Опубликован: 04.06.2015 | Уровень: для всех | Доступ: платный
Лекция 8:

Комплексная программа управления рисками

< Лекция 7 || Лекция 8: 123 || Лекция 9 >

8.3. Разработка процедур управления рисками. Бизнес правила

Процедуры, составляющие процесс управления рисками представляют собой "шаблонные" пути решения, цель которых состоит в том, чтобы предложить для выбора в определенной ситуации варианты конкретных решений, которые целесообразно применить для использования в рисковой ситуации с определенными (известными и неизвестными) параметрами.

Выбор в пользу определенного варианта использования будет зависеть от того, насколько та или иная разработанная процедура управления определенным риском/группы рисков адаптирована под нужды конкретного окружения (внешние и внутренние параметры ситуации), соответствует конкретным процессам, в которых возможно проявление риска, будет эффективна для данного случая.

При разработке процедур целесообразно руководствоваться принципами, которые заложены в основе деятельности компании. Такие принципы принято называть бизнес-правилами. Большинство из них формируются в процессе "осознания" тех постулатов, которые являются движущими "рычагами" бизнеса. Они не всегда очевидны (как правило потому, что находятся в "головах" ограниченного количества стэйкхолдеров), но начинают существовать вместе с началом бизнес деятельности. От того, насколько они соблюдаются, зависит заданная стабильность развития того или иного направления бизнеса, в которой они применяются.

Именно бизнес правила и динамика их изменения определяют тренд развития информационных систем и, именно они, влияют на стабильность компании, в данном случае её рисковой составляющей.

Соответственно, из сказанного целесообразно сделать вывод о том, что бизнес правила являются одной из составляющих, определяющих величину "рисковости", которая доступна для управления и изучения.

Но, в современном бизнес сообществе бизнес правила очень часто игнорируются и "подменяются" на конкретные сценарии развития, которые "ложатся" в основу разработки процедур управления рисками. Тут стоит уточнить тот факт, что сценарии использования это конкретные варианты реализации рисков, а "бизнес правила" это универсальные/"псевдоуниверсальные" принципы, которые определяют сценарии использования, поэтому очень важно учитывать то, что при разработке процедур управления рисками должны использоваться именно бизнес правила. В таком случае можно говорить о достаточно надежной защите бизнеса от рисков.

Состав разрабатываемых процедур управления рисками определяется многими факторами, но в его основе находятся 2 основные составляющие, определяющие процедуры по управлению и анализу риск-менеджмента:

  • Текущее "рисковое" состояние организации;
  • Потребность/и стэйкхолдеров;

Именно потребности стэйкхолдеров определяют то, каким образом, с какой "документарной" и иными видами поддержки должна быть разработана та или иная процедура. В некоторых случаях разработка процедур может включать в себя следующие активности:

Разработка предложений в части рискового домена для стратегии/политике предприятия;

  • Документирование основных процедур управления рисками;
  • Разработка методологии оценки отдельных видов рисков и совокупного риска;
  • И т.д.

Оптимальноразработанные и примененные процедуры управления рисками позволят уменьшить (или исключить вообще) возможные ущербы, будет способствовать стабилизации и развитию компании.

Еще раз перечислим набор нормативно-методических документов, которые должны обеспечить процедуры управления рисками необходимой инструментально-правовой базой:

  • Политика управления рисками
  • Положение об управлении рисками
  • Процедура управления рисками
  • Методические указания по описанию и оценке рисков
  • Методические указания по оценке влияния рисков на работы календарного плана
  • Методические указания по формированию индикаторов рисков
  • Справочник по процедуре управления рисками
  • Справочник по типовым рискам

В итоге нужно сказать о том, что нет процедур управления рисками, которые могли бы быть разработаны таким образом, чтобы претендовать на универсальность и всестороннюю применимость. Каждая процедура должна учитывать специфику конкретной ситуации и определенных рисков, управление которых планируется осуществлять с помощью процедур управления рисками.

8.4. Методы управления рисками

В предыдущей лекции мы поверхностно рассмотрели многообразие методов управления рисками, классифицировав их по следующим четырем категориям:

  • Методы уклонения от рисков;
  • Методы локализации рисков;
  • Методы диверсификации рисков;
  • Методы компенсации рисков;

Каждый из описанных методов предлагает конкретные, специализированные и эффективные решения для "рисковых" ситуаций, классифицированных определенным образом (смотри лекции про количественный и качественный метод анализа рисков) из общего множества по факторам, которые в дальнейшем могут явиться причиной возникновения ущерба.

