Большинство топ-менеджеров ведут свое предприятие через бурные воды бизнеса, которые могут угрожать существованию их самих и служащих компании, а также деньгам акционеров. Им приходится справляться с самыми разными обстоятельствами — от природных катаклизмов, нарушающих течение бизнеса, до возможностей, упущенных из-за того, что существующие процессы не работают или не могут адаптироваться к изменившейся обстановке. Описанные обстоятельства — это примеры рисков, которые, если ими не управлять как следует, могут помешать компании достичь поставленных целей.

Таким образом, чтобы «выплыть» в спокойные воды и воспользоваться попутным ветром, топ-менеджмент и другие лидеры компаний, которые можно отнести к «интеллектуальным предприятиям», должны разработать и использовать на практике «карту» управления рисками, на которой нанесены все опасности, указан безопасный путь и проложена дорога к росту курса акций.

В этой статье я расскажу о том, как исторически складывалось управление рисками, а также объясню необходимость конструктивного подхода к управлению риском на уровне предприятия. Кроме того, я покажу, что нужно предпринять для реализации архитектуры управления риском, опишу, что делать для ее поддержки, и объясню, как встроить механизмы управления риском в общую структуру предприятия.

Традиционный подход

Исторически у топ-менеджеров сложилось отрицательное отношение к риску: это то, чего лучше избегать. (Как вы увидите, такое восприятие не всегда верно.) Такие менеджеры предусматривают механизмы, которые позволяют минимизировать вероятность «нехороших» событий. Многие акционерные общества даже включают сообщения о внутренних механизмах управления риском в свои ежегодные отчеты — при том даже, что никакие регулирующие органы этого не требуют, — просто чтобы лишний раз показать акционерам, какое большое внимание уделяется этой сфере.

Отделу внутреннего аудита обычно вменяется в обязанность поддерживать механизмы управления риска и контролировать их соответствие. Внутренний аудит базируется на предположении, что топ-менеджеры понимают свою ответственность за эти механизмы. При такой схеме проблемы и опасности обнаруживаются и устраняются в рамках обычной ежедневной работы, а не тогда, когда их обнаруживают внутренние аудиторы.

Но в описанной схеме кое-чего и не хватает. Проблема в том, что менеджеры не всегда осознают риск, находящийся за рамками их непосредственных обязанностей, — у них отсутствует представление о риске на уровне предприятия. Они часто рассматривают риск в его отрицательном смысле или как нечто, что нужно уладить. И отдел внутреннего аудита, и управленцы часто не понимают, что уход от всякого риска иногда не позволяет сделать что-то, что позволило бы получить дополнительные выгоды и возможности; не рискуя, нельзя и получить большого выигрыша. Таким образом, следует тщательно взвесить эту сторону риска, чтобы составить себе полную картину управления рисками.

В частности, такой традиционный «ограниченный» подход к оперативному управлению может привести к неспособности увидеть риск для всего предприятия в процессе достижения отдельных целей. В некоторых компаниях отделы маркетинга ринулись обеспечивать свое присутствие в Интернете, поручив сторонним организациям создание Web-сайта и обеспечение доступа к корпоративной информации, не учитывая при этом, что в компании реализованы защита данных о клиентах, безопасность информации и непрерывность бизнеса. Обычно эти проблемы обнаруживаются, когда кто-то из отдела системной поддержки или внутреннего аудита предприятия начинает задавать вопросы о списке выделенных компании IP-адресов. Такое присутствие в Интернете — это риск (и фактор уязвимости, и дополнительные возможности), и им следует управлять на уровне предприятия, а не одного отдела.

Согласно определению Комитета организаций-спонсоров (Committee of Sponsoring Organizations, COSO, http://www.coso.org) Treadway Commission (консорциума по финансовой отчетности), механизмы внутреннего контроля — это процесс; на них воздействует совет директоров, менеджеры и другой персонал; их назначение —обеспечить разумную гарантию достижения целей в таких сферах, как эффективность и производительность операций, адекватность финансовой отчетности и соблюдение законов и инструкций.

