Какие риски обычно оценивают при m a
Перейти к содержимому

Какие риски обычно оценивают при m a

  • автор:

Тестирование на основе рисков: особенности подхода и его преимущества.

Конкуренция в сфере разработки программного обеспечения очень высокая. Чтобы добиться успеха, компании стремятся с минимально возможными затратами создавать продукты максимально высокого качества. И справиться с этой задачей без эффективно настроенного QA-процесса практически невозможно.
Но проблема заключается в том, что дедлайны и бюджет редко позволяют специалистам по обеспечению качества одинаково тщательно тестировать все функции приложения. Им приходится решать, на выполнение каких задач стоит потратить больше усилий и времени, а какие не требуют столь пристального внимания. Как же они принимают такие важные решения? Полагаться на субъективное мнение членов команды — не самый оптимальный вариант. Правильно определять цели и рационально расставлять приоритеты позволяет тестирование на основе рисков.
Если вы ещё не знакомы с этим подходом, оставайтесь с нами. В этой статье мы поговорим о том, что такое тестирование на основе рисков, каковы его преимущества и что представляет собой процесс управления рисками при тестировании программного обеспечения.

Что такое тестирование на основе рисков?

  • Как часто используется этот элемент?
  • Насколько значительным будет ущерб, если он не будет работать, как ожидается?

Представим, что специалисты по обеспечению качества работают над тестированием банковского приложения. Перед ними стоит задача проверить работу двух функций:

  • Перевод средств. Эта функция используется чаще всего. И её некорректная работа окажет значительное негативное влияние на бизнес.
  • Поиск ближайшего банкомата. Эта функция используется реже. Да, скорее всего, пользователи будут слегка озадачены, если приложение покажет банкомат через дорогу от того места, где он действительно находится. Но такая незначительная ошибка вряд ли окажет существенное воздействие на работу компании.

Очевидно, что QA команде нужно будет приложить значительно больше усилий для тестирования первой функции. Конечно, это очень упрощенный пример. (В реальности приложения намного сложнее и специалисты должны проверять работу сотен элементов.) Но он наглядно показывает, в чём суть тестирования на основе рисков.

Такой подход позволяет оптимизировать ресурсы и получить максимальную пользу от тестов. Расставляя приоритеты задачам, специалисты по обеспечению качества ориентируются на результаты предварительной оценки рисков.

Теперь давайте подробнее рассмотрим, что такое процесс управления рисками при тестировании программного обеспечения.

Процесс управления рисками при тестировании программного обеспечения.

Процесс управления рисками может варьироваться в зависимости от компании и сложности разрабатываемого продукта. Но, как правило, он включает следующие этапы:

  • Выявление рисков. Первый шаг — это создание списка всего, что теоретически может сломаться. Составить его QA специалистам помогает анализ требований, мозговые штурмы, консультации с экспертами, опыт предыдущих проектов и т. д. Основная цель на этом этапе — выявить как можно больше потенциальных угроз.
  • Оценка рисков. После того, как список составлен, команда может переходить к следующему шагу — анализу рисков. Специалисты оценивают каждую потенциальную угрозу на основе двух факторов: вероятность возникновения и возможный ущерб, который будет нанесён. На этом этапе часто используют матрицу рисков (мы рассмотрим эту концепцию в следующем разделе).
  • Составление плана реагирования. После того, как риски идентифицированы и оценены, необходимо составить план, как их предотвратить. Основываясь на полученных данных, QA менеджер может приступить к составлению стратегии тестирования. Те модули, элементы и функции, неправильная работа которых несёт в себе значительные риски, будут тестироваться максимально тщательно. Результаты оценки также определяют, насколько опытные специалисты будут работать над той или иной задачей.
  • Мониторинг рисков. На этом этапе специалисты занимаются выявлением новых рисков, повторной оценкой найденных ранее, а также корректировкой плана реагирования.

Теперь, когда вы лучше понимаете процесс управления рисками при тестировании, давайте остановимся подробнее на матрице для определения приоритетов и оценки рисков.

Матрица рисков.

Для анализа рисков команды QA часто используют матрицу, где на одной стороне располагается уровень вероятности возникновения события, а на другой — степень потенциального воздействия на проект. Это позволяет разделить все риски на группы:

  • Частое событие, значительное воздействие. QA команда должна тщательно протестировать этот элемент.
  • Редкое событие, значительное воздействие. QA команда должна протестировать этот элемент.
  • Частое событие, незначительное воздействие.QA команда может протестировать этот элемент.
  • Редкое событие, незначительное воздействие. QA команда может протестировать этот элемент, если позволит время и бюджет.

Конечно, в зависимости от проекта такая матрица может быть более подробной. Тогда возможным рискам будет присваиваться больше уровней вероятности. Например, частые, возможные, случайные, редкие, крайне редкие. Что касается степени потенциального воздействия, она может делиться на катастрофическую, критическую, серьёзную, приемлемую, незначительную.

Преимущества тестирования на основе рисков.

Как видите, тестирование на основе рисков позволяет компаниям эффективно управлять ограниченными ресурсами. Такой подход помогает QA командам оптимизировать свою работу, правильно расставлять приоритеты, находить самые критические ошибки раньше, а также видеть степень тестового покрытия на каждом этапе жизненного цикла разработки программного обеспечения. Таким образом, главные преимущества тестирования на основе рисков — это снижение затрат на разработку, сокращение времени выхода на рынок и повышение качества приложений.

Алена Майер

Алена Майер

Редактор и автор статей о современных технологиях, обучении новым навыкам, карьере и саморазвитии.

Управление рисками в сделках слияний и поглощений Текст научной статьи по специальности «Экономика и бизнес»

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Вердиев Дмитрий Олегович

Статистика по сделкам слияний и поглощений показывает, что после совершения сделки менее трети вновь образованных конгломератов реализует планировавшиеся синергетические эффекты и повышает акционерную стоимость компании. Такая удручающая ситуация, по мнению автора, связана с неоправданно пренебрежительным отношением менеджмента компаний к вопросам управления рисками в сделках такого рода. Отсутствие практики выявления, оценки, минимизации и постоянного мониторинга рисков приводит к тому, что многие компании осуществляют слияние, которое заведомо несёт в себе большое количество рисков. Менеджмент компании не включает в стоимость сделки затраты на предупреждение и минимизацию рисков. В ряде случаев затраты на мероприятия по минимизации рисков могут оказаться настолько высоки, что сделка перестаёт быть привлекательной. Лишь немногие компании применяют методику управления рисками при планировании сделок слияний и поглощений, способную предупредить и снизить воздействие большинства факторов, негативно влияющих на интеграцию компаний. Автор предлагает использовать данную методику в целях достижения синергетических эффектов в сделках слияний и поглощений и повышения акционерной стоимости в период после слияния. Управление рисками проводится на всех этапах сделки M&A и включает в себя идентификацию, анализ, оценку, управление и мониторинг рисков. Внедрение риск-менеджмента на ранних этапах подготовки сделки M&A существенно снижает неопределенность в том, что касается достижения вновь образованной компанией поставленных финансовых и операционных целей. В статье предлагается матрица рисков типичной сделки слияния и поглощения, которая может быть адаптирована под конкретный проект сделки. Матрица включает в себя список рисков, сгруппированных в зависимости от стадии процесса сделки M&A, качественную оценку вероятности этих рисков, их влияния и степени воздействия на проект, а также способы управления данными рисками.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по экономике и бизнесу , автор научной работы — Вердиев Дмитрий Олегович

