Главная картинка статьи №26

Комплексная программа управления рисками (Часть 1)

Готов? Всегда готов!

Солнечного времени года, Коллеги!

В предыдущей статье прошлый раз нами был описан и изучен системный подход к процессу управления рисками. Комплексность рассмотрения этого вопроса связана с тем, что мы определились, что для создания качественной системы анализа и управления рисками рассмотрение отдельных активностей данного домена не имеет смысла. Только при условии полного применения всех стадий риск-менеджмента можно говорить о системе, которая может обеспечить достижение поставленных целей.

Комплексная программа, которую мы ставим себе целью начать обсуждать сегодня, базируется на артефактах (процессах и объектах), которые мы описывали ранее.

В ее центре находятся:

  • Процедуры планирования комплексной деятельности управления рисками;
  • Методы управления рисками и инструментарий, которые взаимосвязаны между собой таким образом, что дополняют и «обогащают» друг друга по ходу реализации рассматриваемой программы.

Таким образом, сегодня нам предстоит дополнительное «погружение» в активность по анализу и управлению рисками, так что задерживаем дыхание…

Введение

На сегодняшний момент нами уже были описаны активности идентификации, оценки, анализа видов рисков (качественные и количественные), организации и, вводным образом, управления рисками. Актуальность и необходимость организации процессов анализа и управления рисками в единую комплексную программу, которая будет способна охватить и гармонизировать отдельные её части в единый административно-программный комплекс мы изложили и подтвердили в ранее изложенном материале.

Сегодня мы рассмотрим раздел дисциплины риск-менеджмента – «Комплексная программа управления рисками», который решает задачи повышения эффективности уже организованных процедур, внедрение новых, инновационных и при этом эффективных методов и техник, снижение явных и потенциальных потерь и максимизация эффекта основной/ых деятельностей компании.

Тут стоит отметить, что комплексная программа управления рисками представляет собой один из вариантов процесса риск-менеджмента. Реализация данной комплексной программы может быть рассмотрена как альтернатива внедрению риск-менеджмента. Каждый из рассмотренных нами ранее этапов процесса анализа и управления рисками представляет собой законченные стадии процессов внедрения риск-менеджмента, и могут быть использованы при планировании данной деятельности в конкретной организации, с условием адаптации под определенные условии компании.

По мнению многих экспертов, задачи программ управления рисками должны заключаться в достижении следующих результатов:

  • Оптимальное использование имеющегося капитала;
  • Получение максимального дохода;
  • Повышение устойчивости развития компании;
  • Снижение вероятности потери части или всей стоимости продукта или сервиса, получаемого от процессов домена информационных технологий, конкретной организации.

Таким образом, комплексную программу по управления рисками стоит рассматривать не только в качестве ИТ процесса, а скорее, в преобладающем значении данной активности, как бизнес составляющую предмета риск-менеджмента, от правильной организации которой будет зависеть конечный результат и дальнейшее положении организации на рынке.

Программа управления рисками

Современная, успешная комплексная программа управления рисками должна учитывать и решать задачи, связанные с актуальными потребностями компании, в области риск-менеджмента, которая приняла решение о внедрении процессов анализа и управления рисками.

Организации, применяющие риск-менеджмент, как правило, ставит перед этим доменом следующие задачи:

  • Успешное функционирование, в условиях воздействия рисков;
  • Защита от негативных, рисковых факторов, мешающих выполнению стратегии и тактик компании;
  • Обоснованное принятие управленческих решений, с учетом имеющейся информации о явных и потенциальных рисках;
  • Сохранение и развитие имеющихся информационных средств и технологий;
  • Снижение чувствительности компании к рискам и повышение стабильности области информационных технологий, в условиях рискового окружения.

