Как построить ИТ стратегию и учесть риски в ИТ-проектах
На Всемирном экономическом форуме в 2021 году был предоставлен отчет о глобальных рисках, которые могут изменить мир в 2021-2022 годах и в течение следующего десятилетия.
Отчет формировался на основе всемирных исследованиях агентства Marsh McLennan и Zurich. При участии SK Group, национального университета Сингапура, Оксфорда, исследований различных государственных и частных корпораций, а также Wharton Risk Management и Центра процессов принятия решений в Университете г. Пенсильвании. А также мнения широкого круга экспертов со всего мира.
Было выделено 35 глобальных рисков. Респондентов просили указать, какой риск станет критической угрозой миру, в пределах следующих сроков:
– Краткосрочные угрозы: 0–2 года
– Среднесрочные угрозы: 3–5 лет
– Долгосрочные угрозы: 5–10 лет
Из отчета следует, что в цифровом пространстве в ближайшие годы, угрозу несут:
0 — 2 года:
- Риски кибербезопасности отметили 39% опрошенных
- Риски цифрового неравенства 38,3% опрошенных
3 – 5 лет:
- Риски разрушения ИТ- инфраструктуры 53,3%
- Риск ошибок киберсистем 49%
- Сбой технического управления 48,1%
Из отчета следует, что риски в ИТ растут с каждым годом, и несут в себе глобальную угрозу.
Сегодня, как никогда, бизнес почувствовал важность технологий: продажи и общение с клиентами, платежи и внутренние процессы. Теперь все удобнее и эффективнее, но требует особого внимания к безопасности.
Данные должны быть доступными, целостными и защищенными, чтобы бизнес мог принимать верные решения и непрерывно функционировать. Важнейшим элементом в достижении непрерывной работы бизнес-процессов и бизнес-приложений является выбор стратегии управления рисками.
“Надежда — это не стратегия”
Так звучит традиционная поговорка SRE
Общепризнано, что системы не работают сами по себе. Как же управлять рисками и обеспечить непрерывность работы ИТ систем сегодня?
Особенно сложных вычислительных систем, работающих в больших масштабах.
Риски характеризуются двумя параметрами:
- потенциальным ущербом для организации
- вероятностью реализации (ГОСТ “Р ИСО 31000-2019″)
Использование совокупности этих характеристик позволяет сравнивать их с уровнями ущерба и вероятности.
Процесс управления рисками состоит из следующих этапов:
1. Определение рисков.
Цель идентификации рисков — найти, распознать и описать угрозы, которые могут помочь или помешать организации достичь своих целей.
Организация должна идентифицировать риски независимо от того, находятся ли источники данных под контролем. Необходимо учесть наличие более одного итога в случае инцидентов, что может привести к различным последствиям.
2. Анализ рисков.
Оценивается возможный ущерб от возникновения каждой гипотетической угрозы и вероятность ее наступления.
Необходимо определить степень ее влияния на ИТ-инфраструктуру организации и бизнес-процессы в целом.
Анализ риска должен учитывать такие факторы, как:
- вероятность событий и последствий
- характер и масштабы последствий
- сложность и взаимосвязь с другими рисками
- факторы, связанные со временем, волатильность
- эффективность внедренных методов управления риском в компании
Важно оценивать риски максимально широко. Учитывать экономическую, рыночную, политическую и социальную обстановку в рамках деятельности организации.
3. Сравнительная оценка рисков.
Позволяет определить степень угрозы, ущерба и тонкие места.
Варианты решений:
- не предпринимать никаких мер
- рассмотреть варианты обработки риска
- провести дальнейший анализ, чтобы лучше понять риск
- поддерживать существующие методы управления риском
- пересмотреть цели
Для сравнительной оценки применяются критерии:
- ущерб (количественный и качественный)
- вероятность
- нарушение бизнес-процессов
- общественный резонанс
- ущерб репутации
4. Разработка плана обработки рисков.
План определяет порядок, в котором осуществляется обработка рисков.
В процессе разработки плана определяются:
- варианты обработки рисков
- этапы реализации вариантов
- ресурсы для реализации плана
- способы мониторинга этапов
План должен быть интегрирован в управленческие и бизнес-процессы компании.
Существует четыре стратегии работы с рисками:
- Стратегия уклонения
- Стратегия снижения
- Стратегия передачи и разделения рисков
- Стратегия принятия риска (активное и пассивное)
Подробнее о каждой стратегии мы рассказывали ранее
5. Мониторинг и оптимизация.
Проводится для повышения эффективности обработки рисков. Поэтому, на всех этапах внедрения и воплощения плана, необходимо фиксировать возникающие проблемы и оптимизировать план обработки рисков.
6. Отчетность.
Сам процесс риск-менеджмента и его результаты должны быть задокументированы и сообщены ответственным лицам в целях улучшения процесса управления рисками.
Управление ИТ рисками сегодня несёт в себе фундаментальное значение для жизни и развития компаний.
До недавнего времени казалось, что бизнес адаптировался к эпохе хаоса и научился приручать неопределенность, эфемерность и аморфность.
Все прочитали “Антихрупкость” Нассима Талеба, и Человечество привыкло к VUCA как к синониму современности.
Джамаис Кашио, один из ведущих мировых мыслителей по версии Foreign Policy, создатель онлайн-ресурса “Open the Future” и футуролог, предложил для описания новой реальности, ее механизмов и условий существования акроним — BANI, по аналогии с другими, схожими по смысловой нагрузке, терминами – SPOD и VUCA.
SPOD характеризует старый предсказуемый мир, существовавший до массового распространения вычислительной техники и интернета:
- Steady (устойчивый)
- Predictable (предсказуемый)
- Ordinary (простой)
- Definite (определенный)
Эта эпоха завершилась, когда технологии стали развиваться быстрее смены одного поколения.
На смену SPOD-миру пришел VUCA-мир.
Термин зародился в конце 1980-х годов в США после окончания холодной войны. Составляют эту аббревиатуру слова, которые для нас за последние два десятилетия стали привычными и давно не пугают:
- Volatility (изменчивость),
- Uncertainty (неопределенность),
- Сomplexity (сложность),
- Ambiguity (неоднозначность).
Восприятие парадигмы VUCA помогло бизнесу позиционировать себя в неопределенной среде, создавать гибкие стратегии, лучше понимать своих клиентов и конкурентов. В 2007 году появилась модель VUCA Prime, а в 2008 году, когда глобальный финансовый кризис ознаменовался банкротством Lehman Brothers, концепция VUCA приобрела признание как способствующая принятию обоснованных решений в дестабилизирующей обстановке.
Для Джамаиса Кашио этот акроним кажется устаревшим.
Многие инструменты, модели и методики, разработанные опытными бизнес-стратегами для того, чтобы продуктивно думать и работать в среде VUCA, по его мнению, требуют адаптации и переосмысления.
Началось новое время – BANI:
- Brittle (хрупкий)
- Anxious (тревожный)
- Nonlinear (нелинейный)
- Incomprehensible (непостижимый)
BANI служит для описания реальности за несколько лет до последних событий. Резкие перемены, случившиеся в мире после расползания по нему коронавируса, подтвердили «прогноз» футуролога и точность его видения.
Кашио не только охарактеризовал BANI-мир, обозначив его ключевые вызовы. Он же расписал и рецепт «противоядия». Структура BANI, предлагает «объектив, через который можно увидеть и структурировать то, что происходит в мире».
Компоненты аббревиатуры при этом сами намекают на возможности для реагирования:
хрупкость можно преодолеть развитием устойчивости;
- ослабить тревогу и беспокойство по поводу будущего помогут сопереживание «в моменте» и внимательность к настоящему;
- для преодоления нелинейности потребуется гибкость;
- непостижимость обостряет потребность в прозрачности и интуитивном схватывании.
Не так давно основатель Давосского форума Клаус Шваб указал на необходимость «великой перезагрузки» капитализма. Он предложил перейти от мира, основанного просто на материальных целях, к миру, который гораздо больше заботится о благополучии людей. Все системы – от глобальных сетей торговли и информации до личных связей – меняются или должны будут измениться. Это требует от лидеров по-новому искать ответы на актуальные вопросы и реагировать на вызовы.