Управление рисками

Прогресс невозможен без использования передовых цифровых технологий, как невозможно и представить современные бизнес-процессы без использования «цифры». Внедрение новых технологий не только может иметь положительный эффект, но и неизбежно приводит к появлению соответствующей неопределенности и связанных с этими технологиями рисков.

Бизнес-процессы, функционирующие на базе сложных цифровых экосистем и технологий, выдвигают жесткие требования к эффективности и бесперебойности работы всех компонентов, задействованных в операциях. При цифровизации организации роль человеческого фактора в триаде «люди-процессы-технологии» снижается, но многократно повышается роль технологического. Внедрение цифровых платформ, робототехники, интеллектуальных помощников требует другого подхода к организации внутреннего контроля. Цифровые бизнес-процессы имеют минимальные уровни ручного управления и контроля, поэтому вмешательство в выполнение операций и реагирование на отклонения в операциях ограничено, либо вообще невозможно.

Необходимо проактивно вести работу над тем, чтобы цифровые бизнес-процессы создавались и использовались таким образом, чтобы в целом достигались их цели и цели организации. Целесообразно ещё до этапа внедрения цифровой технологии понимать, с одной стороны, что может дать данная технология, а с другой – при каких условиях данная технология будет наиболее эффективна, и, следовательно, создать эти условия, снизив влияние различных негативных факторов. Например, развитие технологий искусственного интеллекта не только дает расширение возможностей и повышение производительности процессов, но и требует дополнительных мероприятий по обеспечению контроля на всех стадиях: от выбора принципа работы, модели искусственного интеллекта и подготовки набора данных для обучающих выборок до непосредственного использования в конкретных бизнес-операциях.

Одним из механизмов, позволяющих эффективно использовать цифровые технологии, максимизируя их ценность и снижая негативные последствия от того, что «что-то пошло не так», является такой компонент корпоративного управления, как управление рисками.

Управление рисками – это именно та деятельность, которая направлена на выявление факторов, которые могут помешать нам эффективно внедрять и использовать технологии, а также на минимизацию последствий, если будут выявлены какие-то отклонения от намеченных целей – и на этапе внедрения, и на этапе использования следует идентифицировать нежелательные события, которые или надо предотвратить, или минимизировать последствия от них, т.е. разработать меры по предотвращению данных событий, а если предотвратить их сложно, то определить шаги по снижению последствий от таких событий и их влияния. И лучше продумывать такие меры и шаги заранее, до наступления негативных событий, в спокойной обстановке, а не в условиях аврала и давления со всех сторон, когда последствия уже дают о себе знать.

Перед тем, как приступить к рассмотрению материала главы, необходимо выяснить, кто несет ответственность за эти риски? Так или иначе, у каждого вида деятельности, процесса, продукта и т.п. есть заинтересованная сторона, которая хочет получить конечный результат. В организациях – это заказчик. Заказчик хочет достичь определенных результатов, и если он не готов управлять специфическими рисками, например, связанными с процессами разработки цифровых продуктов, то привлекает поставщика. Данное обстоятельство хорошо описано в определении Услуги.

Услуга – способ обеспечения совместного создания ценности через содействие в получении конечных результатов, которых заказчики хотят достичь без необходимости управлять специфическими затратами и рисками (ITIL 4).

Таким образом, определение переносит владение и управление специфическими рисками с заказчика на поставщика услуг, а значит, это непосредственная обязанность руководителей, отвечающих за услуги. Возьмем «Предоставление доступа в Интернет». Вы как заказчик не будете думать о целом пласте рисков: сбои в работе инфраструктуры маршрутизации сетевых пакетов, взаимодействие с надзорными органами в рамках лицензирования на осуществление деятельности в области оказания услуг связи, риски утечки квалифицированных кадров, обеспечивающих работоспособность всех компонентов ИТ-услуги и т.п. Этими рисками будет управлять поставщик услуги. Конечно, это не избавляет заказчика от других рисков – скажем, при выборе поставщика услуги (например, стараемся выбирать добросовестного поставщика с хорошей репутацией), при обеспечении непрерывности деятельности (например, предусматриваем альтернативный резервный канал выхода в Интернет). Но от специфических рисков заказчик уходит, они становятся рисками поставщика.

Владение «языком» управления рисками очень важно при разговоре CDTO и CIO с бизнесом. Вместо специализированного, технического языка (допустимого времени восстановления, допустимого уровня потери данных, числа инцидентов и времени реагирования) наиболее успешные руководители цифровых и ИТ-блоков оперируют понятием бизнес-рисков – как в контексте затрат на их минимизацию, так и в контексте внедрения инновационных технологий, которые открывают новые возможности. Управление такого рода рисками позволяет трансформировать опыт и знание отдельных специалистов в мощный инструмент коммуникаций, обеспечивающий для CDTO и CIO не только сбор и агрегацию данных о состоянии и перспективах цифровых и информационных технологий, но и доведение ее до высшего руководства и коллегиальных органов управления организации в максимально удобной форме.

Управление рисками является важной частью многих современных стандартов и практик управления, в том числе TOGAF 10 – стандарта по корпоративной архитектуре.

В России действует ГОСТ Р 51897-2021 «Менеджмент риска. Термины и определения», служащий терминологической основой для целой серии стандартов, посвященных управлению рисками.

В соответствии с ним:

Риск – влияние неопределенности на достижение поставленных целей.

К этому определению необходимо сделать несколько комментариев:

• 

неопределенность

– это состояние полного или частичного отсутствия информации относительно понимания или знания события, его последствий или вероятности;

• 

влияние неопределенности

– это отклонение от ожидаемого результата (целей) с позитивными или негативными последствиями.