Характерные риски сделки слияния и поглощения

Сделки слияний и поглощений в процессе создания и роста стоимости организаций корпоративного предпринимательства

Генезис синергетического подхода в исследованиях слияний и поглощений: развенчание главного мифа о синергии

Модель управления стейкхолдерами в сделках слияний и поглощений
Сделки слияния и поглощения: причины и пути предотвращения неудач
i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Risk Management in Mergers and Acquisitions

M&A statistics show that less than a third of newly merged companies has realized their planned synergistic effects and increased shareholder value. According to the author, such disgusting situation is due to improper planning and failure of corporate management to understand the importance of risk management in M&A. Lack of practice in identification, evaluation, mitigation and regular monitoring of risks leads to the situation when many companies merge despite the fact that the merger bears substantial risks. Corporate management fails to include risk mitigation expenses in merger costs. In many cases, risk mitigation expenses may be so substantive that the merger loses its attractiveness. Only few companies implement risk management methodology while planning M&A activity. This methodology may anticipate and minimize the consequences of various risk factors that negatively influence integration process. The article suggests an implementation of risk management best practice. This risk management best practice may act as an effective tool of successful realization of synergistic effects in M&A and may be helpful in increasing shareholder value in post-merger period. Risk management is conducted throughout the stages of merger and includes identification, analysis, assessment, management and monitoring of risks. Implementation of risk management at early stages of merger planning significantly decreases uncertainty in relation to achievement of financial and operational goals of newly merged company. The article provides with typical M&A risk matrix that may be adapted for specific M&A project. Risk matrix includes a register of risks sorted by stages of M&A deal, quality assessment of their probability, influence and impact on merger as well as risk mitigation methods.

Текст научной работы на тему «Управление рисками в сделках слияний и поглощений»

МИРОВАЯ ЭКОНОМИКА И МЕЖДУНАРОДНЫЕ ЭКОНОМИЧЕСКИЕ ОТНОШЕНИЯ

УПРАВЛЕНИЕ РИСКАМИ В СДЕЛКАХ СЛИЯНИЙ И ПОГЛОЩЕНИЙ

Московский государственный институт международных отношений (университет) МИД России. Россия, 119454, Москва, пр. Вернадского, 76.

Статистика по сделкам слияний и поглощений показывает, что после совершения сделки менее трети вновь образованных конгломератов реализует планировавшиеся синергетические эффекты и повышает акционерную стоимость компании. Такая удручающая ситуация, по мнению автора, связана с неоправданно пренебрежительным отношением менеджмента компаний к вопросам управления рисками в сделках такого рода. Отсутствие практики выявления, оценки, минимизации и постоянного мониторинга рисков приводит к тому, что многие компании осуществляют слияние, которое заведомо несёт в себе большое количество рисков. Менеджмент компании не включает в стоимость сделки затраты на предупреждение и минимизацию рисков. В ряде случаев затраты на мероприятия по минимизации рисков могут оказаться настолько высоки, что сделка перестаёт быть привлекательной.

Лишь немногие компании применяют методику управления рисками при планировании сделок слияний и поглощений, способную предупредить и снизить воздействие большинства факторов, негативно влияющих на интеграцию компаний. Автор предлагает использовать данную методику в целях достижения синергетических эффектов в сделках слияний и поглощений и повышения акционерной стоимости в период после слияния. Управление рисками проводится на всех этапах сделки M&A и включает в себя идентификацию, анализ, оценку, управление и мониторинг рисков. Внедрение риск-менеджмента на ранних этапах подготовки сделки M&A существенно снижает неопределённость в том, что касается достижения вновь образованной компанией поставленных финансовых и операционных целей. В статье предлагается матрица рисков типичной сделки слияния и поглощения, которая может быть адаптирована под конкретный проект сделки. Матрица включает в себя список рисков, сгруппированных в зависимости от стадии процесса сделки M&A, качественную оценку вероятности этих рисков, их влияния и степени воздействия на проект, а также способы управления данными рисками.

Ключевые слова: управление рисками, риски сделок слияний и поглощений, М&А, риски компании.

Сделки по покупке и продаже бизнеса занимают важное место в системе современных международных экономических отношений. Это подтверждают данные консалтинговой компании «КПМГ»: в 2014 г. мировой рынок М&А сделок составил 2,45 трлн долл. США, увеличившись по сравнению с предыдущим годом на 11% [2]. Несмотря на уверенный рост мирового рынка, российский рынок М&А упал за 2014 г. на 34%, а капитализация крупнейших компаний рухнула на 43% только за вторую половину года в связи с введением антироссийских санкций и из-за резкой девальвации рубля. В настоящее время инвесторы склонны пессимистически оценивать перспективы развития геополитической ситуации вокруг РФ, и рост российского рынка пока не предвидится. Что же касается мира в целом, то эксперты уверены в дальнейшем росте рынка М&А.

Высокая популярность сделок слияний и поглощений привела к тому, что многие компании, форсируя сделку, не учитывают важные факторы процесса М&А и приобретают активы, интеграция которых проходит неудачно. По статистике, около двух третей всех сделок М&А не увеличивают стоимость компании-приобретателя как минимум в краткосрочной перспективе [4]. В России ситуация выглядит лучше: акционерная стоимость компаний в 2009-—2011 гг. выросла в 50% случаев, что значительно выше, чем в среднем по миру [2]. Тем не менее, половина компаний сталкивается с проблемой повышения акционерной стоимости. Согласно исследованию «КПМГ», основными факторами, препятствующими росту акционерной стоимости, являются плохое качество информации и недостаточность прединвестиционного исследования компании-объекта поглощения.

Отсутствие в течение длительного периода после завершения сделки синергетических эффектов свидетельствует о недостаточном планировании интеграционного процесса и о возникновении непредвиденных рисков. В рамках проектного управления сделка слияния и поглощения представляет собой проект, а процедура управления рисками является его неотъемлемой частью. Следовательно, если компания нацелена на повышение акционерной стоимости и менеджмент рассматривает сделку по слиянию как один из возможных способов реализации стратегии компании, то необходимо уделить особое внимание процессу управления рисками сделки М&А.

