Оптимальные приемы управления ИТ приводят к лучшим экономическим результатам и снижению финансовых рисков
Москва, 16 мая 2008 г. – Организация IT Policy Compliance Group выпустила отчет за 2008 год, озаглавленный: «Эффективное управление ИТ, контроль рисков и выполнение требований законодательства – улучшение экономических результатов и снижение финансового риска». Меры по эффективному управлению ИТ, контролю рисков и выполнению требований законодательства (IT governance, risk and compliance - IT GRC) решают проблему достижения оптимального баланса между экономическими результатами и риском. Совершенство методов и возможности по реализации мер IT GRC оказывают прямое влияние на экономическое состояние организаций.
Исследование, проведенное IT Policy Compliance Group, показало, что путь к улучшению экономических результатов и снижению финансового риска, потерь и затрат проходит через повышение уровня компетентности, совершенствование практических методов и улучшение качества управления использованием и размещением ИТ-ресурсов. Отчет, основанный на отзывах свыше 2600 организаций во всем мире, измеряет влияние, которое усовершенствования в области защиты данных, соответствия нормативным требованиям и поддержания постоянного уровня ИТ-услуг оказывает на такие экономические результаты, как удовлетворенность клиентов, удержание клиентов, доход, затраты и прибыли.
Приведенные в отчете цифры наглядно демонстрируют, что фирмы с лучшими показателями IT GRC достигают гораздо более высоких результатов по удовлетворенности клиентов, удержанию клиентов и росту доходов и прибылей по сравнению с остальными. Исследование показало, что если двигаться от наихудших в отношении IT GRC организаций к наилучшим, то основные организационные функции, от которых больше всего зависит уровень IT GRC, выполняют в них высшие руководители, менеджеры и директора по ИТ, юридический совет и аудиторский комитет.
ЭКОНОМИЧЕСКИЕ РЕЗУЛЬТАТЫ КОМПАНИЙ С НАИБОЛЕЕ СОВЕРШЕННЫМИ МЕТОДАМИ IT GRC
• доход на 17% выше
• прибыль на 14% выше
• степень удовлетворенности клиентов на 18% выше
• уровень удержания клиентов на 17% выше
• финансовые потери от кражи клиентских данных на 96% ниже
• вероятность кражи или потери данных клиентов в 50 раз ниже
• ежегодные расходы на соблюдение законодательных требований на 50% ниже
ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ
• Использовать сбалансированную шкалу показателей для повышения отдачи от ИТ
• Сформировать руководящий комитет из состава руководителей высшего звена, руководителей финансовых, юридических и ИТ-подразделений, а также членов комиссий по соблюдению законодательных требований и аудиту.
• Стремиться к улучшению экономических результатов при помощи программы непрерывного повышения качества услуг в рамках всего ИТ-подразделения, характеризующейся контролируемыми и измеряемыми показателями
• Проводить ежемесячные измерения и вести отчетность для стимулирования этих улучшений
• Повышать уровень и автоматизировать процесс технологического контроля для снижения и полного исключения финансового риска, ущерба для бренда и помех для бизнеса
• Вести деятельность, направленную на повышение квалификации персонала и автоматизацию в сфере гарантированного ИТ-обслуживания, контроля и управления рисками
• По возможности обеспечить сегментированный и ограниченный доступ к конфиденциальным данным для снижения затрат и подверженности риску
• Гарантировать управление внесением изменений и предотвращение несанкционированных изменений во избежание повышенных финансовых рисков и экономической неэффективности
• Вести непрерывное измерение эффективности управления для поддержания надлежащего баланса между экономическими выгодами и риском.
В дополнение к этому аналитическому отчету IT Policy Compliance Group использовала исходные данные, собранные за последние два года, для создания Модели качества GRC (GRC Capability Maturity Model), которую организации могут применять для оценки степени совершенства и конкретных практических приемов, компетентности и возможностей, связанных с каждым уровнем.
ЦИТАТЫ
• «IT GRC относится к управлению ИТ-бизнесом, включая его вклад в валовой доход и прибыли, — сказал управляющий директор IT Policy Compliance Group и генеральный менеджер по исследованиям Symantec Джим Хёрли (Jim Hurley). — Недавнее исследование, выполненное IT Policy Compliance Group, создает основанный на фактах фундамент для оценки зрелости применяемых практических методов, экономических результатов, относящихся к существующим приемам, и способности надежно определять методы и возможности, приносящие максимальный эффект».
• «По существу, IT GRC преследует две цели: достижение экономических результатов и снижение бизнес-рисков от ИТ, — говорит недавний президент ISACA и Института управления ИТ, дипломированный бухгалтер (CPA) Эверетт Джонсон (Everett Johnson). — Успешные организации достигают этих целей, согласуя экономическую и ИТ-стратегии и внедряя в организацию отчетность по эффективности ИТ, начиная с высшего руководства».
• «Эти результаты еще раз подтверждают, что информационная безопасность и приватность являются критически важными для бизнеса задачами, которые наиболее эффективно решаются при помощи хорошо организованных программ ИТ-соответствия, — говорит управляющий директор по практике ИТ-безопасности Protiviti. — Они служат эмпирическим обоснованием того, что мы видим на рынке, в частности, что защита конфиденциальных данных становится главным приоритетом в области ИТ-соответствия. Это, несомненно, результат имевших место дорогостоящих утечек данных и требований по устранению их последствий, а также требований стандарта PCI и других норм».
• «Отчет согласуется с тем, что доказал Институт внутренних аудиторов (IIA) — лучшие организации используют в своей работе по аудиту подход, основанный на контроле рисков сверху вниз, что позволяет им эффективнее соблюдать нормативные требования и правила управления риском, — говорит директор IIA по стандартам и нормативам Хериот Прентис (Heriot Prentice). — Организации, которые считаются “лучшими в своем классе”, обычно стремятся все делать правильно с первого раза, а правильные заблаговременные инвестиции в правильные внутренние средства контроля обязательно погут защитить данные, снизить уровень финансового риска и повысить рентабельность».
ССЫЛКИ ПО ТЕМЕ
За более подробной информацией об IT GRC обращайтесь, пожалуйста, к следующим ресурсам:
• IT Policy Compliance Group Research Center
• IT GRC Maturity Model Assessment Tool
• ITPCG Blog
• Wikipedia: GRC
Информация об исследовании
Темы исследований IT Policy Compliance Group определяются текущим планом исследований, составляемым членами группы разного уровня, а также результатами предыдущих исследований. Последние измерения, включенные в этот отчет, проводились в период с декабря 2007 года по март 2008 года в 558 разных организациях, удовлетворяющих соответствующим требованиям. В отчет включены результаты, относящиеся к соответствующим вопросам, поставленным при более ранних измерениях, проводившихся в период с июня 2007 года по март 2008 года при участии 2608 отдельных фирм, но только в тех случаях, когда результаты исследования не искажены ошибками. Большинство организаций (90%), участвовавших в измерениях, расположены в Северной Америке, а остальные 10% – в Африке, Европе, а также странах Азиатско-Тихоокеанского региона, Ближнего Востока и в Латинской Америке.
Информация об IT POLICY COMPLIANCE GROUP
Миссия IT Policy Compliance Group состоит в том, чтобы способствовать проведению исследований и получению информации, которая поможет организациям в решении задач, связанных с соблюдением политики безопасности и законодательных норм. IT Policy Compliance Group помогает входящим в нее организациям, основываясь на практических измерениях, улучшать экономические результаты, повышать качество руководства и управления рисками, гарантировать соблюдение законодательных требований. Группа пользуется поддержкой нескольких ведущих организаций, в числе которых Институт компьютерной безопасности, Институт внутренних аудиторов, Protiviti, ISACA, Институт ИТ-управления и Symantec Corporation. За более подробной информацией обращайтесь, пожалуйста, на веб-сайт www.ITPolicyCompliance.com