Якісний аналіз ризиків
- День бадьорий, Шановні колеги!
- Вступ
- фази аналізу
- ідентифікація
- Обробка «вхідних даних» для КАР
- інструментарій
- «Вихідна інформація»
- Документація результатів. Карта ризиків. пріоритезація
- План реагування на ризики
- Витяг уроків. Удосконалення КАР
- "Перехідний період"
- разом
- авторизованого статті
День бадьорий, Шановні колеги!
У попередній раз ми зупинилися на тому, що почали розглядати аналізи ризиків.
Зараз ми більш детально обговоримо якісну складову процесу аналізу - якісний аналіз ризиків.
Це тема стане актуальною для тих побратимів, хто вже зіткнувся з практикою вітчизняних підприємств (а вірніше її відсутністю), яка демонструє, що тільки відносно невелика частина з них виконують аналіз і подальше обгрунтування того, як управляти ризиком в процесі впровадження нових проектів або супроводу поточної діяльності.
Вступ
Якісний аналіз ризиків являє собою процес, спрямований на виявлення конкретних ризиків діяльності / процесу / проекту, а так само що породжують їх причин, з подальшою оцінкою можливих наслідків і вироблення заходів по роботі з ризиками. В процесі КАР відбувається вироблення метрик, що відповідають за визначення граничних показників факторів, які символізують про прояв ризику / ів.
Перевага якісного аналізу полягає в тому, що він дозволяє швидко і відносно «дешево» (з мінімальними витратами ресурсів) визначити максимально можливу кількість чинників і областей, в яких можливо явне або неявне прояв ризиків.
Відмінність якісного і кількісного видів аналізу ризиків полягає в тому, що в процесі якісного аналізу виявляються всі можливі ризики, вплив яких може вплинути на цілі діяльності, (так би мовити окреслюються рамки роботи по роботі з ризиками). В процес кількісного аналізу розробляються кількісні оцінки можливості здійснення ризиків. Так само в процесі кількісного аналізу відбувається порівняння і більш якісна приоритезация і переопрітезація ризиків.
Можна сказати, що якісний і кількісний аналізи ризиків це послідовно що йдуть стадії одного процесу по роботі з ризиками. У цьому процесі, якісний аналіз є необхідною базою, без якої подальша робота з ризиками не представляється можливим.
Таким чином, присутність якісного аналізу ризиків, як активності, за умови вже існуючих процесів ідентифікації ризиків, дозволяє говорити про стадії «народженні» системи по роботі з ризиками, яка буде розглянута нами пізніше.
Кількісний аналіз, це наступний етап, що виконується після якісного аналізу, який більш витратний і доцільний до застосування тільки в тих організаціях, де роботі з ризиками приділяється особлива увага, в силу специфіки їх активностей і стані на ринку ІТ.
Якщо організація / компанія / фірма / структурний підрозділ претендує на лідируючі позиції в тому оточенні, де воно здійснює свою активність, то без процесів якісного аналізу ризиків цих «висот» досягнеш.
Допитливий колега, напевно, вже зазначив для себе повторюваність і закономірність багатьох структур робіт, які викладаються нами протягом цього курсу. Тут варто сказати про те, що діяльність з аналізу ризиків хоч і є досить інноваційної для нашої сфери, але, при цьому, як будь-яка якісна професійна діяльність, мета якої це досягнення певних результатів, повинна підкорятися певним законам. Одним з таких законів є послідовність проведених етапів робіт. У порівнянні можна привести послідовність робіт, які виконуються при розробці програмного забезпечення (Життєвий цикл ПЗ відповідно до ГОСТ 12207) і багато інших професійних ІТ стандарти, методики та методології, які довели своє право на успішність. Надалі ми розглянемо подібну структуру робіт.
фази аналізу
Структура робіт по якісному аналізу ризиків, полягає в докладному розгляді даних, отриманих в ході активності ідентифікації ризиків, деталізації діяльності, пов'язаної з самим доменом аналізу ризиків, документуванням отриманої інформації і вироблених результатів, а так же плануванням подальшого шляху роботи над ризиками. План робіт можна представити таким чином:
- Ідентифікація ризиків;
- Обробка отриманої інформації;
- Аналіз вхідних даних певним інструментом / інструментами;
- Отримання результатів;
- Документування результатів та їх подальша приоритезация;
- Складання плану реагування на ризики;
- Удосконалення створеного плану і виконуваних процесів.
Набір процесів, відображених вище, є необхідним мінімумом в активності по якісному аналізу ризиків. Їх використання послужить упорядкованим осмисленням і переосмисленням придбаних раніше знань і навичок (або закладе їх основу).
Пропонована нами послідовність робіт добре зарекомендувала себе раніше і, по суті, є прикладом «best practice», яка застосовується при активності якісного аналізу ризиків.
Розгляд КАР, ми почнемо з фази ідентифікації, основоположною, як було показано раніше, для всіх видів процесів аналізу.
ідентифікація
Розглядаючи активність ідентифікації причин, для якісного аналізу ризиків, ми зосередимося на моментах, розуміння і використання яких дозволить орієнтуватися в суті процесах якісного аналізу ризиків.
Стартом для процесу ідентифікації ризиків КАР може бути:
- Інформація, наведена в реєстрі ризиків або в іншому документі, аналогічного змісту:
- Ця діяльність «стартує» в тому випадку, якщо в організації налагоджений процес роботи з ризиками, як частина операційно-процесної діяльності компанії і всі можливі ризики повинні бути враховані, а робота з ними включена до відповідних директивні документи
- Прояв конкретних ризиків в діяльності компанії;
У процесі ідентифікації ризиків використовуються ті ж інструменти, які були описані нами раніше .
Результатом процесу ідентифікації повинні стати:
- Всі явні і потенційні ризики;
- Бажані (здатні зменшити або прибрати) і не бажані (здатні збільшити ступінь прояву) умови;
- Тригери / ознаки ризиків (метрики ризиків).
Ідентифікація ризиків виконується співробітниками, для яких ця діяльність є частиною їх робочих обов'язків, але, при цьому, в дану роботу повинно бути залучено максимальну кількість людей, для яких виконання процесів до ризиків, це їх основний обов'язок. Справа в тому, що в діяльності з виявлення та роботі з ризиками життєво важливої деталі процесів, в яких можливе виникнення ризиків. Ці деталі доступні тільки для експертів конкретного домену, якими ризик-менеджери, часто не є, тому сплав професійних знань певних процесів і ризик-менеджменту в багатьох випадках є запорукою успіху. Саме увага до деталей відрізняє новачка / молодого фахівця від визнаного професіонала.
Ідентифікація ризиків - ітеративний процес, періодичне виконання якого є умовою побудови системи по роботі з ризиками.
У зв'язку з тим, що ризики це поняття динамічне, то в міру розвитку проекту або процесу в рамках його життєвого циклу можуть виявлятися нові ризики, проявлятися старі ризики, при цьому маючи більш високим потенційним збитком від їх можливої реалізації.
Частота ітерації і склад учасників виконання кожного циклу в кожному випадку повинні бути різними (це бажана умова). У процесі ідентифікації повинні приймати почергове участь усі задіяні в ризик-менеджменті співробітники. Ця умова допоможе виробити почуття "власності" та відповідальності за ризики і за дії з реагування на них.
Обробка «вхідних даних» для КАР
Після того, як отримано набір вхідних даних, який дозволить говорити про можливі ризики, необхідно обробити і представити отримані дані таким чином, щоб подальша робота над ними дозволила чітко, однозначно, несуперечливо трактувати той чи інший ризик. Викладені вище характеристики інформації (ясність, однозначність, несуперечність) є основними показниками об'єктивної та ефективної інформації на основі якої можна приймати успішні управлінські рішення, від своєчасності яких залежить розвиток будь-якого типу бізнесу.
Саме від того, наскільки правильно виявлено ризик, буде оптимально вибрано засіб / метод / стратегія по його обробці.
Активність по обробці «вхідних» даних можна значно полегшити і уніфікувати, в разі її належного шаблонізірованія. При розробці спеціалізованих шаблонів документів, таких, як:
- Спеціально підготовлені опитувальні листи, що враховують конкретну специфіку діяльності;
- Спеціально підготовлені інтерв'ю, що враховують деталі робочих процесів;
- Автоматизовані засоби збору даних;
- Засоби візуалізації отриманої інформації;
- Засоби автоматизації отриманих результатів та побудови прогнозних трендів (їх опис буде приведено в подальшому);
- І т.д.
Наведені засоби дозволять:
- Виявити і побудувати якісні моделі / картини ризиків, подальше використання яких дозволить виявити певні закономірності;
- Установка однозначні і непрямі зв'язки між ризиками і факторами їх породжують, і наслідками ризикових подій;
- Дотримати об'єктивність у проведенні ризикових досліджень, максимально абстрагуючись від «людського фактора»
- І т.д.
Безумовно, не використовуючи наведені поради можна домогтися високих результатів, але при цьому буде витрачено надмірну кількість енергії і ресурсів, яку можна було б витратити на більш конструктивну діяльність.
Застосування досвіду конкретних галузей для конкретної ситуації, враховуючи і адаптуючи його під певний умови, дозволять накопичувати успішний досвід колег, примножуючи і переосмислюючи його для того домену, в якому Ви здійснюєте свою активність.
інструментарій
Тему інструментарію ми піднімали раніше, протягом попередніх статей. З невеликими застереженнями, освячені інструменти підходять для обробки отриманої інформації, її структуризації і процесам аналізу і синтезу, з яких складається вся активність аналізу ризиків. Але, найбільш популярні інструменти, використовувані для якісного аналізу ризиків освятити необхідно стосовно аналізованої діяльності. Найбільш визнаними методами, для обробки «ризикової інформації» на даний момент розвитку даного домену, є такі засоби:
- Матриця ймовірностей і наслідків;
- Методи експертної оцінки;
- Аналіз чутливості;
- Аналіз дерева рішень;
- І т.д.
Багато з цих методів ми докладно і дуже скрупульозно розглянули раніше. Сьогодні ж ми зосередимося на тому, що піддамо ретельної декомпозиції ті техніки, які акцентуються на процесах якісного аналізу ризиків або схожими, за своєю природою виникнення, з ними.
Після того, як всі ризики виявлені і включені до реєстру ризиків, всі дані про них, незалежно від їх ступеня ймовірності виникнення, яка, як правило, визначається на основі методів експертних оцінок або мозкового штурму, і впливу на оточення включаються в реєстр ризиків. За всіма ризиками в подальшому ведеться докладний спостереження і вивчення.
Дуже важливо кожен з них тримати під контролем і управляти його «поведінкою» в інтересах результатів виконуваної діяльності.
Важливим інструментом, що дозволяє оцінити величину ризику, його вплив і інші характеристики є матриця ймовірності і наслідків (МВП). МВП - це методика, що дозволяє визначати ранг ризику окремо для кожної мети процесу / проекту, наприклад для рамок функціональності, часу або інших ресурсів. Ранг ризику дозволяє оперативно управляти реагуванням на ризики, розташовані в різних зонах матриці. Зони матриці грають роль пріоритетів. Наприклад, для ризиків, розташованих в зоні високого ризику (зазвичай виділяється червоним кольором) матриці необхідні попереджувальні операції і агресивна стратегія реагування., Які дозволять оптимально впоратися з виникає завданням / ами.
Для загроз, розташованих в зоні низького ризику (зелений колір), здійснення запобіжних операцій може не знадобитися, якщо тримати під контролем весь зміст виконуваної діяльності.
Ріс.4.5.1
Ще одним, додатковою перевагою МВП є те, що вона дуже просто і наочно дозволяє спостерігати за міграцією ризиків під час ходу проекту / процесу, здійснювати контроль над його рангом і взаємопов'язаними з цією трансформацією зв'язками. Багато ризики, на початку певної активності можуть перебувати в зоні низького рангу, а ближче до відповідальних віх переміститися в прикордонні або більш критичні зони.
Саме тому ризик-менеджемент, в організаціях, які претендують на лідерство в своєму сегменті, не може бути «стихійним», а повинен бути частиною регулярної роботи.
Наступним інструментом, який необхідно розглянути є аналіз чутливості.
