Процессы анализа и управления рисками в области ИТ

Процессы анализа и управления рисками в области
ИТ

2-е издание, исправленное

Никитин И.А.
Цулая М.Т.

Национальный Открытый Университет “ИНТУИТ”
2016

2

Процессы анализа и управления рисками в области ИТ/ И.А. Никитин, М.Т. Цулая - М.:
Национальный Открытый Университет “ИНТУИТ”, 2016

Данный курс посвящен обзору существующих процессов анализа и управления рисками. Целью
данного курса является систематизация существующей в литературе информации по процессам
анализа и управления рисками с акцентом на деятельность в области разработки и сопровождения ИТ
систем.
На данный момент, в условиях систематической, постоянно растущей неопределенности, связанной с
рядом объективных факторов развития и усложнения практически всех направлений человеческой
деятельности, лавинного возрастания количества разнородной информации, которой необходимо
грамотно пользоваться и в дальнейшем учитывать, и т.д. добиться успехов на профессиональном
поприще, практически любому специалисту, стало возможным только при условии понимания и
управления таким понятием, как «риск». «Риск» перестал быть специфическим понятием,
используем только узконаправленными специалистами. Дисциплина «риск-менеджмент» входит в
состав многих учебных курсов и направлений профессионального развития. В курсе, предложенном
для изучения, сделан акцент на анализ и управления рисками, применительно к области
информационных технологий в части разработки, развития, сопровождения программного
обеспечения. В результате изучения данного курса слушатели познакомятся с современными
методами управления рисками при организации и управлении проектной, сервисной, процессной и
др. типов деятельностей. Знания, полученные в ходе изучения курса, будут способствовать
повышению эффективности, изучивших курс, в активностях, связанных с потенциальным или явным
проявлением разных типов и видов рисков.

(c) ООО “ИНТУИТ.РУ”, 2015-2016
(c) Никитин И.А., Цулая М.Т., 2015-2016

3

Предисловие. Введение в курс “Процессы анализа и управления
рисками в области ИТ”

Первая лекция из курса “Процессы анализа и управления рисками в области ИТ” будет
посвящена обзору понятия риска, в целом, и рисками в информационных технологиях,
в частности.

Введение в курс “Процессы анализа и управления рисками в
области ИТ”

Развитие процессов, связанных с попыткой контролировать “рисковые” зоны в любом
направлении коммерческой деятельности, стали экстремально бурно развиваться в
последние несколько десятилетий. Данная ситуация связана, прежде всего, с развитием
процессного подхода к организации работ любого направления активности.
Сущностью процессного подхода является контроль над организацией (в качестве вида
деятельности), управлением, координированием процесса в каждый конкретный
момент времени, с целью достижения результата от выполнения процесса,
поддерживающим заданный уровень качества. “Выходной контроль” в существующем
виде, применяемый ранее для получения нужного результата, не является
самодостаточным инструментом, способным самостоятельно выполнить озвученные
выше задачи. Научно-технический прогресс, “убыстрение” ритма жизни привело к
тому, что для обеспечения качества необходимо беспрерывно держать “руку на
пульсе” и оперативно реагировать на возникающие задачи и проблемы. Способность
прогнозировать возможные исходы любого события становится определяющим
фактором в достижении успешного конечного результата, оправдывающим ожидания
заинтересованных сторон и участников конкретного процесса. В подобном развитии
ситуации одним из определяющих факторов успешности становится возможность
выделить “риски”, которые могут оказать потенциальное и явное влияние на
результаты достижения бизнес целей. Подытоживая сказанное можно констатировать,
что в столь динамично меняющемся мире, роль информационных технологий, как
инструмента, обеспечивающего контроль над ситуацией, является основной, а это
значит, что возможность управлять и предотвращать риски применительно к
деятельности в ИТ, позволит добиваться высоких и качественных результатов.

1.1. Введение

Цель первой лекции – ввести изучающего в рассматриваемую дисциплину, донести до
него суть понятия риска и рассказать об активностях по управлению и анализу
рисками.

На сегодняшний день понятие риска – это крайне неоднозначная и спекулятивная тема,
актуальность которой, в последние пару десятилетий, пользуется большим интересом у
специалистов из многих отраслей науки и, прежде всего, коммерческих сфер
деятельности. В частности у сотрудников, из отрасли информационных технологий.

Интерес, к значению этого термина, неуклонно растет, порождая множество

4

противоречивых данных и, впоследствии, информации такого же качества, что
негативно влияет на суть этого сложного и многогранного термина, за которым
“скрывается” малоформализованная (в конструктивном значении) профессиональная
область знаний.

