Меньше рисков — меньше стрессов

В процессе деятельности любой, даже обласканный неслыханными удачами, везением и покровительством бизнес сталкивается с проблемами. Общеизвестный факт: «Проблемы легче избежать или минимизиро­вать ее влияние, чем пытаться решать последствия по мере их проявления». Конечно, если знать, как это делать. Поэтому любой нормальный бизнес не в последнюю очередь оценивает и риски, исходящие от всех компонент и связующих элементов бизнеса, потенциально являющихся источником проблем. Именно поэ­тому, прежде чем кидаться решать проблему, необходимо риски оценить. Вот почему такое понятие, как «управление рисками» или «оценка рисков», а проще говоря, «risk management» присутствует не только в ядерной промышленности и прочих потенциально опасных отраслях, но и в бизнесах, с атомными электро­станциями или химическими заводами никак не связанных. Например, отсутствие на любом предприятии информационной безопасности — это очень серьезный риск, который может привести к полному краху. Для владельца бизнеса его крах в личном плане будет пострашнее аварии на химзаводе. Вообще оценка рисков в бизнесе — вещь необходимая и жизненно важная. Насколько важная, можно судить по диаграмме 1, где показано, как изменились учитываемые в анализе категории рисков за последние 30 лет.

Александр Мурадян
im@telecominfo.ru,
руководитель направления «Эффективность ИТ»
компании «Коминфо Консалтинг»

Business Online. №9. 2001

Далее мы более подробно рассмотрим технологическую составляющую произ­водственных рисков.

Многие предприятия, работающие на рынках, где рисковые ситуации возникают сплошь и рядом, даже ввели новую управленческую должность — Chief Risk Officer. Его задача — оценивать и принимать решения по полученным и систематизированным данным. Чтобы не возникало остановов и простоев, особенно тех, которые не запланированы ни на одной из стадий генерации добавленной стоимости. Насколько это важно, доказывают приведенные ниже данные, полученные Gartner Group в ходе различных исследований.

• Средняя компания теряет от 2 до 3% дохода в течение примерно 10 дней после сбоя в работе информационной системы.

• На полное восстановление функционирования уходит 4,8 дня, после чего компания выходит на уровень рентабельности, имевшийся до сбоя.

• Половина компаний, которые не смогли восстановить функциональность в течение 10 рабочих дней, никогда не выходят на прежний уровень рентабельности.

• 93% компаний, игнорирующих планы безопасности, секретности, быстрого восстановления и резервирования данных, в течение пяти лет прекращают свое существование.

 

Диаграмма 1

А насколько серьезен простой компании в реальном, финансовом выражении, видно из таблицы 1.

Таблица 1. Средняя стоимость простоя различных компаний (источник: Gartner Group)

Отрасль	Вид операции	Средний по индустрии (для разных компаний) уровень стоимости, млн. долл. в час	Средняя стоимость часа простоя, млн. долл. в час
Финансы	Брокерские операции	5,6—7,3	6,45
Финансы	Кредитные карточки / авторизация продаж	2,2—3,1	2,6
Розница	Покупки по телевизору	0,087—0,140	0,113
Розница	Продажи по каталогу	0,060—0,120	0,090
Транспорт	Резервирование билетов	0,067—0,112	0,0895
Транспорт	Доставка грузов	0,024—0,032	0,028
Финансы	Платежи по АТМ	0,012—0,017	0,0145

Оцениваем и снижаем...

Да, проблема понятна и реальна, но как с ней разобраться? Для оценки и снижения рисков существует специализированное программное обеспечение, годящееся в том случае, если есть специалист по оценке рисков. Если нет, необходимо привлекать специалистов по управлению рисками со стороны. Развитие технологий и их увеличившаяся роль в бизнесе привели к тому, что технологические риски стали выделяться в отдельную, весьма обширную подкатегорию со своей спецификой и особенностями (диаграмма 2). Хотя следует отметить, что вне зависимости от типа рисков все они базируются на неких базовых правилах, которых придерживаются практически все производители программных продуктов оценки и управления рисками.

