Диаграмма 6: Пирамида неопределённости

ПРИНЦИП 1: Определи свою готовность к риску, претвори в жизнь

Основополагающим принципом гибкого исполнения является ориентация на удовлетворение потребностей клиентов, а фундаментальный принцип управления рисками - обеспечение уверенности в том, что организация понимает и смягчает угрозы для исполнения. Чтобы позволить организации понять потребности своих клиентов, а также обеспечить уверенность, когда это необходимо для управления рисками, необходимо определение и согласованность относительно использования уровней готовности к риску.

Традиционные подходы к определению готовности к риску ориентированы на простые описания готовности по разным бизнес-аспектам, или, даже, для всей организации в целом. Например, организация может заявить, что она «не склонна» рисковать в сфере информационной безопасности или «осторожна» в отношении финансового риска. Эти простые утверждения о готовности могут дать широкое указание, но открыты для интерпретации («осторожный» человек «активно ищет другого») и может оставаться статичным в течение определенного периода времени.

Альтернативный подход и подход, который больше подходит для управления рисками в гибкой среде, - это определение склонности к риску таким образом, чтобы обеспечить правильное и последовательное поведение в организации в соответствии с ожиданиями руководства заинтересованных сторон. Для достижения этой цели организация должна согласиться с поведением, ожидаемым на разных уровнях готовности к риску, и четко сформулировать его как основу для принятия решений.

Основное преимущество этого подхода заключается в том, что он устанавливает четкое поведение, которое ожидается на разных уровнях готовности к риску, а не ряд нечётких заявлений, открытых для интерпретации. Формулирование поведения таким образом даст ясность для  планированных результатов организации и позволит готовности к риску приспосабливаться к нуждам организации. Управление рисками в гибкой  среде, где риск сосредоточен на принятии решений, является ключевым фактором успеха.

На диаграмме 6 показан пример заявления о готовности к риску для конкретного типа риска, в данном случае «Безопасность данных»,  и как можно сформулировать ожидаемое поведение, чтобы обеспечить согласованность при принятии решений.

 

Диаграмма 6. Пример заявления о готовности к риску


Тип риска: Данные о  безопасности
 
Несклонный
 		Минимальный
 		Осторожный
 		Открытый
 		В активном поиске
 

Мы избегаем потери доверия наших респондентов в связи раскрытием данных, но признаем, что наш бизнес зависит от доступа к данным и обработки данных, которые несут в себе угрозу безопасности.

У нас установлено четкое управление и процессы обеспечения безопасности данных. Совет регулярно обсуждает вопросы безопасности.

Мы понимаем соответствующий уровень кибер безопасности во всех наборах данных и инвестируем в приоритетные области.

Мы рассматриваем наши политики безопасности и признаём более низкий уровень риска в отношении систем и данных, но также мы признаем, что  потеря данных может нанести значительный ущерб репутации организации.

Мы допускаем надлежащий доступ к данным для персонала, с тем чтобы организация могла выполнять свою программу исследований, разработок и анализа.

Мы готовы рассмотреть доступ для одобренных исследователей к соответственным данным администратора.

 

 

ПРИНЦИП 2: Определите угрозы и возможности

Управление рисками в гибкой среде остается важным как для выявления угроз, так и возможностей. Однако подход к этому определению должен быть четко связан с целями организации, решениями, которые необходимо принять, и ее определенной готовности к риску. Люди, работающие в организации, после определения риска возможно должны будут последовать следующим шагам:

 

• Бизнес-план или план проекта

• Принятие необходимого решения для обеспечения успешного исполнения(насколько можно эффективнее пересмотреть все варианты от А до Я)

• Сопоставить решение, которое вы принимаете с готовностью к риску, связанным с деятельностью

• Решения, которые создают угрозы или возможности за пределами готовности к риску, требуют от кого-либо  взятия на себя ответственности, документирования в корпоративной системе рисков и управления

• Если вы принимаете решение об исполнении, которое создает угрозу выше  уровня готовности к риску или в её пределах, вы должны выбрать либо воздействие на  риск, либо принятие данного риска

• Если вы решили воздействовать  на угрозу или возможность, вы должны предоставить доказательства того, что вы делаете, чтобы уменьшить угрозу на уровне готовности.

• Если вы решите терпеть(принять) угрозу, вы должны задокументировать угрозу в регистре риска.

Эти шаги должны способствовать интегрированию управления рисками в исполнение целостным процессом в повседневные операции организации. Они также полезны для определения «правильных» (истинных и правдивых) угроз или возможностей, поэтому усилия могут быть сфокусированы на истинных опасностях для исполнения, а не на документировании общих «не», угроз для обеспечения ложной гарантии. Диаграмма на рисунке 1 показывает, когда и как могут быть записаны или усилены угрозы / возможности (также связанные с Принципом 3).

