Опубликован: 04.06.2015 | Доступ: свободный | Студентов: 1415 / 378 | Длительность: 07:11:00
Лекция 5:

Качественный анализ рисков

< Лекция 4 || Лекция 5: 12 || Лекция 6 >

5.6. "Выходная информация"

Результатом обработки "инструментами", определенных "входных данных", является конкретная результирующая информация, имеющая определенную степень ясности, понятности и применимости для дальнейшего использования.

При обработке данных необходимо помнить о тех стэйкхолдерах, кто будет являться целевыми пользователями этой информации и от кого, в конечном итоге, зависит принятие решений и одобрение дальнейшей работы по риск-менеджменту. Как бы качественно и профессионально не был выполнен анализ. При оформлении демонстрационного отчета или презентации на первый план выходит понятие визуализации полученных результатов и самодостаточность полученной информации. Лучше всего, если Ваш материал будет понятен с минимальным количеством слов.

Но, при этом, не менее ценно помнить о том, что стэйкхолдеры бывают разные. Кто-то лучше относиться к числовым показателям, а кто-то лучше реагирует на полностью визуальный слайды.

Перед тем как составлять итоговый материал, изучите ключевых стэйкхолдеров – их образование, опыт работы, рабочие предпочтения и т.д. Успех всегда зависит от мелочей, которые можно почерпнуть в беседах с более опытными коллегами, руководством, изучением best practice. Мы не призываем Вас к организации "разветвленной шпионской сети", но рекомендуем быть более внимательными к деталям.

Наиболее удачные материалы в конечном итоге формируют библиотеку проекта/процесса (если хотите, то Ваш собственный репозиторий знаний), которую можно будет в дальнейшем "наращивать", развивать и применять для дальнейшего использования.

5.7. Документация результатов. Карта рисков. Приоритезация

Один из самых важных, но, при этом самый "игнорируемый" процесс – это процесс документирования. О важности фиксации результатов, для дальнейшей работы с полученной информацией, знают все, но вот наладить процесс документирования удается в немногих организациях. Это происходит из-за того, что документирование очень сложный и скрупулезный процесс, в котором необходимо отражать все значимые изменения, возникающие по ходу проекта.

Необходимость организации и реализации этой активности появляется в тех компаниях, в которых анализ рисков становится не "стихийновозникающей" задачей, а процессом, важность которого осознана благодаря накопленному (как положительному, так и отрицательному) опыту работы над рисками.

Можно долго излагать прописные и теоретические истины о том, что ждет тех, кто должны образом не будет документировать свои процессы анализа рисков, но в наших лекциях нет задачи Вам что-то навязать, но есть желание обучить Вас тому, как следует работать, что бы Вы могли быть успешными в направлении анализа рисков. Документирование именно тот процесс, который позволит обладать актуальной информацией. Каждый профессионал должен обладать свойством объективности и беспристрастности к тем данным и результатам, которые достигнуты в процессе его работы и ему нужно уметь своевременно донести их до тех сотрудников/руководства, от которых зависит принятие решений, а порой, такие решения ему придется принимать самому. Именно поэтому обоснованность принятого выбора из ряда альтернатив является ключевым моментом для последующих процессов.

Но при этом, специалистам, задействованным в процессах анализа рисков, важно знать и понимать специфику той деятельности, в которой они проводят свой анализ. Порой, способность пожертвовать "малым", во имя приобретения больших "бонусов" служит ключевым фактором успешной деятельности компании на рынке.

Процесс анализа рисков следует документировать на протяжении жизненного цикла всего проекта/процесса. Объем документирования и его форма, содержащая результаты анализа, зависит от конкретных целей проведенного анализа риска. В итоговом документе необходимо привести следующие данные:

  • Титульный лист;
  • Список участников процесса КАР;
  • Аннотацию;
  • Содержание (оглавление);
  • Цели и задачи проведенного КАР;
  • Описание анализируемого объекта;
  • Методологию КАР
    • Исходные предположения и ограничения, определяющие пределы анализа риска;
  • Описание используемых методов анализа и обоснование их применения;
  • Исходные данные и их источники;
  • Результаты идентификации;
  • Результаты качественного анализа риска;
  • Анализ неопределенностей результатов оценки риска;
  • Рекомендации по работе с рисками;
  • Заключение;
  • Перечень используемых источников информации/

Не менее важный документ, который служит для формирования общей картины рисков – карта рисков (КР). КР основана на составлении детального документа, исходя из данных высокоуровневого представления всех возможных рисков. В этом документе должны быть приведены:

  • Сведения о природе рисков;
  • Информация об "окружении" (как внешнем, так и внутреннем) рисков;
  • Количественные характеристики, которые позволят оценить и приоритезировать каждый отдельный риск;

Приведенный список данных является минимально необходимым и достаточным для составления карты рисков, способной отвечать заданным метрикам процессов по работе с ними.

