Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь
Управление рисками непрерывности бизнеса в рамках финансового Холдинга
Россин Д.В.
Выпускник группы MBA CIO-54
Школа IT-менеджмента
РАНХиГС при Президенте РФ
В современном мире темп ведения бизнеса, скорость и оперативность принятия решений, а также возможность получения доступа к необходимой информации постоянно растут в геометрической прогрессии. В связи с этим, как никогда становятся актуальными такие понятия, как непрерывность ведения бизнеса, непрерывность доступа к информации, информационная безопасность и целостность данных, методы оценки принимаемых руководством решений, как с финансовой, так и с рисковой части.
Ввиду высокого влияния указанных выше факторов на практическую деятельность любого бизнеса нам необходимо говорить о потребности предприятий, финансовых холдингов и других бизнес структур в методологиях, в практиках и рекомендациях по обеспечению непрерывности, безопасности, продуктивности и максимальном снижении рисков их операционной и финансовой деятельности.
Зачастую в современных практиках оценки риска существуют, как отдельно взятые элементы, не связанные напрямую с действующими бизнес-процессами. Регулярно можно слышать на словах, что риск-менеджемент должен говорить на языке бизнеса. Но при этом достаточно странно наблюдать такую картину в практике: языком бизнеса являются такие понятия, как cashflow, NPV, бюджет и т.п., а риск-менеджмент при этом говорит на языке списков рисков, карточек рисков, оценок и вероятностей возникновения.
Целью данной работы является рассмотрение деятельности финансового Холдинга, ведущего свою активную работу на российском рынке, с точки зрения возможности управления рисками непрерывности ведения бизнеса, возможности и применимой методике оценки рисков. На основании этой оценки в данной аттестационной работе предлагаются методы реализации решений после их принятия, направленные на уровень топ-менеджеров Холдинга, которые позволят минимизировать данные риски или же сознательно управлять или принимать их.
Отдельной значительной частью работы рассматривается такой немаловажный аспект, как непрерывность бизнеса с точки зрения используемых ИТ-систем, их архитектуры и возможности/необходимости модификации архитектуры в связи с последними тенденциями развития ИТ-индустрии и потребностями Холдинга.
В рамках задачи по проведению модернизации и оптимизации ИТ-инфраструктуры была разработана методика оценки данных изменений, целесообразность финансовых вложений и их перспективность. Данная методика позволила ясно и прозрачно принимать решения по направлению финансовых потоков топ-менеджерам Холдинга и его владельцам.
В данной работе был описан практический опыт реализации проекта управления рисками непрерывности бизнеса в рамках финансового Холдинга.
Задачи, поставленные перед проектной командой, заключались:
- в оценке текущей ситуации, сложившейся в рамках ИТ, которая не устраивала руководство;
- в предложении понятных методик выбора из списка предлагаемых решений по модернизации инфраструктуры;
- в предложении методики дальнейшего отслеживания обеспечения непрерывности работы Холдинга с точки зрения ИТ службы.
Дальнейшее обеспечение непрерывности как раз и заключалось в предложении проектной команды использовать в работе ИТ-департамента методологии риск-менеджмента с привлечением таких инструментов оценки ситуации, как КИР (ключевые индикаторы риска).
Совместно сотрудниками ИТ-департамента и представителями бизнес-подразделений была собрана таблица, которую можно условно назвать «Каталогом услуг», предоставляемых со стороны ИТ бизнесу. Условно, т.к. эта таблица отвечала только на вопросы по основным приложениям, использующимся в работе Холдинга, и никак не отражала действительности с точки зрения всех остальных ИТ услуг, как то: подключение рабочих мест, протяжка проводов и многое другое. От представителей бизнес-подразделений были получены данные по критичности каждого пункта данной таблицы, т.е. оценка по допустимому времени простоя каждой из систем. Самые критичные бизнес-системы в требованиях должны были иметь время восстановления (параметр RTO) не более 1 часа.
По итогам согласования RTO и допустимого времени простоя проектная команда провела анализ инфраструктурной части ИТ Холдинга на соответствие данным требованиям и возможности восстановления в указанное время. Проверка проводилась по каждому из сервисов раздельно.
Дополнительно проводилась оценка соответствия текущей архитектуры и инфраструктуры с точки зрения планов развития бизнеса на ближайшие 5 лет, которые нам были предоставлены со стороны бизнес-заказчиков.