Аналіз чутливості покликаний для визначення того, які ризики мають найбільший вплив на виконувану діяльність.
Зміст даного інструменту полягає у відстеженні параметрів, які мають найбільший приховане або явне вплив на конкретні чинники, умови, процеси.
В даному методі необхідно фіксувати і відслідковувати всі параметри. При зміні одного з них, буде можливим визначити вплив ризику на всю ситуацію в цілому або на якусь її частину.
При обстеженні певного питання необхідно виділити параметри, впливу яких він схильний, наприклад, такі: відсутність ресурсів, необхідність в аутсорсингу і т.д. У процесі аналізу чутливості для конкретного параметра, розглядаються ті ситуації, при яких ранг матриці має найбільше значення, після чого вони фіксуються, і з ними виконується певна діяльність, пов'язана з ухиленням / мінімізацією / ігноруванням ризику, і т.д. актуальна в даному випадку.
Останній інструмент, про який ми сьогодні поговоримо це аналіз дерева рішень (АДР). Найскладніші та комплексні ситуації, оточення яких рясніє ризикової складової, коли результат діяльності знаходиться під великим сумарним ризиком реалізації, застосовують АДР. Безсумнівною перевагою АДР є те, що це графічний інструмент для аналізу ризиків процесу / проекту. Що лежить в основі даного виду аналізу дерево рішень (ДР) являє собою окремий випадок діаграми Ішикави, пристосований під активність з аналізу та роботі з ризиками (Ріс.4.5.2).
Ріс.4.5.2
В ході АДР конкретна ситуація, з урахуванням кожної з наявних можливостей її подальшого здійснення, розглядається і фіксується у вигляді графа, який прийнято називати дерево рішень (Ріс.4.5.2).
Дерево рішень має п'ять елементів:
- Точки прийняття рішень - це моменти часу, коли відбувається вибір альтернатив;
- Точка випадкової події (точка виникнення наслідків) - момент часу, коли з тих чи інших результатом настає випадкова подія
- Гілки - лінії, що з'єднують точки прийняття рішень з точками випадкового події. Гілки, що виходять з точки прийняття рішень, показують можливі рішення, а лінії, що йдуть від вузлів випадкових подій, представляють можливі результати випадкового події;
- Ймовірності - числові значення, розташовані на гілках дерева і позначають ймовірність настання цих подій;
- Сума ймовірностей в кожній точці прийняття рішень дорівнює 1.Ожідаемое значення (наслідки) - це розташоване в кінці гілки кількісне вираження кожної альтернативи.
Для побудови ДР оптимально підходити техніка «mindmap». Про неї ми згадували раніше, тому кожен зможе знайти необхідний матеріал. Скажемо лише про те, що при бажанні можна без особливих зусиль вивчити згадану техніку і адаптувати існуючі інструменти «mindmap» для побудови дерева рішень, з урахуванням власних уподобань і специфіки ризикових процесів.
В результаті побудови ДР виходить наочно представити всі необхідні «вузлові моменти», від яких залежить прийняття рішення по кожній окремій альтернативі і все альтернативи в цілому, що сприяє прийняттю цілісного, для певного процесу, рішення по кожному окремому ризику, усвідомлюючи повну картину і представляючи можливе взаємовплив окремих ризиків.
На закінчення глави про інструментарій хочеться сказати про те, що використання одного, конкретного методу, яким би універсальним він не був, не є панацеєю. Найбільш задовільні результати виходить в разі використання декількох різних технік, які б доповнювали один одного.
«Вихідна інформація»
Результатом обробки «інструментами», визначених «вхідних даних», є конкретна результуюча інформація, що має певний ступінь ясності, зрозумілості і застосовності для подальшого використання.
При обробці даних необхідно пам'ятати про тих стейкхолдерах, хто буде цільовими користувачами цієї інформації і від кого, в кінцевому підсумку, залежить прийняття рішень і схвалення подальшої роботи з ризик-менеджменту. Як би якісно і професійно не був виконаний аналіз. При оформленні демонстраційного звіту або презентації на перший план виходить поняття візуалізації отриманих результатів і самодостатність отриманої інформації. Найкраще, якщо Ваш матеріал буде зрозумілий з мінімальною кількістю слів.
