Использование Business Intelligence для сокращения операционных рисков

Автор статьи, известный специалист в области Business Intelligence,
показывает, как эти средства могут быть использованы в управлении операционными
рисками: для выявления потенциально опасных событий, обеспечения достоверных
данных, анализа и прогнозирования рисков. В статье также приводится несколько
советов, помогающих усовершенствовать управление операционными рисками.

Операционные риски и их значение для организаций в настоящее время являются одной из актуальных тем для бизнеса. При этом в публикациях на данную тему значительное внимание уделяется механизмам операционных рисков и существенно меньше - тому, как можно уменьшить подобные риски или даже полностью исключить их. Как считает известный американский специалист в области Business Intelligence (BI) Клодия Имхофф (Claudia Imhoff), именно BI является наилучшим механизмом для снижения общих рисков корпоративных операций. Предлагаем читателям краткое изложение ее взглядов.

Прежде всего необходимо определиться с самим понятием операционных рисков. Согласно формулировке Управления контролера денежного обращения Министерства финансов США (Office of the Comptroller of the Currency, сокр. ОСС), операционные риски - это риски потерь, связанные с неадекватными или ошибочными внутренними процессами или системами компании, с неправильными действиями ее сотрудников, а также и с внешними событиями. Данные риски включают невыполнение законов (правовые риски) и невыполнение общепринятых этических стандартов и договорных обязательств. Примерами операционных рисков являются:

• в сфере мошенничества:
  • внутреннее мошенничество: действие, направленное на обман, незаконное завладение собственностью или нарушение законодательства, в котором участвует хотя бы один сотрудник компании;
  • внешнее мошенничество: то же, что внутреннее, но с участием третьей стороны;
• в сфере организации рабочего процесса и безопасности на рабочем месте: действие, несовместимое с работой. Сюда входит выплата исков о возмещении вреда, а также дискриминация на основании каких-либо личных качеств;
• в деятельности, связанной с клиентами, продуктами и бизнесом: случайное или обусловленное халатностью невыполнение обязательств перед определенными клиентами, в том числе относящееся к дизайну продуктов;
• в сфере выполнения бизнес-задач, доставки и управления процессами: невозможность произвести обработку сделок или осуществить надлежащее управление процессами, связанная с действиями торговых партнеров или поставщиков.

Согласно ОСС, факторами, провоцирующими риски, могут служить люди, процессы, технология и даже внешние события. В первом случае (люди) это означает возникновение рисков, связанных с недостатками менеджмента, организационной структурой или другими проблемами в области управления персоналом. Что касается процессов, то этот фактор включает риски, обусловленные нарушением принятых процедур, невозможностью выполнения установленных процессов или неадекватным распределением процессов между бизнес-подразделениями или направлениями бизнеса (сюда входят и проблемы, связанные с IT). Операционные риски также могут быть связаны и с технологической средой. В данном случае они будут обусловлены нарушениями или полным крахом технологий как во внутренних, так и во внешних операциях. Наконец, последний источник операционных рисков - внешние события, такие как опасные явления природы, терроризм и вандализм. Эти события гораздо труднее предвидеть, но в то же время они и случаются намного реже. Очевидно, что операционные риски не связаны ни с каким конкретным бизнес-направлением, типом продуктов или организационным подразделением.

К сожалению, несмотря на то, что операционные риски становятся все более актуальной проблемой, управление ими остается недостаточно развитой областью. Многие организации по-прежнему не знают, как обеспечить руководящий орган, ответственный за операционные риски. И именно здесь очень полезной оказывается технология BI. Как именно она может помочь? Для того чтобы ответить на этот вопрос, необходимо прежде всего понять основные цели, для достижения которых могут использоваться данные средства, а затем оценить, как применить инструменты BI для снижения рисков. Технология BI служит двум основным целям:

• мониторинг финансового и операционного здоровья организации, что представляет картину корпорации как бы "в зеркале заднего вида". Такая картина показывает, что произошло в недавней истории. Это традиционная роль BI. Многие организации используют подобные "запаздывающие" индикаторы для выявления тенденций или особенностей событий прошлого. Например, они весьма полезны при изучении различных обманов;
• регулирование операций организации с помощью предупреждений, извещений, ключевых показателей эффективности и инструментальных панелей, которые создаются в результате анализа операционных потоков данных. Основные индикаторы прогнозной аналитики или управляемых возможностей принятия решений используются для регулирования ситуаций в случае каких-либо нарушений. Именно эти индикаторы представляют основной вклад BI в опережающее управление операционными рисками.