Каждый сервис был полностью в графическом виде отрисован с точки зрения предоставления его пользователям. Какие конфигурационные единицы КЕ (терминология взята из ITIL) используются для его работы, какие для хранения данных и какие являются транспортными для доставки данных пользователям.
После оценки всех сервисов на предмет уязвимости каждой из КЕ, обеспечивающих функционирование этих сервисов, были разработаны варианты модернизации инфраструктуры. Эти варианты модернизации инфраструктуры максимально закрывали проблемы в текущем состоянии, а также учитывали планы развития Холдинга на ближайшие 5 лет.
Далее была разработана и реализована методика выбора конкретного технического решения, отвечающего всем требованиям как бизнеса, так и ИТ-департамента, при этом обеспечив прозрачность этого выбора для собственников бизнеса.
Разработанная методика включала в себя несколько шагов:
- Составление списка возможных вариантов технических решений
- Оценка каждого технического варианта с точки зрения ИТ-департамента, т.е. определялся качественный показатель по каждому из вариантов решений в баллах, позволяя сравнивать решения между собой.
- Оценка каждого технического варианта с точки зрения общей стоимости владения на требуемом горизонте в 5 лет с учетом дисконтирования.
- Составление интегрального показателя соответствия качественных характеристик предлагаемого технического решения потребностям бизнеса.
- Графическое представление полученных вариантов решения в виде единого графика, глядя на которой собственники бизнеса выбирали тот вариант, который их больше всего устраивал с точки зрения соотношения параметров и соответствия их ожиданиям.
По итогам оценки данного интегрального показателя собственники выдали свое решение и профинансировали дальнейшее продвижение проекта.
При проведении тендерной процедуры для определения поставщика выбранного решения важным моментом были нефинансовые требования. Эти требования следовали из системы управления риск-менеджментом и включали в себя такие показатели, как сертификация поставщика в качестве партнера у вендора выбранного решения, наличие у поставщика собственных сертифицированных инженеров по выбранному ПО и аппаратной части и т.п.
С момента старта этого ИТ-проекта собственники бизнеса осознали необходимость внедрения в Холдинге процесса риск-менеджмента и начало его внедрения было положено как раз этим проектом. Генеральный директор компании провел встречу с руководителями бизнес-подразделений, рассказал о необходимости запуска данного процесса и дал «добро» на выделение времени сотрудников под проработку карт рисков, построение моделей и определение ключевых индикаторов риска по каждому из подразделений.
В ИТ-департаменте было определено несколько КИР, которые будут собираться в дальнейшем и анализироваться на предмет их динамики:
- низкая утилизация ИТ-систем
- простой ИТ-систем (время простоя, downtime) по различным внеплановым причинам
- доля критичных систем без утвержденного владельца
- количество зафиксированных нарушений доступа или несанкционированного доступа к ИТ-системам Холдинга
- загрузка основных узлов виртуализации
Указанные ключевые индикаторы риска были приняты за первичные, которые будут собираться, с возможностью дальнейшего расширения данного списка. Их задача с точки зрения обеспечения непрерывности бизнеса: отражать наличие заинтересованных лиц в каждом из бизнес-приложений или бизнес-систем, отражать возможные факты нарушения работы бизнес-систем по причинам простоя, недостаточных мощностей или неправомерного вмешательства в системы/неправомерного доступа к системам и содержащимся в них данным.
По итогам внедрения в работу выбранного по интегральному показателю решения сотрудники ИТ-департамента, используя ту же самую методику, провели заново оценку всех ИТ-систем Холдинга на соответсвие требованиям бизнеса по параметрам RTO и возможности масштабирования. На основании обновленной оценки были сформированы последующие шаги по устранению оставшихся несоотстветствий требованиям бизнес-подразделений.
Таким образом, итогами проведенного проекта можно назвать:
- устранение критичных точек в инфраструктуре заказчика
- разработка методики, на основании которой в дальнейшем оценивается соответствие
- внедрение в работу цикличности оценки, исправления и заново оценки, т.е. процесса PDCA по менеджменту непрерывности бизнеса
- внедрение регулярных процедур сбора и вычисления показателей, отражающих динамику развития ИТ в рамках Холдинга, по критериям непрерывности бизнеса и возникающим рискам.
- Войдите на сайт для отправки комментариев