Главная картинка статьи №16

Немного о процессах анализа и управления рисками

Да ты успокойся, я так сто раз делал...

Введение

Доброго времени суток, Уважаемые коллеги!

Совсем недавно, Мы решили систематизировать свой довольно богатый и разнообразный опыт в области управления информационными рисками. «Выходом» этого обсуждения было решено сделать небольшой учебный курс! Причина такого решения очень простая - чего-то «толкового» и достаточно полного, на русском языке :) , мы в рунете не нашли :( ! Поддерживая введенную традицию делиться с Вами своими наработками и знаниями мы решили постепенно, заканчивая модуль лекций, выкладывать его сюда :) ! В будущем полный курс будет опубликован в одном из интернетовских открытых университетов, но это вопрос «завтрашний», а сегодня….

Риск в информационных технологиях

На сегодняшний день понятие риска – это крайне неоднозначная и спекулятивная тема, актуальность которой, в последние пару десятилетий, пользуется большим интересом у специалистов из многих отраслей науки и, прежде всего, коммерческих сфер деятельности. В частности у сотрудников, из отрасли информационных технологий. Интерес, к значению этого термина, неуклонно растет, порождая множество противоречивых данных и, впоследствии, информации такого же качества, что негативно влияет на суть этого сложного и многогранного термина, за которым «скрывается» малоформализованная (в конструктивном значении) профессиональная область знаний. Новый век олицетворяет собой новый этап в развитии человеческого, социального мировоззрения и миропонимания, новый этап социологических, экономических, экологических, этических и, что наиболее интересно в границах данного курса, информационных отношений. Динамическое изменение вокруг нас приводят к ураганному вихрю данных, анализом которых «вынуждено» заниматься человеческое сознание. Первый и главный помощник в этих процессах, которые «проходят» на безальтернативной основе - информационные технологии, от качества, обоснованности и продуманности которых во многом будет зависеть благополучие и успешность дельнейшего развития многих (если не сказать, что всех) экономически значимых отраслей.

Авторитетнейшими мировыми аналитиками и исследователями признается, что большинство современных глобальных кризисов было порождено в силу ряда следующих причин:

  • Во-первых – необходимо отметить бесконтрольный рост запросов и «аппетитов» бизнес стэйкхолдеров к размерам прибыли, получаемой их организациями. Это сказалось (да и сказывается) на качестве работы и стратегии развития, которые становились безропотными заложниками интересов руководства фирм и организаций;
  • Во-вторых – отсутствие продуманного «запасного пути», связанного с устранением последствий возникновения разных типов и видов рисков, которые проявлялись, в результате «во-первых». Таким образом, абсолютно очевидно, что если руководство компании заинтересовано в постоянном и фундаментальном развитии, то «закладка» основополагающего «базиса», на котором можно будет предусмотреть, спрогнозировать и обеспечить грамотное «лавирование» через потенциально возникающие задачи и проблемы, является наиболее оптимальным подходом к организации любого процесса, деятельности и т.д.

Следующий аспект, который стоит рассмотреть в свете поднятого вопроса о правильном проектировании «базиса» - это значение информационных технологий в современном мире, растущее с потрясающей скоростью. Спроектированная система по работе с основными процессами информационных технологий и созданию «запасных путей», которыми, по сути, являются риски, это фундаментальная часть такого «базиса».

Комплексно спроектированная архитектура любого типа бизнеса позволит грамотно поддерживать любые типы изменений и инноваций, без которых не будет осуществляться развитие, являющееся целевой идеей всех преобразований.

Рост, в направлении ИТ, имеет множество аспектов, которые так же необходимо рассматривать и учитывать в осуществляемой деятельности.

Что особенно интересно и стоит отметить - как правило, любой из «проблемных моментов» можно считать как положительным, так и отрицательным, в зависимости от того, с какой точки зрения посмотреть на него, что можно использовать как часть рабочего мировоззрение для анализа и управления рисками.

Информационные технологии призваны облегчить труд человека путем информатизации и автоматизации рутинных операций. Вот только что можно/нужно считать «рутинными» операциями?

По мере развития ИТ отрасли, к рутинным операциям будет относиться все больше различных, выполняемых человеком действий, что в конечном итоге (я не поклонник фантастики, но параллель с фильмом «матрица» вполне уместен) приведет к полной зависимости человека от «кибер» помощника/ов.

Но так «вперед» прогнозировать развитие науки и техники видится нам делом неблагодарным, поэтому сосредоточимся на ближайшей перспективе.

