Количественный анализ рисков

6.1. Введение

Цель лекции – рассмотреть деятельность количественного анализа рисков, изучить современные инструменты, применяемые для получения точных оценок рисков, на основе которых станет возможным перейти от экспертных оценок к математическому инструментарию, позволяющему автоматизировать процессы анализа рисков. Так же в сегодняшнем модуле будут затронуты вопросы "окружения" рисковых процедур, организации и управления риск-менеджмента.

В течение сегодняшней лекции мы предложим нашим коллегам надежные инструменты, позволяющие принимать обоснованные управленческие решения в состоянии высоких неопределенностей, связанных с "рисковыми" процессами, сформируем постулаты, необходимые для комплексных методов анализа рисков, которые могут быть использованы в качестве "ядра" системного подхода к риск-менеджменту любой современной организации.

Ранее ( "лекция 5" ) мы предложили инструментарий качественного анализа рисков. Рассмотренный тип анализа рисков, выполняемый в определенной деятельности, сам по себе не может претендовать на самодостаточность применения, с целью достижения высоких результатов, объективность которых может не подвергаться сомнению, а быть обоснованной технологической и программной "базой". Стоит оговориться и уточнить, что здесь, под "базой", мы понимаем массив достоверных и проверенных данных конкретного предприятия, на основе которого можно принимать эффективные управленческие решения, связанные с выбором краткосрочных тактик и долгосрочных стратегий по работе с рисками.

Для создания комплексных и самостоятельных методик, качеству результатов которых можно доверять необходимыми условиями являются:

• Наличие "базы" рисков, информация в которой отражает реалии происходивших ранее рисковых событий;
• Доступность ресурсов необходимого качества, таких как:
• Квалифицированный персонал, обладающий достаточным набором знаний;
• Необходимое специальное программное обеспечение;
• И т.д.
• Доступ к библиотеке/ архиву документации, созданной по результатам выполненных активностей (проектная документация, стандарты и регламенты организации и т.д.);
• Заинтересованность руководства в результатах выполняемых процессов/проектов желание участвовать в создании системы по работе с рисками лично;
• И т.д.

При использовании количественного анализ рисков становится возможным достаточно точное планирование процессов управления рисками. Это выражается в стандартизированной оценке сроков исполнения проектов, в рамках выделенных бюджетов.

Таким образом, мы сформулировали основное "управленческое"/менеджерское различие количественного и качественных видов рисков, выраженное в прогнозировании и более достоверном выделении необходимых для риск-менеджмента ресурсов.

При применении количественных показателей деятельности, работа и своевременная актуализация которых может способствовать повышению качества продуктов и/или услуг, производимых организацией, способствовать меньшему использованию экспертных оценок и привлечению достоверных методик и техник, построенных на точных алгоритмах.

После того, как выполнен качественный анализ рисков, его результатом является корректная и полная идентификация, первичная оценка рисков, на основе которой строится количественный анализ. Для руководства деятельности важно понимать и правильно представлять, что количественный анализ рисков во многом схож с процессом качественного анализа, с той разницей, что результатом количественного анализа является точная количественная метрика или иной математический показатель, который корректен для сравнения с аналогичными оценками.

При этом не стоит забывать о том, что в процессе каждой определенной деятельности достигается оптимальный результат, подкрепленный заданным уровнем качества, обоснованным ресурсами, выделенными на конкретную деятельность. В теории, результатом количественного анализа рисков является 100% обоснованные показатели, но на практике дело обстоит немного по-другому. Подобные цифры являются недостижимым, слишком дорогим для применения эталоном. Поэтому важно понимание того, что в процессе риск-менеджемента должен быть достигнут оптимум, итоги которого будут удовлетворительно устраивать всех стэйкхолдеров, способных уделить достаточное внимание всем "рисковым" частям проекта, с приоритетом к наиболее критичным из них.

Цель количественного анализа рисков заключается в том, чтобы понять – Что (деньги, время, персонал) и сколько стоит риск для данной активности?

При количественном анализе рисков на первый план выходит его основные атрибуты – вероятность и случайно/псевдослучайные переменные, которые в различных комбинациях составляют его основное содержание.

Именно вероятностям, переменным, методам и техниками по их обработке, представлению, визуализации, правильному и оптимальному использованию для конкретных ситуаций в заданных условиях будет посвящена сегодняшняя лекция, которая должна подвести черту под методологическим "базисом" предмета анализа рисков.