Утверждение первое. Любое предприятие работает не в вакууме. Есть связи с государственными предприятиями, партнерами по бизнесу, поставщиками сырья и материалов, социальными структурами. Естественно, риски, исходящие от них, влияют на уровень рисков предприятия. Поэтому все риски необходимо оценивать не только у себя, но и у всех, кто с предприятием связан. Если же быть совсем точным, оценке и анализу подлежит значительно большее число составляющих. Например, анализируются финансовые данные партнерских предприятий за последние три фискальных года. А число компонент модели превышает 500 только по конкретному предприятию и более 800 — для взаимосвязанных структур.

 

Диаграмма 2. Подкатегории рисков

Утверждение второе. Доля технологических рисков не должна превышать риски от остальных основных составляющих рисковой модели информационной системы (а именно: управленческих маркетинговых рисков и рисков, исходящих от персонала) и составлять не более 15%. Данное утверждение базируется на аналитических данных, полученных Landmark Partners путем изучения и моделирования ИТ-систем большого числа компаний и организаций по всему миру

Утверждение третье. Оценка рисков — обычный проект со всеми присущими ему компонентами, например, анализом cost/benefit, временным графиком, и пр. Следовательно, существуют опробованные технологии и методики реализации проекта под названием «Оцениваем и снижаем технологические риски». Хотя у различных консалтинговых фирм наработки и компоненты могут варьироваться, методология в большинстве своем практически едина. Поэтому останавливаться на тонкостях конкретных программ не будем. Куда правильнее подсказать правильную последовательность действий. А выглядит она так.

Шаг 1. Составление плана

Да, без плана никуда. На голом энтузиазме далеко не уедешь. Создание плана действий решает как минимум три задачи. Во-первых, определение своих реальных возможностей в проекте. Во-вторых, разбивка всего фронта работ на управляемые составляющие. И, в-третьих, назначение ответственных за каждый участок работы. Делается эта вроде бы бюрократическая рутина для того, чтобы распределить немалое число рисковых областей — как внешних, так и внутренних — между тактически самостоятельными группами сотрудников. Каждая из них занимается работой с определенной частью категорий. Чтобы самому не заниматься поиском категорий, не задействованных в анализе, в программах оценки рисков имеется классификатор. При наличии специфических компонент, по каким-то причинам в базу классификатора не включенных, всегда можно их добавить. Кстати, при назначении ответственных необходимо учитывать отнюдь не персональные возможности по быстрому решению своей части проблемы, а умение управлять вверенными человеку ресурсами.

Шаг 2. Распознавание рисков

Несмотря на весьма грозное название, задача, на данном этапе решаемая, заключается в распределении рисков по двум категориям. Первая связана с внешними факторами и методами управления. Правильное их определение и корректировка в самом начале позволяют существенно снизить затраты, связанные с решением проблем второй категории. Второй тип риска связан с индивидуальными характеристиками систем, приложений, процессов и способностью участников проекта успешно решить проблему

Шаг 3. Оценка состояния

Поскольку самостоятельное распознавание рисков — дело тяжелое и неблагодарное, весьма легко попасть в состояние, метко именуемое аналитическим параличом, и затеряться в многомерных таблицах соотношений рисков, приоритетов, факторов... С другой стороны, некоторые предприятия хотели бы решить эту проблему, да не знают, с чего начать. То ли с компьютеров, то ли с программ, то ли со службы безопасности, то ли с анализа информационной системы партнера. А начинать необходимо с ключевых компонент, то есть с оценки стоимости и деловых рисков. Именно эти два фактора влияют на дальнейшее решение проблемы. Если проблемная компонента управляет архивами периодики десятилетней давности, не нужными никому, кроме архивариуса, а временные и прочие затраты по его защите и надежному хранению превысят всякие разумные пределы, необходимо решать эту проблему в последнюю очередь. Пусть конкуренты в мусоре копаются, пока не надоест либо пока служба безопасности их не выловит и не отобьет охоту в «чужом белье» рыться. А для определения, чего и когда, существует...