В ближайшие годы значение дисциплин, связанных с развитием и управлением рисками будет только повышаться в своей значимости. Это напрямую зависит от повышения значимости ИТ в профессиональной и обыденной жизни. Можно ли избежать, уклониться от данного процесса и исключить из своей деятельности процессы, связанные с рассмотрением и учётом понятия информационного риска? Скорее всего, нет! Бизнес диктует ритм развития технологий, и этот ритм только растет, что приводит к тому, что время «на раздумье» отводится все меньше и меньше. В таком варианте развития ситуации, без инструмента реагирования на риски не обойтись. Вывод – процессы анализа и управления рисками стоит рассматривать как неотъемлемую часть развития бизнеса в целом и ИТ, в частности.

История управления рисками

В отечественной литературе лишь с трудом можно найти какие-либо публикации по истории развития дисциплины анализа и управления рисками, что подтверждает тот факт, что данное направление деятельности, на сегодняшний день в нашей стране не носит «глубинного» характера изучения. Для того, чтобы основательно разобраться в данной активности, необходимо привлечь иностранные источники, что и было выполнено в рамках данного курса.

Термин «риск» произошел от французского слова risqué или итальянского risico. Оно означает возможность или вероятность наступления событий с конкретными последствиями в результате определенных решений или действий. Заметьте, речь не идет только об отрицательном типе эффекта, что часто забывается отечественными профессионалами.

История развития понятия риск и дисциплины управление рисками является очень молодым направлением коммерческой активности, хотя и уходит корнями в, довольно седую старину (трудно представить, что что-то не уходит «туда» своими корнями).

Современный этап развития риск-менеджмента берет свое начало после второй мировой войны. В начале рассматриваемого этапа риск-менеджмент позиционировался только в качестве альтернативы страхованию, которое воспринималось как очень дорогой и неполный/частичный инструмент защиты от воздействия риска.

Основной вехой, в развитии направления по работе с рисками, можно считать статью аспиранта Чикагского университета Гарри Марковица «Диверсификация вложений» («Portfolio Selection»). В ней математически обоснована стратегия диверсификации инвестиционного портфеля, что служило для продуманного распределения вложений и минимизации отклонения доходности от ожидаемого показателя. Во многом именно за то, что Марковиц заложил фундаментальные основы для изучения понятия риск, ему в 1990 году присуждена Нобелевская премия.

Инструменты по работе с рисками первоначально развивались только применительно к финансовой сфере, что является вполне предсказуемым, учитывая важность данной сферы деятельности. Все общеизвестные и применяемые на данный момент развития этой отрасли, методы были разработаны, преимущественно во второй половине прошлого века. Ниже приведена таблица (таб.1. – «Вехи в истории риск-менеджмента»), в которой отражены основные вехи данной отрасли, применительно к финансовой области. Мы приводим данную таблицу в своем курсе для того, чтобы изучающий смог комплексно оценить истоки и окружение, способствующее формированию изучаемой дисциплины, которая со временем была адаптирована для нужд отрасли ИТ.

Вехи в истории риск-менеджмента
Год Событие
1.        1730 Первый фьючерсный контракт на цену риса в Японии
2.        1864 Первый фьючерсный контракт на агрокультурную продукцию на Чикагской бирже
3.        1900 Тезис Луиса Бачелиера «Теория спекуляции», Броуновское движение
4.        1932 Первое появление журнала «Риск и страхование»
5.        1946 Первое появление журнала «Финансы»
6.        1952 Публикация Марковица «Portfolio Selection»
7.        1961-66 Трейнор, Шэрп, Линтнер и Моссин разработали «CAPM»
8.        1963 Начало развития теорий оптимального страхования, морального риска и неблагоприятного отбора
9.        1972 Фьючерсные контракты на валюты на Чикагской товарной бирже
10.    1973 Формулы оценки выбора Блэка, Скоулза и Мертона
11.    1974 Мертонская модель риска по умолчанию
12.    1977 Модель процентной ставки Васичека и Коха, Ингерсола и Росса
13.    1980-90 Экзотичные варианты, свопционы и производные ценные бумаги
14.    1979-82 Первая сделка с финансовыми инструментами (акции, облигации и т.д.) в форме свопов: валюта и модель процентной ставки
15.    1985 Создание Бизнес Своп Ассоциации, которая разработала формы сделок с финансовыми инструментами с помощью обменных стандартов
16.    1987 Первый департамент риск – менеджмента в банке (Мэрил Линч)
17.    1988 Basel I
18.    80-ые Методика оценки риска (VaR) и методика расчета оптимального капитала
19.    1992 Статья Хелфа, Ярроу и Мортона о кривой передового роста
20.    1992 Интеграционный риск-менеджмент
21.    1992 Метрики риска
22.    1994-95 Первые банкротства, связанные с неправильным использованием производных средств: Проктор и Гэмбл (производство, процентные ставки, 1994), Оранж Кантри (производственные фонды, 1994) и Бэрингс (фьючерсы, 1995)
23.    1997 Метрики кредита
24.    1997-98 Азиатский и российский кризисы, развал Хедж-фонда
25.    2001 Банкротство Энрон
26.    2002 Новые законадательные правила от Сарбанес-Оксли и NYSE
27.    2004 Basel II
28.    2007 Начало финансового кризиса
29.    2009 Solvency II (не вышла к Марту 2013)
30.    2010 Basel III

