Опыт разработки программных средств для создания безрисковых бизнес-процессов

Известно, что риски могут возникать в любом бизнес-процессе, и для того чтобы исключить их влияние на выполнение бизнес-процесса, требуется грамотно управлять ими, уметь определять, при каких условиях появление риска будет наиболее вероятным и предпринимать попытки изменить эти условия, устраняя возможность появления риска.

Очень важно уметь выявлять риски еще на этапе построения и моделирования бизнес-процесса. Чем раньше определить риск, тем более вероятно выполнение бизнес-процесса с минимальными угрозами его возникновения. В таком случае бизнес-процесс вообще может стать свободным от риска.

В настоящее время выявлено большое количество рисков, которые могут возникнуть в бизнес-процессе, они приводятся в публикациях; классификация рисков приводится авторами в разделе.

Для выявления рисков предлагается использовать метод имитационного моделирования. Он позволяет выявить "узкие места" в бизнес-процессе, например определить возможность нехватки ресурсов (нехватка мате-

риалов), возможность возникновения простоев, возможность слишком медленного выполнения ряда операций и т.д.

В качестве инструментального средства имитационного моделирования авторы используют AnyLogic – это инструмент имитационного моделирования, который поддерживает процессно-ориентированную, агентную парадигмы моделирования, а также системную динамику и дает возможность решать самый широкий спектр задач в различных областях (логистика, производство, рекомендательные системы по выработке стратегии фирмы и т.д.). Система имитационного моделирования AnyLogic предоставляет пользователю удобный графический интерфейс, обширный набор библиотек для разработки моделей и средства анализа результатов моделирования.

При разработке бизнес-процессов аналитики обычно используют одну из нотаций: IDEF0, IDEF3, DFD, BPMN (The Business Process Modeling Notation) и т.д. Описывая биз-нес-процессы с использованием той или иной нотации, аналитики пытаются оптимизировать потоки работ, изучают финансовые аспекты, характерные для разрабатываемой бизнес-модели, а углубленное управление рисками ведется отдельно.

В предлагаемой работе предполагается, что аналитик, разрабатывающий бизнес-процесс и определяющий возможность появления рисков при функционировании бизнес-процесса, дополняет выбранную нотацию специальными значками. Эти значки указывают операцию бизнес-процесса, которую необходимо подробно исследовать.

Похожий подход принят в методологии ROPE (Risk-Oriented Process Evaluation), которая предназначена для преодоления разрыва между моделированием бизнес-процессов и управления рисками.

Для персонализации интерфейса авторы используют программное средство MetaLanguage (DSL-инструментарий, DSL – Domain Specific Language), позволяющее настроиться на конкретную предметную область.

С помощью инструментального средства MetaLanguage бизнес-процесс, представленный в виде графических диаграмм, транслируется в имитационную модель на языке Anylogic (или другой внутренний язык какой-либо системы имитации).

Результатом имитационного эксперимента являются сведения о рисках, которые могут возникнуть в бизнес-процессе. Используя онтологию рисков, определяют класс, к которому относится конкретный риск. Используя рекомендации к устранению рисков (или снижению их негативных последствий), вносят изменения в исходную бизнес-модель и повторяют имитационный эксперимент. Этот итерационный процесс повторяют до тех пор, пока не добьются того, что имитационный эксперимент продемонстрирует функционирование модели бизнес-процесса, в котором вероятность возникновения рисков отсутствует.

В дальнейшем будем рассматривать применение предлагаемой в настоящей статье методологии на примере конкретного бизнес-процесса: бизнес-процесса проведения государственных закупок.

Итак, подробнее рассмотрим методологии, связанные с управлением рисками биз-нес-процессов: ROPE, BPMSs, R-BPMN.

Похожие работы (ROPE,

BPMSs, R-BPMN)

Методология ROPE предполагает визуальное описание бизнес-процесса, который в дальнейшем дополняется угрозами (рисками). Далее выбирают угрозы (риски), которые бу- дут использоваться в выбранной для анализа области. Особое внимание в методологии уделяют ресурсам организации с целью анализа потребности в них.

ROPE сочетает в себе традиционное моделирование бизнес-процессов, процессноориентированное управление рисками и угрозами и описание противодействующих риску мер и восстановительных мероприятий. Все это позволяет очертить общее воздействие внешних факторов на выполнение бизнес-процесса [1].

В подходе к управлению рисками методология ROPE предлагает трехслойную модель, состоящую из слоя бизнес-процессов, описывающих деятельность организации, слоя CARE (Condition, Action, Resource, Environment) – компонентов деятельности (условия, действия, ресурсы, среда) и TIP (Threat Impact Process) слоя. Слой TIP предназначен для описания угроз (рисков), которые могут повлиять на деятельность организации, а также контрмер, которые могут в какой-то мере смягчить последствия возникновения рисков.

