Деятельность по управлению рисками

2.5. Цели и задачи управления рисками

В основе деятельности по анализу и управлению рисками должно находиться явное, определенное и однозначное видение того, зачем необходимо данному, конкретному субъекту анализировать риски и управлять ими. Без четко намеченного плана (в идеальной ситуации, появившегося из стратегии развития) оценить и правильно идентифицировать информационные риски очень сложно, а порой даже невозможно. Успешность этих деятельностей будет зависеть только от квалификации обслуживающего их персонала, которая обсуждалась чуть ранее. Необходимо отметить отсутствие единого взгляда и стандарта/порядка/регламента, который смог бы описать и предложить путь решения всех явных и потенциальных проблем.

Каждая ситуация, каждый процесс состоит из множества элементарных объектов. Эти составляющие необходимо подвергнуть процедуре анализа. Подробность рассмотрения конкретной частицы зависит от величины вклада рассматриваемого объекта в результат деятельности.

Чем более сложные и многогранные процессы мы рассматриваем, тем более важным является детальная предварительная проработка сферы деятельности, методологии, в которой может возникнуть риск и применение лучших практик и методов, признанных и апробированных ранее в работе над ними.

Понимание целей помогает осознанно контролировать все рассматриваемые процессы, понимая заданный тренд и допустимые отклонения в его "пути".

Основная цель в активности анализа рисков – это предоставление наиболее полной и достаточной информации для адекватного управления рисками.

Под управлением более правильно понимать не "управление", как конкретную функцию менеджмента, но как саму дисциплину "менеджмент", которая заключает в себе 5 процессов:

• Управление
• Инициирование
• Планирование
• Выполнение
• Мониторинг и контроль

Процесс совершенствования, который получает в последнее время наиболее бурное развитие благодаря распространению процессного подхода к организации деятельности, рассматривать здесь не вполне корректно. Причина этого в том, что рисковая составляющая должна "гаситься" со временем проведения процессов анализа и управления.

Активность анализа подразумевает под собой выполнение части активности совершенствования за счет того, что своевременно выстроенная система метрик основных "ущербных" составляющих процесса или проекта на этапе мониторинга и контроля, позволит существенно сократить затраты на эту составляющую и направить их в более конструктивное русло.

Итогом стадии анализа является исчерпывающие количественные и качественные данные, поступающие на "вход" стадии управления. Результатом этой стадии является без рисковый или "подконтрольнорисковый" результат.

Воплотить на практике вышеприведенные тезисы будет возможно в том случае, когда каждый субъект, задействованные и взаимодействующий с объектом, подверженному риску, осознает важность и необходимость своей вовлеченности в работу с рисками, появление которых, пусть даже гипотетически, возможно.

Понимание и участие в управлении анализа рисками и своевременная эскалация возникающих проблем и задач, на всех иерархических ступенях любой организации, позволит добиваться поставленных целей.

После того, как цели и задачи установлены, приняты и однозначно понимаются всеми участниками, следующей ступенью при работе с рисками является их идентификация (лекция 3). Базисом процесса идентификации является категорийная база, которая является инструментом для отнесения риска к той или иному классу или группе категорий рисков. "Помещение" риска в правильную категорию является залогом того, что в дальнейшем, работа по обработке доступной информации о нем и выработка дальнейшего алгоритма работы над ним, позволит устранить или уменьшить величину ущерба от его появления.

2.6. Классификация и категории рисков

На текущий момент развития области рисков в информационных технологиях уместно говорить о множественной типизации рисков. Отрасли информационных технологий присущ набор рисков, который наиболее характерен для рисков, связанных с высокотехнологичной и комплексной деятельностью, включающей в себя различные виды процессов. Набор рисков, характерный для определенного вида деятельности, называется комплексом рисков.

Когда речь заходит о комплексе, то, если использовать техническую терминологию, можно констатировать, что комплекс рисков является "взаимно пересекающим множеством" между всеми существующими комплексами рисков. Несмотря на рекурсивность получающегося определения, оно наиболее четко выражает сущность понятия комплекс рисков.