В данной таблице приведено достаточное количество финансовых терминов, которые мы считаем неправильным пояснять в нашей статье (не об этом она :) ), но особо любопытные смогут найти определения терминов в общедоступных источниках информации.

Определившись с основными вехами в развитии дисциплины риск-менеджмента, имеет смысл рассмотреть эволюцию значимости этой дисциплины в глобальном масштабе.

После того как мировая экономика стала набирать обороты, появилась необходимость в развитии направления риск менеджмента, как отдельной сферы активности, которая могла бы предложить полноценную инструментальную базу, для повышения качества и эффективности результата различных направлений коммерческой деятельности.

Всеобщие процессы глобализации только способствовали развитию данной отрасли, но общемировые финансовые кризисы середины десятых годов начала второго тысячелетия показали недостаточно внимательное отношение к управлению рисками со стороны большинства представителей руководства западных организаций, что в конечном итоге вылилось в крах многих финансовых титанов, таких, к примеру, как «Энрон».

После того, как нами дано довольно основательное понимание базы и причин возникновения направлений по работе с рисками, имеет смысл переходить к понятию информационного риска и возможных последствий его возникновения.

Сущность и теория понятия риска. Риски в ИТ отрасли.

Сутью любого процесса, явления или объекта является деятельность, которая приводит к формированию результатов.

Можно различать:

  • Прямые;
  • Косвенные;
  • Конструктивные;
  • Деструктивные;
  • Псевдослучайные;
  • Объективные;
  • Cубъективные;
  • и т.д. виды результатов.

Объективный результат является следствием целенаправленного и явного выполнения процесса, который связан с его сутью. Субъективные результаты проявляются в тех случаях, когда выполнение процесса проходит с недостаточным уровнем определенности и полноты информации. На практике, преобладающее количество рисков связаны именно с субъективными результатами осуществления хода или выполнения процесса.

«Добыча» необходимой информации связана с наличием четких и определенных (стандартизированных, апробированных, регламентированных и т.д.) средств, инструментов, методов и методик, выполнение которых связано с ресурсными затратами, а также отсутствием достоверных данных о цели и сущности исследуемого процесса.

Таким образом, можно констатировать, что все риски, с большим или меньшим допущением, можно считать субъективным результатом выполнения процесса, который связан с недостатком количественной или качественной информации о процессе. Информационное «голодание» можно считать главной причиной, которая порождает и сопровождает риски, во всем их жизненном цикле.

Каждый риск можно связать с одним следующих компонентов:

  • Данные;
  • Человек;
  • Система.

Возникновение риска наиболее вероятно в случаях использования недостоверной информации, ограничения времени на её анализ и последующий синтез, с целью принятия решения на основе полученных выводов. Таким образом, информационная составляющая присутствует в любом типе и виде риска, с разной долей значимости.

Наступление риска связано с выполнением осознанных или бессознательных действий, или бездействием определенного субъекта прямо или косвенно связанным с процессом, в результате которого может возникнуть риск.

Преобладающее число рисковых событий связано с техническими системами и процессами, которые имеют в своей основе четкие алгоритмы поведения и абсолютно не гибки в ситуациях, в которых требуется принять «не оцифрованное» решение. Чем более развитым с точки зрения техногенных процессов и систем становится общество и мир, тем больше становится факторов, которые требуют принятия именно такого решения, для получения наиболее оптимального и качественного результата.

На данный момент нет стандартного определения понятия «информационный риск». Многие специалисты вкладывают в это определение абсолютно разный смысл. Мы приведем наиболее удачное, на наш взгляд:

Риск – это потенциальная возможность наступления вероятного события/явления или их совокупности, которые могут вызывать определенную величину влияния на осуществляемую деятельность.