Риск часто выражается через его источники, потенциальные события, их последствия и вероятность.

Источник риска – объект, ситуация или действие, которые самостоятельно или в комбинации могут повлечь за собой риск.

Событие – происшествие, проявление или изменение совокупности обстоятельств.

Последствие – результат влияния события на достижение целей.

Суммируя вышеприведенные определения, можно сказать, что риск – это следствие вероятности возникновения события, которое окажет влияние на достижение поставленных целей.

Здесь важно учесть три обстоятельства:

• 

имеется в виду будущее событие;

• 

событие может заключаться в том, что какое-то явление не имело места;

• 

событие может быть случайным, т. е. заранее неизвестно, произойдет оно или нет, но тем не менее, есть основания полагать, что оно может произойти.

Кроме того, что результатом события может быть одно или более последствий, первоначальные последствия могут усиливаться за счет эффекта домино.

Последствия могут быть ранжированы от позитивных до негативных. Однако применительно к аспектам безопасности всегда рассматриваются именно негативные последствия.

Существенно, что последствие может иметь положительные и отрицательные влияния на цели.

Таким образом, риск в контексте цифровых технологий – это следствие влияния неопределенности, связанной с применением технологий, на достижение целей.

С учетом рассмотренных определений риски характеризуются двумя величинами:

• 

вероятность

, которая характеризует наступление события (рискового события);

• 

степень влияния

возможных последствий.

Источник риска может быть материальным или нематериальным, а также может быть назван терминами «фактор риска» или «риск-фактор» (ГОСТ Р 51897-2021). В области информационной безопасности часто употребляется термин «угроза», например, ГОСТ Р ИСО/МЭК 27000-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология» определяет угрозу (threat) как «потенциальную причину нежелательного инцидента, который может нанести ущерб системе или организации».

Уязвимость – присущие свойства объекта, определяющие его чувствительность к источнику риска, которая может привести к событиям, влекущим последствия (ГОСТ Р 51897-2021).

Вся жизнь – управление рисками, а не исключение рисков.

Уолтер Ристон

Взаимосвязь между основными терминами риск-менеджмента схематически представлена на Рис. 1.

Рис. 1. Взаимосвязь между основными терминами риск-менеджмента.

Уязвимость объекта может позволить источнику риска спровоцировать некоторое событие, которое может иметь одно или несколько последствий. Событие может произойти или не произойти, и даже если оно произойдет, последствия от данного события могут возникнуть или не возникнуть, следовательно, появляется неопределенность, которая может повлиять на достижение поставленных целей, т.е. возникает риск.

Оценка рисков позволяет организации учитывать, в какой степени потенциальные события могут оказать влияние на достижение ее целей. Иногда эти две величины объединяют в один показатель – значимость риска.

Совокупность факторов, по сопоставлению с которыми оценивают существенность риска, называют Критерием риска (ГОСТ Р 51897-2021).

Введем еще несколько важных определений:

Идентификация риска – процесс обнаружения, распознавания и описания рисков. Идентификация включает выявление источников риска, событий, их причин и возможных последствий (ГОСТ Р 51897-2021).

Процесс менеджмента риска (управления риском) – взаимосвязанные действия по обмену информацией, консультированию, определению среды, идентификации, анализу, оцениванию, воздействию, мониторингу и пересмотру риска, выполняемые в соответствии с политиками, процедурами и методами менеджмента организации.

Деятельность по управлению рисками целесообразно организовывать в рамках специализированного процесса, повторяемой структурированной деятельности. Управление рисками организации:

• 

нацелено на определение событий, которые не соответствуют готовности организации идти на риск (риск-аппетит);

• 

включает анализ портфеля рисков на уровне организации и используется при разработке и формировании стратегии;

• 

представляет непрерывный процесс, охватывающий всю организацию и осуществляемый на всех уровнях.

Цель организации регулярного управления рисками – нахождение баланса между рисками, затратами на их смягчение и ожидаемым эффектом. Теоретически безрисковые цифровые технологии обеспечили бы полную защиту от возможных рисков, но подобный подход потребовал бы огромных расходов. Поэтому задача управления рисками состоит в поиске реалистичного компромисса между рисками, ожидаемыми эффектами и затратами на смягчение рисков, причем компромисса, максимально соответствующего стратегии и способам ведения бизнеса компании (например, склонности к повышенному риску).

Управление рисками можно свести к следующему базовому алгоритму:

• 

идентификация и анализ рисков: анализ ситуации, выявление источников рисков, классификация рисков;

• 

оценка рисков и детальное их описание, построение карты рисков;

• 

определение основных сценариев дальнейшего развития ситуации, выработка мер реагирования (план реагирования);

• 

проведение мероприятий по снижению уровней рисков.

Идентификация и анализ рисков

Для идентификации рисков, связанных с цифровыми технологиями, необходимо выявлять уязвимости объектов – материальных и нематериальных, например, системы, технологии обработки информации, процессы, проекты и т.п., определять возможные источники рисков, описывать в соответствующих терминах возможные риск-события. Проведя идентификацию рисков, впоследствии можно оценить влияние неопределенности на цели организации, то есть оценить риск.

Для эффективной идентификации рисков и удобства их последующей обработки вводится классификация (таксономия) – распределение рисков на конкретные группы на основании признаков и критериев. Современная методология управления выделяет три группы рисков по уровням управления:

Уровень корпоративного управления – риски неполучения преимуществ/ценности от инвестиций в технологии. Например, инициативы, выбранные для реализации технологии, не соответствуют стратегии и приоритетам организации, либо налицо неспособность проводить необходимые организационные изменения, либо уделяется недостаточное внимание руководства компании инициативам в области цифровых технологий и цифровой трансформации.