Файл: Контрольная работа по дисциплине Управление проектными рисками.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 26.10.2023
Просмотров: 96
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Министерство науки и ВЫСШЕГО ОБРАЗОВАНИЯ Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего образования «Уральский государственный экономический университет» (УрГЭУ) |
КОНТРОЛЬНАЯ РАБОТА
по дисциплине «Управление проектными рисками
»
Тема: 2 Вариант
Институт непрерывного и дистанционного образования Направление подготовки 38.03.01 Менеджмент Направленность (профиль) Управление малым бизнесом Кафедра Экономики предприятий Дата защиты: ________________ Оценка: ________________ | | Студент Омонжонова Мадина Зиёвуддин кизи Группа ИДО ЗМ УПР-22 Узб (с) |
Екатеринбург
2022 г.
лючевые слова: концепция GRC, информационная безопасность, деятельность, компания. GRC (Governance, Risk, Compliance) — один из популярных способов управления в среде информативных технологий, который в последнее время все чаще и чаще на устах у иностранных специалистов. По их словам, данный термин поясняет управление процессами безопасности информации с трех отдельных сторон: со стороны высшего руководства (Governance), управления рисками (Risk management) и соответствия требованиям (Compliance). Среди функций системы GRC можно выделить ряд таких: ‒ прослеживание рисков и рисковых ситуаций; ‒ управление политической деятельностью; ‒ проверка соответствия нормам и установленным заранее правилам; ‒ управление формами информации; ‒ регулирование системы аудита; ‒ координация ведения бизнеса; ‒ регулирование событий. Любой информационный процесс с точки зрения системы GRC раскладывается на 3 отдельных части, а в комплексе это позволяет максимально управлять происходящим, избегая рисков и добиваясь нужного результата. Что же собой представляет данный термин? Если говорить о данных сторонах по отдельности, стоит уточнить, что Governance — это указание целей деятельности, а также пути их достижения. Это стратегическая составляющая данной системы, она позволяет сформулировать основные моменты для контроля и защиты информации. Иными словами, это выражение происходящих информационных событий через топ-менеджмент. Но несмотря на это, понятие Managment сюда не подходит, оно несет более широкий смысл и обозначает привычные действия руководства компании. Governance же выполняет функции защиты для получаемой информации. Пункт Rick несет несколько иное значение, он позволяет контролировать риски компании во время управления информационной безопасностью и предоставляет возможность избежать рисковых ситуаций, для этого он решает, какие действия необходимы для улучшения ситуации, как снизить опасность для компании и обезопасить собственную информационную систему. Этот фактор позволит перенаправить ресурсы организации в пользу предотвращения возникших рисков. Последний фактор Compliance нужен для контроля определенной информации на предмет выполнения и соблюдения условий договора или подобных ему документов. Этот подход подразумевает соответствие информационной системы внешним факторам, таким как: международные нормы, Законодательство РФ и другие. Такой инструмент несколько схож с предыдущим, но он является более узконаправленным, что и требует его отдельного вынесения за рамки рисков. Управление соответствие информации специфично и требует широкого исследования. Прежде всего, в начале деятельности организация должна поставить перед собой четкие цели. Далее проработать пути их выполнения, а также провести контроль осуществляемых действий с получением сведений о каждом этапе. Это и является Governance — фактор, определяющий сущность информационного процесса. Далее организация предугадывает и предусматривает возникновение рисковых ситуаций, которые могут помешать осуществлению деятельности и нанести вред компании. Также на данном этапе происходит разрешение таких ситуаций и предотвращение дальнейшего их возникновения. Во время любой информационной деятельности часто возникают непоправимые ситуации, которые могут нарушать сроки выполнения тех или иных целей. Risk management необходим для систематичного избавления от подобных событий. Но во многих отечественных организациях этот факт не является постоянным. Выполняя свою деятельность, компания сталкивается с определенными обязанностями, которые надиктованы извне — от законодательных органов власти, от норм государства или же посредством договора с партнерами. Также компания имеет собственные документы, в которых прописаны условия осуществления своей деятельности. Все это контролируется третьим фактором под названием «Compliance». Или же просто функция регулирования соответствия организации. Возникает вопрос, когда становится эффективна система GRC? Ситуаций для применения данного управленческого комплекса есть несколько. Не каждая организация сможет оптимально воплотить ее в своей деятельности. Эта концепция нужна в следующих ситуациях: ‒ При усложненной гетерогенной информационной системе. Данная ситуация требует внедрения GRC, но ее эффективность будет достигнута только в том случае, если число ее пользователей составляет по меньшей мере 1 тысячу человек. В