Итоги курса "Процессы анализа и управления рисками в области ИТ"

9.5. Влияние "уровней зрелости" компании и темпов ее развития на процессы риск-менеджмент

В целях целенаправленного и прогнозированного достижения результатов, как деятельности компании, так и активностей анализа и управления рисками, необходимо гармонизированное совершенствование всех производственных процессов, развиваемых по принципу поэтапных эволюционных улучшений, а не революционных преобразований.

Важно отметить, что о применении риск-менеджмента задумываются только те компании, которые уже достигли определенной "зрелости" в своем развитии и направленном применении информационных технологий для достижения бизнес целей организации, но риск-менеджмент, так же как и основные направления менеджмента нуждается в постоянном развитии.

На наш взгляд, оптимальным решением при данных условиях является решение о применении модели СММI в целях развития процессов риск-менеджмента, как части общих управленческих процессов организации.

СММI предлагает модель структурных этапов, организованных в виде 5 эволюционных шагов, каждый из которых представляет собой определенное качественное преобразование по сравнению с предыдущим. Именно таким, поэтапным образом выполняется развитие компании, и её процессов, частью которых является риск менеджмента.

В ходе движения (которое может быть достаточно быстрым, а может и растянуться на десятилетия), выполняется:

• Измерение зрелости процессов;
• Оценка их продуктивности;
• Разработка и приоритезация необходимых для развития мероприятий;

По мере достижения отдельных метрик, сформированных для мониторинга достижения задач, происходит стабилизация отдельных компонентов процессов, самих процессов и процессного окружения, за счет чего происходит постепенное повышение продуктивности риск-менеджмента.

Стандартно выделяют следующие 5 уровней "зрелости", которые можно соотнести с определенными уровнями риск-менеджмента:

• Начальный
• Производственные процессы риск-менеджмента характеризуется тем, что создаются каждый раз под конкретный проект;
• Определены лишь отдельные части процессов;
• Полная зависимость от компетенций отдельных сотрудников;
• Повторяемый
• Установлены основные процессы и активности процессов анализа управления рисками, которые позволяют подвергнуть процессу мониторинга лишь отдельные стадии и этапы процессов риск-менеджмента;
• Начинает "кристаллизоваться" отдельные части общей системы по работе с рисками;
• Определенный
• Процесс документирован и стандартизован;
• Риск-менеджмент интегрирован в общий домен менеджмента предприятия;
• Во всех проводимых проектах используются "best practice" по анализам и управлению рисками;
• Управляемый
• Весь домен риск-менеджмента "покрыт" количественными метриками;
• Оптимизирующий
• Выполняется постоянное совершенствование процессов;
• Реализована культура анализа и управления рисками;

В случае, если руководство организации принимает решение об использовании СММI для развития процессов риск-менеджмента, следует разумно интерпретировать и использовать рекомендуемые данной методологии практики. Излишне быстрое стремление к достижению более качественных уровней может привести к сбоям в общей системе менеджмента компании и несогласованности общих действий.

Пропуск уровней зрелости нежелателен, так как каждый предыдущий качественный уровень формирует базис, необходимый для достижения следующего уровня, "перешагнуть" через который стоит довольно больших материальных и ресурсных затрат.

С повышением уровня зрелости уменьшаются отклонения фактических результатов риск-менеджмента от тех, которые были первоначально запланированы. Это происходит по следующим причинам:

• Минимизации отклонений происходит на более высоких уровнях зрелости, за счет соблюдения контролируемых параметров, идентифицируемых метриками;
• Улучшения результатов деятельности, в связи с повышением уровня зрелости организации;

Предполагается, что организации, достигающие наиболее высоких уровней зрелости CMMI, должны обладать процессами риск-менеджмента, которые способны своевременно выявлять информационные риски и способствовать производить информационный продукт высокого качества, с предсказуемыми ресурсными затратами.

При этом рекомендованная методология по развития процессов анализа и управления рисками не является единственно верной и правильной. Каждая компания вправе сама выбирать необходимые пути своего развития в области риск-менеджмента. Главное условие, выбранная стратегия должна выполняться в рамках преобразований, направленных на достижение необходимых результатов.

Неоспоримым преимуществом модели СММI является её постепенная и целенаправленная эволюция процессов.

После того, как компания, применяющая риск-менеджмент (осознанно или бессознательно) начнет постоянно применять стандартизованные процессы по работе с рисками (переход с уровня "Повторяемый" на уровень "Определённый" в терминологии CMMI) можно будет говорить о том, что в компании появилась система управления рисками уровня организационной системе, которой должны следовать все ответственные сотрудники.

9.6. Управление рисками на уровне компании в целом

Когда организация приходит к необходимости управления рисками на определенном уровне зрелости, важно понимать, что эффективность управления на длительном временном интервале будет определяться не столько риск-менеджментом, а в большей степени общим уровнем развития всех направлений и функциональных характеристик предприятия и процессами, поддерживающими заданный уровень.

Для достижения определенного качественного уровня работы с рисками, на котором становится возможным превентивно управлять рисками и корректировать развитие рисковых ситуаций, тема комплексной программы, построенной на основе системы по анализу и управлению рисками, рассмотренная нами в предыдущих лекциях, снова доказывает свою актуальность и востребованность. Напомним, что мы отмечали тот факт, что риск-менеджмент станет эффективным направлением в деятельности организации только в том случае, если составляющие его процессы будут "пронизывать" предприятие в целом и выполняться с заданным уровнем качества и профессионализма. Если в системе менеджмента организации есть "дыры" связанные с несовпадением видения руководства компании текущего состояние развития управленческих процессов и их актуальным состоянием, стратегии и тактики развития, тогда можно будет поставить под сомнение успешность реализуемых процессов.