В управлении рисками процесса слияний и поглощений специфичны сами риски, а управлять ими можно при помощи универсальной международной методики КО/ШС 31010:2009, которая принята за основополагающий стандарт риск-менеджмента. Ясное понимание рисков, возникающих на всех этапах сделки слияния и поглощения, и способов их устранения или

минимизации помогает менеджменту принимать взвешенные решения относительно жизнеспособности покупаемого актива в рамках существующей компании и обоснованности цены этого актива, которую собирается выплатить покупатель.

Согласно международному стандарту ISO/ IEC 31010:2009, управление рисками представляет собой циклический процесс, состоящий из пяти этапов: идентификации, оценки, анализа, документации и мониторинга рисков (рис. 1).

Процесс )Т1равления рисками

Анализ рисков Ч_/

1. На этапе идентификации рисков команда, вовлечённая в сделку M&A (в неё могут входить как представители компании-покупателя, так и привлечённые консультанты):

а) определяет элементы риска;

б) составляет исчерпывающий список рисков, которые могут возникнуть в процессе подготовки и проведения сделки, а также на завершающем этапе после слияния;

в) описывает каждый элемент риска совместно с причинами его возникновения и возможными последствиями.

Идентификация рисков проводится:

— на основе имеющихся данных о рисках (например, база рисков из предыдущих проектов по интеграции компаний); мозгового штурма проектной команды;

— опроса экспертов из разных областей, которые могут дать своё суждение по поводу отдельных моментов сделки (иногда используется термин «метод Дельфи»);

— индуктивных методов (например, HAZOP -Hazard and operability study — анализ опасностей и внештатных ситуаций).

На каждый идентифицированный риск составляется паспорт со следующими категориями:

• статус (если риск относится не ко всему процессу, а только к его части, например, на стадии интеграции);

• фаза проекта (разработка стратегии приобретения, прединвестиционный анализ (due diligence), осуществление сделки, интеграция, реализация);

• функциональная зона (на какую область проекта влияет риск);

• причина или источник;

• вероятность возникновения в процентах;

• воздействие риска в случае его возникновения в денежном выражении;

• лицо, ответственное за контроль над данным риском [1].

2. Этап анализа рисков посвящён изучению информации. Данный этап даёт представление о том, какой метод выбрать для оценки риска, каковы его уровень и наиболее эффективная стратегия управления этим риском. На данном этапе определяется вероятность наступления рискового события и возможные последствия, изучаются причины опасных событий, их положительные и отрицательные последствия. На основе имеющегося опыта предстоит выбрать самые оптимальные методы управления рисками.

Анализ риска включает определение интервала возможных потерь и соответствующих вероятностей. Когда потери некритичны или вероятность их возникновения слишком мала, может быть достаточно изучить лишь один параметр. При вероятности возникновения более 90% риск изначально должен учитываться как проблема, и затраты на её решение должны входить в стоимость проекта.

3. Этап оценки рисков заключается в составлении матрицы, которая классифицирует их по степени воздействия и вероятности возникновения. На данном этапе оценка может осуществляться при помощи качественных или количественных методов. Использование качественных методов позволяет выявить рис-

ки проекта M&A, их источники и величину гипотетических убытков. Под качественными обычно понимают методы экспертных оценок, например: заполнение вопросных листов, SWOT-анализ (Strength, Weakness, Opportunities, Threats — анализ преимуществ, слабых сторон, возможностей и угроз), метод Дельфи, роза и спираль рисков.

Ранжирование рисков осуществляется на основе вероятности их возникновения и воздействия на проект по стоимости и срокам. Для оценки вероятности и степени воздействия проводится опрос группы экспертов, которые определяют риск, исходя из своего профессионального мнения и опыта. При наличии используется информация о степени рисков из прошлых проектов. Строится матрица оценки вероятностных воздействий риска, в которой (табл. 1):

• слева для каждой строки прописываются интервалы вероятностей, причём все риски с шансом реализации выше 90% не включаются в матрицу, а идут напрямую в смету проекта;

• сверху для столбцов указывается возможная степень воздействия риска на стоимость и сроки проекта;

• риску автоматически присваивается уровень от очень низкого до очень высокого, как только становится возможным определить его вероятность и степень воздействия.

Количественная оценка проводится на основе качественной приоритезации самых опасных рисков. Количественные методы основаны на математической статистике и гораздо точнее оценивают риски, но требуют существенных затрат времени. Среди количественных часто применяют метод расчёта средней величины риска, интервальный анализ, сценарный анализ, имитационное моделирование (метод Монте-Карло), стресс-тестирование.

Одним из простых методов количественной оценки является метод расчёта средней величины риска при использовании минимального,

Матрица вероятностных воздействий риска

Увеличение затрат / сроков

Увеличение затрат ^ > 25% 10% -25% 3% -10% 1% — 3% < 1%

Увеличение сроков ^ Более 52 недель 16 — 52 недели 4 — 16 недель 1 — 4 недели Менее 1 недели

Шкала 5 4 3 2 1

70% — 90% 5 Очень высокая Высокая Высокая Средняя Низкая

40% — 70% 4 Высокая Высокая Средняя Средняя Низкая

20% — 40% 3 Высокая Средняя Средняя Низкая Низкая

5% — 20% 2 Средняя Средняя Низкая Низкая Низкая

максимального и ожидаемого воздействий на стоимость или сроки проекта.

Стоимость рнека = Вероятность * Мах Ч-

Многие риски оказывают влияние одновременно на издержки проекта M&A и на его сроки. Воздействие на сроки также имеет стоимостное выражение, например: дополнительные процентные расходы, неполученная выручка из-за задержек в производстве, расходы на своевременно не сокращённый персонал. Команда, вовлечённая в разработку стратегии слияния и поглощения, может рассчитать увеличение затрат в результате задержки на единицу времени, например, на неделю, и определить стоимостное воздействие рисков на сроки проекта. Финальный шаг — проведение анализа чувствительности при изменении ключевых параметров сделки.

Метод Монте-Карло позволяет определить общее воздействие на проект стоимостных и временных рисков. Анализ данным методом проводится квалифицированным специалистом и состоит из трёх этапов:

• оценка количественной величины вероятности, степени воздействия рисков на стоимость и сроки;

• выбор типа распределения в соответствии с природой анализируемого риска;

• симуляция воздействия общего риска на стоимость и сроки проекта.

Результат симуляции — общая стоимость принятых, переданных и разделённых между участниками сделки рисков.

4. На этапе управления риском ответственное лицо или риск-менеджер назначает каждому типу рисков свой метод управления для ограничения потерь от негативных изменений в проекте и для извлечения выгод от положительных изменений факторов.

Существуют четыре основных метода управления рисками.

• Принятие риска: проектная команда считает, что наиболее эффективный способ управления — это ничего не предпринимать. Обычно принимаются риски с малой вероятностью реализации.

• Снижение риска представляет собой внедрение плана мероприятий по уменьшению вероятности его возникновения либо по снижению негативных последствий. Риск принимается, но при этом осуществляется активное управление им. Обычно в такую категорию попадают риски со средней и высокой вероятностью реализации и с высокой степенью воздействия на проект.

• Передача риска акционерам компании-приобретателя (полностью или частично) с помощью различных инструментов, например, выплаты акционерам компании-мишени (поглощаемой компании) по результатам сделки (earn-out payments), права на дополнительные выплаты по результатам сделки (contingent value

rights). Контрагент потребует премию за переданный риск.

• Отказ от риска — уклонение от выполнения действий, которые могут привести к вероятности возникновения риска. Данный метод используется, когда риск очень высок и не оправдывает возможных выгод.

Пример управления основными рисками, сопутствующими процессу слияний и поглощений, представлен в табл. 2. Риски разбиты по этапам сделки, каждому риску назначена степень влияния, вероятность и общая степень, определённая как произведение степени влияния и вероятности. Для каждого риска указан способ управления. Каждый риск имеет свою шкалу в зависимости от степени:

• группа высшего риска, которая требует максимального сосредоточения ресурсов по управлению; обработка рисков этой группы необходима, сколь бы ни были высоки затраты на её осуществление;

• группа высокого риска также требует усиленного внимания проектной команды;

• группа средних рисков включает риски со средними шансами реализации, затраты на управление рисками этой группы и последствия наступления рисков соотносятся по принципу «издержек — выгод»;

• группа низких рисков объединяет риски, вероятность возникновения и масштаб потерь которых сопоставимо мал по сравнению со стоимостью сделки, управление рисками данной группы проводится избранно;

• низшая группа — степень риска настолько мала, что им можно пренебречь.

5. Заключительный этап включает документирование рисков, мониторинг и контроль. Мониторинг подразумевает также внесение изменений и обновление базы рисков: идентификацию новых угроз или изменение характеристик существующих рисков.

Далее процесс риск-менеджмента вступает в новый цикл.

Применение настоящей методики позволит команде, ответственной за проведение сделки и интеграцию актива поглощения, минимизировать риск снижения акционерной стоимости компании-покупателя после проведения сделки по слиянию и поглощению в результате реализации обычных рисков сделки M&A и создать необходимые финансовые, временные и трудовые резервы для управления рисками проекта. Использование данной методики позволяет идентифицировать, анализировать, оценивать риски, выбирать наиболее эффективные методы управления, документировать базу знаний. Появляется возможность определить допустимый риск проекта M&A, исследовать его экономическую эффективность, разработать план по усовершенствованию проекта и по действиям в случае возникновения неблагоприятных событий.

Матрица типовых рисков проекта М&А

Этап Риск Влияние Вероятность Степень риска Управление риском

i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Стратегия М&А не соответствует общей стратегии компании Высокое Низкая Средняя Отказ от риска: отказ от сделки, поиск других способов достижения стратегических целей компании (органический рост, совместные предприятия и т.п.)

ей 1- Изменения на рынке и в покупательских предпочтениях не находят отражения в соответствующих изменениях стратегии М&А Высокое Низкая Средняя Снижение риска: проведение детального анализа рынка покупательского рынка и наложение выводов на стратегию М&А

¡3 го 1-о ю го Отсутствует эффективное управление ожиданиями фондового рынка и инвесторов Среднее Низкая Низкая Снижение риска: построение плана взаимодействий с инвесторами

И го О. Стратегия слияний и поглощений не учитывает плюсов и минусов вертикальной/горизонтальной экспансии Высокое Низкая Средняя Передача риска: привлечение специалистов стратегического консалтинга в области интеграции

Изменения в законодательной и нормативной базе не находят отражения в соответствующих изменениях стратегии М&А Среднее Средняя Средняя Принятие риска: обновление стратегического плана в соответствии с изменившимися обстоятельствами

Неполный базовый список возможностей Среднее Низкая Низкая Снижение риска: привлечение экспертов в области реорганизации предприятий, идентификация дополнительных возможностей

к I Ф Ё ю Неучастие высшего руководства в создании фильтров Среднее Низкая Низкая Отказ от риска: если руководство не участвует в мониторинге процесса М&А — это знак, что оно не имеет ясного стратегического плана развития компании

о с к ц С! Акцент на отдельно взятых сделках без рассмотрения портфелей возможностей Низкое Низкая Очень низкая Принятие риска: если сделка укладывается в стратегию М&А, то она уже рассмотрена на предмет синергии с существующим бизнесом

Значительные культурные различия Среднее Средняя Средняя Снижение риска: финансовое стимулирование менеджмента компании-мишени для проведения гладкой интеграции

Неэффективное управление интеллектуальной собственностью со стороны объекта приобретения Среднее Средняя Средняя Снижение риска: внедрение собственной системы управления интеллектуальной собственностью

со X с го X го >х л X X Неэффективное управление обязательствами и судебными разбирательствами со стороны объекта приобретения Высокое Средняя Высокая Снижение риска: внедрение собственной системы управления финансовыми и юридическими обязательствами

^ X 1- о а) ш X л ч а) ср с Неизвестные нарушения антимонопольного законодательства, закона о борьбе с коррупцией во внешнеэкономической деятельности и/или регулятивных требований Среднее Низкая Низкая Снижение риска: тщательный анализ всевозможных открытых и, по возможности, закрытых источников информации

Неустановленные долговые обязательства и/или финансовые последствия их невыполнения Низкое Низкая Очень низкая Снижение риска: общение с крупнейшими должниками / кредиторами объекта приобретения, согласование условий погашения обязательств

Несовместимость финансовых/ юридических структур приобретающей компании и объекта приобретения Низкое Низкая Очень низкая Принятие риска: упразднение соответствующих подразделений объекта поглощения в случае реализации риска

Сложные налоговые вопросы (ожидаемые налоговые льготы, риск изменения законодательства о налогах и сборах, налоговые режимы для операций, охватывающих различные юрисдикции, и оптимизация формы юридического лица) Высокое Высокая Очень высокая Разделение риска: структурирование сделки с использованием опционных инструментов (дополнительная выплата акционерам компании-мишени зависят от результатов интеграции / реального состояния активов)

S Несовместимость и сложность структур управления, юридических и организационных структур внутри организаций Среднее Средняя Средняя Снижение риска: внесение дополнений в план интеграции

0 s 1 ц CD S3 а) 3 О Вопросы управления задолженностью, капиталом и ликвидностью для обеих сторон Среднее Низкая Низкая Разделение риска: структурирование сделки с использованием опционных инструментов (дополнительная выплата акционерам компании-мишени зависят от результатов интеграции / реального состояния активов)

Недостатки и несоответствия процедур контроля в двух организациях Среднее Низкая Низкая Снижение риска: разработка новых процедур контроля с включением лучших практик из обеих предшествующих методик контроля в случае реализации риска

Нестабильность рыночной ситуации в момент заключения сделки Высокое Низкая Средняя Разделение риска: структурирование сделки с использованием опционных инструментов (дополнительная выплата акционерам компании-мишени зависят от результатов интеграции / реального состояния активов)

Различные стандарты финансовой отчетности Среднее Низкая Низкая Снижение риска: приведение стандартов к соответствующим требованиям силами внешних финансовых консультантов в случае реализации риска

Дублирующиеся контракты с поставщиками Среднее Высокая Высокая Снижение риска: составление списка дублирующихся договоров, взаимодействие с поставщиками

тс J Невозможность взаимной интеграции технологической инфраструктуры Среднее Высокая Высокая Передача риска: привлечение специалистов по ^-интеграции на ранней стадии планирования сделки

а) 1-X S Неэффективная среда контроля Низкое Средняя Низкая Снижение риска: команда по интеграции проводит мониторинг, выявляет и устраняет причины, препятствующие осуществлению контроля по факту возникновения риска

Избыточные и/или не до конца определённые полномочия и обязанности Низкое Высокая Средняя Снижение риска: команда по интеграции определяет новую структуру управления приобретенным активом, если такой элемент изначально не присутствовал в плане интеграции и риск возник

Неспособность к выявлению и выполнению законодательных и нормативных требований Низкое Низкая Очень низкая Снижение риска: пересмотр системы мониторинга за соблюдением законодательства в приобретаемом активе в случае реализации риска

Источник: анализ автора на основе [5].

1. Ashley D et al. Guide to Risk Assessment and Allocation for Highway Construction Management // U.S. Department of Transportation. 2006. 73 p. Режим доступа: international.fhwa.dot.gov/riskassess/pl06032. pdf (дата обращения 21 декабря 2014 г.).

2. Deal advisory M&A predictor // KPMG. February 2015. 7 p. Режим доступа: http://www.kpmg.com/SG/en/ IssuesAndInsights/ArticlesPublications/Documents/Advisory-MA-KPMG-MA-Predictor-Feb-2015.pdf (дата обращения 21 марта 2015 г.).

3. International standard IEC/FDIS 31010. // ISO. 2009. 74 p. Режим доступа: http://www.iso.org/ iso/ru/ catalogue_detail?csnumber=51073 (дата обращения 21 декабря 2014 г.).

4. Kengelbach J et al. Divide and Conquer. How successful M&A deals split the synergies. // Boston Consulting Group. 2013. 18 p. Режим доступа: www.bcg.de/documents/file130658.pdf (дата обращения 21 декабря 2014 г.).

5. Сделки по слиянию и поглощению на рынке с повышенными рисками: Проблемы и возможности для предприятий нефтегазовой отрасли // Делойт. 2011. — 9 с. Режим доступа: http://www2.deloitte.com/ content/ dam/Deloitte/ru/Documents/energy-resources/RU_CIS-0il-and-Gas-Industry-Expertise-with-Energy_2012.pdf (дата обращения 21 декабря 2014 г.).

Вердиев Дмитрий Олегович — аспирант кафедры международных финансов МГИМО (У) МИД РФ. Email: verdiev@list.ru.

RISK MANAGEMENT IN MERGERS AND ACQUISITIONS

Moscow State Institute of International Relations (University), 76 Prospect Vernadskogo, Moscow, 119454, Russia

Abstract: M&A statistics show that less than a third of newly merged companies has realized their planned synergistic effects and increased shareholder value. According to the author, such disgusting situation is due to improper planning and failure of corporate management to understand the importance of risk management in M&A. Lack of practice in identification, evaluation, mitigation and regular monitoring of risks leads to the situation when many companies merge despite the fact that the merger bears substantial risks. Corporate management fails to include risk mitigation expenses in merger costs. In many cases, risk mitigation expenses may be so substantive that the merger loses its attractiveness. Only few companies implement risk management methodology while planning M&A activity. This methodology may anticipate and minimize the consequences of various risk factors that negatively influence integration process. The article suggests an implementation of risk management best practice. This risk management best practice may act as an effective tool of successful realization of synergistic effects in M&A and may be helpful in increasing shareholder value in post-merger period. Risk management is conducted throughout the stages of merger and includes identification, analysis, assessment, management and monitoring of risks. Implementation of risk management at early stages of merger planning significantly decreases uncertainty in relation to achievement of financial and operational goals of newly merged company. The article provides with typical M&A risk matrix that may be adapted for specific M&A project. Risk matrix includes a register of risks sorted by stages of M&A deal, quality assessment of their probability, influence and impact on merger as well as risk mitigation methods.

Key words: risk management, M&A risks, mergers and acquisitions, corporate risks.

1. Ashley D et al. Guide to Risk Assessment and Allocation for Highway Construction Management. U.S. Department ofTransportation. 2006. 73 р. URL: international.fhwa.dot.gov/riskassess/pl06032.pdf (accessed 21 December 2014).

2. Deal advisory M&A predictor // KPMG. February 2015. 7 р. URL: http://www.kpmg.com/SG/en/IssuesAndInsights/ ArticlesPublications/Documents/Advisory-MA-KPMG-MA-Predictor-Feb-2015.pdf (accessed 21 March 2015).

3. International standard IEC/FDIS 31010. ISO. 2009. 74 р. URL: http://www.iso.org/iso/ru/catalogue_ detail?csnumber=51073 (accessed 21 December 2014).

4. Kengelbach J et al. Divide and Conquer. How successful M&A deals split the synergies. Boston Consulting Group. 2013. 18 р. URL: www.bcg.de/documents/file130658.pdf (accessed 21 December 2014).

5. Sdelki po sliyaniyu i pogloscheniyu na rynke c povyshennymi riskami: Problemy i vozmozhnosti dlya predpriyatiy neftegazovoy otrasli [M&A on risky market: Issues and solutions for oil and gas companies]. Deloitte. 2011. 9 р. URL: http://www2.deloitte.com/content/dam/Deloitte/ru/Documents/energy-resources/ RU_CIS-0il-and-Gas-Industry-Expertise-with-Energy_2012.pdf (accessed 21 December 2014).

About the author

Dmitry O. Verdiev — PhD student in Economics, Department of International Finance, Moscow State Institute of International Relations (University). Email: verdiev@list.ru.

Управление рисками в проекте: что это, как оценить

Управление рисками в проекте: что это, как оценить

Проект — это уникальное временное предприятие, направленное на достижение определенной цели. Проекты бывают разными по характеру, сфере, масштабу и сложности, но у всех есть одно общее – они сопровождаются рисками. Риски — это непредусмотренные события, которые могут повлиять на проект хорошо или плохо. Они могут возникать на любом этапе и по разным причинам: перемены в требованиях, недочеты и промахи в планировании, недостаток средств, проблемы и конфликты в команде, внешние факторы и т.д. Риски могут привести к увеличению сроков и бюджета проекта, снижению качества и удовлетворенности заказчика, а в худшем случае — к провалу. Как же избежать или снизить негативные последствия рисков? Нужно разбираться в управлении рисками.

В статье расскажем, что такое риски проекта, какие их виды существуют, как их найти и оценить, какие стратегии менеджмента можно использовать.

Что такое риски проекта?

Что такое риски проекта?

Риски проекта — это неопределенные события, которые могут иметь позитивный или негативный эффект на одну или несколько целей проекта (сроки, бюджет, производительность, результаты). Они характеризуются двумя параметрами: вероятностью (probability) и последствием (impact). Вероятность — это шанс того, что риск случится. Последствие — это величина ущерба или выгоды от угрозы или возможности для проекта.

  • негативный: клиент может изменить требования к проекту в середине его выполнения. Вероятность: 40%. Последствие: увеличение сроков на 2 месяца и стоимости на 10%;
  • положительный: команда может найти более эффективный способ выполнения задачи. Вероятность: 20%. Последствие: сокращение сроков на 1 месяц и стоимости на 5%.

Классификация рисков

Классификация рисков

Риски можно классифицировать по разным критериям. Одним из наиболее часто применяемых способов является их деление на внутренние и внешние.

Внутренние риски появляются внутри проекта и зависят от действий команды или исполнителей. Их можно контролировать и управлять ими с помощью проектного менеджмента. В качестве таких возможных проблем можно привести:

  • недостаток квалифицированного персонала в компании;
  • низкая мотивация и вовлеченность команды;
  • ошибки в планировании и исполнении проекта;
  • проблемы и конфликты в команде или с заинтересованными сторонами, ошибки в договоре.

Внешние риски возникают за пределами проекта и не зависят от действий команды, заказчика или исполнителей. Их сложно или даже невозможно контролировать, поэтому нужно учитывать их при планировании и можно готовиться к ним заранее. В качестве таких проблем можно привести:

  • изменения в законодательстве, нормативах или других документах;
  • социально-политические проблемы, военные конфликты;
  • естественные катастрофы, пандемии;
  • конкуренция;
  • технологические инновации или сбои.

Что значит управление рисками?

Что значит управление рисками?

Управление рисками — это процесс идентификации, анализа, оценки, планирования, реализации и контроля действий по угрозам проблем в проекте. Оно может быть направлено на то, чтобы, например:

  • свести к минимуму вероятность и последствия негативных рисков (угроз, проблем);
  • максимизировать вероятность и последствия положительных рисков (возможностей);
  • сохранить высокий уровень неопределенности в проекте;
  • достичь целей в рамках данных ограничений.

Риск-менеджмент должен проводиться на протяжении всего жизненного цикла проекта. Руководство рисками требует систематического подхода, основанного на стандартах, методологиях и лучших практиках. Оно требует участия всех заинтересованных лиц: заказчика, исполнителей, команды, спонсоров, поставщиков, пользователей и т.д.

Как найти риски проекта и оценить их?

Как найти риски проекта и оценить их?

Чтобы найти риски проекта, нужно провести важный процесс идентификации рисков. Это работа по определению всех возможных событий, которые могут повлиять на проект. Она обязана быть полной и всесторонней, чтобы не пропустить ни одного существенного риска.

Для идентификации рисков вы можете использовать разные методы и инструменты, например:

  • анализ материалов и документов (план, бюджет, контракт, характеристики, требования и т.д.);
  • мозговой штурм (групповая дискуссия по генерации идей рисков);
  • SWOT-анализ (определение сильных и слабых сторон, возможностей и угроз проблем);
  • диаграмма Исикавы (выявление причин и следствий рисков);
  • анализ чувствительности (оценка влияния изменения одного параметра на другие);
  • анализ сценариев (моделирование различных вариантов развития событий);
  • анализ дерева решений (построение логической схемы выбора оптимального решения для каждого нового события);
  • опрос экспертов (получение мнения специалистов о событиях);
  • чек-листы (проверка наличия типичных рисков по категориям).

После того, как риски найдены, нужно провести процесс их оценки. Оценка рисков — это работа по определению вероятности и последствия каждого риска. Она помогает приоритизировать риски и выбрать наиболее подходящие алгоритмы менеджмента.

Всесторонний подход к анализу помогает определить возможные риски, которые могут появиться на любом этапе проекта. Подход может включать как качественный, так и количественный анализ. Например:

  • Качественный анализ помогает найти вероятность риска и степень его влияния на проект. На основе этого анализа может быть составлен перечень рискованных ситуаций, которые могут потенциально возникнуть в ходе проведения работы над проектом.
  • Количественный анализ позволяет численно оценить, насколько высока вероятность наступления риска и каково его влияние. Это помогает выяснить, какие риски и события требуют большого внимания и предусмотрительных мер.

Важно создать перечень рискованных ситуаций, разделить их по силе и количеству последствий и разработать стратегии управления рисками. Это позволит грамотно распределить ресурсы и принять меры для уменьшения воздействия риска.

Нахождение и оценка рисков проекта являются критическими аспектами менеджмента. Внимательное изучение потенциальных рисков и разработка алгоритмов их контроля помогут обеспечить успешную реализацию проекта.

Зачем управлять рисками?

Зачем управлять рисками?

Управление рисками имеет множество преимуществ для проекта и его заинтересованных сторон. Оно может помочь, например:

  • повысить вероятность успеха проекта;
  • снизить неопределенность и неожиданности;
  • улучшить качество и результаты;
  • оптимизировать сроки и стоимость;
  • увеличить удовлетворенность и доверие клиента;
  • укрепить репутацию и конкурентоспособность компании;
  • развить компетенции и навыки команды.

Управление рисками является обязательным требованием для многих стандартов качества и сертификаций, таких как ISO 9001, ISO 31000, PMBOK, PRINCE2 и т.д.