Еще одним подходом к моделированию рисков является подход, разработанный в контексте Business Process Management automation Suites (далее – BPMSs). Авторы этого подхода предлагают использовать язык, с помощью которого есть возможность строить модель процесса с учетом условий возникновения рисков [2].

Вероятность возникновения риска оценивают на основе исторических данных и текущей информации, полученной во время моделирования экземпляра бизнес-процесса. Риски, которые выявляют в ходе моделирования, анализируют с помощью дерева отказов (Fault Tree Analysis).

Однако метод еще не был внедрен в реальной организации, и нет достаточного количества экспериментов, что является недостатком этой методологии.

Подход к управлению рисками Risk-Aware Business Process Management (далее – R-BPM) имеет на текущий день широкое применение [3].

Он основывается на проходе по всем стадиям жизненного цикла риск-безопасного моделирования (см. рис. 1.). Бизнес-процесс изначально моделируется с учетом возника- ющих рисков, которые далее уточняются, оцениваются и контролируются.

Представленные выше подходы к моделированию рисковых ситуаций показывают, что для эффективного управления рисками недостаточно применить один из них. Вероятно, необходимо комбинировать методы или применять более эффективные.

К таким методам целесообразно отнести имитационное моделирование бизнес-процессов, построенных с учетом возможных рисков.

Рис. 1. Жизненный цикл R-BPM

Далее опишем риски, а также классы рисков, которые могут возникнуть в бизнес-процессе.

Классификация рисков бизнес-процессов

Исследованию рисков различных биз-нес-процессов посвящено много научных публикаций. В них проводятся классификации возникающих рисков, оцениваются и предлагаются пути по снижению вероятности возникновения рисков и сокращению ущерба, приносимому деятельности организации.

Как уже говорилось ранее, будем рассматривать конкретный бизнес-процесс. В [4] предлагают следующую классификацию рисков процессов проведения государственных закупок:

Основные риски

• •    ресурсные;

• •    административные;

• •    макроэкономические.

Специфические риски

• •    риски со стороны организаторов конкурса;

• •    риски, препятствующие участию промышленных организаций в государственных закупках;

• •    риски непосредственного закупочного процесса.

В представленной выше классификации не учтены зависимости между рисками, влияние их друг на друга и последствия, которые могут вызвать серию других рисков при возникновении одного из рисков.

Другая классификация рисков, предложенная Рабочей группой промышленных компаний (Industrial Companies Working Group), опирается на источники возникновения рисков [5]:

– заказчики – риски при планировании конкурса и разработке документации и требований к победителю, к объекту закупки, риски низкой дисциплины при выполнении условий контракта;

• –    комиссии – риски необоснованных действий по рассмотрению заявок и выбору победителя;

• –    электронная торговая площадка – риск технических сбоев, потери информации;

  – поставщики (исполнители, подрядчики) – риск предоставления недостоверных сведений и документов, риск недобросовестной конкуренции, в том числе, сговора (как с другими претендентами, так и с заказчиком), некачественное исполнение контракта и др.

В этой классификации достаточно подробно описаны все участники процесса проведения закупки, но она не учитывает непредвиденные риски, например риски нехватки денежных средств или временных и финансовых ресурсов на этапах выполнения победителем условий контракта. Кроме того, классификация не учитывает взаимосвязь рисков.

Наиболее оптимальная классификация рисков была разработана в [6]. Здесь предлагается разделить риски на две группы – риски, возникающие до заключения контракта и при исполнении контракта.

До заключения контракта возможно возникновение следующих рисков:

• -    Риск вступления в договорные отношения с недееспособным или неплатежеспособным партнером.

• -    Риск отказа партнера от заключения контракта после его присуждения.

• -    Риск недобросовестной конкуренции.

При исполнении контракта :

• -    Риск возникновения непредвиденных расходов и снижения доходов.

• -    Риски косвенных и прямых убытков.

• -    Риски возникновения разногласий.

• -    Риск признания договора недействительным.

• -    Риск недопоставки.

• -    Риск досрочной поставки или задержки поставки.

• -    Финансовый риск (валютный).

• -    Инфляционный риск.

• -    Риски несвоевременной оплаты или неоплаты покупателем контракта.

• -    Риски, возникающие при расчетах по контракту.

Представленная классификация, как и две предыдущих, также не дают возможности рассмотреть взаимосвязь и взаимовлияние рисков. Авторы предлагают использовать онтологии для преодоления указанных недостатков.

Онтология рисков

Систематизация    рисков    бизнес- процесса служит основой для разработки онтологии рисков. В онтологии представлены сами риски, их возможные последствия, предложения по минимизации возникших последствий и способы предотвращения рисков в случае, если об их реализации будет известно заранее.

Для бизнес-процесса государственных закупок онтология рисков процесса может быть представлена четырьмя классами: Риск, Меры по предотвращению риска, Последствия реализации риска и Пути минимизации последствий. Последствия реализации риска делятся на два подкласса: Последствия для заказчика и Последствия для участника.

