неверно что при внедрении ис существуют риски

Неверно что при внедрении ис существуют риски

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Обзор документа

Разъяснения Банка России от 30 сентября 2021 г. N 716-Р-2021/44 “Разъяснения по управлению риском информационной безопасности и риском информационных систем”

Кредитная организация в соответствии с пунктом 6.9 Положения N 716-П вправе вести учет событий риска ИБ и риска ИС как в составе базе событий операционного риска (консолидировано), так и раздельно. В случае если кредитная организация ведет отдельные базы событий по риску ИБ и риску ИС, в данной кредитной организации должен быть разработан порядок интеграции информации, содержащейся в вышеуказанных базах событий, с базой событий операционного риска. В том числе кредитной организацией во внутренних документах должно быть определено следующее:

порядок взаимодействия подразделения, ответственного за организацию управления операционным риском, со службой информационной безопасности и с подразделением (подразделениями), ответственным (ответственными) за обеспечение функционирования информационных систем, по вопросам передачи информации о событиях риска ИБ и риска ИС, как минимум по передаче информации о событиях риска ИБ и риска ИС с прямыми потерями, расследования обстоятельств данных событий и разработки мероприятий, направленных на повышение эффективности управления данными рисками и уменьшение их негативного влияния;

перечень лиц, ответственных за ведение базы событий по риску ИБ и риску ИС, в том числе за своевременную передачу информации о событиях данных видов операционного риска в подразделение, ответственное за организацию управления операционным риском, для включения их базу событий операционного риска;

сроки и формат передачи данных о событиях риска ИБ и риска ИС в целях регистрации в базе событий операционного риска, с учетом требований пункта 6.10 Положения N 716-П.

В силу специфики процедур управления риском информационной безопасности Банк России рекомендует обратить особое внимание на подходы к дополнительной классификации риска информационной безопасности, указанные в приложении 5 к Положению N 716-П, в разрезе типов событий, категорий источников операционного риска, направлений деятельности, в том числе в разрезе составляющих их процессов. Также в соответствии с приложением 5 к Положению N 716-П кредитная организация обязана использовать дополнительные (специфические) виды прямых и непрямых потерь от реализации риска информационной безопасности для классификации событий риска информационной безопасности в дополнение к установленным в пункте 3.11 Положения N 716-П. Кроме того, дополнительная классификация событий риска ИБ, указанная в приложении 5 Положения N 716-П, не заменяет основную классификацию событий операционного риска, указанную в главе 3 Положения N 716-П. Событие риска ИБ сначала должно быть классифицировано в соответствии с требованиями главы 3 Положения 716-П, в том числе по типам событий операционного риска, перечисленным в пункте 3.6 Положения 716-П, и уже в разрезе элементов классификации дополнительно классифицировано, в соответствии с приложением 5 к Положению N 716-П.

Обращаем внимание, что в случае если для кредитной организации (исходя из вида лицензии и масштаба деятельности) в соответствии с требованиями главы 9 Положения N 716-П процедура регистрации в базе событий операционного риска (в том числе риска ИБ и риска ИС), по которым отсутствуют прямые и непрямые потери, носит рекомендательный характер. Банк России рекомендует кредитной организации как для внутренних целей (например, определений КИР), так и для целей соблюдения иных нормативных актов Банка России самостоятельно определить необходимость регистрации событий операционного риска по отдельным видам операционного риска (например, событий риска информационной безопасности) и (или) типам событий, и (или) отдельным процессам, которые были предотвращены и которые не привели как к прямым, так и непрямым потерям.

При разработке и утверждении перечня контрольных показателей уровня операционного риска в соответствии с требованиями главы 5 Положения N 716-П необходимо учитывать, что данный перечень должен содержать контрольные показатели уровня риска ИБ, указанные в пункте 1.2 приложения 1 к Положению N 716-П. В соответствии с абзацем седьмым подпункта 7.9.2 пункта 7.9 Положения N 716-П служба информационной безопасности обязана осуществлять мониторинг сигнальных и контрольных значений контрольных показателей уровня риска ИБ. Рекомендуем кредитной организации обеспечить организацию информационного обмена между соответствующими подразделениями кредитной организации и информационными системами в целях передачи службой информационной безопасности результатов мониторинга текущих (то есть фактических на расчетную дату), сигнальных и контрольных значений контрольных показателей уровня риска ИБ в службу управления рисками для формирования внутренних отчетов по управлению операционным риском в соответствии с пунктом 4.2 Положения Банка России N 416-П.

Обращаем внимание, что требования пункта 4.2 Положения N 716-П к формированию отчетов по операционному риску распространяются также на отчеты по риску ИБ и риску ИС, в том числе:

требование о необходимости ежедневной передачи информации о крупных событиях риск ИБ и риска ИС в службу управления рисками кредитной организации, в соответствии с подпунктом 4.2.1 пункта 4.2 Положения N 716-П;

требования к формированию ежеквартальных и ежегодных отчетов в соответствии с подпунктами 4.2.2 и 4.2.3 пункта 4.2 Положения N 716-П.

Обзор документа

Кредитная организация вправе вести учет событий риска информационной безопасности (риск ИБ) и риска информационных систем (риск ИС) как в составе базы событий операционного риска (консолидировано), так и раздельно.

В силу специфики процедур управления риском информационной безопасности рекомендуется обратить особое внимание на подходы к дополнительной классификации.

— как быть, если для кредитной организации процедура регистрации в базе событий операционного риска (в том числе риска ИБ и риска ИС) носит рекомендательный характер;

— что учитывать при разработке и утверждении перечня контрольных показателей уровня операционного риска;

— какие требования распространяются на отчеты по риску ИБ и риску ИС.

Источник

Методика оценки рисков информационной безопасности

Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Разработайте политику безопасности, проверьте защищенность сети, определите угрозы

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Источник

Экспресс-подготовка к онлайн-тестированию:

для студентов дистанционного обучения, при устройстве на работу, прохождении аттестаций

Сдаешь тесты самостоятельно?

Закажи скайп-консультацию и узнай все секреты успешной сдачи экзаменов онлайн!

IT менеджмент МФПА Тест с ответами

Правильных ответов не менее 93%

Для быстрого поиска по странице нажмите Ctrl+F и в появившемся окошке напечатайте слово запроса (или первые буквы)

система транзакционной обработки

системы планирования производственных ресурсов

+система планирования ресурсов предприятия

система поддержки принятия решений

системы планирования производственных ресурсов

система планирования ресурсов предприятия

системы планирования материальных потребностей

+система поддержки принятия решений

система транзакционной обработки

система поддержки принятия решений

системы планирования производственных ресурсов

MRP (Material Requirements Planning) – это …

система транзакционной обработки

+системы планирования материальных потребностей

системы планирования производственных ресурсов

система поддержки принятия решений

система поддержки принятия решений

система транзакционной обработки

системы планирования материальных потребностей

+системы планирования производственных ресурсов

SAPR/3 относится к системам класса

IT-менеджер – это …

специалист, осуществляющий контроль финансово-хозяйственной деятельности

специалист, несущий ответственность за формирование учетной политики, ведение бухгалтерского учета, своевременное представление полной и достоверной бухгалтерской отчетности

+специалист, разрабатывающий план создания, внедрения и развития ИС

Внедрение – это …

последний этап проекта автоматизации предприятия

первый этап проекта автоматизации предприятия

подготовительный этап автоматизации предприятия

+предпоследний этап проекта автоматизации предприятия

система взаимосвязанных способов обработки материалов и приемов изготовления продукции в производственном процессе

формирование конкурентоспособной позиции конкретной ИС и создание детализированного маркетингового комплекса для нее

совокупность информации, необходимой лицу, принимающему решения для принятия решений

+управление ИС на всех этапах их жизненного цикла

снижение эффективности работы компании в целом

трудности стратегического планирования

+высокая стоимость внедрения

стоимость внедрения ИС

стоимость установки ИС

+расходы на ввод информации

Необходимость создавать команду, либо отрывать от работы текущих сотрудников ИТ возникает.

