Системное управление рисками в телекоммуникациях (состояние проблемы, методы, модели, реализации) Текст научной статьи по специальности «Экономика и бизнес»

УДК 654.07.012.12

Системное управление рисками в телекоммуникациях (состояние проблемы, методы, модели, реализации)

И.А. Бунцев, В.С. Канев 1

Рассмотрены вопросы системного управления рисками в телекоммуникациях: состояние проблемы, риск и неопределенность в экономической теории и хозяйственной практике, особенности отрасли, её рисковый профиль и возможности управления рисками. Обсуждаются вопросы качественного и количественного риск-менеджмента, диагностика рисков и моделирование операционных потерь, байесовские сети. Даётся некоторый отечественный опыт, исследуются вопросы интегрированного риск-менеджмента и подходы к автоматизации управления рисками, проводится редукция исследований в инновационную образовательную программу.

Ключевые слова: риск, неопределенность, карта риска, рисковый профиль, моделирование, операционные потери, диагностика, байесовские сети, интегрированный риск-менеджмент, корпоративное управление, бизнес-процессы, автоматизация управления рисками, база данных, инновационная образовательная программа.

«Кто ищет одних лишь верных прибылей, навряд ли станет очень богат; а кто вкладывает всё имущество в рискованные предприятия, зачастую разоряется и впадает в нищету; поэтому надлежит сочетать риск с известным обеспечением на случай убытков» [1].

Английский философ, родоначальник английского материализма Фрэнсис Бэкон (1561 - 1626)

1. Введение

Успешность деятельности предприятия связи на рынке, способность его генерировать конкурентные преимущества, повышать операционную эффективность, а в конечном итоге -капитализацию зависит в первую очередь от того, насколько успешно, оперативно и своевременно компания справляется с совокупностью негативных угроз, рисков.

Сейчас руководители предприятий связи лучше понимают, что управление рисками -это весьма существенная часть стратегического управления, конечная цель которого в превентивном обеспечении условий для реализации принятой на данном период стратегии управления компанией.

Ведущие телекоммуникационные компании страны, постоянно совершенствующие качество корпоративного управления, в последние годы стали уделять больше внимания вопросам учета рисков предприятий и уже добились в этой сфере заметных результатов.

В настоящий момент российские предприятия связи лидируют по внедрению риск-менеджмента среди компаний нефинансового сектора экономики. Причём наибольшую активность проявляют операторы сотовой связи, более половины которых уже внедряет эле-

1 Работа выполнена при поддержке гранта Фонда фундаментальных и прикладных исследований СибГУТИ.

менты управления рисками, а другие, их около трети, готовы начать этот процесс в течение ближайших лет.

Управление риском не может рассматриваться как одномоментное решение или действие, пусть даже детально проработанное и обоснованное. Управление риском представляет собой динамический процесс. Этот процесс управляем тогда и только тогда, когда есть организационное, модельно-измерительное и методическое его обеспечение.

Модельно-измерительное и методическое обеспечение систем управления рисками напрямую зависит от вида групп рисков, преследующих компанию, от степени владения персоналом соответствующими инструментальными средствами и культуры риск-менеджмента.

Все риски телекоммуникационных предприятий в наиболее агрегированном варианте могут быть классифицированы по следующим их видам:

- операционные риски (связанные с операционной деятельностью, выполнением персоналом тех или иных функций бизнес-процессов);

- финансовые, связанные с финансовой деятельностью: кредитные, рыночные, ликвидности и т.д.;

- стратегические (возникающие в процессе определения, формирования и реализации стратегии компании).

Мы исходим из того, что инструментальной средой для системного управления рисками в инфокоммуникационных компаниях должен быть специальным образом разработанный модельно-методический измерительный комплекс, позволяющий решать основные задачи по управлению рисками [2].

Цель настоящей работы состоит в исследовании возможностей и особенностей системного управления рисками в компаниях телекоммуникационного сектора в направлении разработки автоматизированного модельно-измерительного комплекса интегрированного управления рисками.

Для этого необходимо было разобраться, ответить на ряд вопросов и решить следующие теоретические и прикладные задачи:

- соотнести категории риска и неопределенности в экономической теории и хозяйственной практике;

- высветить особенности отрасли, её рисковый профиль и оценить возможности управления рисками на систематической основе;

- когда и как возможен качественный и количественный риск-менеджмент?

- каковы методы управления рисками и возможности моделирования?

- подходы к автоматизации управления рисками;

- что из исследований и как использовать в инновационной образовательной программе при подготовке бизнес-аналитиков с достаточной риск-менеджмент культурой?

Список принятых сокращений:

БД - база данных;

ББо8-атака - распределённая атака типа отказ в обслуживании;

ИВТ - информатика и вычислительная техника;

ИКУ - инфокоммуникационные услуги;

ИКТ - инфокоммуникационные технологии;

ИОП - инновационная образовательная программа;

ИП - инновационный проект;

ИТ - информационные технологии;

КИС - корпоративные информационные системы;

ОКС-7 - общеканальная система сигнализации;

ММБП - математическое моделирование бизнес-процессов;

МИК - модельно-измерительный комплекс;

МИК-РМ - модельно-измерительный комплекс риск-менеджмента;

МРК - межрегиональная компания;

МТС - мобильные телесистемы;

ПС- программные средства;

ТКК - телекоммуникационные компании;

ТКУ - телекоммуникационные услуги;

ЭММ - экономико-математические модели;

УМК - учебно-методический комплекс;

ЮТК - Южная телекоммуникационная компания.

2. Риск и неопределенность в экономической теории и хозяйственной практике

Процесс принятия решений в экономике на всех уровнях управления происходит в условиях постоянно присутствующей неопределенности состояния внешней и внутренней среды.

Любой сфере человеческой деятельности присущ риск, это связано со множеством факторов, влияющих на исход принимаемых решений. Опыт показывает, что риск недополучения ожидаемых результатов проявляется при возникновении товарно-денежных отношений, конкуренции участников рынка. С момента возникновения производственных, а точнее капиталистических отношений появились различные отношения к риску, а вдохновители экономической теории уделяют всё большее внимание исследованию проблем управления рисками в деятельности коммерческих и государственных финансовых структур

- банков.

Каждый менеджер, руководитель предприятия в условиях рыночной экономики несёт риски, связанные с денежно-коммерческой деятельностью, и отвечает за последствия различных отрицательных событий, оказывающих негативное воздействие на конкурентные позиции компании на рынке. Поэтому опытный, предусмотрительный руководитель старается в своей работе предвидеть заранее возможность риска и заблаговременно принимать адекватные контрмеры.

В экономической теории под неопределенностью (uncertainty) понимается неполнота или неточность информации об условиях хозяйственной деятельности, в том числе о связанных с ней затратах и полученных результатах. Причинами неопределенности, как правило, являются три основных фактора: незнание, случайность и противодействие.

В формирующейся методологии теории риска саму категорию риска определяют неоднозначно, поэтому за определением следуют доопределяющие его характеристики. В наибольшей степени отражающим суть дела мы принимаем такое определение: риск - это возможное, измеримое событие, происходящее в ближайшем либо отдалённом будущем. Риск может иметь как отрицательные, так и положительные (шанс) последствия для экономических агентов.

Риск в предпринимательской деятельности имеет вполне самостоятельное теоретическое и прикладное значение как важнейшая составляющая теории и практики управления вообще и первостепенное значение в эффективном риск-менеджменте в частности.

Управлять риском означает превентивную оценку опасностей, прогнозирование развития событий в будущем и принятие мер для усиления положительного эффекта и уменьшения отрицательного для благополучия экономической системы.

Важнейшие характеристики риска - возможность, вероятность, существенность последствий. Именно по этим характеристикам риска в экономической теории времён «развитого социализма» не было места для категории риска. Был, так сказать, детерминированный план, он же - закон, и никаких возможностей, вероятностей, существенности последствий быть не могло. Нарушение плана, то бишь закона, чревато последствиями, зачастую - жёсткими.

В реальной жизни, в хозяйственной же практике предприятий связи сплошь и рядом окружают возможности, вероятности и существенности последствий. Впрочем, удивляться

особо нечему. В нашей, да не только нашей истории экономическая теория и хозяйственная практика чаще развивались и шли параллельными курсами... Тем временем, оказавшись в «неразвитом капитализме», мы вынуждены осознавать уже новые реалии, реалии общества риска.

Как модернизация растворила структуру феодального общества в девятнадцатом веке и произвела индустриальное общество, так и сегодня модернизация растворяет индустриальное общество, и другая современность приходит ему на смену.