Когда речь заходит о составлении карты рисков, тогда будет уместным сказать о том, что "коллективное сознание" руководства процесса/проекта пришло к пониманию необходимости не просто отслеживать определенные риски и пытаться организовать отдельные точечные процессы по работе с ними, а создания документа, который сможет лечь в основе системы, по работе с рисками, повышающей качество процессов и конечного результата исследуемого домена.

Приведенном нами перечнем наибольший интерес вызывает третий пункт. Мы сосредоточимся на его пояснении. Он предполагает, что будет проведен не только КАР, но и частично выполнен количественный анализ (которому будет посвящен следующий модуль), логичность проведения которого должна быть подтверждена результатами КАР.

Для того, что бы составить детальную КР, необходимо разработать метрики, которые могли бы подтвердить обоснованность результатов качественного анализа для:

  • Определение возможной величины ущерба:
    • использование 5-балльной оценки будет вполне достаточно;
    • выполняется экспертами-специалистами ИТ;
  • Определение значимости актива для организации:
    • использование 5-балльной оценки будет вполне достаточно;
    • выполняется экспертами-специалистами ИТ и согласовывается с стэйкхолдерами проекта;
  • Величину влияния риска вычислять как произведение двух вышеперечисленных величин :
    • Это позволит установить соответствие рассчитанной величины и качественной оценки уровня риска, полученной при составлении высокоуровневой (общей) карты рисков;

Результатом выполненной работы будет являться детальное описание всех комбинаций "актив — угроза" для каждого актива подверженного риску с количественной оценкой всех составляющих и суммарного уровня риска, как произведения величины влияния риска на вероятность использования уязвимости.

После того, как будет составлена карта рисков, можно говорить о том, что работа по приоритезации рисков может быть выполнена не на основе достаточно субъективных экспертных оценок, а в соответствии с принятым в процессах по анализу рисков математическим аппаратом, что приводит к значимости и обоснованности выполняемой активности.

Таким образом мы постепенно приходим к пониманию того, что без особых дополнительных ресурсных затрат можно выстроить подобие качественной системы по работе с рисками. Она будет включать в себя базу, реализованную в виде качественного анализа рисков и небольшой "надстройки", выполненной в виде количественного анализа рисков. В интеграции результатов, предложенной структуры системы по работе с рисками, будут вовлечены максимальное количество "слоев" организационной структуры, отдельно взятой компании, что приведет к согласованности и подтверждению ожиданий пользователей от данной системы.

5.8. План реагирования на риски

Разработка плана реагирования на риски начинается после того, как проведены все необходимые виды анализа рисков. На этом этапе необходимо утвердить сотрудников, ответственных за определенные риски и выработать план/инструкцию, в которой будет описан процесс реагирования на риски. Данный документ должен так же содержать:

  • Метрику риска:
    • Граничные показатели, которые бы идентифицировали скорое наступление рискового события или появления ущерба;
  • Методы и стратегии по работе с риском:
    • Игнорирование, снижение, передача, устранение и т.д.;
  • Процедуры по дальнейшей обработке рисков
  • Ответственных за "рисковые процессы" в дальнейшем;

Шаблонный подход к данному процессу можно быть применен только тогда, когда все виды рисков хорошо изучены и подкреплены актуальными данными о состоянии рисков, в изучаемой деятельности, а так же выполняется своевременная актуализация критичной информации. Если рисковая составляющая не достаточно хорошо изучена и нет четкого плана по их обработке, то такие риски должны более пристально отслеживаться и процедуры их обработке должны быть более оперативны.

Способы реагирования должны рассматриваться для каждого риска отдельно, с учетом специфики возникновения и проявления каждого, отдельно взятого риска.

План не должен остаться только на бумаге.

Разработка правильного, понятного и оптимального, для заданных параметров и условий плана – это 5% работы, а вот его выполнение, корректировка и "воплощение в жизнь", это оставшаяся часть.

Процесс планирования не должен быть статическим и теоретическим, но вот быть актуальным и выполнимым быть обязан.

