Информатизация бизнеса. Управление рисками - [2]

Авторы выражают глубокую благодарность А. И. Костогрызову за предоставленные иллюстративные материалы и помощь в подготовке содержательной части, в значительной мере обеспечившую качество данного учебного пособия. А. Костогрызов внес значительный вклад в развитие отечественных программно-инструментальных комплексов в области управления рисками, которые подробно рассмотрены в отдельной главе настоящего учебника. Написанные им работы породили массу новых исследований в области программной инженерии. Оценка, которую он дал нашей рукописи, и его вклад в эту книгу просто неоценимы.

Настоящая монография предоставляет базовые понятия по управлению рисками при информатизации бизнеса, раскрывает специфику индустрии информационных технологий и разработки программного обеспечения. Поскольку по своему замыслу монография ориентирована на студентов магистратуры и начинающих руководителей ИТ-проектов, ее изложение построено как учебник. Но учебник не совсем обычный. Дело в том, что охватываются накопленные знания и опыт из области системной и программной инженерии, то есть того научно-практического направления, которое продолжает находиться в стадии формирования. В отличие от классиков (в России в первую очередь имеются в виду работы профессора Липаева В. В., см. также технический отчет «Руководство в области программной инженерии совокупности знаний – SWEBOK», включающий материалы исследований ученых, опубликованных в англоязычной технической литературе на протяжении последних 30 лет), учебник растолковывает азы и лишь обозначает вершины, к которым должны стремиться профессионалы.

Чтобы понять своевременность появления учебника, необходимо осознать суть основных системных изменений нашего времени. А суть эта по-крупному заключается в:

• проникновении системной и программной инженерии в различные сферы человеческой жизнедеятельности;

• развитии и широком применении «процессного подхода» на уровне международных стандартов;

• достижении системных эффектов, определяемых возможностями применяемых ИТ и возникновением новых рисков, связанных с уязвимостями самих ИТ;

• объективных потребностях адекватного прогнозирования качества и рисков на всех стадиях жизненного цикла систем для различных условий и возможных угроз.

Сегодня эффективные решения и, как следствие, высокий уровень качества (в том числе безопасности) систем[1] во многом связаны с рациональным применением стандартов. Действующие на практике стандарты лишь отражают суть научно-технических достижений, фиксируя де-юре те требования и рекомендации, выполнение которых может способствовать относительному совершенству. Конец прошлого века можно признать плодотворным для развития системной[2] и программной инженерии[3]. В целях адекватной реакции на новшества и развитие ИТ подкомитет SC7 «Программная инженерия» объединенного комитета JTC1 «Информационные технологии» преобразован в подкомитет «Системная и программная инженерия» (SС7 JTC1 ISO/IEC), что отражает стремление к целостному решению проблем стандартизации в направлении всеобъемлющего качества именно систем в их жизненном цикле, а не составных компонентов или процессов. К настоящему времени в мире уже не один год действуют стандарты для систем любой области приложения – это набравший популярность ISO 9001 «Системы менеджмента качества. Требования», ISO/IEC 15288 «ИТ. Системная инженерия – процессы жизненного цикла систем», существенно повлиявший на последующее развитие стандартизации – см. рис. 1, 2, а также стандарты серий ISO 14000 (менеджмент экологической безопасности), OHSAS 18000 (менеджмент охраны труда), ISO/IEC 20000 (сервис-менеджмент), ISO/IEC 27000 (менеджмент информационной безопасности), 31000 (менеджмент риска), развиваются стандарты серии ISO/IEC 33000 (оценка процессов) и др. Таким образом, столь естественное наличие типовых процессов и их идентичное развертывание во времени характеризуют логическую похожесть различного рода систем. Именно анализу системных процессов, регламентируемых этими стандартами, в монографии уделено особое внимание.

Чтобы понять важность рассматриваемой тематики, вспомним некоторые факты.

Рис. 1. Процессы предприятия с ориентацией на потребителя по ГОСТ РИСО 9001

Рис. 2. Процессы жизненного цикла систем по ГОСТ РИСО/МЭК 15288

Обратимся к абсолютно приземленным казусам современного интеллектуального рынка. Вспомним 1997 год, когда разразился мировой финансовый кризис. Все началось с обвала акций высокотехнологичных компаний. Ослабление валют стран Юго-Восточной Азии привело к реализованной на программном уровне реакции биржевых роботов (программных систем автоматической биржевой торговли, анализирующих ситуацию на рынках, сравнивающих ее с хранимыми в памяти ситуациями и автоматически принимающих решения). Последние в автоматическом режиме выставили на продажу громадные объемы валют, с учетом чего национальные валюты в этих странах упали в 30–100 раз! А затем дефолт 1998 года в России… Через 10 лет в августе 2007 года те же биржевые роботы среагировали столь же «адекватно», как и были запрограммированы на подобное развитие биржевой ситуации, – в результате выполнения автоматических приказов одновременно был сгенерирован вал заявок на продажу американских ипотечных облигаций. Физика процессов достаточно проста: брокер-человек справляется лишь с 3–4 портфелями одновременно и в день способен заключить до 10–15 сделок, в то время как биржевые роботы управляют 100 портфелями и могут заключать до 500 сделок в день. В погоне за прибылью не было сделано системных ограничений на вал автоматических заявок. В итоге $260 млрд. убытка – это лишь частный побочный эффект от подобной оптимизации на бирже. Подчеркнем, ущерб сопоставим с совокупным годовым бюджетом нескольких государств Восточной Европы! И если в 1997 году в инициировании кризиса объявили нескольких английских брокеров, спекулировавших в Сингапуре, то в 2007 году обвинять некого – не вредоносные, а сугубо мирные компьютерные программы инициировали глобальный финансовый кризис!