Але, при цьому, не менш цінне пам'ятати про те, що стейкхолдери бувають різні. Хтось краще ставитися до числовим показниками, а хтось краще реагує на повністю візуальний слайди.
Перед тим як складати підсумковий матеріал, вивчіть ключових стейкхолдеров - їх освіту, досвід роботи, робочі переваги і т.д. Успіх завжди залежить від дрібниць, які можна почерпнути в бесідах з більш досвідченими колегами, керівництвом, вивченням best practice. Ми не закликаємо Вас до організації «розгалуженої шпигунської мережі», але рекомендуємо бути більш уважними до деталей.
Найбільш вдалі матеріали в кінцевому підсумку формують бібліотеку проекту / процесу (якщо хочете, то Ваш власний репозиторій знань), яку можна буде в подальшому «нарощувати», розвивати і застосовувати для подальшого використання.
Документація результатів. Карта ризиків. пріоритезація
Один з найбільш важливих, але, при цьому самий «ігнорований» процес - це процес документування. Про важливість фіксації результатів, для подальшої роботи з отриманою інформацією, знають всі, але ось налагодити процес документування вдається в небагатьох організаціях. Це відбувається через те, що документування дуже складний і скрупульозний процес, в якому необхідно відображати всі значущі зміни, що виникають по ходу проекту.
Необхідність організації та реалізації цієї активності з'являється в тих компаніях, в яких аналіз ризиків стає «стіхійновознікающей» завданням, а процесом, важливість якого усвідомлена завдяки накопиченому (як позитивного, так і негативного) досвіду роботи над ризиками.
Можна довго викладати прописні і теоретичні істини про те, що чекає тих, хто повинні ніяк не буде документувати свої процеси аналізу ризиків, але у нас немає завдання «їздити» по хворий мозолі, але є бажання навчити Вас тому, як слід працювати, що б ви могли бути успішними в напрямку аналізу ризиків. Документування саме той процес, який дозволить мати актуальну інформацію. Кожен професіонал повинен володіти властивістю об'єктивності і неупередженості до тих даних і результатів, які досягнуті в процесі його роботи і йому потрібно вміти вчасно донести їх до тих співробітників / керівництва, від яких залежить прийняття рішень, а часом, такі рішення йому доведеться приймати самому. Саме тому обгрунтованість прийнятого вибору з ряду альтернатив є ключовим моментом для наступних процесів.
Але при цьому, фахівцям, задіяним в процесах аналізу ризиків, важливо знати і розуміти специфіку тієї діяльності, в якій вони проводять свій аналіз. Часом, здатність пожертвувати «малим», в ім'я придбання великих «бонусів» служить ключовим фактором успішної діяльності компанії на ринку.
Процес аналізу ризиків слід документувати протягом життєвого циклу всього проекту / процесу. Обсяг документування і його форма, яка містить результати аналізу, залежить від конкретних цілей проведеного аналізу ризику. У підсумковому документі необхідно навести такі дані:
- Титульний аркуш;
- Список учасників процесу КАР;
- анотацію;
- Зміст (зміст);
- Цілі і завдання проведеного КАР;
- Опис аналізованого об'єкта;
- Методологію КАР - вихідні припущення і обмеження, що визначають межі аналізу ризику;
- Опис використовуваних методів аналізу і обгрунтування їх застосування;
- Вихідні дані і їх джерела;
- Результати ідентифікації;
- Результати якісного аналізу ризику;
- Аналіз невизначеностей результатів оцінки ризику;
- Рекомендації по роботі з ризиками;
- висновок;
- Перелік використаних джерел інформації.
Не менш важливий документ, який служить для формування загальної картини ризиків - карта ризиків (КР). КР заснована на складанні детального документа, виходячи з даних високорівневого подання всіх можливих ризиків. У цьому документі повинні бути наведені:
- Відомості про природу ризиків;
- Інформація про «оточенні» (як зовнішньому, так і внутрішньому) ризиків;
- Кількісні характеристики, які дозволять оцінити і пріоритезувати кожен окремий ризик.
Наведений список даних є мінімально необхідним і достатнім для складання карти ризиків, здатної відповідати заданим метрик процесів по роботі з ними.
Коли мова заходить про складання карти ризиків, тоді буде доречним сказати про те, що «колективна свідомість» керівництва процесу / проекту прийшло до розуміння необхідності не просто відстежувати певні ризики і намагатися організувати окремі точкові процеси по роботі з ними, а створення документа, який зможе лягти в основі системи, по роботі з ризиками, що підвищує якість процесів і кінцевого результату досліджуваного домена.
Наведеному нами переліком найбільший інтерес викликає третій пункт. Ми зосередимося на його поясненні. Він передбачає, що буде проведений не тільки КАР, але і частково виконаний кількісний аналіз (яким буде присвячена наступна стаття), логічність проведення якого повинна бути підтверджена результатами КАР.
Для того, що б скласти детальну КР, необхідно розробити метрики, які могли б підтвердити обґрунтованість результатів якісного аналізу для:
- Визначення можливої величини шкоди:
- використання 5-бальної оцінки буде цілком достатньо;
- виконується експертами-фахівцями ІТ;
- Визначення значущості активу для організації:
- використання 5-бальної оцінки буде цілком достатньо;
- виконується експертами-фахівцями ІТ і узгоджується з стейкхолдерамі проекту;
- Величину впливу ризику обчислювати як добуток двох перерахованих вище величин:
- Це дозволить встановити відповідність розрахованої величини і якісної оцінки рівня ризику, отриманої при складанні високорівневою (загальною) карти ризиків;
Результатом виконаної роботи буде детальний опис усіх комбінацій "актив - загроза" для кожного активу схильного до ризику з кількісною оцінкою всіх складових і сумарного рівня ризику, як твори величини впливу ризику на ймовірність використання уразливості.
Після того, як буде складена карта ризиків, можна говорити про те, що робота по пріоритетності ризиків може бути виконана не на основі досить суб'єктивних експертних оцінок, а відповідно до прийнятого в процесах з аналізу ризиків математичним апаратом, що призводить до значущості та обґрунтованості виконуваної активності.
Таким чином ми поступово приходимо до розуміння того, що без особливих додаткових ресурсних витрат можна вибудувати подобу якісної системи по роботі з ризиками. Вона буде включати в себе базу, реалізовану у вигляді якісного аналізу ризиків і невеликий «надбудови», виконаної у вигляді кількісного аналізу ризиків. В інтеграції результатів, запропонованої структури системи по роботі з ризиками, будуть залучені максимальну кількість «шарів» організаційної структури, окремо взятої компанії, що призведе до узгодженості і підтвердженню очікувань користувачів від даної системи.
План реагування на ризики
Розробка плану реагування на ризики починається після того, як проведені всі необхідні види аналізу ризиків. На цьому етапі необхідно затвердити співробітників, відповідальних за певні ризики і виробити план / інструкцію, в якій буде описаний процес реагування на ризики. Даний документ повинен так само містити:
- Метрику ризику:
- Граничні показники, які б ідентифікували швидке настання ризикової події або появи збитку;
- Методи і стратегії по роботі з ризиком:
- Ігнорування, зниження, передача, усунення і т.д .;
- Процедури по подальшій обробці ризиків;
- Відповідальних за «ризикові процеси» в подальшому;
Шаблонний підхід до даного процесу можна бути застосований тільки тоді, коли всі види ризиків добре вивчені і підкріплені актуальними даними про стан ризиків, у досліджуваній діяльності, а так само виконується своєчасна актуалізація критичної інформації. Якщо ризикова складова не досить добре вивчена і немає чіткого плану по їх обробці, то такі ризики повинні більш пильно відстежуватися і процедури їх обробки повинні бути більш оперативні.
Способи реагування повинні розглядатися для кожного ризику окремо, з урахуванням специфіки виникнення та прояви кожного, окремо взятого ризику.
План не повинен залишитися тільки на папері.
Розробка правильного, зрозумілого і оптимального, для заданих параметрів і умов плану - це 5% роботи, а ось його виконання, коригування та «втілення в життя», це частина, що залишилася.
