Риски руководителей компаний имеют мало общего с опасностями, с которыми ИТ-директора сталкиваются каждый день. Тем не менее, попытки избежать этих рисков могут оказаться еще более опасными для карьеры ИТ-директора. Как ИТ-директор, вы работаете в рискованном бизнесе. Или, скорее, каждая часть ваших обязанностей сопряжена с риском, независимо от того, обращаете вы на это внимание или нет. И, несмотря на обилие книг, в которых принятие рисков превозносится как единственно разумный путь, стоит помнить, что их авторы не сталкиваются с тем, что может оказаться самым большим риском, с которым ИТ-директорам приходится сталкиваться каждый день: управленческие команды умеют проповедовать принятие рисков, фактически не поддерживая их.

Например, есть люди, занимающие руководящие должности, которые, пропагандируя ценность принятия рисков, в то же время настаивают на том, чтобы “привлекать людей к ответственности”. Если это популярное выражение в среде руководителей вашей компании, принятие риска - это призрачная добродетель. Чтобы уберечься от опасности, запустите несколько безобидных инициатив — те, которые вряд ли увенчаются успехом, но не принесут большого вреда, если потерпят неудачу. Но зато, будет очень круто, если они все-таки увенчаются успехом.

Продвигайте эти инициативы среди своих коллег с помощью продуманных презентаций, которые покажут, что они соответствуют культуре принятия рисков в компании. Когда они будут запущены, вам воздадут должное за то, что вы пошли на риск. Когда они, по сути, дают сбой, вы можете либо напомнить руководству компании о том, что инициативы изначально должны были провалиться, либо привлечь к ответственности руководителей инициативы. Это позволит вам добиться признания за тяжелую работу без последствий самим оказаться обвиненным в неудаче.

Совет профессионала: Назначьте ответственными за эти инициативы сотрудников и спонсора, которые раздражают вас больше всего. В худшем случае они добьются успеха, и люди, которые вам не нравятся, теперь будут у вас в долгу. В лучшем случае они потерпят неудачу и будут привлечены к ответственности. Вы не проиграете в любом случае.

Принятие рисков и борьба с ними

Те, кто поощряет риск, часто игнорируют его многозначность. Одно из значений: инициативы, которые, как указано выше, имеют потенциальную выгоду, но высокую вероятность провала. Другой: структурные риски — ситуации, которые могут стать реальными и в случае их возникновения нанести серьезный ущерб ИТ-организации и ее деловым партнерам. Вы можете отказаться от рискованной инициативы, игнорируя и избегая ее потенциальных выгод. Когда дело доходит до структурных рисков, вы также можете игнорировать их, но вы не сможете таким образом устранить их, и будете обвинены, если они “реализуются” (термин, используемый в риск-менеджменте, означает “становятся реальными”).

Для иллюстрации приведем несколько примеров:

• Рационализация портфеля приложений: Наиболее фундаментальным руководящим принципом управления технической архитектурой является выполнение каждой требуемой услуги ровно один раз. Если ваш портфель приложений не рационализирован, то есть если он включает в себя множество функционально перекрывающихся возможностей, это создает потребность в геометрически расширяющемся наборе синхронизаций, а также в множестве других уязвимостей. Нерационализированный портфель приложений и, если уж на то пошло, плохая рационализация других уровней архитектуры, одним словом, создают “риски”. Рационализация портфеля приложений снижает вероятность реализации этих рисков. С точки зрения управления рисками, это “предотвращает” (иначе говоря, избегает) их.
• Управление идентификационными данными: Современные архитектуры безопасности включают инструменты для управления идентификационными данными — для аутентификации сотрудников, назначения им ролей и присвоения прав, привилегий и ограничений этим ролям, а не лицам, которые их выполняют. Неправильное управление идентификационными данными приведет к тому, что не те люди будут в состоянии выполнять неправильные действия. Внедрение надежных методов управления идентификационными данными снижает вероятность того, что различные риски станут реальными, а также уменьшает ущерб, если риск станет реальным, несмотря на превентивные меры организации. В терминологии управления рисками предотвращение означает снижение вероятности. Смягчение последствий означает уменьшение ущерба.
• Программы-вымогатели: Несмотря на то, что искусственный интеллект вытеснил программы-вымогатели с первых страниц, они вряд ли исчезли, и риски, связанные с тем, что вы становитесь жертвой атаки, нисколько не изменились. Шаги, которые вам необходимо предпринять, чтобы справиться с рисками, связанными с программами-вымогателями, включают в себя все четыре стратегии реагирования на риски: они предотвращают (снижают вероятность), смягчают (уменьшают ущерб) и страхуют вас от наихудших последствий (страхование заключается в разделении расходов).

И если мы будем честны друг с другом, наша реакция также включает в себя здоровую дозу четвертой реакции на риск — принятия, также известной как “надежда”.

Ограничения в реагировании на риск

Что бы вы ни делали, ваши реакции на риск не будут идеальными. Конкретно:

• Предотвращение: Предотвращение снижает вероятность реализации риска. Оно не устраняет его. В конце концов, риск либо станет реальным, либо нет. Если это произойдет, угадайте, кто будет привлечен к ответственности? А если этого не произойдет, вступит в силу еще один неопровержимый закон ИТ-риска: успешная профилактика неотличима от отсутствия риска. Иными словами, если ваши превентивные меры сработают, вас признают виновным в том, что вы завысили риск.
• Смягчение последствий: Смягчение последствий заключается в уменьшении ущерба в случае реализации риска. Точно так же, как ваши превентивные меры не могут быть идеальными, так и ваши меры по смягчению последствий не могут быть идеальными. Если риск реализован, ваши меры по смягчению последствий вряд ли полностью устранят ущерб, и вы можете рассчитывать на то, что вас обвинят во всех возможных последствиях. И если по какой-то случайности ваши превентивные меры окажутся полностью успешными, вас обвинят в растрате бюджета и усилий на ненужные меры по смягчению последствий.
• Страхование: Вы знаете, как это бывает. Если вы покупаете страховку, а риски, которые она покрывает, не осознаются, вас обвинят в том, что вы потратили деньги впустую на страховые взносы. А если они осознаются, вас обвинят в неудачной профилактике и недостаточном смягчении последствий.
• Оценка риска: Даже если руководство вашей компании искренне ценит готовность к риску, риски, которые они ценят, не имеют ничего общего с важными рисками, с которыми вам приходится сталкиваться изо дня в день. Нет смысла придираться. Просто убедитесь, что вы не обсуждаете рискованные инициативы и управление структурными рисками отдельно. В противном случае вы столкнетесь с двойным риском - упущенными возможностями и угрозой бизнесу.

Автор статьи на сайте CIO.com - Боб Льюис