в случае заказной разработки ИС

+при самостоятельной разработке ИС

Объектом управления в информационном менеджменте является

Организационный риск – это …

+зависимость от ключевого персонала

возможность получения оперативной информации о текущем состоянии объекта

соблюдение принципов «открытых» систем

+оказание услуг по сопровождению ИС (новые версии ИС, горячая линия, «скорая помощь» и т.д.)

возможность переноса ИС на другую платформу

отсутствие потребности в реинжиниринге бизнес-процессов для адаптации предприятия к новому программному обеспечению

+повышение эффективности работы компании в целом

низкая стоимость внедрения

+устранение искусственных барьеров между различными отделами, потому что информация принадлежит корпорации в целом, а не конкретным подразделениям

жизненный цикл ИС завершен

прошел определенный срок службы ИС

+изменились потребности бизнеса

изменились цены на аналогичные программные продукты

Разработкой плана создания, внедрения и развития ИС занимается …

Риск ИС – это …

вероятность того, что какие-то цели при реализации проекта автоматизации деятельности предприятия не будут достигнуты

+выявление неопределённости, приводящее к потерям и дополнительным возможностям

последовательность работ по преобразованию объекта из исходного состояния в желаемое, определяемое целью такого преобразования

потери вследствие неопределённости

стоимость разработки ИС

стоимость аппаратного обеспечения

+сумма прямых и косвенных затрат, которые несет владелец ИС за период ее жизненного цикла

стоимость сопровождения ИС

Сфера деятельности IT-менеджера охватывает …

составление бизнес-портфеля компании

+область информационных технологий

разработку стратегии развития бизнеса компаний

систему способов изготовления продукции

метод исследования системы, который начинается с общего обзора ее и затем детализируется, приобретая иерархическую структуру с большим числом уровней

процесс получения логической модели системы вместе со строго сформулированными целями, поставленными перед нею, а также написания спецификаций физической системы, удовлетворяющей этим требованиям

содержание большого штата квалифицированных специалистов из различных областей в организации

+процессы, связанные с идентификацией, анализом рисков и принятием решений, которые включают максимизацию положительных и минимизацию отрицательных последствий наступления рисковых событий

Финансовый риск вызван …

зависимостью от ключевого персонала

Функциональными возможностями MRP-систем являются:

решение задач планирования деятельности предприятия в натуральном и денежном выражении

составление плана стратегического развития

осуществление поддержки принятия решений для выработки навыков и умений

+определение и передача в производство и службы материально-технического снабжения информации о потребностях предприятия во всех материальных ресурсах, необходимых для выполнения производственной программы

анализ бизнеса и стратегий его развития

создание бизнес-портфеля предприятия

+установка (инсталляция программного продукта)

Источник

Риски на пути к цифровой трансформации бизнеса: как их избежать?

Операционный директор IT-компании SimbirSoft

Цифровая трансформация требует предельно серьезного подхода, иначе путь к ней может только навредить компании. Но зато успешное завершение этой трансформации станет важным шагом в развитии бизнеса.

О типичных и нетипичных рисках при проведении цифровой трансформации и о том, какие технологические инструменты помогут руководителям справиться с этими рисками, рассказывает операционный директор ИТ-компании SimbirSoft Дмитрий Петерсон.

В проекте Dig(IT)al рассказываем о технологиях, которые помогут вам заработать. Переходите на цифровую сторону бизнеса.

Компании подходят к цифровой трансформации с разных стартовых позиций.

Одни это делают по решению топ-менеджмента в рамках заранее согласованного бюджета.

При этом системы и инфраструктура или службы компании могут быть не готовы, а специалисты могут не иметь всей информации и ресурсов для того, чтобы расставить приоритеты.

Другие четко осознают, для чего нужно внедрять цифровые технологии.

Тест: узнай, сможешь ли ты грамотно выйти на рынок в другой стране

У таких компаний внутри есть ИТ-евангелист, возможно, из топ-менеджмента, который в попытках обратить сотрудников в «цифровую веру» берет на себя всю ответственность, изучает, планирует, набирает команду и подрядчиков.