«Общество риска» - это общество, производящее технологические и социальные риски. Производство рисков возникает во всех сферах жизнедеятельности общества: экономической, политической, социальной. Следовательно, производство риска ведёт за собой и следующие фазы: распространение и потребление риска.

Производство и распределение богатства в индустриальном обществе сменяется производством и распределением риска в современном обществе риска.

Из этой логики следует социально-экономическое определение риска: «Риск может быть определён как систематическое взаимодействие общества с угрозами и опасностями, индуцируемыми и производимыми процессом модернизации как таковым. Риски, в отличие от опасностей прошлых эпох, являются следствием угрожающей силы модернизации и порождаемых ею чувств неуверенности и страха» [3].

Возможность отрицательной реализации рисковой ситуации - возникновение широкомасштабного экономического ущерба - заставляет очень серьёзно отнестись к проблеме управления рисками.

Было бы неверно считать возможной современную предпринимательскую деятельность без риска. Риск и дополнительная доходность жёстко связаны - основной концепт методологии обоснованного риска. Усиление риска - это, по сути дела, оборотная сторона свободы бизнеса, своеобразная плата доходностью за дополнительный риск. На этом фоне легко принять тезис: «Если Вы сознательно не рискуете, Вы тоже рискуете. !»

Для бизнеса на рынке инфокоммуникационных услуг (ИКУ) концептуально важным является не избежание риска вообще, что практически не возможно, но через хорошую превентивную системную аналитическую работу снижение его до минимально возможного по экономическим соображениям уровня - в этом экономическая суть управления рисками.

Организация и проведение такой прогнозно-аналитической работы требует от современного менеджера соответствующей достаточно высокой культуры риск-менеджмента.

Формирование и пополнение культуры риск-менеджмента неизбежно требует рассмотрения и широкого привлечения современного аппарата финансовой инженерной математики, экономико-математического моделирования с соответствующей компьютерной поддержкой.

Наконец, следует отметить влияние и роль управления рисками на эффективность корпоративного управления.

Термином «корпоративное управление» принято обозначать разнообразные аспекты управления хозяйствующим сообществом. Грамотное управление является залогом поступательного развития предприятия, обеспечивает его инвестиционную привлекательность и устойчивый рост показателей экономической эффективности.

Организацией экономического сотрудничества и развития ещё в 1999 году были сформулированы задачи и принципы корпоративного управления [4]. Корпоративное управление определено как внутреннее средство обеспечения деятельности корпорации и контроля над ней, включающее комплекс отношений между правлением компании, её советом директоров, акционерами и другими заинтересованными лицами. Корпоративное управление определяет стратегические цели компании, средства их достижения и способы контроля над её деятельностью. Основные принципы корпоративного управления были сформулированы следующим образом:

- защита прав акционеров;

- равное отношение ко всем акционерам, включая мелких и иностранных владельцев акций;

- защита прав заинтересованных лиц, сотрудничество компании со всеми заинтересованными лицами в целях развития корпорации, создания новых рабочих мест и достижения финансовой устойчивости;

- доступность достоверной информации обо всех аспектах деятельности компании, включая сведения о финансовом положении, результатах деятельности, составе собственников и структуре управления;

- обязанности Совета директоров по стратегическому руководству бизнесом, контролю над работой менеджеров, подотчётность Совета директоров перед акционерами.

Совершенствование корпоративного управления в условиях формирования «цивилизованного рынка» ведётся по двум взаимодополняющим направлениям:

- эффективный менеджмент организации, непременно включающий процедуры интегрированного управления рисками и внутреннего аудита;

- законодательная стандартизация корпоративного поведения, регламентирующая его основные принципы.

Федеральной комиссией по рынку ценных бумаг разработан Кодекс корпоративного поведения, ведётся работа по созданию проектов новых законов и внесению изменений в действующее законодательство.

Из всего многообразия угроз и непредвиденных издержек, по-видимому, в наибольшей степени влияют на эффективность корпоративного управления степень соответствия «хорошего менеджмента» ожиданиям собственников компании.

Возможно, лучший способ оценить работу менеджера - это оценить его, действовал бы он по иному, если бы был собственником данной компании. Таким образом, сущность хорошего менеджмента следует определять в соответствии с критериями, которые моделировали бы действия собственника и побуждали бы менеджера воспроизводить его поведение [5].

Качество корпоративного управления - один из определяющих факторов в принятии инвестиционных решений, о чём свидетельствует следующий тезис: «Свыше 80 % инвесторов заявляют о своей готовности платить больше за акции компаний с хорошим качеством корпоративного управления по сравнению с компаниями, где управление находится на низком уровне» [6]. Более того. В современных условиях управление рисками неизбежно становится одним из важнейших элементов системы управления компанией. Только за счёт улучшения корпоративного управления российские компании могут рассчитывать на получение премии к нынешней цене своих акций в размере от 20 до 50 %.

Велика роль управления рисками в корпоративном управлении бизнесом ИКУ, и это отмечается и практикующими специалистами [7], которые, в частности, акцентируют, что успех в конкурентной борьбе связан с принятием компанией на себя новых рисков, а это, в свою очередь, повышает требования к качеству корпоративного управления.

Реальный опыт недавнего времени сибирской ТКК показывает и такой результат влияния управления рисками на качество корпоративного управления. В результате реализации проекта по управлению операционными рисками в двух региональных ТКК (Сибирьтелеком, ЮТК) рисковые потери (по оцениваемым параметрам) сокращены в среднем на 30 %, а рейтинг корпоративного управления повысился на два пункта [15].

Все эти обстоятельства, на наш взгляд, убедительно показывают значимое влияние процедур управления рисками на эффективность корпоративного управления ТКК. Прежде чем анализировать возможные и доступные методы управления рисками, рассмотрим особенности отрасли телекоммуникационных услуг в части организации механизмов управления рисками.

3. Особенности отрасли, её рискового профиля и необходимость управления рисками

Отрасль связи в современном её толковании как отрасли производственной и социальной инфраструктуры, объединяющей в себе собственно отрасль связи и отрасль информационных технологий, генерирует значительный спектр услуг для телекоммуникационного рынка.

Под телекоммуникационным рынком понимается рынок таких услуг, как: услуги телефонии - местная, междугородная, международная, подвижная - мобильная связь, документальная связь, включая передачу данных, спутниковая связь, другие постоянно расширяющиеся услуги связи (например, аренда телекоммуникационных каналов и т.д.).

Сейчас ситуация в отрасли телекоммуникаций в мире определяется такими ключевыми факторами, как: быстрым ростом сегмента мобильных телекоммуникаций, взрывным развитием Интернета, практически остановившимся ростом доходов операторов традиционных услуг связи, снижением цен и усилением конкуренции, а также активным развитием процессов либерализации, приватизации и конвергенции самых разных услуг.

В отрасли телекоммуникаций наблюдается настоящий бум: общий рост прибыли поставщиков телекоммуникационных услуг в последние годы примерно в два раза превышает рост мировой экономики.

За период 1999 - 2006 гг. инфокоммуникационная отрасль России развивалась более высокими темпами, чем национальная экономика. Доходы инфокоммуникаций за 8 лет выросли в 7.6 раза, в том числе от услуг связи - в 8.84 раза, от сферы информационных технологий -в 6.4 раза, тогда как ВВП увеличился за этот же период в 5.5 раза. Сопоставление среднегодовых темпов прироста физического объема ВВП (6.5 %) и услуг инфокоммуникаций (25.8 %) свидетельствует об опережении почти в 4 раза темпов экономического роста отрасли инфокоммуникаций по сравнению с ростом национальной экономики [8].

Причины такого роста можно объяснить и тем, что в современных условиях эффективная работа бизнеса всё больше и больше зависит от своевременной актуальной информации и развития обеспечивающих телекоммуникационных технологий. Активно происходит трансформация телекоммуникационной отрасли. Из эпохи господства мощных государственных монополий отрасль подходит к формированию крупного, самого высококонкурентного и динамичного рынка, распространяясь на всё новые бизнес-процессы организаций. Отрасль стремительно меняется и, сливаясь с другими отраслями, идёт к созданию глобального информационно-телекоммуникационного сектора.

В своей деятельности телекоммуникационные компании сталкиваются с различного рода рисками, начиная от рисков, связанными с несовершенством бизнес-процессов, до стратегических рисков. В этом рисковом спектре наличествуют и кредитные риски, и рыночные риски, и риски ликвидности [9].

