

AWS Курс «Мастерская проектирования ИТ-решений»

MALC Курс «Управление жизненным циклом услуг»

ITAM Курс «Управление ИТ-активами. Основы и практики»

ITILP Курс «ITIL Practitioner. Практические подходы для успешной работы»

BAF Курс «Основы бизнес-анализа»

BASRM Курс «Бизнес-анализ. Управление требованиями к ПО»

QA Курс «QA и тестирование программного обеспечения»

BPA Курс «Моделирование, анализ и оптимизация бизнес-процессов»

SYSA Курс «Системный анализ»

CMMP Курс «Модель CMMI Development V2.0 — руководство к действию»

AGILE: Гибкие методы управления

RISK Курс «Практические подходы управления ИТ-рисками»

ITSO Курс «Эксплуатация услуг по модели ITIL®»

MSA4ITSM Курс «Управление ИТ в условиях применения микросервисной архитектуры»

ITLM Мастер-класс «Разработка карты ИТ‑ландшафта»

ITSD Курс «Проектирование услуг по модели ITIL®»

ITST Курс «Преобразование услуг по модели ITIL®»

CSI Курс «Постоянное совершенствование услуг по модели ITIL® (ITIL Continual Service Improvement)»


Наш канал на youtube
Здесь вы найдет самые последние записи вебинаров и видео на тему ITIL
Тренажер подготовки к экзамену ITIL Foundation
Страховой сертификат повторной сдачи экзамена
  • 31243

    Количество выданных сертификатов

  • 2754

    Количество проведенных игр и семинаров

Управление ИТ-рисками

20.02.2018
20.02.2018

Андрей Агеев

В данной статье речь пойдет о риск-ориентированном подходе в ИТ-управлении. О трудностях, которые могут возникнуть при внедрении процесса управления ИТ-рисками и о некоторых способах их преодоления.

Согласно ГОСТ Р ИСО 31000, риск – это влияние неопределённости на цели. Исходя из этого, будем считать, что ИТ-риск – это влияние неопределённости, связанной с ИТ-деятельностью, на цели организации. Строго говоря, любая деятельность порождает неопределённость. Внедрение и развитие информационных технологий, их эксплуатация, а также операционная деятельность, как составная часть ИТ-управления, оказывают существенное влияние на организацию. А чем больше сбоев происходит во время использования ИТ, тем ощутимее становится и негативное влияние на цели организации.

Деятельность по управлению ИТ-рисками рассматривается как составная часть общего управления рисками в организации и в основном направлена на:

  • предотвращение или своевременное выявление и оценку ИТ-рисков, принятие адекватных мер по их снижению до допустимого уровня;
  • достижение стратегических целей развития ИТ-организации;
  • разработку и реализацию комплекса мер, способствующих достижению целей функционирования процессов управления ИТ в условиях необходимости соответствия быстро меняющимся потребностям бизнеса.

Несмотря на такие благие цели, на пути внедрения процесса управления ИТ-рисками возникает ряд трудностей. Большая часть негатива относится к способу взаимодействия управления ИТ-рисками с определёнными стилями управления. Быть хорошим управленцем – нетривиальная задача. Нужны упорный труд, практическая смекалка и, главное, талант. Люди, которым не хватает требующегося таланта, попадают во власть механических подходов, таких, как управление по целям, планирование по закону Паркинсона («работа заполняет всё время, отпущенное на неё») и «культура страха», при которой подчинённых вынуждают действовать запугиванием. Эти методы несовместимы с любой схемой управления рисками.

Однако сопротивление управлению рисками исходит не только от менеджеров, культивирующих механические подходы. Вот ещё несколько основательных поводов усомниться в том, сработает ли риск-ориентированный подход в ИТ-управлении.

1. Представители бизнес-подразделений не являются достаточно подготовленными, чтобы смотреть риску в лицо.

Другими словами, если ИТ-подразделение будет на постоянной основе говорить об истинном положении дел, бизнес может вовсе отказаться от услуг внутреннего ИТ, поэтому зачастую ИТ-менеджеры вынуждены лишний раз не беспокоить своих внутренних заказчиков или попросту им лгать.

2. Уровень неопределённости слишком велик.

Многие ИТ-менеджеры теоретически готовы бороться с неопределённостью, которая порождается в результате ИТ-деятельности. Но не понятны границы этой самой неопределённости. Нежелание хоть в какой-то мере классифицировать ИТ-риски приводит к тому, что большая часть рисков остаётся вне поля зрения ИТ-менеджеров. Люди тщательно заботятся о том, чтобы не споткнуться о шпалу, но не видят приближающегося поезда.