5.9. Извлечение уроков. Совершенствование КАР

В связи с тем, что процессы анализа рисков должны соответствовать принципам системного менеджмента, описанными в серии Гостов/Исо 9000 серии и принятыми на сегодняшний день за эталон, а так же учитывая тот факт, что качество реализуемых продуктов и услуг должно постоянно повышаться и удовлетворять запросам потребителей (внутренние или внешние эти потребители, по отношению к конкретной организации это не так важно), в жизненном цикле процессов риск-менеджмента должна присутствовать активность связанная с постоянным самоанализом/рефлексией проводимой деятельности.

Самоанализ должен заключаться не в фиктивном аудите или точечной инспекции выполняемых действий, а в подробном осмыслении и переосмыслении проводимых работ, с целью их оптимизации и корректировки, в соответствии со стратегией и задачами конкретной организации. Фаза "Совершенствования", названная так нами по причине того, что авторы видят в этой фазе залог успешности проводимых процессов, должна быть организована таким образом, чтобы руководство компании непосредственно участвовало и было осведомлено о результатах этой фазы, выраженных в:

  • "Количественной" обоснованности корректировок процессов "риск-менеджмента";
  • Более быстром достижении поставленных задач;
  • Адекватной ресурсной составляющей "рисковой" деятельности;
  • И т.д.

Именно за счет процессов постоянного улучшения можно выработать баланс между целями организации и ИТ ресурсами, выделенными для риск-менеджмента;

5.10. "Переходный период"

Учитывая то, что процесс/ы совершенствования должны быть включены в каждую выполняемую активность, мы считаем правильным предложить дальнейший путь по работе с рисками, заключенный в накоплении данных и информации, сформированных на основе качественного анализа рисков и постепенном переходе к процессам количественного анализа, в результате выполнения которых становится возможным максимальным образом минимизировать влияние человеческого фактора на обработку рисковой составляющей процессов/проектов рассматриваемой организации.

Только после того, как накоплен опыт и необходимый массив информации в проведении качественного анализа рисков, целесообразно переходить к их количественной оценке. Причем концентрировать внимание следует именно на тех рисках, которые в процессе качественной классификации были включены в категорию высоких (особенно с высокой степенью ущерба при высокой вероятности реализации).

При количественной оценки рисков, используя оценки ущерба и вероятность реализации, мы рекомендуем, для начала, использовать 3-х бальную шкалу оценки рисков — высокий, средний, малый. Со временем, после осмысления рисковых процессов и понимания необходимых результатов данной активности можно будет данную шкалу дополнять, обоснуя необходимость проводимых действий.

Реализация количественных оценок, как правило, приводит к тому, что на качественном уровне структуры работ придется проделать не одну, а несколько регулярных процедур по работе с рисками, вырабатывая в организации культуру управления рисками. Это является необходимым условием повышения грамотности владельцев ИТ-активов и процессов, без которых невозможна успешная работа в этом направлении.

Здесь необходимым будет пожелать терпения и настойчивости в достижении целей риск-менеджмента, ответственным за это специалистам и руководителям.

"Переходный" период, связанный с аккумулированием необходимой информации – это очень сложный и достаточно долгий процесс, в котором необходимо использовать передовой опыт и качественную информацию.

В большинстве случаев, результатом "переходного периода" является выход на новый виток процессов анализа ИТ-рисков.

5.11. Краткие выводы по изученному модулю

Сегодняшний модуль подошел к концу.

В этой части лекции по анализу рисков мы описали процесс качественного анализа рисков. Эта активность позволит сформировать необходимую базу, для дальнейшего формирования и развития процессов анализа ИТ-рисков. Оптимально выстроенные процессы анализа рисков позволяют заложить прочный, надежный, но в то же время относительно гибкий информационный фундамент, на котором становится возможным построить прочный и надежный домен информационных технологий, обеспечивающий организации качественным и относительно "безрисковыми" процессами.

В текущей лекции мы осветили необходимые данные и инструменты, которые могут лечь в основе качественного анализа рисков. В следующем модуле мы продолжим разговор о анализе рисков, но при этом уделим большое внимание её количественной составляющей.

< Лекция 4 || Лекция 5: 12 || Лекция 6 >
Грета Березовская
Грета Березовская
Александр Медов
Александр Медов

Здравствуйте, прошел курс МБА Управление ИТ-проектами и направил документы на получение диплома почтой. Подскажите, сроки получения оного в бумажной форме?

: