Предисловие. Введение в курс "Процессы анализа и управления рисками в области ИТ"
Введение в курс "Процессы анализа и управления рисками в области ИТ"
Развитие процессов, связанных с попыткой контролировать "рисковые" зоны в любом направлении коммерческой деятельности, стали экстремально бурно развиваться в последние несколько десятилетий. Данная ситуация связана, прежде всего, с развитием процессного подхода к организации работ любого направления активности. Сущностью процессного подхода является контроль над организацией (в качестве вида деятельности), управлением, координированием процесса в каждый конкретный момент времени, с целью достижения результата от выполнения процесса, поддерживающим заданный уровень качества. "Выходной контроль" в существующем виде, применяемый ранее для получения нужного результата, не является самодостаточным инструментом, способным самостоятельно выполнить озвученные выше задачи. Научно-технический прогресс, "убыстрение" ритма жизни привело к тому, что для обеспечения качества необходимо беспрерывно держать "руку на пульсе" и оперативно реагировать на возникающие задачи и проблемы. Способность прогнозировать возможные исходы любого события становится определяющим фактором в достижении успешного конечного результата, оправдывающим ожидания заинтересованных сторон и участников конкретного процесса. В подобном развитии ситуации одним из определяющих факторов успешности становится возможность выделить "риски", которые могут оказать потенциальное и явное влияние на результаты достижения бизнес целей. Подытоживая сказанное можно констатировать, что в столь динамично меняющемся мире, роль информационных технологий, как инструмента, обеспечивающего контроль над ситуацией, является основной, а это значит, что возможность управлять и предотвращать риски применительно к деятельности в ИТ, позволит добиваться высоких и качественных результатов.
1.1. Введение
Цель первой лекции – ввести изучающего в рассматриваемую дисциплину, донести до него суть понятия риска и рассказать об активностях по управлению и анализу рисками.
На сегодняшний день понятие риска – это крайне неоднозначная и спекулятивная тема, актуальность которой, в последние пару десятилетий, пользуется большим интересом у специалистов из многих отраслей науки и, прежде всего, коммерческих сфер деятельности. В частности у сотрудников, из отрасли информационных технологий.
Интерес, к значению этого термина, неуклонно растет, порождая множество противоречивых данных и, впоследствии, информации такого же качества, что негативно влияет на суть этого сложного и многогранного термина, за которым "скрывается" малоформализованная (в конструктивном значении) профессиональная область знаний.
Новый век олицетворяет собой новый этап в развитии человеческого, социального мировоззрения и миропонимания, новый этап социологических, экономических, экологических, этических и, что наиболее интересно в границах данного курса, информационных отношений. Динамическое изменение вокруг нас приводят к ураганному вихрю данных, анализом которых "вынуждено" заниматься человеческое сознание. Первый и главный помощник в этих процессах, которые "проходят" на безальтернативной основе - информационные технологии, от качества, обоснованности и продуманности которых во многом будет зависеть благополучие и успешность дельнейшего развития многих (если не сказать, что всех) экономически значимых отраслей.
Авторитетнейшими мировыми аналитиками и исследователями признается, что большинство современных глобальных кризисов было порождено в силу ряда следующих причин:
- Во-первых – необходимо отметить бесконтрольный рост запросов и "аппетитов" бизнес стэйкхолдеров к размерам прибыли, получаемой их организациями. Это сказалось (да и сказывается) на качестве работы и стратегии развития, которые становились безропотными заложниками интересов руководства фирм и организаций;
- Во-вторых – отсутствие продуманного "запасного пути", связанного с устранением последствий возникновения разных типов и видов рисков, которые проявлялись, в результате "во-первых". Таким образом, абсолютно очевидно, что если руководство компании заинтересовано в постоянном и фундаментальном развитии, то "закладка" основополагающего "базиса", на котором можно будет предусмотреть, спрогнозировать и обеспечить грамотное "лавирование" через потенциально возникающие задачи и проблемы, является наиболее оптимальным подходом к организации любого процесса, деятельности и т.д.
