Главная картинка статьи №25

Системный подход к процессу управления рисками

Оглядываясь назад

Доброго времени года, Уважаемые коллеги!

В прошлый раз мы обсуждали процессы количественного анализа рисков.

Сегодня мы выполним систематизацию знаний и информации по видам (качественный и количественный) анализа рисков, их категоризации и классификации в целях создания комплексной системы по работе (сбору, обработке информации и выработке решений) с рисками в области информационных технологий.

Сегодняшняя статья должна быть интересна коллегам в свете того, что в ней подводятся итоги рассмотренной ранее информации, с целью её последующего использования, в качестве основных гармоничных элементов «организационной закономерности» по работе с рисками. Так же мы обоснуем необходимость использования системы по работе с рисками, конспективно повторим изученное, предложим техники, которые позволят оптимизировать «рисковые процессы», отметим ограничения, при которых эффективность процессов анализа рисков может быть снижена.

Введение

Ранее нами уже были сделаны выводы о том, что нужно, что можно, а что не рекомендуется, и как именно, применять и использовать/не использовать в домене риск-менеджмента, в части качественного и количественного анализа рисков, а так же с точки зрения взаимодействия этих стадий процессов анализа рисков. Но при этом, мы, вопрос о единой системе по работе с рисками, еще не поднимали.

В предыдущих статьях мы подробно рассмотрели следующие этапы:

  • Идентификация рисков;
    • Оценка рисков;
  • Анализ информации;
  • Построение карты рисков;
  • Подготовка к анализу рисков;
  • Процедуры качественного анализа рисков;
  • Процедуры количественного анализа рисков;
  • Дальнейшая работа с рисками.

С точки зрения системы, эти фазы должны представлять собой единый комплекс взаимосвязанных процессов и процедур, результаты деятельности которых, должны быть взаимосогласованы (Рис.1).

Диаграмма системы процессов анализа рисков. Взаимосвязи этапов

Рис.1

Приведенная иллюстрация визуализирует рассмотренный материал и представляет его в иерархическом структурном виде, абстрагированном от конкретных бизнес моделей, что приводит к тому, что она может быть использована в виде шаблона процесса.

Этот шаблон, при надлежащей доработке и адаптации, можно использовать в процессах риск-менеджмента конкретной организации, как основу для модели бизнес-процессов анализа рисков в домене информационных технологий.

Таким образом, уместно будет говорить о том, что процессы анализ рисков можно отнести к вспомогательным (или сервисным) процессам практически любой организации, так как именно они вносят вклад в формирование конечного результата деятельности компании и помогают управлять/влиять на прибыль, извлекаемую от реализации конкретного продукта или сервиса, производимого компанией.

Поднятый вопрос создания системы по работе с рисками представляется нам задачей, важность и актуальность которой будет возрастать с развитием информационных технологий, отслеживать и контролировать состояние которых, стратегическая задача всех предприятий, претендующих на существование на современном рынке товаров и услуг.

Управление рисками как значимый элемент бизнес-процессов современных организаций

Активность управления рисками, это одно из самых активно развивающихся менеджментно-технических методологических направлений в применении к финансовому и информационно-технологическому домену.

В среде финансовых институтов уже сложилось устойчивое мнение, что систематические подходы к управлению рисками, это необходимая предпосылка в формировании устойчивой основы для обеспечения конкурентоспособности конкретного бизнеса.

В отношении области информационных технологий, особенно в нашей стране, такая точка зрения только начинает формироваться в самых передовых компаниях, которые используют наиболее инновационные методики менеджмента.

Отталкиваясь от того, что домен информационных технологий, в основе своей, использует принципы процессного менеджмента (ISO серии 900X – наиболее известный подход к управлению на сегодняшний день), можно констатировать, что в ближайшее время все руководящие подходы, используемые для активностей управления рисками, в сфере финансов, будут адаптироваться под нужды информационных технологий отечественных предприятий.

При этом необходимо учитывать и то, что использование единых подходов позволит решать возникающие в локальных процессах проблемы, универсальным способом и транслировать решение в остальные многочисленные области деятельности компании. Тем самым, единый подход к работе в разных направлениях активностей предприятия будет способствовать совершенствованию управленческого базиса, прогнозируя будущие изменения за счет единых корней и основ, лежащих в «корне» большинства процессов компании. Таким образом, риск-менеджмент может стать органичной частью системы управления каждой передовой организации и приносить прибыль не только за счет своей непосредственной функции анализа и управления рисками, но и косвенно внося «лепту» в развитие менеджмента компании в целом.

В случае, если управление рисками перестает быть отдельными, слабосвязанными между собой процессами, локально «латающие» дыры компании, а становится полноценной и комплексной системой, использующей в своей основе правильно выстроенный процессный фундамент, то корректно говорить о том, что управление компании может рассчитывать не столько на «случайные» результаты, как на системную, операционную поддержку со стороны процессов анализа и управления рисками, в формировании конечного продукта или услуги деятельности.

Активность управления рисками

Система процессов анализа и управления рисками предполагает использование в своей основе комплексный системный подход, интегрированный со всеми описанными ранее этапами и доработанный на предмет стандартных, общеиспользуемых, в эффективных процессах, механизмов контроля и мониторинга, так же основной результирующей стадии принятия решения.

Домен управления рисками должен быть в состоянии охватить максимальное количество различных типов и видов рисков, выявленных на фазе идентификации, чтобы процедура принятия решения была наиболее объективна условиям как «внутреннего», так и «внешнего» окружения риск-менеджмента.

В основе системы управления рисками находится ряд взаимосвязанных процессов, преобладающая часть которых должна руководствоваться принципами, в соответствии с которыми бизнес решения могут приниматься, только при условии осознания степени потенциального или явного риска и его размера, соотнесенные с величиной возможной прибыли, в случае отсутствия ущерба.

Активности управления рисками направлены на то, чтобы объект, принимающий основные решения, смог представить и оценить последствий выбранного решения, благодаря информации, накопленной в ходе работы над рисками. Для того чтобы соблюсти изложенные выше требования, необходимо обеспечить эффективность процедур систем управления рисками, которые должны составлять ее структуру. Структура же формируется на этапе проектирования системы и воплощается в жизнь на этапе её построения.

Эффективность системы управления рисками достигается за счет выполнения следующих принципов:

  • Максимальновозможный охват совокупности рисков, обоснованный целями деятельности и ресурсами, выделенными на её функционирование;
    • Этот пункт подразумевает потенциальное взаимодействие со смежными, взаимосвязными деятельностями, которые могут являться источниками рисков или в которых возможно их проявление;
  • Минимизация, уклонение или принятие риска обоснованное для каждого конкретного случая;
  • Адекватная реакция на причины и возможные последствия рисков, спланированная заранее;
  • Использование передовых и лучших практик при работе с/над рисками;
  • Мониторинг и контроль над процессами по обработке рисков и дальнейшему их сопровождению, основанные на численных индикаторах и метриках, применение которых позволяет специалистам по работе с рисками оперативно реагировать на возникающие проблемы;
  • Вовлечение в процесс управления рисками сотрудников компании, ответственных за определенные функциональные направления, находящиеся на различных структурных уровнях, позволяющее охватить коммуникации компании в целом и контролировать возможные рисковые очаги;
  • Автоматизация процедур контроля с целью снизить влияние «человеческого фактора» и трудозатрат на выполнение процедур активности по анализу и управлению рисками;
    • Минимизация времени, затраченного на полный цикл по работе с рисками ( от выявления риска до принятия решения)
  • Предоставление адекватной отчетности, позволяющей оценить процесс риск-менеджмента и достигнутые результаты;
  • Совершенствование выработанных ранее процедур за счет организации непрерывного анализа проведенных работ и валидации результатов деятельности по управлению и анализу рисков результатам деятельности компании.

Представленный список процедур претендует на достаточность и полноту действий, соблюдение которых может гарантировать эффективность конкретной системы по управлению и анализу рисков.

В дополнение можно отметить, что автоматизация рисковой активности может быть реализована как за счет использования мультифункциональных решений, так и конкретных «узких» программных средств, которые возможны к применению в комплексе с другими решениями. Желательным условием для разработки такой системы является единая информационной среда. Именно она может обеспечить наиболее эффективный контроль всех процессов, необходимый для обработки риска, т.е. выбора пути его учета, если он идентифицирован и оценен, а так же выработан и внедрен механизм его мониторинга.

Подводя итоги надо упомянуть, что все упомянутые техники должны взаимодействовать друг с другом, а так же с другими стадиями рассматриваемой активности, если есть необходимость в более детальной и достоверной информации, от которой может зависеть эффективность достигнутого результата. Каждый из описанных этапов должен быть выполнен минимум один раз в конкретном процессе/проекте, иначе можно будет поставить под сомнение истинность полученных данных, «заподозрить» их в определенной однобокости, поверхностности.

