Buch lesen: "Управление рисками"

Клуб 4CIO
Schriftart:

Управление рисками

Риски как неотъемлемая часть цифровизации

Прогресс невозможен без использования передовых цифровых технологий, как невозможно и представить современные бизнес-процессы без использования «цифры». Внедрение новых технологий не только может иметь положительный эффект, но и неизбежно приводит к появлению соответствующей неопределенности и связанных с этими технологиями рисков.

Бизнес-процессы, функционирующие на базе сложных цифровых экосистем и технологий, выдвигают жесткие требования к эффективности и бесперебойности работы всех компонентов, задействованных в операциях. При цифровизации организации роль человеческого фактора в триаде «люди-процессы-технологии» снижается, но многократно повышается роль технологического. Внедрение цифровых платформ, робототехники, интеллектуальных помощников требует другого подхода к организации внутреннего контроля. Цифровые бизнес-процессы имеют минимальные уровни ручного управления и контроля, поэтому вмешательство в выполнение операций и реагирование на отклонения в операциях ограничено, либо вообще невозможно.

Необходимо проактивно вести работу над тем, чтобы цифровые бизнес-процессы создавались и использовались таким образом, чтобы в целом достигались их цели и цели организации. Целесообразно ещё до этапа внедрения цифровой технологии понимать, с одной стороны, что может дать данная технология, а с другой – при каких условиях данная технология будет наиболее эффективна, и, следовательно, создать эти условия, снизив влияние различных негативных факторов. Например, развитие технологий искусственного интеллекта не только дает расширение возможностей и повышение производительности процессов, но и требует дополнительных мероприятий по обеспечению контроля на всех стадиях: от выбора принципа работы, модели искусственного интеллекта и подготовки набора данных для обучающих выборок до непосредственного использования в конкретных бизнес-операциях.

Одним из механизмов, позволяющих эффективно использовать цифровые технологии, максимизируя их ценность и снижая негативные последствия от того, что «что-то пошло не так», является такой компонент корпоративного управления, как управление рисками.

Управление рисками – это именно та деятельность, которая направлена на выявление факторов, которые могут помешать нам эффективно внедрять и использовать технологии, а также на минимизацию последствий, если будут выявлены какие-то отклонения от намеченных целей – и на этапе внедрения, и на этапе использования следует идентифицировать нежелательные события, которые или надо предотвратить, или минимизировать последствия от них, т.е. разработать меры по предотвращению данных событий, а если предотвратить их сложно, то определить шаги по снижению последствий от таких событий и их влияния. И лучше продумывать такие меры и шаги заранее, до наступления негативных событий, в спокойной обстановке, а не в условиях аврала и давления со всех сторон, когда последствия уже дают о себе знать.

Перед тем, как приступить к рассмотрению материала главы, необходимо выяснить, кто несет ответственность за эти риски? Так или иначе, у каждого вида деятельности, процесса, продукта и т.п. есть заинтересованная сторона, которая хочет получить конечный результат. В организациях – это заказчик. Заказчик хочет достичь определенных результатов, и если он не готов управлять специфическими рисками, например, связанными с процессами разработки цифровых продуктов, то привлекает поставщика. Данное обстоятельство хорошо описано в определении Услуги.

Услуга – способ обеспечения совместного создания ценности через содействие в получении конечных результатов, которых заказчики хотят достичь без необходимости управлять специфическими затратами и рисками (ITIL 4).

Таким образом, определение переносит владение и управление специфическими рисками с заказчика на поставщика услуг, а значит, это непосредственная обязанность руководителей, отвечающих за услуги. Возьмем «Предоставление доступа в Интернет». Вы как заказчик не будете думать о целом пласте рисков: сбои в работе инфраструктуры маршрутизации сетевых пакетов, взаимодействие с надзорными органами в рамках лицензирования на осуществление деятельности в области оказания услуг связи, риски утечки квалифицированных кадров, обеспечивающих работоспособность всех компонентов ИТ-услуги и т.п. Этими рисками будет управлять поставщик услуги. Конечно, это не избавляет заказчика от других рисков – скажем, при выборе поставщика услуги (например, стараемся выбирать добросовестного поставщика с хорошей репутацией), при обеспечении непрерывности деятельности (например, предусматриваем альтернативный резервный канал выхода в Интернет). Но от специфических рисков заказчик уходит, они становятся рисками поставщика.

Владение «языком» управления рисками очень важно при разговоре CDTO и CIO с бизнесом. Вместо специализированного, технического языка (допустимого времени восстановления, допустимого уровня потери данных, числа инцидентов и времени реагирования) наиболее успешные руководители цифровых и ИТ-блоков оперируют понятием бизнес-рисков – как в контексте затрат на их минимизацию, так и в контексте внедрения инновационных технологий, которые открывают новые возможности. Управление такого рода рисками позволяет трансформировать опыт и знание отдельных специалистов в мощный инструмент коммуникаций, обеспечивающий для CDTO и CIO не только сбор и агрегацию данных о состоянии и перспективах цифровых и информационных технологий, но и доведение ее до высшего руководства и коллегиальных органов управления организации в максимально удобной форме.

Управление рисками является важной частью многих современных стандартов и практик управления, в том числе TOGAF 10 – стандарта по корпоративной архитектуре.

Терминология управления рисками

В России действует ГОСТ Р 51897-2021 «Менеджмент риска. Термины и определения», служащий терминологической основой для целой серии стандартов, посвященных управлению рисками.

В соответствии с ним:

Риск – влияние неопределенности на достижение поставленных целей.

К этому определению необходимо сделать несколько комментариев:

• 

неопределенность

– это состояние полного или частичного отсутствия информации относительно понимания или знания события, его последствий или вероятности;

• 

влияние неопределенности

– это отклонение от ожидаемого результата (целей) с позитивными или негативными последствиями.

Риск часто выражается через его источники, потенциальные события, их последствия и вероятность.

Источник риска – объект, ситуация или действие, которые самостоятельно или в комбинации могут повлечь за собой риск.

Событие – происшествие, проявление или изменение совокупности обстоятельств.

Последствие – результат влияния события на достижение целей.

Суммируя вышеприведенные определения, можно сказать, что риск – это следствие вероятности возникновения события, которое окажет влияние на достижение поставленных целей.

Здесь важно учесть три обстоятельства:

• 

имеется в виду будущее событие;

• 

событие может заключаться в том, что какое-то явление не имело места;

• 

событие может быть случайным, т. е. заранее неизвестно, произойдет оно или нет, но тем не менее, есть основания полагать, что оно может произойти.

Кроме того, что результатом события может быть одно или более последствий, первоначальные последствия могут усиливаться за счет эффекта домино.

Последствия могут быть ранжированы от позитивных до негативных. Однако применительно к аспектам безопасности всегда рассматриваются именно негативные последствия.

Существенно, что последствие может иметь положительные и отрицательные влияния на цели.

Таким образом, риск в контексте цифровых технологий – это следствие влияния неопределенности, связанной с применением технологий, на достижение целей.

С учетом рассмотренных определений риски характеризуются двумя величинами:

• 

вероятность

, которая характеризует наступление события (рискового события);

• 

степень влияния

возможных последствий.

Источник риска может быть материальным или нематериальным, а также может быть назван терминами «фактор риска» или «риск-фактор» (ГОСТ Р 51897-2021). В области информационной безопасности часто употребляется термин «угроза», например, ГОСТ Р ИСО/МЭК 27000-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология» определяет угрозу (threat) как «потенциальную причину нежелательного инцидента, который может нанести ущерб системе или организации».

Уязвимость – присущие свойства объекта, определяющие его чувствительность к источнику риска, которая может привести к событиям, влекущим последствия (ГОСТ Р 51897-2021).

Вся жизнь – управление рисками, а не исключение рисков.

Уолтер Ристон

Взаимосвязь между основными терминами риск-менеджмента схематически представлена на Рис. 1.


Рис. 1. Взаимосвязь между основными терминами риск-менеджмента.

Уязвимость объекта может позволить источнику риска спровоцировать некоторое событие, которое может иметь одно или несколько последствий. Событие может произойти или не произойти, и даже если оно произойдет, последствия от данного события могут возникнуть или не возникнуть, следовательно, появляется неопределенность, которая может повлиять на достижение поставленных целей, т.е. возникает риск.

Оценка рисков позволяет организации учитывать, в какой степени потенциальные события могут оказать влияние на достижение ее целей. Иногда эти две величины объединяют в один показатель – значимость риска.

Die kostenlose Leseprobe ist beendet.

Клуб 4CIO
Text, Audioformat verfügbar
5,0
1 bewertung
0
Kommentar hinterlassen
€2,10
Altersbeschränkung:
12+
Veröffentlichungsdatum auf Litres:
16 September 2025
Datum der Schreibbeendigung:
2025
Umfang:
39 S. 11 Illustrationen
Rechteinhaber:
Автор
Download-Format: