Опубликован: 04.06.2015 | Уровень: для всех | Доступ: платный
Лекция 9:

Итоги курса "Процессы анализа и управления рисками в области ИТ"

< Лекция 8 || Лекция 9: 12
Аннотация: Последняя лекция курса "Процессы анализа и управления рисками в области ИТ" будет посвящена подведению итогов курса в целом, так же мы сделаем необходимые выводы о том, как стоит дальше управлять полученными знаниями. Мы выполним рассмотрение всех ранее сделанных выводов и итогов в целях их систематизации и оптимального представления полученной информации на определенном уровне восприятия. Сделанный обзор может быть использован при регламентации деятельности риск-менеджмента конкретного предприятия и дальнейшем развитии процессов анализа и управления рисками. Как уже было обосновано ранее, для того, чтобы постоянно максимизировать получаемые результаты риск-менеджмента и, соответственно, прибыль предприятия, извлекаемую из производимых товаров и/или услуг, необходимо повышать их качество, которое, как зафиксировано, непосредственно зависит от того, насколько пристальное внимание уделяется по работе с/над рисками. Так же сегодня мы опишем актуальность рассматриваемой нами области в целом, рассмотрим необходимые составляющие процессов риск-менеджмента, выясним роль риск-менеджера, выявим влияние "уровней зрелости" компании и темпов ее развития на риск-менеджмент, поймем как управлять рисками на уровне компании, попытаемся исследовать культуру управления рисками и её применения к активности совершенствования процессов анализа и управления рисками.

9.1. Введение

Цель лекции – подвести общие итоги рассматриваемого курса, сформировав, при этом, у наших коллег полное, структурированное и системное представление о процессах анализа и управления рисками. Полученная и соответствующим образом проанализированная информация должна быть положена в основу развития навыков, иметь которые должен стремиться каждый специалист в домене информационных технологий, стремящийся к тому, чтобы быть не просто "сторонним наблюдателем", а управлять своей деятельностью, какой бы спецификой она не отличалась. Это необходимо так же по причине того, что каждое специфичное ("узкое") направление работ в области ИТ связано с риск-менеджментом.

Сегодняшняя лекция является заключительной лекций курса "Процессы анализа и управления в области информационных технологий". В ней мы изложим ключевую для систематизации данных информацию, которая позволит системно взглянуть на весь изученный материал и понять его актуальность для области информационных технологий в целом.

Так же нами будут сформулированы комплексные выводы, касающиеся домена риск-менеджмента, на основе информации, излагаемой на протяжении наших лекций. С её помощью станет возможным адаптировать теоретическую информацию по рискам в ИТ, для применения в качестве практической системы риск-менеджмента любого современного предприятия, которое ставит перед собой не просто цели "удержаться на плаву", но занять лидирующие позиции в своем направлении на рынке товаров и услуг.

9.2. Актуальность области анализа и управления рисками

Текущий уровень развития науки, информационных технологий, техники и бизнеса диктует высокие стандарты качества продуктов и услуг, оптимальное использование которых позволяет добиться конкурентного преимущества и занять лидирующие позиции в своем сегменте бизнеса для компаний, которые нацелены на долгосрочное развитие и создание качественного результата своей деятельности. Стратегии, связанные с "мгновенным" извлечением прибыли и с последующим "уходом" с рынка ИТ продуктов, мы в нашем курсе не затрагиваем.

В связи со сказанным появляется задача определения рамок нашего обсуждения и анализа актуальности темы анализа и управления рисками. Это необходимо для последующего корректного и оптимального применения риск-менеджмента в основных бизнес процессах организаций, на основе которых формируется основная прибыль предприятий, использующих процессы анализа и управления рисками.