В обязанности риск-менеджера должно входить постоянный мониторинг и совершенствование имеющихся процессов на предмет их соответствия целям деятельности компании. Эта процедура должна так же выполняться в единой информационной системе, что может ускорить выполнение рисковых процессов и снизить вероятность возможных ошибок.

Для руководства организации необходимо понимание того, что контролируемое и управляемое развитие компании возможно при условии интегрированного подхода к организации деятельности, в котором все средства, как информационные, так и административные, и общая методология компании совместно и комплексно используются в целях выполнения стратегии деятельности.

Интегрированный подход должен стать активным методом, в основе которого находится проактивная позиция, а не пассивная, беспомощная реакция на риск, приносящая убытки, оптимизация которых не поддается управлению.

Концепция приемлемого риска

В прошлом абзаце мы обозначили, что в деятельности предприятия возможны случаи, когда риск может быть принят для определенных случаев, когда это обосновано ситуацией и оценено как необходимость. Подобные риски принято обозначать как приемлемые риски.

Каждый риск, при определенных параметрах его рассмотрения, является приемлемым для одних случаев и не приемлемым для других. Анализ и управление рисками, как домен, должен учитывать концепцию принятия приемлемого риска, с условием контролируемого воздействия на его начальный уровень, при условии доведения этого уровня до приемлемого, для конкретных условий, значения.

Концепция приемлемого риска была разработана и основана под вилянием парадокса, который лежит в большинстве современных бизнес активностей. Парадокс заключается в том, что с одной стороны любой основополагающий для современного предприятия процесс должен быть подкреплен информационной, документарной и правовой базой, но с другой стороны, без принятия возможности потенциального ущерба в современном «динамическиразвиваемом» технологическом мире, начать развитие любых процессов представляется маловероятным. Поэтому, для процессов риск-менеджмента используются указания типа: избегать риск, сводить его результаты к минимуму и т.д.

Для решения этого противоречия и была выработана концепция приемлемого риска, целью которой является выработка оптимального компромисса между упомянутыми, диаметрально противоположными условиями возникновения рисков.

Основа концепции заключается в том, что всегда существует опасность того, что в случае реализации определенного управляющего решения возникнет определенный риск или группа рисков. Масштаб и количество рисков, в начале их жизненного цикла в бизнес процессах, могут проявиться не в полном объеме и не с «максимальной» силой. Величина ущерба может варьироваться в зависимости от стадии, на которой проявился тот или иной риск, внешних условий процесса и многих других причин.

Концепция приемлемого риска построена на методологии дифференциации риска (его величины) в зависимости от стадий его проявления. Выделить можно следующие уровни:

  • Начальный уровень риска;
    • Степень риска, при которой не учитываются результаты мероприятий по анализу, идентификации и оценке конкретного риска/вида рисков. Это уровень является неидентифицированным, неоцененным и, следовательно, и может быть использован только в качестве концептуальной, верхнеуровневой оценки;
  • Оцененный уровень риска;
    • Оцененный уровень риска – это уровень риска с учетом мероприятий по идентификации, оценке и анализа (разных видов) риска. Величина оцененного уровня риска представляет собой реальную, в условиях существующих процессов компании по работе с рисками, оценку уровня риска, который является риском более низкого уровня, нежели начальный уровень риска;
  • Остаточный уровень риска;
    • Остаточный уровень риска – уровень риска с учетом разработанных и выполненных мероприятий по снижению начального уровня риска;
  • Конечный (приемлемый) уровень риска
    • Конечный (приемлемый) уровень риска – уровень риска, который является приемлемым, для конкретных условий определенной ситуации, с точки зрения критериев риска. Конечный уровень риска может быть равным любому из приведенных выше уровню рисков. В данном случае определяющим условием является разработанная система критериев риска.

Таким образом, можно/нужно констатировать, что приведенная концепция приемлемого риска состоит в том, что риск не обязательно полностью или частично устранять. С учетом информации, необходимой для принятия управленческого решения по риску, возможным результатом процесса принятия решения по работе с риском могут/должны быть:

  • Снижение риска до приемлемого уровня;
  • Игнорирование риска;
  • Принятие риска;
  • Уклонение от риска;
  • И д.р.

На текущем «витке» развития процессов анализа рисков в области информационных технологий, концепция приемлемого риска находится в основе большинства существующих систем (как организационных, так и программных) по анализу и управлению рисками.