Комплексная программа управления рисками должна устанавливать единую структуру при работе с рисками, которая может отличаться вариантами реализации отдельных стадий, но, при этом последовательность (приведена по курсу, в виде последовательности изложения материалов) и результаты (документы) каждой из стадий должны соответствовать именно тем, которую мы привели в своем курсе:

  • Сбор информации и требованиям по рискам:
    • Списки явных и потенциальных причин, которые могут привести к возникновению рисков;
    • …;
  • Идентификация рисков:
    • Реестр рисков;
    • …;
  • Предварительная оценка рисков:
    • Приоритезированный реестр рисков;
    • Стратегия по работе с рисками;
    • …;
  • Качественный анализ рисков:
    • Документ, содержащий качественную информацию о рисках и пути их решения (тактики);
    • Информация по рискам, которая может быть использована в активности количественного анализа;
    • База знаний/данных по ранее выявленным рискам с их описанием;
    • …;
  • Количественный анализ рисков:
    • Документ, содержащий количественную информацию о рисках и пути их решения (тактики);
    • Статистическая информация, которая может быть использована для дальнейшего учета рисков и планирования путей их решения;
    • …;
  • Система по анализу рисков:
    • Выработанные порядки и регламенты, которые должны агрегировать и использовать ранее полученные документы, с целью достижения показателей деятельности риск-менеджмента;
    • …;
  • Комплексная программа управления рисками:
    • Документ, содержащий информацию о комплексной программе управления рисками;
    • План процедур управления рисками;
    • …;
  • Дальнейшие активности:
    • План мониторинга рисков;
    • План совершенствования деятельности по анализу и управлению рисками;

При этом, каждый из описанных документов должен быть своевременно актуализирован и отслеживаться в дальнейшем, при выполнении деятельности риск-менеджмента в конкретной компании. При цели построения эффективной комплексной программы управления рисками и надлежащем выполнении составляющих данную цель задач, можно будет контролировать риски на всех организационных уровнях любой организации.

Риск-менеджеры должны быть в состоянии оценить окружающую ситуацию и способствовать разработке и внедрению необходимых документов, процедур, регламентов, описанных выше, в основу которых должны быть положены следующие принципы из области процессов анализа и управления рисками, которые были изложены нами ранее:

  • Интегрированный, процессный подход к процессам анализа и управления рисками;
  • Учет наиболее значимых рисков:
    • Создание реестра рисков. Актуализация реестра в течение деятельности процессов анализа и управления рисками;
  • Идентификация рисков;
  • Определение «хозяина» риска;
  • Использование ролевой структуры для процесса риск-менеджмента;
  • Использование определенных методов/групп методов для управления определенными рисками;
  • Определение допустимых уровней рисков:
    • Контроль за состоянием рисков;

Чуть ранее, когда мы говорили об обеспечении деятельности риск-менеджмента, мы затронули тему документационного обеспечения данного направления работ, но при этом не раскрыли её более подробно. В разделе посвященном разработке процедур управления рисками, мы уделим особое внимание данному пункту.

Здесь же хочется сказать о том, что документация и ее реализация являются очень важной «вехой» работ разработки комплексной программы, игнорирование которых может привести к тому, что разработанная программа будет «одномоментным мероприятием». Такая реализация «рискует» остаться в конкретных «головах». Комплексная программа будет «закончена» с уходом группы ключевых специалистов, что ставит под сомнение системность подхода к разрабатываемому домену и демонстрирует его неэффективность при подобной реализации.

Нужно сказать о том, что комплексная программа управления рисками должна состоять из процессов, процедур, активностей и т.д. Результаты отдельных стадий, включенных в данную «над» активность должны быть гармонизированы друг с другом таким образом, чтобы четко прослеживались связи между отдельными активностями. От того, насколько успешно, продуманно, сочетаясь с общими целями риск-менеджмента, будет организована интеграция отдельных частей в общее целое зависит конечный результат домена рисков и деятельности организации в целом.

Разработка процедур управления рисками. Бизнес правила

Процедуры, составляющие процесс управления рисками представляют собой «шаблонные» пути решения, цель которых состоит в том, чтобы предложить для выбора в определенной ситуации варианты конкретных решений, которые целесообразно применить для использования в рисковой ситуации с определенными (известными и неизвестными) параметрами.

Выбор в пользу определенного варианта использования будет зависеть от того, насколько та или иная разработанная процедура управления определенным риском/группы рисков адаптирована под нужды конкретного окружения (внешние и внутренние параметры ситуации), соответствует конкретным процессам, в которых возможно проявление риска, будет эффективна для данного случая.

При разработке процедур целесообразно руководствоваться принципами, которые заложены в основе деятельности компании. Такие принципы принято называть бизнес-правилами. Большинство из них формируются в процессе «осознания» тех постулатов, которые являются движущими «рычагами» бизнеса. Они не всегда очевидны (как правило потому, что находятся в «головах» ограниченного количества стэйкхолдеров), но начинают существовать вместе с началом бизнес деятельности. От того, насколько они соблюдаются, зависит заданная стабильность развития того или иного направления бизнеса, в которой они применяются.

Именно бизнес правила и динамика их изменения определяют тренд развития информационных систем и, именно они, влияют на стабильность компании, в данном случае её рисковой составляющей.

Соответственно, из сказанного целесообразно сделать вывод о том, что бизнес правила являются одной из составляющих, определяющих величину «рисковости», которая доступна для управления и изучения.

Но, в современном бизнес сообществе бизнес правила очень часто игнорируются и «подменяются» на конкретные сценарии развития, которые «ложатся» в основу разработки процедур управления рисками. Тут стоит уточнить тот факт, что сценарии использования это конкретные варианты реализации рисков, а «бизнес правила» это универсальные/«псевдоуниверсальные» принципы, которые определяют сценарии использования, поэтому очень важно учитывать то, что при разработке процедур управления рисками должны использоваться именно бизнес правила. В таком случае можно говорить о достаточно надежной защите бизнеса от рисков.

Состав разрабатываемых процедур управления рисками определяется многими факторами, но в его основе находятся 2 основные составляющие, определяющие процедуры по управлению и анализу риск-менеджмента:

  • Текущее «рисковое» состояние организации;
  • Потребность/и стэйкхолдеров.

Именно потребности стэйкхолдеров определяют то, каким образом, с какой «документарной» и иными видами поддержки должна быть разработана та или иная процедура. В некоторых случаях разработка процедур может включать в себя следующие активности:

  • Разработка предложений в части рискового домена для стратегии/политике предприятия;
  • Документирование основных процедур управления рисками;
  • Разработка методологии оценки отдельных видов рисков и совокупного риска;
  • И т.д.

Оптимальноразработанные и примененные процедуры управления рисками позволят уменьшить (или исключить вообще) возможные ущербы, будет способствовать стабилизации и развитию компании.

Еще раз перечислим набор нормативно-методических документов, которые должны обеспечить процедуры управления рисками необходимой инструментально-правовой базой:

  • Политика управления рисками
  • Положение об управлении рисками
  • Процедура управления рисками
  • Методические указания по описанию и оценке рисков
  • Методические указания по оценке влияния рисков на работы календарного плана
  • Методические указания по формированию индикаторов рисков
  • Справочник по процедуре управления рисками
  • Справочник по типовым рискам

В итоге нужно сказать о том, что нет процедур управления рисками, которые могли бы быть разработаны таким образом, чтобы претендовать на универсальность и всестороннюю применимость. Каждая процедура должна учитывать специфику конкретной ситуации и определенных рисков, управление которых планируется осуществлять с помощью процедур управления рисками.

Методы управления рисками

В предыдущей статье мы поверхностно рассмотрели многообразие методов управления рисками, классифицировав их по следующим четырем категориям:

  • Методы уклонения от рисков;
  • Методы локализации рисков;
  • Методы диверсификации рисков;
  • Методы компенсации рисков.

Каждый из описанных методов предлагает конкретные, специализированные и эффективные решения для «рисковых» ситуаций, классифицированных определенным образом (смотри статьи про количественный и качественный метод анализа рисков) из общего множества по факторам, которые в дальнейшем могут явиться причиной возникновения ущерба.

«Искусство» обработки исходной информации, из которой можно вычленить необходимые «зерна» полезных данных смотри в статье про системный подход к процессу управления рискам, но необходимость оптимального учета факторов, критичных для классификации факторов риска является условием успешности применения того или иного метода управления рисками и, соответственно, результативность системы риск-менеджмента в целом.

Как было обосновано ранее, учет изменчивости «рисковой» составляющей и возможная миграция риска/группы рисков, направление которой будет достаточно сложно прогнозируемым, зависит от большого числа переменных:

  • «Внутренних» по отношению к рисковому окружению;
  • «Внешних» по отношению к рисковому окружению;
  • Других рисков, различной степени взаимодействия с исходным;
  • Эффектов проявления, «соединения», «разъединения» и т.д. рисков;

Поэтому важность накопления системной статистики по тому или иному риску является так же необходимым составляющим успешного выбора определенно метода по работе с рисками, который позволит обеспечить планомерное снижение уровня риска. При этом статистика должна отражать комплексную и адекватную «картину» развития риска.

