Предисловие. Введение в курс "Процессы анализа и управления рисками в области ИТ"

1.3. Сущность и теория понятия риска. Риски в ИТ отрасли.

Сутью любого процесса, явления или объекта является деятельность, которая приводит к формированию результатов.

Можно различать:

• Прямые;
• Косвенные;
• Конструктивные;
• Деструктивные;
• Псевдослучайные;
• Объективные;
• Cубъективные;
• и т.д. виды результатов.

Объективный результат является следствием целенаправленного и явного выполнения процесса, который связан с его сутью. Субъективные результаты проявляются в тех случаях, когда выполнение процесса проходит с недостаточным уровнем определенности и полноты информации. На практике, преобладающее количество рисков связаны именно с субъективными результатами осуществления хода или выполнения процесса.

"Добыча" необходимой информации связана с наличием четких и определенных (стандартизированных, апробированных, регламентированных и т.д.) средств, инструментов, методов и методик, выполнение которых связано с ресурсными затратами, а также отсутствием достоверных данных о цели и сущности исследуемого процесса.

Таким образом, можно констатировать, что все риски, с большим или меньшим допущением, можно считать субъективным результатом выполнения процесса, который связан с недостатком количественной или качественной информации о процессе. Информационное "голодание" можно считать главной причиной, которая порождает и сопровождает риски, во всем их жизненном цикле.

Каждый риск можно связать с одним следующих компонентов:

• Данные;
• Человек;
• Система.

Возникновение риска наиболее вероятно в случаях использования недостоверной информации, ограничения времени на её анализ и последующий синтез, с целью принятия решения на основе полученных выводов. Таким образом, информационная составляющая присутствует в любом типе и виде риска, с разной долей значимости.

Наступление риска связано с выполнением осознанных или бессознательных действий, или бездействием определенного субъекта прямо или косвенно связанным с процессом, в результате которого может возникнуть риск.

Преобладающее число рисковых событий связано с техническими системами и процессами, которые имеют в своей основе четкие алгоритмы поведения и абсолютно не гибки в ситуациях, в которых требуется принять "не оцифрованное" решение. Чем более развитым с точки зрения техногенных процессов и систем становится общество и мир, тем больше становится факторов, которые требуют принятия именно такого решения, для получения наиболее оптимального и качественного результата.

На данный момент нет стандартного определения понятия "информационный риск". Многие специалисты вкладывают в это определение абсолютно разный смысл. Мы приведем наиболее удачное, на наш взгляд:

Риск – это потенциальная возможность наступления вероятного события/явления или их совокупности, которые могут вызывать определенную величину влияния на осуществляемую деятельность.

В понятие информационного риска, как правило, не включаются риски, которые связаны с возможным наличием ошибок в моделях, алгоритмах, программах обработки информации, которые используются для выработки управляющих решений. Это свидетельствует о том, что информационные риски не ассоциируют со снижением качества информации ниже допустимого уровня, в результате низкокачественной аналитической и управленческой деятельности, которая происходит из-за множества связанных факторов.

Выводы, которые можно сделать, рассмотрев сущность понятия информационного риска следующие:

• Отсутствует единый, комплексный и системный взгляд на проблему/ы возникновения рисков;
• Отсутствие ясности и прозрачности в понимании конечных результатов воздействия информационных рисков.

Из этого следует, что "информационный риск" должен определяться связью с информационной или технической системой. Под информационной системой следует понимать систему взаимосвязанных объектов, в результате деятельности которых реализуется целевой процесс, поддерживающий определенную функцию.

Сущность процесса состоит в получении, обработке, хранении, представлении и передаче данных.

В качестве объектов понимаются технические средства, программное обеспечение, другие ресурсы и специалисты, которые имеют отношение к информационному процессу.