Кроме того, в структуре COBIT (Information Systems Audit and Control Association's Control Objectives for Information and Related Technology) версия COSO расширена и в нее включены внутренние процессы контроля, непосредственно относящиеся к ИТ-процессам. В COBIT добавлены требования ИТ к качеству, расходам и поставкам наряду с требованиями по защите конфиденциальности, целостности и доступности.

Эти структуры вызваны к жизни насущной потребностью бизнеса в каких-то схемах эффективного управления риском, а профессионалы бухгалтерского учета и внутреннего аудита включили их в свои профессиональные стандарты и правила. Однако есть одно затруднение: только менеджеры, управленцы, а не подразделения бухгалтерии и внутреннего аудита в состоянии внедрить эти структуры и сделать их частью общего бизнес-процесса. Пока руководители не начнут активно и организованно управлять риском, они будут снова и снова сталкиваться с неприятными сюрпризами. В сущности, руководители бизнеса и ИТ-менеджеры должны совместно разработать архитектуру управления риском, как это рекомендуется COSO и COBIT, чтобы избежать неприятных сюрпризов и ловушек.

К 2003 году более 30—40% компаний из списка Global 2000, использующих новые технологии и входящих на новые рынки с продуктами для электронного бизнеса и услугами, реализуют у себя COBIT-подобные процессы оценки риска и отчетности, сбалансированной по соотношению «риск/выигрыш».
Источник: Risk Without Remorse, Meta Group, July 2000.

Управление риском и ИТ-структура

В ИТ особо подчеркивается важность применения архитектурного подхода для того, чтобы упорядочить сложные технологические и бизнес-среды. Применение таких упорядоченных архитектур в масштабах всего предприятия обеспечивает максимальную выгоду для организации. Во всех архитектурах — данных, приложений, бизнес-процессов и технологий — присутствуют риски и возможности. Согласно COSO и COBIT, четко определенная архитектура — это основа хорошей среды внутреннего контроля. Таким образом, управление риском всего предприятия следует включить как отдельный элемент в группу архитектур, носящую название «архитектура предприятия».

Механизмы контроля — лишь один из элементов хорошо продуманной системы, процесса или операции. Для создания эффективных механизмов контроля вы прежде всего должны выявить, отобразить на «карте» и понять риски на уровне предприятия. Применение механизмов контроля в отсутствие документированного представления о том, каковы методы управления риском и другие архитектуры предприятия, напоминает полет в тумане с неработающими приборами: вы не узнаете о риске, пока не врежетесь прямо в него.

Лучше понять потребность в архитектуре управления риском можно на примере планирования города. Планировщики должны знать, какие риски существуют в этом городе, и создать средство контроля, которое позволит ограничить эти риски или расширить возможности. Например, в городах, в которых высок риск ураганов или землетрясений, требуются особые нормы и стандарты строительства, чтобы обеспечить разумную гарантию того, что дома не развалятся при первом же толчке или их не сдует сильным порывом ветра. Одновременно планировщики могут рассматривать риск как возможность проектировать гибкие конструкции, которые быстро модифицируются в соответствии с новыми потребностями города.

Управление риском предприятия: определение

Термин «управление риском» — это общие слова. Определение чаще всего относится к отдельным бизнес-процессам, таким как инвестиции, управление ИТ-проектом, техника безопасности и страхование. Но компании подвержены и многим другим рискам, которые охватывают все предприятие и в принципе затрагивают каждый процесс и каждого сотрудника. Эти риски включают несанкционированный доступ к конфиденциальной и частной информации о компании, клиентах или служащих, а также возможное нарушение непрерывности или полную остановку бизнес-процессов.

Управление риском для предприятия в целом выявляет взаимозависимости между структурой управления риском, традиционными структурами предприятия и уровнями абстрагирования. Обратите внимание, что это трехмерное, а не двумерное изображение; структуру управления риском лучше всего показывать как охватывающую и «пронизывающую» все остальные области и уровни абстрагирования (типы данных, приложения, процессы и технологии).

Все представленные элементы взяты из структур COBIT и COSO. Например, в COBIT термин «качество» относится к стоимости и условиям достижения IT-целей. Требования доверия, как определено в COSO, подразумевают эффективность операций, надежность информации и соблюдение законов и инструкций. Требования безопасности, как определено в COBIT, включают конфиденциальность и секретность («приватность»), целостность и доступность ИТ-данных и ресурсов.