В том случае, если предприятие, на котором проводится риск-менеджмент является достаточно крупным и условно стабильным в своем развитии, существует вероятность того, что необходимые оперативные реакции на изменения будут отвергнуты. Как правило, это происходит из-за «ложноинерциального» представления о достаточной защищенности от «динамическивозникающих» рисков, что может в дальнейшем привести к угрожающим последствиям от «ближнего» и «дальнего» проявления возникших ущербов.

Надо отметить, что в большинстве случаев

(что в большинстве случаев сложнее прогнозировать, но, как правило, более опасно из-за дополнительных неопределенных параметров)

В подобной ситуации, малые предприятия, неизбалованные приемлемым уровнем стабильности, стремятся более точно и гибко реагировать на неприемлемые для них риски и, при необходимости, сменить приоритеты своих активностей, что практически невыполнимо для средних и крупных организаций.

Реальные ситуации, для которых свойственно разнообразие факторов риска, должны учитывать критичные для них факторы и в зависимости от этого избирать оптимальный метод управления риском.

Дополнительным условием, которое накладывает ограничение на выбор метода управления риском, является персона руководителя, от чьего решения зависит то, какой будет выбран в конечном итоге метод.

Важно, чтобы данное лицо принимающее решение могло взглянуть на рабочую картину достаточно комплексно, и принять оптимальное, для конкретных условий, решение.

Выводы

Итак, в следующей статье, которая будет являться второй частью рассматриваемой темы, мы начнем с того, что подробно, с конкретными практическими примерами, рассмотрим классификацию методов управления рисками, подвергнем «декомпозиции» процессы сопровождения и совершенствования домена управления рисками, постараемся подробно осветить необходимый для этого инструментарий.

На этой «интригующей» ноте мы сегодня прощаемся с Вами.

Всего доброго и до скорых встреч, уважаемые коллеги!

Авторы статьи

Иван Никитин

Михаил Цулая

Полезные материалы

Советуем прочитать


  • Подходы к проектированию и документированию архитектур программных продуктов
  • Архитектурное документирование. Что и Как? Начало
  • Еще немного о требованиях и соответствующих им архитектурных рисках
  • Инструментарий, используемый для моделирования архитектуры и функциональности программных продуктов
  • Роль стандартов в процессах разработки архитектуры программных продуктов
  • Внешние события, атрибуты, формирующие архитектуру программных продуктов и процесс её документирования Ч.1
  • Основные объекты и связи, представленные в виде компонентов архитектур программных продуктов
  • Основные характеристики и требования к современным архитектурам информационных приложений
  • Архитектурное проектирование программного обеспечения.Практики проектирования
  • Архитектурное проектирование программного обеспечения
  • Уровни «процессной» зрелости компании в контексте риск-менеджмента
  • Актуальность развития риск-менеджмента. Роль риск-менеджера
  • Методы управления рисками
  • Системный подход к процессу управления рисками
  • Количественный анализ рисков
  • Качественный анализ рисков
  • Настольный справочник аналитика
  • Виды анализа рисков
  • Настольный справочник аналитика. Глава 2. Планирование и Мониторинг бизнес анализа
  • Часть 2. Таинство изобретения и его плоды. Раздел 2.4
  • Идентификация рисков
  • Деятельность по управлению рисками
  • Немного о процессах анализа и управления рисками
  • Глава 1. Часть 2 Введение в дисциплину бизнес – анализа (BABOK)
  • Глава 1. Часть 1 Введение в дисциплину бизнес – анализа (BABOK)
  • Раздел 2.3 Технологии изобретательства (продолжение, серия статей о ТРИЗ)
  • Часть 2. Таинство изобретения и его плоды (Серия статей о ТРИЗ)
  • О важности применения шаблонов в профессии аналитика
  • Системы Электронного Документооборота
  • Часть 1. О методе обучения и самообучения ТРИЗ
  • Алгоритмизация творчества
  • Настольный справочник аналитика
  • Пути развития ИС
  • «Коробочка» Пандоры
  • Cамомотивация и закрытие рабочих/проектных этапов
  • Внедрение ИС
  • Внедрение ИС
  • Cорсинг