Недавно я работал с клиентом, который хотел улучшить управление изменениями в ИТ. У этой организации был универсальный подход к оценке изменений, поэтому каждое изменение, каким бы незначительным оно ни было, должно было пройти через один и тот же очень долгий бюрократический процесс. Один из советов, который я предложил, заключался в том, что им следует определить свою склонность к риску («риск-аппетит») таким образом, чтобы помочь людям понять, какие риски будут считаться приемлемыми, а когда им следует быть более осторожными.
Где говорится, что вам следует определить риск-аппетит?
Руководство по управлению рисками можно найти в самых разных местах.
- Стандарт ISO 31000. Управление рисками: принципы и рекомендации
- Практика управления рисками ITIL 4 (описана в публикации ITIL 4 Foundation и более подробно в руководстве по практике управления рисками, которое могут загрузить только подписчики).
- ISO/IEC 27001: управление информационной безопасностью
- COSO-ERM (Управление рисками предприятия – Интегрированная система)
Все эти стандарты и концепции имеют одну общую черту – они подчеркивают важность определения склонности к риску, чтобы люди, проводящие оценку риска, знали, какие виды риска организация считает приемлемыми. Например, если вы создаете стартап, вы можете быть готовы принять высокий риск неудачи, если существует большая вероятность огромного успеха. И в противоположность этому, если вы разрабатываете систему управления для атомной электростанции, вы не захотите идти на риск, которого можно было бы избежать, даже если это означает потратить много денег на предотвращение крайне маловероятной неудачи.
Оценка рисков является неотъемлемой частью множества различных задач, которые выполняет ИТ-организация. Она особенно важна для оценки изменений, управления проектами, разрешения инцидентов и проблем, планирования доступности и непрерывности, но также важна почти для всех других практик управления ИТ-услугами. Всякий раз, когда вы оцениваете риск, вам необходимо понимать, какой риск-аппетит у организации, иначе вы можете сильно ошибиться.
Как начинать
Большинство организаций не имеют единого уровня риск-аппетита, который был бы применим ко всему, что они делают. Обычно есть некоторые подразделения организации, которые не смогут работать эффективно, если некоторые риски не будут приемлемы, и другие, которые должны быть более осторожными. Что необходимо, так это представить этот разнообразный уровень риск-аппетита таким образом, это было полезно людям в работе.
Подход, который я рекомендовал, заключался в том, что мой клиент должен определить и задокументировать пять уровней риск-аппетита, а затем отнести каждый аспект своей работы к одному из этих уровней. Я предложил несколько определений уровней для размышления моему клиенту; они могут быть полезны в качестве отправной точки для определения риск-аппетита вашей собственной организации. Пожалуйста, не копируйте их. Чтобы они были полезными, их необходимо адаптировать к специфическим требованиям организации. Подумайте о своей собственной организации и определите свои собственные уровни риска. Возможно вы даже не захотите определять пять уровней, может быть, вам будет достаточно трех.
Вот уровни, которые вы можете использовать в качестве отправной точки:
| Уровень аппетита | Описание |
|---|---|
| Голодный | Мы хотим быть инновационными. Мы готовы пойти на значительный риск, чтобы получить максимальный шанс на высокий результат и высокое вознаграждение. |
| Принимающий | Мы готовы принять довольно высокий уровень риска, если существует большая вероятность успеха и высокого уровня вознаграждения. |
| Сбалансированный | Мы готовы принять умеренный риск, если есть возможность получить значительное вознаграждение. Риски должны быть понятны и контролируемы. |
| Осторожный | Мы готовы делать то, что связано с определенным уровнем риска, но только если это необходимо для достижения ключевых результатов. Мы не принимаем риски только потому, что есть возможность получить вознаграждение. |
| Избегающий | Избегать риска крайне важно. Мы будем делать только то, что связано с незначительным риском. |
Вы можете модифицировать эти определения любым удобным для вас способом, они просто предлагаются в качестве отправной точки для определения риск-аппетита. На самом деле, к качестве своей отправной точки я использовал уровни аппетита к риску, определенные другой организацией[1], но я изменил их, чтобы они больше подходили для моего клиента.
После определения уровней риск-аппетита необходимо присвоить соответствующие уровни тем вещам, для управления которыми они будут использоваться. В случае ИТ-организации вы можете назначить уровни риск-аппетита для:
-проектов,
– услуг,
– приложений,
– систем
или для любых других аспектов ИТ, где вам необходимо оценить риски.
Это означает, что в вашей организации могут быть проекты, которые являются “Голодными”, представляющими значительные возможности для роста, и одновременно проекты, которые являются “Осторожными”, необходимыми для ведения бизнеса. Этот подход к уровню риск-аппетита можно использовать при оценке изменений, планировании решения проблем, разработке механизмов обеспечения непрерывности обслуживания или при проведении любой другой оценки рисков.
На корпоративном уровня организация может присваивать уровни риск-аппетита различным организационным подразделениям, а также проектам и программам. Например, финансовый отдел может быть «Осторожным», а отдел исследований и разработок – «Принимающим». Эти уровни риска можно использовать аналогичным образом, чтобы помочь людям, принимающим решения, понять, какой уровень риска приемлем в каждом конкретном случае.
Резюме и дальнейшие шаги
Оценка рисков является неотъемлемой частью большинства наших действий в области управления ИТ-услугами, и для того, чтобы помочь людям, оценивающим риски, понять, какой уровень риска является приемлемым, необходимо четко определить аппетит к риску.
Вы можете придумать достаточно простые определения уровней риск-аппетита, а затем присвоить один из этих уровней каждому из различных видов деятельности вашей организации, будь то проекты, услуги, бизнес-подразделения или любые другие четко идентифицируемые части вашей работы. Тогда, когда вам нужно будет принимать решения, связанные с риском (а их, конечно, очень много), у вас будет руководство, которое поможет вам рассмотреть, как лучше управлять этим риском.
Как всегда, если вы попробуете идеи, изложенные в этом блоге, пожалуйста, дайте мне знать, насколько хорошо они у вас работают.