Опубликован: 04.06.2015 | Уровень: для всех | Доступ: платный
Лекция 6:

Количественный анализ рисков

< Лекция 5 || Лекция 6: 12 || Лекция 7 >
Аннотация: В данной лекции курса "Процессы анализа и управления рисками в области ИТ" будут описаны процедуры, необходимые для выполнения количественного анализа рисков. В предыдущей лекции мы остановились на том, что рассмотрели активность качественного анализа рисков и сформулировали условия её "окружения" и процессов, которые должны быть удовлетворены для того, чтобы реализация рассматриваемой деятельности способствовала формированию информационной базы, на которой стало бы возможным построение системы анализа рисков. В данном модуле мы опишем процессы, которые дополняют активность качественного анализа рисков и трансформируют анализ рисков из отдельных разрозненных субпроцедур, используемых в смежных деятельностях, в самодостаточную и комплексную активность. Использование в совокупности качественных и количественных анализов рисков будет способствовать повышению "зрелости" процессов компании и эволюционному развитию домена информационных технологий, без качественного состояния которого любая современная организация утратит свое положение как на рынке в целом, так и в своей отрасли, учитывая сегодняшние темпы развития технологий.

6.1. Введение

Цель лекции – рассмотреть деятельность количественного анализа рисков, изучить современные инструменты, применяемые для получения точных оценок рисков, на основе которых станет возможным перейти от экспертных оценок к математическому инструментарию, позволяющему автоматизировать процессы анализа рисков. Так же в сегодняшнем модуле будут затронуты вопросы "окружения" рисковых процедур, организации и управления риск-менеджмента.

В течение сегодняшней лекции мы предложим нашим коллегам надежные инструменты, позволяющие принимать обоснованные управленческие решения в состоянии высоких неопределенностей, связанных с "рисковыми" процессами, сформируем постулаты, необходимые для комплексных методов анализа рисков, которые могут быть использованы в качестве "ядра" системного подхода к риск-менеджменту любой современной организации.

Ранее ( "лекция 5" ) мы предложили инструментарий качественного анализа рисков. Рассмотренный тип анализа рисков, выполняемый в определенной деятельности, сам по себе не может претендовать на самодостаточность применения, с целью достижения высоких результатов, объективность которых может не подвергаться сомнению, а быть обоснованной технологической и программной "базой". Стоит оговориться и уточнить, что здесь, под "базой", мы понимаем массив достоверных и проверенных данных конкретного предприятия, на основе которого можно принимать эффективные управленческие решения, связанные с выбором краткосрочных тактик и долгосрочных стратегий по работе с рисками.

Для создания комплексных и самостоятельных методик, качеству результатов которых можно доверять необходимыми условиями являются:

  • Наличие "базы" рисков, информация в которой отражает реалии происходивших ранее рисковых событий;
  • Доступность ресурсов необходимого качества, таких как:
    • Квалифицированный персонал, обладающий достаточным набором знаний;
    • Необходимое специальное программное обеспечение;
    • И т.д.
  • Доступ к библиотеке/ архиву документации, созданной по результатам выполненных активностей (проектная документация, стандарты и регламенты организации и т.д.);
  • Заинтересованность руководства в результатах выполняемых процессов/проектов желание участвовать в создании системы по работе с рисками лично;
  • И т.д.

При использовании количественного анализ рисков становится возможным достаточно точное планирование процессов управления рисками. Это выражается в стандартизированной оценке сроков исполнения проектов, в рамках выделенных бюджетов.

Таким образом, мы сформулировали основное "управленческое"/менеджерское различие количественного и качественных видов рисков, выраженное в прогнозировании и более достоверном выделении необходимых для риск-менеджмента ресурсов.

При применении количественных показателей деятельности, работа и своевременная актуализация которых может способствовать повышению качества продуктов и/или услуг, производимых организацией, способствовать меньшему использованию экспертных оценок и привлечению достоверных методик и техник, построенных на точных алгоритмах.

После того, как выполнен качественный анализ рисков, его результатом является корректная и полная идентификация, первичная оценка рисков, на основе которой строится количественный анализ. Для руководства деятельности важно понимать и правильно представлять, что количественный анализ рисков во многом схож с процессом качественного анализа, с той разницей, что результатом количественного анализа является точная количественная метрика или иной математический показатель, который корректен для сравнения с аналогичными оценками.

При этом не стоит забывать о том, что в процессе каждой определенной деятельности достигается оптимальный результат, подкрепленный заданным уровнем качества, обоснованным ресурсами, выделенными на конкретную деятельность. В теории, результатом количественного анализа рисков является 100% обоснованные показатели, но на практике дело обстоит немного по-другому. Подобные цифры являются недостижимым, слишком дорогим для применения эталоном. Поэтому важно понимание того, что в процессе риск-менеджемента должен быть достигнут оптимум, итоги которого будут удовлетворительно устраивать всех стэйкхолдеров, способных уделить достаточное внимание всем "рисковым" частям проекта, с приоритетом к наиболее критичным из них.

Цель количественного анализа рисков заключается в том, чтобы понять – Что (деньги, время, персонал) и сколько стоит риск для данной активности?

При количественном анализе рисков на первый план выходит его основные атрибуты – вероятность и случайно/псевдослучайные переменные, которые в различных комбинациях составляют его основное содержание.

