Управление ИТ-рисками

Редактор, специалист в области PR. Работала менеджером по маркетингу и PR компании ALP Group. С 2003 по 2014 г. была  выпускающим редактором журнала Intelligent Enterprise.

Использование любых технологий наряду с положительным эффектом влечёт за собой возникновение неопределённости и связанных с этими технологиями рисков. ИТ не исключение. Широкое применение ИТ как в системах управления компаниями, так и в технологических процессах привело к тому, что риски, связанные с ИТ, стали важной частью всех бизнес-рисков организации. Если происходят какие-то нежелательные события, без управления ИТ-рисками организацию ждут перерасход ресурсов и избыточное финансирование. В результате это приводит к прямым потерям и, возможно, к отказу от использования технологий, которые кажутся слишком новаторскими и недостаточно проверенными. А значит, всё закончится упущенными коммерческими возможностями. В этом цикле статей мы расскажем об управлении ИТ-рисками, чтобы плюсы новых технологий не превращались в минусы.

Риск, событие, характеристки риска

Прежде чем говорить об ИТ-рисках, разберёмся с основными терминами и понятиями, связанными с рисками любого рода. В России основой для целой серии стандартов по рискам служит ГОСТ Р 51897-2011 «Менеджмент риска. Термины и определения». Он даёт следующую трактовку риска:

Риск — следствие влияния неопределённости на достижение поставленных целей.

ГОСТ Р 51897-2011

Под неопределённостью подразумевается состояние полного или частичного отсутствия понимания или знания о некотором событии, его последствиях и вероятности. Влияние неопределённости — это отклонение от ожидаемого результата деятельности (целей) с позитивными или негативными последствиями. Таким образом, понятие риска связано с понятием «событие», поэтому риск часто характеризуют через описание возможного события и предположительного влияния его последствий.

Событие — возникновение или изменение специфического набора условий .

ГОСТ Р 51897-2011

Тогда риску можно дать такое определение:

Риск — это следствие вероятности возникновения события, которое окажет отрицательное воздействие на достижение поставленных целей.

Здесь важно подчеркнуть несколько обстоятельств:

  • риск связан только с будущим событием — событие прошлого уже произошло и к управлению рисками отношения не имеет;
  • событие должно быть случайным: то есть заранее неизвестно, произойдёт это событие или нет, но есть основания полагать, что оно вероятно;
  • событие может привести к отклонению от ожидаемых результатов деятельности с негативными последствиями (ведь возможны и позитивные).

Исходя из этого, риск характеризуется двумя величинами:

  • вероятность, которая характеризует наступление рискового события;
  • цена потери и величина возможных негативных последствий.

Вероятность возникновения риска — характеристика возможного наступления рискового события.

Каждому риску отводится вероятность больше 0%, но меньше 100%. Риск с вероятностью 0% не считается риском, так как не может произойти. Равно как и риск с вероятностью 100% — тоже не риск, а реальное событие, которое в обязательном порядке предусматривается проектом.

Последствия риска — степень влияния риска на достижение поставленных целей организации: трудозатраты, деньги, отклонения от принятого плана и т. д.

Иногда эти две величины объединяют в один показатель — уровень (или величина) риска.

Уровень риска — это мера риска, комбинация характеристик его вероятности и последствий.

В новой редакции стандарта ISO 9001:2015 появились требования по управлению рисками. Управление рисками включено в несколько пунктов стандарта и заменило прежнее требование необходимости предупреждающих действий.

Подход к управлению рисками

Оцениваемые характеристки риска позволяют говорить об управлении рисками.

Управление рисками предприятия (Enterprise Risk Management, ERM) — это концепция, объединяющая методики и процессы, применяемые организациями для управления рисками и возможностями достижения поставленных целей.

Управление рисками позволяет организации определить, в какой степени потенциальные события повлияют на достижение её целей. Согласно рекомендациям авторитетной организации COSO (The Committee of Sponsoring Organizations of the Treadway Commission) управление рисками организации:

  • представляет собой непрерывный процесс, охватывающий всю организацию и осуществляемый на всех уровнях, включая выработку стратегии;
  • нацелено на определение событий, которые представляют опасность для организации.