"Искусство" обработки исходной информации, из которой можно вычленить необходимые "зерна" полезных данных смотри в лекции про системный подход к процессу управления рискам, но необходимость оптимального учета факторов, критичных для классификации факторов риска является условием успешности применения того или иного метода управления рисками и, соответственно, результативность системы риск-менеджмента в целом.

Как было обосновано ранее, учет изменчивости "рисковой" составляющей и возможная миграция риска/группы рисков, направление которой будет достаточно сложно прогнозируемым, зависит от большого числа переменных:

  • "Внутренних" по отношению к рисковому окружению;
  • "Внешних" по отношению к рисковому окружению;
  • Других рисков, различной степени взаимодействия с исходным;
  • Эффектов проявления, "соединения", "разъединения" и т.д. рисков;

Поэтому важность накопления системной статистики по тому или иному риску является так же необходимым составляющим успешного выбора определенно метода по работе с рисками, который позволит обеспечить планомерное снижение уровня риска. При этом статистика должна отражать комплексную и адекватную "картину" развития риска.

В том случае, если предприятие, на котором проводится риск-менеджмент является достаточно крупным и условно стабильным в своем развитии, существует вероятность того, что необходимые оперативные реакции на изменения будут отвергнуты. Как правило, это происходит из-за "ложноинерциального" представления о достаточной защищенности от "динамическивозникающих" рисков, что может в дальнейшем привести к угрожающим последствиям от "ближнего" и "дальнего" проявления возникших ущербов.

В подобной ситуации, малые предприятия, неизбалованные приемлемым уровнем стабильности, стремятся более точно и гибко реагировать на неприемлемые для них риски и, при необходимости, сменить приоритеты своих активностей, что практически невыполнимо для средних и крупных организаций.

Реальные ситуации, для которых свойственно разнообразие факторов риска, должны учитывать критичные для них факторы и в зависимости от этого избирать оптимальный метод управления риском.

Дополнительным условием, которое накладывает ограничение на выбор метода управления риском, является персона руководителя, от чьего решения зависит то, какой будет выбран в конечном итоге метод.

Важно, чтобы данное лицо принимающее решение могло взглянуть на рабочую картину достаточно комплексно, и принять оптимальное, для конкретных условий, решение.

8.5. Классификация методов управления рисками

В этой главе мы опишем все методы комплексно, с конкретными практическими примерами их использования.

Подробное рассмотрение методов управления рисками, с конкретными образцами их применения, начнем с методов уклонения, предварительно описанных нами ранее.

Методы уклонения от рисков

Данной группой методов, как было нами сказано ранее, пользуются руководители, принципы которых построены на тактике исключения рисков из своей деятельности.

Они предпочитают отказываться от услуг сотрудников, коллег, партнеров, технологий, надежность которых не подтверждена их же опытом. Личности, стремящиеся использовать методы данной группы, избегают вынужденно расширять круг своего профессионального общения и употребляемые в работе навыки и инструменты, качество работы которых не подтверждено.

В целях избегания риска, при использовании методов уклонения от рисков, отвергается явно или скрыто большинство инновационных новшеств, проектная деятельность в целом.

Таким образом, предприятия, на которых используются данные методы, исключают возможность эффективного "прорыва" и обречены на "паразитическое" следование за теми, кто проверил эффективность той или иной технологии на себе, что в целом может характеризовать организации, которым свойственны данные методы, как консервативные в области информационных технологий. В тоже время, эти организации достаточно надежны при развитии, в случае стабильного и предсказуемого рискового окружения, которым могут похвастаться лишь компании, деятельность которых обеспечена наиболее значимыми для актуального развития мировой экономики ресурсами и технологиями. При использовании методов уклонения от рисков очень важно придерживаться принципов "гармоничного балансирования" между используемыми техниками и уровнем приемлемого риска, принятым в деятельности организации. Перегиб в ту или иную сторону может привести к губительным последствиям для деятельности, в которой применяется риск-менеджмент.