В управлении операционными рисками важно различать часто случающиеся события, имеющие небольшой эффект, и события, происходящие не очень часто, но потенциально способные оказать значительное влияние на бизнес. Первая группа событий включает небольшие бухгалтерские ошибки и ошибки банковских служащих. Они имеют место довольно часто, но не рассматриваются как существенные факторы корпоративных операционных рисков. Они могут быть довольно раздражающим обстоятельством, однако не оказывают разрушительного влияния на общее состояние компании, если только не являются образцом для подражания.

Вторая группа событий - это те обстоятельства, которые должны быть выявлены максимально оперативно. Они включают основные виды мошенничества и признаки финансовых злоупотреблений. Это те самые события, которые привели к краху таких американских компаний, как Enron, WorldCom и HealthSouth. К счастью, подобные события случаются нечасто, поскольку они наносят очень существенный, иногда даже фатальный урон компании.

Трудность состоит в том, чтобы отличить события одного типа от другого. Для того чтобы провести отличие между небольшим отклонением от нормы (незначительные бухгалтерские ошибки) и признаками коррупции (отмывание денег), требуется обладать высококачественными детальными данными. К несчастью для многих организаций, их среда BI включает только средства OLAP или возможности работы с многомерными массивами. Подобные агрегаты, средние значения и/или вторичные элементы данных полезны в идентификации общих тенденций или особенностей, но в то же время они способны давать неправильное представление о том, что же реально происходит в организации. Традиционные подходы иногда слишком упрощают или скрывают важные моменты в данных. Даже методы линейной регрессии могут быть применены неправильно или дать результаты, уводящие в ложном направлении.

Для управления операционными рисками необходимо иметь значительные объемы достоверных данных и соответствующую архитектуру, например, корпоративную информационную фабрику¹, что позволяет планировать хранение и использование данных. Архитектура BI наглядно показывает исходящие и входящие потоки данных в различных компонентах BI, а также их процессное взаимодействие. Она поднимает информацию на уровень корпоративного актива и способствует свободной интеграции, необходимой для повышения качества данных. Подобная архитектура также позволяет многократно использовать одни и те же компоненты, тем самым способствуя снижению стоимости разработки и обеспечению согласованного внедрения средств управления эффективностью бизнеса (ВРМ), мониторинга деловой активности (business activity monitoring, сокр. BAM) и других технологий BI для управления операционными рисками.

Но, хотя корпоративная информационная фабрика и является совершенно необходимой частью любых корпоративных усилий по снижению операционных рисков, ее одной недостаточно. Нужны также передовые аналитические возможности и детальные данные для обеспечения функционирования этих средств. Возможно, наилучшие советчики в области определения наиболее подходящих аналитических инструментов и причинно-следственных моделей - это сами управляющие рисками. После выбора этих средств можно создавать расширенную корпоративную бизнес-аналитику и систему показателей, которые будут использоваться как аналитиками и менеджерами, так и высшими руководителями. Для этого необходимо согласованно использовать соответствующие технологии и архитектуру для управления рисками, финансовые индикаторы и прогнозы. Такой процесс потребует доступа к данным различного типа (поведенческим, финансовым, демографическим и т.д.) и разработки моделей связей, которые обеспечивают получение основных показателей, необходимых для высшего руководства, а также управляющих подразделениями и отделами, и, в результате, для всех работников умственного труда компании.

Технологии для анализа, прогноза и, в конечном итоге, предотвращения операционных рисков весьма различны: от простых до весьма сложных, от "оценок" до более точных показателей. Например, модель для часто случающихся событий, имеющих небольшой эффект, будет иметь распределение, существенно отличающееся от распределения модели для редких, но существенных событий. Возможно, сотрудникам понадобится специальное обучение или переобучение для того, чтобы они могли правильно интерпретировать эти распределения. Самое разумное - отталкиваться от методологии оценки операционных рисков, уже используемой в компании. Необходимо выяснить, какие процессы в компании могут пойти в нежелательном направлении, разработать возможные сценарии, выполнить необходимую аналитику (используя причинно-следственные модели и т.п.), чтобы установить вероятные результаты рисковых событий обоих типов, и после этого определить действия, которые необходимо предпринимать в случае наступления тех или других событий. При этом надо иметь в виду, что бизнесмены могут достаточно скептически относиться к попыткам превращения их мнения в статистические модели. Возможно, понадобится определенная работа по разъяснению сотрудникам возможностей BI, а также по завоеванию их доверия к тому, что данная среда обеспечивает надежные данные и достоверные результаты и является однородной для всей корпорации. Их доверие будет возрастать по мере того, как станет увеличиваться количество корректно предсказанных событий - от неуплат задолженностей по кредиту до природных катастроф.

