• соблюдение соответствия между реальными и плановыми затратами;

• разница между оцениваемой и реальной стоимостью;

• результативность персонала и моральный климат на предприятии;

• количество своевременных изменений, реализованных в процессах и в системах;

• повышение производительности (например, дополнительные преимущества на одного служащего, число клиентов и затраты на обслуживание одного клиента);

• рентабельность процессов и операций.

При управлении рисками, связанными с информационными технологиями, необходимо добиваться следующих целей:

• прозрачности влияния рисков на работу предприятия и четкость выбора политики предприятия по отношению к существующим рискам:

– деятельность в условиях рисков;

– работа в условиях полного отсутствия рисков;

• уверенности, что ответственность за управление рисками остается за правлением, при делегировании части своих функций дирекции;

• убежденности в том, что система внутреннего контроля за деятельностью предприятия охватывает процессы управление рисками;

• встраивания процессов управления рисками в деятельность предприятия и обеспечения быстрого реагирования на риски с немедленным информированием всех соответствующих уровней управления и с обязательным выполнением согласованных принципов распространения информации (что сообщать, когда, где и как).

Приведем перечень вопросов для оценки существующей практики управления рисками:

• Насколько критичными являются информационные технологии для поддержания деятельности предприятия? Насколько критичными являются информационные технологии для роста предприятия?

• Какие стратегические инициативы выполняет менеджмент, отвечающий за использование информационных технологий для поддержания и роста предприятия, и насколько они отвечают требованиям?

• Какие ИТ-активы существуют и как ими управляют?

• Достаточны ли для достижения стратегических целей предприятия соответствующие ИТ-ресурсы, инфраструктура и квалификация специалистов?

• Насколько четко предприятие определяет свою позицию по отношению к использованию информационных технологий: пионер, ранняя стадия внедрения, последователи или отстающие?

• Принимают ли участие ИТ-специалисты в изменениях предприятия и выборе стратегических направлений? Поддерживают ли изменения в пределах предприятия ИТ-практика и ИТ-культура?

• Проводит ли предприятие исследование технологий, процессов и перспектив, чтобы сформировать направления для будущего роста?

• Связаны и синхронизованы ли цели предприятия и информационные технологии?

• Ясно ли предприятие определило свою позицию по отношению к рискам: предотвращение рисков или действия в условиях риска?

• Проводится ли своевременная инвентаризация ИТ-рисков, релевантных по отношению ко всему предприятию?

• Что делается для того, чтобы управлять этими рисками?

• Как далеко заходит предприятие в стремлении уменьшить риски, и оправдываются ли соответствующие затраты получаемыми преимуществами от этого?

• Как предприятие строит свои отношения с другими организациями?

• Существует ли передовой опыт в данной отрасли, и как предприятие соотносится с ним?

• Что делает менеджмент для определения рисков?

• Насколько регулярно правление рассматривает риски, которые угрожают данному предприятию?

• Базируясь на этих вопросах, может ли предприятие утверждать, что оно учитывает в своей деятельности технологические риски?

• Насколько уверено правление в ответах, полученных на предыдущие вопросы?

• Осведомлено ли правление о самых последних разработках в области информационных технологий и использует ли знания о них при планировании развития деятельности?