Бизнес-риск: управлять им, игнорировать или отдать на аутсорсинг?

Все больше предприятий, чем когда-либо прежде, делегируют то, что они считают непрофильными функциями, другим организациям, которые якобы лучше справляются с этими функциями, позволяя бизнесу сосредоточиться на своей основной компетенции. Аутсорсинг имеет место быть, но предприятия должны быть уверены, что они правильно понимают, кто в конечном счете чем владеет в своих отношениях с аутсорсингом. Другими словами, аутсорсинг сопряжен с некоторыми рисками, и в связи с этим возникает вопрос: могут ли сами эти риски быть переданы на аутсорсинг? Чтобы ответить на этот вопрос, я обратился к моему другу и коллеге Эндрю С. Бейкеру, который имеет многолетний опыт работы в этой области с организациями и предприятиями разного размера. Эндрю является президентом и основателем BrainWave Consulting, где он предоставляет услуги Virtual CIO (информационная безопасность, ИТ-операции, ИТ/бизнес-стратегия и интеграция) для малого и среднего бизнеса. Почти 20 лет Эндрю занимается проектированием, развертыванием и обслуживанием безопасных вычислительных сред для организаций любого размера. Как надежный деловой партнер, Эндрю сотрудничает с бизнес- и ИТ-лидерами для разработки надежной технологической архитектуры, выявления и снижения рисков безопасности, определения технологической стратегии и направления, подготовки и выполнения планов проектов, а также предоставления экономически эффективных решений, которые обеспечивают компаниям устойчивый рост. Вы также можете найти полное социальное присутствие Эндрю на XeeMe.comAndrewBaker. Ниже приводится выдержка из недавней беседы с Эндрю о риске аутсорсинга.

МИТЧ: Одна вещь, которую я сам усвоил, управляя малым бизнесом, заключается в том, что во многом это просто управление рисками.

ЭНДРЮ: Да, я сразу скажу: как владелец бизнеса вы всегда несете все бизнес-риски, включая все риски безопасности, связанные с вашим бизнесом. Это остается верным, даже если вы передали некоторые бизнес-возможности третьей стороне. Если ваш бизнес небольшой, то конечным владельцем бизнес-рисков обычно является президент, генеральный директор, партнер или другой руководитель организации с аналогичным именем. Если ваш бизнес более крупный, он, скорее всего, включает команду высшего руководства (часто руководители высшего звена) и формальный совет директоров. Бизнес-риск в конечном счете принадлежит совету директоров, если таковой существует, или старшему руководству в случае его отсутствия. Да, в организации будут другие люди, которые будут играть определенную роль в управлении рисками, но конечная ответственность за риск будет принадлежать вышеперечисленным лицам.

МИТЧ: Если только в вашей организации нет директора по управлению рисками, верно?

ЭНДРЮ: Даже если генеральный директор нанимает директора по управлению рисками — или человека с аналогичной должностью — в качестве лица, несущего повседневную ответственность за отслеживание и отчетность о бизнес-рисках, право собственности на риски и решения о рисках по-прежнему принадлежат генеральному директору и его совету директоров. Вот где доллар действительно останавливается.

МИТЧ: Согласен, доллар всегда ложится и на мой собственный стол тоже для нашего бизнеса. Но я думаю, нам следует ненадолго отступить и спросить себя, что такое риск.

ЭНДРЮ: Да, возможно, нам следует остановиться и правильно определить риск, прежде чем мы пойдем дальше. Согласно определению, приведенному в глоссарии Центра ресурсов компьютерной безопасности NIST, риск — это:

Мера степени, в которой предприятию угрожает потенциальное обстоятельство или событие, и, как правило, функция: (i) неблагоприятных воздействий, которые возникнут, если возникнет обстоятельство или событие; и (ii) вероятность возникновения. Риски безопасности, связанные с информационными системами, — это те риски, которые возникают в результате потери конфиденциальности, целостности или доступности информации или информационных систем и отражают потенциальное неблагоприятное воздействие на деятельность организации (включая миссию, функции, имидж или репутацию), активы организации, отдельных лиц, других организаций и нации.

МИТЧ: Что это значит, говоря словами обычного непрофессионала?

ЭНДРЮ: С точки зрения непрофессионала, риск — это мера того, насколько сильно на ваш бизнес может повлиять та или иная потенциальная ситуация, и насколько вероятно, что неблагоприятные последствия окажутся на вашем бизнесе. Хотя было бы неплохо добраться до места с нулевым риском, на самом деле это невозможно. Управление рисками заключается в минимизации ваших потерь, если случится что-то плохое. Речь не идет о предотвращении всех возможных плохих вещей. Ни у кого нет ни денег, ни времени на это.