В понятие информационного риска, как правило, не включаются риски, которые связаны с возможным наличием ошибок в моделях, алгоритмах, программах обработки информации, которые используются для выработки управляющих решений. Это свидетельствует о том, что информационные риски не ассоциируют со снижением качества информации ниже допустимого уровня, в результате низкокачественной аналитической и управленческой деятельности, которая происходит из-за множества связанных факторов.

Выводы, которые можно сделать, рассмотрев сущность понятия информационного риска следующие:

  • Отсутствует единый, комплексный и системный взгляд на проблему/ы возникновения рисков;
  • Отсутствие ясности и прозрачности в понимании конечных результатов воздействия информационных рисков.

Сущность процесса состоит в получении, обработки, хранении, представлении и передачи данных.

В качестве объектов понимаются технические средства, программное обеспечение, другие ресурсы и специалисты, которые имеют отношение к информационному процессу.

Для более детального рассмотрения рисков в ИТ-отрасли сначала необходимо ограничить ту область, в рамках которой применимы наши исследования. Под информационными рисками (далее, в свете специфики излагаемого материала ограничимся аббревиатурой IT-риски) мы будем понимать риски, связанные с применением информационных систем и технологий, которые являются катализатором, определяющим развитие и поддержание необходимого уровня качества у субъектов, использующих их. Таким образом, под информационным риском понимается очень широкий спектр следствий, проявление которых возможно из-за возникновения внезапных результатов в деятельности, которая:

  • Подвержена влиянию множества низкорегламентированных, «непрозрачных» факторов как внешней, так и внутренней среды по отношению к выполняемой деятельности;
  • Выполняется с учетом недостаточно проведенного предварительного анализа, который должен был выявить и «обнажить» возможные «рисковые» ситуации;
  • Является нестабильно, динамично развивающейся по своей сути, требования, к регламентации которой, постоянно находятся в режиме неопределенности.

Актуальность деятельности по работе с рисками на сегодняшний день

На сегодняшний день информационные технологии предоставляют разнообразный инструментарий для поддержки и развития любого типа специальной деятельности, независимо от её специфики и других характеристик, будь это узконаправленный тип электронного бизнеса, сфера образования или общеиспользуемый вид хозяйственных услуг.

Высокие технологии позволяют повысить эффективность уже существующих процессов, стать фундаментом для создания новых, но при этом, при условии их неуправляемого использования, становятся источником возникновения колоссальных рисков, которые, в случае «наложения», могут быть источниками многих «эмерджентных» результатов. Общеизвестный факт, что к деятельности по работе с рисками, в большинстве стран, особо плачевное состояние в данном направлении наблюдается и в РФ, относятся, как к ненужной избыточности, которая в последнее направление стала «модным» направлением деятельности, которому необходимо «как бы» следовать в силу многих факторов. Но реалии современных условий таковы, что при сохраняющихся темпах развития современного мира (прогнозируется что эти темпы будут только расти) предусмотреть, выявить и зафиксировать полный спектр возможных проблем для ИС (наиболее динамично изменяющаяся отрасль) практически не возможно, в не зависимости от того, какой именно тип работ выполняется: внедрение новых программных продуктов и комплексов, поддержка и развитие уже существующих или вывод из эксплуатации устаревших с последующим процессом миграции критически значимой для конкретной организации информации. В таком окружении вид деятельности, который направлен на проактивную и превентивную активность в разрезе решения/недопущения/устранения и т.д. возникающих задач и проблем становится особо важным. Таким видом деятельности и является направление анализа и управления рисками, что подтверждается активным ростом базы стандартов и методик, в которых полностью или частично рассматривается работы с рисками. Для примера можно привести следующие методологии COBIT, PMBOK, BABOK, ISO/IEC 17799, ISO/IEC 27000, BS7799, NIST SP800-30 и т.д.

Деятельность по анализу и управлению рисками. Ситуация в РФ.

К сожалению, в нашей стране, на текущий момент времени, рассматриваемый вид деятельности не приобрел должного применения и выполняется только в крупных и иностранных организациях. Среди специалистов-практиков нет единого «пула» мнений, относительно вопросов управления рисками. Возможно, корни этого ошибочного отношения кроятся в нашей ментальности и общефилософском отношении к жизни и профессии. Довольно часто приходиться слышать споры, из контекста которых становится очевидно, что у многих специалистов нет четко сформированной методологической базы (путаются виды анализа оценки рисков и т.д.), что ставит под сомнение адекватность проводимых работ по управлению и анализа рисков.

