Главная картинка статьи №17

Деятельность по управлению рисками

Нее, ну сейчас то ТОЧНО все будет хорошо...

Доброго вечера (Миш, что?! Уже светает…), ну или какое там время суток, Уважаемые коллеги!

Не так давно, нами была начата еще одна серия статей. В неё, под наш неусыпный взгляд попала, деятельность по управлению и анализ рисков, которую мы используем в своей профессиональной деятельности. За прошедшее, с нашего последнего рандеву времени, мы успели подготовить следующую статью.

Продолжение следует, прямо сейчас…
Сегодня мы поговорим о деятельности по управлению рисками.

Введение

Деятельность по управлению рисками, как каждая комплексная деятельность - это сложный итерационный процесс, который имеет свои стадии, цели и задачи. Любая стадия имеет свое назначение, «берет»/«получает» на вход своей деятельности данные, определенные «преддеятельностью» и на выходе формирует конечный/промежуточный результат.

Риск-менеджмент можно верхнеуровневого определить следующей последовательностью этапов:

  1. Идентификация риска;
  2. Оценка вероятности его наступления и масштаба последствий, которые могут возникнуть;
  3. Предварительный анализ и определение максимально-возможных убытков;
  4. Выбор методов и инструментов управления выявленным риском;
  5. Разработка риск-стратегии для снижения вероятности реализации риска и минимизации возможных негативных последствий;
  6. Реализация риск-стратегии;
  7. Оценка достигнутых результатов и корректировка риск-стратегии;
  8. Мониторинг проблемных областей.

Отраженная последовательность этапов является всего лишь отдаленным представлением рассматриваемой активности, и будет в дальнейшем детализирована и экспертно расширенна. К примеру, представленная в данном плане «риск-стратегия» - это всего лишь набор определенных взаимосвязанных процессов и документов, которые отражают суть всех или некоторых этапов риск-менеджмента.

Управление рисками, как было сказано в первой статье, это довольно молодая отрасль деятельности, в актуальном понимании её целей и задач. Она изучает степень влияния на различные сферы, процессы и т.д., как основные, так и косвенные/смежные, определенных событий, которые влекут за собой наступление различных видов ущерба или прибыли, и то, как ей можно управлять или, в крайнем случае, направлять или контролировать.

Управление и анализ рисков – это отдельная область, имеющая четко определенное отношение к ИТ. Но при этом, данное направление работ было бы некорректно называть наукой, а вполне правильно говорить о методологии, которая обладает собственным понятийным аппаратом, классификацией, видами анализа и т.д.

С представленной точки зрения, основной отличительной чертой данной методологии является терминология. Она представляет собой смесь между такими активностями, как информационные технологии, техника, инженерия, теория машин и механизмов, страховое дело и биржевое дело и т.п. Существование подобной «химеры» сложилось исторически, в соответствии с развитием риск-менеджмента и требует от специалиста, приобщенной к данной профессиональной области, широкого кругозора и разностороннего понимания не только «примерной» сути предмета, но и его деталей, а иначе профессионал рискует остаться за бортом понимания происходящего, что нивелирует его участие в данном процессе.

За каждым термином, которые будут приведены далее в этой статье, скрывается определенный смысл и история развития исходный причин и следствий, которые приобрели своё право на существование благодаря тому, что их важность и постоянная актуальность была подтверждена временем и обоснованностью получаемых результатов, таких как успех или ущерб.

Таким образом, чтобы грамотно управлять и направлять развитие рисков, ведь результатом риска может быть не только урон, но и эффективный результат, необходимо подробнейшим образом разбираться в их категориях, классификациях и типах. Уникальность каждого риска состоит в том, что причины их порождающие, зависят от таких факторов, как тип активности, в которой они проявляются, окружение процесса или события, вид технологии и т.д.

Несмотря на то, что нами было объявлено, что управление и анализ рисков это скорее методология, чем отдельное научное направление в области информационных технологий, важность восприятия и понимания фундаментальных основ, которые имеют свое непосредственное отношение к, казалось бы, совсем не ИТ дисциплинам, это одно из составляющих успеха в овладении и применении знаний по риск-менеджменту в практической деятельности.