У компании есть четыре варианта реакции на риск:

  • принятие риска, когда не предпринимается никаких особых действий, связанных с данным риском;
  • уменьшение риска посредством контроля за деятельностью и процессами либо принятия специальных мер;
  • передача риска сторонней организации путём привлечения партнёров или страховых компаний;
  • уклонение от риска — прекращение деятельности, ведущей к риску.

Остановлюсь особо на варианте уменьшения риска. Самая очевидная реакция на риск — организовать контроль за деятельностью и процессами. Однако этого не всегда достаточно: нередко риск требует принятия специальных мер. Различают несколько видов рисков:

  • присущий риск — это уровень риска, если не предпринимается никаких действий для изменения вероятности риска или его влияния;
  • остаточный риск — это уровень риска, остающийся после принятия минимальных мер по реагированию на риск (как правило, сюда входит контроль за деятельностью и процессами предприятия);
  • приемлемый остаточный риск — это уровень риска, равный или ниже допустимого в данной организации и в данных условиях.

Логика снижения уровня риска показана на рис. 1. Как правило, первоочередные меры реагирования на риск — контроль за ходом деятельности и процессами организации. Это снижает присущий уровень риска, но если остаточный риск все же выше, чем приемлемый для организации, то необходимо предусмотреть специальные меры реагирования на риск. В идеале эти меры должны быть достаточными, чтобы уменьшить остаточный риск до приемлемого уровня. Уровень риска, который организация готова принять, называется  толерантностью к риску. Это индивидуальная характеристика: одни организации готовы рисковать чуть больше в надежде получить большую премию за риск, в то время как другие всячески обходят риски стороной.

Общая логика снижения уровня риска до приемлемого уровня.

Рис. 1. Общая логика снижения уровня риска до приемлемого уровня.

Стандарты управления рисками

В сентябре 2015 года Международная организация по стандартизации (International Organization for Standardization, ISO) опубликовала новую редакцию стандарта ISO 9001:2015. Одно из ключевых отличий от предыдущей версии — появление требований по управлению рисками. Требования по управлению рисками дополнили несколько пунктов стандарта и заменили прежнее требование необходимости предупреждающих действий.

Существуют стандарты, непосредственно посвящённые управлению рисками. Наиболее важные международные стандарты в области управления рисками приведены в таблице 1. Прежде всего, это семейство стандартов 31000, которое включает:

  • ГОСТ Р ИСО 31000:2010 «Менеджмент риска. Принципы и руководство» (идентичный международному стандарту ISO 31000:2009 Risk Management. Principles and Guidelines) описывает принципы, инфраструктуру (систему управления рисками) и процесс менеджмента риска;
  • ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска» (идентичный международному стандарту ISO/IEC 31010:2009 Risk Management — Risk Assessment) описывает вопросы и процесс оценки риска, а также выбор методов оценки риска.

Стандарты семейства 31000 очень гибкие и универсальные, на их основе можно построить любую корпоративную систему управления рисками. Кроме того, существует еще короткий ГОСТ Р 51897-2011 «Менеджмент риска. Термины и определения».

Таблица 1. Международные стандарты в области управления рисками предприятия.

ФокусНазначениеСтандарты, нормативные документы
Цели, стратегия и система управления компанией Повышают эффективность управления всей компанией, эффективность принятия решений (как стратегических, так и операционных) и минимизации основных рисков деятельности
  • ГОСТ Р ИСО 31000:2010 «Менеджмент риска. Принципы и руководство»
  • ГОСТ Р ИСО/МЭК 31010:2011 «Менеджмент риска. Методы оценки риска»
  • COSO Enterprise Risk Management—Integrating with Strategy and Performance (2017)
  • FERMA 2002
Контроль и соблюдение внутренних норм Уменьшение рисков с помощью усиления и улучшения норм внутреннего контроля и соответствия
  • OCEG Red Book 2.0:2009
  • COSO Enterprise Risk Management—Integrating with Strategy and Performance (2017)
Соответствие государственным требованиям Соответствие государственным требованиям и стандартам Директива ЕС SOLVENCY II

* * *

В следующей части статьи мы поговорим о системе управления рисками и соотвествующем процессе.

© «УПРАВЛЯЕМ ПРЕДПРИЯТИЕМ»
Все права защищены. Все торговые марки являются собственностью их правообладателей.