Новый век олицетворяет собой новый этап в развитии человеческого, социального
мировоззрения и миропонимания, новый этап социологических, экономических,
экологических, этических и, что наиболее интересно в границах данного курса,
информационных отношений. Динамическое изменение вокруг нас приводят к
ураганному вихрю данных, анализом которых “вынуждено” заниматься человеческое
сознание. Первый и главный помощник в этих процессах, которые “проходят” на
безальтернативной основе - информационные технологии, от качества, обоснованности
и продуманности которых во многом будет зависеть благополучие и успешность
дельнейшего развития многих (если не сказать, что всех) экономически значимых
отраслей.

Авторитетнейшими мировыми аналитиками и исследователями признается, что
большинство современных глобальных кризисов было порождено в силу ряда
следующих причин:

Во-первых – необходимо отметить бесконтрольный рост запросов и “аппетитов”
бизнес стэйкхолдеров к размерам прибыли, получаемой их организациями. Это
сказалось (да и сказывается) на качестве работы и стратегии развития, которые
становились безропотными заложниками интересов руководства фирм и
организаций;
Во-вторых – отсутствие продуманного “запасного пути”, связанного с
устранением последствий возникновения разных типов и видов рисков, которые
проявлялись, в результате “во-первых”. Таким образом, абсолютно очевидно, что
если руководство компании заинтересовано в постоянном и фундаментальном
развитии, то “закладка” основополагающего “базиса”, на котором можно будет
предусмотреть, спрогнозировать и обеспечить грамотное “лавирование” через
потенциально возникающие задачи и проблемы, является наиболее оптимальным
подходом к организации любого процесса, деятельности и т.д.

Следующий аспект, который стоит рассмотреть в свете поднятого вопроса о
правильном проектировании “базиса” - это значение информационных технологий в
современном мире, растущее с потрясающей скоростью. Спроектированная система по
работе с основными процессами информационных технологий и созданию “запасных
путей”, которыми, по сути, являются риски, это фундаментальная часть такого
“базиса”. Комплексно спроектированная архитектура любого типа бизнеса позволит
грамотно поддерживать любые типы изменений и инноваций, без которых не будет
осуществляться развитие, являющееся целевой идеей всех преобразований.

Рост, в направлении ИТ, имеет множество аспектов, которые так же необходимо
рассматривать и учитывать в осуществляемой деятельности.

Что особенно интересно и стоит отметить - как правило, любой из “проблемных
моментов” можно считать как положительным, так и отрицательным, в зависимости от

5

того, с какой точки зрения посмотреть на него, что можно использовать как часть
рабочего мировоззрение для анализа и управления рисками.

Информационные технологии призваны облегчить труд человека путем
информатизации и автоматизации рутинных операций. Вот только что можно/нужно
считать “рутинными” операциями?

По мере развития ИТ отрасли, к рутинным операциям будет относиться все больше
различных, выполняемых человеком действий, что в конечном итоге (я не поклонник
фантастики, но параллель с фильмом “матрица” вполне уместен) приведет к полной
зависимости человека от “кибер” помощника/ов.

Но так “вперед” прогнозировать развитие науки и техники видится нам делом
неблагодарным, поэтому сосредоточимся на ближайшей перспективе.

В ближайшие годы значение дисциплин, связанных с развитием и управлением
рисками будет только повышаться в своей значимости. Это напрямую зависит от
повышения значимости ИТ в профессиональной и обыденной жизни. Можно ли
избежать, уклониться от данного процесса и исключить из своей деятельности
процессы, связанные с рассмотрением и учётом понятия информационного риска?
Скорее всего, нет! Бизнес диктует ритм развития технологий, и этот ритм только
растет, что приводит к тому, что время “на раздумье” отводится все меньше и меньше.
В таком варианте развития ситуации, без инструмента реагирования на риски не
обойтись. Вывод – процессы анализа и управления рисками стоит рассматривать как
неотъемлемую часть развития бизнеса в целом и ИТ, в частности.

Рамки курса

Рамки данного курса охватывают рассмотрение информационного риска, его типов и
видов, деятельности по идентификации, классификации, анализу, как количественного,
так и качественного анализа рисков, рассмотрение системного подхода к процессам
управления рисками, плавно преобразующегося в комплексную программу по
управлению рисками, инструментарий по работе с разными аспектами риска.

1.2. История управления рисками

В отечественной литературе лишь с трудом можно найти какие-либо публикации по
истории развития дисциплины анализа и управления рисками, что подтверждает тот
факт, что данное направление деятельности, на сегодняшний день в нашей стране не
носит “глубинного” характера изучения. Для того, чтобы основательно разобраться в
данной активности, необходимо привлечь иностранные источники, что и было
выполнено в рамках данного курса.

Термин “риск” произошел от французского слова risqué или итальянского risico. Оно
означает возможность или вероятность наступления событий с конкретными
последствиями в результате определенных решений или действий. Заметьте, речь не
идет только об отрицательном типе эффекта, что часто забывается отечественными
профессионалами.

6

История развития понятия риск и дисциплины управление рисками является очень
молодым направлением коммерческой активности, хотя и уходит корнями в, довольно
седую старину (трудно представить, что что-то не уходит “туда” своими корнями).

Современный этап развития риск-менеджмента берет свое начало после второй
мировой войны. В начале рассматриваемого этапа риск-менеджмент позиционировался
только в качестве альтернативы страхованию, которое воспринималось как очень
дорогой и неполный/частичный инструмент защиты от воздействия риска.

Основной вехой, в развитии направления по работе с рисками, можно считать статью
аспиранта Чикагского университета Гарри Марковица “Диверсификация вложений”
(“Portfolio Selection”). В ней математически обоснована стратегия диверсификации
инвестиционного портфеля, что служило для продуманного распределения вложений и
минимизации отклонения доходности от ожидаемого показателя. Во многом именно за
то, что Марковиц заложил фундаментальные основы для изучения понятия риск, ему в
1990 году присуждена Нобелевская премия.

Инструменты по работе с рисками первоначально развивались только применительно к
финансовой сфере, что является вполне предсказуемым, учитывая важность данной
сферы деятельности. Все общеизвестные и применяемые на данный момент развития
этой отрасли, методы были разработаны, преимущественно во второй половине
прошлого века. Ниже приведена таблица (таб.1.1 – “Вехи в истории риск-
менеджмента”), в которой отражены основные вехи данной отрасли, применительно к
финансовой области. Мы приводим данную таблицу в своем курсе для того, чтобы
изучающий смог комплексно оценить истоки и окружение, способствующее
формированию изучаемой дисциплины, которая со временем была адаптирована для
нужд отрасли ИТ.

Таблица 1.1. Вехи в истории риск-менеджмента

№ Год
Событие

1. 1730 Первый фьючерсный контракт на цену риса в Японии
2. 1864 Первый фьючерсный контракт на агрокультурную продукцию на Чикагской

бирже

3. 1900 Тезис Луиса Бачелиера “Теория спекуляции”, Броуновское движение
4. 1932 Первое появление журнала “Риск и страхование”
5. 1946 Первое появление журнала “Финансы”
6. 1952 Публикация Марковица “Portfolio Selection”
7. 1961-

66

Трейнор, Шэрп, Линтнер и Моссин разработали “CAPM”

8. 1963 Начало развития теорий оптимального страхования, морального риска и

неблагоприятного отбора

9. 1972 Фьючерсные контракты на валюты на Чикагской товарной бирже
10. 1973 Формулы оценки выбора Блэка, Скоулза и Мертона
11. 1974 Мертонская модель риска по умолчанию
12. 1977 Модель процентной ставки Васичека и Коха, Ингерсола и Росса
13. 1980- Экзотичные варианты, свопционы и производные ценные бумаги

7

14. 1979-

82

Первая сделка с финансовыми инструментами (акции, облигации и т.д.) в
форме свопов: валюта и модель процентной ставки

15. 1985 Создание Бизнес Своп Ассоциации, которая разработала формы сделок с

финансовыми инструментами с помощью обменных стандартов

16. 1987 Первый департамент риск – менеджмента в банке (Мэрил Линч)
17. 1988 Basel I
18. 80-

ые

Методика оценки риска (VaR) и методика расчета оптимального капитала

19. 1992 Статья Хелфа, Ярроу и Мортона о кривой передового роста
20. 1992 Интеграционный риск-менеджмент
21. 1992 Метрики риска
22. 1994-

95

Первые банкротства, связанные с неправильным использованием
производных средств: Проктор и Гэмбл (производство, процентные ставки,
1994), Оранж Кантри (производственные фонды, 1994) и Бэрингс (фьючерсы,
1995)

23. 1997 Метрики кредита
24. 1997-

98

Азиатский и российский кризисы, развал Хедж-фонда

25. 2001 Банкротство Энрон
26. 2002 Новые законадательные правила от Сарбанес-Оксли и NYSE
27. 2004 Basel II
28. 2007 Начало финансового кризиса
29. 2009 Solvency II (не вышла к Марту 2013)
30. 2010 Basel III

В данной таблице приведено достаточное количество финансовых терминов, которые
мы считаем неправильным пояснять в нашем курсе, но особо любопытные смогут
найти определения терминов в глоссарии данной лекции и при желании, расширить
свои знания, используя общедоступные источники информации.

Определившись с основными вехами в развитии дисциплины риск-менеджмента, имеет
смысл рассмотреть эволюцию значимости этой дисциплины в глобальном масштабе.

После того как мировая экономика стала набирать обороты, появилась необходимость
в развитии направления риск менеджмента, как отдельной сферы активности, которая
могла бы предложить полноценную инструментальную базу, для повышения качества
и эффективности результата различных направлений коммерческой деятельности.

Всеобщие процессы глобализации только способствовали развитию данной отрасли, но
общемировые финансовые кризисы середины десятых годов начала второго
тысячелетия показали недостаточно внимательное отношение к управлению рисками
со стороны большинства представителей руководства западных организаций, что в
конечном итоге вылилось в крах многих финансовых титанов, таких, к примеру, как
“Энрон”.

8

После того, как нами дано довольно основательное понимание базы и причин
возникновения направлений по работе с рисками, имеет смысл переходить к понятию
информационного риска и возможных последствий его возникновения.

1.3. Сущность и теория понятия риска. Риски в ИТ отрасли.

Сутью любого процесса, явления или объекта является деятельность, которая приводит
к формированию результатов.

Можно различать:

Прямые;
Косвенные;
Конструктивные;
Деструктивные;
Псевдослучайные;
Объективные;
Cубъективные;
и т.д. виды результатов.

Объективный результат является следствием целенаправленного и явного выполнения
процесса, который связан с его сутью. Субъективные результаты проявляются в тех
случаях, когда выполнение процесса проходит с недостаточным уровнем
определенности и полноты информации. На практике, преобладающее количество
рисков связаны именно с субъективными результатами осуществления хода или
выполнения процесса.

“Добыча” необходимой информации связана с наличием четких и определенных
(стандартизированных, апробированных, регламентированных и т.д.) средств,
инструментов, методов и методик, выполнение которых связано с ресурсными
затратами, а также отсутствием достоверных данных о цели и сущности исследуемого
процесса.

Таким образом, можно констатировать, что все риски, с большим или меньшим
допущением, можно считать субъективным результатом выполнения процесса,
который связан с недостатком количественной или качественной информации о
процессе. Информационное “голодание” можно считать главной причиной, которая
порождает и сопровождает риски, во всем их жизненном цикле.

Каждый риск можно связать с одним следующих компонентов:

Данные;
Человек;
Система.

Возникновение риска наиболее вероятно в случаях использования недостоверной
информации, ограничения времени на её анализ и последующий синтез, с целью

9

принятия решения на основе полученных выводов. Таким образом, информационная
составляющая присутствует в любом типе и виде риска, с разной долей значимости.

Наступление риска связано с выполнением осознанных или бессознательных действий,
или бездействием определенного субъекта прямо или косвенно связанным с
процессом, в результате которого может возникнуть риск.

Преобладающее число рисковых событий связано с техническими системами и
процессами, которые имеют в своей основе четкие алгоритмы поведения и абсолютно
не гибки в ситуациях, в которых требуется принять “не оцифрованное” решение. Чем
более развитым с точки зрения техногенных процессов и систем становится общество
и мир, тем больше становится факторов, которые требуют принятия именно такого
решения, для получения наиболее оптимального и качественного результата.

На данный момент нет стандартного определения понятия “информационный риск”.
Многие специалисты вкладывают в это определение абсолютно разный смысл. Мы
приведем наиболее удачное, на наш взгляд:

Риск – это потенциальная возможность наступления вероятного события/явления или
их совокупности, которые могут вызывать определенную величину влияния на
осуществляемую деятельность.

В понятие информационного риска, как правило, не включаются риски, которые
связаны с возможным наличием ошибок в моделях, алгоритмах, программах обработки
информации, которые используются для выработки управляющих решений. Это
свидетельствует о том, что информационные риски не ассоциируют со снижением
качества информации ниже допустимого уровня, в результате низкокачественной
аналитической и управленческой деятельности, которая происходит из-за множества
связанных факторов.

Выводы, которые можно сделать, рассмотрев сущность понятия информационного
риска следующие:

Отсутствует единый, комплексный и системный взгляд на проблему/ы
возникновения рисков;
Отсутствие ясности и прозрачности в понимании конечных результатов
воздействия информационных рисков.

Из этого следует, что “информационный риск” должен определяться связью с
информационной или технической системой. Под информационной системой следует
понимать систему взаимосвязанных объектов, в результате деятельности которых
реализуется целевой процесс, поддерживающий определенную функцию.

Сущность процесса состоит в получении, обработке, хранении, представлении и
передаче данных.

В качестве объектов понимаются технические средства, программное обеспечение,
другие ресурсы и специалисты, которые имеют отношение к информационному

10