Сегодня, когда требования рынка к представленным на нем товарам и услугам очень высоки, а время, предоставленное производителям для вывода инновационных продуктов на "прилавки" стремится к минимуму, учесть все критичные факторы при проектировании, разработке и последующем внедрении процессов и продуктов задача довольно сложная и априори дорогостоящая. В связи с этим, владельцам продуктов и исполнителям работ, как внешним (в случае привлечения аутсорсинговых компании к разработке продуктов), так и внутренним (при использовании собственных ресурсов организации) необходимо иметь в своем арсенале специальные активности, с помощью которых станет возможным работать с рисками и учитывать их возможные последствия в жизненном цикле продуктов/процессах/ активностях.

Ранее, при социалистическом государственном строе нашего государства, подобных задач не вставало по причине того, что основным заказчиком и исполнителем работ было советское правительство, которое обладало "бездонными" ресурсами. Процесс контроля качества, работы с рисками выполнялся в виде функций, осуществляющий координацию не хода процесса, а аудит конечного результата, который можно было получать в необходимом количестве и качестве, учитываю специфику производства и "богатство" советской страны. Сегодня на подобную расточительность нет ни материальных ресурсов, ни времени.

Рыночное развитие экономики по западному принципу, диктует свои стандарты, без соблюдения которых ни одна компания современного типа (за редким исключением) не выживет в современной социальной и экономической действительности. Именно поэтому процессы менеджмента качества и работы с рисками перестают быть "точечными" процедурами, а плавно, начиная с 90-х годов прошлого столетия, начинают интегрироваться в основные производственные процессы организаций, стремящихся к лидерству и существованию на современном рынке товаров и услуг. Это подтверждается популярностью и необходимостью использования стандартов серии 9000, которые получили необыкновенное распространение и развитие в указанный период времени и при этом, используются и развиваются на сегодняшний день очень активно.

При чем, в ряде отраслей и процессов, применение этих стандартов и смежных с ними, является необходимым условием для выхода производителей на рынок.

Для всех сотрудников, в деятельности которых присутствует необходимость работы с рисками (а это практически все типы работников каждого предприятия), необходимо понимание того, что риск, это не случайное понятие, проявление которого зависит от случайности, а конкретное событие, возникающее в ответ на ряд социальных, экономических, технических, организационных, психологических и т.д. факторов, проявлению или отсутствию которых способствует каждый специалист, принимающий решения любого масштаба, на своем рабочем и в своей деятельности.

Необходимость в процессах, обеспечивающие функции которых позволят стабилизировать имеющуюся ситуацию, предотвратить появление рисков, предоставить данные о слабых местах в деятельности компании и обеспечить надлежащее качество продуктов, является одним из определяющих факторов развития и продвижения компаний на рынке товаров и услуг.

9.3. Необходимые составляющие процессов анализа и управления рисками

Величина ресурсов, которыми обеспечивается риск-менеджмент, обосновывается целями, которые должны выполняться данной активностью.

Чем более амбициозные цели ставит руководство, тем более полное финансирование должно выполняться.

Перечень необходимых и достаточных составляющих процессов анализа и управления рисками, вне зависимости от масштабов домена риск-менеджмента, его организации и финансирования являются:

  • Достаточное финансирование;
  • Необходимое программное обеспечение;
    • Программное обеспечение должно полностью удовлетворять имеющиеся бизнес потребности;
  • Пополняемый массив данных, организованных в виде специализированного программного обеспечения, на основе которого, в последствии, нужно будет:
    • Собрать значимую статистику;
    • Принять своевременные управленческие решения ;
  • Методологическая база, соотносящаяся со стратегией развития бизнес направлений компании, к которым применяется риск-менеджмент;
  • Человеческий капитал;
  • И т.д.

Перечень вышеприведенных ресурсов представляет собой необходимый базовый минимум, который должен быть предусмотрен в качестве стартовых ресурсов при внедрении процессов анализа и управления рисками. Поэтому, прежде чем начинать работу по организации риск-менеджмента, руководство организации должно задуматься о том, каким образом они планируют в дальнейшем использовать данное функциональное направление своей организации.

