Размещено на http://www.allbest.ru/

Аннотация

Работа на тему «Разработка визуального языка для управления рисками бизнес-процессов» выполнена Ушаковой Д.Е. студенткой 2 курса магистратуры факультета экономики, менеджмента и бизнес информатики, направление «Информационная аналитика в управлении предприятием» в 2018 году, кафедра информационных технологий в бизнесе. Результаты проведенного исследования предназначены для создания визуального языка управления рисками бизнес-процессов. Работа иллюстрируется примером управления рисками бизнес-процесса проведения государственных закупок. Работа включает 67 страниц, 16 иллюстраций, 7 таблиц и 13 приложений.



Оглавление

• Введение
• Глава 1. Аналитический обзор исследований в области управления рисками
• 1.1. Анализ исследований в области рисков
• 1.2. Бизнес-процесс управления рисками
• 1.3. Анализ подходов для управления рисками бизнес-процессов
• 1.3.1. Методология ROPE
• 1.3.2. Методология BPMSs
• 1.3.2. Подход к управлению рисками R-BPM
• 1.3.3. Подход к управлению рисками INMOTOS
• 1.4. Определения классификации рисков в сфере государственных закупок
• Глава 2. Разработка метамоделей языков описания бизнес-процессов
• 2.1. DSM и DSL
• 2.2. MetaLanguage
• 2.3. Общая схема процесса трансформаций моделей
• 2.4. Метамодель языка BPMN, дополненная угрозами
• 2.5. Метамодель AnyLogic
• 2.6. Трансформация моделей
• Глава 3. Построение и анализ бизнес-процесса государственных закупок
• 3.1. Описание бизнес-процесса проведения государственных закупок
• 3.2. Систематизация рисков процесса проведения государственных закупок
• 3.3. Исследование рисков процесса проведения государственных закупок
• 3.3.1. Построение онтологии рисков
• Заключение
• Библиографический список

Приложение



Введение

управление риск закупка метамодель

Практически любая деятельность в той или иной мере связана с понятием риска. Это понятие находится в тесной взаимосвязи с понятием безопасности: экономической, физической или информационной. Исследования зарубежных и отечественных ученых по проблемам риска указывают на отсутствие единого мнения относительно определения понятия «риск». При этом само понятия риска используется в целом ряде наук: финансы, экономика, медицина, философия, психология и пр., и опирается на собственные подходы и методы. Такое разнообразие направлений исследования риска вынужденное и объясняется многоаспектностью данного явления [1]. Таким образом, риски могут возникать в любом бизнес-процессе и для того, чтобы исключить весомое влияние на его деятельность требуется грамотно управлять рисками, осуществлять поиск мест в бизнес-процессе, где появление риска будет наиболее вероятным.

Эффективная организация системы управления рисками - это одно из наиболее значимых внутренних направлений деятельности компаний. Управление рисками, а также полное их предотвращение - это процесс принятия и выполнения управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь, вызванных его реализацией. Управление рисками должно осуществляться на основе выявленных рисков и некоторой системы минимизации рисков. Одним из самых важных факторов здесь является определение риска еще на этапе построения и моделирования бизнес-процесса. Чем раньше произойдет определение угрозы на каком-либо этапе выполнения модели бизнес-процесса, тем более есть вероятность того, что процесс будет выполняться с минимальными угрозами или вообще будет лишен рисков.

Очевидным становится тот факт, что процесс управления рисками должен предваряться работами по выявлению рисков. Правильно обнаруженные и оцененные риски в дальнейшем будут подвержены грамотному управлению с учетом вероятности их возникновения, возможных последствий и степени влияния на конкретный бизнес-процесс и результат деятельности компании.

Одной из областей деятельности, достаточно ярко иллюстрирующих всю полноту и разнообразие возможных рисков и возникновения угроз, является система проведения государственных закупок. Госзаказы имеют большой масштаб и выполняются в среде повышенной рисковой опасности. Безусловно, каждый из возникающих рисков должен быть выявлен, оценен и по возможности снижен, что касается как вероятности возникновения, так и возможных последствий реализации риска [2]. Решение выявленной проблемы возможно путем исследования вероятных рисков на основе модели процесса проведения государственных закупок. Результаты описания бизнес-процесса и последующего моделирования позволят выявить и систематизировать вероятные риски процесса, а также рассмотреть пути минимизации последствий рисков в случае их реализации.

Итак, актуальность темы исследования определяется необходимостью поиска «узких мест» в выбранном бизнес-процессе, а также необходимостью поиска путей снижения вероятности реализации рисков за счет исследования возникающих рисков и моделирования бизнес-процессов. Исследование выполнятся на примере бизнес-процесса проведения государственных закупок. Оно предполагает создание визуального языка, при помощи которого можно будет явно указать предполагаемые угрозы бизнес-процесса, в которых возможно возникновение риска.

Для описания бизнес-процессов существуют различные нотации, например BPMN, IDEF0, DFD и многие другие, а также известные инструменты моделирования, например, такие как Bizage Modeler или RunaWFE. Такие программные системы позволяют производить моделирование бизнес-процессов, их исполнение, мониторинг или анализ. Проектируемая программная система, предлагаемая в данной работе, позволит выявить риски в широком спектре нотаций и преобразовать их в практически любой язык имитационного моделирования. Известно, что имитационное моделирование позволяет выявить риски в динамике, моделируя функционирующий бизнес-процесс во времени. Следовательно, различные категории пользователей, использующие разнообразные нотации для описания бизнес-процессов, получат возможность провести имитационную экспертизу. Как уже говорилось ранее, в качестве примера в работе будет использован бизнес-процесс государственных закупок. Для описания бизнес-процесса в конкретном случае будет использована нотация BPMN (The Business Process Modeling Notation). BPMN - позволяет описать условные обозначения для отображения различных бизнес-процессов в виде диаграмм бизнес-процессов и она ориентирована на широкий круг пользователей: как на технических специалистов (разработчиков, которые ответственные за реализацию процессов), так и на бизнес-пользователей (бизнес-аналитиков, которые создают и улучшают процессы) и менеджеров, которые следят за процессами и управляют ими. Таким образом, BPMN служит связующим звеном между фазой дизайна бизнес-процесса и фазой его реализации. Для этого язык использует базовый набор интуитивно понятных элементов, которые позволяют определять сложные семантические конструкции.

В качестве инструмента имитационного исследования предполагается использовать AnyLogic (популярный в России и за рубежом инструмент имитационного моделирования, который имеет поддержку всех подходов к созданию имитационных моделей: процессно-ориентированный, системно-динамический и агентный, а также любую их комбинацию). Известно, что уникальность, гибкость и мощность языка моделирования, который представляет AnyLogic, позволяет учесть любой аспект моделируемой системы с любым уровнем детализации. Графический интерфейс AnyLogic, инструменты, библиотеки позволяют быстро создавать модели для широкого спектра задач от моделирования производства, логистики, бизнес-процессов до стратегических моделей развития компании и различных рынков. Помимо всего прочего, есть бесплатная версия программы с обширным набором инструментов [3]. Для указания места возможного возникновения риска (угрозы) модель бизнес-процесса, написанную с помощью какой-либо нотации (в данном случае BPMN) следует преобразовать в модель с угрозами. Для этого предполагается использовать DSL-инструментарий (Domain Specific Language) MetaLanguage [4] (Domain Specific Language). Преобразование исходной модели в модель с угрозами выполняется аналогично тому, как это делается в методологии ROPE (Risk-Oriented Process Evaluation).

Методология ROPE нацелена на обеспечение безопасности бизнес-процессов, учитывая риски и непрерывность бизнеса как неотъемлемую часть управления бизнес-процессами. ROPE комбинирует преимущества моделирования бизнес-процессов, управления рисками и непрерывностью бизнеса. Моделирование бизнес-процессов позволяет оптимизировать процессы компании в отношении финансовых аспектов и аспектов потоков работ, однако, управление рисками углубленно рассматривается отдельно. Тогда как концепции управления рисками и управления непрерывностью бизнеса обеспечивают эффективное управление рисками в целостном виде, они с трудом поддерживают моделирование рисков в процессно-ориентированном стиле. Используя методологию ROPE, появляется возможность заполнить пробел между этими концепциями для того, чтобы обеспечить моделирование бизнес-процессов, в которых снижена вероятность возникновения рисков.

Итак, исходная модель бизнес-процесса, написанная в какой-либо нотации, дополняется описанием рисков и преобразуется в один из языков моделирования. Разработчик бизнес-процесса получает возможность провести имитационный эксперимент, определяет, действительно ли возникает риск и с помощью специально построенной онтологии получает рекомендации по устранению рисков. Далее вносятся изменения в модель до тех пор, пока результаты моделирования не будут соответствовать требуемым показателям качества. В результате будет получена модель бизнес-процесса с низкой вероятностью возникновения рисков.

Итак, цель участников процесса заключается в минимизации вероятности возникновения рисков, а также, в сокращении их влияния на деятельность компании. Следовательно, целью данной работы является определение «узких мест» в бизнес-процессе, которые вероятнее всего могут быть подвержены угрозам (рискам) и дальнейшее преобразование процесса с целью минимизации или полного исключения угроз (рисков) в бизнес-процессе. Для достижения поставленной цели необходимо решить следующие задачи:

1. Провести аналитический обзор  существующих исследований в области управления рисками.

2. Разработать визуальный язык для указания угроз возникновения рисков в модели бизнес-процесса.

3. Выполнить проектирование прототипа программной системы для снижения возникновения рисков

4. Проиллюстрировать работу программной  системы на примере бизнес-процесса государственных закупок.

Объектом данного исследования является бизнес-процесс со сниженной вероятностью возникновения рисков. Предметом исследования - автоматизация процесса построения моделей бизнес-процессов со сниженный вероятностью возникновения рисков.

Научная новизна работы заключается в методологии минимизации рисков бизнес-процессов, которая заключается в том, что обнаружение и устранение рисков будет выполняться с достаточной долей автоматизации за счет использования имитационного моделирования, онтологического подхода и применения инструментария на основе DSM-платформы.

Практическая значимость данного исследования состоит в том, что полученные результаты могут быть применены для организации системы управления рисками в условиях осуществления государственных закупок, а также могут быть применимы к другим бизнес-процессам. Разработанная модель процесса проведения государственных закупок позволит выявить угрозы (риски), на основе которых, возможно определить пути минимизации вероятных последствий и повысить безопасность процесса.

Структура работы определена списком решаемых задач. Работа состоит из введения, трех глав, заключения, перечня используемых источников информации и приложений. В первой главе представлен аналитический обзор исследований, касающихся управления рисками в сфере проведения государственных закупок. Во второй главе произведена разработка метамоделей языков описания бизнес-процессов, описаны правила трансформаций моделей. В третей главе рассмотрен бизнес-процесс проведения государственных закупок, выявлены риски, возникающие в нем, проведено моделирование бизнес_процесса. Также приведена систематизация рисков процесса проведения государственных закупок, включающая риск, его вероятные последствия, возможные способы минимизация возникших последствий и предложения по предотвращению рисков в случае раннего их выявления. В дальнейшем планируется, разработать визуальный язык для того, чтобы можно было указать на «узкое место» в бизнес-процессе с помощью MetaLanguage.