Следующий аспект, который стоит рассмотреть в свете поднятого вопроса о правильном проектировании "базиса" - это значение информационных технологий в современном мире, растущее с потрясающей скоростью. Спроектированная система по работе с основными процессами информационных технологий и созданию "запасных путей", которыми, по сути, являются риски, это фундаментальная часть такого "базиса". Комплексно спроектированная архитектура любого типа бизнеса позволит грамотно поддерживать любые типы изменений и инноваций, без которых не будет осуществляться развитие, являющееся целевой идеей всех преобразований.
Рост, в направлении ИТ, имеет множество аспектов, которые так же необходимо рассматривать и учитывать в осуществляемой деятельности.
Что особенно интересно и стоит отметить - как правило, любой из "проблемных моментов" можно считать как положительным, так и отрицательным, в зависимости от того, с какой точки зрения посмотреть на него, что можно использовать как часть рабочего мировоззрение для анализа и управления рисками.
Информационные технологии призваны облегчить труд человека путем информатизации и автоматизации рутинных операций. Вот только что можно/нужно считать "рутинными" операциями?
По мере развития ИТ отрасли, к рутинным операциям будет относиться все больше различных, выполняемых человеком действий, что в конечном итоге (я не поклонник фантастики, но параллель с фильмом "матрица" вполне уместен) приведет к полной зависимости человека от "кибер" помощника/ов.
Но так "вперед" прогнозировать развитие науки и техники видится нам делом неблагодарным, поэтому сосредоточимся на ближайшей перспективе.
В ближайшие годы значение дисциплин, связанных с развитием и управлением рисками будет только повышаться в своей значимости. Это напрямую зависит от повышения значимости ИТ в профессиональной и обыденной жизни. Можно ли избежать, уклониться от данного процесса и исключить из своей деятельности процессы, связанные с рассмотрением и учётом понятия информационного риска? Скорее всего, нет! Бизнес диктует ритм развития технологий, и этот ритм только растет, что приводит к тому, что время "на раздумье" отводится все меньше и меньше. В таком варианте развития ситуации, без инструмента реагирования на риски не обойтись. Вывод – процессы анализа и управления рисками стоит рассматривать как неотъемлемую часть развития бизнеса в целом и ИТ, в частности.
Рамки курса
Рамки данного курса охватывают рассмотрение информационного риска, его типов и видов, деятельности по идентификации, классификации, анализу, как количественного, так и качественного анализа рисков, рассмотрение системного подхода к процессам управления рисками, плавно преобразующегося в комплексную программу по управлению рисками, инструментарий по работе с разными аспектами риска.
1.2. История управления рисками
В отечественной литературе лишь с трудом можно найти какие-либо публикации по истории развития дисциплины анализа и управления рисками, что подтверждает тот факт, что данное направление деятельности, на сегодняшний день в нашей стране не носит "глубинного" характера изучения. Для того, чтобы основательно разобраться в данной активности, необходимо привлечь иностранные источники, что и было выполнено в рамках данного курса.
Термин "риск" произошел от французского слова risqué или итальянского risico. Оно означает возможность или вероятность наступления событий с конкретными последствиями в результате определенных решений или действий. Заметьте, речь не идет только об отрицательном типе эффекта, что часто забывается отечественными профессионалами.
История развития понятия риск и дисциплины управление рисками является очень молодым направлением коммерческой активности, хотя и уходит корнями в, довольно седую старину (трудно представить, что что-то не уходит "туда" своими корнями).
Современный этап развития риск-менеджмента берет свое начало после второй мировой войны. В начале рассматриваемого этапа риск-менеджмент позиционировался только в качестве альтернативы страхованию, которое воспринималось как очень дорогой и неполный/частичный инструмент защиты от воздействия риска.
Основной вехой, в развитии направления по работе с рисками, можно считать статью аспиранта Чикагского университета Гарри Марковица "Диверсификация вложений" ("Portfolio Selection"). В ней математически обоснована стратегия диверсификации инвестиционного портфеля, что служило для продуманного распределения вложений и минимизации отклонения доходности от ожидаемого показателя. Во многом именно за то, что Марковиц заложил фундаментальные основы для изучения понятия риск, ему в 1990 году присуждена Нобелевская премия.