Наличие интегрированной системы управления всем спектром рисков компании (см. далее п.5) позволяет не только минимизировать потери и убытки, но и служит одним из важнейших слагаемых инвестиционной привлекательности компании. Кроме этого, создаются выгодные условия для доступа на международные рынки капитала, а в случае с фондовыми рынками США после принятия закона Сарбейнза - Оксли он становится одним из обязательных требований к эмитентам [10].

Для реализации эффективных тактических и стратегических управляющих воздействий современным агентам рынка телекоммуникационных услуг необходимо идти на внедрение технических новшеств и смелые, неординарные действия, а это усиливает риск.

В последние годы управление рисками стало обычной практикой для крупнейших телекоммуникационных компаний мира. British Telecom, France Telecom, Telenor и другие всё большее внимание уделяют системам комплексного управления рисками в рамках всего предприятия (Enterprise Risk Management). Подобные системы предусматривают контроль

и минимизацию не только финансовых, валютных и инвестиционных рисков, но и позволяют управлять нефинансовыми или операционными рисками.

Более пристальное, чем когда-либо, внимание со стороны инвесторов заставляет телекоммуникационные компании интенсивно искать новые пути получения устойчивой прибыли, новые способы обеспечения весомых финансовых результатов.

В обозримом будущем рост доходов, обусловленный технологическими достижениями или резким ростом активности покупателей, маловероятен. Его можно добиться только благодаря успехам в таких фундаментальных направлениях повышения рентабельности, скорректированной на риск, как:

- повышение эффективности привлечения и удержания клиентов;

- извлечение максимальной прибыли из взаимоотношений с каждым клиентом;

- разработка более эффективных и динамичных бизнес-процессов с минимизацией операционных рисков;

- определение перспективности направлений бизнеса на основе оценки капитала под риском и с использованием результатов на базе адекватных и корректных показателей работы;

- согласование деятельности всей организации в рамках общих стратегических направлений развития на основе интегрированной системы управления рисками.

Если современная бизнес-среда не позволяет телекоммуникационным компаниям надеяться на значительный рост прибыли за счёт традиционных технологических достижений или резкого всплеска активности пользователей, то его надо достигать на альтернативной основе. Например, внедрением эффективных схем удержания существующих и привлечения новых абонентов, извлечения максимальной выгоды из отношений с каждым клиентом, разработки совершенных динамичных бизнес-процессов, проведения высоко результативных маркетинговых кампаний.

Как мы уже ранее отмечали, все риски компаний ТКУ могут быть дифференцированы по следующим категориям:

- операционные риски (связанные с операционной деятельностью, выполнением тех или иных функций бизнес-процессов);

- финансовые (связанные с финансовой деятельностью);

- стратегические (возникающие в процессе определения, формирования и реализации стратегии компании).

В предварительном рассмотрении мы здесь остановимся несколько подробней на вопросах диагностики и анализа операционных и стратегических рисков. Они в наибольшей степени трудны для количественного определения по причине слабой информационной и научно-методической обеспеченности.

Операционные риски - это отклонения, нетипичные ситуации, возникающие в процессе выполнения тех или иных функций - бизнес-процессов. Чем больше компания, чем шире перечень выполняемых бизнес-процессов, тем насущнее потребность в создании системы управления рисками, в комплексе обеспечивающей диагностику, оценку рисков и выполнение мероприятий по их снижению.

Особенности управления операционными рисками состоит в том, что они (операционные риски) в ТКК довольно велики и большие операционные потери обусловлены такими факторами, как:

- неправильная маршрутизация сообщений;

- внешнее и внутреннее мошенничество;

- ошибки при формировании счетов;

- внедрение новых тарифов, продуктов;

- несовершенство бизнес-процессов;

- неполные или неверные детализированные учетные записи по звонкам CDR.

По оценкам Analytics Research, основанным на результатах опроса в 2005 г. 104 компаний-операторов связи во всем мире, их потери только за счёт операционных рисков составляют 11.6 % от годового оборота. Структура потерь операторов связи, процент от годового дохода показаны на рис. 1.

0 0,2 0,4 0,6 0,8 1 1,2 1,4 1,6

Источник: отчёт компании Azure, 2005 г. [11].

Рис. 1. Структура потерь операторов связи, процент от годового дохода

Если анализировать глубже, операционный риск включает в себя четыре основных подвида рисков, сгруппированных в зависимости от источника потерь.

Риск бизнес-процессов — риск потерь, связанных с несовершенством или нарушением технологии осуществления бизнес-операций, в том числе продаж услуг, расчётов, учёта и отчётности, контроля и др.

Риск систем — риск потерь, связанных с несовершенством или сбоями в работе компьютерных или телекоммуникационных систем, программного обеспечения, а также возможной неадекватностью данных систем и программного обеспечения.

Риск персонала — риск потерь, связанных с преднамеренными или непреднамеренными ошибками персонала, вызванными недобросовестностью или небрежностью, некомпетентностью, недостаточностью или неустойчивостью штата организации либо нарушениями криминального характера.

Внешний риск - это риск потерь, вызванных внешними событиями: мошенничеством, несанкционированной деятельностью, изменениями системы государственного управления, законодательства, налогового режима, социальными факторами, стихийными бедствиями и др.

Если попытаться продвинуться в анализе ещё дальше, то из всего многообразия проявлений операционного риска подробно рассмотрим, к примеру, внешние операционные риски, связанные с мошенничеством и несанкционированной деятельностью.

Углублённый анализ лишь в этом направлении показывает весьма разветвлённую сеть потенциальных угроз для стабильного функционирования компаний ТКУ. При этом любопытно отслеживать финансово-экономическую составляющую проблемы. Чтобы лучше почувствовать масштаб проблемы, приведём следующую статистику. Оказывается, $20 млрд. составляет ущерб операторов связи в мире от действий мошенников, при этом 80 % неле-

гальных звонков приходится на долю дорогостоящего международного трафика и 20 % -местного [12].

Всё чаще операторы сталкиваются с происками мошенников - отдельных лиц и даже целых компаний. По оценкам специалистов, от 10 до 30 % трафика операторов приходится на нелегальные звонки. Количество преступлений, связанных с мошенничеством на телефонных сетях, за последние два-три года резко увеличилось. По данным управления «К» МВД России, за 9 месяцев 2004 года совершено почти 10.2 тыс. преступлений в сфере телекоммуникаций, в то время как за весь 2003-й их количество составило 10.9 тыс. [12].

От действий мошенников страдают не только операторы и пользователи связи. Стремительное развитие сети Интернет, внедрение новых интерфейсов в оборудование телефонных сетей общего пользования создали новые источники потенциальной угрозы для телекоммуникационных систем. На этом фоне особую роль приобретает безопасность сети общеканальной сигнализации ОКС-7, которая соединяет большинство сетей, построенных с использованием разных технологий, но не имеет встроенных функций безопасности. Что можно противопоставить сегодня столь серьёзной опасности?

Рост числа точек доступа между сетями увеличивает потенциальные угрозы безопасности, повышается и степень подверженности сетей внешним атакам. Так, например, если в цепи соединений существует хотя бы один 1Р-участок, то все задействованные в соединении сети, в том числе и ОКС-7, подвергаются опасности со стороны хакеров.

С точки зрения обеспечения безопасности сетей ОКС-7 угрозы могут быть вызваны как непреднамеренными, так и преднамеренными действиями или причинами. Непреднамеренные действия могут быть результатом перегрузки либо самопроизвольного распространения отказов. Преднамеренные - маскировка, нарушение целостности данных или мониторинг и раскрытие важной информации.

Выделяют три основных вида угроз: несанкционированный доступ к ресурсам, перегрузки и самопроизвольное распространение сбоев по сети. Злоумышленники зачастую комбинируют атаки разного типа с учётом специфики объекта нападения и поставленной цели, что чревато самыми неприятными и очень разнообразными последствиями: прерывание услуги, отказ в услуге, деградация качества, перегрузка оборудования, мошенничество, увод и кража трафика, несанкционированное использование путём подмены данных при авторизации. Кроме этого, возможно нарушение конфиденциальности абонентских данных, данных биллинга, содержимого контента или переговоров. Не все эти последствия подаются измерению в денежном выражении и далеко не одинаковы по степени ответственности за финансовые издержки.

Крупнейший оператор Сибири компания «Сибирьтелеком» буквально недавно (январь 2009 г.) сообщила [13] об оснащении своей сети эшелонированной системой защиты, призванной оградить серверы компании и её пользователей от вирусных и хакерских атак. Это оборудование комплексной системы защиты центров обработки информации, предназначенной, в частности, для защиты биллинга и персональных данных абонентов компании.

