ИТ-директор - первый кандидат на роль лидера в процессе внедрения методов управления рисками предприятия. Возможно, предлагаемые здесь стратегические рекомендации помогут ИТ-руководителю наладить эту работу.
ИТ-директор — первый кандидат на роль лидера в процессе внедрения методов управления рисками предприятия. Возможно, предлагаемые здесь стратегические рекомендации помогут ИТ-руководителю наладить эту работу.
Трагедия произошла 1 февраля 2003 года высоко в небе над Техасом. Космический челнок Columbia, алюминиевый корпус которого раскалился до температуры более 1700 градусов по Цельсию, рассыпался на множество фрагментов. Погибли все семь находившихся на борту астронавтов. Некоторое время спустя независимая комиссия по расследованию аварии Columbia пришла к заключению, что причиной катастрофы стал не только кусок изолирующего материала внешних топливных баков, который оторвался на старте и повредил левое крыло корабля. К трагедии привела утвердившаяся в NASA модель управления, по сути блокировавшая взаимодействие между подразделениями агентства, ответственными за различные аспекты программы космических челноков.
В NASA не позаботились ни об организации процесса обсуждения проблем, связанных с безопасностью кораблей, в котором могли принять участие ответственные за эту сферу руководители, находящиеся в различных географических точках, ни о формировании всеобъемлющей стратегии разрешения таких проблем.
По завершении расследования руководство NASA поручило топ-менеджерам наладить процесс обмена информацией внутри агентства. И именно тогда исполняющий обязанности директора информационной службы Скотт Сантьяго, ведающий вопросами ИТ-безопасности, на первый план выдвинул задачу снижения рисков в сфере безопасности ИТ во всех подразделениях агентства. Катастрофа Columbia никак не была связана с проблемами информационной безопасности, однако, по мнению Сантьяго, информационные системы, обслуживавшие этот корабль и десятки других программ NASA, играют важнейшую роль в обеспечении успеха и безопасности космических полетов.
Он обратил внимание на то, что сведения, имеющие отношение к обеспечению программ NASA, рассредоточены по различным космическим центрам агентства. Тысячи занятых в разных регионах страны сотрудников создают и используют информацию, которая поступает в подразделения агентства. Эти служащие редко общаются друг с другом и следуют неодинаковым правилам и процедурам обеспечения информационной безопасности. Такая несогласованность представляла собой не признаваемую открыто угрозу для информации, которая обеспечивает безопасность людей и оборудования.
Сантьяго поставил задачу выявления и минимизации этих рисков и в поисках ее решения обратился к дисциплине, именуемой управление рисками предприятия (Enterprise Risk Management, ERM). Эта дисциплина ориентирована на обеспечение непрерывности бизнеса с помощью формирования общего представления обо всех рисках предприятия (как внутренних, так и внешних) и разработки направленной на их минимизацию стратегии исполнительного уровня. При правильном подходе ERM повышает рыночную стоимость активов предприятия и снижает вероятность потерь и катастроф посредством повышения качества решений по ИТ-инвестициям и управления системами.
С тем чтобы добиться внедрения в NASA практики управления рисками предприятия в области безопасности, исполняющему обязанности директора информационной службы агентства Скотту Сантьяго пришлось в течение нескольких месяцев вести разъяснительную работу на совещаниях, где присутствовали ИТ-руководители подразделений NASA, сотрудники службы безопасности и менеджеры основных подразделений |
Так же, как и Сантьяго, с необходимостью управления рисками предприятия сегодня сталкиваются многие ИТ-руководители. Объясняется это просто: сама возможность функционирования коммерческих организаций в настоящее время, более чем когда-либо, зависит от информационных технологий. Однако управление рисками предприятия — это достаточно сложная дисциплина. Внедрение ERM невозможно без изменений в корпоративной культуре, и в организациях его часто воспринимают болезненно, поскольку выявление рисков сотрудники воспринимают как одну из форм критики. Сантьяго был готов к тому, чтобы заставить менеджеров NASA отказаться от принципа «я занимаюсь рисками, связанными с моим проектом», которого они придерживались в течение десятилетий, будет непросто.