Эффективность обозначенных систем определяется тем, насколько оптимально и правильно, для конкретного окружения и рамок процессов анализа и управления рисками, определен уровень приемлемости риска. Если этот показатель имеет точную количественную характеристику, то можно считать, что система риск-менеджмента имеет в своей основе достаточно фундаментальный числовой базис, который необходимо качественно и своевременно актуализировать и обоснованно развивать в соответствии с целями компании и имеющимися на это ресурсами.

Обзор методов управления рисками

Чуть выше, говоря о концепции приемлемого риска, мы подняли тему методов по работе над рисками. На сегодня нет сложившихся универсальных систем, использование которых можно было бы рекомендовать в любой «рисковой» ситуации, для любого окружения проблемного процесса. Возможно, подобная ситуация связана с многообразием внешних и внутренних факторов риска, действие которых проявляется не только локально, на определенном процессе, а «глобально», на деятельности организации в целом.

Эта задача решается при помощи использования различных методов управления рисками, объединенных в систему по работе с рисками. Каждый из методов продуктивно решает только специализированные проблемы, определенных направлений в области информационных технологий.

Условно, методы по управления рисками можно разделить на 4 категории:

  • Методы уклонения от рисков;
    • В основе методов этой группы лежит постулат о полном исключении рисковых ситуаций из критичных процессов/проектов. К практическим шагам, используемых в техниках этой группы относятся такие решения, как отказ от проектов и процессов, в которых задействованы ненадежные партнеры, клиенты, технологии и т.д. В техниках уклонения от рисков используются действия, в результате которых ответственность за возможный ущерб переносится на третье лицо. Типичным примером методики из этой группы является страхование ответственности.
    • Группа техник уклонения от рисков следует причислить к методам, которые направлены на минимизацию последствий возникающего ущерба от проявления рисков, что делает эти методики уникальными, с позиции их отношения к факту воздействия на уже возникший ущерб и работу над его следствиями. Дальнейшие группы методик, рассматриваемые нами, будут направлены на причины возникновения рисков.
  • Методы локализации рисков;
    • К данной группе принято относить методы, которые базируются на идентификации критичных «мест» в процессах и активностях, где наблюдается наиболее вероятное проявление риска. В дальнейшем такие «точки» процессов выделяются в самостоятельную деятельность, которая в дальнейшем нуждается в высокой степени контроля и управления. Методы локализации применяются тогда, когда на основе количественных методов анализа рисков удается конкретно выявить все возможные источники рисков.
  • Методы диверсификации рисков;
    • В основе методов диверсификации находится процесс распределения основной ценности, производимой процессом/процессами организации, между множественными активностями, которые не должны быть прямо связаны между собой. Таким образом, общая ценность должна быть распределена между множественными процессами, что позволит контролировать общую «стоимость» и снизить риски её утраты. Методы диверсификации представляют собой наиболее распространенные техники снижения суммарной величины возможного ущерба и применяются для снижения последствий случайных видов плохоидентифицированных рисков. Если речь идет о системном риске, то применение метода диверсификации является несистемным и не может являться частью процесса, а только временным решением, возникшей рисковой ситуации.
  • Методы компенсации рисков;
    • Методы данной группы относятся к методам, направленным на предупреждения опасности превентивными способами. Это делает рассматриваемые методики более трудоемкими и требовательными к качеству используемой ими информации, по сравнению с упомянутыми выше, но более «зрелыми» и качественными. Этот факт способствует рекомендации к применению этих техник в комплексной системе по анализу и управлению рисками. К ним нужно отнести стратегическое планирование деятельности предприятия в целом, как средство компенсации риска. Стратегическое планирование эффективно только в том случае, если процесс разработки стратегического плана, его актуализация и сопровождение задействует все сферы деятельности конкретной организации. В ходе выполнения процедуры планирования/перепланирования разрешаются многие существующие в организации неопределенности, становится возможным предугадать появление многих «узких мест» в бизнес процессах. Так же к данным методам можно отнести процедуры прогнозирования использования инновационного программного обеспечения, и многие другие процедуры, направленные на модернизацию и инновации в устоявшихся бизнес процессах компании.

Важно помнить, что при выборе того или иного метода необходимо учитывать достоверную и проверенную информацию. На основе собранной информации должно быть возможно принять адекватное, для конкретного случая, управленческое решение, обусловленное как стратегическими, так и тактическим факторами деятельности. Принятое решение, как минимум, должно быть эффективным для ситуации, в которой оно принимается, а так же, по возможности, учитывать потенциальные будущие риски, которые могут проявиться, с учетом тренда развития процесса и прогноза рисковой составляющей.