Согласно ISACA (http://www.isaca.org), в штате Орегон COBIT принят в качестве стандарта контроля предприятий в масштабе штата.

Я заполнил некоторые ячейки, чтобы продемонстрировать, как та часть структуры управления риском, которая связана с безопасностью, влияет на другие части структуры и взаимодействует с ними. Слабое звено в структуре способно скомпрометировать безопасность всего предприятия. Даже если обеспечена надежная защита личной информации клиентов, она может быть скомпрометирована, если в архитектуре бизнес-процессов не учтена важность конфиденциальности в бизнес-процессах и процедурах.

Прибыль и выгоды для организации

Согласно исследованию, выполненному в 1999 году компанией PricewaterhouseCoopers (http://www.pwc.com) для комитета финансового и управленческого учета (Financial and Management Accounting committee) Международной федерации бухгалтеров (International Federation of Accountants) и озаглавленному «Увеличение капитализации за счет улучшения управления бизнес-рисками», нельзя недооценивать важность связи между управлением риском и биржевой стоимостью акций.

В исследовании говорится, что предприятия могут повысить стоимость своих акций, если будут стремиться управлять риском на уровне предприятия. На модели зрелости можно видеть, как развитие идет от управления рисками посредством уклонения и предотвращения (область «минусов») к минимизации рисков неопределенности, связанных с хозяйственной деятельностью, и, наконец, к наивысшему уровню зрелости — к управлению риском возможностей (область «плюсов»).

Столь сложный подход к управлению риском поможет вам лучше распределить средства на риски и управление ими, поскольку вам будет легче определить, как это скажется на всем предприятии. Например, прежде чем принять решение о слиянии компаний, руководство может обратиться к задокументированной архитектуре управления риском своей компании и учесть эффект от добавления новых данных, приложений, процессов и технологий в среду предприятия. Представьте себе, что у поглощаемой компании архитектура управления риском также задокументирована. Понимание воздействия риска могло бы помочь провести более полный анализ затрат и результатов, минимизировать неприятные неожиданности, максимально воспользоваться возможностями и облегчить решение проблем, связанных с интеграцией двух сред. К дополнительным преимуществам такого подхода можно отнести то, что менеджеры компании получают более совершенный инструмент для оценки риска, определения показателей и управленческой отчетности. Он также предоставляет определенную защиту от тенденциозного управления, а также от враждебной рекламы или внимания со стороны инвесторов и других держателей акций. Различные способы измерения эффективности деятельности, таких как карты взвешенных балльных оценок, помогают установить, правильно ли используется управление риском, т. е. помогает ли оно увеличивать доходы от бизнеса.

Внедрение в организациях и конфигурации

Существует несколько важных моментов в реализации архитектуры управления риском как части общей архитектуры предприятия. Элементы, которые следует учесть, аналогичны тем, которые присутствуют в любых других архитектурах предприятия. Самое же главное — заранее определить организации и роли.

Согласно PricewaterhouseCoopers, лучшая практика — это перейти в управлении риском к интегрированному подходу, в котором средства и методы совместно используются на всем предприятии, а в управлении компанией есть хорошо продуманная стратегия. Интегрированный подход — это активная позиция, так как подразумевает предвидение, а не пассивную реакцию на риск. Он предоставляет больше возможностей («плюсов») и ограничивает опасности («минусы»).

Одна из программ, с которыми мне приходилось работать, — это Corporate Modeler компании CASEwise (http://www.casewise.org), надежный набор инструментальных средств для создания и, что более важно, совместного использования и управления данными, бизнес-процессами, приложениями и архитектурами технологий на уровне предприятия при помощи интегрированной реляционной базы данных. Базу данных можно опубликовать в интрасети компании, чтобы ее могли использовать лица, принимающие решения, и аналитики всего предприятия. Подверженность риску и связанные с этим параметры можно для целей анализа сопоставлять объектам в базе данных. Corporate Modeler также поддерживает взаимодействие на уровне моделей с другими популярными инструментами разработчика, такими как Rational Rose (http://www.rational.com) и PowerDesigner (http://www.sybase.com).

Архитектура управления риском должна уделять внимание всем сферам деятельности организации. Создание четко определенных связей с другими архитектурами предприятия помогает реализовать принципы, модели и стандарты управления риском.

Разработчики архитектуры управления риском предусмотрели инструментальные средства, принципы, модели и стандарты, которые позволяют эффективно управлять рисками. Рекомендуется применять эти принципы, модели и стандарты в конфигурациях (pattern), которые затем можно будет повторно использовать в разработке процессов, реинжиниринге и управлении.

Конфигурации — это повторно используемые элементы, или шаблоны, которые применяются для повышения эффективности процессов разработки и оценки. Например, архитекторы системы управления риском могут разработать конфигурацию управления риском, которой в дальнейшем воспользуются разработчики, дабы быть уверенными в том, что они учитывают все риски в разрабатываемом приложении или системе. Конфигурации могут представлять собой контрольные таблицы, где описаны принципы, модели и стандарты, имеющие отношение к опасностям и возможностям, с которыми приходится встречаться в общих для всех архитектур (данных, приложений, процессов и технологий) областях. Эти конфигурации также можно встраивать в инструментальные среды разработки (например, Rational Rose) или моделирования (например, Corporate Modeler). Конфигурации могут иметь форму шаблонов, создаваемых архитекторами систем управления риском и аналитиками. Хранение конфигураций в хранилище инструментальных средств гарантирует, что разработчики, аналитики и лица, принимающие решения, не забудут ими воспользоваться, когда это потребуется.

Компания Boeing — одна из организаций, принявших принципы COSO в качестве основы внутренней стратегии и процедур управления.

Если у руководства компании есть архитектура управления риском и конфигурации для данных, процессов, технологий и прикладных архитектур, на предприятии удается обеспечить последовательный целостный подход к управлению риском. Использование конфигураций может гарантировать, что все опасности учтены и неожиданностей ждать не приходится.

Роль независимых аудита, оценки и проверки заключается в том, чтобы использовать структуру управления риском как основу для оценки ее надежности и проверки того, что она работает, как и предполагалось. После проверки аудиторы отчитываются о результатах перед ведущими менеджерами и советом директоров. Большинство профессионалов в области внутреннего аудита и бухгалтерского учета посчитает дополнительной гарантией оценку средств внутреннего контроля в такой среде.

Microsoft — одна из компаний, использующих «карту риска» для планирования самых разнообразных рисков, с которыми сталкивается компания, — природных, юридических, финансовых, связанных с трудовыми ресурсами и т. д. Чтобы эта карта действительно была полезной, в ней должна присутствовать связь с архитектурами бизнеса, данных, технологий и приложений — именно там можно смягчать последствия этих рисков и управлять ими. Такой подход позволяет сохранить эффективное управление рисками при изменениях в корпоративных архитектурах.

Как и в любом другом процессе внедрения архитектуры масштаба предприятия, требуется предусмотреть изменения в корпоративной культуре. Такие изменения возможны только при наличии решимости у топ-менеджмента и должны выражаться в прозрачной системе отчетности и стимулирования. Все эти элементы необходимы для успешной работы архитектуры управления риском.

Знайте свои риски

Создание архитектуры управления риском в масштабе предприятия поможет менеджерам перейти от «тушения пожаров» к поиску новых возможностей, позволяющих избегать опасностей и улучшать управление риском.

Включение архитектуры управления риском в общую архитектуру предприятия обеспечивает последовательный целостный подход к поддержке принципов, моделей и стандартов управления риском на всех уровнях предприятия. Внедрение архитектуры управления риском с применением повторно используемых конфигураций создаст компании условия для «безопасного плавания», так как риски и опасности будут отчетливо видны на экране корпоративного «радара».

Крис Дж. Йенсен (Chris J. Jensen) — внутренний консультант по процессам в компании Allstate Insurance Co. Обладает 11-летним опытом работы в сфере внутреннего аудита информационных технологий и процессов. В настоящее время является членом группы, которая применяет теории управления процессами и услуги моделирования, помогая топ-менеджерам понять и проанализировать текущие и новые виды хозяйственной деятельности. С ним можно связаться по e-mail: cjensen2@yahoo.com.