Сергей Авдошин - Информатизация бизнеса. Управление рисками
Рис. 28. Заставка комплекса «УПРАВЛЕНИЕ РИСКАМИ»
Комплексы базируются на применении математических методов и моделей, согласно требованиям системообразующих стандартов (ГОСТ Р ИСО 9001 «Системы менеджмента качества. Требования», ГОСТ Р ИСО/МЭК 15288 «Системная инженерия – Процессы жизненного цикла систем», ГОСТ Р ИСО/МЭК 12207 «Системная и программная инженерия – Процессы жизненного цикла программных средств», ГОСТ Р ИСО/МЭК 16085 «Менеджмент риска. Применение в процессах жизненного цикла систем и программного обеспечения», ISO/IEC 31000 «Риск-менеджмент. Принципы и руководства» и др.), в том числе в процессе разработки проекта и системы, при проведении контроля, аудита и сертификации. Применение комплексов обеспечивает аргументированное решение следующих научно-технических задач: организация эффективных систем менеджмента качества на предприятиях; обоснование системотехнического облика и количественных требований технического задания к характеристикам систем, технологиям их создания и функционирования, к квалификации разработчиков и пользователей; оценка и обоснование технических решений, анализ и снижение рисков при управлении проектами; исследование вопросов защищенности систем от потенциальных угроз безопасности (в том числе информационной безопасности), выявление «узких мест» и уязвимостей систем и рациональных путей их устранения с указанием условий, когда это принципиально возможно, и др.
Рис. 29. Исходная форма для выбора моделей
Рис. 30. Заставка комплекса «УЯЗВИМОСТЬ»
Рис. 31. Исходная форма для выбора моделей
Рис. 32. Заставка комплекса «АНАЛИЗ БЕЗОПАСНОСТИ»
Рис. 33. Исходная форма для выбора моделей
Рис. 34. Заставка ПВК для оценки качества производственных процессов
Рис. 35. Исходная форма для выбора моделей
Десятки расчетных примеров, приведенные в монографиях [10], [11], доказывают практичность этих комплексов для управления качеством и рисками (при анализе безотказности функционирования сложных систем, конструируемых из ненадежных элементов; управлении своевременностью представления, полнотой и достоверностью информации; сравнении защищенности информации в открытой и закрытой сетях; прогнозировании качества функционирования информационных систем; выборе рациональных способов построения и модернизации систем теплоснабжения; оценке человеческого фактора; анализе технологических процессов, управлении рисками в опасном производстве и оценке эффективности методов неразрушающего контроля; анализе экологической безопасности; прогнозировании безопасности функционирования трубопроводов; анализе уязвимости морских нефтегазодобывающих систем; выработке рекомендаций по повышению защищенности важных наземных объектов и др.).
Рассмотрим сравнительные характеристики специализированных систем в области управления рисками для реализации программных проектов, которые представлены в табл. 11.
Таблица 11.
Сравнительный анализ систем по управлению рисками в области программных проектов
Анализ систем позволяет сделать вывод, что в качестве продукта поддержки процессов управления рисками может использоваться как специализированная система, так и модуль управления рисками многофункциональной системы поддержки управления проектами. Непосредственная работа с рисками начинается в момент определения перечня рисков, воздействующих на проект, создания карты рисков. На этом этапе для измерения рисков используются в основном экспертные оценки. Начинается накопление исторической базы данных. По мере накопления данных появляется возможность проведения исторического тестирования, организации статистических оценок рисков. И наконец, создание комплексной системы управления рисками подразумевает учет всех видов рисков и организацию интегрированной оценки воздействующих на ИТ-проект рисков. С началом накопления исторических данных по рисковым событиям проект нуждается в организации базы данных по рискам. Применение современных методов риск-менеджмента вызывает потребность в соответствующем инструментарии. Наконец, построение комплексной системы управления рисками с возможностью учета всех рисков, применение к ним наилучших методов измерения и управления, интегральная оценка комплекса рисков могут быть поддержаны промышленной системой управления рисками. Критериями выбора будут масштаб и особенности проекта, а также предпочтения менеджера проекта.
Качественная система управления рисками позволит менеджеру программного проекта принимать более обоснованные управленческие решения на основе количественных данных и обеспечить лучшее взаимодействие команды проекта. Программные продукты анализа рисков существенно снижает трудоемкость выполнения всех этапов анализа рисков. С другой стороны, использование ПО требует высокой квалификации аналитика, достаточно длительного периода обучения и опыта применения.
В заключение приведем несколько наглядных примеров извлечения пользы для бизнеса на основе рационального применения систематизированных знаний в области управления рисками. Расчеты базируются на программно-инструментальных комплексах «Управление рисками», «Уязвимость», «Анализ безопасности» и «Программно-вычислительного комплекса оценки качества производственных процессов» – см. рис. 28–33.
Пример 1. Для сравнения рассмотрим деятельность двух конкурирующих компаний, являющихся для определенности поставщиками труб для транспортировки нефтегазовой продукции и руководствующихся в своей деятельности различными техническими политиками в области качества и рисков. Первая из этих компаний, ориентирующаяся на инновационный путь развития с рациональным применением современных информационных технологий, эффективно использует (как она полагает) существующие новшества для управления качеством и рисками. Вторая компания использует более дешевый труд и устаревшие технологии, сохраняя за счет этого конкурентоспособность на рынке. Опуская вопросы прибыли владельцев компаний за рамками примеров, сравним реализуемые технические политики этих компаний в терминах рисков, затрат и возможных ущербов для потребителей.