Следуя принятому стилю изложения материала, мы оговоримся и констатируем тот факт, что перечисленные методики не противоречат друг другу, а взаимодополняют, по факторам, уровням и локациям своего проявления. Приведенная классификация видов методов позволяет на их основе выстроить систему методов управления рисками, которая должна быть своими результатами синхронизированная с общей системой риск-менеджмента предприятия, но более комплексно и подробно о видах методов мы поговорим чуть позже, когда будем рассматривать комплексную программу управления рисками.

Перед принятием решения о использовании определенного метода или группы методов, можно порекомендовать лицу, ответственному за это решение, учитывать следующие принципы:

  • Нельзя «рисковать» больше, чем это может позволить выделенный на активность бюджет;
  • Нельзя рисковать многим ради малого:
    • Последствия принятого риска должны полностью покрываться имеющимися ресурсами;
    • Возможная выгода от реализации рисковой ситуации должна принести значительное преимущество для процесса/проекта/активности;
  • Следует планировать последствия риска и иметь стратегию по работе с ним или его последствиями.

Реализация методов по работе с рисками, как любая значимая активность, должна соответствовать современным принципам процессного менеджмента, составляющих базис большинства успешных компаний. Процессы управления рисками должны быть спланированы, и постоянно актуализироваться, управляться, контролироваться и совершенствоваться на каждой стадии своего выполнения, с учетом конкретных условий внешней и внутренней среды, в которой они применяются.

Выводы

Сегодняшняя статья «Системный подход к управлению рисками» представляет собой самодостаточную часть нашего курса статей, в которой мы изложили фундаментальные аспекты деятельности по анализу и управлению рисками. Причина, по которой мы уделили довольно большое внимание именно видам анализа рисков, состоит в том, что с помощью теоретического и практического материала по качественному и количественному видам анализа рисков формируется базис дисциплины управления рисков.

Так же мы довольно подробно рассмотрели суть активности управления рисками и концепцию приемлемого риска, которая должна использоваться на каждом предприятии. Концепция приемлемого риска определяет уровень рисков, который допустим для организации и таким образом, устанавливает тренд «рисковости», который допустим для процессов конкретной компании.

Мы упомянули о методах управления рисков и далее расширим эту тему, изложив её в виде инструментария, рекомендуемого для применения в нашей следующей статье.

Авторы статьи

Иван Никитин

Михаил Цулая

Полезные материалы

Советуем прочитать


  • Подходы к проектированию и документированию архитектур программных продуктов
  • Архитектурное документирование. Что и Как? Начало
  • Еще немного о требованиях и соответствующих им архитектурных рисках
  • Инструментарий, используемый для моделирования архитектуры и функциональности программных продуктов
  • Роль стандартов в процессах разработки архитектуры программных продуктов
  • Внешние события, атрибуты, формирующие архитектуру программных продуктов и процесс её документирования Ч.1
  • Основные объекты и связи, представленные в виде компонентов архитектур программных продуктов
  • Основные характеристики и требования к современным архитектурам информационных приложений
  • Архитектурное проектирование программного обеспечения.Практики проектирования
  • Архитектурное проектирование программного обеспечения
  • Уровни «процессной» зрелости компании в контексте риск-менеджмента
  • Актуальность развития риск-менеджмента. Роль риск-менеджера
  • Методы управления рисками
  • Комплексная программа управления рисками (Часть 1)
  • Количественный анализ рисков
  • Качественный анализ рисков
  • Настольный справочник аналитика
  • Виды анализа рисков
  • Настольный справочник аналитика. Глава 2. Планирование и Мониторинг бизнес анализа
  • Часть 2. Таинство изобретения и его плоды. Раздел 2.4
  • Идентификация рисков
  • Деятельность по управлению рисками
  • Немного о процессах анализа и управления рисками
  • Глава 1. Часть 2 Введение в дисциплину бизнес – анализа (BABOK)
  • Глава 1. Часть 1 Введение в дисциплину бизнес – анализа (BABOK)
  • Раздел 2.3 Технологии изобретательства (продолжение, серия статей о ТРИЗ)
  • Часть 2. Таинство изобретения и его плоды (Серия статей о ТРИЗ)
  • О важности применения шаблонов в профессии аналитика
  • Системы Электронного Документооборота
  • Часть 1. О методе обучения и самообучения ТРИЗ
  • Алгоритмизация творчества
  • Настольный справочник аналитика
  • Пути развития ИС
  • «Коробочка» Пандоры
  • Cамомотивация и закрытие рабочих/проектных этапов
  • Внедрение ИС
  • Внедрение ИС
  • Cорсинг