Третьи относятся к цифровизации скептически, но, глядя на конкурентов, понимают, что это нужно делать, иначе отстанут.

Эта группа компаний не обладает знаниями, с чего начинать и какой бюджет закладывать. Обычно в таких случаях они начинают изучать опыт других.

Перед началом цифровой трансформации бизнеса важно проанализировать все бизнес-процессы и решить, что и как оцифровать, а также подготовить всю инфраструктуру в офисе и на производстве.

Но главным связующим звеном между всеми процессами выступают люди, сотрудники и топ-менеджмент компании, со своими знаниями, навыками и ценностями.

Поэтому одни бизнесы могут столкнуться с описываемыми ниже рисками, а другие нет.

Универсального решения по цифровой трансформации компании, которое поможет избежать проблем, нет.

Но есть базовые (применимые для разных сфер деятельности) работающие инструменты.

При правильном использовании они способны минимизировать риски и помочь компании пройти по пути цифровой трансформации, достигнув нужных результатов.

Типичные риски цифровой трансформации бизнеса

От инвестиций в цифровизацию бизнес хочет получить улучшение клиентского опыта, оптимизацию процесса управления, принятия релевантных решений и безопасность (сохранность информации и персональных данных, контроль доступа сотрудников к определенным зонам или данным).

Качество отношений с покупателями и пользователями определяет настоящее и будущее любого бизнеса.

Использование цифровых решений на всех этапах взаимодействия с ним – один из возможных вариантов улучшить сервис, а значит и клиентский опыт.

Главное – правильно настроить процессы, связать все каналы коммуникации между собой (при помощи омниканальной платформы) и CRM компании в единую систему. если она будет работать с нарушениями, возрастает риск потерять даже лояльных потребителей.

Любой бизнес всегда опирается на людей, и речь идет не только о клиентах, но и о сотрудниках.

От их профессиональных и личностных качеств зависит функционирование компании, принятие решений и конечный результат – успех или поражение любого проекта.

Но при цифровой трансформации, поскольку она касается более глубинных преобразований внутри компании и не ограничивается только внедрением технологий, можно столкнуться с кадровыми рисками.

Например, с неготовностью и сопротивлением изменениям сотрудников или топ-менеджмента компании по разным причинам, необходимостью сокращения или резкого увеличения численности персонала.

В ходе цифровой трансформации руководитель может понять, что его компании не хватает квалифицированных и опытных специалистов, способных правильно выстроить процессы, обучить действующих сотрудников работе с новыми технологиями, а также управлять их адаптацией.

Значит их срочно надо найти, нанять и быстро включить в решение поставленных задач.

Проведение цифровой трансформации может сопровождаться нарушением коммуникации между разработчиками программного обеспечения и лицом, принимающим решения (ЛПР), между руководителем и сотрудниками, а также внутри коллектива.

Информация может либо не доходить совсем, либо искажаться и быть неправильно воспринята, а в итоге отразиться на работе и конечных результатах.

В век цифровых технологий возрастают риски управления данными.

Среди наиболее частых – утечка информации, нарушение конфиденциальности, несанкционированный доступ с разными целями к данным компании или сотрудникам.

На старте есть риск неверно обозначить показатели, по которым можно будет определить успешность проекта цифровизации.

Избежать этого помогут регламенты и другие правила, рекомендации и инструкции, документация с четко прописанными KPI (дорожные карты, спринты и прочее), а также обучающие материалы для повышения квалификации сотрудников.

Все они должны быть доступными для ознакомления всему персоналу компании.

Управление этими рисками можно сделать легче, если использовать следующие инструменты (подходят для любого бизнеса):

В условиях повышенных рисков можно установить DLP-системы – программные продукты, защищающие организации от утечек конфиденциальной информации вовне.

есть примеры, когда такие инструменты вместе с корпоративными мессенджерами помогли службам безопасности компаний вычислить недобросовестных сотрудников, которые передавали контрагентам инсайдерские сведения.