На рис. 2 и 3 представлены ее фрагменты для риска требования отмены закупки по результатам общественного обсуждения и риска сбоев в РМИС, ЕИС соответственно.

Рис. 2. Фрагмент онтологии для "Риска требования отмены закупки по результатам общественного обсуждения "

Более подробно рассмотрим фрагмент онтологии:

"Риск требования отмены закупки по результатам общественного обсуждения" (см. рис. 2) является подклассом класса "Риск". Он может быть предотвращен с помощью "Осуществления закупки строго в соответствии с правилами проведения закупки".

В случае возникновения риск может повлиять на деятельность государственного заказчика - "Закупки не осуществлены". Последствие риска можно в какой-то мере нивелировать посредством "Осуществления закупки у единственного поставщика (подрядчика, исполнителя)".

"Риск сбоев в РМИС, ЕИС" является риском, связанным с информационными технологиями. Сбои в информационных системах могут привести как к незначительной потере данных, которые могут быть восстановлены при необходимости, так и к отмене закупки вследствие невозможности ее дальнейшего проведения по причине недоступности информационных ресурсов.

• Огвра™»ы_ай

Сйгращениё JIWT

ЙПьНОСТИПрСйед...

"Осуществлял ий закуп»! v един..

Принпйчалиё_»»е есшимй _дпя_дол...

Рис. 3. Фрагмент онтологии для "Риска сбоев в РМИС, ЕИС"

нарушалпсряда:

_провадежй_мк...

еигогнен*1я_ряу тярнапз_ре зерен..

• нарушал г л»-гр афик проведения...

НеСбхОДИМЫ_ДОГ» г«литвпылыв_мтр .

Орган ига ция_воз нежности _пр ев ад...

Построенная онтология рисков также позволит в дальнейшем извлекать из нее рекомендации по минимизации и устранению рисков в бизнес-процессе государственных закупок, а также при помощи каких действий ее можно нейтрализовать и сделать бизнес-процесс безрисковым.

После этого появляется необходимость преобразовать исходную модель бизнес- процесса с помощью правил MetaLanguage и вновь промоделировать на AnyLogic. Данный процесс позволит удостовериться, что изменения в исходной модели позволили избежать возникновения рисков (угроз) в бизнес-процессе. Бизнес-процесс "Осуществление закупки у единственного поставщика" на AnyLogic представлен на рис. 4.

Рис. 4. Бизнес-процесс "Осуществление закупки у единственного поставщика" на AnyLogic

DSL и MetaLanguage

Для решения задач, связанных с моделями, которые разработаны на разных языках, а также с помощью различных инструментальных средств, решаются с помощью реализации многих проектов [7, 8, 9]. Один из самых часто используемых подходов основывается на разработке и применении метамоделей, онтологий предметных областей [7, 8, 10]. Чтобы достичь максимальной гибкости разрабатываемых средств, необходимо реализовать многоуровневые модели, которые описывают системы с разных точек зрения [11] и с разной степенью детализации [12].

Требования, перечисленные выше, могут быть реализованы с помощью создания средств предметно-ориентированного моделирования (Domain Specific Modeling, DSM) и DSM-платформы, основным назначением которой является разработка высокоуровневых предметно-ориентированных языков (Domain Specific Languages, DSLs).

DSL предназначен, в частности, для создания моделей бизнес-процессов и целых биз-нес-систем, которые ориентированы на решение задач в разных предметных областях.

MetaLanguage – это языковой инструментарий, который ориентирован на решение поставленных задач [13, 14, 15].

Отметим, что на первом этапе разработки DSL в MetaLanguage создается новая метамодель – предметно-ориентированный язык моделирования, который используется для создания моделей, ориентированных на решение конкретных задач. Далее строится метамодель с помощью графического редактора моделей. При создании метамодели определяются базовые конструкции языка (сущность, отношение, ограничение).

Таким образом, в процессе создания DSL определяются сущности метамодели, отношения между ними и задаются ограничения, которые накладываются на сущности и отношения. В итоге получается расширяемый, динамически настраиваемый визуальный язык моделирования. Разработанный язык может быть использован в качестве метаязыка для разработки новых языков.

Созданные с помощью MetaLanguage языки моделирования, метамодели и сами модели могут отлично импортироваться во внешние системы. Ряд специальных средств позволяет при необходимости выполнить поиск наиболее подходящих моделей в репозитории на основе созданных онтологий.

Заключение

Итак, в настоящей работе представлена еще одна методология управления рисками бизнес-процессов. В отличие от других методологий предполагается использование имитационного моделирования для обнаружения рисков, онтологий, для определения взаимосвязей между рисками, их взаимовлияния и методов их устранения или предотвращения.

В статье представлены предварительные результаты. Следующим шагом в работе будет разработка визуального языка модели бизнес-процессов и угроз возникновения рисков.