Определение основных понятий

Для того, чтобы говорить с Вами, уважаемые коллеги, на одном языке (ведь мы уже поняли насколько это важно), языке рисковой деятельности, необходимо сразу договориться о тех терминах, которые необходимо знать, для успешного освоения и применении на практики знаний риск-менеджмента.

С одной стороны, в силу специфики изучаемого предмета, рано говорить об устоявшейся терминологии в управлении рисками, применительно к информационным технологиям. Безусловно, данная объективная ситуация связана с разнообразием видов риска, которые являются объектом рассмотрения нашей дисциплины. Но нам необходимо очертить рамки наших исследований, а иначе мы с Вами рискуем (да, да, именно так : )) думать о разных вещах.

Определения риска было дано нами в первой статье, здесь же, для формирования полной картины изучаемого предмета, и всестороннего взгляда на довольно сложное понятие, мы приведем его еще раз:

Риск – это потенциальная возможность наступления вероятного события/явления или их совокупности, которые могут вызывать определенную величину влияния на осуществляемую деятельность.

Учитывая комплексность и многообразие дисциплин, которые «наполняют» риск-менеджмент, целесообразно привести альтернативное понятие риска, приведенное в одном из финансово-инвестиционных учебников:

Риск-событие или группа родственных случайных событий, наносящих ущерб объекту, обладающим данным риском.

Приведенное «финансовое» определение риска обязывает нас расшифровать понятия, которые входят в него:

  • Случайность (многие люди ассоциируют понятие случайности и непредсказуемости, что является не совсем верным) наступления события означает невозможность определить время и место его возникновения.
  • Объект – материальный объект или интерес, свойство объекта.
  • Ущерб – ухудшение или потеря свойств объекта.
  • Вероятность события – это признак события, означающий возможность рассчитать частоту наступления события при наличии достаточного количества статистических данных.

Таким образом, риск, как самостоятельное событие, или часть более крупного события обладает двумя наиболее важными, с точки зрения управления рисками свойствами – вероятностью и ущербом.

Каждое событие порождается определенной причиной или набором причин. Такие причины принято называть инцидентами. Цепочка последовательных этапов, которые приводят от первоначального инцидента, к конечному событию – это сценарий развития. Зная те вероятности, которые привели к возникновению инцидентов, можно установить последовательность промежуточных шагов и рассчитать вероятности реализации сценария. Определяющим фактором освоения риск – менеджмента в информационных технологиях является способность одновременно анализировать, учитывать и синтезировать при рассмотрении конкретной ситуации или сценария три следующих домена:

  • Домен риска
  • Домен менеджмента
  • Домен информационных технологий

Именно способность одновременно взаимосвязывать эти, казалось бы, абсолютно разные по своей природе предметы гуманитарного и технического характера способствует успеху в освоении и практическом применении области управления анализа рисков. Способность понимать и распознавать инциденты, относящиеся к различным «природам» возникновения и навык построения сценариев, различные стадий и шаги которых относятся к разным доменам, это важная характеристика высококлассного специалиста в риск-менеджменте.

Управление рисками на примере современных методик

На сегодняшний день многие популярные и основополагающие ИТ методологии из таких направлений как управление проектами (PMBOK), аналитика (BABOK), ИТ-аудит (COBIT), сервисная деятельность (ITIL), разработка программного обеспечения (MOF) и т.д., пытаются предоставить инструмент, который смог бы предложить эффективный алгоритм управления и анализа рисков. Таким «инструментарием» различных направлений деятельности домена информационных технологий являются следующие методы: CORAS, OCTAVE, CRAMM, MOF risk management, Risk it и т.д. Представленные процессы являются основными по востребованности и использованию, поэтому мы рассмотрим их все и попробуем разобраться в специфики каждого.

Краткий обзор методологий управления ИТ-рисками:

CORAS

Была разработана в рамках западной программы «Технологии информационного общества». Цель данной методологии состоит в адаптации, уточнении и комбинировании таких основных методов проведения анализа рисков, как Event-Tree-Analysis, цепи Маркова, HazOp и FMECA.

CORAS использует технологию UML и базируется на австралийском/новозеландском стандарте AS/NZS 4360: 1999 Risk Management и ISO/IEC 17799-1: 2000 Code of Practiсe for Information Security Management.

В CORAS информационные системы рассматриваются не только с точки зрения используемых технологий, а с нескольких сторон, точнее как сложный комплекс, в котором учтен и человеческий фактор. Правила данной методологии реализованы в виде Windows- и Java-приложений.

OCTAVE

Методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) была разработана в Институте программной инженерии при Университете Карнеги—Меллона (альма-матер многих современных ИТ-методологий и направления програмной инженерии) и предусматривает активное вовлечение владельцев информации в процесс определения критичных информационных активов и ассоциированных с ними рисков.

Ключевые элементы OCTAVE:

  • идентификация информационных активов подверженных риску и ущербу;
  • идентификация угроз для критичных информационных активов;
  • определение уязвимостей, ассоциированных с критичными информационными активами;
  • оценка рисков, связанных с критичными информационными активами.

OCTAVE предусматривает высокую степень гибкости, достигаемую путем выбора критериев, которые предприятие может использовать при адаптации методологии под собственные нужды. Методология разработана для применения в крупных компаниях, а ее растущая популярность привела к созданию версии OCTAVE-S для небольших предприятий.

OCTAVE не дает количественной оценки рисков, однако качественная оценка может быть использована в определении количественной шкалы их ранжирования. В оценку могут включаться различные области рисков, которые, за исключением технических рисков и рисков нарушения законодательства, напрямую не включены в методологию. Таковые учитываются косвенно, в ходе проведения интервью с владельцами информационных активов, во время которых выясняется, какие последствия могут наступить в случае реализации угроз.

CRAMM

Методология CRAMM (CCTA Risk Analysis and Management Method) разработана британским Центральным компьютерным и телекоммуникационным агентством в 1985 году и применяется как для крупных, так и для небольших организаций правительственного и коммерческого сектора. CRAMM предполагает использование технологий оценки угроз и уязвимостей по косвенным факторам с возможностью проверки результатов. В нее заложен механизм моделирования информационных систем с позиции безопасности с помощью обширной базы данных по превентивным мерам, позволяющим снизить/устранить воздействие рискам. CRAMM нацелен на детальную оценку рисков и эффективности предполагаемых к использованию комбинаций различных контрмер.

Модель управления рисками стандарта MOF (MOF Risk Model)

Эта методология заслуживает отдельного упоминания. Мы посвятим ей чуть больше материала и Вашего времени.

Она является самой распространенной на данный момент времени и определяет основные этапы управления рисками, которым в дальнейшем будет посвящена отдельная статья (мы на это очень рассчитываем), но которые мы упомянем и здесь:

  • Идентификация рисков - определение причин риска, условий его возникновения, последствий;
  • Анализ рисков - оценка вероятности возникновения риска и ущерба для информационной системы и бизнеса;
  • Планирование мероприятий - определение мероприятий, позволяющих полностью избежать риска или уменьшить его влияние. Также тут разрабатывается план действий в случае возникновения риска;
  • Отслеживание риска - сбор информации об изменениях, с течением определенного промежутка времени, различных элементов риска. В случае, если риск считается с некоторого времени незначимым, его необходимо исключить из списка рисков. Если влияние риска изменилось, следует перейти к этапу анализа для переоценки этого влияния
  • Контроль (Control) - выполнение запланированных действий в качестве реакции на возникновение рискового события.

Если рассмотреть модель управления рисками в отрыве от стандартов, где она используется (ITIL, MOF, и т.д.), то можно увидеть относительно неглубокое, но фундаментальное представление модели управления рисками. Например, такая методика как CRAMM, содержит более подробные указания по механизмам оценки рисков, а BASEL II (упомянутая в первой статье) – подробнее описывает вопросы организации системы управления рисками в компании.

COBIT 5 for Risk (RiskIT)

Этот стандарт рассматривает подход к управлению рисками с двух аспектов: risk function и risk management.

В первом случае говорится о том, что нужно иметь в организации, чтобы построить и поддерживать систему управления рисками. Во втором мы рассматриваем ключевые процессы руководства и управления для оптимизации рисков и регулярные процедуры для идентификации, анализа, реагирования и отчетности по рискам.

Как Вам уже стало понятно, в ИТ области нет единого и централизованного взгляда на управление рисками. Множественность стандартов и методик вызвана, прежде всего, спецификой анализа и управления рисками в применении, к определенным отраслям и ресурсам, которые могут быть затрачены на их воплощение в жизнь. Но каждая из описанных методик имеет право «быть» только по тому, что они доказали свою состоятельность не только в качестве «книжных» значений, но и как конкретный и эффективный инструмент деятельности. Все из вышеприведенных методик решают, по сути, однотипные проблемы, вызванные похожими причинами и направленные на то, чтобы минимизировать ущерб от наступления риска или устранить его в принципе, но «заточены» по разные виды организаций и процессы, в которых планируется устранять или минимизировать риски. Из изложенных методов наиболее универсальным, без сомнения является MOF, которые с той или иной степенью адаптации может быть использован в любом типе активности, а вот остальные являются, по большей части, специализированными инструментами, требующими разного степени внимания и разных ресурсов. При желании, каждый из Вас может в «глобальной паутине» найти более подробную информацию об изложенных методах.

Актуальность деятельности по работе с рисками на сегодняшний день

На сегодняшний день информационные технологии предоставляют разнообразный инструментарий для поддержки и развития любого типа специальной деятельности, независимо от её специфики и других характеристик, будь это узконаправленный тип электронного бизнеса, сфера образования или общеиспользуемый вид хозяйственных услуг.

Высокие технологии позволяют повысить эффективность уже существующих процессов, стать фундаментом для создания новых, но при этом, при условии их неуправляемого использования, становятся источником возникновения колоссальных рисков, которые, в случае «наложения», могут быть источниками многих «эмерджентных» результатов. Общеизвестный факт, что к деятельности по работе с рисками, в большинстве стран, особо плачевное состояние в данном направлении наблюдается и в РФ, относятся, как к ненужной избыточности, которая в последнее направление стала «модным» направлением деятельности, которому необходимо «как бы» следовать в силу многих факторов. Но реалии современных условий таковы, что при сохраняющихся темпах развития современного мира (прогнозируется что эти темпы будут только расти) предусмотреть, выявить и зафиксировать полный спектр возможных проблем для ИС (наиболее динамично изменяющаяся отрасль) практически не возможно, в не зависимости от того, какой именно тип работ выполняется: внедрение новых программных продуктов и комплексов, поддержка и развитие уже существующих или вывод из эксплуатации устаревших с последующим процессом миграции критически значимой для конкретной организации информации. В таком окружении вид деятельности, который направлен на проактивную и превентивную активность в разрезе решения/недопущения/устранения и т.д. возникающих задач и проблем становится особо важным. Таким видом деятельности и является направление анализа и управления рисками, что подтверждается активным ростом базы стандартов и методик, в которых полностью или частично рассматривается работы с рисками. Для примера можно привести следующие методологии COBIT, PMBOK, BABOK, ISO/IEC 17799, ISO/IEC 27000, BS7799, NIST SP800-30 и т.д.

Общие причины рисков

В основе любой конструктивной деятельности заключено ясное понимание целей, задач и ресурсов, которые необходимы для достижения конечного результата.

Чем более определенными и однозначными являются эти факторы, тем ниже степень неопределенности, которая потенциально может повлиять на достижимость поставленной цели. На основе этого абсолютно очевидно, что главной причиной любого риска является степень неопределенности, которая заложена в тех постулатах, которые являются рамками процесса или проекта, инициирующими рассматриваемую нами активность. То, насколько очевидными являются наши проблемы и те ресурсы, которые выделены для их решения, определяет рискованность нашей деятельности. Неопределенные задачи, априори, обречены на то, что возможность составления и реализации жизнеспособного плана по их разрешению является «тычком» пальцем в «никуда».

Более высокая неопределенность условий как внешней, так и внутренней среды приводит к тому, что ресурсы, выделяемые на преодоление этих условий, должны быть как можно более качественные. Многие негативные факторы и причины можно предвидеть и «искоренять» основываясь только на опыте специалистов, имеющих высокие навыки по работе с рисками, но это вряд ли можно считать прогнозируемым фактором, который нужно использовать при построении системы риск-менеджмента. Проблема «ограниченности» ресурсов – это проблема, которая приводит к возникновению дефицита продуктивности.

При реализации проектов, которые имеют высокую степень неопределенности, необходимо уделять повышенное внимание общеиспользуемой системе анализа и управления рисками. Такая система должна учитывать специфику, как деятельности, в которой происходят процессы, связанные с рисками, так и организационную составляющую проекта и организации, в которой он выполняется.

Организационная составляющая и внимание, которое уделяется работе с рисками это отдельная тема и направление деятельности, которому, к сожалению, в России отводится мизерные затраты. Примером этому может являться то, что во многих руководящих документах не рассматриваются аспект рисков в принципе, их допустимый уровень и ответственность за принятие определенного уровня рисков.

В развитых странах это не так. К примеру, в американском глоссарии по безопасности можно найти термин Designated Approving Authority –это лицо, уполномоченное принять решение о допустимости определенного уровня рисков, что свидетельствует о качественно ином отношении к анализу и управлению рисками, к которому в нашей стране, конечно со временем придут, но затратив для этого множество бесполезных ресурсов.

Вовлеченность всех работниках на всех уровнях структурной иерархии любого предприятия в деятельность по анализу рисков и более пристальное отношение со стороны руководства, смогли бы коренным образом изменить, годами складывающиеся, пессимистичные тенденции в данной области и тем самым вывести основные процессы ИТ отрасли на качественно иной уровень.

Ясное понимание целей и задач осуществляемой деятельности помогают выявлять и минимизировать подавляющее число причин, которые приводят к возникновению рисков.

Цели и задачи управления рисками

В основе деятельности по анализу и управлению рисками должно находиться явное, определенное и однозначное видение того, зачем необходимо данному, конкретному субъекту анализировать риски и управлять ими. Без четко намеченного плана (в идеальной ситуации, появившегося из стратегии развития) оценить и правильно идентифицировать информационные риски очень сложно, а порой даже невозможно. Успешность этих деятельностей будет зависеть только от квалификации обслуживающего их персонала, которая обсуждалась чуть ранее. Необходимо отметить отсутствие единого взгляда и стандарта/порядка/регламента, который смог бы описать и предложить путь решения всех явных и потенциальных проблем.

Каждая ситуация, каждый процесс состоит из множества элементарных объектов. Эти составляющие необходимо подвергнуть процедуре анализа. Подробность рассмотрения конкретной частицы зависит от величины вклада рассматриваемого объекта в результат деятельности.

Чем более сложные и многогранные процессы мы рассматриваем, тем более важным является детальная предварительная проработка сферы деятельности, методологии, в которой может возникнуть риск и применение лучших практик и методов, признанных и апробированных ранее в работе над ними.

Понимание целей помогает осознанно контролировать все рассматриваемые процессы, понимая заданный тренд и допустимые отклонения в его «пути».

Основная цель в активности анализа рисков – это предоставление наиболее полной и достаточной информации для адекватного управления рисками.

Под управлением более правильно понимать не «управление», как конкретную функцию менеджмента, но как саму дисциплину «менеджмент», которая заключает в себе 5 процессов:

  • Управление
  • Инициирование
  • Планирование
  • Выполнение
  • Мониторинг и контроль

Процесс совершенствования, который получает в последнее время наиболее бурное развитие благодаря распространению процессного подхода к организации деятельности, рассматривать здесь не вполне корректно. Причина этого в том, что рисковая составляющая должна «гаситься» со временем проведения процессов анализа и управления.

Активность анализа подразумевает под собой выполнение части активности совершенствования за счет того, что своевременно выстроенная система метрик основных «ущербных» составляющих процесса или проекта на этапе мониторинга и контроля, позволит существенно сократить затраты на эту составляющую и направить их в более конструктивное русло.

Итогом стадии анализа является исчерпывающие количественные и качественные данные, поступающие на «вход» стадии управления. Результатом этой стадии является без рисковый или «подконтрольнорисковый» результат.

Воплотить на практике вышеприденные тезисы будет возможно в том случае, когда каждый субъект, задействованные и взаимодействующий с объектом, подверженному риску, осознает важность и необходимость своей вовлеченности в работу с рисками, появление которых, пусть даже гипотетически, возможно.

Понимание и участие в управлении анализа рисками и своевременная эскалация возникающих проблем и задач, на всех иерархических ступенях любой организации, позволит добиваться поставленных целей.

После того, как цели и задачи установлены, приняты и однозначно понимаются всеми участниками, следующей ступенью при работе с рисками является их идентификация (в планах следующая статья будет посвящена именно идентификации рисков). Базисом процесса идентификации является категорийная база, которая является инструментом для отнесения риска к той или иному классу или группе категорий рисков. «Помещение» риска в правильную категорию является залогом того, что в дальнейшем, работа по обработке доступной информации о нем и выработка дальнейшего алгоритма работы над ним, позволит устранить или уменьшить величину ущерба от его появления.

Классификация и категории рисков

На текущий момент развития области рисков в информационных технологиях уместно говорить о множественной типизации рисков. Отрасли информационных технологий присущ набор рисков, который наиболее характерен для рисков, связанных с высокотехнологичной и комплексной деятельностью, включающей в себя различные виды процессов. Набор рисков, характерный для определенного вида деятельности, называется комплексом рисков.

Когда речь заходит о комплексе, то, если использовать техническую терминологию, можно констатировать, что комплекс рисков является «взаимно пересекающим множеством» между всеми существующими комплексами рисков. Несмотря на рекурсивность получающегося определения, оно наиболее четко выражает сущность понятия комплекс рисков.

Комплексы рисков являются характерной составляющей для промышленности, финансовой и инвестиционных областей, коммерции, сферы кредитования и, конечно же, области информационных технологий. Таким образом, чем более сложный и комплексный вид деятельности, находящийся на «стыке» различных практических и теоретических областей, мы рассматриваем, тем более сложными и многогранными будут риски.

Информационные риски, возникающие в процессах и проектах, отличаются между собой по месту и времени возникновения, совокупности внешних и внутренних факторов, влияющих на их уровень и, следовательно, на способ их анализа и методы первичного и последующих описаний.

Как правило, все виды рисков взаимосвязаны и эмерджентны, поэтому оказывают влияния на осуществляемую деятельность не только сами по себе, а и в совокупности.

Изменение одного вида риска может вызывать изменение большинства остальных, находящихся в определенном комплексе. Классификация рисков означает систематизацию множества рисков на основании каких-то признаков и критериев, позволяющих объединить подмножества рисков в более общие понятия.

Наиболее важными элементами, положенными в основу классификации рисков, являются:

  • время возникновения;
  • характер;
  • факторы возникновения;
  • последствия;
  • и др.

По времени возникновения риски распределяются на ретроспективные (прошлые), текущие и перспективные (будущие) риски.

Анализ ретроспективных рисков, их характера и способов снижения дает возможности более точно прогнозировать текущие и перспективные риски, предсказывать возможную природу их появления и, соответственно, управлять ей.

