Zarządzanie ryzykiem biznesowym jest niezwykle złożonym obszarem, choćby ze względu na ogromną liczbę pojawiających czynników i zależności. Czy firmy są świadome problemów związanych z tym zagadnieniem? Odpowiedzi na to pytanie można szukać w raporcie „Ryzyko IT w kontekście zarządzania ryzykiem organizacji” przygotowanym na zlecenie firmy CA przez Freeform Dynamics Ltd.

Niemal wszystkie organizacje (96%) rozważają ryzyko na jakimś poziomie (61% analizuje ryzyko w szerokim kontekście działalności organizacji). Biorąc pod uwagę zakres ryzyka, to bardzo optymistyczny obraz. Wynika z tego, że niemal w dwóch trzecich organizacji pojawił się klimat sprzyjający bardziej pełnemu podejściu do zarządzania ryzykiem.

Niektóre rodzaje ryzyka, o jakich najczęściej mówią politycy i środki masowego przekazu, mają stosunkowo niski priorytet. Np. działalność terrorystyczna jest rodzajem ryzyka najmniej rozważanym przez organizacje w Europie i na Bliskim Wschodzie. Inne zagrożenia, na przykład klęski żywiołowe czy zagrożenie zdrowia publicznego, także znajdują się na końcu listy. Mimo że te zagrożenia mogą w teorii mieć zgubny wpływ na firmę, to małe prawdopodobieństwo takiego zdarzenia powoduje, że w większości organizacji ten rodzaj ryzyka jest rozważany jedynie w niewielkim stopniu. Jednak na drugim końcu skali są rodzaje ryzyka, których wystąpienie uważane jest za bardzo prawdopodobne. Jeśli firma nie zabezpieczy się przed nimi, mogą mieć znaczący wpływ na jej losy. Jest na przykład bardzo prawdopodobne, że dana organizacja w niedalekiej przeszłości, straci newralgiczne dane biznesowe lub zawiodą systemy informatyczne. Wszyscy managerowie mają pełną świadomość, jak bolesna i niszcząca może być taka sytuacja. Za priorytetowe uznawane są także rodzaje ryzyka związane z bezpieczeństwem i zgodnością z przepisami prawa.

Większość rodzajów ryzyka, jakie są rozważane, jest bezpośrednio związana z możliwościami systemów IT w organizacji. Na przykład utrata newralgicznych informacji biznesowych szybko ujawnia, na ile skutecznie organizacja zarządza informacjami w formacie elektronicznym i chroni je. Ponadto, gdy obecnie tak wiele procesów biznesowych całkowicie zależy od działania systemów informatycznych, w wielu środowiskach przestoje operacyjne i przestoje systemów informatycznych są synonimami. Podobne zależności mają miejsce w obszarze zagrożeń związanych ze zgodnością z przepisami prawa. Obecnie powszechnie przyjmuje się, że od systemów informatycznych wymagane jest śledzenie, zapisywanie i raportowanie czynności biznesowych na takim poziomie szczegółowości i dokładności, jakiego zazwyczaj wymagają władze nadzorujące zgodność z przepisami.

Branże, w których w dużym stopniu występuje interakcja z opinią publiczną i/lub konsumentami, np. sektor publiczny, usługi finansowe czy telekomunikacja, są bardzo wrażliwe na najwyżej oceniane kategorie ryzyka. Podkreśla to ich zależność od automatyzacji transakcji, możliwości bezpiecznego pozyskiwania i zapisywania ogromnych ilości informacji oraz zarządzania nimi. Z kolei złożoność aspektów ryzyka oraz czynniki zapewniające ochronę i konkurencyjność oznaczają, że organizacje mogą podjąć kroki w celu skuteczniejszego skoordynowania swoich dotychczasowych działań w spójną strategię zarządzania ryzykiem.