«Сотрудники обычно думают о технических деталях, сетевых экранах и виртуальных частных сетях, — объясняет Сантьяго. — Но мы должны мыслить в более широком контексте и ставить перед собой следующие вопросы: что такое риск, связанный с информацией? Что мне нужно делать для защиты этой информации? Наконец, как мне это делать?»
Для того чтобы запустить процесс внедрения ERM, ИТ-руководителям требуется стратегия. На основе интервью с почти двадцатью консультантами, научными сотрудниками университетов и директорами информационных служб, практикующими ERM, была сформулирована такая стратегия. Пять пунктов этой стратегии могут быть полезны при решении многих задач, с которыми сталкиваются руководители.
Пункт первый
Определить мотивацию
Для некоторых ИТ-руководителей мотивация к внедрению методов ERM абсолютно ясна: если не сформулировать общее представление о рисках на уровне предприятия, это может привести к человеческим жертвам. К примеру, ИТ являются сегодня важнейшей частью боевых средств ВМС США. Директор информационной службы ВМС США Дэйв Веннергрен как раз занимается развертыванием сети масштаба предприятия для совместного использования служащими ВМС и морской пехоты. Когда работа будет завершена (а это произойдет до конца нынешнего года), военнослужащие сухопутных баз и находящихся в плавании военных судов получат стандартный способ для обмена информацией о боевых действиях в реальном времени. «Если в системе произойдет сбой, военные моряки и пилоты истребителей не будут иметь сведений, необходимых для ведения боя», — подчеркивает Веннергрен. Когда в ходе атаки на Пентагон, совершенной террористами 11 сентября 2001 года, был разрушен командный центр ВМС США, стало ясно, какому серьезному риску подвергается способность военных вести боевые операции из-за того, что все коммуникационное оборудование расположено в одном месте. Именно тогда Веннергрен понял, почему ERM-система имеет жизненно важное значение.
Но иногда — в первую очередь, в случаях, когда задача разработки стратегии ERM ставится руководителем предприятия или советом директоров, — ИТ-директору приходится прилагать дополнительные усилия, чтобы убедить себя в ценности идей ERM. Вплоть до середины 90-х годов решения о целесообразности инвестиций в новые предприятия принимались высшим руководством банка J.P. Morgan в зависимости от напора, с которым продвигали свои предложения менеджеры. По словам Билла Шэрона, консультанта, ранее занимавшего в банке должность руководителя службы управления технологическими рисками, эта стратегия привела к ряду неприятных сюрпризов, новые капиталовложения не приносили банку тех процентов, на которые рассчитывало его руководство. Высшее руководство J.P. Morgan, по воспоминаниям Шэрона, принимало решения об открытии филиалов в новых странах, не учитывая всех операционных рисков, в том числе связанных с ИТ и телекоммуникациями.
Билл Шэрон, консультант и бывший руководитель информационной службы компании McCann WorldGroup, делится с коллегами принципами управления рисками в ходе работы над ИТ-проектами |
Тогдашний председатель правления банка предложил руководству разработать более продуманный процесс принятия решений в сфере выбора объектов для инвестиций. Шэрон, а также руководитель отделения банка, специализировавшегося на корпоративной недвижимости, взяли инициативу на себя и разработали процедуру проверки всех новых коммерческих начинаний на соответствие определенному набору требований, в который входили также требования в сфере ИТ. Когда работа была завершена, Шэрон понял, что разработанный им процесс сводился к анализу рисков предприятия; вот тогда-то он и стал сторонником ERM.
