Словосочетание “risk management” в ITIL 2011 можно встретить 245 раз. При этом описанию практики управления рисками в пяти томах места не нашлось. Вопрос «почему?» – не стоит. А вот «где?» – тема, на мой взгляд, интересная.
1. Проектирование услуг как управление рисками.
На эту тему уже исчерпывающе высказался Константин Нарыжный. В рамках процессов группы гарантии (управление доступностью, мощностями, непрерывностью и ИБ) живет маленькое, но очень важное управление рисками и настойчиво требует провести анализ угроз в области ответственности каждого процесса и внедрить рациональные контрмеры. А делать это лучше не изолированно, а сообща: одна услуга, один кошелек, да и проектировщики, вероятно, одни. О важности коммуникаций между процессами по вопросу рисков написано и в ITIL.
Получается вроде бы стройная картинка, за исключением того, что параметров качества услуги, конечно, больше четырех: помимо упомянутых, это может быть сопровождаемость, совместимость, соответствие законодательству и т.д. Кто займется угрозами в этих областях?
2. Управление проблемами – это управление рисками.
Слушатели наших курсов, впервые слышащие о Problem Management, часто восклицают: «Так это же управление рисками!». Трудно не согласиться: идентификация проблем, классификация, диагностика и оценка корневой причины, применение решения, периодический контроль – деятельность в рамках процесса сильно напоминает цикл управления рисками, с чем солидарен Ян ван Бон.
Но и тут все не так просто. «Риски – это проблемы, которые не исчезнут в ближайшее время. Проблемы же – это риски, которые могут быть исправлены прямо сейчас. Проблемы – это то, что уже оказывает негативное влияние, таким образом, их вероятность 100%. Риски – это то, что только может произойти, соответственно вероятность ниже 100%. Другими словами, проблемы – это риски, которые не были предотвращены и реализовались» – возражает против узкого восприятия риск-менеджмента Скептик.
Убедительно. До тех пор, пока не взглянешь на проактивное управление проблемами, задачей которого является предотвращение инцидентов путем ранней (в т.ч. до начала эксплуатации услуги) идентификации известных ошибок (информация от вендоров, известные уязвимости, результаты тестирования, опыт коллег и т.п.). А проактивное управление проблемами, хоть и инициируется на стадии эксплуатации, но управляется в рамках постоянного совершенствования услуг – и вот мы уже добрались до внешнего контура.
3. Управление рисками как часть постоянного совершенствования услуг.
Чарльз Бетц (Charles T. Betz) обосновывает:
«Обе сущности (риск и зона улучшения) требуют отслеживания и часто вовлекают эквивалентные активности по исследованию. На практике деятельность в рамках непрерывного совершенствования часто приводит к идентификации рисков, а идентифицированные риски запускают новый виток цикла CSI».
И здесь я начинаю улетать в космос…
Чтобы вернуться на землю, обратимся к определению: согласно ISO 31000, риск – это влияние неопределенности на цели. Риск-менеджмент, в свою очередь, – скоординированные действия по направлению и контролю организации в отношении рисков. Мне видится чрезвычайно важным обратить внимание на то, что управляем мы не собственно рисками, а по-прежнему организацией, но с учетом рисков. Вернувшись к определению риска и упростив, получим, что управление рисками – это управление организацией с учетом неопределенности. Чем лучше эта неопределенность «проработана» (корректно идентифицирована, проанализирована и оценена), тем более обоснованные управленческие решения мы делаем и более предсказуемые результаты получаем.
Если риск/неопределенность – неизбежная часть целенаправленной деятельности, а управление – способ администрирования целенаправленной деятельности, то получается, что управление рисками – часть работы любого менеджера на любом уровне; та часть, которая делает результаты более предсказуемыми, а менеджмент в целом более зрелым.
Теперь более-менее понятно, что управление рисками – не забытый 28-ой процесс ITIL, а нечто, пронизывающее в большей или меньшей степени многие увлекательные разделы библиотеки: помимо вышеперечисленных процессов, отыскать след управления рисками не составит труда ни в управлении изменениями и релизами, ни даже, например, в управлении портфелем услуг. Более того, система управления ИТ-услугами в целом – это инструмент снижения бизнес-рисков, связанных с ИТ-сферой, равно как оптимизации ресурсов и получения ценности от ИТ. Поэтому вполне корректным видится такой ответ на вопрос, вынесенный в заголовок: «ITIL – это во многом и есть управление рисками».
Но зайдем с другой стороны. Слово Скептику:
«Я определяю управление ИТ как управление ИТ-рисками в интересах бизнеса. Риск – важнейшая точка фокуса на любом предприятии и должна оставаться таковой и в ИТ тоже. Но только если вы не читаете ITIL. Риск-менеджмент не заканчивается тем, что вы запишете несколько обнаруженных угроз в своей области ответственности. Это систематическая деятельность, которая, конечно, должна быть оформлена в процесс – или как еще хотите это называйте по ITIL».
Представьте лысую шину (пример из методики FAIR). Нам важно, используется ли она по назначению или подвешена на веревке к одной из ветвей дерева. Насколько изношена веревка? Насколько прочна ветвь? Висит ли шина в метре от земли или над пропастью? Оценки одного и того же риска могут сильно разниться в зависимости от того, кто оценщик и где он находится, какой информацией обладает. Очевидно, что управление рисками сильно выигрывает от масштаба, от того, насколько комплексный подход по идентификации, анализу рисков и принятию решений о контрмерах используется, приведены ли оценки экспертов в разных областях к общему знаменателю.
Когда мы говорим, что в ITIL управления рисками нет, то в первую очередь имеем в виду отсутствие централизованной функции по администрированию риска: единого центра накопления и поддержания информации о рисках в актуальном виде (включая показатели вероятности и ущерба, которые могут значительно меняться со временем как вследствие наших действий, так и в силу внешних факторов) и ее предоставления всем заинтересованным сторонам для принятия управленческих решений.
Используете ли вы понятие риска в своей деятельности? Есть ли функция управления рисками в вашей ИТ-службе? Или в организации целом – и тогда как она взаимодействует с ИТ? Ведется ли общий реестр рисков? Если да, как оцениваете эффект? Какие задачи управления ИТ-услугами он помогает решать? Как настроено взаимодействие с другими процессами? А если ничего такого нет и не планируется – какие доводы против? Буду признателен за любые мнения по теме.
Погодите! Вместе полетим 17-18.09 😀