USD 64.49 ЕВРО 71.84

Плюсы ERM

Аналитика

Компания Гартнер в недавнем отчете «Иерархия рисков для предприятий и ИТ риск менеджеров» советует предприятиям и их ИТ менеджерам отказаться от узкого подхода к расчетам рисков и перейти на более всеобъемлющий подход, включающий ситуацию на всем предприятии. Это поможет сотрудникам лучше представлять свое место в системе рисков и свою ответственность.

Это проще сказать, чем сделать.
Сейчас многие предприятия и их ИТ руководители начали понимать необходимость целостного подхода к риск — менеджменту. Но большинство ERM проектов все еще находятся в зачаточном состоянии.
Хотя есть и положительные примеры. Например, компания Southernco, которая уже пять лет использует ERM. Это большая частная компания, поставляющая электроэнергию, поэтому низкий уровень риска – это ее главная задача, помимо удовлетворения клиентов, нужно еще соответствовать требованиям регулирующих органов и думать об инвесторах.
Более того, все четыре штата, в которых работает эта компания, часто подвергаются разрушениям из-за крупных торнадо. Поэтому процесс быстрого восстановления работоспособности компании после катаклизма – это отлаженная десятилетиями четкая система. Сейчас менеджмент пытается внедрить такую же дисциплину, слаженность в работе и в другие сферы деятельности компании.
Главное в этом деле – надежная структура в нужных местах,  четкое распределение ответственности, и чтобы каждый понимал, на ком лежит эта ответственность.
И хотя в компании не считали ROI, руководство уверено: ERM сыграло важную роль в определении и предотвращении рисков задолго до того. как они нанесут ущерб компании.  Например, во время налета Катрины, компания Southernco смогла значительно уменьшить  эффект отключений, потому что специалисты компании четко представляли, какие части системы нужно будет запускать прежде всех остальных, и какие в данном случае были бизнес — приоритеты.
Более того,  осмысление процесса ERM помогает определить стратегические цели финансовые приоритеты, на которых руководству компании стоит заострить свое внимание.
Действительно, Southernco так же использует ERM стратегию как инструмент маркетинга, позиционируя себя как очень надежную, с низким риском компанию – для инвесторов и крупных клиентов.
В течении года менеджеры всех подразделений компаний  определяют риски и, если возможно,  оценивают их размеры.  Эту информацию потом передают ERM группе, в которую входит топ-менеджмент ИТ, финансового и других отделов. Группа анализирует информацию и выдает приоритеты на высшем уровне, создавая профиль рисков на уровне всей компании, который  доводится до сведения управленческого звена и совета директоров с тем, чтобы те приняли решение на его основе.
Корреляция  с различными подразделениями очень важна для успеха ERM стратегии, считает директор Navigant Consulting Майкл Китинг. Например, при оценке последствий неработоспособности определенной  системы финансит будет обращать внимание на  потерю дохода, аудитор – на  публичный эффект, а бизнес-менеджер – на потерю продуктивности. Каждый риск оценивается как средний, соедините их вместе – и риск окажется гораздо выше.
Основные действия ERM
При формулировании ERM стратегии бизнес и ИТ руководители должны выработать трех или пятилетний план, в котором оговариваются цели компании и средства достижения этих целей. Следующая стадия планирования – определение точек влияния и их группировка – являются ли эти пункты технологическими, связанными с рынком или финансовыми рисками. Часто компания может выиграть и сэкономить деньги, если эти пункты разложить по группам или категориям.
Определение ответственности еще не достаточно. Необходимо отслеживать выполнение установленных политик. Их игнорирование  до добра не доведет, хотя за это нет никаких штрафов.
Но не надо слишком полагаться на  количественной оценке рисков, считает CEO швейцарской компании Birchtree Consulting Питер Берлич.  «Большинство рисков имеют низкую вероятность, но значительные негативные последствия, что создает большую статистическую неопределенность, – говорит он. – Гораздо важнее определить очередность приоритетов, согласно которой нужно вкладывать средства в систему защиты».
Нужно выбрать правильные ключевые показатели деятельности, например, если поставить целью отсутствие происшествий, то их и не будет – никто о них не скажет, но это не значит, что они не произойдут.
ИТ сотрудники должны рассматривать риск менеджеров и внутренних аудиторов как союзников, а не врагов. В отличие от внешних аудиторов, которым платят, чтобы они говорили о вас гадости, внутренние аудиторы не обязаны докладывать обо всех беседах. Более того, они становятся пробивной силой. Если они говорят, что ИТ отделу требуется некий бюджет для решения проблем, совет директоров  к ним прислушивается.
Конечно, иногда сложно договориться. ИТ директор иногда не в курсе языка риск менеджеров, а многие риск менеджеры боятся технологий.
Но, тем не менее,  взаимное доверие и желание договориться – первый шаг на пути достижения успешной ERM стратегии, которая не только включает в себя инициирование защитных механизмов, но и рычаги управления, что в итоге является  эффективным уменьшением  рисков. ИТ директор должен спокойно звонить риск менеджеру со ловами «мы тут определили риск, есть ли у нас возможность его закрыть»? Или наоборот: «Мы только что закрыли проблему, можем ли мы как-то пропиарить этот факт среди наших инвесторов или клиентов?»

По материалам searchcio.techtarget.com

Подготовлено НП «СОДЕЙСТВИЕ»