Определенные риски так сильно связаны с ИТ, что новому CIO-лидеру совершенно естественно взять ответственность за них на себя, даже если их последствия выходят далеко за пределы ИС. Безопасность информации, приватность и риски, проистекающие от ИТ-процессов и продуктов – наглядные тому примеры. Даже когда лидерство в конкретной ситуации – не лучший выбор для CIO, участие ИТ очень важно для успеха.
Вы должны стать частью корпоративного совета по рискам, который управляется советом директоров, контролирующим, в конечном счете, все риски компании. Этот самый совет по рискам (он может называться иначе) должен включать в себя топ-менеджеров, отчитываться непосредственно перед СЕО и контролировать все риски по всем бизнес-подразделениям. Когда в каком-то из подразделений встречаются какие-то уникальные риски, подобные советы должны создаваться и там. В эти советы по рискам в бизнес-подразделениях должны входить CIO или один из руководителей ИС-системы для того, чтобы обеспечить участие ИТ в управлении рисками.
...
BanqueGenerale du Luxemburg: Managing Risk in a Basel II Era
Основанный в 1919 году Banque Generale du Luxemburg (BGL) – это один из крупнейших банков Великого герцогства Люксембург с активами в 39 млрд. евро. Банк активно работает на внутреннем и внешних рынках, играя активную роль в том, что Люксембург считается одним из финансовых центров.
Мишель Дофин (Michel Dauphin), CIO BGL, рассказывает о последних переменах в управлении рисками.
Один из наиболее важных моментов управления рисками сегодня в финансовых услугах – это новая международная директива о соответствии капиталов, известная, как Basel II. Прежде, единственными рисками, который контроллеры оценивали в качестве адекватности капиталов, был кредитный риск и рыночный риск. Basel II идет гораздо дальше и включает в рассмотрение операционные риски, а кредитные риски оценивает более сложными методами. Это позволяет банкам усиливать их процессы управление риском.
ИТ вносит в этот процесс заметный вклад, поскольку все данные, необходимые для Basel II, собираются и обрабатываются централизованно. Сейчас сфера ИТ активно развивается. Разработка систем для оценки потребления капитала для Basel II требует от 60 до 70 человеко-лет, которые были бы распределены на три года.
Использовались стандарты ISO 17799 (International Standards Organization regulation) на уровне ИТ. Это помогало определить операционные риски, связанные с ИТ-безопасностью, личной безопасностью, непрерывностью бизнеса и так далее. Стандарт ISO определяет структуру работы по настройке процессов для более эффективного управления риском. Мы используем этот момент, как основу для того, чтобы создать список бизнес-рисков, которые проистекают из ИТ, и понять, как мы можем снизить эти риски.
Чтобы контролировать не только технические риски, но также и бизнес-риски, проистекающие из зависимости бизнеса от ИТ, Дофин вместе со своей командой определили следующие ключевые риски, связанные с ИТ, для своего бизнеса:
• воздействие на эффективность бизнес-персонала, если системы не работают или не понятны пользователям;
• недостаток гибкости или способности быстро реагировать на новые рынки, возможно из-за косности системы;
• недостаточная интеграция данных, что может влиять на ведение бизнеса;
• мошенничество, если доступ пользователей недостаточно контролируется;
• недостаточный отчет о соблюдении требований закона и нормирующих органов, если ИС не обеспечивает достаточный уровень отчетности;
• напряженность среди сотрудников, если ИТ-системы работают недостаточно хорошо.
«Естественно, вы всегда должны найти баланс между управлением риском и другими целями», – говорит Дофин. «Для этого вы должны оценить потенциальное воздействие и цену снижения рисков, а также оценить, какие ресурсы надо для этого выделить».
Четыре основные стратегии для работы с риском
Есть четыре основных способа работы с риском: снижение, перенос, принятие и избежание.
Снижение: суть его состоит в уменьшении самого риска или его последствий. Чтобы этот способ работал, у компании должно быть достаточно возможностей для уменьшения или устранения вероятности или воздействия риска.
Перенос: перемещение риска за пределы компании. Чтобы этот способ работал, некто (например, страховой агент) должен быть готов взять на себя риск.
Принятие: осознанное и продуманное принятие компанией риска на себя (для некоторых типов риска это называется самостраховкой). Чтобы этот способ заработал, вероятность риска должна быть невелика, а последствия – достаточно легкими, чтобы компания могла их перенести безболезненно.
Читать дальше
Конец ознакомительного отрывка
Купить книгу