Инструменты по работе с рисками первоначально развивались только применительно к финансовой сфере, что является вполне предсказуемым, учитывая важность данной сферы деятельности. Все общеизвестные и применяемые на данный момент развития этой отрасли, методы были разработаны, преимущественно во второй половине прошлого века. Ниже приведена таблица (таб.1.1 – "Вехи в истории риск-менеджмента"), в которой отражены основные вехи данной отрасли, применительно к финансовой области. Мы приводим данную таблицу в своем курсе для того, чтобы изучающий смог комплексно оценить истоки и окружение, способствующее формированию изучаемой дисциплины, которая со временем была адаптирована для нужд отрасли ИТ.
№ | Год | Событие |
---|---|---|
1. | 1730 | Первый фьючерсный контракт на цену риса в Японии |
2. | 1864 | Первый фьючерсный контракт на агрокультурную продукцию на Чикагской бирже |
3. | 1900 | Тезис Луиса Бачелиера "Теория спекуляции", Броуновское движение |
4. | 1932 | Первое появление журнала "Риск и страхование" |
5. | 1946 | Первое появление журнала "Финансы" |
6. | 1952 | Публикация Марковица "Portfolio Selection" |
7. | 1961-66 | Трейнор, Шэрп, Линтнер и Моссин разработали "CAPM" |
8. | 1963 | Начало развития теорий оптимального страхования, морального риска и неблагоприятного отбора |
9. | 1972 | Фьючерсные контракты на валюты на Чикагской товарной бирже |
10. | 1973 | Формулы оценки выбора Блэка, Скоулза и Мертона |
11. | 1974 | Мертонская модель риска по умолчанию |
12. | 1977 | Модель процентной ставки Васичека и Коха, Ингерсола и Росса |
13. | 1980-90 | Экзотичные варианты, свопционы и производные ценные бумаги |
14. | 1979-82 | Первая сделка с финансовыми инструментами (акции, облигации и т.д.) в форме свопов: валюта и модель процентной ставки |
15. | 1985 | Создание Бизнес Своп Ассоциации, которая разработала формы сделок с финансовыми инструментами с помощью обменных стандартов |
16. | 1987 | Первый департамент риск – менеджмента в банке (Мэрил Линч) |
17. | 1988 | Basel I |
18. | 80-ые | Методика оценки риска (VaR) и методика расчета оптимального капитала |
19. | 1992 | Статья Хелфа, Ярроу и Мортона о кривой передового роста |
20. | 1992 | Интеграционный риск-менеджмент |
21. | 1992 | Метрики риска |
22. | 1994-95 | Первые банкротства, связанные с неправильным использованием производных средств: Проктор и Гэмбл (производство, процентные ставки, 1994), Оранж Кантри (производственные фонды, 1994) и Бэрингс (фьючерсы, 1995) |
23. | 1997 | Метрики кредита |
24. | 1997-98 | Азиатский и российский кризисы, развал Хедж-фонда |
25. | 2001 | Банкротство Энрон |
26. | 2002 | Новые законадательные правила от Сарбанес-Оксли и NYSE |
27. | 2004 | Basel II |
28. | 2007 | Начало финансового кризиса |
29. | 2009 | Solvency II (не вышла к Марту 2013) |
30. | 2010 | Basel III |
В данной таблице приведено достаточное количество финансовых терминов, которые мы считаем неправильным пояснять в нашем курсе, но особо любопытные смогут найти определения терминов в глоссарии данной лекции и при желании, расширить свои знания, используя общедоступные источники информации.
Определившись с основными вехами в развитии дисциплины риск-менеджмента, имеет смысл рассмотреть эволюцию значимости этой дисциплины в глобальном масштабе.
После того как мировая экономика стала набирать обороты, появилась необходимость в развитии направления риск менеджмента, как отдельной сферы активности, которая могла бы предложить полноценную инструментальную базу, для повышения качества и эффективности результата различных направлений коммерческой деятельности.
Всеобщие процессы глобализации только способствовали развитию данной отрасли, но общемировые финансовые кризисы середины десятых годов начала второго тысячелетия показали недостаточно внимательное отношение к управлению рисками со стороны большинства представителей руководства западных организаций, что в конечном итоге вылилось в крах многих финансовых титанов, таких, к примеру, как "Энрон".
После того, как нами дано довольно основательное понимание базы и причин возникновения направлений по работе с рисками, имеет смысл переходить к понятию информационного риска и возможных последствий его возникновения.