Для более детального рассмотрения рисков в ИТ-отрасли сначала необходимо ограничить ту область, в рамках которой применимы наши исследования. Под информационными рисками (далее, в свете специфики излагаемого материала ограничимся аббревиатурой IT-риски) мы будем понимать риски, связанные с применением информационных систем и технологий, которые являются катализатором, определяющим развитие и поддержание необходимого уровня качества у субъектов, использующих их. Таким образом, под информационным риском понимается очень широкий спектр следствий, проявление которых возможно из-за возникновения внезапных результатов в деятельности, которая :

• Подвержена влиянию множества низкорегламентированных, "непрозрачных" факторов как внешней, так и внутренней среды по отношению к выполняемой деятельности;
• Выполняется с учетом недостаточно проведенного предварительного анализа, который должен был выявить и "обнажить" возможные "рисковые" ситуации;
• Является нестабильно, динамично развивающейся по своей сути, требования, к регламентации которой, постоянно находятся в режиме неопределенности.

1.4. Актуальность деятельности по работе с рисками на сегодняшний день

На сегодняшний день информационные технологии предоставляют разнообразный инструментарий для поддержки и развития любого типа специальной деятельности, независимо от её специфики и других характеристик, будь это узконаправленный тип электронного бизнеса, сфера образования или общеиспользуемый вид хозяйственных услуг.

Высокие технологии позволяют повысить эффективность уже существующих процессов, стать фундаментом для создания новых, но при этом, при условии их неуправляемого использования, становятся источником возникновения колоссальных рисков, которые, в случае "наложения", могут быть источниками многих "эмерджентных" результатов. Общеизвестный факт, что к деятельности по работе с рисками, в большинстве стран, особо плачевное состояние в данном направлении наблюдается и в РФ, относятся, как к ненужной избыточности, которая в последнее направление стала "модным" направлением деятельности, которому необходимо "как бы" следовать в силу многих факторов. Но реалии современных условий таковы, что при сохраняющихся темпах развития современного мира (прогнозируется что эти темпы будут только расти) предусмотреть, выявить и зафиксировать полный спектр возможных проблем для ИС (наиболее динамично изменяющаяся отрасль) практически не возможно, в не зависимости от того, какой именно тип работ выполняется: внедрение новых программных продуктов и комплексов, поддержка и развитие уже существующих или вывод из эксплуатации устаревших с последующим процессом миграции критически значимой для конкретной организации информации. В таком окружении вид деятельности, который направлен на проактивную и превентивную активность в разрезе решения/недопущения/устранения и т.д. возникающих задач и проблем становится особо важным. Таким видом деятельности и является направление анализа и управления рисками, что подтверждается активным ростом базы стандартов и методик, в которых полностью или частично рассматривается работы с рисками. Для примера можно привести следующие методологии COBIT, PMBOK, BABOK, ISO/IEC 17799, ISO/IEC 27000, BS7799, NIST SP800-30 и т.д.

1.5. Деятельность по анализу и управлению рисками. Ситуация в РФ.

К сожалению, в нашей стране, на текущий момент времени, рассматриваемый вид деятельности не приобрел должного применения и выполняется только в крупных и иностранных организациях. Среди специалистов-практиков нет единого "пула" мнений, относительно вопросов управления рисками. Возможно, корни этого ошибочного отношения кроятся в нашей ментальности и общефилософском отношении к жизни и профессии. Довольно часто приходиться слышать споры, из контекста которых становится очевидно, что у многих специалистов нет четко сформированной методологической базы (путаются виды анализа оценки рисков и т.д.), что ставит под сомнение адекватность проводимых работ по управлению и анализа рисков.

По данным многих опросов, среди ИТ менеджеров, всего треть из них пытается использовать какой-то систематический подход. Остальные даже не пытаются что-то делать, проводя все оценки "на глазок", не понимая сути вопроса, считая это бессмысленным.

Общемировые тренды таковы, что те страны/организации, которые не будут иметь четко продуманного плана поведения в форс-мажорных ситуациях, обречены на то, чтобы принять на себе "катаклизмы" самых критичных сфер деятельности/процессов.

1.6. Место деятельности по управлению информационными рисками в области информационных технологий

Очевидно, что анализ и управление рисками в ближайшем будущем должны стать одной из основных видов деятельностей в сфере информационных технологий.

Процессный подход к деятельности, который является одним из основных факторов успешности, выполняемой деятельности подтверждает, что только постоянная работа над объектом рассмотрения позволит добиться качественных и стабильно высоких результатов.

Риски, как показано выше, это не сиюминутное явление. Риски были всегда, но, в силу множества причин, таких как распространенность и динамичность изменений, работа над ними это одно из основных условий стабильности различных видов информационных систем и программных продуктов. Комплексная система по работе с рисками, интегрированная в основную деятельность любой организации, позволит превентивно избежать многие проблемы.

Анализ и управления рисками - это не "удел" небольшого отдела или группы сотрудников большого предприятия. Важность и необходимость данной активность должен осознавать и участвовать в ней, каждый сотрудник любой организации.

Таким образом, место деятельности по управлению и анализу информационных рисков можно считать одним из видов второстепенных или вспомогательных бизнес процессов, которые, на прямую не формируют стоимость производимого продукта, но при этом обеспечивают основные функции и косвенно позволяют повысить стоимость производимого результата.

1.7. Выводы по изученной лекции

Первая лекция была введением в изучаемый домен знаний. Были рассмотрены основные понятия, которые позволят спроектировать каждому изучающему свой фундамент в обучении, в зависимости от преследуемых целей и того результата, который каждый хочет достичь.

Была показана необходимость, к которой пришло современное общество, в области анализа и управления рисками, показана история развития данной дисциплины, начиная с 40-х годов девятнадцатого столетия, продемонстрирована сущность понятия риска и его применение к области информационных технологий. В следующей лекции мы поподробнее ознакомимся с необходимым аппаратом исследования, причинами, целями, задачами риск-менеджмента, рассмотрим типы рисков на основе введенной классификации

Ключевые термины

Формат предоставления:

• Фьючерсы – производный финансовый инструмент, стандартный срочный биржевой контракт купли-продажи базового актива, при заключении которого стороны (продавец и покупатель) договариваются только об уровне цены и сроке поставки. Остальные параметры актива (количество, качество, упаковка, маркировка и т. п.) оговорены заранее в спецификации биржевого контракта. Стороны несут обязательства перед биржей вплоть до исполнения фьючерса.
• CAPM - модель оценки финансовых активов. Модель используется для того, чтобы определить требуемый уровень доходности актива, который предполагается добавить к уже существующему хорошо диверсифицированному портфелю с учётом рыночного риска этого актива.
• Своп – торгово-финансовая обменная операция в виде обмена разнообразными активами, в которой заключение сделки о покупке (продаже) ценных бумаг, валюты сопровождается заключением контрсделки, сделки об обратной продаже (покупке) того же товара через определенный срок на тех же или иных условиях.
• Свопцион – производный финансовый инструмент, опцион на своп, контракт, дающий право его покупателю заключить сделку "своп" на определённую дату в будущем.
• Basel – документ Базельского комитета по банковскому надзору "Международная конвергенция измерения капитала и стандартов капитала: новые подходы", содержащий методические рекомендации в области банковского регулирования. Главной целью которого является повышение качества управления рисками в банковском деле, что, в свою очередь, должно укрепить стабильность финансовой системы в целом
• Хедж-фонд - частный, не ограниченный нормативным регулированием, либо подверженный более слабому регулированию инвестиционный фонд, недоступный широкому кругу лиц и управляемый профессиональным инвестиционным управляющим. Отличается особой структурой вознаграждения за управление активами.
• NYSE – Нью-Йоркская фондовая биржа
• Solvency – концепция, которая устанавливает рамки деятельности страховых компаний, увеличивая в большинстве аспектов их прозрачность и дисциплину рынка.
• Закон Сарбанес-Оксли – закон, который представляет собой одно из самых значительных событий по изменению федерального законодательства США по ценным бумагам. Закон значительно ужесточает требования к финансовой отчётности и к процессу её подготовки.
• Энрон – крупнейшая американская энергетическая компания, обанкротившаяся в 2001 году.
• VaR – стоимостная мера риска. Распространено общепринятое во всём мире обозначение "VaR". Это выраженная в денежных единицах оценка величины, которую не превысят ожидаемые в течение данного периода времени потери с заданной вероятностью.