Дело в том, что стадия проектирования бизнес-процессов закладывает необходимую материальную базу и бизнес-архитектуру домена. Если допустить просчет, в момент формирования необходимых процессов и их обеспечения, связанный с недостаточным/ некорректным выделением ресурсов для их применения в проектируемых активностях, то в дальнейшем это может привести к ошибкам в ходе выполнения работ по анализу и управлению рисками и нарушить цели и результаты запланированного использование рисковых процессов.

При подобном развитии ситуации, домен риск-менеджмента может стать "узким горлышком" организационных процессов, а это в свою очередь может способствовать возникновению дополнительных ограничений при развитии организации.

Конечно, развитие любой активности может корректироваться по ходу её жизненного цикла, в зависимости от задач, которые она должна поддерживать. Но стадия проектирования, в которой определяется максимальная нагрузка, выдерживаемая и поддерживаемая риск-менеджментом, закладывает тот базис, превзойти который вряд ли в дальнейшем удастся, без привлечения дополнительных капитальных средств.

9.4. Роль риск-менеджера

Роль риск-менеджера, основного участника процессов анализа и управления рисками, является центральной в процессах риск-менеджмента. От его человеческих качеств и профессиональных навыков будет зависеть успех домена риск-менеджмента. Согласны ведь все? Да, конечно, но… такое развитие ситуации, должно не устраивать руководство компаний.

В конкретной организации, стремящейся к лидерству в своем сегменте, необходимо выстроить процессную систему управления рисками, которая должна учитывать и применять положительные стороны своих специалистов и при этом уметь сглаживать их недостатки, стремясь, эволюционным путем, развить их в достоинства.

Цель системы – снизить значимое влияние отдельных исполнителей на общий результат, диверсифицировав риск фактора "человека оркестра", за счет распределения знаний, информации и обязанностей между группой заинтересованных в достижении результата сотрудников.

В подобной схеме развития должны быть заинтересованы как руководство компании, бонус которого заключается в организации и сопровождении беспрерывных качественных бизнес процессов риск-менеджмента, так и профессионалы, которые могут планировать свое дальнейшее развитие и совершенствование с учетом понимания текущей ситуации и представления о том, в каком направлении возможно их развитие. Цель общей системы предоставить всем её участникам равные возможности профессионального роста и применения получаемых навыков в работе, с учетом понимания четких рамок и границ, в условиях которых каждый специалист должен уметь применить свои таланты на благо компании. Так же немаловажно, чтобы каждый не только имел возможность развивать навыки, но и применял их в достаточном объеме, на постоянной основе.

Риск-менеджер при анализе и принятии решений по определенным ситуациям должен руководствоваться следующим сводом основных правил, которые представляют собой "best practice" данного направления деятельности:

  1. Нельзя допускать проявления риска больше, чем это могут позволить цели конкретной активности;
  2. Необходимо продумывать и моделировать возможные варианты проявления рисков;
  3. Нельзя рисковать многим ради малого;
  4. Положительное решение принимается лишь при обоснованном отсутствии сомнения;
  5. При наличии сомнений принимаются согласованные с стэйкхолдерами решения, которые подкреплены соответствующей информацией;
  6. Нельзя думать, что всегда существует только одно решение, абсолютно точно, что есть и другие;

Но, наряду с "best practice", нам кажется правильным перечислить и "worst practice". Цель, которую мы преследуем при перечислении правил, которых риск-менеджер не должен допускать в своей деятельности – формирование профессионального мировоззрения.

Основу профессиональной философии риск-менеджера должны составлять не только результаты, к которым он должен стремиться, но и табу, которых он должен не допускать:

  • Использование неполной структуры декомпозиции рисков:
    • Структура декомпозиции рисков, о которой мы говорили ранее в лекциях про комплексную программу по работе с рисками, - это своего рода импульс для выявления дополнительных рисков. Риск-менеджер должен использовать её для выявления явных и потенциальных рисков и своевременной передачи информации заинтересованным лицам, которые будут участвовать в управлении рисками;
  • Игнорирование субъективности:
    • Субъективность может лишить смысла процессы анализа и управления рисками. В процессе идентификации рисков обнаруживается, что осведомленные заинтересованные лица, стремящиеся уклониться от риска, выявят дополнительные риски; в отличие от этого, новички могут не обратить внимания на реальные риски. Важно прийти к соглашению между этими противоположными взглядами во время идентификации рисков.
    • Вечной проблемой информации об управлении рисками является субъективность. Различные люди воспринимают риски по-разному. Риск-менеджер отвечает за устранение субъективности и обеспечение должного качества информации о рисках. Субъективности можно избежать путем использования методов качественного анализа рисков. Именно в них сохраняется анонимность точек зрения экспертов в конкретных областях даже после завершения стадии идентификации;
  • Назначение всех/большинства рисков одному конкретному руководителю:
    • Один человек не может успешно управлять рисками. Риск-менеджер должен четко обозначить ожидания и сообщить экспертам в конкретных областях, заинтересованным лицам, … что от них ожидается. Владельцам рисков нужно сообщить об ответственности за риски. Дальнейшее состояние рисков должно отслеживаться и контролироваться;
    • Предлагается использование матрицы управления рисками RACI, (Ответственный, подотчетный, проконсультированный, сообщенный) которая поможет четко определить роли и обязанности и сообщить о них конечным исполнителям назначенных активностей;
  • Пренебрежение процедурами анализа:
    • Не всеми рисками нужно управлять.
      • Часть рисков можно/нужно просто принять, учитывая их объем и степень проявления. Принятие рисков возможно при неблагоприятном анализе эффективности затрат на мероприятия по анализу и управлению рисками. Например, если величина потери намного меньше получаемой выгоды может быть разумным принятие риска;
  • Делать это единожды:
    • Управление рисками – это итеративный процесс, который нужно применять на всех этапах проекта от его начала до закрытия. Неправильно делать это только во время начальных этапов планирования, также нельзя прекращать выявление новых рисков в течение этапа выполнения. Многие руководители выявляют риски в начале проекта и забывают про риски до тех пор, пока они не превратятся в проблемы. Руководство компании должно повышать культуру управления рисками (рассмотрим ниже) и настаивать на постоянном мониторинге проектов/процессов на предмет проявления рисков. Новые риски должны проходить через процесс анализа, ….

Если руководство организации поставит себе одной из целей прививать своим работникам культуру (о культуре мы подробнее расскажем чуть позже) работы с рисками, то выгоды от данного решения, при условии реализуемости их в виде конкретных действий, дадут "плоды" в виде повышенного качества продуктов и/или услуг создаваемых компанией.

Более талантливые сотрудники отличаются тем, что им присущи процедуры рефлексии (самоанализа) произведенных ими продуктов и дальнейшее применения результатов этих процедур. Это позволяет им добиваться более качественного результата, отраженного в виде более быстрых или качественных решений.

Неотъемлемым этапом организации риск-менеджмента в целом, является разработка мероприятий по достижению намеченной программы, т.е. определение дополнительных этапов или видов работ с использованием "best practice", учетом "worst practice", объемов и источников финансирования этих работ, дополнительных исполнителей, сроков выполнения, которые выявляются по ходу процесса, при бдительном участии в активностях профессиональных риск-менеджеров.

Таким образом, роль риск-менеджера, профессионально выполняющего свои обязанности, является ключевой в процессах анализа и управления рисками, но руководство компаний, в которых проводится риск-менеджмент, должно стремиться к регламентированному ограничению влияние, которое может оказывать отдельный сотрудник на общий результат.

Развитие сотрудника и компании, повышение их совместных компетенций должно быть взаимногармонизировано.

< Лекция 8 || Лекция 9: 12
Грета Березовская
Грета Березовская
Александр Медов
Александр Медов

Здравствуйте, прошел курс МБА Управление ИТ-проектами и направил документы на получение диплома почтой. Подскажите, сроки получения оного в бумажной форме?

:

Денис Бочаров
Денис Бочаров
Россия
Анна Небеснюк
Анна Небеснюк
Россия, Софрино-1, Майская средняя, 2012