По данным многих опросов, среди ИТ менеджеров, всего треть из них пытается использовать какой-то систематический подход. Остальные даже не пытаются что-то делать, проводя все оценки «на глазок», не понимая сути вопроса, считая это бессмысленным.

Общемировые тренды таковы, что те страны/организации, которые не будут иметь четко продуманного плана поведения в форс-мажорных ситуациях, обречены на то, чтобы принять на себе «катаклизмы» самых критичных сфер деятельности/процессов.

Место деятельности по управлению информационными рисками в области информационных технологий

Очевидно, что анализ и управление рисками в ближайшем будущем должны стать одной из основных видов деятельностей в сфере информационных технологий.

Процессный подход к деятельности, который является одним из основных факторов успешности, выполняемой деятельности подтверждает, что только постоянная работа над объектом рассмотрения позволит добиться качественных и стабильно высоких результатов.

Риски, как показано выше, это не сиюминутное явление. Риски были всегда, но, в силу множества причин, таких как распространенность и динамичность изменений, работа над ними это одно из основных условий стабильности различных видов информационных систем и программных продуктов. Комплексная система по работе с рисками, интегрированная в основную деятельность любой организации, позволит превентивно избежать многие проблемы.

Анализ и управления рисками - это не «удел» небольшого отдела или группы сотрудников большого предприятия. Важность и необходимость данной активность должен осознавать и участвовать в ней, каждый сотрудник любой организации.

Таким образом, место деятельности по управлению и анализу информационных рисков можно считать одним из видов второстепенных или вспомогательных бизнес процессов, которые, на прямую не формируют стоимость производимого продукта, но при этом обеспечивают основные функции и косвенно позволяют повысить стоимость производимого результата.

Краткие выводы

Данная статья была введением в изучаемый домен знаний. Были рассмотрены основные понятия, которые позволят спроектировать каждому изучающему свой фундамент в обучении, в зависимости от преследуемых целей и того результата, который каждый хочет достичь.

Была показана необходимость, к которой пришло современное общество, в области анализа и управления рисками, показана история развития данной дисциплины, начиная с 40-х годов девятнадцатого столетия, продемонстрирована сущность понятия риска и его применение к области информационных технологий. Далее мы поподробнее ознакомимся с необходимым аппаратом исследования, причинами, целями, задачами риск-менеджмента, рассмотрим типы рисков на основе введенной классификации.

Всего доброго и до встречи!

Авторы статьи

Иван Никитин

Михаил Цулая

Полезные материалы

Советуем прочитать


  • Подходы к проектированию и документированию архитектур программных продуктов
  • Архитектурное документирование. Что и Как? Начало
  • Еще немного о требованиях и соответствующих им архитектурных рисках
  • Инструментарий, используемый для моделирования архитектуры и функциональности программных продуктов
  • Роль стандартов в процессах разработки архитектуры программных продуктов
  • Внешние события, атрибуты, формирующие архитектуру программных продуктов и процесс её документирования Ч.1
  • Основные объекты и связи, представленные в виде компонентов архитектур программных продуктов
  • Основные характеристики и требования к современным архитектурам информационных приложений
  • Архитектурное проектирование программного обеспечения.Практики проектирования
  • Архитектурное проектирование программного обеспечения
  • Уровни «процессной» зрелости компании в контексте риск-менеджмента
  • Актуальность развития риск-менеджмента. Роль риск-менеджера
  • Методы управления рисками
  • Комплексная программа управления рисками (Часть 1)
  • Системный подход к процессу управления рисками
  • Количественный анализ рисков
  • Качественный анализ рисков
  • Настольный справочник аналитика
  • Виды анализа рисков
  • Настольный справочник аналитика (BABOK). Глава 2
  • Идентификация рисков
  • Деятельность по управлению рисками
  • Глава 1. Часть 2 Введение в дисциплину бизнес – анализа (BABOK)
  • Глава 1. Часть 1 Введение в дисциплину бизнес – анализа (BABOK)
  • Раздел 2.3 Технологии изобретательства (продолжение, серия статей о ТРИЗ)
  • Часть 2. Таинство изобретения и его плоды (Серия статей о ТРИЗ)
  • О важности применения шаблонов в профессии аналитика
  • Системы Электронного Документооборота
  • Часть 1. О методе обучения и самообучения ТРИЗ
  • Алгоритмизация творчества
  • Настольный справочник аналитика
  • Пути развития ИС
  • «Коробочка» Пандоры
  • Cамомотивация и закрытие рабочих/проектных этапов
  • Внедрение ИС
  • Внедрение ИС
  • Cорсинг