Стратегии управления рисками

Стратегии управления рисками

Стратегии управления рисками — это способы реагировать на риски, позволяющие снизить их влияние. Они зависят от того, является ли риск позитивным или негативным, а также от его приоритета. Существуют несколько основных вариантов реагирования на риски, например:

  • Избегание (avoidance) — принятие мер по устранению или предотвращению возможного риска. Например, изменение плана, выбор другого поставщика, отказ от проекта.
  • Снижение (mitigation) — принятие мер и проведение мероприятий по снижению вероятности или последствия риска. К ним относится, например, осуществление дополнительных тестов, обучение персонала компании, заключение страхового полиса.
  • Передача (transfer) — передача ответственности или части ущерба от риска другой стороне. Пример: делегирование задачи подрядчику, перенос сроков, продажа акций.
  • Принятие (acceptance) — осознанное согласие на наличие риска и его возможные последствия. Под этим подразумевается, например, создание резерва времени или денег, разработка нового плана (Б), простое наблюдение за риском.
  • Использование (exploit) — увеличение вероятности или последствия возможности. Пример: аллокация дополнительных ресурсов, внедрение инноваций, расширение сферы работы или бизнеса.
  • Усиление (enhance) — поддержание или повышение вероятности или последствия возможности. Например, мотивация команды, сотрудничество с партнерами, мониторинг возможностей.
  • Разделение (share) — разделение ответственности или части выгоды от возможности с другой стороной: создание совместного предприятия, формирование консорциума, участие в тендере.
  • Отказ (reject) — отказ от признания или использования возможности. Например, игнорирование возможности, консерватизм в принятии решений, ограничение области проекта.

Выбор стратегии управления рисками может зависеть от многих факторов: цели проекта, доступные технические, финансовые и человеческие ресурсы, ожидания заинтересованных лиц и т.д. Он должен быть обоснован и задокументирован в плане.

Этапы управления рисками

Этапы управления рисками

Риск-менеджмент может состоять из нескольких важных этапов работы, которые выполняются в течение всего жизненного цикла проекта.

Планирование

Определяются цели, принципы, методы и инструменты руководства рисками в проекте. Выбираются роли и обязанности участников риск-менеджмента, критерии оценки и приоритизации рисков. Итогом этой важной стадии работы может быть план управления рисками, являющийся частью плана проекта.

Идентификация

Выявляются все возможные риски проекта с помощью различных методов и инструментов. Определяются источники, причины, характеристики и категории возможных рисков. Команда проводит анализ и оценку потенциальных угроз и проблем, которые могут возникнуть на любом этапе, включая внутренние, связанные с неправильным выполнением задач командой или запаздыванием сроков, и внешние, возникающие из-за факторов, находящихся вне компетенции команды. Итогом этого этапа работы может быть реестр рисков, который содержит список всех идентифицированных угроз и проблем с их описанием. Его нужно использовать в дальнейшем.

Анализ и оценка рисков

Определяются вероятность и последствие каждого нового риска, при этом используются качественные или количественные методы. Определяются приоритеты рисков и уровень их влияния на проект. Осуществляется средняя оценка вероятности наступления каждого риска и степени их влияния на проект. Обычно руководитель и его команда составляют и используют матрицу, куда вносят риски. Она позволяет выбрать приоритеты и спланировать дальнейшее руководство. Итогом этой стадии работы может быть оценка рисков, которая содержит данные об ожидаемой величине ущерба или выгоды от каждого риска.

Планирование реакции

Выбираются наиболее подходящие стратегии управления рисками и разрабатываются конкретные действия по каждому новому риску. Определяются ответственные за проведение всего объема работ по рискам, необходимые ресурсы и сроки. Итогом этого этапа может быть план реакции, который содержит информацию о том, как управлять каждым риском в проекте.

Мониторинг и управление

Осуществляется наблюдение за состоянием рисков и контроль за выполнением деятельности по ним. Проводится работа по анализу эффективности риск-менеджмента и внесение корректировок в планы по необходимости. Итогом этого этапа работы может быть отчет о рисках, содержащий информацию о том, какие риски произошли или не произошли, какие задачи были выполнены или не выполнены, какие результаты были достигнуты или не достигнуты.

Кто занимается риск-менеджментом в компании?

Кто занимается риск-менеджментом в компании?

В зависимости от размера, структуры и специфики компании, могут быть разные ответы на этот вопрос. Однако можно выделить несколько основных групп людей, которые принимают участие в процессе руководства рисками:

  • Руководство компании: определяет стратегические цели и направления компании, формирует политику и культуру управления рисками. Руководство также несет ответственность за обеспечение ресурсов и поддержки процесса управления рисками.
  • Менеджеры по рискам: специализируются на руководстве рисками, координируют и отслеживают процесс риск-менеджмента в компании. Они консультируют и работают над обучением других участников процесса управления рисками в компании, анализируют и отчитываются о результатах контроля рисков.
  • Проектные менеджеры: отвечают за планирование и исполнение проектов в компании, а также за руководство рисками в проектных рамках. Они обсуждают с заказчиками, исполнителями и другими заинтересованными лицами вопросы рисков.
  • Проектная команда: непосредственно выполняет задачи в компании и влияет на риски, принимает участие в идентификации, анализе, оценке и реализации решений по рискам.
  • Заинтересованные лица: имеют интерес или влияние на проект или компанию, подвержены воздействию рисков. Могут быть внутренними (сотрудники, акционеры, партнеры компании) или внешними (клиенты, поставщики, конкуренты, государство). Работают над согласованием по вопросам рисков, принимают участие в коммуникации.

Как начать работать менеджером по рискам?

Как начать работать менеджером по рискам?

Менеджер по рискам — это специалист, занимающийся руководством рисками в различных сферах работы компании. Он должен обладать следующими знаниями и навыками:

  • знание основ теории и практики управления рисками;
  • стандартов работ, бизнес-методологий и инструментов;
  • специфики сферы работы компании, в которой используется руководство рисками;
  • умение проводить анализ и оценку рисков;
  • разрабатывать и реализовывать алгоритмы руководства рисками;
  • высокий уровень коммуникации, умение сотрудничать с разными заинтересованными лицами в компании или бизнесе;
  • принимать обоснованные и своевременные решения;
  • хорошо работать в команде и быть лидером;
  • обучаться, развиваться, работать над своими компетенциями.

Чтобы устроиться на работу менеджером по рискам, нужно пройти следующие шаги:

  • получить образование по специальности управление рисками или смежной сфере (экономика, финансы, менеджмент, математика и т.д.);
  • пройти курсы или программы повышения квалификации по управлению рисками;
  • получить сертификаты или дипломы от международных или национальных компаний по управлению рисками (например, PMI-RMP, CRISC, ISO 31000 и т.д.);
  • найти работу или стажировку на время в организации, которая нуждается в таких специалистах;
  • не жалеть времени на накопление опыта и практических навыков в разных проектах, компаниях и ситуациях;
  • заниматься самообразованием: смотреть обучающие видео, читать статьи, чтобы знать и понимать как можно больше;
  • развивать уровень своих компетенций и делать карьеру в этой области.