Нетипичные риски цифровой трансформации

Ситуация № 1 – риск времени

Он частично возникает при использовании готовых ИТ-решений, которые предлагают клиентам при цифровой трансформации их компаний. Поясню на примере финансовой сферы.

Многие банки начинали с использования готовых решений, например, для мобильного банкинга.

Но они столкнулись с тем, что у всех были практически одинаковые приложения – по функциям и интерфейсу.

Сейчас в погоне за клиентом каждый стремится применить какие-то уникальные фичи, чтобы сделать сервис удобным и привлекательным для пользователя.

Расширение функций готового решения вендора требует много времени.

Сроки внесения изменений могут затянуться, а бизнес рискует отстать от конкурентов или недополучить клиентов.

К тому же, здесь есть риск, что интересная фича, которую вендор внедрил по вашему предложению, вскоре появится и у других пользователей этого решения.

Во многом именно по этим причинам ведущие банки перешли к созданию уникальных ИТ-продуктов.

У компании сегодня есть выбор – купить готовое коробочное решение или заказать индивидуальную разработку. Что подходит вам, решайте, исходя из текущих потребностей и ресурсов.

Ситуация № 2 – риск оверворкинга

Россияне, конечно, далеки от таких переработок, как в Японии, и кароси нам не страшны. Тем не менее, в отечественных компаниях овертаймы тоже случаются.

Согласно опросу Superjob, только трое из десяти россиян работают строго по графику, не задерживаясь по вечерам.

Со временем переработки, пусть даже на любимой работе, могут привести к профессиональному выгоранию, хронической усталости или конфликтам в коллективе.

В таких случаях в работу можно интегрировать некоторые инструменты.

Они позволяют посмотреть статистику по проекту или каждому специалисту, чтобы руководитель мог обратить внимание на переработки сотрудников.

Как извлечь максимум при использовании предложенных инструментов

Вице-президент, главный аудитор и руководитель по управлению стратегическими рисками General Motors Джозеф Пиззуто провел аналогию между управлением рисками в компании и наличием тормозной системы в автомобиле.

По его словам, ее назначение – дать возможность ускориться без ущерба для контроля.

Так же и в ситуации управления рисками – когда у руководителя есть необходимые средства контроля, можно смело идти вперед и двигаться быстрее.

Все перечисленные инструменты работают, но если они подобраны неправильно, эффект от внедрения не решит поставленных задач.

К тому же, сегодня комплексные ИТ-решения, которые учитывают риски, стоят дорого. Оценив стартовую стоимость инструмента, вы его покупаете, а позже выясняется, что его поддержка и абонентская плата сведут на нет все выгоды от его приобретения.

Чтобы не выйти за рамки бюджета, потребуются профессионалы:

Если вы понимаете, что для внедрения всех решений на данном этапе недостаточно ресурсов, можно следовать японской методике кайдзен и улучшать процессы постепенно пусть небольшими шагами, но непрерывно.

При выборе ИТ-инструментов стоит отталкиваться от имеющихся входных данных, планируемых целей / результатов и ресурсов компании.

Задача руководителя – расставить приоритеты и выявить узкие места, понять, какая основная проблема стоит перед бизнесом сейчас, и сосредоточить усилия по цифровой трансформации именно на ней.

Например, риэлторскому агентству на первом этапе может быть достаточно классической CRM, которую можно настроить под свои потребности.

Затем можно завести мобильное приложение, настроить систему электронного документооборота и так далее.

А логистической компании можно начать с таск-трекера, далее внедрить систему управления складом, а потом и какой-нибудь агрегатор совместно с партнерами.

Прежде чем внедрять готовое решение, проведите предварительную оценку, во сколько вам обойдется его кастомизация с учетом специфики вашей деятельности.

Некоторым видам бизнеса со специфическими бизнес-процессами или услугами проще и дешевле выбрать уникальное решение.

Многие крупные компании пишут их под себя сами или заказывают ПО у специалистов. Главное – ИТ-решения должны окупиться и принести выгоды для вашего бизнеса.

Источник