Статья подготовлена по материалам сайта blog.invgate.com
Работа с рисками — важная часть совместного создания ценности в среде ITSM (IT Service Management, управление ИТ-услугами). Во время предоставления услуг и продуктов могут возникать различные риски: операционные, юридические, финансовые и т. д. Помимо сведения к минимуму проблем при предоставлении услуг и продуктов, государственные и регулирующие органы могут также рассматривать политику и меры реагирования по управлению организационными рисками. Внедрение и контроль рисков в среде ITSM — это не только разумный бизнес, но и иногда нормативное требование.
Последняя библиотека ITIL 4 (Information Technology Infrastructure Library, библиотека инфраструктуры информационных технологий) содержит множество «структурных» изменений по сравнению с ITIL 3. Например, в ITIL 4 описаны 34 практики вместо 26 процессов и четырех функций в ITIL 3. Одна из таких новых практик — управление рисками, и о ней мы расскажем в этом материале.
Практика управления рисками в ITIL 4
В рамках ITIL 4 управление рисками выступает в роли общей практики управления. Ее цель состоит в том, чтобы организации:
- понимали свой профиль рисков
- и знали, как эффективно справляться с этими рисками.
Также важно помнить, что существует 2 типа рисков:
- негативные (угрозы),
- позитивные (возможности).
Организациям необходимо управлять своим профилем рисков, чтобы использовать или расширять возможности, одновременно уменьшая, смягчая или устраняя потенциальные угрозы. Хотя многие компании в основном сосредоточены на реагировании на угрозы, не стоит забывать, что ITIL 4 также фокусируется на совместном создании ИТ-ценности для бизнеса, а не только на предоставлении ИТ-услуг. Поэтому можно сказать, что реализация возможностей управления рисками ITIL 4 столь же важна, как и планирование и реагирование на угрозы.
Основные методы управления рисками
Практика управления рисками ITIL 4 состоит из четырех подразделов.
Поддержка управления рисками (англ. Risk management support)
Этот подраздел направлен на определение системы управления рисками. Здесь организациям необходимо ответить на основные вопросы, касающиеся того, как они справляются с рисками, например:
- Это положительные или отрицательные риски?
- Какие уровни риска организация готова допустить?
- Кто отвечает за различные обязанности по управлению рисками?
Поддержка управления рисками — практика, которая определяет систему управления рисками, а не то, как именно с ними справляются.
Анализ рисков и воздействия на бизнес (англ. Business impact & risk analysis)
Эта практика позволяет количественно оценивать влияние на бизнес, которое может возникнуть при реализации рисков. Также она помогает определить саму вероятность реализации риска.
При этом важно определять как вероятность возникновения риска, так и важность каждого риска. Вероятности могут быть классифицированы в простых терминах, таких как низкая, средняя или высокая вероятность. Определение вероятности возникновения каждого риска помогает определить приоритетность рисков, для которых организациям потребуется разработать планы реагирования, и порядок, в котором следует разрабатывать каждый план реагирования.
Основная цель подраздела анализа рисков и воздействия на бизнес — создание реестра рисков, который иногда называют журналом рисков. Реестр рисков включает в себя список выявленных рисков и меры реагирования, которые должны быть приняты после их реализации.
Оценка необходимого снижения рисков (англ. Assessment of required risk mitigation)
В этой подпрактике организации определяют два важных элемента:
- стратегии реагирования на риск (или контрмеры),
- владельца риска для каждого конкретного риска.
Владелец риска несет ответственность за определение любых требуемых контрмер и за их постоянное поддержание.
Мониторинг рисков (англ. Risk monitoring)
Здесь организации предпринимают действия, когда риск уже реализован, а затем отслеживают ход реализации мер противодействия риску. Также мониторинг рисков включает в себя контроль за тем, чтобы меры реагирования на риски были адекватными воздействию этих рисков, и корректировку или изменение мер реагирования в случае необходимости.
Мониторинг может включать корректировку мер противодействия, если воздействие риска оказалось больше или меньше ожидаемого. Также организациям необходимо отслеживать или сообщать о том, насколько эффективно планируемая контрмера устраняет риск. Мониторинг рисков может также потребовать пересмотра трех вышеперечисленных подпрактик посредством:
- изменения системы управления рисками,
- пересмотра анализа рисков и воздействия на бизнес,
- переоценки планирования контрмер по снижению рисков.
Управление рисками и другие практики ITIL
Управление рисками не происходит изолированно, и это не «одноразовый» процесс.
Управление рисками — непрерывный процесс. Его следует оценивать и пересматривать всякий раз, когда происходят изменения в системе ценности услуг ITIL 4. Особенно это касается изменений в возможностях или спросе, цепочке создания ценности услуг и других вспомогательных практиках в рамках общего управления, управления услугами и управления технологиями. Практику управления рисками также следует пересмотреть, когда в ходе мероприятия по управлению инцидентами выявляются новые риски.
Поскольку ITIL 4 представляет собой целостную структуру, которая фокусируется на совместном создании ценности для бизнеса, а не только на ИТ-услугах, методы управления рисками могут и должны использоваться для всех элементов ITSM, а не только для предоставления ИТ-услуг.