Кроме того, в третей главе работы будет описано построение онтологии рисков государственных закупок, а также описано применение исполняемых моделей бизнес-процессов и систематизации рисков с целью применения их в организации системы управления рисками процесса проведения государственных закупок. В заключении будут подведены итоги работы, проанализированы полученные результаты.



Глава 1. Аналитический обзор исследований в области управления рисками

Одно из направлений исследований, обозначенное в данной работе - это управление рисками, имеющими вероятность реализации в процессе проведения государственных закупок. Качественное управление рисками невозможно без подробного рассмотрения самих рисков, выявления их особенностей, предпосылок возникновения, зависимости друг от друга, а также оценки их влияния на процесс и результат деятельности. Кроме того, требуется изучение процесса управления рисками, существующих методов и моделей. Поэтому, прежде чем приступить к исследованию проблемы управления рисками, необходимо проанализировать проблему существования рисков и возможности управления ими, далее - исследовать предметную область и рассмотреть возникающие в ней риски. Анализ будет представлен в данной главе в виде обзора наиболее значимых исследований в области управления рисками и сфере проведения государственных закупок. Проведение аналитического обзора предполагает ответы на следующие вопросы:

1. Что представляет из себя риск? Какими они бывают? Анализ развития теории риска позволит подробно исследовать основной элемент данной работы - риск.

2. Каким образом происходит управление рисками в целом? Рассмотрение основных понятий и методов риск-менеджмента позволит тщательнее исследовать процесс управления рисками и предложить способы по его улучшению в последующих главах работы.

3. Что представляет собой процесс проведения государственных закупок? Описание процесса на верхнем уровне позволит рассмотреть основные этапы деятельности, выявить наиболее подверженные рискам.

Далее будут рассмотрены различные исследования в данной области, дано определение риска, рассмотрен процесс управления рисками.

1.1 Анализ исследований в области рисков

Рассмотрение процесса управления рисками следует начать с изучения истории исследований рисков.

Термин «риск» имеет долгую историю, которая связана с развитием человеческого общества. Теоретическое осмысление риска, как экономической категории, начинается с формированием товарно-денежных отношений. Одновременно происходят стремительные изменения в математической науке, теории вероятностей.

Основные этапы в развитии исследований рисков представлены в таблице 1.1.

Таблица 1.1. Исследование рисков по временным периодам

Период	Направление исследований	Исследуемые риски
1654 - 1760 годы	- Открытие теории вероятностей (математической основы теории риска). - Формализация закона больших чисел, формы нормального распределения, процесса выбора и принятия решений.	- Риски финансовой сферы
1875 год	- Открытие регрессии.
1952 год	- Стратегия диверсификации вложений.
1952 год - настоящее время	- Исследование нефинансовых рисков. - Оценка рисков с целью принятия управленческих решений.	- Риски, связанные с основной деятельностью предприятий. - Риски внешней среды. - Риски, связанные с человеческим фактором. - Риски, связанные с техническими системами и объектами.

В 1654 году Паскаль Б. и Ферма П., проанализировав распространенную в XVII веке игру в кости, открыли теорию вероятностей, ставшую математической основой теории риска. Найденное решение задачи показало, что чело-век впервые смог в ситуации с неоднозначно определенным исходом принимать решения и предвидеть будущее с помощью чисел, другими словами управлять риском [5].

Это событие принято считать первоначальным исследованием риска, так как теория вероятностей содержит основные средства для расчета рисковых величин. Такие методы, как статистическая выборка, отклонение, регрессия и другие применяются при измерении риска. Далее развитием оценки рисков занимались Бернулли Я. (закон больших чисел), Муавр А. (форма нормального распределения), Бернулли Д. (процесс выбора и принятия решений), Байес Т. и другие.

Между 1654 и 1760 годами были разработаны практически все инструменты, использующиеся в настоящее время в управлении риском при анализе ре-шений и выборе системы поведения. Немного позднее, в 1875 году Гальтон Ф., открыл регрессию, или возврат к сред-нему [5].

Появление и последующее уточнение термина «риск» сначала происходило только в финансовой сфере, так как риски связывали с доходностью вложений и прибылью компаний. То есть, риски изучались только в рамках экономических наук, для определения параметров оценки рисков, и математических, для разработки методов оценки параметров.

В 1952 году появляется еще одна составляющая измерения риска - стратегия диверсификации вложений. Американский экономист Марковиц Г. математически обосновывал прямую зависимость, существующую между степенью риска и размером ожидаемой прибыли, и показывал, как минимизировать отклонения доходности от ожидаемого значения, если изначально продуманно распределить вложения [6].

Так продолжалось до XX века, на который приходится период наиболее активного изучения рисков. Кроме финансовых, исследователи начинают выделять риски, связанные с основной деятельностью предприятий, а также риски внешней среды, которые влияют на внутреннюю среду компаний. Риск начинает изучаться различными науками, такими как психология, управленческие и технологические дисциплины. Психология рассматривает риски, связанные с человеческим фактором, менеджмент использует управление рисками для принятия управленческих решений, технологические дисциплины изучают риски, связанные с техническими системами и объектами.

Термин «риск» имеет множество значений, предложенных учеными, занимавшимися исследованиями в области определения и управления рисками. Маршаллом А. [6]. одним из первых были рассмотрены проблемы возникновения экономических рисков, его труды положили начало неоклассической теории риска. Кейнс Дж. М. ввел термин «склонность к риску», характеризуя инвестиционные и предпринимательские риски.