Если вы решили стать менеджером по рискам, мы можем вам помочь. Мы предлагаем вам курсы профессиональной переподготовки по менеджменту, которые дают вам возможность получить необходимые знания и навыки по управлению рисками, а также другим аспектам менеджмента за короткое время. Наши курсы включают теоретические и практические занятия, а также подготовку к сдаче экзаменов на сертификаты по управлению рисками. Вы сможете найти работу сразу после прохождения программ обучения.

Строим карту рисков: количественные и качественные оценки

Оценка рисков — это весы, на одной чаше которых затраты на защиту, на другой — потери от отсутствия защиты. Однако весы бывают разные. Они могут отличаться, например, механизмом работы, точностью, стоимостью, максимальным весом. Методы оценки рисков условно можно разделить на два больших класса: количественные и качественные. В информационной безопасности, как и в случае с весами, ответ на вопрос о выборе метода определяется результатом, который нужен в конкретной задаче.

Количественный анализ позволяет оценить убытки, которые организация, вероятно, понесет. В основе оценки чаще всего лежит расчет ожидаемых за год потерь (ALE, Annual Loss Expectancy), который определяется умножением частоты срабатывания риска (ARO, Annualized Rate of Occurrence) на средние потери от одного срабатывания риска (SLE, Single Loss Expectancy). Обычно это весьма глубокий анализ, иначе оценки будут неточными.

Качественная оценка представляет собой упрощенный вариант количественной оценки, при котором количественные вычисления и параметры заменяются на экспертную оценку качественных категорий. Например, «очень вероятно» / «средняя вероятность» / «маловероятно», «очень опасно» / «средняя опасность» / «не опасно». Это позволяет проводить ее на более высоком (менее детализированном) уровне, чем количественную оценку.

Hiс sunt dracones

(«здесь живут драконы», обозначение неизученной территории)

Попытки решить глобальную задачу исключительно с помощью одного или другого подхода могут иметь высокий риск получения неудовлетворительного результата по нескольким причинам.

Во-первых, в общем случае оценить ALE необходимо в отношении каждого сценария, который выглядит примерно следующим образом: нарушитель с определенными возможностями H может использовать некоторый набор уязвимостей V, чтобы на каждом из этапов атаки реализовать угрозы T, что приведет к ущербам R для активов A. Составить полный перечень пересечений и оценить каждый из параметров может быть весьма трудоемко.

Во-вторых, кроме анализа возможных сценариев атак понадобится детальная финансовая модель организации, связывающая активы и процессы. Сколько стоят репутация и интеллектуальная собственность, как на них влияют отдельные инциденты, как изменится поведение потребителей, сколько стоят простои, на сколько отложатся проекты по развитию и чем это грозит, как учесть «черных лебедей» (риски, которые срабатывают редко, но несут огромный ущерб)? Кроме того, немаловажный вопрос в источнике данных для анализа. Если смотреть на историю организации, то не всегда инциденты можно просто обнаружить и сопоставить с косвенным ущербом. Количественный анализ — это большой набор частных методов, для реализации которых могут требоваться отдельные специфические исследования.

Качественный анализ может показаться несколько более простым. В ряде случаев это адекватное упрощение, но есть риск, что обоснованность следующих из такой оценки решений может оказаться под вопросом. Главным образом вопрос в сложности перехода от качественных показателей к принятию решений, для которых нужно соизмерять затраты с эффектом.

Optimus princeps

(«лучший правитель»)

В современном мире гибкость и адаптивность играют большую роль во всех областях деятельности. Информационная безопасность — не исключение. Представим, что перед нами карта государства. С чего начать? У нас есть стратеги, специалисты по тактическим маневрам, профессиональные диверсанты, разведчики, инженеры, строители укреплений и другие полезные помощники, т. е. у нас есть большой арсенал методов решения частных задач. Вопрос заключается в определении списка и последовательности этих задач. Не исключено, кстати, что список получится весьма коротким.

Для начала нужно поработать с картой и нанести на нее ценные объекты. Что является «too big to fail»? При необходимости здесь можно провести идентификацию активов, «обзорные» обследования и частные расчеты. Далее интересуют узкие места, которыми, вероятно, воспользуется противник. Опять же это набор локальных исследований. Часть этих мест обычно уже известна. Из регулярно публикуемых отчетов по информационной безопасности, в которых приводится статистика по отраслям, можно узнать полезную информацию об уязвимых активах, популярных атаках и величине ущерба. Если объект важен, то можно попросить разведчиков или диверсантов их проверить. Объединить все подобные исследования можно с помощью качественного анализа для составления модели верхнего уровня, цель которой — указать на чем сосредоточиться дальше.

Затем следует более детальная проработка отдельных областей. Она может делаться как качественно, так и количественно. Выбор определяется тем, какой результат позволит решить конкретные задачи. Вариантов существует очень много. В общем случае для количественных вопросов чаще нужны количественные методы, но с учетом двух нюансов. Во-первых, это не касается глобальных задач, т.к. они состоят из локальных. Во-вторых, в ряде случаев ситуацию можно упростить. Например, часть рисков можно проанализировать количественно, а остальные ранжировать качественно. Как и во многих других областях, здесь работает принцип Парето, который в данном случае означает, что, скорее всего, лишь небольшая часть от общего максимально возможного объема работ даст основной результат.

«Неопределенность — это единственное, в чем можно быть уверенными» (Энтони Ма, Citigroup), и новая важная информация может появиться в любой момент. Исходя из новой информации, должны определяться следующие шаги. Где-то понадобится количественный анализ, где-то — качественный. Каждый этап может открывать что-то новое в общей картине и может серьёзно поменять следующий в части выбора методов, которые нужно будет использовать дальше. Поэтому процесс имеет смысл организовать итеративно. Регулярная ограниченная деятельность будет эффективнее редких масштабных кампаний. Если «стоять на месте» значит «двигаться назад», то в постоянно меняющейся среде реестр рисков в совокупности со степенью их проработки — это такой же живой организм, как и сама организация.

Весь процесс может оказаться довольно простым, если сделать превращение неизвестного в известное последовательностью отдельных частных задач вместо повышения уровня абстракции. Количественная и качественная оценки, будучи встроенными в общий арсенал и последовательность действий по управлению информационной безопасностью, дают нужный результат и не являются чрезмерно сложными.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *