Главная картинка статьи №23

Качественный анализ рисков

- Видишь риск?
- Нет...
- И я не вижу. А он есть!

День бодрый, Уважаемые коллеги!

В предыдущий раз мы остановились на том, что начали рассматривать анализы рисков.

Сейчас мы более подробно обсудим качественную составляющую процесса анализа – качественный анализ рисков.

Это тема станет актуальной для тех собратьев, кто уже столкнулся с практикой отечественных предприятий (а вернее её отсутствием), которая демонстрирует, что только относительно небольшая часть из них выполняют анализ и последующее обоснование того, как управлять риском в процессе внедрения новых проектов или сопровождения текущей деятельности.

Введение

Качественный анализ рисков представляет собой процесс, направленный на выявление конкретных рисков деятельности/процесса/проекта, а так же порождающих их причин, с последующей оценкой возможных последствий и выработку мероприятий по работе с рисками. В процессе КАР происходит выработка метрик, отвечающих за определение граничных показателей факторов, символизирующих о проявление риска/ов.

Преимущество качественного анализа состоит в том, что он позволяет быстро и относительно «дешево» (с минимальными затратами ресурсов) определить максимально возможное количество факторов и областей, в которых возможно явное или неявное проявление рисков.

Отличие качественного и количественного видов анализа рисков состоит в том, что в процессе качественного анализа выявляются все возможные риски, влияние которых может повлиять на цели деятельности, (так сказать очерчиваются рамки работы по работе с рисками). В процесс количественного анализа разрабатываются количественные оценки возможности осуществления рисков. Так же в процессе количественного анализа происходит сравнение и более качественная приоритезация и переопритезация рисков.

Можно сказать, что качественный и количественный анализы рисков это последовательно идущие стадии одного процесса по работе с рисками. В этом процессе, качественный анализ является необходимой базой, без которой дальнейшая работа с рисками не представляется возможным.

Таким образом, присутствие качественного анализа рисков, как активности, при условии уже существующих процессов идентификации рисков, позволяет говорить о стадии «рождении» системы по работе с рисками, которая будет рассмотрена нами позже.

Количественный анализ, это следующий этап, выполняемый после качественного анализа, который более затратен и целесообразен к применению только в тех организациях, где работе с рисками уделяется особое внимание, в силу специфики их активностей и состоянии на рынке ИТ.

Если организация/компания/фирма/структурное подразделение претендует на лидирующие позиции в том окружении, где оно осуществляет свою активность, то без процессов качественного анализа рисков этих «высот» не достигнешь.

Пытливый коллега, наверное, уже отметил для себя повторяемость и закономерность многих структур работ, которые излагаются нами на протяжении этого курса. Тут стоит сказать о том, что деятельность по анализу рисков хоть и является довольно инновационной для нашей сферы, но, при этом, как любая качественная профессиональная деятельность, цель которой это достижение определенных результатов, должна подчиняться определенным законам. Одним из таких законов является последовательность проводимых этапов работ. В сравнении можно привести последовательность работ, выполняемых при разработке программного обеспечения (Жизненный цикл ПО в соответствии с ГОСТ 12207) и многие другие профессиональные ИТ стандарты, методики и методологии, доказавшие свое право на успешность. В дальнейшем мы рассмотрим подобную структуру работ.

Фазы анализа

Структура работ по качественному анализу рисков, заключается в подробном рассмотрении данных, полученных в ходе активности идентификации рисков, детализации деятельности, связанной с самим доменом анализа рисков, документированием полученной информации и выработанных результатов, а так же планированием дальнейшего пути работы над рисками. План работ можно представить следующим образом:

  1. Идентификация рисков;
  2. Обработка полученной информации;
  3. Анализ входных данных определенным инструментом/инструментами;
  4. Получение результатов;
  5. Документирование результатов и их последующая приоритезация;
  6. Составление плана реагирования на риски;
  7. Совершенствование созданного плана и выполняемых процессов.

Набор процессов, отраженных выше, является необходимым минимумом в активности по качественному анализу рисков. Их использование послужит упорядоченным осмыслением и переосмыслением приобретенных ранее знаний и навыков (или заложит их основу).

Предлагаемая нами последовательность работ хорошо зарекомендовала себя ранее и, по сути, является примером «best practice», применяемой при активности качественного анализа рисков.

Рассмотрение КАР, мы начнем с фазы идентификации, основополагающей, как было показано ранее, для всех видов процессов анализа.

Идентификация

Рассматривая активность идентификации причин, для качественного анализа рисков, мы сосредоточимся на моментах, понимание и использование которых позволит ориентироваться в сути процессах качественного анализа рисков.

Стартом для процесса идентификации рисков КАР может являться:

  • Информация, приведенная в реестре рисков или в ином документе, аналогичного содержания:
    • Данная активность «стартует» в том случае, если в организации отлажен процесс работы с рисками, как часть операционно-процессной деятельности компании и все возможные риски должны быть учтены, а работа с ними включена в соответствующие директивные документы
  • Проявление конкретных рисков в деятельности компании;

В процессе идентификации рисков используются те же инструменты, которые были описаны нами ранее.

Результатом процесса идентификации должны стать:

  • Все явные и потенциальные риски;
  • Желательные (способные уменьшить или убрать) и не желательные (способные увеличить степень проявления) условия;
  • Триггеры/ признаки рисков (метрики рисков).

Идентификация рисков выполняется сотрудниками, для которых данная активность является частью их рабочих обязанностей, но, при этом, в данную работу должно быть вовлечено максимальное количество людей, для которых выполнение процессов подверженных рискам, это их основная обязанность. Дело в том, что в деятельности по выявлению и работе с рисками жизненноважны детали процессов, в которых возможно проявление рисков. Эти детали доступны только для экспертов конкретного домена, которыми риск-менеджеры, часто не являются, поэтому сплав профессиональных знаний определенных процессов и риск-менеджемента во многих случаях являются залогом успеха. Именно внимание к деталям отличает новичка/молодого специалиста от признанного профессионала.

Идентификация рисков - итеративный процесс, периодическое выполнение которого является условием построения системы по работе с рисками.

По причине того, что риски это понятие динамическое, то по мере развития проекта или процесса в рамках его жизненного цикла могут обнаруживаться новые риски, проявляться старые риски, при этом обладая более высоким потенциальным ущербом от их возможной реализации.

Частота итерации и состав участников выполнения каждого цикла в каждом случае должны быть разными (это желательное условие). В процессе идентификации должны принимать поочередное участие все задействованные в риск-менеджменте сотрудники. Это условие поможет выработать чувство "собственности" и ответственности за риски и за действия по реагированию на них.

Обработка «входных данных» для КАР

После того, как получен набор входных данных, который позволит говорить о возможных рисках, необходимо обработать и представить полученные данные таким образом, чтобы дальнейшая работа над ними позволила четко, однозначно, непротиворечиво трактовать тот или иной риск. Изложенные выше характеристики информации (ясность, однозначность, непротиворечивость) являются основными показателями объективной и эффективной информации на основе которой можно принимать успешные управленческие решения, от своевременности которых зависит развитие любого типа бизнеса.

Именно о того, насколько правильно выявлен риск, будет оптимально выбрано средство/метод/стратегия по его обработке.

Активность по обработке «входных» данных можно значительно облегчить и унифицировать, в случае её надлежащего шаблонизирования. При разработке специализированных шаблонов документов, таких, как:

  • Специально подготовленные опросные листы, учитывающие конкретную специфику деятельности;
  • Специально подготовленные интервью, учитывающие детали рабочих процессов;
  • Автоматизированные средства сбора данных;
  • Средства визуализации полученной информации;
  • Средства автоматизации полученных результатов и построения прогнозных трендов (их описание будет приведено в дальнейшем);
  • И т.д.

Приведенные средства позволят:

  • Выявить и построить качественные модели/картины рисков, дальнейшее использование которых позволит выявить определенные закономерности;
  • Установка однозначные и косвенные связи между рисками и факторами их порождающими, и следствиями рисковых событий;
  • Соблюсти объективность в проведении рисковых исследований, максимально абстрагируясь от «человеческого фактора»
  • И т.д.

Безусловно, не используя приведенные советы можно добиться высоких результатов, но при этом будет затрачено избыточное количество энергии и ресурсов, которую можно было бы потратить на более конструктивную деятельность.

Применение опыта конкретных отраслей для конкретной ситуации, учитывая и адаптируя его под определенный условия, позволят накапливать успешный опыт коллег, преумножая и переосмысливая его для того домена, в котором Вы осуществляете свою активность.

Инструментарий

Тему инструментария мы поднимали ранее, на протяжении предыдущих статей. С небольшими оговорками, освященные инструменты подходят для обработки полученной информации, её структуризации и процессам анализа и синтеза, из которых состоит вся активность анализа рисков. Но, наиболее популярные инструменты, используемые для качественного анализа рисков освятить необходимо применительно к рассматриваемой деятельности. Наиболее признанными методами, для обработки «рисковой информации» на данный момент развития данного домена, являются следующие средства:

  • Матрица вероятностей и последствий;
  • Методы экспертной оценки;
  • Анализ чувствительности;
  • Анализ дерева решений;
  • И т.д.

Многие из этих методов мы подробно и очень скрупулезно рассмотрели раньше. Сегодня же мы сосредоточимся на том, что подвергнем тщательной декомпозиции те техники, которые акцентируются на процессах качественного анализа рисков или схожими, по природе возникновения, с ними.

После того, как все риски выявлены и включены в реестр рисков, все данные о них, вне зависимости от их степени вероятности возникновения, которая, как правило, определяется на основе методов экспертных оценок или мозгового штурма, и воздействия на окружение включаются в реестр рисков. За всеми рисками в дальнейшем ведется подробное наблюдение и изучение.

Очень важно каждый из них держать под контролем и управлять его «поведением» в интересах результатов выполняемой деятельности.

Важным инструментом, позволяющим оценить величину риска, его влияние и другие характеристики является матрица вероятности и последствий (МВП). МВП – это методика, позволяющий определять ранг риска отдельно для каждой цели процесса/проекта, например для рамок функциональности, времени или других ресурсов. Ранг риска позволяет оперативно управлять реагированием на риски, расположенные в различных зонах матрицы. Зоны матрицы играют роль приоритетов. К примеру, для рисков, расположенных в зоне высокого риска (обычно выделяется красным цветом) матрицы необходимы предупредительные операции и агрессивная стратегия реагирования., которые позволят оптимально справиться с возникающей задачей/ами.

Для угроз, расположенных в зоне низкого риска (зеленый цвет), осуществление предупредительных операций может не потребоваться, если держать под контролем все содержание выполняемой деятельности.

Матрица вероятности и последствий (МВП)

Рис.4.5.1

Еще одним, дополнительным преимуществом МВП является то, что она очень просто и наглядно позволяет наблюдать за миграцией рисков во время хода проекта/процесса, осуществлять контроль над его рангом и взаимосвязанными с этой трансформацией связями. Многие риски, в начале определенной активности могут находиться в зоне низкого ранга, а ближе к ответственным вехам переместиться в пограничные или более критичные зоны.

Именно поэтому риск-менеджемент, в организациях, претендующих на лидерство в своем сегменте, не может быть «стихийным», а должен быть частью регулярной работы.

Следующим инструментом, который необходимо рассмотреть является анализ чувствительности.

Анализ чувствительности призван для определения того, какие риски имеют наибольшее влияние на выполняемую деятельность.

Смысл данного инструмента состоит в отслеживании параметров, которые оказывают наибольшее скрытое или явное влияние на конкретные факторы, условия, процессы.

В данном методе необходимо фиксировать и отслеживать все параметры. При изменении одного из них, будет возможным определить воздействие риска на всю ситуацию в целом или на какую-то её часть.

При обследовании определенного вопроса необходимо выделить параметры, влиянию которых он подвержен, например, такие: отсутствие ресурсов, необходимость в аутсорсинге и т.д. В процессе анализа чувствительности для конкретного параметра, рассматриваются те ситуации, при которых ранг матрицы имеет наибольшее значение, после чего они фиксируются, и с ними выполняется определенная деятельность, связанная с уклонением/минимизацией/игнорированием риска, и т.д. актуальная в данном случае.

Последний инструмент, о котором мы сегодня поговорим это анализ дерева решений (АДР). Самые сложные и комплексные ситуации, окружение которых изобилует рисковой составляющей, когда результат деятельности находится под большим суммарным риском реализации, применяют АДР. Несомненным преимуществом АДР является то, что это графический инструмент для анализа рисков процесса/проекта. Лежащее в основе данного вида анализа дерево решений (ДР) представляет собой частный случай диаграммы Ишикавы, приспособленный под активность по анализу и работе с рисками (Рис.4.5.2).

Диаграмма Ишикавы

Рис.4.5.2

В ходе АДР конкретная ситуация, с учетом каждой из имеющихся возможностей её дальнейшего осуществления, рассматривается и фиксируется в виде графа, который принято называть дерево решений (Рис.4.5.2).

Дерево решений имеет пять элементов:

  • Точки принятия решений - это моменты времени, когда происходит выбор альтернатив;
  • Точка случайного события (точка возникновения последствий) - момент времени, когда с тем или иным результатом наступает случайное событие
  • Ветви - линии, соединяющие точки принятия решений с точками случайного события. Ветви, исходящие из точки принятия решений, показывают возможные решения, а линии, исходящие из узлов случайных событий, представляют возможные результаты случайного события;
  • Вероятности - числовые значения, расположенные на ветвях дерева и обозначающие вероятность наступления этих событий;
  • Сумма вероятностей в каждой точке принятия решений равна 1.Ожидаемое значение (последствия) - это расположенное в конце ветви количественное выражение каждой альтернативы.

Для построения ДР оптимально подходить техника «mindmap». О ней мы упоминали ранее, поэтому каждый сможет найти необходимый материал. Скажем лишь о том, что при желании можно без особых усилий изучить упомянутую технику и адаптировать существующие инструменты «mindmap» для построения дерева решений, с учетом собственных предпочтений и специфики рисковых процессов.

В результате построения ДР получается наглядно представить все необходимые «узловые моменты», от которых зависит принятие решения по каждой отдельной альтернативе и все альтернативы в целом, что способствует принятию целостного, для определенного процесса, решения по каждому отдельному риску, осознавая полную картину и представляя возможное взаимовлияние отдельных рисков.

В заключение главы про инструментарий хочется сказать о том, что использование одного, конкретного метода, каким бы универсальным он не был, не является панацеей. Наиболее удовлетворительные результаты получается в случае использования нескольких различных техник, которые бы дополняли друг друга.

«Выходная информация»

Результатом обработки «инструментами», определенных «входных данных», является конкретная результирующая информация, имеющая определенную степень ясности, понятности и применимости для дальнейшего использования.

При обработке данных необходимо помнить о тех стэйкхолдерах, кто будет являться целевыми пользователями этой информации и от кого, в конечном итоге, зависит принятие решений и одобрение дальнейшей работы по риск-менеджменту. Как бы качественно и профессионально не был выполнен анализ. При оформлении демонстрационного отчета или презентации на первый план выходит понятие визуализации полученных результатов и самодостаточность полученной информации. Лучше всего, если Ваш материал будет понятен с минимальным количеством слов.

Но, при этом, не менее ценно помнить о том, что стэйкхолдеры бывают разные. Кто-то лучше относиться к числовым показателям, а кто-то лучше реагирует на полностью визуальный слайды.

Перед тем как составлять итоговый материал, изучите ключевых стэйкхолдеров – их образование, опыт работы, рабочие предпочтения и т.д. Успех всегда зависит от мелочей, которые можно почерпнуть в беседах с более опытными коллегами, руководством, изучением best practice. Мы не призываем Вас к организации «разветвленной шпионской сети», но рекомендуем быть более внимательными к деталям.

Наиболее удачные материалы в конечном итоге формируют библиотеку проекта/процесса (если хотите, то Ваш собственный репозиторий знаний), которую можно будет в дальнейшем «наращивать», развивать и применять для дальнейшего использования.

Документация результатов. Карта рисков. Приоритезация

Один из самых важных, но, при этом самый «игнорируемый» процесс – это процесс документирования. О важности фиксации результатов, для дальнейшей работы с полученной информацией, знают все, но вот наладить процесс документирования удается в немногих организациях. Это происходит из-за того, что документирование очень сложный и скрупулезный процесс, в котором необходимо отражать все значимые изменения, возникающие по ходу проекта.

Необходимость организации и реализации этой активности появляется в тех компаниях, в которых анализ рисков становится не «стихийновозникающей» задачей, а процессом, важность которого осознана благодаря накопленному (как положительному, так и отрицательному) опыту работы над рисками.

Можно долго излагать прописные и теоретические истины о том, что ждет тех, кто должны образом не будет документировать свои процессы анализа рисков, но у нас нет задачи «ездить» по больной мозоли, но есть желание обучить Вас тому, как следует работать, что бы Вы могли быть успешными в направлении анализа рисков. Документирование именно тот процесс, который позволит обладать актуальной информацией. Каждый профессионал должен обладать свойством объективности и беспристрастности к тем данным и результатам, которые достигнуты в процессе его работы и ему нужно уметь своевременно донести их до тех сотрудников/руководства, от которых зависит принятие решений, а порой, такие решения ему придется принимать самому. Именно поэтому обоснованность принятого выбора из ряда альтернатив является ключевым моментом для последующих процессов.

Но при этом, специалистам, задействованным в процессах анализа рисков, важно знать и понимать специфику той деятельности, в которой они проводят свой анализ. Порой, способность пожертвовать «малым», во имя приобретения больших «бонусов» служит ключевым фактором успешной деятельности компании на рынке.

Процесс анализа рисков следует документировать на протяжении жизненного цикла всего проекта/процесса. Объем документирования и его форма, содержащая результаты анализа, зависит от конкретных целей проведенного анализа риска. В итоговом документе необходимо привести следующие данные:

  • Титульный лист;
  • Список участников процесса КАР;
  • Аннотацию;
  • Содержание (оглавление);
  • Цели и задачи проведенного КАР;
  • Описание анализируемого объекта;
  • Методологию КАР - исходные предположения и ограничения, определяющие пределы анализа риска;
  • Описание используемых методов анализа и обоснование их применения;
  • Исходные данные и их источники;
  • Результаты идентификации;
  • Результаты качественного анализа риска;
  • Анализ неопределенностей результатов оценки риска;
  • Рекомендации по работе с рисками;
  • Заключение;
  • Перечень используемых источников информации.

Не менее важный документ, который служит для формирования общей картины рисков – карта рисков (КР). КР основана на составлении детального документа, исходя из данных высокоуровневого представления всех возможных рисков. В этом документе должны быть приведены:

  • Сведения о природе рисков;
  • Информация об «окружении» (как внешнем, так и внутреннем) рисков;
  • Количественные характеристики, которые позволят оценить и приоритезировать каждый отдельный риск.

Приведенный список данных является минимально необходимым и достаточным для составления карты рисков, способной отвечать заданным метрикам процессов по работе с ними.

Когда речь заходит о составлении карты рисков, тогда будет уместным сказать о том, что «коллективное сознание» руководства процесса/проекта пришло к пониманию необходимости не просто отслеживать определенные риски и пытаться организовать отдельные точечные процессы по работе с ними, а создания документа, который сможет лечь в основе системы, по работе с рисками, повышающей качество процессов и конечного результата исследуемого домена.

Приведенном нами перечнем наибольший интерес вызывает третий пункт. Мы сосредоточимся на его пояснении. Он предполагает, что будет проведен не только КАР, но и частично выполнен количественный анализ (которому будет посвящена следующая статья), логичность проведения которого должна быть подтверждена результатами КАР.

Для того, что бы составить детальную КР, необходимо разработать метрики, которые могли бы подтвердить обоснованность результатов качественного анализа для:

  • Определение возможной величины ущерба:
    • использование 5-балльной оценки будет вполне достаточно;
    • выполняется экспертами-специалистами ИТ;
  • Определение значимости актива для организации:
    • использование 5-балльной оценки будет вполне достаточно;
    • выполняется экспертами-специалистами ИТ и согласовывается с стэйкхолдерами проекта;
  • Величину влияния риска вычислять как произведение двух вышеперечисленных величин:
    • Это позволит установить соответствие рассчитанной величины и качественной оценки уровня риска, полученной при составлении высокоуровневой (общей) карты рисков;

Результатом выполненной работы будет являться детальное описание всех комбинаций "актив — угроза" для каждого актива подверженного риску с количественной оценкой всех составляющих и суммарного уровня риска, как произведения величины влияния риска на вероятность использования уязвимости.

После того, как будет составлена карта рисков, можно говорить о том, что работа по приоритезации рисков может быть выполнена не на основе достаточно субъективных экспертных оценок, а в соответствии с принятым в процессах по анализу рисков математическим аппаратом, что приводит к значимости и обоснованности выполняемой активности.

Таким образом мы постепенно приходим к пониманию того, что без особых дополнительных ресурсных затрат можно выстроить подобие качественной системы по работе с рисками. Она будет включать в себя базу, реализованную в виде качественного анализа рисков и небольшой «надстройки», выполненной в виде количественного анализа рисков. В интеграции результатов, предложенной структуры системы по работе с рисками, будут вовлечены максимальное количество «слоев» организационной структуры, отдельно взятой компании, что приведет к согласованности и подтверждению ожиданий пользователей от данной системы.

План реагирования на риски

Разработка плана реагирования на риски начинается после того, как проведены все необходимые виды анализа рисков. На этом этапе необходимо утвердить сотрудников, ответственных за определенные риски и выработать план/инструкцию, в которой будет описан процесс реагирования на риски. Данный документ должен так же содержать:

  • Метрику риска:
    • Граничные показатели, которые бы идентифицировали скорое наступление рискового события или появления ущерба;
  • Методы и стратегии по работе с риском:
    • Игнорирование, снижение, передача, устранение и т.д.;
  • Процедуры по дальнейшей обработке рисков;
  • Ответственных за «рисковые процессы» в дальнейшем;

Шаблонный подход к данному процессу можно быть применен только тогда, когда все виды рисков хорошо изучены и подкреплены актуальными данными о состоянии рисков, в изучаемой деятельности, а так же выполняется своевременная актуализация критичной информации. Если рисковая составляющая не достаточно хорошо изучена и нет четкого плана по их обработке, то такие риски должны более пристально отслеживаться и процедуры их обработке должны быть более оперативны.

Способы реагирования должны рассматриваться для каждого риска отдельно, с учетом специфики возникновения и проявления каждого, отдельно взятого риска.

План не должен остаться только на бумаге.

Разработка правильного, понятного и оптимального, для заданных параметров и условий плана – это 5% работы, а вот его выполнение, корректировка и «воплощение в жизнь», это оставшаяся часть.

Процесс планирования не должен быть статическим и теоретическим, но вот быть актуальным и выполнимым быть обязан.

Извлечение уроков. Совершенствование КАР

В связи с тем, что процессы анализа рисков должны соответствовать принципам системного менеджмента, описанными в серии Гостов/Исо 9000 серии и принятыми на сегодняшний день за эталон, а так же учитывая тот факт, что качество реализуемых продуктов и услуг должно постоянно повышаться и удовлетворять запросам потребителей (внутренние или внешние эти потребители, по отношению к конкретной организации это не так важно), в жизненном цикле процессов риск-менеджмента должна присутствовать активность связанная с постоянным самоанализом/рефлексией проводимой деятельности.

Самоанализ должен заключаться не в фиктивном аудите или точечной инспекции выполняемых действий, а в подробном осмыслении и переосмыслении проводимых работ, с целью их оптимизации и корректировки, в соответствии со стратегией и задачами конкретной организации. Фаза «Совершенствования», названная так нами по причине того, что авторы видят в этой фазе залог успешности проводимых процессов, должна быть организована таким образом, чтобы руководство компании непосредственно участвовало и было осведомлено о результатах этой фазы, выраженных в:

  • «Количественной» обоснованности корректировок процессов «риск-менеджмента»;
  • Более быстром достижении поставленных задач;
  • Адекватной ресурсной составляющей «рисковой» деятельности;
  • И т.д.

Именно за счет процессов постоянного улучшения можно выработать баланс между целями организации и ИТ ресурсами, выделенными для риск-менеджмента.

«Переходный период»

Учитывая то, что процесс/ы совершенствования должны быть включены в каждую выполняемую активность, мы считаем правильным предложить дальнейший путь по работе с рисками, заключенный в накоплении данных и информации, сформированных на основе качественного анализа рисков и постепенном переходе к процессам количественного анализа, в результате выполнения которых становится возможным максимальным образом минимизировать влияние человеческого фактора на обработку рисковой составляющей процессов/проектов рассматриваемой организации.