Комплексы рисков являются характерной составляющей для промышленности, финансовой и инвестиционных областей, коммерции, сферы кредитования и, конечно же, области информационных технологий. Таким образом, чем более сложный и комплексный вид деятельности, находящийся на "стыке" различных практических и теоретических областей, мы рассматриваем, тем более сложными и многогранными будут риски.

Информационные риски, возникающие в процессах и проектах, отличаются между собой по месту и времени возникновения, совокупности внешних и внутренних факторов, влияющих на их уровень и, следовательно, на способ их анализа и методы первичного и последующих описаний.

Как правило, все виды рисков взаимосвязаны и эмерджентны, поэтому оказывают влияния на осуществляемую деятельность не только сами по себе, а и в совокупности.

Изменение одного вида риска может вызывать изменение большинства остальных, находящихся в определенном комплексе. Классификация рисков означает систематизацию множества рисков на основании каких-то признаков и критериев, позволяющих объединить подмножества рисков в более общие понятия.

Наиболее важными элементами, положенными в основу классификации рисков, являются:

• время возникновения;
• характер;
• факторы возникновения;
• последствия;
• и др.

По времени возникновения риски распределяются на ретроспективные (прошлые), текущие и перспективные (будущие) риски.

Анализ ретроспективных рисков, их характера и способов снижения дает возможности более точно прогнозировать текущие и перспективные риски, предсказывать возможную природу их появления и, соответственно, управлять ей.

По характеру риски делятся на:

• Внешние риски.
• К ним относятся риски, непосредственно не связанные с деятельностью предприятия или взаимодействующим с ним окружением (деятельность поставщиков, смежных компаний, внешних разработчиков, аутсорсинговые и консалтинговые компании, партнеры и т.д.).
• Внутренние риски.
• К ним относятся риски, обусловленные деятельностью самого предприятия и составляющей его аудитории (риски связанные с квалификацией персонала, ИТ инфраструктурой, используемых технологий и т.д.).

Классификация рисков по фактору возникновения, в основу которой положены области деятельностей, является одной из самых многочисленных групп. В её основе находятся группы, такие, как проектные риски, операционные риски и т.д.

• Организационные риски (ОР).
• ОР - это риски, связанные с ошибками менеджмента компании, ее сотрудников; проблемами системы внутреннего контроля, плохо разработанными правилами работ, то есть риски, связанные с внутренней организацией работы компании.
• Процессные риски (ПР).
• ПР – это под раздел организационных рисков. Данный тип рисков характерен для отдельных видов процессов. Они связаны, как с выполнением отдельного процесса, так и с процессами, деятельность которых взаимосвязана функциями, которые они осуществляют (кросс-процессы).
• Проектные риски (ПРР).
• ПРР – это риски, характеризующие степень опасности для успешного осуществления проекта в целом или его отдельных этапов.
• Операционные риски (ОПР).
• ОПР – это риски, связанные с выполнением организацией определенных бизнес-операций.

Сложно не заметить, что классификация по фактору возникновения представляет собой "матрешку". Вложенность факторов соответствует распределению пунктов в процессной модели любой компании, при этом, каждый из рассмотренных групп рисков имеет "внутренние" классификации, которые могут быть декомпозированы и расширены до уровня, необходимого для отслеживания и контроля за определенным видом риска.

По последствиям риски подразделяются на:

• Чистые риски (иногда их еще называют простые или статические) характеризуются тем, что они практически всегда несут в себе потери для предпринимательской деятельности. Причинами чистых рисков могут быть стихийные бедствия, войны, несчастные случаи, преступные действия, недееспособности организации и др.
• Спекулятивные риски (иногда их еще называют динамическими или коммерческими) характеризуются тем, что могут нести в себе как потери, так и дополнительную прибыль для предпринимателя по отношению к ожидаемому результату. Причинами спекулятивных рисков могут быть изменение конъюнктуры рынка, изменение курсов валют, изменение налогового законодательства и т.д.