Система на основе средств компании StoneGate с использованием продуктов Symantec и программного инструментария ArcSight обеспечивает комплексную защиту информации при её передаче и резервном копировании на скоростях до 20 Гб/с. Решение включает: защиту от внешних угроз, подсистемы выявления сетевых аномалий, предотвращения вторжений на уровне отдельных узлов, анализа защищённости и многоступенчатую антивирусную защиту с централизованным управлением.

Эти подсистемы, в свою очередь, тесно связаны с системой мониторинга, разработанной компанией ArcSight, и «дают возможность оперативно реагировать на инциденты безопасности».

Объём затрат на оснащение эшелонированной защитой всей своей системы крупнейший сибирский оператор не раскрывает, но признаёт, что с попытками взломать «Сибирьтелеком» работникам приходится сталкиваться регулярно, причём речь идёт как о попытках прямого взлома, так и вирусных атаках.

Еженедельно системы безопасности только генеральной дирекции «Сибирьтелеком» предотвращают 300 - 600 тысяч попыток неавторизованного подключения. Компанией были зафиксированы обращения по всему спектру возможных атак — от «писем счастья» до DDоS -атак, то есть распределённых атак, заставляющих рушиться серверы. Впрочем, как уверяет оператор, успешно взломать ключевые системы, такие как биллинг компании, хакерам до сих пор не удалось. Тем не менее, признают крупнейшие сибирские операторы, удельный вес затрат на информационную безопасность растёт.

«Приходится использовать самые современные IT-решения», — объясняет [13] начальник отдела информационной безопасности и технической защиты Сибирского филиала ОАО «МТС». Впрочем, по его же словам, напрямую проникнуть в систему МТС пытаются нечасто. «Последний раз такая ситуация была зафиксирована и предотвращена полгода назад. Интенсивность атак не возрастает, а вот взломщики постоянно изобретают новые способы проникновения в закрытую сеть. В свою очередь, специалисты департамента IT-безопасности при разработке средств защиты сети учитывают и ликвидируют все возможные «дыры» системы». Операторы поменьше порой используют нестандартные способы, чтобы защитить свои сервера.

Процедуры контроля указанных рисков могут состоять как из организационноэкономических, так и инженерно-технологических мероприятий. Среди инженернотехнологических мероприятий практикуется разработка специализированных устройств противодействия угрозам.

Особую актуальность при разработке мер противодействия приобретает использование специальных систем фрод3-мониторинга, которые позволяют выявлять случаи мошенничества на сетях и предотвращать кражи и другие правонарушения. Одна из них - система мониторинга Spider, разработанная ЛОНИИС, и её антифродовая составляющая Spider FMS [12].

Здесь следует особо заметить, что осознанием обстоятельств значимости управления операционными рисками стало пристальное внимание холдинга «Связьинвест» к реализации пилотных проектов по управлению рисками [14].

«Связьинвест» стал первой в отрасли компанией, реализующей пилотный проект по созданию системы управления операционными рисками в ОАО «Сибирьтелеком» и ОАО «ЮТК». Как уже нами ранее отмечалось (см. раздел 3), внедрение системы позволило до 30 % снизить рисковые потери, повысить управляемость МРК и сформировать адекватную информационную среду для принятия эффективных управленческих решений [15].

Здесь же отмечается [15], что серьёзным тормозом для развёртывания такого рода работ в компаниях телекоммуникационного сектора является отсутствие или недостаток специалистов экономистов-аналитиков по риск-менеджменту, профессионально подготовленных для работы в условиях имманентных рисковых профилей компаний отрасли ТКУ.

Именно по этой причине нам представляется важным в учебные планы СибГУТИ по направлениям подготовки: «Математические методы в экономике», «Бизнес-информатика» и «Прикладная информатика» (в экономике) внести изменения и дополнения, в большей мере учитывающие управление рисками (см. раздел 5).

Другой, не менее значимой по финансово-экономическим последствиям опасностью для межрегиональной компании являются стратегические риски.

Стратегический риск — это риск недостижения поставленных целей и задач, а также потери части доходов и капитала, клиентской базы, рыночной ниши, снижения темпов развития или ухудшение репутации компании, вызванные неверными стратегическими решениями или ненадлежащим исполнением этих решений.

2 ББо8 - Distributed Denial of Service. Является одной из самых распространённых и опасных сетевых атак.

3 Фрод (от англ. Fraud - мошенничество, обман) - неправомочный и преднамеренный доступ абонента к услугам связи с целью личной или коллективной выгоды. Проявляется в различных формах: злоупотребление доверием компании-оператора, в том числе с перепродажей эфирного времени, подделки идентификаторов и т. п.

Управление стратегическим риском является непрерывным управленческим процессом, заключающимся в постоянном выявлении и нейтрализации ошибок стратегического планирования. В рамках указанного процесса обязательно должны осуществляться такие процедуры, как:

- определение адекватности миссии и реальности принятых стратегических целей;

- идентификация концептов и предположений, закладываемых в основу стратегии;

- проверка согласованности всех стратегических целей организации и их ресурсной обеспеченности;

- выявление обоснованности выбора целевых сегментов рынка, продуктов и услуг;

- определение качества и надёжности мероприятий, разработанных для достижения этих целей;

- оценка параметров рисков стратегии, достаточности актуализируемых ресурсов, выделенных для выполнения поставленных целей;

- мониторинг качества и надёжности выполнения стратегических планов, анализ отклонений и выработка регулирующих мероприятий.

Управление стратегическими рисками не ограничивается выявлением и контролем ошибок, допускаемых в процессе стратегического планирования. Процессный подход предполагает, что риск-менеджер будет постоянно осуществлять проверку того, как проходит процесс реализации стратегии и анализа отклонений.

Особое внимание следует уделять тому, как менеджмент компании анализирует воздействие внешних и внутренних факторов на осуществление стратегии и каким образом осуществляется корректировка плановых мероприятий, обусловленная воздействием указанных факторов. Формирование у менеджмента и акционеров компании готовности видеть свои ошибки и вовремя корректировать стратегию является важным инструментом ограничения рисков ошибок в стратегиях.

4. Качественный и количественный риск-менеджмент

Возможности количественного анализа при управлении рисками, а тем более возможности моделирования тех или иных функций риск-менеджмента в значительной мере определяются типом контролируемого риска и методом, избранным для управления им.

Вообще говоря, это обстоятельство является темой вполне самостоятельного рассмотрения, но мы не ставим здесь себе такую задачу, отнюдь не по причине её незначимости. Ограничимся лишь замечанием, что операционный риск, да и стратегический являются наименее поддающимися для целей моделирования и получения надёжных количественных оценок именно по причине скудости специальным образом организованного статистического материала. Однако даже на фоне осознания этих фактов компании ТКУ вынуждены, тем не менее, оценивать операционные риски по причине имеющихся для этого серьёзных бизнес -причин, среди которых можно выделить:

- для организаций — участников рынка ценных бумаг сам факт создания подразделения, занимающегося учетом рисков предприятия, уже способствует росту их капитализации;

- издержки от конкуренции (переход клиента к другому оператору связи),

- невозможность быстро отреагировать на запросы клиентов;

- риски, связанные с развитием сетей;

- срыв сроков выполнения работ подрядными организациями;

- недостаток финансовых средств для обеспечения пиковых нагрузок.

4.1. Диагностика рисков и моделирование операционных потерь

Диагностика рисков может проводиться по следующим направлениям:

- анализ последствий наступления рискового события;

- анализ причинно-следственных связей различного рода угроз и опасностей для бизнеса;

- анализ независимых факторов риска (потенциальных угроз);

- анализ возможных взаимосвязей рисковых факторов.

В ходе диагностики проводится сбор и анализ информации о фактах возникновения рисковых инцидентов и формирование перечня ключевых рисков компании, которые могут существенно повлиять на её деятельность. Предварительная оценка рисков на качественном уровне может проводиться на основе опроса мнения экспертов и анкетирования (балльная, рейтинговая оценка, построение карт рисков компании).

Карта риска - графическое и текстовое описание ограниченного числа рисков организации, расположенных в прямоугольной таблице, по одной «оси» которой указана сила воздействия или значимость риска, а по другой - вероятность или частота его возникновения [16]. На рисунке 2 показан пример карты рисков.

II III IV V

Существенность

Рис. 2. Карта рисков

На этой карте рисков вероятность или частота отображается по вертикальной оси, а сила воздействия или значимость - по горизонтальной. В этом случае вероятность появления риска увеличивается снизу вверх при продвижении по вертикальной оси, а воздействие риска увеличивается слева направо по горизонтальной оси.