Итак, с чего же следует начать? Ниже приведены восемь основных действий, которые будут способствовать улучшению управления операционными рисками:

1. необходимо начать с общего определения операционных рисков. Очень важно, чтобы во всей корпорации были приняты общие термины для описания операционных рисков и их показателей. В частности, в этот набор обязательно должны входить определение, способы вычисления и категоризации операционных потерь, а также определение подверженности рискам;
2. разработать детальные планы для контроля основных финансовых систем. Также необходимо создать организационный комитет из высших руководителей для обеспечения сотрудничества и принятия новых подходов во всей корпорации;
3. создать технологическую инфраструктуру на основе проверенной архитектуры для облегчения использования и интеграции данных из различных систем. Один из возможных подходов - организация головного центра интеграции данных и отдельного головного центра аналитики. Затем можно начинать создавать для них соответствующую аналитику (например, возможности прогнозирования и управляемого принятия решений), а также приступать к сбору, организации хранения и обеспечения доступа к метаданным;
4. выявить места, где существуют проблемы с целостностью и качеством данных. В частности, это относится к так называемой "кастомизации" (customization) ключевых систем, т.е. изготовлению их потребительских версий. Во всех ключевых операционных системах необходимо обеспечить адекватные контрольные журналы как для сбора данных, так и для процессов, обеспечивающих этот сбор;
5. стандартизировать технологические аспекты везде, где это возможно. Стандартизация должна включать операционные системы, компоненты BI и все компоненты инфраструктуры. Время решений, "лучших в своем классе" (best of breed), скорее всего, уже прошло;
6. установить систему автоматического уведомления ключевых заинтересованных лиц (высшие руководители, члены правления, бухгалтеры) о потенциальных или реальных событиях, относящихся к операционным рискам. Использование технологий ВАМ или ВРМ вкупе с традиционными компонентами BI и портальными технологиями существенно повысят возможности сокращения операционных рисков;
7. обеспечить взаимодействие IT-проектов и бухгалтерских процессов, что позволит хорошо выявлять все аспекты операционных рисков. В какой области существует вероятность возникновения операционных рисков? Для ответа на этот вопрос необходимо обращать внимание на ключевые показатели, нормальные границы и пороговые значения, относящиеся к такому событию. Необходимо разработать соответствующие ключевые показатели эффективности или другие характеристики на основе этой информации, а также обеспечить полное документирование и публичность данных процессов и процедур. Кроме того, требуется хорошее понимание того, как будут осуществляться политические установки и процедуры. Все это может потребовать создания регулярного внутреннего аудита и проверок;
8. наконец, надо не забывать о культурных и организационных изменениях, которые должны произойти в корпорации. Все сотрудникам необходимо знать о своей роли в снижении операционных рисков: как их распознавать, кому докладывать и какие действия предпринимать. Нужно, чтобы все сотрудники имели доступ к приложениям BI, которые занимаются мониторингом потенциально опасных участков и выявлением потерь. Это не просто приложения для подготовки отчетности; они включают весьма сложные модели. Поэтому сотрудники должны знать, как правильно интерпретировать результаты этих моделей и полученные с их помощью данные.

Заключение

В настоящее время операционные риски, наряду с необходимостью выполнения законодательных требований, являются причиной массовых ревизий в большинстве крупных организаций. К сожалению, до сих пор не сформулированы точные требования ни в той, ни в другой области. Такая неопределенность остается одним из основных препятствий для многих корпораций. С одной стороны, какие-либо действия в настоящий момент, когда еще не определены окончательные правила, в будущем могут поставить компании в положение догоняющего. Поэтому сейчас важно обращать внимание прежде всего на доступность данных, ответственность сотрудников и улучшение управления техническими аспектами. Во всех этих областях весьма велика роль информационных технологий.

Наконец, важно понимать, что интеграция данных - это основная движущая сила любой важной функции управления операционными рисками. Сейчас очень хороший момент для создания интеграционной среды мирового класса. Нужно использовать требования управления операционными рисками для стандартизации корпоративной IT-архитектуры и номенклатуры. Необходимо начать заново затухающие проекты, связанные с качеством данных и управлением данными. Обновление среды BI путем внедрения технологий углубления в данные (data mining), прогнозной аналитики и управляемого принятия решений можно проводить только в том случае, если есть уверенность, что существующие архитектура BI и структуры данных смогут поддерживать эти новые возможности.

[1] Корпоративная информационная фабрика - один из возможных типов архитектуры Хранилища данных. Подробнее см. статью "Основные подходы к архитектуре Хранилищ данных" в №40 Журнала BPM WORLD.

Автор: Клодия Имхофф (Claudia Imhoff)