Меньше рисков — меньше стрессов

↑

▷ Содержание

⇐ ПредыдущаяСтр 10 из 15Следующая ⇒

В процессе деятельности любой, даже обласканный неслыханными удачами, везением и покровительством бизнес сталкивается с проблемами. Общеизвестный факт: «Проблемы легче избежать или минимизиро­вать ее влияние, чем пытаться решать последствия по мере их проявления». Конечно, если знать, как это делать. Поэтому любой нормальный бизнес не в последнюю очередь оценивает и риски, исходящие от всех компонент и связующих элементов бизнеса, потенциально являющихся источником проблем. Именно поэ­тому, прежде чем кидаться решать проблему, необходимо риски оценить. Вот почему такое понятие, как «управление рисками» или «оценка рисков», а проще говоря, «risk management» присутствует не только в ядерной промышленности и прочих потенциально опасных отраслях, но и в бизнесах, с атомными электро­станциями или химическими заводами никак не связанных. Например, отсутствие на любом предприятии информационной безопасности — это очень серьезный риск, который может привести к полному краху. Для владельца бизнеса его крах в личном плане будет пострашнее аварии на химзаводе. Вообще оценка рисков в бизнесе — вещь необходимая и жизненно важная. Насколько важная, можно судить по диаграмме 1, где показано, как изменились учитываемые в анализе категории рисков за последние 30 лет.

Александр Мурадян
im@telecominfo.ru,
руководитель направления «Эффективность ИТ»
компании «Коминфо Консалтинг»

Business Online. №9. 2001

Далее мы более подробно рассмотрим технологическую составляющую произ­водственных рисков.

Многие предприятия, работающие на рынках, где рисковые ситуации возникают сплошь и рядом, даже ввели новую управленческую должность — Chief Risk Officer. Его задача — оценивать и принимать решения по полученным и систематизированным данным. Чтобы не возникало остановов и простоев, особенно тех, которые не запланированы ни на одной из стадий генерации добавленной стоимости. Насколько это важно, доказывают приведенные ниже данные, полученные Gartner Group в ходе различных исследований.

• Средняя компания теряет от 2 до 3% дохода в течение примерно 10 дней после сбоя в работе информационной системы.

• На полное восстановление функционирования уходит 4,8 дня, после чего компания выходит на уровень рентабельности, имевшийся до сбоя.

• Половина компаний, которые не смогли восстановить функциональность в течение 10 рабочих дней, никогда не выходят на прежний уровень рентабельности.

• 93% компаний, игнорирующих планы безопасности, секретности, быстрого восстановления и резервирования данных, в течение пяти лет прекращают свое существование.

Диаграмма 1

А насколько серьезен простой компании в реальном, финансовом выражении, видно из таблицы 1.

Таблица 1. Средняя стоимость простоя различных компаний (источник: Gartner Group)

Оцениваем и снижаем...

Да, проблема понятна и реальна, но как с ней разобраться? Для оценки и снижения рисков существует специализированное программное обеспечение, годящееся в том случае, если есть специалист по оценке рисков. Если нет, необходимо привлекать специалистов по управлению рисками со стороны. Развитие технологий и их увеличившаяся роль в бизнесе привели к тому, что технологические риски стали выделяться в отдельную, весьма обширную подкатегорию со своей спецификой и особенностями (диаграмма 2). Хотя следует отметить, что вне зависимости от типа рисков все они базируются на неких базовых правилах, которых придерживаются практически все производители программных продуктов оценки и управления рисками.

Утверждение первое. Любое предприятие работает не в вакууме. Есть связи с государственными предприятиями, партнерами по бизнесу, поставщиками сырья и материалов, социальными структурами. Естественно, риски, исходящие от них, влияют на уровень рисков предприятия. Поэтому все риски необходимо оценивать не только у себя, но и у всех, кто с предприятием связан. Если же быть совсем точным, оценке и анализу подлежит значительно большее число составляющих. Например, анализируются финансовые данные партнерских предприятий за последние три фискальных года. А число компонент модели превышает 500 только по конкретному предприятию и более 800 — для взаимосвязанных структур.

Диаграмма 2. Подкатегории рисков

Утверждение второе. Доля технологических рисков не должна превышать риски от остальных основных составляющих рисковой модели информационной системы (а именно: управленческих маркетинговых рисков и рисков, исходящих от персонала) и составлять не более 15%. Данное утверждение базируется на аналитических данных, полученных Landmark Partners путем изучения и моделирования ИТ-систем большого числа компаний и организаций по всему миру

Утверждение третье. Оценка рисков — обычный проект со всеми присущими ему компонентами, например, анализом cost/benefit, временным графиком, и пр. Следовательно, существуют опробованные технологии и методики реализации проекта под названием «Оцениваем и снижаем технологические риски». Хотя у различных консалтинговых фирм наработки и компоненты могут варьироваться, методология в большинстве своем практически едина. Поэтому останавливаться на тонкостях конкретных программ не будем. Куда правильнее подсказать правильную последовательность действий. А выглядит она так.

Шаг 1. Составление плана

Да, без плана никуда. На голом энтузиазме далеко не уедешь. Создание плана действий решает как минимум три задачи. Во-первых, определение своих реальных возможностей в проекте. Во-вторых, разбивка всего фронта работ на управляемые составляющие. И, в-третьих, назначение ответственных за каждый участок работы. Делается эта вроде бы бюрократическая рутина для того, чтобы распределить немалое число рисковых областей — как внешних, так и внутренних — между тактически самостоятельными группами сотрудников. Каждая из них занимается работой с определенной частью категорий. Чтобы самому не заниматься поиском категорий, не задействованных в анализе, в программах оценки рисков имеется классификатор. При наличии специфических компонент, по каким-то причинам в базу классификатора не включенных, всегда можно их добавить. Кстати, при назначении ответственных необходимо учитывать отнюдь не персональные возможности по быстрому решению своей части проблемы, а умение управлять вверенными человеку ресурсами.

Шаг 2. Распознавание рисков

Несмотря на весьма грозное название, задача, на данном этапе решаемая, заключается в распределении рисков по двум категориям. Первая связана с внешними факторами и методами управления. Правильное их определение и корректировка в самом начале позволяют существенно снизить затраты, связанные с решением проблем второй категории. Второй тип риска связан с индивидуальными характеристиками систем, приложений, процессов и способностью участников проекта успешно решить проблему

Шаг 3. Оценка состояния

Поскольку самостоятельное распознавание рисков — дело тяжелое и неблагодарное, весьма легко попасть в состояние, метко именуемое аналитическим параличом, и затеряться в многомерных таблицах соотношений рисков, приоритетов, факторов... С другой стороны, некоторые предприятия хотели бы решить эту проблему, да не знают, с чего начать. То ли с компьютеров, то ли с программ, то ли со службы безопасности, то ли с анализа информационной системы партнера. А начинать необходимо с ключевых компонент, то есть с оценки стоимости и деловых рисков. Именно эти два фактора влияют на дальнейшее решение проблемы. Если проблемная компонента управляет архивами периодики десятилетней давности, не нужными никому, кроме архивариуса, а временные и прочие затраты по его защите и надежному хранению превысят всякие разумные пределы, необходимо решать эту проблему в последнюю очередь. Пусть конкуренты в мусоре копаются, пока не надоест либо пока служба безопасности их не выловит и не отобьет охоту в «чужом белье» рыться. А для определения, чего и когда, существует...

Познавательные статьи:



Техника прыжка в длину с разбега

Тактические действия в защите

История Олимпийских игр

История развития права интеллектуальной собственности