Арабские цифры на карте - обозначения рисков, которые были классифицированы по четырём категориям значимости и шести категориям вероятности, причём так, чтобы каждому сочетанию вероятность/значимость был приписан один вид риска. Такая классификация, размещающая каждый риск в отдельный прямоугольник, упрощает процесс расстановки приоритетов, показывая положение каждого риска относительно других (увеличивает разрешающую способность данного метода).

Жирная ломаная линия - критическая граница терпимости к риску (толерантность). При выявлении критических рисков сценарии (причинно-следственная связь процессов, событий и действующих факторов риска), приводящие к рискам выше этой границы, считаются непереносимыми. При разработке стратегии, например, по выявленным непереносимым рискам до принятия данной стратегии требуется понять, как уменьшить или передать такие риски, в то время как риски ниже границы являются управляемыми в рабочем порядке. Значимость риска оценивается по эмпирическому правилу как произведение существенности и вероятности [16].

Качество управления рисками может быть естественно произведено на основе состоявшейся или не состоявшейся «миграции» - передвижения точек с арабской индикацией с верхней половины карты в нижнюю (рис. 3).

л

I-

о

о

ф

ш

Рис. 3. Возможные траектории рискового фона компании по результатам управления рисками

На следующем этапе для перехода к более развитым и более надёжным формам количественного анализа следует аккумулировать данные по потерям в специальным образом организованные банки данных в надежде их систематической математико-статистической обработки.

Естественно задаться вопросом, каким должен быть «инструментарий» для целей эффективного управления операционными потерями? Для этого необходимо прояснить экономическую природу случайно возникающих операционных издержек. Ожидаемые и непредвиденные убытки должны регистрироваться налаженными процедурами статистического учёта и являются факторами, основанными на исторических данных по убыткам. Порождающие кризис убытки (сверхубытки) представляют собой суммы свыше непредвиденных убытков. Встаёт справедливый вопрос о размере капитала для покрытия рисков - общая величина средств для покрытия непредвиденных убытков. Следует заметить, что в таком содержании

- это интересная чисто математическая задача, которая уже имеет [ 19] хорошие подходы к её корректному решению.

Уровень достаточности капитала на покрытие операционных потерь зависит от размера безопасно отвлекаемого капитала и должен определяться как экономическими соображениями, так и нормативными требованиями. Основная часть вопросов по регламенту достаточности капитала для телекомов РФ нам пока не известна. Экономические же соображения выводят на использование таких методов [17], как:

- базового индикатора (а-показатель) и

- стандартизованного подхода (Р-показатели по элементам бизнес-процессов) сценарного подхода.

Наиболее продвинутой областью в количественном риск-менеджменте операционных рисков является область финансовых институтов и, в частности, банковской сферы. В них в большей степени проработаны вопросы моделирования операционных потерь, причём на фоне довольно богатой нормативно-регулятивной практики.

Природа операционной риск-фактуры по большому счёту не зависит или, точнее, несущественно зависит от отраслевой принадлежности фирмы, поэтому накопленный положительный, передовой опыт здесь с успехом должен быть использован в новых и просто иных предметных областях.

Передовой подход [18] к расчёту капитала, резервируемого под покрытие операционных рисков, требует от банков формирования базы данных по операционным потерям. И это логично. Для западных банковских сообществ существуют возможности внешних поставщиков информации о рисковых событиях, которые формируют массивы данных операционных потерь, и есть возможность у банков подписаться на них, что способствует созданию необходимых по объёму для надёжного оценивания баз данных.

При этом возникает вопрос о построении модели операционных потерь с разнородными данными, а также необходимость на объединённых выборках операционных потерь, каждая из которых содержит данные с превышением различных порогов, их объединения в единую модель. Не менее важно проанализировать чувствительность параметров модели к варьируемым порогам.

В тех ситуациях, когда накапливаемой статистики по операционным потерям достаточно, можно перейти к исчислению более совершенных измерителей риска.

Одной из наиболее популярных [19] модельных конструкций меры риска является VAR (Value-at-Risk). Вот как можно её определить. Обозначим через X операционные потери через N дней. Потери эти являются величиной случайной и зависят от множества различных факторов за период N дней. Величина q = VARa(X) есть квантиль уровня а распределения случайной величины X, т.е. вероятность того, что X не превосходит q, равна 0.01а(а здесь измеряется в процентах). Вычислив VAR, мы можем формулировать утверждения типа: “Мы на а % уверены, что не потеряем более, чем q за ближайшие N дней” (рис. 4).

04 1 1 1 м ^ 1 1 1

0 35 LOSS \ PROFIT

03 \

0 25 \

02 \ -

0 15 \

0 1 VaR=1.65 к \ -

0 05 л ■ т 1 1 к ^

U М -1 1 2 3 *

Рис. 4. Определение величины VAR

Методологии вычисления VAR посвящено громадное количество литературы [17 - 20]. Он используется не только трейдерами и портфельными менеджерами, но и регулирующими органами. Так, в США регулирующие органы требуют от банков резервировать трёхкратный 10-дневный 99 % VAR под рыночные риски.

Несмотря на свою популярность, VAR обладает рядом существенных недостатков.

Во-первых, VAR не учитывает возможных больших потерь, которые могут произойти с маленькими вероятностями (меньшими, чем 1-0.01а).

Во-вторых, VAR не может различить разные типы хвостов распределения потерь и поэтому недооценивает риск в случае, когда распределение потерь имеет “тяжёлые хвосты” (т.е. его плотность медленно убывает).

В-третьих, VAR не является когерентной мерой, в частности, она не обладает свойством субаддитивности. Можно привести примеры, когда VAR портфеля больше, чем сумма VARов двух подпортфелей, из которых он состоит. Это противоречит здравому смыслу. Действительно, если рассматривать меру риска как размер капитала, резервируемого для покрытия рыночного риска, то для покрытия риска всего портфеля нет необходимости резервировать больше, чем сумму резервов составляющих подпортфелей.

4.2.Байесовские сети и операционные риски

Как уже ранее отмечалось (см. раздел 3), в последнее время в отрасли телекоммуникационных услуг заметен большой интерес к вопросам измерения и управления операционными рисками. Этот интерес связан с введением нескольких регулирующих рекомендаций в области корпоративного управления и оценки достаточности капитала под операционные риски.

В большинстве случаев компании финансово больше страдают от операционного риска, для которого обычно не резервируют капитал, чем от рыночного, кредитного или страхового, для покрытия которых всё же выделяются определённые средства.

Для целей моделирования следует принять более точное определение операционного риска не по источникам потерь (см. раздел 2), а по направлениям бизнес-деятельности компании. Тогда операционный риск можно определить как риск прямых или косвенных потерь, вызванных ошибками или несовершенством процессов, систем в организации, ошибками или недостаточной квалификацией персонала организации или неблагоприятными внешними событиями нефинансовой природы (например, мошенничество или стихийное бедствие).

Операционные риски обладают своими уникальными характеристиками и особенностью их применения при моделировании. Характеристики операционных рисков в этом смысле можно представить в следующем виде [21].

1. Операционные риски эндогенны по своей природе, т.е. различны для каждой компании. Они зависят от технологий, процессов, организации, персонала и культуры компании, в отличие от рыночных, кредитных и страховых рисков, которые по большей части вызываются внешними факторами.

Для оценки операционного риска необходимо собрать специфичные для компании данные. Нужно заметить, что большинство компаний не имеет длительной истории релевантных данных. В банковской отрасли часто используются отраслевые данные, но они могут оказаться не вполне применимыми.

2. Операционные риски динамично и постоянно меняются в зависимости от стратегии, бизнес-процессов, применяемых технологий, конкурентного окружения. Даже исторические данные самой компании могут не быть точными показателями текущих и будущих рисков.

3. Наиболее эффективные по стоимости стратегии по смягчению рисков включают в себя изменения в области бизнес-процессов, технологии, организации и персонала. Необходим подход к моделированию, позволяющий измерить влияние на операционные решения. Например, «как изменятся операционные риски, если компания начнёт продавать продукты через Интернет?»

Как было отмечено ранее, операционные риски наиболее трудны для целей количественного анализа именно по причине «бедности» статистики. Если западные компании ТКУ имеют возможность в полной мере заниматься количественным риск-менеджментом, то это благодаря систематическому накоплению баз данных по операционным потерям, да и возможности привлечения таких баз от сторонних фирм одинаковой отраслевой принадлежности.

Российские компании такие информационные базы в лучшем случае лишь начинают формировать. При этом надо заметить, что значительный пласт информации об опасностях и угрозах ИК-бизнеса находится у топ-менеджмента - экспертов этих компаний, надо понять лишь, как его аккуратно извлечь для пользы дела.