Только после того, как накоплен опыт и необходимый массив информации в проведении качественного анализа рисков, целесообразно переходить к их количественной оценке. Причем концентрировать внимание следует именно на тех рисках, которые в процессе качественной классификации были включены в категорию высоких (особенно с высокой степенью ущерба при высокой вероятности реализации).

При количественной оценки рисков, используя оценки ущерба и вероятность реализации, мы рекомендуем, для начала, использовать 3-х бальную шкалу оценки рисков — высокий, средний, малый. Со временем, после осмысления рисковых процессов и понимания необходимых результатов данной активности можно будет данную шкалу дополнять, обоснуя необходимость проводимых действий.

Реализация количественных оценок, как правило, приводит к тому, что на качественном уровне структуры работ придется проделать не одну, а несколько регулярных процедур по работе с рисками, вырабатывая в организации культуру управления рисками. Это является необходимым условием повышения грамотности владельцев ИТ-активов и процессов, без которых невозможна успешная работа в этом направлении.

Здесь необходимым будет пожелать терпения и настойчивости в достижении целей риск-менеджмента, ответственным за это специалистам и руководителям.

«Переходный» период, связанный с аккумулированием необходимой информации – это очень сложный и достаточно долгий процесс, в котором необходимо использовать передовой опыт и качественную информацию.

В большинстве случаев, результатом «переходного периода» является выход на новый виток процессов анализа ИТ-рисков.

Итого

Сегодняшнее изложение подошло к концу!

В этой статье по анализу рисков мы описали процесс качественного анализа рисков. Эта активность позволит сформировать необходимую базу, для дальнейшего формирования и развития процессов анализа ИТ-рисков. Оптимально выстроенные процессы анализа рисков позволяют заложить прочный, надежный, но в то же время относительно гибкий информационный фундамент, на котором становится возможным построить прочный и надежный домен информационных технологий, обеспечивающий организации качественным и относительно «безрисковыми» процессами.

Авторы статьи

Иван Никитин

Михаил Цулая

Полезные материалы

Советуем прочитать


  • Подходы к проектированию и документированию архитектур программных продуктов
  • Архитектурное документирование. Что и Как? Начало
  • Еще немного о требованиях и соответствующих им архитектурных рисках
  • Инструментарий, используемый для моделирования архитектуры и функциональности программных продуктов
  • Роль стандартов в процессах разработки архитектуры программных продуктов
  • Внешние события, атрибуты, формирующие архитектуру программных продуктов и процесс её документирования Ч.1
  • Основные объекты и связи, представленные в виде компонентов архитектур программных продуктов
  • Основные характеристики и требования к современным архитектурам информационных приложений
  • Архитектурное проектирование программного обеспечения.Практики проектирования
  • Архитектурное проектирование программного обеспечения
  • Уровни «процессной» зрелости компании в контексте риск-менеджмента
  • Актуальность развития риск-менеджмента. Роль риск-менеджера
  • Методы управления рисками
  • Комплексная программа управления рисками (Часть 1)
  • Системный подход к процессу управления рисками
  • Количественный анализ рисков
  • Настольный справочник аналитика
  • Виды анализа рисков
  • Настольный справочник аналитика. Глава 2. Планирование и Мониторинг бизнес анализа
  • Часть 2. Таинство изобретения и его плоды. Раздел 2.4
  • Идентификация рисков
  • Деятельность по управлению рисками
  • Немного о процессах анализа и управления рисками
  • Глава 1. Часть 2 Введение в дисциплину бизнес – анализа (BABOK)
  • Глава 1. Часть 1 Введение в дисциплину бизнес – анализа (BABOK)
  • Раздел 2.3 Технологии изобретательства (продолжение, серия статей о ТРИЗ)
  • Часть 2. Таинство изобретения и его плоды (Серия статей о ТРИЗ)
  • О важности применения шаблонов в профессии аналитика
  • Системы Электронного Документооборота
  • Часть 1. О методе обучения и самообучения ТРИЗ
  • Алгоритмизация творчества
  • Настольный справочник аналитика
  • Пути развития ИС
  • «Коробочка» Пандоры
  • Cамомотивация и закрытие рабочих/проектных этапов
  • Внедрение ИС
  • Внедрение ИС
  • Cорсинг