Процес планування не повинен бути статичним і теоретичним, але ось бути актуальним і здійсненним бути зобов'язаний.
Витяг уроків. Удосконалення КАР
У зв'язку з тим, що процеси аналізу ризиків повинні відповідати принципам системного менеджменту, описаними в серії ГОСТів / ISO 9000 серії і прийнятими на сьогоднішній день за еталон, а також з огляду на той факт, що якість реалізованих товарів і послуг має постійно підвищуватися і задовольняти запитам споживачів (внутрішні або зовнішні ці споживачі, по відношенню до конкретної організації це не так важливо), в життєвому циклі процесів ризик-менеджменту має бути присутня активність пов'язана з постійним самоаналізом / рефлексії проведеної діяльності.
Самоаналіз повинен полягати не у фіктивному аудиті або точкової інспекції виконуваних дій, а в докладному осмисленні і переосмисленні проведених робіт, з метою їх оптимізації та коригування, відповідно до стратегії і завданнями конкретної організації. Фаза «Вдосконалення», названа так нами через те, що автори бачать в цій фазі запорука успішності проведених процесів, повинна бути організована таким чином, щоб керівництво компанії безпосередньо брало участь і було поінформоване про результати цієї фази, виражених в:
- «Кількісною» обґрунтованості коригувань процесів «ризик-менеджменту»;
- Більш швидкому досягненні поставлених завдань;
- Адекватною ресурсної складової «ризикової» діяльності;
- І т.д.
Саме за рахунок процесів постійного поліпшення можна виробити баланс між цілями організації та ІТ ресурсами, виділеними для ризик-менеджменту.
"Перехідний період"
З огляду на те, що процес / и вдосконалення повинні бути включені в кожну виконувану активність, ми вважаємо правильним запропонувати подальший шлях по роботі з ризиками, укладений в накопиченні даних і інформації, сформованих на основі якісного аналізу ризиків і поступовий перехід до процесів кількісного аналізу, в результаті виконання яких стає можливим максимальним чином мінімізувати вплив людського фактора на обробку ризикової складової процесів / проектів даної організації.
Тільки після того, як накопичений досвід і необхідний масив інформації в проведенні якісного аналізу ризиків, доцільно переходити до їх кількісної оцінки. Причому концентрувати увагу слід саме на ті ризики, які в процесі якісної класифікації були включені в категорію високих (особливо з високим ступенем шкоди при високій ймовірності реалізації).
При кількісної оцінки ризиків, використовуючи оцінки збитку і ймовірність реалізації, ми рекомендуємо, для початку, використовувати 3-х бальну шкалу оцінки ризиків - високий, середній, малий. Згодом, після осмислення ризикових процесів і розуміння необхідних результатів даної активності можна буде цю шкалу доповнювати, обгрунтуємо необхідність проведених дій.
Реалізація кількісних оцінок, як правило, призводить до того, що на якісному рівні структури робіт доведеться виконати не одну, а кілька регулярних процедур по роботі з ризиками, виробляючи в організації культуру управління ризиками. Це є необхідною умовою підвищення грамотності власників ІТ-активів і процесів, без яких неможлива успішна робота в цьому напрямку.
Тут необхідне буде побажати терпіння і наполегливості в досягненні цілей ризик-менеджменту, відповідальним за це фахівцям і керівникам.
«Перехідний» період, пов'язаний з акумулюванням необхідної інформації - це дуже складний і досить тривалий процес, в якому необхідно використовувати передовий досвід і якісну інформацію.
У більшості випадків, результатом «перехідного періоду» є вихід на новий виток процесів аналізу ІТ-ризиків.
разом
Сьогоднішнє виклад підійшло до кінця!
У цій статті з аналізу ризиків ми описали процес якісного аналізу ризиків. Ця активність дозволить сформувати необхідну базу, для подальшого формування і розвитку процесів аналізу ІТ-ризиків. Оптимально збудовані процеси аналізу ризиків дозволяють закласти міцний, надійний, але в той же час відносно гнучкий інформаційний фундамент, на якому стає можливим побудувати міцний і надійний домен інформаційних технологій, що забезпечує організації якісним і відносно «безризиковими» процесами.