Приведем перечень вопросов для оценки существующей практики управления рисками:
• Насколько критичными являются информационные технологии для поддержания деятельности предприятия? Насколько критичными являются информационные технологии для роста предприятия?
• Какие стратегические инициативы выполняет менеджмент, отвечающий за использование информационных технологий для поддержания и роста предприятия, и насколько они отвечают требованиям?
• Какие ИТ-активы существуют и как ими управляют?
• Достаточны ли для достижения стратегических целей предприятия соответствующие ИТ-ресурсы, инфраструктура и квалификация специалистов?
• Насколько четко предприятие определяет свою позицию по отношению к использованию информационных технологий: пионер, ранняя стадия внедрения, последователи или отстающие?
• Принимают ли участие ИТ-специалисты в изменениях предприятия и выборе стратегических направлений? Поддерживают ли изменения в пределах предприятия ИТ-практика и ИТ-культура?
• Проводит ли предприятие исследование технологий, процессов и перспектив, чтобы сформировать направления для будущего роста?
• Связаны и синхронизованы ли цели предприятия и информационные технологии?
• Ясно ли предприятие определило свою позицию по отношению к рискам: предотвращение рисков или действия в условиях риска?
• Проводится ли своевременная инвентаризация ИТ-рисков, релевантных по отношению ко всему предприятию?
• Что делается для того, чтобы управлять этими рисками?
• Как далеко заходит предприятие в стремлении уменьшить риски, и оправдываются ли соответствующие затраты получаемыми преимуществами от этого?
• Как предприятие строит свои отношения с другими организациями?
• Существует ли передовой опыт в данной отрасли, и как предприятие соотносится с ним?
• Что делает менеджмент для определения рисков?
• Насколько регулярно правление рассматривает риски, которые угрожают данному предприятию?
• Базируясь на этих вопросах, может ли предприятие утверждать, что оно учитывает в своей деятельности технологические риски?
• Насколько уверено правление в ответах, полученных на предыдущие вопросы?
• Осведомлено ли правление о самых последних разработках в области информационных технологий и использует ли знания о них при планировании развития деятельности?
• Являются ли информационные технологии регулярной темой обсуждения на правлении, и как это подкреплено структурными мероприятиями?
• Сообщает ли руководство о тех направлениях деятельности, в которых необходимо провести выравнивание с информационными технологиями?
• Осведомлено ли правление о потенциальных конфликтах между функциями подразделений предприятия и возможностями информационных технологий?
• Имеет ли правление свою точку зрения относительно того, как и сколько предприятия инвестируют в информационные технологии по сравнению с тем, как это делают конкуренты?
• Соразмерен ли уровень подотчетности руководителя службы ИТ важности информационных технологий для предприятия?
• Имеет ли правление четкую позицию по главным инвестициям в информационные технологии с учетом рисков и перспектив их возврата?
• Получает ли правление регулярные отчеты о продвижении главных ИТ-проектов?
• Регулярно ли правление обсуждает ИТ-риски, которые угрожают предприятию?
• Убеждено ли правление в том, что существующие ИТ-ресурсы, инфраструктура и квалификация персонала достаточны для того, чтобы обеспечить достижение стратегических целей предприятия?