МИТЧ: Итак, ваш бизнес всегда сталкивается с различного рода рисками. Как можно эффективно управлять этими рисками?

АНДРЕЙ: Первое, что необходимо сделать, это согласиться с тем, что каждый бизнес сталкивается с определенным бизнес-риском. Второе, что необходимо сделать, это определить, с какими конкретно рисками сталкивается ваш бизнес. Без оценки рисков невозможно должным образом управлять рисками. Существует несколько способов управления рисками, с которыми сталкивается ваша организация. Законными вариантами являются смягчение, сокращение и принятие.

МИТЧ: Хорошо, давайте рассмотрим каждый из этих вариантов по очереди, начиная со смягчения последствий.

ЭНДРЮ: Многие риски можно снизить. Сниженные риски – это те, которые нейтрализуются или устраняются. Вас не должно удивлять, что очень немногие риски можно снизить без каких-либо затрат. Для полного снижения многих рисков требуется приличная сумма денег, но снижение риска не всегда обходится дорого. Например:

• Жесткие диски выходят из строя, но этот риск можно уменьшить с помощью резервных жестких дисков или резервных серверов.
• Может произойти сбой в электроснабжении, но этот риск можно уменьшить с помощью источников бесперебойного питания (ИБП) и генераторов.
• Телекоммуникационные линии могут выйти из строя, но этот риск можно снизить, если сетевые соединения с балансировкой нагрузки будут использоваться несколькими провайдерами.

МИТЧ: Однако некоторые риски невозможно эффективно снизить. Как вы должны справляться с такими рисками для вашего бизнеса?

АНДРЕЙ: Ну, риски тоже можно уменьшить. Для рисков, которые невозможно или экономически нецелесообразно полностью исключить, часто целесообразно внедрять решения, которые уменьшают все последствия этого риска. Например:

• Возможно, вы не можете позволить себе два полных центра обработки данных, но вы можете заключить контракт на теплую или холодную площадку или, возможно, вы можете позволить себе простоять в течение дня, ожидая завершения восстановления.
• Возможно, вы не можете нанять полный штат круглосуточного персонала для своей организации, но вы можете прибегнуть к тому, чтобы некоторые сотрудники были доступны по вызову в нерабочее время.

МИТЧ: Кое-что, однако, вы должны стиснуть зубы и просто принять определенные риски, верно?

ЭНДРЮ: Да, риски можно принимать и как способ борьбы с ними. Это жизнеспособный вариант, если за ним достаточно внимания. Принятие риска должно осуществляться только после тщательного анализа оценки бизнес-рисков, в ходе которого установлено, что стоимость неблагоприятного воздействия рассматриваемого риска меньше, чем стоимость смягчения или снижения того же самого риска.

Например, представьте, что у вашей организации есть удаленный офис, который приносит всего 50 000 долларов в год и может позволить себе быть в автономном режиме до трех дней. Стоимость устранения неустойчивого сетевого подключения или отказа серверного оборудования для этого офиса никогда не должна превышать 50 000 долларов США. Мне было бы трудно потратить даже 40 000 долларов на снижение этих рисков, если бы стоимость простоя плюс потеря дохода не превышали эту цифру. Гораздо лучше принять эти два риска, чем тратить больше, чем нужно, чтобы уменьшить эти риски.

МИТЧ: А как насчет простого игнорирования определенных видов рисков? Многие компании сегодня, особенно быстроразвивающиеся технологические компании, похоже, имеют свои шоры, когда дело доходит до того, чтобы вступить в пул рисков, связанных с их новыми продуктами и услугами.

АНДРЕЙ: Риски тоже можно игнорировать, но это не очень жизнеспособный вариант, поэтому я не упомянул об этом раньше. Но вы можете быть прискорбно удивлены тем, как много лидеров и организаций «принимают» этот вариант из-за того, что они не смягчили, не уменьшили или не приняли должным образом свои риски.

МИТЧ: И они тоже расплачиваются, когда их разрушение оборачивается против них самих. Но давайте теперь обратимся к центральному вопросу нашего обсуждения, а именно: как насчет риска аутсорсинга? Можно ли это сделать? Поделитесь с нами своими мыслями по этому поводу.