В работе Найта Ф.  «Риск, неопределенность и прибыль» впервые была высказана мысль о риске как количественной мере неопределенности. В трудах Моргенштейна О. и Неймана Дж. Также были разработаны вопросы теории риска, отражающие взаимосвязь терминов «неопределенность» и «риск». Отечественными учеными Альгиным А.П., Райзбергом Б.А. были разработаны проблемы восприятия риска как сложного социально_экономического явления, имеющего множество противоречивых основ.

Большинство исследователей рассматривают отрицательное влияние риска на результат деятельности. Но согласно Воронцовскому А.В. «Управление рисками» риск - это колеблемость результата [7]. Балабанов И.Т. в «Риск-менеджмент» высказывает подобную идею, говоря, что в случае реализации риска «возможны три экономических результата: отрицательный (проигрыш, ущерб, убыток), нулевой и положительный (выигрыш, выгода, прибыль)» [8].

Определения термина «риск», разработанные на протяжении всего периода развития теории рисков, во многом пересекаются. Но что намного важнее, они дополняют друг друга. Следовательно, дают более полную картину для понимания значения термина.

В данной работе будет использоваться определение риска, связывающее риск с негативным влиянием на выбранный бизнес-процесс и деятельность организации в целом. То есть риск - это предполагаемое событие, которое может принести ущерб или убыток предприятию.

1.2 Бизнес-процесс управления рисками

Управление рисками или риск-менеджмент - это процесс принятия и выполнения управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь, вызванных его реализацией [9].

Выделяют четыре различных стратегии управления рисками:

- методы уклонения от риска (отказ от рискованных проектов, работа только с надежными контрагентами);

- методы локализации риска (контроль наиболее опасного участка деятельности, источника риска);

- методы распределения риска (уменьшение влияния риска на деятельность путем привлечения к решению общих проблем партнеров, а также применения диверсификации риска);

- методы компенсации риска (применение механизмов предупреждения опасности) [10].

Несмотря на непохожесть методов, процесс управления рисками содержит в себе несколько одинаковых этапов, обязательных для выполнения при работе с рисками.

Боровкова В.А. разделяет процесс принятия решения в ситуации риска на 8 этапов (см. рис. 1.1) [11]:



Рисунок 1.1. Процесс принятия решения в ситуации риска

Таким образом, при ответственном подходе к выбору решения в ситуации риска, в первую очередь необходимо идентифицировать риск и провести анализ, затем оценить риск в каждой имеющейся альтернативе; принять со-ответствующее целям и интересам предприятия решение; принять меры по снижению сте-пени риска; и, наконец, произвести анализ и оценку результатов принятого решения. Научный подход, рассматривающий совокупность этих действий и мер представляет собой риск-менеджмент.

Большинство существующих исследований на тему риск-менеджмента [12] предлагает использовать для управления рисками математические, статистические, вероятностные и другие инструменты. Для идентификации и определения взаимного влияния рисков строятся матрицы рисков, где определяется вероятность возникновения риска [13], или «деревья рисков», где применяются нечеткие графовые модели [14], далее для оценки самого риска используется некоторый математический аппарат с последовательными преобразованиями и расчетами, выполненными на основе экспертных оценок. Прогнозирование риска происходит посредством обхода дерева принятия решений, созданного на основе выполнения исследуемого процесса с учетом данных, участвующих ресурсов, длительности задач и некоторой контекстной информации, например, частоты повторения процесса [15]. Управление рисками осуществляется на основе моделей планирования, например рыночной модели.

Управление банковскими рисками осуществляется с помощью финансового и организационно-финансового механизмов [16]. Минимизация ущерба и обеспечение управляемости политических и информационных рисков производится за счет страхования, экспертной деятельности и институционализации [17]. Для управления медицинскими рисками используют предупредительные организационно-технические меры с целью снизить вероятность наступления риска или размер возможного ущерба [18].

Выявление и управление стратегическими рисками на уровне страны осуществляется посредством проведения социологических опросов, использования экспертных оценок и принятия различных мер через политические, правовые и организационные рычаги [19].

В некоторых случаях методы принятия решении в условиях риска разрабатываются и обосновываются в рамках теории статисти-ческих решений, используются приемы теории игр. Это возможно когда риск представлен в виде матрицы вероятностей ожи-даемого среднего риска. Игрок - управляющая рисками организация - выбирает стратегию, которая обеспечивает ему минимальный средний риск [20].

Многие из приведенных выше методов выявления, оценки и управления рисками эффективны, но не позволяют провести моделирование деятельности и увидеть все возможные варианты развития процесса с учетом влияния рисков.

Чтобы это стало возможным, воспользуемся комбинацией двух методов, позволяющих управлять рисками, а именно: бизнес-процессы и имитационное моделирование. Данный подход относится к методам компенсации риска, является трудоемким, но позволяет наиболее точно выявить необходимые меры для предупреждения рисковой ситуации.

Построение моделей бизнес-процессов, с целью последующего имитационного моделирования, позволяет учесть все возможные пути развития процесса, на которые могут повлиять риски. Представление сложного процесса в виде модели, ориентированной на оценку и управление рисками, позволяет сконцентрироваться на минимизации вероятности наступления риск-фактора или снижении его неблагоприятных последствий. Моделирование дает возможность подробно проанализировать процесс, выявить слабые места, наиболее подверженные возникновению рисков и разработать программу управления рисками.

Имитационное моделирование бизнес-процессов в процессе управления рисками необходимо применять на этапе анализа риска, его оценки и, далее, управления риском. Имитационное моделирование позволяет рассмотреть альтернативные пути развития процесса, оценить влияние реализации риска на результат и показать меры, которые необходимо принять для минимизации влияния риска. Впоследствии, на основе результатов моделирования, можно выбрать окончательное решение проблемы, возникшей при угрозе риска процессу.

Говоря об управлении рисками на основе бизнес-процессов и имитационного моделирования, стоит отметить, что деятельность по управлению рисками является существенной в отношении поддержания бизнес-процессов организации. В достижении изначально поставленной цели процесса всё чаще решающим фактором становится способность организации предотвращать риски, а также оперативно и адекватно реагировать на возникающие угрозы. Для того чтобы справиться с этими проблемами, компании описывают и моделируют бизнес-процессы и применяют подходы к управлению рисками.

1.3 Анализ подходов для управления рисками бизнес-процессов

В настоящий момент времени существует достаточно большое количество различных подходов и методологий для описания и управления рисками бизнес-процессов. Было выделено четыре основных подхода: ROPE, BPMSs, R-BPM, INMOTOS и проведен их сравнительный анализ.



1.3.1 Методология ROPE

Традиционный менеджмент фокусируется на экономической оптимизации процессов, в то время как управление рисками обеспечивает разработку надежных бизнес-процессов для повышения устойчивости бизнеса. Всё это направлено на повышение эффективности бизнеса, но оптимизация бизнес-процессов и риск-менеджмент подходят к этой цели с разных взглядов на понимание совершенствования. Один из способов объединить данные подходы - это моделирование с помощью методологии Risk-Oriented Process Evaluation (далее - ROPE), которая объединяет возможности управления бизнес-процессами, управление рисками и управление непрерывностью бизнеса, что позволяет поддержать комплексный анализ бизнес-процессов не только в части их экономической эффективности, но также их надежности и безопасности [21].

Методология ROPE предполагает применение процессного подхода, то есть моделирование бизнес-процессов с учетом возможных угроз и мер для их предотвращения. Особое внимание в методологии уделяется централизованному взгляду на ресурсы организации с целью анализа потребности в них с применением управления бизнес-процессами. ROPE сочетает в себе традиционное моделирование бизнес-процессов, процессно-ориентированное управление рисками и угрозами и описание противодействующих риску мер и восстановительных мероприятий. Всё это позволяет очертить общее воздействие внешних факторов на выполнение бизнес-процесса.

В подходе к управлению рисками ROPE предлагается трехслойная модель (см. рис. 1.2), состоящая из слоя бизнес-процессов, описывающих деятельность, слоя CARE (Condition, Action, Resource, Environment) - компонентов деятельности (условия, действия, ресурсы, среда) (см. рис. 1.3) и TIP (Threat Impact Process) слоя (см. рис. 1.4), охватывающего угрозы (риски), которые могут повлиять на деятельность, и контрмеры, которые могут смягчить последствия реализации рисков. Разработанная на основе методологии ROPE модель процесса может быть проанализирована посредством моделирования с целью выявления последствий реализации рисков и эффективности контрмер, принятых для их снижения [22].

CARE диаграммы используются для совершенствования бизнес-процессов, основываясь на концепции ROPE. Отношения между CARE элементами выражаются линиями, которые определяются траекторией зависимости между элементами.

Концепция условия CARE - это ключевой элемент CARE диаграмм. Они описываются зависимостями между CARE элементами - действия, ресурсы и среда. Вследствие того, что CARE элементы временно зависят друг от друга, задержки, которые вызваны недоступностью одного или нескольких элементов, являются последствием добавления времени на выполнение процессов.

Соединение CARE элементов осуществляется с помощью логических операторов, включающих комплексные связи.

Рисунок 1.2. Трехслойная модель ROPE



Рисунок 1.3. Слой CARE в методологии ROPE

TIP диаграммы описывают влияние угроз на CARE элементы и контрмеры для них. Предупредительные меры - это действия, напрямую влияющие на вероятность возникновения угрозы. Реагирующие меры концентрируются на уже осуществленных угрозах.

TIP диаграммы имеют три основные области применения:

- поддержка при идентификации потенциальных рисков;

- документирование и визуализация рисков;

- определение влияния рисков с помощью моделирования.

TIP диаграммы рассматривается как итеративный процесс, содержащий выявление, предупредительные меры и восстановительные подпроцессы для возникающих рисков (угроз).

Подпроцессы, возникающие при моделировании TIP диаграмм делятся на три типа:

1. Подпроцесс выявления. В данном подпроцессе выявляются угрозы. Последствия угроз напрямую зависят от времени обнаружения угрозы. «Когда» и «как» обнаружения определяют применяемые контрмеры или методы по устранению возникающих рисков (угроз).

2. Подпроцесс применения ответных мер. Контрмеры напрямую зависят от угроз. Если ответные меры не позволяют предотвратить угрозу, все ее влияние сконцентрируется на CARE элементах.

3. Восстановительный подпроцесс. Данный подпроцесс обеспечивает восстановление функциональности подверженных влиянию угроз CARE элементов.

Рисунок 1.4. Слой TIP в методологии ROPE

Подпроцессы, как и сам TIP уровень, могут быть выполнены в различных итерациях. Каждый подпроцесс выполняется, по меньшей мере, через одну итерацию. Выполнение процесса может привести к изменениям в угрозах или модификациям в функционировании CARE элементов.

Выявление угроз является основой для соответствующей реакции. Критическим фактором является время между определением угрозы и применением ответных мер. Длинный временной промежуток может привести к высокому влиянию угрозы. Если угроза не была выявлена, возможен максимальный эффект от нее.

Подпроцесс выявления угроз является итеративным и состоит из следующих стадий:

1. Стадия оценки. Идентификация угроз как основа для инициирования определенного набора реакций. Тип выявления определяет применяемые ответные меры.