противном случае, в этой сети данная концепция будет напрасна. ‒ При использовании высокоразвитых информационных систем, что требует особого подхода к системе ее безопасности и управлению защитными процессами. Руководители должны приложить немало усилий, чтобы поднять информационную деятельность компании значительно выше начального уровня, но только тогда стоит вводить систему GRC для ее контроля. Также руководитель компании перед вводом данной концепции должен предусмотреть меры по управлению безопасностью информационных процессов в организации и выяснить, возможно ли в этой компании применить данный подход. ‒ Концепция GRC будет актуальна и в тех ситуациях, когда в компании имеется разделение деятельности на несколько отдельных подразделений. При этом каждое выполняет свои обязанности: контроль деятельности, прослеживание рисков, обеспечение информационной безопасности, внедрение технологий и т. д. Как только компания выбирает для управления своей деятельностью такой комплексный подход, становится сразу понятна эффективность ее деятельности, также прослеживается наличие безопасности информационных данных. GRC — это такая концепция, которая позволит выявить риски, улучшить контроль предприятия, выявить, насколько эффективно ведение бизнеса в компании, расставить приоритеты для ее информационной деятельности и установить, насколько правильно распределены ресурсы компании. Стоит подчеркнуть, что управление рисками и соблюдение поставленных норм и правила — это не так давно появившиеся виды деятельности в компании. Они позволяют управлять информационной безопасностью и требуют комплексного понимания и рассмотрения проблем. Однако стоит понимать, что выполнение деятельности GRC-систем должно осуществляться только при комплексном подходе к данному мероприятию и только с почти идеальными знаниями о собственной компании. Для выполнения GRC нужно подобрать определенные технические решения, которые позволят максимально эффективно провести защиту информационных процессов в организации. IBM OpenPages — приложение с широким функционалом, позволяющее с комфортом управлять рисками компании, прослеживать ее деятельность и соблюдений внешних условий. Данный продукт является интегрированным, он может включаться в большинство бизнес-проектов. Компания IBM предоставила пользователям возможность проводить полноценный контроль компании с соблюдением международных и иностранных стандартов, с контролем ИБ-инфраструктуры. Это обусловлено наличием модуля OpenPages IT Governance, который позволяет прослеживать соответствие компании различным документам и законам. Функционал приложения может также включать в себя составление собственных норм для каждой организации. Модель IBM OpenPages- Financial Controls Management нужен для автоматизирования регулирования финансов. Модуль Operational Risk Management позволяет контролировать риски компании, выявлять их и анализировать. Обращаясь к решению SAP GRC, стоит сказать, что оно было разработано немецкими специалистами. В его функционале предусмотрено применение некоторого количества допустимых модулей. В его системе SAP Business Objects Risk Management нужен для автоматизации управления рисками, для анализа системы, для управления инцидентами. Этот продукт также может быть внедренным во многие современные бизнес-проекты. Связь всех происходящих событий между собой выполняется через ядро, где и проходит наблюдение за возникшими рисками и их контроль. Приложение позволяет контролировать порог возникновения рисков и своевременно оповещает менеджеров. В системе есть модуль SAP GRC Access Control, который управляет работниками компании, проверяет их деятельность и защищает компанию от несанкционированного вмешательства. Этот модуль нужен для автоматического получения данных о рисках. Техническое решение RSA Archer eGRC тоже разработано для выявления и контроля рисков организации. Продукт выполняет анализ ситуации на предприятии, контролирует риски, наблюдает за регуляторами, осуществляет анализ информационной деятельности. Данное решение может быть внедрено во многие современные бизнес-проекты. Оно является достаточно гибким и мульти-задачным. Стоит учитывать, что эта программа не требует написания дополнительных кодов для интеграции. Поданные в системе функции просты в использовании и обладают высоким уровнем эффективности, что позволяет проводить поддержку многих пользователей, осуществлять обмен данными с другими приложениями. Компания HP предложила и свое решение для интеграции GRC в систему управления компании, разработав HP EnterpriseView. Эта разработка имеет несколько ключевых моментов, которые позволяют сформировать и уточнить бизнес-приоритеты компании, установить цели компании, провести контроль деятельности информационных процессов, осуществлять наблюдение за рисками и за соответствием организации установленным нормам, законам и другим правилам. Для осуществления такой деятельности следует подключать все известные источники информации, все возможные технические продукты и средства, чтобы охватить все стороны компании и выявить проблемы на ранних этапах их формирования. Также для данной концепции требуется участие всех ветвей компании.