6.2. Организация процедур количественного анализа рисков

Как и любой вид активности области информационных технологий, о котором мы говорили ранее, количественный анализ, при условии того, что его результаты должны удовлетворять ожиданиям руководства, нуждается в организации и компетентном управлении процессами, из которых он состоит.

Дополнительно надо учитывать, что для эффективной организации процессов риск-менеджмента, в части количественного анализа рисков должны быть учтены следующие факторы:

• Эффективная система коммуникаций компании;
• Эффективная система коммуникаций необходима для того, чтобы процедуры сбора, анализа данных, предоставления обратной связи, информирования и т.д., которые должны являться частью рабочих процессов рассматриваемой компании, внедренные на разных стадиях и этапах, могли быть отлаженным структурным элементом, работающим без сбоев и выполняющим свои процедуры с заданной степенью качества.
• Дополнительные, по сравнению с качественным анализом рисков, ресурсы;
• Мы ранее говорили о том, что количественный анализ стоит рассматривать не как замена качественному анализу, а как его эволюционное продолжение, сулящее большие "плоды". Данная постановка задачи делает очевидным тот факт, что для количественного анализа рисков потребуются дополнительные ресурсные затраты. Это аллоцирование связанно с информационной методологической, инструментальной составляющей данного процесса, которые не всегда можно будет однозначно представить, как ресурсы, израсходованные на увеличение стоимость конечного продукта, но фундаментально обосновать необходимость их использования.
• Постепенность внедрения процедур количественного анализа;
• Процесс внедрения количественного анализа рисков, как и всего риск-менеджмента, демонстрирует то, насколько конкретная организация (прежде всего её топ-менеджмент) готова/созрела к тому, чтобы выйти на новый виток развития своего бизнеса за счет повышения своего уровня "сознательности" и отношения к бизнесу. Но необходимо отметить, что "полно-разовое" внедрение процессов количественного анализа рисков может болезненно отразиться на проекте/процессе в целом. Дело в том, что как показано выше, внедрение риск-менеджмента очень требовательно к системе коммуникаций компании и ресурсам, отводимым на активность риск-менеджмента. "Не доработка" одной, а что еще хуже двух составляющих сразу может привести к тому, что вместо стройной архитектуры, получатся сляпанные развалины. Чтобы уменьшить неопределенность и свести к минимуму возможные риски предлагается итеративно, шаг за шагом, планировать и внедрять количественный анализ рисков, начиная с более фундаментальных процессов и процедур конкретной организации.
• Требователен к объективности выдаваемых оценок;
• Количественный анализ рисков, как каждый вид аналитических активностей нуждается в правильновыбранном подходе и компетентном, непредвзятом квалифицированном персонале. В обязанности риск-менеджеров должно входить принятие взвешены и максимальнообъективных оценок и решений, руководствуясь стандартными и хорошо себя зарекомендовавшими методиками. В противном случае количественный анализ рисков может выродиться из точного инструмента в субъективное, незрелое "советование", полученное из непродуманной, поверхностной информации.
• Взаимосвязан со всем, сделанным ранее и является показателем эффективности проделанной работы;
• Если подытожить сказанное, то становится понятно, что количественный анализ рисков представляет собой активность, суть которой заключается в использовании результатов предыдущих деятельностей (идентификации, оценки, качественного анализа рисков) и их трансформировании в базисную систему знаний. На основе такой системы уже возможно принимать эффективные управленческие решения, касающиеся процессов анализа рисков в ИТ. Поэтому согласованность ранее полученных данных, их взаимодополняемость, логичность, прозрачность, непротиворечивость, доступность к пониманию важна для дальнейших процессов, которые будут использовать их для своих внутренних механизмов. Если информация будет не согласована, то каждый этап по работе с ней будет представлять не развитие существующей деятельности, а малоэффективную активность по обработке разрозненных данных, что не будет способствовать достижению целей домена риск-менеджмента.

В предыдущей лекции мы акцентировали внимание коллег на том факте, что в процессы по анализу рисков желательно вовлечение компетентных представителей всех стэйкхолдеров, но, учитывая то, что иногда это становится невыполнимой задачей, одной из основных задач риск-менеджера становится гармоничное балансирование между требованиями к домену риск-менеджмента и необходимой глубиной количественного анализа рисков. От приоритетов конкретных задач и отведенных на них ресурсов будет зависеть качество и достоверность результатов количественного анализа рисков.