Статистика, построенная на основе анализа опыта успешных компаний демонстрирует что при выполнении следующих условий достигается приемлемый результат домена анализа и управления рисками на уровне предприятия:

• Постоянный открытый диалог о рисках со всеми заинтересованными сторонами;
• Постоянный обмен "прозрачной информацией" с заинтересованными сторонами, а также предоставление им необходимых сведений о решениях и корпоративных ценностях компании;
• Руководство играет ведущую роль в определении целей системы управления рисками;
• Разработана и внедрена единая для всей организации система управления рисками;

В заключении к этой части отметим, что успешный старт в построении корпоративной культуры управления рисками начинается именно с осознания руководством необходимости процессов риск-менеджмента, как активностей, позволяющих достичь конкурентного преимущества на ИТ рынке товаров и услуг и стать лидеров в своем продуктовом сегменте.

9.7. Культура управления рисками

Постепенно, к концу нашего курса, мы подходим к тому, что второстепенной целью развития риск-менеджмента является постепенное создание культуры управления рисками, которая должна стать преемницей комплексной программы управления рисками, в результате поэтапных, эволюционных изменений в процессах организации.

Эффективность процессов, которые будут находиться в основе фундамента культуры риск менеджмента, должна постоянно отслеживаться, контролироваться и при необходимости координироваться. Жизненный цикл и ход выполнения необходимо проектировать понятными и прозрачными для специалистов и бизнес пользователей. Это является критичным условием для их сопровождения и дальнейшего развития.

К значению культуры риск-менеджмента стоит относиться как к альтернативному направлению менеджмента организации, которое способно заменить классические схемы и виды управления функциональных направлений организации.

На основе культуры будет возможно не только осуществлять эффективное управление отдельными областями деятельности организации, но и воспитывать необходимые кадры, определяющие дальнейшую эффективность развития компании.

В модели СММI, рассмотренной нами ранее, определены уровни, через которые должно пройти развитие организации прежде, чем она сможет создать культуру риск-менеджмента. Поэтому еще раз обратим Ваше внимание на то, что не должно быть каких-то единичных радикальных, глобальных инициатив по управлению рисками В замен этого должно быть множество, по отдельности не очень существенных, изменений, которые в своей сумме дадут положительный толчок, дополненный эмерджентным эффектом, к развитию культуры управления рисками. Каждая инициатива по отдельности может казаться тривиальной и абсолютно несущественной, но в компании с другими она позволит заложить зерна базиса риск культуры в головах руководителей и сотрудников.

При этом, инициативы должны порождаться не столько самими риск-менеджерами, а сотрудниками и руководителями функциональных направлений, для которых осуществляется риск-менеджмент.

Культура управления рисками становится действенной силой организации в тот момент, когда её начинают обсуждать на всех корпоративных уровнях с дальнейшими выводами в целях достижения конечного результата определенной активности.

9.8. Совершенствование процессов анализа и управления рисками

Совершенствование процессов анализа и управления рисками происходит в контексте бизнес-целей риск-менеджмента и стратегических планов организации, ее сложившейся организационной структуры, используемых в компании технологий, социального уровня работников и многих других факторов.

CMMI предлагает фокусироваться на аспектах процессов тотального управления качеством, но успешное совершенствование процессов риск-менеджмента подразумевает также учет смежных вопросов вне рамок основных процессов (например, проблемы с персоналом, ..). При этом основанием для проведения совершенствующих процедур является информация, полученная в ходе мониторинга основной деятельности, проанализированная в соответствии с имеющейся программой и представленная в виде обоснования, необходимого для подкрепления дополнительных действий по постепенному переводу риск-менеджмента на следующий уровень зрелости.

Работа по усовершенствованию процесса должна быть нацелена прежде всего на нужды организации в контексте ее бизнес-среды, в определенный момент времени, связанный не только с самой компанией, но и с внешними факторами.

9.9. Итоги

Несмотря на кажущееся обилие информации о рисках, текущая ситуация показывает, что такие понятия как - риск, управление рисками, анализ рисков, для их практического применения, остаются малоизученными, недостаточно обоснованными и адаптированными.

В отечественной и иностранной литературе до сих пор нет единого понимания термина "риск" и большое количество ученых и специалистов до сих пор дискутируют о необходимости и области применения дисциплин анализа и управления рисками. Подобная ситуация приводит к тому, что актуальность работ, связанных с методологическим описанием и обоснованием данных о рисках и работе с ними остается очень высока и востребована широким кругом специалистов и руководителей.

Задумывая наш курс, мы ставили перед собой цели не столько открыть что-то новое из домена риск-менеджмента, сколько адаптировать имеющуюся информацию из узкоспециализированных направлений математики, психологии, статистики , программирования и т.д. для их понимания всем специалистам, заинтересованным в том, чтобы повысить свою квалификацию в области риск-менеджмента.

Так же стоит оговориться о том, что, несмотря на то что наш курс направлен для изучения специалистам из области информационных технологий, при этом мы приложили все необходимые усилия для того, чтобы в максимально возможных рамках абстрагироваться от сферы ИТ и сделать его пригодным для изучения и последующего применения заинтересованным коллегам из смежных отраслей науки и бизнеса.

В этом курсе общедоступным языком изложены принципы и понятия необходимые для того, чтобы каждый желающий, обладающий небольшим опытом работы в области информационных технологий и знанием основных понятий, приложив незначительные усилия, смог самостоятельно разобраться в приведенной информации. Мы задумывали, что этих выводов будет достаточно для того, чтобы каждый коллег сделал для себя собственные умозаключения и принял дальнейшее решение о том, стоит ли и, если стоит, то каким образом двигаться дальше. Надеемся, что нам это удалось.

Желаем Вам постоянного развития и совершенствования в понимании и применении процессов анализа и управления рисками.