Операционные риски могут быть смоделированы при помощи байесовских нейронных сетей, которые основаны на сети причинно-следственных связей, вычисленных на основе условных вероятностей.

Байесовские сети (Bayesian networks) - это статистический метод описания закономерностей в данных. На основе первичной информации, содержащейся в базах данных, строится модель в виде сети, где множество вершин описывает события, а ребра интерпретируются как причинные связи между событиями.

Байесовы вероятностные методы обучения машин являются существенным шагом вперёд в сравнении с популярными моделями «чёрных ящиков». Они дают понятное объяснение своих выводов, допускают логическую интерпретацию и модификацию структуры отношений между переменными задачи, а также позволяют в явной форме учесть априорный опыт экспертов.

Благодаря удачному представлению в виде графов, Байесовы сети весьма удобны в пользовательских приложениях.

Байесовы сети базируются на фундаментальных положениях и результатах теории вероятностей, разрабатываемых в течение нескольких сотен лет, что и лежит в основе их успеха в практической плоскости.

Редукция совместного распределения вероятностей в виде произведения условных вероятностей, зависящих от малого числа переменных, позволяет избежать “комбинаторных взрывов” при моделировании.

В основе байесовских сетей лежит теорема Байеса теории вероятностей для определения апостериорных вероятностей попарно несовместных событий Yi по их априорным вероятностям

P{Y)P{X\Y)

PCY. I X) =--г-------г— .

1 Р(Х)

Всякое множество рёбер, представляющее собой все пути между некоторыми двумя вершинами, соответствует условной зависимости между этими вершинами. Если задать некоторое распределение вероятностей на множестве переменных, соответствующих вершинам этого графа, то полученная сеть будет называться байесовской сетью. На такой сети можно использовать так называемый байесовский вывод для вычисления вероятностей следствий событий.

При оценке возможности операционного риска в результате ошибки персонала или сбоя информационной системы (гипотезы Н1 и Н2) может быть вычислена вероятность такого события с учётом исходной гипотезы, например:

ОД) = 0.9; ДЛ| #0 = 0.15;

ад) = 0.1; Р(А \Н2) = 0.92 ;

Р(Нг | А) =-------015х0-9-----= 0.595 ;

0.15x0.9 + 0.92x0.1

Р(Н2 | А) =-------092x0 1-----= 0.405 .

0.15x0.9 + 0.92x0.1

Отношения между переменными ^ - E) в байесовых сетях можно представить в виде следующих соединений:

- последовательное соединение;

- дивергентное соединение;

- конвергентное соединение.

Причинно-следственные модели позволяют объяснить происхождение и оценить потери при осуществлении бизнес-процессов. Основными достоинствами байесовых сетей в финансовом анализе является возможность совместного учёта количественных и качественных рыночных показателей, динамическое поступление новой информации, а также явные зависимости между существенными факторами, влияющими на финансовые показатели.

Подобное рассмотрение возможности моделирования байесовских сетей в качестве одного из инструментов оценки операционных рисков может быть эффективно для получения не только качественных, но и количественных результатов оценки рисковой составляющей бизнеса в области телекоммуникаций [21 - 23].

4.3. Некоторый отечественный опыт

Разработка и реализация систем риск-менеджмента стала стандартной процедурой не только для мировых лидеров в области телекоммуникаций, использующих системы управления рисками, таких как British Telecom, France Telecom, Deutsche Telekom, Telecom Italia, AT&T, NTT, Vodafone, Sprint, но и для ряда отечественных предприятий связи.

Однако анализируя данные решения, можно сказать, что их функциональность направлена в основном либо на автоматизацию выполнения требований акта Сарбейнза - Оксли (что немаловажно для наших операторских компаний, особенно представленных на рынках ценных бумаг), либо на оценку конкретных специфических рисков (главным образом для финансового сектора).

Руководители таких компаний, как «Система Телеком», «ВымпелКом», «МегаФон», «Комстар - ОТС», и ряд других компаний связи уже видят и материальные выгоды от внедрения риск-менеджмента:

- рост доходов оператора,

- снижение операционных затрат,

- повышение уровня ликвидности и кредитоспособности; и нематериальные преимущества:

- усиление рыночных позиций,

- улучшение имиджа компании,

- повышение уровня лояльности клиентов.

Некоторые компании холдинга «Связьинвест» уже начали реальное внедрение элементов системы управления рисками.

Так, компании «Сибирьтелеком» и «Южная Телекоммуникационная Компания» (ЮТК) осуществляют идентификацию, оценку, ранжирование операционных рисков, планируются мероприятия по снижению рисков и контроль за этим процессом. Пилотные проекты, начатые в двух межрегиональных компаниях (МРК) “Связьинвеста”, были ориентированы преимущественно на управление операционными рисками предприятий.

При реализации СУР была проведена диагностика 14 функциональных направлений деятельности “Сибирьтелекома” и ЮТК, а также описаны бизнес-процессы (около 400 для каждой из двух компаний). Затем сформирована трёхуровневая система управления рисками. Из 1500 рисков, диагностированных в ходе проекта, 200 были признаны существенными [14,

15].

Созданы первые методики и регламенты риск-менеджмента, а также органы управления рисками; рисковые потери (по оцениваемым параметрам) сокращены в среднем на 30 %, а рейтинг корпоративного управления повысился на два пункта. Далее «Ростелеком» реализовал систему управления рисками финансовой отчётности на основе требований закона Сарбейнза - Оксли.

В МТС образован специальный департамент, ответственный за масштабную программу управления доходами — созданная система нацелена на обеспечение максимальной прибыльности бизнеса с учётом приоритетов развития, минимизацию и предотвращение финансовых потерь от сбоев на уровне технологий и бизнес-процессов, сокращение потерь от мошенничества абонентов и партнёров.

«Почта России» имеет сложную многоуровневую структуру, включающую 40 тыс. отделений во всех уголках страны. Её департамент управления рисками и страхованием осуществляет описание рисков операционной деятельности, их оценку, а также учёт страхования, мониторинг событий, анализ показателей работы активов, рисков перед контрагентами и убытков от мошенничества.

Кафедра математического моделирования бизнес-процессов СибГУТИ, осуществляя образовательную деятельность по трём современным специальностям: 080700 - «Бизнес-информатика» (бакалавр), 080116 - «Математические методы в экономике», 351400 - «Прикладная информатика» (в экономике), и формируя научно-методический задел для реализации инновационной образовательной программы, развёртывает исследования и по управлению рисками на рынке телекоммуникационных услуг. Исходная позиция здесь такова.

Разработаны элементы методологии качественного анализа операционных рисков (карты рискового профиля компании, классификационная модель рисков и т.д.), с использованием которой проведена идентификация актуального рискового поля Сибирского филиала ОАО «Ростелеком» с последующей оценкой операционных рисков [22, 23].

По направлению количественного анализа риска предварительно исследованы возможности применения байесовских сетей для анализа рисков операционных потерь [24].

Проектируется программная архитектура и web-технология интерактивного взаимодействия функциональных задач по управлению рисками с бизнес-логикой модельноизмерительного комплекса (см. раздел 4).

В целом можно констатировать, что исследовательский процесс и учебный процесс (см. раздел 5) по управлению рисками пошёл, но важно и осознавать, мы переживаем пока начальный этап развития этого важнейшего направления повышения эффективности корпоративного менеджмента на рынке ТКУ.

5. Интегрированный риск-менеджмент

и подходы к автоматизации управления рисками

Основная цель, которую преследуют компании при создании системы управления рисками, - это повышение эффективности работы, снижение потерь и максимизация дохода. Соответственно, риск связан не только с угрозами, но и с возможностями. Для построения эффективной системы риск-менеджмента, обеспечивающей увеличение доходов при требуемом уровне стабильности, необходимо решить множество задач, в том числе и вопросы автоматизации процессов по управлению рисками.

Управление рисками начинается с выявления и оценки всех возможных угроз, с которыми компания сталкивается в процессе своей деятельности. После выявления рисков она принимает их или решает от них уклониться. Принятие рисков означает, что компания берёт на себя ответственность по самостоятельному предотвращению и ликвидации последствий этих рисков. Каждый финансовый менеджер имеет своё представление о видах рисков, способах определения их размеров и методах управления ими.

Интерес к интегрированному управлению рисками возник по различным причинам. Это логичный переход к новым методам управления и повышению качества управления компанией, а также известные события, которые стали причиной проблем в достаточно надёжных и устойчивых компаниях. Отсутствие эффективной системы управления рисками привело к возникновению неблагоприятных последствий для таких компаний, как WorldCom, Global Crossing, Adelphia Communications, Enron и др.