Говоря о последствиях возникновения рисков, нужно выделить отдельную классификацию по степени последствий возникновения рисков. Эта "подклассификация" является очень важной для принятия решений по осуществимости той или иной деятельности, связанной с рисками:

• Допустимый риск. Это риск решения, в результате неосуществления которого возможно "недостижение" поставленной цели деятельности. В пределах этой зоны деятельность сохраняет свою экономическую целесообразность, т.е. потери имеют место, но они не превышают размер ожидаемой ценности.
• Критический риск. Это риск, при котором возможна потеря всей или части ценности результата; т.е. зона критического риска характеризуется опасностью потерь, которые заведомо превышают возможный результат и, в крайнем случае, могут привести к потере всех средств, вложенных в проект.
• Катастрофический риск. Это риск, при котором возникает полная потеря ценности и возможно, что субъект риска понесет дополнительные затраты. Также к этой группе относят любой риск, связанный с прямой опасностью для жизни или дальнейшей деятельности людей.

Успех при отнесении риска к тому или иному пункту данной классификации, напрямую зависит от многих факторов, для полноты взглядов можно выделить 2 из них:

• Количественная степень изученности и определенности конкретного вида рисков
• Квалификация, навык, опыт, "предвидение" риск-менеджера, принимающего решение по осуществлению деятельности, подверженной рискам.

Если, речь идет только о втором факторе, то, как отмечалось ранее, сложно говорить о том, что на предприятии выстроена качественная система по работе с рисками. Успешность деятельности такой организации зависит только от конкретных специалистов, которые представляют собой "организацию в организации". Как правило, при уходе подобных специалистов, риск-менеджмент предприятия подвергается полному краху. Без четко выстроенной системы, в основу которой положена процессная модель с постоянным измерением результата деятельности, по заданным метрикам успешности, в современном мире высоких технологий, результат будет достичь довольно сложно. Но об этом чуть позже, в специально отведенной для этого лекции.

Подводя итоги темы классификации рисков, надо упомянуть о том, что приведенные здесь классификация не претендует на полноту и достаточность. В любой активности, возможно появление рисков, которые несут на себе отпечаток и результаты специфичной деятельности конкретного предприятия. Проявление в них рисков, возможно и уникальны, единичны или присутствуют в групповых случаях, зависящих от конкретного окружения и четко определенных параметров деятельности, отдельно взятой организации. Такие риски должны быть рассмотрены отдельно, в соответствии с системой по анализу и управлению рисками, спроектированной под нужды данного конкретного предприятия.

Перед тем, как осуществлять классификацию рисков, необходимо правильно выявить оценить и понять предпосылки, которые могут привести к появлению или проявлению риска. Стадия анализа рисков, которая позволяет провести подобную активность – это идентификация риска. От того, насколько правильно и дальновидно проведена идентификация риска зависит верность выбранного метода по работе и минимизации дальнейшего возможного или явного ущерба. Следующая, третья по счету, лекция курса "Процессы анализа и управления рисками в области ИТ" будет посвящена именно направлению идентификации рисков.

2.7. Выводы по изученной лекции

Пройденная лекция завершила краткое введение в направление по анализу и управлению рисков, кратко очертив границы данной деятельности. В лекции мы конспективно ознакомили слушателя с многообразием видов, типов и составленной на их основе классификации рисков, возникновению которых, в сущности, как было нами показано, способствует, в большинстве случаев, неопределенность начальных условий или ресурсов.

В следующей лекции мы приступим к подробному рассмотрению предваряющей стадии анализа рисков – процессу их идентификации и связанных с ним методов и методологий.

Желаем слушателям глубокого осознания тех основополагающих постулатов и тезисов, которые были нами изложены и используются в каждодневной работе. Совершенствования в направлении по работе с ИТ-рисками!

Ключевые термины

Формат предоставления (по алфавиту):

• Эмерджентность – наличие у какой-либо системы особых свойств, не присущих её элементам, а также сумме элементов, не связанных особыми системообразующими связями; несводимость свойств системы к сумме свойств её компонентов; синоним — "системный эффект"