Шэрон обращался к сотрудникам всех отделов с вопросом: каким образом на них сказывалась та или иная бизнес-инициатива. После этого он составлял список всех условий, которые должны быть удовлетворены перед тем, как сторонники выпуска нового продукта или открытия нового отделения представят свои идеи исполнительному комитету, — включая необходимые инвестиции в сферу ИТ или мероприятия по поддержке. Проект мог быть утвержден лишь в том случае, если его спонсору удавалось получить во всех бизнес-подразделениях сведения о проработке их сотрудниками соответствующих проблем реализации. Например, если речь шла об открытии нового офиса в Мехико, спонсоры проекта должны были представить расчеты о необходимом количестве компьютеров, сетевых каналов связи и о надежности электроснабжения. В соответствии с прежними порядками ни одного из перечисленных вопросов не задавалось, однако все они имеют принципиальное значение для успеха нового предприятия.
«Я понял, что в рамках информационной службы, да и в любом другом бизнес-подразделении нельзя придерживаться принципа ответственности ?от сих до сих?, — рассказывает Шэрон. — Нельзя просто выполнить поставленную перед тобой задачу и отправиться домой. И еще одно: в информационной службе никто в сущности не знает, в чем состоит бизнес-стратегия. Вот тут и стало ясно, что ERM ставит людей в равные условия».
Пункт второй
сформулировать главную идею
Как утверждают ИТ-руководители, ставшие лидерами своих компаний в деле реализации методов ERM, точная формулировка главной идеи, отвечающей на вопрос «почему нам нужно заниматься управлением рисками предприятия», — необходимый и один из наиболее важных этапов реализации плана по внедрению ERM в компании — и, возможно, самый трудный. Методы ERM так или иначе затрагивают все элементы структуры предприятия, и поэтому необходимо вникнуть во все тонкости работы каждого подразделения. Кроме того, вы должны думать о событиях и последствиях, которые ранее вообще не принимали во внимание или предпочитали о них не думать, — возможно, потому, что в вашей организации всякие разговоры о рисках принято считать признаком неверия в успех.
«Вы должны находить слова для описания риска, о котором идет речь, — утверждает Дэвид Уэймаут, бывший директор информационной службы Barclays Bank, ныне руководитель подразделения банка, занимающегося стратегией бизнес-этики. — Если вы не сумеете его описать, то так никогда ничего и не добьетесь».
А для этого вам, возможно, придется найти новые подходы к обсуждению проблем информационных технологий — и с вашими коллегами-менеджерами, и с подчиненными. В NASA на место традиционных представлений, согласно которым каждый центр агентства должен решать свои проблемы информационной безопасности собственными средствами, приходит разработанная Сантьяго модель информационной безопасности масштаба предприятия. Из своего кабинета в штаб-квартире NASA Сантьяго увидел, что практически каждая космическая программа, а также почти каждая обслуживающая такую программу система охватывает не один, а несколько центров NASA, то есть результаты работы в одном подразделении агентства зависят от того, что происходит в других.
Главная идея Сантьяго: информация должна быть доступна тем, кто в ней нуждается. И поэтому информацию нужно защищать от угроз. Он не рассуждает о защите отдельных систем, а говорит об обеспечении безопасности того, что он называет «контейнерами» информации, используемой сотрудниками NASA. Он подробно исследует вопросы о том, кто управляет хранящейся в контейнере информацией, кто имеет к ней доступ, и какие риски возникнут в случае, если эта информация станет недоступной или будет каким-либо образом изменена. Этот анализ можно использовать для выявления самых серьезных угроз целостности данных и для выработки мер по смягчению упомянутых рисков.
Как полагает Уэймаут, правильно сформулированное обоснование необходимости внедрения принципов ERM должно включать в себя факты, способные развеять сомнения скептиков. Он организовал систему мониторинга для сбора данных о действующих системах Barclays (например, сколько раз банк перехватывал заведомо ложные платежи или блокировал атаки, вызывающие отказы в обслуживании и т. д.). Регистрация всех случаев, когда ИТ-подразделение устраняет угрозы нарушения нормальной работы банка — которые, с точки зрения Уэймаута, равнозначны рискам, — дает ему возможность подсчитывать сэкономленные средства. Кроме того, он может использовать эти данные в случаях, когда возникает необходимость продемонстрировать, что банк должен продолжать вкладывать средства в ИТ для смягчения этих рисков.
Пункт третий
Проявлять гибкость
Не все понимают, что такое риски. К тому же разные люди оценивают риски с разных позиций. Отсюда следует, что вам нужно вооружиться терпением и дать своим слушателям время для усвоения того, о чем вы ведете речь. Здесь главное — проявлять гибкость. Выстраивайте свою аргументацию с учетом воззрений собеседника.
Джордж Уэстерман, специализирующийся на проблемах ERM в сфере информационных технологий, научный сотрудник Слоуновской школы менеджмента при Массачусетском технологическом институте, поясняет эту мысль на примере из жизни своей семьи. Четырехлетняя дочь Уэстермана любит взбираться на гимнастические «джунгли». Добравшись до половины этой конструкции, состоящей из стоек и перекладин, она оборачивается и кричит: «Папа, посмотри на меня!»
«Мое первое побуждение — ответить: ?Молодчина. Ну, долезай до верха?, потому что я хочу избежать риска излишней опеки, — поясняет Уэстерман. — Однако мать девочки обычно говорит в такой ситуации: ?А теперь слезай?; она хочет свести к минимуму риск того, что дочка упадет и ушибется. У нас разные представления о риске, хотя и для меня, и для моей жены главная забота — о благополучии ребенка. Думаю, лучше поступить по-другому: встать рядом с ней — и пусть взбирается так высоко, как может. Надо просто быть рядом, чтобы подхватить ее в случае чего».
Уэстерман делает вывод: его дочь может идти на больший риск при соответствующих мерах предосторожности.
Иногда собеседников легче склонить к принятию мер по внедрению в компании принципов ERM, если вообще не говорить о рисках. Работая в должности ИТ-директора рекламного агентства McCann WorldGroup, Шэрон порой намеренно избегал этой темы — например, в ходе реализации проекта для подразделения агентства, ответственного за международный бизнес. Он знал, что менеджеры этого подразделения вряд ли поймут его рассуждения относительно управления рисками. У членов группы, ответственных за положение дел на более чем 100 локальных рынках, возникли проблемы с организацией хранения сообщений электронной почты и факсов, поступающих от отделений, курирующих различные направления бизнеса. Эти документы часто терялись, или их поиски занимали слишком много времени — иначе говоря, возрастал риск того, что члены группы не смогут достаточно быстро отвечать на обращения клиентов.
В беседе с членами группы Шэрон не стал говорить о рисках. Вместо этого он завел речь о том, как организация intranet-сети может повысить уровень обслуживания клиентов. Он сказал своим слушателям, что понимает, как напряженно они работают, и предложил им помощь в развертывании логистической системы, которая позволит им лучше обслуживать клиентов. После создания Web-портала, как вспоминает Шэрон, члены группы начали принимать решения в реальном времени, и риск того, что неудовлетворенные клиенты обратятся к конкурентам, снизился.
А в других случаях вести разговор лучше всего начистоту. Уэстерман рассказывает историю директора информационной службы корпорации, входящей в список Fortune 100. Этому человеку нужно было убедить членов совета директоров дать «добро» на развертывание в масштабах всей корпорации крупного ИТ-проекта, реализация которого была связана с более высоким, чем обычно, уровнем риска. Надо сказать, что до тех пор ИТ-подразделение этой компании всегда укладывалось в намеченные сроки и никогда не выходило за рамки установленных смет расходов. А причина состояла в том, что, рассчитав время и финансовые средства, необходимые для завершения проекта, в информационной службе умножали эти показатели на два.
Так вот, на этот раз ИТ-руководитель счел, что такой подход чреват слишком высокими рисками для компании, поскольку он не обеспечивает совет директоров точной информацией для принятия коммерческих решений. Кроме того, ИТ-подразделение получает стимул для слишком щедрого расходования денег. ИТ-руководитель решил, что на этот раз он предоставит совету директоров самые точные оценки предстоящих расходов и сроков выполнения проекта и разъяснит, что в будущем ему, возможно, придется просить директоров о выделении дополнительных средств и о продлении сроков.
Уэстерман рассказывает, что перед встречей с членами совета директоров у руководителя информационной службы, всегда отличавшегося спокойствием и уравновешенностью, буквально тряслись поджилки. Он думал, что члены совета директоров сочтут его предложения непродуманными и повышающими риск неудачи проекта. Но они одобрили проект и не осудили директора информационной службы, когда через несколько месяцев он вновь пришел к ним на заседание, чтобы заявить, что сроки выполнения проекта затягиваются на два месяца, к тому же сумму финансовых издержек придется увеличить. И все потому, что он подготовил их, заранее предупредив о рисках.
Пункт четвертый
не запираться в офисе
Известно, что самая верная линия поведения для ИТ-директора — оставить свой кабинет и проводить время на территории предприятия, встречаться с менеджерами в других отделах или посещать важнейшие объекты организации. Эта истина тем более справедлива для тех, кто руководит системой управления рисками предприятия. Дело в том, что ERM требует изменения привычных психологических установок. Если вы не будете вновь и вновь напоминать служащим о философии ERM и о необходимости соблюдать соответствующие положения, они наверняка обо всем забудут и вернутся к традиционным представлениям о риске.
«Необходимо установить хорошие отношения с разными людьми на персональном уровне, чтобы успешно руководить процессом внедрения систем класса ERM,— рассказывает Шэрон. — Нужно быть готовым решать проблемы, важные с точки зрения вашего делового партнера (несмотря на то, что порой они выглядят тривиальными), а потом внедрять процессы, которые расширят его представление о ведении дел в вашей фирме».
Сантьяго рассказывает, что лично беседовал с несколькими сотнями сотрудников NASA, которым излагал свои представления о ERM и об информационной безопасности. Он ездит по центрам NASA, проводит телеконференции и семинары — и везде делится опытом и разъясняет свой подход к проблеме снижения рисков в сфере информационной безопасности на уровне предприятия. Его аудитория — это ИТ-руководители подразделений NASA, сотрудники отделов информационной безопасности, бизнес-менеджеры и инженеры — в общем, все те, кто готов его слушать. По прошествии девяти месяцев можно сказать, что слушатели начинают усваивать его уроки.
В декабре 2004 года Сантьяго провел семинар по проблемам информационной безопасности, в работе которого приняли участие ответственные за компьютерную безопасность должностные лица из программы космических кораблей многоразового использования. Цель семинара состояла в том, чтобы вычленить этапы разработки сводного плана обеспечения информационной безопасности. Помимо прочего, необходимо было решить, безопасность каких данных из тех, которыми обмениваются друг с другом центры NASA, следует обеспечить. Затем участники семинара смогли выявить риски, которым подвергается эта информация, — например, риск заражения вирусами, риск кибератак или опасность того, что кто-то из сотрудников модифицирует данные (преднамеренно либо непреднамеренно), — а также определить меры по смягчению этих рисков.
«Служащие начали обсуждать со мной, каким образом все это нужно делать, — вспоминает Сантьяго. — А это значит, они приняли мои идеи. Я прихожу к осознанию того, что добился успеха, когда собеседники перестают говорить обо мне и о моем плане, а начинают использовать такие слова, как ?я? и ?мы?».
Сантьяго отмечает, что сотрудники подразделений информационной безопасности во всех подразделениях NASA начали заниматься проблемой операционных рисков на повседневном уровне. Управление рисками предприятия стало частью их работы.
Пункт пятый
Быть образцовым гражданином
Ваши действия и позиция должны соответствовать провозглашаемым вами идеям.
«Если дела руководителей расходятся с их словами, все остальные пункты плана — это не более чем пустая болтовня», — предупреждает Роберт Чаретт, директор Cutter Consortium по управлению корпоративными рисками. Возможно, что менеджеры бизнес-подразделений и ваши коллеги-администраторы высшего звена будут воспринимать действия человека, который привлекает внимание к рискам в зоне их ответственности, как критику в свой адрес. Да и вам самим указание на риски, связанные с информационными системами, может показаться «недружественным актом». Не поддавайтесь естественному стремлению воспринимать информацию о рисках, вызываемых информационными технологиями, в негативном контексте. Более того, добивайтесь, чтобы ваши подчиненные и коллеги выявляли ИТ-риски масштаба предприятия. Разъясняйте им, что информация о таких рисках — это ключ к решению проблем. Бывший госсекретарь США Колин Пауэлл, который некогда возглавлял Объединенный комитет начальников штабов, настаивал на том, чтобы подчиненные делились с ним проблемами.
«Если они перестали обращаться к вам со своими проблемами, значит, вы перестали ими руководить», — утверждает он.
Стив Рэндич, директор информационной службы электронной биржи Nasdaq подтверждает свою приверженность стратегии ERM регулярными проверками действенности плана обеспечения непрерывности бизнеса |
Один из методов внедрения ERM в практику компании состоит в постоянном подчеркивании необходимости проявления неослабного внимания к ERM посредством проверок способности сотрудников обеспечивать непрерывность бизнеса. Подобно организаторам пожарных тревог в школах, которые путем отработки школьниками соответствующих навыков утверждают в сознании детей представление о важности противопожарной безопасности, ИТ-руководители должны проверять действенность планов по обеспечению непрерывности бизнеса с тем, чтобы всем было понятно: организация с серьезностью относится к проблемам управления рисками предприятия, связанными с информационными технологиями.
С целью закрепить в умах сотрудников информационной службы электронной биржи Nasdaq мысль о том, что организация приняла принципы ERM к обязательному исполнению, директор этой службы Стив Рэндич регулярно подвергает проверкам планы обеспечения непрерывности функционирования центра обработки данных. На бирже Nasdaq зарегистрированы акции порядка 3300 компаний. Ее информационные системы ежесекундно обрабатывают около 20 тыс. транзакций и получают данные примерно от 350 тыс. настольных ПК и рабочих станций из всех уголков мира. Если системы обработки транзакций Nasdaq выйдут из строя, торги придется прекращать.
«И это будет конец нашего бизнеса», — резюмирует Рэндич.
После террористических актов 11 сентября 2001 года бирже потребовалось четыре месяца для того, чтобы обустроить новые помещения для своих нью-йоркских офисов. Центр обработки данных мог продолжать свою работу (хотя правительство распорядилось прекратить все акции на рынках в течение четырех дней), но Рэндич понимал, что компании требуется более подробный план управления рисками. Новый план Nasdaq предусматривал закупку дополнительного оборудования (настольных систем и средств доступа к Internet), разработку процедур взаимодействия между сотрудниками и создание альтернативных рабочих помещений на случай катастрофы.
Раз в две недели Рэндич проверяет правильность своих расчетов. Он не просто тестирует резервные системы, но и добивается того, чтобы новые сотрудники знали, куда идти и что делать при возникновении чрезвычайных ситуаций. Кроме того, он перепроверяет, хватит ли закупленных компанией сотовых телефонов на всех сотрудников — на случай если выйдут из строя кабели телефонных операторов. Рэндич сформировал бригаду сотрудников, которые в случае катастрофы будут следить за активностью более чем 300 работающих на биржах ценных бумаг участников финансового рынка. Задача этой бригады — определить, смогут ли функционирующие дилеры обеспечить спрос, достаточный для того, чтобы торги на рынке могли продолжаться.