В настоящее время методология управления проектами является не только модной, но и, бесспорно, оправдавшей себя на практике, новой формой управленческой деятельности. Для каждого проекта должен быть разработан последовательный подход к рискам, удовлетворяющий требованиям организации.
Внедрение проектного менеджмента в практику предприятий различных сфер бизнеса позволяет значительно экономить бюджеты реализуемых проектов, время их исполнения, повышать качество выполненных работ. Другими словами — совершенствовать деятельность организации в целом через улучшение работ при реализации отдельных проектов. Примечательно, что внедрением проектного
менеджмента занимаются компании с различным уровнем развития корпоративного управления, от предприятий малого и среднего бизнеса до крупных холдинговых компаний. Какова должна быть роль в этом процессе внутреннего аудитора компании?
Для этого обратимся к определению внутреннего аудита, которое дает международный Институт внутренних аудиторов (The Institute of Internal Auditors): «Внутренний аудитестьдеятельностьпопредоставлениюнезависимыхиобъективныхгарантийи
консультаций,направленныхнасовершенствованиедеятельностиорганизации.
Внутреннийаудитпомогаеторганизациидостичьпоставленныхцелей,используясистематизированныйипоследовательныйподходкоценкеиповышению
эффективности процессов управления рисками, контроля и корпоративногоуправления».
Определение подчеркивает основные характеристики внутреннего аудита (независимость и объективность), указывает цель (совершенствование деятельности организации) и сущность деятельности внутреннего аудита (предоставление гарантий и консультаций) в следующих основных областях: управление рисками, внутренний контроль и корпоративное управление.
Если обратиться к теории применения методологии управления проектами в
деятельности предприятий, то основными идеями этой технологии (Руководство PMBOK) являются четкое определение целей, состава работ проекта; распределениеответственности и ресурсов; планирование работ с учетом имеющихся рисков ивозможностей; постоянный контроль и своевременная реакция на возникающиеизменения и отклонения для достижения целей проектов в рамках установленныхвремени,бюджетови качества.
Мы видим, что основные идеи технологии проектного менеджмента во многом схожи с идеями технологии внутреннего аудита. Это четкое определение составов работ,
определение ответственных, учет рисков и возможностей, постоянный контроль
(встроенный в процесс) и реакция на изменения. Внедрение управления проектами требует от менеджмента определенной формализации происходящих бизнес-процессов, полного их описания. Описание бизнес-процессов в сфере внутреннего аудита является основой для составления карты рисков предприятия, для определения «контрольных точек» системы внутреннего контроля, планирования мероприятий контроля и внутреннего аудита. Внедрение проектного менеджмента повышает качество корпоративного управления компании, что также является целью деятельности внутреннего аудита. Обучение сотрудников проектному менеджменту повышает уровень контрольной среды в компании. Совещания, проводимые в рамках проектного офиса, улучшают в компании элементы информации и коммуникации.
Другими словами, можно сделать выводы о прямой заинтересованности внутреннего аудитора во внедрении в компании элементов проектного управления.
Каким способом служба внутреннего аудита может практически реализовать свою заинтересованность в таком внедрении? Ответ дан в определении внутреннего аудита — через предоставление гарантий и консультаций. При внедрении элементов проектного менеджмента в нашей компании специалисты службы внутреннего контроля и аудита (СВК и А) сосредоточились на консультациях при разработке методологии управления рисками проектов и предоставлениях гарантий при проведении аудитов реализуемых и реализованных проектов. Участие в обучении сотрудников компании управлению рисками проектов стало хорошей возможностью для закладки фундамента к внедрению управления рисками и в других сферах деятельности компании. Остановимся подробнее на разработке методологии управления рисками проектов.
Создание рабочей группы
В компании пока нет специального подразделения, занимающегося риск-менеджментом. Соответствующими их профилю деятельности рисками занимаются специалисты профильных подразделений. Для разработки методологии управления рисками проектов
приказом генерального директора была создана рабочая группа из специалистов
департамента качества при участии специалистов СВК и А.