Следует признать, что этот принцип может быть соблюден, независимо от того, работает ли организация с помощью гибкого подхода или нет. Тем не менее, это понимание рисков как возможностей, так и угроз, которые демонстрируют более зрелый подход к управлению рисками, и это особенно актуально в гибкой среде. Гибкая методология ориентирована на исполнение и поэтому использует риск возможностей для быстрого исполнения, для обеспечения дополнительных улучшений и удовлетворения потребностей клиентов. Смещение внимания от смягчения угроз (прекращение плохих событий) для использования возможностей (сделать так, чтобы происходили хорошие события) имеет основополагающее значение для управления рисками в гибкой  среде.

ПРИНЦИП 3: Управляй угрозами используй возможности на самом подходящем уровне, но обосновывай и переходи на следующий уровень в случае необходимости

Для  поддержания гибкой среды, важно, чтобы управление рисками создавало среду, в которой решения принимаются на правильном уровне, где персонал наделен полномочиями и способен быстро и своевременно устранять угрозы и  использовать возможности, и  при этом,  имея право не следовать чрезмерно предписывающему процессу.

На рисунке 6 показана «Пирамида неопределенности», демонстрирующая степень надзора за каждым уровнем риска. Пирамида показывает, что большое количество ежедневных решений будет основано на рисках, они не должны регистрироваться в корпоративной системе или внедрены в уровни управления. Управление рисками в гибкой среде - это быстрое принятие в соответствии с готовностью к риску, которое должно формально регистрироваться только тогда, когда необходимо предпринять дополнительные действия для смягчения риска или использования возможности.

 

Диаграмма 6: Пирамида неопределённости

 

Однако, чтобы обеспечить уверенность в управлении рисками, организация должна по-прежнему доказывать эти решения, которые создают угрозы или возможности выше или ниже уровня готовности к риску.

Как показано на диаграмме 6, в любой организации будет приниматься большое количество решений, каждое из которых само по себе будет смягчать риски и использовать возможности.

Важно, чтобы эти решения принимались как можно ближе к месту воздействия, как по времени, так и по месту в организации. В гибкой среде исполнения, они будут идентифицированы и рассмотрены в скоростном процессе. Поэтому управление рисками в гибкой среде должно быть сосредоточено на регистрации угроз или возможностей как официальных корпоративных рисков только, если:

  • Можно обосновать разумное смягчение с целью попытки управления угрозой / возможностью, и
  • Угроза / возможность - это уже не чья-то работа, или установленный процесс для управления угрозой / возможностью, и

Угроза или возможность за пределами готовности организации к риск

Диаграмма 7: Модель зрелости гибкого управления риском

Темы

Уровень зрелости №1

Уровень зрелости №2

Уровень зрелости №3

Уровень зрелости №4

Уровень зрелости №5

Зрелость готовности к риску

Обычное заявление о готовности

Заявление о готовности на разных уровнях деятельности организации

Заявления о готовности подкрепляются более подробными планами относительно того, как организация должна вести себя, чтобы соответствовать готовности

Готовность, является частью ежедневного и  стратегического процесса принятия решений. Допустимости готовности  объективно оспариваются на уровне совета директоров, используя в  качестве параметров, существующие модели поведения

Принятие соответствующего решения,приемлемое для целостного процесса принятия решений.

Общесистемная интуитивная способность при оценке решений связанных с  риском, вытекающая из готовности к риску,для определения стратегии

 Зрелость культуры риска

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Зрелость культуры риска

Сотрудникам руководящего звена и лидерам известно, что  необходимо управлять рисками и действовать, но не могут понять почему и как, при сущестовании информационных материалов об управлении риска, рядовые сотрудники не вчитываются и не разбираются в них.

Риски часто не соответствуют целям бизнес-сферы или директората.

Есть знания о необходимости управления рисками, но концепция до конца не постигнута.

Есть понимание теории и процессов, лежащих в основе формального управления рисками. Но  управление риском вопринимается как упражнение , которое нужно выполнить, чтобы поставить галочку,  а не как инструмент для реального улучшения бизнеса.
Понимание организационной деятельности на сегодняшний день, в том числе, высшего руководства, стратегические риски и наличие заявления политики управления рисками, структуры/ руководства и учебных программ по управлению рисками.

Они понимают, к кому обратиться для дальнейшей поддержки. Ключевые фигуры заинтересованы и ищут тренинги по теме.