2. Стадия применения ответных мер. Активация подпроцесса применения ответных мер.

На примере бизнес-процесса «Осуществление закупки у единственного поставщика» (рис. 1.5), явно видно, что задержка выполнения этапа в расчете и обосновании цены контракта, откладывает начало времени выполнения следующего этапа, на котором существует необходимость размещения в ЕИС извещения об осуществлении закупки у единственного поставщика.



Рисунок 1.5. Пример влияния задержки времени для выполнения следующего этапа бизнес-процесса «Осуществление закупки у единственного поставщика»

Увеличение затраченного времени на этап расчета и обоснования цены контракта может быть связан с нехваткой человеческих ресурсов, медленной работой компьютера, на котором производится расчет, а также внешние влияния, например, несвоевременное предоставление документации для заключения контракта с поставщиком. Для минимизации угроз, необходимо понимать, что подпроцесс применения ответных мер представляет деятельность по применению ответных мер. Пока угроза определенному этапу бизнес-процесса существует, подпроцесс может повторяться, а также возвращаться на стадию выявления угроз. Результатом данного подпроцесса являются:

- устраненные угрозы;

- дальнейшие ответные меры не существует (меры по устранения риска).

Подпроцесс применения контрмер состоит из следующих стадий:

1. Стадия оценки. Ситуация оценивается относительно выявленной угрозы и степень влияния на функционирование CARE элементов.

2. Стадия применения контрмер. Выполняется минимизация влияния угроз.

3. Восстановительная стадия. Выполняется восстановительный подпроцесс.

Основная цель восстановительного подпроцесса - это восстановление функционирования CARE элементов. Этот процесс делится на краткосрочные и долгосрочные меры восстановления. Краткосрочные меры обеспечивают минимальную функциональность CARE элементов. Долгосрочные меры отвечают за восстановление полной функциональности CARE элементов.

Восстановительный подпроцесс состоит из следующих стадий:

1. Оценка. Выявление причин влияния на CARE элементы. Выбор требуемых восстановительных мер зависит от степени влияния угроз на функционирование CARE элементы.

2. Стадия восстановления. Применение выбранных краткосрочных и долгосрочных восстановительных мер.

В настоящий момент времени, ROPE поддерживает два подхода к моделированию: первый - TIP анализ, второй - моделирование влияния угроз на состояние CARE элементов.

Использование анализа в процессе моделирование TIP диаграмм позволяет определить возможные пути TIP. Кроме того, частота встречаемости каждого пути и его элементов может быть идентична. Также, возможно определить время выполнения и причины каждой угрозы в процессе моделирования TIP диаграмм.

Моделирование влияния угроз нацелено на определение и визуализацию влияния угроз и контрмер он непрерывность выполнения бизнес-процессов. CARE элементы, которые представляют компоненты бизнес-процессов, сталкиваются с угрозами, которые уменьшают их функциональность. Внимание должно быть уделено тому, что TIP и возникающие угрозы являются параллельными процессами, которые взаимно влияют друг на друга. TIP старается устранить угрозу и восстановить состояние CARE элементов (положительное влияние), тогда как процесс влияния угроз продолжает влиять на CARE элементы негативно.

После моделирования могут возникнуть следующие четыре состояния:

- угрозы устранены и CARE элементы функционируют;

- угрозы устранены и CARE элементы не функционируют;

- угрозы не устранены и CARE элементы не функционируют;

- угрозы не устранены и CARE элементы функционируют.

Четвертое состояние «Угрозы не устранены и CARE элементы функционируют» возникает только как временное в процессе моделирования, так как мы предполагаем, что угрозы всегда влияют на состояние CARE элементов.

Итак, моделирование влияния угроз позволяет, во-первых, определить как изменится состояние CARE элементов и, во-вторых, определить дополнительное время и затраты, которые потребуются в результате выполнения мер по восстановлению состояния поврежденных CARE элементов.

Основным недостатком подхода к моделированию рисков ROPE является то, что построенная модель процесса будет ориентирована на риски, связанные с нехваткой ресурсов, и деятельность по предотвращению подобных угроз выполнению процесса. Применение ROPE возможно только для управления рисками простых процессов, так как для описания сложной, многокомпонентной деятельности может быть недостаточно предлагаемого функционала.

Существует множество подобных ROPE методологий для управления рисками, но, необходимо заметить, что немногие из них удовлетворяют всем возможным критериям, которые необходимо учитывать при управлении рисками. Некоторые модели управления рисками фокусируются на описании исследуемого процесса, то есть позволяют отобразить этапы деятельности и выявить возможные риски, но не предоставляют возможности провести моделирование и предпринять меры по предотвращению риска или его влияния. Другие - моделируют построенный с учетом рисков процесс, не предлагая полезного анализа. Кроме того, существуют подходы, ориентированные на анализ риска и предложение путей минимизации угроз и их последствий, без возможности моделирования и проверки эффективности предложенных мер.



1.3.2 Методология BPMSs

При том, что многие модели, направленные на управление рисками, ограничены только построением модели, моделированием или анализом, среди них выделяется подход к моделированию рисков, разработанный в контексте Business Process Management automation Suites (далее - BPMSs). Авторы подхода предлагают язык, который позволяет строить модель процесса с учетом рисковых условий. Вероятности возникновения рисков оцениваются с использованием исторических данных по исследуемому процессу и текущей информации, получаемой во время моделирования экземпляров процесса. При реализации риска в выполняемой модели отмечается риск и подверженный риску экземпляр процесса (рисковая ситуации при определенных условиях). Подход позволяет моделировать условия, связанные с организационными, структурными и информационными рисками. Выявленные риски анализируются с помощью метода анализа дерева отказов (Fault Tree Analysis). Описанный подход обладает достаточно широкими границами и может быть применен практически в любой предметной области. Недостатком метода является отсутствие успешных применений на практике, так как он не был внедрен в реальной организации.