Департамент качества занимается, помимо качества продукции, качеством управления, поэтому проектный офис создан под его кураторством. Специалистам СВК и А была определена роль так называемых «обязательных консультантов». Такой «расплывчатой» формулировкой мы попытались включить специалистов службы в активную
деятельность по разработке методологии, оставив руководство данным процессом за департаментом качества.
Составные части методологии управления рисками проектов
Методология управления рисками проектов была реализована и закреплена в виде универсальной «Методики построения карты рисков для проектного менеджмента» и двумя Приложениями к данной Методике:
-
«Анкетой-интервью для идентификации рисков проекта»; -
«Картой рисков проекта».
При разработке Методики специалисты постарались составить ее с учетом двух документов:
-
мировой практики в области организации риск-менеджмента и управления рисками (COSO ERM); -
методологии Руководства по управлению проектами (Руководством PMBOK).
Методика определяет порядок процедуры проведения членами команды проекта предварительного и последующих обследований системы управления рисками при осуществлении работ по проекту с целью повышения эффективности управления рисками и качественного выполнения проекта.
Сущность «Методики построения карты рисков для проектного менеджмента»
Управление рисками проекта включает в себя процессы, относящиеся к планированию управления рисками, их идентификации и анализу, реагированию на риски и мониторингу управления рисками проекта. Большинство из этих процессов подлежат постоянному
обновлению в ходе проекта.
Цели управления рисками проекта — повышение вероятности возникновения и воздействия благоприятных событий и снижение вероятности возникновения и воздействия неблагоприятных для проекта событий.
Риск проекта — это неопределенное событие или условие, которое в случае возникновения имеет позитивное или негативное воздействие по меньшей мере на одну из целей проекта, например сроки, стоимость, содержание или качество (в зависимости от вида проекта).
Причиной возникновения риска является неопределенность, которая присутствует во всех проектах. Риски можно разделить на известные и неизвестные.
Известные риски — это те риски, которые идентифицированы и подвергнуты анализу. По большинству из них планируются ответные действия.
Неизвестные риски — это те риски, которые трудно или невозможно идентифицировать и, соответственно, подвергнуть предварительному анализу. Для таких рисков целесообразно выделить резерв на непредвиденные обстоятельства, включив туда и известные риски, для которых разработка конкретных мер реагирования не
представляется экономически эффективной или возможной. Процессы управления рисками проекта включают в себя следующее:
-
планированиеуправлениярисками; -
идентификациярисков; -
качественныйанализрисков; -
количественныйанализрисков; -
планированиереагированиянариски; -
мониторингиуправлениерисками.
Рассмотрим подробнее каждый из вышеуказанных процессов.
Планирование управления рисками
Тщательное и подробное планирование повышает вероятность успешного достижения
результатов пяти других процессов управления
рисками.
После инициации проекта команда проекта проводит рабочее совещание для разработки плана управления рисками. В совещании могут принимать участие не только члены команды проекта, но и другие лица, заинтересованные в успешном завершении проекта, а также представители компании (если таковые имеются), отвечающие за операции по планированию рисков и реагированию на них. После анализа описания содержания проекта и плана управления проектом составляется базовый план проведения операций по управлению рисками с распределением ролей между членами команды. Из членов команды назначается ответственное лицо для организации работы с рисками.
Участникам совещания раздаются анкеты-интервью для выявления рисков проекта.
В этой анкете лицам, заполняющим ее, предлагается сформулировать влияние исполнения каждой из работ проекта на выполнение проекта в целом. А также назвать риски, которые могут препятствовать выполнению проекта (достижению его целей), оценить вероятность их наступления, существенность последствий, предполагаемые методы управления. Для этого анкетируемым лицам предлагается классификация рисков (рис. 1) и разработанные рабочей группой на основе практик риск-менеджмента шкалы (табл. 1, 2).
Идентификация рисков
Идентификация рисков предусматривает определение рисков (в соответствии с
приведенной классификацией рисков), способных повлиять на проект, и документальное оформление их характеристик.
Участники заполняют анкету-интервью для выявления рисков проекта, где каждый заполняющий выражает свое субъективное мнение по предполагаемым лично им рискам проекта, характеристики рисков, причины появления рисков и их возможные