Понимание основных рисков для организации и сферы их воздействия. Понимание формальных процедур, которые необходимо выполнять. Но  пока  всёже их все не выполняют ( за неимением наывоков или обязательства) Недостаточная грамотность в сфере управления рисками

Официально, риски не выявляются и не фиксируются в журналах.

Сотрудники, руководители и лидеры знают, как идентифицировать, анализировать, оценивать,  и сообщать о рисках в последовательноми структурированном виде в соответствии с руководящими принципами.

Присутствует  самостоятельное участие в действиях связанных с риском.

Руководство на всех уровнях организации чётко понимает как следует управлять риском и соответственно действуют.

Руководство на всех уровнях  информировано о работе, которую они контролируют,  и обладает навыками интерпретации и оспаривания того, что они видят, чтобы выявить риск.

 

 

 

 

Ключевые сотрудники осознают необходимость управления рисками совместно с партнерами и обладают навыками и знаниями, необходимыми для управления этими рисками. Все владельцы информационных активов прошли базовую подготовку и поняли:

Риски выявлены и зафиксированы, но  едва ли предпринимаются действия для эффективного смягчения угроз или использования возможностей.

К дополнению к 3-му уровню, здесь  сотрудники могут: эффективно управлять этими рисками, самостоятельно или совместно с партнерами, и также уверенно настаивать на своей точке зрения в работе с партнерами.

Обеспечить  эффективную работу департамента  отчитывающегося перед  общественностью  о значительных рисках, возникающих в их районе

Формально проанализировать эффективность всех аспектов своей деятельности по управлению рисками.

Топ менеджеры активно участвуют в расширении своих горизонтов относительно управления риска, путем участия во внутренних мероприятиях и обучении. Организация все чаще рассматривается в качестве лучшего  примера в правительстве.

Все обладатели и менеджеры информационных активов знают о важности эффективного управления информационными активами и ценят их преимущества .И, если они принимают решение, тесно связанное с риском ,оно должно соответствовать готовности организации к риску. Угрозы / возможности за пределами готовности регистрируются и принимаются или допускаются.

К дополнению к 4-му уровню, здесь  сотрудники могут :

Создавать долгие и крепкие патртнёрские союзы , рабочие режимы и отношения

Использовать управление рисками для выявления возможностей, а также и угроз.

Руководство высшего звена активно участвует в расширении своих горизонтов  относительно управления рисками, участвуя во внешних мероприятиях.

Есть ключевые сотрудники,у которые, возможно, обладают либо профессиональной квалификацией в области управления рисками, или у которых есть опыт проактивного подхода в этой области, с готовностью к  постоянному обучению.

Этих людей слушают.

Высокопоставленных лиц, например  генеральных директоров можно заметить выступающих на семинарах   по управлению рисками.

Пропагандисты управления рисками или руководители  обладают навыками преподавания и обучения других сотрудников.

Организация признана Центром передового опыта и знаний в правительстве и во всем мире.

Сотрудники всех уровней осведомлены о важности эффективного управления информационными активами и ценят его преимущества

Зрелость гибкого (Agile) исполнения

Планы определяются наперёд . Выполнение осуществляется нечастыми «скачками».

Группы по исполнению проводят общие встречи на тему гибкого исполнения (ежедневные быстрые встречи, спринты, планирование в краткие сроки и т.д.), здесь занимаются рисками низкого уровня.  Но всё это по-прежнему довольно поверхностно - на данном уровне планы общего / высокого уровня по-прежнему в значительной степени фиксируются, а исполняются все еще нечасто.

Таким образом, низкая степень использования гибкой методологии  еще не повлияла на более высокие уровни

Частота исполнения намного выше, и постепенно увеличивается значимость. Группы по исполнению  признают  так называемые фильтры  рисков / проблем / вопросов /неопределенностей , которые  влияют на планы более высокого уровня.

Организация должна постепенно увеличивать значимость исполнения. Исполнение «скачками»  дело прошлого.  Для изменения планов  регулярно используются обратная связь пользователей, клиентов и рынка.

Управление неопределенностью заложено во все планы и процессы исполнения; команды (и организация) постоянно проверяют предположения и гипотезы; непрерывно отчитываются о значимости и обратная связь в результате исполнения влияет на последующие процессы исполнения .

Зрелость ресурсов управления рисками и гибких ресурсов

У организации нет команды по управлению рисками или экспертов гибкой методологиии

Есть специальные  команды по управлению рисками экспертов гибкой методологиии

Регулярное сотрудничество команды по управлению рисками  и команды экспертов гибкой методологиии

Объединенная  сеть квалифицированных, обученных и опытных представителей обеих команд: управления рисками  и  гибкой методологиии

Эксперты обеих команд- управления рисками  и  гибкой методологиии  формально являются частью всей структуры правления

 

 

  • No labels