В последнее время многие российские компании рассматривают выход на рынок IPO как одну из привлекательных возможностей получения инвестиционных ресурсов, при этом они подпадают под требования, установленные американским законодательством (закон Сар-бейнза - Оксли4). Управление рисками на всех этапах выхода на IPO необходимо для получения максимального эффекта. Построение системы управления рисками компании обеспечит улучшение финансовых показателей, повышения кредитных и инвестиционных рейтингов, улучшение репутации.

Построенная система управления рисками в телекоммуникационной компании должна позволить:

- выявить риски, которые в наибольшей степени влияют на результаты деятельности компании, и разработать эффективную систему мероприятий по минимизации таких рисков;

- обеспечить проведение комплексной работы по управлению рисками на регулярной основе, чётко разграничив ответственность за наступление рисковых событий между различными направлениями деятельности и уровнями управления;

- улучшить показатели эффективности деятельности компании, обеспечив снижение возможных рисковых потерь и оптимизацию затрат на все мероприятия, направленные на минимизацию рисков;

- повысить эффективность системы управления компании за счёт использования дополнительных критериев для принятия управленческих решений;

- увеличить уровень доверия к менеджменту компании со стороны акционеров, инвесторов, контрагентов и общества;

- обеспечить рост капитализации компаний, повышение кредитных и инвестиционных рейтингов компании:

- выработать рекомендации по формированию стратегии и эффективному распределению ресурсов с учётом степени риска;

4 Требует от топ-менеджеров (американских компаний) удостоверять правильность финансовой документации; раскрывать информацию о сделках, затрагивающих внебалансовые счета; подтверждать, что их система внутреннего контроля эффективно функционирует.

- обеспечить возможности полного и своевременного отражения величин рисков в системах управленческой информации.

Однако риск не следует рассматривать как единственный параметр в управлении деятельностью компании. Существует множество других компонент, не менее существенных для эффективного функционирования компании. Поэтому важно интегрирование процесса управления рисками в общий процесс принятия решений. Оценка риска должна быть системной и не допускает интуитивного подхода. Именно поэтому ведущие компании поменяли подход к управлению рисками. Они осуществили переход от нерегулярного «экспертного» управления ограниченным набором рисков к непрерывному интегрированному контролю над всем многообразием рисков.

Старый подход к качественной и количественной оценке риска состоял из следующих элементов:

- фрагментированный риск-менеджмент (каждый отдел самостоятельно управляет рисками, в соответствии со своими функциями);

- эпизодический риск-менеджмент (управление рисками осуществляется только тогда, когда менеджеры компании посчитают это необходимым);

- ограниченный риск-менеджмент (оценка риска касается, прежде всего, страхуемых и финансируемых рисков).

Внедрение системы управления рисками компании позволяет перейти к интегрированному (объединённому) риск-менеджменту, позволяющему проводить единую стратегию компании в области управления рисками, при этом необходимо осуществить интеграцию системы управления рисками в действующую систему управления компанией. Управление рисками в компании не дублирует существующие системы управления, а является их дополнением. Данный подход позволяет выявить и провести декомпозицию основных рисков компании и осуществлять комплексный контроль эффективности управления [25].

Телекоммуникационные компании имеют дело с рисками, которые трудно измерить и/или хеджировать, поэтому и риск-менеджмент в данных компаниях зачастую более фрагментарен, чем у финансовых институтов. Кроме этого появляются и масса новых рисков, связанных с особенностями производственной деятельности. Это требует от управляющего рисками глубоких знаний в финансовой сфере, а также понимание технологического процесса работы в области связи и особенности её функционирования в современных условиях.

При этом рекомендуется строить комплексную систему измерения рисков, подразумевающую выстроенный процесс сбора и обработки информации о рисках, с которыми сталкивается компания. Каждое действие этого процесса должно основываться на методологической базе, которая охватывает все идентифицируемые риски и позволяет количественно оценивать возможные потери.

В частности, такая база должна содержать:

- правила расстановки приоритетов в управлении рисками;

- методы оценки нефинансовых рисков;

- принципы, правила и средства управление структурой активов и пассивов компании с учётом риска;

- принципы, правила и средства формирования портфеля компании с учётом приемлемого для компании риска;

- модели ценообразования на рынке связи с учётом риска;

- инструментарий измерения рисков (VаR, стресс-тестинг, сценарный анализ);

- методы прогнозирования цен и волатильности (ARCH, нейронные сети, фундаментальный анализ).

Поскольку управление рисками является необходимым элементом текущей деятельности телекоммуникационных компаний, её руководителей и специалистов и включает обработку и анализ значительных объёмов информации, то эта деятельность должна быть автоматизирована.

Недооценка необходимости автоматизации управления рисками может привести к негативным последствиям, а использование её возможностей позволяет значительно улучшить устойчивость и конкурентоспособность как в краткосрочной, так и в долгосрочной перспективе.

В настоящее время автоматизированная интегрированная система управления рисками становится надёжным залогом эффективного развития компании и позволяет успешно конкурировать на телекоммуникационном рынке.

Естественно возникает вопрос: как автоматизировать функции системы управления рисками?

На рынке уже представлено довольно большое число программных пакетов, поддерживающих те или иные процессы управления рисками. Практически все поставщики современных корпоративных автоматизированных систем самого разного назначения, от ERP до Business Intelligence, уже имеют решения по риск-менеджменту.

Беда, как всегда, в этой ситуации заключается в слабой приспособленности готовых западных пакетов к существующим отечественным формам учёта и отчётности и в несистемном характере реализованных в них функций. Хотя надо признать, что избирательно по аналитическим и инструментальным возможностям эти программные среды весьма продвинуты. В общей сложности известны около 5 зарубежных ПС.

Наша позиция заключается в том, что актуально необходим такой модельноизмерительный комплекс (МИК), который позволял бы автоматизировать процесс интегрированного управления рисками ТКК с набором функций:

- поддержка количественной и качественной оценки рисков;

- мониторинг, актуализация и контроль выполнения рисковых мероприятий;

- развитая вариантная бизнес-аналитическая информация о рисках компании.

Элементы аванпроекта модельно-измерительного комплекса системного управления

рисками ТКК должны включать (рис. 5):

- место МИК-РМ в корпоративной системе управления;

- основные функции МИК-РМ;

- цель и задачи модельно-измерительного комплекса управления рисками ТКК (МИК-РМ);

- назначение системной и функциональной автоматизации;

- семантическая модель МИК-РМ: этапы управления рисками - консолидация данных -аналитика;

- программная архитектура и уровни представления данных.

Бизнес -процессы

ТКК

Система внутреннего

контроля

Система управления

рисками

Система автоматизации

МИК - РМТКК

Рис. 5. Место МИК-РМ в корпоративной системе управления

Цель и задачи модельно-измерительного комплекса управления рисками ТКК (МИК-РМ) формулируются следующим образом:

Цель: МИК-РМ призвана автоматизировать все процессы управления рисками, и предназначена для предотвращения рисковых событий, снижения возможных убытков и расходов по их нейтрализации.

Задачи:

- реализация системного автоматизированного подхода в области управления рисками (с учётом требований COSO5);

- реализация механизмов анализа рисков с применением современных экономикоматематических методов;

- мониторинг и контроль выполнения бизнес-процессов по минимизации интегрированного риска компании (спектра рисков) и расчёт по этому поводу экономического эффекта;

- получение сводной аналитической отчётности по управлению рисками в режиме реального времени.

Этапы

управления

рисками

Консолидация

данных

Аналитика

Идентификация

рисков

МОДЕЛЬ МИК-РМ

Оценка рисков

Определение

мероприятий

Утверждение

мероприятий

Исполнение

мероприятий

Контроль

исполнения

Оценка

эффективности

База данных (справочники)

Мониторинг системы управления рисками

Рис. 6. Структура системы автоматизации управления рисками

C точки зрения программной архитектуры, МИК-РМ представляет собой трёхуровневую систему, состоящую из уровня представления данных, уровня бизнес-логики и уровня хранения данных (рис. 6).

6. Редукция исследований

в инновационную образовательную программу

Результаты исследований по управлению рисками на рынке инфокоммуникационных услуг органически включаются в инновационную образовательную программу кафедры «Математического моделирования бизнес-процессов» как одну из ведущих специализаций [26].

5 Охватывает внутренние системы контроля в компании (включая контроль факторов среды, оценку рисков, деятельность по контролю, информирование и коммуникации, мониторинг).

Миссия образовательной программы - формирование у студентов и выпускников кафедры устойчивых креативных способностей бизнес-аналитики современного, быстро растущего рынка инфокоммуникационных услуг с достаточной экономико-математической культурой и навыками эффективного управления рисками.