1.3.3 Подход к управлению рисками R-BPM

На сегодняшний день широкое практическое применение получил подход к управлению рисками Risk-Aware Business Process Management (далее - R-BPM). Данных подход к моделированию и управлению рисками основывается на проходе по всем стадиям жизненного цикла риск-безопасного моделирования (рис. 1.6). Исследуемый процесс моделируется с учетом возникающих рисков, риски уточняются, оцениваются и контролируются, выявляются меры по предотвращению риска.



Рисунок 1.6. Жизненный цикл R-BPM

1.3.4 Подход к управлению рисками INMOTOS

Проект зависимости инструментов моделирования и симуляции (Interdependency Modeling Tool and Simulation - INMOTOS) направлен на разработку инструмента для моделирования и оценки бизнес-процессов, а также воздействия на них непредвиденных ситуаций и рисков [23]. В рамках данного проекта создана методология, которая позволяет моделировать сложные бизнес-процессы, их структуры и зависимости друг от друга, а также угрозы и меры по их предотвращению.

На первом шаге, необходимо производить моделирование воздействия возможных угроз с учетом времени. Далее, производится оценка рисков с использованием различных методик расчетов. В основе INMOTOS лежит методология оценки рисков - ROPE [24], из-за ее высокой гибкости.

INMOTOS-методология должна включать возможность модделировать взаимосвязи между различными планами на случай непредвиденных обстоятельств, а также уметь внедрять их в бизнес-процессы. Поэтому, она включает в себя две функции:

1. Концепция, которая показывает, что в основном каждый ресурс можно моделировать как отдельный бизнес-процесс, который сам по себе требует ресурсов и зависит от угроз. Поэтому, щелкнув на узел ресурса, можно развернуть вид, который покажет как происходит генерация ресурса и угроз, связанных с бизнес-процессом в целом, а также как этот бизнес-процесс связан к компанией, в которой он происходит.

2. Проверка модели, если ресурс превышает ее емкость, чтобы иметь возможность идентифицировать узкие места, когда, например, несколько компаний (или офисов одной компаний) используют один ресурс [23].

В методологии INMOTOS предполагается, что бизнес-процессы должны быть смоделированы очень простым, но мощным способом, который обеспечивает высокую гибкость и адаптивность во время моделирования.

Ниже представлены требования к методологии:

- взаимозависимость между бизнес-процессами и планами действий при возникновении возможных угроз различных компаний;

- поток времени - симуляция должны быть возможной во времени;

- связи между всеми соответствующими элементами методологии;

- угрозы и их результаты, смоделированные в деталях;

- сложные сценарии, конвертируемые в методологию;

- контрмеры и их отношение к ресурсам и последующие бизнес-процессы, конвертируемые в методологию;

- моделирование потенциала ресурсов и их развитие с течением времени;

- оценка риска основанная на доходах и прибылях;

- оценка риска на основе существующих контрактов и соглашений об уровне обслуживания (SLA) и возможность их сохранения;

- оценка риска на основе человеческой жизни, заявленной в связи с возникающими угрозами и контрмерами;

- оценка риска отдельных параметров, участвующих в бизнес-процессе компаний.

Таким образом, при моделировании возможного сценария необходимо определить важные бизнес-процессы. Это делается с помощью CARE-диаграмм. После того, как бизнес-процессы построены, на следующем этапе они разбиваются на действия, которые необходимо выполнить для завершения бизнес-процесса в обычной повседневной жизни. Чтобы убедиться, что все требования к действию выполнены, необходимо добавить ресурсы, которые могут потребоваться для завершения действий по процессу. Следующим шагом, добавляются угрозы и действия с угрозами. Если угроза возникает, она имеет определенный шанс вызвать действие угрозы, которое, в свою очередь, может вызвать дополнительные первоначальные затраты на бизнес процесс и ограничить ресурсы. Чтобы была возможность реагировать на возникающие угрозы, нужно установить агенты обнаружения, являющимися механизмами, которые проверяют, происходят ли угрозы или действия угрозы и могут запускать контрмеры любого рода. После того, как добавление агентов для обнаружения угроз на последнем шаге завершено, необходимо устранить угрозу и ее влияние на ресурсы [23].

Описанные подходы к моделированию рисковых ситуаций показывают, что для эффективного управления рисками недостаточно применить один из них на практике, необходимо комбинировать методы и вводить улучшения. Поэтому в данной работе будет использоваться подход, включающий в себя представление исследуемого процесса в графическом виде с помощью одной из широко используемых нотаций построения бизнес-процессов, выявление рисков процесса, разработка имитационной модели с учетом рисков на основе бизнес-процесса и моделирование различных рисковых ситуаций.

Использование имитационного моделирования бизнес-процессов, построенных с учетом возможных рисков, является эффективным способом управления рисками. Имитационное моделирование - это процесс создания модели реальной системы и проведения экспериментов на ней с целью понять поведения системы и оценить различные стратегии её функционирования [25].

Предварительное исследование и построение имитационной модели бизнес_процесса позволяет выявить слабые места процесса, на которые может воздействовать риск. Имитационная модель может помочь понять поведение системы, описанной с помощью средств моделирования бизнес-процессов, и оптимизировать систему, рассматривая различные стратегии поведения. Применение имитационного моделирования в процессе управления рисками позволяет количественно оценить рисковые параметры (вероятность наступления, предполагаемый ущерб), которые будут использоваься в дальнейшем при принятии решений.