Именно вероятностям, переменным, методам и техниками по их обработке, представлению, визуализации, правильному и оптимальному использованию для конкретных ситуаций в заданных условиях будет посвящена сегодняшняя лекция, которая должна подвести черту под методологическим "базисом" предмета анализа рисков.

6.2. Организация процедур количественного анализа рисков

Как и любой вид активности области информационных технологий, о котором мы говорили ранее, количественный анализ, при условии того, что его результаты должны удовлетворять ожиданиям руководства, нуждается в организации и компетентном управлении процессами, из которых он состоит.

Дополнительно надо учитывать, что для эффективной организации процессов риск-менеджмента, в части количественного анализа рисков должны быть учтены следующие факторы:

  • Эффективная система коммуникаций компании;
    • Эффективная система коммуникаций необходима для того, чтобы процедуры сбора, анализа данных, предоставления обратной связи, информирования и т.д., которые должны являться частью рабочих процессов рассматриваемой компании, внедренные на разных стадиях и этапах, могли быть отлаженным структурным элементом, работающим без сбоев и выполняющим свои процедуры с заданной степенью качества.
  • Дополнительные, по сравнению с качественным анализом рисков, ресурсы;
    • Мы ранее говорили о том, что количественный анализ стоит рассматривать не как замена качественному анализу, а как его эволюционное продолжение, сулящее большие "плоды". Данная постановка задачи делает очевидным тот факт, что для количественного анализа рисков потребуются дополнительные ресурсные затраты. Это аллоцирование связанно с информационной методологической, инструментальной составляющей данного процесса, которые не всегда можно будет однозначно представить, как ресурсы, израсходованные на увеличение стоимость конечного продукта, но фундаментально обосновать необходимость их использования.
  • Постепенность внедрения процедур количественного анализа;
    • Процесс внедрения количественного анализа рисков, как и всего риск-менеджмента, демонстрирует то, насколько конкретная организация (прежде всего её топ-менеджмент) готова/созрела к тому, чтобы выйти на новый виток развития своего бизнеса за счет повышения своего уровня "сознательности" и отношения к бизнесу. Но необходимо отметить, что "полно-разовое" внедрение процессов количественного анализа рисков может болезненно отразиться на проекте/процессе в целом. Дело в том, что как показано выше, внедрение риск-менеджмента очень требовательно к системе коммуникаций компании и ресурсам, отводимым на активность риск-менеджмента. "Не доработка" одной, а что еще хуже двух составляющих сразу может привести к тому, что вместо стройной архитектуры, получатся сляпанные развалины. Чтобы уменьшить неопределенность и свести к минимуму возможные риски предлагается итеративно, шаг за шагом, планировать и внедрять количественный анализ рисков, начиная с более фундаментальных процессов и процедур конкретной организации.
  • Требователен к объективности выдаваемых оценок;
    • Количественный анализ рисков, как каждый вид аналитических активностей нуждается в правильновыбранном подходе и компетентном, непредвзятом квалифицированном персонале. В обязанности риск-менеджеров должно входить принятие взвешены и максимальнообъективных оценок и решений, руководствуясь стандартными и хорошо себя зарекомендовавшими методиками. В противном случае количественный анализ рисков может выродиться из точного инструмента в субъективное, незрелое "советование", полученное из непродуманной, поверхностной информации.
  • Взаимосвязан со всем, сделанным ранее и является показателем эффективности проделанной работы;
    • Если подытожить сказанное, то становится понятно, что количественный анализ рисков представляет собой активность, суть которой заключается в использовании результатов предыдущих деятельностей (идентификации, оценки, качественного анализа рисков) и их трансформировании в базисную систему знаний. На основе такой системы уже возможно принимать эффективные управленческие решения, касающиеся процессов анализа рисков в ИТ. Поэтому согласованность ранее полученных данных, их взаимодополняемость, логичность, прозрачность, непротиворечивость, доступность к пониманию важна для дальнейших процессов, которые будут использовать их для своих внутренних механизмов. Если информация будет не согласована, то каждый этап по работе с ней будет представлять не развитие существующей деятельности, а малоэффективную активность по обработке разрозненных данных, что не будет способствовать достижению целей домена риск-менеджмента.

В предыдущей лекции мы акцентировали внимание коллег на том факте, что в процессы по анализу рисков желательно вовлечение компетентных представителей всех стэйкхолдеров, но, учитывая то, что иногда это становится невыполнимой задачей, одной из основных задач риск-менеджера становится гармоничное балансирование между требованиями к домену риск-менеджмента и необходимой глубиной количественного анализа рисков. От приоритетов конкретных задач и отведенных на них ресурсов будет зависеть качество и достоверность результатов количественного анализа рисков.

< Лекция 5 || Лекция 6: 12 || Лекция 7 >
Грета Березовская
Грета Березовская
Александр Медов
Александр Медов

Здравствуйте, прошел курс МБА Управление ИТ-проектами и направил документы на получение диплома почтой. Подскажите, сроки получения оного в бумажной форме?

:

Михаил Милюткин
Михаил Милюткин
Россия, г. Самара
Антон Букин
Антон Букин
Россия, НИТУ "МИСиС", 2011