W miarę, jak objętość informacji rośnie, a wymagania dotyczące zarządzania, śledzenia i kontroli dostępu są coraz większe, organizacje dochodzą do wniosku, że bezpieczeństwo i pamięć masowa są nierozłączne. Na przykład dokument lub wiadomość mogą jednocześnie znajdować się w urządzeniu przenośnym, komputerze osobistym, serwerze plików, serwerze poczty elektronicznej, a wreszcie w archiwum. Stąd koordynacja zasad między domenami bezpieczeństwa i pamięci masowej jest tak istotna. Branża informatyczna reaguje na tę potrzebę. W szczególności dotyczy to dużych dostawców technologii informatycznych, którzy mogą zapewnić zintegrowane pakiety lub łatwe w integracji komponenty. Istnieje jednak wiele sposobów, w jakie organizacje próbują w sposób bardziej spójny podejść do zarządzania ryzykiem. Powiązanie ich ze sobą może być nie lada zadaniem.

Ważnym zagadnieniem w sferze bezpieczeństwa jest fragmentacja sposobu finansowania działań związanych z zarządzaniem ryzykiem. Zarządzanie ryzykiem często uważa się za wątek, który przewija się w wielu różnych działaniach, a nie za działanie jako takie. Obecnie jednak staje się jasne, że niezbędne są inwestycje mające na celu osiągnięcie żądanego poziomu spójności w tej sferze. Powstaje wtedy problem polegający na tym, że tradycyjnie zbieżne struktury finansowania i budżetu nie są w stanie kompleksowo objąć inwestycji tego rodzaju. Ponad połowa organizacji uczestniczących w badaniu nie ma odrębnego budżetu przeznaczonego na zarządzanie ryzykiem - ani na poziomie biznesowym, ani informatycznym. Jedynym obszarem zarządzania ryzykiem rzeczywiście ujętym w budżecie są zabezpieczenia systemów informatycznych.

Wynika z tego, że losy organizacji w dużym stopniu zależą od lepszej koordynacji działań. Niezwykle istotne jest wpływanie na sposób, w jaki pieniądze wydawane są na indywidualne inicjatywy i projekty, które same w sobie nie są nakierowane na rozwiązanie problemów związanych z ryzykiem (np. wdrożenie aplikacji korporacyjnej, przebudowa systemu transakcyjnego, zlecenie wykonania nowej siedziby lub obiektu). Wyzwaniem jest fakt, że priorytety określone w tych projektach mogą objąć ryzyko stanowiące ich naturalny zakres, ale jednocześnie mogą ograniczyć ilość środków dostępnych w celu spełnienia wymagań związanych z szerzej rozumianym ryzykiem. Problemami są tu koszt, efektywność, a także ryzyko. Fragmentaryczne wydatki mogą w podobnym stopniu prowadzić do dublowania się działań (i ich kosztów), jak i do pęknięć między systemami, zasadami i procedurami. Ma to istotne znaczenie, ogólny poziom wydatków ponoszonych na zarządzanie ryzykiem wzrasta dynamicznie. Kolejne wyzwanie to rozdział informatyki od biznesu, gdy trzeba na poziomie biznesowym zdefiniować wymagania związane z ryzykiem. Dla organizacji może to być największą przeszkodą w efektywnym wprowadzaniu zarządzania ryzykiem.

Obecnie można jednak przyjąć, że organizacje stają się bardziej świadome ryzyka, a większość z nich uznaje potrzebę całościowego podejścia do zarządzania nim. Oczywiście, wciąż wiele jest do zrobienia – szczególnie jeśli wziąć pod uwagę konieczność powiązania ze sobą wszystkich elementów tego procesu. Jednym z najbardziej oczywistych problemów jest także brak zaangażowania kierownictwa działów IT w definiowanie wymagań w zakresie zarządzania ryzykiem na poziomie biznesowym. To właśnie w tym kierunku powinny iść bieżące działania organizacji – działy IT muszą efektywniej brać udział w procesie planowania strategii bezpieczeństwa na poziomie całej organizacji.

Autor: Krzysztof Krajewski
Outsourcing Magazine