«Если подготовленный ими список не будет отражать самой свежей информации, он не будет стоить бумаги, на которой напечатан», — заявляет Рэндич.
По словам Рэндича, подвергая свой план столь частым проверкам, он ясно и недвусмысленно дает понять всем служащим компании, что ИТ-подразделение намерено во что бы то ни стало поддерживать торговую сеть в рабочем состоянии в любых ситуациях.
«Идея состоит в том, чтобы не решать все эти вопросы во время кризиса, — объясняет он. — Все должно быть улажено заранее».
В современном мире, где риски встречаются повсеместно, причем информационные технологии являются как источником, так и каналом распространения многих из этих рисков, ERM — обязательный компонент управления компанией. Для внедрения принципов ERM компании нужен надежный человек, который, по словам Уэймаута, «занимает высокий пост и пользуется уважением в организации, который знает, что почем в этом бизнесе».
«Человек, о котором я говорю, — заключает Уэймаут, — это вы».
Что такое «управление рисками предприятия»
ERM — это система управления, ориентированная на обеспечение непрерывности бизнеса с помощью формирования общего представления обо всех рисках предприятия (как внутренних, так и внешних) и разработки направленной на их минимизацию стратегии для руководителей высшего звена. Применительно к информационным технологиям это идентификация рисков и управление рисками, которым подвергается финансовое и операционное благополучие предприятия в связи с функционированием всех информационных систем, правил и процедур. Система ERM позволяет установить однозначную связь между риском, возникшим в одном отделе, и результатом, полученным в другом, и разработать процесс, обеспечивающий смягчение этих рисков. Система управления рисками предприятия помогает руководителям организаций принимать более обоснованные решения о целесообразности вложения средств в те или иные проекты.
CIO, это дело для вас
Почему именно ИТ-службы должны заниматься внедрением методов управления рисками предприятия
Специалисты в области управления рисками предприятий сходятся на том, что именно директор информационной службы лучше всего подходит на роль лидера в процессе преобразования компании в организацию с управляемыми рисками — хочет он этого или нет.
«Начальникам ИТ-подразделений просто не отвертеться от руководства этим процессом», — полагает Роберт Чаретт, директор Cutter Consortium по управлению корпоративными рисками и главный консультант в сфере разработок программного обеспечения.
Причин тому несколько. Во-первых, ИТ сегодня играют жизненно важную роль при осуществлении большинства деловых операций. Когда системы выходят из строя из-за вирусной атаки или вследствие перебоев в электроснабжении, бизнес тоже простаивает. Во-вторых, поскольку информационное подразделение обслуживает все отделы предприятия, его руководитель является именно тем администратором высшего звена, который лучше всех осведомлен о бизнес-процессах в своей компании. Основываясь на этих тенденциях, некоторые эксперты в области ERM предсказывают, что корпорации начнут назначать в советы директоров сотрудников, обладающих глубоким пониманием информационных технологий и связанных с ними рисков. И у этих директоров возникнет желание вступить с вами в диалог.
Вот почему даже если компания введет в свой штат главного управляющего рисками (специалиста в области ERM) для координации работ в масштабе всей корпорации, руководитель информационной службы так или иначе будет играть важную руководящую роль. Как отмечает Чаретт, сейчас происходит коммерциализация технологических продуктов, и по мере развития этого процесса будет все более явственно проявляться различие между компаниями по тому, насколько эффективно они используют информационные технологии — и, помимо прочего, насколько эффективно они управляют своими рисками.
Кроме того, как отметил Шэрон, который недавно оставил пост директора информационной службы в компании McCann WorldGroup, чтобы основать собственную фирму по оказанию услуг в сфере управления рисками Strategic Operational Risk Management Solutions, задача главного управляющего рисками состоит в том, чтобы выявлять проблемы, а работа директора информационной службы заключается в том, чтобы эти проблемы разрешать.
Allan Holmes. Running The Risk. CIO Magazine. March 15, 2005