В сегодняшней статье мы продолжим разговор об условиях, необходимых для выстраивания полезной и эффективной системы риск-менеджмента в организации, рассмотрев второй столп эффективного управления рисками (возможна ссылка на предыдущую статью) – ИНФОРМАЦИЮ. В любые времена и эпохи выигрывал тот, кто владел более широкой и точной информацией (и мог ей воспользоваться), но в сегодняшнем пост-информационном мире, мало обладать информацией – ее нужно уметь фильтровать, структурировать, интерпретировать и верно использовать. А в контексте управления рисками, подразумевающего прогнозы для принятия важных бизнес-решений – именно эти навыки становятся критически важными.

По большому счету, управление рисками как современная экономическая дисциплина выросла на математической статистике, а для статистического анализа, имитационного моделирования и прогнозов необходим достаточно большой массив наблюдений, собранных за достаточно показательный временной промежуток. Помним, что информация – это совокупность данных, т.е. любых сведений, принимаемых и передаваемыех сохраняемые различными источниками. Для ее использования в управлении рисками, т.е. менеджменте – принятии решений, как минимум, информация должна быть качественной* (возможна ссылка на мою соответствующую статью), т.е: .

• точной;
• полной;
• согласованной;
• целостной и истинной;
• разумной и соответствующей поставленной задаче;
• актуальной;
• уникальной/без задвоений;
• проверяемой – валидируемой;
• доступной.

Очевидно, что сам по себе подход к правилам и описанию собираемых данных играет критическую роль в дальнейшей работе с ними, что означает, что для эффективного управления рисками, для начала, необходимо четко определить: какие именно данные должны быть собраны, что именно должно отразиться в соответствующие базах, какие признаки и характеристики рисковых событий или факторов необходимо описать, и, наконец, управленческие и технические вопросы о том, кто именно должен этим заниматься и как фиксировать. По большому счету, информация обо всех фактически произошедших рисковых событиях (причем крайне желательно, не только внутри компании – но и за ее пределами в отрасли, связанных областях экономики, политики и т.п.) должна отражаться и накапливаться в реестрах рисков/базах данных Компании. Причем необходимо постоянное обновление этих баз по вопросам изменения как фактической рисковой ситуации, ее последствий, частоты и пр – так и о предпосылках (факторах) ее изменения. А для возможности превратить эти разрозненные сведения в ресурс для удобной, и крайне желательно, автоматизированной аналитики – информация о рисках должна храниться в единой для всей Компании базе с возможностью автоматического обновления и обработки. Под «единой» здесь понимается не только целостный продукт для хранения указанных сведений – но, в оптимальном варианте, продукт или модуль, являющийся частью большой системы ERP в компании. Для многих компаний, не являющихся ИТ-зависимыми или, собственно, цифровыми, такая возможность пока может казаться нереализуемой, однако, мировые тенденции показывают, что в скором времени, практически любой, даже небольшой бизнес, ввиду цифровизации государственных систем хранения данных (включая платежи и налоги) будет так или иначе обслуживаться современными ИС, в связи с чем мы рассмотрим подробнее, какие последовательные шаги нужно продумать и выполнить до того, как купить, интегрировать или создавать своими силами продукт/приложение для работы с информацией для целей эффективного управления рисками.

1. Определение цели создания ИС управления рисками.

Выше мы уже сказали о том, что управление рисками – инструмент общей системы принятия решений, основанный на обработке известных данных. В этом смысле, современные технологии Big Data, по сути, служат тому, что ранее риск-аналитики делали вручную, используя калькуляторы, методы математического анализа, а затем – excel таблицы: помогают структурировать имеющуюся информацию таким образом, чтобы вычленить из нее те закономерности, которые могут свидетельствовать о тенденциях и вероятностях наступления тех или иных рисковых (и нерисковых) событий. Но для того, чтобы настроить необходимое структурирование/условия обработки, важно определиться с запросом: какие именно ситуации, операции, ресурсы и т.п. необходимо изучать и анализировать и с какой целью – а также с ограничениями: какая информация, может быть доступна и обработана по этому поводу. Например, в случае, если компания исследует цены на ключевое сырье и риски их колебаний, которые могут существенно отразиться на финансовых показателях компании – обработке будут подлежать данные о котировках с бирж или прогнозы ключевых игроков (а также, где уместно, история и прогнозы погоды, политические тренды, объемы добычи или производства и так далее). Если же речь идет, например, о снижении риска простоев оборудования ввиду поломок – обработке будут подлежать данные о производителях, частоте и причинах поломок, условиях эксплуатации и т.п. Вариаций может быть множество, но от качества доступной информации и критериев ее структурирования и анализа и будет зависеть полезность конечного результата.

2. Определение ключевых заказчиков и пользователей.

Как правило, вводные по запросу дает владелец или руководство компании, выступающие заказчиком всей системы управления рисками. Заказчик определяет области «делового интереса» и параметры ожидаемых результатов обработки информации, поскольку ресурсы ограничены (как технические, так и временные, аналитические и т.п.) и позволить себе полноценные механизмы «больших данных» могут только очень высокотехнологичные (и часто  богатые) компании. Для компаний же менее цифровизированных и/или маржинальных сбор и обработка данных зачастую ведется в полуавтоматизированном режиме и во многом зависит от ручной настройки, заданной аналитиком. При этом, не всегда заказчик будет являться одновременно и пользователем системы, по крайней мере, он точно не будет единственным пользователем. Поэтому при настройке системы работы с информацией для целей риск-менеджмента, будь то простой текстовый отчет или диаграммная динамическая визуализация, необходимо оценивать и уровень пользователей системы, их техническую и цифровую оснащенность, связь предполагаемой БД/ИС с системами, в которых пользователи работают. Например, если речь идет о том, что одним из пользователей системы сбора информации по вопросам управления рисками будет рабочий, непосредственно производящий операции на оборудовании, риски поломки которого необходимо оценить – нужно учесть, имеется ли в его прямом доступе вход в базу данных, или он должен сообщить о рисковом факторе/событии кому-то, у кого такой доступ есть и кто умеет с БД работать.

3. Составляющие и путь данных в ИС управления рисками

Система обработки аналитической информации, как правило, подразумевает хранение, анализ информации, а также некие системы визуализации и оповещения о результатых обработки.  Выше уже говорилось о том, что оптимальной является ситуация, когда данные о рисковых факторах/событиях автоматически попадают в единую ERP компании, где происходит их автоматическая же обработка, а также соответствующее построение отчетов. Однако на практике, во многих компаниях пока к этому не пришли и блоки внесения, хранения, обработки, визуализации и дальнейших коммуникаций разнесены по разным системам. Поэтому архитектору ИС управления рисками необходимо продумать весь путь от попадания информации в систему (например, от заполнения бумажных форм на производстве или соответствующих аудиосообщений) – до ее визуализации, например, в виде dashboards или динамических отчетов и дальнейшего оповещения, например в электронной почте, заинтересованных лиц. Такой путь и соответствующие технические решения требуют индивидуального подхода к разработке и реализации не только в рамках отдельной компании, но часто и различных типов рисков, и могут задействовать в себя несколько различных каналов и систем, в том числе, информационных.

4. Варианты технических решений.

Большинство программных решений, с которыми приходилось сталкиваться на практике условно можно разделить на две большие группы: локальные надстройки для для самых распространённых баз данных/офисных приложений или модули больших ERP систем и облачных хранилищ, которые, однако, в некоторых случаях могут работать автономно, т.е. вне большой ERP. Использование тех или иных видов ПО будет определяться как уровнем автоматизации компании – так и уровнем зрелости системы ее управления, в том числе и в части управления рисками. Поскольку управление рисками пронизывает все системы и бизнес-процессы компании, часто требующие специфического инструментария, упомянутые выше разновидности продуктов не противоречат друг другу, гармонично сосуществуя: использование надстроек в Microsoft Excelдля моделирования финансовых рисков инвестиционной деятельности никак не противоречит отдельному аналитическому блоку в единой БД для обработки данных с производственных объектов, системе трекинга товаров или оборудования, учетному ядру по всем операциям большого банка или веб-приложению, в которое пользователи вручную вносят информацию о рисках для визуализации отчетов.

На сегодняшний день существуют десятки и сотни решений для целей управления рисками. Самыми распространёнными из практики автора в больших компаниях являются модули Oracle, SAS RM, SAP GRC, а также локальные макросы/надстройки @Risk и Crystal Ball. В целях оценки рисков в проектном управлении часто приходилось сталкиваться с Primavera Risk Analysis, позволяющим оценивать реализацию рисков смещения графика проекта и изменения стоимости отдельных работ.

Завершая сегодняшний краткий обзор, хочется напомнить, что управление рисками, это, в первую очередь – поддержка осознанного и взвешенного принятия решений, определенная культура ответственности и ценностей компании. Технические же решения являются не самоцелью – но необходимым в современном бизнесе и удобным инструментом, обеспечивающим эффективную работу этой системы.

Ирина Андропова (с)