Цель реализации инновационной образовательной программы - в развитии системы креативов6 современной бизнес-аналитики исследования операций и интегрированного управления рисками на рынке инфокоммуникационных услуг (ИКУ).

Задачи, реализуемые в рамках инновационной образовательной программы:

- органическое соединение знания отрасли связи с социально-экономическими тенденциями развития региона;

- укрепление значимости математики в экономике - становление у наших выпускников достаточной экономико-математической культуры - фундамента современной бизнес-аналитики на рынке ИКУ;

- формирование достаточной риск-менеджмент культуры;

- глубокое использование современных информационных технологий в учебном и исследовательском процессе;

- органическое соединение образовательной, исследовательской и консалтинговой деятельности.

Формы реализации инновационной образовательной программы раскрыты [27] по каждой из приведённых выше задач, нацеленных на формирование определённой группы креативов.

Предполагается подготовка новых образовательных программ (в том числе, программ магистерского уровня), сочетающих теоретические знания с практическими навыками работы, создание системы инновационных методик по разработке программ учебных дисциплин, а также новых учебных курсов, в которых активно применяются новые образовательные технологии. К формам реализации задач относятся: создание новых образовательных программ, разработка инновационных учебно-методических комплексов (УМК), отдельных учебных курсов и учебных пособий, подготовка методик разработки инновационных курсов в партнёрстве с кафедрами ведущих университетов, создание научно-учебных лабораторий, проведение экспериментальных исследований, разработка и приобретение программных пакетов по анализу данных и моделированию бизнес-процессов.

Дисциплины по управлению рисками в учебных планах специальностей кафедры ММБП:

- теория риска и моделирование рисковых ситуаций;

- информационная безопасность;

- математические методы финансового анализа;

- моделирование и анализ бизнес-процессов;

- байесовские сети и операционные риски;

- моделирование рынка ценных бумаг;

- управление рисками финансовых обязательств;

- риск-менеджмент;

- теория игр;

- стохастические методы управления портфелем активов;

- методы многокритериальной оптимизации;

- модели и методы хеджирования рисков;

- страхование и актуарные расчёты;

- интегрированный риск-менеджмент на уровне предприятия;

- управление финансовыми рисками;

- модели рисковых инвестиционных процессов.

6 Креативность (от лат. сгеайо — созидание, сотворение) - творческая, созидательная, новаторская деятельность.

На рис. 7 показана структура компонентов: информационные технологии, управление рисками, математические и экономико-математические, а также социально-экономические дисциплины в учебных планах. Структура даётся по трём специальностям кафедры: «экономист-математик», «бизнес-информатик» и «экономист-информатик».

Специальность «экономист-менеджер» приводится для целей сравнительного анализа.

1 2 3

Экономист Экономист Бизнес Экономист

математик менеджер инсЬориатик инФооматмк

Рис. 7. Структура компонентов в учебной программе разных специальностей

Литература

1. Субботин А.Л. Френсис Бекон. М.: Наука. 1974. 375с.

2. Канев В.С. Управление рисками в телекоммуникациях // Российская научнотехническая конференция «Информатика и проблемы телекоммуникаций», Новосибирск, 2008. С. 16-17.

3. У. Бек Общество риска. На пути к другому модерну. Прогресс-Традиция, 2000. 384с.

4. Корпоративное управление [Электронный ресурс]. URL: http://www.avacco.ru/ page.asp?code= korporativnoe upravlenie (дата обращения: 25.02.2009).

5. Голдман М. Теория управления в США и России: сравнительный анализ // URL: http://rusref.nm.ru/indexpub158.htm (дата обращения: 25.02.2009).

6. Русинов Ф.М., Попова Е.В. Теория корпоративного управления неустойчивым состоянием экономики. М.: изд-во Рос. экон. акад., 1999. 60 с.

7. Круглый стол: Учимся управлять рисками [Электронный ресурс]. URL: http:// www.connect.ru/article.asp?id=5706 (дата обращения: 25.02.2009).

8. Кузовкова Т. А., Кузовков Д. В. Анализ развития российского рынка инфокоммуни-каций // Электросвязь. 2008. №2. С. 8-11.

9. Канев В.С. Риски рынка телекоммуникационных услуг // IX международная конференция «Проблемы функционирования информационных сетей» (ПФИС-2006), Новосибирск, 2006. С.120-123.

10. Рынок телекоммуникаций - глобальные тенденции // Рынок ценных бумаг. 2000. № 16. С. 50.

11. Чачин П. Предприятия связи осваивают риск-менеджмент // PCWeek/RE. 2007. № 3 С. 17.

12. Лихванцев Н., Генне О., Мазняк А. FMS СИСТЕМЫ: Барьер на пути мошенников // Связьинвест. 2005. № 1. С. 25.

13. Малков П. Взломай меня, если сможешь // URL: http://news.ngs.ru/more/ 42413 / (дата обращения: 25.02.2009).

14. Кто не рискует, тот... не умеет управлять рисками // Связьинвест. 2005. №5. С. 13.

15. Круглый стол: Учимся управлять рисками // Связьинвест. 2005. №6. С. 12.

16. Зинкевич В. А., Черкашенко В. Н. Карта рисков - эффективный инструмент управления // URL: http://www.franklin-grant.ru/ru/reviews/review7.shtml (дата обращения: 25.02.2009).

17. Энциклопедия финансового риск-менеджмента. М.: Альпина Бизнес-Букс, 2009. 936 с.

18. Международная конвергенция измерения капитала и стандартов капитала: новые подходы [Электронный ресурс]. URL: www.cbr.ru/today/PK/print.asp?file=

Basel.htm (дата обращения: 25.02.2009).

19. Долматов А.С. Математические методы риск-менеджмента. М.: Экзамен, 2007. 319с.

20. VAR [Электронный ресурс]. URL: http://www.riskcontrol.ru/riskmvar.shtml

(дата обращения: 25.02.2009).

21. Бунцев И.А. Операционный риск и байесовские сети // Российская научнотехническая конференция «Информатика и проблемы телекоммуникаций», Новосибирск, 2007. С. 336-339.

22. Шевцова Ю.В. Актуальность внедрения системы управления рисками в телекоммуникационных компаниях // Российская научно-техническая конференция «Информатика и проблемы телекоммуникаций», Новосибирск, 2008. с. 309-310.

23. Шевцова Ю.В. Методические подходы и практические приёмы операционного риск-менеджмента в компаниях телекоммуникационного сектора // Вестник СибГУТИ 2009. №1. С. 53 - 68.

24. Канев В.С. Управление операционными рисками на байесовских сетях // Третья азиатская международная школа-семинар «Проблемы оптимизации сложных систем», Киргизия, Иссык-Куль, 2007.

25. Бунцев И. А., Канев В. С. Интегрированный риск-менеджмент в телекоммуникационных компаниях // Российская научно-техническая конференция «Информатика и проблемы телекоммуникаций», Новосибирск, 2007.

26. Канев В.С. Инновационная образовательная программа подготовки бизнес-аналитиков // XLIX научно-методическая конференция СибГУТИ / Сиб. гос. ун-т телекоммуникаций и информатики, Новосибирск, 2008. С. 111.

27. Бунцев И.А., Канев В.С. Инновационная образовательная программа кафедры математического моделирования бизнес-процессов. Новосибирск: СибГУТИ, 2007. 37 с.

поступила в редакцию 31.01.2009.

Канев Валерий Семёнович

д.т.н., к.ф.-м.н., профессор, завкафедрой математического моделирования бизнес-процессов СибГУТИ, тел. (383) 269-82-77, e-mail: kanev@ngs . ru Бунцев Иван Александрович

к.т.н., доцент кафедры математического моделирования бизнес-процессов СибГУТИ, тел. (383) 269-82-77, e-mail: geodep@ngs.ru

System management of risks in telecommunications (the state of the problem, methods, models, realizations)

Buntsev I.A., Kanev V.S.

Questions of system management of risks in telecommunications are considered: the state of the problem, risk and uncertainty in the economic theory and economic practice, features of the branch, its brave structure and opportunities of management of risks. Questions of qualitative and quantitative riskmanagement, diagnostics of risks and modeling of operational losses, Bayes networks are discussed. Some domestic experience is given, questions of integrated risk-management and approaches to automation of management of risks are investigated, a reduction of researches in innovative educational program is carried out.

Keywords: risk, uncertainty, risk chart, risk profile, operational losses, Bayes networks, integrated riskmanagement, corporative control, business-processes, risk management automation, database, innovative educational program.