По характеру риски делятся на:

  • Внешние риски. К ним относятся риски, непосредственно не связанные с деятельностью предприятия или взаимодействующим с ним окружением (деятельность поставщиков, смежных компаний, внешних разработчиков, аутсорсинговые и консалтинговые компании, партнеры и т.д.).
  • Внутренние риски. К ним относятся риски, обусловленные деятельностью самого предприятия и составляющей его аудитории (риски связанные с квалификацией персонала, ИТ инфраструктурой, используемых технологий и т.д.).
  • Организационные риски (ОР). ОР - это риски, связанные с ошибками менеджмента компании, ее сотрудников; проблемами системы внутреннего контроля, плохо разработанными правилами работ, то есть риски, связанные с внутренней организацией работы компании.
  • Процессные риски (ПР).. ПР – это под раздел организационных рисков. Данный тип рисков характерен для отдельных видов процессов. Они связаны, как с выполнением отдельного процесса, так и с процессами, деятельность которых взаимосвязана функциями, которые они осуществляют (кросс-процессы).
  • Проектные риски (ПРР). ПРР – это риски, характеризующие степень опасности для успешного осуществления проекта в целом или его отдельных этапов.
  • Операционные риски (ОПР).. ОПР – это риски, связанные с выполнением организацией определенных бизнес-операций.

Сложно не заметить, что классификация по фактору возникновения представляет собой «матрешку». Вложенность факторов соответствует распределению пунктов в процессной модели любой компании, при этом, каждый из рассмотренных групп рисков имеет «внутренние» классификации, которые могут быть декомпозированы и расширены до уровня, необходимого для отслеживания и контроля за определенным видом риска.

По последствиям риски подразделяются на:

  • Чистые риски (иногда их еще называют простые или статические) характеризуются тем, что они практически всегда несут в себе потери для предпринимательской деятельности. Причинами чистых рисков могут быть стихийные бедствия, войны, несчастные случаи, преступные действия, недееспособности организации и др.
  • Спекулятивные риски (иногда их еще называют динамическими или коммерческими) характеризуются тем, что могут нести в себе как потери, так и дополнительную прибыль для предпринимателя по отношению к ожидаемому результату. Причинами спекулятивных рисков могут быть изменение конъюнктуры рынка, изменение курсов валют, изменение налогового законодательства и т.д.

Говоря о последствиях возникновения рисков, нужно выделить отдельную классификацию по степени последствий возникновения рисков. Эта «подклассификация» является очень важной для принятия решений по осуществимости той или иной деятельности, связанной с рисками:

  • Допустимый риск. Это риск решения, в результате неосуществления которого возможно «недостижение» поставленной цели деятельности. В пределах этой зоны деятельность сохраняет свою экономическую целесообразность, т.е. потери имеют место, но они не превышают размер ожидаемой ценности.
  • Критический риск. Это риск, при котором возможна потеря всей или части ценности результата; т.е. зона критического риска характеризуется опасностью потерь, которые заведомо превышают возможный результат и, в крайнем случае, могут привести к потере всех средств, вложенных в проект.
  • Катастрофический риск. Это риск, при котором возникает полная потеря ценности и возможно, что субъект риска понесет дополнительные затраты. Также к этой группе относят любой риск, связанный с прямой опасностью для жизни или дальнейшей деятельности людей.

Успех при отнесении риска к тому или иному пункту данной классификации, напрямую зависит от многих факторов, для полноты взглядов можно выделить 2 из них:

  • Количественная степень изученности и определенности конкретного вида рисков
  • Квалификация, навык, опыт, «предвидение» риск-менеджера, принимающего решение по осуществлению деятельности, подверженной рискам.

Если, речь идет только о втором факторе, то, как отмечалось ранее, сложно говорить о том, что на предприятии выстроена качественная система по работе с рисками.

Успешность деятельности такой организации зависит только от конкретных специалистов, которые представляют собой «организацию в организации». Как правило, при уходе подобных специалистов, риск-менеджмент предприятия подвергается полному краху. Без четко выстроенной системы, в основу которой положена процессная модель с постоянным измерением результата деятельности, по заданным метрикам успешности, в современном мире высоких технологий, результат будет достичь довольно сложно. Но об этом чуть позже, в специально отведенной для этого статье.

Подводя итоги темы классификации рисков, надо упомянуть о том, что приведенные здесь классификация не претендует на полноту и достаточность. В любой активности, возможно появление рисков, которые несут на себе отпечаток и результаты специфичной деятельности конкретного предприятия. Проявление в них рисков, возможно и уникальны, единичны или присутствуют в групповых случаях, зависящих от конкретного окружения и четко определенных параметров деятельности, отдельно взятой организации. Такие риски должны быть рассмотрены отдельно, в соответствии с системой по анализу и управлению рисками, спроектированной под нужды данного конкретного предприятия.

Перед тем, как осуществлять классификацию рисков, необходимо правильно выявить оценить и понять предпосылки, которые могут привести к появлению или проявлению риска. Стадия анализа рисков, которая позволяет провести подобную активность – это идентификация риска. От того, насколько правильно и дальновидно проведена идентификация риска зависит верность выбранного метода по работе и минимизации дальнейшего возможного или явного ущерба.

Выводы

Мы завершили краткое саммэри в направление по анализу и управлению рисков, кратко очертив границы данной деятельности. Здесь мы постарались конспективно ознакомить коллег с многообразием видов, типов и составленной на их основе классификации рисков, возникновению которых, в сущности, как было нами показано, способствует, в большинстве случаев, неопределенность начальных условий или ресурсов.

В дальнейшем мы приступим к подробному рассмотрению предваряющей стадии анализа рисков – процессу их идентификации и связанных с ним методов и методологий.

Желаем коллегам совершенствования в работе с/над ИТ- рисками.

Всего доброго и до встречи!

Авторы статьи

Иван Никитин

Михаил Цулая

Полезные материалы

Советуем прочитать


  • Подходы к проектированию и документированию архитектур программных продуктов
  • Архитектурное документирование. Что и Как? Начало
  • Еще немного о требованиях и соответствующих им архитектурных рисках
  • Инструментарий, используемый для моделирования архитектуры и функциональности программных продуктов
  • Роль стандартов в процессах разработки архитектуры программных продуктов
  • Внешние события, атрибуты, формирующие архитектуру программных продуктов и процесс её документирования Ч.1
  • Основные объекты и связи, представленные в виде компонентов архитектур программных продуктов
  • Основные характеристики и требования к современным архитектурам информационных приложений
  • Архитектурное проектирование программного обеспечения.Практики проектирования
  • Архитектурное проектирование программного обеспечения
  • Уровни «процессной» зрелости компании в контексте риск-менеджмента
  • Актуальность развития риск-менеджмента. Роль риск-менеджера
  • Методы управления рисками
  • Комплексная программа управления рисками (Часть 1)
  • Системный подход к процессу управления рисками
  • Количественный анализ рисков
  • Качественный анализ рисков
  • Настольный справочник аналитика
  • Виды анализа рисков
  • Настольный справочник аналитика (BABOK). Глава 2
  • Часть 2. Таинство изобретения и его плоды. Раздел 2.4
  • Идентификация рисков
  • Немного о процессах анализа и управления рисками
  • Глава 1. Часть 2 Введение в дисциплину бизнес – анализа (BABOK)
  • Глава 1. Часть 1 Введение в дисциплину бизнес – анализа (BABOK)
  • Раздел 2.3 Технологии изобретательства (продолжение, серия статей о ТРИЗ)
  • Часть 2. Таинство изобретения и его плоды (Серия статей о ТРИЗ)
  • О важности применения шаблонов в профессии аналитика
  • Системы Электронного Документооборота
  • Часть 1. О методе обучения и самообучения ТРИЗ
  • Алгоритмизация творчества
  • Настольный справочник аналитика
  • Пути развития ИС
  • «Коробочка» Пандоры
  • Cамомотивация и закрытие рабочих/проектных этапов
  • Внедрение ИС
  • Внедрение ИС
  • Cорсинг