Computerworld, США
Риск стал неотъемлемой частью нашей сегодняшней жизни. Организации, работающие в сфере финансовых услуг, на протяжении всей своей истории вынуждены были бороться с рисками, связанными с выдачей кредитов и изменением рыночной ситуации. Но сегодня чреватая серьезными последствиями угроза операционных рисков, отягощенная вероятностью сбоев в системе внутренних связей и корпоративного управления, которые могут катастрофически повлиять на ведение бизнеса в целом, нависла и над отдельными функциональными направлениями деятельности предприятий, включая и ИТ.
Возникает вопрос, кто должен следить за всем этим в условиях, когда выполнение многих непосредственно связанных с ИТ функций — например, обеспечение физической и информационной безопасности, выполнение требований конфиденциальности и соблюдение требований нормативных актов — сопряжено с риском?
В компаниях появляется специальная должность директора по рискам (Chief Risk Officer, CRO). На нем держится весь процесс управления рисками предприятия (Enterprise Risk Management, ERM), в том числе рисками, связанными с ИТ и безопасностью данных. Как утверждают в Forrester Research, сегодня директор по рискам входит в состав высшего руководства практически любой крупной организации, относящейся к «критически важной инфраструктуре», будь то финансовые институты, энергетические компании или медицинские учреждения. По мнению аналитиков Forrester, к следующему году уже три четверти таких организаций будут иметь отдельное подразделение ERM.
Получив первоначальную прописку в финансовых институтах, управление рисками в последние годы стало играть гораздо более важную роль в планировании бизнеса во всех отраслях. Повсеместное распространение концепции ERM стимулировалось появлением новых нормативных актов (в частности, закона Сарбейнса-Оксли, предусматривающего расширенный надзор за средствами ведения финансовой отчетности, и правил Basel II, регламентирующих оценку международного банковского капитала). Поскольку под крышей ERM размещаются различные типы операционных рисков, задача директора по рискам заключается в устранении «фрагментированного» подхода к управлению рисками. По мере усиления госрегулирования и усложнения корпоративных политик, направленных на управление рисками в масштабе всего предприятия, Forrester и другие аналитические фирмы обращают особое внимание на необходимость учреждения специальной должности для осуществления общего контроля за управлением соответствующими процедурами.
«При фрагментированном, хаотичном подходе к управлению рисками в организации нет человека, который приглядывал бы за всем этим, — пишет аналитик Forrester Майкл Расмуссен о тенденциях развития ERM. — В современном сложном деловом мире бизнес можно похоронить за неделю. При отсутствии четко выстроенных правил и человека, отвечающего за управление рисками, организации блуждают в темноте».
Джеймс Лэм, президент консалтинговой компании James Lam & Associates, специализирующейся на корпоративных рисках, согласен с тем, что директору по рискам необходимо представлять себе полную картину.
«Ключевым фактором успеха является хорошее знание большинства рисков, имеющих для компании критическое значение, — подчеркнул он. — Каждый руководитель понимает, что директор по рискам помогает компании добиваться поставленных целей, поскольку защищает ее от угроз».
Эта должность требует целостного представления о том, что способно оказать влияние на операции компании. Разумеется, директор по рискам должен поддерживать взаимодействие с другими руководителями высшего уровня, а также с начальниками основных подразделений.
Это его работа
Есть ли в штатном расписании вашей организации должность директора по защите, в задачи которого входит определять уровни риска и предпринимать соответствующие действия?
Если ли в штатном расписании вашей организации нет должности, которая предусматривает определение уровней риска и проведение соответствующих мероприятий, то кто выполняет эти задачи?
Источник: результаты опроса специа?листов в области ИТ, проведенного еженедельником Computerworld (США)