ЭНДРЮ: Есть много вещей, которые вы можете отдать на аутсорсинг, например, ваши маркетинговые функции, ваша деятельность в области электронной коммерции, хостинг вашего центра обработки данных, ваш веб-хостинг, управление технологическими операциями и даже управление операциями по обеспечению безопасности (включая функцию оценки рисков). Однако вы не можете передать бизнес-риск, связанный с любой из этих вещей, на аутсорсинг. Прошлый опыт научил меня, что многие владельцы бизнеса и руководящие команды обычно не понимают этого, даже довольно опытные. Давайте представим, что как владелец бизнеса я принимаю решение сотрудничать с поставщиком электронной коммерции, чтобы разгрузить обработку платежей по кредитным картам из моей сети. Значительно ли это снизит техническую нагрузку и нагрузку на мою локальную сеть и моих сотрудников в соответствии со стандартами безопасности данных индустрии платежных карт (PCI DSS)? Абсолютно! В этом решении нет ничего плохого.

Теперь давайте представим, что в сети моего поставщика произошел досадный взлом. Это лучше, чем такая же брешь в моей собственной сети? Абсолютно! Тот факт, что я отдал эту функцию на аутсорсинг поставщику, позволяет мне говорить клиентам: «Извините за ваши данные, но мы не те, кто их потерял»? Точно нет! Моя фирма может не нести ответственности за непосредственное внедрение рассматриваемых технических средств контроля, но я по-прежнему несу ответственность перед своими клиентами за обеспечение надлежащей реализации всех необходимых средств обеспечения безопасности и конфиденциальности в этой партнерской сети. Моя руководящая группа остается такой же ответственной за это, как если бы эти функции выполнялись в нашей сети.

Если мы небрежно относимся к тому, чтобы наш поставщик надлежащим образом обеспечивал безопасность, мы будем нести ответственность за эту небрежность. Общий регламент ЕС по защите данных (GDPR) разъясняет этот момент более четко, чем многие другие нормативные акты, и мы наблюдаем растущее число нормативных актов о конфиденциальности данных в США, которые следуют образцу GDPR.

Многие фирмы обращают внимание на сложные или сложные области технологии или управления бизнесом и пытаются отдать их на аутсорсинг, не понимая, что они по-прежнему несут ответственность за надзор за безопасностью и конфиденциальностью от своего имени, а также от имени клиента. Надзор за технологиями не станет проще после того, как вы добавите еще один уровень управления.

Пожалуйста, не забывайте о льготных расходах. Хотя это правда, что вы не хотите тратить 100 000 долларов на защиту актива стоимостью 75 000 долларов, имейте в виду, что могут быть и мягкие затраты, такие как ущерб репутации, которые следует учитывать. Не зацикливайтесь на «жестких» затратах, игнорируя при этом «мягкие».

МИТЧ: Ух ты, отличный анализ и несколько полезных рекомендаций. Можете ли вы обобщить все для нас, чтобы мы могли легко взять это домой как профессионалы технологического бизнеса?

ЭНДРЮ: Вы (владелец бизнеса, высшее руководство, совет директоров) всегда несете бизнес-риски. Вы можете делегировать часть действий по управлению тактическими и операционными рисками людям внутри или за пределами вашей организации, но вы всегда будете владельцем, а они будут только распорядителями. Настоятельно рекомендуется регулярно принимать непосредственное участие в процессе управления рисками — до того, как произойдет что-то серьезное и неприятное.

Когда возникает проблема — особенно серьезная проблема — вы можете быть уверены, что ваши затронутые избиратели будут искать владельца риска (вас), а не распорядителей риска.

1. Всегда есть риск, которым нужно управлять.
2. Владелец риска всегда является высшим организационным органом в вашей организации.
3. Вы не можете управлять риском, пока он не будет идентифицирован и оценен.
4. Полное устранение риска, как правило, невозможно.
5. Риски часто имеют как твердые, так и мягкие издержки — обратите внимание на оба.
6. Владелец риска всегда является высшим организационным органом в вашей организации.
7. Никогда не путайте принятие риска с игнорированием риска.
8. Владелец бизнеса, который успешно переложил риск на другую сторону, либо (а) больше не является владельцем бизнеса, либо (б) в какой-то момент будет неприятно удивлен.

МИТЧ: Спасибо, Эндрю! Думаю, никогда не поздно провести оценку рисков своего бизнеса, но сегодня всегда лучше, чем завтра.

АНДРЕЙ: Почему бы не начать сегодня? ?