Примеры применения методов в области ИТ:

  • Крупные государственные ИТ компании, занимающиеся внедрением информационных технологий, придерживающиеся "безрисковых стратегий", используют программное обеспечение только проверенных вендоров, при этом избегают адаптировать его под свои конкретные нужды и разрабатывать новые.
  • Другим популярным примером уклонения от рисков является перенос риска на третье лицо – страхование. Страхование выполняет функцию надежного "щита", который является защитой от неудачных решений. Это способствует повышению ответственности руководителей предприятий. Процедуры, которые должны обеспечить применение страхования, "вынуждают" руководство организаций серьезнее относиться к разработке и принятию решений, регулярно проводить превентивные защитные меры, которые могут повлиять на снижение уровня возможных рисков

Краткие итоги по методу:

Использование метод уклонения от рисков не характерно для компаний, осваивающих новые виды продукции, новые технологии или разрабатывающих инновационное программное обеспечение, так как для таких случаев нет статистических данных, необходимых для принятия обоснованных управленческих решений. Для компаний, которые стремятся занять лидирующие позиции в своем домене, использование техник данной группы может быть губительным. В подобной ситуации эффективный риск-менеджмент должен уметь использовать другие методы нейтрализации риска

Методы локализации рисков

Методы локализации риска основаны на идентификации тех "участков" процесса/ов, в которых наблюдается наиболее высокая возможная концентрация факторов риска. Суть данных методов состоит в том, что такие "точки" риска выносятся за пределы деятельности и выделяются в отдельные, самостоятельные/псевдосамостоятельные структуры, построенные по принципу самодостаточного локализованного управления и финансирования.

Методы этой группы используют в тех, сравнительно редких случаях, когда однозначно удается "выявить" и локализовать источники риска. После того, как источник риска опознан, необходимо изолировать его путем "переноса" рисковой составляющей в отдельную стадию работ или создания отдельного процесса или деятельности организации, которую можно более пристально контролировать и тем самым обеспечить необходимые условия для проактивного реагирования на явные или потенциальные риски.

Методы локализации рисков приобрели наиболее широкое распространение в преимущественно крупных компаниях. Их используют при реализации процессов или проектов, результатом которых должен стать продукт или услуга, успешность которых:

  • Вызывает сомнения;
  • Представляет собой не профильный домен для данной организации, у которой отсутствуют компетенции в реализуемой активности.

В большинстве случаев для эффективной реализации рисковой деятельности требуются дополнительные исследовательские работы для адаптации исследуемых артефактов под конкретные специфические нужды и области.

Самая "рискованная" часть процесса/проекта "выносится" в специально вновь созданную структуру. Цель этой "структуры" состоит в осуществлении "рисковых" задач. При этом, для данной "структуры" сохраняются условия эффективного взаимодействия с "родительской" организацией для необходимого "подключения" дополнительных ресурсов.

Примеры применения методов в области ИТ:

  • Наиболее наглядной иллюстрацией методов данной группы является создание крупной организации в структуре одного из самых крупных банков Российской Федерации в начале 10-х годов второго тысячелетия, которая является ответственной за деятельность в сфере высоких технологий;
  • В практике большинства современных консалтинговых компаний, разработчиков промышленного, заказного программного обеспечения есть активность по созданию новой дочерней структуры, в случае выход на ИТ рынок нового продукта, прогнозируемое использование которого является довольно широкомасштабным.

Краткие итоги по методу:

Неоспоримым целевым достоинством методов рассматриваемой группы состоит в "гибкости", оптимальное применение которой позволит извлечь дополнительные выгоды для "родительского" подразделения/организации за счет уменьшения уровня неопределенностей от использования непрофильного процесса/продукта. В частности же:

  • Будут своевременно подготовлены новые продукты и технологии
  • Накоплены необходимые компетенции;
  • Подготовлен необходимый квалифицированный персонал.

Методы диверсификации рисков

Методы диверсификации (альтернативное название данных методов, которое может встретиться в специализированной литературе домена риск-менеджмента - диссипация) риска – это методы, специфика которых состоит в распределении идентифицированных факторов риска между участниками "подозрительного" бизнес процесса. "Подозрительной" считается та активность, в которой выявлены или отмечены возможные или явные риски. Суть метода состоит в том, что уровень риска должен быть снижен/удален за счет перераспределения общего, суммарного ущерба между участниками и последующей обработки более мелких "частей" рисков каждым из "членов" процесса в отдельности.

Методы этой группы преимущественно применяются в случаях, когда речь идет о крупных и продолжительных во времени процессах или проектах, в составе которых есть несколько участников.

В том случае, если участников не так много, то существует практика по привлечению дополнительных заинтересованных в успехе общего дел сторон. Такой вид активности, приводит к созданию разнообразных советов, комитетов, ассоциаций, рабочих групп по "рисковому" направлению работ. Создаваемые сообщества могут быть организованы в компаниях как по вертикальному (собрание "равных"), так и по горизонтальному (собрание иерархической структуры, задействованной в достижении единой цели) принципам. Помимо достижения главной цели – диверсификации рисков, эти объединения могут давать дополнительный эффект, результат которого будет заключаться в том, что осуществляемая организацией или организациями деятельность будет давать предсказуемый и надежный "продукт", частично согласованный по своей сути всеми участниками конкретного консорциума.

В части случаев, распределение общего риска будет произведено не только по участникам, но и по времени, этапам работ и т.д., что так же является положительным свойством данной группы методов.

Организованная работа по данной группе методов "делает" достаточно прозрачными для большинства заинтересованных сторон процесс работы над рисками. Это является преимуществом для тех руководителей, кто в своей работе использует принципы процессного менеджмента и готов постоянно совершенствовать процессы анализа и управления рисками своего предприятия. Это происходит как в случае "вертикальных" групп:

  • в данном случае идет сравнение между "равными" процессами разных компаний;

так и в случае "горизонтальных" образований:

  • здесь совершенствование происходит за счет повышения "прозрачности" работ, сравнения этапов друг с другом по определенным, заранее выработанным метрикам и "отладке" отстающих частей;

Тем самым достигается определенное преимущество от того, что ни один из участников полностью не принимает на себя весь риск.

С определенной долей оговорок, методы диверсификации рисков можно считать достаточно гибким инструментом менеджмента в целом и риск-менеджмента в частности.

Примеры применения методов в области ИТ:

К методам диссипативного управления рисками можно отнести:

  • Диверсификация "рисковой" области, за счет декомпозиции основной активности на более мелкие, контролируемые процессы, в которых возможно использование известных методологий и технологий, с последующим облегчением управления и контроля за которыми;
  • Увеличение предоставляемого ассортимента ИТ продуктов и услуг;
  • Ориентация на различные группы потребителей продукции;
  • т.е. работа одновременно на нескольких товарных рынках, когда неудача на одном из них может быть компенсирована успехами на других;
  • Диверсификация закупок сырья и материалов предполагает взаимодействие со многими поставщиками, позволяя ослабить зависимость предприятия от его "окружения", от ненадежности отдельных поставщиков сырья, материалов и комплектующих;
    • при нарушении контрагентом графика поставок по самым разным, в том числе и по объективным, причинам (аварии, банкротство, форс-мажорные обстоятельства и т.п.) предприятие сможет безболезненно переключиться на работу с другим поставщиком того же или аналогичного субпродукта.

Последние два изложенных примера метода диверсификации рисков представляют собой методы, для реализации которых потребуется не столько усилия специалистов из области риск-менеджмента, сколько сотрудников, задействованных в маркетинговом и административно-хозяйственном направлениями деятельности организации.

Это еще раз подчеркивает постулат, приведенный нами в начале нашего курса о том, что для организации эффективной системы процессов управления и анализа рисков требуется, что бы в процессах риск-менеджмента были задействованы и заинтересованы все структурные подразделения предприятия.

Краткие итоги по методу:

Руководство предприятия, принявшего решение об использовании методов диверсификации риска, должно систематически участвовать в риск-менеджменте и, при необходимости, в случаях нарушения пороговых значений (см. ниже), контролировать критичные процессы. "Вынужденное" участие стэйкхолдеров в "рисковых" активностях позволит скорректировать тактическое управление и стимулировать процесс постоянного совершенствования рисковой деятельности.

Методы диверсификации накладывают жесткое ограничение на процессы, в которых планируется их использование. Оно заключается в обязательном закреплении ответственных за каждую стадию работ. Без его выполнения методы диверсификации будут не эффективными и не достигнут поставленную перед ними цель.

Персональная ответственность за каждый этап работ повышает прозрачность, улучшает эффективность контроля, повышает эффективность процессов в целом.

Методы компенсации рисков

Методы компенсации риска отличаются по принципу своего действия от всех ранее изложенных методов и предполагают формирование механизмов превентивного действия на источник возможного ущерба.

Данные методы направлены не на "обработку" рискового влияния, а на его "недопущении" с помощью заранее спланированных мероприятий. Этот фактор подчеркивает их более "фундаментальную" (это можно считать как плюсом, так и минусом этих методов) характеристику, но, при этом, требует от использующих их предприятий, большего количества ресурсов.

Одним из основных методов этой группы считается стратегическое планирование.

Стратегическое планирование, как средство по работе с риском, будет эффективным только в том случае, если к процессу разработки стратегии предприятия будут привлекаться не только специалисты, чьими обязанностями является формирование видения организации, но и тот персонал, который каждый день взаимодействует с тактически реалиями компании. Эти сотрудники должны уметь "максимально" объективно оценить достоинства и недостатки текущего положения предприятия и сформировать требования к тому, какие ресурсы понадобятся или необходимы организации для дальнейшего развития.

Очень важно, что бы каждый организационный слой иерархии делегировал для процессов разработки стратегического плана своих специалистов/руководителей. Безусловно, в стратегический план должны попасть не все "продиктованные требования", но лишь те из них, которые были обоснованы и приняты, как потенциально необходимые для развития компании. Так же, в ходе разработки плана удается выявить большинство неопределенностей, которые присутствует в деятельности компаний, особенно, при переходах между разными организационными "слоями" и узкие места процессов, которые могут быть "расширены".

Другим, не менее действенным методом считается метод прогнозирования рискового "окружения". Его смысл заключается в постоянном процессе разработки будущих сценариев, моделирующих такие факторы, критичные для дальнейших управляющих решений как:

  • Состояние среды, в которой возможно возникновение риска;
  • Прогнозирование развития технологий;
  • Квалификация персонала;
  • Изменения в бизнес областях, на которых предприятие осуществляет свою деятельность;
  • И др., определяемые для данной конкретной ситуации.

Но важно помнить, что для качественного прогнозирования необходимо отслеживать актуальную информацию о процессах. Это позволит разрабатывать "качественные" и "жизнеспособные" гипотезы, ценность которых будет подтверждаться соответствующими результатами.

Третьим и последним методом, который мы рассмотрим сегодня, является метод "внутреннего" страхования. Этот метод похож на метод страхования, но с отличием в том, что все необходимые резервы, аккумулируется "внутри" организации, а если выразиться более точно, то "внутри" (или очень близко) к рисковым процессам. И в случае, если вероятность риска становится очень высокой, эти резервы "выводятся" и применяются к конкретным ситуациям.

Примеры применения методов в области ИТ:

К методам компенсации рисков относятся:

  • Создание "внутренних" резервов;
  • Стратегическое планирование;
  • И д.р.

Краткие итоги по методу:

Методы компенсации рисков представляют собой техники, в основе успешного результата которых лежит мониторинг и отслеживание рисковых тенденций. После того, как тенденции выявлены (выявление и регистрация должны выполняться на основе системы триггеров, о которой будет рассказано далее) необходимо проводить своевременную регистрацию рисков и выполнение/корректировку конкретных процедур/способов устранения проблем.

Оптимально организованная система рисков кроме своих основных функциональных возможностей, так же позволяет заранее подготовиться к возможным нормативным новшествам со стороны организаций регуляторов, запланировать работы и ресурсы, требуемые для компенсации потенциальных и явных ущербов, не меняя/не тормозя бизнес процессы компании скорректировать тактические и стратегические планы работ/развития организации.

Выводы о методах управления рисками

Таким образом нами было подробной изучены 4 группы методов, каждый из которых направлен на решение определенных задач/проблем в области управления рисками:

  • Методы уклонения от рисков;
  • Методы локализации рисков;
  • Методы диверсификации рисков;
  • Методы компенсации рисков.

Каждый из рассмотренных методов решает конкретные, специфические "рисковые" задачи. Но, для процессов риск-менеджмента важно достигать определенного запланированного и согласованного результата, который, как правило, формулируется не в терминах решенных задач, а в терминах достигнутых показателей различных доменов деятельности. Поэтому важно использовать не единичные методы, которые помогают справиться с определенной задачей, а применять группы методов, взаимодополняющих друг друга и компенсирующих возможные недостатки используемых "кросс" методов.

Более того, правильнее будет отметить, что в наиболее успешных компаниях в области информационных технологий применяются в том или ином "количестве" все методы управления рисками, скомбинированные в общую комплексную систему, успешность которой подтверждается качеством услуг и продуктов, предоставляемых организациями своим потребителям/заказчикам.

< Лекция 7 || Лекция 8: 123 || Лекция 9 >
Грета Березовская
Грета Березовская
Александр Медов
Александр Медов

Здравствуйте, прошел курс МБА Управление ИТ-проектами и направил документы на получение диплома почтой. Подскажите, сроки получения оного в бумажной форме?

:

Денис Бочаров
Денис Бочаров
Россия
Анна Небеснюк
Анна Небеснюк
Россия, Софрино-1, Майская средняя, 2012