1.4 Определения классификации рисков в сфере государственных закупок

В данном пункте будет рассмотрен процесс проведения государственных закупок, который в данной работе используется в основе примера, выявлены его особенности и основные черты. Также будет дана краткая характеристика рисков, возникающих в исследуемом процессе.

Сфера государственных закупок является одной из важнейших областей деятельности государства [26]. Объемы государственных закупок постоянно возрастают. Посредством государственных и муниципальных закупок решается множество задач, например, поддержание необходимого уровня обороноспособности и безопасности государства, создание материальных резервов страны, обеспечение жизнедеятельности населения и другие, не менее важные задачи [27].

В соответствии с Федеральным законом от 5 апреля 2013 г. № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» закупка товара, работы, услуги для обеспечения государственных или муниципальных нужд - это совокупность действий, осуществляемых заказчиком и направленных на обеспечение государственных или муниципальных нужд. Закупка начинается с определения поставщика (подрядчика, исполнителя) и завершается исполнением обязательств обеими сторонами контракта [28].

Существует несколько способов проведения государственных закупок, самым популярным из которых является электронный аукцион [26]. Как правило, общая схема проведения государственных закупок представлена следующим. Государственный заказчик разрабатывает конкурсную документацию и публикует объявление о проводимом конкурсе в официальных изданиях, на официальном сайте государственных закупок или в других открытых источниках. Заинтересовавшиеся участники приобретают конкурсную документацию и подают заявки на участие. При необходимости каждый участник может задать уточняющие вопросы заказчику, ответы на которые рассылаются всем участникам. По окончании конкурса выбирается победитель, соответствующий установленным требованиям, с которым заключается контракт. Остальные участники также оповещаются о результатах конкурса [29].

Несмотря на то, что государственные закупки строго регламентированы Федеральным законом большие объемы государственных закупок и не всегда прозрачная процедура выбора поставщика приводят к тому, что в процессе возникает множество рисков, которые могут иметь последствия, фатально влияющие на весь процесс. Опасность возникновения и реализации рисков прослеживается на каждом этапе проведения государственных закупок, начиная с разработки документации и заканчивая приемом выполненных условий контракта поставщиком (выполнение работ, оказание услуг, поставка товаров).

Исследованию рисков процесса проведения государственных закупок посвящена большая доля научных работ. В них проводятся классификации возникающих рисков, оцениваются риски и предлагаются пути по снижению вероятности реализации рисков и сокращению ущерба, приносимому деятельности как заказчика, так и поставщика (подрядчика, исполнителя). В экономике предлагают следующую классификацию рисков процессов проведения государственных закупок [30]:

- Основные риски:

· ресурсные,

· административные,

· макроэкономические.

- Специфические риски:

· риски со стороны организаторов конкурса;

· риски, препятствующие участию промышленных организаций в государственных закупках;

· риски непосредственного закупочного процесса.

Предложенная Новичковой О.Е. [30] классификация рисков достаточно подробная, но составлена с экономической точки зрения на процесс проведения государственных закупок, поэтому не может считаться оптимальной. Также в классификации рисков не определены зависимости между рисками, влияние их друг на друга и последствия в виде других рисков в случае реализации одного.

Другая классификация рисков процесса проведения государственных закупок, предложенная Рабочей группой промышленных компаний (Industrial Companies Working Group), опирается на источники возникновения рисков [31]:

- заказчики - риски при планировании конкурса и разработке документации и требований к победителю, к объекту закупки, риски низкой дисциплины при выполнении условий контракта;

- комиссии - риски необоснованных действий по рассмотрению заявок и выбору победителя;

- электронная торговая площадка - риск технических сбоев, потери информации;

- поставщики (исполнители, подрядчики) - риск предоставления недостоверных сведений и документов, риск недобросовестная конкуренция, в том числе сговора (как с другими претендентами, так и с заказчиком), некачественное исполнение контракта и др.

Данная классификация отличается описанием всех участников процесса проведения закупки, но не учитывает непредвиденные риски, например, риски нехватки денежных средств или временных и финансовых ресурсов на этапах выполнения победителем условий контракта. А также, классификация не учитывает взаимосвязь рисков. Следовательно, классификацию нельзя назвать оптимальной.

Более подходящая для данной работы классификация рисков - классификация рисков при заключении и исполнении государственного контракта, разработанная Ломакиной О.Б. Предлагается разделить риски на две группы - риски, возникающие до заключения контракта и при исполнении контракта [32].

- До заключения контракта:

· Риск вступления в договорные отношения с не дееспособным или не платежеспособным партнером.

· Риск отказа партнера от заключения контракта после его присуждения.

· Риск недобросовестной конкуренции.

- При исполнении контракта:

· Риск возникновения непредвиденных расходов и снижения доходов.

· Риски косвенных и прямых убытков.

· Риски возникновения разногласий.

· Риск признания договора недействительным.

· Риск недопоставки.

· Риск досрочной поставки или задержки поставки.

· Финансовый риск (валютный).

· Инфляционный риск.

· Риски несвоевременной оплаты или неоплаты покупателем контракта.

· Риски, возникающие при расчетах по контракту.

Представленная классификация, как и две предыдущих, также не предоставляет возможности рассмотреть взаимосвязь и взаимовлияние рисков. В данной работе особое внимание будет уделено временным и финансовым рискам, так как последствия их исполнения могут серьезно влиять на ход выбранного бизнес-процесса.



Глава 2. Разработка метамоделей языков описания бизнес-процессов