3. Данных о реализовавшихся рисках в прошлом может быть недостаточно для эффективного управления рисками.

Если бы можно было со 100%-ной уверенностью утверждать, что вероятность какого-то события близка к нулю, т. к. в прошлом такое событие еще не наступало, многие ИТ-менеджеры были бы в восторге. «До открытия Австралии жители Старого Света тоже были убеждены, что все лебеди – белые» (Н. Талеб).

4. Зачем управлять ИТ-рисками, если нельзя от них полностью избавиться?

Можно управлять рисками, но нельзя полностью их предотвратить. Подход, основанный на убеждённости, что риски не материализуются, делают сам процесс ИТ-управления бессмысленным, когда они всё-таки случаются. Для любой организованной деятельности риски присущи цели и напрямую связаны с операциями в рамках этой деятельности. Устранение этих внутренних рисков может быть достигнуто только путём отказа от значительной части операций в рамках этой самой деятельности.

5.Бессмысленно управлять рисками в одиночку.

Бессмысленно осуществлять управление рисками единственному менеджеру процесса, окружённому коллегами, которые всячески стараются избегать этой деятельности. Объявляя перечни рисков и количественно оценивая неопределённость, этот одинокий менеджер добьётся лишь того, что в конце концов станет выглядеть паникёром.

* * *

Этот список далеко не полный – можно и дальше продолжать выискивать причины для сомнений. Но всё же попробуем привести некоторые аргументы в противовес перечисленным трудностям, из-за которых многие менеджеры игнорируют тот факт, что управление ИТ-рисками должно стать составной частью набора инструментов ИТ-управления.

1. Цели организации неразрывно связаны с ИТ-целями.

Достижение целей организации и реализация её миссии требует получения ряда ИТ-результатов, которые описываются ИТ-целями. Занимаясь управлением ИТ-рисками важно всегда помнить, что одной из основных задач ИТ-управления является содействие в минимизации присущих ИТ операционных рисков. На достижение цели ИТ-деятельности влияет множество различных источников рисков. В случае реализации этих источников ИТ-цель достигается частично либо не достигается вовсе. Другими словами, на выходе вы не получите требуемого ИТ-результата для достижения целей организации, либо получите не то, что нужно.

2. Тщательно продуманная классификация рисков позволяет упорядочить процесс их идентификации.

Чтобы процесс идентификации рисков не выглядел хаотичным и позволил бы охватить наибольшее количество тех самых источников рисков, рекомендуется предварительно продумать подходящую таксономию ИТ-рисков. Т. к. ИТ-риски относятся к операционным рискам, то соответствующие источники риска можно разделить на 4 класса: деятельность ИТ-персонала, сами информационные технологии, операционная деятельность (процессы ИТ-управления), внешние факторы. Каждый из перечисленных классов можно детализировать до конкретных областей. К примеру, «ИТ» включают в себя ИТ-инфраструктуру и программное обеспечение, а под классом «внешних факторов» рассматривают поставщиков, влияние геополитики и т. д. В свою очередь, каждый процесс ИТ-управления состоит из нескольких этапов жизненного цикла, например, таких как: внедрение, функционирование и совершенствование процесса. На каждом из таких этапов могут возникать свои источники риска.

3. Важность ретроспективного анализа.

Регулярная фиксация возникающих в ИТ-деятельности риск-событий (реализовавшихся рисков) позволяет с большей точностью определять болевые точки, на которые требуется обратить особое внимание. Учитывая события в прошлом, можно строить более точные прогнозы проявления этих событий в будущем, и своевременно применять необходимые меры реагирования.

4. Регулярное исследование источников рисков позволяет понять, что мешает достичь цели ИТ-деятельности.

Риск часто характеризуется путём описания возможного события и его последствий или их комбинации. Событие само по себе является не процессом, а результатом определённых процессов. Анализируя источники риска в привязке к ИТ-объектам (например, ИТ-системам или процессам ИТ-управления), в которых они зарождаются и/или на которые они влияют, можно понять, что в первую очередь мешает достичь ИТ-целей, и найти наилучший способ минимизации негативного воздействия. Одни источники риска самостоятельно способны спровоцировать реализацию конкретного риска, другие – только в комбинации с другими источниками.

О каких же источниках ИТ-рисков можно говорить? Количество источников риска ничем не ограничено, и здесь важно помнить, что слишком большое их количество может привести к снижению качества их оценки. Перечень источников риска формируется произвольно, единственно правильного варианта просто не существует, т. к. многое зависит от специфики организации.

Вот несколько примеров источников, которые являются общими для большинства организаций:

  • изъяны, допущенные при проектировании процесса ИТ-управления;
  • отсутствие контрольных процедур;
  • нехватка адекватного ИТ-персонала;
  • деградация производительности ИТ-систем.

Далее каждый источник риска можно оценить по степени влияния.

Например, 0 – нецелесообразно принимать во внимание, 1 – среднее влияние, 2 – высокое влияние. Эта оценка может быть проведена экспертным путем. Дополнительно рекомендуется проанализировать зависимость от других рисков и их источников.

Подобный анализ рисков обеспечит входную информацию для проведения оценки риска и принятия решений относительно необходимости дальнейшего реагирования на выявленные риски и его источники.

В заключение хотелось бы ещё раз подчеркнуть, что управление рисками, возникающими в ИТ-деятельности, позволяет более эффективно достигать ИТ-целей и тем самым минимизировать операционные риски бизнес-процессов. Лучше всего эта закономерность проявляется в тех компаниях, в которых корпоративная культура позволяет признавать неопределённость и открыто говорить о ней. Когда внедрён процесс управления рисками, сотрудникам разрешено мыслить и негативно, по крайней мере, часть времени. Это позволяет объективно оценивать происходящее в рамках ИТ-деятельности.


Вопросы по этой теме обсуждаются на следующих курсах:
17500 р
курс
RISK
Курс «Практические подходы управления ИТ-рисками»
54
9.3/10
instudy
*Указана цена курса по спец.предложению для частных лиц при оплате банковской картой

19.04.2018
Непрерывность как процесс. Ошибки, которые вполне можно не допустить при организации управления непрерывностью.
Согласно лучшим практикам, нашедшим отражение в библиотеке ITIL®, основным интерфейсом взаимодействия между бизнесом и ИТ является услуга. ИТ-подразделение - провайдер, предоставляющий некий набор услуг, а бизнес - его потребитель.
ITIL и Сервис-менеджмент
12.04.2018
The Skills Framework for the Information Age – SFIA
SFIA (произносится как «София») или «The skills framework for the infor-mation age» – международно-признанная модель классификации ИТ-навыков.
09.04.2018
ITIL и быстрое изменение приложений
В последнее время часто говорят о необходимости быстрой разработки и внедрения изменений в приложениях и о кризисе традиционной ИТ-поддержки, которая описана в лучших практиках, в том числе в библиотеке ITIL.
ITIL и Сервис-менеджмент
04.04.2018
Как повысить ваши шансы на успех при внедрении процессов. Практические рекомендации
Существуют различные источники знаний о лучших практиках в области управления ИТ-услугами, которые содержат рекомендации и требования, применение и соответствие которым поможет обеспечить предоставление качественных ИТ-услуг.
Управление проектами
26.02.2018
Инструменты постоянного совершенствования услуг
Требования бизнеса к ИТ и его зависимость от ИТ-услуг продолжают стремительно расти. В такой ситуации очень важно, чтобы ИТ-организации постоянно оценивали и совершенствовали свои ИТ-услуги и процессы управления, которые обеспечивают предоставление ИТ-услуг.
ITIL и Сервис-менеджмент
20.02.2018
Управление ИТ-рисками
В данной статье речь пойдет о риск-ориентированном подходе в ИТ-управлении. О трудностях, которые могут возникнуть при внедрении процесса управления ИТ-рисками и о некоторых способах их преодоления.
Управление рисками
17.01.2018
В поисках волшебной пилюли
Несмотря на заголовок, статья будет вовсе не о лечении и медикаментах. В рамках консалтинговой и тренинговой деятельности мне постоянно приходится общаться с людьми совершенно разных профессий, образования, возраста, склада ума и опыта, работающих в абсолютно не похожих организациях по всей нашей необъятной стране.
ITIL и Сервис-менеджмент
10.11.2017
Когда пора сбивать высокую температуру? Умеем ли мы принимать правильные решения
Конечно же, речь в этой статье не пойдёт о том, когда необходимо принимать жаропонижающее. Мы попробуем разобраться со схожей, но более общей проблемой – умеем ли мы вообще принимать решения на основании измерений.
ITIL и Сервис-менеджмент
07.12.2015
Customer Focus – в чем фокус?
Разбираемся, что такое клиентоориентированность и как сделать так, чтобы этот эпитет можно было поставить рядом с названием вашей организации.
ITIL и Сервис-менеджмент

Вверх